信息系统安全等级保护(二级)基本要求
国家信息安全等级第二级保护制度
国家信息安全等级保护制度(二级)一、技术要求1、物理安全1.1物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;1.2 物理访问控制(1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;(2)应批准进入机房的来访人员,限制和监控其活动范围。
1.3 防盗窃和防破坏(1)应将主要设备放置在物理受限的范围内;(2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;(3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;(4)应对介质分类标识,存储在介质库或档案室中;(5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
1.4 防雷击(1)机房建筑应设置避雷装置;(2)应设置交流电源地线。
1.5 防火应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
1.6 防水和防潮(1)水管安装,不得穿过屋顶和活动地板下;(2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;(3)应采取措施防止雨水通过屋顶和墙壁渗透;(4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
1.7 防静电应采用必要的接地等防静电措施1.8 温湿度控制应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.9 电力供应(1)计算机系统供电应与其他供电分开;(2)应设置稳压器和过电压防护设备;(3)应提供短期的备用电力供应(如UPS设备)。
1.10 电磁防护(1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;(2)电源线和通信线缆应隔离,避免互相干扰。
2、网络安全2.1结构安全与网段划分(1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;(2)应设计和绘制与当前运行情况相符的网络拓扑结构图;(3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽;(4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径;(5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;(6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
二级等保标准
二级等保标准信息安全是当今社会发展的重要组成部分,随着网络技术的不断发展,信息安全问题也日益突出。
为了保障国家重要信息基础设施和关键信息系统的安全,我国制定了《信息安全等级保护管理办法》,并根据实际情况对信息系统进行分级保护。
其中,二级等保标准是信息系统安全等级保护的重要标准之一。
二级等保标准是指对国家重要信息基础设施和关键信息系统的安全保护等级要求。
按照《信息安全等级保护管理办法》的规定,二级等保标准主要适用于对国家安全、经济安全、社会稳定和公民合法权益具有重要影响的信息系统。
这些信息系统一旦遭受到破坏或泄露,将对国家和社会造成严重损失,因此需要按照二级等保标准进行安全保护。
二级等保标准主要包括以下几个方面的内容:首先,二级等保标准对信息系统的安全防护措施提出了具体要求。
包括对网络安全、数据安全、系统安全等方面的要求,要求信息系统具有较强的抗攻击能力和安全防护能力,能够有效地防范各类安全威胁。
其次,二级等保标准对信息系统的安全管理提出了要求。
要求建立健全的安全管理制度,明确安全管理的责任和权限,加强对系统的安全监控和审计,及时发现和处理安全事件,确保信息系统的安全稳定运行。
再次,二级等保标准对信息系统的安全保密提出了要求。
要求对系统中的重要数据和关键信息进行加密和保护,防止未经授权的访问和泄露,保障信息的机密性和完整性。
最后,二级等保标准对信息系统的应急响应能力提出了要求。
要求建立健全的安全应急预案,加强安全事件的处置和应急响应能力,及时有效地应对各类安全威胁和攻击,最大程度地减少安全事件对系统造成的损失。
总之,二级等保标准是我国信息安全等级保护体系中的重要组成部分,对国家重要信息基础设施和关键信息系统的安全保护起着至关重要的作用。
各相关单位和组织应当严格按照二级等保标准的要求,加强对信息系统的安全保护,提高信息系统的安全防护能力和安全管理水平,确保信息系统的安全稳定运行,为国家的安全和稳定作出应有的贡献。
《信息系统安全等级保护基本要求》二级三级等级保护要求比较
《信息系统安全等级保护基本要求》二级三级等级保护要求比较信息系统安全等级保护是指根据信息系统的安全风险等级,对信息系统进行分级管理,制定相应的安全保护要求和技术措施。
我将对二级和三级等级保护要求进行比较。
一、安全管理要求1.1二级等级保护要求:有完善的信息系统安全管理规章制度,明确的安全运维责任,健全的安全组织机构和安全管理人员。
实施定期的安全教育培训,对安全事件、漏洞、威胁进行分析和处理。
建立安全审计体系,对安全事件进行追踪和溯源。
1.2三级等级保护要求:在二级的基础上,要求建立风险管理体系,对信息系统的风险进行评估和控制。
建立信息安全委员会或安全管理领导小组,参与信息系统的安全决策和规划。
实施日志和审计记录的收集和分析,监测安全事件并及时响应。
二、物理安全要求2.1二级等级保护要求:要求建立信息系统的物理安全管理责任制,对关键设备和场所进行安全防护和监控。
设立访问控制措施,限制物理访问权限。
对物理环境进行监控和巡视,防止未经授权的人员进入设备和设施。
2.2三级等级保护要求:在二级的基础上,要求建立设备和设施的防护体系,确保信息系统的可靠性和连续性。
加强对场所、机房、环境等的安全控制,加强监控和预警能力,及时发现并应对风险事件。
三、网络安全要求3.1二级等级保护要求:要求建立网络安全管理机构和网络安全责任制,健全网络边界防护机制。
采取合理的网络隔离措施,确保内外网之间的安全通信。
建立访问控制机制,限制外部访问权限。
定期检查和维护网络设备和系统,防止网络攻击。
3.2三级等级保护要求:在二级的基础上,要求提高网络安全防护能力,完善网络入侵检测和防御系统。
建立网络安全事件管理和响应机制,加强对入侵和攻击的监测和处置。
加强对网络设备和系统的安全管理,规范网络配置和管理。
四、数据安全要求4.1二级等级保护要求:要求建立数据安全管理制度和数据分类管理机制,确保敏感数据的保护和隐私的保密。
采取加密和安全传输措施,保护数据的完整性和可用性。
信息系统安全等级保护基本要求
信息系统安全等级保护基本要求一级要求主要涵盖了最基本的保护要求,主要针对信息系统对外交换的基本要求进行了规定。
其中包括:1.信息系统的身份认证和授权要求。
要求对系统用户的身份进行认证和授权,并限制不同用户对系统资源的访问权限。
2.信息系统的访问控制要求。
要求确保只有经过认证和授权的用户才能访问系统资源,并对访问进行审计记录。
3.信息系统的数据保护要求。
要求对系统中的敏感数据进行加密传输和存储,防止数据泄露或篡改。
4.信息系统的安全审计要求。
要求对系统的安全事件进行监控和记录,并及时发现和报告安全事件。
二级要求在一级要求的基础上进一步要求了信息系统的安全性能和安全管理的要求,包括:1.信息系统的安全配置要求。
要求对系统软件和硬件进行安全配置,确保系统能够按照安全策略工作。
2.信息系统的故障处理要求。
要求对系统故障进行及时处理和修复,以确保系统的可用性和可靠性。
3.信息系统的备份和恢复要求。
要求对系统的重要数据进行定期备份,并能够在发生灾难时进行快速恢复。
4.信息系统的安全管理要求。
要求建立完善的安全管理体系,包括安全策略、安全培训和安全审计等。
三级要求在二级要求的基础上进一步要求了信息系统的安全保护措施和重要业务的安全管理要求,包括:1.信息系统的网络安全要求。
要求对网络进行安全隔离,防止入侵和攻击,并对网络流量进行实时监测和分析。
2.信息系统的业务安全要求。
要求对信息系统的关键业务进行安全管理,并确保业务的连续性和可靠性。
3.信息系统的安全事件响应要求。
要求建立完善的安全事件响应机制,对安全事件进行及时处置和调查。
4.信息系统的安全评估要求。
要求对信息系统进行定期的安全评估和测试,及时发现系统的安全漏洞和风险。
总而言之,信息系统安全等级保护基本要求包括了一级、二级、三级三个等级。
通过合理的安全保护措施和管理措施,确保信息系统的安全性能和安全管理达到相应的要求,可以有效地保护信息系统的完整性、可用性、可信度等安全属性。
国家的信息安全系统等级第二级保护规章制度
国家信息安全等级保护制度(二级)一、技术要求1、物理安全1.1物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;1.2 物理访问控制(1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;(2)应批准进入机房的来访人员,限制和监控其活动范围。
1.3 防盗窃和防破坏(1)应将主要设备放置在物理受限的范围内;(2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;(3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;(4)应对介质分类标识,存储在介质库或档案室中;(5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
1.4 防雷击(1)机房建筑应设置避雷装置;(2)应设置交流电源地线。
1.5 防火应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
1.6 防水和防潮(1)水管安装,不得穿过屋顶和活动地板下;(2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;(3)应采取措施防止雨水通过屋顶和墙壁渗透;(4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
1.7 防静电应采用必要的接地等防静电措施1.8 温湿度控制应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.9 电力供应(1)计算机系统供电应与其他供电分开;(2)应设置稳压器和过电压防护设备;(3)应提供短期的备用电力供应(如UPS设备)。
1.10 电磁防护(1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;(2)电源线和通信线缆应隔离,避免互相干扰。
2、网络安全2.1结构安全与网段划分(1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;(2)应设计和绘制与当前运行情况相符的网络拓扑结构图;(3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽;(4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径;(5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;(6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
二级等保标准
二级等保标准信息安全是当今社会中不可忽视的重要问题,随着互联网的发展和普及,网络安全问题也日益凸显。
为了保护国家的重要信息基础设施和关键信息系统,我国制定了一系列的信息安全标准和规范,其中二级等保标准就是其中之一。
二级等保标准是指信息系统按照国家有关信息安全等级保护的要求,采取相应的安全防护措施,保障信息系统安全运行的标准。
它是我国信息安全等级保护制度中的一个重要环节,也是信息系统安全保护的基本要求之一。
二级等保标准主要包括了信息系统的安全管理、安全技术措施、安全保密管理和应急响应等内容。
在信息系统的安全管理方面,要求建立健全的安全管理制度和安全管理组织,明确安全管理的责任和权限,加强对信息系统安全的监控和评估。
在安全技术措施方面,要求采取有效的网络安全防护措施,包括网络边界防护、主机防护、安全接入控制等,确保信息系统不受到恶意攻击和非法入侵。
在安全保密管理方面,要求建立完善的信息保密制度,对重要信息进行分类保护和加密传输,防止信息泄露和篡改。
在应急响应方面,要求建立健全的信息安全事件应急响应机制,及时发现和处置安全事件,减少安全事件对信息系统的损害。
二级等保标准的实施对于提高信息系统的安全等级、保障国家重要信息基础设施和关键信息系统的安全运行具有重要意义。
它不仅可以有效防范和抵御各类网络安全威胁,保护国家的信息安全,还可以提升我国信息安全保护水平,增强国家的网络安全防护能力。
总的来说,二级等保标准是我国信息安全领域的一项重要标准,它的实施对于保障信息系统的安全运行具有重要意义。
我们应当认真学习和贯彻执行二级等保标准,加强信息安全意识,提高信息安全保护能力,共同维护国家的信息安全。
只有这样,才能更好地推动信息化建设,实现经济社会的可持续发展。
二级系统安全等级保护测评基本要求和测评要求
二级系统安全等级保护测评基本要求和测评要求一、基本要求1.系统安全性能要求:系统必须具备完整性、可靠性和可用性等基本的安全性能要求,能够保护系统不被恶意攻击、未授权访问或数据篡改。
2.系统安全管理要求:系统必须建立完善的安全管理制度,包括安全策略、安全标准、安全管理流程等,保证系统的安全管理工作能够规范、有序进行。
3.安全监控要求:系统必须具备安全监控和警告机制,能够及时发现和报警异常行为或攻击事件,及时采取相应的应对措施。
4.安全保密要求:系统必须保证敏感信息的保密性,对于涉密信息必须采取加密等措施进行保护,同时确保信息的传输和存储是安全可靠的。
5.安全培训要求:系统必须定期组织安全培训和演练,提高系统用户和管理人员的安全意识和技能,使其具备较强的应对安全事件的能力。
二、测评要求1.系统安全性评估:对系统的安全性进行全面评估,包括系统的安全策略、安全架构、安全防护机制等,确认系统是否满足二级保护等级的安全要求。
2.安全审计:对系统的操作日志进行审计和分析,检查系统是否存在异常行为或安全漏洞,并跟踪追溯攻击事件,找出系统的安全弱点。
3.风险评估:对系统可能存在的安全风险进行评估和分析,包括系统的物理安全、网络安全、数据安全等方面,找出系统的安全隐患和风险点。
4.安全防护测试:对系统的安全防护机制进行测试,包括系统的防火墙、入侵检测与防御系统、访问控制机制等,验证系统的安全性能。
5.安全运维评估:对系统的安全运维管理进行评估,包括安全巡检、安全备份、补丁管理等,验证系统的安全管理工作是否规范和有效。
6.安全隐患整改:针对测评中发现的安全隐患和问题,制定整改措施,并跟踪整改情况,确保系统的安全问题得到及时解决和修复。
7.测评报告编写:根据测评的结果和分析,编写测评报告,包括系统安全性评估报告、安全防护测试报告、安全风险评估报告等,为系统的安全改进提供依据。
总结起来,二级系统安全等级保护测评的基本要求包括系统安全性能、安全管理、安全监控、安全保密和安全培训等方面;而测评要求包括系统安全性评估、安全审计、风险评估、安全防护测试、安全运维评估、安全隐患整改和测评报告编写等方面。
信息系统安全等级保护基本要求
信息系统安全等级保护基本要求1. 引言信息系统在当今社会中扮演着重要的角色,人们依赖着信息系统来进行各种各样的工作、交流和娱乐活动。
随着信息系统的发展和普及,系统的安全性也变得越来越重要。
为了确保信息系统的安全性,信息系统安全等级保护基本要求被制定出来,以指导开发人员、系统管理员和用户对信息系统进行安全保护。
2. 安全等级分类根据信息系统的安全需求和对安全性的要求,信息系统可以分为不同的安全等级。
通常情况下,信息系统可以被分为以下几个等级:2.1. 一级安全等级一级安全等级是指最低等级的信息系统,一般用于非重要的信息处理和存储。
对于一级安全等级的信息系统,主要的安全要求包括防止未经授权的访问、防止信息泄露和防止数据意外损坏或丢失等。
2.2. 二级安全等级二级安全等级是指次低等级的信息系统,通常用于一般的商业和行政应用。
对于二级安全等级的信息系统,除了满足一级安全等级的要求外,还需要提供更强大的安全性保护,例如安全审计、用户身份认证和访问控制等。
2.3. 三级安全等级三级安全等级是指中等等级的信息系统,通常用于对机密信息进行处理和存储。
对于三级安全等级的信息系统,除了满足一级和二级安全等级的要求外,还需要提供加密通信和数据完整性验证等更高级别的安全保护。
2.4. 四级安全等级四级安全等级是指最高等级的信息系统,通常用于对绝密信息进行处理和存储。
对于四级安全等级的信息系统,除了满足前面三个等级的要求外,还需要提供更严格的访问控制、密钥管理和身份认证等安全保护。
3. 信息系统安全等级保护基本要求为了对不同等级的信息系统进行安全保护,以下是信息系统安全等级保护的基本要求:3.1. 风险评估在开发或部署信息系统时,应对系统进行全面的风险评估,确定系统可能面临的安全威胁和风险,并采取相应的措施来降低风险。
3.2. 访问控制对于所有等级的信息系统,都应实施严格的访问控制措施,确保只有经授权的用户可以访问系统和数据,并且用户访问的权限应该与其职责和需要相符合。
信息系统安全等级保护 二级 基本要求
(G2)
b) 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件
设备;
c) 应办理严格的调离手续。
43
人 员 考 核 应定期对各个岗位的人员进行安全技能及安全认知的考核。
(G2)
44
安全意识教 a) 应对各类人员进行安全意识教育、岗位技能培训和相关安全
育 和 培 训 技术培训;
(G2)
b) 应告知人员相关的安全责任和惩戒措施,并对违反违背安全
运行、系统漏洞和数据备份等情况。
41
人员安全 人 员 录 用 a) 应指定或授权专门的部门或人员负责人员录用;
管理 (G2)
b) 应规范人员录用过程,对被录用人员的身份、背景和专业资
格等进行审查,对其所具有的技术技能进行考核;
c) 应与从事关键岗位的人员签署保密协议。
42
人 员 离 岗 a) 应规范人员离岗过程,及时终止离岗员工的所有访问权限;
进行审批;
b) 应针对关键活动建立审批流程,并由批准人签字确认。
39
沟通和合作 a) 应加强各类管理人员之间、组织内部机构之间以及信息安全
(G2)
职能部门内部的合作与沟通;
b) 应加强与兄弟单位、公安机关、电信公司的合作与沟通。
40
审查和检查 安全管理员应负责定期进行安全检查,检查内容包括系统日常
(G2)
(S2)
27
通信保密性 a) 在通信双方建立连接之前,应用系统应利用密码技术进行会
(S2)
话初始化验证;
b) 应对通信过程中的敏感信息字段进行加密。
28
软 件 容 错 a) 应提供数据有效性检验功能,保证通过人机接口输入或通过
(A2)
通信接口输入的数据格式或长度符合系统设定要求;
等保二级制度要求标准
等保二级制度要求标准
等保二级制度要求标准主要包括以下几个方面:
1. 物理安全:包括物理位置的选择、物理访问控制和防盗、防火、防水、防雷、温湿度控制、电力供应、防静电和电磁防护等。
2. 网络安全:包括结构安全、安全审计、访问控制、边界完整性检查、恶意代码防范、入侵防范和网络设备防护等。
3. 主机安全:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等。
4. 应用安全:包括身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等。
5. 数据安全:包括数据完整性和保密性、数据的备份和恢复。
6. 基本管理要求:通过等级保护工作发现单位信息系统存在的安全隐患和不足,进行安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险,维护单位良好的形象。
此外,二级等保测评标准是信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
如需更多详细信息,可以查看国家信息安全等级保护网发布的相关文件。
信息安全等级保护基本要求 2008 等保1.0
信息安全等级保护基本要求 2008 等保1.0信息安全等级保护(简称等保)是中国国家强制实施的一项信息安全制度,旨在通过对信息系统进行分级分类,实施不同级别的安全保护措施,以确保信息系统的安全和可靠运行。
2008年发布的《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008),通常被称为等保1.0,是该制度的首个正式标准。
等保 1.0将信息系统划分为五个安全保护等级,从低到高分别为:1. 一级保护:适用于安全性要求不高的信息系统,主要防范一般性的信息安全隐患。
2. 二级保护:适用于需要保护个人隐私和企业商业秘密的信息系统,要求有一定的安全防护能力。
3. 三级保护:适用于涉及国家安全、社会秩序和公共利益的信息系统,需要较高的安全防护水平。
4. 四级保护:适用于承担重要国计民生任务的信息系统,要求非常高的安全防护能力。
5. 五级保护:适用于国家安全的关键信息系统,要求最严格的安全防护措施。
等保1.0的基本要求包括以下几个方面:1. 物理安全:包括对信息系统所在环境的物理访问控制、防火、防水、防盗等措施。
2. 网络安全:包括网络隔离、入侵检测、防火墙设置、数据传输加密等措施。
3. 主机安全:包括操作系统安全加固、病毒防护、系统漏洞管理等措施。
4. 应用安全:包括软件安全开发生命周期管理、代码审计、安全测试等措施。
5. 数据安全与备份恢复:包括数据加密、完整性校验、备份策略和灾难恢复计划等措施。
6. 安全管理:包括制定安全政策、组织安全培训、进行安全审计和应急响应等措施。
等保 1.0的实施对于提升中国信息系统的安全管理水平起到了重要作用,但随着信息技术的快速发展和新的安全威胁的出现,等保1.0的一些内容已经不能完全满足当前的安全需求。
因此,中国在等保1.0的基础上进行了修订和升级,发布了《信息安全技术信息系统安全等级保护基本要求》新版本(等保2.0),以适应新的安全挑战。
等保2.0在原有基础上增加了对云计算、大数据、物联网等新技术的安全防护要求,并强化了数据安全和个人信息安全的重要性。
《信息系统安全等级保护基本要求》二级三级等级保护要求比较
《信息系统安全等级保护基本要求》二级三级等级保护要求比较首先,二级和三级等级保护的安全目标有所差异。
二级等级保护主要目标是保证信息系统的技术防护能力,主要是为了平衡安全性和可用性。
而三级等级保护的主要目标是保护信息系统的完整性、可用性和可靠性,主要是为了保护系统的运行环境和数据安全。
其次,二级和三级等级保护的物理防护措施有所不同。
二级等级保护要求对信息系统进行物理设备控制,包括物理访问控制、入侵防护和物理环境控制等。
而三级等级保护要求在二级的基础上增加了对安全控制设备、系统设备的物理访问控制和防护,以及对系统运行环境的物理环境控制。
再次,二级和三级等级保护的网络安全要求有所不同。
二级等级保护要求对网络进行安全防护,包括网络隔离、访问控制和用户身份认证等措施。
而三级等级保护要求在二级的基础上增加了网络审计和行为分析,以及对网络通信的加密和数据完整性的保护。
此外,二级和三级等级保护在系统安全管理和应急响应方面也有所差异。
二级等级保护要求建立完善的安全管理制度和风险评估制度,以及安全培训和意识教育。
而三级等级保护要求在二级的基础上增加了安全测试和漏洞修复管理,以及建立应急响应机制和备份恢复机制。
最后,二级和三级等级保护的安全审计和日志管理要求也有所差异。
二级等级保护要求对信息系统进行安全审计和日志管理,包括对关键数据和操作进行审计和记录。
而三级等级保护要求在二级的基础上增加了对系统运行状态和重要日志进行实时监控和管理,以及对异常行为和威胁进行分析和报告。
综上所述,二级和三级等级保护在安全目标、物理防护、网络安全、系统安全管理和应急响应、安全审计和日志管理等方面存在一定的差异。
在实际应用中,根据系统的安全需求和保护要求,选择适当的等级保护,采取相应的技术措施和管理措施,确保信息系统的安全性和可靠性。
等保二级标准
等保二级标准随着信息技术的快速发展,网络安全问题日益凸显,信息系统的安全性也成为了各个行业关注的焦点。
为了保障国家重要信息基础设施和关键信息系统的安全,我国制定了《信息安全等级保护基本要求》,通俗来讲就是等保标准。
等保标准是信息系统安全保护的基本要求,它分为四个等级,分别是一级、二级、三级和四级。
本文将重点介绍等保二级标准的相关内容。
首先,等保二级标准是指在一般的商业系统、政府系统、金融系统等信息系统中,需要保护的信息安全等级。
根据等保标准,等保二级的信息系统需要具备以下几个方面的能力,首先是系统安全等级划分,其次是安全保护措施的实施,再次是信息系统安全管理制度的建立和完善,最后是信息系统安全事件的处置能力。
这些能力的要求,旨在保障信息系统的安全性,防范各种潜在的安全威胁。
其次,等保二级标准对信息系统的安全保护措施提出了具体的要求。
在网络安全方面,等保二级要求信息系统需要具备完善的防火墙、入侵检测系统、安全审计系统等安全设备,并且需要对网络进行实时监控和安全事件的快速响应能力。
在数据安全方面,等保二级要求信息系统需要对重要数据进行加密存储和传输,确保数据的机密性和完整性。
在身份认证和访问控制方面,等保二级要求信息系统需要建立完善的身份认证机制和访问控制策略,防止未授权的访问和操作。
另外,等保二级标准还对信息系统的安全管理提出了要求。
信息系统安全管理是保障信息系统安全的重要基础,等保二级要求信息系统需要建立健全的安全管理制度,包括安全培训、安全漏洞管理、安全事件响应等方面。
此外,等保二级还要求信息系统需要定期进行安全检查和评估,及时发现和解决安全隐患,确保系统的安全性。
最后,等保二级标准要求信息系统需要具备安全事件的处置能力。
安全事件是指对信息系统造成或可能造成危害的各种安全事件,包括病毒攻击、网络攻击、数据泄露等。
等保二级要求信息系统需要建立完善的安全事件处置机制,及时响应安全事件,并采取有效措施进行处置,最大限度地减少安全事件对系统的影响。
安全等级保护2级和3级等保要求
管理要求项安全管理机构岗位设置人员配备授权和审批沟通和合作审核和检查安全管理制度管理制度制定和发布制定和发布评审和修订人员安全管理人员录用人员离岗人员考核安全意识教育和培训第三方人员访问管理系统定级安全方案设计产品采购自行软件开发外包软件开发系统建设管理工程实施测试验收系统交付系统备案安全测评安全服务商选择环境管理资产管理介质管理设备管理系统运维管理监控管理网络安全管理系统安全管理恶意代码防范管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理二级等保1)应设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人岗位,定义各负责人的职责;2)应设立系统管理人员、网络管理人员、安全管理人员岗位,定义各个工作岗位的职责;3)应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
1)应配备一定数量的系统管理人员、网络管理人员、安全管理人员等;2)安全管理人员不能兼任网络管理员、系统管理员、数据库管理员等。
1)应授权审批部门及批准人,对关键活动进行审批;2)应列表说明须审批的事项、审批部门和可批准人。
1)应加强各类管理人员和组织内部机构之间的合作与沟通,定期或不定期召开协调会议,共同协助处理信息安全问题;2)信息安全职能部门应定期或不定期召集相关部门和人员召开安全工作会议,协调安全工作的实施;3)应加强与兄弟单位、公安机关、电信公司的合作与沟通,以便在发生安全事件时能够得到及时的支持。
1)应由安全管理人员定期进行安全检查,检查内容包括用户账号情况、系统漏洞情况、系统审计情况等。
1)应制定信息安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;2)应对安全管理活动中重要的管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;3)应对要求管理人员或操作人员执行的重要管理操作,建立操作规程,以规范操作行为,防止操作失误。
信息安全等级保护基本要求
信息安全技术信息系统安全等级保护基本要求 Information Security Technology-Basic Requirements for ClassifiedSecurity Protection of Information System(试用稿_修订版V1.1)目 录目 录 (I)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 标记说明 (1)5 基本概念 (2)5.1. 信息系统概述 (2)5.2. 信息系统的五个安全等级 (3)5.3. 不同安全等级的安全保护能力 (3)5.4. 技术要求和管理要求 (4)5.5. 技术要求的三种类型 (5)5.6. 基本要求的选择 (5)6 安全目标 (6)6.1. 第1级安全目标 (6)6.1.1. 技术目标 (6)6.1.2. 管理目标 (7)6.2. 第2级安全目标 (8)6.2.1. 技术目标 (8)6.2.2. 管理目标 (9)6.3. 第3级安全目标 (11)6.3.1. 技术目标 (11)6.3.2. 管理目标 (13)6.4. 第4级安全目标 (14)6.4.1. 技术目标 (14)6.4.2. 管理目标 (17)7 第1级基本要求 (18)7.1. 技术要求 (18)7.1.1. 物理安全 (18)7.1.2. 网络安全 (19)7.1.3. 主机系统安全 (19)7.1.4. 应用安全 (20)7.1.5. 数据安全 (20)7.2. 管理要求 (20)7.2.1. 安全管理机构 (21)7.2.2. 安全管理制度 (21)7.2.3. 人员安全管理 (21)7.2.4. 系统建设管理 (22)7.2.5. 系统运维管理 (23)8.1. 技术要求 (25)8.1.1. 物理安全 (25)8.1.2. 网络安全 (26)8.1.3. 主机系统安全 (27)8.1.4. 应用安全 (29)8.1.5. 数据安全 (30)8.2. 管理要求 (31)8.2.1. 安全管理机构 (31)8.2.2. 安全管理制度 (32)8.2.3. 人员安全管理 (32)8.2.4. 系统建设管理 (33)8.2.5. 系统运维管理 (35)9 第3级基本要求 (38)9.1. 技术要求 (38)9.1.1. 物理安全 (38)9.1.2. 网络安全 (40)9.1.3. 主机系统安全 (42)9.1.4. 应用安全 (44)9.1.5. 数据安全 (46)9.2. 管理要求 (47)9.2.1. 安全管理机构 (47)9.2.2. 安全管理制度 (49)9.2.3. 人员安全管理 (49)9.2.4. 系统建设管理 (50)9.2.5. 系统运维管理 (53)10 第4级基本要求 (58)10.1. 技术要求 (58)10.1.1. 物理安全 (59)10.1.2. 网络安全 (60)10.1.3. 主机系统安全 (62)10.1.4. 应用安全 (65)10.1.5. 数据安全 (68)10.2. 管理要求 (69)10.2.1. 安全管理机构 (69)10.2.2. 安全管理制度 (70)10.2.3. 人员安全管理 (71)10.2.4. 系统建设管理 (72)10.2.5. 系统运维管理 (75)11 第5级基本要求 (81)附录A 威胁描述 (82)A2.第2级对抗威胁 (82)A3.第3级对抗威胁 (84)A4.第4级对抗威胁 (86)附录B安全威胁与安全目标的关系 (89)B1.一级 (89)B2.二级 (90)B3.三级 (92)B4.四级 (94)附录C 安全目标与基本要求的关系 (98)C1.一级 (98)C2.二级 (100)C3.三级 (104)C4.四级 (110)附录D 基本要求与安全目标的关系 (117)D1.一级 (117)D2.二级 (119)D3.三级 (122)D4.四级 (125)参考文献 (129)信息安全技术信息系统安全等级保护基本要求1范围本文件规定了信息系统安全等级保护的基本要求,包括基本技术要求和基本管理要求,适用于不同安全等级的信息系统的安全保护。
信息系统安全等级保护基本要求二三级区别对比
信息系统安全等级保护基本要求二三级区别对比1.整体保护目标要求:二级保护要求:主要目标是防范一般性、较常见的攻击、破坏行为,达到初步保证信息系统和信息资源的安全、完整和可靠的要求。
三级保护要求:除了包括二级保护的基本目标外,还追求极高的安全性,主要针对信息系统进行了更加细致的保护要求。
2.安全管理要求:二级保护要求:要求建立健全安全管理体系、制定安全管理制度、编写并执行安全操作规程以及健全安全保密管理制度。
三级保护要求:在二级保护的基础上,要求建立安全责任制、安全培训制度、安全检查制度,并加强安全审计、事故调查和突发事件处理等安全管理工作。
3.通信与安全要求:二级保护要求:要求对系统的通信进行防护,并采取相应的鉴别、授权和审计措施。
三级保护要求:在二级保护的基础上,要求加强通信传输控制,具体包括对数据传输进行加密、鉴别和控制。
4.身份和访问控制要求:二级保护要求:要求建立较为完善的身份管理和访问控制措施,确保系统的用户合法合规、正确授权和有效审计。
三级保护要求:在二级保护的基础上,要求全方位加强身份和访问控制,包括确保用户身份的一致性、访问控制的紧密性、权限分配的合理性和审计跟踪的完整性。
5.存储和处理要求:二级保护要求:要求采取措施保证信息存储和处理的安全性,具体包括安全备份、防病毒和防泄密措施。
三级保护要求:在二级保护的基础上,要求加强对信息存储和处理的保护,包括数据的加密、完整性验证和安全审计。
6.传输与传播控制要求:二级保护要求:要求对信息传输和传播进行控制,包括鉴别、授权、加密、签名等措施。
三级保护要求:在二级保护的基础上,要求加强信息传输和传播的控制,包括防止信息泄露、劫持和篡改等。
综上所述,二级保护主要针对一般性、较常见的攻击进行防范,达到初步保证信息系统和信息资源的安全和可靠;而三级保护在二级保护的基础上,追求更高的安全性,加强了对信息系统各方面的保护要求。
具体而言,三级保护在安全管理、通信与安全、身份和访问控制、存储和处理、传输与传播控制等方面都有更加细致和严格的要求。
信息系统安全保护等级基本要求(S2A3G3)
信息系统安全等级保护基本要求1 范围本标准规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导分等级的信息系统的安全建设和监督管理。
2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8 信息技术词汇第8部分:安全GB17859-1999 计算机信息系统安全保护等级划分准则GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南3 术语和定义GB/T 5271.8和GB 17859-1999确立的以及下列术语和定义适用于本标准。
3.1安全保护能力 security protection ability系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。
4 信息系统安全等级保护概述4.1 信息系统安全保护等级信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高划分为五级,五级定义见GB/T AAAA-AAAA。
4.2 不同等级的安全保护能力不同等级的信息系统应具备的基本安全保护能力如下:第一级安全保护能力:应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。
第二级安全保护能力:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。
GBT22239-2019信息安全技术网络安全等级保护各等级基本要求
c)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
c)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
7.1.1.7
防静电
8.1.1.7
防静电
9.1.1.7
防静电
应采用防静电地板或地面并采用必要的接地防静电措施。
a)应采用防静电地板或地面并采用必要的接地防静电措施;
a)电源线和通信线缆应隔离铺设,避免互相干扰;
a)电源线和通信线缆应隔离铺设,避免互相干扰;
b)应对关键设备实施电磁屏蔽。
b)应对关键设备或关键区实施电磁屏蔽。
b)应将通信线缆铺设在隐蔽安全处;
b)应将通信线缆铺设在隐蔽安全处;
c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。
c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。
6.1.1.3
防雷击
7.1.1.4
防雷击
8.1.1.4
防雷击
9.1.1.4
防雷击
应将各类机柜、设施和设备等通过接地系统安全接地。
b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
c)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。
c)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。
6.1.1.5
防水和防潮
7.1.1.6
防水和防潮
8.1.1.6
应在机房供电线路上配置稳压器和过电压防护设备。
a)应在机房供电线路上配置稳压器和过电压防护设备。
a)应在机房供电线路上配置稳压器和过电压防护设备;
二级系统安全等级保护基本要求和测评要求
. z.-a)应访谈物理安全负责人,问询现有机房和放置终端计算机设备的办公场地的环境条件是否能够满足信息系统业务需求和安全管理需求,是否具有基本的防震、防风和防 /雨等能力;b) 应检查机房和办公场地是否在具有防震、防风和防雨等能力的建造。
a) 机房出入应安排专人负责, 控 a) 机房出入应安排专人负责, 控制、 鉴别a) 应访谈物理安全负责人, 了解部署了哪些控制人员进出机房的保护措施;b) 应检查机房安全管理制度,查看是否有关于机房出入方面的规定;c) 应检查机房出入口是否有专人值守, 是否有值守记录及人员进入机房的登记记录;检查机房是否不存在专人值守之外的其他出入口;d) 应检查是否有来访人员进入机房的审批记录,查看审和记录进入的人员;b)制、鉴别和记录进入的人员-a) 应将主要设备放置在机房; a) 应将主要设备放置在机房;b) 应将设备或者主要部件进行固 b) 应将设备或者主要部件进行固定,并设定,并设置明显的不易除去的标置明显的不易除去的标记;批记录是否包括来访人员的访问围。
a) 应访谈物理安全负责人,了解采取了哪些防止设备、介质等丢失的保护措施;b) 应访谈机房维护人员,问询关键设备放置位置是否做到记 c)安全可控,设备或者主要部件是否进行了固定和标记,通信线缆是否铺设在隐蔽处;是否对机房安装的防盗报警设施d)并定期进行维护检查;c) 应访谈资产管理员,介质是否进行了分类标识管理,介e)质是否存放在介质库或者档案室进行管理;应检查关键设备是否放置在机房或者其它不易被盗窃破坏的可控围;检查关键设备或者设备的主要部件的固定情况,查看其是否不易被挪移或者被搬走,是否设置明显的不易除去的标记;e) 应检查通信线缆铺设是否在隐蔽处;f) 应检查机房防盗报警设施是否正常运行,并查看是否有. z.a) 机房建造应设置避雷装置a) 机房应设置灭火设备-a) 机房建造应设置避雷装置;b)a) 机房应设置灭火设备和。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
17
主机安全 身份鉴别(S2)
18
19
20 21
22
a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴 别; b) 操作系统和数据库系统管理用户身份标识应具有不易被冒 用的特点,口令应有复杂度要求并定期更换; c) 应启用登录失败处理功能,可采取结束会话、限制非法登 录次数和自动退出等措施; d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别 信息在网络传输过程中被窃听; e) 应为操作系统和数据库系统的不同用户分配不同的用户 访问控制(S2) a) 应启用访问控制功能,依据安全策略控制用户对资源的访 问; b) 应实现操作系统和数据库系统特权用户的权限分离; c) 应限制默认帐户的访问权限,重命名系统默认帐户,修改这 些帐户的默认口令; 安全审计(G2) a) 审计范围应覆盖到服务器上的每个操作系统用户和数据库 用户; b) 审计内容应包括重要用户行为、系统资源的异常使用和重 要系统命令的使用等系统内重要的安全相关事件; c) 审计记录应包括事件的日期、时间、类型、主体标识、客 体标识和结果等; d) 应保护审计记录,避免受到未预期的删除、修改或覆盖等 入侵防范(G2) 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程 序,并通过设置升级服务器等方式保持系统补丁及时得到更新 恶 意 代 码 防 范 a) 应安装防恶意代码软件,并及时更新防恶意代码软件版本和 (G2) 恶意代码库; b) 应支持防恶意代码软件的统一管理。 资源控制(A2) a) 应通过设定终端接入方式、网络地址范围等条件限制终端 登录; b) 应根据安全策略设置登录终端的操作超时锁定; c) 应限制单个用户对系统资源的最大或最小使用限度。
30
31 32
33
数据安全 数据完整性(S2) 应能够检测到鉴别信息和重要业务数据在传输过程中完整性受 及备份恢 到破坏。 复 数据保密性(S2) 应采用加密或其他保护措施实现鉴别信息的存储保密性。 备份和恢复(A2) a) 应能够对重要信息进行备份和恢复; b) 应提供关键网络设备、通信线路和数据处理系统的硬件冗 余,保证系统的可用性。 管理要求 安全管理 管理制度(G2) a) 应制定信息安全工作的总体方针和安全策略,说明机构安 制度 全工作的总体目标、范围、原则和安全框架等; b) 应对安全管理活动中重要的管理内容建立安全管理制度; c) 应对安全管理人员或操作人员执行的重要管理操作建立操 作规程。 制定和发布(G2) a) 应指定或授权专门的部门或人员负责安全管理制度的制定; b) 应组织相关人员对制定的安全管理制度进行论证和审定; c) 应将安全管理制度以某种方式发布到相关人员手中。 评审和修订(G2) 应定期对安全管理制度进行评审,对存在不足或需要改进的安 全管理制度进行修订。 安全管理 岗位设置(G2) a) 应设立安全主管、安全管理各个方面的负责人岗位,并定 机构 义各负责人的职责; b) 应设立系统管理员、网络管理员、安全管理员等岗位,并定 义各个工作岗位的职责。 人员配备(G2) a) 应配备一定数量的系统管理员、网络管理员、安全管理员 等; b) 安全管理员不能兼任网络管理员、系统管理员、数据库管 授权和审批(G2) a) 应根据各个部门和岗位的职责明确授权审批部门及批准人, 对系统投入运行、网络系统接入和重要资源的访问等关键活动 进行审批; 沟通和合作(G2) a) 应加强各类管理人员之间、组织内部机构之间以及信息安 全职能部门内部的合作与沟通; b) 应加强与兄弟单位、公安机关、电信公司的合作与沟通。 审查和检查(G2) 安全管理员应负责定期进行安全检查,检查内容包括系统日常 运行、系统漏洞和数据备份等情况。
23
应用安全 身份鉴别(S2)
24
25
26 27
28
29
a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴 别; b) 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保 证应用系统中不存在重复用户身份标识,身份鉴别信息不易被 冒用; c) 应提供登录失败处理功能,可采取结束会话、限制非法登录 次数和自动退出等措施; d) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别 访问控制(S2) a) 应提供访问控制功能,依据安全策略控制用户对文件、数据 库表等客体的访问; b) 访问控制的覆盖范围应包括与资源访问相关的主体、客体 及它们之间的操作; c) 应由授权主体配置访问控制策略,并严格限制默认帐户的访 问权限; d) 应授予不同帐户为完成各自承担任务所需的最小权限,并 在它们之间形成相互制约的关系。 安全审计(G2) a) 应提供覆盖到每个用户的安全审计功能,对应用系统重要 安全事件进行审计; b) 应保证无法删除、修改或覆盖审计记录; c) 审计记录的内容至少应包括事件日期、时间、发起者信息 、类型、描述和结果等。 通信完整性(S2) 应采用校验码技术保证通信过程中数据的完整性。 通信保密性(S2) a) 在通信双方建立连接之前,应用系统应利用密码技术进行 会话初始化验证; b) 应对通信过程中的敏感信息字段进行加密。 软件容错(A2) a) 应提供数据有效性检验功能,保证通过人机接口输入或通过 通信接口输入的数据格式或长度符合系统设定要求; b) 在故障发生时,应用系统应能够继续提供一部分功能,确 保能够实施必要的措施。 资源控制(A2) a) 当应用系统的通信双方中的一方在一段时间内未作任何响 应,另一方应能够自动结束会话; b) 应能够对应用系统的最大并发会话连接数进行限制; c) 应能够对单个帐户的多重并发会话进行限制。
42
人员离岗(G2)
43 44
人员考核(G2) 安全意识教育和培 训(G2)
45 46
外部人员访问控制 (G2) 系统建设 系统定级(G2) 管理
47
安 全 方 案 设 计 (G2)
48
产品采购和使用 (G2)
49
50
51 52
53
54
自 行 软 件 开 发 a) 应确保开发环境与实际运行环境物理分开; (G2) b) 应制定软件开发管理制度,明确说明开发过程的控制方法 和人员行为准则; c) 应确保提供软件设计的相关文档和使用指南,并由专人负责 保管。 外 包 软 件 开 发 a) 应根据开发要求检测软件质量; (G2) b) 应确保提供软件设计的相关文档和使用指南; c) 应在软件安装之前检测软件包中可能存在的恶意代码; d) 应要求开发单位提供软件源代码,并审查软件中可能存在 的后门。 工程实施(G2) a) 应指定或授权专门的部门或人员负责工程实施过程的管理; b) 应制定详细的工程实施方案,控制工程实施过程。 测试验收(G2) a) 应对系统进行安全性测试验收; b) 在测试验收前应根据设计方案或合同要求等制订测试验收方 案,在测试验收过程中应详细记录测试验收结果,并形成测试 验收报告; c) 应组织相关部门和相关人员对系统测试验收报告进行审 系统交付(G2) a) 应制定系统交付清单,并根据交付清单对所交接的设备、软 件和文档等进行清点; b) 应对负责系统运行维护的技术人员进行相应的技能培训; c) 应确保提供系统建设过程中的文档和指导用户进行系统运行 维护的文档。 安 全 服 务 商 选 择 a) 应确保安全服务商的选择符合国家的有关规定; (G2) b) 应与选定的安全服务商签订与安全相关的协议,明确约定相 关责任; c) 应确保选定的安全服务商提供技术支持和服务承诺,必要 的与其签订服务合同。
34
35 36
37
Hale Waihona Puke 383940
41
人员安全 人员录用(G2) 管理
a) 应指定或授权专门的部门或人员负责人员录用; b) 应规范人员录用过程,对被录用人员的身份、背景和专业资 格等进行审查,对其所具有的技术技能进行考核; c) 应与从事关键岗位的人员签署保密协议。 a) 应规范人员离岗过程,及时终止离岗员工的所有访问权限; b) 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件 设备; c) 应办理严格的调离手续。 应定期对各个岗位的人员进行安全技能及安全认知的考核。 a) 应对各类人员进行安全意识教育、岗位技能培训和相关安全 技术培训; b) 应告知人员相关的安全责任和惩戒措施,并对违反违背安全 策略和规定的人员进行惩戒; c) 应制定安全教育和培训计划,对信息安全基础知识、岗位 操作规程等进行培训。 应确保在外部人员访问受控区域前得到授权或审批,批准后由 专人全程陪同或监督,并登记备案。 a) 应明确信息系统的边界和安全保护等级; b) 应以书面的形式说明信息系统确定为某个安全保护等级的方 法和理由; c) 应确保信息系统的定级结果经过相关部门的批准。 a) 应根据系统的安全保护等级选择基本安全措施,依据风险分 析的结果补充和调整安全措施; b) 应以书面形式描述对系统的安全保护要求、策略和措施等内 容,形成系统的安全方案; c) 应对安全方案进行细化,形成能指导安全系统建设、安全产 品采购和使用的详细设计方案; d) 应组织相关部门和有关安全技术专家对安全设计方案的合 理性和正确性进行论证和审定,并且经过批准后,才能正式实 a) 应确保安全产品采购和使用符合国家的有关规定; b) 应 确保密码产 品 采购和使 用符合 国 家 密码 主 管 部门 的 要 求;
3
4 5 6
7 8 9
10
11
网络安全 结构安全(G2)
12
13
14 15
16
a) 应保证关键网络设备的业务处理能力具备冗余空间,满足业 务高峰期需要; b) 应保证接入网络和核心网络的带宽满足业务高峰期需要; c) 应绘制与当前运行情况相符的网络拓扑结构图; d) 应根据各部门的工作职能、重要性和所涉及信息的重要程 度等因素,划分不同的子网或网段,并按照方便管理和控制的 原则为各子网、网段分配地址段。 访问控制(G2) a) 应在网络边界部署访问控制设备,启用访问控制功能; b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问 的能力,控制粒度为网段级。 c) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户 对受控系统进行资源访问,控制粒度为单个用户; d) 应限制具有拨号访问权限的用户数量。 安全审计(G2) a) 应对网络系统中的网络设备运行状况、网络流量、用户行 为等进行日志记录; b) 审计记录应包括事件的日期和时间、用户、事件类型、事 件是否成功及其他与审计相关的信息。 边 界 完 整 性 检 查 应能够对内部网络中出现的内部用户未通过准许私自联到外部 (S2) 网络的行为进行检查。 入侵防范(G2) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木 马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和 网络蠕虫攻击等。 网 络 设 备 防 护 a) 应对登录网络设备的用户进行身份鉴别; (G2) b) 应对网络设备的管理员登录地址进行限制; c) 网络设备用户的标识应唯一; d) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度 要求并定期更换; e) 应具有登录失败处理功能,可采取结束会话、限制非法登录 次数和当网络登录连接超时自动退出等措施; f) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信 息在网络传输过程中被窃听。