11 2021 档案
摘要:安全物理环境 控制点 9.电力供应 为防止电力中断或电流变化产生的损害,需要采用铺设冗余或并行的电力电缆线路、安装稳压装置、防过载装置和备用供电装置等有效措施,保证机房内设备、存储介质和线缆的安全。 a) 安全要求:应在机房供电线路上配置稳压器和过电压防护设备。 要求解读:机房供电线路上需要安装电流
阅读全文
摘要:安全物理环境 控制点 10.电磁防护 为防止电磁辐射和干扰产生的损害,需要采取电源线和通信线缆隔离铺设、安装电磁屏蔽装置等有效措施,保证机房内设备、存储介质和线缆的安全。 a) 安全要求:应电源线和通信线缆应隔离铺设,避免互相干扰。 要求解读:机房内电源线和通信线缆需要隔离铺设在不同的管道或桥架内,
阅读全文
摘要:安全物理环境 控制点 8.温湿度控制 为防止温湿度变化产生的损害,需要安装温、湿度自动调节装置,保证机房内设备、存储介质和线缆的安全。 安全要求:应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 要求解读:机房内需要安装温、湿度自动调节装置,如空调、除湿机、通风机等,使机
阅读全文
摘要:安全物理环境 控制点 6.防水和防潮 为防止渗水、漏水、水蒸气结露等产生的损害,需要对机房采取防渗漏、防积水、安装水敏感检测报警系统等有效措施,保证机房内设备、存储介质和线缆的安全。 a) 安全要求:应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 要求解读:机房内需要采取防渗漏措施,防止窗户、屋顶
阅读全文
摘要:安全物理环境 控制点 7.防静电 为防止静电产生的损害,需要对机房采取安装防静电地板、配置防静电装置等有效措施,保证机房内设备、存储介质和线缆的安全。 a) 安全要求:应采用防静电地板或地面并采用必要的接地防静电措施。 要求解读:机房机房内需要安装防静电地板或在地面采取必要的接地措施,防止静电的产生
阅读全文
摘要:安全物理环境 控制点 4.防雷击 为防止雷击产生的损害,需要对机房所在建筑物及其房内设施和设备采取接地、安装防雷装置等有效措施,保证机房的设备、存储介质和线缆的安全。 a) 安全要求:应将各类机柜、设施和设备等通过接地系统安全接地。 要求解读:在机房内对机柜、各类设施和设备采取接地措施,防止雷击对电
阅读全文
摘要:安全物理环境 控制点 5.防火 为防止火灾产生的损害,需要机房使用防火建筑材料,进行合理分区,并采取安装自动消防系统等有效措施,保证机房的设备,存储介质和线缆的安全。 a) 安全要求:机房应设置火灾自动消防系统,能够自动检测火情、自动报警、并自动灭火。 要求解读:机房内需要设置火灾自动消防系统,可在
阅读全文
摘要:安全物理环境 控制点 3.防盗窃和防破坏 为防止盗窃、故意破坏等行为,需要对机房采取设备固定、安装防盗报警系统等有效措施,保证机房内设备、存储介质和线缆的安全。 a) 安全要求:应将设备或主要部件进行固定,并设置明显的不易除去的标志。 要求解读:对于安放在机房内用于保障系统正常运行的设备或主要部件需
阅读全文
摘要:安全物理环境 控制点 2.物理访问控制 为防止非授权人员擅自进入机房,需要安装电子门禁系统控制人员进出机房的行为,保证机房内设备、存储,介质和线缆的安全。 安全要求:机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。 要求解读:为防止非授权人员进入机房,需要安装电子门禁系统,对机房及机房内区
阅读全文
摘要:安全物理环境 等级保护对象是由计算机或其他终端及相关设备组成的按照一定的规则和程序对信息收集、存储、传输、交换、处理的系统。保障等级保护对象中设备的物理安全,包括防止设备被破坏,被盗用,保障物理环境的条件,确保设备正常运行,减少技术故障等等,是所有安全的基础。通常等级保护对象的相关设备均集中存放在机
阅读全文
摘要:在等级保护对象的运行过程中会出现很多安全事件,需要针对所有安全事件进行分类分级,并对不同类型不同级别的安全事件制定对应的响应流程,使得安全事件能够得到及时有效的处置,确保等级保护对象安全、稳定的运行。 10.12.1 应及时向安全管理部门报告所发现的安全弱点和可疑事件。 如发现系统有潜在的弱点和可疑
阅读全文
摘要:为有效处理等级保护对象运行过程中可能发生的重大安全事件,需要在统一框架下制定针对不同安全事件的应急预案,就应急预案内容向涉及的人员开展培训、演练,并根据等级保护对象的变化情况和安全策略的调整结果开展应急预案的评估、修订与完善。 10.13.1 应规定统一的应急预案框架,包括启动预案的条件、应急组织构
阅读全文
摘要:运维工作在等级保护对象生命周期中持续时间最长,直接关系到系统能否安全、稳定的运行。对于委托外部服务商执行运维工作的单位,要严格管控外包运维服务商的选择,在服务协议中明确指出对服务商的能力要求、工作范围要求和工作内容等要求。 10.14.1应确保外包运维服务商的选择符合国家的有关规定。 外包服务商应满
阅读全文
摘要:数据备份是保障等级保护对象在发生数据丢失或被破坏时得以恢复业务正常运行的重要措施。对于等级保护对象的重要业务信息、系统数据、配置信息、软件程序等需要制定明确的数据备份策略,定期开展备份操作,并针对备份文件的有效性进行恢复性测试和验证。 10.11.1 应识别需要定期备份的重要业务信息、系统数据及软件
阅读全文
摘要:等级保护对象在运行过程中会面临各种各样的变更操作。如果变更过程缺乏管理和控制,会给等级保护对象带来重大的安全风险。因此,需要对变更操作实施全程管控,做到各项变更内容有章可循有案可查,遇到问题有路可退,确保变更操作不给系统造成安全风险。 10.10.1 应明确变更需求,变更前根据变更需求制定变更方案,
阅读全文
摘要:密码技术是保证信息保密性和完整性的重要技术,为保证密码技术使用过程的安全,在遵循相关的国家标准和行业标准基础上,对于涉及到的产品、设备和密码需要加强管理。 10.9.1 应遵循密码相关的国家标准和行业标准。 密码生产需要授权许可,密码产品需要符合国家和行业的相关标准。 【测评方法】 1)访谈安全管理
阅读全文
摘要:恶意代码对等级保护对象的危害极大,并且传播途径和方式众多,对恶意代码的防范比较困难,因此,不仅需要通过安装专用工具进行恶意代码防范,还需要加强宣贯,提高用户恶意代码防范意识,建立完善的恶意代码防范管理制度并进行有效的落实。 10.7.1 应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统
阅读全文
摘要:等级保护对象配置数据的准确性,关系到系统能否正常、稳定、安全地运行。 对于系统配置信息需要进行记录和保存,对于配置信息的变更要进行严格的管控。 10.8.1 应记录和保存基本配置信息,包括网络拓扑结构〈各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等 系统配置信息的准
阅读全文
摘要:漏洞和隐患会给等级保护对象造成安全风险,需要采取必要的措施进行识别和评估,针对发现的漏洞和隐患需要及时修补,确保等级保护对象安全、稳定地运行。 10.5.1 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。 安全漏洞和隐患是引起安全问题的主要根源,采
阅读全文
摘要:网络和系统的安全状况直接关系到等级保护对象能否正常运行。对于网络和系统安全的管理涉及到安全策略管理、操作账户管理、角色权限管理、配置参数管理、升级变更管理、日常操作管理、设备接入管理、运维日志管理等多个方面。 10.6.1 应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限。
阅读全文
摘要:等级保护对象所使用的硬件设备包括网络设备、安全设备、服务器设备、存储设备和存储介质,以及供电和通信用线缆等。系统的正常运行依赖于对这些设备的正确使用和维护。为保证这些设备的正常运行,操作人员必须严格按照操作规程进行使用和维护,并认真做好使用和维护记录。 10.4.1 应对各种设备(包括备份和冗余设备
阅读全文
摘要:等级保护对象的资产包括各种硬件设备(如网络设备、安全设备、服务器设备、操作终端、存储设备和存储介质,以及供电和通信用线缆等)、各种软件(如操作系统、数据库管理系统、应用系统等)各种数据(如配置数据、业务数据、备份数据等)和各种文件等。由于等级保护对象资产种类较多,必须对所有资产实施有效的管理,确保资
阅读全文
摘要:数据存储介质主要包括磁带、磁盘、光盘、(从设备内拆卸出的)硬盘、移动硬盘、U盘、纸介质等。由于存储介质是用来存放系统相关数据的,如果不能妥善保存和管理,可能会造成数据的丢失与损坏。因此,要加强介质管理,对于介质的存放、使用传输、维护、销毁等操作进行严格控制。 10.3.1 应将介质存放在安全的环境中
阅读全文
摘要:环境管理包括对各机房和办公环境的管理。一般来说,等级保护对象所使用的硬件设备,如网络设备、安全设备、服务器设备存储设备和存储介质,以及供电和通信用线缆等,都放置在机房,因此要确保机房运行环境的良好和安全。同时,工作人员办公时可能涉及到一些敏感信息或关键数据,所以还应对办公环境安全进行严格管理利控制。
阅读全文
摘要:一般情况下,一套全面的安全管理制度体系最常见的为四层架构,即由网络安全工作的总体方针策略、各种安全管操作规程和安全配置规范、各类记录表单构成。 一级文件: 安全策略:阐明使命和意愿,明确安全总体目标,范围、原则和安全框架等,建立工作运行模式等。 二级文件: 管理制度:对信息系统的建设、开发、运维升级
阅读全文
摘要:等保2.0讲的“一个中心三重防护”,就是针对安全管理中心和计算环境安全、区域边界安全、通信网络安全的安全合规进行方案设计,建立以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心的信息安全整体保障体系。 在2019中国网络安全等级保护和关键信息基础设施保护大会上,公安部网络
阅读全文
摘要:What?—什么是等级保护测评 网络安全等级保护是指对网络(含信息系统、数据)实施分等级保护、分等级监管、对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。基于历史客观原因,信息安全等级保护制度、网络安全等级保护度,及网络、信息系统,虽然称谓不同,但本质是一致的。“网
阅读全文
摘要:网络安全的核心目标是为关键资产提供机密性(Confidentiality)、可用性(Availablity)、完整性(Integrity)。作为安全基础架构中的主要的安全目标和宗旨,机密性、可用性、完整性频频出现,被简称为CIA,也被成为你AIC,只是顺序不同而已。 安全控制评估通常用来评价这三个核
阅读全文