安全系统等级保护2级和3级等保要求
二级、三级等级保护要求比较一、技术要求
二、管理要求
安全等级保护2级和3级等保要求-蓝色为区别2.
二级、三级等级保护要求比较一、技术要求 技术要求项二级等保三级等保 物理 安全 物理 位置 的选 择1)机房和办公场地应选择 在具有防震、防风和防雨 等能力的建筑内。 1)机房和办公场地应选择在具有防震、防 风和防雨等能力的建筑内; 2)机房场地应避免设在建筑物的高层或地 下室,以及用水设备的下层或隔壁; 3)机房场地应当避开强电场、强磁场、强 震动源、强噪声源、重度环境污染、易 发生火灾、水灾、易遭受雷击的地区。 物理访问控制1)机房出入口应有专人值 守,鉴别进入的人员身份 并登记在案; 2)应批准进入机房的来访 人员,限制和监控其活动 范围。 1)机房出入口应有专人值守,鉴别进入的 人员身份并登记在案; 2)应批准进入机房的来访人员,限制和监 控其活动范围; 3)应对机房划分区域进行管理,区域和区 域之间设置物理隔离装置,在重要区域 前设置交付或安装等过度区域; 4)应对重要区域配置电子门禁系统,鉴别 和记录进入的人员身份并监控其活动。 防盗窃和防破坏1)应将主要设备放置在物 理受限的范围内; 2)应对设备或主要部件进 行固定,并设置明显的不 易除去的标记; 3)应将通信线缆铺设在隐 蔽处,如铺设在地下或管 道中等; 4)应对介质分类标识,存储 在介质库或档案室中; 5)应安装必要的防盗报警 设施,以防进入机房的盗 窃和破坏行为。 1)应将主要设备放置在物理受限的范围 内; 2)应对设备或主要部件进行固定,并设置 明显的无法除去的标记; 3)应将通信线缆铺设在隐蔽处,如铺设在 地下或管道中等; 4)应对介质分类标识,存储在介质库或档 案室中; 5)设备或存储介质携带出工作环境时,应 受到监控和内容加密; 6)应利用光、电等技术设置机房的防盗报 警系统,以防进入机房的盗窃和破坏行 为;
国家信息安全等级保护制度第三级要求
国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括: a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运
操作系统安全级别
操作系统安全 第一章安全法则 概述:基本概念 NT的安全性 UNIX的安全性 一、基本概念: 1、安全级别: 低安全性:在一个安全的位置,没有保存扫描病毒 敏感信息 中等安全性:保存公众数据,需要被多人使设置权限,激活审核,实现账号策略用 高安全性:位于高风险的位置,保存有敏感最小化操作系统的功能,最大化安全 机制 信息 2、安全机制: 具体的安全机制: 环绕机制:在进程或系统之间加密数据 签名机制:抗抵赖性和抗修改性 填充机制:增加数据捕获的难度 访问控制机制:确保授权的合法性 数据统一性机制:确保数据的顺序发送 广泛的安全性机制: 安全标记:通过指出数据的安全性级别来限制对数据的访问 信任机制:提供了敏感信息的传输途径 审核:提供了监控措施 安全恢复:当出现安全性事件的时候采取的一组规则 3、安全管理: 系统安全管理:管理计算机环境的安全性,包括定义策略,选择安全性机制,负责 审核和恢复进程 安全服务管理: 安全机制管理:实现具体的安全技术 二、NT的安全性:当一个系统刚安装好的时候,处于一个最不安全的环境 1、NT的安全性组件: 随机访问控制:允许对象的所有人制定别人的访问权限
对象的重复使用: 强制登陆: 审核: 通过对象来控制对资源的访问 对象:将资源和相应的访问控制机制封装在一起,称之为对象,系统通过调用对象来 提供应用对资源的访问,禁止对资源进行直接读取 包括:文件(夹),打印机,I/O 设备,视窗,线程,进程,内存 安全组件: 安全标识符:SID ,可变长度的号码,用于在系统中唯一标示对象,在对象创建时由 系统分配,包括域的SID 和RID 。创建时根据计算机明、系统时间、进 程所消耗CPU 的时间进行创建。 S-1-5-
信息系统等级保护测评指标(二级与三级)
实用标准文档 1.信息系统等级保护测评指标 等级保护的测评技术指标至少覆盖各系统等保二级、等级保三级的全部指标 1.1.等级保护二级测评基本指标 分类子类基本要求 物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建(G2)筑内 物理访问控制机房出入口应安排专人值守,控制、鉴别和记录进入的人员 需进入机房的来访人员应经过申请和审批流程,并限制和监 (G2) 控其活动范围 应将主要设备放置在机房内 应将设备或主要部件进行固定,并设置明显的不易除去的标防盗窃和防破坏记 (G2)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中 应对介质分类标识,存储在介质库或档案室中 主机房应安装必要的防盗报警设施 防雷击(G2) 机房建筑应设置避雷装置 机房应设置交流电源地线 物理安全 防火(G2)机房应设置灭火设备和火灾自动报警系统。 水管安装,不得穿过机房屋顶和活动地板下 防水和防潮(G2)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透 防静电(G2)关键设备应采用必要的接地防静电措施 温湿度控制(G2)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内 应在机房供电线路上配置稳压器和过电压防护设备 电力供应(A2)应提供短期的备用电力供应,至少满足关键设备在断电情况 下的正常运行要求 电磁防护(S2)电源线和通信线缆应隔离铺设,避免互相干扰 应保证关键网络设备的业务处理能力具备冗余空间,满足业 务高峰期需要 应保证接入网络和核心网络的带宽满足业务高峰期需要 结构安全(G2)应绘制与当前运行情况相符的网络拓扑结构图 网络安全 应根据各部门的工作职能、重要性和所涉及信息的重要程度 等因素,划分不同的子网或网段,并按照方便管理和控制的 原则为各子网、网段分配地址段 应在网络边界部署访问控制设备,启用访问控制功能 访问控制(G2)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级
等级保护二级与三级差别
等级保护二级系统与三级系统 比较分析报告 2012年4月24号
目录 1.二级系统与三级系统的界定 (3) 2.二级系统与三级系统要求的防护能力差别 (3) 3.二级系统与三级系统的测评力度差别 (4) 4.二级系统与三级系统的强制测评周期区别 (4) 5.二级系统与三级系统的测评模型差别 (5) 6.二级系统与三级系统的测评指标的差别及问题解决方案(技术为例) (7) 7.二级系统与三级系统定级出现偏差的风险分析 (11)
1.二级系统与三级系统的界定 《信息系统安全等级保护定级指南》中规定: 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 2.二级系统与三级系统要求的防护能力差别 第二级系统应达到的安全保护能力: 应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段事件内恢复部分功能。 第三级系统应达到的安全保护能力: 应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
4.二级系统与三级系统的强制测评周期区别 《信息安全等级保护管理办法》中第十四条规定: 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评。 二级系统不强制要求测评,但是要求定期找测评机构测评或进行系统自测。
信息系统安全等级
附件乐3:乐山《信息系统安全等级保护定级报告》模 金阳县人民医院 《信息系统安全等级保护定级报告》 一、金阳县人民医院信息系统描述 金阳县人民医院信息系统主要有医院信息管理系统(HIS)、LIS、PACS、卫生统计直报系统、传染性疾病报告系统、医院门户网站等系统组成。本系统对医院及其所属各部门的人流、物流、财流进行综合管理,对医院从事医疗、办公等活动在各阶段中产生的数据进行采集、存储、分析、处理、汇总,为医院的整体运行提供信息支撑。该信息系统的平台运行维护主要有网络中心承担,医院始终将信息安全建设作为安全重中之重建设和管理,将其确定为定级对象进行监督,网络中心为信息安全保护主体。此系统主要由提供网络连接、网络服务的硬件和数据控制的软件程序两大要素构成,提供网络连接和服务的硬件设备如路由器、交换机和服务器构成了该信息系统的基础,其主要为保障数据的传输和程序文件的运行;数据控制文件系统、程序源码成为信息表现的载体,二者共同完成院内医疗、办公等信息的综合管理。 二、金阳县人民医院信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 本信息系统主要处理的业务有医院日常业务运行、医院最新动态、院务公开、等。旨在保障医院业务正常运行、提高工作效率、增强院务透明度、扩大医院社会影响力。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是患者、法人和医院职工的合法权益。侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对患者、医院和医院职工的合法权益造成严重影响和损害。本信息系统由于具有一定的脆弱性,需要不定时进行对该系统进行程序升级和漏洞防范,所以很容易受到“黑客”攻击和破坏,可能会影响医疗、办公正常秩序和正常行使工作职能,导致业务能力下降,从某种角度可侵害患者、医院和医院职工的合法权益,造成一定范围的不良影响等。 3、信息受到破坏后对侵害客体的侵害程度的确定 当此信息受到破坏后,会对患者、医院和医院职工造成一些严重损害。 4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级为二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 本信息系统主要为医院业务的正常运行、日常办公活动正常开展和提供医疗咨询等服务。2、系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后,所侵害的客体是公民、医院和其他组织的合法权益,同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现得侵害结果为:可以对患者、法人和医院职工的合法权益造成侵害(影响正常工作的开展,导致业务能力下降,造成不良影响,引起医患法律纠纷等)。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为:患者、医院和医院职工的合法权益造成一般损害,即会出现一定范围的社会不良影响和一定程度的公共利益的损害等。
GB17859-1999计算机信息系统安全系统保护等级划分准则
GB17859-1999计算机信息系统安全保护等级划分准则 1 范围 本标准规定了计算机系统安全保护能力的五个等级,即: 第一级:用户自主保护级; 第二级:系统审计保护级; 第三级:安全标记保护级; 第四级:结构化保护级; 第五级:访问验证保护级。 本标准适用计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。 2 引用标准 下列标准所包含的条文,通过在本标准中引用而构成本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。 GB/T 5271 数据处理词汇 3 定义
除本章定义外,其他未列出的定义见GB/T 5271。 3.1 计算机信息系统computer information system 计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 3.2 计算机信息系统可信计算基trusted computing base of computer information system 计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。 3.3 客体object 信息的载体。 3.4 主体subject 引起信息在客体之间流动的人、进程或设备等。 3.5 敏感标记sensitivity label 表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。 3.6 安全策略security policy 有关管理、保护和发布敏感信息的法律、规定和实施细则。 3.7 信道channel 系统内的信息传输路径。 3.8 隐蔽信道covert channel
等级保护测评项目测评方案-2级和3级标准
信息安全等级保护测评项目 测 评 方 案 广州华南信息安全测评中心 二〇一六年
目录 第一章概述 (3) 第二章测评基本原则 (4) 一、客观性和公正性原则 (4) 二、经济性和可重用性原则 (4) 三、可重复性和可再现性原则 (4) 四、结果完善性原则 (4) 第三章测评安全目标(2级) (5) 一、技术目标 (5) 二、管理目标 (6) 第四章测评内容 (9) 一、资料审查 (10) 二、核查测试 (10) 三、综合评估 (10) 第五章项目实施 (12) 一、实施流程 (12) 二、测评工具 (13) 2.1 调查问卷 (13) 2.2 系统安全性技术检查工具 (13) 2.3 测评工具使用原则 (13) 三、测评方法 (14) 第六章项目管理 (15) 一、项目组织计划 (15) 二、项目成员组成与职责划分 (15) 三、项目沟通 (16) 3.1 日常沟通,记录和备忘录 (16) 3.2 报告 (16) 3.3 正式会议 (16) 第七章附录:等级保护评测准则 (19) 一、信息系统安全等级保护 2 级测评准则 (19) 1.1 基本要求 (19) 1.2 评估测评准则 (31) 二、信息系统安全等级保护 3 级测评准则 (88) 基本要求 (88) 评估测评准则 (108)
第一章概述 2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件 明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。” 2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出,“通过深化信息安全等级保护,全面推动重要信息系统安全整改和测评工作,增强信息系统安全保护的整体性、针对性和实效性,使信息系统安全 建设更加突出重点、统一规范、科学合理,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设”。由此可见,等级保护测评和等级保护安全整改工作已经迫在眉睫。
网络安全等级保护第三级基本要求
1 第三级基本要求(共290小项) 1.1 技术要求(共136小项) 1.1.1 物理安全(共32小项) 1.1.1.1 物理位置的选择(G3) 本项要求包括: a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设 置交付或安装等过渡区域; d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a)应将主要设备放置在机房内; b)应将设备或主要部件进行固定,并设置明显的不易除去的标记; c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d)应对介质分类标识,存储在介质库或档案室中; e)应利用光、电等技术设置机房防盗报警系统; f)应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a)机房建筑应设置避雷装置; b)应设置防雷保安器,防止感应雷; c)机房应设置交流电源地线。 1.1.1.5 防火(G3) 本项要求包括: a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a)水管安装,不得穿过机房屋顶和活动地板下; b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
(完整word版)安全等级保护建设方案
Xx 信息安全等级保护(三级)建设方案
目录 1. 前言 (3) 1.1 概述 (3) 1.2 相关政策及标准 (3) 2. 现状及需求分析 (5) 2.1. 现状分析 (5) 2.2. 需求分析 (5) 3. 等保三级建设总体规划 (6) 3.1. 网络边界安全建设 (6) 3.2. 日志集中审计建设 (6) 3.3. 安全运维建设 (6) 3.4. 等保及安全合规性自查建设 (6) 3.5. 建设方案优势总结 (7) 4. 等保三级建设相关产品介绍 (9) 4.1. 网络边界安全防护 (9) 4.1.1 标准要求 (9) 4.1.2 明御下一代防火墙 (10) 4.1.3 明御入侵防御系统(IPS) (13) 4.2. 日志及数据库安全审计 (15) 4.2.1 标准要求 (15) 4.2.2 明御综合日志审计平台 (17) 4.2.3 明御数据库审计与风险控制系统 (19) 4.3. 安全运维审计 (22) 4.3.1 标准要求 (22) 4.3.2 明御运维审计和风险控制系统 (23) 4.4. 核心WEB应用安全防护 (26) 4.3.1 标准要求 (26) 4.3.2 明御WEB应用防火墙 (27) 4.3.3 明御网站卫士 (30) 4.5. 等保及安全合规检查 (31) 4.5.1 标准要求 (31) 4.5.2 明鉴WEB应用弱点扫描器 (32) 4.5.3 明鉴数据库弱点扫描器 (34) 4.5.4 明鉴远程安全评估系统 (37) 4.5.5 明鉴信息安全等级保护检查工具箱 (38) 4.6. 等保建设咨询服务 (40) 4.6.1 服务概述 (40) 4.6.2 安全服务遵循标准 (41) 4.6.3 服务内容及客户收益 (41) 5. 等保三级建设配置建议 (42)
信息系统安全等级保护基本要求-二级
等保第二级要求: 技术要求 物理安全 物理位置选择(G2) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 物理访问控制(G2) a.机房出入口应安排专人值守,控制、鉴别和记录进入的人员 b.需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围 防盗窃和防破坏 a.应将主要设备放置在机房内 b.应将设备或主要部件进行固定,并设置明显的不易除去的标记 c.应将通信线缆铺设在隐藏处,可铺设在地下或管道中 d.应对介质分类标识,存储在介质库或档案室中 e.主机房应安装必要的防盗报警设施 防雷击 a.机房建筑应设置避雷装置 b.机房应设置交流电源地线 防火 机房应设置灭火设置和火灾自动报警系统 防水和防潮 a.水管安装,不得穿过机房屋顶和活动地板下 b.采取措施防止雨水通过机房窗户、屋顶和墙壁渗透 c.采取措施防止机房内水蒸气结露和地下积水的转移与渗透 防静电 关键设备应采用必要的接地防静电措施 温湿度控制 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内 电力供应(A2) a.在机房供电线路上配置稳压器和过电压防护设备 b.提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求 电磁防护(S2) 电源线和通信线缆应隔离铺设,避免互相干扰 网络安全 结构安全(G2) a.保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要
b.保证接入网络和核心网络的带宽满足业务高峰期需要 c.绘制与当前运行情况相符的网络拓扑结构图 d.根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照 方便管理和控制的原则为各子网、网段分配地址段。 访问控制 a.在网络边界部署访问控制设备,启用访问控制功能 b.根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。 c.应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为 单个用户。 d.应限制具有拨号访问权限的用户数量 安全审计 a.对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录 b.审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 边界完整性检查(S2) 能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。 入侵防范 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。 网络设备防护 a.对登录网络设备的用户进行身份鉴别 b.对网络设备的管理员登录地址进行限制 c.网络设备用户的标识应唯一 d.身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换 e.具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措 施 f.当对网络设备进行远程管理时,采取必要措施防止鉴别信息在传输过程中被窃听 主机安全 身份鉴别(S2) a.对登录操作系统和数据库系统的用户进行身份标识和鉴别 b.操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期 更换 c.应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施 d.当对服务器进行远程管理时,采取必要措施,防止鉴别信息在传输过程中被窃听 e.为操作系统和数据库系统的不同用户,分配不同用户名,确保用户名唯一性 访问控制(S2) a.启用访问控制功能,依据安全策略控制用户对资源的访问 b.应实现操作系统和数据库系统特权用户的权限分离 c.限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令 d.及时删除多余的、过期的账户,避免共享账户的存在
计算机信息系统安全等级保护三级
计算机信息系统安全等级保护三级 申请条件: (一)综合条件 1. 企业是在中华人民共和国境内注册的企业法人,变革发展历程清晰、产权关系明确,取得信息系统集成四级资质的时间不少于一年,或从事系统集成业务的时间不少于两年。 2. 企业主业是系统集成,近三年的系统集成收入总额占营业收入总额的比例不低于50%。 3. 企业注册资本和实收资本均不少于200万元, 或所有者权益合计不少于200万元。(二)财务状况 1. 企业近三年的系统集成收入总额不少于5000万元,或不少于4000万元且近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于70%,财务数据真实可信,须经在中华人民共和国境内登记的会计师事务所审计。 2. 企业财务状况良好。 (三)信誉 1. 企业有良好的资信,近三年无触犯国家法律法规的行为。 2. 企业有良好的知识产权保护意识,近三年完成的系统集成项目中无销售或提供非正版软件的行为。 3. 企业有良好的履约能力,近三年没有因企业原因造成验收未通过的项目或应由企业承担责任的用户重大投诉。 4. 企业近三年无不正当竞争行为。 5. 企业遵守信息系统集成资质管理相关规定,在资质申报和资质证书使用过程中诚实守信,近三年无不良行为。 (四)业绩 1. 近三年完成的系统集成项目总额不少于5000万元,或不少于4000万元且近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于70%。这些项目已通过验收。 2. 近三年至少完成1个合同额不少于300万元的系统集成项目,或所完成合同额不少于100万元的系统集成项目总额不少于300万元,或所完成合同额不少于50万元的纯软件和信息技术服务项目总额不少于150万元。 3. 近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于30%,或软件和信息技术服务费总额不少于1500万元,或软件开发费总额不少于800万元。 (五)管理能力 1. 已建立质量管理体系,通过国家认可的第三方认证机构认证,并能有效运行。 2. 已建立完备的客户服务体系,能及时、有效地为客户提供服务。 3. 企业的主要负责人从事信息技术领域企业管理的经历不少于3年,主要技术负责人应具有计算机信息系统集成项目管理人员资质或电子信息类专业硕士及以上学位或电子信息类中级及以上技术职称、且从事系统集成技术工作的经历不少于3年,财务负责人应具有财务系列初级及以上职称。 (六)技术实力 1. 在主要业务领域具有较强的技术实力。 2. 经过第三方评测鉴定或用户使用认可的自主开发的软件产品不少于3个,且部分软件产品在近三年已完成的项目中得到了应用。 3. 有专门从事软件或系统集成技术开发的研发人员,已建立基本的软件开发与测试体系,
信息系统安全等级保护基本要求
信息系统安全等级保护基本要求 1 范围 本标准规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导分等级的信息系统的安全建设和监督管理。 2 规范性引用文件 下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分:安全 GB17859-1999 计算机信息系统安全保护等级划分准则 GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南 3 术语和定义 GB/T 5271.8和GB 17859-1999确立的以及下列术语和定义适用于本标准。 安全保护能力 security protection ability 系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。 4 信息系统安全等级保护概述 信息系统安全保护等级 信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高划分为五级,五级定义见GB/T AAAA-AAAA。 不同等级的安全保护能力 不同等级的信息系统应具备的基本安全保护能力如下: 第一级安全保护能力:应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。 第二级安全保护能力:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。 第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰
XXX信息系统网络安全等级保护建设方案(二级)
XXX信息系统 网络安全等级保护建设方案 2020年7月
1、技术方案 1.1建设背景 面对我国信息安全的严峻形势,自2006年以来,以公安部、工信部、国家保密局等单位牵头,在全国范围内陆续发布了等级保护、分级保护等信息安全政策和执行标准。2014年2月27日,中央网络安全与信息化领导小组成立,该领导小组着眼国家安全和长远发展,统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政策,推动国家网络安全和信息化法治建设,不断增强安全保障能力。 2017年《中华人民共和国网络安全法》颁布实施,该法案明确规定国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改;对网络运营者不履行规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。 2019年5月13日,公安部正式发布了网络安全等级保护制度2.0标准,并于2019年12月1日开始按照2.0标准实施,该标准是在网络安全领域又一规范性条例,在操作性、指导性和强制性力度更强。 XXXX目前的主要业务系统是XX系统、XX系统等系统,系统涉及到参保结算人员的各方面信息,按照《网络安全法》和等保2.0标准对被定义成国家关键信息基础设施的网络、业务系统需要按照等级保护标准建设,XXXX需要结合实际情况,对照国家及相关监管单位要求,理清安全现状,并对现有的信息系统按照等保2.0标准二级安全要求建设。
信息系统安全等级保护三级基本要求
目次 前言............................................................................... IX 引言................................................................................ X 1 范围.. (1) 2规范性引用文件 (1) 3术语和定义.......................................................... 错误!未定义书签。4信息系统安全等级保护概述 (1) 4.1 信息系统安全保护等级 (1) 4.2 不同等级的安全保护能力 (1) 4.3 基本技术要求和基本管理要求 (1) 4.4 基本技术要求的三种类型 (2) 5第一级基本要求...................................................... 错误!未定义书签。 5.1 技术要求.......................................................... 错误!未定义书签。 5.1.1物理安全........................................................ 错误!未定义书签。 5.1.1.1 物理访问控制(G1)............................................ 错误!未定义书签。 5.1.1.2 防盗窃和防破坏(G1).......................................... 错误!未定义书签。 5.1.1.3 防雷击(G1).................................................. 错误!未定义书签。 5.1.1.4 防火(G1).................................................... 错误!未定义书签。 5.1.1.5 防水和防潮(G1).............................................. 错误!未定义书签。 5.1.1.6 温湿度控制(G1).............................................. 错误!未定义书签。 5.1.1.7 电力供应(A1)................................................ 错误!未定义书签。 5.1.2网络安全........................................................ 错误!未定义书签。 5.1.2.1 结构安全(G1)................................................ 错误!未定义书签。 5.1.2.2 访问控制(G1)................................................ 错误!未定义书签。 5.1.2.3 网络设备防护(G1)............................................ 错误!未定义书签。 5.1.3主机安全........................................................ 错误!未定义书签。 5.1.3.1 身份鉴别(S1)................................................ 错误!未定义书签。 5.1.3.2 访问控制(S1)................................................ 错误!未定义书签。 5.1.3.3 入侵防范(G1)................................................ 错误!未定义书签。 5.1.3.4 恶意代码防范(G1)............................................ 错误!未定义书签。 5.1.4应用安全........................................................ 错误!未定义书签。 5.1.4.1 身份鉴别(S1)................................................ 错误!未定义书签。 5.1.4.2 访问控制(S1)................................................ 错误!未定义书签。 5.1.4.3 通信完整性(S1).............................................. 错误!未定义书签。 5.1.4.4 软件容错(A1)................................................ 错误!未定义书签。 5.1.5数据安全及备份恢复.............................................. 错误!未定义书签。 5.1.5.1 数据完整性(S1).............................................. 错误!未定义书签。 5.1.5.2 备份和恢复(A1).............................................. 错误!未定义书签。 5.2 管理要求.......................................................... 错误!未定义书签。 5.2.1安全管理制度.................................................... 错误!未定义书签。 5.2.1.1 管理制度(G1)................................................ 错误!未定义书签。 5.2.1.2 制定和发布(G1).............................................. 错误!未定义书签。 5.2.2安全管理机构.................................................... 错误!未定义书签。 I
(完整版)网络安全等级保护2.0-通用要求-表格版
网络安全等级保护基本要求第1 部分:安全通用要求 一、技术要求: 基本要求第一级第二级第三级第四级 a) 机房场地应选择在具有防a) ; a) ; b) ; b) ; 震、防风和防雨等能力的建筑 内; 物理位置的选择/ b) 机房场地应避免设在建筑 物的顶层或地下室,否则应加 强防水和防潮措施 a) a) 机房出入口应配置电子门禁 a) 机房出入口应安排专人值 a) ; 物理访问控制守或配置电子门禁系统,控制、 鉴别和记录进入的人员 系统,控制、鉴别和记录进入 的人员 b) 重要区域应配置第二道电 子门禁系统,控制、鉴别和记 录进入的人员 物理 和环境安全防盗窃和防破坏 a) 应将机房设备或主要部件 进行固定,并设置明显的不易 除去的标记 a) ; b) 应将通信线缆铺设在隐蔽 处,可铺设在地下或管道中。 a) ; b) ; c) 应设置机房防盗报警系统 或设置有专人值守的视频监控 系统 a) ; b) ; c) ; a) a) ; a) 应将各类机柜、设施和设 a) ; b) ; 备等通过接地系统安全接地b) 应采取措施防止感应雷,防雷击 例如设置防雷保安器或过压保 护装置等 a) 机房应设置灭火设备a) 机房应设置火灾自动消防a) ;a) ; b) ; 系统,能够自动检测火情、自b) ; c) ; 动报警,并自动灭火;c) 应对机房划分区域进行管防火 b) 机房及相关的工作房间和 理,区域和区域之间设置隔离
辅助房应采用具有耐火等级的防火措施。建筑材料
a) ; a) 应采取措施防止雨水通过a) ;a) ; 防水和防潮机房窗户、屋顶和墙壁渗透b) 应采取措施防止机房内水 蒸气结露和地下积水的转移与 b) ; c) 应安装对水敏感的检测仪 b) ; c) ; 渗透表或元件,对机房进行防水检 测和报警。 a) 应安装防静电地板并采用a) ;a) ; 防静电/ 必要的接地防静电措施b) 应采用措施防止静电的产 生,例如采用静电消除器、佩 b) ; 戴防静电手环等。 a) ; a) ; a) 机房应设置必要的温、湿a) 机房应设置温湿度自动调节 温湿度控制度控制设施,使机房温、湿度 的变化在设备运行所允许的范 围之内 设施,使机房温湿度的变化在 设备运行所允许的范围之内 a) 应在机房供电线路上配置a) ;a) ;a) ; 电力供应稳压器和过电压防护设备b) 应提供短期的备用电力供 应,至少满足设备在断电情况 b) ; c) 应设置冗余或并行的电力 b) ; c) ; 下的正常运行要求电缆线路为计算机系统供电。d) 应提供应急供电设施。 a) 电源线和通信线缆应隔离a) ;a) ; 电磁防护/ 铺设,避免互相干扰b) 应对关键设备实施电磁屏b) 应对关键设备或关键区域 蔽。实施电磁屏蔽。 a) 应保证网络设备的业务处a) 应保证网络设备的业务处a) ;a) ; 理能力满足基本业务需要;理能力满足业务高峰期需要;b) 应保证网络各个部分的带c) ; b) 应保证接入网络和核心网b) 应保证接入网络和核心网d) ; 宽满足业务高峰期需要; 络的带宽满足基本业务需要。络的带宽满足业务高峰期需c) ;e) ; 要;d) ;f) 应可按照业务服务的重要网络 和通网络架构c) 应划分不同的网络区域,e) 应提供通信线路、关键网 程度分配带宽,优先保障重要 并按照方便管理和控制的原则络设备的硬件冗余,保证系统业务。 信安 全为各网络区域分配地址;的可用性。 d) 应避免将重要网络区域部 署在网络边界处且没有边界防 护措施。 通信传输a) 应采用校验码技术保证通信a) a) 应采用校验码技术或加解a) ;
- 计算机信息系统安全等级保护
- 信息系统安全等级保护基本要求
- 《信息系统安全等级保护基本要求》
- 数据库管理安全等级保护技术要求
- 信息系统安全等级保护(三级)基本要求
- 系统安全等级保护定级报告.doc
- 信息系统安全等级保护第三级基本要求
- 电商类系统安全等级保护定级报告 - 副本
- 信息系统安全等级保护(三级)基本要求
- 信息系统等级保护安全设计技术要求
- 信息系统安全等级保护(三级)基本要求
- 信息系统安全等级保护 四级 基本要求
- 信息系统安全等级保护 二级 基本要求
- 信息系统安全等级保护定级报告(实例)
- 信息系统安全等级保护物理安全方案
- 信息系统安全等级保护定级报告示例
- 信息系统安全等级保护(二级)基本要求
- 信息系统安全等级保护基本要求
- 信息系统安全等级保护
- 信息系统安全等级保护