收藏
下载资源

电力行业信息系统安全等级保护基本要求(三级)

上传人:工**** 文档编号:489524003 上传时间:2023-04-18 格式:DOCX 页数:31 大小:44.82KB
返回 下载 相关 举报
电力行业信息系统安全等级保护基本要求(三级)_第1页
第1页 / 共31页
电力行业信息系统安全等级保护基本要求(三级)_第2页
第2页 / 共31页
电力行业信息系统安全等级保护基本要求(三级)_第3页
第3页 / 共31页
电力行业信息系统安全等级保护基本要求(三级)_第4页
第4页 / 共31页
电力行业信息系统安全等级保护基本要求(三级)_第5页
第5页 / 共31页
点击查看更多>>
资源描述

《电力行业信息系统安全等级保护基本要求(三级)》由会员分享,可在线阅读,更多相关《电力行业信息系统安全等级保护基本要求(三级)(31页珍藏版)》请在金锄头文库上搜索。

1、电力行业信息系统安全等级保护基本要求(三级)1 第三级基本要求11.1 技术要求11.1.1 物理安全11.1.1.1物理位置的选择(G3) 11.1.1.2物理访问操纵(G3) 11.1.1.3防盗窃与防破坏(G3) 11.1.1.4 防雷击(G3) 21.1.1.5 防火(G3) 21.1.1.6防水与防潮(G3) 21.1.1.7 防静电(G3) 21.1.1.8温湿度操纵(G3) 31.1.1.9 电力供应(A3) 31.1.1.10 电磁防护(S3) 31.1.2 网络安全31.1.2.1 结构安全(G3) 31.1.2.2 访问操纵(G3) 41.1.2.3 安全审计(G3) 41

2、.1.2.4边界完整性检查(S3) 51.1.2.5 入侵防范(G3) 51.1.2.6恶意代码防范(G3) 51.1.2.7网络设备防护(G3) 61.1.3 主机安全61.1.3.1 身份鉴别(S3) 61.1.3.2 访问操纵(S3) .71.1.3.3 安全审计(G3) 71.1.3.4剩余信息保护(S3) 81.1.3.5 入侵防范(G3) 81.1.3.6恶意代码防范(G3) 81.1.3.7 资源操纵(A3) 91.1.4 应用安全91.1.4.1 身份鉴别(S3) 91.1.4.2 访问操纵(S3) 101.1.4.3 安全审计(G3) 101.1.4.4剩余信息保护(S3)

3、101.1.4.5通信完整性(S3) 111.1.4.6通信保密性(S3) 111.1.4.7 抗抵赖(G3) 111.1.4.8 软件容错(A3) 111.1.4.9 资源操纵(A3) 111.1.5 数据安全121.1.5.1数据完整性(S3) 121.1.5.2数据保密性(S3) 121.1.5.3备份与恢复(A3) 121.2 管理要求131.2.1 安全管理制度131.2.1.1 管理制度(G3) 131.2.1.2制定与公布(G3) 131.2.1.3评审与修订(G3) 131.2.2 安全管理机构141.2.2.1 岗位设置(G3) 141.2.2.2 人员配备(G3) 141.

4、2.2.3 资金保障(G3) 141.2.2.4授权与审批(G3) 151.2.2.5沟通与合作(G3) 151.2.2.6审核与检查(G3) 151.2.3 人员安全管理161.2.3.1 人员录用(G3) 161.2.3.2 人员离岗(G3) 161.2.3.3 人员考核(G3) 161.2.3.4安全意识教育与培训(G3) 171.2.3.5外部人员访问管理(G3) 171.2.4 系统建设管理171.2.4.1 系统定级(G3) 171.2.4.2安全方案设计(G3) 181.2.4.3产品采购与使用(G3) 181.2.4.4自行软件开发(G3) 181.2.4.5外包软件开发(G3

5、) 191.2.4.6 工程实施(G3) 191.2.4.7 测试验收(G3) 191.2.4.8 系统交付(G3) 201.2.4.9 系统备案(G3) 201.2.4.10 等级测评(G3) 201.2.4.11安全服务商选择(G3) 211.2.5 系统运维管理211.2.5.1 环境管理(G3) 211.2.5.2 资产管理(G3) 211.2.5.3 介质管理(G3) 221.2.5.4 设备管理(G3) 221.2.5.5监控管理与安全管理中心(G3) 231.2.5.6网络安全管理(G3) 231.2.5.7系统安全管理(G3) 241.2.5.8恶意代码防范管理(G3) 241

6、.2.5.9 密码管理(G3) 251.2.5.10 变更管理(G3) 251.2.5.11备份与恢复管理(G3) 251.2.5.12安全事件处置(G3) 261.2.5.13应急预案管理(G3)261 第三级基本要求1.1 技术要求1.1.1 物理安全1111物理位置的选择(G3)本项要求包含:a)机房与办公场地应选择在具有防震、防风与防雨等能力的建筑内;b)机房场地应避免设在建筑物的高层或者地下室,与用水设备的下层或者隔壁,假如不可避免,应采取有效防水措施。(落实)1.1.1.2 物理访问操纵( G3)本项要求包含:a)机房各出入口应安排专人值守或者配置电子门禁系统,操纵、鉴别与记录进入

7、的人员;(增强)b)进入机房的来访人员应通过申请与审批流程,并限制与监控其活动范围;c)应对机房划分区域进行管理,区域与区域之间应用物理方式隔断,在重要区域前设置交付或者安装等过渡区域;(增强)d)重要区域应配置电子门禁系统,操纵、鉴别与记录进入的人员。1.1.1.3 防盗窃与防破坏( G3)本项要求包含:a)应将要紧设备放置在机房内;b)应将设备或者要紧部件进行固定,并设置明显的不易除去的标记;c)应将通信线缆铺设在隐蔽处,可铺设在地下或者管道中;d)应对介质分类标识,存储在介质库或者档案室中;e) 应利用光、电等技术设置机房防盗报警系统;f) 应对机房设置监控报警系统。1114防雷击(G3

8、)本项要求包含:a) 机房建筑应设置避雷装置;b) 应设置防雷保安器,防止感应雷;c) 机房应设置交流电源地线。1.1.1.5 防火( G3)本项要求包含:a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,自动灭火;b) 机房及有关的工作房间与辅助房应使用具有耐火等级的建筑材料;c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。1.1.1.6 防水与防潮( G3)本项要求包含:a) 主机房尽量躲开水源,与主机房无关的给排水管道不得穿过主机房,与主机房 有关的给排水管道务必有可靠的防渗漏措施;(增强)b) 应采取措施防止雨水通过机房窗户、屋顶与墙壁渗透;c) 应采取措施防

9、止机房内水蒸气结露与地下积水的转移与渗透;d) 应安装对水敏感的检测仪表或者元件,对机房进行防水检测与报警。1.1.1.7 防静电( G3)本项要求包含:a) 要紧设备使用必要的接地防静电措施;b) 机房应使用防静电地板。1118温湿度操纵(G3)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所同意的范围之内。1.1.1.9 电力供应( A3)本项要求包含:a)应在机房供电线路上配置稳压器与过电压防护设备;b)应提供短期的备用电力供应,至少满足要紧设备在断电情况下的正常运行要求;c)设置冗余或者并行的电力电缆线路为计算机系统供电,输入电源应使用双路 自动切换供电方式;(增强)d

10、)应建立备用供电系统。1.1.1.10 电磁防护( S3)本项要求包含:a)电源线与通信线缆应隔离铺设,避免互相干扰;b)应使用接地方式防止外界电磁干扰与设备寄生耦合干扰;c)应对关键设备与磁介质实施电磁屏蔽。1.1.2 网络安全1.1.2.1 结构安全( G3)本项要求包含:a)应保证要紧网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;b)应保证网络各个部分的带宽满足业务高峰期需要;c)应在业务终端与业务服务器之间进行路由操纵建立安全的访问路径;d)应绘制完整的网络拓扑结构图,有相应的网络配置表,包含设备 IP 地址等要紧信息,与当前运行情况相符;(增强)e)应根据各部门的工作职能、

11、重要性与所涉及信息的重要程度等因素,划分不 一致的子网或者网段,并按照方便管理与操纵的原则为各子网、网段分配地址段;f)单个系统应单独划分安全域,系统由独立子网承载,每个域的网络出口应唯 一;(新增)g)使用冗余技术设计网络拓扑结构,提供要紧网络设备、通信线路的硬件冗余, 避免关键节点存在单点故障;(增强)h)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥 堵的时候优先保障重要业务服务的带宽。(增强)1122访问操纵(G3)本项要求包含:a)应在网络边界部署访问操纵设备,启用访问操纵功能;b)访问操纵设备应能根据会话状态信息为数据流提供明确的同意 /拒绝访问的 能力,操纵粒

12、度为端口级;(增强)c)应按用户与系统之间的同意访问规则,边界的网络操纵设备决定同意或者拒 绝用户对受控系统进行资源访问,操纵粒度为单个用户。以拨号或者 VPN 等方 式接入网络的,应使用强认证方式,并对用户访问权限进行严格限制;(增强)d)生产操纵大区的拨号访问服务,服务器均应使用经安全加固的达到国家三级 等级保护要求的操作系统,客户端应使用经安全加固的操作系统,并采取加密、 数字证书认证与访问操纵等安全防护措施;(新增)e)应限制具有拨号、VPN等访问权限的用户数量;(增强)f)应该使用严格的接入操纵措施,保证业务系统接入的可信性。通过授权的节 点同意接入电力调度数据网,进行广域网通信;(

13、新增)h)应在会话处于非活跃一定时间或者会话结束后终止网络连接;i)在网络出口与核心网络接口处应限制网络最大流量数及网络连接数;(落实)j)重要网段应采取技术手段防止地址欺骗。1.1.2.3 安全审计( G3)本项要求包含:a)应在生产操纵大区应部署专用审计系统,或者启用设备或者系统审计功能, 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;(增 强)b)审计记录应包含事件的日期与时间、用户、事件类型、事件是否成功及其他 与审计有关的信息;c)应能够根据记录数据进行分析,并生成审计报表,网络设备不支持的应使用 第三方工具生成审计报表;(增强)d)应对审计记录进行保护,避免受

14、到未预期的删除、修改或者覆盖等。1124边界完整性检查(S3)本项要求包含:c)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并 对其进行有效阻断;d)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置, 并对其进行有效阻断。1.1.2.5 入侵防范( G3)本项要求包含:a)应在网络边界处监视下列攻击行为:端口扫描、强力攻击、木马后门攻击、 拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击与网络蠕虫攻击等;b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在 发生严重入侵事件时应提供报警。1.1.2.6 恶意代码防范( G3)本项要求包含:a)应在网络边界处对恶意代码进行检测与清除;b)应保护恶意代码库的升级与检测系统的更新。1127网络设备防护(G3)本项要求包含:a)应对登录网络设备的用户进行身份鉴别;b)应对网络设备的管理员登录地址进行限制;c)网络设备标识应唯一;同一网络设备的用户标识应唯一;禁止多个人员共用 一个账号;(增强)d)身份鉴别信息应不易被冒用,口令复杂度应满足要求并定期更换。应修改默 认用户与口令,不得使用缺省口令,口令长度不得小于 8 位,要求是字母与数字 或者特殊字符的混合并不得与用户名相同,口令应定期更换,并加密存储;

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号