计算机网络安全等级二级评测
等保2.0二级三级测评项对比分析
防水和防潮 防静电
温湿度控制 电力供应 电磁防护
网络架构
通信传输 可信验证 边界防护
访问控制
入侵防范
(一)技术部分
41 安全区域边界
42
入侵防范
43
44 恶意代码和垃圾邮件防范
45
46
47
安全审计
48
49
50
可信验证
51
52
53
54
55 56 57 58 59 60 61 62
63
64 65 66 67 68
95
96 配置管理
配置管理 97
98 密码管理
99
100
101
变更管理
102
103
104
备份与恢复管理
105
106
107 安全事件处置
108
109
110
111
应急预案管理
112
113
114
115
116
外包运维管理
117
等保2.0二级、三级测评项对比 (一)技术部分
1)机房场地应选择在具有防震、防风和防雨等能力的建筑内; 2)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 1)机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。 1)应将设备或主要部件进行固定,并设置明显的不易除去的标识: 2)应将通信线缆铺设在隐蔽安全处; 3)应设置机房防盗报警系统或设置有专人值守的视频监控系Z统 1)应将各类机柜、设施和设备等通过接地系统安全接地 2)应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。 1)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; 2)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料: 3)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。 1)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透 2)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透: 3)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1)应采用防静电地板或地面并采用必要的接地防静电措施 2)应采取措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等。 1)应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。 1)应在机房供电线路上配置稳压器和过电压防护设备 2)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求: 3)应设置元余或并行的电力电缆线路为计算机系统供电 1)电源线和通信线缆应隔离铺设,避免互相干扰: 2)应对关键设备实施电磁屏蔽 1)应保证网络设备的业务处理能力满足业务高峰期需要 2)应保证网络各个部分的带宽满足业务高峰期需要 3)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址; 4)应避免将重要网络区域部罢在边果外,重要网络区域与其他网络区域之间应采取可 靠的技术隔离手段 5)应提供通信线路关键网络设备和关键计算设备的硬件冗余,保证系统的可用性 1)应采用校验技术或密码技术保证通信过程中数据的完整性 2)应采用密码技术保证通信过程中数据的保密性 1)可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程 序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可 信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 1)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信; 2)应能够对非授权设备私自联到内部网络的行为进行检查或限制: 3)应能够对内部用户非授权联到外部网络的行为进行检查或限制: 4)应限制无线网络的使用,保证无线网络通过受控的边界设备A接入内部网络。 1)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许 通信外受控接口拒绝所有通信; 2)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量 最小化; 3)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据 包进出; 4)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力; 5)应对进出网络的数据流实现基于应用协议和应用内容的访问 No控制。 1)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;
信息安全等级保护二级测评控制点
42.
应启用访问控制功能,依据安全策略控制用户对资源的访问。
访谈,检查。
服务器操作系统、数据库,服务器操作系统文档,数据库管理系统文档。
43.
应实现操作系统和数据库系统特权用户的权限分离。
44.
应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令。
45.
应及时删除多余的、过期的帐户,避免共享帐户的存在。
访谈,检查,测试。
审计员,应用系统。
64.
应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录。
65.
审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等。
通信完整性
66.
应采用密码技术保证通信过程中数据的完整性。
访谈,检查,测试。
安全管理员,应用系统,设计/验收文档。
通信保密性
应用系统管理员,应用系统。
60.
访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作。
61.
应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限。
62.
应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
安全审计
63.
应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计。
备份和恢复
74.
应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。
访谈,检查,测试。
系统管理员,网络管理员,数据库管理员,安全管理员,主机操作系统,网络设备操作系统,数据库管理系统,应用系统,设计/验收文档,网络拓扑结构。
等级保护二级管理类测评控制点
类别
等保二级评测内容
等保二级评测内容一、背景介绍等保二级评测是指对信息系统的安全保护能力进行全面评估,以确保系统在关键信息基础设施中的稳定运行和数据安全。
在当前信息化快速发展的背景下,信息系统面临各种安全风险和威胁,因此等保二级评测成为了保障信息系统安全的重要手段。
二、评测要求等保二级评测的要求主要包括以下几个方面:1. 安全策略:评测要求系统有完善的安全策略和安全策略管理机制,包括安全目标、安全要求和安全控制措施等。
2. 访问控制:评测要求系统具备有效的访问控制机制,包括身份认证、授权管理、权限控制等,确保只有合法用户能够访问系统资源。
3. 安全审计:评测要求系统具备完善的安全审计机制,能够记录和监控系统的安全事件,及时发现和应对潜在的安全威胁。
4. 数据保护:评测要求系统对重要数据进行保护,包括数据的加密、备份和恢复等,确保数据的机密性、完整性和可用性。
5. 网络安全:评测要求系统具备有效的网络安全防护措施,包括防火墙、入侵检测系统、漏洞扫描等,保障系统在网络环境中的安全。
6. 应急响应:评测要求系统具备灵活有效的应急响应机制,包括应急预案、演练和实施,能够及时应对各类安全事件和紧急情况。
7. 物理安全:评测要求系统的物理环境具备安全保护措施,包括门禁、监控、防雷等,确保系统在物理层面的安全。
8. 人员管理:评测要求对系统操作人员进行合理的权限分配和管理,确保人员的安全意识和责任意识,防止人为因素导致的安全问题。
9. 安全培训:评测要求对系统操作人员进行定期的安全培训,提高员工的安全意识和技能水平,增强系统整体的安全性。
三、评测流程等保二级评测一般按照以下流程进行:1. 准备阶段:评测方与被评测方进行沟通,明确评测的目标、范围和方法。
2. 评估阶段:评测方对被评测系统进行全面的安全评估,包括安全策略、访问控制、安全审计、数据保护、网络安全等方面。
3. 发现漏洞:评测方通过各种手段和工具,发现系统中存在的安全漏洞和潜在威胁,并记录下来。
网络安全等级保护测评
网络安全等级保护测评随着互联网的快速发展,网络安全问题日益凸显,各种网络攻击和数据泄露事件层出不穷,给个人和企业带来了巨大的损失。
为了有效保护网络安全,提高网络安全等级,网络安全等级保护测评成为了一项重要的工作。
网络安全等级保护测评是通过对网络系统、设备和数据进行全面评估,分析其安全性能和风险状况,从而为网络安全保护提供科学依据和技术支持的一种手段。
网络安全等级保护测评的主要目的是发现网络系统存在的安全隐患和漏洞,评估网络系统的安全等级,为网络安全防护提供可靠的技术支持和决策依据。
在进行网络安全等级保护测评时,需要从以下几个方面进行全面评估:1. 网络系统的架构和设计,评估网络系统的整体架构和设计是否合理,是否存在安全隐患,是否符合安全标准和规范。
2. 网络设备和软件的安全性能,评估网络设备和软件的安全性能,包括防火墙、入侵检测系统、安全网关等设备的配置和运行状态,以及操作系统和应用软件的安全性能。
3. 网络数据的保护和加密,评估网络数据的保护和加密措施是否完善,包括数据的备份和恢复、数据传输的加密和认证等方面。
4. 网络安全管理和监控,评估网络安全管理和监控措施是否健全,包括安全策略的制定和执行、安全事件的监控和响应等方面。
通过对以上几个方面的全面评估,可以发现网络系统存在的安全隐患和漏洞,评估网络系统的安全等级,为网络安全防护提供科学依据和技术支持。
同时,网络安全等级保护测评还可以帮助企业建立健全的网络安全管理体系,提高网络安全保护水平,有效防范各种网络安全威胁和风险。
在进行网络安全等级保护测评时,需要注意以下几个方面:1. 专业团队,进行网络安全等级保护测评需要专业的团队和技术支持,包括网络安全专家、安全工程师等,他们具有丰富的网络安全经验和技术能力,能够全面评估网络系统的安全性能和风险状况。
2. 全面评估,网络安全等级保护测评需要从多个方面进行全面评估,不能片面看问题,要全面考虑网络系统的安全性能和风险状况,找出存在的安全隐患和漏洞。
2023-网络安全等级2-1
网络安全等级2网络安全等级是指对互联网和信息系统的安全需求进行分类、分级的方法,以便于制定安全防护措施和评估安全等级是否达标。
其中,网络安全等级2是指需要采取一定的措施,防范网络攻击、恶意代码和信息泄露的安全等级。
接下来,我们将围绕网络安全等级2,分步骤阐述如何保障安全。
一、建立安全意识建立安全意识是实现网络安全等级2的基础。
对于个人和单位而言,了解网络安全的基本知识和防范策略十分重要。
应该加强人员的安全教育和培训,提高他们的安全意识,使他们充分认识到安全威胁和风险,并定期组织演练,提高应急处置能力。
二、采用有效的密码管理在网络安全等级2中,密码管理是非常重要的一环。
管理员应建立一个强密码策略,并要求用户定期更换密码,确保密码强度,并实行访问控制,控制用户的特权级别。
同时,不要将密码设置得过于简单,并采用加密技术保护敏感信息。
对于重要的账号可以采用二次验证等方式提高账号的安全性。
三、采用安全技术防火墙、入侵检测系统、加密、访问控制等安全技术可以有效地保护网络安全。
在网络安全等级2中,应该采用高阶安全技术,加强网络边界防御,实施全面安全管理和监测,确保网络和系统的安全性和稳定性。
四、加强安全备份和恢复针对网络的恶意攻击、病毒和其他突发事件,加强数据备份和恢复可以保证重要数据的安全。
应该定期备份重要数据,并将备份数据储存在不同地点,以防止数据灾难发生。
五、定期的安全评估定期的安全评估可以及时发现网络中存在的安全隐患,分析风险,并采取相应的安全措施。
内部或外部应该定期进行安全测试、漏洞扫描和安全评估,识别和纠正网络安全漏洞,为网络安全提供保障。
综上所述,网络安全等级2需要采取一系列的措施,从多个角度保障网络和系统的安全性。
通过加强安全意识、采用密码管理、安全技术和备份等策略,可以有效地抵御网络攻击和恶意软件的侵袭,保护重要的数据和资产,确保企业、个人在网络世界中的安全。
wset二级题库
wset二级题库WSET(Windows Server 安全测试)是微软公司推出的一种的安全认证考试,主要针对 Windows Server 操作系统的安全性进行测试。
WSET 二级考试主要测试考生对 Windows Server 系统的基本操作和维护能力,以及应对安全威胁和漏洞的能力。
以下是 WSET 二级题库的一些示例:1. 程序如何获取和修改系统权限?- 使用黑客工具,如灰鸽子、远程控制软件等- 使用 API(应用程序编程接口),如 RPC(远程过程调用)、RPC/SMB(远程服务器/存储)等2. 程序如何发送和接收网络数据包?- 使用套接字(socket)- 使用 TCP/IP 协议栈3. 如何设置防火墙规则来限制网络访问?- 列出允许访问网络的 IP 地址和端口- 自定义规则,根据 IP 地址和端口判断是否符合访问要求4. 程序如何识别和应对恶意软件?- 使用恶意软件分析工具,如 Nmap、Metasploit等- 使用汇编语言、C 语言等编程技术进行恶意软件的分析和反制 5. 程序如何存储和检索敏感信息?- 使用 SQL(结构化查询语言)等数据库技术存储敏感信息- 使用文件存储和检索敏感信息6. 如何检测和修复程序漏洞?- 使用漏洞扫描工具,如 SQL注入攻击、文件包含漏洞等- 使用安全日志、命令行参数等分析漏洞类型和位置- 手动修复漏洞,如替换文件、添加正则表达式等7. 程序如何加密敏感数据?- 使用密码哈希算法等加密技术加密敏感数据- 使用保护令牌(口令)等加密方式保护敏感数据8. 程序如何限制用户权限?- 使用注册表、权限控制等机制限制用户权限- 使用权限管理软件,如 Windows 权限管理器等这些是 WSET 二级题库的一些示例,当然还有很多其他的练习题,考生可以根据自己的需要和兴趣选择适合自己的题目进行练习。
等级保护测评二级要求
等级保护测评二级要求一、物理安全1.物理访问控制:应能够根据需要控制不同区域之间的访问,并能够实现对重要区域或设备进行物理保护,如设置门禁系统、视频监控等。
2.物理安全审计:应能够对重要区域或设备的物理安全事件进行审计记录,如对进出重要区域的人员进行记录,对重要设备的操作进行记录等。
二、网络安全1.网络架构安全:应能够根据系统等级保护二级的要求,设计合理的网络架构,包括拓扑结构、设备选型、区域划分等,以确保网络的安全性和可用性。
2.网络安全管理:应能够制定并执行有效的网络安全管理策略和规定,以确保网络的安全性和可用性。
三、主机安全1.主机系统安全:应能够对主机系统进行安全配置,如用户管理、访问控制、安全审计等,以确保主机系统的安全性和可用性。
2.防病毒与防恶意软件:应能够安装并更新防病毒软件和防恶意软件,以防止病毒和恶意软件的入侵。
四、数据库安全1.数据库系统安全:应能够对数据库系统进行安全配置,如用户管理、访问控制、审计等,以确保数据库系统的安全性和可用性。
2.数据备份与恢复:应能够制定并执行有效的数据备份与恢复计划,以确保数据的完整性和可用性。
五、应用安全1.应用系统安全:应能够根据系统等级保护二级的要求,设计应用系统的安全架构,包括输入输出验证、访问控制、加密解密等,以确保应用系统的安全性和可用性。
2.数据传输安全:应能够采取措施保证数据传输的安全性,如加密传输、完整性校验等。
六、数据安全及备份恢复1.数据安全:应能够采取措施保证数据的机密性、完整性、可用性等,如加密存储、备份恢复等。
2.数据备份与恢复:应能够制定并执行有效的数据备份与恢复计划,以确保数据的完整性和可用性。
七、安全管理1.安全组织与规划:应能够建立完善的安全组织架构和规章制度,明确各级人员的职责和权限,确保信息安全的全面管理和控制。
2.安全培训与意识提升:应能够定期开展安全培训和意识提升活动,提高员工的安全意识和技能水平。
等保测评--网络安全(二级)
建议保证交换机双机热备冗余 部署,保证高可用性
求,存在单点故障的风险
b) 应保证接入网络和核 心网络的带宽满足业务高 峰期需要;
有保证接入网络和核心网络的带宽满足 业务高峰期需要
符合
1 结构安全
c) 应绘制与当前运行情 况相符的网络拓扑结构 图;
有绘制与当前运行情况相符的网络拓扑 结构图
符合
d) 应根据各部门的工作 职能、重要性和所涉及信 息的重要程度等因素,划 分不同的子网或网段,并 按照方便管理和控制的原 则为各子网、网段分配地 址段。
第 3 页,共 8 页
6
网络设备 防护 e) 应具有登录失败处理
没有配置登陆失败处理或超时退出 策略,不满足测评项“网络设备防
功能,可采取结束会话、
限制非法登录次数和当网
没有配置路由交换设备登陆失败处理或 超时退出策略
络登录连接超时自动退出
护:e) 应具有登录失败处理功能, 建议全部网络设备配置登陆失
第 4 页,共 8 页
现场记录
交换机没有双机热备
有保证接入网络和核心网络 的带宽满足业务高峰期需要
有绘制与当前运行情况相符 的网络拓扑结构图
有根据各部门的工作职能、 重要性和所涉及信息的重要 程度等因素,划分不同的子 网或网段,并按照方便管理 和控制的原则为各子网、网 段分配地址段
第 5 页,共 8 页
事件是否成功及其他与审计相关的 建议配置审计记录,包括事件
不符合
信息,不满足测评项“安全审计: 的日期和时间、用户、事件类 b) 审计记录应包括事件的日期和时 型、事件是否成功及其他与审
间、用户、事件类型、事件是否成 计相关的信息
功及其他与审计相关的信息。”的
要求,存在抵赖的风险
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
6.1.4.5 通信 保密性(S2)
6.1.5.1 数据 完整性(S2)
应能够检测到鉴别信息和重要业务数据在传输过程 中完整性受到破坏。
6.1.5.2 数据 保密性(S2)
应采用加密或其他保护措施实现鉴别信息的存储保 密性。
a) 应能够对重要信息进行备份和恢复; 6.1.5.3 备份 和恢复(A2) b) 应提供关键网络设备、通信线路和数据处理系统 的硬件冗余,保证系统的可用性。
a) 应提供覆盖到每个用户的安全审计功能,对应用 系统重要安全事件进行审计; 6.1.4.3 安全 审计(G2) b) 应保证无法删除、修改或覆盖审计记录; c) 审计记录的内容至少应包括事件日期、时间、发 起者信息、类型、描述和结果等。
6.1.4.3 安全 审计(G2) c) 审计记录的内容至少应包括事件日期、时间、发 起者信息、类型、描述和结果等。 6.1.4.4 通信 完整性(S2) 应采用校验码技术保证通信过程中数据的完整性。 a) 在通信双方建立连接之前,应用系统应利用密码 技术进行会话初始化验证; b) 应对通信过程中的敏感信息字段进行加密。 a) 应提供数据有效性检验功能,保证通过人机接口 输入或通过通信接口输入的数据格式或长度符合系 6.1.4.6 软件 统设定要求; 容错(A2) b) 在故障发生时,应用系统应能够继续提供一部分 功能,确保能够实施必要的措施。 a) 当应用系统的通信双方中的一方在一段时间内未 作任何响应,另一方应能够自动结束会话; b) 应能够对应用系统的最大并发会话连接数进行限 6.1.4.7 资源 控制(A2) c) 应能够对单个帐户的多重并发会话进行限制。
6.1.2.1 结构 安全(G2)
a) 应在网络边界部署访问控制设备,启用访问控制 功能; b) 应能根据会话状态信息为数据流提供明确的允许 /拒绝访问的能力,控制粒度为网段级。 c) 应按用户和系统之间的允许访问规则,决定允许 6.1.2.2 访问 或拒绝用户对受控系统进行资源访问,控制粒度为 控制(G2) 单个用户;
6.1.3.3 安全 审计(G2)
d) 应保护审计记录,避免受到未预期的删除、修改 或覆盖等。
6.1.3.4 入侵 防范(G2)
操作系统应遵循最小安装的原则,仅安装需要的组 件和应用程序,并通过设置升级服务器等方式保持 系统补丁及时得到更新。 a) 应安装防恶意代码软件,并及时更新防恶意代码 软件版本和恶意代码库; b) 应支持防恶意代码软件的统一管理。 a) 应通过设定终端接入方式、网络地址范围等条件 限制终端登录;
技术要求 6.1.1.1 物理 位置的选择 (G2)
具体内容(二级) 机房和办公场地应选择在具有防震、防风和防雨等 能力的建筑内。
响应
请依据学校实际情况,
6.1.1.2 物理 访问控制 (G2)
a) 机房出入口应安排专人值守,控制、鉴别和记录 进入的人员; b) 需进入机房的来访人员应经过申请和审批流程, 并限制和监控其活动范围。
6.1.2.5 入侵 防范(G2)
应在网络边界处监视以下攻击行为:端口扫描、强 力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢 出攻击、IP碎片攻击和网络蠕虫攻击等。
6.1.2.5 入侵 防范(G2)
应在网络边界处监视以下攻击行为:端口扫描、强 力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢 出攻击、IP碎片攻击和网络蠕虫攻击等。
a) 应对各类人员进行安全意识教育、岗位技能培训 和相关安全技术培训;
a) 应明确信息系统的边界和安全保护等级; 6.2.4.1 系统 b) 应以书面的形式说明信息系统确定为某个安全保 定级(G2) 护等级的方法和理由; c) 应确保信息系统的定级结果经过相关部门的批准 。 a) 应根据系统的安全保护等级选择基本安全措施, 依据风险分析的结果补充和调整安全措施; 6.2.4.2 安全 b) 应以书面形式描述对系统的安全保护要求、策略 方案设计 和措施等内容,形成系统的安全方案; (G2) c) 应对安全方案进行细化,形成能指导安全系统建 设、安全产品采购和使用的详细设计方案; d) 应组织相关部门和有关安全技术专家对安全设计 方案的合理性和正确性进行论证和审定,并且经过 a) 应确保安全产品采购和使用符合国家的有关规 定;
d) 应限制具有拨号访问权限的用户数量。
a) 应对网络系统中的网络设备运行状况、网络流量 、用户行为等进行日志记录; 6.1.2.3 安全 审计(G2)
b) 审计记录应包括事件的日期和时间、用户、事件 类型、事件是否成功及其他与审计相关的信息。
6.1.2.4 边界 完整性检查 (S2)
应能够对内部网络中出现的内部用户未通过准许私 自联到外部网络的行为进行检查。
a) 审计范围应覆盖到服务器上的每个操作系统用户 和数据库用户; b) 审计内容应包括重要用户行为、系统资源的异常 使用和重要系统命令的使用等系统内重要的安全相 关事件; c) 审计记录应包括事件的日期、时间、类型、主体 标识、客体标识和结果等; 6.1.3.3 安全 审计(G2)
d) 应保护审计记录,避免受到未预期的删除、修改 或覆盖等。
6.1.1.4 防雷 击(G2)
6.1.1.5 防火 (G2)
机房应设置灭火设备和火灾自动报警系统。
a) 水管安装,不得穿过机房屋顶和活动地板下; 6.1.1.6 防水 b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁 和防潮(G2) 渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的 转移与渗透。 6.1.1.7 防静 电(G2) 6.1.1.8 温湿 度控制(G2) 关键设备应采用必要的接地防静电措施。 机房应设置温、湿度自动调节设施,使机房温、湿 度的变化在设备运行所允许的范围之内。 a) 应在机房供电线路上配置稳压器和过电压防护设 备; b) 应提供短期的备用电力供应,至少满足关键设备 在断电情况下的正常运行要求。
6.2.2.1 岗位 设置(G2)
6.2.2.2 人员 配备(G2) b) 安全管理员不能兼任网络管理员、系统管理员、 数据库管理员等。 a) 应根据各个部门和岗位的职责明确授权审批部门 及批准人,对系统投入运行、网络系统接入和重要 6.2.2.3 授权 资源的访问等关键活动进行审批; 和审批(G2) b) 应针对关键活动建立审批流程,并由批准人签字 确认。 a) 应加强各类管理人员之间、组织内部机构之间以 及信息安全职能部门内部的合作与沟通; 6.2.2.4 沟通 和合作(G2) b) 应加强与兄弟单位、公安机关、电信公司的合作 与沟通。全管理员应负责定期进行安全检查,检查内容包 括系统日常运行、系统漏洞和数据备份等情况。
a) 应指定或授权专门的部门或人员负责人员录用; 6.2.3.1 人员 b) 应规范人员录用过程,对被录用人员的身份、背 录用(G2) 景和专业资格等进行审查,对其所具有的技术技能 进行考核; c) 应与从事关键岗位的人员签署保密协议。 a) 应规范人员离岗过程,及时终止离岗员工的所有 访问权限;
6.2.1.3 评审 和修订(G2)
应定期对安全管理制度进行评审,对存在不足或需 要改进的安全管理制度进行修订。 a) 应设立安全主管、安全管理各个方面的负责人岗 位,并定义各负责人的职责; b) 应设立系统管理员、网络管理员、安全管理员等 岗位,并定义各个工作岗位的职责。 a) 应配备一定数量的系统管理员、网络管理员、安 全管理员等;
6.1.1.9 电力 供应(A2)
6.1.1.10 电磁 防护(S2)
电源线和通信线缆应隔离铺设,避免互相干扰。
a) 应保证关键网络设备的业务处理能力具备冗余空 间,满足业务高峰期需要; b) 应保证接入网络和核心网络的带宽满足业务高峰 期需要; c) 应绘制与当前运行情况相符的网络拓扑结构图; d) 应根据各部门的工作职能、重要性和所涉及信息 的重要程度等因素,划分不同的子网或网段,并按 照方便管理和控制的原则为各子网、网段分配地址 段。
a) 应将主要设备放置在机房内; 6.1.1.3 防盗 b) 应将设备或主要部件进行固定,并设置明显的不 窃和防破坏 易除去的标记; (G2) c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管 道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 主机房应安装必要的防盗报警设施。 a) 机房建筑应设置避雷装置; b) 机房应设置交流电源地线。
a) 应制定信息安全工作的总体方针和安全策略,说 明机构安全工作的总体目标、范围、原则和安全框 6.2.1.1 管理 b) 应对安全管理活动中重要的管理内容建立安全管 制度(G2) 理制度; c) 应对安全管理人员或操作人员执行的重要管理操 作建立操作规程。 a) 应指定或授权专门的部门或人员负责安全管理制 度的制定; 6.2.1.2 制定 和发布(G2) b) 应组织相关人员对制定的安全管理制度进行论证 和审定; c) 应将安全管理制度以某种方式发布到相关人员手 中。
a) 应对登录网络设备的用户进行身份鉴别; b) 应对网络设备的管理员登录地址进行限制; 6.1.2.6 网络 c) 网络设备用户的标识应唯一; 设备防护 d) 身份鉴别信息应具有不易被冒用的特点,口令应 (G2) 有复杂度要求并定期更换; e) 应具有登录失败处理功能,可采取结束会话、限 制非法登录次数和当网络登录连接超时自动退出等 f) 当对网络设备进行远程管理时,应采取必要措施 防止鉴别信息在网络传输过程中被窃听。 a) 应对登录操作系统和数据库系统的用户进行身份 标识和鉴别; b) 操作系统和数据库系统管理用户身份标识应具有 不易被冒用的特点,口令应有复杂度要求并定期更 6.1.3.1 身份 c) 应启用登录失败处理功能,可采取结束会话、限 鉴别(S2) 制非法登录次数和自动退出等措施; d) 当对服务器进行远程管理时,应采取必要措施, 防止鉴别信息在网络传输过程中被窃听; e) 应为操作系统和数据库系统的不同用户分配不同 的用户名,确保用户名具有唯一性。 a) 应启用访问控制功能,依据安全策略控制用户对 资源的访问; b) 应实现操作系统和数据库系统特权用户的权限分 离; 6.1.3.2 访问 c) 应限制默认帐户的访问权限,重命名系统默认帐 控制(S2) 户,修改这些帐户的默认口令; d) 应及时删除多余的、过期的帐户,避免共享帐户 的存在。