摘要:
安全物理环境 控制点 9.电力供应 为防止电力中断或电流变化产生的损害,需要采用铺设冗余或并行的电力电缆线路、安装稳压装置、防过载装置和备用供电装置等有效措施,保证机房内设备、存储介质和线缆的安全。 a) 安全要求:应在机房供电线路上配置稳压器和过电压防护设备。 要求解读:机房供电线路上需要安装电流 阅读全文
摘要:
安全物理环境 控制点 10.电磁防护 为防止电磁辐射和干扰产生的损害,需要采取电源线和通信线缆隔离铺设、安装电磁屏蔽装置等有效措施,保证机房内设备、存储介质和线缆的安全。 a) 安全要求:应电源线和通信线缆应隔离铺设,避免互相干扰。 要求解读:机房内电源线和通信线缆需要隔离铺设在不同的管道或桥架内, 阅读全文
摘要:
安全物理环境 控制点 8.温湿度控制 为防止温湿度变化产生的损害,需要安装温、湿度自动调节装置,保证机房内设备、存储介质和线缆的安全。 安全要求:应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 要求解读:机房内需要安装温、湿度自动调节装置,如空调、除湿机、通风机等,使机 阅读全文
摘要:
安全物理环境 控制点 6.防水和防潮 为防止渗水、漏水、水蒸气结露等产生的损害,需要对机房采取防渗漏、防积水、安装水敏感检测报警系统等有效措施,保证机房内设备、存储介质和线缆的安全。 a) 安全要求:应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 要求解读:机房内需要采取防渗漏措施,防止窗户、屋顶 阅读全文
摘要:
安全物理环境 控制点 7.防静电 为防止静电产生的损害,需要对机房采取安装防静电地板、配置防静电装置等有效措施,保证机房内设备、存储介质和线缆的安全。 a) 安全要求:应采用防静电地板或地面并采用必要的接地防静电措施。 要求解读:机房机房内需要安装防静电地板或在地面采取必要的接地措施,防止静电的产生 阅读全文
摘要:
安全物理环境 控制点 4.防雷击 为防止雷击产生的损害,需要对机房所在建筑物及其房内设施和设备采取接地、安装防雷装置等有效措施,保证机房的设备、存储介质和线缆的安全。 a) 安全要求:应将各类机柜、设施和设备等通过接地系统安全接地。 要求解读:在机房内对机柜、各类设施和设备采取接地措施,防止雷击对电 阅读全文
摘要:
安全物理环境 控制点 5.防火 为防止火灾产生的损害,需要机房使用防火建筑材料,进行合理分区,并采取安装自动消防系统等有效措施,保证机房的设备,存储介质和线缆的安全。 a) 安全要求:机房应设置火灾自动消防系统,能够自动检测火情、自动报警、并自动灭火。 要求解读:机房内需要设置火灾自动消防系统,可在 阅读全文
摘要:
安全物理环境 控制点 3.防盗窃和防破坏 为防止盗窃、故意破坏等行为,需要对机房采取设备固定、安装防盗报警系统等有效措施,保证机房内设备、存储介质和线缆的安全。 a) 安全要求:应将设备或主要部件进行固定,并设置明显的不易除去的标志。 要求解读:对于安放在机房内用于保障系统正常运行的设备或主要部件需 阅读全文
摘要:
安全物理环境 控制点 2.物理访问控制 为防止非授权人员擅自进入机房,需要安装电子门禁系统控制人员进出机房的行为,保证机房内设备、存储,介质和线缆的安全。 安全要求:机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。 要求解读:为防止非授权人员进入机房,需要安装电子门禁系统,对机房及机房内区 阅读全文
摘要:
安全物理环境 等级保护对象是由计算机或其他终端及相关设备组成的按照一定的规则和程序对信息收集、存储、传输、交换、处理的系统。保障等级保护对象中设备的物理安全,包括防止设备被破坏,被盗用,保障物理环境的条件,确保设备正常运行,减少技术故障等等,是所有安全的基础。通常等级保护对象的相关设备均集中存放在机 阅读全文
摘要:
运维工作在等级保护对象生命周期中持续时间最长,直接关系到系统能否安全、稳定的运行。对于委托外部服务商执行运维工作的单位,要严格管控外包运维服务商的选择,在服务协议中明确指出对服务商的能力要求、工作范围要求和工作内容等要求。 10.14.1应确保外包运维服务商的选择符合国家的有关规定。 外包服务商应满 阅读全文
摘要:
在等级保护对象的运行过程中会出现很多安全事件,需要针对所有安全事件进行分类分级,并对不同类型不同级别的安全事件制定对应的响应流程,使得安全事件能够得到及时有效的处置,确保等级保护对象安全、稳定的运行。 10.12.1 应及时向安全管理部门报告所发现的安全弱点和可疑事件。 如发现系统有潜在的弱点和可疑 阅读全文
摘要:
为有效处理等级保护对象运行过程中可能发生的重大安全事件,需要在统一框架下制定针对不同安全事件的应急预案,就应急预案内容向涉及的人员开展培训、演练,并根据等级保护对象的变化情况和安全策略的调整结果开展应急预案的评估、修订与完善。 10.13.1 应规定统一的应急预案框架,包括启动预案的条件、应急组织构 阅读全文
摘要:
数据备份是保障等级保护对象在发生数据丢失或被破坏时得以恢复业务正常运行的重要措施。对于等级保护对象的重要业务信息、系统数据、配置信息、软件程序等需要制定明确的数据备份策略,定期开展备份操作,并针对备份文件的有效性进行恢复性测试和验证。 10.11.1 应识别需要定期备份的重要业务信息、系统数据及软件 阅读全文
摘要:
等级保护对象在运行过程中会面临各种各样的变更操作。如果变更过程缺乏管理和控制,会给等级保护对象带来重大的安全风险。因此,需要对变更操作实施全程管控,做到各项变更内容有章可循有案可查,遇到问题有路可退,确保变更操作不给系统造成安全风险。 10.10.1 应明确变更需求,变更前根据变更需求制定变更方案, 阅读全文
摘要:
密码技术是保证信息保密性和完整性的重要技术,为保证密码技术使用过程的安全,在遵循相关的国家标准和行业标准基础上,对于涉及到的产品、设备和密码需要加强管理。 10.9.1 应遵循密码相关的国家标准和行业标准。 密码生产需要授权许可,密码产品需要符合国家和行业的相关标准。 【测评方法】 1)访谈安全管理 阅读全文
摘要:
恶意代码对等级保护对象的危害极大,并且传播途径和方式众多,对恶意代码的防范比较困难,因此,不仅需要通过安装专用工具进行恶意代码防范,还需要加强宣贯,提高用户恶意代码防范意识,建立完善的恶意代码防范管理制度并进行有效的落实。 10.7.1 应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统 阅读全文
摘要:
等级保护对象配置数据的准确性,关系到系统能否正常、稳定、安全地运行。 对于系统配置信息需要进行记录和保存,对于配置信息的变更要进行严格的管控。 10.8.1 应记录和保存基本配置信息,包括网络拓扑结构〈各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等 系统配置信息的准 阅读全文
摘要:
漏洞和隐患会给等级保护对象造成安全风险,需要采取必要的措施进行识别和评估,针对发现的漏洞和隐患需要及时修补,确保等级保护对象安全、稳定地运行。 10.5.1 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。 安全漏洞和隐患是引起安全问题的主要根源,采 阅读全文
摘要:
网络和系统的安全状况直接关系到等级保护对象能否正常运行。对于网络和系统安全的管理涉及到安全策略管理、操作账户管理、角色权限管理、配置参数管理、升级变更管理、日常操作管理、设备接入管理、运维日志管理等多个方面。 10.6.1 应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限。 阅读全文