信息系统安全等级保护基本要求专业培训教程(doc 59页)
电力行业信息系统安全等级保护基本要求(三级)
电力行业信息系统安全等级保护基本要求1 第三级基本要求 (1)1.1 技术要求 (1)1.1.1 物理安全 (1)1.1.1.1 物理位置的选择(G3) (1)1.1.1.2 物理访问控制(G3) (1)1.1.1.3 防盗窃和防破坏(G3) (1)1.1.1.4 防雷击(G3) (2)1.1.1.5 防火(G3) (2)1.1.1.6 防水和防潮(G3) (2)1.1.1.7 防静电(G3) (2)1.1.1.8 温湿度控制(G3) (3)1.1.1.9 电力供应(A3) (3)1.1.1.10 电磁防护(S3) (3)1.1.2 网络安全 (3)1.1.2.1 结构安全(G3) (3)1.1.2.2 访问控制(G3) (4)1.1.2.3 安全审计(G3) (5)1.1.2.4 边界完整性检查(S3) (5)1.1.2.5 入侵防范(G3) (5)1.1.2.6 恶意代码防范(G3) (5)1.1.2.7 网络设备防护(G3) (6)1.1.3 主机安全 (6)1.1.3.1 身份鉴别(S3) (6)1.1.3.2 访问控制(S3) (7)1.1.3.3 安全审计(G3) (7)1.1.3.4 剩余信息保护(S3) (8)1.1.3.6 恶意代码防范(G3) (8)1.1.3.7 资源控制(A3) (9)1.1.4 应用安全 (9)1.1.4.1 身份鉴别(S3) (9)1.1.4.2 访问控制(S3) (9)1.1.4.3 安全审计(G3) (10)1.1.4.4 剩余信息保护(S3) (10)1.1.4.5 通信完整性(S3) (10)1.1.4.6 通信保密性(S3) (11)1.1.4.7 抗抵赖(G3) (11)1.1.4.8 软件容错(A3) (11)1.1.4.9 资源控制(A3) (11)1.1.5 数据安全 (12)1.1.5.1 数据完整性(S3) (12)1.1.5.2 数据保密性(S3) (12)1.1.5.3 备份和恢复(A3) (12)1.2 管理要求 (13)1.2.1 安全管理制度 (13)1.2.1.1 管理制度(G3) (13)1.2.1.2 制定和发布(G3) (13)1.2.1.3 评审和修订(G3) (13)1.2.2 安全管理机构 (14)1.2.2.1 岗位设置(G3) (14)1.2.2.2 人员配备(G3) (14)1.2.2.3 资金保障(G3) (14)1.2.2.4 授权和审批(G3) (15)1.2.2.5 沟通和合作(G3) (15)1.2.2.6 审核和检查(G3) (15)1.2.3 人员安全管理 (16)1.2.3.2 人员离岗(G3) (16)1.2.3.3 人员考核(G3) (16)1.2.3.4 安全意识教育和培训(G3) (17)1.2.3.5 外部人员访问管理(G3) (17)1.2.4 系统建设管理 (17)1.2.4.1 系统定级(G3) (17)1.2.4.2 安全方案设计(G3) (18)1.2.4.3 产品采购和使用(G3) (18)1.2.4.4 自行软件开发(G3) (18)1.2.4.5 外包软件开发(G3) (19)1.2.4.6 工程实施(G3) (19)1.2.4.7 测试验收(G3) (19)1.2.4.8 系统交付(G3) (20)1.2.4.9 系统备案(G3) (20)1.2.4.10 等级测评(G3) (20)1.2.4.11 安全服务商选择(G3) (21)1.2.5 系统运维管理 (21)1.2.5.1 环境管理(G3) (21)1.2.5.2 资产管理(G3) (21)1.2.5.3 介质管理(G3) (22)1.2.5.4 设备管理(G3) (22)1.2.5.5 监控管理和安全管理中心(G3) (23)1.2.5.6 网络安全管理(G3) (23)1.2.5.7 系统安全管理(G3) (24)1.2.5.8 恶意代码防范管理(G3) (24)1.2.5.9 密码管理(G3) (25)1.2.5.10 变更管理(G3) (25)1.2.5.11 备份及恢复管理(G3) (25)1.2.5.12 安全事件处置(G3) (26)1 第三级基本要求1.1 技术要求1.1.1 物理安全1.1.1.1 物理位置的选择(G3)本项要求包括:a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁,如果不可避免,应采取有效防水措施。
信息安全等级保护的各个环节以及相关要求
信息安全等级保护的各个环节以及相关要求第一篇:信息安全等级保护的各个环节以及相关要求一、信息安全等级保护的各个环节一、基本环节(一)组织开展调查摸底(二)合理确定保护等级(三)开展安全建设整改(四)组织系统安全测评(五)依法履行备案手续(六)加强日常测评自查(七)加强安全监督检查二、主要环节定级-安全建设-安全测评-备案二、定级一、等级划分计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
二、定级程序信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。
有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
三、定级注意事项一级信息系统:适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。
小型个体、私营企业中的信息系统。
中小学中的信息系统。
二级信息系统:适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。
例如小的局域网,非涉及秘密、敏感信息的办公系统等。
三级信息系统:适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站;跨省(市)联接的信息网络等。
电力行业信息系统安全等级保护基本要求
电力行业信息系统安全等级保护基本要求(总101页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面,使用请直接删除ICSDL电力行业信息系统安全等级保护基本要求Baseline for classified protection of power industry informationsystem(征求意见稿)目次前言................................................................ 错误!未定义书签。
引言................................................................ 错误!未定义书签。
第一部分通用要求..................................................... 错误!未定义书签。
1 适用范围............................................................ 错误!未定义书签。
2 规范性参考文件...................................................... 错误!未定义书签。
3 术语和定义.......................................................... 错误!未定义书签。
4 信息系统安全等级保护概述............................................ 错误!未定义书签。
信息系统安全保护等级................................................. 错误!未定义书签。
不同等级的安全保护能力............................................... 错误!未定义书签。
等级保护三级(等保三级)基本要求
在多个业务共用的网络设备上配置QOS。
本项要求包括:
a)应在网络边界部署访问控制设备,启用访问控制功能;
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
本项要求包括:
a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;
b)应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。
本项要求包括:
a)当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;
b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
采用安全操作系统(如一些国产Linux操作系统或B1级操作系统)或安装Windows平台的剩余信息保护软件。(同客体重用。)
本项要求包括:
a)应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;
采用主机或网络入侵检测系统。
b)应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;
采用安全操作系统或安装内核加固软件。
c)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
采用操作系统安全评估和加固服务,并部署补丁服务器。
a)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
(电力行业}电力行业信息系统安全等级保护基本要求
(电力行业)电力行业信息系统安全等级保护基本要求1DL/T××××—××××电力行业信息系统安全等级保护基本要求Baseline for classified protection of power industry information system(征求意见稿)2目次前言 (V)引言 (VI)第一部分通用要求 (1)1 适用范围 (1)2 规范性参考文件 (1)3 术语和定义 (1)4 信息系统安全等级保护概述 (1)4.1 信息系统安全保护等级 (1)4.2 不同等级的安全保护能力 (1)4.3 总体要求、基本技术要求和基本管理要求 (2)4.4 基本技术要求的三种类型 (2)第二部分:管理信息系统类要求 (3)5 总体要求 (3)5.1 总体技术要求 (3)5.2 总体管理要求 (3)6 第一级基本要求 (4)6.1 技术要求 (4)6.1.1 物理安全 (4)6.1.2 网络安全 (4)6.1.3 主机安全 (5)6.1.4 应用安全 (5)6.1.5 数据安全及备份恢复 (5)6.2 管理要求 (5)6.2.1 安全管理制度 (5)6.2.2 安全管理机构 (6)6.2.3 人员安全管理 (6)6.2.4 系统建设管理 (6)6.2.5 系统运维管理 (7)7 第二级基本要求 (9)7.1 技术要求 (9)7.1.1 物理安全 (9)7.1.2 网络安全 (10)7.1.3 主机安全 (11)7.1.4 应用安全 (12)I7.2 管理要求 (13)7.2.1 安全管理制度 (13)7.2.2 安全管理机构 (13)7.2.3 人员安全管理 (14)7.2.4 系统建设管理 (15)7.2.5 系统运维管理 (16)8 第三级基本要求 (18)8.1 技术要求 (19)8.1.1 物理安全 (19)8.1.2 网络安全 (20)8.1.3 主机安全 (22)8.1.4 应用安全 (23)8.1.5 数据安全 (25)8.2 管理要求 (25)8.2.1 安全管理制度 (25)8.2.2 安全管理机构 (26)8.2.3 人员安全管理 (27)8.2.4 系统建设管理 (28)8.2.5 系统运维管理 (30)第三部分:生产控制信息系统类要求 (35)9 总体要求 (35)9.1 总体技术要求 (35)9.2 总体管理要求 (35)10 第一级基本要求 (36)10.1 技术要求 (36)10.1.1 物理安全 (36)10.1.2 网络安全 (36)10.1.3 主机安全 (37)10.1.4 应用安全 (37)10.1.5 数据安全及备份恢复 (37)10.2 管理要求 (37)10.2.1 安全管理制度 (37)10.2.2 安全管理机构 (38)10.2.3 人员安全管理 (38)10.2.4 系统建设管理 (39)10.2.5 系统运维管理 (40)11 第二级基本要求 (41)11.1 技术要求 (41)II11.1.2 网络安全 (42)11.1.3 主机安全 (43)11.1.4 应用安全 (44)11.1.5 数据安全 (45)11.2 管理要求 (46)11.2.1 安全管理制度 (46)11.2.2 安全管理机构 (46)11.2.3 人员安全管理 (47)11.2.4 系统建设管理 (48)11.2.5 系统运维管理 (49)12 第三级基本要求 (51)12.1 技术要求 (51)12.1.1 物理安全 (51)12.1.2 网络安全 (53)12.1.3 主机安全 (55)12.1.4 应用安全 (56)12.1.5 数据安全 (58)12.2 管理要求 (58)12.2.1 安全管理制度 (58)12.2.2 安全管理机构 (59)12.2.3 人员安全管理 (60)12.2.4 系统建设管理 (61)12.2.5 系统运维管理 (63)13 第四级基本要求 (67)13.1 技术要求 (67)13.1.1 物理安全 (67)13.1.2 网络安全 (68)13.1.3 主机安全 (70)13.1.4 应用安全 (72)13.1.5 数据安全 (73)13.2 管理要求 (74)13.2.1 安全管理制度 (74)13.2.2 安全管理机构 (75)13.2.3 人员安全管理 (76)13.2.4 系统建设管理 (77)13.2.5 系统运维管理 (79)附录A 关于信息系统整体安全保护能力的要求 (84)附录B 基本安全要求的选择和使用 (85)IV前言本标准的附录A和附录B是规范性附录。
【精编】信息系统安全等级保护基本要求(DOC 85页)
信息安全技术信息系统安全等级保护基本要求 Information security technology—Baseline for classified protection of information systemICS35.040 L80GB/T 22239—2008中华人民共和国国家标准 GB/T 22239—2008 I目次前言 ............................................................................ .. III引言 ............................................................................ (IV)信息系统安全等级保护基本要求 (1)1 范围 ............................................................................ . (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1 ........................................................................... .. (1)4 信息系统安全等级保护概述 (1)4.1 信息系统安全保护等级 (1)4.2 不同等级的安全保护能力 (1)4.3 基本技术要求和基本管理要求 (2)4.4 基本技术要求的三种类型 (2)5 第一级基本要求 (2)5.1 技术要求 (2)5.1.1 物理安全 ........................................................................25.1.2 网络安全 ........................................................................35.1.3 主机安全 ........................................................................35.1.4 应用安45.1.5 数据安全及备份恢复 (4)5.2 管理要求 (4)5.2.1 安全管理制度 (4)5.2.2 安全管理机构 (4)5.2.3 人员安全管理 (5)5.2.4 系统建设管理 (5)5.2.5 系统运维管理 (6)6 第二级基本要求 (7)6.1 技术要求 (7)6.1.1 物理安全 ........................................................................76.1.2 网络安全 ........................................................................86.1.3 主机安全 ........................................................................96.1.4 应用安全 .......................................................................106.1.5 数据安全及备份恢复 (11)6.2 管理要求 .........................................................................116.2.1 安全管理制度 (11)6.2.2 安全管理机构 (11)6.2.3 人员安全管6.2.4 系统建设管理 (12)6.2.5 系统运维管理 (14)7 第三级基本要求 (16)7.1 技术要求 .........................................................................167.1.1 物理安全 .......................................................................167.1.2 网络安全 ....................................................................... 17GB/T 22239—2008 IIGB/T22239—20087.1.3主机安全 (19)7.1.4应用安全 (20)7.1.5数据安全及备份恢复 (22)7.2管理要求 (22)7.2.1安全管理制度 (22)7.2.2安全管理机构 (23)7.2.3人员安全管理 (24)7.2.4系统建设管理 (25)7.2.5系统运维管理...................................................................278第四级基本要求 (30)8.1技术要求 (30)8.1.1物理安全 (30)8.1.2网络安全 (32)8.1.3主机安全 (33)8.1.4应用安全 (35)8.1.5数据安全及备份恢复 (37)8.2管理要求 (37)8.2.1安全管理制度 (37)8.2.2安全管理机构 (38)8.2.3人员安全管理 (39)8.2.4系统建设管理 (40)8.2.5系统运维管理...................................................................429第五级基本要求 (46)附录A.............................................................................. ..47关于信息系统整体安全保护能力的要求...................................................47附录B.............................................................................. ..49基本安全要求的选择和使用.............................................................49参考文献............................................................................. 51GB/T 22239—2008 III(略)GB/T 22239—2008 IV依据国家信息安全等级保护管理规定制定本标准。
信息系统安全等级保护培训课件(PPT 36页)
区域边界保护
保护计算环境
保护计算环境
实现集中安全管理
落实安全管理措施
三级系统安全管理措施
- 建立全面的安全管理制度,并安排专人负责并监控执行情况; - 建立全面的人员管理体系,制定严格的考核标准 - 建设过程的各项活动都要求进行制度化规范,按照制度要求进行 活动的开展 - 实现严格的保密性管理 - 成立安全运维小组,对安全维护的责任落实到具体的人 - 引入第三方专业安全服务
物理安 • 需要到物理机房实地检查,请提前申请进入机房的相关手续,并协调查看机房管理相关管理记录 全
网络安 • 需要登录网络设备、安全设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址,提供配置文件
全 主机安 • 需要登录相关主机设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址 全 应用安 • 请提供应用系统访问地址,以及访问该应用所需的网络地址,帐户名称、口令以及其它鉴别方式所需软硬件设备 全
分级保护系列标准规范
《涉及国家秘密的计算机信息系统分级保 护技术要求》BMB17-2006 《涉及国家秘密计算机信息系统安全保密 方案设计指南》 BMB23-2008 涉密信息系统安全保障建设 《涉及国家秘密计算机信息系统分级保护 指南 管理规范》BMB20-2007 《涉及国家秘密的信息系统分级保护测评 指南》BMB22—2007 《涉及国家秘密计算机信息系统分级保护 管理办法 》国家保密局16号
管理制 • 请提供安全管理制度电子档或纸质版本,以及相关记录文件
度
1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、勇猛、大胆和坚定的决心能够抵得上武器的精良。——达· 芬奇 4、与肝胆人共事,无字句处读书。——周恩来 5、一个人即使已登上顶峰,也仍要自强不息。——罗素· 贝克 6、一切节省,归根到底都归结为时间的节省。——马克思 7、自知之明是最难得的知识。——西班牙 8、勇气通往天堂,怯懦通往地狱。——塞内加 9、有时候读书是一种巧妙地避开思考的方法。——赫尔普斯 10、阅读一切好书如同和过去最杰出的人谈话。——笛卡儿 11、有勇气承担命运这才是英雄好汉。——黑塞 12、只有把抱怨环境的心情,化为上进的力量,才是成功的保证。——罗曼· 罗兰 13、知人者智,自知者明。胜人者有力,自胜者强。——老子 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。——歌德 15、最具挑战性的挑战莫过于提升自我。——迈克尔· F· 斯特利 16、业余生活要有意义,不要越轨。——华盛顿 17、意志是一个强壮的盲人,倚靠在明眼的跛子肩上。——叔本华 18、最大的挑战和突破在于用人,而用人最大的突破在于信任人。——马云 19、我这个人走得很慢,但是我从不后退。——亚伯拉罕· 林肯 20、要掌握书,莫被书掌握;要为生而读,莫为读而生。——布尔沃 21、要知道对好事的称颂过于夸大,也会招来人们的反感轻蔑和嫉妒。——培根 22、业精于勤,荒于嬉;行成于思,毁于随。——韩愈 23、最大的骄傲于最大的自卑都表示心灵的最软弱无力。——斯宾诺莎 24、知之者不如好之者,好之者不如乐之者。——孔子 25、学习是劳动,是充满思想的劳动。——乌申斯基 26、要使整个人生都过得舒适、愉快,这是不可能的,因为人类必须具备一种能应付逆境的态度。——卢梭 27、越是无能的人,越喜欢挑剔别人的错儿。——爱尔兰 28、意志命运往往背道而驰,决心到最后会全部推倒。——莎士比亚 29、越是没有本领的就越加自命不凡。——邓拓 30、阅读使人充实,会谈使人敏捷,写作使人精确。——培根
信息系统安全等级保护(二级)基本要求
4 5 6
防 雷 击 (G2) 防火(G2) 防水和防潮 (G2)
7 8 9
10 11
12
13
14 15
16
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在 设备运行所允许的范围之内。 a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足关键设备在断电情况 下的正常运行要求。 电 磁 防 护 电源线和通信线缆应隔离铺设,避免互相干扰。 (S2) 网络安全 结 构 安 全 a) 应保证关键网络设备的业务处理能力具备冗余空间,满足业 (G2) 务高峰期需要; b) 应保证接入网络和核心网络的带宽满足业务高峰期需要; c) 应绘制与当前运行情况相符的网络拓扑结构图; d) 应根据各部门的工作职能、重要性和所涉及信息的重要程度 等因素,划分不同的子网或网段,并按照方便管理和控制的原 则为各子网、网段分配地址段。 访 问 控 制 a) 应在网络边界部署访问控制设备,启用访问控制功能; (G2) b) 应能根据会话状态信息为数据流提供明确的允许 / 拒绝访问 的能力,控制粒度为网段级。 c) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户 对受控系统进行资源访问,控制粒度为单个用户; d) 应限制具有拨号访问权限的用户数量。 安 全 审 计 a) 应对网络系统中的网络设备运行状况、网络流量、用户行为 (G2) 等进行日志记录; b) 审计记录应包括事件的日期和时间、用户、事件类型、事件 是否成功及其他与审计相关的信息。 边界完整性 应能够对内部网络中出现的内部用户未通过准许私自联到外部 检查(S2) 网络的行为进行检查。 入 侵 防 范 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木 (G2) 马后门攻击、拒绝服务攻击、缓冲区溢出攻击、 IP 碎片攻击和 网络蠕虫攻击等。 网络设备防 a) 应对登录网络设备的用户进行身份鉴别; 护(G2) b) 应对网络设备的管理员登录地址进行限制; c) 网络设备用户的标识应唯一; d) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要 求并定期更换; e) 应具有登录失败处理功能,可采取结束会话、限制非法登录 次数和当网络登录连接超时自动退出等措施; f) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信 息在网络传输过程中被窃听。
【精品】电力行业信息系统安全等级保护基本要求(三级)
电力行业信息系统安全等级保护基本要求1第三级基本要求...................................... 错误!未指定书签。
1.1技术要求....................................... 错误!未指定书签。
1。
1.1物理安全................................ 错误!未指定书签。
1。
1.1.1物理位置的选择(G3)................. 错误!未指定书签。
1。
1.1。
2物理访问控制(G3)................. 错误!未指定书签。
1。
1.1.3防盗窃和防破坏(G3)................ 错误!未指定书签。
1。
1.1。
4防雷击(G3)........................ 错误!未指定书签。
1。
1.1.5防火(G3).......................... 错误!未指定书签。
1.1.1。
6防水和防潮(G3).................... 错误!未指定书签。
1.1.1.7防静电(G3)......................... 错误!未指定书签。
1。
1.1.8温湿度控制(G3).................... 错误!未指定书签。
1。
1.1。
9电力供应(A3)..................... 错误!未指定书签。
1。
1.1。
10电磁防护(S3)................... 错误!未指定书签。
1。
1。
2网络安全............................... 错误!未指定书签。
1.1.2.1结构安全(G3)...................... 错误!未指定书签。
1。
1。
2.2访问控制(G3)..................... 错误!未指定书签。
1。
1。
2.3安全审计(G3)..................... 错误!未指定书签。
信息系统安全等级保护基本要求(doc 44页)
信息系统安全等级保护基本要求(doc 44页)b) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;c) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
5.1.3主机安全5.1.3.1身份鉴别(S1)应对登录操作系统和数据库系统的用户进行身份标识和鉴别。
5.1.3.2访问控制(S1)本项要求包括:a) 应启用访问控制功能,依据安全策略控制用户对资源的访问;b) 应限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;c) 应及时删除多余的、过期的帐户,避免共享帐户的存在。
5.1.3.3入侵防范(G1)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并保持系统补丁及时得到更新。
5.1.3.4恶意代码防范(G1)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。
5.1.4应用安全5.1.4.1身份鉴别(S1)本项要求包括:a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别;b) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;c) 应启用身份鉴别和登录失败处理功能,并根据安全策略配置相关参数。
5.1.4.2访问控制(S1)本项要求包括:a) 应提供访问控制功能控制用户组/用户对系统功能和用户数据的访问;b) 应由授权主体配置访问控制策略,并严格限制默认用户的访问权限。
5.1.4.3通信完整性(S1)应采用约定通信会话方式的方法保证通信过程中数据的完整性。
5.1.4.4软件容错(A1)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。
5.1.5数据安全及备份恢复5.1.5.1数据完整性(S1)应能够检测到重要用户数据在传输过程中完整性受到破坏。
5.1.5.2备份和恢复(A1)应能够对重要信息进行备份和恢复。
5.2管理要求5.2.1安全管理制度5.2.1.1管理制度(G1)应建立日常管理活动中常用的安全管理制度。
信息系统安全等级保护基本要求(三级要求)
信息系统安全等级保护基本要求1 三级基本要求 (3)1.1 技术要求 (3)1.1.1 物理安全 (3)1.1.1.1 物理位置的选择(G3) (3)1.1.1.2 物理访问控制(G3) (3)1.1.1.3 防盗窃和防破坏(G3) (3)1.1.1.4 防雷击(G3) (3)1.1.1.5 防火(G3) (3)1.1.1.6 防水和防潮(G3) (4)1.1.1.7 防静电(G3) (4)1.1.1.8 温湿度控制(G3) (4)1.1.1.9 电力供应(A3) (4)1.1.1.10 电磁防护(S3) (4)1.1.2 网络安全 (4)1.1.2.1 结构安全(G3) (4)1.1.2.2 访问控制(G3) (4)1.1.2.3 安全审计(G3) (5)1.1.2.4 边界完整性检查(S3) (5)1.1.2.5 入侵防范(G3) (5)1.1.2.6 恶意代码防范(G3) (5)1.1.2.7 网络设备防护(G3) (5)1.1.3 主机安全 (6)1.1.3.1 身份鉴别(S3) (6)1.1.3.2 访问控制(S3) (6)1.1.3.3 安全审计(G3) (6)1.1.3.4 剩余信息保护(S3) (7)1.1.3.5 入侵防范(G3) (7)1.1.3.6 恶意代码防范(G3) (7)1.1.3.7 资源控制(A3) (7)1.1.4 应用安全 (7)1.1.4.1 身份鉴别(S3) (7)1.1.4.2 访问控制(S3) (8)1.1.4.3 安全审计(G3) (8)1.1.4.4 剩余信息保护(S3) (8)1.1.4.5 通信完整性(S3) (8)1.1.4.6 通信保密性(S3) (8)1.1.4.7 抗抵赖(G3) (8)1.1.4.8 软件容错(A3) (8)1.1.4.9 资源控制(A3) (8)1.1.5 数据安全及备份恢复 (9)1.1.5.1 数据完整性(S3) (9)1.1.5.2 数据保密性(S3) (9)1.1.5.3 备份和恢复(A3) (9)1.2 管理要求 (9)1.2.1 安全管理制度 (9)1.2.1.1 管理制度(G3) (9)1.2.1.2 制定和发布(G3) (10)1.2.1.3 评审和修订(G3) (10)1.2.2 安全管理机构 (10)1.2.2.1 岗位设置(G3) (10)1.2.2.2 人员配备(G3) (10)1.2.2.3 授权和审批(G3) (10)1.2.2.4 沟通和合作(G3) (10)1.2.2.5 审核和检查(G3) (11)1.2.3 人员安全管理 (11)1.2.3.1 人员录用(G3) (11)1.2.3.2 人员离岗(G3) (11)1.2.3.3 人员考核(G3) (11)1.2.3.4 安全意识教育和培训(G3) (11)1.2.3.5 外部人员访问管理(G3) (12)1.2.4 系统建设管理 (12)1.2.4.1 系统定级(G3) (12)1.2.4.2 安全方案设计(G3) (12)1.2.4.3 产品采购和使用(G3) (12)1.2.4.4 自行软件开发(G3) (13)1.2.4.5 外包软件开发(G3) (13)1.2.4.6 工程实施(G3) (13)1.2.4.7 测试验收(G3) (13)1.2.4.8 系统交付(G3) (13)1.2.4.9 系统备案(G3) (14)1.2.4.10 等级测评(G3) (14)1.2.4.11 安全服务商选择(G3) (14)1.2.5 系统运维管理 (14)1.2.5.1 环境管理(G3) (14)1.2.5.2 资产管理(G3) (14)1.2.5.3 介质管理(G3) (15)1.2.5.4 设备管理(G3) (15)1.2.5.5 监控管理和安全管理中心(G3) (15)1.2.5.6 网络安全管理(G3) (15)1.2.5.7 系统安全管理(G3) (16)1.2.5.8 恶意代码防范管理(G3) (16)1.2.5.9 密码管理(G3) (16)1.2.5.10 变更管理(G3) (16)1.2.5.11 备份与恢复管理(G3) (17)1.2.5.12 安全事件处置(G3) (17)1.2.5.13 应急预案管理(G3) (17)第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
教育部办公厅关于印发《教育行业信息系统安全等级保护定级工作指南(试行)》的通知
教育部办公厅关于印发《教育行业信息系统安全等级保护定级工作指南(试行)》的通知文章属性•【制定机关】教育部•【公布日期】2014.10.27•【文号】教技厅函[2014]74号•【施行日期】2014.10.27•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】教育信息化正文教育部办公厅关于印发《教育行业信息系统安全等级保护定级工作指南(试行)》的通知教技厅函[2014]74号各省、自治区、直辖市教育厅(教委),新疆生产建设兵团教育局,有关部门(单位)教育司(局),部属各高等学校,部内各司局、各直属单位:为进一步加强教育行业信息安全工作,指导和规范教育行业信息系统安全等级保护定级工作,现将《教育行业信息系统安全等级保护定级工作指南(试行)》印发给你们,请结合本地本单位实际,认真组织实施。
联系人:教育部科技司潘润恺电话:66096457 邮箱:***********.cn附:《教育行业信息系统安全等级保护定级工作指南》教育部办公厅2014年10月27日教育行业信息系统安全等级保护定级工作指南(试行)1 总则本指南依据国家信息安全等级保护相关政策和标准,结合教育行业信息化工作的特点和具体实际,对教育行业信息系统进行分类,提出安全等级保护的定级思路,给出建议等级,明确工作流程。
本指南适用于各级教育行政部门及其直属事业单位、各级各类学校的非涉密信息系统安全等级保护定级工作。
信息系统的定级工作应在信息系统设计阶段完成,与信息系统建设同步实施。
2 定级依据《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)《信息系统安全等级保护定级指南》(GB/T 22240-2008)《信息系统安全等级保护实施指南》(GB/T 25058-2010)《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)《信息安全等级保护管理办法》(公通字〔2007〕43号)3 信息系统的类型划分信息系统的类型划分是进行信息系统安全等级划分的前提和基础。
信息系统安全等级保护(三级)基本要求
岗位设置 (G3) a) 应,设立安全主 管、安全管理各个方面的负责人岗位,并定义各负责 人的职责;
b) 应设立系统管理员、 网络管理员、安全管理员等岗 位,并定义各个工作岗位的职责; c)
d)
人员配备 (G3)
a) 应配备一定数量的系统管理员、 网络管理员、安全 管理员等; b)
c)
授权和审批 (G3)
a) 应根据各个部门和岗位的职责明确、 审批部门和批准人等; b)
c)
d)
沟通和合作 (G3)
a) 应加强各类管理人员之间、组织内部机构之间以及 信息安全职能部门内部的合作与沟通,
b) 应加强与兄弟单位、公安机关、电信公司的合作与 沟通; c)
d)
e)
40
41
42
43
安全管理 机构。
信息安全等级测评师培训讲义(PDF 123页)
24
测评方式-访谈-访谈对象
各方面负责人(物理安全、人事、系统 建设、系统运维)
主要针对机构信息安全各个具体方面的问题 进行总体式提问
主要集中在:人员安全管理、系统建设管理、 系统运维管理、物理安全
25
测评方式-访谈-访谈对象
各类管理人员(系统安全管理员、网络 安全管理员等)
测评方式
访谈 检查
29
测评方式-检查
检查——不同于行政执法意义上的监督 检查,是指测评人员通过对测评对象进行 观察、查验、分析等活动,获取证据以证 明信息系统安全保护措施是否有效的一种 方法。
30
测评方式-检查
检查方式 检查对象 检查与访谈的关系
31
测评方式-检查-检查方式
文档查看 现场察看
15
测评方法和流程
主要测评工具 测评方式 测评工作前期准备 现场测评流程
16
测评方法和流程-主要测评工具
安全管理测评作业指导书 物理安全测评作业指导书
17
测评方法和流程-测评方式
访谈 检查
18
测评方式-访谈
访谈——测评人员通过与信息系统有关人 员(个人/群体)进行交流、讨论等活动, 获取相关证据表明信息系统安全保护措施 是否落实的一种方法。在访谈的范围上, 应基本覆盖所有的安全相关人员类型,在 数量上可以抽样。
8
测评依据
信息系统安全等级保护基本要求 GB/T 22239-2008
信息系统安全等级保护测评要求(报批 稿)
信息系统安全等级保护测评过程指南 (报批稿)
9
测评依据-标准中管理要求形成思路
政策和制度
限制
指导
机构和人员
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统安全等级保护基本要求专业培训教程(doc 59页)信息安全等级保护培训教材《信息系统安全等级保护基本要求》公安部2007年7月目录1概述 (7)1.1背景介绍71.2主要作用及特点81.3与其他标准的关系101.4框架结构112描述模型 (13)2.1总体描述132.2保护对象152.3安全保护能力162.4安全要求223逐级增强的特点 (26)3.1增强原则263.2总体描述273.3控制点增加293.4要求项增加313.5控制强度增强344各级安全要求 (37)4.1技术要求374.1.1物理安全374.1.2网络安全544.1.3主机安全694.1.4应用安全844.1.5数据安全及备份恢复1004.2管理要求 1074.2.1安全管理制度1074.2.2安全管理机构1154.2.3人员安全管理1244.2.4系统建设管理1334.2.5系统运维管理148本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》(以下简称《基本要求》),描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。
通过培训,使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容,以便正确选择合适的安全要求进行信息系统保护。
1概述1.1背景介绍2004年,66号文件中指出“信息安全等级保护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。
”信息安全等级保护工作第一阶段为准备阶段,准备阶段中重要工作之一是“加快制定、完善管理规范和技术标准体系”。
依据此要求,《基本要求》列入了首批需完成的6个标准之一。
1.2主要作用及特点1.主要作用《基本要求》对等级保护工作中的安全控制选择、调整、实施等提出规范性要求,根据使用对象不同,其主要作用分为三种:a)为信息系统建设单位和运营、使用单位提供技术指导在信息系统的安全保护等级确定后,《基本要求》为信息系统的建设单位和运营、使用单位如何对特定等级的信息系统进行保护提供技术指导。
b)为测评机构提供评估依据《基本要求》为信息系统主管部门,信息系统运营、使用单位或专门的等级测评机构对信息系统安全保护等级的检测评估提供依据。
c)为职能监管部门提供监督检查依据《基本要求》为监管部门的监督检查提供依据,用于判断一个特定等级的信息系统是否按照国家要求进行了基本的保护。
2.主要特点《基本要求》是针对每个等级的信息系统提出相应安全保护要求,“基本”意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的,也就是说,这些要求的实现能够保证系统达到相应等级的基本保护能力,但反过来说,系统达到相应等级的保护能力并不仅仅完全依靠这些安全保护要求。
同时,《基本要求》强调的是“要求”,而不是具体实施方案或作业指导书,《基本要求》给出了系统每一保护方面需达到的要求,至于这种要求采取何种方式实现,不在《基本要求》的描述范围内。
按照《基本要求》进行保护后,信息系统达到一种安全状态,具备了相应等级的保护能力。
1.3与其他标准的关系从标准间的承接关系上讲:●《信息系统安全等级保护定级指南》确定出系统等级以及业务信息安全性等级和系统服务安全等级后,需要按照相应等级,根据《基本要求》选择相应等级的安全保护要求进行系统建设实施。
●《信息系统安全等级保护测评准则》是针对《基本要求》的具体控制要求开发的测评要求,旨在强调系统按照《基本要求》进行建设完毕后,检验系统的各项保护要求是否符合相应等级的基本要求。
由上可见,《基本要求》在整个标准体系中起着承上启下的作用。
从技术角度上讲:《基本要求》的技术部分吸收和借鉴了GB 17859:1999标准,采纳其中的身份鉴别、数据完整性、自主访问控制、强制访问控制、审计、客体重用(改为剩余信息保护)标记、可信路径等8个安全机制的部分或全部内容,并将这些机制扩展到网络层、主机系统层、应用层和数据层。
《基本要求》的技术部分弱化了在信息系统中实现安全机制结构化设计及安全机制可信性方面的要求,例如没有提出信息系统的可信恢复,但在4级系统提出了灾难备份与恢复的要求,保证业务连续运行。
《基本要求》没有对隐蔽通道分析的安全机制提出要求。
此外,《基本要求》的管理部分充分借鉴了ISO/IEC 17799:2005等国际上流行的信息安全管理方面的标准,尽量做到全方位的安全管理。
1.4框架结构《基本要求》在整体框架结构上以三种分类为支撑点,自上而下分别为:类、控制点和项。
其中,类表示《基本要求》在整体上大的分类,其中技术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类,管理部分分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类,一共分为10大类。
控制点表示每个大类下的关键控制点,如物理安全大类中的“物理访问控制”作为一个控制点。
而项则是控制点下的具体要求项,如“机房出入应安排专人负责,控制、鉴别和记录进入的人员。
”具体框架结构如图所示:图1-1 《基本要求》的框架结构2 描述模型2.1 总体描述信息系统是颇受诱惑力的被攻击目标。
它们抵抗着来自各方面威胁实体的攻击。
对信息系统实行安全保护的目的就是要对抗系统面临的各种威胁,从而尽量降低由于威胁给系统带来的损失。
能够应对威胁的能力构成了系统的安全保护能力之一——对抗能力。
但在某些情况下,信第三级物理网络主机应用第一第二第四第五数据安技术管理安全管安全管人员安系统建系统运息系统无法阻挡威胁对自身的破坏时,如果系统具有很好的恢复能力,那么即使遭到破坏,也能在很短的时间内恢复系统原有的状态。
能够在一定时间内恢复系统原有状态的能力构成了系统的另一种安全保护能力——恢复能力。
对抗能力和恢复能力共同形成了信息系统的安全保护能力。
不同级别的信息系统应具备相应等级的安全保护能力,即应该具备不同的对抗能力和恢复能力,以对抗不同的威胁和能够在不同的时间内恢复系统原有的状态。
针对各等级系统应当对抗的安全威胁和应具有的恢复能力,《基本要求》提出各等级的基本安全要求。
基本安全要求包括了基本技术要求和基本管理要求,基本技术要求主要用于对抗威胁和实现技术能力,基本管理要求主要为安全技术实现提供组织、人员、程序等方面的保障。
各等级的基本安全要求,由包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面的基本安全技术措施和包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的基本安全管理措施来实现和保证。
下图表明了《基本要求》的描述模型。
图1-2《基本要求》的描述模型2.2 保护对象作为保护对象,《管理办法》中将信息系统分为五级,分别为:第一级,信息系统受到破坏后,会对公民、每一等级信息系安全保技术措施管理措施 包具基本安满包满实法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
2.3安全保护能力1.定义a)对抗能力能够应对威胁的能力构成了系统的安全保护能力之一—对抗能力。
不同等级系统所应对抗的威胁主要从威胁源(自然、环境、系统、人为)动机(不可抗外力、无意、有意)范围(局部、全局)能力(工具、技术、资源等)四个要素来考虑。
在对威胁进行级别划分前,我们首先解释以上几个要素:●威胁源——是指任何能够导致非预期的不利事件发生的因素,通常分为自然(如自然灾害)环境(如电力故障)IT系统(如系统故障)和人员(如心怀不满的员工)四类。
●动机——与威胁源和目标有着密切的联系,不同的威胁源对应不同的目标有着不同的动机,通常可分为不可抗外力(如自然灾害)无意的(如员工的疏忽大意)和故意的(如情报机构的信息收集活动)。
●范围——是指威胁潜在的危害范畴,分为局部和整体两种情况;如病毒威胁,有些计算机病毒的传染性较弱,危害范围是有限的;但是蠕虫类病毒则相反,它们可以在网络中以惊人的速度迅速扩散并导致整个网络瘫痪。
能力——主要是针对威胁源为人的情况,它是衡量攻击成功可能性的主要因素。
能力主要体现在威胁源占有的计算资源的多少、工具的先进程度、人力资源(包括经验)等方面。
通过对威胁主要因素的分析,我们可以组合得到不同等级的威胁:第一级:本等级的威胁是1)危害范围为局部的环境或者设备故障、2)无意的员工失误以及3)低能力的渗透攻击等威胁情景。
典型情况如灰尘超标(环境)单个非重要工作站(设备)崩溃等。
第二级:本等级的威胁主要是1)危害局部的较严重的自然事件、2)具备中等能力、有预设目标的威胁情景。
典型情况如有组织的情报搜集等。
第三级:本等级的威胁主要是1)危害整体的自然事件、2)具备较高能力、大范围的、有预设目标的渗透攻击。
典型情况如较严重的自然灾害、大型情报组织的情报搜集等。
第四级:本等级的威胁主要是1)危害整体的严重的自然事件、2)国家级渗透攻击。
典型情况如国家经营,组织精良,有很好的财政资助,从其他具有经济、军事或政治优势的国家收集机密信息等。
b)恢复能力但在某些情况下,信息系统无法阻挡威胁对自身的破坏时,如果系统具有很好的恢复能力,那么即使遭到破坏,也能在很短的时间内恢复系统原有的状态。
能够在一定时间内恢复系统原有状态的能力构成了另一种安全保护能力——恢复能力。
恢复能力主要从恢复时间和恢复程度上来衡量其不同级别。
恢复时间越短、恢复程度越接近系统正常运行状态,表明恢复能力越高。
第一级:系统具有基本的数据备份功能,在遭到破坏后能够不限时的恢复部分系统功能。
第二级:系统具有一定的数据备份功能,在遭到破坏后能够在一段时间内恢复部分功能。
第三级:系统具有较高的数据备份和系统备份功能,在遭到破坏后能够较快的恢复绝大部分功能。
第四级:系统具有极高的数据备份和系统备份功能,在遭到破坏后能够迅速恢复所有系统功能。
2.不同等级的安全保护能力信息系统的安全保护能力包括对抗能力和恢复能力。
不同级别的信息系统应具备相应等级的安全保护能力,即应该具备不同的对抗能力和恢复能力。