《信息系统安全等级保护基本要求-一级》由会员分享,可在线阅读,更多相关《信息系统安全等级保护基本要求-一级(6页珍藏版)》请在金锄头文库上搜索。
1、文档供参考,可复制、编制,期待您的好评与关注! 基本要求 规定的范围:对象: 不同安全保护等级信息系统内容: 基本 技术要求 管理要求作用: 指导 分等级 信息系统 安全建设 监督管理引用:保护等级:依 重要程度、危害程度、由低到高分5级 见: GB/T 22240-2008不同等级的安全保护能力:共5级基本技术要求和管理要求:信统安全等保 应 让 系统 有它们相应等级的 基本安全保护能力。基本安全要求, 依实现方式, 分 基本技术要求、 基本管理要求。技术要求: 立基于 技术安全机制, 通过 在信统中 部署软硬件,正确配置其安全功能。管理要求: 聚焦于 信统中 各种角色和角色参与的活动。 控
2、制 角色活动、从政策、制度、规范、流程以及记录等方面做出规定来实现。基本技术要求: 从 物理、网络、主机、应用和数据 安全,4个层面提出要求。基本管理要求: 从 安全管理制度、机构、人员、系统建设、运维 几方面提要求。基本安全要求 从 各个层面 方面,提出 系统的每个组件 应该满足的安全要求。整体的安全保护能力 依赖于 其内部各不同组件的安全实现 来满足。基本技术要求的三种类型:技术类安全要求 进一步细分为: 保护数据 在存储、传输、处理过程中不被泄漏、破坏、和免受未授权的修改 的要求 (S 要求)保护系统正常运行、免受对系统未授权 修改、破坏而导致系统不可用的服务保护类要求 (S 要求)通用
3、安全保护类要求 (G要求)第一级 基本要求:技术要求:物理安全:访问控制:防盗窃、破坏:防雷击:防火:防水和防潮:温湿度控制:电力控制:网络安全:结构安全:a. 保证关键网络设备的 业务处理能力 满足基本业务需要b. 保证接入网络和核心网络的 带宽 满足基本业务需要c. 绘制与 当前运行情况 相符的 网络拓扑结构图访问控制:(G1)a. 在网络边界 部署访问控制设备,启用访问控制功能b. 根据访问控制列表 对源地址、目的地址、源端口、目的端口和协议等进行检查,允许/拒绝 数据包出入c. 通过访问控制列表对 系统资源实现允许或拒绝用户访问,控制粒度至少为用户组。网络设备防护:a. 应对登录网络设
4、备的用户进行身份鉴别b. 有 登录失败处理功能,采取结束会话、限制非法登录次数、和当网络登录连接超时自动退出等措施c. 对网络设备进行 远程管理时,采措施 防止信息传输中被窃听主机安全:身份鉴别:(S1)对登录操作系统和数据库系统的用户进行身份标识和鉴别。访问控制:a. 启用访问控制功能,依安全策略控制 用户对资源的访问b. 限制默认帐户的访问权限,重命名系统默认账户,修改这些账户的默认口令c. 及时删除多余的、过期的的账户、避免共享账户的存在入侵防范(G1)操作系统遵循 最小安装原则,仅安装需要组件和应用程序,保持系统补丁及时更新。恶意代码防范(G1)安装防恶意代码软件,及时更新防恶意代码软
5、件版本和代码库应用安全:身份鉴别(S1)a. 提供专用的 登录控制模块对登录用户进行身份标识和鉴别b. 提供登录失败处理功能c. 启用身份鉴别和登录失败处理功能,根据安全策略配置相关参数访问控制a. 应提供访问控制功能控制 用户组/用户 对系统功能和用户数据的访问b. 由授权主体配置 访问控制策略,严格 限制默认用户的 访问权限通信完整性(S1)应采用约定通信会话方式的方法 保证 通信过程中数据的完整性。软件容错(A1)提供数据有效性 检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。数据安全及备份恢复数据完整性(S1)检测重要用户数据在传输过程中完整性受到破坏
6、。备份和恢复(A1)应能够对重要信息进行备份和恢复。管理要求安全管理制度管理制度(G1)建立日常管理活动中常用的安全管理制度制定和发布(G1)a. 指定或授权专门的人员负责安全管理制度的制定b. 将安全管理制度以某种方式发布到相关人员手中。安全管理机构岗位设置(G1)设立系统管理员、网络管理员、安全管理员等岗位,定义各个工作岗位职责。人员配备(G1)应配备一定数量的系统管理员、网络管理员、安全管理员等。授权和审批(G1)根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批。沟通和合作应加强与兄弟单位、公关机关、电信公司的合作与沟通。人
7、员安全管理人员录用a. 指定或授权专门的部门或人员负责人员录用b. 对被录用人员的身份和专业资格等进行审查,并确保其具有基本的专业技术水平和安全管理知识。人员离岗a. 立即终止由于各种原因离岗员工的所有访问权限b. 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。安全意识教育和培训(G1)a. 应对各类人员进行安全意识教育和岗位技能培训b. 应告知人员相关的安全责任和惩戒措施外部人员访问管理(G1)确保外部人员访问受控区域前得到授权或审批。系统建设管理系统定级a. 明确信息系统的边界和安全保护等级b. 以书面形式说明信息系统确定为某个安全保护等级的方法和理由c. 确保信息系统的定级结
8、果经过相关部门的批准安全方案设计(G1)a. 根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施。b. 以书面的形式描述对系统的安全保护要求和策略、安全措施等内容,形成系统的安全方案c. 对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案。产品采购和使用(G1)安全产品采购和使用符合国家有关规定自行软件开发a. 确保开发环境与实际运行环境物理分开b. 确保软件设计相关文档由专人负责保管外包软件开发(G1)a. 根据开发要求检测软件质量b. 在软件安装之前检测软件包中可能存在的恶意代码c. 确保提供软件设计的相关文档和使用指南工程实施指定或授权
9、专门的部门或人员负责工程实施过程的管理测试验收a. 对系统进行安全性测试验收b. 在测试验收前根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告。系统交付a. 制定系统交付清单,根据交付清单对所交接的设备、软件和文档等进行清点b. 对负责系统运行维护的技术人员进行相应的技能培训c. 确保提供系统建设过程中的文档 和 指导用户进行系统运行维护的文档。安全服务商选择a. 确保安全服务商的选择符合国家的有关规定b. 应与选定的安全服务商签订与安全相关的协议,明确约定相关责任系统运维管理环境管理a. 指定专门的部门或者人员定期对机房供配电、空调、温湿度
10、控制等设施进行维护管理b. 对机房的出入、服务器的开关机等工作进行管理c. 建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定。资产管理编制与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容介质管理(G1)a. 确保介质存放在安全的环境中,对各类介质进行控制和保护b. 对介质归档和查询等过程进行记录,根据存档介质的目录清单定期盘点设备管理a. 对信息系统相关的各种设备、线路等指定专门的部门或人员定期进行维护管理b. 建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购发放和领用等过程进行规范化管理。
11、网络安全管理(G1)a. 指定人员对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作b. 定期进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时修补系统安全管理(G1)a. 根据业务需求和系统安全分析确定系统的访问控制策略b. 定期进行漏洞扫描,对发现的系统安全漏洞 及时修补c. 安装系统最新补丁程序, 在安装补丁前,先备份 当前重要文件恶意代码防范管理(G1)提高用户防病毒意识,告知及时升级防病毒软件,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查。备份与恢复管理a. 识别需要定期 备份的重要业务信息、系统数据及软件系统等b. 规定备份信息的备份方式、备份频度、存储介质、保存期等安全事件处置a. 报告所发现的安全弱点和可疑事件,但任何情况下 用户均不应尝试 验证弱点b. 制定安全事件报告和处置管理制度,制定安全事件的现场处理、事件报告和后期恢复的管理职责 /
