您的位置:360文档中心› 信息系统通用安全技术要求

信息系统通用安全技术要求

合集下载

军队通用计算机系统使用安全要求

军队通用计算机系统使用安全要求

军队通用计算机系统使用安全要求国家标准--军队通用计算机系统使用安全要求(GJB1295-91)Operation security requirements formilitary general-purpose computer system中华人民共和国国家军用标准GJB 1295-91(国防科学技术工业委员会1991年12月23日发布1992年9月1日实施)1 范围1.1 主题内容本标准规定了军队通用计算机系统在使用中的实体(场地、设备、人身、媒体)的安全管理与技术要求;预防病毒及防止信息泄漏的措施;安全审计、安全风险分析的内容、应急计划的制定等。

1.2 适用范围本标准适用于军队各类通用计算机系统。

其它计算机系统亦可参照执行。

2 引用文件GB2887-82 计算机站场地技术要求GB4943-85 数据处理设备的安全GB9361-88 计算站场地安全要求GJB151-86 军用设备和分系统电磁发射和敏感度要求GJB152-86 军用设备和分系统电磁发射和敏感度测量GJB322-87 军用小型数字电子计算机通用技术条件GJB900-90 系统安全性通用大纲GJB511-88 军用微型计算机通用技术条件3 定义3.1 计算机系统computer system按人的要求收集和存储信息,自动进行数据处理和计算,并输出结果信息的一台或多台计算机组成的系统。

它由硬件系统和软件系统两部分组成。

3.2 计算机机房computer room计算机系统及有关附属设备的安装使用场所。

3.3 风险分析risk analysis鉴别风险及确定其可能达到的限度,判定潜在的损失,并为制定保护策略提供依据的过程。

3.4 特定终端设备specific-terminal unit用于系统管理或对重要数据存取处理的终端?4 一般要求4.1 军队通用计算机系统的场地及设备应符合GB2887、GB4943、GB9361中的要求。

4.2 对所有媒体的保护和管理应按照本标准执行。

信息系统安全等级保护基本要求-一级

信息系统安全等级保护基本要求-一级

基本要求规定的范围:对象:不同安全保护等级信息系统内容:基本技术要求管理要求作用:指导分等级信息系统安全建设监督管理引用:保护等级:依重要程度、危害程度、由低到高分5级见:GB/T 22240-2008不同等级的安全保护能力:共5级基本技术要求和管理要求:信统安全等保应让系统有它们相应等级的基本安全保护能力。

基本安全要求,依实现方式,分基本技术要求、基本管理要求。

技术要求:立基于技术安全机制,通过在信统中部署软硬件,正确配置其安全功能。

管理要求:聚焦于信统中各种角色和角色参与的活动。

控制角色活动、从政策、制度、规范、流程以及记录等方面做出规定来实现。

基本技术要求:从物理、网络、主机、应用和数据安全,4个层面提出要求。

基本管理要求:从安全管理制度、机构、人员、系统建设、运维几方面提要求。

基本安全要求从各个层面方面,提出系统的每个组件应该满足的安全要求。

整体的安全保护能力依赖于其内部各不同组件的安全实现来满足。

基本技术要求的三种类型:技术类安全要求进一步细分为:保护数据在存储、传输、处理过程中不被泄漏、破坏、和免受未授权的修改的要求(S 要求)保护系统正常运行、免受对系统未授权修改、破坏而导致系统不可用的服务保护类要求(S 要求)通用安全保护类要求(G要求)第一级基本要求:技术要求:物理安全:访问控制:防盗窃、破坏:防雷击:防火:防水和防潮:温湿度控制:电力控制:网络安全:结构安全:a.保证关键网络设备的业务处理能力满足基本业务需要b.保证接入网络和核心网络的带宽满足基本业务需要c.绘制与当前运行情况相符的网络拓扑结构图访问控制:(G1)a.在网络边界部署访问控制设备,启用访问控制功能b.根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查,允许/拒绝数据包出入c.通过访问控制列表对系统资源实现允许或拒绝用户访问,控制粒度至少为用户组。

网络设备防护:a.应对登录网络设备的用户进行身份鉴别b.有登录失败处理功能,采取结束会话、限制非法登录次数、和当网络登录连接超时自动退出等措施c.对网络设备进行远程管理时,采措施防止信息传输中被窃听主机安全:身份鉴别:(S1)对登录操作系统和数据库系统的用户进行身份标识和鉴别。

《汽车信息安全通用技术要求》征求意见稿

《汽车信息安全通用技术要求》征求意见稿

GB/T 190524-2020目次前言 (2)引言 (3)1 范围 (4)2 规范性引用文件 (4)3 术语和定义 (4)4 缩略语 (6)5 保护对象 (6)5.1 总则 (6)5.2 车内系统 (7)5.3 车外通信 (7)6 技术要求 (7)6.1 原则性要求 (7)6.2 系统性防御策略要求 (8)6.3 保护维度技术要求 (8)附录A (资料性附录)信息安全威胁 (13)1GB/T XXXX-XXXX引言随着智能化和网联化快速发展,汽车从相对孤立的电子机械系统逐渐演变成能与外界实时通信的智能系统。

汽车网联化有利于促进行业技术升级,但同时也为汽车行业带来大量信息安全问题。

传统通信行业的信息安全问题主要造成财产损失,但是汽车作为载人和载物的移动工具,当其发生信息安全问题时,不仅造成财产损失,还将严重威胁人身和公共安全。

鉴于汽车与传统通信设施所面临信息安全风险的诱因和危害有很大差异,为了更好地指导汽车行业健康发展,有必要对汽车信息安全制定专门标准。

本标准编写思路如图1所示,主要明确保护对象和规范技术要求,管理要求将由其他标准配合制定。

其中技术要求分为原则性要求、系统性防御策略要求和保护维度要求,原则性要求和系统性防御策略要求是基础技术要求,保护维度要求是从八个维度针对子保护对象制定的具体技术要求。

八个维度如下所示:a)真实性维度;b)保密性维度;c)完整性维度;d)可用性维度;e)访问可控性维度;f)抗抵赖性维度;g)可核查性维度;h)可预防性维度。

注:为了更好理解保护对象在不同维度的技术要求,在附录A中列举了保护对象所面临的典型的安全威胁。

图1 标准框架GB/T XXX-XXX汽车信息安全通用技术要求1 范围本标准规定了汽车信息安全的保护对象和技术要求。

本标准适用于M类、N类汽车整车及其电子电气零部件。

2 规范性引用文件下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件,仅所注日期的版本适用于本文件。

计算机信息系统安全等级保护数据库安全技术要求-全国信息安全标准化

计算机信息系统安全等级保护数据库安全技术要求-全国信息安全标准化

《信息安全技术网络脆弱性扫描产品安全技术要求》修订说明1 工作简要过程1.1 任务来源近年来,随着黑客技术的不断发展以及网络非法入侵事件的激增,国内网络安全产品市场也呈现出良好的发展态势,各种品牌的防火墙产品、入侵检测产品等已经达到了相当可观的规模。

最近几年,网络脆弱性扫描产品的出现,为网络安全产品厂商提供了一个展现自身技术水平的更高层次舞台,市场上,各种实现脆弱性扫描功能的产品层出不穷,发展迅速,标准《GB/T 20278-2006 信息安全技术网络脆弱性扫描产品技术要求》已不能满足现在产品的发展需求,另一方面,为了更好地配合等级保护工作的开展,为系统等级保护在产品层面上的具体实施提供依据,需要对该标准进行合理的修订,通过对该标准的修订,将更加全面系统的阐述网络脆弱性扫描产品的安全技术要求,并对其进行合理的分级。

本标准编写计划由中国国家标准化管理委员会2010年下达,计划号20101497-T-469,由公安部第三研究所负责制定,具体修订工作由公安部计算机信息系统安全产品质量监督检验中心承担。

1.2 参考国内外标准情况该标准修订过程中,主要参考了:—GB 17859-1999 计算机信息系统安全保护等级划分准则—GB/T 20271-2006 信息安全技术信息系统安全通用技术要求—GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求—GB/T 18336.2-2008 信息技术安全技术信息技术安全性评估准则第二部分:安全功能要求—GB/T 18336.3-2008 信息技术安全技术信息技术安全性评估准则第三部分:安全保证要求—GA/T 404-2002 信息技术网络安全漏洞扫描产品技术要求—GB/T 20278-2006 信息安全技术网络脆弱性扫描产品技术要求—GB/T 20280-2006信息安全技术网络脆弱性扫描产品测试评价方法—MSTL_JGF_04-017 信息安全技术主机安全漏洞扫描产品检验规范1.3 主要工作过程1)成立修订组2010年11月在我中心成立了由顾建新具体负责的标准修订组,共由5人组成,包括俞优、顾建新、张笑笑、陆臻、顾健。

《信息安全技术 网络产品和服务安全通用要求》等11项网络安全国家标准获批发布

《信息安全技术 网络产品和服务安全通用要求》等11项网络安全国家标准获批发布

GB/T 30276-2013 GB/T 30279-2013, GB/T 33561-2017
2021-06-01 2021-06-01
6 信息技术与标准化
《信息安全技术 网络产品和服务安全通用要求》等 11 项网络安全国家标准获批发布
根 据 2020 年 11 月 19 日 国 家 市 场 监 督 管 理 总 局、 国 家 标 准 化 管理委员会发布的中华人民共和
国国家标准公告 (2020 年第 26 号 ), 全国信息安全标准化技术委员会 归 口 的 GB/T 39276-2020《 信 息 安
3 GB/T 39412-2020 信息安全技术 代码安全审计规范
2021-06-01
4 GB/T 39477-2020 信息安全技术 政务信息共享 数据安全技术要求
2021-06-01
5 GB /T 20261-2020 信息安全技术 系统安全工程 能力成熟度模型
GB/T 20261-2006 2021-06-0l
全技术 网络产品和服务安全通 用要求》等 11 项国家标准正式发 布。
序号
标准编号
标准名称
代替标准号
实施日期
1 GB/T 39276-2020 信息安全技术 网络产品和服务安全通用要求
2021-06-01
2 GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南
2021-06-0l
会 上, 国 家 市 场 监 管 总 局 标 准技术管理司以及部科技司传达
了 深 化 标 准 化 改 革 精 神。 杨 建 军 副司长全面总结了一年来电子信 息 领 域 标 准 化 工 作 进 展 情 况, 指 出电子信息领域标准化工作卓有 成 效, 统 筹 推 进 重 点 领 域 标 准 化 工 作, 积 极 推 进 标 准 化 组 织 建 设, 及 时ห้องสมุดไป่ตู้开 展 新 冠 肺 炎 疫 情 防 控 标 准 制 定, 持 续 加 强 国 际 标 准 化 工 作。 同 时, 他 分 析 了 当 前 标 准 化 工 作 面 临 的 新 形 势, 部 署 了 下 一阶段电子信息领域标准化重点 工作。

网上银行系统信息安全通用规范(2020年最新版)

网上银行系统信息安全通用规范(2020年最新版)
[GM/Z 0001—2013,定义4.4]
3.12 资金类交易 funds transaction
通过网上银行进行的资金操作交易。
注:例如,转账、订单支付、缴费等。本人名下的投资理财、托管账户以及本人签订委托代扣协议的委托代扣等风 险可控的资金变动不属于此范畴。
3.13 信息及业务变更类交易 information and business changing transaction
年版的 6.1.4、6.2); ——修改了客户端安全的表述,补充了自身防护、敏感信息保护等安全要求(见 6.2.1.1,2012 年
版的 6.1.1); ——增加了条码支付相关要求(见 6.2.1.1、6.2.4.3); ——修改了专用安全设备的安全要求,并改名为“专用安全机制”(见 6.2.2,2012 年版的 6.1.2); ——增加了安全单元和移动终端支付可信环境相关要求(见 6.2.2.1、6.2.2.5); ——增加了生物特征相关要求(见 6.2.2.5); ——增加了云计算安全相关要求(见 6.2.4.1、6.3.1); ——增加了 IPv6 相关要求(见 6.2.4.3); ——增加了虚拟化安全相关要求(见 6.2.4.4); ——增加了网上银行系统与外部系统连接安全的基本描述和安全要求(见 6.2.5); ——修改了业务连续性与灾难恢复安全要求(见 6.3.7,2012 年版的 6.2.6 中的 k、l); ——修改了安全事件与应急响应的安全要求(见 6.3.8,2012 年版的 6.2.6 中的 m、n); ——增加了Ⅱ、Ⅲ类银行结算账户及交易安全锁相关要求(见 6.4.1); ——删除了附录中的基本的网络防护架构参考图、增强的网络防护架构参考图和物理安全(2012
注1:本标准分为基本要求和增强要求两个层次,基本要求为最低安全要求,增强要求是进一步提升系统安全性的 要求。各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,不断提高安全保障能力。

信息技术——安全技术——信息安全管理体系——要求

信息技术——安全技术——信息安全管理体系——要求
0.2 与其他管理体系的兼容性
本国际标准采用了通用的架构,具备与 ISO/IEC 标准体系相同的章节、相同的文本、 通用的条款,与附录 SL 中定义的 ISO/IEC 导则的第一部分也保持了一致。因此,本标准保 持了与其他管理体系标准的兼容性。
这种在附录 SL 中的通用定义方法,对于某组织只实施某一个管理体系项目而需要参考 两个或更多管理体系标准的情况是非常有用的。
国际标准是根据 ISO/IEC 导则第 2 部分的规则起草。 技术委员会的主要任务是制定国际标准。由技术委员会通过的国际标准草案提交各成员团 体投票表决。国际标准草案需取得至少 75%参加表决成员团体的同意,才能作为国际标准正式发 布。 本文件中的某些内容有可能涉及一些专利权问题,对此应引起注意,ISO 不负责识别任何这 样的专利权问题。 本经过技术修订的第二版将取代(ISO/IEC 27001:2005)第一版。
4.1 理解组织及环境..................................................................1 4.2 理解相关方的需求和期望..........................................................1 4.3 明确信息安全管理体系的范围......................................................1 4.4 信息安全管理体系................................................................2 5 领导 ..................................................................................2 5.1 领导与承诺 .....................................................................2 5.2 方针 ...........................................................................2 5.3 组织角色、职责和权力............................................................2 6 计划 ..................................................................................3 6.1 处置风险和机遇的活动............................................................3 6.2 信息安全目标和实施计划..........................................................4 7 支持 ..................................................................................5 7.1 资源 ...........................................................................5 7.2 能力 ...........................................................................5 7.3 意识 ...........................................................................5 7.4 沟通 ...........................................................................5 7.5 文档信息 .......................................................................5 8 操作 ..................................................................................6 8.1 操作规划和控制..................................................................6 8.2 信息安全风险评估................................................................7 8.3 信息安全风险处置................................................................7 9 绩效评价 ..............................................................................7 9.1 监测、测量、分析和评价..........................................................7 9.2 内部审核 .......................................................................7 9.3 管理评审 .......................................................................8 10 改进 .................................................................................8 10.1 不符合情况和改正措施...........................................................8 10.2 持续改进 ......................................................................9 附录 A(引用)参考控制目标和控制措施 ...................................................10 参考书目............................................................................... 20

《信息系统物理安全技术要求》

《信息系统物理安全技术要求》

信息安全技术信息系统物理安全技术要求引言信息系统的物理安全涉及到整个系统的配套部件、设备和设施的安全性能、所处的环境安全以及整个系统可靠运行等方面,是信息系统安全运行的基本保障。

本标准提出的技术要求包括三方面:1)信息系统的配套部件、设备安全技术要求;2)信息系统所处物理环境的安全技术要求;3)保障信息系统可靠运行的物理安全技术要求。

设备物理安全、环境物理安全及系统物理安全的安全等级技术要求,确定了为保护信息系统安全运行所必须满足的基本的物理技术要求。

本标准以GB17859-1999对于五个安全等级的划分为基础,依据GB/T20271-2006五个安全等级中对于物理安全技术的不同要求,结合当前我国计算机、网络和信息安全技术发展的具体情况,根据适度保护的原则,将物理安全技术等级分为五个不同级别,并对信息系统安全提出了物理安全技术方面的要求。

不同安全等级的物理安全平台为相对应安全等级的信息系统提供应有的物理安全保护能力。

第一级物理安全平台为第一级用户自主保护级提供基本的物理安全保护,第二级物理安全平台为第二级系统审计保护级提供适当的物理安全保护,第三级物理安全平台为第三级安全标记保护级提供较高程度的物理安全保护,第四级物理安全平台为第四级结构化保护级提供更高程度的物理安全保护,第五级物理安全平台为第五级访问验证保护级提供最高程度的物理安全保护。

随着物理安全等级的依次提高,信息系统物理安全的可信度也随之增加,信息系统所面对的物理安全风险也逐渐减少。

本标准按照GB17859-1999的五个安全等级的划分,对每一级物理安全技术要求做详细的描述。

因第五级物理安全技术要求涉及最高程度物理安全技术,本标准略去相关内容。

附录A对物理安全相关概念进行了描述,并对物理安全技术等级划分进行了说明。

为清晰表示每一个安全等级比较低一级安全等级的物理安全技术要求的增加和增强,每一级的新增部分用“宋体加粗字”表示。

信息安全技术信息系统物理安全技术要求1 范围本标准规定了信息系统物理安全的分等级技术要求。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息系统通用安全技术要求
随着信息技术的不断发展,信息系统在人们生产、生活、学习等方面的应用越来越广泛,信息安全问题也日益突出。

信息安全的保护涉及到国家安全、社会稳定、经济发展等重要利益,因此,信息系统的安全性显得尤为重要。

为了确保信息系统的安全性,我国制定了《信息系统通用安全技术要求》。

一、信息系统通用安全技术要求的背景
信息系统通用安全技术要求(以下简称“通用要求”)是我国为保障信息系统安全而制定的一项技术标准。

通用要求的制定背景是我国信息化建设的快速发展,随之而来的信息安全问题也愈加突出。

在这种情况下,制定一套适用于各类信息系统的通用安全技术要求,成为了必要的举措。

通用要求的制定旨在规范信息系统的安全管理和技术措施,提高信息系统的安全性和稳定性,确保信息系统的正常运行和信息安全。

二、通用要求的主要内容
通用要求主要包括以下七个方面的内容:
1. 安全管理要求
安全管理是信息系统安全的基础,通用要求对安全管理提出了具体要求。

其中包括安全策略的制定、安全组织的建立、安全责任的明确、安全培训的开展等。

安全管理要求是通用要求的重点内容,也是信息系统安全保障的重要环节。

2. 安全技术要求
通用要求对信息系统的安全技术提出了具体要求,其中包括身份认证、访问控制、数据加密、安全审计等方面的要求。

这些安全技术措施是信息系统安全保障的关键技术手段,能够有效地保护信息系统的安全性。

3. 安全保护要求
通用要求对信息系统的安全保护提出了要求,包括物理安全、网络安全、系统安全等方面的要求。

这些安全保护措施是信息系统安全保障的重要手段,能够有效地保护信息系统不受攻击和破坏。

4. 安全应急要求
通用要求对信息系统的安全应急提出了具体要求,包括应急预案的制定、应急演练的开展、应急响应的处理等。

安全应急是信息系统安全保障的重要环节,能够有效地遏制安全事件的发生和扩大。

5. 安全评估要求
通用要求对信息系统的安全评估提出了具体要求,包括安全评估的范围、内容、方法和标准等。

安全评估是信息系统安全保障的重要手段,能够有效地发现和解决信息系统存在的安全问题。

6. 安全标准要求
通用要求对信息系统的安全标准提出了要求,包括安全标准的制定、实施、监督和检查等方面的要求。

安全标准是信息系统安全保障的重要手段,能够有效地规范信息系统的安全管理和技术措施。

7. 安全监控要求
通用要求对信息系统的安全监控提出了具体要求,包括安全监控的范围、内容、方法和标准等。

安全监控是信息系统安全保障的重要环节,能够有效地发现和预防信息系统的安全问题。

三、通用要求的意义
通用要求的制定对于保障信息系统安全具有重要意义。

首先,通用要求能够规范信息系统的安全管理和技术措施,提高信息系统的安全性和稳定性,确保信息系统的正常运行和信息安全。

其次,通用要求能够促进信息系统安全技术的发展和应用,推动信息安全产业的发展。

最后,通用要求能够提高信息系统的国际竞争力,提升我国信息安全的整体水平。

四、通用要求的实施
通用要求的实施需要遵循以下原则:
1. 根据信息系统的实际情况制定具体实施方案。

2. 加强安全管理,落实安全责任制,做好安全培训和安全审计工作。

3. 采用安全技术措施,确保身份认证、访问控制、数据加密等安全技术的有效实施。

4. 加强安全保护,做好物理安全、网络安全和系统安全等方面的工作。

5. 做好安全应急预案的制定和演练工作,提高应急响应能力。

6. 加强安全评估和安全标准的制定和实施工作,提高信息系统
的安全水平。

7. 加强安全监控工作,及时发现和解决信息系统存在的安全问题。

五、结论
信息系统通用安全技术要求是我国为保障信息系统安全而制定的一项技术标准。

通用要求是规范信息系统安全管理和技术措施的重要手段,能够提高信息系统的安全性和稳定性,确保信息系统的正常运行和信息安全。

通用要求的实施需要遵循一定的原则,加强安全管理、采用安全技术措施、做好安全保护、加强安全应急和安全监控等方面的工作。

通过通用要求的实施,能够提高信息系统的安全水平,保障信息安全和国家安全。

相关文档
最新文档