您的位置:360文档中心› 烟草行业信息系统安全等级保护基本要求

烟草行业信息系统安全等级保护基本要求

合集下载

烟草网络安全规定最新(3篇)

烟草网络安全规定最新(3篇)

第1篇第一章总则第一条为加强烟草行业网络安全管理,保障烟草行业网络信息安全和业务稳定运行,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,结合烟草行业实际情况,制定本规定。

第二条本规定适用于烟草行业各级单位、网络设备、信息系统、数据资源等涉及网络安全的各个方面。

第三条烟草行业网络安全工作遵循以下原则:(一)安全第一,预防为主;(二)分级保护,责任到人;(三)技术和管理相结合;(四)依法治理,协同推进。

第四条烟草行业各级单位应建立健全网络安全管理制度,明确网络安全责任,加强网络安全防护,确保网络安全。

第二章网络安全管理制度第五条烟草行业网络安全管理制度应包括以下内容:(一)网络安全组织架构;(二)网络安全职责分工;(三)网络安全防护措施;(四)网络安全事件处置流程;(五)网络安全培训与宣传;(六)网络安全监督与考核。

第六条烟草行业网络安全组织架构应包括:(一)网络安全领导小组;(二)网络安全管理部门;(三)网络安全技术支持部门;(四)网络安全监督部门。

第七条烟草行业网络安全职责分工应明确各级单位、部门和个人在网络安全工作中的具体职责。

第八条烟草行业网络安全防护措施应包括:(一)物理安全防护;(二)网络安全防护;(三)数据安全防护;(四)个人信息安全防护;(五)应急响应与恢复。

第九条烟草行业网络安全事件处置流程应包括:(一)事件报告;(二)事件分析;(三)事件处置;(四)事件总结。

第十条烟草行业网络安全培训与宣传应定期开展,提高全员网络安全意识和技能。

第十一条烟草行业网络安全监督与考核应建立相应的监督机制和考核办法,确保网络安全制度的有效执行。

第三章网络安全防护措施第十二条物理安全防护:(一)确保网络设备、线路、设施等物理安全,防止被非法破坏、盗窃或篡改;(二)设置安全门禁、监控等设施,防止非法人员进入网络设备场所;(三)对网络设备进行定期检查、维护,确保其正常运行。

信息系统安全系统等级保护基本要求(三级要求)

信息系统安全系统等级保护基本要求(三级要求)

信息系统安全等级保护基本要求1 三级基本要求 (5)1.1 技术要求 (5)1.1.1 物理安全 (5)1.1.1.1 物理位置的选择(G3) (5)1.1.1.2 物理访问控制(G3) (5)1.1.1.3 防盗窃和防破坏(G3) (5)1.1.1.4 防雷击(G3) (6)1.1.1.5 防火(G3) (6)1.1.1.6 防水和防潮(G3) (6)1.1.1.7 防静电(G3) (6)1.1.1.8 温湿度控制(G3) (7)1.1.1.9 电力供应(A3) (7)1.1.1.10 电磁防护(S3) (7)1.1.2 网络安全 (7)1.1.2.1 结构安全(G3) (7)1.1.2.2 访问控制(G3) (8)1.1.2.3 安全审计(G3) (8)1.1.2.4 边界完整性检查(S3) (9)1.1.2.5 入侵防范(G3) (9)1.1.2.6 恶意代码防范(G3) (9)1.1.2.7 网络设备防护(G3) (9)1.1.3.1 身份鉴别(S3) (10)1.1.3.2 访问控制(S3) (11)1.1.3.3 安全审计(G3) (11)1.1.3.4 剩余信息保护(S3) (11)1.1.3.5 入侵防范(G3) (12)1.1.3.6 恶意代码防范(G3) (12)1.1.3.7 资源控制(A3) (12)1.1.4 应用安全 (13)1.1.4.1 身份鉴别(S3) (13)1.1.4.2 访问控制(S3) (13)1.1.4.3 安全审计(G3) (14)1.1.4.4 剩余信息保护(S3) (14)1.1.4.5 通信完整性(S3) (14)1.1.4.6 通信保密性(S3) (14)1.1.4.7 抗抵赖(G3) (14)1.1.4.8 软件容错(A3) (15)1.1.4.9 资源控制(A3) (15)1.1.5 数据安全及备份恢复 (15)1.1.5.1 数据完整性(S3) (15)1.1.5.2 数据保密性(S3) (16)1.1.5.3 备份和恢复(A3) (16)1.2.1 安全管理制度 (16)1.2.1.1 管理制度(G3) (16)1.2.1.2 制定和发布(G3) (17)1.2.1.3 评审和修订(G3) (17)1.2.2 安全管理机构 (17)1.2.2.1 岗位设置(G3) (17)1.2.2.2 人员配备(G3) (18)1.2.2.3 授权和审批(G3) (18)1.2.2.4 沟通和合作(G3) (18)1.2.2.5 审核和检查(G3) (19)1.2.3 人员安全管理 (19)1.2.3.1 人员录用(G3) (19)1.2.3.2 人员离岗(G3) (20)1.2.3.3 人员考核(G3) (20)1.2.3.4 安全意识教育和培训(G3) (20)1.2.3.5 外部人员访问管理(G3) (20)1.2.4 系统建设管理 (21)1.2.4.1 系统定级(G3) (21)1.2.4.2 安全方案设计(G3) (21)1.2.4.3 产品采购和使用(G3) (22)1.2.4.4 自行软件开发(G3) (22)1.2.4.5 外包软件开发(G3) (22)1.2.4.6 工程实施(G3) (23)1.2.4.7 测试验收(G3) (23)1.2.4.8 系统交付(G3) (23)1.2.4.9 系统备案(G3) (24)1.2.4.10 等级测评(G3) (24)1.2.4.11 安全服务商选择(G3) (24)1.2.5 系统运维管理 (24)1.2.5.1 环境管理(G3) (25)1.2.5.2 资产管理(G3) (25)1.2.5.3 介质管理(G3) (25)1.2.5.4 设备管理(G3) (26)1.2.5.5 监控管理和安全管理中心(G3) (27)1.2.5.6 网络安全管理(G3) (27)1.2.5.7 系统安全管理(G3) (28)1.2.5.8 恶意代码防范管理(G3) (28)1.2.5.9 密码管理(G3) (29)1.2.5.10 变更管理(G3) (29)1.2.5.11 备份与恢复管理(G3) (29)1.2.5.12 安全事件处置(G3) (30)1.2.5.13 应急预案管理(G3) (30)第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。

【推荐】烟草行业计算机信息系统保密管理暂行规定

【推荐】烟草行业计算机信息系统保密管理暂行规定

烟草行业计算机信息系统保密管理暂行规定目录第一章总则第二章基本要求第三章涉密信息及发布审查制度第四章涉密媒体第五章涉密场所第六章系统管理第七章奖惩第八章附则第一章总则第一条为保护烟草行业计算机信息系统处理的国家秘密和行业秘密安全,根据国家保密局发布的《计算机信息系统保密管理暂行规定》,制定本规定。

第二条本规定适用于烟草行业采集、存储、处理、传递、输出国家秘密和行业秘密信息的计算机信息系统。

第三条本规定与《烟草行业计算机信息网络安全保护规定》共同构成对烟草行业计算机信息系统、网络系统的安全、保密方面的管理规定。

第四条国家局保密委员会主管国家局机关及行业计算机信息系统的保密工作。

国家局烟草经济信息中心在国家局保密委员会领导下提供相应的技术支持。

行业内各级保密工作机构主管本部门、本地区行业的计算机信息系统的保密工作,同级信息中心或主管信息(计算机)工作的部门在同级保密工作机构领导下提供相应的技术支持。

第二章基本要求第五条规划和建设计算机信息系统,须同步规划落实相应的保密措施,并报经上级保密工作机构批准。

涉密级别比较高的,必须报经国家局保密委员会批准。

第六条计算机信息系统的开发、安装和使用,必须符合保密要求和规范。

第七条计算机信息系统应配置国家保密局批准使用的保密专用设备,防泄密、防窃密。

所采取的保密措施应与所处理信息的密级要求相一致。

第八条计算机信息系统联网应当采取系统访问控制、数据保护和系统安全保密监控管理等技术措施;使用者须按照规定的访问控制,不得越权操作。

第九条包含绝密级信息的计算机信息系统原则上只能单机存储,且须有防电磁泄漏措施,并不得联网传输。

第三章涉密信息及发布审查制度第十条涉密信息指国家秘密和涉及行业政策、计划、商业及技术的行业秘密。

第十一条涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。

第十二条计算机信息系统存储、处理、传递、输出的涉密信息要有相应的密级标识,且密级标识不得与正文分离。

烟草行业计算机信息网络安全保护规定

烟草行业计算机信息网络安全保护规定

烟草⾏业计算机信息⽹络安全保护规定⽬录第⼀章总则第⼆章安全保护责任第三章⾏业⽹络的基本要求第四章业务⼈员职责第五章违规处罚第⼀章总则第⼀条为加强烟草⾏业计算机信息⽹络的安全保护,根据公安部发布的《计算机信息⽹络国际联⽹安全保护管理办法》(以下简称《办法》)制定本规定;第⼆条⾏业⽹络的上⽹单位必须遵守《办法》及其他相关法律法规的规定,⾃觉维护国家的安全和稳定,⾃觉保守单位的秘密。

第三条本规定适⽤于全国烟草⾏业计算机信息⽹络的安全保护管理。

第四条国家局保密委员会会同国家局信息中⼼共同负责国家局机关及⾏业计算机信息⽹络的安全保护管理⼯作。

第五条任何单位和个⼈不得利⽤⾏业⽹络危害国家安全和⾏业安全,不得泄露国家秘密和⾏业秘密,不得侵犯国家的、社会的、⾏业的、集体的利益和个⼈的合法权益,不得从事违法犯罪活动。

第六条任何单位和个⼈不得利⽤⾏业⽹络制作、复制、查阅和传播下列信息。

1.涉及国家秘密、破坏社会稳定和具有反动、⾊情、暴⼒倾向的;2.涉及⾏业政策、计划、商业等秘密,且未经同级保密委员会宣布解密的;3.涉及⾏业技术秘密的。

第七条任何单位和个⼈不得从事下列危害计算机信息⽹络安全的活动:1.未经允许进⼊计算机信息⽹络或者使⽤计算机信息⽹络资源的;2.未经允许对计算机信息⽹络功能进⾏删除、修改或者增加的;3.未经允许对计算机信息⽹络中存储、处理或者传输的数据和应⽤程序进⾏删除、修改或者增加的;4.故意制作、传播计算机病毒等破坏性程序的;5.其他危害计算机信息⽹络安全的。

第⼋条禁⽌使⽤上⽹的计算机编辑外交密码电报;第九条禁⽌绝密级的信息上⽹传输。

第⼗条属国家秘密的信息上⽹需经同级保密委员会同意,并不得传输到⾏业⽹络之外。

第⼆章安全保护责任第⼗⼀条各级保密委员会和信息⽹络主管部门负责本单位计算机信息⽹络的安全保密管理⼯作。

第⼗⼆条各单位的信息⽹络主管部门,必须接受上⼀级单位保密委员会及信息⽹络主管部门的安全监督、检查和指导。

信息系统安全等级保护基本要求(一至四级)

信息系统安全等级保护基本要求(一至四级)

S
技术要求 主机安全 访问控制
S
技术要求 主机安全 可信路径
S
技术要求 主机安全 安全审计
G
技术要求
主机安全
剩余信息 保护
S
技术要求 主机安全 入侵防范
G
技术要求
主机安全
恶意代码 防范
G
技术要求 主机安全 资源控制
A
技术要求 应用安全 身份鉴别
S
技术要求 应用安全 安全标记
S
技术要求 应用安全 访问控制
登记测评
G
管理要求
系统建设 管理
安全服务 商选择
G
管理要求
系统运维 管理
环境管理
G
管理要求
系统运维 管理
资产管理
G
管理要求
系统运维 管理
介质管理
G
管理要求
系统运维 管理
设备管理
G
管理要求
系统运维 管理
监控管理 和安全管
理中心
G
管理要求
系统运维 管理
网络安全 管理
G
管理要求
系统运维 管理
系统安全 管理
本项要求包括: a) 应保证网络设备的业务处理能力具备冗余空间,满足业务高峰 期需要; b) 应保证网络各个部分的带宽满足业务高峰期需要; c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问 路径; d) 应绘制与当前运行情况相符的网络拓扑结构图; e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等 因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子 网、网段分配地址段; f) 应避免将重要网段部署在网络边界处且直接连接外部信息系 统,重要网段与其他网段之间采取可靠的技术隔离手段; g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证 在网络发生拥堵的时候优先保护重要主机。

烟草信息安全管理规定(3篇)

烟草信息安全管理规定(3篇)

第1篇第一章总则第一条为加强烟草行业信息安全管理,确保烟草行业信息安全,维护国家利益和社会公共利益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等相关法律法规,结合烟草行业实际情况,制定本规定。

第二条本规定适用于烟草行业各级企业、分支机构以及从事烟草行业信息服务的单位,包括但不限于烟草专卖局、烟草公司、烟草研究所等。

第三条烟草信息安全管理遵循以下原则:(一)依法依规:严格按照国家法律法规和政策要求,确保信息安全管理工作合法、合规。

(二)安全第一:将信息安全放在首位,确保烟草行业信息安全不受威胁。

(三)分级保护:根据信息安全风险等级,采取相应的保护措施。

(四)责任到人:明确信息安全责任,确保信息安全管理工作落实到位。

第二章信息安全管理制度第四条烟草行业应建立健全信息安全管理制度,包括但不限于以下内容:(一)信息安全组织架构:明确信息安全管理部门和职责,确保信息安全管理工作有序开展。

(二)信息安全政策:制定信息安全政策,明确信息安全管理的目标和要求。

(三)信息安全风险评估:定期对烟草行业信息系统进行风险评估,制定相应的安全防护措施。

(四)信息安全培训:定期对员工进行信息安全培训,提高员工信息安全意识。

(五)信息安全审计:对信息安全管理工作进行定期审计,确保信息安全管理制度的有效执行。

(六)信息安全应急响应:制定信息安全事件应急预案,确保在发生信息安全事件时能够及时、有效地进行处置。

第三章信息安全技术措施第五条烟草行业应采取以下技术措施保障信息安全:(一)网络安全防护:采用防火墙、入侵检测系统、漏洞扫描等技术手段,防范网络攻击和恶意代码。

(二)数据加密:对敏感信息进行加密存储和传输,防止数据泄露。

(三)身份认证与访问控制:实行严格的用户身份认证和访问控制,确保只有授权用户才能访问敏感信息。

(四)安全审计与日志管理:对系统操作进行安全审计,记录操作日志,以便追踪和调查。

(五)病毒防护:定期更新病毒库,采用防病毒软件对信息系统进行实时监控。

烟草系统信息网络安全管理规定

烟草系统信息网络安全管理规定

烟草系统信息网络安全管理规定It was last revised on January 2, 2021烟草系统信息网络安全管理办法第一章总则第一条为了保护全市烟草信息网络系统的安全,促进计算机网络的应用和发展,保证局域网正常运行,制定本办法。

第二条本办法所称的局域网络系统,是指由市县局(公司)投资购买、信息中心负责维护和管理的局域网设备、配套的网络线缆设施及网络服务器所构成的硬件、软件集成系统。

第三条局域网设备管理维护工作由信息中心负责,未经同意,任何单位和个人不得擅自安装、拆卸或改变网络设备。

第四条任何单位和个人不得利用联网计算机从事危害局域网及局域网服务器的活动,不得危害或侵入未授权的服务器。

第二章安全管理组织第五条局域网安全领导小组由分管领导和办公室信息中心、监察处等部门负责人组成。

信息中心在安全领导小组指导下负责具体的网络安全运行管理工作。

信息中心配备网络安全专管员,实行持证上岗,负责对本单位工作人员的安全教育,网络安全管理,对各项安全制度的执行情况进行监督。

第六条各县局(公司)、部门指定1名网络安全专管员,负责对本单位(部门)的计算机网络安全工作。

第三章安全保护第七条未经授权,任何单位或个人不得以任何方式登陆进入局域网、服务器等设备进行修改、设置、删除等操作;任何单位和个人不得以任何借口盗窃、破坏网络设施;不得采用各种手段切断单位、部门或他人网络的连接。

第八条各单位从事施工、建设,不得危害计算机网络系统的安全。

无特殊情况必须保证网络设备24小时正常运行,不得以任何理由关闭有关设备或电源。

第九条各单位、各部门应当建立健全网络安全管理制度和备案制度,真实详尽记录各联网计算机的使用者和使用时间,并保留半年以上。

第十条对外提供服务的服务器必须保持日志记录功能,历史记录保持时间不得低于6个月。

第十一条内网与外网出口处必须安装防火墙,确保网络不受攻击。

电子邮件服务器应具有email 病毒过滤和关键字过滤功能。

信息系统安全等级保护基本要求(三级要求)资料

信息系统安全等级保护基本要求(三级要求)资料

信息系统安全等级保护基本要求(三级要求)资料信息系统安全等级保护基本要求2第三级安全保护能力:应能够在统一安全战略下防护系统免受来自外部有构造的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的天然灾害、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全变乱,在系统遭到损害后,能够较快恢复绝大部分功能。

1三级基本要求1.1技术要求1.1.1物理安全1.1.1.1物理位置的选择(G3)本项要求包括:a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。

1.1.1.2物理访问控制(G3)本项要求包括:a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b)需进入机房的来访人员应颠末申请和审批流程,并限定和监控其活动范围;c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。

1.1.1.3防盗窃和防破损(G3)本项要求包括:a)应将主要设备放置在机房内;b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d)应对介质分类标识,存储在介质库或档案室中;e)应利用光、电等技术设置机房防盗报警系统;f)应对机房设置监控报警系统。

1.1.1.4防雷击(G3)本项要求包括:a)机房建筑应设置避雷装置;b)应设置防雷保安器,防止感应雷;c)机房应设置交流电源地线。

1.1.1.5防火(G3)本项要求包括:a)机房应设置火警自动消防系统,能够自动检测火情、自动报警,并自动灭火;b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;c)机房应采取区域断绝防火步伐,将重要设备与其他设备断绝开。

31.1.1.6防水和防潮(G3)本项要求包括:a)水管安装,不得穿过机房屋顶和活动地板下;b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c)应采取步伐防止机房内水蒸气结露和地下积水的转移与渗透;d)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。

信息系统安全等级保护基本要求-一级

信息系统安全等级保护基本要求-一级

基本要求规定的范围:对象:不同安全保护等级信息系统内容:基本技术要求管理要求作用:指导分等级信息系统安全建设监督管理引用:保护等级:依重要程度、危害程度、由低到高分5级见:GB/T 22240-2008不同等级的安全保护能力:共5级基本技术要求和管理要求:信统安全等保应让系统有它们相应等级的基本安全保护能力。

基本安全要求,依实现方式,分基本技术要求、基本管理要求。

技术要求:立基于技术安全机制,通过在信统中部署软硬件,正确配置其安全功能。

管理要求:聚焦于信统中各种角色和角色参与的活动。

控制角色活动、从政策、制度、规范、流程以及记录等方面做出规定来实现。

基本技术要求:从物理、网络、主机、应用和数据安全,4个层面提出要求。

基本管理要求:从安全管理制度、机构、人员、系统建设、运维几方面提要求。

基本安全要求从各个层面方面,提出系统的每个组件应该满足的安全要求。

整体的安全保护能力依赖于其内部各不同组件的安全实现来满足。

基本技术要求的三种类型:技术类安全要求进一步细分为:保护数据在存储、传输、处理过程中不被泄漏、破坏、和免受未授权的修改的要求(S 要求)保护系统正常运行、免受对系统未授权修改、破坏而导致系统不可用的服务保护类要求(S 要求)通用安全保护类要求(G要求)第一级基本要求:技术要求:物理安全:访问控制:防盗窃、破坏:防雷击:防火:防水和防潮:温湿度控制:电力控制:网络安全:结构安全:a.保证关键网络设备的业务处理能力满足基本业务需要b.保证接入网络和核心网络的带宽满足基本业务需要c.绘制与当前运行情况相符的网络拓扑结构图访问控制:(G1)a.在网络边界部署访问控制设备,启用访问控制功能b.根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查,允许/拒绝数据包出入c.通过访问控制列表对系统资源实现允许或拒绝用户访问,控制粒度至少为用户组。

网络设备防护:a.应对登录网络设备的用户进行身份鉴别b.有登录失败处理功能,采取结束会话、限制非法登录次数、和当网络登录连接超时自动退出等措施c.对网络设备进行远程管理时,采措施防止信息传输中被窃听主机安全:身份鉴别:(S1)对登录操作系统和数据库系统的用户进行身份标识和鉴别。

信息系统安全等级保护基本要求三级要求

信息系统安全等级保护基本要求三级要求

信息系统安全等级保护基本要求1 三级基本要求..............................................................1.1 技术要求................................................................1.1.1 物理安全.............................................................. 物理位置的选择(G3)......................................................... 物理访问控制(G3)........................................................... 防盗窃和防破坏(G3)......................................................... 防雷击(G3)................................................................. 防火(G3)................................................................... 防水和防潮(G3)............................................................. 防静电(G3)................................................................. 温湿度控制(G3)............................................................. 电力供应(A3)............................................................... 电磁防护(S3)...............................................................1.1.2 网络安全.............................................................. 结构安全(G3)............................................................... 访问控制(G3)............................................................... 安全审计(G3)............................................................... 边界完整性检查(S3)......................................................... 入侵防范(G3)............................................................... 恶意代码防范(G3)........................................................... 网络设备防护(G3)...........................................................1.1.3 主机安全.............................................................. 身份鉴别(S3)............................................................... 访问控制(S3)............................................................... 安全审计(G3)............................................................... 剩余信息保护(S3)........................................................... 入侵防范(G3)............................................................... 恶意代码防范(G3)........................................................... 资源控制(A3)...............................................................1.1.4 应用安全.............................................................. 身份鉴别(S3)............................................................... 访问控制(S3)............................................................... 安全审计(G3)............................................................... 剩余信息保护(S3)........................................................... 通信完整性(S3)............................................................. 通信保密性(S3)............................................................. 抗抵赖(G3)................................................................. 软件容错(A3)............................................................... 资源控制(A3)...............................................................1.1.5 数据安全及备份恢复.................................................... 数据完整性(S3).............................................................备份和恢复(A3).............................................................1.2 管理要求................................................................1.2.1 安全管理制度.......................................................... 管理制度(G3)............................................................... 制定和发布(G3)............................................................. 评审和修订(G3).............................................................1.2.2 安全管理机构.......................................................... 岗位设置(G3)............................................................... 人员配备(G3)............................................................... 授权和审批(G3)............................................................. 沟通和合作(G3)............................................................. 审核和检查(G3).............................................................1.2.3 人员安全管理.......................................................... 人员录用(G3)............................................................... 人员离岗(G3)............................................................... 人员考核(G3)............................................................... 安全意识教育和培训(G3)..................................................... 外部人员访问管理(G3).......................................................1.2.4 系统建设管理.......................................................... 系统定级(G3)............................................................... 安全方案设计(G3)........................................................... 产品采购和使用(G3)......................................................... 自行软件开发(G3)........................................................... 外包软件开发(G3)........................................................... 工程实施(G3)............................................................... 测试验收(G3)............................................................... 系统交付(G3)............................................................... 系统备案(G3)............................................................... 等级测评(G3)............................................................... 安全服务商选择(G3).........................................................1.2.5 系统运维管理.......................................................... 环境管理(G3)............................................................... 资产管理(G3)............................................................... 介质管理(G3)............................................................... 设备管理(G3)............................................................... 监控管理和安全管理中心(G3)................................................. 网络安全管理(G3)........................................................... 系统安全管理(G3)........................................................... 恶意代码防范管理(G3)....................................................... 密码管理(G3)............................................................... 变更管理(G3)............................................................... 备份与恢复管理(G3)......................................................... 安全事件处置(G3)...........................................................第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。

烟草行业等保2.0工业安全建设

烟草行业等保2.0工业安全建设
《工业控制系统信息安全行动计划(20182020)》(316号)
《工业互联网发展行动计划(2018-2020 年)》
《关键信息基础设施安全保护条例(征求意 见稿)》
《网络安全等级保护基本要求》
政策说明
第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电 子政务等重要行业和领域 … 关键信息基础设施,在网络安全等级保护制度的基础上, 实行重点保护。 建立“工业互联网安全保障体系、提升安全保障能力”发展目标。
安全监测:建立工控基线,监测生产异常
建立动态行为基线
• 设备之间通信模型相对固定 • 协议,内容,时间,频次,流量 • 偏离基线意味着发生异常
多维数据构建基线模型
• 覆盖制丝、卷包、集控、能动 • 采集解析汇聚数据资源池 • 机器学习梳理优化通讯模型
偏离基线生产异常监测预警
• 流量峰谷合规分析 • 数据上传时间频次审计 • 数据交互延迟判断PLC健康度
工控安全明确纳入等保20基本要求体系结构安全技术要求安全管理要求安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心20190510等保2020170601从合规到合法?一个中心?三重防御?扩展要求?云计算?移动互联?物联网?工控系统?可信计算安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理等保三级安全通用要求工控安全扩展要求第三级安全要求技术潮防温室护范复护护全恶数数数剩个控安全区域边界安全计算环境安全通信网络安全物理环境基本要求工业控制系统安全扩展要求信息安全技术网络安全等级保护基本要求电系统子防防水防湿电电外门盗雷防和静度力磁设禁窃击火防电控供防备制应护防数单网通可据向络信信加隔架传验密离构输证传手输段恶禁拨无边访入意安可止号线界问侵代全信通使使防控防码审验用用用护制范防计证服控控范务制制身访安入意可据据据余人制份问全侵代信完保备信信设鉴控审防码验整密份息息备别制计范防证性性恢保保安安全管理中心系审安集统计全中管管管管理理理控工控安全扩展要求控制点与要求项控制点10一级二级三级22四级安全物理环境室外控制设备防护2222安全通信网络网络架构2333通信传输0111安全区域边界访问控制1222拨号使用控制0123无线使用控制2244安全计算环境控制设备安全2255安全建设管理产品采购和使用0111外包软件开发0111安全运维管理安全事件处置0111工控安全扩展要求要点工控安全扩展要求项安全域隔离8521网络架构a工业控制系统与企业其他系统之间应划分为两个区域区域间应采用单向的技术隔离手段

信息系统安全等级保护基本要求

信息系统安全等级保护基本要求

信息系统安全等级保护基本要求信息系统安全等级保护是指根据国家有关法律法规和标准规范,对信息系统进行等级划分,并按照不同等级的保护要求,采取相应的技术、管理和物理措施,确保信息系统的安全性、可靠性和稳定性。

信息系统安全等级保护基本要求是确保信息系统安全的基础,对于各类单位和组织来说都具有重要意义。

首先,信息系统安全等级保护基本要求包括对信息系统进行等级划分。

根据国家标准和相关规定,信息系统按照其所涉及的信息重要性、系统功能、系统规模和系统对外联络等因素,划分为不同的安全等级,一般包括四个等级,即一级、二级、三级和四级。

不同等级的信息系统,其安全保护要求和措施也各不相同。

其次,信息系统安全等级保护基本要求还包括对信息系统安全保护的基本原则。

信息系统安全保护的基本原则包括全面性原则、合理性原则、有效性原则和持续性原则。

全面性原则是指信息系统安全保护措施必须覆盖信息系统的各个方面,包括技术、管理和物理层面;合理性原则是指信息系统安全保护措施必须符合实际情况和实际需求,不能盲目追求安全而忽视系统的正常运作;有效性原则是指信息系统安全保护措施必须能够有效地防范和抵御各类安全威胁和风险;持续性原则是指信息系统安全保护是一个持续的过程,必须不断地进行安全监测、评估和改进。

另外,信息系统安全等级保护基本要求还包括对信息系统安全保护的基本措施。

信息系统安全保护的基本措施包括技术措施、管理措施和物理措施。

技术措施是指利用各种安全技术手段,保护信息系统的安全,包括加密技术、防火墙技术、入侵检测技术等;管理措施是指建立健全的安全管理制度和安全管理机构,加强对信息系统安全的管理和监督;物理措施是指采取各种物理手段,保护信息系统的物理环境安全,包括机房防护、门禁系统、视频监控等。

最后,信息系统安全等级保护基本要求还包括对信息系统安全保护的持续改进。

信息系统安全保护是一个动态的过程,随着信息技术的发展和安全威胁的变化,安全保护措施也需要不断地改进和完善。

烟草系统信息网络安全管理办法

烟草系统信息网络安全管理办法

烟草系统信息网络安全管理办法烟草系统信息网络安全管理办法第一章总则第一条为了保护全市烟草信息网络系统的安全,促进计算机网络的应用和发展,保证局域网正常运行,制定本办法。

第二条本办法所称的局域网络系统,是指由市县局(公司)投资购买、信息中心负责维护和管理的局域网设备、配套的网络线缆设施及网络服务器所构成的硬件、软件集成系统。

第三条局域网设备管理维护工作由信息中心负责,未经同意,任何单位和个人不得擅自安装、拆卸或改变网络设备。

第四条任何单位和个人不得利用联网计算机从事危害局域网及局域网服务器的活动,不得危害或侵入未授权的服务器。

第二章安全管理组织第五条局域网安全领导小组由分管领导和办公室信息中心、监察处等部门负责人组成。

信息中心在安全领导小组指导下负责具体的网络安全运行管理工作。

信息中心配备网络安全专管员,实行持证上岗,负责对本单位工作人员的安全教育,网络安全管理,对各项安全制度的执行情况进行监督。

第六条各县局(公司)、部门指定1名网络安全专管员,负责对本单位(部门)的计算机网络安全工作。

第三章安全保护第七条未经授权,任何单位或个人不得以任何方式登陆进入局域网、服务器等设备进行修改、设置、删除等操作;任何单位和个人不得以任何借口盗窃、破坏网络设施;不得采用各种手段切断单位、部门或他人网络的连接。

第八条各单位从事施工、建设,不得危害计算机网络系统的安全。

无特殊情况必须保证网络设备24小时正常运行,不得以任何理由关闭有关设备或电源。

第九条各单位、各部门应当建立健全网络安全管理制度和备案制度,真实详尽记录各联网计算机的使用者和使用时间,并保留半年以上。

第十条对外提供服务的服务器必须保持日志记录功能,历史记录保持时间不得低于6个月。

第十一条内网与外网出口处必须安装防火墙,确保网络不受攻击。

电子邮件服务器应具有EMAIL病毒过滤和关键字过滤功能。

第十二条各单位必须做好数据备份工作,并建立应急预案。

业务、专卖数据必须每天备份一次。

信息系统安全保护等级基本要求

信息系统安全保护等级基本要求

信息系统安全保护等级基本要求1.认证和授权:保证用户身份的真实性和合法性,并授权用户获得适当的权限和权限范围。

认证和授权机制需要严格限制非授权用户对系统资源的访问和操作。

2.人员管理:构建健全的人员管理制度,包括招聘、培训、离职、变更等方面的管理,确保人员在信息系统中的使用符合相关规定,并且能够准确追溯。

3.数据保护:采用必要的措施,确保数据的完整性、可靠性和机密性。

包括数据备份、防止数据篡改和泄露、灾备恢复等措施。

4.系统安全管理:建立信息系统安全管理制度,明确安全管理职责和权限,并定期进行安全检查和评估,发现和解决潜在的安全问题。

5.通信安全:保护网络通信的安全,包括网络防火墙设置、网络流量监控、传输层加密等措施,防止恶意攻击和未授权访问。

6.应用程序安全:加强对应用程序的安全控制,包括应用程序的开发、测试和维护过程中的安全防护,防止应用程序的漏洞被利用进行攻击。

7.物理安全:保护信息系统的物理环境安全,如机房防盗、防火、防水等设置,确保设备和存储介质的物理安全。

8.安全审计和监控:建立安全审计和监控机制,记录关键操作日志、异常事件、安全事件等,并进行监控和分析。

能够及时发现和应对潜在的安全威胁。

9.灾备恢复管理:建立灾备恢复机制,确保在系统故障或灾难情况下,能够及时恢复系统功能,减少损失。

10.安全培训和宣传:加强安全意识培训和宣传,提高用户对信息系统安全重要性的认识,减少人为因素导致的安全事故。

以上是信息系统安全保护等级基本要求的一些重要方面。

不同等级的信息系统可能有不同的安全保护要求,而这些要求也会随着技术的不断发展和威胁的不断变化而更新。

因此,信息系统的安全保护需要不断地进行评估和升级,以保持与威胁同步的安全性。

烟草行业计算机网络和信息安全技术与管理规范

烟草行业计算机网络和信息安全技术与管理规范

烟草行业计算机网络和信息安全技术与管理规范国烟办〔2003〕17号国家烟草专卖局信息化工作领导小组办公室国家烟草专卖局烟草经济信息中心二 二年十二月目录前言 (1)1概述 (2)2信息安全概述 (3)2.1P2DR模型 (3)2.2纵深防御体系 (5)2.3计算机网络信息安全 (5)2.4信息安全的系统工程思想 (6)2.5信息系统的安全策略和目标 (9)2.6系统安全威胁 (9)2.7烟草行业的信息安全防范对象 (10)3信息安全法规、政策和标准 (12)3.1国家的法律、法规和政策 (12)3.2国家标准和要求 (12)3.3行业要求和规范 (13)3.4其它专用安全标准 (13)4信息安全技术和产品 (14)4.1系统的安全结构 (14)4.2通信系统安全结构 (15)4.3网络系统安全结构 (16)4.4主机与系统安全结构 (21)4.5数据与应用系统安全结构 (24)4.6安全产品选型原则和依据 (28)4.7主要安全产品的指标参数 (30)5烟草行业信息安全系统建设的目标、原则和要求 (35)5.1信息安全系统建设的主要目标 (35)5.2信息安全系统建设的基本原则 (35)5.3信息安全系统建设的阶段性目标 (35)5.4信息安全系统建设的基本要求 (36)5.5各级网络信息安全系统建设的具体要求 (37)6安全管理的组织、制度和职责 (39)6.1安全管理的主要内容 (39)6.2安全管理体系 (40)7安全事故处理和汇报 (47)7.1事件处理目标 (47)7.2系统安全事件处理优先级 (47)7.3记录系统安全事件 (47)7.4系统安全事件核实与判断 (47)7.5系统安全事件现场处理方案选择 (49)7.6系统安全事件处理服务和过程 (50)7.7系统安全事件后处理 (51)附录一各级网络系统信息安全建设建议方案 (53)附录二常用端口和网站 (61)1结束语 (63)2前言随着我国信息化战略的推进,计算机和互联网(Internet)的广泛应用,社会信息化程度逐步提高,信息安全问题也日渐突出。

信息系统安全等级保护基本要求概述

信息系统安全等级保护基本要求概述

信息系统安全等级保护基本要求概述引言随着信息技术的迅猛发展,信息系统已成为企业及个人日常工作不可或缺的一部分。

然而,信息系统的安全性面临着日益严峻的挑战,黑客、病毒、恶意软件等安全威胁不断涌现。

为了维护信息系统的安全,保护数据资产,国家相关机构不断加强对信息系统安全等级保护的要求。

本文将概述信息系统安全等级保护的基本要求。

信息系统安全等级保护介绍信息系统安全等级保护是一种从安全需求出发,通过对信息系统及相关环境进行安全评估、安全设计和安全运维,保证信息系统安全的一种综合性保护措施。

信息系统安全等级保护分为多个等级,不同等级对系统安全的要求不同。

信息系统安全等级保护的基本要求包括:系统安全需求、系统安全性能、系统安全保障措施、系统版本控制、安全工程管理。

系统安全需求系统安全需求是指在信息系统安全等级保护中确定系统安全性能的目标和要求。

对于不同的信息系统,其安全需求各不相同。

信息系统安全需求应考虑到系统的保密性、完整性、可用性等方面,确保信息系统在各个方面具备安全性。

系统安全需求的确定需要充分了解系统的功能和特性,技术人员应全面考虑系统使用环境和威胁情况,确保系统满足最低的安全要求。

系统安全性能系统安全性能是指信息系统在安全性方面的性能表现。

信息系统应具备一定的安全性能,保证系统在遭受安全威胁时能够有效抵抗攻击、保护系统的数据和资源不受破坏。

系统安全性能的评估可以通过对系统的安全性能测试和实际应用情况的监测来完成。

安全性能的要求包括系统的可靠性、可控性、鲁棒性和自适应性等方面。

系统安全保障措施系统安全保障措施是指为了实现信息系统安全等级保护要求而采取的各种技术和管理措施。

系统安全保障措施应包括物理保障措施、技术保障措施和管理保障措施。

物理保障措施主要包括安全区域划定、访问控制、监控和报警等;技术保障措施主要包括身份验证、数据加密、漏洞修补等;管理保障措施主要包括安全策略制定、培训教育、安全事件响应等。

烟草行业信息系统安全等级保护基本要求

烟草行业信息系统安全等级保护基本要求

烟草行业信息系统安全等级保护基本要求二○一二年五月目次引言...................................................................................................................................................... - 3 -1.范围 .............................................................................................................................................. - 4 -2.规范性引用文件 .......................................................................................................................... - 4 -3.术语和定义 .................................................................................................................................. - 4 -3.1.安全保护能力....................................................................................................................... - 4 -4.烟草行业信息系统安全等级保护概述....................................................................................... - 4 -4.1.烟草行业信息系统安全保护等级........................................................................................... - 4 -4.2.不同等级的安全保护能力....................................................................................................... - 4 -4.3.基本技术要求和基本管理要求............................................................................................... - 5 -4.4.基本技术要求的三种类型....................................................................................................... - 5 -5.第一级基本要求 .......................................................................................................................... - 5 -5.1.技术要求................................................................................................................................... - 5 -5.1.1.物理安全............................................................................................................................... - 5 -5.1.2.网络安全............................................................................................................................... - 7 -5.1.3.主机安全............................................................................................................................... - 8 -5.1.4.应用安全............................................................................................................................... - 9 -5.1.5.数据安全及备份恢复........................................................................................................... - 9 -5.2.管理要求................................................................................................................................. - 10 -5.2.1.安全管理制度..................................................................................................................... - 10 -5.2.2.安全管理机构..................................................................................................................... - 10 -5.2.3.人员安全管理..................................................................................................................... - 11 -5.2.4.系统建设管理..................................................................................................................... - 12 -5.2.5.系统运维管理..................................................................................................................... - 15 -6.第二级基本要求 ........................................................................................................................ - 18 -6.1.技术要求................................................................................................................................. - 18 -6.1.1.物理安全............................................................................................................................. - 18 -6.1.2.网络安全............................................................................................................................. - 21 -6.1.3.主机安全............................................................................................................................. - 23 -6.1.4.应用安全............................................................................................................................. - 26 -6.1.5.数据安全及备份恢复......................................................................................................... - 28 -6.2.管理要求................................................................................................................................. - 29 -6.2.1.安全管理制度..................................................................................................................... - 29 -6.2.2.安全管理机构..................................................................................................................... - 30 -6.2.3.人员安全管理..................................................................................................................... - 31 -6.2.4.系统建设管理..................................................................................................................... - 33 -6.2.5.系统运维管理..................................................................................................................... - 37 -7.第三级基本要求 ........................................................................................................................ - 44 -7.1.技术要求................................................................................................................................. - 44 -7.1.1.物理安全............................................................................................................................. - 44 -7.1.2.网络安全............................................................................................................................. - 49 -7.1.3.主机安全............................................................................................................................. - 53 -7.1.4.应用安全............................................................................................................................. - 56 -7.1.5.数据安全及备份恢复......................................................................................................... - 60 -7.2.管理要求................................................................................................................................. - 61 -7.2.1.安全管理制度..................................................................................................................... - 61 -7.2.2.安全管理机构..................................................................................................................... - 63 -7.2.3.人员安全管理..................................................................................................................... - 66 -7.2.4.系统建设管理..................................................................................................................... - 69 -7.2.5.系统运维管理..................................................................................................................... - 76 -8.第四级基本要求 ........................................................................................................................ - 87 -9.第五级基本要求 ........................................................................................................................ - 87 -附录 A (规范性附录)烟草行业信息系统整体安全保护能力要求 ...................................... - 88 -附录 B (规范性附录)烟草行业信息系统安全要求的选择和使用 ...................................... - 90 -引言本要求依据国家信息安全等级保护管理规定制订。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

烟草行业信息系统安全等级保护基本要求二○一一年五月目次引言...................................................................................................................................................... - 3 -1.范围 .............................................................................................................................................. - 4 -2.规范性引用文件 .......................................................................................................................... - 4 -3.术语和定义 .................................................................................................................................. - 4 -3.1.安全保护能力....................................................................................................................... - 4 -4.烟草行业信息系统安全等级保护概述....................................................................................... - 4 -4.1.烟草行业信息系统安全保护等级........................................................................................... - 4 -4.2.不同等级的安全保护能力....................................................................................................... - 4 -4.3.基本技术要求和基本管理要求............................................................................................... - 5 -4.4.基本技术要求的三种类型....................................................................................................... - 5 -5.第一级基本要求 .......................................................................................................................... - 5 -5.1.技术要求................................................................................................................................... - 5 -5.1.1.物理安全............................................................................................................................... - 5 -5.1.2.网络安全............................................................................................................................... - 7 -5.1.3.主机安全............................................................................................................................... - 8 -5.1.4.应用安全............................................................................................................................... - 9 -5.1.5.数据安全及备份恢复........................................................................................................... - 9 -5.2.管理要求................................................................................................................................. - 10 -5.2.1.安全管理制度..................................................................................................................... - 10 -5.2.2.安全管理机构..................................................................................................................... - 10 -5.2.3.人员安全管理..................................................................................................................... - 11 -5.2.4.系统建设管理..................................................................................................................... - 12 -5.2.5.系统运维管理..................................................................................................................... - 15 -6.第二级基本要求 ........................................................................................................................ - 18 -6.1.技术要求................................................................................................................................. - 18 -6.1.1.物理安全............................................................................................................................. - 18 -6.1.2.网络安全............................................................................................................................. - 21 -6.1.3.主机安全............................................................................................................................. - 23 -6.1.4.应用安全............................................................................................................................. - 26 -6.1.5.数据安全及备份恢复......................................................................................................... - 28 -6.2.管理要求................................................................................................................................. - 29 -6.2.1.安全管理制度..................................................................................................................... - 29 -6.2.2.安全管理机构..................................................................................................................... - 30 -6.2.3.人员安全管理..................................................................................................................... - 31 -6.2.4.系统建设管理..................................................................................................................... - 33 -6.2.5.系统运维管理..................................................................................................................... - 37 -7.第三级基本要求 ........................................................................................................................ - 44 -7.1.技术要求................................................................................................................................. - 44 -7.1.1.物理安全............................................................................................................................. - 44 -7.1.2.网络安全............................................................................................................................. - 49 -7.1.3.主机安全............................................................................................................................. - 53 -7.1.4.应用安全............................................................................................................................. - 56 -7.1.5.数据安全及备份恢复......................................................................................................... - 60 -7.2.管理要求................................................................................................................................. - 61 -7.2.1.安全管理制度..................................................................................................................... - 61 -7.2.2.安全管理机构..................................................................................................................... - 63 -7.2.3.人员安全管理..................................................................................................................... - 66 -7.2.4.系统建设管理..................................................................................................................... - 69 -7.2.5.系统运维管理..................................................................................................................... - 76 -8.第四级基本要求 ........................................................................................................................ - 87 -9.第五级基本要求 ........................................................................................................................ - 87 -附录 A (规范性附录)烟草行业信息系统整体安全保护能力要求 ...................................... - 88 -附录 B (规范性附录)烟草行业信息系统安全要求的选择和使用 ...................................... - 90 -引言本要求依据国家信息安全等级保护管理规定制订。

相关文档
最新文档