电力行业信息系统安全等级保护基本要求(二级)
信息系统安全等级保护二级具体要求
信息系统安全等级保护二级具体要求第二级基本要求6.1 技术要求6.1.1 物理安全6.1.1.1 物理位置的选择(G2)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
6.1.1.2 物理访问控制(G2)本项要求包括:a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
6.1.1.3 防盗窃和防破坏(G2)本项要求包括:a) 应将主要设备放置在机房内;b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d) 应对介质分类标识,存储在介质库或档案室中;e) 主机房应安装必要的防盗报警设施。
GB/T 22239—200886.1.1.4 防雷击(G2)本项要求包括:a) 机房建筑应设置避雷装置;b) 机房应设置交流电源地线。
6.1.1.5 防火(G2)机房应设置灭火设备和火灾自动报警系统。
6.1.1.6 防水和防潮(G2)本项要求包括:a) 水管安装,不得穿过机房屋顶和活动地板下;b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
6.1.1.7 防静电(G2)关键设备应采用必要的接地防静电措施。
6.1.1.8 温湿度控制(G2)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
6.1.1.9 电力供应(A2)本项要求包括:a) 应在机房供电线路上配置稳压器和过电压防护设备;b) 应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
6.1.1.10 电磁防护(S2)电源线和通信线缆应隔离铺设,避免互相干扰。
6.1.2 网络安全6.1.2.1 结构安全(G2)a) 应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;b) 应保证接入网络和核心网络的带宽满足业务高峰期需要;c) 应绘制与当前运行情况相符的网络拓扑结构图;d) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
信息安全系统等级保护(二级)
信息安全等级保护(二级)备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。
一、物理安全1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录4、主要设备或设备的主要部件上应设置明显的不易除去的标记5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录15、应具有冗余或并行的电力电缆线路(如双路供电方式)16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录二、安全管理制度1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程2、应具有安全管理制度的制定程序:3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。
电力行业信息系统安全等级保护基本要求
电力行业信息系统安全等级保护基本要求随着信息技术在电力行业中的广泛应用,电力行业信息系统安全问题日益凸显。
为了保护电力行业的信息安全,提高电力行业信息系统的安全等级,国家制定了电力行业信息系统安全等级保护基本要求。
以下是这些基本要求的详细介绍。
一、基本要求的概述基本要求包括安全等级划分、安全技术要求、安全管理要求、监督检查要求等方面内容。
二、安全等级划分根据不同的保护需求,将电力行业信息系统分为五个等级,从低到高分别是一级、二级、三级、四级、五级。
三、安全技术要求安全技术要求包括电力行业信息系统安全的要求和控制措施。
控制措施包括访问控制、身份认证、数据加密、安全传输、安全审计等方面。
四、安全管理要求安全管理要求包括组织管理、安全策略和规程、人员安全管理、物理环境管理等方面。
组织管理主要涉及电力行业信息系统安全的组织机构、职责划分和人员配备。
安全策略和规程要求制定合理的安全策略和规程,明确安全责任、权限和流程。
人员安全管理要求对操作人员进行安全培训,确保人员的安全意识和安全素质。
物理环境管理要求对信息系统的机房、终端设备等进行有效的保护和管理。
五、监督检查要求监督检查要求包括自查、定期检查、不定期检查等方面。
自查是指电力企事业单位定期对信息系统进行自我评估,发现问题及时改进。
定期检查是指国家相关部门定期对电力行业信息系统进行检查,评估其安全状况。
不定期检查是指国家相关部门根据需要对电力行业信息系统进行突击检查。
六、其它要求此外,电力行业信息系统安全等级保护基本要求还包括突发事件处置、安全漏洞管理、信息共享和协作等方面的要求。
突发事件处置要求电力行业信息系统建立应急响应机制,及时处置信息安全事件。
安全漏洞管理要求建立漏洞监测和修复机制,及时修补系统中的漏洞。
信息共享和协作要求电力行业加强与相关部门的信息共享和协作,形成多方合作、共同防范的态势。
总之,电力行业信息系统安全等级保护基本要求对电力行业的信息系统进行了全面规范和保护,为电力行业信息安全提供了重要的技术和管理支持,有效保障了电力行业信息系统的安全等级。
二级系统安全等级保护基本要求及测评要求内容
二级系统安全等级保护基本要求及测评要求内容二级系统安全等级保护是我国国家保密局对信息系统进行安全等级评定的一项标准。
其目的是为了保护重要信息系统,确保信息在传输、存储和处理过程中不被泄露、被篡改和被破坏。
以下是二级系统安全等级保护的基本要求及测评要求内容。
一、基本要求:1.规范安全建设:对于进行二级系统安全等级保护的单位,需要建立健全安全管理机构,并确保安全管理制度得以有效贯彻。
同时,要明确安全管理职责,进行安全备案和安全审计,建立完善的安全控制策略和技术措施。
2.安全培训和意识教育:对系统安全等级保护的相关人员进行合理、全面、持续的安全培训和意识教育,提高其安全意识和技能水平,确保其能够有效地识别和应对安全风险。
3.安全防护措施:要建立有效的安全防护措施,包括网络安全防护、入侵检测与防御、数据加密和存储等方面。
此外,还要对系统进行定期的漏洞扫描和安全演练,找出系统存在的安全风险并进行及时修复。
4.安全审计:进行定期的安全审计,对系统进行安全评估和漏洞扫描,挖掘和解决可能存在的安全问题,保障系统的安全性能。
5.应急处理:建立完善的安全应急处理机制,及时响应和处理安全事件,采取有效的措施进行事故处置和恢复,最大限度减少损失,并追究相关责任。
二、测评要求内容:1.安全策略:对系统的安全策略进行评估,包括安全性目标的设定、安全策略的制定和实施效果的评估。
2.身份认证和访问控制:评估系统的用户身份认证和访问控制机制,检查是否存在弱密码、默认口令等安全漏洞。
3.系统配置管理:评估系统配置的合规性,包括操作系统、数据库、网络设备和应用系统的配置管理,确保系统的配置符合安全要求。
4.网络安全防护:评估系统的网络安全防护措施,包括入侵检测与防御、防火墙、反病毒等网络安全设备的配置和使用情况。
5.数据保护与备份:评估系统对重要数据的保护措施,包括数据加密、数据备份和数据恢复措施的合规性和有效性。
6.安全审计与日志管理:评估系统的安全审计机制和日志管理情况,包括日志收集、存储和分析等方面,确保系统安全事件的追溯性和可靠性。
电力行业信息系统安全等级保护基本要求(二级)
电力行业信息系统安全等级保护基本要求目录1 第二级基本要求 (1)1.1技术要求 (1)1.1.1物理安全 (1)1.1.1.1物理位置的选择(G2) (1)1.1.1.2物理访问控制(G2) (1)1.1.1.3防盗窃和防破坏(G2) (1)1.1.1.4防雷击(G2) (1)1.1.1.5防火(G2) (2)1.1.1.6防水和防潮(G2) (2)1.1.1.7防静电(G2) (2)1.1.1.8温湿度控制(G2) (2)1.1.1.9电力供应(A2) (2)1.1.1.10电磁防护(S2) (2)1.1.2网络安全 (3)1.1.2.1结构安全(G2) (3)1.1.2.2访问控制(G2) (3)1.1.2.3安全审计(G2) (3)1.1.2.4边界完整性检查(S2) (4)1.1.2.5入侵防范(G2) (4)1.1.2.6网络设备防护(G2) (4)1.1.3主机安全 (5)1.1.3.1身份鉴别(S2) (5)1.1.3.2访问控制(S2) (5)1.1.3.3安全审计(G2) (5)1.1.3.4入侵防范(G2) (6)1.1.3.5恶意代码防范(G2) (6)1.1.3.6资源控制(A2) (6)1.1.4应用安全 (6)1.1.4.1身份鉴别(S2) (6)1.1.4.2访问控制(S2) (7)1.1.4.3安全审计(G2) (7)1.1.4.4通信完整性(S2) (7)1.1.4.5通信保密性(S2) (8)1.1.4.6软件容错(A2) (8)1.1.4.7资源控制(A2) (8)1.1.5数据安全 (8)1.1.5.1数据完整性(S2) (8)1.1.5.2数据保密性(S2) (8)1.1.5.3备份和恢复(A2) (9)1.2管理要求 (9)1.2.1安全管理制度 (9)1.2.1.1管理制度(G2) (9)1.2.1.2制定和发布(G2) (9)1.2.1.3评审和修订(G2) (10)1.2.2安全管理机构 (10)1.2.2.1岗位设置(G2) (10)1.2.2.2人员配备(G2) (10)1.2.2.3资金保障(G2) (10)1.2.2.4授权和审批(G2) (10)1.2.2.5沟通和合作(G2) (11)1.2.2.6审核和检查(G2) (11)1.2.3人员安全管理 (11)1.2.3.1人员录用(G2) (11)1.2.3.2人员离岗(G2) (11)1.2.3.3人员考核(G2) (12)1.2.3.4安全意识教育和培训(G2) (12)1.2.3.5外部人员访问管理(G2) (12)1.2.4系统建设管理 (12)1.2.4.1系统定级(G2) (12)1.2.4.2安全方案设计(G2) (13)1.2.4.3产品采购和使用(G2) (13)1.2.4.4自行软件开发(G2) (13)1.2.4.5外包软件开发(G2) (13)1.2.4.6工程实施(G2) (14)1.2.4.7测试验收(G2) (14)1.2.4.8系统交付(G2) (14)1.2.4.9安全服务商选择(G2) (14)1.2.5系统运维管理 (15)1.2.5.1环境管理(G2) (15)1.2.5.2资产管理(G2) (15)1.2.5.3介质管理(G2) (15)1.2.5.4设备管理(G2) (16)1.2.5.5网络安全管理(G2) (16)1.2.5.6系统安全管理(G2) (16)1.2.5.7恶意代码防范管理(G2) (17)1.2.5.8密码管理(G2) (17)1.2.5.9变更管理(G2) (17)1.2.5.10备份与恢复管理(G2) (18)1.2.5.11安全事件处置(G2) (18)1.2.5.12应急预案管理(G2) (18)1 第二级基本要求1.1技术要求1.1.1物理安全1.1.1.1物理位置的选择(G2)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
等保二级制度要求标准
等保二级制度要求标准
等保二级制度要求标准主要包括以下几个方面:
1. 物理安全:包括物理位置的选择、物理访问控制和防盗、防火、防水、防雷、温湿度控制、电力供应、防静电和电磁防护等。
2. 网络安全:包括结构安全、安全审计、访问控制、边界完整性检查、恶意代码防范、入侵防范和网络设备防护等。
3. 主机安全:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等。
4. 应用安全:包括身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等。
5. 数据安全:包括数据完整性和保密性、数据的备份和恢复。
6. 基本管理要求:通过等级保护工作发现单位信息系统存在的安全隐患和不足,进行安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险,维护单位良好的形象。
此外,二级等保测评标准是信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
如需更多详细信息,可以查看国家信息安全等级保护网发布的相关文件。
电力行业信息系统安全等级保护基本要求修订稿
电力行业信息系统安全等级保护基本要求 WEIHUA system office room 【WEIHUA 16H-WEIHUA WEIHUA8Q8-ICSDL电力行业信息系统安全等级保护基本要求Baseline for classified protection of power industry information system(征求意见稿)电力行业网络与信息安全领导小组办公室目次前言 (V)引言 (VI)第一部分通用要求 (1)1适用范围 (1)2规范性参考文件 (1)3术语和定义 (1)4信息系统安全等级保护概述 (1)信息系统安全保护等级 (1)不同等级的安全保护能力 (1)总体要求、基本技术要求和基本管理要求 (2)基本技术要求的三种类型 (2)第二部分:管理信息系统类要求 (4)5 总体要求 (4)总体技术要求 (4)总体管理要求 (4)6第一级基本要求 (5)技术要求 (5)物理安全 (5)网络安全 (5)主机安全 (6)应用安全 (6)数据安全及备份恢复 (7)管理要求 (7)安全管理制度 (7)安全管理机构 (7)人员安全管理 (7)系统建设管理 (8)系统运维管理 (9)7第二级基本要求 (10)技术要求 (10)物理安全 (10)网络安全 (11)主机安全 (13)应用安全 (14)数据安全 (15)管理要求 (15)安全管理制度 (15)安全管理机构 (16)人员安全管理 (16)系统建设管理 (17)系统运维管理 (19)8第三级基本要求 (21)技术要求 (22)物理安全 (22)网络安全 (23)主机安全 (25)应用安全 (27)数据安全 (29)管理要求 (29)安全管理制度 (29)安全管理机构 (30)人员安全管理 (31)系统建设管理 (32)系统运维管理 (35)第三部分:生产控制信息系统类要求 (40)9 总体要求 (40)总体技术要求 (40)总体管理要求 (40)10第一级基本要求 (41)技术要求 (41)物理安全 (41)网络安全 (41)主机安全 (42)应用安全 (42)数据安全及备份恢复 (42)管理要求 (42)安全管理制度 (42)安全管理机构 (43)人员安全管理 (43)系统建设管理 (44)系统运维管理 (45)11第二级基本要求 (46)技术要求 (46)物理安全 (46)网络安全 (47)主机安全 (48)应用安全 (49)数据安全 (50)管理要求 (51)安全管理制度 (51)安全管理机构 (51)人员安全管理 (52)系统建设管理 (52)系统运维管理 (54)12第三级基本要求 (56)技术要求 (56)物理安全 (56)网络安全 (58)主机安全 (60)应用安全 (61)数据安全 (63)管理要求 (63)安全管理制度 (63)安全管理机构 (64)人员安全管理 (65)系统建设管理 (66)系统运维管理 (68)13第四级基本要求 (71)技术要求 (71)物理安全 (72)网络安全 (73)主机安全 (75)应用安全 (76)数据安全 (78)管理要求 (78)安全管理制度 (78)安全管理机构 (79)人员安全管理 (80)系统建设管理 (81)系统运维管理 (84)附录A 关于信息系统整体安全保护能力的要求 (88)附录B 基本安全要求的选择和使用 (90)参考文献 (92)前言本标准的附录A和附录B是规范性附录。
系统安全等保(二级)基本要求
目录1物理安全 (4)1.1机房建设 (4)1.1.1物理位置的选择 (4)1.1.2防盗窃和防破坏 (4)1.1.3防水和防潮 (4)1.2门禁管理 (4)1.2.1物理访问控制 (4)1.3防雷系统 (4)1.3.1防雷击 (4)1.4消防系统 (5)1.4.1防火 (5)1.5静电地板 (5)1.5.1防静电 (5)1.6机房动力环境监控系统 (5)1.6.1温湿度控制 (5)1.7UPS (5)1.7.1电力供应 (5)1.8防电磁排插、防电磁机柜 (5)1.8.1电磁防护 (5)2网络安全 (6)2.1双机冗余 (6)2.1.1结构安全与网段划分 (6)2.2防火墙 (6)2.2.1网络访问控制 (6)2.3防毒墙 (6)2.3.1恶意代码防范 (6)2.4IDS入侵检测 (6)2.4.1边界完整性检查 (6)2.5IPS入侵防御 (7)2.5.1网络入侵防范 (7)2.6VPN (7)2.6.1拨号访问控制 (7)2.7维护堡垒机 (7)2.7.1网络设备防护 (7)2.8上网行为管理 (7)2.8.1网络安全审计 (7)3系统安全 (8)3.1数据库审计系统 (8)3.1.1安全审计 (8)3.2数据存储备份 (8)3.2.1系统保护 (8)3.3.1身份鉴别 (8)3.3.2剩余信息保护 (8)3.3.3资源控制 (8)3.4防火墙 (9)3.4.1访问控制 (9)3.5防毒墙、杀毒软件 (9)3.5.1恶意代码防范 (9)4应用安全 (9)4.1日志审计系统 (9)4.1.1安全审计 (9)4.2VPN (9)4.2.1身份鉴别 (9)4.2.2剩余信息保护 (10)4.2.3资源控制 (10)4.2.4通信完整性 (10)4.2.5通信保密性 (10)4.2.6软件容错 (10)4.3防火墙 (10)4.3.1访问控制 (10)4.3.2代码安全 (11)5数据安全 (11)5.1数据存储备份 (11)5.1.1数据备份和恢复 (11)5.2防火墙 (11)5.2.1数据完整性 (11)5.3堡垒机 (11)5.3.1数据保密性 (11)6系统建设管理 (12)6.1安全方案设计 (12)6.2产品采购和使用 (12)6.3自行软件开发 (12)6.4外包软件开发 (12)6.5工程实施 (12)6.6测试验收 (13)6.7系统交付 (13)6.8安全服务商选择 (13)7系统运维管理 (13)7.1环境管理 (13)7.2资产管理 (13)7.3介质管理 (14)7.4设备管理 (14)7.5恶意代码防范管理 (14)7.6密码管理 (14)7.8安全事件处置 (14)7.9应急预案管理 (15)1物理安全1.1机房建设1.1.1物理位置的选择1.机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
《信息系统安全等级保护基本要求》二级、三级等级保护-物理安全要求比较
防盗窃和防破坏(G)
1)应将主要设备放置在机房内;
2)应将设备或主要部件进行固定,并设置明显的不易除去的标记;
3)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中等;
4)应对介质分类标识,存储在介质库或档案室中;
5)主机房应安装必要的防盗报警设施。
3)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
防水和防潮(G)
1)水管安装,不得穿过屋顶和活动地板下;
2)应采取措施防止雨水通过窗户、屋顶和墙壁渗透;
3)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
1)水管安装,不得穿过屋顶和活动地板下;
2)应采取措施防止雨水通过窗户、屋顶和墙壁渗透;
物理访问控制(G)
1)机房出入口应安排专人值守、控制、鉴别和记录进入的人员;
2)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
1)机房出入口应安排专人值守、控制、鉴别和记录进入的人员;
2)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
3)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过度区域;
防雷击(G)
1)机房建筑应设置避雷装置;
2)机房应设置交流电源地线。
1)机房建筑应设置避雷装置;
2)应设置防雷保安器,防止感应雷;
3)机房应设置交流电源地线。
防火(G)
1)机房应设置灭火设备和火灾自动报警系统。
1)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
2)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
二级系统安全等级保护基本要求和测评要求
二级系统安全等级保护基本要求和测评要求1.制定安全管理制度:建立完善的安全管理制度,包括制定安全组织机构和职责划分、制定安全管理措施和安全管理规定等,确保系统的安全管理有效运行。
2.人员安全管理:组织开展安全培训和评估工作,确保系统管理员、操作人员等人员具备必要的安全意识和技能,保证其能履行相应的安全管理职责。
3.物理环境安全:对关键信息系统存放和运行的机房、机柜等物理环境进行保护,包括物理隔离、入侵检测、灭火设备等,防止非法入侵或物理损坏。
4.安全防护设备:配置安全防护设备,包括防火墙、入侵检测系统、杀毒软件等,确保系统能够及时发现并处理各类安全威胁。
5.身份鉴别和授权管理:实施严格的身份验证和访问授权管理机制,确保只有经过身份验证的用户才能够访问系统,并且拥有相应的权限。
6.数据传输和存储安全:确保数据在传输和存储过程中的安全性,采取加密技术、传输协议安全措施等,防止数据被非法获取或篡改。
7.应急响应和灾备机制:建立完善的应急响应机制和灾备机制,及时应对安全事件和系统故障,保障系统的连续运行和信息的完整性。
1.系统安全功能测试:对系统的安全功能进行全面测试,包括访问控制、安全监测、安全管理等,确保系统安全功能符合要求。
2.系统安全性能测试:对系统的性能指标进行测试,包括响应速度、吞吐量、负载能力等,确保系统在正常工作状态下具备足够的安全性能。
3.应急响应能力测试:模拟各类安全事件,测试系统的应急响应能力和处理能力,包括识别、定位、处置等,确保系统能够及时有效地应对各类安全威胁。
4.数据传输和存储测试:对系统的数据传输和存储过程进行测试,包括数据传输的速度、稳定性,数据存储的可靠性、完整性等,确保系统在数据传输和存储过程中的安全性。
5.身份鉴别和访问授权测试:测试系统对用户身份的鉴别、访问授权的准确性和有效性,包括用户认证、密码管理、权限控制等,确保系统对用户身份的管理和控制符合要求。
二级等保基本要求
二级等保基本要求二级等保的基本要求主要包括以下几个方面:1. 物理安全:需要确保机房和办公场地选择在具有防震、防风和防雨等能力的建筑内,并且有专人值守,鉴别进入的人员身份并登记在案。
2. 防盗窃和防破坏:主要设备应放置在物理受限的范围内,并对设备或主要部件进行固定,设置明显的不易除去的标记。
通信线缆应铺设在隐蔽处,防止被破坏。
3. 防雷击:机房建筑应设置避雷装置,并设置交流电源地线。
4. 防火:应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
5. 防水和防潮:水管安装不得穿过屋顶和活动地板下,应对穿过墙壁和楼板的水管增加必要的保护措施。
6. 防静电:应采用必要的接地等防静电措施。
7. 温湿度控制:应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
8. 电力供应:计算机系统供电应与其他供电分开,并设置稳压器和过电压防护设备。
9. 电磁防护:应采用接地方式防止外界电磁干扰和设备寄生耦合干扰,并确保电源线和通信线缆隔离,避免互相干扰。
10. 安全管理和制度要求:必须建立健全分级保护制度,明确分级保护的内容、责任和要求。
同时,安全管理要求必须落实到文件、日常管理以及安全保密教育培训等方面。
此外,还应建立安全风险管理机制,对可能出现风险进行评估和排查。
11. 安全技术要求:必须建立安全技术手段,包括安全加固、流量控制、漏洞管理、流量审计等技术要求。
此外,还应加强数据加密与识别技术,以确保信息在传输和存储的过程中不被干扰或窃取。
12. 安全人员要求:应当制定安全管理和保密利用规范,加强员工保密意识培训,定期开展安全检查和评估,同时配备专业的安全人员或安全管理团队,负责制定和实施安全管理措施。
13. 安全储存要求:必须对存储机房进行严格管理和监控,并采用基于用户身份的多重认证措施,确保数据在物理和逻辑方面的安全。
此外,还要对存储设备进行及时维护,保证故障设备的快速替换。
系统安全等保(二级)基本要求
目录1物理安全 (4)1.1机房建设 (4)1.1.1物理位置的选择 (4)1.1.2防盗窃和防破坏 (4)1.1.3防水和防潮 (4)1.2门禁管理 (4)1.2.1物理访问控制 (4)1.3防雷系统 (4)1.3.1防雷击 (4)1.4消防系统 (5)1.4.1防火 (5)1.5静电地板 (5)1.5.1防静电 (5)1.6机房动力环境监控系统 (5)1.6.1温湿度控制 (5)1.7UPS (5)1.7.1电力供应 (5)1.8防电磁排插、防电磁机柜 (5)1.8.1电磁防护 (5)2网络安全 (6)2.1双机冗余 (6)2.1.1结构安全与网段划分 (6)2.2防火墙 (6)2.2.1网络访问控制 (6)2.3防毒墙 (6)2.3.1恶意代码防范 (6)2.4IDS入侵检测 (6)2.4.1边界完整性检查 (6)2.5IPS入侵防御 (7)2.5.1网络入侵防范 (7)2.6VPN (7)2.6.1拨号访问控制 (7)2.7维护堡垒机 (7)2.7.1网络设备防护 (7)2.8上网行为管理 (7)2.8.1网络安全审计 (7)3系统安全 (8)3.1数据库审计系统 (8)3.1.1安全审计 (8)3.2数据存储备份 (8)3.2.1系统保护 (8)3.3.1身份鉴别 (8)3.3.2剩余信息保护 (8)3.3.3资源控制 (8)3.4防火墙 (9)3.4.1访问控制 (9)3.5防毒墙、杀毒软件 (9)3.5.1恶意代码防范 (9)4应用安全 (9)4.1日志审计系统 (9)4.1.1安全审计 (9)4.2VPN (9)4.2.1身份鉴别 (9)4.2.2剩余信息保护 (10)4.2.3资源控制 (10)4.2.4通信完整性 (10)4.2.5通信保密性 (10)4.2.6软件容错 (10)4.3防火墙 (10)4.3.1访问控制 (10)4.3.2代码安全 (11)5数据安全 (11)5.1数据存储备份 (11)5.1.1数据备份和恢复 (11)5.2防火墙 (11)5.2.1数据完整性 (11)5.3堡垒机 (11)5.3.1数据保密性 (11)6系统建设管理 (12)6.1安全方案设计 (12)6.2产品采购和使用 (12)6.3自行软件开发 (12)6.4外包软件开发 (12)6.5工程实施 (12)6.6测试验收 (13)6.7系统交付 (13)6.8安全服务商选择 (13)7系统运维管理 (13)7.1环境管理 (13)7.2资产管理 (13)7.3介质管理 (14)7.4设备管理 (14)7.5恶意代码防范管理 (14)7.6密码管理 (14)7.8安全事件处置 (14)7.9应急预案管理 (15)1物理安全1.1机房建设1.1.1物理位置的选择1.机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
《信息系统安全等级保护基本要求》二级三级等级保护要求比较
《信息系统安全等级保护基本要求》二级三级等级保护要求比较信息系统安全等级保护基本要求是我国国家信息安全等级保护标准之一,对于不同等级信息系统的安全保护提出了具体的要求。
其中,二级和三级等级保护是较为常见的两个等级,下面将比较这两个等级的要求。
一、二级等级保护要求1.信息安全管理制度:建立信息安全管理制度,确保信息系统安全管理责任制的落实。
2.安全性策略与目标:制定合适的安全策略与目标,并进行验证和审计。
3.安全组织:建立专门的安全组织,明确安全岗位职责,并对人员进行安全培训。
4.安全审计:定期进行安全审计,并进行安全事件的记录和处理。
5.访问控制:对用户进行身份验证和权限控制,禁止未授权的访问。
6.信息传输保护:对信息传输进行加密保护,确保信息的机密性和完整性。
7.安全配置管理:对系统进行安全配置管理,包括操作系统的安全设置、服务和应用程序的维护等。
8.安全事件管理:建立安全事件管理机制,及时响应和处理安全事件,防止更大的损失。
二、三级等级保护要求1.安全管理制度:建立健全的信息安全管理制度,确保安全管理责任的落实。
2.安全审计:建立安全审计机制,对系统进行定期审计,记录重要的安全事件。
3.安全组织:建立专门的安全组织,明确安全职责和权限,对人员进行安全培训。
4.安全策略与目标:制定具体的安全策略和目标,并进行评审和改进。
5.访问控制:建立完善的访问控制机制,对用户进行身份验证和权限控制。
6.安全配置管理:建立安全配置管理体系,对系统进行安全配置和维护。
7.安全事件管理:建立安全事件管理体系,及时响应和处理安全事件,防止损失扩大。
8.信息传输保护:对信息进行加密保护,确保信息传输的机密性和完整性。
9.安全备份与恢复:建立完善的系统备份与恢复机制,确保系统数据的安全和可用性。
从上述要求可以看出,三级等级保护要求相对于二级等级保护要求更加严格和细化。
三级等级保护增加了安全策略与目标制定、安全备份与恢复等方面的要求,并对安全审计、安全组织、访问控制等方面的要求更为具体和严格。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电力行业信息系统安全等级保护基本要求目录1 第二级基本要求 (1)1.1技术要求 (1)1.1.1物理安全 (1)1.1.1.1物理位置的选择(G2) (1)1.1.1.2物理访问控制(G2) (1)1.1.1.3防盗窃和防破坏(G2) (1)1.1.1.4防雷击(G2) (1)1.1.1.5防火(G2) (2)1.1.1.6防水和防潮(G2) (2)1.1.1.7防静电(G2) (2)1.1.1.8温湿度控制(G2) (2)1.1.1.9电力供应(A2) (2)1.1.1.10电磁防护(S2) (2)1.1.2网络安全 (3)1.1.2.1结构安全(G2) (3)1.1.2.2访问控制(G2) (3)1.1.2.3安全审计(G2) (3)1.1.2.4边界完整性检查(S2) (4)1.1.2.5入侵防范(G2) (4)1.1.2.6网络设备防护(G2) (4)1.1.3主机安全 (5)1.1.3.1身份鉴别(S2) (5)1.1.3.2访问控制(S2) (5)1.1.3.3安全审计(G2) (5)1.1.3.4入侵防范(G2) (6)1.1.3.5恶意代码防范(G2) (6)1.1.3.6资源控制(A2) (6)1.1.4应用安全 (6)1.1.4.1身份鉴别(S2) (6)1.1.4.2访问控制(S2) (7)1.1.4.3安全审计(G2) (7)1.1.4.4通信完整性(S2) (7)1.1.4.5通信保密性(S2) (8)1.1.4.6软件容错(A2) (8)1.1.4.7资源控制(A2) (8)1.1.5数据安全 (8)1.1.5.1数据完整性(S2) (8)1.1.5.2数据保密性(S2) (8)1.1.5.3备份和恢复(A2) (9)1.2管理要求 (9)1.2.1安全管理制度 (9)1.2.1.1管理制度(G2) (9)1.2.1.2制定和发布(G2) (9)1.2.1.3评审和修订(G2) (10)1.2.2安全管理机构 (10)1.2.2.1岗位设置(G2) (10)1.2.2.2人员配备(G2) (10)1.2.2.3资金保障(G2) (10)1.2.2.4授权和审批(G2) (10)1.2.2.5沟通和合作(G2) (11)1.2.2.6审核和检查(G2) (11)1.2.3人员安全管理 (11)1.2.3.1人员录用(G2) (11)1.2.3.2人员离岗(G2) (11)1.2.3.3人员考核(G2) (12)1.2.3.4安全意识教育和培训(G2) (12)1.2.3.5外部人员访问管理(G2) (12)1.2.4系统建设管理 (12)1.2.4.1系统定级(G2) (12)1.2.4.2安全方案设计(G2) (13)1.2.4.3产品采购和使用(G2) (13)1.2.4.4自行软件开发(G2) (13)1.2.4.5外包软件开发(G2) (13)1.2.4.6工程实施(G2) (14)1.2.4.7测试验收(G2) (14)1.2.4.8系统交付(G2) (14)1.2.4.9安全服务商选择(G2) (14)1.2.5系统运维管理 (15)1.2.5.1环境管理(G2) (15)1.2.5.2资产管理(G2) (15)1.2.5.3介质管理(G2) (15)1.2.5.4设备管理(G2) (16)1.2.5.5网络安全管理(G2) (16)1.2.5.6系统安全管理(G2) (16)1.2.5.7恶意代码防范管理(G2) (17)1.2.5.8密码管理(G2) (17)1.2.5.9变更管理(G2) (17)1.2.5.10备份与恢复管理(G2) (18)1.2.5.11安全事件处置(G2) (18)1.2.5.12应急预案管理(G2) (18)1 第二级基本要求1.1技术要求1.1.1物理安全1.1.1.1物理位置的选择(G2)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
1.1.1.2物理访问控制(G2)本项要求包括:a) 机房各出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员;(增强)b) 进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
1.1.1.3防盗窃和防破坏(G2)本项要求包括:a) 应将主要设备放置在机房内;b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d) 应对介质分类标识,存储在介质库或档案室中;e) 主机房应安装必要的防盗报警设施。
1.1.1.4防雷击(G2)本项要求包括:a) 机房建筑应设置避雷装置;b) 机房应设置交流电源地线。
1.1.1.5防火(G2)机房应设置灭火设备和火灾自动报警系统。
1.1.1.6防水和防潮(G2)本项要求包括:a) 主机房尽量避开水源,与主机房无关的给排水管道不得穿过主机房,与主机房相关的给排水管道必须有可靠的防渗漏措施;(增强)b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
1.1.1.7防静电(G2)主要设备采用必要的接地防静电措施。
(增强)1.1.1.8温湿度控制(G2)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.1.1.9电力供应(A2)本项要求包括:a) 应在机房供电线路上配置稳压器和过电压防护设备;b) 应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
1.1.1.10电磁防护(S2)电源线和通信线缆应隔离铺设,避免互相干扰。
1.1.2网络安全1.1.2.1结构安全(G2)本项要求包括:a) 应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;b) 应保证网络各个部分的带宽满足业务高峰期需要;(增强)c) 应绘制完整的网络拓扑结构图,有相应的网络配置表,包含设备IP地址等主要信息,与当前运行情况相符;(增强)d) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
1.1.2.2访问控制(G2)本项要求包括:a) 应在网络边界部署访问控制设备,启用访问控制功能;b) 访问控制设备应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;(增强)c) 应按用户和系统之间的允许访问规则,边界的网络控制设备决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户。
以拨号或VPN等方式接入网络的,应采用强认证方式,并对用户访问权限进行严格限制;(增强)d) 生产控制大区的拨号访问服务,服务器和客户端均应使用经安全加固的达到国家二级等级保护要求的操作系统,并采取加密、数字证书认证和访问控制等安全防护措施;(新增)e) 应该采用严格的接入控制措施,保证业务系统接入的可信性。
经过授权的节点允许接入电力调度数据网,进行广域网通信;(新增)f) 应限制具有拨号、VPN等访问权限的用户数量。
(增强)1.1.2.3安全审计(G2)本项要求包括:a) 应在生产控制大区应部署专用审计系统,或启用设备或系统审计功能,应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;(增强)b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
1.1.2.4边界完整性检查(S2)应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。
1.1.2.5入侵防范(G2)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
1.1.2.6网络设备防护(G2)本项要求包括:a) 应对登录网络设备的用户进行身份鉴别;b) 应对网络设备的管理员登录地址进行限制;c) 网络设备标识应唯一;同一网络设备的用户标识应唯一;禁止多个人员共用一个账号;(增强)d) 身份鉴别信息应不易被冒用,口令复杂度应满足要求并定期更换。
应修改默认用户和口令,不得使用缺省口令,口令长度不得小于8位,要求是字母和数字或特殊字符的混合并不得与用户名相同,口令应定期更换,并加密存储;(增强)e) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;f) 当对网络设备进行远程管理时,采取必要措施防止鉴别信息在网络传输过程中被窃听;g) 应封闭不需要的网络端口,关闭不需要的网络服务。
如需使用SNMP服务,应采用安全性增强版本;并应设定复杂的Community控制字段,不使用Public、Private等默认字段。
(新增)1.1.3主机安全1.1.3.1身份鉴别(S2)本项要求包括:a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别;b) 操作系统和数据库系统管理用户身份鉴别信息应不易被冒用,口令复杂度应满足要求并定期更换。
口令长度不得小于8位,且为字母、数字或特殊字符的混合组合,用户名和口令禁止相同;(增强)c) 启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。
限制同一用户连续失败登录次数;(增强)d) 当对服务器进行远程管理时,采取必要措施,防止鉴别信息在网络传输过程中被窃听;e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
1.1.3.2访问控制(S2)本项要求包括:a) 应启用访问控制功能,依据安全策略控制用户对资源的访问;b) 应实现操作系统和数据库系统特权用户的权限分离;c) 应限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;d) 应及时删除多余的、过期的帐户,避免共享帐户的存在。
1.1.3.3安全审计(G2)本项要求包括:a) 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;系统不支持该要求的,应以系统运行安全和效率为前提,采用第三方安全审计产品实现审计要求;(增强)b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。
审计内容至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等;(细化)c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;d) 应保护审计记录,避免受到未预期的删除、修改或覆盖等。
1.1.3.4入侵防范(G2)操作系统应遵循最小安装的原则,仅安装必要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新,补丁安装前应进行安全性和兼容性测试。