深信服等级保护咨询服务
技术白皮书
深信服科技有限公司
2015年3月
目录
1. 等级保护概述 (3)
2. 深信服等级保护咨询服务流程 (4)
2.1. 定级备案 (4)
2.2. 差距评估 (4)
2.2.1. 整理差距分析表 (4)
2.2.2. 现场差距分析 (5)
2.2.3. 与客户沟通、确认现场记录 (6)
2.2.4. 生成差距分析报告 (6)
2.3. 方案设计 (6)
2.4. 整改建设 (6)
2.5. 测评验收 (6)
2.6. 定期评估 (7)
3. 深信服等级保护咨询服务优势 (7)
3.1. 参与相关安全标准编写,在等级保护领域具有权威性 (7)
3.2. 与主管部门联系紧密,充分理解相关政策要求 (7)
3.3. 多年技术积累,更精准的应用层技术能力 (7)
3.4. 卓越的新技术跟踪能力,有力面对最新安全形势 (8)
3.5. 深厚的虚拟化技术实力,应对云计算环境的转变 (8)
3.6. 承担多个国家重点公关项目,具有良好的行业标杆 (8)
4. 深信服等级保护咨询服务资质 (8)
5. 深信服等级保护咨询服务团队介绍和案例 (10)
1.等级保护概述
等级保护是国家信息安全保障的基本制度、基本策略、基本方针。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。
通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。
国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号)、《信息安全等级保护管理办法》(公通字[2007]43 号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861 号)等文件的精神,提高我国基础信息网络和重要信息系统的信息安全保护能力和水平,自2007 年开始,从国家层面开始推动我国的政府、金融、电力、电信、交通等基础行业在全国范围内组织开展重要信息系统安全等级保护定级、备案、测评、整改工作。
深信服长期密切跟踪国家等级保护相关政策,参与了等级保护标准制定与研讨、国家项目等多项相关工作,协助客户进行了等级保护试点、重要信息系统定级、等级保护整改等多项工作,在等级保护工作实践中积累了丰富的经验。
深信服进行等级保护咨询服务时,主要参考标准如下:
《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
《信息系统安全等级保护定级指南》(GB/T 22240-2008)
《信息系统安全等级保护基本要求》(GB/T 22239-2008)
《信息系统安全等级保护实施指南》(GB/T 25058-2010)
《信息系统安全等级保护测评要求》(V2.0(送审稿))
《信息安全技术网络基础安全技术要求》(GB/T 20270-2006)
《信息安全技术信息系统通用安全技术要求》(GB/T 20271-2006)
《信息安全技术操作系统安全技术要求》(GB/T 20272-2006)
《信息安全技术数据库管理系统安全技术要求》(GB/T 20273-2006)
《信息安全技术应用系统安全等级保护通用技术指南》(GA/T 711-2007)
《信息安全技术服务器技术要求》(GB/T 21028-2007)
《信息安全技术终端计算机系统安全等级技术要求》(GA/T 671-2006)
《信息安全技术信息系统安全管理要求》(GB/T 20269-2006)
《信息安全技术信息系统安全工程管理要求》(GB/T 20282-2006)
《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)
2.深信服等级保护咨询服务流程
2.1.定级备案
深信服咨询顾问协助用户单位,依据《信息系统安全等级保护定级指南》,确定信息系统的安全保护等级,准备定级备案表和定级报告,协助用户单位向所在地区的公安机关办理备案手续。
2.2.差距评估
通过等级差距分析,可以明确客户信息系统的现状,确定不符合安全项,明确安全建设需求。
2.2.1.整理差距分析表
深信服咨询顾问根据与客户确认的计划,做现场检查测试前的准备,主要包括准备差距分析表,明确现场访谈的对象(部门和人员),准备相应的网络设备、安全设备和主机设备的配置检查表和相关测试工具。
在整理差距分析表时,深信服咨询顾问会根据系统所确定的安全等级从基本要求中选择相应等级的基本安全要求,根据客户信息系统分析结果及风险评估的结果进行调整,去掉不适用项,增加不能满足客户信息系统需求的安全要求,一般来说,差距分析表包括安全技术、安全管理两个方面内容分析系统现有的安全措施和安全要求之间的差距,根据这些差距提出安全建议:
●安全技术差距分析
●安全管理差距分析
2.2.2.现场差距分析
现场差距分析阶段,深信服咨询顾问依据差距分析表中的各项安全要求,对比现状和安全要求之间的差距,确定不满足要求的安全项。现场工作阶段,深信服咨询顾问可分为管理检查组和技术检查组,在客户方人员的配合下,分工如下:
●管理检查组负责安全管理和物理安全类文档资料分析、现场访谈、现场检查,并填
写差距分析表的相关部分;
●技术检查组负责安全技术类文档分析、现场访谈、现场检查,并填写差距分析表的
相关部分。
在差距分析阶段,可以通过以下方式收集信息,详细了解客户信息系统现状,并通过分析所收集的资料/数据,以确认客户信息系统的建设是否符合该等级的安全要求,需要进行哪些方面的整改和安全建设。
●查看制度和记录
为了获取和分析业务系统现有的安全控制措施,需要查看安全策略文档(例如政策法规、指导性文档)、管理制度(例如运维管理规定、机房管理制度等)和其它相关文档(例如定级报告)等。
●人员访谈
深信服咨询顾问与客户组织内有关的管理、技术和一般员工进行逐个沟通。根据客户的回答,获得相应信息,并可验证之前收集到的资料,从而提高其准确度和完整性。
通过访谈管理和技术人员,项目组成员可以收集到业务系统相关的物理、环境、安全组织结构、操作习惯等大量有用的信息,也可以了解到被访谈者的安全意识和安全技能等自身素质。由于访谈的互动性,不同于调查表,项目组成员可以广泛提问,从多个角度获得多方面的信息。
●现场检查
深信服咨询顾问也可对客户办公环境和机房内设备作现场检查,或观察人员的行为或环境状况,观察制度的执行情况及技术要求落实情况。根据现场勘查的结果,获得相应咨询信息。
2.2.
3.与客户沟通、确认现场记录
在差距分析阶段,深信服咨询顾问如实记录通过文档检查、现场访谈和现场检查获得的信息系统现状,并与客户相关人员沟通、确认现场记录,确保记录的准确性。
2.2.4.生成差距分析报告
深信服咨询顾问归纳整理、分析现场记录,找出目前信息系统与等级保护安全要求之间的差距,生成等级保护差距分析报告。
2.3.方案设计
深信服辰咨询顾问参考国家标准《信息系统安全等级保护基本要求》、《信息安全技术信息系统等级保护安全设计技术要求》,依据差距分析的结论,在与客户充分沟通后,结合客户实际情况,给出专家级的安全整改和建议方案。
在整改建议方案中,深信服咨询顾问会对第一级至第五级信息系统安全保护环境的各个方面提出整改方案。在方案中会从技术和安全管理制度两个方面提出整改需求。并提出整改方案对应表,在对应表中将每一项等保要求与保护措施的对应起来,是等保整改建议方案的概括与总结。
2.4.整改建设
深信服咨询顾问根据安全整改方案,结合用户的实际需求,协助用户完成设备的选型、采购、安装、策略配置等活动,协助用户搭建完善的技术防护系统和安全管理体系,保障信息系统的安全稳定运行。
2.5.测评验收
深信服咨询顾问协助用户单位选择第三方测评机构,开展信息系统等级保护验收测评工作,保障通过等级保护验收测评。
2.6.定期评估
测评通过后,根据国家相关要求,需要定期对信息系统安全状况、安全保护制度及措施的落实情况进行评估。第三级信息系统每年至少进行一次评估,第四级信息系统每半年至少进行一次评估。深信服可以在测评通过后,定期为客户提供评估服务,确保信息系统长期处于一种动态的合规安全状态中。
3.深信服等级保护咨询服务优势
3.1.参与相关安全标准编写,在等级保护领域具有权威性
深信服曾先后参与了等级保护相关产品标准的起草和编制工作,配合国家主管部门执笔编写了《SSL VPN技术规范》和《第二代防火墙标准》等。尤其是2015年2月,《第二代防火墙标准》的发布,标志着下一代防火墙将会在未来的等级保护中全面替统防火墙和入侵防御等传统设备,一种新的区域边界防护模式诞生。
3.2.与主管部门联系紧密,充分理解相关政策要求
深信服与公安部网络安全保卫局、公安部1所、公安部3所、国家信息安全测评中心、公安部等级保护评估中心等国家级管理或科研机构开展多种模式的合作,保障了深信服对国家等级保护政策的充分理解。
3.3.多年技术积累,更精准的应用层技术能力
深信服从2000年成立以来,就专注于应用层安全技术的研发工作,先后将应用层安全技术应用于VPN产品(目前国内市场占有率第一和标准制定者)、上网行为管理产品(目前国内市场占有率第一)和下一代防火墙产品(国内第一款该产品和标准制定者)等多条产品线,而应用层的安全目前已经成为信息安全的核心。一家公司的应用层安全能力直接体现了其技术实力,体现其发现系统安全隐患的能力,体现其风险评估的能力,深信服在此方面是当之无愧的行业翘楚。
3.4.卓越的新技术跟踪能力,有力面对最新安全形势
深信服不仅在深圳设有研发中心,在北京也设有研发中心,同时在美国硅谷也设有研发中心,跟踪全球最新的技术和安全形势,全面的研发布局确保深信服可以第一时间跟踪全球最新的技术方向,为客户提供符合最新安全动向的咨询服务。
3.5.深厚的虚拟化技术实力,应对云计算环境的转变
深信服自2011年推出应用虚拟化技术后,又先后推出了桌面虚拟化技术、服务器虚拟化技术、存储虚拟化技术、网络虚拟化技术等。在虚拟化技术研发中的积累,保障了深信服在云计算环境下咨询服务能力不会随着环境的变化而降低,反而在云计算以及虚拟化环境下的等级保护咨询服务能力是深信服的优势。
3.6.承担多个国家重点公关项目,具有良好的行业标杆
深信服多次承担国家信息安全重点攻关项目及等级保护试点性项目,为多个国家部委、地方政府、金融、医疗和教育等行业,提供了诸如系统定级、系统备案、差距评估、整改方案设计、系统整改建设、验收测评、定期评估等级保护服务工作。基于这些丰富的实施经验,深信服总结研发了等级保护知识库,充盈的知识库为等级保护实施工作提供强大的知识后盾。
4.深信服等级保护咨询服务资质
作为国内信息安全等级保护工作的引领者和倡导者之一,深信服已经获得了等级保护咨询服务相关的资质。
信息安全服务资质网络安全应急服务资质
CNNVD技术支撑资质
5.深信服等级保护咨询服务团队介绍和案例5.1.深信服等级保护咨询服务团队介绍
深信服等级保护咨询服务团队组建于2011年,现共有65人左右,其中包括40人的咨询顾问团队和25人的安全攻防团队,其中顾问团队大多由主要由业界专家、国际咨询顾问公司及国内大型系统集成公司等人员组成,安全攻防团队由具有多年攻防安全研究的资深白帽子组成。公司多名顾问取得CISP、CCIE、COBIT、ITIL等业界相关认证, 并大多具有在大型机构从事IT咨询、IT运维、IT稽核的工作背景。公司多名顾问参与多项国家信息安全标准的撰写和审核,其中包括等级保护、风险评估等。
等级保护咨询服务团队自成立以来,凭借领先的风险管理技术、丰富的等级保护咨询经验、专业化的人才优势及庞大的资源库,为客户提供量身定做专业的等级保护咨询服务,赢得了客户的高度赞誉和广泛的认可。
5.2.典型客户介绍
联系我们
售前咨询热线:800-830-9565售后服务热线:400-630-6430(中国大陆)香港:(+852) 3427 9160
英国:(+44) 8455 332 371
新加坡:(+65) 9189 3267
马来西亚:(+60) 3 2201 0192
泰国:(+66) 2 254 5884
印尼:(+62) 21 5695 0789
sangfor、SINFOR、深信服、为深信服公司已注册或已申请注册的商标
朔州市交警队 等级保护(三级)建设方案 深信服科技(深圳)有限公司 2017年8月
目录 1项目概述 (1) 2等级保护建设流程 (2) 3方案参照标准 (4) 4信息系统定级备案 (5) 4.1信息系统定级 (5) 4.2信息系统备案 (7) 5系统安全需求分析 (8) 6安全风险与差距分析 (12) 6.1物理安全风险与差距分析 (12) 6.2计算环境安全风险与差距分析 (12) 6.3区域边界安全风险与差距分析 (14) 6.4通信网络安全风险与差距分析 (15) 7技术体系方案设计 (17) 7.1方案设计目标 (17) 7.2方案设计框架 (17) 7.3安全域的划分 (18) 7.3.1安全域划分的依据 (18) 7.3.2安全域划分与说明 (19)
7.4安全技术体系设计 (19) 7.4.1机房与配套设备安全设计 (19) 7.4.2计算环境安全设计 (21) 7.4.3区域边界安全设计 (28) 7.4.4通信网络安全设计 (30) 7.4.5安全管理中心设计 (33) 8安全管理体系设计 (37) 9系统集成设计 (39) 9.1软硬件产品部署图 (39) 9.2安全产品部署说明 (42) 9.3产品选型 (45) 9.2.1选型建议 (45) 9.2.2选型要求 (45)
1项目概述 随着信息化的发展,朔州市交警队的业务开展也越来越依托于网络平台,但纵观当前的安全形势,各种安全事件层出不穷,而朔州市交警队目前的网络中,安全设备较少,以前买的安全设备由于网络带宽升级,使用耗损等,其性能也渐渐不能满足朔州市交警队目前的网络安全需求,严重制约了朔州市交警队的信息化脚步。因此朔州市交警队希望加快信息化建设,以实现电子办公,执法信息网络公开化等。 通过对朔州市交警队信息化现状调研、分析,结合等级保护在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全、系统建设、系统运维十个方面的要求,逐步完善信息安全组织、落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使得单位信息系统安全管理水平明显提高,安全保护能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展。
XXX系统 管理平台 --服务器管理规范--
目录 第一章总则 (3) 第二章指导原则 (3) 第三章服务器管理规范 (3) 第四章服务器保密制度 (4) 第五章相关记录 (5) 第六章相关文件 (5) 第七章附则 (5)
第一章总则 第一条为科学有效地管理服务器,保障XXX系统平台安全的应用、高效运行,特制定本规章制度,请遵照执行。 第二条本细则适用于XXX系统平台。 第二章指导原则 第三条严格落实安全责任有效增强防范措施 积极完善应急机制确保可靠稳定运行 第四条机房管理人员依据此规范进行对服务器操作,并记录好相应记录。 第三章服务器管理规范 第五条服务器、路由器和交换机以及通信设备是网络的关键设备,须放置在机房内,不得自行配置或更换,更不能挪作它用。 第六条服务器机房要保持清洁、卫生,并由专人负责管理和维护(包括温度、湿度、电力系统、网络设备等),除系统维护时间外,要保障服务器24小时正常运行。 第七条依据《机房管理制度》,严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。 第八条不得在服务器上使用带有病毒和木马的软件、光盘和可移动存贮设备,使用上述设备前一定要先做好病毒检测;不得利用服务器从事工作以外的事情,无工作需 要不得擅自拆卸服务器零部件,严禁更换服务器配套设备。不得擅自删除、移动、 更改服务器数据;不得故意破坏服务器系统;不得擅自修改服务器系统时间。第九条服务器系统必须及时升级安装安全补丁,弥补系统漏洞;必须为服务器系统做好病毒及木马的实时监测,及时升级病毒库。 第十条管理员对超级账户口令应严格保密、定期修改,以保证系统安全,防止对系统的非法入侵。同时可对服务器上的管理权限、进行更新设置,防止恶意破译。 第十一条建立机房登记制度,对本地局域网的运行建立档案。未发生故障或故障隐患时当
二级、三级等级保护要求比较一、技术要求 技术要求项二级等保三级等保 物理 安全 物理 位置 的选 择1)机房和办公场地应选择 在具有防震、防风和防雨 等能力的建筑内。 1)机房和办公场地应选择在具有防震、防 风和防雨等能力的建筑内; 2)机房场地应避免设在建筑物的高层或地 下室,以及用水设备的下层或隔壁; 3)机房场地应当避开强电场、强磁场、强 震动源、强噪声源、重度环境污染、易 发生火灾、水灾、易遭受雷击的地区。 物理访问控制1)机房出入口应有专人值 守,鉴别进入的人员身份 并登记在案; 2)应批准进入机房的来访 人员,限制和监控其活动 范围。 1)机房出入口应有专人值守,鉴别进入的 人员身份并登记在案; 2)应批准进入机房的来访人员,限制和监 控其活动范围; 3)应对机房划分区域进行管理,区域和区 域之间设置物理隔离装置,在重要区域 前设置交付或安装等过度区域; 4)应对重要区域配置电子门禁系统,鉴别 和记录进入的人员身份并监控其活动。 防盗窃和防破坏1)应将主要设备放置在物 理受限的范围内; 2)应对设备或主要部件进 行固定,并设置明显的不 易除去的标记; 3)应将通信线缆铺设在隐 蔽处,如铺设在地下或管 道中等; 4)应对介质分类标识,存储 在介质库或档案室中; 5)应安装必要的防盗报警 设施,以防进入机房的盗 窃和破坏行为。 1)应将主要设备放置在物理受限的范围 内; 2)应对设备或主要部件进行固定,并设置 明显的无法除去的标记; 3)应将通信线缆铺设在隐蔽处,如铺设在 地下或管道中等; 4)应对介质分类标识,存储在介质库或档 案室中; 5)设备或存储介质携带出工作环境时,应 受到监控和内容加密; 6)应利用光、电等技术设置机房的防盗报 警系统,以防进入机房的盗窃和破坏行 为;
* 主办部门:系统运维部 执笔人: 审核人: XXXXX 信息安全管理策略V0.1 XXX-XXX-XX-01001 2014年3月17日
[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXXXX所有,受到有关产权及版权法保护。任何个人、机构未经XXXXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。] 文件版本信息 文件版本信息说明 记录本文件提交时当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。 阅送范围 内部发送部门:综合部、系统运维部
目录 第一章总则 (1) 第二章信息安全方针 (1) 第三章信息安全策略 (2) 第四章附则 (13)
第一章总则 第一条为规范XXXXX信息安全系统,确保业务系统安全、稳定和可靠的运行,提升服务质量,不断推动信息安全工作的健康发展。根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》 (GB/T22239-2008)、《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071—2012)、《金融行业信息系统信息安全等级保护测评指南》(JR/T 0072—2012),并结合XXXXX实际情况,特制定本策略。 第二条本策略为XXXXX信息安全管理的纲领性文件,明确提出XXXXX在信息安全管理方面的工作要求,指导信息安全管理工作。为信息安全管理制度文件提供指引,其它信息安全相关文件在制定时不得违背本策略中的规定。 第三条网络与信息安全工作领导小组负责制定信息安全 管理策略。 第二章信息安全方针 第四条 XXXXX的信息安全方针为:安全第一、综合防范、预防为主、持续改进。 (一)安全第一:信息安全为业务的可靠开展提供基础保障。把信息安全作为信息系统建设和业务经营的首要任务;
1 第二级基本要求 1.1 技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G2) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 1.1.1.2 物理访问控制(G2) 本项要求包括: a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。 1.1.1.3 防盗窃和防破坏(G2) 本项要求包括: a)应将主要设备放置在机房内; b)应将设备或主要部件进行固定,并设置明显的不易除去的标记; c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d)应对介质分类标识,存储在介质库或档案室中; e)主机房应安装必要的防盗报警设施。 1.1.1.4 防雷击(G2) 本项要求包括: a)机房建筑应设置避雷装置; b)机房应设置交流电源地线。 1.1.1.5 防火(G2) 机房应设置灭火设备和火灾自动报警系统。 1.1.1.6 防水和防潮(G2) 本项要求包括: a)水管安装,不得穿过机房屋顶和活动地板下; b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 1.1.1.7 防静电(G2) 关键设备应采用必要的接地防静电措施。 1.1.1.8 温湿度控制(G2) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A2) 本项要求包括: a)应在机房供电线路上配置稳压器和过电压防护设备; b)应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。 1.1.1.10 电磁防护(S2)
深信服等级保护咨询服务 技术白皮书 深信服科技有限公司 2015年3月
目录 1. 等级保护概述 (3) 2. 深信服等级保护咨询服务流程 (4) 2.1. 定级备案 (4) 2.2. 差距评估 (4) 2.2.1. 整理差距分析表 (4) 2.2.2. 现场差距分析 (5) 2.2.3. 与客户沟通、确认现场记录 (6) 2.2.4. 生成差距分析报告 (6) 2.3. 方案设计 (6) 2.4. 整改建设 (6) 2.5. 测评验收 (6) 2.6. 定期评估 (7) 3. 深信服等级保护咨询服务优势 (7) 3.1. 参与相关安全标准编写,在等级保护领域具有权威性 (7) 3.2. 与主管部门联系紧密,充分理解相关政策要求 (7) 3.3. 多年技术积累,更精准的应用层技术能力 (7) 3.4. 卓越的新技术跟踪能力,有力面对最新安全形势 (8) 3.5. 深厚的虚拟化技术实力,应对云计算环境的转变 (8) 3.6. 承担多个国家重点公关项目,具有良好的行业标杆 (8) 4. 深信服等级保护咨询服务资质 (8) 5. 深信服等级保护咨询服务团队介绍和案例 (10)
1.等级保护概述 等级保护是国家信息安全保障的基本制度、基本策略、基本方针。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。 通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号)、《信息安全等级保护管理办法》(公通字[2007]43 号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861 号)等文件的精神,提高我国基础信息网络和重要信息系统的信息安全保护能力和水平,自2007 年开始,从国家层面开始推动我国的政府、金融、电力、电信、交通等基础行业在全国范围内组织开展重要信息系统安全等级保护定级、备案、测评、整改工作。 深信服长期密切跟踪国家等级保护相关政策,参与了等级保护标准制定与研讨、国家项目等多项相关工作,协助客户进行了等级保护试点、重要信息系统定级、等级保护整改等多项工作,在等级保护工作实践中积累了丰富的经验。 深信服进行等级保护咨询服务时,主要参考标准如下: 《计算机信息系统安全保护等级划分准则》(GB 17859-1999) 《信息系统安全等级保护定级指南》(GB/T 22240-2008) 《信息系统安全等级保护基本要求》(GB/T 22239-2008) 《信息系统安全等级保护实施指南》(GB/T 25058-2010) 《信息系统安全等级保护测评要求》(V2.0(送审稿)) 《信息安全技术网络基础安全技术要求》(GB/T 20270-2006) 《信息安全技术信息系统通用安全技术要求》(GB/T 20271-2006) 《信息安全技术操作系统安全技术要求》(GB/T 20272-2006)
信息安全等级保护第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。
1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括:
信息系统安全等级保护基本要求 1 三级基本要求 (3) 1.1 技术要求 (3) 1.1.1 物理安全 (3) 1.1.1.1 物理位置的选择(G3) (3) 1.1.1.2 物理访问控制(G3) (3) 1.1.1.3 防盗窃和防破坏(G3) (3) 1.1.1.4 防雷击(G3) (3) 1.1.1.5 防火(G3) (3) 1.1.1.6 防水和防潮(G3) (4) 1.1.1.7 防静电(G3) (4) 1.1.1.8 温湿度控制(G3) (4) 1.1.1.9 电力供应(A3) (4) 1.1.1.10 电磁防护(S3) (4) 1.1.2 网络安全 (4) 1.1.2.1 结构安全(G3) (4) 1.1.2.2 访问控制(G3) (4) 1.1.2.3 安全审计(G3) (5) 1.1.2.4 边界完整性检查(S3) (5) 1.1.2.5 入侵防范(G3) (5) 1.1.2.6 恶意代码防范(G3) (5) 1.1.2.7 网络设备防护(G3) (5) 1.1.3 主机安全 (6) 1.1.3.1 身份鉴别(S3) (6) 1.1.3.2 访问控制(S3) (6) 1.1.3.3 安全审计(G3) (6) 1.1.3.4 剩余信息保护(S3) (7) 1.1.3.5 入侵防范(G3) (7) 1.1.3.6 恶意代码防范(G3) (7) 1.1.3.7 资源控制(A3) (7) 1.1.4 应用安全 (7) 1.1.4.1 身份鉴别(S3) (7) 1.1.4.2 访问控制(S3) (8) 1.1.4.3 安全审计(G3) (8) 1.1.4.4 剩余信息保护(S3) (8) 1.1.4.5 通信完整性(S3) (8) 1.1.4.6 通信保密性(S3) (8) 1.1.4.7 抗抵赖(G3) (8) 1.1.4.8 软件容错(A3) (8) 1.1.4.9 资源控制(A3) (8) 1.1.5 数据安全及备份恢复 (9) 1.1.5.1 数据完整性(S3) (9) 1.1.5.2 数据保密性(S3) (9)
LanSecS信息安全等级保护综合管理系统 北京圣博润高新技术股份有限公司 2012-6-14
1.系统简介 “LanSecS信息安全等级保护综合管理系统”是一套适用于信息安全等级保护工作业务管理的综合信息管理平台。作为信息安全等级保护工作的常态化管理工具,该系统紧密结合我国信息安全等级保护政策,实现了对信息安全等级保护工作中定级备案、安全建设整改、等级测评、风险评估和安全检查等各个工作环节信息与数据的集中管理和工作流程管理。 2.系统定位
3.系统架构 图1系统架构示意图 LanSecS信息安全等级保护综合管理系统的架构分为业务管理层、基础数据层和接口层三层。业务管理层提供包括等级保护工作管理、日常办公管理、数据统计与分析等管理功能。基础数据层维护等级保护工作所需的各类基础信息与数据。接口层负责与其它安全运维管理系统或等级保护备案管理系统的数据共享和交互。 4.系统功能 4.1.定级备案管理 “定级备案管理”主要完成重要信息系统的定级备案信息维护与管理,包括备案信息填报、备案信息查询、备案信息统计、备案信息表的导出和导入、备案附件信息管理、备案数据采集工具等。
4.2.安全建设整改管理 “安全建设整改管理”主要完成已备案信息系统安全建设整改活动的管理。系统将安全建设整改分为工作部署、现状分析、整改方案设计、整改实施、整改结果分析五个工作步骤,实现了安全建设整改活动的全程监控。 4.3.等级测评管理 等级测评管理模块主要负责由第三方测评机构主导实施的等级测评活动的组织和管理。包括测评机构管理、测评流程管理、测评结果汇总与记录、测评活动监控等功能。 4.4.安全检查管理 “安全检查管理”提供对安全自查、主管部门检查和公安机关检查等安全检查活动情况的跟踪记录管理。包括监督检查制度管理、安全自查管理、主管部门检查管理、监督检查信息记录、监督检查数据查询与统计、监督检查数据导入导出等功能。 4.5.风险评估管理 “风险评估管理”主要负责对信息系统风险评估活动相关信息的维护管理,规范风险评估活动工作流程,对风险评估活动过程中的各种数据进行汇总记录,并可对当前正在进行的风险评估项目的执行情况进行监控。 4.6.日常办公管理 “日常办公管理”为等级保护工作人员提供了一个日常的等级保护工作办公平台,由待办事项,办结事项,任务管理,工作考核四个部分组成。 4.7.统计分析 “统计分析管理”主要提供等级保护相关信息与数据的统计及分析功能,包括信息系统统计、安全事件统计、工作事项统计、资产统计、安全机构统计、安
信息安全等级保护 管理制度 1
?更多资料请访问.(.....) ?更多资料请访问.(.....) 2
关于开展保险业信息系统安全等级保护定级工作的通知 保监厅发〔〕45号 各保监局,各保险公司、保险资产管理公司,中国保险行业协会: 为贯彻落实国家信息安全等级保护制度,按照<关于开展全国重要信息系统安全等级保护定级工作的通知>(公信安〔〕861号)要求,中国保监会将在保险行业 3
内开展信息系统安全等级保护定级工作。现将有关事项通知如下: 一、等级保护定级工作的要求及组织方式 各单位应按照”准确定级、严格审批、及时备案、认真整改、科学测评”的要求和”自主定级、自主保护”的工作原则,成立相应的领导及实施机构,结合本单位的实际情况,准确开展信息系统等级保护定级工作。 保监会成立等级保护定级工作领导小组,统一领导、解决保险行业信息安全等级保护定级工作中的重大问题;保监会等级保护定级工作领导小组下设办公室,具体负责保监会机关信息系统等级保护定级的具体实施工作和行业定级工作的指导审核。 各保监局负责本局内独立运行的信息系统等级保护定级工作,并对各自辖区内的保险公司分支机构的等级保护定级工作进行指导审核。 各保险集团公司、保险控股公司负责本公司信息系统等级保护定级工作以及其下属子公司信息系统等级保护定级工作的组织协调和指导。各保险总公司统一部署本公司和分公司的信息系统等级保护定级工作。 二、定级工作安排及定级范围 (一)定级工作安排 为稳妥做好等级保护定级工作,拟在保险行业内分步分批实施。 保险行业第一批定级单位包括:保监会及各保监局,中国保险行业协会,中国人民保险集团公司、中国人寿保险(集团)公司、中国再保险(集团)公司、中国出口信用保险公司、民生人寿保险股份有限公司、阳光保险控股股份有限公司、中国平安保险(集团)股份有限公司、中国太平洋(集团)股份有限公司及其下属各子公司和分公司。 4
附件 2: 国家电子政务外网 安全等级保护基本要求(试行) Baseline for classified protection of National E-Government Network
国家电子政务外网管理中心二○一一年十二月 目次 前 言 .............................................................................................................................................................. (1) 引言 (2) 适用范围 (3) 2. 规范性引用文件 (3) 3. 术语和定 义 (3) 4. 政务外网资产、威胁分析和脆弱 性 (5) 4.1. 资产分析 (5) 4.2. 威胁分析 (6) 4.3. 脆弱性分析 (7)
5. 政务外网安全等级保护概述 (8) 5.1. 政务外网安全保护等 级 (8) 5.2. 不同等级的安全保护能 力 (8) 6. 第二级基本要求 (9) 6.1. IP 承载网9 6.1.1. 广域 网 (9) 6.1.2. 城域 网 (9) 6.1.3. 用户局域 网 (10) 6.2. 业务区域网 络 (10) 6.2.1. 公用网络 区 (10) 6.2.2. 互联网接入 区 (10) 6.3. 管理区域网 络 (11) 6.3.1. 网络管理 区 (11) 6.3.2. 安全管理 区 (11) 7. 第三级基本要求 (11) 7.1. IP 承载网11 7.1.1. 广域 网 (11) I 7.1.2. 城域
7月24日,公安部网站发布四部门联合制定的《信息安全等级保护管理办法》,全文如下: 第一章总则 第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章等级划分与保护 第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 第八条信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
1.1管理要求 1.1.1安全管理制度 1.1.1.1管理制度(G3) 本项要求包括: a) 应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等; b) 应对安全管理活动中的各类管理内容建立安全管理制度; c) 应对要求管理人员或操作人员执行的日常管理操作建立操作规程; d) 应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。 1.1.1.2制定和发布(G3) 本项要求包括: a) 应指定或授权专门的部门或人员负责安全管理制度的制定; b) 安全管理制度应具有统一的格式,并进行版本控制; c) 应组织相关人员对制定的安全管理制度进行论证和审定; d) 安全管理制度应通过正式、有效的方式发布; e) 安全管理制度应注明发布范围,并对收发文进行登记。 1.1.1.3评审和修订(G3) 本项要求包括: a) 信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定; b) 应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。 1.1.2安全管理机构 1.1. 2.1岗位设置(G3) 本项要求包括: a) 应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责; b) 应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责; c) 应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权; d) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
某单位 信息系统安全等级保护管理规定 第一章总则 第一条为加强某单位信息系统(以下简称“信息系统”)安全管理,确保某单位信息安全,按照国家信息安全等级保护制度和相关标准要求,结合工作实际,制定本规定。 第二条信息系统安全管理遵循“确保安全、注重防范、分工负责、规范管理”原则,以确保信息安全为中心,以抓好安全防范为重点,分工负责,相互配合,认真遵守有关信息安全的法律法规和制度规定,共同做好信息系统的安全管理工作。 第三条本规定适用于信息系统的安全管理。 第四条本规定所指信息系统是由某单位规划和建设内的计算机信息系统,包括所有非涉密信息系统。 第二章组织领导和工作机制 第五条在某单位信息化工作领导小组(以下简称“领导小组”)领导下,某单位信息化工作领导小组办公室负责信息系统的统一规划、建设和管理,按照“谁建设谁管理、谁使用谁负责”的原则,由某单位网络信息中心负责信息系统安全的使用管理和运行维护。 第六条网络信息中心是单位信息化工作安全管理和运行维护的部门,负责指定信息系统的系统管理员、安全管理员
和安全审计员。系统管理员主要负责系统的日常运行维护,安全管理员主要负责系统的日常安全管理工作,安全审计员主要负责对系统管理员和安全管理员的操作进行审计和评估。安全管理员和安全审计员不得为同一人。 第七条应结合某单位工作具体情况,制定有关信息系统安全管理的相关制度,建立健全保障信息安全的工作机制,采取切实措施落实有关安全要求,确保信息系统与信息的安全。 第三章规划建设和测评审批 第八条信息系统按照国家信息安全系统等级保护要求确定保护等级,进行规划、设计、建设和运行维护管理,并采取相应安全保护措施。 第九条信息系统按照其受到破坏时所侵害的客体和对客体造成侵害的程度,分为二级和三级,并分别采取相应的保护措施。某单位网络信息中心统一负责信息系统的定级工作,并报山东省公安厅备案。 第十条信息系统应根据其等保定级、行政级别、地域分布、连接范围等合理划分安全域,安全域之间应采取有效的隔离措施。某单位内部办公系统应当与互联网及其它公共网络进行物理隔离。 第十一条信息系统安全体系的规划、建设由某单位网络信息中心负责,统一采用防火墙、防病毒系统、入侵防御系统等安全措施。安全体系的建设应与信息系统建设同步进行。
蓝色部分是操作系统安全等级划分,红色部分是四级操作系统关于网络部分的要求:) 《信息系统安全等级保护基本要求》 中华人民共和国国家标准GB/T 22239-2008 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于 加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字 [2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南; ——GB/T CCCC-CCCC 信息安全技术信息系统安全等级保护实施指南。 本标准与GB17859-1999、GB/T 20269-2006 、GB/T 20270-2006 、GB/T 20271-2006 等标准共同构成了 信息系统安全等级保护的相关配套标准。其中GB17859-1999是基础性标准,本标准、GB/T20269-2006、 GB/T20270-2006、GB/T20271-2006等是在GB17859-1999基础上的进一步细化和扩展。 本标准在GB17859-1999、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等技术类标准的基础 上,根据现有技术的发展水平,提出和规定了不同安全保护等级信息系统的最低保护要求,即基本安全要求,基 本安全要求包括基本技术要求和基本管理要求,本标准适用于指导不同安全保护等级信息系统的安全建设和监督 管理。 在本标准文本中,黑体字表示较低等级中没有出现或增强的要求。 信息系统安全等级保护基本要求 1范围 本标准规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导 分等级的信息系统的安全建设和监督管理。 2规范性引用文件 下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单 (不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文 件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分:安全 GB17859-1999 计算机信息系统安全保护等级划分准则 GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南 3术语和定义 GB/T 5271.8和GB 17859-1999确立的以及下列术语和定义适用于本标准。 3.1 安全保护能力 security protection ability 系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。 4信息系统安全等级保护概述 4.1信息系统安全保护等级 信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共 利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高划分为五级,五级定义见GB/T AAAA- AAAA。 4.2不同等级的安全保护能力
医院等级保护2.0建设+有效安全运营 等级保护2.0正式实施使得安全监管日趋严格、 智慧医疗新增EMR电子病历等业务保护需求、 外部不断爆出医疗信息泄露或勒索事件、 近百台服务器的机房却只有2-3名技术人员、 ...... 医疗行业信息安全建设的困难与挑战浮出水面。 面对如此困境,如何建设符合等级保护2.0要求的安全防护体系?如何实现持续对抗网络攻击的安全能力,保障医疗数据信息安全,确保医疗服务稳定开展?
看中日友好医院,如何基于创新的“等保+”理念,通过等级保护2.0建设+有效安全运营的方式,化解层层挑战,为医疗信息安全建设提供可落地有效思路。 基于等级保护2.0建设,构建持续保护的安全能力 海量高价值的患者数据,加上医疗业务的重要性,使得医疗网络成为了网络犯罪分子的重点攻击对象。传统的零散购买硬件安全设备,虽然在应对常规的攻击和威胁上有一定帮助,但医疗行业所面临的威胁更多的还是来自于一些入侵攻击所造成的医疗数据和病人隐私泄露,比如说勒索病毒攻击,防范难度高,需要有更完善的安全技术体系建设。 而等级保护2.0标准在有效平衡安全成本与安全效果的基础上,提供了安全建设和管理系统性、针对性、可行性的指导。 为实现持续保护的安全能力,中日友好医院在“一个中心、三重防护”的思想下建立等级保护纵深防御体系,对整个信息系统的通信网络、区域边界、计算环境,各个区域都实施信息安全策略和安全机制,保证访问者对每一个系统组件进行访问时都受到多层次保障机制的监控,以实现系统的充分防御,将系统遭受攻击的风险降至最低,确保系统安全、可靠。
通过合规之上的安全运营,构建人机共智的快速处置能力 等级保护2.0为医院的网络安全搭建了技术和管理体系的防护基础,但随着医疗业务的快速发展网络安全边界越来越模糊,安全运营工作也变得越来越吃力。 首先,缺乏对资产的持续评估机制。对于已有资产数量、资产脆弱性,资产发生变动时无法进行新增资产的安全性有效管理,不清楚哪些系统需要保护。 其次,面对高级威胁无能为力。医院安全设备和安全能力处于分散、割裂的状态,通常无法对攻击的各个阶段进行有效的检测,也就无法产生相应的告警,安全人员花费大量精力进行告警日志分析往往还是徒劳无功。 更重要的是,无法及时发现安全事件,主动介入,规避风险。由于缺乏快速响应流程和手段,对于内外安全隐患无法做到及时监测告警,一旦原有安全设备被绕过,无法及时发现和响应,将意味着整个内网失陷。 为解决上述问题,中日友好医院在等级保护2.0合规建设的基础上,创新应用了人机共智安全运营模式,无需新增技术人员的情况下扩展持续有效的安全运营能力以及快速的响应能力。
等级保护信息安全管理制度
————————————————————————————————作者:————————————————————————————————日期:
信息安全等级保护第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。
1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括:
端到端的安全交付方案(VSP ) VSP 简介 Virtualization Security Platform (VSP)是深信服科技最具前瞻性的虚拟化安全平台。该平台以完美契合客户业务流程为设计出发点,借助虚拟化技术构建一套与风险完全隔离的、最具效率和性价比的核心业务网络,避免业务流程中核心业务数据泄漏的风险,最大化保障组织信息安全。 ◆应用方向 咨询电话:800-830-9565 服务电话:800-830-6430 https://www.doczj.com/doc/1c1507214.html, 深信服助您构建更安全、高效的金融业务交付网络。 目前为止,深信服已经与金融行业80%的知名客户紧密合作,保障业务安全。
面临的挑战 随着社会信息化进程的加快,政府、金融、企业等多个行业均将信息化建设提升到了发展战略的重要地位之上,信息化水平成为衡量行业现代化水平和综合竞争力的重要标志。但是随着信息化水平的提高而越来越复杂的网络结构,也带来了不少挑战: (1)政务信息系统是政府信息化和电子政务的重要组成部分,它由内网、专网、外网等系统组成,不同层次网络上的信息具有不同的保密级别需求,需要实现不同网络间安全高效的切换与接入。频发的信息泄密事件,使各级政府机关对信息安全等级保护愈发重视。 (2)金融企业在数据中心尤其在防外部攻击方面投入巨大,但是内部泄密途径众多且不易管控。简单的网络行为或设备拷贝即可轻易绕过安全防线。不少金融企业按照信息安全的要求,将办公网和生产网物理隔离。但从企业实际现状看,既难以做到完全物理隔离,又直接影响业务系统的正常运作。 (3)现代企业的机密资料泄露80%来源于企业内部,其中75%来源于内部电子文档的流失,Fortune排名前1000家的公司,平均每次电子文档泄密带来的损失高达50万美元。而针对中国500家大型企业的调查发现,国内企业对电子文档几乎没有任何有效的防护措施,采取保护措施的还不到3%,一些机密文件、电子文档轻易的通过电子邮件、IM工具或移动存储设备泄漏到企业外部。
一、信息系统安全等级保护建设的必要性 信息系统安全等级保护制度(以下简称“等级保护”)作为信息安全系统分级分类保护的一项国家标准,对于完善信息安全法规和标准体系,提高安全建设的整体水平,增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。 国家相关部门一直非常重视信息系统的等级保护工作,颁布了一系列相关条例,如国务院颁布的《中华人民共和国计算机信息系统安全保护条例》,公安部等四部委联合签发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法(试行)》(公通字[2006]7号),公安部颁布的《公安部信息系统安全保护等级实施指南(试行稿)(2005年)》,以及北京市实施的《北京市公共服务网络与信息系统安全管理规定》(市政府第163号令)等。 中国长城资产管理公司(以下简称“公司”),作为国有独资金融企业,在业务高速发展的同时一直非常重视信息安全体系建设,早期已经部署了“老三样”,即网络防病毒、防火墙和网络入侵检测,对保障业务系统的安全正常运转起到了重要作用。 公司综合经营管理系统经过四期建设,实现了数据集中和管理集中,为公司收购、管理与处置政策性不良资产以及商业化经营等业务的顺利开展提供了完整的业务操作平台。为了更好地保全国有资产,促进国有企业改革,进一步推动国民经济持续、快速、健康发展,公司希望进一步完善信息系统安全体系建设,规范信息安全管理,提高信息安全保障能力和水平,同时能够对信息系统安全整体进行审核、评估与完善。 二、确定综合经营管理系统的保护级别 根据《信息系统安全等级保护定级指南》中对信息系统的要求,考虑到综合经营管理系统是公司的核心业务系统,一旦受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国
信息安全技术网络安全等级保护测评要求 第1部分:安全通用要求 编制说明 1概述 1.1任务来源 《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准,标准号为GB/T 28448-2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。 根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划,国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006。 1.2制定本标准的目的和意义 《信息安全等级保护管理办法》(公通字[2007]43号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一。这就要求等级测评过程规范、测评结论准确、公正及可重现。 《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)(简称《基本要求》)和《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)(简称《测评要求》)等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。 伴随着IT技术的发展,《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。 作为《基本要求》的姊妹标准,《测评要求》需要同步修订,依据《基本要求》的更新内容对应修订相关的单元测评章节。 此外,《测评要求》还需要吸收近年来的测评实践,更新整体测评方法和测评结论形成方法。