等级保护三级系统应配备设备及服务清单1 物理安全部分
1.1 技术要求 (4) 1.1.1 物理安全 (4) 1.1.1.1 物理位置的选择(G3) (4) 1.1.1.2 物理访问控制(G3) (4) 1.1.1.3 防盗窃和防破坏(G3) (4) 1.1.1.4 防雷击(G3) (4) 1.1.1.5 防火(G3) (4) 1.1.1.6 防水和防潮(G3) (5) 1.1.2 结构安全(G3) (5) 1.1.2.2 访问控制(G3) (5) 1.1.2.4 边界完整性检查(S3) (5) 1.1.2.5 入侵防范(G3) (5) 1.1.2.6 恶意代码防范(G3) (6) 1.1.2.7 网络设备防护(G3) (6) 1.1.3 主机安全 (6) 1.1.3.1 身份鉴别(S3) (6) 1.1.3.2 访问控制(S3) (6) 1.1.3.3 安全审计(G3) (6) 1.1.3.4 剩余信息保护(S3) (7) 1.1.4 应用安全 (7) 1.1.4.1 身份鉴别(S3) (7) 1.1.4.2 访问控制(S3) (7) 1.1.4.5 通信完整性(S3) (7) 1.1.4.6 通信保密性(S3) (7)
1.1.5 数据安全及备份恢复 (8) 1.1.5.1 数据完整性(S3) (8) 1.1.5.2 数据保密性(S3) (8) 1.1.5.3 备份和恢复(A3) (8) 1.2 管理要求 (9) 1.2.1 安全管理制度 (9) 1.2.1.1 管理制度(G3) (9) 1.2.1.2 制定和发布(G3) (9) 1.2.2.2 人员配备(G3) (9) 1.2.2.3 授权和审批(G3) (9) 1.2.2.4 沟通和合作(G3) (9) 1.2.2.5 审核和检查(G3) (10) 1.2.3 人员安全管理 (10) 1.2.3.1 人员录用(G3) (10) 1.2.3.2 人员离岗(G3) (10) 1.2.3.3 人员考核(G3) (10) 1.2.3.4 安全意识教育和培训(G3) (10) 1.2.3.5 外部人员访问管理(G3) (11) 1.2.4 系统建设管理 (11) 1.2.4.1 系统定级(G3) (11) 1.2.4.2 安全方案设计(G3) (11) 1.2.4.3 产品采购和使用(G3) (11)
二级等保 序号建议功能或模块建议方案或产品重要程度 主要依据备注 安全层面二级分项二级测评指标权重 1边界防火墙非常重要网络安全访问控制(G2)a)应在网络边界部署访问控制设备,启用访问控制功能; 1 b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。 1 2 入侵检测系统 (模块)非常重要网络安全入侵防范(G2) 应在网络边界处监视以下攻击行为:端口扫描、强 力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢 出攻击、IP碎片攻击和网络蠕虫攻击等 1 3 WEB应用防火墙(模 块)重要应用安全软件容错(A2) a)应提供数据有效性检验功能,保证通过人机接口 输入或通过通信接口输入的数据格式或长度符合系 统设定要求; 1 部分老旧应用无相关校验功 能,可由WEB应用防火墙对应 用请求进行合法性过滤 4日志审计系统syslog服务器非常重要网络安全安全审计(G2) a)应对网络系统中的网络设备运行状况、网络流量、 用户行为等进行日志记录; 1 b)审计记录应包括事件的日期和时间、用户、事件 类型、事件是否成功及其他与审计相关的信息。 0.5主机安全安全审计(G2) c)应保护审计记录,避免受到未预期的删除、修改 或覆盖等。 0.5 5 运维审计系统 (堡垒机)一般网络安全网络设备防护(G2) d)身份鉴别信息应具有不易被冒用的特点,口令应 有复杂度要求并定期更换; 1 部分网络设备不支持口令复杂 度策略与更换策略,需要第三 方运维管理工具实现。
6数据库审计重要主机安全安全审计(G2) a)审计范围应覆盖到服务器上的每个操作系统用户 和数据库用户; 1 7终端管理软件 (补丁分发系 统) 重要 网络安全边界完整性检查(S2) 应能够对内部网络中出现的内部用户未通过准许私 自联到外部网络的行为进行检查。 1 通过终端管理软件限制终端多 网卡情况 主机安全入侵防范(G2) 操作系统应遵循最小安装的原则,仅安装需要的组 件和应用程序,并通过设置升级服务器等方式保持 系统补丁及时得到更新。 1 可通过终端管理软件统一分发 补丁 8企业版杀毒软件重要主机安全恶意代码防范(G2)a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库 1 b)应支持防恶意代码的统一管理。1 9本地备份方案重要 数据管理 安全 备份和恢复(A2)a) 应能够对重要信息进行备份和恢复;0.5 三级等保 序号建议功能或模块建议方案或产品重要程度 主要依据备注 安全层面三级分项三级测评指标权重 1 边界防火墙与区域防火墙 (带宽管理模块)非常重要网络安全访问控制(G3) a)应在网络边界部署访问控制设备,启用访问控 制功能; 0.5 b)应能根据会话状态信息为数据流提供明确的 允许/拒绝访问的能力,控制粒度为端口级; 1
二级、三级等级保护要求比较一、技术要求 技术要求项二级等保三级等保 物理位置的选择1)机房和办公场地应选择 在具有防震、防风和防雨 等能力的建筑内。 1)机房和办公场地应选择在具有防震、防 风和防雨等能力的建筑内; 2)机房场地应避免设在建筑物的高层或地 下室,以及用水设备的下层或隔壁; 3)机房场地应当避开强电场、强磁场、强 震动源、强噪声源、重度环境污染、易 发生火灾、水灾、易遭受雷击的地区。 物理访问控制1)机房出入口应有专人值 守,鉴别进入的人员身份 并登记在案; 2)应批准进入机房的来访 人员,限制和监控其活动 范围。 1)机房出入口应有专人值守,鉴别进入的 人员身份并登记在案; 2)应批准进入机房的来访人员,限制和监 控其活动范围; 3)应对机房划分区域进行管理,区域和区 域之间设置物理隔离装置,在重要区域 前设置交付或安装等过度区域; 4)应对重要区域配置电子门禁系统,鉴别 和记录进入的人员身份并监控其活动。 物理安全 防盗窃和防破坏1)应将主要设备放置在物 理受限的范围内; 2)应对设备或主要部件进 行固定,并设置明显的不 易除去的标记; 3)应将通信线缆铺设在隐 蔽处,如铺设在地下或管 道中等; 4)应对介质分类标识,存储 在介质库或档案室中; 5)应安装必要的防盗报警 设施,以防进入机房的盗 窃和破坏行为。 1)应将主要设备放置在物理受限的范围内; 2)应对设备或主要部件进行固定,并设置 明显的无法除去的标记; 3)应将通信线缆铺设在隐蔽处,如铺设在 地下或管道中等; 4)应对介质分类标识,存储在介质库或档 案室中; 5)设备或存储介质携带出工作环境时,应 受到监控和内容加密; 6)应利用光、电等技术设置机房的防盗报 警系统,以防进入机房的盗窃和破坏行 为; 7)应对机房设置监控报警系统。
物理位置的选择(G3).................................................. 错误!未定义书签。 物理访问控制(G3).................................................... 错误!未定义书签。 防盗窃和防破坏(G3).................................................. 错误!未定义书签。 防雷击(G3).......................................................... 错误!未定义书签。 防火(G3)............................................................ 错误!未定义书签。 防水和防潮(G3)...................................................... 错误!未定义书签。结构安全(G3).............................................................. 错误!未定义书签。 访问控制(G3)........................................................ 错误!未定义书签。 边界完整性检查(S3).................................................. 错误!未定义书签。 入侵防范(G3)........................................................ 错误!未定义书签。 恶意代码防范(G3).................................................... 错误!未定义书签。 网络设备防护(G3).................................................... 错误!未定义书签。 主机安全.................................................................. 错误!未定义书签。 身份鉴别(S3)........................................................ 错误!未定义书签。 访问控制(S3)........................................................ 错误!未定义书签。 安全审计(G3)........................................................ 错误!未定义书签。 剩余信息保护(S3).................................................... 错误!未定义书签。 应用安全.................................................................. 错误!未定义书签。 身份鉴别(S3)........................................................ 错误!未定义书签。 访问控制(S3)........................................................ 错误!未定义书签。 通信完整性(S3)...................................................... 错误!未定义书签。 通信保密性(S3)...................................................... 错误!未定义书签。 抗抵赖(G3).......................................................... 错误!未定义书签。 软件容错(A3)........................................................ 错误!未定义书签。 资源控制(A3)........................................................ 错误!未定义书签。 数据安全及备份恢复........................................................ 错误!未定义书签。 数据完整性(S3)...................................................... 错误!未定义书签。
1.1 技术要求4 欧阳歌谷(2021.02.01) 1.1.1 物理平安4 1.1.1.1 物理位置的选择(G3)4 1.1.1.2 物理拜访控制(G3)4 1.1.1.3 防偷盗和防破坏(G3)5 1.1.1.4 防雷击(G3)5 1.1.1.5 防火(G3)5 1.1.1.6 防水和防潮(G3)6 1.1.2 结构平安(G3)6 1.1. 2.2 拜访控制(G3)7 1.1. 2.4 鸿沟完整性检查(S3)7 1.1. 2.5 入侵防备(G3)7 1.1. 2.6 歹意代码防备(G3)8 1.1. 2.7 网络设备防护(G3)8 1.1.3 主机平安8 1.1.3.1 身份鉴别(S3)8 1.1.3.2 拜访控制(S3)9 1.1.3.3 平安审计(G3)9 1.1.3.4 剩余信息呵护(S3)10 1.1.4 应用平安10
1.1.4.1 身份鉴别(S3)10 1.1.4.2 拜访控制(S3)11 1.1.4.5 通信完整性(S3)11 1.1.4.6 通信保密性(S3)12 1.1.4.7 抗承认(G3)12 1.1.4.8 软件容错(A3)12 1.1.4.9 资源控制(A3)12 1.1.5 数据平安及备份恢复13 1.1.5.1 数据完整性(S3)13 1.1.5.2 数据保密性(S3)13 1.1.5.3 备份和恢复(A3)14 1.2 管理要求14 1.2.1 平安管理制度14 1.2.1.1 管理制度(G3)14 1.2.1.2 制定和宣布(G3)15 1.2.2.2 人员配备(G3)15 1.2.2.3 授权和审批(G3)15 1.2.2.4 沟通和合作(G3)16 1.2.2.5 审核和检查(G3)16 1.2.3 人员平安管理17 1.2.3.1 人员录用(G3)17 1.2.3.2 人员离岗(G3)17
1.1 技术要求 (3) 1.1.1 物理安全 (3) 1.1.1.1 物理位置的选择(G3) (3) 1.1.1.2 物理访问控制(G3) (3) 1.1.1.3 防盗窃和防破坏(G3) (3) 1.1.1.4 防雷击(G3) (4) 1.1.1.5 防火(G3) (4) 1.1.1.6 防水和防潮(G3) (4) 1.1.2 结构安全(G3) (4) 1.1.2.2 访问控制(G3) (5) 1.1.2.4 边界完整性检查(S3) (5) 1.1.2.5 入侵防(G3) (5) 1.1.2.6 恶意代码防(G3) (5) 1.1.2.7 网络设备防护(G3) (6) 1.1.3 主机安全 (6) 1.1.3.1 身份鉴别(S3) (6) 1.1.3.2 访问控制(S3) (6) 1.1.3.3 安全审计(G3) (7) 1.1.3.4 剩余信息保护(S3) (7) 1.1.4 应用安全 (8) 1.1.4.1 身份鉴别(S3) (8) 1.1.4.2 访问控制(S3) (8) 1.1.4.5 通信完整性(S3) (8) 1.1.4.6 通信性(S3) (8) 1.1.4.7 抗抵赖(G3) (9) 1.1.4.8 软件容错(A3) (9) 1.1.4.9 资源控制(A3) (9) 1.1.5 数据安全及备份恢复 (9) 1.1.5.1 数据完整性(S3) (9) 1.1.5.2 数据性(S3) (10) 1.1.5.3 备份和恢复(A3) (10) 1.2 管理要求 (10) 1.2.1 安全管理制度 (10) 1.2.1.1 管理制度(G3) (10) 1.2.1.2 制定和发布(G3) (11) 1.2.2.2 人员配备(G3) (11) 1.2.2.3 授权和审批(G3) (11) 1.2.2.4 沟通和合作(G3) (11) 1.2.2.5 审核和检查(G3) (12) 1.2.3 人员安全管理 (12) 1.2.3.1 人员录用(G3) (12) 1.2.3.2 人员离岗(G3) (12) 1.2.3.3 人员考核(G3) (13) 1.2.3.4 安全意识教育和培训(G3) (13) 1.2.3.5 外部人员访问管理(G3) (13) 1.2.4 系统建设管理 (13)
信息安全等级保护建设(二,三级)需上的设备 信息安全等级保护二级: 一、机房方面的安全措施需求(二级标准)如下: 1、防盗报警系统 2、灭火设备和火灾自动报警系统 3、水敏感检测仪及漏水检测报警系统 4、精密空调 5、备用发电机 二、主机和网络安全层面需要部署的安全产品如下: 1、防火墙或者入侵防御系统 2、上网行为管理系统 3、网络准入系统 4、审计平台或者统一监控平台(可满足主机、网络和应用层面的监控需求,在条件不允许的情况下,至少要使用数据库审计) 5、防病毒软件 三、应用及数据安全层面需要部署的安全产品如下: 1、VPN 2、网页防篡改系统(针对网站系统) 3、数据异地备份存储设备 4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)。
信息安全等级保护三级 一、机房方面的安全措施需求(三级标准)如下: 1、需要使用彩钢板、防火门等进行区域隔离 2、视频监控系统 3、防盗报警系统 4、灭火设备和火灾自动报警系统 5、水敏感检测仪及漏水检测报警系统 6、精密空调 7、除湿装置 8、备用发电机 9、电磁屏蔽柜 二、主机和网络安全层面需要部署的安全产品如下: 1、入侵防御系统 2、上网行为管理系统 3、网络准入系统 4、统一监控平台(可满足主机、网络和应用层面的监控需求) 5、防病毒软件 6、堡垒机 7、防火墙 8、审计平台(满足对操作系统、数据库、网络设备的审计,在条件不允许的情况下,至少要使用数据库审计) 三、应用及数据安全层面需要部署的安全产品如下: 1、VPN 2、网页防篡改系统(针对网站系统) 3、数据异地备份存储设备 4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)。 5、数据加密软件(满足加密存储,且加密算法需获得保密局认可
技术测评要求 (S3A3G3)等级保护三级技术类测评控制点(S3A3G3) 类别序号 物理 1. 位置 的选 2. 择 3. 物理 4.物理访问 安全控制 5. 6. 7. 防盗 窃和8. 防破 坏 9. 测评内容 机房和办公场地应选择在具有防震、防风和防 雨等能力的建筑内。( G2) 机房场地应避免设在建筑物的高层或地下室, 以及用水设备的下层或隔壁。( G3) 机房出入口应安排专人值守,控制、鉴别和记 录进入的人员。( G2) 需进入机房的来访人员应经过申请和审批流 程,并限制和监控其活动范围。( G2) 应对机房划分区域进行管理,区域和区域之间 设置物理隔离装置,在重要区域前设置交付或 安装等过渡区域。( G3) 重要区域应配置电子门禁系统,控制、鉴别和 记录进入的人员。( G3) 应将主要设备放置在机房内。( G2) 应将设备或主要部件进行固定,并设置明显的 不易除去的标记。( G2) 应将通信线缆铺设在隐蔽处,可铺设在地下或 管道中。( G2) 符合情况 测评方法结果记录 Y N 访谈,检查。 物理安全负责人,机房,办公场地, 机房场地设计/ 验收文档。 访谈,检查。 物理安全负责人,机房值守人 员,机房,机房安全管理制度, 值守记录,进入机房的登记记 录,来访人员进入机房的审批记 录。 访谈,检查。 物理安全负责人,机房维护人员, 资产管理员,机房设施,设备管 理制度文档,通信线路布线文 档,报警设施的安装测试/ 验收报
等级保护三级技术类测评控制点(S3A3G3) 类别 防雷 击 防火 防水 和防 潮 序号测评内容 10. 应对介质分类标识,存储在介质库或档案室中。 ( G2) 11. 应利用光、电等技术设置机房防盗报警系统。 ( G3) 12.应对机房设置监控报警系统。( G3) 13.机房建筑应设置避雷装置。( G2) 14.应设置防雷保安器,防止感应雷。(G3) 15.机房应设置交流电源地线。( G2) 机房应设置火灾自动消防系统,能够自动检测 16. 火情、自动报警,并自动灭火。( G3) 机房及相关的工作房间和辅助房应采用具有耐 17. 火等级的建筑材料。( G3) 机房应采取区域隔离防火措施,将重要设备与 18. 其他设备隔离开。( G3) 水管安装,不得穿过机房屋顶和活动地板下。 19. (G2) 应采取措施防止雨水通过机房窗户、屋顶和墙 20. 壁渗透。( G2) 应采取措施防止机房内水蒸气结露和地下积水 21. 的转移与渗透。( G2) 22.应安装对水敏感的检测仪表或元件,对机房进 符合情况 测评方法结果记录 Y N 告。 访谈,检查。 物理安全负责人,机房维护人员, 机房设施(避雷装置,交流电源地 线),建筑防雷设计 / 验收文档。 访谈,检查。 物理安全负责人,机房值守人员, 机房设施,机房安全管理制度,机 房防火设计 / 验收文档,火灾自 动报警系统设计/ 验收文档。 访谈,检查。 物理安全负责人,机房维护人员, 机房设施(上下水装置,除湿装置), 建筑防水和防潮设计 / 验收文 档。
1.1 技术要求4 欧阳家百(2021.03.07) 1.1.1 物理平安4 1.1.1.1 物理位置的选择(G3)4 1.1.1.2 物理拜访控制(G3)4 1.1.1.3 防偷盗和防破坏(G3)5 1.1.1.4 防雷击(G3)5 1.1.1.5 防火(G3)5 1.1.1.6 防水和防潮(G3)6 1.1.2 结构平安(G3)6 1.1. 2.2 拜访控制(G3)6 1.1. 2.4 鸿沟完整性检查(S3)7 1.1. 2.5 入侵防备(G3)7 1.1. 2.6 歹意代码防备(G3)7 1.1. 2.7 网络设备防护(G3)8 1.1.3 主机平安8 1.1.3.1 身份鉴别(S3)8 1.1.3.2 拜访控制(S3)9 1.1.3.3 平安审计(G3)9 1.1.3.4 剩余信息呵护(S3)10 1.1.4 应用平安10 1.1.4.1 身份鉴别(S3)10
1.1.4.2 拜访控制(S3)11 1.1.4.5 通信完整性(S3)11 1.1.4.6 通信保密性(S3)11 1.1.4.7 抗承认(G3)11 1.1.4.8 软件容错(A3)12 1.1.4.9 资源控制(A3)12 1.1.5 数据平安及备份恢复13 1.1.5.1 数据完整性(S3)13 1.1.5.2 数据保密性(S3)13 1.1.5.3 备份和恢复(A3)13 1.2 管理要求14 1.2.1 平安管理制度14 1.2.1.1 管理制度(G3)14 1.2.1.2 制定和宣布(G3)14 1.2.2.2 人员配备(G3)14 1.2.2.3 授权和审批(G3)15 1.2.2.4 沟通和合作(G3)15 1.2.2.5 审核和检查(G3)16 1.2.3 人员平安管理16 1.2.3.1 人员录用(G3)16 1.2.3.2 人员离岗(G3)17 1.2.3.3 人员考核(G3)17 1.2.3.4 平安意识教育和培训(G3)17
等保2.0 三级拓扑图+设备套餐+详解 一、等保2.0 三级信息系统 70-80 分套餐: 1、等保2.0 三级信息系统 70-80分拓扑图: 2、设备清单:下一代防火墙(含IPS、AV)+综合日志审计系统+堡垒机+数据 库审计系统+杀毒软件。 其他参考方案: ?【接入边界NGFW】【必配】:融合防火墙安全策略、访问控制功能。解决安全区域边界要求,并开启AV模块功能;配置网络接入控制功能(802.1X);配置SSL VPN功能; ?【分区边界NGFW 】【必配】:用于解决安全分区边界的访问控制问题; ?【主机杀毒软件】【必配】:解决安全计算环境要求; ?【日志审计系统】【必配】:解决安全管理中心要求; ?【堡垒机】【必配】:解决集中管控、安全审计要求;
?【数据库审计】【必选】:解决数据库操作行为和内容等进行细粒度的审计和管理,需要根据系统内是否包含数据库业务系统选择; ?【漏洞扫描】【必配】; ?【上网行为管理】【必选】; ?【WAF】【选配】。 3、详解: 第三级要求与第二级相比,主要区别在于多了关键设备及链路需要冗余、对重要区域重点保护需要防入侵防病毒、对远程访问及互联网用户的上网行为进行审计、运维人员的所有操作审计、对数据库的所有操作审计等要求,所以在应用服务器边界部署一组下一代防火墙、在互联网出口部署一台防火墙和上网行为管理用作内外网隔离及应用级的管控与审计,在安全管理区部署堡垒机和数据库审计系统对各方面的操作进行审计并保护审计日志,满足网络安全法的存储时间要求。,如果有互联网发布系统还需增加web防火墙来对系统进行防入侵、防篡改,在应用系统远程管理传输时还需使用HTTPS协议保护数据的完整性和保密性,总之涉及互联网系统或需求的就需增加WEB应用防火墙、上网行为管理和HTTPS来保证系统的安全。
机房等保三级技术要求(加分
技术测评要求(S3A3G3) 等级保护二级技术类测评控制点(S3A3G3) 类别 序 号测评内容测评方法结果记录 符合情 况 Y N 物理安全物 理 位 置 的 选 择 1. 机房和办公场地应选择在具 有防震、防风和防雨等能力 的建筑内。 (G2 访谈,检查。 物理房场地公场人验 机房场地设计/验2. 机房场地应避免设在建筑物 的高层或地下室, 以及用水设备的下层或隔 壁。(G3 物 3.机房出入口应安排专人物理安全检查人,
等级保护三级技术类测评控制点(S3A3G3)类别测评内容 理访问控制 值守,控制、鉴别和记录进 入的人员。(G2)需进入 机房的来访人员应经过申请 和审批流程,并限制和监控 其活动范围。(G2) 应对机房划分区域进行 5.管理,区域和区域之间设置 物理隔离装置,在 结果记录 符合情 况 Y N 测评方法
等级保护二级技术类测评控制点(S3A3G3) 类别 序 号 测评内容测评方法结果记录 符合情 况 Y N 重要区域前设置父付或安装 等过渡区域。(G3 6.重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。(G3 防盗窃和7. 应将主要设备放置在机房 内。(G2 。 人 ^ 房 制 * 杳 盲 鸽 报 检 人 甲 ‘ 谈 文 访 8. 应将设备或主要部件进行固 定,并设置明显的
等级保护二级技术类测评控制点(S3A3G3) 类别 序 号测评内容测评方法结果记录 符合情 况 Y N 防破坏 不易除去的标记。(G2)施的安报测试 /验9. 应将通信线缆铺设在隐蔽 处,可铺设在地下或管道 中。(G2) 10.应对介质分类标识,存储在 介质库或档案室中。(G2) 11. 应利用光、电等技术设置机 房防盗报警系统。
技术要求...................................................................... 错误!未定义书签。 物理安全.................................................................. 错误!未定义书签。 物理位置的选择(G3).................................................. 错误!未定义书签。 物理访问控制(G3).................................................... 错误!未定义书签。 防盗窃和防破坏(G3).................................................. 错误!未定义书签。 防雷击(G3).......................................................... 错误!未定义书签。 防火(G3)............................................................ 错误!未定义书签。 防水和防潮(G3)...................................................... 错误!未定义书签。结构安全(G3).............................................................. 错误!未定义书签。 访问控制(G3)........................................................ 错误!未定义书签。 边界完整性检查(S3).................................................. 错误!未定义书签。 、 入侵防范(G3)........................................................ 错误!未定义书签。 恶意代码防范(G3).................................................... 错误!未定义书签。 网络设备防护(G3).................................................... 错误!未定义书签。 主机安全.................................................................. 错误!未定义书签。 身份鉴别(S3)........................................................ 错误!未定义书签。 访问控制(S3)........................................................ 错误!未定义书签。 安全审计(G3)........................................................ 错误!未定义书签。 剩余信息保护(S3).................................................... 错误!未定义书签。 应用安全.................................................................. 错误!未定义书签。 身份鉴别(S3)........................................................ 错误!未定义书签。 访问控制(S3)........................................................ 错误!未定义书签。 ? 通信完整性(S3)...................................................... 错误!未定义书签。 通信保密性(S3)...................................................... 错误!未定义书签。 抗抵赖(G3).......................................................... 错误!未定义书签。 软件容错(A3)........................................................ 错误!未定义书签。 资源控制(A3)........................................................ 错误!未定义书签。 数据安全及备份恢复........................................................ 错误!未定义书签。 数据完整性(S3)...................................................... 错误!未定义书签。 数据保密性(S3)...................................................... 错误!未定义书签。 备份和恢复(A3)...................................................... 错误!未定义书签。 管理要求.................................................................. 错误!未定义书签。 安全管理制度.............................................................. 错误!未定义书签。 ; 管理制度(G3)........................................................ 错误!未定义书签。 制定和发布(G3)...................................................... 错误!未定义书签。 人员配备(G3)........................................................ 错误!未定义书签。 授权和审批(G3)...................................................... 错误!未定义书签。 沟通和合作(G3)...................................................... 错误!未定义书签。 审核和检查(G3)...................................................... 错误!未定义书签。 人员安全管理.............................................................. 错误!未定义书签。 人员录用(G3)........................................................ 错误!未定义书签。 人员离岗(G3)........................................................ 错误!未定义书签。 人员考核(G3)........................................................ 错误!未定义书签。 安全意识教育和培训(G3).............................................. 错误!未定义书签。 " 外部人员访问管理(G3)................................................ 错误!未定义书签。 系统建设管理.............................................................. 错误!未定义书签。
等级保护三级产品清单供参考 对UCP600的分析 UCP600已于2006年11月正式颁布。要通读该文件并与UCP 500进行比较须注意以下几个问题: 一、条款的增减及审单标准的变化 UCP600从原先49条调整为39条,减多增少。 1.合并条款:原保险单据共三个条款现合并为第28条“保险单据和投保范围”。 2.分拆条款:原第9条“开证行和保兑行的责任”分拆成现第7条和第8条,分别规定。 3.其内容被完全删除的条款:原第8条“信用证的撤销”、第30 条“运输行
出具的运输单据”、第33条“运费待付/预付的运输单据”、第38条“其他单据”;但后三条的内容在补充解释UCP500的《国际标准银行实务》(ISBP)中却有详细规定。 4.增加的条款:第2条“定义”,第3条“解释”;第3条合并了原第8、46、47等条款许多内容。 5.为强调其意义从原各条款内容中单列出来的条款:第6条“兑用(可用)方式、交单到期日和地点”、第10条“修改”、第12条“指定”、第15条“相符提交或相符单据”、第17条“正本单据和副本”、第29条“到期日或最迟交单日的顺延”。相应被删除的原单列条款有:第10条“信用证的类型”、第12条“不完整地或不清楚的指示”、第21条“未规定单据出具人或单据的内容”、第22条“单据的出具日期与信用证日期”、第42条“交单到期日和地点”、第43条“到期日的限制”、第44条“到期日的顺延”、第46条“装运日期的一般用语”、第47条“装运期间的日期术语”等。以这些名称冠名的条款虽被删除,但其部分内容也被安排在其他条款中,部分表述作了调整。 要注意的是,新条款虽为39条,但业界要比照阅读的条款实际却大大增加了,那就是ISBP约200条。UCP600第14条d款明确规定对照解读单据中的数据内容(data)时除了具体信用证、单据本身外还有ISBP。与UCP600匹配的新的ISBP条款正在修订之中。UCP调整开证行、保兑行(如有)与申请人、受益人及各指定银行间的单据交易和债权债务清偿关系,而ISBP规范的是银行根据什么标准来审核受益人提交的单据,其内容不能穷尽却很详尽。要指出的是,UCP500的精神是“单证相符、单单不得互不一致”,而UCP600的精神根据第14条d款,即使在单证之间也不要求“等同”(identical),仅要求“不得矛盾”(mustnotconflictwith),这样比过去单单之间“不得互不一致”( notinconsistentwith)的说法更体现了审单标准宽松化的倾向。当然该条款并不表明审单放弃了“相符”的原则。有一例很能说明问题:
信息系统安全等级保护3级基本要求及评估测评准则 基本要求 技术要求 物理安全 物理位置的选择(G3) 本项要求包括: 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔 壁。 物理访问控制(G3) 本项要求包括: 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范 围; 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域; 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 防盗窃和防破坏(G3) 本项要求包括: 应将主要设备放置在机房内; 应将设备或主要部件进行固定,并设置明显的不易除去的标记; 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; 应对介质分类标识,存储在介质库或档案室中; 应利用光、电等技术设置机房防盗报警系统; 应对机房设置监控报警系统。 防雷击(G3) 本项要求包括: a)机房建筑应设置避雷装置; b)应设置防雷保安器,防止感应雷; c)机房应设置交流电源地线。
防火(G3) 本项要求包括: )机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动 灭火; )机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 防水和防潮(G3) 本项要求包括: 水管安装,不得穿过机房屋顶和活动地板下; 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 防静电(G3) 本项要求包括: 主要设备应采用必要的接地防静电措施; 机房应采用防静电地板。 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 电力供应(A3) 本项要求包括: 应在机房供电线路上配置稳压器和过电压防护设备; 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要 求; 应设置冗余或并行的电力电缆线路为计算机系统供电; 应建立备用供电系统。 电磁防护(S3) 本项要求包括: 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰; 电源线和通信线缆应隔离铺设,避免互相干扰;
等级保护三级系统应配备设备及服务清单 1物理安全部分 序号设备或措施功能部署位置 重要出入口(包括机1、机房入口 1 电子门禁房出入口和重要区域2、重要服务器 出入口等)区入口 2 光电防盗报警 防盗报警 机房窗户、入视频监控系统口等处 3 防雷保安器防感应雷配电箱 4 自动消防系统 要求自动检测火情、 自动报警、自动灭火 5 新风换气防水防潮 6 动力环境监测系统 -水敏感检测仪表 7 机房专用空调 防水防潮、温湿度控 制 8 接地系统防雷接地 9 UPS系统不间断电源(UPS) 是否 备注 必须 是 是可通过监控弥补 是 可以用手动灭火 器加报警器组成 可人工检测 海洛斯、艾默生 是 等 是 华为、APC、台是 达、山特等 2网络安全部分 序号设备或措施功能部署位置是否 备注必须 访问控制:实现路由 控制,数据流控制, 控制粒度到端口级;1、网络边界 1 应用级防火墙实现应用层访问控制2、重要服务器是 和过滤;控制空闲会区前端 话数、最大网络连接 原创内容侵权必究
数等 对网络流量进行监 2 流量控制设备控,保障重要资源的1、网络边界 优先访问 1、网络边界 3 流量清洗设备防止DDos攻击2、服务器前 端 对网络设备、服务 器、数据库、应用等 4 IT运维管理软件进行监控,包括监视安全管理区是 CPU、硬盘、内存、网 络资源的使用情况 对网络设备、安全设 5 日志审计系统备、操作系统的日志安全管理区是 进行集中存储、分析 原创内容侵权必究
6 网络审计系统分析网络流量,排除 核心交换区网络故障 支持多元化认证方 7 无线WIFI控制系统式,如短信认证、二 核心交换区维码认证、微信认证 等 终端健康状态检查、 8 终端安全管理系统终端准入控制、外设 安全管理区是(含准入硬件) 控制、终端非法外联 控制 IDS系统网络攻击检测/报警: 1、核心交换区 9 或IPS系统在网络边界处监视各是 2、网络边界 无线IDS系统种攻击行为 10 防毒墙网络入口病毒检测、 网络边界是查杀 云接入身份认证、链1、网络入口 11 VPN/VFW等路安全、虚拟服务器2、虚拟服务 间访问控制器 12 上网行为管理网络出口处是 对网络设备、服务 器、数据库、应用等 13 集中管控平台进行监控,包括监视网络管理中心是 CPU、硬盘、内存、网 络资源的使用情况 14 EMM 安全运行环境、代码 审核、安全app加壳 对网络设备身份鉴 原创内容侵权必究
龙源期刊网 https://www.doczj.com/doc/734834285.html, 信息安全等保三级要求改建医院信息机房分析 作者:丁晓兰 来源:《科技风》2017年第09期 摘要:目前,国家相关部门颁发了《信息安全等级保护工作指导意见》,明确要求,三 级医院内部的信息系统安全保护原则不可以低于三级。我院为三级甲等综合医院,随着社会的快速发展,医院的规模也在不断扩大,医院的信息量不断增多,原有的信息机房已经无法满足医院发展的实际需求。对此,医院需要根据卫生部的要求来改建医院内部信息机房,以更好的满足医院的发展需求,推动医院的快速发展。 关键词:信息安全;三级要求;改建;信息机房 目前,医院信息系统安全等级包括以下要求:一是基础技术要求,二是基础管理要求。医院信息机房的技术安全实际上就是在信息系统内设置安全配置来提高信息系统的安全性。医院信息机房管理安全实际上就是通过控制多种角色来做出规定。医院需要结合实际情况合理制定信息机房改建方案,提高医院信息机房的安全等级。 1 医院信息机房物理位置的选择 医院主机房已经成为信息系统的基础和核心,我院机房分为南北两院,主机房设在南院,主机房位置选择是否合理不仅关系到信息系统运行的稳定性和安全性,也关系到医院的未来发展。医院信息主机房物理位置的选择必须遵循以下几点: 一是医院信息主机房必须具有一定的安全防范能力,也就是说主机房内部必须配备防风等安全设备,这就需要医院加大主机房安全设施方面的资金投入。 二是主机房的位置不能过低也不能过高,机房的顶端不可以有用水设施。 三是相对而言,医院的环境比较特殊,医院信息主机房必须远离医院的放射科,避免受到干扰。 四是医院信息主机房必须具有一定的承载力,如果主机房的承载力不符合相关要求就需要更换主机房的地点。如果不想更换主机房的地点,就需要对主机房的结构进行加固,可以使用混凝土构件来加固。 五是医院的信息主机房必须满足国家消防要求,灭火设备通常情况下会安装在主机房的外部,如果发生火灾,在灭火程序启动的一瞬间灭火系统就会被启动。医院主机房需要与其他房间隔离开,而且非机房人员不得随意进入机房,以免出现错误操作。