信息系统安全等级保护 四级 基本要求
等保2.0基本要求-各级对比
应保证跨越边界的访问和数据流 通过边界设备提供的受控接口进 行通信。
a) 应划分不同的网络区域,并按 照方便管理和控制的原则为各网 络区域分配地址;
a) 应保证网络设备的业务处理能力满 足业务高峰期需要; b) 应保证网络各个部分的带宽满足业 务高峰期需要;
b) 应删除多余或无效的访问控制规 则,优化访问控制列表,并保证访 问控制规则数量最小化;
b) 应删除多余或无效的访问控制规 则,优化访问控制列表,并保证访问 控制规则数量最小化;
b) 应删除多余或无效的访问控制规 则,优化访问控制列表,并保证访问 控制规则数量最小化;
c) 应对源地址、目的地址、源端 口、目的端口和协议等进行检 查,以允许/拒绝数据包进出。
7.1.1.10 电磁防护
8.1.1.10 电磁防护
d)应提供应急供电设施。 9.1.1.10 电磁防护
电源线和通信线缆应隔离铺设, 避免互相干扰。
a)电源线和通信线缆应隔离铺设,避 免互相干扰;
a)电源线和通信线缆应隔离铺设,避 免互相干扰;
b)应对关键设备实施电磁屏蔽。
b)应对关键设备或关键区实施电磁屏 蔽。
c)应划分不同的网络区域,并按照方 便管理和控制的原则为各网络区域分 配地址;
a) 应保证网络设备的业务处理能力满 足业务高峰期需要; b) 应保证网络各个部分的带宽满足业 务高峰期需要;
c)应划分不同的网络区域,并按照方 便管理和控制的原则为各网络区域分 配地址;
b) 应避免将重要网络区域部署在 边界处,重要网络区域与其他网 络区域之间应采取可靠的技术隔 离手段。
c) 应安装对水敏感的检测仪表或元 件,对机房进行防水检测和报警。
信息系统安全等级保护分为几级
信息系统安全等级保护分为几级信息系统安全等级保护分为四级,分别为一级、二级、三级和四级。
不同等级的保护标准和要求也各不相同。
一级信息系统安全等级保护是指对一般信息系统的安全保护等级要求。
这类信息系统主要用于非涉密信息的存储、处理和传输,一般不涉及国家秘密,但仍需保护系统的完整性、可用性和保密性。
一级信息系统安全等级保护的实施,需要采取一定的技术和管理措施,确保系统的基本安全。
二级信息系统安全等级保护是指对较为重要的信息系统的安全保护等级要求。
这类信息系统可能涉及一定程度的国家秘密,需要更加严格的安全保护措施。
在二级信息系统安全等级保护中,除了要求满足一级的保护标准外,还需要加强对系统的访问控制、数据加密、安全审计等方面的保护措施。
三级信息系统安全等级保护是指对涉密信息系统的安全保护等级要求。
这类信息系统涉及国家秘密,对系统的安全保护要求非常高。
在三级信息系统安全等级保护中,需要采取更加严格的控制措施,包括身份认证、访问控制、数据加密、安全审计、物理环境保护等方面的措施,以确保系统的安全可靠。
四级信息系统安全等级保护是指对绝密信息系统的安全保护等级要求。
这类信息系统涉及国家绝密信息,对系统的安全保护要求极其严格。
在四级信息系统安全等级保护中,需要采取最高级别的安全保护措施,包括严格的身份认证、严密的访问控制、高强度的数据加密、严格的安全审计、严密的物理环境保护等方面的措施,以确保系统的安全性和可靠性。
总之,信息系统安全等级保护分为一级、二级、三级和四级,每个等级都有其特定的安全保护要求。
不同等级的信息系统需要采取相应的安全保护措施,以确保系统的安全可靠。
在实际的信息系统建设和运行中,必须严格按照相应等级的安全保护要求来进行设计、实施和管理,以保障信息系统的安全性和稳定性。
信息安全等级保护制度
信息安全等级保护制度概述信息安全等级保护制度(简称“等保制度”)是中国政府在信息安全领域的重要措施之一,目的在于建立一套科学、合理、可有效执行的信息安全保护制度,减少信息安全风险并维护国家信息安全。
等保制度的核心是建立信息安全等级评估机制和信息安全等级保护措施。
等保等级等保制度是按照“等级+分类”的方式执行的,也就是将不同的信息系统分为不同的安全等级,给出相应的等保等级控制要求和技术要求。
根据国家标准《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2008),等保等级分为4个级别,从高到低分别是:一级、二级、三级、四级。
其中一级要求最高,四级要求最低。
不同等保等级的信息系统,需要采取不同的安全保护措施。
等保评估信息安全等级评估是指对信息系统的安全性进行全面评估,确定其实际受到的攻击威胁以及存在的安全风险,从而确定系统的等保等级。
等保评估是等保制度的核心环节,也是等保保护措施的依据。
等保评估分为两种类型:自我评估和第三方评估。
自我评估适用于等保一级、二级信息系统,第三方评估适用于等保三级、四级信息系统。
等保保护根据等保评估结果,完成等保系统以后需要进行等保保护工作。
等保保护工作包括物理安全措施、技术安全措施、管理安全措施三个方面。
其中物理安全措施主要是对硬件设备的保护,如安装门禁、监控等;技术安全措施是对软件设备的保护,如防火墙、入侵检测等;管理安全措施是对人员进行管理,如实施权限控制、制定密码规则等。
等保保护需要全面、周密地组织实施,保障对信息系统的全面保护,确保系统安全稳定可靠。
信息安全等级保护的意义等保制度是一项非常重要的信息安全保护措施,有着广泛的应用价值。
它的重要意义表现在以下几个方面:内部保护等保制度为企业和组织内部的信息系统提供了全面的信息安全保护,确保了系统的稳定性和可靠性。
企业和组织可以根据等保等级要求对信息系统进行详细的评估,制定相应的保护措施,从而避免或者最大程度上减少信息安全事件的发生。
电力行业信息系统安全等级保护基本要求
电力行业信息系统安全等级保护基本要求随着信息技术在电力行业中的广泛应用,电力行业信息系统安全问题日益凸显。
为了保护电力行业的信息安全,提高电力行业信息系统的安全等级,国家制定了电力行业信息系统安全等级保护基本要求。
以下是这些基本要求的详细介绍。
一、基本要求的概述基本要求包括安全等级划分、安全技术要求、安全管理要求、监督检查要求等方面内容。
二、安全等级划分根据不同的保护需求,将电力行业信息系统分为五个等级,从低到高分别是一级、二级、三级、四级、五级。
三、安全技术要求安全技术要求包括电力行业信息系统安全的要求和控制措施。
控制措施包括访问控制、身份认证、数据加密、安全传输、安全审计等方面。
四、安全管理要求安全管理要求包括组织管理、安全策略和规程、人员安全管理、物理环境管理等方面。
组织管理主要涉及电力行业信息系统安全的组织机构、职责划分和人员配备。
安全策略和规程要求制定合理的安全策略和规程,明确安全责任、权限和流程。
人员安全管理要求对操作人员进行安全培训,确保人员的安全意识和安全素质。
物理环境管理要求对信息系统的机房、终端设备等进行有效的保护和管理。
五、监督检查要求监督检查要求包括自查、定期检查、不定期检查等方面。
自查是指电力企事业单位定期对信息系统进行自我评估,发现问题及时改进。
定期检查是指国家相关部门定期对电力行业信息系统进行检查,评估其安全状况。
不定期检查是指国家相关部门根据需要对电力行业信息系统进行突击检查。
六、其它要求此外,电力行业信息系统安全等级保护基本要求还包括突发事件处置、安全漏洞管理、信息共享和协作等方面的要求。
突发事件处置要求电力行业信息系统建立应急响应机制,及时处置信息安全事件。
安全漏洞管理要求建立漏洞监测和修复机制,及时修补系统中的漏洞。
信息共享和协作要求电力行业加强与相关部门的信息共享和协作,形成多方合作、共同防范的态势。
总之,电力行业信息系统安全等级保护基本要求对电力行业的信息系统进行了全面规范和保护,为电力行业信息安全提供了重要的技术和管理支持,有效保障了电力行业信息系统的安全等级。
4-信息安全技术 信息系统安全等级保护基本要求
ICS35.040L80中 华 人 民 共 和 国 国 家 标 准GB/T 22239—2008信息安全技术信息系统安全等级保护基本要求Information security technology —Baseline for classified protection of information system2008-06-19 发布中 华人 民 共 和 国 国 家 质 量 监 督 检 验 检 疫 总 局 中 国 国 家 标 准 化 管 理 委 员会 2008-11-01实施 发 布GB/T 22239—2008目次前言 (III)引言 (IV)信息系统安全等级保护基本要求 (1)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1 (1)4 信息系统安全等级保护概述 (1)4.1 信息系统安全保护等级 (1)4.2 不同等级的安全保护能力 (1)4.3 基本技术要求和基本管理要求 (2)4.4 基本技术要求的三种类型 (2)5 第一级基本要求 (2)5.1 技术要求 (2)5.1.1 物理安全 (2)5.1.2 网络安全 (3)5.1.3 主机安全 (3)5.1.4 应用安全 (4)5.1.5 数据安全及备份恢复 (4)5.2 管理要求 (4)5.2.1 安全管理制度 (4)5.2.2 安全管理机构 (4)5.2.3 人员安全管理 (5)5.2.4 系统建设管理 (5)5.2.5 系统运维管理 (6)6 第二级基本要求 (7)6.1 技术要求 (7)6.1.1 物理安全 (7)6.1.2 网络安全 (8)6.1.3 主机安全 (9)6.1.4 应用安全 (10)6.1.5 数据安全及备份恢复 (11)6.2 管理要求 (11)6.2.1 安全管理制度 (11)6.2.2 安全管理机构 (11)6.2.3 人员安全管理 (12)6.2.4 系统建设管理 (12)6.2.5 系统运维管理 (14)7 第三级基本要求 (16)7.1 技术要求 (16)7.1.1 物理安全 (16)7.1.2 网络安全 (17)IGB/T 22239—20087.1.3 主机安全 (19)7.1.4 应用安全 (20)7.1.5 数据安全及备份恢复 (22)7.2 管理要求 (22)7.2.1 安全管理制度 (22)7.2.2 安全管理机构 (23)7.2.3 人员安全管理 (24)7.2.4 系统建设管理 (25)7.2.5 系统运维管理 (27)8 第四级基本要求 (30)8.1 技术要求 (30)8.1.1 物理安全 (30)8.1.2 网络安全 (32)8.1.3 主机安全 (33)8.1.4 应用安全 (35)8.1.5 数据安全及备份恢复 (37)8.2 管理要求 (37)8.2.1 安全管理制度 (37)8.2.2 安全管理机构 (38)8.2.3 人员安全管理 (39)8.2.4 系统建设管理 (40)8.2.5 系统运维管理 (42)9 第五级基本要求 (46)附录A (47)关于信息系统整体安全保护能力的要求 (47)附录B (49)基本安全要求的选择和使用 (49)参考文献 (51)IIGB/T 22239—2008 前言(略)IIIGB/T 22239—2008引言依据国家信息安全等级保护管理规定制定本标准。
信息安全等级保护标准
信息安全等级保护标准信息安全等级保护标准(GB/T 22239-2008)是由中国国家标准化管理委员会发布的一项国家标准,旨在规范和指导各类信息系统的安全保护工作,保障国家重要信息基础设施的安全运行。
本标准适用于涉密信息系统、非涉密信息系统和非密级信息系统,是信息安全管理工作的重要依据。
一、信息安全等级划分。
根据GB/T 22239-2008标准,信息系统的安全等级划分包括四个等级,分别为一级、二级、三级和四级。
不同等级的信息系统对安全性的要求也不同,一级安全等级要求最严格,四级安全等级要求最低。
在具体的信息系统建设和运行中,应根据系统所处的环境和对信息安全的需求,确定相应的安全等级,并按照该等级的保护要求进行设计和实施。
二、信息安全等级保护的基本要求。
1. 安全保护目标明确,根据信息系统所处的环境和对信息安全的需求,明确安全保护的目标和要求,确保安全保护工作有的放矢。
2. 安全保护措施合理有效,采取符合实际情况的安全保护措施,包括技术措施、管理措施和物理措施,合理配置安全资源,确保安全保护措施的有效性。
3. 安全保护责任明确,明确信息系统安全保护的责任主体和责任范围,建立健全的安全管理机制,确保安全保护工作的有效实施。
4. 安全保护监督检查,建立健全的安全监督检查机制,对信息系统的安全保护工作进行定期检查和评估,及时发现和解决安全隐患。
5. 应急响应能力,建立健全的信息安全事件应急响应机制,对可能发生的安全事件进行预案设计和应急演练,提高信息系统的抗风险能力。
三、信息安全等级保护标准的意义。
信息安全等级保护标准的制定和实施,对于保障国家重要信息基础设施的安全运行,维护国家安全和社会稳定具有重要意义。
同时,对于促进信息技术的发展和应用,提高信息系统的安全性和可信度,也具有积极的推动作用。
在当前信息化的大背景下,信息系统的安全性问题日益突出,各类网络攻击、信息泄露事件层出不穷。
因此,加强信息安全等级保护工作,严格按照GB/T 22239-2008标准的要求,对信息系统进行科学合理的安全保护,已成为当务之急。
信息系统安全等级保护基本要求
信息系统安全等级保护基本要求1. 引言信息系统在当今社会中扮演着重要的角色,人们依赖着信息系统来进行各种各样的工作、交流和娱乐活动。
随着信息系统的发展和普及,系统的安全性也变得越来越重要。
为了确保信息系统的安全性,信息系统安全等级保护基本要求被制定出来,以指导开发人员、系统管理员和用户对信息系统进行安全保护。
2. 安全等级分类根据信息系统的安全需求和对安全性的要求,信息系统可以分为不同的安全等级。
通常情况下,信息系统可以被分为以下几个等级:2.1. 一级安全等级一级安全等级是指最低等级的信息系统,一般用于非重要的信息处理和存储。
对于一级安全等级的信息系统,主要的安全要求包括防止未经授权的访问、防止信息泄露和防止数据意外损坏或丢失等。
2.2. 二级安全等级二级安全等级是指次低等级的信息系统,通常用于一般的商业和行政应用。
对于二级安全等级的信息系统,除了满足一级安全等级的要求外,还需要提供更强大的安全性保护,例如安全审计、用户身份认证和访问控制等。
2.3. 三级安全等级三级安全等级是指中等等级的信息系统,通常用于对机密信息进行处理和存储。
对于三级安全等级的信息系统,除了满足一级和二级安全等级的要求外,还需要提供加密通信和数据完整性验证等更高级别的安全保护。
2.4. 四级安全等级四级安全等级是指最高等级的信息系统,通常用于对绝密信息进行处理和存储。
对于四级安全等级的信息系统,除了满足前面三个等级的要求外,还需要提供更严格的访问控制、密钥管理和身份认证等安全保护。
3. 信息系统安全等级保护基本要求为了对不同等级的信息系统进行安全保护,以下是信息系统安全等级保护的基本要求:3.1. 风险评估在开发或部署信息系统时,应对系统进行全面的风险评估,确定系统可能面临的安全威胁和风险,并采取相应的措施来降低风险。
3.2. 访问控制对于所有等级的信息系统,都应实施严格的访问控制措施,确保只有经授权的用户可以访问系统和数据,并且用户访问的权限应该与其职责和需要相符合。
信息安全技术—网络安全等级保护基本要求
2019年实施的中国国家标准
01 制定过程
03 内容范围 05 意义价值
目录
02 标准目次 04 引用文件
《信息安全技术—网络安全等级保护基本要求》(GB/T 22239-2019)是2019年12月1日实施的一项中国国 家标准,归口于全国信息安全标准化技术委员会。
标准目次
参考资料:
ቤተ መጻሕፍቲ ባይዱ
内容范围
《信息安全技术—网络安全等级保护基本要求》(GB/T 22239-2019)规定了第一级到第四级等级保护对象 的安全保护的基本要求,每个级别的基本要求均由安全通用要求和安全扩展要求构成。
安全要求细分为技术要求和管理要求。其中技术要求部分为“安全物理环境”、“安全通信网络”、“安全 区域边界”、“安全计算环境”、“安全管理中心”;管理要求部分为“安全管理制度”、“安全管理机构”、 “安全管理人员”、“安全建设管理”、“安全运维管理”,两者合计共分为10大类。
《信息安全技术—网络安全等级保护基本要求》(GB/T 22239-2019)规定了网络安全等级保护的第一级到 第四级等级保护对象的安全通用要求和安全扩展要求。该标准适用于指导分等级的非涉密对象的安全建设和监督 管理。
制定过程
1
修订背景
2
编制进程
3
修订依据
4
修订情况
5
起草工作
《信息安全技术—信息系统安全等级保护基本要求》(GB/T22239-2008)在中国推行信息安全等级保护制度 的过程中起到了非常重要的作用,被广泛应用于各个行业或领域指导用户开展信息系统安全等级保护的建设整改、 等级测评等工作。但是随着信息技术的发展,采用新技术、新应用构建的云计算平台、移动互联接入、物联网、 工业控制系统和大数据应用等系统的大量出现,已有10年历史的这三项标准在时效性、易用性、可操作性上需要 进一步修订完善。同时,2017年6月1日,《网络安全法》正式实施,进一步明确了网络安全等级保护制度的法律 地位,网络安全等级保护对象、保护措施要求、范围等都发生了很大的变化,需要修订原来的标准,以适应网络 安全等级保护制度要求。
等级保护2.0基本要求四级通用要求
1安全物理环境1.1物理位置选择本项要求包括:a)机房场地应选择在具有防震、防风和防雨等能力的建筑内;b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
1.2物理访问控制本项要求包括:a)机房出入口应配置电子门禁系统,控制、鉴别和记录进人的人员;b)重要区域应配置第二道电子门禁系统,控制、鉴别和记录进入的人员。
1.3防盗窃和防破坏本项要求包括:a)应将设备或主要部件进行固定,并设置明显的不易除去的标识;b)应将通信线缆铺设在隐蔽安全处;c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。
1.4防雷击本项要求包括:a)应将各类机柜、设施和设备等通过接地系统安全接地;b)应采取揩施防止感应雷,例如设置防雷保安器或过压保护装置等。
1.5防火本项要求包括:a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;c)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。
1.6防水和防潮本项要求包括:a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;b)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;c)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
1.7防静电本项要求包括:a)应采用防静电地板或地面并采用必要的接地防静电措施;b)应采取措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等。
1.8温湿度控制应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。
1.9电力供应本项要求包括:a)应在机房供电线路上配置稳压器和过电压防护设备;b)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求;c)应设置冗余或并行的电力电缆线路为计算机系统供电:d)应提供应急供电设施。
1.10电磁防护本项要求包括:a)电源线和通信线缆应隔离铺设,避免互相干扰;b)应对关键设备或关键区域实施电磁屏蔽。
gbt22239-2019信息安全技术网络安全等级保护基本要求
gbt22239-2019信息安全技术网络安全等级保护基本要求
GB/T 22239-2019 《信息安全技术网络安全等级保护基本要求》是我国网络安全领域的重要标准之一,以下是相关参考内容:
1. 安全保护等级的划分:将信息系统按照其安全要求和保护需求划分为5个等级,分别是一级、二级、三级、四级和五级。
2. 安全保护等级的指标和要求:对于各个等级的信息系统,分别列出了安全保护的具体指标和要求,包括技术指标和管理指标等。
3. 安全保护措施的具体要求:该标准要求在备份恢复、密码安全、网络隔离、防病毒等方面采取特定的安全保护措施,确保信息系统的安全性。
4. 安全评估和测试:要求进行系统安全评估和测试,确保系统达到相应的安全保护等级要求,并对存在的安全漏洞进行修复。
5. 安全保护措施的监管和管理:要求建立相应的安全管理制度和规范,加强安全培训和宣传,严格监管管理机构和从业人员。
6. 安全保护等级认证和评估:该标准规定了安全保护等级的认证和评估程序,确保信息系统安全保护达到相应等级的要求。
信息系统安全等级保护基本要求
信息系统安全等级保护基本要求信息系统安全等级保护是指根据国家有关法律法规和标准规范,对信息系统进行等级划分,并按照不同等级的保护要求,采取相应的技术、管理和物理措施,确保信息系统的安全性、可靠性和稳定性。
信息系统安全等级保护基本要求是确保信息系统安全的基础,对于各类单位和组织来说都具有重要意义。
首先,信息系统安全等级保护基本要求包括对信息系统进行等级划分。
根据国家标准和相关规定,信息系统按照其所涉及的信息重要性、系统功能、系统规模和系统对外联络等因素,划分为不同的安全等级,一般包括四个等级,即一级、二级、三级和四级。
不同等级的信息系统,其安全保护要求和措施也各不相同。
其次,信息系统安全等级保护基本要求还包括对信息系统安全保护的基本原则。
信息系统安全保护的基本原则包括全面性原则、合理性原则、有效性原则和持续性原则。
全面性原则是指信息系统安全保护措施必须覆盖信息系统的各个方面,包括技术、管理和物理层面;合理性原则是指信息系统安全保护措施必须符合实际情况和实际需求,不能盲目追求安全而忽视系统的正常运作;有效性原则是指信息系统安全保护措施必须能够有效地防范和抵御各类安全威胁和风险;持续性原则是指信息系统安全保护是一个持续的过程,必须不断地进行安全监测、评估和改进。
另外,信息系统安全等级保护基本要求还包括对信息系统安全保护的基本措施。
信息系统安全保护的基本措施包括技术措施、管理措施和物理措施。
技术措施是指利用各种安全技术手段,保护信息系统的安全,包括加密技术、防火墙技术、入侵检测技术等;管理措施是指建立健全的安全管理制度和安全管理机构,加强对信息系统安全的管理和监督;物理措施是指采取各种物理手段,保护信息系统的物理环境安全,包括机房防护、门禁系统、视频监控等。
最后,信息系统安全等级保护基本要求还包括对信息系统安全保护的持续改进。
信息系统安全保护是一个动态的过程,随着信息技术的发展和安全威胁的变化,安全保护措施也需要不断地改进和完善。
信息系统安全等级保护基本要求
信息系统安全等级保护基本要求Basic Requirements for Classified Security Protection of Information System(试用稿)公安部二〇〇五年十二月目录1适用范围 (1)2规范性引用文件 (1)3术语和定义 (1)3.1.安全威胁 SECURITY THREAT (2)3.2.安全目标 SECURITY OBJECTIVE (2)3.3.安全保护能力 SECURITY PROTECTIVE ABILITY (2)4标记说明 (2)5基本概念 (3)5.1.信息系统概述 (3)5.2.信息系统的五个安全等级 (4)5.3.不同安全等级的安全保护能力 (5)5.4.技术要求和管理要求 (6)5.5.技术要求的三种类型 (8)5.6.基本要求的选择 (8)6安全目标 (10)6.1.第1级安全目标 (10)6.1.1. 技术目标 (10)6.1.2. 管理目标 (11)6.2.第2级安全目标 (13)6.2.2. 管理目标 (15)6.3.第3级安全目标 (17)6.3.1. 技术目标 (17)6.3.2. 管理目标 (20)6.4.第4级安全目标 (22)6.4.1. 技术目标 (22)6.4.2. 管理目标 (26)7第1级基本要求 (28)7.1.技术要求 (28)7.1.1. 物理安全 (28)7.1.2. 网络安全 (29)7.1.3. 主机系统安全 (30)7.1.4. 应用安全 (31)7.1.5. 数据安全 (32)7.2.管理要求 (32)7.2.1. 安全管理机构 (32)7.2.2. 安全管理制度 (33)7.2.3. 人员安全管理 (33)7.2.4. 系统建设管理 (34)7.2.5. 系统运维管理 (36)8第2级基本要求 (38)8.1.1. 物理安全 (39)8.1.2. 网络安全 (40)8.1.3. 主机系统安全 (43)8.1.4. 应用安全 (45)8.1.5. 数据安全 (47)8.2.管理要求 (48)8.2.1. 安全管理机构 (48)8.2.2. 安全管理制度 (49)8.2.3. 人员安全管理 (50)8.2.4. 系统建设管理 (51)8.2.5. 系统运维管理 (54)9第3级基本要求 (59)9.1.技术要求 (60)9.1.1. 物理安全 (60)9.1.2. 网络安全 (62)9.1.3. 主机系统安全 (66)9.1.4. 应用安全 (70)9.1.5. 数据安全 (74)9.2.管理要求 (75)9.2.1. 安全管理机构 (75)9.2.2. 安全管理制度 (77)9.2.3. 人员安全管理 (79)9.2.4. 系统建设管理 (80)9.2.5. 系统运维管理 (85)10第4级基本要求 (94)10.1.技术要求 (94)10.1.1. 物理安全 (94)10.1.2. 网络安全 (97)10.1.3. 主机系统安全 (101)10.1.4. 应用安全 (105)10.1.5. 数据安全 (110)10.2.管理要求 (111)10.2.1. 安全管理机构 (112)10.2.2. 安全管理制度 (114)10.2.3. 人员安全管理 (115)10.2.4. 系统建设管理 (117)10.2.5. 系统运维管理 (122)11第5级基本要求 (133)A参考文献 (134)B 威胁描述 (136)B1.第1级对抗威胁 (136)B2.第2级对抗威胁 (137)B3.第3级对抗威胁 (139)B4.第4级对抗威胁 (142)C 安全威胁与安全目标的关系 (147)C1.一级 (147)C2.二级 (150)C3.三级 (155)C4.四级 (162)D 安全目标与基本要求的关系 (169)D1.一级 (169)D2.二级 (175)D3.三级 (186)D4.四级 (200)E 基本要求与安全目标的关系 (215)E1.一级 (215)E2.二级 (220)E3.三级 (226)E4.四级 (234)1适用范围本文件规定了信息系统安全等级保护的基本要求,包括基本技术要求和基本管理要求,适用于不同安全保护等级的信息系统的安全保护。
信息安全等级保护基本要求
信息安全技术信息系统安全等级保护基本要求 Information Security Technology-Basic Requirements for ClassifiedSecurity Protection of Information System(试用稿_修订版V1.1)目 录目 录 (I)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 标记说明 (1)5 基本概念 (2)5.1. 信息系统概述 (2)5.2. 信息系统的五个安全等级 (3)5.3. 不同安全等级的安全保护能力 (3)5.4. 技术要求和管理要求 (4)5.5. 技术要求的三种类型 (5)5.6. 基本要求的选择 (5)6 安全目标 (6)6.1. 第1级安全目标 (6)6.1.1. 技术目标 (6)6.1.2. 管理目标 (7)6.2. 第2级安全目标 (8)6.2.1. 技术目标 (8)6.2.2. 管理目标 (9)6.3. 第3级安全目标 (11)6.3.1. 技术目标 (11)6.3.2. 管理目标 (13)6.4. 第4级安全目标 (14)6.4.1. 技术目标 (14)6.4.2. 管理目标 (17)7 第1级基本要求 (18)7.1. 技术要求 (18)7.1.1. 物理安全 (18)7.1.2. 网络安全 (19)7.1.3. 主机系统安全 (19)7.1.4. 应用安全 (20)7.1.5. 数据安全 (20)7.2. 管理要求 (20)7.2.1. 安全管理机构 (21)7.2.2. 安全管理制度 (21)7.2.3. 人员安全管理 (21)7.2.4. 系统建设管理 (22)7.2.5. 系统运维管理 (23)8.1. 技术要求 (25)8.1.1. 物理安全 (25)8.1.2. 网络安全 (26)8.1.3. 主机系统安全 (27)8.1.4. 应用安全 (29)8.1.5. 数据安全 (30)8.2. 管理要求 (31)8.2.1. 安全管理机构 (31)8.2.2. 安全管理制度 (32)8.2.3. 人员安全管理 (32)8.2.4. 系统建设管理 (33)8.2.5. 系统运维管理 (35)9 第3级基本要求 (38)9.1. 技术要求 (38)9.1.1. 物理安全 (38)9.1.2. 网络安全 (40)9.1.3. 主机系统安全 (42)9.1.4. 应用安全 (44)9.1.5. 数据安全 (46)9.2. 管理要求 (47)9.2.1. 安全管理机构 (47)9.2.2. 安全管理制度 (49)9.2.3. 人员安全管理 (49)9.2.4. 系统建设管理 (50)9.2.5. 系统运维管理 (53)10 第4级基本要求 (58)10.1. 技术要求 (58)10.1.1. 物理安全 (59)10.1.2. 网络安全 (60)10.1.3. 主机系统安全 (62)10.1.4. 应用安全 (65)10.1.5. 数据安全 (68)10.2. 管理要求 (69)10.2.1. 安全管理机构 (69)10.2.2. 安全管理制度 (70)10.2.3. 人员安全管理 (71)10.2.4. 系统建设管理 (72)10.2.5. 系统运维管理 (75)11 第5级基本要求 (81)附录A 威胁描述 (82)A2.第2级对抗威胁 (82)A3.第3级对抗威胁 (84)A4.第4级对抗威胁 (86)附录B安全威胁与安全目标的关系 (89)B1.一级 (89)B2.二级 (90)B3.三级 (92)B4.四级 (94)附录C 安全目标与基本要求的关系 (98)C1.一级 (98)C2.二级 (100)C3.三级 (104)C4.四级 (110)附录D 基本要求与安全目标的关系 (117)D1.一级 (117)D2.二级 (119)D3.三级 (122)D4.四级 (125)参考文献 (129)信息安全技术信息系统安全等级保护基本要求1范围本文件规定了信息系统安全等级保护的基本要求,包括基本技术要求和基本管理要求,适用于不同安全等级的信息系统的安全保护。
等保四级建设方案
等保四级建设方案在信息化时代,网络安全的重要性不言而喻。
为了保护国家和个人的网络安全,中国国家互联网信息办公室于2018年发布了《等保四级建设方案》,旨在提高网络安全防护能力并规范信息系统的建设与运行。
本文将简要介绍等保四级建设方案的重要性和基本内容。
首先,等保四级建设方案的重要性无法忽视。
随着黑客技术的不断发展,网络攻击的频率和威力也在逐年增长。
国家和企事业单位的网络安全问题已经成为国家发展和社会稳定的重要因素。
遵循等保四级建设方案,能够有效提升网络安全的防护能力,保障国家信息安全以及个人隐私的保护。
其次,等保四级建设方案主要包括系统安全保护、数据安全保护、应用系统安全保护和基础设施安全保护四个方面。
在系统安全保护方面,要求国家和企事业单位建立网络安全管理制度,完善用户身份认证机制和权限管理体系,加强系统安全监控和应急演练。
在数据安全保护方面,要求加强数据加密和备份,确保数据传输和存储的安全性。
在应用系统安全保护方面,要求建立漏洞扫描和修复机制,加强应用程序的开发和检测。
在基础设施安全保护方面,要求确保服务器、网络设备和存储设备的安全和可靠性。
同时,等保四级建设方案还强调了网络安全管理的重要性。
尤其是建立健全的网络安全管理体系,包括网络安全等级保护责任制、网络安全检测预警机制、网络安全事件应急处理机制等。
这些管理措施的实施,将有助于提高网络安全的整体水平和响应能力。
此外,等保四级建设方案还提出了网络安全风险评估和等级保护的要求。
通过科学、客观的风险评估,有助于识别和评估网络安全风险。
同时,等级保护的实施,能够根据系统的安全等级要求,制定有针对性的安全保护措施,从而提高网络安全的防护能力。
总之,等保四级建设方案的发布,为国家和企事业单位的网络安全提供了有力的指导和规范。
遵循该方案,能够有效提升网络安全的防护能力,保护国家信息安全和个人隐私。
然而,网络安全问题依然严峻,需要各个相关方的共同努力来保护网络安全。
信息系统安全等级保护实施指南
信息系统安全等级保护实施指南信息系统安全等级保护是指按照国家有关规定,为了保护信息系统的安全性,对信息系统进行等级划分,并采取相应的安全保护措施。
信息系统安全等级保护实施指南旨在指导信息系统的管理者和运维人员,全面了解信息系统安全等级保护的相关要求,合理规划和实施安全措施,确保信息系统的安全可靠运行。
一、信息系统安全等级划分。
根据《信息安全等级保护管理办法》,信息系统安全等级划分分为五个等级,分别为一级、二级、三级、四级、五级,其中五级为最高等级。
不同等级的信息系统需要采取不同的安全保护措施,确保系统的安全性。
二、信息系统安全等级保护的基本要求。
1. 信息系统安全保护责任,信息系统的管理者应当明确安全保护的责任,建立健全的安全管理机制,明确各级管理人员和相关人员的安全保护职责。
2. 安全保护措施,根据信息系统的安全等级划分,采取相应的安全保护措施,包括物理安全、网络安全、数据安全、应用安全等方面的措施。
3. 安全管理制度,建立健全信息系统安全管理制度,包括安全策略、安全规章制度、安全管理流程等,确保安全管理的规范性和有效性。
4. 安全技术保障措施,采用先进的安全技术手段,包括防火墙、入侵检测系统、安全审计系统等,提高信息系统的安全性能。
5. 安全保护培训,对信息系统管理者和相关人员进行安全保护培训,提高其安全意识和应急处置能力。
三、信息系统安全等级保护的实施指南。
1. 制定安全保护方案,根据信息系统的安全等级划分,制定相应的安全保护方案,明确安全保护的目标和措施。
2. 安全保护技术选型,选择符合信息系统安全等级保护要求的安全技术产品,包括防火墙、入侵检测系统、安全审计系统等。
3. 安全保护措施实施,按照安全保护方案,逐步实施安全保护措施,包括物理安全、网络安全、数据安全、应用安全等方面的措施。
4. 安全管理流程优化,优化信息系统安全管理流程,确保安全管理的规范性和有效性,及时发现和处置安全事件。
信息安全技术信息系统安全等级保护基本要求
信息安全技术信息系统安全等级保护基本要求信息系统安全等级保护是指根据信息系统的重要性和敏感程度,对信息系统进行分级保护,以保障信息系统的安全运行和信息的保密性、完整性、可用性。
信息系统安全等级保护的基本要求是确保信息系统在不同等级保护下的安全性,有效防范各类安全威胁和风险,保障信息系统的正常运行和信息的安全。
首先,信息系统安全等级保护要求对信息系统进行等级划分。
根据信息系统的重要性和敏感程度,将信息系统划分为不同的安全等级,确定相应的安全保护措施和技术要求。
不同等级的信息系统应有相应的安全保护措施,确保系统的安全性符合相应的等级要求。
其次,信息系统安全等级保护要求建立健全的安全管理制度。
建立健全的信息安全管理制度,包括安全责任制、安全管理制度、安全培训制度等,明确各级管理人员和操作人员的安全责任和权限,加强对信息系统安全管理的监督和检查,确保安全管理制度的有效执行。
另外,信息系统安全等级保护要求加强对信息系统的安全防护。
采取有效的安全防护措施,包括网络安全防护、主机安全防护、数据安全防护等,确保信息系统在面对各种安全威胁时能够有效防范和抵御,保障信息系统的安全运行。
再者,信息系统安全等级保护要求建立完善的安全监控和应急响应机制。
建立安全事件监控和应急响应机制,对信息系统的安全事件进行实时监控和分析,及时发现和处置安全事件,减少安全事件对信息系统的影响,保障信息系统的安全性和稳定性。
最后,信息系统安全等级保护要求加强安全保密工作。
加强对信息系统的安全保密工作,包括信息的加密传输和存储、访问控制、身份认证等,确保信息系统中的重要信息不被泄露和篡改,保障信息的保密性和完整性。
综上所述,信息系统安全等级保护的基本要求是对信息系统进行等级划分,建立健全的安全管理制度,加强安全防护,建立完善的安全监控和应急响应机制,加强安全保密工作。
只有全面满足这些基本要求,才能有效保障信息系统的安全性和稳定性,确保信息的保密性、完整性和可用性。
GBT22239-2019信息安全技术网络安全等级保护各等级基本要求
c)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
c)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
7.1.1.7
防静电
8.1.1.7
防静电
9.1.1.7
防静电
应采用防静电地板或地面并采用必要的接地防静电措施。
a)应采用防静电地板或地面并采用必要的接地防静电措施;
a)电源线和通信线缆应隔离铺设,避免互相干扰;
a)电源线和通信线缆应隔离铺设,避免互相干扰;
b)应对关键设备实施电磁屏蔽。
b)应对关键设备或关键区实施电磁屏蔽。
b)应将通信线缆铺设在隐蔽安全处;
b)应将通信线缆铺设在隐蔽安全处;
c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。
c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。
6.1.1.3
防雷击
7.1.1.4
防雷击
8.1.1.4
防雷击
9.1.1.4
防雷击
应将各类机柜、设施和设备等通过接地系统安全接地。
b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
c)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。
c)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。
6.1.1.5
防水和防潮
7.1.1.6
防水和防潮
8.1.1.6
应在机房供电线路上配置稳压器和过电压防护设备。
a)应在机房供电线路上配置稳压器和过电压防护设备。
a)应在机房供电线路上配置稳压器和过电压防护设备;
信息系统安全等级保护 四级 基本要求
起者信息、类型、描述和结果等;
d) 应提供对审计记录数据进行统计、查询、分析及生
成审计报表的功能;
e) 应根据系统统一安全策略,提供集中审计接口。
32
剩 余 信 息 保 护 a) 应保证用户的鉴别信息所在的存储空间被释放或再
(S4)
分配给其他用户前得到完全清除,无论这些信息是存
放在硬盘上还是在内存中;
覆盖等;
g) 应能够根据信息系统的统一安全策略,实现集中审
23
剩 余 信 息 保 护 a) 应保证操作系统和数据库系统用户的鉴别信息所在
(S4)
的存储空间,被释放或再分配给其他用户前得到完全
清除,无论这些信息是存放在硬盘上还是在内存中;
b) 应确保系统内的文件、目录和数据库记录等资源所
在的存储空间,被释放或重新分配给其他用户前得到
f) 应为操作系统和数据库系统的不同用户分配不同的
用户名,确保用户名具有唯一性;
g) 应采用两种或两种以上组合的鉴别技术对管理用户
进行身份鉴别,并且身份鉴别信息至少有一种是不可
伪造的。
19
安全标记(S4) 应对所有主体和客体设置敏感标记;
20
访问控制(S4) a) 应依据安全策略和所有主体和客体设置的敏感标记
制终端登录;
b) 应根据安全策略设置登录终端的操作超时锁定;
c) 应对重要服务器进行监视,包括监视服务器的CPU
、硬盘、内存、网络等资源的使用情况;
d) 应限制单个用户对系统资源的最大或最小使用限
度;
e) 应能够对系统的服务水平降低到预先规定的最小值
27
应用安全 身份鉴别(S4) a) 应提供专用的登录控制模块对登录用户进行身份标
信息系统安全等级保护标准
信息系统安全等级保护标准摘要本文档旨在规范信息系统安全等级保护标准,保障国家和人民的信息安全。
针对不同等级的信息系统,分别制定不同的安全保护措施,确保信息系统的机密性、完整性和可用性。
其中,等级分为一级至五级,等级越高,安全保护要求越严格。
一、适用范围本标准适用于所有政府机关、企事业单位和其他组织的信息系统。
二、等级划分1. 一级信息系统一级信息系统为对国家利益、国防安全和人民生命财产安全具有重大影响的信息系统。
应采取最为严格的安全措施,保护信息系统的绝密性、完整性和可用性。
2. 二级信息系统二级信息系统为对国家和社会安全有较大影响的信息系统。
应采取较为严格的安全措施,保护信息系统的核心数据和基本系统功能。
3. 三级信息系统三级信息系统为对国家和社会安全有一定影响的信息系统。
应采取一定的安全措施,保护信息系统的关键数据和基本系统功能。
4. 四级信息系统四级信息系统为对国家和社会安全有一般影响的信息系统。
应采取基本的安全措施,保护信息系统的基本数据和基本系统功能。
5. 五级信息系统五级信息系统为对国家和社会安全影响较小的信息系统。
可以采取相对较为简单的安全措施,保护信息系统的日常运行安全。
三、安全保护要求1. 一级信息系统- 安全措施包括但不限于:物理安全、网络安全、系统安全、应用安全、数据安全等。
- 所有安全措施均需通过安全评估认证。
- 系统维护、升级和漏洞修复需由专业人员进行。
2. 二级信息系统- 安全措施包括但不限于:物理安全、网络安全、系统安全、应用安全、数据安全等。
- 所有关键数据需进行加密存储和传输。
- 在外网和移动设备上的信息访问需进行二次认证。
3. 三级信息系统- 安全措施包括但不限于:物理安全、网络安全、系统安全、应用安全、数据安全等。
- 所有关键数据需进行加密存储和传输。
- 在外网和移动设备上的信息访问需进行二次认证。
4. 四级信息系统- 安全措施包括但不限于:物理安全、网络安全、系统安全、应用安全、数据安全等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
起者信息、类型、描述和结果等;
d) 应提供对审计记录数据进行统计、查询、分析及生
成审计报表的功能;
e) 应根据系统统一安全策略,提供集中审计接口。
32
剩 余 信 息 保 护 a) 应保证用户的鉴别信息所在的存储空间被释放或再
(S4)
分配给其他用户前得到完全清除,无论这些信息是存
放在硬盘上还是在内存中;
e) 应根据各部门的工作职能、重要性和所涉及信息的
重要程度等因素,划分不同的子网或网段,并按照方
便管理和控制的原则为各子网、网段分配地址段;
f) 应避免将重要网段部署在网络边界处且直接连接外
部信息系统,重要网段与其他网段之间采取可靠的技
术隔离手段;
g) 应按照对业务服务的重要次序来指定带宽分配优先
级别,保证在网络发生拥堵的时候优先保护重要主机
制终端登录;
b) 应根据安全策略设置登录终端的操作超时锁定;
c) 应对重要服务器进行监视,包括监视服务器的CPU
、硬盘、内存、网络等资源的使用情况;
d) 应限制单个用户对系统资源的最大或最小使用限
度;
e) 应能够对系统的服务水平降低到预先规定的最小值
27
应用安全 身份鉴别(S4) a) 应提供专用的登录控制模块对登录用户进行身份标
识和鉴别;
b) 应对同一用户采用两种或两种以上组合的鉴别技术
实现用户身份鉴别,其中一种是不可伪造的;
c) 应提供用户身份标识唯一和鉴别信息复杂度检查功
能,保证应用系统中不存在重复用户身份标识,身份
鉴别信息不易被冒用;
d) 应提供登录失败处理功能,可采取结束会话、限制
非法登录次数和自动退出等措施;
e) 应启用身份鉴别、用户身份标识唯一性检查、用户
f) 应及时删除多余的、过期的帐户,避免共享帐户的
21
可信路径(S4) a) 在系统对用户进行身份鉴别时,系统与用户之间应
能够建立一条安全的信息传输路径。
b) 在用户对系统进行访问时,系统与用户之间应能够
建立一条安全的信息传输路径。
22
安全审计(G4) a) 审计范围应覆盖到服务器和重要客户端上的每个操
(G4)
b) 应将设备或主要部件进行固定,并设置明显的不易
除去的标记;
c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道
中;
d) 应对介质分类标识,存储在介质库或档案室中;
e) 应利用光、电等技术设置机房防盗报警系统;
4
防雷击(G4)
a) 机房建筑应设置避雷装置;
b) 应设置防雷保安器,防止感应雷;
完全清除。
24
入侵防范(G4) a) 应能够检测到对重要服务器进行入侵的行为,能够
记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,来自在发生严重入侵事件时提供报警;
b) 应能够对重要程序的完整性进行检测,并在检测到
完整性受到破坏后具有恢复的措施;
c) 操作系统应遵循最小安装的原则,仅安装需要的组
控制主体对客体的访问;
b) 访问控制的粒度应达到主体为用户级或进程级,客
体为文件、数据库表、记录和字段级。
c) 应根据管理用户的角色分配权限,实现管理用户的
权限分离,仅授予管理用户所需的最小权限;
d) 应实现操作系统和数据库系统特权用户的权限分
离;
e) 应严格限制默认帐户的访问权限,重命名系统默认
帐户,修改这些帐户的默认口令;
变化在设备运行所允许的范围之内。
9
电力供应(A4) a) 应在机房供电线路上配置稳压器和过电压防护设
备;
b) 应提供短期的备用电力供应,至少满足设备在断电
情况下的正常运行要求;
c) 应设置冗余或并行的电力电缆线路为计算机系统供
10
电磁防护(S4) a) 应采用接地方式防止外界电磁干扰和设备寄生耦合
干扰;
b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗
透;
c) 应采取措施防止机房内水蒸气结露和地下积水的转
移与渗透;
d) 应安装对水敏感的检测仪表或元件,对机房进行防
7
防静电(G4)
a) 设备应采用必要的接地防静电措施;
b) 机房应采用防静电地板;
c) 应采用静电消除器等装置,减少静电的产生。
8
温湿度控制(G4) 机房应设置温湿度自动调节设施,使机房温、湿度的
力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出
攻击、IP碎片攻击和网络蠕虫攻击等;
b) 当检测到攻击行为时,应记录攻击源IP、攻击类型
、攻击目的、攻击时间,在发生严重入侵事件时应提
供报警及自动采取相应动作。
16
恶 意 代 码 防 范 a) 应在网络边界处对恶意代码进行检测和清除;
(G4)
b) 应维护恶意代码库的升级和检测系统的更新。
12
访问控制(G4) a) 应在网络边界部署访问控制设备,启用访问控制功
能;
b) 应不允许数据带通用协议通过;
c) 应根据数据的敏感标记允许或拒绝数据通过;
13
安全审计(G4) a) 应对网络系统中的网络设备运行状况、网络流量、
用户行为等进行日志记录;
b) 审计记录应包括:事件的日期和时间、用户、事件
识和鉴别;
b) 操作系统和数据库系统管理用户身份标识应具有不
易被冒用的特点,口令应有复杂度要求并定期更换;
c) 应启用登录失败处理功能,可采取结束会话、限制
非法登录次数和自动退出等措施;
d) 应设置鉴别警示信息,描述未授权访问可能导致的
后果;
e) 当对服务器进行远程管理时,应采取必要措施,防
止鉴别信息在网络传输过程中被窃听;
身份鉴别信息复杂度检查以及登录失败处理功能,并
根据安全策略配置相关参数。
28
安全标记(S4) 应提供为主体和客体设置安全标记的功能并在安装后
启用;
29
访问控制(S4) a) 应提供自主访问控制功能,依据安全策略控制用户
对文件、数据库表等客体的访问;
b) 自主访问控制的覆盖范围应包括与信息安全直接相
件和应用程序,并通过设置升级服务器等方式保持系
统补丁及时得到更新。
25
恶 意 代 码 防 范 a) 应安装防恶意代码软件,并及时更新防恶意代码软
(G4)
件版本和恶意代码库;
b) 主机防恶意代码产品应具有与网络防恶意代码产品
不同的恶意代码库;
c) 应支持防恶意代码的统一管理。
26
资源控制(A4) a) 应通过设定终端接入方式、网络地址范围等条件限
覆盖等;
g) 应能够根据信息系统的统一安全策略,实现集中审
23
剩 余 信 息 保 护 a) 应保证操作系统和数据库系统用户的鉴别信息所在
(S4)
的存储空间,被释放或再分配给其他用户前得到完全
清除,无论这些信息是存放在硬盘上还是在内存中;
b) 应确保系统内的文件、目录和数据库记录等资源所
在的存储空间,被释放或重新分配给其他用户前得到
17
网 络 设 备 防 护 a) 应对登录网络设备的用户进行身份鉴别;
(G4)
b) 应对网络设备的管理员登录地址进行限制;
c) 网络设备用户的标识应唯一;
d) 主要网络设备应对同一用户选择两种或两种以上组
合的鉴别技术来进行身份鉴别;
e) 身份鉴别信息应具有不易被冒用的特点,口令应有
复杂度要求并定期更换;
b) 应保证系统内的文件、目录和数据库记录等资源所
在的存储空间被释放或重新分配给其他用户前得到完
33
通信完整性(S4) 应采用密码技术保证通信过程中数据的完整性。
34
通信保密性(S4) a) 在通信双方建立连接之前,应用系统应利用密码技
术进行会话初始化验证;
b) 应对通信过程中的整个报文或会话过程进行加密;
信息系统安全等级保护(四级)基本要求
序号 要求类别 要求项目
子项描述
备注
1 技术要求 物理安全 物 理 位 置 的 选 择 a) 机房和办公场地应选择在具有防震、防风和防雨等
(G4)
能力的建筑内;
b) 机房场地应避免设在建筑物的高层或地下室,以及
用水设备的下层或隔壁。
2
物 理 访 问 控 制 a) 机房出入口应安排专人值守并配置电子门禁系统,
b) 电源线和通信线缆应隔离铺设,避免互相干扰;
c) 应对关键区域实施电磁屏蔽。
11
网络安全 结构安全(G4) a) 应保证网络设备的业务处理能力具备冗余空间,满
足业务高峰期需要;
b) 应保证网络各个部分的带宽满足业务高峰期需要;
c) 应在业务终端与业务服务器之间进行路由控制建立
安全的访问路径;
d) 应绘制与当前运行情况相符的网络拓扑结构图;
类型、事件是否成功及其他与审计相关的信息;
c) 应能够根据记录数据进行分析,并生成审计报表;
d) 应对审计记录进行保护,避免受到未预期的删除、
修改或覆盖等;
e) 应定义审计跟踪极限的阈值,当存储空间接近极限
时,能采取必要的措施,当存储空间被耗尽时,终止
可审计事件的发生;
f) 应根据信息系统的统一安全策略,实现集中审计,
c) 机房应设置交流电源地线。
5
防火(G4)
a) 机房应设置火灾自动消防系统,能够自动检测火情
、自动报警,并自动灭火;
b) 机房及相关的工作房间和辅助房应采用具有耐火等
级的建筑材料;
c) 机房应采取区域隔离防火措施,将重要设备与其他
设备隔离开。
6
防水和防潮(G4) a) 水管安装,不得穿过机房屋顶和活动地板下;
时钟保持与时钟服务器同步。