搜索
信息系统安全等级保护基本要求标准研读-2-Allrightsreserved©2007目录物理安全网络安全主机安全应用安全数据安全及备份恢复安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理-3-Allrightsreserved©2007物理位置的选择(G3)标准要求a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。标准理解机房或机房所在建筑物应由物业提供的本建筑物符合当地抗震要求的相关证明。机房主墙壁没有对外的窗户,否则,窗户应做密封、防水处理。机房场地不宜设在建筑物顶层,如果不可避免,应采取有效防水措施。机房场地设在建筑物地下室的,应采取有效的防水措施;机房场地设在高层建筑物高区的,应对设备采取有效固定措施如果机房周围有用水设备,应当有防护渗水和疏导措施。-4-Allrightsreserved©2007物理访问控制(G3)标准要求a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。标准理解(1)有专门的机房值班人员,或采取监控设备将机房出入情况传输到专门的楼宇值班点;(2)通过记录表或监控录像记录机房出入情况。(3)机房的设备区域和辅助工作区域应当进行分区管理,并采取物理隔断方式。(4)机房设施的交付或安装应在辅助区域内进行。(5)查看门禁装置及记录-5-Allrightsreserved©2007防盗窃和防破坏(G3)标准要求a)应将主要设备放置在机房内;b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d)应对介质分类标识,存储在介质库或档案室中;e)应利用光、电等技术设置机房防盗报警系统;f)应对机房设置监控报警系统。标准理解(1)主要设备、机柜、机架等应有明显不易除去的标识,如以标签或铭牌等方式;(2)主要设备必须安装、固定在机柜内或机架上。(3)通信线缆可铺设在地下、管道或线槽中。(4)参见7.2.5.3介质管理的有关要求。(5)在机房的出入口采取红外、接触式感应等设备进行防盗。(6)应至少对机房的出入口、操作台等区域进行摄像监控;(7)监控记录至少保存一个月。-6-Allrightsreserved©2007防雷击(G3)标准要求机房建筑应设置避雷装置;应设置防雷保安器,防止感应雷;机房应设置交流电源地线。标准理解(1)机房或机房所在大楼,应根据建筑设计要求,设计并安装防雷击措施,防雷措施包括但不限于避雷针、避雷器,以及电路设计;(2)避雷系统必须经过国家主管部门的技术检测并合格;(3)每年一次对防雷装置进行检测;-7-Allrightsreserved©2007防火(G3)标准要求机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。标准理解(1)机房的火灾自动消防系统具备自动报警和灭火功能,并通过当地公安消防部门的验收;(2)机房的设备区域应采取气体灭火装置;(3)机房设备区域与其他区域的隔离材料必须达到防火等级二级;(4)保存消防系统的各类技术资料,并有专人对消防系统进行维护(5)每年至少一次对消防设备的使用、维护人员进行培训。-8-Allrightsreserved©2007防水和防潮(G3)标准要求水管安装,不得穿过机房屋顶和活动地板下;应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。标准理解(1)提供建筑防水和防潮设计/验收文档,检查实际建设是否与机房防水防潮的实际情况一致;(2)机房装修时必须有上下墙体保温层,以防止隔层结露;(3)及时检查机房是否存在屋顶和墙壁等出现过漏水、渗透和返潮现象;(4)布置漏水监控装置。-9-Allrightsreserved©2007防静电(G3)标准要求主要设备应采用必要的接地防静电措施;机房应采用防静电地板。标准理解(1)提供对机房环境静电的检测报告或证书;(2)对进入机房设备区域,必须采取防尘措施,以防止灰尘的引入导致产生静电;(3)在设备集中的区域,采取防静电工作台、静电消除剂和静电消除器等措施以防止静电的产生。-10-Allrightsreserved©2007温湿度控制(G3)标准要求机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。标准理解(1)采取精密空调方式保持机房的恒温恒湿;(2)根据各地实际情况,应安装除湿、加湿设备以保持机房温在22(正负3)度范围内,湿度保持在45%~65%之间。-11-Allrightsreserved©2007电力供应(A3)标准要求应在机房供电线路上配置稳压器和过电压防护设备;应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求;应设置冗余或并行的电力电缆线路为计算机系统供电;应建立备用供电系统。标准理解(1)机房必须配备UPS,机房供电和照明必须分开不同的配电柜;(2)采用双路供电,或配备、租用发电机;应急供电设备的供电能力应保障业务不间断所需要的UPS及空调供电;(3)如果不具备后备供电设施,UPS供电时间不得小于4小时;(4)具备后备供电设施的,UPS供电时间不少于1小时;(5)每季度对UPS进行一次检测,并形成检测记录。-12-Allrightsreserved©2007电磁防护(S3)标准要求应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;电源线和通信线缆应隔离铺设,避免互相干扰;应对关键设备和磁介质实施电磁屏蔽。标准理解(1)机房或机房所在的大楼必须有接地措施,并且接地电阻必须小于1欧姆;(2)接地电阻的接地效果应经过专业技术机构的检测;(3)强、弱电线路必须走不同的桥架或管道;(4)如果机房附近存在强电磁场,如无线基站、电力变压器等,应采取屏蔽室方式。-13-Allrightsreserved©2007目录(按第三级要求)物理安全网络安全主机安全应用安全数据安全及备份恢复安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理-14-Allrightsreserved©2007结构安全(G3)----1标准要求应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;应保证网络各个部分的带宽满足业务高峰期需要;应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;应绘制与当前运行情况相符的网络拓扑结构图;应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;标准理解(1)主要网络设备的业务处理能力至少为历史峰值的1.5--2.0倍;(2)带宽利用率超过80%的最大持续小于5分钟,一日内累计时间不超过10分钟;(3)边界和主要网络设备应配置路由控制策略,如策略路由、ACL等,建立安全的访问路径。(4)应绘制完整的网络拓扑结构图,粒度到设备级,包含IP地址、设备主要信息,与当前运行情况相符,并有相应的配置表;并及时更新(5)应有IP/VLAN/MPLS地址分配方案文档;-15-Allrightsreserved©2007结构安全(G3)----2标准要求应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。标准理解(1)确定组织的网络边界,根据边界划分安全域,针对安全域采取合适的安全隔离措施,形成安全策略文档,隔离方式视安全需求可采取物理隔离或防火墙、VLAN、VPN等逻辑隔离措施。(2)对业务网和内部办公网实施物理或逻辑隔离;(3)对所有业务确定重要性、优先级,制定业务相关带宽分配原则及相应的带宽控制策略,根据安全需求,采取网络QoS或专用带宽管理设备等措施。-16-Allrightsreserved©2007访问控制(G3)---1标准要求应在网络边界部署访问控制设备,启用访问控制功能;应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;应在会话处于非活跃一定时间或会话结束后终止网络连接;标准理解(1)网络边界应部署防火墙/路由器ACL,应能根据会话状态信息设定过滤规则集,规则集应涵盖对所有出入边界的数据包的处理方法,对于没有明确定义的数据包,应缺省拒绝,需要拒绝的协议应显式的拒绝并开启日志记录;(2)控制粒度为端口级。(3)过滤规则应易于理解,易于编辑修改;(4)应进行一致性检测,防止规则冲突;(5)使用HTTP、FTP、TELNET、SMTP、POP3等服务,则必须部署内容审计产品-17-Allrightsreserved©2007访问控制(G3)---2标准要求应限制网络最大流量数及网络连接数;重要网段应采取技术手段防止地址欺骗;应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;应限制具有拨号访问权限的用户数量。标准理解(6)管理终端连接网络设备,当会话处于非活跃时间超过5分钟或会话结束后终止网络连接;(7)关闭闲置的网络端口;(8)重要网络用端口与mac地址绑定方式防止地址欺骗;(9)对不同用户建立一个授权访问列表,控制粒度为单个用户;(10)禁止使用拨号或互联网对网络设备进行管理和维护;(11)拨号访问服务器限制用户数量和权限。-18-Allrightsreserved©2007安全审计(G3)标准要求应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;应能够根据记录数据进行分析,并生成审计报表;应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。标准理解(1)关闭闲置的网络端口;(2)重要网络用端口与mac地址绑定方式防止地址欺骗;(3)对不同用户建立一个授权访问列表,控制粒度为单个用户;(4)禁止使用拨号或互联网对网络设备进行管理和维护;(5)拨号访问服务器限制用户数量和权限。-19-Allrightsreserved©2007边界完整性检查(S3)标准要求应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。标准理解(1)应有设备接入授权控制管理过程。(2)限制或禁止内部人员使用电话拨号、adsl拨号、手机、pda等连接到外部网络。-20-Allrightsreserved©2007入侵防范(G3)标准要求应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。标准理解(1)在网络边界部署入侵检测系统;(2)入侵检测系统根据安全策略配置规则。-21-Allrightsreserved©2007恶意代码防范(G3)标准要求应在网络边界处对恶意代码进行检测和清除;应维护恶意代码库的升级和检测系统的更新。标准理解(1)在不严重影响网络性能的情况下,应在网络边界部署恶意代码检测系统。(2)恶意代码检测系统的版本为最新。-22-Allrightsreserved©2007网络设备防护(G3)--1标准要求应对登录网