4-信息安全技术 信息系统安全等级保护基本要求下载简介:
内容预览截取文档部分内容,仅供参考
4-信息安全技术 信息系统安全等级保护基本要求信息安全技术中的信息系统安全等级保护基本要求,是中国为保障信息系统的安全性、稳定性和可靠性而制定的一套规范体系。该体系基于《中华人民共和国网络安全法》和相关法律法规,旨在通过分级保护的方式,提升信息系统的安全防护能力。
信息系统安全等级保护基本要求的核心思想是根据信息系统的敏感程度和重要性进行分级,并针对不同等级提出相应的安全要求。通常分为五个等级:第一级为用户自主保护级,第二级为系统审计保护级,第三级为安全标记保护级,第四级为结构化保护级,第五级为访问验证保护级。每个等级的安全要求逐级递增,涵盖物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等多个方面。
具体来说,这些基本要求包括但不限于:确保物理环境的安全性(如机房管理)、网络边界的安全防护(如防火墙配置)、操作系统和数据库的安全加固、应用程序的漏洞修复与权限控制,以及数据的加密存储与传输等。此外,还强调了安全管理的重要性,例如建立完善的安全管理制度、定期开展风险评估和应急演练等。
通过实施信息系统安全等级保护基本要求,可以有效降低信息安全风险,防止信息泄露、篡改或破坏,从而保障国家、社会和个人的利益。同时,这也是推动信息化建设健康发展的重要基础。
耗材采购项目竞争性谈判本项要求包括: a 应立即终止由于各种原因离岗员工的所有访问权限; b) 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。
5.2.3.3安全意识教育和培训(G1)
本项要求包括: a 应对各类人员进行安全意识教育和岗位技能培训: b 应告知人员相关的安全责任和惩戒措施。
5.2.3.4外部人员访问管理(G1)
5.2.4系统建设管理
5.2.4.1系统定级(G1)
本项要求包括: a 应明确信息系统的边界和安全保护等级; b) 应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由; C) 应确保信息系统的定级结果经过相关部门的批准
5.2.4.2安全方案设计(G1)
a 应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; b) 1 应以书面的形式描述对系统的安全保护要求和策略、安全措施等内容,形成系统的安全方案: C) )应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案。
5.2.4.3产品采购和使用(G1)
5.2.4.4自行软件开发(G1)
本项要求包括: a 应确保开发环境与实际运行环境物理分开; b) 应确保软件设计相关文档由专人负责保管
5.2.4.5外包软件开发(G1)
本项要求包括: a 应根据开发要求检测软件质量:
GB/T22239—2008 b) )应在软件安装之前检测软件包中可能存在的恶意代码; c)应确保提供软件设计的相关文档和使用指南。 5.2.4.6工程实施(G1) 应指定或授权专门的部门或人员负责工程实施过程的管理。
.2.4.6工程实施(G1
.2.4.7测试验收(G1)
a) 应对系统进行安全性测试验收; 在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录 2 测试验收结果,并形成测试验收报告
5.2.4.8系统交付(G1)
本项要求包括: a) 1 应制定系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; b) 应对负责系统运行维护的技术人员进行相应的技能培训; c)应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档。
5.2.4.9安全服务商选择(G1)
本项要求包括: 日) 应确保安全服务商的选择符合国家的有关规定; b 应与选定的安全服务商签订与安全相关的协议,明确约定相关责任,
5.2.5系统运维管理
.2.5.1环境管理(G1)
本项要求包括: E) )应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理; b) 1 应对机房的出入、服务器的开机或关机等工作进行管理; C) 应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面 的管理作出规定
5.2.5.2资产管理(G1)
5.2.5.3介质管理(G1)
本项要求包括: a) 2 应对信息系统相关的各种设备、线路等指定专门的部门或人员定期进行维护管理; b) 应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型 采购、发放和领用等过程进行规范化管理。
a) 应指定人员对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理 工作; b) 应定期进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补,
5.2.5.6系统安全管理(G1)
a 应根据业务需求和系统安全分析确定系统的访问控制策略; b) 应定期进行漏洞扫描,对发现的系统安全漏洞进行及时的修补; C) 应安装系统的最新补丁程序,并在安装系统补丁前对现有的重要文件进行备份,
应提高所有用户的防病毒意识,告知及时升级防病毒软件,在读取移动存储设备上的数据以及 接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病
5.2.5.8备份与恢复管理(G1)
本项要求包括: a) 1 应识别需要定期备份的重要业务信息、系统数据及软件系统等; b) 1 应规定备份信息的备份方式、备份频度、存储介质、保存期等。
1.1.1物理位置的选择
机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
6.1.1.2物理访问控制(G2)
本项要求包括: a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围 6.1.1.3防盗窃和防破坏(G2) 本项要求包括: a)应将主要设备放置在机房内; b)应将设备或主要部件进行固定,并设置明显的不易除去的标记; c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d)应对介质分类标识,存储在介质库或档案室中; e) 主机房应安装必要的防盗报警设施。
本项要求包括: a 1 应将主要设备放置在机房内; 应将设备或主要部件进行固定,并设置明显的不易除去的标记; 6 C 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; ?) 应对介质分类标识,存储在介质库或档案室中; e) 主机房应安装必要的防盗报警设施。
6.1.1.5防火(G2)
机房应设置灭火设备和火灾自
1.1.6防水和防潮(G
关键设备应采用必要的接地防静电措施
本项安求包括: a 1 应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要; b0 1 应保证接入网络和核心网络的带宽满足业务高峰期需要: C) 1 应绘制与当前运行情况相符的网络拓扑结构图; d) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或 并按照方便管理和控制的原则为各子网、网段分配地址段。
本项要求包括: a)应在网络边界部署访问控制设备,启用访问控制功能; b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。 C) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒 度为单个用户; d)应限制具有拨号访问权限的用户数量。
6.1.2.4边界完整性检查(S2
6.1.2.5入侵防范(G2
应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻 溢出攻击、IP碎片攻击和网络蠕虫攻击等。
6.1.2.6网络设备防护(G2)
本项要求包括: 日 1 应对登录网络设备的用户进行身份鉴别; b) 应对网络设备的管理员登录地址进行限制; C) 2 网络设备用户的标识应唯一; d) 1 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换; 2 1 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退 出等措施; I) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
5.1.3.1身份鉴别(S2
本项要求包括: ?人 1 应对登录操作系统和数据库系统的用户进行身份标识和鉴别; b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定 期更换; C) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; d) 11 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听; e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
本项要求包括: a 1 应启用访问控制功能,依据安全策略控制用户对资源的访问; b) 1人 应实现操作系统和数据库系统特权用户的权限分离; C) 应限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令; d) 应及时删除多余的、过期的帐户外墙保温施工方案,避免共享帐户的存在。
6.1.3.4入侵防范(G2)
操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方 系统补丁及时得到更新
6.1.3.5恶意代码防范(G2)
本项要求包括: 日 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库; 2 应支持防恶意代码软件的统一管理。
aq/t 2034-2023 金属非金属地下矿山压风自救系统建设规范6.1.3.6资源控制(A2)
本项要求包括: a)应通过设定终端接入方式、网络地址范围等条件限制终端登录; b)应根据安全策略设置登录终端的操作超时锁定; c)应限制单个用户对系统资源的最大或最小使用限度。 14应用安