《电力行业的信息系统安全等级保护基本要求》由会员分享,可在线阅读,更多相关《电力行业的信息系统安全等级保护基本要求(99页珍藏版)》请在金锄头文库上搜索。
1、DL电力行业网络与信息安全领导小组办公室201-实施201-发布电力行业信息系统安全等级保护根本要求Baseline for classified protection of power industry information system征求意见稿ICS DL/T 中华人民某某国电力行业标准目 次前言V引言VI第一局部通用要求11 适用X围12 规X性参考文件13 术语和定义14 信息系统安全等级保护概述14.1 信息系统安全保护等级14.2 不同等级的安全保护能力14.3 总体要求、根本技术要求和根本管理要求24.4 根本技术要求的三种类型2第二局部:管理信息系统类要求45 总体要求45
2、.1 总体技术要求45.2 总体管理要求46 第一级根本要求56.1 技术要求5556676.2 管理要求7777897 第二级根本要求107.1 技术要求1010111314157.2 管理要求1515161617198 第三级根本要求218.1 技术要求2222232527298.2 管理要求292930313235第三局部:生产控制信息系统类要求409 总体要求409.1 总体技术要求409.2 总体管理要求4010 第一级根本要求4110.1 技术要求41414142424210.2 管理要求42424343444511 第二级根本要求4611.1 技术要求46464748495011
3、.2 管理要求51515152525412 第三级根本要求5612.1 技术要求56565860616312.2 管理要求63636465666813 第四级根本要求7113.1 技术要求71727375767813.2 管理要求787879808184附录A关于信息系统整体安全保护能力的要求88附录B 根本安全要求的选择和使用90参考文献92前 言本标准的附录A和附录B是规X性附录。本标准由国家电力监管委员会提出。引 言依据国家信息安全等级保护管理规定和电力行业有关要求制定本标准。本标准是电力行业信息安全等级保护相关系列规X性文件之一。与本标准相关的系列标准包括:电力行业信息系统安全等级保护
4、定级工作指导意见电监信息200744 号。本标准与GB17859-1999、GB/T 222392008等标准共同构成了电力行业信息系统安全等级保护的相关配套标准。其中GB17859-1999 、GB/T 222392008是根底性标准,本标准是在GB17859-1999和GB/T 222392008根底上,根据电力行业信息系统和信息安全防护特点与要求,对GB/T 222392008的进一步细化和扩展。本标准在GB17859-1999、GB/T 222392008等技术类标准的根底上,根据电力行业现有技术的开展水平和安全防护要求,分管理信息系统类和生产控制信息系统累,分别提出和规定了不同安全保
5、护等级信息系统的最低保护要求,即根本安全要求,根本安全要求包括总体要求、根本技术要求和根本管理要求,本标准适用于指导不同安全保护等级信息系统的安全建设和监视管理。在本标准文本中,黑体字表示较低等级中没有出现或增强的要求。为便于和GB/T 222392008比照,分别用“新增、“细化、“增强和“落实来标识本标准的该条目和GB/T 222392008中相关条目的差异,未标识如此是等同采用。电力行业信息系统安全等级保护根本要求第一局部 通用要求1 适用X围本规X规定了电力行业管理类信息系统和生产控制类信息系统不同安全等级的信息系统等级保护要求,包括安全技术指标和安全管理指标,用于指导电力行业各单位信
6、息系统的安全等级保护建设工作。其中,通用要求局部同时适用于管理类信息系统和生产控制类信息系统,管理信息系统类根本要求适用于管理类信息系统的安全等级保护建设工作,生产控制信息系统类根本要求适用于生产控制类信息系统的安全等级保护建设工作。2 规X性参考文件信息安全等级保护管理方法公通字200743号GB 17859-1999计算机信息系统安全保护等级保护划分准如此GB/T 22239-2008信息安全技术 信息系统安全等级保护根本要求电力二次系统安全防护规定(电监会5)电力行业网络与信息安全监视管理暂行规定电监信息200750号电力行业信息系统安全等级保护定级工作指导意见电监信息200744 号3
7、 术语和定义GB/T 5271.8和GB 17859-1999确立的以与如下术语和定义适用于本标准。安全保护能力 security protection ability 系统能够抵御威胁、发现安全事件以与在系统遭到损害后能够恢复先前状态等的程度。4 信息系统安全等级保护概述4.1 信息系统安全保护等级信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以与公民、法人和其他组织的合法权益的危害程度等,由低到高划分为五级。4.2 不同等级的安全保护能力不同等级的信息系统应具备的根本安全保护能力如下:第一级安全保护能力:应能够防护系统免受来自个人的、拥有
8、很少资源的威胁源发起的恶意攻击、一般的自然灾难、以与其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复局部功能。第二级安全保护能力:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以与其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复局部功能。第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以与其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后
9、,能够较快恢复绝大局部功能。第四级安全保护能力:应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以与其他相当危害程度的威胁所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。第五级安全保护能力:略。4.3 总体要求、根本技术要求和根本管理要求信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的根本安全保护能力,不同安全保护等级的信息系统要求具有不同的安全保护能力。根本安全要求是针对不同安全保护等级信息系统应该具有的根本安全保护能力提出的安全要求,根据实现方式的不同,根本安全
10、要求分为总体要求、根本技术要求和根本管理要求三大类。总体要求与各个单位的总体安全策略相关,主要通过落实总体安全策略直接导出的、所有信息系统必须遵从的总体安全防护要求来表现;技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规X、流程以与记录等方面做出规定来实现。总体要求概括了电力行业信息安全防护策略的根本要求;根本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;根本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建
11、设管理和系统运维管理几个方面提出,总体要求、根本技术要求和根本管理要求是确保信息系统安全不可分割的三个局部。根本安全要求从各个层面或方面提出了系统的每个组件应该满足的安全要求,信息系统具有的整体安全保护能力通过不同组件实现根本安全要求来保证。除了保证系统的每个组件满足根本安全要求外,还要考虑组件之间的相互关系,来保证信息系统的整体安全保护能力。关于信息系统整体安全保护能力的说明见附录A。对于涉与国家的信息系统,应按照国家某某工作部门的相关规定和标准进展保护。对于涉与密码的使用和管理,应按照国家密码管理的相关规定和标准实施。4.4 根本技术要求的三种类型根据保护侧重点的不同,技术类安全要求进一步
12、细分为:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求简记为S;保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求简记为A;通用安全保护类要求简记为G。本规X中对根本安全要求使用了标记,其中的字母表示安全要求的类型,数字表示适用的安全保护等级。关于各类安全要求的选择和使用见附录B。第二局部:管理信息系统类要求5 总体要求5.1 总体技术要求a) 管理信息大区网络与生产控制大区网络应物理隔离;两网之间有信息通信交换时应部署符合电力系统要求的单向隔离装置;新增b) 管理信息大区网络可进一步划分为内部网络和外部网络,两网之间有信息通
13、信交换时防护强度应强于逻辑隔离;新增c) 具有层次网络结构的单位可统一提供互联网出口;新增d) 二级系统统一成域,三级系统单独成域;新增e) 三级系统域由独立子网承载,每个域有唯一网络出口,可在网络出口处部署三级等级保护专用装置为系统提供整体安全防护。新增5.2 总体管理要求a) 如果本单位管理信息大区仅有一级信息系统时,通用管理要求等同采用一级;新增b) 如果本单位管理信息大区含有二级与以下等级信息系统时,通用管理要求等同采用二级;新增c) 如果本单位管理信息大区含有三级与以下等级信息系统时,通用管理要求等同采用三级。新增6 第一级根本要求6.1 技术要求6.1.1 物理安全6.1.1.1
14、物理访问控制G1机房出入应安排专人负责,控制、鉴别和记录进入的人员。6.1.1.2 防盗窃和防破坏G1本项要求包括:a) 应将主要设备放置在机房内;b) 应将设备或主要部件进展固定,并设置明显的不易除去的标记。6.1.1.3 防雷击G1机房建筑应设置避雷装置。6.1.1.4 防火G1机房应设置灭火设备。6.1.1.5 防水和防潮G1本项要求包括:a) 应对穿过机房墙壁和楼板的水管增加必要的保护措施;b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。6.1.1.6 温湿度控制G1机房应设置必要的温、湿度控制设施,使机房温、湿度的变化在设备运行所允许的X围之内。6.1.1.7 电力供给A1应在机房供电线路上配置稳压器和过电压防护设备。6.1.2 网络安全6.1.2.1 结构安全G1本项要求包括:a) 应保证关键网络设备的业务处理能力满足根本业务需要;b) 应保证接入网络和核心网络的带宽满足根本业务需要;
