您的位置:360文档中心› 网络安全等级保护测评高风险判定指引(2019定稿)教程文件

网络安全等级保护测评高风险判定指引(2019定稿)教程文件

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

网络安全等级保护测评高风险判定指引(2019定稿)

网络安全等级保护测评高风险判定指引

信息安全测评联盟

2019年6月

目录

1适用范围 (1)

2术语和定义 (1)

3参考依据 (2)

4安全物理环境 (3)

4.1物理访问控制 (3)

4.1.1机房出入口控制措施 (3)

4.2防盗窃和防破坏 (3)

4.2.1机房防盗措施 (3)

4.3防火 (4)

4.3.1机房防火措施 (4)

4.4温湿度控制 (5)

4.4.1机房温湿度控制措施 (5)

4.5电力供应 (6)

4.5.1机房短期的备用电力供应措施 (6)

4.5.2机房电力线路冗余措施 (6)

4.5.3机房应急供电措施 (7)

4.6电磁防护 (8)

4.6.1机房电磁防护措施 (8)

5安全通信网络 (9)

5.1网络架构 (9)

5.1.1网络设备业务处理能力 (9)

5.1.2网络区域划分 (9)

5.1.3网络访问控制设备不可控 (10)

5.1.4互联网边界访问控制 (11)

5.1.5不同区域边界访问控制 (12)

5.1.6关键线路、设备冗余 (12)

5.2通信传输 (13)

5.2.1传输完整性保护 (13)

5.2.2传输保密性保护 (14)

6安全区域边界 (15)

6.1边界防护 (15)

6.1.1互联网边界访问控制 (15)

6.1.2网络访问控制设备不可控 (16)

6.1.3违规内联检查措施 (17)

6.1.4违规外联检查措施 (17)

6.1.5无线网络管控措施 (18)

6.2访问控制 (19)

6.2.1互联网边界访问控制 (19)

6.2.2通信协议转换及隔离措施 (20)

6.3入侵防范 (21)

6.3.1外部网络攻击防御 (21)

6.3.2内部网络攻击防御 (22)

6.4恶意代码和垃圾邮件防范 (23)

6.4.1网络层恶意代码防范 (23)

6.5安全审计 (24)

6.5.1网络安全审计措施 (24)

7安全计算环境 (24)

7.1网络设备、安全设备、主机设备等 (24)

7.1.1身份鉴别 (24)

7.1.1.1设备弱口令 (24)

7.1.1.2远程管理防护 (25)

7.1.1.3双因素认证 (27)

7.1.2访问控制 (28)

7.1.2.1默认口令处理 (28)

7.1.3安全审计 (28)

7.1.3.1设备安全审计措施 (28)

7.1.4入侵防范 (30)

7.1.4.1不必要服务处置 (30)

7.1.4.2管理终端管控措施 (30)

7.1.4.3已知重大漏洞修补 (31)

7.1.4.4测试发现漏洞修补 (32)

7.1.5恶意代码防范 (33)

7.1.5.1操作系统恶意代码防范 (33)

7.2应用系统 (34)

7.2.1身份鉴别 (34)

7.2.1.1口令策略 (34)

7.2.1.2弱口令 (35)

7.2.1.3登录失败处理 (36)

7.2.1.4双因素认证 (37)

7.2.2访问控制 (38)

7.2.2.1登录用户权限控制 (38)

7.2.2.2默认口令处理 (39)

7.2.2.3访问控制策略 (39)

7.2.3安全审计 (40)

7.2.3.1安全审计措施 (40)

7.2.4入侵防范 (41)

7.2.4.1数据有效性检验功能 (41)

7.2.4.2已知重大漏洞修补 (42)

7.2.4.3测试发现漏洞修补 (43)

7.2.5数据完整性 (44)

7.2.5.1传输完整性保护 (44)

7.2.6数据保密性 (45)

7.2.6.1传输保密性保护 (45)

7.2.6.2存储保密性保护 (46)

7.2.7数据备份恢复 (46)

7.2.7.1数据备份措施 (46)

7.2.7.2异地备份措施 (47)

7.2.7.3数据处理冗余措施 (48)

7.2.7.4异地灾难备份中心 (49)

7.2.8剩余信息保护 (49)

7.2.8.1鉴别信息释放措施 (49)

7.2.8.2敏感数据释放措施 (50)

7.2.9个人信息保护 (51)

7.2.9.1个人信息采集、存储 (51)

7.2.9.2个人信息访问、使用 (52)

8安全区域边界 (53)

8.1集中管控 (53)

8.1.1运行监控措施 (53)

8.1.2日志集中收集存储 (53)

8.1.3安全事件发现处置措施 (54)

9安全管理制度 (55)

9.1管理制度 (55)

9.1.1管理制度建设 (55)

10安全管理机构 (56)

10.1岗位设置 (56)

10.1.1网络安全领导小组建立 (56)

11安全建设管理 (56)

11.1产品采购和使用 (56)

11.1.1网络安全产品采购和使用 (56)

11.1.2密码产品与服务采购和使用 (57)

11.2外包软件开发 (58)

11.2.1外包开发代码审计 (58)

11.3测试验收 (59)

11.3.1上线前安全测试 (59)

12安全运维管理 (60)

12.1漏洞和风险管理 (60)

12.1.1安全漏洞和隐患的识别与修补 (60)

12.2网络和系统安全管理 (61)

12.2.1重要运维操作变更管理 (61)

12.2.2运维工具的管控 (62)

12.2.3运维外联的管控 (63)

12.3恶意代码防范管理 (64)

12.3.1外来接入设备恶意代码检查 (64)

12.4变更管理 (65)

12.4.1需求变更管理 (65)

相关文档
最新文档