等保三级设备清单
二级等保 序号建议功能或模块建议方案或产品重要程度 主要依据备注 安全层面二级分项二级测评指标权重 1边界防火墙非常重要网络安全访问控制(G2)a)应在网络边界部署访问控制设备,启用访问控制功能; 1 b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。 1 2 入侵检测系统 (模块)非常重要网络安全入侵防范(G2) 应在网络边界处监视以下攻击行为:端口扫描、强 力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢 出攻击、IP碎片攻击和网络蠕虫攻击等 1 3 WEB应用防火墙(模 块)重要应用安全软件容错(A2) a)应提供数据有效性检验功能,保证通过人机接口 输入或通过通信接口输入的数据格式或长度符合系 统设定要求; 1 部分老旧应用无相关校验功 能,可由WEB应用防火墙对应 用请求进行合法性过滤 4日志审计系统syslog服务器非常重要网络安全安全审计(G2) a)应对网络系统中的网络设备运行状况、网络流量、 用户行为等进行日志记录; 1 b)审计记录应包括事件的日期和时间、用户、事件 类型、事件是否成功及其他与审计相关的信息。 0.5主机安全安全审计(G2) c)应保护审计记录,避免受到未预期的删除、修改 或覆盖等。 0.5 5 运维审计系统 (堡垒机)一般网络安全网络设备防护(G2) d)身份鉴别信息应具有不易被冒用的特点,口令应 有复杂度要求并定期更换; 1 部分网络设备不支持口令复杂 度策略与更换策略,需要第三 方运维管理工具实现。
6数据库审计重要主机安全安全审计(G2) a)审计范围应覆盖到服务器上的每个操作系统用户 和数据库用户; 1 7终端管理软件 (补丁分发系 统) 重要 网络安全边界完整性检查(S2) 应能够对内部网络中出现的内部用户未通过准许私 自联到外部网络的行为进行检查。 1 通过终端管理软件限制终端多 网卡情况 主机安全入侵防范(G2) 操作系统应遵循最小安装的原则,仅安装需要的组 件和应用程序,并通过设置升级服务器等方式保持 系统补丁及时得到更新。 1 可通过终端管理软件统一分发 补丁 8企业版杀毒软件重要主机安全恶意代码防范(G2)a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库 1 b)应支持防恶意代码的统一管理。1 9本地备份方案重要 数据管理 安全 备份和恢复(A2)a) 应能够对重要信息进行备份和恢复;0.5 三级等保 序号建议功能或模块建议方案或产品重要程度 主要依据备注 安全层面三级分项三级测评指标权重 1 边界防火墙与区域防火墙 (带宽管理模块)非常重要网络安全访问控制(G3) a)应在网络边界部署访问控制设备,启用访问控 制功能; 0.5 b)应能根据会话状态信息为数据流提供明确的 允许/拒绝访问的能力,控制粒度为端口级; 1
朔州市交警队 等级保护(三级)建设方案 深信服科技(深圳)有限公司 2017年8月
目录 1项目概述 (1) 2等级保护建设流程 (2) 3方案参照标准 (4) 4信息系统定级备案 (5) 4.1信息系统定级 (5) 4.2信息系统备案 (7) 5系统安全需求分析 (8) 6安全风险与差距分析 (12) 6.1物理安全风险与差距分析 (12) 6.2计算环境安全风险与差距分析 (12) 6.3区域边界安全风险与差距分析 (14) 6.4通信网络安全风险与差距分析 (15) 7技术体系方案设计 (17) 7.1方案设计目标 (17) 7.2方案设计框架 (17) 7.3安全域的划分 (18) 7.3.1安全域划分的依据 (18) 7.3.2安全域划分与说明 (19)
7.4安全技术体系设计 (19) 7.4.1机房与配套设备安全设计 (19) 7.4.2计算环境安全设计 (21) 7.4.3区域边界安全设计 (28) 7.4.4通信网络安全设计 (30) 7.4.5安全管理中心设计 (33) 8安全管理体系设计 (37) 9系统集成设计 (39) 9.1软硬件产品部署图 (39) 9.2安全产品部署说明 (42) 9.3产品选型 (45) 9.2.1选型建议 (45) 9.2.2选型要求 (45)
1项目概述 随着信息化的发展,朔州市交警队的业务开展也越来越依托于网络平台,但纵观当前的安全形势,各种安全事件层出不穷,而朔州市交警队目前的网络中,安全设备较少,以前买的安全设备由于网络带宽升级,使用耗损等,其性能也渐渐不能满足朔州市交警队目前的网络安全需求,严重制约了朔州市交警队的信息化脚步。因此朔州市交警队希望加快信息化建设,以实现电子办公,执法信息网络公开化等。 通过对朔州市交警队信息化现状调研、分析,结合等级保护在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全、系统建设、系统运维十个方面的要求,逐步完善信息安全组织、落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使得单位信息系统安全管理水平明显提高,安全保护能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展。
二级、三级等级保护要求比较一、技术要求 技术要求项二级等保三级等保 物理位置的选择1)机房和办公场地应选择 在具有防震、防风和防雨 等能力的建筑内。 1)机房和办公场地应选择在具有防震、防 风和防雨等能力的建筑内; 2)机房场地应避免设在建筑物的高层或地 下室,以及用水设备的下层或隔壁; 3)机房场地应当避开强电场、强磁场、强 震动源、强噪声源、重度环境污染、易 发生火灾、水灾、易遭受雷击的地区。 物理访问控制1)机房出入口应有专人值 守,鉴别进入的人员身份 并登记在案; 2)应批准进入机房的来访 人员,限制和监控其活动 范围。 1)机房出入口应有专人值守,鉴别进入的 人员身份并登记在案; 2)应批准进入机房的来访人员,限制和监 控其活动范围; 3)应对机房划分区域进行管理,区域和区 域之间设置物理隔离装置,在重要区域 前设置交付或安装等过度区域; 4)应对重要区域配置电子门禁系统,鉴别 和记录进入的人员身份并监控其活动。 物理安全 防盗窃和防破坏1)应将主要设备放置在物 理受限的范围内; 2)应对设备或主要部件进 行固定,并设置明显的不 易除去的标记; 3)应将通信线缆铺设在隐 蔽处,如铺设在地下或管 道中等; 4)应对介质分类标识,存储 在介质库或档案室中; 5)应安装必要的防盗报警 设施,以防进入机房的盗 窃和破坏行为。 1)应将主要设备放置在物理受限的范围内; 2)应对设备或主要部件进行固定,并设置 明显的无法除去的标记; 3)应将通信线缆铺设在隐蔽处,如铺设在 地下或管道中等; 4)应对介质分类标识,存储在介质库或档 案室中; 5)设备或存储介质携带出工作环境时,应 受到监控和内容加密; 6)应利用光、电等技术设置机房的防盗报 警系统,以防进入机房的盗窃和破坏行 为; 7)应对机房设置监控报警系统。
信息系统安全等级保护基本要求 1 三级基本要求 (3) 1.1 技术要求 (3) 1.1.1 物理安全 (3) 1.1.1.1 物理位置的选择(G3) (3) 1.1.1.2 物理访问控制(G3) (3) 1.1.1.3 防盗窃和防破坏(G3) (3) 1.1.1.4 防雷击(G3) (3) 1.1.1.5 防火(G3) (3) 1.1.1.6 防水和防潮(G3) (4) 1.1.1.7 防静电(G3) (4) 1.1.1.8 温湿度控制(G3) (4) 1.1.1.9 电力供应(A3) (4) 1.1.1.10 电磁防护(S3) (4) 1.1.2 网络安全 (4) 1.1.2.1 结构安全(G3) (4) 1.1.2.2 访问控制(G3) (4) 1.1.2.3 安全审计(G3) (5) 1.1.2.4 边界完整性检查(S3) (5) 1.1.2.5 入侵防范(G3) (5) 1.1.2.6 恶意代码防范(G3) (5) 1.1.2.7 网络设备防护(G3) (5) 1.1.3 主机安全 (6) 1.1.3.1 身份鉴别(S3) (6) 1.1.3.2 访问控制(S3) (6) 1.1.3.3 安全审计(G3) (6) 1.1.3.4 剩余信息保护(S3) (7) 1.1.3.5 入侵防范(G3) (7) 1.1.3.6 恶意代码防范(G3) (7) 1.1.3.7 资源控制(A3) (7) 1.1.4 应用安全 (7) 1.1.4.1 身份鉴别(S3) (7) 1.1.4.2 访问控制(S3) (8) 1.1.4.3 安全审计(G3) (8) 1.1.4.4 剩余信息保护(S3) (8) 1.1.4.5 通信完整性(S3) (8) 1.1.4.6 通信保密性(S3) (8) 1.1.4.7 抗抵赖(G3) (8) 1.1.4.8 软件容错(A3) (8) 1.1.4.9 资源控制(A3) (8) 1.1.5 数据安全及备份恢复 (9) 1.1.5.1 数据完整性(S3) (9) 1.1.5.2 数据保密性(S3) (9)
国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1 第三级基本要求(共290小项)1.1 技术要求(共136小项) 1.1.1 物理安全(共32小项) 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) b)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3)本项要求包括: a) b) c) d)机房出入口应安排专人值守,控制、鉴别和记录进入的人员; 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域; 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏(G3)本项要求包括: a) b) c) d) e) f)应将主要设备放置在机房内; 应将设备或主要部件进行固定,并设置明显的不易除去的标记;应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; 应对介质分类标识,存储在介质库或档案室中; 应利用光、电等技术设置机房防盗报警系统; 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3)本项要求包括: a) b) c)机房建筑应设置避雷装置;应设置防雷保安器,防止感应雷;机房应设置交流电源地线。 1.1.1.5 防火(G3)本项要求包括: a) b) c)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3)本项要求包括: a) b) c)水管安装,不得穿过机房屋顶和活动地板下; 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
1 第三级基本要求 1.1 技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前 设置交付或安装等过渡区域; d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a)应将主要设备放置在机房内; b)应将设备或主要部件进行固定,并设置明显的不易除去的标记; c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d)应对介质分类标识,存储在介质库或档案室中; e)应利用光、电等技术设置机房防盗报警系统; f)应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a)机房建筑应设置避雷装置; b)应设置防雷保安器,防止感应雷; c)机房应设置交流电源地线。 1.1.1.5 防火(G3) 本项要求包括: a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a)水管安装,不得穿过机房屋顶和活动地板下; b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
设备设施风险分级管控清单单位:装试车间 风险点检查项目 标准评 价 级 别 风 险 分 级 不符 合标 准情 况及 后果 管控措施 管 控 层 级 责 任 单 位 责任人 备 注 编号类 型 名 称 序 号 名称 工程技术 措施 管理措施 培训教育 措施 个体防护措 施 应急处置措 施 1 设 备 设 施 起 重 机 1 吊钩 吊钩不得 出现裂 纹、磨损 或者变 形;吊钩 防脱器配 置齐全。 4 低 风 险 起重伤 害 设置防脱钩装置,吊 钩出现裂纹或者磨 损超变形超标进行 更换,按额定起重量 提升。 发现失效立即更 换或处理。 三级教育, 每年安全培 训不少于8 课时;特种 作业人员和 维修人员持 证上岗 进入工作现场 和上岗前,必须 按岗位、工种的 防护要求,正确 穿戴安全帽、防 护手套、工作 鞋、工作服。 发生事故,立即 进行救治,如有 必要拨打120就 医,及时向上级 汇报。 班 组 岗 位 维 修 班 耿庆军2 电动 机、减 速机 电机与联 轴器连接 牢固、电 缆线绝缘 良好;减 速机无缺 油、断齿、 固定螺栓 无松动、 4 低 风 险 起重伤 害 在电动机内设置热 传感元件;热过载保 护。电动机、减速机运 行时无异常声音;固定螺 栓无松动或缺损等状况 发现失效立即更 换或处理。 三级教育, 每年安全培 训不少于8 课时;特种 作业人员和 维修人员持 证上岗 进入工作现场 和上岗前,必须 按岗位、工种的 防护要求,正确 穿戴安全帽、防 护手套、工作 鞋、工作服。 发生事故,立即 进行救治,如有 必要拨打120就 医,及时向上级 汇报。 班 组 岗 位 维 修 班 耿庆军 1
目次 前言............................................................................... IX 引言................................................................................ X 1 范围.. (1) 2规范性引用文件 (1) 3术语和定义.......................................................... 错误!未定义书签。4信息系统安全等级保护概述 (1) 4.1 信息系统安全保护等级 (1) 4.2 不同等级的安全保护能力 (1) 4.3 基本技术要求和基本管理要求 (1) 4.4 基本技术要求的三种类型 (2) 5第一级基本要求...................................................... 错误!未定义书签。 5.1 技术要求.......................................................... 错误!未定义书签。 5.1.1物理安全........................................................ 错误!未定义书签。 5.1.1.1 物理访问控制(G1)............................................ 错误!未定义书签。 5.1.1.2 防盗窃和防破坏(G1).......................................... 错误!未定义书签。 5.1.1.3 防雷击(G1).................................................. 错误!未定义书签。 5.1.1.4 防火(G1).................................................... 错误!未定义书签。 5.1.1.5 防水和防潮(G1).............................................. 错误!未定义书签。 5.1.1.6 温湿度控制(G1).............................................. 错误!未定义书签。 5.1.1.7 电力供应(A1)................................................ 错误!未定义书签。 5.1.2网络安全........................................................ 错误!未定义书签。 5.1.2.1 结构安全(G1)................................................ 错误!未定义书签。 5.1.2.2 访问控制(G1)................................................ 错误!未定义书签。 5.1.2.3 网络设备防护(G1)............................................ 错误!未定义书签。 5.1.3主机安全........................................................ 错误!未定义书签。 5.1.3.1 身份鉴别(S1)................................................ 错误!未定义书签。 5.1.3.2 访问控制(S1)................................................ 错误!未定义书签。 5.1.3.3 入侵防范(G1)................................................ 错误!未定义书签。 5.1.3.4 恶意代码防范(G1)............................................ 错误!未定义书签。 5.1.4应用安全........................................................ 错误!未定义书签。 5.1.4.1 身份鉴别(S1)................................................ 错误!未定义书签。 5.1.4.2 访问控制(S1)................................................ 错误!未定义书签。 5.1.4.3 通信完整性(S1).............................................. 错误!未定义书签。 5.1.4.4 软件容错(A1)................................................ 错误!未定义书签。 5.1.5数据安全及备份恢复.............................................. 错误!未定义书签。 5.1.5.1 数据完整性(S1).............................................. 错误!未定义书签。 5.1.5.2 备份和恢复(A1).............................................. 错误!未定义书签。 5.2 管理要求.......................................................... 错误!未定义书签。 5.2.1安全管理制度.................................................... 错误!未定义书签。 5.2.1.1 管理制度(G1)................................................ 错误!未定义书签。 5.2.1.2 制定和发布(G1).............................................. 错误!未定义书签。 5.2.2安全管理机构.................................................... 错误!未定义书签。 I
设备设施风险分级管控清单单位:东岳机械 风险点检查项目 标准 评价 级别风险 分级 不符合标准情况及后果 管控措施 管 控 层 级 责任 单位 责 任 人 备 注 编 号类型 名 称 序 号 名称 工程 技术 措施 管理 措施 培训 教育 措施 个体 防护 措施 应急 处置 措施 1 设施 部位 场所 区域 电 焊 机 1 电源 线 无老化,不 漏电 4 低断路影响使用,短路损坏设备 或引起火灾,漏电造成人员伤 亡 使用 前检 查、 日常 点检 班 组 焊接 一部 高 继 峰 2 焊把 外观完好、 无破损 4 低 漏电伤人 使用 前检 查、 日常 点检 班 组 焊接 一部 高 继 峰3 焊机 外壳 无大的变形 和破损,有 保护接地或 保护零线 4 低机壳内器件受干扰或得不到有 效保护而损坏或无法正常工作 漏电造成设备毁损,人员触电 伤亡 使用 前检 查、 日常 点检 班 组 焊接 一部 高 继 峰 4 开关无明显损 坏,摔裂痕 4 低机器不工作或不正常工作,漏 电伤人 使用 前检 查、 日常 班 组 焊接 一部 高 继
迹点检峰 5 把线 和回 路线 外观破损、 裸露,有老 化现象 4 低 漏电伤人,断路无法正常工作 使用 前检 查、 日常 点检 班 组 焊接 一部 高 继 峰 2 设施 部位 场所 区域 磨 光 机 1 电源 线 无老化,不漏电 4 低 断路影响使用,短路损坏设备或引起 火灾,漏电造成人员伤亡 使用 前检 查、 日常 点检 班 组 焊接 一部 高 继 峰2 电机运行平稳 4 低 机械伤害、漏电伤害 使用 前检 查、 日常 点检 班 组 焊接 一部 高 继 峰3 防护 罩 稳定牢固 4 低 机械伤害 使用 前检 查、 日常 点检 班 组 焊接 一部 高 继 峰4 开关 无明显损坏,摔 裂痕迹 4 低 机器不工作或不正常工作,漏电伤人 使用 前检 查、 日常 点检 班 组 焊接 一部 高 继 峰5 切割 片 耐磨、牢固 4 低 机械伤害 使用 前检 查、 日常 点检 班 组 焊接 一部 高 继 峰
信息安全等级保护建设(二,三级)需上的设备 信息安全等级保护二级: 一、机房方面的安全措施需求(二级标准)如下: 1、防盗报警系统 2、灭火设备和火灾自动报警系统 3、水敏感检测仪及漏水检测报警系统 4、精密空调 5、备用发电机 二、主机和网络安全层面需要部署的安全产品如下: 1、防火墙或者入侵防御系统 2、上网行为管理系统 3、网络准入系统 4、审计平台或者统一监控平台(可满足主机、网络和应用层面的监控需求,在条件不允许的情况下,至少要使用数据库审计) 5、防病毒软件 三、应用及数据安全层面需要部署的安全产品如下: 1、VPN 2、网页防篡改系统(针对网站系统) 3、数据异地备份存储设备 4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)。
信息安全等级保护三级 一、机房方面的安全措施需求(三级标准)如下: 1、需要使用彩钢板、防火门等进行区域隔离 2、视频监控系统 3、防盗报警系统 4、灭火设备和火灾自动报警系统 5、水敏感检测仪及漏水检测报警系统 6、精密空调 7、除湿装置 8、备用发电机 9、电磁屏蔽柜 二、主机和网络安全层面需要部署的安全产品如下: 1、入侵防御系统 2、上网行为管理系统 3、网络准入系统 4、统一监控平台(可满足主机、网络和应用层面的监控需求) 5、防病毒软件 6、堡垒机 7、防火墙 8、审计平台(满足对操作系统、数据库、网络设备的审计,在条件不允许的情况下,至少要使用数据库审计) 三、应用及数据安全层面需要部署的安全产品如下: 1、VPN 2、网页防篡改系统(针对网站系统) 3、数据异地备份存储设备 4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)。 5、数据加密软件(满足加密存储,且加密算法需获得保密局认可
等保2.0 三级拓扑图+设备套餐+详解 一、等保2.0 三级信息系统 70-80 分套餐: 1、等保2.0 三级信息系统 70-80分拓扑图: 2、设备清单:下一代防火墙(含IPS、AV)+综合日志审计系统+堡垒机+数据 库审计系统+杀毒软件。 其他参考方案: ?【接入边界NGFW】【必配】:融合防火墙安全策略、访问控制功能。解决安全区域边界要求,并开启AV模块功能;配置网络接入控制功能(802.1X);配置SSL VPN功能; ?【分区边界NGFW 】【必配】:用于解决安全分区边界的访问控制问题; ?【主机杀毒软件】【必配】:解决安全计算环境要求; ?【日志审计系统】【必配】:解决安全管理中心要求; ?【堡垒机】【必配】:解决集中管控、安全审计要求;
?【数据库审计】【必选】:解决数据库操作行为和内容等进行细粒度的审计和管理,需要根据系统内是否包含数据库业务系统选择; ?【漏洞扫描】【必配】; ?【上网行为管理】【必选】; ?【WAF】【选配】。 3、详解: 第三级要求与第二级相比,主要区别在于多了关键设备及链路需要冗余、对重要区域重点保护需要防入侵防病毒、对远程访问及互联网用户的上网行为进行审计、运维人员的所有操作审计、对数据库的所有操作审计等要求,所以在应用服务器边界部署一组下一代防火墙、在互联网出口部署一台防火墙和上网行为管理用作内外网隔离及应用级的管控与审计,在安全管理区部署堡垒机和数据库审计系统对各方面的操作进行审计并保护审计日志,满足网络安全法的存储时间要求。,如果有互联网发布系统还需增加web防火墙来对系统进行防入侵、防篡改,在应用系统远程管理传输时还需使用HTTPS协议保护数据的完整性和保密性,总之涉及互联网系统或需求的就需增加WEB应用防火墙、上网行为管理和HTTPS来保证系统的安全。
等级保护三级产品清单供参考 对UCP600的分析 UCP600已于2006年11月正式颁布。要通读该文件并与UCP 500进行比较须注意以下几个问题: 一、条款的增减及审单标准的变化 UCP600从原先49条调整为39条,减多增少。 1.合并条款:原保险单据共三个条款现合并为第28条“保险单据和投保范围”。 2.分拆条款:原第9条“开证行和保兑行的责任”分拆成现第7条和第8条,分别规定。 3.其内容被完全删除的条款:原第8条“信用证的撤销”、第30 条“运输行
出具的运输单据”、第33条“运费待付/预付的运输单据”、第38条“其他单据”;但后三条的内容在补充解释UCP500的《国际标准银行实务》(ISBP)中却有详细规定。 4.增加的条款:第2条“定义”,第3条“解释”;第3条合并了原第8、46、47等条款许多内容。 5.为强调其意义从原各条款内容中单列出来的条款:第6条“兑用(可用)方式、交单到期日和地点”、第10条“修改”、第12条“指定”、第15条“相符提交或相符单据”、第17条“正本单据和副本”、第29条“到期日或最迟交单日的顺延”。相应被删除的原单列条款有:第10条“信用证的类型”、第12条“不完整地或不清楚的指示”、第21条“未规定单据出具人或单据的内容”、第22条“单据的出具日期与信用证日期”、第42条“交单到期日和地点”、第43条“到期日的限制”、第44条“到期日的顺延”、第46条“装运日期的一般用语”、第47条“装运期间的日期术语”等。以这些名称冠名的条款虽被删除,但其部分内容也被安排在其他条款中,部分表述作了调整。 要注意的是,新条款虽为39条,但业界要比照阅读的条款实际却大大增加了,那就是ISBP约200条。UCP600第14条d款明确规定对照解读单据中的数据内容(data)时除了具体信用证、单据本身外还有ISBP。与UCP600匹配的新的ISBP条款正在修订之中。UCP调整开证行、保兑行(如有)与申请人、受益人及各指定银行间的单据交易和债权债务清偿关系,而ISBP规范的是银行根据什么标准来审核受益人提交的单据,其内容不能穷尽却很详尽。要指出的是,UCP500的精神是“单证相符、单单不得互不一致”,而UCP600的精神根据第14条d款,即使在单证之间也不要求“等同”(identical),仅要求“不得矛盾”(mustnotconflictwith),这样比过去单单之间“不得互不一致”( notinconsistentwith)的说法更体现了审单标准宽松化的倾向。当然该条款并不表明审单放弃了“相符”的原则。有一例很能说明问题:
信息安全等级保护二级: 一、机房方面的安全措施需求(二级标准)如下: 1、防盗报警系统 2、灭火设备和火灾自动报警系统 3、水敏感检测仪及漏水检测报警系统 4、精密空调 5、备用发电机 二、主机和网络安全层面需要部署的安全产品如下: 1、防火墙或者入侵防御系统 2、上网行为管理系统 3、网络准入系统 4、审计平台或者统一监控平台(可满足主机、网络和应用层面的监控需求,在条件不允许的情况下,至少要使用数据库审计) 5、防病毒软件 三、应用及数据安全层面需要部署的安全产品如下: 1、VPN 2、网页防篡改系统(针对网站系统) 3、数据异地备份存储设备 4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)。
信息安全等级保护三级 一、机房方面的安全措施需求(三级标准)如下: 1、需要使用彩钢板、防火门等进行区域隔离 2、视频监控系统 3、防盗报警系统 4、灭火设备和火灾自动报警系统 5、水敏感检测仪及漏水检测报警系统 6、精密空调 7、除湿装置 8、备用发电机 9、电磁屏蔽柜 二、主机和网络安全层面需要部署的安全产品如下: 1、入侵防御系统 2、上网行为管理系统 3、网络准入系统 4、统一监控平台(可满足主机、网络和应用层面的监控需求) 5、防病毒软件 6、堡垒机 7、防火墙 8、审计平台(满足对操作系统、数据库、网络设备的审计,在条件不允许的情况下,至少要使用数据库审计) 三、应用及数据安全层面需要部署的安全产品如下: 1、VPN 2、网页防篡改系统(针对网站系统)
3、数据异地备份存储设备 4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)。 5、数据加密软件(满足加密存储,且加密算法需获得保密局认可
设备设施清单分级管控清单 1、临时设施安全检查分级管控清单 施工单位:河南十建建设工程有限公司项目名称:№:
第 4 页 设备设施清单分级管控清单 2、脚手架安全检查分级管控清单 施工单位:河南十建建设工程有限公司 项目名称: №: 审核人: 周建雨 日期: 审定人: 马永富 陈春地 设备设施: 脚手架 日期: 序号 风险点序 号 设备设施 检查项目 标准 不符 合标 准情况及后果 现有控制措施 风险评价 风险分级 管控层级 责任人 备注 工程技术措施 管理措施 培训教育措施 个体防护措施 应急处置措施 可能性 严重性 频次 风险值 评价 级别 1 1 脚手架材料、 构配 件 钢管 钢管材质、外径、壁厚、外形允许偏差应符合要求。 坍塌 1、脚手架钢管宜采用φ48.3×3.6mm 钢管;2、具有产品质量证明文 件;3、钢管外径、壁厚、外形允许偏差应符合《建筑施工脚手架安全技术统一标准》GB51210的规定;4、钢管在使用 前应涂刷防锈漆。 1、指定专人负责, 做好材料进场验收, 不符合要求的不得 进场;2、对不合格 品应及时报废,不得 使用带有裂纹、折 痕、表面明显凹陷、 严重锈蚀的钢管。 对责任人进行 《建筑施工脚手 架安全技术统一标准》GB51210的 培训。 6 7 6 252 Ⅱ 较大风险 项目 部级 2 扣件 扣件技术性能应符合规范标准。 坍塌 1扣件进场应经复试合格后使用2具有产品质 量证明文件3表面应光滑,不得有砂眼、气孔、裂纹、浇冒口残余等缺陷,表面粘砂应清除干净。 扣件进场前逐个进行检查,不合格扣件不得进场。 培训《钢管脚手 架扣件》GB15831规范。 6 7 6 252 Ⅱ 较大风险 项目 部级 3 型钢钢板圆 钢钢筋吊环预埋锚固螺栓钢丝绳 构配件材质、规格符合要求。 坍塌 符合专项方案要求。 指定专人负责,做好材料进场验收,不符合要求的不得进场。 对责任人进行 (建筑施工脚手架安全技术统一标准GB51210的 培训。 6 7 6 252 Ⅱ 较大风险 项目部级
等级保护三级系统应配备设备及服务清单 1物理安全部分 序号设备或措施功能部署位置 重要出入口(包括机1、机房入口 1 电子门禁房出入口和重要区域2、重要服务器 出入口等)区入口 2 光电防盗报警 防盗报警 机房窗户、入视频监控系统口等处 3 防雷保安器防感应雷配电箱 4 自动消防系统 要求自动检测火情、 自动报警、自动灭火 5 新风换气防水防潮 6 动力环境监测系统 -水敏感检测仪表 7 机房专用空调 防水防潮、温湿度控 制 8 接地系统防雷接地 9 UPS系统不间断电源(UPS) 是否 备注 必须 是 是可通过监控弥补 是 可以用手动灭火 器加报警器组成 可人工检测 海洛斯、艾默生 是 等 是 华为、APC、台是 达、山特等 2网络安全部分 序号设备或措施功能部署位置是否 备注必须 访问控制:实现路由 控制,数据流控制, 控制粒度到端口级;1、网络边界 1 应用级防火墙实现应用层访问控制2、重要服务器是 和过滤;控制空闲会区前端 话数、最大网络连接 原创内容侵权必究
数等 对网络流量进行监 2 流量控制设备控,保障重要资源的1、网络边界 优先访问 1、网络边界 3 流量清洗设备防止DDos攻击2、服务器前 端 对网络设备、服务 器、数据库、应用等 4 IT运维管理软件进行监控,包括监视安全管理区是 CPU、硬盘、内存、网 络资源的使用情况 对网络设备、安全设 5 日志审计系统备、操作系统的日志安全管理区是 进行集中存储、分析 原创内容侵权必究
6 网络审计系统分析网络流量,排除 核心交换区网络故障 支持多元化认证方 7 无线WIFI控制系统式,如短信认证、二 核心交换区维码认证、微信认证 等 终端健康状态检查、 8 终端安全管理系统终端准入控制、外设 安全管理区是(含准入硬件) 控制、终端非法外联 控制 IDS系统网络攻击检测/报警: 1、核心交换区 9 或IPS系统在网络边界处监视各是 2、网络边界 无线IDS系统种攻击行为 10 防毒墙网络入口病毒检测、 网络边界是查杀 云接入身份认证、链1、网络入口 11 VPN/VFW等路安全、虚拟服务器2、虚拟服务 间访问控制器 12 上网行为管理网络出口处是 对网络设备、服务 器、数据库、应用等 13 集中管控平台进行监控,包括监视网络管理中心是 CPU、硬盘、内存、网 络资源的使用情况 14 EMM 安全运行环境、代码 审核、安全app加壳 对网络设备身份鉴 原创内容侵权必究
安全风险分级管控清单 序 号 风险点(作业活动或设施)风险等级管控层级责任单位责任人分析来源 1 安全员巡检准备工作四级车间级安环部 工作危害分析(JHA)评价表了解安全、生产情况四级车间级安环部 检查交接班记录四级车间级安环部 参加交接班会四级车间级安环部 协助班组处理问题四级车间级安环部 检查班组工作完成情况四级车间级安环部 现场巡检四级车间级安环部 报告整改四级车间级安环部 2 采购作业考察厂家四级车间级生产部 工作危害分析(JHA)评价表供方评价四级车间级生产部 供方确定四级车间级生产部 合同签订四级车间级生产部 制定采购计划四级车间级生产部 3 气体采样释放静电四级班组级班组班长 工作危害分析(JHA)评价表打开采样阀四级班组级班组班长 连接采样球胆,反复3次置换采样四级班组级班组班长 球胆充满气体,拿到化验室分析四级班组级班组班长 4 化验分析烘箱加温四级班组级班组班长 工作危害分析(JHA)评价表化验作业四级班组级班组班长 化验结束四级班组级班组班长 安全风险分级管控清单
序号风险点(作业活动或设施)风险等级管控层级责任单位责任人分析来源 5 配电室 巡检准备工作四级车间级生产部 工作危害分析(JHA)评价表巡检工作四级车间级生产部 巡检后的检查四级车间级生产部 6 启停泵启动前检查四级班组级班组班长 工作危害分析(JHA)评价表启动及运行检查四级班组级班组班长 复查流程四级班组级班组班长 停泵四级班组级班组班长 关闭入口阀四级班组级班组班长 吹扫作业四级班组级班组班长 关闭出口阀四级班组级班组班长 清除泵体卫生四级班组级班组班长 7 气体充 装 引导车辆进入充装位四级班组级班组班长 工作危害分析(JHA)评价表检查罐车四级班组级班组班长 连接充装管四级班组级班组班长 连接静电接地四级班组级班组班长 摆放警示柱四级班组级班组班长 充气四级班组级班组班长 充气检查四级班组级班组班长 停止充气四级班组级班组班长 充装后检查四级班组级班组班长 摘除充装管、静电接地、警示柱、三角木四级班组级班组班长 引导车辆驶出场地四级班组级班组班长 安全风险分级管控清单 序号风险点(作业活动或设施)风险等级管控层级责任单位责任人分析来源