等级保护差距分析(G1G2)
等级保护2.0差距分析模板(二级)
信息系统安全等级保护评估差距分析报告(二级信息系统)目录1.概述 (5)1.1 背景介绍 (5)1.2 信息系统介绍 (5)2.系统范围 (6)2.1 网络及安全设备 (6)2.2 服务器设备 (6)3.差距分析方法 (7)4.差距分析结果 (7)5.差距分析表 (8)5.1.安全物理环境 (8)5.1.1.物理位置选择 (8)5.1.2.物理访问控制 (8)5.1.3.防盗窃和防破坏 (8)5.1.4.防雷击 (9)5.1.5.防火 (9)5.1.6.防水和防潮 (9)5.1.7.防静电 (9)5.1.8.温湿度控制 (9)5.1.9.电力供应 (10)5.1.10.电磁防护 (10)5.2.安全通信网络 (10)5.2.1.网络架构 (10)5.2.2.通信传输 (10)5.2.3.可信验证 (11)5.3.安全区域边界 (11)5.3.1.边界防护 (11)5.3.2.访问控制 (11)5.3.3.入侵防范 (12)5.3.4.恶意代码和垃圾邮件防范 (12)5.3.5.安全审计 (12)5.4.安全计算环境 (13)5.4.1.身份鉴别 (13)5.4.2.访问控制 (13)5.4.3.安全审计 (13)5.4.4.入侵防范 (14)5.4.5.恶意代码防范 (14)5.4.6.可信验证 (14)5.4.7.数据完整性 (14)5.4.8.数据备份恢复 (15)5.4.9.剩余信息保护 (15)5.4.10.个人信息保护 (15)5.5.安全管理中心 (15)5.5.1.系统管理 (15)5.5.2.审计管理 (16)6.管理要求 (16)6.1.安全管理制度 (16)6.1.1.安全策略 (16)6.1.2.管理制度 (16)6.1.3.制定和发布 (17)6.1.4.评审和修订 (17)6.2.安全管理机构 (17)6.2.1.岗位设置 (17)6.2.2.人员配备 (17)6.2.3.授权和审批 (18)6.2.4.沟通和合作 (18)6.2.5.审核和检查 (18)6.3.安全管理人员 (18)6.3.1.人员录用 (18)6.3.2.人员离岗 (19)6.3.3.安全意识教育和培训 (19)6.3.4.外部人员访问管理 (19)6.4.安全建设管理 (19)6.4.1.定级和备案 (19)6.4.2.安全方案设计 (20)6.4.3.产品采购和使用 (20)6.4.4.自行软件开发 (20)6.4.5.外包软件开发 (21)6.4.7.测试验收 (21)6.4.8.系统交付 (21)6.4.9.等级测评 (22)6.4.10.服务供应商选择 (22)6.5.安全运维管理 (22)6.5.1.环境管理 (22)6.5.2.资产管理 (23)6.5.3.介质管理 (23)6.5.4.设备维护管理 (23)6.5.5.漏洞和风险管理 (23)6.5.6.网络和系统安全管理 (24)6.5.7.恶意代码防范管理 (24)6.5.8.配置管理 (25)6.5.9.密码管理 (25)6.5.10.变更管理 (25)6.5.11.备份与恢复管理 (25)6.5.12.安全事件处置 (26)6.5.13.应急预案管理 (26)6.5.14.外包运维管理 (26)1.概述1.1 背景介绍随着信息化的不断发展,对信息系统的依赖程度也越来越高,大部分行业信息化都是以信息技术广泛应用为主导,信息资源为核心,信息网络为基础,信息人才为依托,有关信息法规、政策、标准、管理为保障的综合体系。
二级和三级等保差异整理
管理大概80,外网大概40,服务器数外网网络边界进行访问控制,基本的终端数量:内网大概80,外网大概40,服务器数量:11网络现况:电信宽带30MB(互联网),电信专网4MB(一门诊)、10MB(城北门诊),医保电信ADSL,电子远程药品监空系统移动光缆(带宽不详)现有应用系统:HIS、LIS、PACS 、EMR、物资资产财务、CA认证、医保数据备份:没有现有网络安全产品:防火墙1台(网神)在互联网出口处;服务器及内网终端安装Mcafee杀毒软件终端安全管理产品:没有分支机构远程连接:有2个分门诊,使用Radmin 、飞秋、远程桌面等局域网内部远程工具终端使用操作系统:WinXP、win8、win sever 2003、win sever 2008操作系统补丁更新:服务器与内网终端没有更新过终端杀毒软件:服务器、内网终端安装华军软件及功能:1)外网防火墙(对外网网络边界进行访问控制,基本的入侵防护的,可考虑原有网神防火墙利旧,需确认原有网神防火墙是否满足需求)2)内网防火墙(对内部网络边界进行访问控制,基本的入侵防护等)3)终端企业版杀毒软件(服务器及终端主机的防病毒统一管理、可进行终端个体的漏洞扫描及补丁更新)4)终端安全产品(对终端的信息安全进行防护,后期可根据需求增加和调整功能模块) 5)上网行为管理设备(对外网终端的上网行为进行监测,必要时进行管控)后期三级等保可考虑增加设备:1)入侵防御设备(IPS):网络边界处2)防病毒网关(多功能安全网关):网络边界处3)入侵检测设备(IDS):内网核心交换机处4)堡垒主机(运维网关、安全管理平台):核心交换机处5)网闸(信息交换与隔离系统):内外网边界处6)数据库审计(综合审计类产品):新:服务器与内网终端没有更新处5)网闸(信息交换系统运维管理。
等级保护工作各环节服务方案
等级保护工作开展参考资料文档说明1)目标对象:客户单位的信息主管/计算机信息系统运维管理人员2)文档功能:与客户一起探讨“信息平安等级保护工作开展〞工作方法一.等级保护整体效劳方案图 1 等级保护整体效劳方案工作流程图等级保护的建立是个长期的过程,需要花费大量的时间、精力和财力,本着为用户效劳的态度,“中国信息平安测评效劳方华中测评效劳中心〞推出了等级保护专业效劳,提供包括定级备案、差距分析、方案制订、实施、测评、检查等各个环节的效劳,通过自身的平安产品、平安效劳,可协助用户完成等级保护各个阶段的实施和建立,确保用户严格按照等级保护的过程规划并建立自己的平安保障体系,更好地支撑应用和业务的开展,为用户信息平安保障体系“保驾护航〞。
测评效劳方在等级保护各个阶段将协助用户完成上图的任务和工作。
具体包括:1)等级保护定级备案对信息系统进展划分,并根据信息系统的价值确定信息系统的保护等级,等级确定后测评效劳方将协助用户完成保护等级的备案工作。
2)等级保护差距分析通过风险评估可以发现信息系统的平安现状与需要到达的平安等级或目标的差异,使信息系统的管理和使用单位可以在技术和管理方面进展有针对性的加强和完善,使单位的信息系统平安工作有的放矢。
3)等级保护整改建议方案测评效劳方根据评估的结果和信息系统确认的保护等级,结合?信息系统平安等级保护根本要求?以及其它相关整改标准中对各级别信息系统的技术、管理和运维方面的要求,制定相应的平安保护措施,完成等级保护整改建议方案的设计。
依据公通字[2007]43号文的要求,信息系统定级工作完成后,运营、使用单位首先要按照相关的管理规和技术标准进展平安建立和整改,使用符合有关规定、满足信息系统平安保护等级需求的信息技术产品,进展信息系统平安建立或者改建工作。
等级保护整改的核心是根据用户的实际信息平安需求、业务特点及应用重点,在确定不同系统重要程度的根底上,进展重点保护。
整改工作要遵循等级保护相关要求,将等级保护要求表到达方案、产品和平安效劳中去,并切实结合用户信息平安建立的实际需求,建立一套全面保护、重点突出、持续运行的平安保障体系,将等级保护制度确实落实到企业的信息平安规划、建立、评估、运行和维护等各个环节,保障企业的信息平安。
医院信息安全等级保护三级建设流程与要点
医院信息安全等级保护三级建设流程与要点1 背景随着医院尤其是三级甲等大型医院信息化的迅猛发展,医院信息系统已经深入到医疗的各个环节当中,一旦发生故障将严重影响医疗活动的顺利开展,因此信息安全工作得到了越来越多医院的重视。
信息安全等级保护是国家层面出台的针对信息安全分级保护的制度,其目的是保护重要信息系统的安全,提高信息系统防护能力和应急水平。
为了信息安全等级保护能够更好的在各医院实施,卫生部针对医疗行业的实际现状印发了《卫生行业信息安全等级保护工作的指导意见》的通知卫办发〔2011〕85号,此文件在信息安全保护和医疗行业信息安全管理之间起到承接桥梁的作用。
根据文件精神,三级甲等医院的核心业务信息系统安全保护等级原则上不低于第三级。
2 医院信息安全等级保护建设流程2.1 信息系统定级[1]信息系统定级主要考虑两方面,一是业务信息受到破坏时客体的是谁,二是对于客体的侵害程度如何。
两方面结合根据表1来制定本单位的具体哪个信息系统应该定位第几级。
表1针对三级甲等医院,因门诊量普遍较大,当在早间挂号、就诊等高峰时期会有大量患者排队挂号与就诊,当发生信息系统瘫痪后会造成大面积患者排队,极易引发群体事件。
因此,定义为对“社会秩序、公共利益”造成“严重损害”,即信息安全等级保护定级为第三级。
涉及的信息系统即与挂号、就诊等与门诊患者密切相关的系统。
2.2. 信息系统评审与备案按照等级保护管理办法和定级指南要求,在完成对本单位信息系统的自主定级后需要将业务系统自主定级结果提交卫生部审批。
在定级审批过程中,卫生部组织专家进行评审,并出具《审批意见》。
完成评审后,医院需要填写《信息系统安全等级保护备案表》和《信息系统安全等级保护定级报告》,备案表与报告范例可在“中国信息安全等级保护网”进行下载。
最后医院持评审意见、备案表、定级报告到所在地管辖区的市级以上公安机关办理备案手续,在拿到备案回执和审核结果通知后完成定级备案。
网络安全等级保护测评项目需求
网络安全等级保护测评项目需求一、范围包括本次项目服务范围包括:协助等级保护定级备案服务、等级保护差距分析服务(预测评)、通过测评结果提出整改建议服务、等级保护测评服务、安全培训、应急支持、漏洞检测服务、渗透测试服务、及时通知服务、最新等级保护资料发放、安全管理体系建设服务。
具体报价范围、采购范围及所应达到的具体要求,以本招标文件中商务、技术和服务的相应规定为准。
二、项目概述根据国家《网络安全法》要求,为了保障采购人信息系统的平稳正常运行,维护采购人整体业务的安全性,启动本次安全服务项目。
通过本次安全服务项目实现采购人信息系统的全面测评工作、涵盖技术与管理两大部分,对照国家《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019),找出信息系统存在的各类安全风险和隐患。
通过对信息系统的测评,发现安全风险,在被非法意图的攻击者利用前修补漏洞消除风险。
提交完整的测评报告,以备存档。
同时可在监管部门检查时,提供详实的文档供查验。
三、主要技术要求1、信息安全政策依据(一)信息系统实行安全等级保护;(二)实行信息安全等级保护,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南;2、项目实施遵循的技术标准《网络安全法》《信息安全等级保护管理办法》《计算机信息系统安全保护条例》《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)《信息安全技术网络安全等级保护定级指南》(GB/T 22240-2020)《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-2018)《信息安全技术网络安全等级保护实施指南》(GB/T 25058-2019)《网络安全等级保护测评报告模版》(2021年版)等3、等级保护测评服务1)信息系统测评对象本项目测评对象为医院管理系统系统、影像管理系统、电子病历管理系统、检验系统、家庭医生签约、基层医疗管理系统、公共卫生系统(三级),包括管理、使用、运维管理制度制定及落实情况,网络设备、服务器、安全设备、应用软件、数据库、用户终端等安全技术保护情况。
等级保护差距分析表--数据安全
√
数据保密性 2)网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统 管理数据和敏感的用户数据应采用加密或其他保护措施实现存储保密性;
√
网络设备登陆采用数据加密,操作 系统和数据库鉴别采用数据加密
3)当使用便携式和移动式设备时,应加密或者采用可移动磁盘存储敏感信息。
√
1)应提供自动机制对重要信息进行有选择的数据备份;
数据完整性
等保技术要求
符合
1)应能够检测到系统管理数据、鉴别信息和用户数据在传输过程中完整性不受 到破坏;
√
2)应能够检测到系统管理数据、鉴别信息和用户数据在存储过程中完整性不受 到破坏。
√、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统 管理数据和敏感的用户数据应采用加密或其他有效措施实现传输保密性;
数据备份和恢 2)应提供恢复重要信息的功能; 复 3)应提供重要网络设备、通信线路和服务器的硬件冗余。
√
数据库进行自动完全备份
对数据库进行备份,可把备份文件
√
恢复到备份服务器的数据库中;若
WEB服务器遭破坏,可直接用应急备
√
核心交换机份和服出务口器防替火换墙都有冗 余,一台应急备份服务器
备注
等保2.0 VS 等保1.0(三级)对比
等保2.0 VS 等保1.0(三级)对比网络安全等级保护基本要求通用要求技术部分与信息安全等级保护基本要求技术部分结构由原来的五个层面:物理安全、网络安全、主机安全、应用安全、数据安全,调整为四个部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;技术要求“从面到点”提出安全要求,“物理和环境安全”主要对机房设施提出要求,“网络和通信安全”主要对网络整体提出要求,“设备和计算安全”主要对构成节点(包括网络设备、安全设备、操作系统、数据库、中间件等)提出要求,“应用和数据安全”主要对业务应用和数据提出要求。
(标粗内容为三级和二级的变化,标红部门为新标准主要变化)1.1、物理和环境安全VS原来物理安全控制点未发生变化,要求项数由原来的32项调整为22项。
控制点要求项数修改情况如下图:要求项的变化如下:1.2、网络和通信安全VS原来网络安全新标准减少了结构安全、边界完整性检查、网络设备防护三个控制点,增加了网络架构、通信传输、边界防护、集中管控四个控制点。
原结构安全中部分要求项纳入了网络架构控制点中,原应用安全中通信完整性和保密性的要求项纳入了通信传输控制点中,原边界完整性检查和访问控制中部分要求项内容纳入了边界防护控制点中,原网络设备防护控制点要求并到设备和计算安全要求中。
要求项总数原来为33项,调整为还是33项,但要求项内容有变化。
控制点和控制点要求项数修改情况如下图:具体要求项的变化如下表:1.3、设备和计算安全VS原来主机安全新标准减少了剩余信息保护一个控制点,在测评对象上,把网络设备、安全设备也纳入了此层面的测评范围。
要求项由原来的32项调整为26项。
控制点和各控制点要求项数修改情况如下图:具体要求项的变化如下表:1.4、应用和数据安全VS原来应用安全+数据安全及备份恢复新标准将应用安全、数据安全及备份恢复两个层面合并成了应用和数据安全一个层面,减少了通信完整性、通信保密性和抗抵赖三个控制点,增加了个人信息保护控制点。
等级保护测评-完全过程(非常全面)
防静电
温湿度控制
电力供应
电磁防护
物理安全
调研访谈:专人值守、进出记录、申请和审批记录、物理隔离、门禁系统;现场查看:进出登记记录、物理区域化管理、电子门禁系统运行和维护记录。
调研访谈:设备固定和标识、隐蔽布线、介质分类存储标识、部署防盗监控系统;现场查看:设备固定和标识、监控报警系统安全材料、测试和验收报告。
等级保护测评指标
测评指标
技术/管理
安全类
安全子类数量
S类(2级)
S类(3级)
A类(2级)
A类(3级)
G类(2级)
G类(3级)
F类(2级)
F类(3级)
要求项
控制点
二级
三级
二级
三级
技术类
物理安全
1
1
1
1
8
29
4
18
10
18
23
47
网络安全
1
1
0
0
5
31
6
7
6
7
24
40
主机安全
2
3
1
1
3
12
0
3
6
3
20
调研访谈:网络入侵防范措施、防范规则库升级方式、网络入侵防范的设备;测评判断:检查网络入侵防范设备,查看检测的攻击行为和安全警告方式。
调研访谈:网络恶意代码防范措施、恶意代码库的更新策略;测评判断:网络设计或验收文档,网络边界对恶意代码采取的措施和防恶意代码产品更新。
调研访谈:两种用户身份鉴别、地址限制、用户唯一、口令复杂度要求、登录失败验证等;测评判断:用户唯一和地址限制、密码复杂度和两种身份鉴别方式、特权用户权限分配。
等级保护差距分析(G1G2)
c)审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。
通信完整性(S1/S2)
a)应采用约定通信会话方式的方法保证通信过程中数据的完整性。
b)应采用校验码技术保证通信过程中数据的完整性。
通信保密性(S2)
a)在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;
人员配备(G1/G2)
a)应配备一定数量的系统管理员、网络管理员、安全管理员等;
b)安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。
授权和审批(G1/G2)
a)应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批。
b) 应针对关键活动建立审批流程,并由批准人签字确认。
b)应告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒;
c)应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训。
外部人员访问管理(G1)
应确保在外部人员访问受控区域前得到授权或审批。
应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。
恶意代码防范管理g1g23应提高所有用户的防病毒意识告知及时升级防病毒软件在读取移动存储设备上的数据以及网络上接收文件或邮件之前先进行病毒检查对外来计算机或存储设备接入网络系统之前也应进行病毒检查
具体事项
详细要求
系统现状
备注
技 术 要 求
物理安全
物理位置的选择(G2)
机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
b) 应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
2023-信息系统等级保护差距测评结果分析及其整改方案V1-1
信息系统等级保护差距测评结果分析及其整
改方案V1
信息系统是现代社会的重要基础设施之一,其安全是保障国家安全、经济利益和国家形象等方面至关重要的。
而信息系统等级保护差距测评是安保检查的重要环节,它的结果分析和整改方案对于保障信息系统的安全至关重要。
一、测评结果分析
1.成果总体情况
该等级保护差距测评以现场检查和文件审核相结合的方式进行,包括网络安全、物理安全、制度安全三方面,成果总体情况较为良好,共有88%的系统达到了规定的等级保护要求。
2.问题所在
尽管大部分系统都能正常运转,但仍然存在一些问题,如人员缺乏安全意识、权限过高、使用非法软件等,这些问题是导致系统保障不充分的重要原因。
3.可能影响
如果这些问题得不到及时的整改,将会影响到信息系统的安全性和稳定性,同时也会对企业和国家带来很大损失。
二、整改方案
1.制定整改方案
针对问题所在,应及时制定整改方案,明确整改时间、人员、过程等,将整改方案报告给相关领导。
2.加强人员素质
通过开展安全教育和培训,提高员工安全意识,加强员工安全素质,
从源头上预防系统出现问题。
3.控制权限
加强系统权限控制,降低权限的滥用、泄露的风险,通过监管、审计
等方式督促员工使用专业合法的软件。
4.加强物理安全
建立防盗、防火、防水等物理安全措施,加强机房、服务器等设备的
防护,提高系统质量和可靠性。
总之,“信息系统等级保护差距测评结果分析及其整改方案V1”对于
实现信息系统安全稳定运行具有重要意义,只有加强等级保护差距测评,严格执行整改方案,才能够提升信息系统的安全性和稳定性。
等保整改方案
等保整改方案篇一:等保整改与安全建设方案等级保护整改与安全建设方案前言等级保护保护整改与安全建设工作重要性依据公通字[XX]43号文的要求,信息系统定级工作完成后,运营、使用单位首先要按照相关的管理规范和技术标准进行安全建设和整改,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,进行信息系统安全建设或者改建工作。
等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点保护。
整改工作要遵循国家等级保护相关要求,将等级保护要求体现到方案、产品和安全服务中去,并切实结合用户信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节,保障企业的信息安全。
等级保护整改与安全建设过程等级保护整改与安全建设是基于国家信息系统安全等级保护相关标准和文件的要求,针对客户已定级备案的信息系统、或打算按照等保要求进行安全建设的信息系统,结合客户组织架构、业务要求、信息系统实际情况,通过一套规范的等保整改过程,协助客户进行风险评估和等级保护差距分析,制定完整的安全整改建议方案,并根据需要协助客户对落实整改实施方案或进行方案的评审、招投标、整改监理等工作,协助客户完成信息系统等级保护整改和安全建设工作。
等保整改与建设过程主要包括:等级保护差距分析、等级保护整改建议方案、等级保护整改实施三个阶段。
(一) 等级保护差距分析1. 等级保护风险评估1) 评估目的对信息系统进行安全等级评估是国家推行等级保护制度的一个重要环节,也是对信息系统进行安全建设和管理的重要组成部分。
等级评估不同于按照等级保护要求进行的等保差距分析。
风险评估的目标是深入、详细地检查信息系统的安全风险状况,而差距分析则是按照等保的所有要求进行符合性检查,检查信息系统现状与国家等保要求之间的符合程度。
(最新整理)等保2.0vs1.0解读
GB
18.03.05
征求意见稿,
征集截止
2021/7/26
3
2.0变化-定级指南
• 定级对象:将基础信息网络、云计算平台、工业控制系统、物联网、大数据和 使用移动互联技术的网络等确定为不同的定级对象。
• 定级方法:安全保护等级由业务信息安全和系统服务安全两方面确定。
• 从业务信息安全角度反映的定级对象安全保护等级称业务信息安全保护等级。 • 从系统服务安全角度反映的定级对象安全保护等级称系统服务安全保护等级。 • 将业务信息安全保护等级和系统服务安全保护等级的较高者初步确定为定级对象的安全保
a) 应在关键网络节点处检测、防止或限制从外部发起的网 络攻击行为;
5入侵防范
2
5 入侵防 范
4
b) 应在关键网络节点处检测、防止或限制从内部发起的网 络攻击行为; (新增) c) 应采取技术措施对网络行为进行分析,实现对网络攻击特
别是新型网络攻击行为的分析; (新增)
b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、 攻击时间,在发生严重入侵事件时应提供报警。
c) 应对机房划分区域进行管理,区域和区域之间设置隔离防火
措施。
8
物理和环境安全(二) 原控制点
要求项数 (三级)标粗内容为三级和二级的变化;标红为新标准主要变化
a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
6 防水和防潮
4 c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
8
3安全审计
4
2021/7/26
a) 应在网络边界部署访问控制设备,启用访问控制功能;
b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能 力,控制粒度为端口级;
等级保护2.0差距分析模板
信息系统安全等级保护评估差距分析报告(三级信息系统)目录目录目录 (2)1. 概述 (5)1.1 背景介绍 (5)1.2 信息系统介绍 (5)2. 系统范围 (5)2.1 网络及安全设备 (5)2.2 服务器设备 (6)3. 差距分析方法 (7)4. 差距分析结果 (7)5. 差距分析表 (8)5.1. 安全物理环境 (8)5.1.1. 物理位置选择 (8)5.1.2. 物理访问控制 (8)5.1.3. 防盗窃和防破坏 (8)5.1.4. 防雷击 (9)5.1.5. 防火 (9)5.1.6. 防水和防潮 (9)5.1.7. 防静电 (10)5.1.8. 温湿度控制 (10)5.1.9. 电力供应 (10)5.1.10. 电磁防护 (10)5.2. 安全通信网络 (11) (11)5.2.1. 网络架构 (11)5.2.2. 通信传输 (11)5.2.3. 可信验证 (11)5.3. 安全区域边界 (12) (12)5.3.1. 边界防护 (12)5.3.2. 访问控制 (12)5.3.3. 入侵防范 (12)5.3.4. 恶意代码和垃圾邮件防范 (13)5.3.5. 安全审计 (13)5.3.6. 可信验证 (14)5.4. 安全计算环境 (14) (14)5.4.1. 身份鉴别 (14)5.4.2. 访问控制 (14)5.4.3. 安全审计 (15)5.4.4. 入侵防范 (15)5.4.5. 恶意代码防范 (16)5.4.7. 数据完整性 (16)5.4.8. 数据保密性 (17)5.4.9. 数据备份恢复 (17)5.4.10. 剩余信息保护 (17)5.4.11. 个人信息保护 (17)5.5. 安全管理中心 (18) (18)5.5.1. 系统管理 (18)5.5.2. 审计管理 (18)5.5.3. 安全管理 (18)5.5.4. 集中管控 (19)6. 管理要求 (19) (19) (19)6.1. 安全管理制度 (19) (19) (19)6.1.1. 安全策略 (19)6.1.2. 管理制度 (20)6.1.3. 制定和发布 (20)6.1.4. 评审和修订 (20)6.2. 安全管理机构 (20) (20)6.2.1. 岗位设置 (20)6.2.2. 人员配备 (21)6.2.3. 授权和审批 (21)6.2.4. 沟通和合作 (21)6.2.5. 审核和检查 (22)6.3. 安全管理人员 (22) (22)6.3.1. 人员录用 (22)6.3.2. 人员离岗 (22)6.3.3. 安全意识教育和培训 (23)6.3.4. 外部人员访问管理 (23)6.4. 安全建设管理 (23) (23)6.4.1. 定级和备案 (23)6.4.2. 安全方案设计 (24)6.4.3. 产品采购和使用 (24)6.4.4. 自行软件开发 (25)6.4.5. 外包软件开发 (25)6.4.6. 工程实施 (25)6.4.7. 测试验收 (26)6.4.9. 等级测评 (26)6.4.10. 服务供应商选择 (27)6.5. 安全运维管理 (27) (27)6.5.1. 环境管理 (27)6.5.2. 资产管理 (27)6.5.3. 介质管理 (28)6.5.4. 设备维护管理 (28)6.5.5. 漏洞和风险管理 (28)6.5.6. 网络和系统安全管理 (29)6.5.7. 恶意代码防范管理 (30)6.5.8. 配置管理 (30)6.5.9. 密码管理 (30)6.5.10. 变更管理 (31)6.5.11. 备份与恢复管理 (31)6.5.12. 安全事件处置 (31)6.5.13. 应急预案管理 (32)6.5.14. 外包运维管理 (32)1.概述1.1 背景介绍随着信息化的不断发展,对信息系统的依赖程度也越来越高,大部分行业信息化都是以信息技术广泛应用为主导,信息资源为核心,信息网络为基础,信息人才为依托,有关信息法规、政策、标准、管理为保障的综合体系。
等级保护的解决方案(3篇)
第1篇随着信息技术的飞速发展,信息安全已经成为国家安全、社会稳定和经济发展的重要保障。
等级保护是我国信息安全保障体系的重要组成部分,旨在通过建立信息安全等级保护制度,提高信息安全防护能力,防范和应对信息安全风险。
本文将针对等级保护问题,提出一系列解决方案。
一、等级保护概述等级保护是指根据信息系统的重要性和安全风险等级,采取相应的安全保护措施,确保信息系统安全、稳定、可靠运行的一种安全保护机制。
等级保护分为五个等级,从低到高依次为:一级保护、二级保护、三级保护、四级保护和五级保护。
二、等级保护面临的问题1. 等级保护意识不强部分单位对等级保护的重要性认识不足,没有将等级保护纳入日常工作中,导致等级保护工作难以落实。
2. 等级保护制度不完善我国等级保护制度尚处于起步阶段,制度体系不完善,政策法规滞后,难以满足实际需求。
3. 技术手段不足等级保护工作需要依赖先进的技术手段,但目前我国在信息安全技术方面仍存在一定差距,难以满足等级保护要求。
4. 人才队伍建设滞后等级保护工作需要大量专业人才,但目前我国信息安全人才队伍建设滞后,难以满足等级保护需求。
三、等级保护解决方案1. 提高等级保护意识(1)加强宣传培训:通过举办培训班、讲座等形式,提高广大干部职工对等级保护的认识。
(2)制定考核机制:将等级保护工作纳入年度考核,督促各单位落实等级保护责任。
2. 完善等级保护制度(1)制定政策法规:加快制定和完善等级保护相关法律法规,明确各级政府和企业的责任。
(2)建立标准体系:制定信息安全等级保护标准,规范等级保护工作。
3. 加强技术手段建设(1)引进先进技术:积极引进国际先进的网络安全技术,提高我国信息安全防护能力。
(2)自主研发:加大信息安全技术研发投入,提高我国自主创新能力。
4. 加强人才队伍建设(1)培养专业人才:通过校企合作、人才引进等方式,培养一批具备信息安全专业知识和技能的人才。
(2)提高人员素质:加强信息安全人员的职业道德教育,提高其业务水平。
医院信息安全等级保护三级建设流程与要点
医院信息安全等级保护三级建设流程与要点1 背景随着医院尤其是三级甲等大型医院信息化的迅猛发展,医院信息系统已经深入到医疗的各个环节当中,一旦发生故障将严重影响医疗活动的顺利开展,因此信息安全工作得到了越来越多医院的重视。
信息安全等级保护是国家层面出台的针对信息安全分级保护的制度,其目的是保护重要信息系统的安全,提高信息系统防护能力和应急水平。
为了信息安全等级保护能够更好的在各医院实施,卫生部针对医疗行业的实际现状印发了《卫生行业信息安全等级保护工作的指导意见》的通知卫办发〔2011〕85号,此文件在信息安全保护和医疗行业信息安全管理之间起到承接桥梁的作用。
根据文件精神,三级甲等医院的核心业务信息系统安全保护等级原则上不低于第三级。
2 医院信息安全等级保护建设流程2.1 信息系统定级[1]信息系统定级主要考虑两方面,一是业务信息受到破坏时客体的是谁,二是对于客体的侵害程度如何。
两方面结合根据表1来制定本单位的具体哪个信息系统应该定位第几级。
表1针对三级甲等医院,因门诊量普遍较大,当在早间挂号、就诊等高峰时期会有大量患者排队挂号与就诊,当发生信息系统瘫痪后会造成大面积患者排队,极易引发群体事件。
因此,定义为对“社会秩序、公共利益”造成“严重损害”,即信息安全等级保护定级为第三级。
涉及的信息系统即与挂号、就诊等与门诊患者密切相关的系统。
2.2. 信息系统评审与备案按照等级保护管理办法和定级指南要求,在完成对本单位信息系统的自主定级后需要将业务系统自主定级结果提交卫生部审批。
在定级审批过程中,卫生部组织专家进行评审,并出具《审批意见》。
完成评审后,医院需要填写《信息系统安全等级保护备案表》和《信息系统安全等级保护定级报告》,备案表与报告范例可在“中国信息安全等级保护网”进行下载。
最后医院持评审意见、备案表、定级报告到所在地管辖区的市级以上公安机关办理备案手续,在拿到备案回执和审核结果通知后完成定级备案。
等保 技术部分差距分析一览表
信息安全等级保护(三级)技术部分差距分析一览表准、限制和监控其活动范围,电子门禁系统管理,则7.1.1.2.4d)为肯定;j) 应检查电子门禁系统是否正常工作(不考虑断电后的工作情况);查看电子门禁系统运行、维护记录;查看监第1页共1页子门禁系统记录。
物理安全负责人,机房维护人员,机房设施,建筑防雷设计/防雷击(G3)c) 如果有机房出入的管理制度,指定了专人在机房出入口值守,对进入的人员登记在案并进电频繁区域,装设浪涌电压吸收装置等,则7.1.1.4.4 a)为肯定;b) 如果地线的引线和大楼的钢筋网及各种金属管道绝缘,交流b) 应访谈机房维护人员,询问机房建筑避雷装置是否有人定期进行检查和维护;询问机房计算机系统接地(交流工作接地、安全保护接地)是否符合GB50174-93《电子计算机机房设计规范》的要求;c) 应检查机房是否有建筑防雷设计/验收文档,机房接地设计/验收文档,查看是否有地线连接要求的描述,与实机房或者同一机房的不同区域之间设置有效的物理隔离装置(如隔墙等);第2页共2页必要的保护措施,如设置套管等;e) 应检查机房是否不存在屋顶和墙壁等出现过漏水、渗透和返潮现象,机房及其环境是否不存在明显的漏水和返潮的威胁;如果出现漏水、渗透和返潮现象是否能够及时修复解决;50057-1994《建筑物防雷设计要设备被破坏采取了哪些防护措施,机房建筑是否设置了7.1.1全档,机房湿度记录,除湿装置运行记录。
第3页共3页与渗透现象是否采取防范措施;c) 应检查机房是否有建筑防水和防潮设计/验收文档,是否与机房防水防潮的实际情况一致;人,机房维护人员,机房设施,第4页共4页d) 应检查机房设备外壳是否有安全接地;e) 应检查机房布线,查看是否做到电源线和通信线缆隔离;f) 应检查使用电磁干扰器的涉密设备开机,是否同时开第5页共5页电磁防护(S3)低辐射设备,是否安装了满足BMB4-2000《电磁干扰器技术要求和测试方法》要求的二级电磁干扰器;c) 应检查机房是否有电磁防护设计/验收文档,查看其描人,机房维护人员,机房设施,电磁防护设计/第7页共7页7.1.2全性检查“非法外联”的行为(如产生非法外联的动作,查看边界完整性检查设备是否能够发现该行为);整性检查设备,7.1.2.4非法联接到内网和非法联接到外网的行为进行监控;查看是否对发现的非法联接行为进行有效的阻断;试。
机房等级保护差距测评报告
机房等级保护差距测评报告信息系统等级测评基本信息表声明本报告是××单位平台的等级保护差距测评报告。
本报告结论的有效性建立在用户提供材料的真实性基础上。
本报告中给出的结论仅对被测信息系统当时的安全状态有效,当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。
本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论。
在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。
**机构二O一四年六月目录错误!未找到引用源。
报告摘要一、系统概述$$部门于2014年5月委托**机构对其建设的××单位平台进行差距测评。
××单位平台是是社会公众了解××单位工作、是社会公众了解政府工作、开展服务事项网上办理工作重要工具,是高栏港区向社会公众发布政府信息、进行网络申办与审批工作的重要平台。
二、测评范围和主要内容本次测评是按照GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》内第二级信息系统的安全要求进行差距测评。
测试范围包括:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,此次测评总共测评项为175项。
三、等级测评结果通过对××单位平台的测评,发现系统存在的主要问题有:物理安全:1、物理访问控制:机房内未部署视频监控系统。
2、防盗窃和防破坏:网络设备、安全设备、通信线缆均没有黏贴相应的且不易除去的标签;机房内未部署防盗报警系统。
3、防火:机房内未部署消防自动报警系统和灭火器。
4、温湿度控制:更换普通空调,采用精密空调,同时部署机房环境监控系统。
网络安全:1、结构安全:未按照业务功能以及部门办公划分多个vlan,需要部署防火墙、WAF防火墙、入侵检测设备和安全审计系统。
等级保护差距分析与改进报告_技术准三级
三级符合性物理位置的选择(G3)a) 现有机房和放置终端计算机设备的办公场地的环境条件是否能够满足信息系统业务需求和安全管理需求,是否具有基本的防震、防风和防雨等能力;机房场地是否符合选址要求;b) 是否存在因机房和办公场地环境条件引发的安全事件或安全隐患;如果某些环境条件不能满足,是否及时采取了补救措施;c) 机房和办公场地是否在具有防震、防风和防雨等能力的建筑内;d) 机房场地是否不在建筑物的高层或地下室,以及用水设备的下层或隔壁。
符合;物理访问控制(G3)a) 是否对机房进行了划分区域管理,是否对各个区域都有专门的管理要求;b) 是否认真执行有关机房出入的管理规定,是否对进入机房的人员记录在案;c)机房出入口是否有专人值守,是否有值守记录,以及进出机房的人员登记记录;检查机房是否不存在值守人员控制之外的出入口;d) 是否有进入机房的人员身份鉴别措施,如戴有可见的身份辨识标识;e)电子门禁系统记录是否能够鉴别和记录进入的人员身份;符合;防盗窃和防破坏(G1)a) 哪些防止设备、介质等丢失的保护措施;b) 主要设备放置位置是否做到安全可控,设备或主要部件是否进行了固定和标记,通信线缆是否铺设在隐蔽处;是否设置了冗余或并行的通信线路;是否对机房安装的防盗报警系统和监控报警系统进行定期维护检查;c) 在介质管理中,是否进行了分类标识,是否存放在介质库或档案室中;d) 主要设备是否放置在机房内或其它不易被盗窃和破坏的可控范围内;检查主要设备或设备的主要部件的固定情况,是否不易被移动或被搬走,是否设置明显的不易除去的标记;e) 通信线缆铺设是否在隐蔽处(如铺设在地下或管道中等);f) 机房的摄像、传感等监控报警系统是否符合;防雷击(G1)a) 为防止雷击事件采取了哪些防护措施,机房建筑是否设置了避雷装置,是否通过验收或国家有关部门的技术检测;询问机房计算机系统接地是否设置了专用地线;是否在电源和信号线上安装避雷装置,以避免感应雷击;b) 机房建筑是否有避雷装置,是否有交流地线;c) 机房是否安装防雷保安器等装置。
机房等级保护差距测评报告
机房等级保护差距测评报告信息系统等级测评基本信息表声明本报告是××单位平台的等级保护差距测评报告。
本报告结论的有效性建立在用户提供材料的真实性基础上。
本报告中给出的结论仅对被测信息系统当时的安全状态有效,当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。
本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论。
在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。
**机构二O一四年六月目录错误!未找到引用源。
报告摘要一、系统概述$$部门于2014年5月委托**机构对其建设的××单位平台进行差距测评。
××单位平台是是社会公众了解××单位工作、是社会公众了解政府工作、开展服务事项网上办理工作重要工具,是高栏港区向社会公众发布政府信息、进行网络申办与审批工作的重要平台。
二、测评范围和主要内容本次测评是按照GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》内第二级信息系统的安全要求进行差距测评。
测试范围包括:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,此次测评总共测评项为175项。
三、等级测评结果通过对××单位平台的测评,发现系统存在的主要问题有:物理安全:1、物理访问控制:机房内未部署视频监控系统。
2、防盗窃和防破坏:网络设备、安全设备、通信线缆均没有黏贴相应的且不易除去的标签;机房内未部署防盗报警系统。
3、防火:机房内未部署消防自动报警系统和灭火器。
4、温湿度控制:更换普通空调,采用精密空调,同时部署机房环境监控系统。
网络安全:1、结构安全:未按照业务功能以及部门办公划分多个vlan,需要部署防火墙、WAF防火墙、入侵检测设备和安全审计系统。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
评审和修订(G2)
应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订。
安全管理机构
岗位设置(G1/G2)
a)应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;
b)应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。
c)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
d)应启用身份鉴别、以及登录失败处理功能,并根据安全策略配置相关参数。
d)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查
访问控制(S1/s2)
a) 应提供访问控制功能控制用户组/用户对系统功能和用户数据的访问;
b)应确保提供软件设计的相关文档和使用指南;
c)应在软件安装之前检测软件包中可能存在的恶意代码;
d)应要求开发单位提供软件源代码,并审查软件中可能存在的后门。
工程实施(G1/G2)
a)应指定或授权专门的部门或人员负责工程实施过程的管理;
c)应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案;
d)应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。
产品采购和使用(G1/G2)
a)应确保安全产品采购和使用符合国家的有关规定;
b)应确保密码产品采购和使用符合国家密码主管部门的要求;
防火(G1/G2)
a)机房应设置灭火设备。
b)火灾自动报警系统
防水和防潮(G1/G2)
a) 水管安装,不得穿过机房屋顶和活动地板下;
b) 应对穿过机房墙壁和楼板的水管增加必要的保护措施;
b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
防静电(G2)
关键设备应采用必要的接地防静电措施
温湿度控制(G1/G2)
主机安全
身份鉴别(S1/S2)
a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
a) 应将主要设备放置在机房内;
b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记。
cபைடு நூலகம் 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
d) 应对介质分类标识,存储在介质库或档案室中;
e) 主机房应安装必要的防盗报警设施。
防雷击(G1/G2)
a)机房建筑应设置避雷装置。
b) 机房应设置交流电源地线。
沟通和合作(G1/G2)
a) 应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通;
b)应加强与兄弟单位、公安机关、电信公司的合作与沟通。
审核和检查(G2)
安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
人员安全管理
人员录用(G1/G2)
网络安全
结构安全(G1/G2)
a) 应保证关键网络设备的业务处理能力满足基本业务需要;
b)具备冗余空间,满足业务高峰期需要;
c) 应保证接入网络和核心网络的带宽
d)带宽满足业务高峰期需要
e) 应绘制与当前运行情况相符的网络拓扑结构图;
f) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
a)应通过设定终端接入方式、网络地址范围等条件限制终端登录;
b)应根据安全策略设置登录终端的操作超时锁定;
c)应限制单个用户对系统资源的最大或最小使用限度。
应用安全
身份鉴别(S1/s2)
a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别;
b)应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;
b)应保证无法删除、修改或覆盖审计记录;
c)审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。
通信完整性(S1/S2)
a)应采用约定通信会话方式的方法保证通信过程中数据的完整性。
b)应采用校验码技术保证通信过程中数据的完整性。
通信保密性(S2)
a)在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;
b)应告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒;
c)应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训。
外部人员访问管理(G1)
应确保在外部人员访问受控区域前得到授权或审批。
应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。
a) 应立即终止由于各种原因离岗员工的所有访问权限;
b)应规范人员离岗过程,及时终止离岗员工的所有访问权限;
c)应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;
d)应办理严格的调离手续。
人员考核(G2)
应定期对各个岗位的人员进行安全技能及安全认知的考核。
安全意识教育和培训(G1/G2)
a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;
c)应指定或授权专门的部门负责产品的采购。
自行软件开发(G1/G2)
a) 应确保开发环境与实际运行环境物理分开;
b)应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;
c)应确保提供软件设计的相关文档和使用指南,并由专人负责保管。
外包软件开发(G1/G2)
a应根据开发要求检测软件质量;
b)应对通信过程中的敏感信息字段进行加密。
软件容错(A1/A2)
a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;
b)在故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措施。
资源控制(A2)
a)当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;
c)应对安全管理活动中重要的管理内容建立安全管理制度;
d)应对安全管理人员或操作人员执行的重要管理操作建立操作规程。
制定和发布(G1/G2)
a) 应指定或授权专门的人员负责安全管理制度的制定;
b)应指定或授权专门的部门或人员负责安全管理制度的制定;
c)应组织相关人员对制定的安全管理制度进行论证和审定;
安全审计(G2)
a)审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;
b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
d)应保护审计记录,避免受到未预期的删除、修改或覆盖等。
具体事项
详细要求
系统现状
备注
技 术 要 求
物理安全
物理位置的选择(G2)
机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
物理访问控制(G1/G2)
a)应安排专人负责,控制、鉴别和记录进入的人员;
b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围.
防盗窃和防破坏(G1/G2)
人员配备(G1/G2)
a)应配备一定数量的系统管理员、网络管理员、安全管理员等;
b)安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。
授权和审批(G1/G2)
a)应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批。
b) 应针对关键活动建立审批流程,并由批准人签字确认。
访问控制(G1/G2)
a) 应在网络边界部署访问控制设备,启用访问控制功能;
b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。
c) 应根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包出入;
d) 应通过访问控制列表对系统资源实现允许或拒绝用户访问,控制粒度至少为用户组。
a)机房应设置必要的温、湿度控制设施,使机房温、湿度的变化在设备运行所允许的范围之内。
b)机房应设置温、湿度自动调节设施,
电力供应(A1/A2)
a)应在机房供电线路上配置稳压器和过电压防护设备。
b) 应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
电磁防护(S2)
电源线和通信线缆应隔离铺设,避免互相干扰。
系统建设管理
系统定级(G1/G2)
a)应明确信息系统的边界和安全保护等级;
b)应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由;
c)应确保信息系统的定级结果经过相关部门的批准。
安全方案设计(G1/G2)
a)应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施;
b)应以书面形式描述对系统的安全保护要求、策略和措施等内容,形成系统的安全方案;
入侵防范(G1/G2)
a)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并保持系统补丁及时得到更新。
b)通过设置升级服务器等方式保持系统补丁及时得到更新。
恶意代码防范(G1/G2)
a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。
b) 应支持防恶意代码软件的统一管理。
资源控制(A2)
b)依据安全策略控制用户对文件、数据库表等客体的访问;