等级保护二级与三级差别
等级保护二级系统与三级系统
比较分析报告
2012年4月24号
目录
1.二级系统与三级系统的界定 (3)
2.二级系统与三级系统要求的防护能力差别 (3)
3.二级系统与三级系统的测评力度差别 (4)
4.二级系统与三级系统的强制测评周期区别 (4)
5.二级系统与三级系统的测评模型差别 (5)
6.二级系统与三级系统的测评指标的差别及问题解决方案(技术为例) (7)
7.二级系统与三级系统定级出现偏差的风险分析 (11)
1.二级系统与三级系统的界定
《信息系统安全等级保护定级指南》中规定:
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
2.二级系统与三级系统要求的防护能力差别
第二级系统应达到的安全保护能力:
应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段事件内恢复部分功能。
第三级系统应达到的安全保护能力:
应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
4.二级系统与三级系统的强制测评周期区别
《信息安全等级保护管理办法》中第十四条规定:
信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评。
二级系统不强制要求测评,但是要求定期找测评机构测评或进行系统自测。
以医疗机构信息系统为例:
二级的信息系统会采用如下的模型进行测评:
三级的信息系统会采用如下的模型进行测评:(其中灰色背景的为三级比二级增加的项目)
6.二级系统与三级系统的测评指标的差别及问题解决方案(技术为例)
7.二级系统与三级系统定级出现偏差的风险分析
正因为以上二级系统和三级系统在定级要素、系统防护能力要求、系统测评的周期及力度、测评指标的诸多不同,导致了系统定级的准确性尤为重要。
定级偏高(二级系统误定级为三级),则测评要求的安全防护等级就会提高,测评将按照高级别的要求,导致测评周期缩短,可能引起测评和整改费用增加,但是系统的安全性也得到了很大的提高。
定级偏低(三级系统误定级为二级),测评将按照低等级的要求来进行,系统的安全性不能得到充分检测,存在的安全漏洞不能及时的发现,为系统留下重大安全隐患。
安全等级保护2级和3级等保要求-蓝色为区别2.
二级、三级等级保护要求比较一、技术要求 技术要求项二级等保三级等保 物理 安全 物理 位置 的选 择1)机房和办公场地应选择 在具有防震、防风和防雨 等能力的建筑内。 1)机房和办公场地应选择在具有防震、防 风和防雨等能力的建筑内; 2)机房场地应避免设在建筑物的高层或地 下室,以及用水设备的下层或隔壁; 3)机房场地应当避开强电场、强磁场、强 震动源、强噪声源、重度环境污染、易 发生火灾、水灾、易遭受雷击的地区。 物理访问控制1)机房出入口应有专人值 守,鉴别进入的人员身份 并登记在案; 2)应批准进入机房的来访 人员,限制和监控其活动 范围。 1)机房出入口应有专人值守,鉴别进入的 人员身份并登记在案; 2)应批准进入机房的来访人员,限制和监 控其活动范围; 3)应对机房划分区域进行管理,区域和区 域之间设置物理隔离装置,在重要区域 前设置交付或安装等过度区域; 4)应对重要区域配置电子门禁系统,鉴别 和记录进入的人员身份并监控其活动。 防盗窃和防破坏1)应将主要设备放置在物 理受限的范围内; 2)应对设备或主要部件进 行固定,并设置明显的不 易除去的标记; 3)应将通信线缆铺设在隐 蔽处,如铺设在地下或管 道中等; 4)应对介质分类标识,存储 在介质库或档案室中; 5)应安装必要的防盗报警 设施,以防进入机房的盗 窃和破坏行为。 1)应将主要设备放置在物理受限的范围 内; 2)应对设备或主要部件进行固定,并设置 明显的无法除去的标记; 3)应将通信线缆铺设在隐蔽处,如铺设在 地下或管道中等; 4)应对介质分类标识,存储在介质库或档 案室中; 5)设备或存储介质携带出工作环境时,应 受到监控和内容加密; 6)应利用光、电等技术设置机房的防盗报 警系统,以防进入机房的盗窃和破坏行 为;
机房等级保护第二级基本要求
1 第二级基本要求 1.1 技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G2) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 1.1.1.2 物理访问控制(G2) 本项要求包括: a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。 1.1.1.3 防盗窃和防破坏(G2) 本项要求包括: a)应将主要设备放置在机房内; b)应将设备或主要部件进行固定,并设置明显的不易除去的标记; c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d)应对介质分类标识,存储在介质库或档案室中; e)主机房应安装必要的防盗报警设施。 1.1.1.4 防雷击(G2) 本项要求包括: a)机房建筑应设置避雷装置; b)机房应设置交流电源地线。 1.1.1.5 防火(G2) 机房应设置灭火设备和火灾自动报警系统。 1.1.1.6 防水和防潮(G2) 本项要求包括: a)水管安装,不得穿过机房屋顶和活动地板下; b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 1.1.1.7 防静电(G2) 关键设备应采用必要的接地防静电措施。 1.1.1.8 温湿度控制(G2) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A2) 本项要求包括: a)应在机房供电线路上配置稳压器和过电压防护设备; b)应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。 1.1.1.10 电磁防护(S2)
国家信息安全等级保护制度第三级要求
国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括: a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运
深信服等级保护(三级)建设方案
朔州市交警队 等级保护(三级)建设方案 深信服科技(深圳)有限公司 2017年8月
目录 1项目概述 (1) 2等级保护建设流程 (2) 3方案参照标准 (4) 4信息系统定级备案 (5) 4.1信息系统定级 (5) 4.2信息系统备案 (7) 5系统安全需求分析 (8) 6安全风险与差距分析 (12) 6.1物理安全风险与差距分析 (12) 6.2计算环境安全风险与差距分析 (12) 6.3区域边界安全风险与差距分析 (14) 6.4通信网络安全风险与差距分析 (15) 7技术体系方案设计 (17) 7.1方案设计目标 (17) 7.2方案设计框架 (17) 7.3安全域的划分 (18) 7.3.1安全域划分的依据 (18) 7.3.2安全域划分与说明 (19)
7.4安全技术体系设计 (19) 7.4.1机房与配套设备安全设计 (19) 7.4.2计算环境安全设计 (21) 7.4.3区域边界安全设计 (28) 7.4.4通信网络安全设计 (30) 7.4.5安全管理中心设计 (33) 8安全管理体系设计 (37) 9系统集成设计 (39) 9.1软硬件产品部署图 (39) 9.2安全产品部署说明 (42) 9.3产品选型 (45) 9.2.1选型建议 (45) 9.2.2选型要求 (45)
1项目概述 随着信息化的发展,朔州市交警队的业务开展也越来越依托于网络平台,但纵观当前的安全形势,各种安全事件层出不穷,而朔州市交警队目前的网络中,安全设备较少,以前买的安全设备由于网络带宽升级,使用耗损等,其性能也渐渐不能满足朔州市交警队目前的网络安全需求,严重制约了朔州市交警队的信息化脚步。因此朔州市交警队希望加快信息化建设,以实现电子办公,执法信息网络公开化等。 通过对朔州市交警队信息化现状调研、分析,结合等级保护在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全、系统建设、系统运维十个方面的要求,逐步完善信息安全组织、落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使得单位信息系统安全管理水平明显提高,安全保护能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展。
信息系统等级保护测评指标(二级与三级)
实用标准文档 1.信息系统等级保护测评指标 等级保护的测评技术指标至少覆盖各系统等保二级、等级保三级的全部指标 1.1.等级保护二级测评基本指标 分类子类基本要求 物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建(G2)筑内 物理访问控制机房出入口应安排专人值守,控制、鉴别和记录进入的人员 需进入机房的来访人员应经过申请和审批流程,并限制和监 (G2) 控其活动范围 应将主要设备放置在机房内 应将设备或主要部件进行固定,并设置明显的不易除去的标防盗窃和防破坏记 (G2)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中 应对介质分类标识,存储在介质库或档案室中 主机房应安装必要的防盗报警设施 防雷击(G2) 机房建筑应设置避雷装置 机房应设置交流电源地线 物理安全 防火(G2)机房应设置灭火设备和火灾自动报警系统。 水管安装,不得穿过机房屋顶和活动地板下 防水和防潮(G2)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透 防静电(G2)关键设备应采用必要的接地防静电措施 温湿度控制(G2)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内 应在机房供电线路上配置稳压器和过电压防护设备 电力供应(A2)应提供短期的备用电力供应,至少满足关键设备在断电情况 下的正常运行要求 电磁防护(S2)电源线和通信线缆应隔离铺设,避免互相干扰 应保证关键网络设备的业务处理能力具备冗余空间,满足业 务高峰期需要 应保证接入网络和核心网络的带宽满足业务高峰期需要 结构安全(G2)应绘制与当前运行情况相符的网络拓扑结构图 网络安全 应根据各部门的工作职能、重要性和所涉及信息的重要程度 等因素,划分不同的子网或网段,并按照方便管理和控制的 原则为各子网、网段分配地址段 应在网络边界部署访问控制设备,启用访问控制功能 访问控制(G2)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级
等级保护二级与三级差别
等级保护二级系统与三级系统 比较分析报告 2012年4月24号
目录 1.二级系统与三级系统的界定 (3) 2.二级系统与三级系统要求的防护能力差别 (3) 3.二级系统与三级系统的测评力度差别 (4) 4.二级系统与三级系统的强制测评周期区别 (4) 5.二级系统与三级系统的测评模型差别 (5) 6.二级系统与三级系统的测评指标的差别及问题解决方案(技术为例) (7) 7.二级系统与三级系统定级出现偏差的风险分析 (11)
1.二级系统与三级系统的界定 《信息系统安全等级保护定级指南》中规定: 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 2.二级系统与三级系统要求的防护能力差别 第二级系统应达到的安全保护能力: 应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段事件内恢复部分功能。 第三级系统应达到的安全保护能力: 应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
4.二级系统与三级系统的强制测评周期区别 《信息安全等级保护管理办法》中第十四条规定: 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评。 二级系统不强制要求测评,但是要求定期找测评机构测评或进行系统自测。
信息系统安全等级保护基本要求(三级要求)
信息系统安全等级保护基本要求 1 三级基本要求 (3) 1.1 技术要求 (3) 1.1.1 物理安全 (3) 1.1.1.1 物理位置的选择(G3) (3) 1.1.1.2 物理访问控制(G3) (3) 1.1.1.3 防盗窃和防破坏(G3) (3) 1.1.1.4 防雷击(G3) (3) 1.1.1.5 防火(G3) (3) 1.1.1.6 防水和防潮(G3) (4) 1.1.1.7 防静电(G3) (4) 1.1.1.8 温湿度控制(G3) (4) 1.1.1.9 电力供应(A3) (4) 1.1.1.10 电磁防护(S3) (4) 1.1.2 网络安全 (4) 1.1.2.1 结构安全(G3) (4) 1.1.2.2 访问控制(G3) (4) 1.1.2.3 安全审计(G3) (5) 1.1.2.4 边界完整性检查(S3) (5) 1.1.2.5 入侵防范(G3) (5) 1.1.2.6 恶意代码防范(G3) (5) 1.1.2.7 网络设备防护(G3) (5) 1.1.3 主机安全 (6) 1.1.3.1 身份鉴别(S3) (6) 1.1.3.2 访问控制(S3) (6) 1.1.3.3 安全审计(G3) (6) 1.1.3.4 剩余信息保护(S3) (7) 1.1.3.5 入侵防范(G3) (7) 1.1.3.6 恶意代码防范(G3) (7) 1.1.3.7 资源控制(A3) (7) 1.1.4 应用安全 (7) 1.1.4.1 身份鉴别(S3) (7) 1.1.4.2 访问控制(S3) (8) 1.1.4.3 安全审计(G3) (8) 1.1.4.4 剩余信息保护(S3) (8) 1.1.4.5 通信完整性(S3) (8) 1.1.4.6 通信保密性(S3) (8) 1.1.4.7 抗抵赖(G3) (8) 1.1.4.8 软件容错(A3) (8) 1.1.4.9 资源控制(A3) (8) 1.1.5 数据安全及备份恢复 (9) 1.1.5.1 数据完整性(S3) (9) 1.1.5.2 数据保密性(S3) (9)
等级保护测评项目测评方案-2级和3级标准
信息安全等级保护测评项目 测 评 方 案 广州华南信息安全测评中心 二〇一六年
目录 第一章概述 (3) 第二章测评基本原则 (4) 一、客观性和公正性原则 (4) 二、经济性和可重用性原则 (4) 三、可重复性和可再现性原则 (4) 四、结果完善性原则 (4) 第三章测评安全目标(2级) (5) 一、技术目标 (5) 二、管理目标 (6) 第四章测评内容 (9) 一、资料审查 (10) 二、核查测试 (10) 三、综合评估 (10) 第五章项目实施 (12) 一、实施流程 (12) 二、测评工具 (13) 2.1 调查问卷 (13) 2.2 系统安全性技术检查工具 (13) 2.3 测评工具使用原则 (13) 三、测评方法 (14) 第六章项目管理 (15) 一、项目组织计划 (15) 二、项目成员组成与职责划分 (15) 三、项目沟通 (16) 3.1 日常沟通,记录和备忘录 (16) 3.2 报告 (16) 3.3 正式会议 (16) 第七章附录:等级保护评测准则 (19) 一、信息系统安全等级保护 2 级测评准则 (19) 1.1 基本要求 (19) 1.2 评估测评准则 (31) 二、信息系统安全等级保护 3 级测评准则 (88) 基本要求 (88) 评估测评准则 (108)
第一章概述 2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件 明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。” 2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出,“通过深化信息安全等级保护,全面推动重要信息系统安全整改和测评工作,增强信息系统安全保护的整体性、针对性和实效性,使信息系统安全 建设更加突出重点、统一规范、科学合理,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设”。由此可见,等级保护测评和等级保护安全整改工作已经迫在眉睫。
网络安全等级保护第三级基本要求
1 第三级基本要求(共290小项)1.1 技术要求(共136小项) 1.1.1 物理安全(共32小项) 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) b)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3)本项要求包括: a) b) c) d)机房出入口应安排专人值守,控制、鉴别和记录进入的人员; 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域; 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏(G3)本项要求包括: a) b) c) d) e) f)应将主要设备放置在机房内; 应将设备或主要部件进行固定,并设置明显的不易除去的标记;应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; 应对介质分类标识,存储在介质库或档案室中; 应利用光、电等技术设置机房防盗报警系统; 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3)本项要求包括: a) b) c)机房建筑应设置避雷装置;应设置防雷保安器,防止感应雷;机房应设置交流电源地线。 1.1.1.5 防火(G3)本项要求包括: a) b) c)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3)本项要求包括: a) b) c)水管安装,不得穿过机房屋顶和活动地板下; 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
(完整word版)安全等级保护建设方案
Xx 信息安全等级保护(三级)建设方案
目录 1. 前言 (3) 1.1 概述 (3) 1.2 相关政策及标准 (3) 2. 现状及需求分析 (5) 2.1. 现状分析 (5) 2.2. 需求分析 (5) 3. 等保三级建设总体规划 (6) 3.1. 网络边界安全建设 (6) 3.2. 日志集中审计建设 (6) 3.3. 安全运维建设 (6) 3.4. 等保及安全合规性自查建设 (6) 3.5. 建设方案优势总结 (7) 4. 等保三级建设相关产品介绍 (9) 4.1. 网络边界安全防护 (9) 4.1.1 标准要求 (9) 4.1.2 明御下一代防火墙 (10) 4.1.3 明御入侵防御系统(IPS) (13) 4.2. 日志及数据库安全审计 (15) 4.2.1 标准要求 (15) 4.2.2 明御综合日志审计平台 (17) 4.2.3 明御数据库审计与风险控制系统 (19) 4.3. 安全运维审计 (22) 4.3.1 标准要求 (22) 4.3.2 明御运维审计和风险控制系统 (23) 4.4. 核心WEB应用安全防护 (26) 4.3.1 标准要求 (26) 4.3.2 明御WEB应用防火墙 (27) 4.3.3 明御网站卫士 (30) 4.5. 等保及安全合规检查 (31) 4.5.1 标准要求 (31) 4.5.2 明鉴WEB应用弱点扫描器 (32) 4.5.3 明鉴数据库弱点扫描器 (34) 4.5.4 明鉴远程安全评估系统 (37) 4.5.5 明鉴信息安全等级保护检查工具箱 (38) 4.6. 等保建设咨询服务 (40) 4.6.1 服务概述 (40) 4.6.2 安全服务遵循标准 (41) 4.6.3 服务内容及客户收益 (41) 5. 等保三级建设配置建议 (42)
计算机信息系统安全等级保护三级
计算机信息系统安全等级保护三级 申请条件: (一)综合条件 1. 企业是在中华人民共和国境内注册的企业法人,变革发展历程清晰、产权关系明确,取得信息系统集成四级资质的时间不少于一年,或从事系统集成业务的时间不少于两年。 2. 企业主业是系统集成,近三年的系统集成收入总额占营业收入总额的比例不低于50%。 3. 企业注册资本和实收资本均不少于200万元, 或所有者权益合计不少于200万元。(二)财务状况 1. 企业近三年的系统集成收入总额不少于5000万元,或不少于4000万元且近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于70%,财务数据真实可信,须经在中华人民共和国境内登记的会计师事务所审计。 2. 企业财务状况良好。 (三)信誉 1. 企业有良好的资信,近三年无触犯国家法律法规的行为。 2. 企业有良好的知识产权保护意识,近三年完成的系统集成项目中无销售或提供非正版软件的行为。 3. 企业有良好的履约能力,近三年没有因企业原因造成验收未通过的项目或应由企业承担责任的用户重大投诉。 4. 企业近三年无不正当竞争行为。 5. 企业遵守信息系统集成资质管理相关规定,在资质申报和资质证书使用过程中诚实守信,近三年无不良行为。 (四)业绩 1. 近三年完成的系统集成项目总额不少于5000万元,或不少于4000万元且近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于70%。这些项目已通过验收。 2. 近三年至少完成1个合同额不少于300万元的系统集成项目,或所完成合同额不少于100万元的系统集成项目总额不少于300万元,或所完成合同额不少于50万元的纯软件和信息技术服务项目总额不少于150万元。 3. 近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于30%,或软件和信息技术服务费总额不少于1500万元,或软件开发费总额不少于800万元。 (五)管理能力 1. 已建立质量管理体系,通过国家认可的第三方认证机构认证,并能有效运行。 2. 已建立完备的客户服务体系,能及时、有效地为客户提供服务。 3. 企业的主要负责人从事信息技术领域企业管理的经历不少于3年,主要技术负责人应具有计算机信息系统集成项目管理人员资质或电子信息类专业硕士及以上学位或电子信息类中级及以上技术职称、且从事系统集成技术工作的经历不少于3年,财务负责人应具有财务系列初级及以上职称。 (六)技术实力 1. 在主要业务领域具有较强的技术实力。 2. 经过第三方评测鉴定或用户使用认可的自主开发的软件产品不少于3个,且部分软件产品在近三年已完成的项目中得到了应用。 3. 有专门从事软件或系统集成技术开发的研发人员,已建立基本的软件开发与测试体系,
信息系统安全等级保护第二级要求技术要求物理安全物理位置选择说课材料
信息系统安全等级保护第二级要求 技术要求 物理安全 物理位置选择(G2) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 物理访问控制(G2) a.机房出入口应安排专人值守,控制、鉴别和记录进入的人员 b.需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围 防盗窃和防破坏 a.应将主要设备放置在机房内 b.应将设备或主要部件进行固定,并设置明显的不易除去的标记 c.应将通信线缆铺设在隐藏处,可铺设在地下或管道中 d.应对介质分类标识,存储在介质库或档案室中 e.主机房应安装必要的防盗报警设施 防雷击 a.机房建筑应设置避雷装置 b.机房应设置交流电源地线 防火 机房应设置灭火设置和火灾自动报警系统 防水和防潮 a.水管安装,不得穿过机房屋顶和活动地板下 b.采取措施防止雨水通过机房窗户、屋顶和墙壁渗透 c.采取措施防止机房内水蒸气结露和地下积水的转移与渗透 防静电 关键设备应采用必要的接地防静电措施 温湿度控制 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内 电力供应(A2) a.在机房供电线路上配置稳压器和过电压防护设备 b.提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求 电磁防护(S2) 电源线和通信线缆应隔离铺设,避免互相干扰 网络安全 结构安全(G2) a.保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要 b.保证接入网络和核心网络的带宽满足业务高峰期需要 c.绘制与当前运行情况相符的网络拓扑结构图 d.根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照
信息系统安全等级保护三级基本要求
目次 前言............................................................................... IX 引言................................................................................ X 1 范围.. (1) 2规范性引用文件 (1) 3术语和定义.......................................................... 错误!未定义书签。4信息系统安全等级保护概述 (1) 4.1 信息系统安全保护等级 (1) 4.2 不同等级的安全保护能力 (1) 4.3 基本技术要求和基本管理要求 (1) 4.4 基本技术要求的三种类型 (2) 5第一级基本要求...................................................... 错误!未定义书签。 5.1 技术要求.......................................................... 错误!未定义书签。 5.1.1物理安全........................................................ 错误!未定义书签。 5.1.1.1 物理访问控制(G1)............................................ 错误!未定义书签。 5.1.1.2 防盗窃和防破坏(G1).......................................... 错误!未定义书签。 5.1.1.3 防雷击(G1).................................................. 错误!未定义书签。 5.1.1.4 防火(G1).................................................... 错误!未定义书签。 5.1.1.5 防水和防潮(G1).............................................. 错误!未定义书签。 5.1.1.6 温湿度控制(G1).............................................. 错误!未定义书签。 5.1.1.7 电力供应(A1)................................................ 错误!未定义书签。 5.1.2网络安全........................................................ 错误!未定义书签。 5.1.2.1 结构安全(G1)................................................ 错误!未定义书签。 5.1.2.2 访问控制(G1)................................................ 错误!未定义书签。 5.1.2.3 网络设备防护(G1)............................................ 错误!未定义书签。 5.1.3主机安全........................................................ 错误!未定义书签。 5.1.3.1 身份鉴别(S1)................................................ 错误!未定义书签。 5.1.3.2 访问控制(S1)................................................ 错误!未定义书签。 5.1.3.3 入侵防范(G1)................................................ 错误!未定义书签。 5.1.3.4 恶意代码防范(G1)............................................ 错误!未定义书签。 5.1.4应用安全........................................................ 错误!未定义书签。 5.1.4.1 身份鉴别(S1)................................................ 错误!未定义书签。 5.1.4.2 访问控制(S1)................................................ 错误!未定义书签。 5.1.4.3 通信完整性(S1).............................................. 错误!未定义书签。 5.1.4.4 软件容错(A1)................................................ 错误!未定义书签。 5.1.5数据安全及备份恢复.............................................. 错误!未定义书签。 5.1.5.1 数据完整性(S1).............................................. 错误!未定义书签。 5.1.5.2 备份和恢复(A1).............................................. 错误!未定义书签。 5.2 管理要求.......................................................... 错误!未定义书签。 5.2.1安全管理制度.................................................... 错误!未定义书签。 5.2.1.1 管理制度(G1)................................................ 错误!未定义书签。 5.2.1.2 制定和发布(G1).............................................. 错误!未定义书签。 5.2.2安全管理机构.................................................... 错误!未定义书签。 I
信息系统安全等级保护基本要求-二级
等保第二级要求: 技术要求 物理安全 物理位置选择(G2) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 物理访问控制(G2) a.机房出入口应安排专人值守,控制、鉴别和记录进入的人员 b.需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围 防盗窃和防破坏 a.应将主要设备放置在机房内 b.应将设备或主要部件进行固定,并设置明显的不易除去的标记 c.应将通信线缆铺设在隐藏处,可铺设在地下或管道中 d.应对介质分类标识,存储在介质库或档案室中 e.主机房应安装必要的防盗报警设施 防雷击 a.机房建筑应设置避雷装置 b.机房应设置交流电源地线 防火 机房应设置灭火设置和火灾自动报警系统 防水和防潮 a.水管安装,不得穿过机房屋顶和活动地板下 b.采取措施防止雨水通过机房窗户、屋顶和墙壁渗透 c.采取措施防止机房内水蒸气结露和地下积水的转移与渗透 防静电 关键设备应采用必要的接地防静电措施 温湿度控制 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内 电力供应(A2) a.在机房供电线路上配置稳压器和过电压防护设备 b.提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求 电磁防护(S2) 电源线和通信线缆应隔离铺设,避免互相干扰 网络安全 结构安全(G2) a.保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要
b.保证接入网络和核心网络的带宽满足业务高峰期需要 c.绘制与当前运行情况相符的网络拓扑结构图 d.根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照 方便管理和控制的原则为各子网、网段分配地址段。 访问控制 a.在网络边界部署访问控制设备,启用访问控制功能 b.根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。 c.应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为 单个用户。 d.应限制具有拨号访问权限的用户数量 安全审计 a.对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录 b.审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 边界完整性检查(S2) 能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。 入侵防范 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。 网络设备防护 a.对登录网络设备的用户进行身份鉴别 b.对网络设备的管理员登录地址进行限制 c.网络设备用户的标识应唯一 d.身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换 e.具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措 施 f.当对网络设备进行远程管理时,采取必要措施防止鉴别信息在传输过程中被窃听 主机安全 身份鉴别(S2) a.对登录操作系统和数据库系统的用户进行身份标识和鉴别 b.操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期 更换 c.应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施 d.当对服务器进行远程管理时,采取必要措施,防止鉴别信息在传输过程中被窃听 e.为操作系统和数据库系统的不同用户,分配不同用户名,确保用户名唯一性 访问控制(S2) a.启用访问控制功能,依据安全策略控制用户对资源的访问 b.应实现操作系统和数据库系统特权用户的权限分离 c.限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令 d.及时删除多余的、过期的账户,避免共享账户的存在
信息系统等级保护第三级基本要求
1 第三级基本要求 1.1 技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前 设置交付或安装等过渡区域; d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a)应将主要设备放置在机房内; b)应将设备或主要部件进行固定,并设置明显的不易除去的标记; c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d)应对介质分类标识,存储在介质库或档案室中; e)应利用光、电等技术设置机房防盗报警系统; f)应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a)机房建筑应设置避雷装置; b)应设置防雷保安器,防止感应雷; c)机房应设置交流电源地线。 1.1.1.5 防火(G3) 本项要求包括: a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a)水管安装,不得穿过机房屋顶和活动地板下; b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
等级保护与分级保护
等级保护与分级保护 一、信息系统等级保护 1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年,中办、国办转发《国家信息化领导小组关 于加强信息安全保障工作的意见》(中办发〔2003〕27号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。2004年9月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》,明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日,四部门又下发了《信息安全等级保护管理办法(试行)》,进一步确定职责分工,明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。 由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。 信息系统安全等级保护将安全保护的监管级别划分为五个级别: 第一级:用户自主保护级完全由用户自己来决定如何对资源进行保护,以及采用何种方式进行保护。 第二级:系统审计保护级本级的安全保护机制受到信息系统等级保护的指导,支持用户具有更强的自主保护能力,特别是具有访问审计能力。即能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记录下来,以便当系统
信息安全等级保护二级
信息安全等级保护(二级) 备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。 一、物理安全 1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料 具有相应的耐火等级说明、接地防静电措施) 2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录 3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系 统运行和维护记录 4、主要设备或设备的主要部件上应设置明显的不易除去的标记 5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放 6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告; 机房防盗报警系统的运行记录、定期检查和维护记录; 7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录 8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测; 9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测 报告 10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和 定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品 11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录 12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期 检查和维护记录 13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录 14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护 记录 15、应具有冗余或并行的电力电缆线路(如双路供电方式) 16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
等级保护三级要求
信息系统安全等级保护基本要求(三级) GB/T 22239—2008 目录 7.1 技术要求.............................................................................................................................. - 1 - 7.1.1 物理安全.......................................................................................................................... - 1 - 7.1.1.1 物理位置的选择(G3).............................................................................................. - 1 - 7.1.1.2 物理访问控制(G3).................................................................................................. - 1 - 7.1.1.3 防盗窃和防破坏(G3).............................................................................................. - 1 - 7.1.1.4 防雷击(G3).............................................................................................................. - 1 - 7.1.1.5 防火(G3).................................................................................................................. - 1 - 7.1.1.6 防水和防潮(G3)...................................................................................................... - 2 - 7.1.1.7 防静电(G3).............................................................................................................. - 2 - 7.1.1.8 温湿度控制(G3)...................................................................................................... - 2 - 7.1.1.9 电力供应(A3).......................................................................................................... - 2 - 7.1.1.10 电磁防护(S3)........................................................................................................ - 2 - 7.1.2 网络安全.......................................................................................................................... - 2 - 7.1.2.1 结构安全(G3).......................................................................................................... - 2 - 7.1.2.2 访问控制(G3).......................................................................................................... - 3 - 7.1.2.3 安全审计(G3).......................................................................................................... - 3 - 7.1.2.4 边界完整性检查(S3).............................................................................................. - 3 - 7.1.2.5 入侵防范(G3).......................................................................................................... - 3 - 7.1.2.6 恶意代码防范(G3).................................................................................................. - 3 - 7.1.2.7 网络设备防护(G3).................................................................................................. - 4 - 7.1.3 主机安全.......................................................................................................................... - 4 - 7.1.3.1 身份鉴别(S3).......................................................................................................... - 4 - 7.1.3.2 访问控制(S3).......................................................................................................... - 4 - 7.1.3.3 安全审计(G3).......................................................................................................... - 4 - 7.1.3.4 剩余信息保护(S3).................................................................................................. - 5 - 7.1.3.5 入侵防范(G3).......................................................................................................... - 5 - 7.1.3.6 恶意代码防范(G3).................................................................................................. - 5 - 7.1.3.7 资源控制(A3).......................................................................................................... - 5 - 7.1.4 应用安全.......................................................................................................................... - 5 - 7.1.4.1 身份鉴别(S3).......................................................................................................... - 5 - 7.1.4.2 访问控制(S3).......................................................................................................... - 6 - 7.1.4.3 安全审计(G3).......................................................................................................... - 6 - 7.1.4.4 剩余信息保护(S3).................................................................................................. - 6 - 7.1.4.5 通信完整性(S3)...................................................................................................... - 6 - 7.1.4.6 通信保密性(S3)...................................................................................................... - 6 - 7.1.4.7 抗抵赖(G3).............................................................................................................. - 6 - 7.1.4.8 软件容错(A3).......................................................................................................... - 7 -