信息系统安全等级保护第二级要求技术要求物理安全物理位置选择说课材料
信息安全系统等级保护(二级)
信息安全系统等级保护(二级)信息安全等级保护(二级)备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。
一、物理安全1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录4、主要设备或设备的主要部件上应设置明显的不易除去的标记5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录15、应具有冗余或并行的电力电缆线路(如双路供电方式)16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录二、安全管理制度1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程2、应具有安全管理制度的制定程序:3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。
《信息系统安全等级保护基本要求》二级、三级等级保护要求比较
1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
2)电源线和通信线缆应隔离,避免互相干扰。
1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
2)电源线和通信线缆应隔离,避免互相干扰;
3)对重要设备和磁介质实施电磁屏蔽.
网络安全
结构安全与网段划分
1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;
2)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
3)应依据安全策略允许或者拒绝便携式和移动式设备的网络接入;
4)应在会话处于非活跃一定时间或会话结束后终止网络连接;
5)应限制网络最大流量数及网络连接数。
拨号访问控制
1)应在基于安全属性的允许远程用户对系统访问的规则的基础上,对系统所有资源允许或拒绝用户进行访问,控制粒度为单个用户;
2)应设计和绘制与当前运行情况相符的网络拓扑结构图;
3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽;
4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径;
5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力。
1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力;
二级信息系统等级保护物理安全技术要求
信息系统与信息系统物理安全
• 信息系统是指基于计算机和计算机网络,按照一定的应用目标和规则 对信息进行采集、加工、存储、传输、检索等处理的人机系统。 信息 系统可以看作是承载信息的各种硬件设备、信息系统所处的物理环境 以及由软件、硬件构建而成的信息系统这三者相互作用形成的有机结 合体。由此,信息系统的物理安全涉及到整个系统的配套部件、设备 和设施的安全性能、所处的环境安全以及整个系统可靠运行等三方面, 是信息系统安全运行的基本保障。 硬件设备的安全性能直接决定了信 息系统的保密性、完整性、可用性,如设备的抗电磁干扰能力、防电 磁信息泄露能力、电源保护能力以及设备振动、碰撞、冲击适应性等。 信息系统所处物理环境的优劣直接影响了信息系统的可靠性,如机房 防火、防水、防雷、防静电、防盗防毁能力,供电能力,通信线路安 全等。系统自身的物理安全问题也会对信息系统的保密性、完整性、 可用性带来安全威胁,如灾难备份与恢复能力、物理访问控制能力、 边界保护能力、设备管理能力等。 信息系统物理安全(简称物理安全) 是指为了保证信息系统安全可靠运行,确保信息系统在对信息进行采 集、处理、传输、存储过程中,不致受到人为或自然因素的危害,而 使信息丢失、泄露或破坏,对计算机设备、设施(包括机房建筑、供 电、空调等)、环境人员、系统等采取适当的安全措施。
二级要求说明
• 第二级物理安全平台为第二级系统审计保护级提供适当的 物理安全保护。在设备物理安全方面,为支持设备的正常 运行,本级在第一级物理安全技术要求的基础上,增加了 设备对电源适应能力要求,增加了对来自射电磁辐射、浪 涌(冲击)的电磁干扰具有基本的抗扰能力要求,以及对 设备及部件产生的电磁辐射骚扰具有基本的限制能力要求。 在环境物理安全方面,为保证信息系统支撑环境的正常运 行,本级在第一级物理安全技术要求的基础上,增加了机 房建设、记录介质、人员要求、机房综合布线、通信线路 的适当要求,机房应具备一定的防火、防雷、防水、防盗 防毁、防静电、电磁防护能力、温湿度控制能力、一定的 应急供配电能力。在系统物理安全方面,为保证系统整体 的正常运行,本级在第一级物理安全技术要求的基础上, 增加了设备备份、网络性能监测、设备运行状态监测、告 警监测的要求,系统应对易受到损坏的计算机和网络设备 应有一定的备份,对网络环境进行监测以具备网络、设备 告警的能力。
网络二级等保
网络二级等保1第二级基本要求1.1技术要求1.1.1物理安全1.1.1.1物理位置的选择(G2)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
1.1.1.2物理访问控制(G2)本项要求包括:a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
1.1.1.3防盗窃和防破坏(G2)本项要求包括:a) 应将主要设备放置在机房内;b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d) 应对介质分类标识,存储在介质库或档案室中;e) 主机房应安装必要的防盗报警设施。
1.1.1.4防雷击(G2)本项要求包括:a) 机房建筑应设置避雷装置;b) 机房应设置交流电源地线。
1.1.1.5防火(G2)机房应设置灭火设备和火灾自动报警系统。
1.1.1.6防水和防潮(G2)本项要求包括:a) 水管安装,不得穿过机房屋顶和活动地板下;b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
1.1.1.7防静电(G2)关键设备应采用必要的接地防静电措施。
1.1.1.8温湿度控制(G2)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.1.1.9电力供应(A2)本项要求包括:a) 应在机房供电线路上配置稳压器和过电压防护设备;b) 应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
1.1.1.10电磁防护(S2)电源线和通信线缆应隔离铺设,避免互相干扰。
1.1.2网络安全1.1.2.1结构安全(G2)本项要求包括:a) 应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;b) 应保证接入网络和核心网络的带宽满足业务高峰期需要;c) 应绘制与当前运行情况相符的网络拓扑结构图;d) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
国家信息安全等级保护制度第二级要求
国家信息安全等级保护制度第二级要求
国家信息安全等级保护制度第二级是一种中等安全保护级别,适用于含有国家秘密的信息系统和非国家秘密级别但需要较高安全级别的信息系统。
该级别的要求主要包括以下几个方面:
一、系统管理
1、制定健全的信息安全管理规定。
2、建立信息安全管理组织,明确职责和权限。
3、建立信息安全检测机制,定期检测系统漏洞和安全性。
4、制定应急预案,并定期演练。
5、规范用户权限管理,限制用户对系统的访问权限。
6、保证系统管理人员的经常性培训。
二、物理安全
1、采用防火、防盗、防水等物理防护措施,确保系统物理安全。
2、配备适当的备份设备,备份数据定期进行。
3、设备摆放合理,设备运行环境应满足标准要求。
4、对出入系统的人员身份进行身份验证,并记录相关信息。
三、网络安全
1、采用有效的网络安全控制设备和技术,如防火墙、VPN等。
2、加强对外网的防护,限制外网与系统的连接。
3、规范网络访问控制,限制访问权限。
4、建立监管机制,收集、分析网络安全日志。
5、使用加密技术保证信息在传输过程中的保密性。
四、应用安全
1、对系统业务进行分级,为不同级别的业务设置不同的安全保护措施。
2、对重要数据进行加密,确保其机密性。
4、加强软件管理和维护,及时打补丁、升级版本。
五、人员安全
1、对系统操作人员进行背景调查,并进行协议保密。
2、系统操作人员保证工作区不闲置,离开时必须上锁,不得随意携带介质。
3、加强系统操作人员的培训和教育,提高其安全意识。
安全等级保护2级与3级等保要求
安全等级保护2级与3级等保要求等级保护2级适用于国家关键信息基础设施和其他重要信息系统。
主要要求包括以下几个方面:1.物理安全要求:包括安全防护措施、防入侵系统、门禁系统、视频监控系统等,以确保物理环境的安全。
2.网络安全要求:包括网络边界安全、访问控制、漏洞管理、加密传输等,以确保网络的安全。
3.安全管理要求:包括安全策略制定、安全培训、事件管理、备份和恢复等,以确保信息系统的安全管理。
4.数据安全要求:包括数据分类、数据备份、数据恢复、数据加密等,以确保数据的保密性、完整性和可用性。
5.应用软件安全要求:包括软件开发规范、软件测试、漏洞修复等,以确保应用软件的安全性。
等级保护3级适用于重要信息系统。
在2级的基础上,增加了以下几个方面的要求:1.身份认证和访问控制:包括用户身份认证、访问授权、权限管理等,以确保用户访问的合法性和权限的正确性。
2.安全审计要求:包括安全审计日志、审计数据的收集和分析等,以便对系统的安全状态进行监控和审计。
3.物理安全要求:在2级的基础上,增加了安全防护设施的完善程度、视频监控的覆盖率等要求。
4.网络安全要求:在2级的基础上,增加了网络边界防火墙的配置要求、安全事件的监测和响应要求等。
5.应急演练要求:包括定期组织应急演练、应急预案的编制和修订等,以便在发生安全事件时能够迅速、有效地应对。
总而言之,等级保护2级和3级对信息系统的安全保护提出了更高的要求,涵盖了物理安全、网络安全、安全管理、数据安全、应用软件安全等多个方面。
通过合理的安全策略、安全技术和安全管理,能够确保信息系统的完整性、可用性和保密性,从而保护信息系统的安全。
信息系统安全等级保护(二级)基本要求
4 5 6
防 雷 击 (G2) 防火(G2) 防水和防潮 (G2)
7 8 9
10 11
12
13
14 15
16
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在 设备运行所允许的范围之内。 a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足关键设备在断电情况 下的正常运行要求。 电 磁 防 护 电源线和通信线缆应隔离铺设,避免互相干扰。 (S2) 网络安全 结 构 安 全 a) 应保证关键网络设备的业务处理能力具备冗余空间,满足业 (G2) 务高峰期需要; b) 应保证接入网络和核心网络的带宽满足业务高峰期需要; c) 应绘制与当前运行情况相符的网络拓扑结构图; d) 应根据各部门的工作职能、重要性和所涉及信息的重要程度 等因素,划分不同的子网或网段,并按照方便管理和控制的原 则为各子网、网段分配地址段。 访 问 控 制 a) 应在网络边界部署访问控制设备,启用访问控制功能; (G2) b) 应能根据会话状态信息为数据流提供明确的允许 / 拒绝访问 的能力,控制粒度为网段级。 c) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户 对受控系统进行资源访问,控制粒度为单个用户; d) 应限制具有拨号访问权限的用户数量。 安 全 审 计 a) 应对网络系统中的网络设备运行状况、网络流量、用户行为 (G2) 等进行日志记录; b) 审计记录应包括事件的日期和时间、用户、事件类型、事件 是否成功及其他与审计相关的信息。 边界完整性 应能够对内部网络中出现的内部用户未通过准许私自联到外部 检查(S2) 网络的行为进行检查。 入 侵 防 范 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木 (G2) 马后门攻击、拒绝服务攻击、缓冲区溢出攻击、 IP 碎片攻击和 网络蠕虫攻击等。 网络设备防 a) 应对登录网络设备的用户进行身份鉴别; 护(G2) b) 应对网络设备的管理员登录地址进行限制; c) 网络设备用户的标识应唯一; d) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要 求并定期更换; e) 应具有登录失败处理功能,可采取结束会话、限制非法登录 次数和当网络登录连接超时自动退出等措施; f) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信 息在网络传输过程中被窃听。
等保二级制度要求标准
等保二级制度要求标准
等保二级制度要求标准主要包括以下几个方面:
1. 物理安全:包括物理位置的选择、物理访问控制和防盗、防火、防水、防雷、温湿度控制、电力供应、防静电和电磁防护等。
2. 网络安全:包括结构安全、安全审计、访问控制、边界完整性检查、恶意代码防范、入侵防范和网络设备防护等。
3. 主机安全:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等。
4. 应用安全:包括身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等。
5. 数据安全:包括数据完整性和保密性、数据的备份和恢复。
6. 基本管理要求:通过等级保护工作发现单位信息系统存在的安全隐患和不足,进行安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险,维护单位良好的形象。
此外,二级等保测评标准是信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
如需更多详细信息,可以查看国家信息安全等级保护网发布的相关文件。
计算机信息系统等级保护二级基本要求
1 第二级基本要求1.1 技术要求1.1.1 物理安全1.1.1.1 物理位置的选择(G2)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
1.1.1.2 物理访问控制(G2)本项要求包括:a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
1.1.1.3 防盗窃和防破坏(G2)本项要求包括:a)应将主要设备放置在机房内;b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d)应对介质分类标识,存储在介质库或档案室中;e)主机房应安装必要的防盗报警设施。
1.1.1.4 防雷击(G2)本项要求包括:a)机房建筑应设置避雷装置;b)机房应设置交流电源地线。
1.1.1.5 防火(G2)机房应设置灭火设备和火灾自动报警系统。
1.1.1.6 防水和防潮(G2)本项要求包括:a)水管安装,不得穿过机房屋顶和活动地板下;b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
1.1.1.7 防静电(G2)关键设备应采用必要的接地防静电措施。
1.1.1.8 温湿度控制(G2)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.1.1.9 电力供应(A2)本项要求包括:a)应在机房供电线路上配置稳压器和过电压防护设备;b)应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
1.1.1.10 电磁防护(S2)电源线和通信线缆应隔离铺设,避免互相干扰。
1.1.2 网络安全1.1.2.1 结构安全(G2)本项要求包括:a)应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;b)应保证接入网络和核心网络的带宽满足业务高峰期需要;c)应绘制与当前运行情况相符的网络拓扑结构图;d)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
信息系统安全等级保护基本要求-二级
等保第二级要求:技术要求物理安全物理位置选择(G2)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
物理访问控制(G2)a.机房出入口应安排专人值守,控制、鉴别和记录进入的人员b.需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围防盗窃和防破坏a.应将主要设备放置在机房内b.应将设备或主要部件进行固定,并设置明显的不易除去的标记c.应将通信线缆铺设在隐藏处,可铺设在地下或管道中d.应对介质分类标识,存储在介质库或档案室中e.主机房应安装必要的防盗报警设施防雷击a.机房建筑应设置避雷装置b.机房应设置交流电源地线防火机房应设置灭火设置和火灾自动报警系统防水和防潮a.水管安装,不得穿过机房屋顶和活动地板下b.采取措施防止雨水通过机房窗户、屋顶和墙壁渗透c.采取措施防止机房内水蒸气结露和地下积水的转移与渗透防静电关键设备应采用必要的接地防静电措施温湿度控制机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内电力供应(A2)a.在机房供电线路上配置稳压器和过电压防护设备b.提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求电磁防护(S2)电源线和通信线缆应隔离铺设,避免互相干扰网络安全结构安全(G2)a.保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要b.保证接入网络和核心网络的带宽满足业务高峰期需要c.绘制与当前运行情况相符的网络拓扑结构图d.根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
访问控制a.在网络边界部署访问控制设备,启用访问控制功能b.根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。
c.应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户。
d.应限制具有拨号访问权限的用户数量安全审计a.对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录b.审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息边界完整性检查(S2)能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。
信息系统安全等级保护二级具体要求
信息系统安全等级保护二级具体要求第二级基本要求6.1 技术要求6.1.1 物理安全6.1.1.1 物理位置的选择(G2)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
6.1.1.2 物理访问控制(G2)本项要求包括:a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
6.1.1.3 防盗窃和防破坏(G2)本项要求包括:a) 应将主要设备放置在机房内;b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d) 应对介质分类标识,存储在介质库或档案室中;e) 主机房应安装必要的防盗报警设施。
GB/T 22239—200886.1.1.4 防雷击(G2)本项要求包括:a) 机房建筑应设置避雷装置;b) 机房应设置交流电源地线。
6.1.1.5 防火(G2)机房应设置灭火设备和火灾自动报警系统。
6.1.1.6 防水和防潮(G2)本项要求包括:a) 水管安装,不得穿过机房屋顶和活动地板下;b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
6.1.1.7 防静电(G2)关键设备应采用必要的接地防静电措施。
6.1.1.8 温湿度控制(G2)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
6.1.1.9 电力供应(A2)本项要求包括:a) 应在机房供电线路上配置稳压器和过电压防护设备;b) 应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
6.1.1.10 电磁防护(S2)电源线和通信线缆应隔离铺设,避免互相干扰。
6.1.2 网络安全6.1.2.1 结构安全(G2)a) 应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;b) 应保证接入网络和核心网络的带宽满足业务高峰期需要;c) 应绘制与当前运行情况相符的网络拓扑结构图;d) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
二级信息安全要求v_1.1.doc
8第2级基本要求8.1.技术要求8.1.1.物理安全8.1.1.1.物理位置的选择(G2)a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
8.1.1.2.物理访问控制(G2)a)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;b)应批准进入机房的来访人员,限制和监控其活动范围。
8.1.1.3.防盗窃和防破坏(G2)a)应将主要设备放置在物理受限的范围内;b)应对设备或主要部件进行固定,并设置明显的不易除去的标记;c)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;d)应对介质分类标识,存储在介质库或档案室中;e)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
8.1.1.4.防雷击(G2)a)机房建筑应设置避雷装置;b)应设置交流电源地线。
8.1.1.5.防火(G2)a)应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
8.1.1.6.防水和防潮(G2)a)水管安装,不得穿过屋顶和活动地板下;b)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;-25-c)应采取措施防止雨水通过屋顶和墙壁渗透;d)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
8.1.1.7.防静电(G2)a)应采用必要的接地防静电措施。
8.1.1.8.温湿度控制(G2)a)应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
8.1.1.9.电力供应(A2)a)计算机系统供电应与其他供电分开;b)应设置稳压器和过电压防护设备;c)应提供短期的备用电力供应(如:UPS设备)。
8.1.1.10.电磁防护(S2)a)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;b)电源线和通信线缆应隔离,避免互相干扰。
8.1.2.网络安全8.1.2.1.结构安全与网段划分(G2)a)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;b)应设计和绘制与当前运行情况相符的网络拓扑结构图;c)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽;d)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径;e)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;f)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
计算机信息系统等级保护二级基本要求内容
1 第二级基本要求1.1 技术要求1.1.1 物理安全1.1.1.1 物理位置的选择〔G2机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
1.1.1.2 物理访问控制〔G2本项要求包括:a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
1.1.1.3 防盗窃和防破坏〔G2本项要求包括:a)应将主要设备放置在机房内;b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d)应对介质分类标识,存储在介质库或档案室中;e)主机房应安装必要的防盗报警设施。
1.1.1.4 防雷击〔G2本项要求包括:a)机房建筑应设置避雷装置;b)机房应设置交流电源地线。
1.1.1.5 防火〔G2机房应设置灭火设备和火灾自动报警系统。
1.1.1.6 防水和防潮〔G2本项要求包括:a)水管安装,不得穿过机房屋顶和活动地板下;b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
1.1.1.7 防静电〔G2关键设备应采用必要的接地防静电措施。
1.1.1.8 温湿度控制〔G2机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.1.1.9 电力供应〔A2本项要求包括:a)应在机房供电线路上配置稳压器和过电压防护设备;b)应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
1.1.1.10 电磁防护〔S2电源线和通信线缆应隔离铺设,避免互相干扰。
1.1.2 网络安全1.1.2.1 结构安全〔G2本项要求包括:a)应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;b)应保证接入网络和核心网络的带宽满足业务高峰期需要;c)应绘制与当前运行情况相符的网络拓扑结构图;d)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
等保2.0二级要求
7第二级安全要求7.1安全通用要求7.1.1安全物理环境7.1.1.1物理位置选择本项要求包括:a)机房场地应选择在具有防震、防风和防雨等能力的建筑内;b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
7.1.1.2物理访问控制机房出入口应安排专人值守或配置电子门禁系统。
控制、鉴别和记录进人的人员。
7.1.1.3防盗窃和防破坏本项要求包括:a)应将设备或主要部件进行固定,并设置明显的不易擦除的标识;b)应将通信线缆铺设在隐藏安全处。
7.1.1.4防雷击应将各类机柜、设施和设备等通过接地系统安全接地。
7.1.1.5防火本项要求包括:a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
7.1.1.6防水和防潮本项要求包括:a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;b)应采取措施防止机房水蒸气结露和地下积水的转移与渗透。
7.1.1.7防静电应采用防静电地板或地面并采用必要的接地防静电措施。
7.1.1.8温湿度控制应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。
7.1.1.9电力供应本项要求包括:a)应在机房供电线路上配置稳压器和过电压防护设备;b)应提供短期的备用电力供应。
至少满足设备在断电情况下的正常运行要求。
7.1.1.10电磁防护电源线和通信线缆应隔离铺设,避免互相干扰。
7.1.2安全通信网络7.1.2.1网络架构本项要求包括:a)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;b)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
7.1.2.2 通信传输应采用校验技术保证通信过程中数据的完整性。
7.1.2.3可信验证可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证。
等保2.0二级要求
7第二级安全要求7.1安全通用要求7.1.1安全物理环境7.1.1.1物理位置选择本项要求包括:a)机房场地应选择在具有防震、防风和防雨等能力的建筑内;b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
7.1.1.2物理访问控制机房出入口应安排专人值守或配置电子门禁系统。
控制、鉴别和记录进人的人员。
7.1.1.3防盗窃和防破坏本项要求包括:a)应将设备或主要部件进行固定,并设置明显的不易擦除的标识;b)应将通信线缆铺设在隐藏安全处。
7.1.1.4防雷击应将各类机柜、设施和设备等通过接地系统安全接地。
7.1.1.5防火本项要求包括:a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
7.1.1.6防水和防潮本项要求包括:a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;b)应采取措施防止机房水蒸气结露和地下积水的转移与渗透。
7.1.1.7防静电应采用防静电地板或地面并采用必要的接地防静电措施。
7.1.1.8温湿度控制应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。
7.1.1.9电力供应本项要求包括:a)应在机房供电线路上配置稳压器和过电压防护设备;b)应提供短期的备用电力供应。
至少满足设备在断电情况下的正常运行要求。
7.1.1.10电磁防护电源线和通信线缆应隔离铺设,避免互相干扰。
7.1.2安全通信网络7.1.2.1网络架构本项要求包括:a)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;b)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
7.1.2.2 通信传输应采用校验技术保证通信过程中数据的完整性。
7.1.2.3可信验证可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统安全等级保护第二级要求技术要求物理安全物理位置选择(G2)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
物理访问控制(G2)a.机房出入口应安排专人值守,控制、鉴别和记录进入的人员b.需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围防盗窃和防破坏a.应将主要设备放置在机房内b.应将设备或主要部件进行固定,并设置明显的不易除去的标记c.应将通信线缆铺设在隐藏处,可铺设在地下或管道中d.应对介质分类标识,存储在介质库或档案室中e.主机房应安装必要的防盗报警设施防雷击a.机房建筑应设置避雷装置b.机房应设置交流电源地线防火机房应设置灭火设置和火灾自动报警系统防水和防潮a.水管安装,不得穿过机房屋顶和活动地板下b.采取措施防止雨水通过机房窗户、屋顶和墙壁渗透c.采取措施防止机房内水蒸气结露和地下积水的转移与渗透防静电关键设备应采用必要的接地防静电措施温湿度控制机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内电力供应(A2)a.在机房供电线路上配置稳压器和过电压防护设备b.提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求电磁防护(S2)电源线和通信线缆应隔离铺设,避免互相干扰网络安全结构安全(G2)a.保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要b.保证接入网络和核心网络的带宽满足业务高峰期需要c.绘制与当前运行情况相符的网络拓扑结构图d.根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
访问控制a.在网络边界部署访问控制设备,启用访问控制功能b.根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。
c.应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户。
d.应限制具有拨号访问权限的用户数量安全审计a.对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录b.审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息边界完整性检查(S2)能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。
入侵防范应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
网络设备防护a.对登录网络设备的用户进行身份鉴别b.对网络设备的管理员登录地址进行限制c.网络设备用户的标识应唯一d.身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换e.具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施f.当对网络设备进行远程管理时,采取必要措施防止鉴别信息在传输过程中被窃听主机安全身份鉴别(S2)a.对登录操作系统和数据库系统的用户进行身份标识和鉴别b.操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换c.应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施d.当对服务器进行远程管理时,采取必要措施,防止鉴别信息在传输过程中被窃听e.为操作系统和数据库系统的不同用户,分配不同用户名,确保用户名唯一性访问控制(S2)a.启用访问控制功能,依据安全策略控制用户对资源的访问b.应实现操作系统和数据库系统特权用户的权限分离c.限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令d.及时删除多余的、过期的账户,避免共享账户的存在安全审计(G2)a.审计范围应覆盖到服务器上每个操作系统用户和数据库用户b.审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件c.审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等d.应保护审计记录,避免受到未预期的删除、修改或覆盖等入侵防范操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,通过设置升级服务器等方式保持系统补丁及时得到更新。
恶意代码防范(G2)a.应安装防恶意代码软件,及时更新防恶意代码软件版本和恶意代码库b.支持防恶意代码软件的统一管理资源控制a.通过设定终端接入方式、网络地址范围等条件限制终端登录b.根据安全策略设置登录终端的操作超时锁定c.限制单个用户对系统资源的最大或最小使用限度应用安全身份鉴别(S2)a.提供专用的登录控制模块对登录用户进行身份标识和鉴别b.提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用c.应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施d.启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
访问控制(S2)a.提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问b.访问控制的覆盖范围包括与资源访问相关的主体、客体及它们间的操作c.应由授权主体配置访问控制策略,并严格限制默认账户的访问权限d.应授予不同账户为完成各自承担任务所需的最小权限,并在它们这间形成相互制约的关系安全审计(G2)a.提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计b.保证无法删除、修改或覆盖审计记录c.审讯记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等通信完整性(S2)应采用检验码技术保证通信过程中数据的完整性通信保密性(S2)a.通信双方建立连接前,应用系统先利用密码技术做会话初始化验证b.对通信过程中的敏感信息字段进行加密软件容错(A2)a.提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。
b.在故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措施资源控制(A2)a.当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话b.应能够对应用系统的最大并发会话连接数进行限制c.应能够对单个账户的多重并发会话进行限制数据安全及备份恢复数据完整性(S2)能检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏数据保密性(S2)应采用加密或其他保护措施实现鉴别信息的存储保密性备份和恢复(A2)a.能够对重要信息进行备份和恢复b.提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的可用性管理要求安全管理制度管理制度(G2)a.制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等。
b.对安全管理活动中重要的管理内容建立安全管理制度c.对安全管理人员或操作人员执行的重要管理操作建立操作规程制定和发布(G2)a.指定或授权专门的部门或人员负责安全管理制度的制定b.组织相关人员对制定的安全管理制度进行论证和审定c.应将安全管理制度以某种方式发布到相关人员手中评审和修订(G2)应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订安全管理机构岗位设置a.设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责b.应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。
人员配备(G2)a.应配备一定数量的系统管理员、网络管理员、安全管理员等b.安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。
授权和审批a.应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批b.应针对关键活动建立审批流程,并由批准人签字确认。
沟通和合作(G2)a.应加强各娄管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通b.应加强与兄弟单位、公安机关、电信公司的合作与沟通。
审核和检查(G2)安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
人员安全管理人员录用(G2)本项要求包括:a.应指定或授权专门的部门或人员负责人员录用b.应规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核c.应与从事关键岗位的人员签署保密协议。
人员离岗(G2)a.应规范人员离岗过程,及时终止离岗员工的所有访问权限b.应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备c.应办理严格的调离手续人员考核(G2)应定期对各个岗位的人员进行安全技能及安全认知的考核安全意识教育和培训(G2)a.对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训b.告知人员相关的安全责任和惩戒措施,对违反违背安全策略和规定的人员进行惩戒c.制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训外部人员访问管理(G2)确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案系统建设管理系统定级(G2)a.明确信息系统的边界和安全保护等级b.以书面的形式说明信息系统确定为某个安全保护等级的方法和理由c.确保信息系统的定级结果经过相关部门的批准安全方案设计(G2)a.根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施b.以书面形式描述对系统的安全保护要求、策略和措施等内容,形成系统的安全方案c.对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案d.组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施产品采购和使用(G2)a.确保安全产品采购和使用符合国家的有关规定b.应确保密码产品采购和使用符合国家密码主管部门的要求c.指定或授权专门的部门负责产品的采购自行软件开发a.开发环境与实际运行环境物理分开b.制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则c.确保提供软件设计的相关文档和使用指南,由专人负责保管外包软件开发(G2)a.指定或授权专门的部门或人员负责工程实施过程的管理b.制定详细的工程实施方案,控制工程实施过程测试验收a.对系统进行安全性测试验收b.测试验收前根据设计方案或合同要求等制订测试验收方案,在测试验收过程中详细记录测试验收结果,形成测试验收报告c.组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。
系统交付a.制定系统交付清单,根据交付清单对所交接的设备、软件和文档等进行清点b.对负责系统运行维护的技术人员进行相应的技能培训c.确保提供系统建议过程中的文档和指导用户进行系统运行维护的文档安全服务商选择a.确保安全服务商的选择符合国家的有关规定b.与选定的安全服务商签订与安全相关的协议,明确约定相关责任c.确保选定的安全服务商提供技术支持和服务承诺,必要的与其签订服务合同。