二三级等保要求
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
身份鉴别:增强登录控制,提出了鉴别标识唯一、鉴别信息复杂等要求。
在二级要求的基础上,提出了两种以上鉴别技术的组合来实现身份鉴别。
访问控制:实现不同系统用户的权限分离
除二级要求外,强调了最小授权原则,使得用户的权限最小化,同时要求对重要信息资源设置敏感标记
剩百度文库信息保护:无
要求对存放鉴别信息、文件、记录等存储空间进行重新使用前的清除
网络安全
结构安全:要求网络资源能够满足业务高峰的需要,同时应以网段形式分隔不同部门的系统
除二级要求外,增加了“处理优先级”考虑,以保证重要主机能够正常运行
访问控制:对数据的过滤增强为根据会话信息进行过滤,用户访问粒度由用户组细化到单个用户,同时限制拨号访问的用户数量
将过滤的力度扩展到应用层,即根据应用的不同而过滤,控制粒度为端口级。对设备接入网络进行了一定的限制
数据安全及备份恢复
能够对重要数据进行备份,能够提供一定的硬件冗余。
除二级要求外,不仅要求本地完全数据备份,还要求异地备份和冗余网络拓扑。
安全管理要求
主要明确了制定日常常用的管理制度,并对管理制度的制定和发布提出基本要求。在控制点上增加了评审和修订,管理制度增加了总体方针和安全策略,和对各类重要操作建立规程的要求,并且管理制度的制定和发布要求组织论证。
项目
二级要求
三级要求
定级原理
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
安全产品资质要求
无此要求
第三级以上信息系统选择使用的信息安全产品条件,信息系统运营使用单位和主管部门按照所列条件,对安全产品的可信性、可靠性进行把关。公安机关对信息安全产品使用是否符合要求进行监督、检查
恶意代码防范:要求对恶意代码进行统一管理
除二级要求外,要求主机与网络处的防范产品不同。
应用安全
通信保密性:要求对建立连接前初始化验证和通信过程敏感信息加密。
在二级要求的基础上,要求对通信过程加密的范围扩大为整个报文或会话过程。
软件容错:要求具有基本的数据校验功能,要求故障发生时能够继续运行部分功能
在二级要求的基础上,要求具有自动保护功能。
增加安全审计,要求对网络设备运行、网络流量等基本情况进行记录。
要求对形成的记录能够分析、形成报表。同时对审计记录提出了保护要求。
增加边界完整性检查和入侵防范:使用防火墙、IDS检测常见攻击的发生。能够检测到内部的非法联出情况
在二级要求的基础上,不仅能够检测,并能发出报警,而且能够准确定位并阻断。
主机安全
除二级要求外,加强了对进出机房时的控制手段,做到人员和电子设备共同控制,并对机房分区域管理;增加了从建筑材料、区域隔离等方面考虑的防火措施;增强了防护能力,要求设备接地并能够做到部分电磁屏蔽。防火要求,不仅要求自动消防系统,而且要求区域隔离防火,建筑材料防火等方面,将防火的范围增大,从而使火灾发生的几率和损失降低
在二级要求的基础上,要求机构形成信息安全管理制度体系,对管理制度的制定要求和发布过程进一步严格和规范。对安全制度的评审和修订要求领导小组的负责。
等级测评和自查
无此要求
第三级信息系统应当每年至少进行一次等级测评;第三级信息系统应当每年至少进行一次自查
物理安全
要求对进出机房时进行基本的出入控制,对进入后的活动也要进行控制;环境安全能够对自然威胁进行基本的防护;要求能够自动报警火灾发生;要求具有基本的电磁防护能力,如线缆隔离;电力则要求提供供电电压的正常。
在二级要求的基础上,提出了两种以上鉴别技术的组合来实现身份鉴别。
访问控制:实现不同系统用户的权限分离
除二级要求外,强调了最小授权原则,使得用户的权限最小化,同时要求对重要信息资源设置敏感标记
剩百度文库信息保护:无
要求对存放鉴别信息、文件、记录等存储空间进行重新使用前的清除
网络安全
结构安全:要求网络资源能够满足业务高峰的需要,同时应以网段形式分隔不同部门的系统
除二级要求外,增加了“处理优先级”考虑,以保证重要主机能够正常运行
访问控制:对数据的过滤增强为根据会话信息进行过滤,用户访问粒度由用户组细化到单个用户,同时限制拨号访问的用户数量
将过滤的力度扩展到应用层,即根据应用的不同而过滤,控制粒度为端口级。对设备接入网络进行了一定的限制
数据安全及备份恢复
能够对重要数据进行备份,能够提供一定的硬件冗余。
除二级要求外,不仅要求本地完全数据备份,还要求异地备份和冗余网络拓扑。
安全管理要求
主要明确了制定日常常用的管理制度,并对管理制度的制定和发布提出基本要求。在控制点上增加了评审和修订,管理制度增加了总体方针和安全策略,和对各类重要操作建立规程的要求,并且管理制度的制定和发布要求组织论证。
项目
二级要求
三级要求
定级原理
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
安全产品资质要求
无此要求
第三级以上信息系统选择使用的信息安全产品条件,信息系统运营使用单位和主管部门按照所列条件,对安全产品的可信性、可靠性进行把关。公安机关对信息安全产品使用是否符合要求进行监督、检查
恶意代码防范:要求对恶意代码进行统一管理
除二级要求外,要求主机与网络处的防范产品不同。
应用安全
通信保密性:要求对建立连接前初始化验证和通信过程敏感信息加密。
在二级要求的基础上,要求对通信过程加密的范围扩大为整个报文或会话过程。
软件容错:要求具有基本的数据校验功能,要求故障发生时能够继续运行部分功能
在二级要求的基础上,要求具有自动保护功能。
增加安全审计,要求对网络设备运行、网络流量等基本情况进行记录。
要求对形成的记录能够分析、形成报表。同时对审计记录提出了保护要求。
增加边界完整性检查和入侵防范:使用防火墙、IDS检测常见攻击的发生。能够检测到内部的非法联出情况
在二级要求的基础上,不仅能够检测,并能发出报警,而且能够准确定位并阻断。
主机安全
除二级要求外,加强了对进出机房时的控制手段,做到人员和电子设备共同控制,并对机房分区域管理;增加了从建筑材料、区域隔离等方面考虑的防火措施;增强了防护能力,要求设备接地并能够做到部分电磁屏蔽。防火要求,不仅要求自动消防系统,而且要求区域隔离防火,建筑材料防火等方面,将防火的范围增大,从而使火灾发生的几率和损失降低
在二级要求的基础上,要求机构形成信息安全管理制度体系,对管理制度的制定要求和发布过程进一步严格和规范。对安全制度的评审和修订要求领导小组的负责。
等级测评和自查
无此要求
第三级信息系统应当每年至少进行一次等级测评;第三级信息系统应当每年至少进行一次自查
物理安全
要求对进出机房时进行基本的出入控制,对进入后的活动也要进行控制;环境安全能够对自然威胁进行基本的防护;要求能够自动报警火灾发生;要求具有基本的电磁防护能力,如线缆隔离;电力则要求提供供电电压的正常。