收藏 分销(赏)

等级保护三级等保三级基本要求内容.doc

上传人:丰**** 文档编号:8739147 上传时间:2025-02-28 格式:DOC 页数:30 大小:220.54KB 下载积分:12 金币
下载 相关 举报
等级保护三级等保三级基本要求内容.doc_第1页
第1页 / 共30页
等级保护三级等保三级基本要求内容.doc_第2页
第2页 / 共30页


点击查看更多>>
资源描述
等级保护第三级基本要求 实施提议 残留问题 1.1.1  物理安全 1.1.1.1  物理位置选择(G3) 本项要求包含: a) 机房和办公场地应选择在具备防震、防风和防雨等能力建筑; b) 机房场地应防止设在建筑物高层或地下室,以及用水设备下层或隔壁。 通常选择在建筑物2-3层。(同B类安全机房选址要求。) 1.1.1.2  物理访问控制(G3) 本项要求包含: a) 机房出入口应安排专员值守,控制、判别和统计进入人员; b) 需进入机房来访人员应经过申请和审批流程,并限制和监控其活动围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在主要区域前设置交付或安装等过渡区域; d) 主要区域应配置电子门禁系统,控制、判别和统计进入人员。 主要区域物理隔离,并安装电子门禁系统(天宇翱翔,微耕,瑞士KABA或德国KABA Gallenschutz) 1.1.1.3  防偷窃和防破坏(G3) 本项要求包含: a) 应将主要设备放置在机房; b) 应将设备或主要部件进行固定,并设置显著不易除去标识; 使用机柜并在设备上焊接铭牌,标明设备型号、负责保管人员、维护单位等信息。(设备铭牌只能被破坏性地去除。) c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存放在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; 机房安装光电防盗报警系统。 f) 应对机房设置监控报警系统。 机房安装视频监控报警系统。 1.1.1.4  防雷击(G3) 本项要求包含: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,预防感应雷; 安装电源三级防雷器和信号二级防雷器(美国克雷太ALLTEC)。 c) 机房应设置交流电源地线。 1.1.1.5  防火(G3) 本项要求包含: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; 安装有管网气体自动灭火系统。 b) 机房及相关工作房间和辅助房应采取具备耐火等级建筑材料; 进行机房改造,使用防火材料装修。 c) 机房应采取区域隔离防火方法,将主要设备与其余设备隔离开。 进行机房改造,主要区域使用防火玻璃隔断。 1.1.1.6  防水和防潮(G3) 本项要求包含: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取方法预防雨水经过机房窗户、屋顶和墙壁渗透; c) 应采取方法预防机房水蒸气结露和地下积水转移与渗透; d) 应安装对水敏感检测仪表或元件,对机房进行防水检测和报警。 安装机房动力环境监控系统(对机房设备运行状态、温度、湿度、洁净度、供电电压、电流、频率、配电系统开关状态、测漏系统等进行实时监控并统计历史数据),其中含漏水检测装置。 1.1.1.7  防静电(G3) 本项要求包含: a) 主要设备应采取必要接地防静电方法; b) 机房应采取防静电地板。 1.1.1.8  温湿度控制(G3) 机房应设置温、湿度自动调整设施,使机房温、湿度改变在设备运行所允许围之。 安装精密空调系统,配置温湿度检测装置,并接入动力环境监控系统。 1.1.1.9  电力供给(A3) 本项要求包含: a) 应在机房供电线路上配置稳压器和过电压防护设备; 配置线路稳压器和电源保护装置(如金属氧化物可变电阻、硅雪崩二极管、气体放电管、滤波器、电压调整变压器和浪涌滤波器)。 b) 应提供短期备用电力供给,最少满足主要设备在断电情况下正常运行要求; 为主要设备配置UPS。 c) 应设置冗余或并行电力电缆线路为计算机系统供电; d) 应建立备用供电系统。 提供备用供电系统,并依照对业务恢复时间要求,制订备用供电系统切换时间。 1.1.1.10  电磁防护(S3) 本项要求包含: a) 应采取接地方式预防外界电磁干扰和设备寄生耦合干扰; b) 电源线和通信线缆应隔离铺设,防止相互干扰; c) 应对关键设备和磁介质实施电磁屏蔽。 采取屏蔽机柜。 1.1.2  网络安全 1.1.2.1  结构安全(G3) 本项要求包含: a) 应确保主要网络设备业务处理能力具备冗余空间,满足业务高峰期需要; b) 应确保网络各个部分带宽满足业务高峰期需要; c) 应在业务终端与业务服务器之间进行路由控制建立安全访问路径; d) 应绘制与当前运行情况相符网络拓扑结构图; e) 应依照各部门工作职能、主要性和所包括信息主要程度等原因,划分不一样子网或网段,并按照方便管理和控制标准为各子网、网段分配地址段; f) 应防止将主要网段布署在网络边界处且直接连接外部信息系统,主要网段与其余网段之间采取可靠技术隔离伎俩; 主要网段与其余网段之间采取防火墙或网闸进行隔离。 g) 应按照对业务服务主要次序来指定带宽分配优先级别,确保在网络发生拥堵时候优先保护主要主机。 在多个业务共用网络设备上配置QOS。 1.1.2.2  访问控制(G3) 本项要求包含: a) 应在网络边界布署访问控制设备,启用访问控制功效; b) 应能依照会话状态信息为数据流提供明确允许/拒绝访问能力,控制粒度为端口级; c) 应对进出网络信息容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级控制; d) 应在会话处于非活跃一定时间或会话结束后终止网络连接; e) 应限制网络最大流量数及网络连接数; f) 主要网段应采取技术伎俩预防地址坑骗; g) 应按用户和系统之间允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户; h) 应限制具备拨号访问权限用户数量。 在网络边界布署防火墙。 1.1.2.3  安全审计(G3) 本项要求包含: a) 应对网络系统中网络设备运行情况、网络流量、用户行为等进行日志统计; b) 审计统计应包含:事件日期和时间、用户、事件类型、事件是否成功及其余与审计相关信息; c) 应能够依照统计数据进行分析,并生成审计报表; d) 应对审计统计进行保护,防止受到未预期删除、修改或覆盖等。 布署专业日志审计系统。 1.1.2.4  边界完整性检验(S3) 本项要求包含: a) 应能够对非授权设备私自联到部网络行为进行检验,准确定出位置,并对其进行有效阻断; 布署终端安全管理系统,利用IP/MAC绑定及ARP阻断功效实现非法接入控制。 b) 应能够对部网络用户私自联到外部网络行为进行检验,准确定出位置,并对其进行有效阻断。 布署终端安全管理系统,提供非法外联监控功效。 1.1.2.5  入侵防(G3) 本项要求包含: a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等; b) 当检测到攻击行为时,统计攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。 布署入侵检测系统。 1.1.2.6  恶意代码防(G3) 本项要求包含: a) 应在网络边界处对恶意代码进行检测和去除; b) 应维护恶意代码库升级和检测系统更新。 布署病毒过滤网关系统。 1.1.2.7  网络设备防护(G3) 本项要求包含: a) 应对登录网络设备用户进行身份判别; b) 应对网络设备管理员登录地址进行限制; c) 网络设备用户标识应唯一; d) 主要网络设备应对同一用户选择两种或两种以上组合判别技术来进行身份判别; e) 身份判别信息应具备不易被冒用特点,口令应有复杂度要求并定时更换; f) 应具备登录失败处理功效,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等方法; g) 当对网络设备进行远程管理时,应采取必要方法预防判别信息在网络传输过程中被窃听; 采取动态电子令牌身份认证系统(如RSA SecurID)。 h) 应实现设备特权用户权限分离。 1.1.3  主机安全 1.1.3.1  身份判别(S3) 本项要求包含: a) 应对登录操作系统和数据库系统用户进行身份标识和判别; b) 操作系统和数据库系统管理用户身份标识应具备不易被冒用特点,口令应有复杂度要求并定时更换; c) 应启用登录失败处理功效,可采取结束会话、限制非法登录次数和自动退出等方法; d) 当对服务器进行远程管理时,应采取必要方法,预防判别信息在网络传输过程中被窃听; e) 应为操作系统和数据库系统不一样用户分配不一样用户名,确保用户名具备唯一性。 采取操作系统和数据库系统安全评定和加固服务。 f) 应采取两种或两种以上组合判别技术对管理用户进行身份判别。 采取动态电子令牌身份认证系统(如RSA SecurID)。 1.1.3.2  访问控制(S3) 本项要求包含: a) 应启用访问控制功效,依据安全策略控制用户对资源访问; b) 应依照管理用户角色分配权限,实现管理用户权限分离,仅授予管理用户所需最小权限; c) 应实现操作系统和数据库系统特权用户权限分离; d) 应严格限制默认访问权限,重命名系统默认,修改这些默认口令; e) 应及时删除多出、过期,防止共享存在。 f) 应对主要信息资源设置敏感标识; g) 应依据安全策略严格控制用户对有敏感标识主要信息资源操作; 采取安全操作系统(如一些国产Linux操作系统或B1级操作系统)或在C2级操作系统中安装核加固软件(如浪潮SSR服务器安全加固系统-适用Windows)。 1.1.3.3  安全审计(G3) 本项要求包含: a) 审计围应覆盖到服务器和主要客户端上每个操作系统用户和数据库用户; b) 审计容应包含主要用户行为、系统资源异常使用和主要系统命令使用等系统主要安全相关事件; c) 审计统计应包含事件日期、时间、类型、主体标识、客体标识和结果等; 服务器开启日志功效;主要客户端安装终端安全管理软件进行审计。 d) 应能够依照统计数据进行分析,并生成审计报表; 采取专业日志审计系统。 e) 应保护审计进程,防止受到未预期中止; 服务器采取安全操作系统或安装核加固软件,对审计进程进行守护,预防进程中止;主要客户端终端安全管理代理进程具备自我保护机制。 f) 应保护审计统计,防止受到未预期删除、修改或覆盖等。 采取专业日志审计系统。 1.1.3.4  剩下信息保护(S3) 本项要求包含: a) 应确保操作系统和数据库系统用户判别信息所在存放空间,被释放或再分配给其余用户前得到完全去除,不论这些信息是存放在硬盘上还是在存中; b) 应确保系统文件、目录和数据库统计等资源所在存放空间,被释放或重新分配给其余用户前得到完全去除。 采取安全操作系统(如一些国产Linux操作系统或B1级操作系统)或安装Windows平台剩下信息保护软件。(同客体重用。) 1.1.3.5  入侵防(G3) 本项要求包含: a) 应能够检测到对主要服务器进行入侵行为,能够统计入侵源IP、攻击类型、攻击目标、攻击时间,并在发生严重入侵事件时提供报警; 采取主机或网络入侵检测系统。 b) 应能够对主要程序完整性进行检测,并在检测到完整性受到破坏后具备恢复方法; 采取安全操作系统或安装核加固软件。 c) 操作系统应遵照最小安装标准,仅安装需要组件和应用程序,并经过设置升级服务器等方式保持系统补丁及时得到更新。 采取操作系统安全评定和加固服务,并布署补丁服务器。 1.1.3.6  恶意代码防(G3) 本项要求包含: a) 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库; b) 主机防恶意代码产品应具备与网络防恶意代码产品不一样恶意代码库; c) 应支持防恶意代码统一管理。 安装网络版防病毒软件并与病毒过滤网关异构。 1.1.3.7  资源控制(A3) 本项要求包含: a) 应经过设定终端接入方式、网络地址围等条件限制终端登录; b) 应依照安全策略设置登录终端操作超时锁定; 采取操作系统安全评定和加固服务。 c) 应对主要服务器进行监视,包含监视服务器CPU、硬盘、存、网络等资源使用情况; d) 应限制单个用户对系统资源最大或最小使用程度; e) 应能够对系统服务水平降低到预先要求最小值进行检测和报警。 采取操作系统附带或第三方资源监控软件。 1.1.4  应用安全 1.1.4.1  身份判别(S3) 本项要求包含: a) 应提供专用登录控制模块对登录用户进行身份标识和判别; 进行应用系统二次开发。 b) 应对同一用户采取两种或两种以上组合判别技术实现用户身份判别; c) 应提供用户身份标识唯一和判别信息复杂度检验功效,确保应用系统中不存在重复用户身份标识,身份判别信息不易被冒用; 采取数字证书身份认证系统。 d) 应提供登录失败处理功效,可采取结束会话、限制非法登录次数和自动退出等方法; e) 应启用身份判别、用户身份标识唯一性检验、用户身份判别信息复杂度检验以及登录失败处理功效,并依照安全策略配置相关参数。 进行应用系统二次开发。 1.1.4.2  访问控制(S3) 本项要求包含: a) 应提供访问控制功效,依据安全策略控制用户对文件、数据库表等客体访问; b) 访问控制覆盖围应包含与资源访问相关主体、客体及它们之间操作; c) 应由授权主体配置访问控制策略,并严格限制默认访问权限; d) 应授予不一样为完成各自负担任务所需最小权限,并在它们之间形成相互制约关系。 进行应用系统二次开发,并结合采取第三方身份认证和访问控制系统。 e) 应具备对主要信息资源设置敏感标识功效; f) 应依据安全策略严格控制用户对有敏感标识主要信息资源操作; 借助安全操作系统或核加固软件提供强制访问控制功效实现。 1.1.4.3  安全审计(G3) 本项要求包含: a) 应提供覆盖到每个用户安全审计功效,对应用系统主要安全事件进行审计; b) 应确保无法单独中止审计进程,无法删除、修改或覆盖审计统计; c) 审计统计容最少应包含事件日期、时间、发起者信息、类型、描述和结果等; d) 应提供对审计统计数据进行统计、查询、分析及生成审计报表功效。 采取网络审计结合日志审计实现;应用服务器采取安全操作系统或安装核加固软件,对审计进程进行守护,预防进程中止。 1.1.4.4  剩下信息保护(S3) 本项要求包含: a) 应确保用户判别信息所在存放空间被释放或再分配给其余用户前得到完全去除,不论这些信息是存放在硬盘上还是在存中; b) 应确保系统文件、目录和数据库统计等资源所在存放空间被释放或重新分配给其余用户前得到完全去除。 同主机安全。 1.1.4.5  通信完整性(S3) 应采取密码技术确保通信过程中数据完整性。 1.1.4.6  通信性(S3) 本项要求包含: a) 在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证; b) 应对通信过程中整个报文或会话过程进行加密。 1.1.4.7  抗抵赖(G3) 本项要求包含: a) 应具备在请求情况下为数据原发者或接收者提供数据原发证据功效; b) 应具备在请求情况下为数据原发者或接收者提供数据接收证据功效。 采取SSL或IPSEC技术,结合基于数字证书PKI体系。 1.1.4.8  软件容错(A3) 本项要求包含: a) 应提供数据有效性检验功效,确保经过人机接口输入或经过通信接口输入数据格式或长度符合系统设定要求; b) 应提供自动保护功效,当故障发生时自动保护当前全部状态,确保系统能够进行恢复。 进行应用系统二次开发。 1.1.4.9  资源控制(A3) 本项要求包含: a) 当应用系统通信双方中一方在一段时间未作任何响应,另一方应能够自动结束会话; b) 应能够对系统最大并发会话连接数进行限制; c) 应能够对单个多重并发会话进行限制; d) 应能够对一个时间段可能并发会话连接数进行限制; e) 应能够对一个访问或一个请求进程占用资源分配最大限额和最小限额; f) 应能够对系统服务水平降低到预先要求最小值进行检测和报警; g) 应提供服务优先级设定功效,并在安装后依照安全策略设定访问或请求进程优先级,依照优先级分配系统资源。 进行应用系统二次开发或采取第三方应用监控系统。 1.1.5  数据安全及备份恢复 1.1.5.1  数据完整性(S3) 本项要求包含: a) 应能够检测到系统管理数据、判别信息和主要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要恢复方法; 采取SSL或IPSEC技术,结合基于数字证书PKI体系。 b) 应能够检测到系统管理数据、判别信息和主要业务数据在存放过程中完整性受到破坏,并在检测到完整性错误时采取必要恢复方法。 利用安全操作系统或安装核加固软件提供文件完整性保护功效或数据库系统提供完整性保护功效。 1.1.5.2  数据性(S3) 本项要求包含: a) 应采取加密或其余有效方法实现系统管理数据、判别信息和主要业务数据传输性; 采取SSL或IPSEC技术,结合基于数字证书PKI体系。 b) 应采取加密或其余保护方法实现系统管理数据、判别信息和主要业务数据存放性。 利用操作系统和数据库系统提供加密存放机制。 1.1.5.3  备份和恢复(A3) 本项要求包含: a) 应提供当地数据备份与恢复功效,完全数据备份最少天天一次,备份介质场外存放; 采取磁带机或光盘备份。 b) 应提供异地数据备份功效,利用通信网络将关键数据定时批量传送至备用场地; 采取异地数据备份机制。 c) 应采取冗余技术设计网络拓扑结构,防止关键节点存在单点故障; 关键节点设备采取双机热备份。 d) 应提供主要网络设备、通信线路和数据处理系统硬件冗余,确保系统高可用性。 主要网络设备、服务器双机热备份,主要通信线路双线路备份。 1.2  管理要求 1.2.1  安全管理制度 1.2.1.1  管理制度(G3) 本项要求包含: a) 应制订信息安全工作总体方针和安全策略,说明机构安全工作总体目标、围、标准和安全框架等; b) 应对安全管理活动中各类管理容建立安全管理制度; c) 应对要求管理人员或操作人员执行日常管理操作建立操作规程; d) 应形成由安全策略、管理制度、操作规程等组成全方面信息安全管理制度体系。 1.2.1.2  制订和公布(G3) 本项要求包含: a) 应指定或授权专门部门或人员负责安全管理制度制订; b) 安全管理制度应具备统一格式,并进行版本控制; c) 应组织相关人员对制订安全管理制度进行论证和审定; d) 安全管理制度应经过正式、有效方式公布; e) 安全管理制度应注明公布围,并对收发文进行登记。 1.2.1.3  评审和修订(G3) 本项要求包含: a) 信息安全领导小组应负责定时组织相关部门和相关人员对安全管理制度体系合理性和适用性进行审定; b) 应定时或不定时对安全管理制度进行检验和审定,对存在不足或需要改进安全管理制度进行修订。 安全管理咨询服务,帮助用户建立全方面信息安全管理制度体系,包含制订安全策略、管理制度和操作规程等,并帮助用户对管理制度进行公布、评审和修订。 1.2.2  安全管理机构 1.2.2.1  岗位设置(G3) 本项要求包含: a) 应设置信息安全管理工作职能部门,设置安全主管、安全管理各个方面责任人岗位,并定义各责任人职责; b) 应设置系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位职责; c) 应成立指导和管理信息安全工作委员会或领导小组,其最高领导由单位主管领导委任或授权; d) 应制订文件明确安全管理机构各个部门和岗位职责、分工和技能要求。 1.2.2.2  人员配置(G3) 本项要求包含: a) 应配置一定数量系统管理员、网络管理员、安全管理员等; b) 应配置专职安全管理员,不可兼任; c) 关键事务岗位应配置多人共同管理。 1.2.2.3  授权和审批(G3) 本项要求包含: a) 应依照各个部门和岗位职责明确授权审批事项、审批部门和同意人等; b) 应针对系统变更、主要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对主要活动建立逐层审批制度; c) 应定时审查审批事项,及时更新需授权和审批项目、审批部门和审批人等信息; d) 应统计审批过程并保留审批文档。 1.2.2.4  沟通和合作(G3) 本项要求包含: a) 应加强各类管理人员之间、组织部机构之间以及信息安全职能部门部合作与沟通,定时或不定时召开协调会议,共同协作处理信息安全问题; b) 应加强与弟兄单位、公安机关、电信企业合作与沟通; c) 应加强与供给商、业界教授、专业安全企业、安全组织合作与沟通; d) 应建立外联单位联络列表,包含外联单位名称、合作容、联络人和联络方式等信息; e) 应聘请信息安全教授作为常年安全顾问,指导信息安全建设,参加安全规划和安全评审等。 1.2.2.5  审核和检验(G3) 本项要求包含: a) 安全管理员应负责定时进行安全检验,检验容包含系统日常运行、系统漏洞和数据备份等情况; b) 应由部人员或上级单位定时进行全方面安全检验,检验容包含现有安全技术方法有效性、安全配置与安全策略一致性、安全管理制度执行情况等; c) 应制订安全检验表格实施安全检验,汇总安全检验数据,形成安全检验汇报,并对安全检验结果进行通报; d) 应制订安全审核和安全检验制度规安全审核和安全检验工作,定时按照程序进行安全审核和安全检验活动。 安全管理咨询服务,帮助用户建立全方面安全管理组织机构,包含在岗位设置、人员配置、职责定义等方面提供合理提议。 1.2.3  人员安全管理 1.2.3.1  人员录用(G3) 本项要求包含: a) 应指定或授权专门部门或人员责任人员录用; b) 应严格规人员录用过程,对被录用人身份、背景、专业资格和资质等进行审查,对其所具备技术技能进行考评; c) 应签署协议; d) 应从部人员中选拔从事关键岗位人员,并签署岗位安全协议。 1.2.3.2  人员离岗(G3) 本项要求包含: a) 应严格规人员离岗过程,及时终止离岗员工全部访问权限; b) 应取回各种件、钥匙、徽章等以及机构提供软硬件设备; c) 应办理严格调离手续,关键岗位人员离岗须承诺调离后义务后方可离开。 1.2.3.3  人员考评(G3) 本项要求包含: a) 应定时对各个岗位人员进行安全技能及安全认知考评; b) 应对关键岗位人员进行全方面、严格安全审查和技能考评; c) 应对考评结果进行统计并保留。 1.2.3.4  安全意识教育和培训(G3) 本项要求包含: a) 应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训; b) 应对安全责任和惩戒方法进行书面要求并通知相关人员,对违反违反安全策略和要求人员进行惩戒; c) 应对定时安全教育和培训进行书面要求,针对不一样岗位制订不一样培训计划,对信息安全基础知识、岗位操作规程等进行培训; d) 应对安全教育和培训情况和结果进行统计并归档保留。 1.2.3.5  外部人员访问管理(G3) 本项要求包含: a) 应确保在外部人员访问受控区域前先提出书面申请,同意后由专员全程陪同或监督,并登记立案; b) 对外部人员允许访问区域、系统、设备、信息等容应进行书面要求,并按照要求执行。 安全管理咨询服务,帮助用户建立人员安全管理制度,涵盖人员录用、离岗、考评、教育,以及对外部来访人员进行合理管理等各个方面。 安全培训服务,为用户各类人员提供安全意识教育、岗位安全操作技能培训和相关安全技术培训等。 1.2.4  系统建设管理 1.2.4.1  系统定级(G3) 本项要求包含: a) 应明确信息系统边界和安全保护等级; b) 应以书面形式说明确定信息系统为某个安全保护等级方法和理由; c) 应组织相关部门和关于安全技术教授对信息系统定级结果合理性和正确性进行论证和审定; d) 应确保信息系统定级结果经过相关部门同意。 等级保护定级咨询服务。 1.2.4.2  安全方案设计(G3) 本项要求包含: a) 应依照系统安全保护等级选择基本安全方法,并依据风险分析结果补充和调整安全方法; b) 应指定和授权专门部门对信息系统安全建设进行总体规划,制订近期和远期安全建设工作计划; c) 应依照信息系统等级划分情况,统一考虑安全保障体系总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件; d) 应组织相关部门和关于安全技术教授对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件合理性和正确性进行论证和审定,而且经过同意后,才能正式实施; e) 应依照等级测评、安全评定结果定时调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。 等级保护规划咨询服务,按照安全保护等级对信息系统进行总体安全规划和详细方案设计。 1.2.4.3  产品采购和使用(G3) 本项要求包含: a) 应确保安全产品采购和使用符合国家关于要求; b) 应确码产品采购和使用符合国家密码主管部门要求; c) 应指定或授权专门部门负责产品采购; d) 应预先对产品进行选型测试,确定产品候选围,并定时审定和更新候选产品。 1.2.4.4  自行软件开发(G3) 本项要求包含: a) 应确保开发环境与实际运行环境物理分开,开发人员和测试人员分离,测试数据和测试结果受到控制; b) 应制订软件开发管理制度,明确说明开发过程控制方法和人员行为准则; c) 应制订代码编写安全规,要求开发人员参考规编写代码; d) 应确保提供软件设计相关文档和使用指南,并由专员负责保管; e) 应确保对程序资源库修改、更新、公布进行授权和同意。 1.2.4.5  外包软件开发(G3) 本项要求包含: a) 应依照开发需求检测软件质量; b) 应在软件安装之前检测软件包中可能存在恶意代码; c) 应要求开发单位提供软件设计相关文档和使用指南; d) 应要求开发单位提供软件源代码,并审查软件中可能存在后门。 1.2.4.6  工程实施(G3) 本项要求包含: a) 应指定或授权专门部门或人员负责工程实施过程管理; b) 应制订详细工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程过程; c) 应制订工程实施方面管理制度,明确说明实施过程控制方法和人员行为准则。 1.2.4.7  测试验收(G3) 本项要求包含: a) 应委托公正第三方测试单位对系统进行安全性测试,并出具安全性测试汇报; b) 在测试验收前应依照设计方案或协议要求等制订测试验收方案,在测试验收过程中应详细统计测试验收结果,并形成测试验收汇报; c) 应对系统测试验收控制方法和人员行为准则进行书面要求; d) 应指定或授权专门部门负责系统测试验收管理,并按照管理要求要求完成系统测试验收工作; e) 应组织相关部门和相关人员对系统测试验收汇报进行审定,并签字确认。 1.2.4.8  系统交付(G3) 本项要求包含: a) 应制订详细系统交付清单,并依照交付清单对所交接设备、软件和文档等进行清点; b) 应对负责系统运行维护技术人员进行对应技能培训; c) 应确保提供系统建设过程中文档和指导用户进行系统运行维护文档; d) 应对系统交付控制方法和人员行为准则进行书面要求; e) 应指定或授权专门部门负责系统交付管理工作,并按照管理要求要求完成系统交付工作。 等级保护安全集成服务,为用户提供安全产品供货、安全系统集成(工程实施、测试验收、系统交付)等服务。 安全管理咨询服务,帮助用户指定软件开发和外包管理制度。 1.2.4.9  系统立案(G3) 本项要求包含: a) 应指定专门部门或人员负责管理系统定级相关材料,并控制这些材料使用; b) 应将系统等级及相关材料报系统主管部门立案; c) 应将系统等级及其余要求立案材料报对应公安机关立案。 1.2.4.10  等级测评(G3) 本项要求包含: a) 在系统运行过程中,应最少每年对系统进行一次等级测评,发觉不符合对应等级保护标准要求及时整改; b) 应在系统发生变更时及时对系统进行等级测评,发觉级别发生改变及时调整级别并进行安全改造,发觉不符合对应等级保护标准要求及时整改; c) 应选择具备国家相关技术资质和安全资质测评单位进行等级测评; d) 应指定或授权专门部门或人员负责等级测评管理。 等级保护测评支持服务,包含立案材料准备、等级测评技术支撑等服务。 1.2.4.11  安全服务商选择(G3) 本项要求包含: a) 应确保安全服务商选择符合国家关于要求; b) 应与选定安全服务商订立与安全相关协议,明确约定相关责任; c) 应确保选定安全服务商提供技术培训和服务承诺,必要与其订立服务协议。 1.2.5  系统运维管理 1.2.5.1  环境管理(G3) 本项要求包含: a) 应指定专门部门或人员定时对机房供配电、空调、温湿度控制等设施进行维护管理; b) 应指定部门负责机房安全,并配置机房安全管理人员,对机房出入、服务器开机或关机等工作进行管理; c) 应建立机房安全管理制度,对关于机房物理访问,物品带进、带出机房和机房环境安全等方面管理作出要求; d) 应加强对办公环境性管理,规办公环境人员行为,包含工作人员调离办公室应立刻交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息纸档文件等。 1.2.5.2  资产管理(G3) 本项要求包含: a) 应编制并保留与信息系统相关资产清单,包含资产责任部门、主要程度和所处位置等容; b) 应建立资产安全管理制度,要求信息系统资产管理责任人员或责任部门,并规资产管理和使用行为; c) 应依照资产主要程度对资产进行标识管理,依照资产价值选择对应管理方法; d) 应对信息分类与标识方法作出要求,并对信息使用、传输和存放等进行规化管理。 1.2.5.3  介质管理(G3) 本项要求包含: a) 应建立介质安全管理制度,对介质存放环境、使用、维护和销毁等方面作出要求; b) 应确保介质存放在安全环境中,对各类介质进行控制和保护,并实施存放环境专员管理; c) 应对介质在物理传输过程中人员选择、打包、交付等情况进行控制,对介质归档和查询等进行登记统计,并依照存档介质目录清单定时盘点; d) 应对存放介质使用过程、送出维修以及销毁等进行严格管理,对带出工作环境存放介质进行容加密和监控管理,对送出维修或销毁介质应首先去除介质中敏感数据,对性较高存放介质未经同意不得自行销毁; e) 应依照数据备份需要对一些介质实施异地存放,存放地环境要求和管理方法应与当地相同; f) 应对主要介质中数据和软件采取加密存放,并依照所承载数据和软件主要程度对介质进行分类和标识管理。 1.2.5.4  设备管理(G3) 本项要求包含: a) 应对信息系统相关各种设备(包含备份和冗余设备)、线路等指定专门部门或人员定时进行维护管理; b) 应建立基于申报、审批和专员负责设备安全管理制度,对信息系统各种软硬件设备选型、采购、发放和领用等过程进行规化管理; c) 应建立配套设施、软硬件维护方面管理制度,对其维护进行有效管理,包含明确维护人员责任、涉外维修和服务审批、维修过程监督控制等; d) 应对终端计算机、工作站、便携机、系统和网络等设备操作和使用进行规化管理,按操作规程实现主要设备(包含备份和冗余设备)开启/停顿、加电/断电等操作; e) 应确保信息处理设备必须经过审批才能带离机房或办公地点。 安全管理咨询服务,帮助用户制订并落实怎样对环境、资产、介质、设备进行安全管理制度。 1.2.5.5  监控管理和安全管理中心(G3) 本项要求包含: a) 应对通信线路、主机、网络设备和应用软件运行情况、网络流量、用户行为等进行监测和报警,形成统计并妥善保留; 网络管理系统,应用监控系统,安全管理系统。 b) 应组织相关人员定时对监测和报警统计进行分析、评审,发觉可疑行为,形成份析汇报,并采取必要应对方法; 安全巡检服务。 c) 应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。 安全设备与策略管理系统,网络防病毒管理中心,终端安全管理系统补丁管理模块,安全信息管理系统。 1.2.5.6  网络安全管理(G3) 本项要求包含: a) 应指定专员对网络进行管理,负责运行日志、网络监控统计日常维护和报警信息分析和处理工作; 日常安全运维服务。 b) 应建立网络安全管理制度,对网络安全配置、日志保留时间、安全策略、升级与打补丁、口令更新周期等方面作出要求; 安全管理咨询服务,帮助用户制订并落实网络安全管理制度。 c) 应依照厂家提供软件升级版本对网络设备进行更新,并在更新前对现有主要文件进行备份; 日常安全运维服务。 d) 应定时对网络系统进行漏洞扫描,对发觉网络系统安全漏洞进行及时修补; 网络安全评定和加固服务。可购置专业漏洞扫描设备。 e) 应实现设备最小服务配置,并对配置文件进行定时离线备份; 日常安全运维服务。 f) 应确保全部与外部系统连接均得到授权和同意; g) 应依据安全策略允许或者拒绝便携式和移动式设备网络接入; h) 应定时检验违反要求拨号上网或其余违反网络安全策略行为。 采取终端安全管理系统提供网络准入控制功效(防火墙联动、802.1X准入)和非法外联监控功效。 1.2.5.7  系统安全管理(G3) 本项要求包含: a) 应依照业务需求和系统安全分析确定系统访问控制策略; 系统安全评定和加固服务。 b) 应定时进行漏洞扫描,对发觉系统安全漏洞及时进行修补; 系统安全评定和加固服务。可购置专业漏洞扫描设备。 c) 应安装系统最新补丁程序,在安装系统补丁前,首先在测试环境中测试经过,并对主要文件进行备份后,方可实施系统补丁程序安装; 终端安全管理系统补丁管理功效模块。 d) 应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出详细要求; e) 应指定专员对系统进行管理,划分系统管理员角色,明确各个角色权限、责任和风险,权限设定应该遵照最小授权标准; 安全管理咨询服务,帮助
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员


开通VIP      成为共赢上传

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服