等级保护2.0基本要求-二级三级对比表

1

2 通用技术要求

2.1

安全物理环境

需要满足符合项的

，不需要满足符合项的

或者空

序号 名称 具体要求

2级 3级 1 物理位置的

选择

a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内；

b) 机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。

2 物理访问控

制

机房出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员。

机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。

3 防盗窃和防

破坏

a) 应将设备或主要部件进行固定，并设置明显的不易除去的标识；

b) 应将通信线缆铺设在隐蔽安全处。

c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统。

4 防雷击 应将各类机柜、设施和设备等通过接地系统安全接地。

b) 应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等。

5 防火 a) 机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；

b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。

c) 应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。

6 防水和防潮 a) 应采取措施防止雨水通过机房窗户、屋顶和墙

2.2安全通信网络

2.3安全区域边界

拒绝数据包进出；

审计记录应包括事件的日期和时间、用户、

2.4安全计算环境

审计记录应包括事件的日期和时间、用户、

应能够检测到对重要节点进行入侵的行为，

2.5安全管理中心

继电保护的四个要求

继电保护的四个要求 继电保护装置为了完成它的任务，必须在技术上满足选择性、速动性、灵敏性和可靠性四个基本要求。对于作用于继电器跳闸的继电保护，应同时满足四个基本要求，而对于作用于信号以及只反映不正常的运行情况的继电保护装置，这四个基本要求中有些要求可以降低。 1）选择性 选择性就是指当电力系统中的设备或线路发生短路时，其继电保护仅将故障的设备或线路从电力系统中切除，当故障设备或线路的保护或断路器拒动时，应由相邻设备或线路的保护将故障切除。 2）速动性 速动性是指继电保护装置应能尽快地切除故障，以减少设备及用户在大电流、低电压运行的时间，降低设备的损坏程度，提高系统并列运行的稳定性。 一般必须快速切除的故障有： (1) 使发电厂或重要用户的母线电压低于有效值(一般为0.7倍额定电压)。 (2) 大容量的发电机、变压器和电动机内部故障。 (3) 中、低压线路导线截面过小，为避免过热不允许延时切除的故障。 (4) 可能危及人身安全、对通信系统造成强烈干扰的故障。 故障切除时间包括保护装置和断路器动作时间，一般快速保护的动作时间为0.04s～0.08s，最快的可达0.01s～0.04s，一般断路器的跳闸时

间为0.06s～0.15s，最快的可达0.02s～0.06s。 对于反应不正常运行情况的继电保护装置，一般不要求快速动作，而应按照选择性的条件，带延时地发出信号。 3）灵敏性 灵敏性是指电气设备或线路在被保护范围内发生短路故障或不正常运行情况时，保护装置的反应能力。 能满足灵敏性要求的继电保护，在规定的范围内故障时，不论短路点的位置和短路的类型如何，以及短路点是否有过渡电阻，都能正确反应动作，即要求不但在系统最大运行方式下三相短路时能可靠动作，而且在系统最小运行方式下经过较大的过渡电阻两相或单相短路故障时也能可靠动作。 系统最大运行方式：被保护线路末端短路时，系统等效阻抗最小，通过保护装置的短路电流为最大运行方式； 系统最小运行方式：在同样短路故障情况下，系统等效阻抗为最大，通过保护装置的短路电流为最小的运行方式。 保护装置的灵敏性是用灵敏系数来衡量。 4）可靠性 可靠性包括安全性和信赖性，是对继电保护最根本的要求。 安全性：要求继电保护在不需要它动作时可靠不动作，即不发生误动。信赖性：要求继电保护在规定的保护范围内发生了应该动作的故障时可靠动作，即不拒动。

深信服等级保护(三级)建设方案

朔州市交警队 等级保护（三级）建设方案 深信服科技（深圳）有限公司 2017年8月

目录 1项目概述 (1) 2等级保护建设流程 (2) 3方案参照标准 (4) 4信息系统定级备案 (5) 4.1信息系统定级 (5) 4.2信息系统备案 (7) 5系统安全需求分析 (8) 6安全风险与差距分析 (12) 6.1物理安全风险与差距分析 (12) 6.2计算环境安全风险与差距分析 (12) 6.3区域边界安全风险与差距分析 (14) 6.4通信网络安全风险与差距分析 (15) 7技术体系方案设计 (17) 7.1方案设计目标 (17) 7.2方案设计框架 (17) 7.3安全域的划分 (18) 7.3.1安全域划分的依据 (18) 7.3.2安全域划分与说明 (19)

7.4安全技术体系设计 (19) 7.4.1机房与配套设备安全设计 (19) 7.4.2计算环境安全设计 (21) 7.4.3区域边界安全设计 (28) 7.4.4通信网络安全设计 (30) 7.4.5安全管理中心设计 (33) 8安全管理体系设计 (37) 9系统集成设计 (39) 9.1软硬件产品部署图 (39) 9.2安全产品部署说明 (42) 9.3产品选型 (45) 9.2.1选型建议 (45) 9.2.2选型要求 (45)

1项目概述 随着信息化的发展，朔州市交警队的业务开展也越来越依托于网络平台，但纵观当前的安全形势，各种安全事件层出不穷，而朔州市交警队目前的网络中，安全设备较少，以前买的安全设备由于网络带宽升级，使用耗损等，其性能也渐渐不能满足朔州市交警队目前的网络安全需求，严重制约了朔州市交警队的信息化脚步。因此朔州市交警队希望加快信息化建设，以实现电子办公，执法信息网络公开化等。 通过对朔州市交警队信息化现状调研、分析，结合等级保护在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全、系统建设、系统运维十个方面的要求，逐步完善信息安全组织、落实安全责任制，开展管理制度建设、技术措施建设，落实等级保护制度的各项要求，使得单位信息系统安全管理水平明显提高，安全保护能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展。

等级保护三级信息系统规章制度应用清单

信息系统 信息安全等级保护-管理部分2015年12月14日

注：以下所提供的材料包括制度、文档和记录清单。

目录 1 安全管理制度 (5) 1.1 安全管理 (5) 1.2 制定和发布 (5) 1.3 评审和修订 (6) 2 安全管理机构 (7) 2.1 岗位职责文件 (7) 2.2 人员配备 (7) 2.3 授权和审批 (8) 2.4 沟通和合作 (9) 2.5 安全检查 (9) 3 人员安全管理 ............................................................................................................................. 11 11 3.1 人员录用 ......................................................................................................................... 12 3.2 人员离岗 ......................................................................................................................... 12 3.3 人员考核 ......................................................................................................................... 3.4 安全意识教育和培训 (13) 3.5 外部人员访问管理 (13) 14 4 系统建设管理 ............................................................................................................................. 4.1 系统定级 ......................................................................................................................... 14 15 4.2 安全方案设计................................................................................................................. 4.3 产品采购和使用 (16)

电力系统继电保护的基本任务与要求

电力系统继电保护的基本任务与要求 它的基本任务是： （1）当被保护的电力系统元件发生故障时，应该由该元件的继电保护装置迅速准确地给脱离故障元件最近的断路器发出跳闸命令，使故障元件及时从电力系统中断开，以最大限度地减少对电力系统元件本身的损坏，降低对电力系统安全供 电的影响，并满足电力系统的某些特定要求(如保持电力系统的暂态稳定性等)。 （2）反应电气设备的不正常工作情况，并根据不正常工作情况和设备运行维护条件的不同(例如有无经常值班人员)发出信号，以便值班人员进行处理，或由装置自动地进行调整，或将那些继续运行会引起事故的电气设备予以切除。反应不正常工作情况的继电保护装置允许带一定的延时动作。 4.1.2对继电保护的基本要求 （1）可靠性是指保护该动体时应可靠动作。不该动作时应可靠不动作。可靠性是对继电保护装置性能的最根本的要求。 （2）选择性是指首先由故障设备或线路本身的保护切除故障，当故障设备或线路本身的保护或断路器拒动时，才允许由相邻设备保护、线路保护或断路器失灵保护切除故障。为保证对相邻设备和线路有配合要求的保护和同一保护内有配合要求的两元件（如启动与跳闸元件或闭锁与动作元件）的选择性，其灵敏系数及动作时间，在一般情况下应相互配合。

（3）灵敏性是指在设备或线路的被保护范围内发生金属性短路时，保护装置应具有必要的灵敏系数，各类保护的最小灵敏系数在规程中有具体规定。继电保护的 可靠性主要由配置合理、质量和技术性能优良的继电保护装置以及正常的运行维护和管理来保证。任何电力设备(线路、母线、变压器等)都不允许在无继电保护的 状态下运行。220KV及以上电网的所有运行设备都必须由两套交、直流输入、输出回路相互独立，并分别控制不同断路器的继电保护装置进行保护。当任一套继电保护装置或任一组断路器拒绝动作时，能由另一套继电保护装置操作另一组断路器切除故障。在所有情况下，要求这套继电保护装置和断路器所取的直流电源都经由不同的熔断器供电。（4）速动性是指保护装置应尽快地切除短路故障，其目的是提高系统稳定性，减轻故障设备和线路的损坏程度，缩小故障波及范围，提高自动重合闸和备用电源或备用设备自动投入的效果等。一般从装设速动保护(如高频保护、差动保护)、充分发挥零序接地瞬时段保护及相间速断保护的作用、减少继电器固有动作时间和断路器跳闸时间等方面入手来提高速动性。

信息系统安全等级保护基本要求(三级要求)

信息系统安全等级保护基本要求 1 三级基本要求 (3) 1.1 技术要求 (3) 1.1.1 物理安全 (3) 1.1.1.1 物理位置的选择（G3） (3) 1.1.1.2 物理访问控制（G3） (3) 1.1.1.3 防盗窃和防破坏（G3） (3) 1.1.1.4 防雷击（G3） (3) 1.1.1.5 防火（G3） (3) 1.1.1.6 防水和防潮（G3） (4) 1.1.1.7 防静电（G3） (4) 1.1.1.8 温湿度控制（G3） (4) 1.1.1.9 电力供应（A3） (4) 1.1.1.10 电磁防护（S3） (4) 1.1.2 网络安全 (4) 1.1.2.1 结构安全（G3） (4) 1.1.2.2 访问控制（G3） (4) 1.1.2.3 安全审计（G3） (5) 1.1.2.4 边界完整性检查（S3） (5) 1.1.2.5 入侵防范（G3） (5) 1.1.2.6 恶意代码防范（G3） (5) 1.1.2.7 网络设备防护（G3） (5) 1.1.3 主机安全 (6) 1.1.3.1 身份鉴别（S3） (6) 1.1.3.2 访问控制（S3） (6) 1.1.3.3 安全审计（G3） (6) 1.1.3.4 剩余信息保护（S3） (7) 1.1.3.5 入侵防范（G3） (7) 1.1.3.6 恶意代码防范（G3） (7) 1.1.3.7 资源控制（A3） (7) 1.1.4 应用安全 (7) 1.1.4.1 身份鉴别（S3） (7) 1.1.4.2 访问控制（S3） (8) 1.1.4.3 安全审计（G3） (8) 1.1.4.4 剩余信息保护（S3） (8) 1.1.4.5 通信完整性（S3） (8) 1.1.4.6 通信保密性（S3） (8) 1.1.4.7 抗抵赖（G3） (8) 1.1.4.8 软件容错（A3） (8) 1.1.4.9 资源控制（A3） (8) 1.1.5 数据安全及备份恢复 (9) 1.1.5.1 数据完整性（S3） (9) 1.1.5.2 数据保密性（S3） (9)

三级系统等级保护技术项目建议书

华为三级等级保护建设技术建议书 目录 1概述 (4) 2等级保护实施概述 (5) 2.1 参照标准 (5) 2.2 基本原则 (5) 2.3 角色和职责 (7) 2.4 实施的基本流程 (9) 3信息系统安全定级 (10) 3.1 参照标准 (10) 3.2 定级原理 (10) 3.2.1 信息系统安全保护级别 (10) 3.2.2 信息系统安全保护等级的定级要素 (10) 3.3 信息系统定级阶段的工作流程 (12) 4信息系统详细设计方案 (14) 4.1 安全建设需求分析 (14) 4.1.1 网络结构安全 (14) 4.1.2 边界安全风险与需求分析 (14) 4.1.3 运维风险需求分析 (15) 4.1.4 关键服务器管理风险分析 (15) 4.1.5 关键服务器用户操作管理风险分析 (18)

4.1.6 数据库敏感数据运维风险分析 (19) 4.1.7 “人机”运维操作行为风险综合分析 (20) 4.2 安全管理需求分析 (21) 4.3 整改建议 (22) 4.4 安全保障体系总体建设 (24) 4.5 安全技术体系建设 (27) 4.5.1 建设方案设计原则 (27) 4.5.2 外网安全设计 (29) 4.5.3 内网安全设计 (31) 4.5.4 主机安全体系建设 (35) 4.5.5 应用通信安全体系 (35) 4.5.6 应用数据安全 (36) 5整改建议（依据项目增加内容） (37) 5.1.1 整改后拓扑 (37) 5.1.2 软硬件新增设备清单 (37) 5.1.3 软硬件产品介绍 (37) 6三级等级保护基本要求点对点应答 (37) 6.1 技术要求 (37) 6.1.1 物理安全 (37) 6.1.2 网络安全 (41) 6.1.3 主机安全 (44)

电力系统继电保护的基本任务与要求

电力系统继电保护的基本任务与要求 对继电保护的基本要求（1）可靠性是指保护该动体时应可靠动作。不该动作时应可靠不动作。可靠性是对继电保护装置性能的最根本的要求。（2）选择性是指首先由故障设备或线路本身的保护切除故障，当故障设备或线路本身的保护或断路器拒动时，才允许由相邻设备保护、线路保护或断路器失灵保护切除故障。为保证对相邻设备和线路有配合要求的保护和同一保护内有配合要求的两元件（如启动与跳闸元件或闭锁与动作元件）的选择性，其灵敏系数及动作时间，在一般情况下应相互配合。（3）灵敏性是指在设备或线路的被保护范围内发生金属性短路时，保护装置应具有必要的灵敏系数，各类保护的最小灵敏系数在规程中有具体规定。继电保护的可靠性主要由配置合理、质量和技术性能优良的继电保护装置以及正常的运行维护和管理来保证。任何电力设备(线路、母线、变压器等)都不允许在无继电保护的状态下运行。220KV及以上电网的所有运行设备都必须由两套交、直流输入、输出回路相互独立，并分别控制不同断路器的继电保护装置进行保护。当任一套继电保护装置或任一组断路器拒绝动作时，能由另一套继电保护装置操作另一组断路器切除故障。在所有情况下，要求这套继电保护装置和断路器所取的直流电源都经由不同的熔断器供电。（4）速动性是指保护装置应尽快地切除短路故障，其目的是提高系统稳定性，减轻故障设备和线路的损坏

程度，缩小故障波及范围，提高自动重合闸和备用电源或备用设备自动投入的效果等。一般从装设速动保护(如高频保护、差动保护)、充分发挥零序接地瞬时段保护及相间速断保护的作用、减少继电器固有动作时间和断路器跳闸时间等方面入手来提高速动性。

xx项目等级保护(三级)建设方案

××项目 等级保护（三级）建设方案 深信服科技（深圳）有限公司 2019年12月

目录 1项目概述 (5) 2等级保护建设流程 (5) 3方案参照标准 (7) 4信息系统定级 (7) 4.1.1定级流程 (7) 4.1.2定级结果 (9) 5系统现状分析 (10) 5.1机房及配套设备现状分析 (10) 5.2计算环境现状分析 (10) 5.3区域边界现状分析 (10) 5.4通信网络现状分析............................................................................................................................................... 错误！未定义书签。 5.5安全管理中心现状分析 (10) 6安全风险与差距分析 (10) 6.1物理安全风险与差距分析 (10) 6.2计算环境安全风险与差距分析 (11) 6.3区域边界安全风险与差距分析 (13) 6.4通信网络安全风险与差距分析 (14) 6.5安全管理中心差距分析 (15) 7技术体系方案设计 (16) 7.1方案设计目标 (16) 7.2方案设计框架 (16) 7.3安全域的划分 (17) 7.3.1安全域划分的依据 (17) 7.3.2安全域划分与说明 (18)

7.4安全技术体系设计 (19) 7.4.1机房与配套设备安全设计 (19) 7.4.2计算环境安全设计 (20) 7.4.2.1身份鉴别 (20) 7.4.2.2访问控制 (21) 7.4.2.3系统安全审计 (21) 7.4.2.4入侵防范 (22) 7.4.2.5主机恶意代码防范 (23) 7.4.2.6软件容错 (23) 7.4.2.7数据完整性与保密性 (23) 7.4.2.8备份与恢复 (25) 7.4.2.9资源控制 (26) 7.4.2.10客体安全重用 (27) 7.4.2.11抗抵赖 (27) 7.4.2.12不同等级业务系统的隔离与互通 (27) 7.4.3区域边界安全设计 (28) 7.4.3.1边界访问控制入侵防范恶意代码防范与应用层防攻击 (28) 7.4.3.2流量控制 (29) 7.4.3.3边界完整性检查 (31) 7.4.3.4边界安全审计 (31) 7.4.4通信网络安全设计 (33) 7.4.4.1网络结构安全 (33) 7.4.4.2网络安全审计 (34) 7.4.4.3网络设备防护 (35) 7.4.4.4通信完整性与保密性 (35) 7.4.4.5网络可信接入 (36) 7.4.5安全管理中心设计 (37) 7.4.5.1系统管理 (37)

电子政务外网安全等级保护基本要求(试行)

附件 2： 国家电子政务外网 安全等级保护基本要求(试行) Baseline for classified protection of National E-Government Network

国家电子政务外网管理中心二○一一年十二月 目次 前 言 .............................................................................................................................................................. (1) 引言 (2) 适用范围 (3) 2. 规范性引用文件 (3) 3. 术语和定 义 (3) 4. 政务外网资产、威胁分析和脆弱 性 (5) 4.1. 资产分析 (5) 4.2. 威胁分析 (6) 4.3. 脆弱性分析 (7)

5. 政务外网安全等级保护概述 (8) 5.1. 政务外网安全保护等 级 (8) 5.2. 不同等级的安全保护能 力 (8) 6. 第二级基本要求 (9) 6.1. IP 承载网9 6.1.1. 广域 网 (9) 6.1.2. 城域 网 (9) 6.1.3. 用户局域 网 (10) 6.2. 业务区域网 络 (10) 6.2.1. 公用网络 区 (10) 6.2.2. 互联网接入 区 (10) 6.3. 管理区域网 络 (11) 6.3.1. 网络管理 区 (11) 6.3.2. 安全管理 区 (11) 7. 第三级基本要求 (11) 7.1. IP 承载网11 7.1.1. 广域 网 (11) I 7.1.2. 城域

信息安全等级保护(三级)建设方案

信息安全等级保护（三级）建设方案

目录 1. 前言 (3) 1.1 概述 (3) 1.2 相关政策及标准 (3) 2. 现状及需求分析 (5) 2.1. 现状分析 (5) 2.2. 需求分析 (5) 3. 等保三级建设总体规划 (6) 3.1. 网络边界安全建设 (6) 3.2. 日志集中审计建设 (6) 3.3. 安全运维建设 (6) 3.4. 等保及安全合规性自查建设 (6) 3.5. 建设方案优势总结 (7) 4. 等保三级建设相关产品介绍 (9) 4.1. 网络边界安全防护 (9) 4.1.1 标准要求 (9) 4.1.2 明御下一代防火墙 (10) 4.1.3 明御入侵防御系统（IPS） (13) 4.2. 日志及数据库安全审计 (15) 4.2.1 标准要求 (15) 4.2.2 明御综合日志审计平台 (17) 4.2.3 明御数据库审计与风险控制系统 (19) 4.3. 安全运维审计 (22) 4.3.1 标准要求 (22) 4.3.2 明御运维审计和风险控制系统 (23) 4.4. 核心WEB应用安全防护 (26) 4.3.1 标准要求 (26) 4.3.2 明御WEB应用防火墙 (27) 4.3.3 明御网站卫士 (30) 4.5. 等保及安全合规检查 (31) 4.5.1 标准要求 (31) 4.5.2 明鉴WEB应用弱点扫描器 (32) 4.5.3 明鉴数据库弱点扫描器 (34) 4.5.4 明鉴远程安全评估系统 (37) 4.5.5 明鉴信息安全等级保护检查工具箱 (38) 4.6. 等保建设咨询服务 (40) 4.6.1 服务概述 (40) 4.6.2 安全服务遵循标准 (41) 4.6.3 服务内容及客户收益 (41) 5. 等保三级建设配置建议 (42)

继电保护的四个基本要求

继电保护的四个基本要求 继电保护的四个基本要求 基本要求 编辑 继电保护装置为了完成它的任务，必须在技术上满足选择性、速动性、灵敏性和可靠性四个基本要求。对于作用于继电器跳闸的继电保护，应同时满足四个基本要求，而对于作用于信号以及只反映不正常的运行情况的继电保护装置，这四个基本要求中有些要求可以降低。 1）选择性 选择性就是指当电力系统中的设备或线路发生短路时，其继电保护仅将故障的设备或线路从电力系统中切除，当故障设备或线路的保护或断路器拒动时，应由相邻设备或线路的保护将故障切除。 2）速动性 速动性是指继电保护装置应能尽快地切除故障，以减少设备及用户在大电流、低电压运行的时间，降低设备的损坏程度，提高系统并列运行的稳定性。 一般必须快速切除的故障有： (1) 使发电厂或重要用户的母线电压低于有效值(一般为0.7倍 额定电压)。 (2) 大容量的发电机、变压器和电动机内部故障。

(3) 中、低压线路导线截面过小，为避免过热不允许延时切除的故障。 (4) 可能危及人身安全、对通信系统造成强烈干扰的故障。 故障切除时间包括保护装置和断路器动作时间，一般快速保护的动作时间为0.04s～0.08s，最快的可达0.01s～0.04s，一般断路器 的跳闸时间为0.06s～0.15s，最快的可达0.02s～0.06s。 对于反应不正常运行情况的继电保护装置，一般不要求快速动作，而应按照选择性的条件，带延时地发出信号。 3）灵敏性 灵敏性是指电气设备或线路在被保护范围内发生短路故障或不 正常运行情况时，保护装置的反应能力。 能满足灵敏性要求的继电保护，在规定的范围内故障时，不论短路点的位置和短路的类型如何，以及短路点是否有过渡电阻，都能正确反应动作，即要求不但在系统最大运行方式下三相短路时能可靠动作，而且在系统最小运行方式下经过较大的过渡电阻两相或单相短路故障时也能可靠动作。 系统最大运行方式：被保护线路末端短路时，系统等效阻抗最小，通过保护装置的短路电流为最大运行方式； 系统最小运行方式：在同样短路故障情况下，系统等效阻抗为最大，通过保护装置的短路电流为最小的运行方式。 保护装置的灵敏性是用灵敏系数来衡量。 4）可靠性

等级保护基本要求-管理要求学习资料

1.1管理要求 1.1.1安全管理制度 1.1.1.1管理制度（G3） 本项要求包括： a) 应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等； b) 应对安全管理活动中的各类管理内容建立安全管理制度； c) 应对要求管理人员或操作人员执行的日常管理操作建立操作规程； d) 应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。 1.1.1.2制定和发布（G3） 本项要求包括： a) 应指定或授权专门的部门或人员负责安全管理制度的制定； b) 安全管理制度应具有统一的格式，并进行版本控制； c) 应组织相关人员对制定的安全管理制度进行论证和审定； d) 安全管理制度应通过正式、有效的方式发布； e) 安全管理制度应注明发布范围，并对收发文进行登记。 1.1.1.3评审和修订（G3） 本项要求包括： a) 信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定； b) 应定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订。 1.1.2安全管理机构 1.1. 2.1岗位设置（G3） 本项要求包括： a) 应设立信息安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责； b) 应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责； c) 应成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权； d) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。

信息系统安全等级保护基本要求三级要求

信息系统安全等级保护基本要求 第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。 1 三级基本要求 1.1技术要求 1.1.1物理安全 1.1.1.1物理位置的选择（G3） 本项要求包括： a）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内； b）机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。 1.1.1.2物理访问控制（G3） 本项要求包括： a）机房出入口应安排专人值守，控制、鉴别和记录进入的人员； b）需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围； c）应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域； d）重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。 1.1.1.3防盗窃和防破坏（G3） 本项要求包括: a）应将主要设备放置在机房内；

b）应将设备或主要部件进行固定，并设置明显的不易除去的标记； c）应将通信线缆铺设在隐蔽处，可铺设在地下或管道中； d）应对介质分类标识，存储在介质库或档案室中； e）应利用光、电等技术设置机房防盗报警系统； f）应对机房设置监控报警系统。 1.1.1.4防雷击（G3） 本项要求包括： a）机房建筑应设置避雷装置； b）应设置防雷保安器，防止感应雷； c）机房应设置交流电源地线。 1.1.1.5防火（G3） 本项要求包括： a）机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；b）机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料； c）机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。 1.1.1.6防水和防潮（G3） 本项要求包括： a）水管安装，不得穿过机房屋顶和活动地板下； b）应米取措施防止雨水通过机房窗户、屋顶和墙壁渗透； c）应采取措施防止机房内水蒸气结露和地下积水的转移与渗透； d）应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。

国家信息安全等级保护制度第三级要求

国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。

1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;

b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。

信息系统安全等级保护基本要求

蓝色部分是操作系统安全等级划分，红色部分是四级操作系统关于网络部分的要求:） 《信息系统安全等级保护基本要求》 中华人民共和国国家标准GB/T 22239-2008 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于 加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字 [2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南； ——GB/T CCCC-CCCC 信息安全技术信息系统安全等级保护实施指南。 本标准与GB17859-1999、GB/T 20269-2006 、GB/T 20270-2006 、GB/T 20271-2006 等标准共同构成了 信息系统安全等级保护的相关配套标准。其中GB17859-1999是基础性标准，本标准、GB/T20269-2006、 GB/T20270-2006、GB/T20271-2006等是在GB17859-1999基础上的进一步细化和扩展。 本标准在GB17859-1999、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等技术类标准的基础 上，根据现有技术的发展水平，提出和规定了不同安全保护等级信息系统的最低保护要求，即基本安全要求，基 本安全要求包括基本技术要求和基本管理要求，本标准适用于指导不同安全保护等级信息系统的安全建设和监督 管理。 在本标准文本中，黑体字表示较低等级中没有出现或增强的要求。 信息系统安全等级保护基本要求 1范围 本标准规定了不同安全保护等级信息系统的基本保护要求，包括基本技术要求和基本管理要求，适用于指导 分等级的信息系统的安全建设和监督管理。 2规范性引用文件 下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单 （不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文 件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分：安全 GB17859-1999 计算机信息系统安全保护等级划分准则 GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南 3术语和定义 GB/T 5271.8和GB 17859-1999确立的以及下列术语和定义适用于本标准。 3.1 安全保护能力 security protection ability 系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。 4信息系统安全等级保护概述 4.1信息系统安全保护等级 信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共 利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分为五级，五级定义见GB/T AAAA- AAAA。 4.2不同等级的安全保护能力

某单位信息安全等级保护建设方案

xxxxxx 信息安全等级保护（三级）建设项目 设计方案 二〇一八年二月

文档控制 文档名称： xxxxxx 信息安全等保保护建设（三级）设计方案 版本信息 本文档版权归xxxxxx股份有限公司所有，未经xxxx有限公司允许，本文档里的任何内容都不得被用来宣传和传播。未经xxxx有限公司书面批准，文档或任何类似的资讯都不允许被发布。

目录 第一章项目概述 (5) 项目概述 (5) 项目建设背景 (5) 1.2.1法律要求 (6) 1.2.2政策要求 (7) 项目建设目标及内容 (8) 1.3.1项目建设目标 (8) 1.3.2建设内容 (8) 第二章现状与差距分析 (9) 现状概述 (9) 2.1.1信息系统现状 (9) 现状与差距分析 (11) 2.2.1物理安全现状与差距分析 (11) 2.2.2网络安全现状与差距分析 (17) 2.2.3主机安全现状与差距分析 (26) 2.2.4应用安全现状与差距分析 (34) 2.2.5数据安全现状与差距分析 (41) 2.2.6安全管理现状与差距分析 (44) 综合整改建议 (49)

2.3.1技术措施综合整改建议 (49) 2.3.2安全管理综合整改建议 (58) 第三章安全建设目标 (60) 第四章安全整体规划 (62) 建设指导 (62) 4.1.1指导原则 (62) 4.1.2安全防护体系设计整体架构 (63) 安全技术规划 (65) 4.2.1安全建设规划拓朴图 (65) 4.2.2安全设备功能 (66) 建设目标规划 (71) 第五章工程建设 (73) 工程一期建设 (73) 5.1.1区域划分 (73) 5.1.2网络环境改造 (73) 5.1.3网络边界安全加固 (74) 5.1.4网络及安全设备部署 (75) 5.1.5安全管理体系建设服务 (104) 5.1.6安全加固服务 (120) 5.1.7应急预案和应急演练 (127) 5.1.8安全等保认证协助服务 (128)

网络安全等级保护第三级基本要求

1 第三级基本要求（共290小项）1.1 技术要求（共136小项） 1.1.1 物理安全（共32小项） 1.1.1.1 物理位置的选择（G3） 本项要求包括： a) b)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内； 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制（G3）本项要求包括： a) b) c) d)机房出入口应安排专人值守，控制、鉴别和记录进入的人员； 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域； 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏（G3）本项要求包括： a) b) c) d) e) f)应将主要设备放置在机房内； 应将设备或主要部件进行固定，并设置明显的不易除去的标记；应将通信线缆铺设在隐蔽处，可铺设在地下或管道中； 应对介质分类标识，存储在介质库或档案室中； 应利用光、电等技术设置机房防盗报警系统； 应对机房设置监控报警系统。 1.1.1.4 防雷击（G3）本项要求包括： a) b) c)机房建筑应设置避雷装置；应设置防雷保安器，防止感应雷；机房应设置交流电源地线。 1.1.1.5 防火（G3）本项要求包括： a) b) c)机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料； 机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮（G3）本项要求包括： a) b) c)水管安装，不得穿过机房屋顶和活动地板下； 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；

业务内网等级保护三级整改建设案例1背景

业务内网等级保护三级整改建设案例 1背景 某政府机关单位为保证其核心业务应用的持续、稳定运行，实现各核心业务应用之间信息的安全共享，该单位按照《信息安全等级保护管理办法》（公通字[2007]43号）文件精神，结合自身核心业务系统特点开展信息安全等级保护建设整改工作。 在项目推进的前期准备阶段，该单位信息中心对自身业务系统的安全状况，邀请了专业的第三方等级保护咨询服务商进行了深入的调研和评估，梳理和整理了当前运行的所有业务系统，并依据《信息系统等级保护定级指南》对自身核心业务系统的保护进行了定级备案、差距分析与风险评估、安全规划等一系列准备工作。上级单位通过了该单位等级保护整改建设方案的评审，该单位等级保护工作正式进入整改建设阶段。 2安全需求 该单位定级了若干重要信息系统如XXX规划信息管理系统、XXX监测预警系统、XXX 培训管理系统、XXX办公自动化系统、XXX收费管理系统等诸多信息系统。 所有信息系统全部是内网互联，不与互联网直接连接。内网有办公人员、运维人员及第三方开发人员。 根据等级保护建设前期调研、评估过程，依据《GB17859-1999信息安全技术信息系统安全保护等级定级指南》和第三方等级保护咨询机构的建议，最终确定本次等级保护建设需求如下： 1.业务内网现有网络架构都是单节点部署同时没有划分安全域，需要优化设计。 2.各个网络区域边界没有访问控制措施。 3.提高安全维护人员对入侵行为的检测能力。 4.建立符合等级保护要求的内部审计机制。 5.构建基于用户身份的网络准入控制体系。 6.从业务角度出发，强化应用安全、保护隐私数据。

7.建立并保持一个文件化的信息安全管理体系，明确管理职责、规范操作行为。 3方案设计 通过对现状资产梳理，差距分析后，先将整体网络架构重新设计，如下图： 安全技术层面： 物理安全：机房要满足等保三级基础要求； 网络安全：网络结构进行优化，所有核心节点全冗余部署，同时还要有网络优先级控制；所有安全区域边界位置部署NGAF，开启FW、IDS、WAF、AV模块；核心区域部署AC，实现网络行为审计功能。 主机安全：服务器及用户终端统一安装网络杀毒软件；服务器及用户终端统一安装必要的终端安全管理系统；进行人工干预的安全加固工作。 应用安全：使用统一认证系统进行身份管理和认证管理；重要业务访问建立安全加密连接，通过部署AD实现ssl卸载；业务服务器前端部署AD实现通信可用性保障；建立CA系统保证抗抵赖机制；实行代码审计工作防御应用级安全漏洞。

继电保护基础知识

41 、什么是继电保护装置? 答:当电力系统中的电力元件(如发电机、线路等)或电力系统本身发生了故障或危及其安全运行的事件时,需要向运行值班人员及时发出警告信号,或者直接向所控制的开关发出跳闸命令,以终止这些事件发展的一种自动化措施和设备。实现这种自动化措施的成套设备,一般通称为继电保护装置。 42 、继电保护在电力系统中的任务是什么? 答：继电保护的基本任务主要分为两部分: 1、当被保护的电力系统元件发生故障时,应该由该元件的继电保护装置迅速准确地给距离故障元件最近的开关发出跳闸命令,使故障元件及时从电力系统中断开,以最大限度地减少对电力元件本身的损坏,降低对电力系统安全供电的影响,并满足电力系统的某些特定要求(如保持电力系统的暂态稳定性等)。 2、反应电气设备的不正常工作情况,并根据不正常工作情况和设备运行维护条件的不同(例如有无经常值班人员)发出信号,以便值班人员进行处理,或由装置自动地进行调整,或将那些继续运行而会引起事故的电气设备予以切除。反应不正常工作情况的继电保护装置容许带一定的延时动作。 43、简述继电保护的基本原理和构成方式？ 答:继电保护主要利用电力系统中元件发生短路或异常情况时的电气量(电流、电压、功率、频率等）的变化,构成继电保护动作的原理,也有其他的物理量,如变压器油箱内故障时伴随产生的大量瓦斯和油流速度的增大或油压强度的增高。大多数情况下,不管反应哪种物理量,继电保护装置将包括测量部分(和定值调整部分）、逻辑部分、执行部分。 44、如何保证继电保护的可靠性? 答:可靠性主要由配置合理、质量和技术性能优良的继电保护装置以及正常的运行维护和管理来保证。任何电力设备(线路、母线、变压器等)都不允许在无继电保护的状态下运行。220kV及以上电网的所有运行设备都必须由两套交、直流输入、输出回路相互独立,并分别控制不同开关的继电保护装置进行保护。当任一套继电保护装置或任一组开关拒绝动作时,能由另一套继电保护装置操作另一组开关切除故障。在所有情况下,要求这两套继电保护装置和开关所取的直流电源均经由不同的熔断器供电。 45 、为保证电网继电保护的选择性,上、下级电网继电保护之间配合应满足什么要求? 答:上、下级电网(包括同级和上一级及下一级电网)继电保护之间的整定,应遵循逐级配合的原则,满足选择性的要求,即当下一级线路或元件故障时,故障线路或元件的继电保护整定值必须在灵敏度和动作时间上均与上一级线路或元件的 继电保护整定值相互配合,以保证电网发生故障时有选择性地切除故障。 46 、在哪些情况下允许适当牺牲继电保护部分选择性? 答：1、接入供电变压器的终端线路,无论是一台或多台变压器并列运行(包括多处T接供电变压器或供电线路),都允许线路侧的速动段保护按躲开变压器其他侧母线故障整定。需要时,线路速动段保护可经一短时限动作。 2、对串联供电线路,如果按逐级配合的原则将过份延长电源侧保护的动作时间,则可将容量较小的某些中间变电所按T接变电所或不配合点处理,以减少配合的级数,缩短动作时间。 3、双回线内部保护的配合,可按双回线主保护(例如横联差动保护)动作,或双回线中一回线故障时两侧零序电流(或相电流速断)保护纵续动作的条件考虑；确有困难时,允许双回线中一回线故障时,两回线的延时保护段间有不配合的情况。 4、在构成环网运行的线路中,允许设置预定的一个解列点或一回解列线路。 47、为保证灵敏度,接地保护最末一段定值应如何整定? 答:接地保护最末一段(例如零序电流保护Ⅳ段),应以适应下述短路点接地电阻值的接地故障为整定条件:220kV线 路,100Ω；330kV线路,150Ω；500kV线路,300Ω。对应于上述条件,零序电流保护最末一段的动作电流整定值应不大于300A。当线路末端发生高电阻接地故障时,允许由两侧线路继电保护装置纵续动作切除故障。对于110kV线路,考虑到在可能的高电阻接地故障情况下的动作灵敏度要求,其最末一段零序电流保护的电流整定值一般也不应大于300A,此时,允许线路两侧零序电流保护纵续动作切除故障。 48 、简述220千伏线路保护的配置原则是什么？ 答:对于220千伏线路,根据稳定要求或后备保护整定配合有困难时,应装设两套全线速动保护。接地短路后备保护可装阶段式或反时限零序电流保护,亦可采用接地距离保护并辅之以阶段式或反时限零序电流保护。相间短路后备保护一般应装设阶段式距离保护。