安全等级保护2级和3级等保要求
二级、三级等级保护要求比较一、技术要求
技术要求项二级等保三级等保
物理位置的选择1)机房和办公场地应选择
在具有防震、防风和防雨
等能力的建筑内。
1)机房和办公场地应选择在具有防震、防
风和防雨等能力的建筑内;
2)机房场地应避免设在建筑物的高层或地
下室,以及用水设备的下层或隔壁;
3)机房场地应当避开强电场、强磁场、强
震动源、强噪声源、重度环境污染、易
发生火灾、水灾、易遭受雷击的地区。
物理访问控制1)机房出入口应有专人值
守,鉴别进入的人员身份
并登记在案;
2)应批准进入机房的来访
人员,限制和监控其活动
范围。
1)机房出入口应有专人值守,鉴别进入的
人员身份并登记在案;
2)应批准进入机房的来访人员,限制和监
控其活动范围;
3)应对机房划分区域进行管理,区域和区
域之间设置物理隔离装置,在重要区域
前设置交付或安装等过度区域;
4)应对重要区域配置电子门禁系统,鉴别
和记录进入的人员身份并监控其活动。
物理安全
防盗窃和防破坏1)应将主要设备放置在物
理受限的范围内;
2)应对设备或主要部件进
行固定,并设置明显的不
易除去的标记;
3)应将通信线缆铺设在隐
蔽处,如铺设在地下或管
道中等;
4)应对介质分类标识,存储
在介质库或档案室中;
5)应安装必要的防盗报警
设施,以防进入机房的盗
窃和破坏行为。
1)应将主要设备放置在物理受限的范围内;
2)应对设备或主要部件进行固定,并设置
明显的无法除去的标记;
3)应将通信线缆铺设在隐蔽处,如铺设在
地下或管道中等;
4)应对介质分类标识,存储在介质库或档
案室中;
5)设备或存储介质携带出工作环境时,应
受到监控和内容加密;
6)应利用光、电等技术设置机房的防盗报
警系统,以防进入机房的盗窃和破坏行
为;
7)应对机房设置监控报警系统。
防雷击1)机房建筑应设置避雷装
置;
2)应设置交流电源地线。
1)机房建筑应设置避雷装置;
2)应设置防雷保安器,防止感应雷;
3)应设置交流电源地线。
防火1)应设置灭火设备和火灾
自动报警系统,并保持灭
火设备和火灾自动报警
系统的良好状态。1)应设置火灾自动消防系统,自动检测火情、自动报警,并自动灭火;
2)机房及相关的工作房间和辅助房,其建筑材料应具有耐火等级;
3)机房采取区域隔离防火措施,将重要设备与其他设备隔离开。
防水和防潮1)水管安装,不得穿过屋顶
和活动地板下;
2)应对穿过墙壁和楼板的
水管增加必要的保护措
施,如设置套管;
3)应采取措施防止雨水通
过屋顶和墙壁渗透;
4)应采取措施防止室内水
蒸气结露和地下积水的
转移与渗透。
1)水管安装,不得穿过屋顶和活动地板下;
2)应对穿过墙壁和楼板的水管增加必要的
保护措施,如设置套管;
3)应采取措施防止雨水通过屋顶和墙壁渗
透;
4)应采取措施防止室内水蒸气结露和地下
积水的转移与渗透。
防静电1)应采用必要的接地等防
静电措施
1)应采用必要的接地等防静电措施;
2)应采用防静电地板。
温湿度控制1)应设置温、湿度自动调节
设施,使机房温、湿度的
变化在设备运行所允许
的范围之内。
1)应设置恒温恒湿系统,使机房温、湿度
的变化在设备运行所允许的范围之内。
电力供应1)计算机系统供电应与其
他供电分开;
2)应设置稳压器和过电压
防护设备;
3)应提供短期的备用电力
供应(如UPS设备)。
1)计算机系统供电应与其他供电分开;
2)应设置稳压器和过电压防护设备;
3)应提供短期的备用电力供应(如UPS设
备);
4)应设置冗余或并行的电力电缆线路;
5)应建立备用供电系统(如备用发电机),
以备常用供电系统停电时启用。
电磁1)应采用接地方式防止外1)应采用接地方式防止外界电磁干扰和设
防护界电磁干扰和设备寄生
耦合干扰;
2)电源线和通信线缆应隔
离,避免互相干扰。
备寄生耦合干扰;
2)电源线和通信线缆应隔离,避免互相干扰;
3)对重要设备和磁介质实施电磁屏蔽。
结构安全与网段划分1)网络设备的业务处理能
力应具备冗余空间,要求
满足业务高峰期需要;
2)应设计和绘制与当前运
行情况相符的网络拓扑
结构图;
3)应根据机构业务的特点,
在满足业务高峰期需要
的基础上,合理设计网络
带宽;
4)应在业务终端与业务服
务器之间进行路由控制,
建立安全的访问路径;
5)应根据各部门的工作职
能、重要性、所涉及信息
的重要程度等因素,划分
不同的子网或网段,并按
照方便管理和控制的原
则为各子网、网段分配地
址段;
6)重要网段应采取网络层
地址与数据链路层地址
绑定措施,防止地址欺骗。
1)网络设备的业务处理能力应具备冗余空
间,要求满足业务高峰期需要;
2)应设计和绘制与当前运行情况相符的网
络拓扑结构图;
3)应根据机构业务的特点,在满足业务高
峰期需要的基础上,合理设计网络带宽;
4)应在业务终端与业务服务器之间进行路
由控制建立安全的访问路径;
5)应根据各部门的工作职能、重要性、所
涉及信息的重要程度等因素,划分不同
的子网或网段,并按照方便管理和控制
的原则为各子网、网段分配地址段;
6)重要网段应采取网络层地址与数据链路
层地址绑定措施,防止地址欺骗;
7)应按照对业务服务的重要次序来指定带
宽分配优先级别,保证在网络发生拥堵
的时候优先保护重要业务数据主机。
网络安全
网络访问控制1)应能根据会话状态信息
(包括数据包的源地址、
目的地址、源端口号、目
的端口号、协议、出入的
接口、会话序列号、发出
信息的主机名等信息,并
1)应能根据会话状态信息(包括数据包的
源地址、目的地址、源端口号、目的端
口号、协议、出入的接口、会话序列号、
发出信息的主机名等信息,并应支持地
址通配符的使用),为数据流提供明确的
允许/拒绝访问的能力;
应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力。2)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
3)应依据安全策略允许或者拒绝便携式和移动式设备的网络接入;
4)应在会话处于非活跃一定时间或会话结束后终止网络连接;
5)应限制网络最大流量数及网络连接数。
拨号访问控制1)应在基于安全属性的允
许远程用户对系统访问
的规则的基础上,对系统
所有资源允许或拒绝用
户进行访问,控制粒度为
单个用户;
2)应限制具有拨号访问权
限的用户数量。
1)应在基于安全属性的允许远程用户对系
统访问的规则的基础上,对系统所有资
源允许或拒绝用户进行访问,控制粒度
为单个用户;
2)应限制具有拨号访问权限的用户数量;
3)应按用户和系统之间的允许访问规则,
决定允许用户对受控系统进行资源访问。
网络安全审计1)应对网络系统中的网络
设备运行状况、网络流量、
用户行为等事件进行日
志记录;
2)对于每一个事件,其审计
记录应包括:事件的日期
和时间、用户、事件类型、
事件是否成功,及其他与
审计相关的信息。
1)应对网络系统中的网络设备运行状况、
网络流量、用户行为等进行全面的监测、
记录;
2)对于每一个事件,其审计记录应包括:
事件的日期和时间、用户、事件类型、
事件是否成功,及其他与审计相关的信
息;
3)安全审计应可以根据记录数据进行分析,
并生成审计报表;
4)安全审计应可以对特定事件,提供指定
方式的实时报警;
5)审计记录应受到保护避免受到未预期的
删除、修改或覆盖等。
边界完整1)应能够检测内部网络中
出现的内部用户未通过
1)应能够检测内部网络中出现的内部用户
未通过准许私自联到外部网络的行为
性检查准许私自联到外部网络
的行为(即“非法外联”行
为)。
(即“非法外联”行为);
2)应能够对非授权设备私自联到网络的行
为进行检查,并准确定出位置,对其进
行有效阻断;
3)应能够对内部网络用户私自联到外部网
络的行为进行检测后准确定出位置,并
对其进行有效阻断。
网络入侵防范1)应在网络边界处监视以
下攻击行为:端口扫描、
强力攻击、木马后门攻击、
拒绝服务攻击、缓冲区溢
出攻击、IP碎片攻击、网
络蠕虫攻击等入侵事件
的发生。
1)应在网络边界处应监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、
拒绝服务攻击、缓冲区溢出攻击、IP碎
片攻击、网络蠕虫攻击等入侵事件的发
生;
2)当检测到入侵事件时,应记录入侵的源
IP、攻击的类型、攻击的目的、攻击的
时间,并在发生严重入侵事件时提供报
警。
恶意代码防范1)应在网络边界及核心业
务网段处对恶意代码进
行检测和清除;
2)应维护恶意代码库的升
级和检测系统的更新;
3)应支持恶意代码防范的
统一管理。
1)应在网络边界及核心业务网段处对恶意
代码进行检测和清除;
2)应维护恶意代码库的升级和检测系统的
更新;
3)应支持恶意代码防范的统一管理。
网络设备防护1)应对登录网络设备的用
户进行身份鉴别;
2)应对网络设备的管理员
登录地址进行限制;
3)网络设备用户的标识应
唯一;
4)身份鉴别信息应具有不
易被冒用的特点,例如口
1)应对登录网络设备的用户进行身份鉴别;
2)应对网络上的对等实体进行身份鉴别;
3)应对网络设备的管理员登录地址进行限
制;
4)网络设备用户的标识应唯一;
5)身份鉴别信息应具有不易被冒用的特点,
令长度、复杂性和定期的
更新等;
5)应具有登录失败处理功能,如:结束会话、限制
非法登录次数,当网络登
录连接超时,自动退出。
例如口令长度、复杂性和定期的更新等;6)应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
7)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当网络登录连
接超时,自动退出;
8)应实现设备特权用户的权限分离,例如将管理与审计的权限分配给不同的网络
设备用户。
身份鉴别1)操作系统和数据库管理
系统用户的身份标识应
具有唯一性;
2)应对登录操作系统和数
据库管理系统的用户进
行身份标识和鉴别;
3)操作系统和数据库管理
系统身份鉴别信息应具
有不易被冒用的特点,例
如口令长度、复杂性和定
期的更新等;
4)应具有登录失败处理功
能,如:结束会话、限制
非法登录次数,当登录连
接超时,自动退出。
1)操作系统和数据库管理系统用户的身份
标识应具有唯一性;
2)应对登录操作系统和数据库管理系统的
用户进行身份标识和鉴别;
3)应对同一用户采用两种或两种以上组合
的鉴别技术实现用户身份鉴别;
4)操作系统和数据库管理系统用户的身份
鉴别信息应具有不易被冒用的特点,例
如口令长度、复杂性和定期的更新等;
5)应具有登录失败处理功能,如:结束会
话、限制非法登录次数,当登录连接超
时,自动退出;
6)应具有鉴别警示功能;
7)重要的主机系统应对与之相连的服务器
或终端设备进行身份标识和鉴别。
主机系统安全
自主访问控制1)应依据安全策略控制主
体对客体的访问;
2)自主访问控制的覆盖范
围应包括与信息安全直
接相关的主体、客体及它
们之间的操作;
1)应依据安全策略控制主体对客体的访问;
2)自主访问控制的覆盖范围应包括与信息
安全直接相关的主体、客体及它们之间
的操作;
3)自主访问控制的粒度应达到主体为用户
3)自主访问控制的粒度应达到主体为用户级,客体
为文件、数据库表级;4)应由授权主体设置对客体访问和操作的权限;5)应严格限制默认用户的访问权限。
级,客体为文件、数据库表级;
4)应由授权主体设置对客体访问和操作的权限;
5)权限分离应采用最小授权原则,分别授予不同用户各自为完成自己承担任务所
需的最小权限,并在他们之间形成相互
制约的关系;
6)应实现操作系统和数据库管理系统特权用户的权限分离;
7)应严格限制默认用户的访问权限。
强制访问控制无1)应对重要信息资源和访问重要信息资源
的所有主体设置敏感标记;
2)强制访问控制的覆盖范围应包括与重要
信息资源直接相关的所有主体、客体及
它们之间的操作;
3)强制访问控制的粒度应达到主体为用户
级,客体为文件、数据库表级。
安全审计1)安全审计应覆盖到服务
器上的每个操作系统用
户和数据库用户;
2)安全审计应记录系统内
重要的安全相关事件,包
括重要用户行为和重要
系统命令的使用等;
3)安全相关事件的记录应
包括日期和时间、类型、
主体标识、客体标识、事
件的结果等;
4)审计记录应受到保护避
免受到未预期的删除、修
1)安全审计应覆盖到服务器和客户端上的
每个操作系统用户和数据库用户;
2)安全审计应记录系统内重要的安全相关
事件,包括重要用户行为、系统资源的
异常使用和重要系统命令的使用;
3)安全相关事件的记录应包括日期和时间、
类型、主体标识、客体标识、事件的结
果等;
4)安全审计应可以根据记录数据进行分析,
并生成审计报表;
5)安全审计应可以对特定事件,提供指定
改或覆盖等。方式的实时报警;
6)审计进程应受到保护避免受到未预期的
中断;
7)审计记录应受到保护避免受到未预期的
删除、修改或覆盖等。
系统保护1)系统应提供在管理维护
状态中运行的能力,管理
维护状态只能被系统管
理员使用。
1)系统因故障或其他原因中断后,应能够
以手动或自动方式恢复运行。
剩余信息保护1)应保证操作系统和数据
库管理系统用户的鉴别
信息所在的存储空间,被
释放或再分配给其他用
户前得到完全清除,无论
这些信息是存放在硬盘
上还是在内存中;
2)应确保系统内的文件、目
录和数据库记录等资源
所在的存储空间,被释放
或重新分配给其他用户
前得到完全清除。
1)应保证操作系统和数据库管理系统用户
的鉴别信息所在的存储空间,被释放或
再分配给其他用户前得到完全清除,无
论这些信息是存放在硬盘上还是在内存
中;
2)应确保系统内的文件、目录和数据库记
录等资源所在的存储空间,被释放或重
新分配给其他用户前得到完全清除。
入侵防范无1)应进行主机运行监视,包括监视主机的
CPU、硬盘、内存、网络等资源的使用情
况;
2)应设定资源报警域值,以便在资源使用
超过规定数值时发出报警;
3)应进行特定进程监控,限制操作人员运
行非法进程;
4)应进行主机账户监控,限制对重要账户
的添加和更改;
5)应检测各种已知的入侵行为,记录入侵
的源IP、攻击的类型、攻击的目的、攻
击的时间,并在发生严重入侵事件时提
供报警;
6)应能够检测重要程序完整性受到破坏,并在检测到完整性错误时采取必要的恢
复措施。
恶意代码防范1)服务器和重要终端设备
(包括移动设备)应安装
实时检测和查杀恶意代
码的软件产品;
2)主机系统防恶意代码产
品应具有与网络防恶意
代码产品不同的恶意代
码库;
1)服务器和终端设备(包括移动设备)均
应安装实时检测和查杀恶意代码的软件
产品;
2)主机系统防恶意代码产品应具有与网络
防恶意代码产品不同的恶意代码库;
3)应支持恶意代码防范的统一管理。
资源控制1)应限制单个用户的会话
数量;
2)应通过设定终端接入方
式、网络地址范围等条件
限制终端登录。
1)应限制单个用户的多重并发会话;
2)应对最大并发会话连接数进行限制;
3)应对一个时间段内可能的并发会话连接
数进行限制;
4)应通过设定终端接入方式、网络地址范
围等条件限制终端登录;
5)应根据安全策略设置登录终端的操作超
时锁定和鉴别失败锁定,并规定解锁或
终止方式;
6)应禁止同一用户账号在同一时间内并发
登录;
7)应限制单个用户对系统资源的最大或最
小使用限度;
8)当系统的服务水平降低到预先规定的最
小值时,应能检测和报警;
9)应根据安全策略设定主体的服务优先级,
根据优先级分配系统资源,保证优先级低的主体处理能力不会影响到优先级高的主体的处理能力。
身份鉴别1)应用系统用户的身份标
识应具有唯一性;
2)应对登录的用户进行身
份标识和鉴别;
3)系统用户身份鉴别信息
应具有不易被冒用的特
点,例如口令长度、复杂
性和定期的更新等;
4)应具有登录失败处理功
能,如:结束会话、限制
非法登录次数,当登录连
接超时,自动退出。
1)系统用户的身份标识应具有唯一性;
2)应对登录的用户进行身份标识和鉴别;
3)系统用户的身份鉴别信息应具有不易被
冒用的特点,例如口令长度、复杂性和
定期的更新等;
4)应对同一用户采用两种或两种以上组合
的鉴别技术实现用户身份鉴别;
5)应具有登录失败处理功能,如:结束会
话、限制非法登录次数,当登录连接超
时,自动退出;
6)应具有鉴别警示功能;
7)应用系统应及时清除存储空间中动态使
用的鉴别信息。
应用安全
访问控制1)应依据安全策略控制用
户对客体的访问;
2)自主访问控制的覆盖范
围应包括与信息安全直
接相关的主体、客体及它
们之间的操作;
3)自主访问控制的粒度应
达到主体为用户级,客体
为文件、数据库表级;
4)应由授权主体设置用户
对系统功能操作和对数
据访问的权限;
5)应实现应用系统特权用
户的权限分离,例如将管
理与审计的权限分配给
1)应依据安全策略控制用户对客体的访问;
2)自主访问控制的覆盖范围应包括与信息
安全直接相关的主体、客体及它们之间
的操作;
3)自主访问控制的粒度应达到主体为用户
级,客体为文件、数据库表级;
4)应由授权主体设置用户对系统功能操作
和对数据访问的权限;
5)应实现应用系统特权用户的权限分离,
例如将管理与审计的权限分配给不同的
应用系统用户;
6)权限分离应采用最小授权原则,分别授
予不同用户各自为完成自己承担任务所
不同的应用系统用户;6)权限分离应采用最小授权原则,分别授予不同用
户各自为完成自己承担
任务所需的最小权限,并
在它们之间形成相互制
约的关系;
7)应严格限制默认用户的访问权限。
需的最小权限,并在它们之间形成相互
制约的关系;
7)应严格限制默认用户的访问权限。
安全审计1)安全审计应覆盖到应用
系统的每个用户;
2)安全审计应记录应用系
统重要的安全相关事件,
包括重要用户行为和重
要系统功能的执行等;
3)安全相关事件的记录应
包括日期和时间、类型、
主体标识、客体标识、事
件的结果等;
4)审计记录应受到保护避
免受到未预期的删除、修
改或覆盖等。
1)安全审计应覆盖到应用系统的每个用户;
2)安全审计应记录应用系统重要的安全相
关事件,包括重要用户行为、系统资源
的异常使用和重要系统功能的执行等;
3)安全相关事件的记录应包括日期和时间、
类型、主体标识、客体标识、事件的结
果等;
4)安全审计应可以根据记录数据进行分析,
并生成审计报表;
5)安全审计应可以对特定事件,提供指定
方式的实时报警;
6)审计进程应受到保护避免受到未预期的
中断;
7)审计记录应受到保护避免受到未预期的
删除、修改或覆盖等。
剩余信息保护1)应保证用户的鉴别信息
所在的存储空间,被释放
或再分配给其他用户前
得到完全清除,无论这些
信息是存放在硬盘上还
是在内存中;
2)应确保系统内的文件、目
1)应保证用户的鉴别信息所在的存储空间,
被释放或再分配给其他用户前得到完全
清除,无论这些信息是存放在硬盘上还
是在内存中;
2)应确保系统内的文件、目录和数据库记
录等资源所在的存储空间,被释放或重
录和数据库记录等资源
所在的存储空间,被释放
或重新分配给其他用户
前得到完全清除。
新分配给其他用户前得到完全清除。
通信完整性1)通信双方应约定单向的
校验码算法,计算通信数
据报文的校验码,在进行
通信时,双方根据校验码
判断对方报文的有效性。
1)通信双方应约定密码算法,计算通信数
据报文的报文验证码,在进行通信时,
双方根据校验码判断对方报文的有效性。
抗抵赖无1)应具有在请求的情况下为数据原发者或
接收者提供数据原发证据的功能;
2)应具有在请求的情况下为数据原发者或
接收者提供数据接收证据的功能。
通信保密性1)当通信双方中的一方在
一段时间内未作任何响
应,另一方应能够自动结
束会话;
2)在通信双方建立连接之
前,利用密码技术进行会
话初始化验证;
3)在通信过程中,应对敏感
信息字段进行加密。
1)当通信双方中的一方在一段时间内未作
任何响应,另一方应能够自动结束会话;
2)在通信双方建立连接之前,利用密码技
术进行会话初始化验证;
3)在通信过程中,应对整个报文或会话过
程进行加密;
4)应选用符合国家有关部门要求的密码算
法。
软件容错1)应对通过人机接口输入
或通过通信接口输入的
数据进行有效性检验;
2)应对通过人机接口方式
进行的操作提供“回退”功
能,即允许按照操作的序
列进行回退;
3)在故障发生时,应继续提
供一部分功能,确保能够
实施必要的措施。
1)应对通过人机接口输入或通过通信接口
输入的数据进行有效性检验;
2)应对通过人机接口方式进行的操作提供
“回退”功能,即允许按照操作的序列
进行回退;
3)应有状态监测能力,当故障发生时,能
实时检测到故障状态并报警;
4)应有自动保护能力,当故障发生时,自
动保护当前所有状态。
资源控制1)应限制单个用户的多重
并发会话;
2)应对应用系统的最大并
发会话连接数进行限制;
3)应对一个时间段内可能
的并发会话连接数进行
限制。
1)应限制单个用户的多重并发会话;
2)应对应用系统的最大并发会话连接数进
行限制;
3)应对一个时间段内可能的并发会话连接
数进行限制;
4)应根据安全策略设置登录终端的操作超
时锁定和鉴别失败锁定,并规定解锁或
终止方式;
5)应禁止同一用户账号在同一时间内并发
登录;
6)应对一个访问用户或一个请求进程占用
的资源分配最大限额和最小限额;
7)应根据安全属性(用户身份、访问地址、
时间范围等)允许或拒绝用户建立会话
连接;
8)当系统的服务水平降低到预先规定的最
小值时,应能检测和报警;
9)应根据安全策略设定主体的服务优先级,
根据优先级分配系统资源,保证优先级
低的主体处理能力不会影响到优先级高
的主体的处理能力。
代码安全1)应对应用程序代码进行
恶意代码扫描;
2)应对应用程序代码进行
安全脆弱性分析。
1)应制定应用程序代码编写安全规范,要
求开发人员参照规范编写代码;
2)应对应用程序代码进行代码复审,识别
可能存在的恶意代码;
3)应对应用程序代码进行安全脆弱性分析;
4)应对应用程序代码进行穿透性测试。
数据安全数据
完整
1)应能够检测到系统管理
数据、鉴别信息和用户数
1)应能够检测到系统管理数据、鉴别信息
和用户数据在传输过程中完整性受到破
性据在传输过程中完整性
受到破坏;
2)应能够检测到系统管理
数据、鉴别信息和用户数
据在存储过程中完整性
受到破坏。
坏,并在检测到完整性错误时采取必要
的恢复措施;
2)应能够检测到系统管理数据、鉴别信息和用户数据在存储过程中完整性受到破
坏,并在检测到完整性错误时采取必要
的恢复措施;
3)应能够检测到重要程序的完整性受到破坏,并在检测到完整性错误时采取必要
的恢复措施。
数据保密性1)网络设备、操作系统、数
据库管理系统和应用系
统的鉴别信息、敏感的系
统管理数据和敏感的用
户数据应采用加密或其
他有效措施实现传输保
密性;
2)网络设备、操作系统、数
据库管理系统和应用系
统的鉴别信息、敏感的系
统管理数据和敏感的用
户数据应采用加密或其
他保护措施实现存储保
密性;
3)当使用便携式和移动式
设备时,应加密或者采用
可移动磁盘存储敏感信
息。
1)网络设备、操作系统、数据库管理系统
和应用系统的鉴别信息、敏感的系统管
理数据和敏感的用户数据应采用加密或
其他有效措施实现传输保密性;
2)网络设备、操作系统、数据库管理系统
和应用系统的鉴别信息、敏感的系统管
理数据和敏感的用户数据应采用加密或
其他保护措施实现存储保密性;
3)当使用便携式和移动式设备时,应加密
或者采用可移动磁盘存储敏感信息;
4)用于特定业务通信的通信信道应符合相
关的国家规定。
数据备份和恢复1)应提供自动机制对重要
信息进行有选择的数据
备份;
2)应提供恢复重要信息的
功能;
1)应提供自动机制对重要信息进行本地和
异地备份;
2)应提供恢复重要信息的功能;
3)应提供重要网络设备、通信线路和服务
3)应提供重要网络设备、通信线路和服务器的硬件
冗余
器的硬件冗余;
4)应提供重要业务系统的本地系统级热备份。
二、管理要求
管理要求项二级等保三级等保
岗位设置1)应设立信息安全管理工
作的职能部门,设立安全
主管人、安全管理各个方
面的负责人岗位,定义各
负责人的职责;
2)应设立系统管理人员、网
络管理人员、安全管理人
员岗位,定义各个工作岗
位的职责;
3)应制定文件明确安全管
理机构各个部门和岗位
的职责、分工和技能要求。
1)应设立信息安全管理工作的职能部门,
设立安全主管人、安全管理各个方面的
负责人岗位,定义各负责人的职责;
2)应设立系统管理人员、网络管理人员、
安全管理人员岗位,定义各个工作岗位
的职责;
3)应成立指导和管理信息安全工作的委员
会或领导小组,其最高领导应由单位主
管领导委任或授权;
4)应制定文件明确安全管理机构各个部门
和岗位的职责、分工和技能要求。
人员配备1)应配备一定数量的系统
管理人员、网络管理人员、
安全管理人员等;
2)安全管理人员不能兼任
网络管理员、系统管理员、
数据库管理员等。
1)应配备一定数量的系统管理人员、网络
管理人员、安全管理人员等;
2)应配备专职安全管理人员,不可兼任;
3)关键岗位应定期轮岗。
安全管理机构
授权和审批1)应授权审批部门及批准
人,对关键活动进行审批;
2)应列表说明须审批的事
项、审批部门和可批准人。
1)应授权审批部门及批准人,对关键活动
进行审批;
2)应列表说明须审批的事项、审批部门和
可批准人;
3)应建立各审批事项的审批程序,按照审
批程序执行审批过程;
4)应建立关键活动的双重审批制度;
5)不再适用的权限应及时取消授权;
6)应定期审查、更新需授权和审批的项目;
7)应记录授权过程并保存授权文档。
沟通和合作1)应加强各类管理人员和
组织内部机构之间的合
作与沟通,定期或不定期
召开协调会议,共同协助
处理信息安全问题;
2)信息安全职能部门应定
期或不定期召集相关部
门和人员召开安全工作
会议,协调安全工作的实
施;
3)应加强与兄弟单位、公安
机关、电信公司的合作与
沟通,以便在发生安全事
件时能够得到及时的支
持。
1)应加强各类管理人员和组织内部机构之
间的合作与沟通,定期或不定期召开协
调会议,共同协助处理信息安全问题;
2)信息安全职能部门应定期或不定期召集
相关部门和人员召开安全工作会议,协
调安全工作的实施;
3)信息安全领导小组或者安全管理委员会
定期召开例会,对信息安全工作进行指
导、决策;
4)应加强与兄弟单位、公安机关、电信公
司的合作与沟通,以便在发生安全事件
时能够得到及时的支持;
5)应加强与供应商、业界专家、专业的安
全公司、安全组织的合作与沟通,获取
信息安全的最新发展动态,当发生紧急
事件的时候能够及时得到支持和帮助;
6)应文件说明外联单位、合作内容和联系
方式;
7)聘请信息安全专家,作为常年的安全顾
问,指导信息安全建设,参与安全规划
和安全评审等。
审核和检查1)应由安全管理人员定期
进行安全检查,检查内容
包括用户账号情况、系统
漏洞情况、系统审计情况
等。
1)应由安全管理人员定期进行安全检查,
检查内容包括用户账号情况、系统漏洞
情况、系统审计情况等;
2)应由安全管理部门组织相关人员定期进
行全面安全检查,检查内容包括现有安
全技术措施的有效性、安全配置与安全
策略的一致性、安全管理制度的执行情
况等;
3)应由安全管理部门组织相关人员定期分
析、评审异常行为的审计记录,发现可
疑行为,形成审计分析报告,并采取必
要的应对措施;
4)应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,
并对安全检查结果进行通报;
5)应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序
进行安全审核和安全检查活动。
管理制度1)应制定信息安全工作的
总体方针、政策性文件和
安全策略等,说明机构安
全工作的总体目标、范围、
方针、原则、责任等;
2)应对安全管理活动中重
要的管理内容建立安全
管理制度,以规范安全管
理活动,约束人员的行为
方式;
3)应对要求管理人员或操
作人员执行的重要管理
操作,建立操作规程,以
规范操作行为,防止操作
失误。
1)应制定信息安全工作的总体方针、政策
性文件和安全策略等,说明机构安全工
作的总体目标、范围、方针、原则、责
任等;
2)应对安全管理活动中的各类管理内容建
立安全管理制度,以规范安全管理活动,
约束人员的行为方式;
3)应对要求管理人员或操作人员执行的日
常管理操作,建立操作规程,以规范操
作行为,防止操作失误;
4)应形成由安全政策、安全策略、管理制
度、操作规程等构成的全面的信息安全
管理制度体系;
5)应由安全管理职能部门定期组织相关部
门和相关人员对安全管理制度体系的合
理性和适用性进行审定。
安全管理制度
制定和发布1)应在信息安全职能部门
的总体负责下,组织相关
人员制定;
2)应保证安全管理制度具
有统一的格式风格,并进
行版本控制;
3)应组织相关人员对制定
的安全管理进行论证和
审定;
4)安全管理制度应经过管
1)应在信息安全领导小组的负责下,组织
相关人员制定;
2)应保证安全管理制度具有统一的格式风
格,并进行版本控制;
3)应组织相关人员对制定的安全管理进行
论证和审定;
4)安全管理制度应经过管理层签发后按照
一定的程序以文件形式发布;
5)安全管理制度应注明发布范围,并对收
发文进行登记。
理层签发后按照一定的程序以文件形式发布。
评审和修订1)应定期对安全管理制度
进行评审和修订,对存在
不足或需要改进的安全
管理制度进行修订。
1)应定期对安全管理制度进行评审和修订,
对存在不足或需要改进的安全管理制度
进行修订;
2)当发生重大安全事故、出现新的安全漏
洞以及技术基础结构发生变更时,应对
安全管理制度进行检查、审定和修订;
3)每个制度文档应有相应负责人或负责部
门,负责对明确需要修订的制度文档的
维护。
人员录用1)应保证被录用人具备基
本的专业技术水平和安
全管理知识;
2)应对被录用人的身份、背
景、专业资格和资质等进
行审查;
3)应对被录用人所具备的
技术技能进行考核;
4)应对被录用人说明其角
色和职责;
5)应签署保密协议。
1)应保证被录用人具备基本的专业技术水
平和安全管理知识;
2)应对被录用人的身份、背景、专业资格
和资质等进行审查;
3)应对被录用人所具备的技术技能进行考
核;
4)应对被录用人说明其角色和职责;
5)应签署保密协议;
6)从事关键岗位的人员应从内部人员选拔,
并定期进行信用审查;
7)从事关键岗位的人员应签署岗位安全协
议。
人员安全管理
人员离岗1)应立即终止由于各种原
因即将离岗的员工的所
有访问权限;
2)应取回各种身份证件、钥
匙、徽章等以及机构提供
的软硬件设备;
3)应经机构人事部门办理
严格的调离手续,并承诺
调离后的保密义务后方
可离开。
1)应立即终止由于各种原因即将离岗的员
工的所有访问权限;
2)应取回各种身份证件、钥匙、徽章等以
及机构提供的软硬件设备;
3)应经机构人事部门办理严格的调离手续,
并承诺调离后的保密义务后方可离开。
人员考核1)应定期对各个岗位的人
员进行安全技能及安全
认知的考核;
2)应对关键岗位的人员进
行全面、严格的安全审查;
3)应对违背安全策略和规
定的人员进行惩戒
1)应对所有人员进行全面、严格的安全审
查;
2)应定期对各个岗位的人员进行安全技能
及安全认知的考核;
3)应对考核结果进行记录并保存;
4)应对违背安全策略和规定的人员进行惩
戒。
安全意识教育和培训1)应对各类人员进行安全
意识教育;
2)应告知人员相关的安全
责任和惩戒措施;
3)应制定安全教育和培训
计划,对信息安全基础知
识、岗位操作规程等进行
培训;
4)应对安全教育和培训的
情况和结果进行记录并
归档保存。
1)应对各类人员进行安全意识教育;
2)应告知人员相关的安全责任和惩戒措施;
3)应制定安全教育和培训计划,对信息安
全基础知识、岗位操作规程等进行培训;
4)应针对不同岗位制定不同培训计划;
5)应对安全教育和培训的情况和结果进行
记录并归档保存。
第三方人员访问管理1)第三方人员应在访问前
与机构签署安全责任合
同书或保密协议;
2)对重要区域的访问,必须
经过有关负责人的批准,
并由专人陪同或监督下
进行,并记录备案。
1)第三方人员应在访问前与机构签署安全
责任合同书或保密协议;
2)对重要区域的访问,须提出书面申请,
批准后由专人全程陪同或监督,并记录
备案;
3)对第三方人员允许访问的区域、系统、
设备、信息等内容应进行书面的规定,
并按照规定执行。
系统建设管理系统
定级
1)应明确信息系统划分的
方法;
2)应确定信息系统的安全
等级;
3)应以书面的形式定义确
定了安全等级的信息系
统的属性,包括使命、业
1)应明确信息系统划分的方法;
2)应确定信息系统的安全等级;
3)应以书面的形式定义确定了安全等级的
信息系统的属性,包括使命、业务、网
络、硬件、软件、数据、边界、人员等;
4)应以书面的形式说明确定一个信息系统
为某个安全等级的方法和理由;
务、网络、硬件、软件、
数据、边界、人员等;4)应确保信息系统的定级结果经过相关部门的批
准。5)应组织相关部门和有关安全技术专家对信息系统的定级结果的合理性和正确性
进行论证和审定;
6)应确保信息系统的定级结果经过相关部门的批准。
安全方案设计1)应根据系统的安全级别
选择基本安全措施,依据
风险分析的结果补充和
调整安全措施;
2)应以书面的形式描述对
系统的安全保护要求和
策略、安全措施等内容,
形成系统的安全方案;
3)应对安全方案进行细化,
形成能指导安全系统建
设和安全产品采购的详
细设计方案;
4)应组织相关部门和有关
安全技术专家对安全设
计方案的合理性和正确
性进行论证和审定;
5)应确保安全设计方案必
须经过批准,才能正式实
施。
1)应根据系统的安全级别选择基本安全措
施,依据风险分析的结果补充和调整安
全措施;
2)应指定和授权专门的部门对信息系统的
安全建设进行总体规划,制定近期和远
期的安全建设工作计划;
3)应根据信息系统的等级划分情况,统一
考虑安全保障体系的总体安全策略、安
全技术框架、安全管理策略、总体建设
规划和详细设计方案,并形成配套文件;
4)应组织相关部门和有关安全技术专家对
总体安全策略、安全技术框架、安全管
理策略、总体建设规划、详细设计方案
等相关配套文件的合理性和正确性进行
论证和审定;
5)应确保总体安全策略、安全技术框架、
安全管理策略、总体建设规划、详细设
计方案等文件必须经过批准,才能正式
实施;
6)应根据安全测评、安全评估的结果定期
调整和修订总体安全策略、安全技术框
架、安全管理策略、总体建设规划、详
细设计方案等相关配套文件。
产品采购1)应确保安全产品的使用
符合国家的有关规定;
2)应确保密码产品的使用
符合国家密码主管部门
的要求;
1)应确保安全产品的使用符合国家的有关
规定;
2)应确保密码产品的使用符合国家密码主
管部门的要求;
3)应指定或授权专门的部门负责产品的采
安全等级保护2级和3级等保要求-蓝色为区别2.
二级、三级等级保护要求比较一、技术要求 技术要求项二级等保三级等保 物理 安全 物理 位置 的选 择1)机房和办公场地应选择 在具有防震、防风和防雨 等能力的建筑内。 1)机房和办公场地应选择在具有防震、防 风和防雨等能力的建筑内; 2)机房场地应避免设在建筑物的高层或地 下室,以及用水设备的下层或隔壁; 3)机房场地应当避开强电场、强磁场、强 震动源、强噪声源、重度环境污染、易 发生火灾、水灾、易遭受雷击的地区。 物理访问控制1)机房出入口应有专人值 守,鉴别进入的人员身份 并登记在案; 2)应批准进入机房的来访 人员,限制和监控其活动 范围。 1)机房出入口应有专人值守,鉴别进入的 人员身份并登记在案; 2)应批准进入机房的来访人员,限制和监 控其活动范围; 3)应对机房划分区域进行管理,区域和区 域之间设置物理隔离装置,在重要区域 前设置交付或安装等过度区域; 4)应对重要区域配置电子门禁系统,鉴别 和记录进入的人员身份并监控其活动。 防盗窃和防破坏1)应将主要设备放置在物 理受限的范围内; 2)应对设备或主要部件进 行固定,并设置明显的不 易除去的标记; 3)应将通信线缆铺设在隐 蔽处,如铺设在地下或管 道中等; 4)应对介质分类标识,存储 在介质库或档案室中; 5)应安装必要的防盗报警 设施,以防进入机房的盗 窃和破坏行为。 1)应将主要设备放置在物理受限的范围 内; 2)应对设备或主要部件进行固定,并设置 明显的无法除去的标记; 3)应将通信线缆铺设在隐蔽处,如铺设在 地下或管道中等; 4)应对介质分类标识,存储在介质库或档 案室中; 5)设备或存储介质携带出工作环境时,应 受到监控和内容加密; 6)应利用光、电等技术设置机房的防盗报 警系统,以防进入机房的盗窃和破坏行 为;
机房等级保护第二级基本要求
1 第二级基本要求 1.1 技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G2) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 1.1.1.2 物理访问控制(G2) 本项要求包括: a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。 1.1.1.3 防盗窃和防破坏(G2) 本项要求包括: a)应将主要设备放置在机房内; b)应将设备或主要部件进行固定,并设置明显的不易除去的标记; c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d)应对介质分类标识,存储在介质库或档案室中; e)主机房应安装必要的防盗报警设施。 1.1.1.4 防雷击(G2) 本项要求包括: a)机房建筑应设置避雷装置; b)机房应设置交流电源地线。 1.1.1.5 防火(G2) 机房应设置灭火设备和火灾自动报警系统。 1.1.1.6 防水和防潮(G2) 本项要求包括: a)水管安装,不得穿过机房屋顶和活动地板下; b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 1.1.1.7 防静电(G2) 关键设备应采用必要的接地防静电措施。 1.1.1.8 温湿度控制(G2) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A2) 本项要求包括: a)应在机房供电线路上配置稳压器和过电压防护设备; b)应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。 1.1.1.10 电磁防护(S2)
国家信息安全等级保护制度第三级要求
国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括: a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运
深信服等级保护(三级)建设方案
朔州市交警队 等级保护(三级)建设方案 深信服科技(深圳)有限公司 2017年8月
目录 1项目概述 (1) 2等级保护建设流程 (2) 3方案参照标准 (4) 4信息系统定级备案 (5) 4.1信息系统定级 (5) 4.2信息系统备案 (7) 5系统安全需求分析 (8) 6安全风险与差距分析 (12) 6.1物理安全风险与差距分析 (12) 6.2计算环境安全风险与差距分析 (12) 6.3区域边界安全风险与差距分析 (14) 6.4通信网络安全风险与差距分析 (15) 7技术体系方案设计 (17) 7.1方案设计目标 (17) 7.2方案设计框架 (17) 7.3安全域的划分 (18) 7.3.1安全域划分的依据 (18) 7.3.2安全域划分与说明 (19)
7.4安全技术体系设计 (19) 7.4.1机房与配套设备安全设计 (19) 7.4.2计算环境安全设计 (21) 7.4.3区域边界安全设计 (28) 7.4.4通信网络安全设计 (30) 7.4.5安全管理中心设计 (33) 8安全管理体系设计 (37) 9系统集成设计 (39) 9.1软硬件产品部署图 (39) 9.2安全产品部署说明 (42) 9.3产品选型 (45) 9.2.1选型建议 (45) 9.2.2选型要求 (45)
1项目概述 随着信息化的发展,朔州市交警队的业务开展也越来越依托于网络平台,但纵观当前的安全形势,各种安全事件层出不穷,而朔州市交警队目前的网络中,安全设备较少,以前买的安全设备由于网络带宽升级,使用耗损等,其性能也渐渐不能满足朔州市交警队目前的网络安全需求,严重制约了朔州市交警队的信息化脚步。因此朔州市交警队希望加快信息化建设,以实现电子办公,执法信息网络公开化等。 通过对朔州市交警队信息化现状调研、分析,结合等级保护在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全、系统建设、系统运维十个方面的要求,逐步完善信息安全组织、落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使得单位信息系统安全管理水平明显提高,安全保护能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展。
信息系统等级保护测评指标(二级与三级)
实用标准文档 1.信息系统等级保护测评指标 等级保护的测评技术指标至少覆盖各系统等保二级、等级保三级的全部指标 1.1.等级保护二级测评基本指标 分类子类基本要求 物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建(G2)筑内 物理访问控制机房出入口应安排专人值守,控制、鉴别和记录进入的人员 需进入机房的来访人员应经过申请和审批流程,并限制和监 (G2) 控其活动范围 应将主要设备放置在机房内 应将设备或主要部件进行固定,并设置明显的不易除去的标防盗窃和防破坏记 (G2)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中 应对介质分类标识,存储在介质库或档案室中 主机房应安装必要的防盗报警设施 防雷击(G2) 机房建筑应设置避雷装置 机房应设置交流电源地线 物理安全 防火(G2)机房应设置灭火设备和火灾自动报警系统。 水管安装,不得穿过机房屋顶和活动地板下 防水和防潮(G2)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透 防静电(G2)关键设备应采用必要的接地防静电措施 温湿度控制(G2)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内 应在机房供电线路上配置稳压器和过电压防护设备 电力供应(A2)应提供短期的备用电力供应,至少满足关键设备在断电情况 下的正常运行要求 电磁防护(S2)电源线和通信线缆应隔离铺设,避免互相干扰 应保证关键网络设备的业务处理能力具备冗余空间,满足业 务高峰期需要 应保证接入网络和核心网络的带宽满足业务高峰期需要 结构安全(G2)应绘制与当前运行情况相符的网络拓扑结构图 网络安全 应根据各部门的工作职能、重要性和所涉及信息的重要程度 等因素,划分不同的子网或网段,并按照方便管理和控制的 原则为各子网、网段分配地址段 应在网络边界部署访问控制设备,启用访问控制功能 访问控制(G2)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级
等级保护二级与三级差别
等级保护二级系统与三级系统 比较分析报告 2012年4月24号
目录 1.二级系统与三级系统的界定 (3) 2.二级系统与三级系统要求的防护能力差别 (3) 3.二级系统与三级系统的测评力度差别 (4) 4.二级系统与三级系统的强制测评周期区别 (4) 5.二级系统与三级系统的测评模型差别 (5) 6.二级系统与三级系统的测评指标的差别及问题解决方案(技术为例) (7) 7.二级系统与三级系统定级出现偏差的风险分析 (11)
1.二级系统与三级系统的界定 《信息系统安全等级保护定级指南》中规定: 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 2.二级系统与三级系统要求的防护能力差别 第二级系统应达到的安全保护能力: 应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段事件内恢复部分功能。 第三级系统应达到的安全保护能力: 应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
4.二级系统与三级系统的强制测评周期区别 《信息安全等级保护管理办法》中第十四条规定: 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评。 二级系统不强制要求测评,但是要求定期找测评机构测评或进行系统自测。
信息系统安全等级保护基本要求(三级要求)
信息系统安全等级保护基本要求 1 三级基本要求 (3) 1.1 技术要求 (3) 1.1.1 物理安全 (3) 1.1.1.1 物理位置的选择(G3) (3) 1.1.1.2 物理访问控制(G3) (3) 1.1.1.3 防盗窃和防破坏(G3) (3) 1.1.1.4 防雷击(G3) (3) 1.1.1.5 防火(G3) (3) 1.1.1.6 防水和防潮(G3) (4) 1.1.1.7 防静电(G3) (4) 1.1.1.8 温湿度控制(G3) (4) 1.1.1.9 电力供应(A3) (4) 1.1.1.10 电磁防护(S3) (4) 1.1.2 网络安全 (4) 1.1.2.1 结构安全(G3) (4) 1.1.2.2 访问控制(G3) (4) 1.1.2.3 安全审计(G3) (5) 1.1.2.4 边界完整性检查(S3) (5) 1.1.2.5 入侵防范(G3) (5) 1.1.2.6 恶意代码防范(G3) (5) 1.1.2.7 网络设备防护(G3) (5) 1.1.3 主机安全 (6) 1.1.3.1 身份鉴别(S3) (6) 1.1.3.2 访问控制(S3) (6) 1.1.3.3 安全审计(G3) (6) 1.1.3.4 剩余信息保护(S3) (7) 1.1.3.5 入侵防范(G3) (7) 1.1.3.6 恶意代码防范(G3) (7) 1.1.3.7 资源控制(A3) (7) 1.1.4 应用安全 (7) 1.1.4.1 身份鉴别(S3) (7) 1.1.4.2 访问控制(S3) (8) 1.1.4.3 安全审计(G3) (8) 1.1.4.4 剩余信息保护(S3) (8) 1.1.4.5 通信完整性(S3) (8) 1.1.4.6 通信保密性(S3) (8) 1.1.4.7 抗抵赖(G3) (8) 1.1.4.8 软件容错(A3) (8) 1.1.4.9 资源控制(A3) (8) 1.1.5 数据安全及备份恢复 (9) 1.1.5.1 数据完整性(S3) (9) 1.1.5.2 数据保密性(S3) (9)
等级保护测评项目测评方案-2级和3级标准
信息安全等级保护测评项目 测 评 方 案 广州华南信息安全测评中心 二〇一六年
目录 第一章概述 (3) 第二章测评基本原则 (4) 一、客观性和公正性原则 (4) 二、经济性和可重用性原则 (4) 三、可重复性和可再现性原则 (4) 四、结果完善性原则 (4) 第三章测评安全目标(2级) (5) 一、技术目标 (5) 二、管理目标 (6) 第四章测评内容 (9) 一、资料审查 (10) 二、核查测试 (10) 三、综合评估 (10) 第五章项目实施 (12) 一、实施流程 (12) 二、测评工具 (13) 2.1 调查问卷 (13) 2.2 系统安全性技术检查工具 (13) 2.3 测评工具使用原则 (13) 三、测评方法 (14) 第六章项目管理 (15) 一、项目组织计划 (15) 二、项目成员组成与职责划分 (15) 三、项目沟通 (16) 3.1 日常沟通,记录和备忘录 (16) 3.2 报告 (16) 3.3 正式会议 (16) 第七章附录:等级保护评测准则 (19) 一、信息系统安全等级保护 2 级测评准则 (19) 1.1 基本要求 (19) 1.2 评估测评准则 (31) 二、信息系统安全等级保护 3 级测评准则 (88) 基本要求 (88) 评估测评准则 (108)
第一章概述 2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件 明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。” 2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出,“通过深化信息安全等级保护,全面推动重要信息系统安全整改和测评工作,增强信息系统安全保护的整体性、针对性和实效性,使信息系统安全 建设更加突出重点、统一规范、科学合理,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设”。由此可见,等级保护测评和等级保护安全整改工作已经迫在眉睫。
网络安全等级保护第三级基本要求
1 第三级基本要求(共290小项)1.1 技术要求(共136小项) 1.1.1 物理安全(共32小项) 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) b)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3)本项要求包括: a) b) c) d)机房出入口应安排专人值守,控制、鉴别和记录进入的人员; 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域; 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏(G3)本项要求包括: a) b) c) d) e) f)应将主要设备放置在机房内; 应将设备或主要部件进行固定,并设置明显的不易除去的标记;应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; 应对介质分类标识,存储在介质库或档案室中; 应利用光、电等技术设置机房防盗报警系统; 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3)本项要求包括: a) b) c)机房建筑应设置避雷装置;应设置防雷保安器,防止感应雷;机房应设置交流电源地线。 1.1.1.5 防火(G3)本项要求包括: a) b) c)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3)本项要求包括: a) b) c)水管安装,不得穿过机房屋顶和活动地板下; 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
(完整word版)安全等级保护建设方案
Xx 信息安全等级保护(三级)建设方案
目录 1. 前言 (3) 1.1 概述 (3) 1.2 相关政策及标准 (3) 2. 现状及需求分析 (5) 2.1. 现状分析 (5) 2.2. 需求分析 (5) 3. 等保三级建设总体规划 (6) 3.1. 网络边界安全建设 (6) 3.2. 日志集中审计建设 (6) 3.3. 安全运维建设 (6) 3.4. 等保及安全合规性自查建设 (6) 3.5. 建设方案优势总结 (7) 4. 等保三级建设相关产品介绍 (9) 4.1. 网络边界安全防护 (9) 4.1.1 标准要求 (9) 4.1.2 明御下一代防火墙 (10) 4.1.3 明御入侵防御系统(IPS) (13) 4.2. 日志及数据库安全审计 (15) 4.2.1 标准要求 (15) 4.2.2 明御综合日志审计平台 (17) 4.2.3 明御数据库审计与风险控制系统 (19) 4.3. 安全运维审计 (22) 4.3.1 标准要求 (22) 4.3.2 明御运维审计和风险控制系统 (23) 4.4. 核心WEB应用安全防护 (26) 4.3.1 标准要求 (26) 4.3.2 明御WEB应用防火墙 (27) 4.3.3 明御网站卫士 (30) 4.5. 等保及安全合规检查 (31) 4.5.1 标准要求 (31) 4.5.2 明鉴WEB应用弱点扫描器 (32) 4.5.3 明鉴数据库弱点扫描器 (34) 4.5.4 明鉴远程安全评估系统 (37) 4.5.5 明鉴信息安全等级保护检查工具箱 (38) 4.6. 等保建设咨询服务 (40) 4.6.1 服务概述 (40) 4.6.2 安全服务遵循标准 (41) 4.6.3 服务内容及客户收益 (41) 5. 等保三级建设配置建议 (42)
计算机信息系统安全等级保护三级
计算机信息系统安全等级保护三级 申请条件: (一)综合条件 1. 企业是在中华人民共和国境内注册的企业法人,变革发展历程清晰、产权关系明确,取得信息系统集成四级资质的时间不少于一年,或从事系统集成业务的时间不少于两年。 2. 企业主业是系统集成,近三年的系统集成收入总额占营业收入总额的比例不低于50%。 3. 企业注册资本和实收资本均不少于200万元, 或所有者权益合计不少于200万元。(二)财务状况 1. 企业近三年的系统集成收入总额不少于5000万元,或不少于4000万元且近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于70%,财务数据真实可信,须经在中华人民共和国境内登记的会计师事务所审计。 2. 企业财务状况良好。 (三)信誉 1. 企业有良好的资信,近三年无触犯国家法律法规的行为。 2. 企业有良好的知识产权保护意识,近三年完成的系统集成项目中无销售或提供非正版软件的行为。 3. 企业有良好的履约能力,近三年没有因企业原因造成验收未通过的项目或应由企业承担责任的用户重大投诉。 4. 企业近三年无不正当竞争行为。 5. 企业遵守信息系统集成资质管理相关规定,在资质申报和资质证书使用过程中诚实守信,近三年无不良行为。 (四)业绩 1. 近三年完成的系统集成项目总额不少于5000万元,或不少于4000万元且近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于70%。这些项目已通过验收。 2. 近三年至少完成1个合同额不少于300万元的系统集成项目,或所完成合同额不少于100万元的系统集成项目总额不少于300万元,或所完成合同额不少于50万元的纯软件和信息技术服务项目总额不少于150万元。 3. 近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于30%,或软件和信息技术服务费总额不少于1500万元,或软件开发费总额不少于800万元。 (五)管理能力 1. 已建立质量管理体系,通过国家认可的第三方认证机构认证,并能有效运行。 2. 已建立完备的客户服务体系,能及时、有效地为客户提供服务。 3. 企业的主要负责人从事信息技术领域企业管理的经历不少于3年,主要技术负责人应具有计算机信息系统集成项目管理人员资质或电子信息类专业硕士及以上学位或电子信息类中级及以上技术职称、且从事系统集成技术工作的经历不少于3年,财务负责人应具有财务系列初级及以上职称。 (六)技术实力 1. 在主要业务领域具有较强的技术实力。 2. 经过第三方评测鉴定或用户使用认可的自主开发的软件产品不少于3个,且部分软件产品在近三年已完成的项目中得到了应用。 3. 有专门从事软件或系统集成技术开发的研发人员,已建立基本的软件开发与测试体系,
信息系统安全等级保护第二级要求技术要求物理安全物理位置选择说课材料
信息系统安全等级保护第二级要求 技术要求 物理安全 物理位置选择(G2) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 物理访问控制(G2) a.机房出入口应安排专人值守,控制、鉴别和记录进入的人员 b.需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围 防盗窃和防破坏 a.应将主要设备放置在机房内 b.应将设备或主要部件进行固定,并设置明显的不易除去的标记 c.应将通信线缆铺设在隐藏处,可铺设在地下或管道中 d.应对介质分类标识,存储在介质库或档案室中 e.主机房应安装必要的防盗报警设施 防雷击 a.机房建筑应设置避雷装置 b.机房应设置交流电源地线 防火 机房应设置灭火设置和火灾自动报警系统 防水和防潮 a.水管安装,不得穿过机房屋顶和活动地板下 b.采取措施防止雨水通过机房窗户、屋顶和墙壁渗透 c.采取措施防止机房内水蒸气结露和地下积水的转移与渗透 防静电 关键设备应采用必要的接地防静电措施 温湿度控制 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内 电力供应(A2) a.在机房供电线路上配置稳压器和过电压防护设备 b.提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求 电磁防护(S2) 电源线和通信线缆应隔离铺设,避免互相干扰 网络安全 结构安全(G2) a.保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要 b.保证接入网络和核心网络的带宽满足业务高峰期需要 c.绘制与当前运行情况相符的网络拓扑结构图 d.根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照
信息系统安全等级保护三级基本要求
目次 前言............................................................................... IX 引言................................................................................ X 1 范围.. (1) 2规范性引用文件 (1) 3术语和定义.......................................................... 错误!未定义书签。4信息系统安全等级保护概述 (1) 4.1 信息系统安全保护等级 (1) 4.2 不同等级的安全保护能力 (1) 4.3 基本技术要求和基本管理要求 (1) 4.4 基本技术要求的三种类型 (2) 5第一级基本要求...................................................... 错误!未定义书签。 5.1 技术要求.......................................................... 错误!未定义书签。 5.1.1物理安全........................................................ 错误!未定义书签。 5.1.1.1 物理访问控制(G1)............................................ 错误!未定义书签。 5.1.1.2 防盗窃和防破坏(G1).......................................... 错误!未定义书签。 5.1.1.3 防雷击(G1).................................................. 错误!未定义书签。 5.1.1.4 防火(G1).................................................... 错误!未定义书签。 5.1.1.5 防水和防潮(G1).............................................. 错误!未定义书签。 5.1.1.6 温湿度控制(G1).............................................. 错误!未定义书签。 5.1.1.7 电力供应(A1)................................................ 错误!未定义书签。 5.1.2网络安全........................................................ 错误!未定义书签。 5.1.2.1 结构安全(G1)................................................ 错误!未定义书签。 5.1.2.2 访问控制(G1)................................................ 错误!未定义书签。 5.1.2.3 网络设备防护(G1)............................................ 错误!未定义书签。 5.1.3主机安全........................................................ 错误!未定义书签。 5.1.3.1 身份鉴别(S1)................................................ 错误!未定义书签。 5.1.3.2 访问控制(S1)................................................ 错误!未定义书签。 5.1.3.3 入侵防范(G1)................................................ 错误!未定义书签。 5.1.3.4 恶意代码防范(G1)............................................ 错误!未定义书签。 5.1.4应用安全........................................................ 错误!未定义书签。 5.1.4.1 身份鉴别(S1)................................................ 错误!未定义书签。 5.1.4.2 访问控制(S1)................................................ 错误!未定义书签。 5.1.4.3 通信完整性(S1).............................................. 错误!未定义书签。 5.1.4.4 软件容错(A1)................................................ 错误!未定义书签。 5.1.5数据安全及备份恢复.............................................. 错误!未定义书签。 5.1.5.1 数据完整性(S1).............................................. 错误!未定义书签。 5.1.5.2 备份和恢复(A1).............................................. 错误!未定义书签。 5.2 管理要求.......................................................... 错误!未定义书签。 5.2.1安全管理制度.................................................... 错误!未定义书签。 5.2.1.1 管理制度(G1)................................................ 错误!未定义书签。 5.2.1.2 制定和发布(G1).............................................. 错误!未定义书签。 5.2.2安全管理机构.................................................... 错误!未定义书签。 I
信息系统安全等级保护基本要求-二级
等保第二级要求: 技术要求 物理安全 物理位置选择(G2) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 物理访问控制(G2) a.机房出入口应安排专人值守,控制、鉴别和记录进入的人员 b.需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围 防盗窃和防破坏 a.应将主要设备放置在机房内 b.应将设备或主要部件进行固定,并设置明显的不易除去的标记 c.应将通信线缆铺设在隐藏处,可铺设在地下或管道中 d.应对介质分类标识,存储在介质库或档案室中 e.主机房应安装必要的防盗报警设施 防雷击 a.机房建筑应设置避雷装置 b.机房应设置交流电源地线 防火 机房应设置灭火设置和火灾自动报警系统 防水和防潮 a.水管安装,不得穿过机房屋顶和活动地板下 b.采取措施防止雨水通过机房窗户、屋顶和墙壁渗透 c.采取措施防止机房内水蒸气结露和地下积水的转移与渗透 防静电 关键设备应采用必要的接地防静电措施 温湿度控制 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内 电力供应(A2) a.在机房供电线路上配置稳压器和过电压防护设备 b.提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求 电磁防护(S2) 电源线和通信线缆应隔离铺设,避免互相干扰 网络安全 结构安全(G2) a.保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要
b.保证接入网络和核心网络的带宽满足业务高峰期需要 c.绘制与当前运行情况相符的网络拓扑结构图 d.根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照 方便管理和控制的原则为各子网、网段分配地址段。 访问控制 a.在网络边界部署访问控制设备,启用访问控制功能 b.根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。 c.应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为 单个用户。 d.应限制具有拨号访问权限的用户数量 安全审计 a.对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录 b.审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 边界完整性检查(S2) 能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。 入侵防范 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。 网络设备防护 a.对登录网络设备的用户进行身份鉴别 b.对网络设备的管理员登录地址进行限制 c.网络设备用户的标识应唯一 d.身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换 e.具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措 施 f.当对网络设备进行远程管理时,采取必要措施防止鉴别信息在传输过程中被窃听 主机安全 身份鉴别(S2) a.对登录操作系统和数据库系统的用户进行身份标识和鉴别 b.操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期 更换 c.应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施 d.当对服务器进行远程管理时,采取必要措施,防止鉴别信息在传输过程中被窃听 e.为操作系统和数据库系统的不同用户,分配不同用户名,确保用户名唯一性 访问控制(S2) a.启用访问控制功能,依据安全策略控制用户对资源的访问 b.应实现操作系统和数据库系统特权用户的权限分离 c.限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令 d.及时删除多余的、过期的账户,避免共享账户的存在
信息系统等级保护第三级基本要求
1 第三级基本要求 1.1 技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前 设置交付或安装等过渡区域; d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a)应将主要设备放置在机房内; b)应将设备或主要部件进行固定,并设置明显的不易除去的标记; c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d)应对介质分类标识,存储在介质库或档案室中; e)应利用光、电等技术设置机房防盗报警系统; f)应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a)机房建筑应设置避雷装置; b)应设置防雷保安器,防止感应雷; c)机房应设置交流电源地线。 1.1.1.5 防火(G3) 本项要求包括: a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a)水管安装,不得穿过机房屋顶和活动地板下; b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
等级保护与分级保护
等级保护与分级保护 一、信息系统等级保护 1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年,中办、国办转发《国家信息化领导小组关 于加强信息安全保障工作的意见》(中办发〔2003〕27号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。2004年9月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》,明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日,四部门又下发了《信息安全等级保护管理办法(试行)》,进一步确定职责分工,明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。 由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。 信息系统安全等级保护将安全保护的监管级别划分为五个级别: 第一级:用户自主保护级完全由用户自己来决定如何对资源进行保护,以及采用何种方式进行保护。 第二级:系统审计保护级本级的安全保护机制受到信息系统等级保护的指导,支持用户具有更强的自主保护能力,特别是具有访问审计能力。即能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记录下来,以便当系统
信息安全等级保护二级
信息安全等级保护(二级) 备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。 一、物理安全 1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料 具有相应的耐火等级说明、接地防静电措施) 2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录 3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系 统运行和维护记录 4、主要设备或设备的主要部件上应设置明显的不易除去的标记 5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放 6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告; 机房防盗报警系统的运行记录、定期检查和维护记录; 7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录 8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测; 9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测 报告 10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和 定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品 11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录 12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期 检查和维护记录 13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录 14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护 记录 15、应具有冗余或并行的电力电缆线路(如双路供电方式) 16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
等级保护三级要求
信息系统安全等级保护基本要求(三级) GB/T 22239—2008 目录 7.1 技术要求.............................................................................................................................. - 1 - 7.1.1 物理安全.......................................................................................................................... - 1 - 7.1.1.1 物理位置的选择(G3).............................................................................................. - 1 - 7.1.1.2 物理访问控制(G3).................................................................................................. - 1 - 7.1.1.3 防盗窃和防破坏(G3).............................................................................................. - 1 - 7.1.1.4 防雷击(G3).............................................................................................................. - 1 - 7.1.1.5 防火(G3).................................................................................................................. - 1 - 7.1.1.6 防水和防潮(G3)...................................................................................................... - 2 - 7.1.1.7 防静电(G3).............................................................................................................. - 2 - 7.1.1.8 温湿度控制(G3)...................................................................................................... - 2 - 7.1.1.9 电力供应(A3).......................................................................................................... - 2 - 7.1.1.10 电磁防护(S3)........................................................................................................ - 2 - 7.1.2 网络安全.......................................................................................................................... - 2 - 7.1.2.1 结构安全(G3).......................................................................................................... - 2 - 7.1.2.2 访问控制(G3).......................................................................................................... - 3 - 7.1.2.3 安全审计(G3).......................................................................................................... - 3 - 7.1.2.4 边界完整性检查(S3).............................................................................................. - 3 - 7.1.2.5 入侵防范(G3).......................................................................................................... - 3 - 7.1.2.6 恶意代码防范(G3).................................................................................................. - 3 - 7.1.2.7 网络设备防护(G3).................................................................................................. - 4 - 7.1.3 主机安全.......................................................................................................................... - 4 - 7.1.3.1 身份鉴别(S3).......................................................................................................... - 4 - 7.1.3.2 访问控制(S3).......................................................................................................... - 4 - 7.1.3.3 安全审计(G3).......................................................................................................... - 4 - 7.1.3.4 剩余信息保护(S3).................................................................................................. - 5 - 7.1.3.5 入侵防范(G3).......................................................................................................... - 5 - 7.1.3.6 恶意代码防范(G3).................................................................................................. - 5 - 7.1.3.7 资源控制(A3).......................................................................................................... - 5 - 7.1.4 应用安全.......................................................................................................................... - 5 - 7.1.4.1 身份鉴别(S3).......................................................................................................... - 5 - 7.1.4.2 访问控制(S3).......................................................................................................... - 6 - 7.1.4.3 安全审计(G3).......................................................................................................... - 6 - 7.1.4.4 剩余信息保护(S3).................................................................................................. - 6 - 7.1.4.5 通信完整性(S3)...................................................................................................... - 6 - 7.1.4.6 通信保密性(S3)...................................................................................................... - 6 - 7.1.4.7 抗抵赖(G3).............................................................................................................. - 6 - 7.1.4.8 软件容错(A3).......................................................................................................... - 7 -