安全物理环境 1.1物理地点选择
本项要求包含:
a)机房场所应选择在拥有防震、防风和防雨等能力的建筑内;
b)机房场所应防止设在建筑物的顶层或地下室,不然应增强防水和防潮措 施。
1.2物理接见控制
机房进出口应安排专人值守或配置电子门禁系统,控制、鉴识和记录进入的人员。
1.3防偷窃和防损坏
本项要求包含:
a)应将设备或主要零件进行固定,并设置显然的不易除掉的表记;
b)应将通讯线缆铺设在隐蔽安全处。
1.4防雷击
应将各种机柜、设备和设备等经过接地系统安全接地。
1.5防火
本项要求包含:
a)机房应设置火灾自动消防系统,可以自动检测火情、自动报警,并自动灭火;b)机房及有关的工作房间和协助房应采纳拥有耐火等级的建筑资料。
1.6防水和防潮
本项要求包含:
a)应采纳举措防备雨水经过机房窗户、屋顶和墙壁浸透;
1
精选文档
1/15
2
精选文档
b)应采纳举措防备机房内水蒸气结露和地下积水的转移与浸透。
1.7防静电
应采纳防静电地板或地面并采纳必需的接地防静电举措。 1.8温湿度控制
应设置温湿度自动调理设备,使机房温湿度的变化在设备运转所同意的范園以内。
1.9电力供给
本项要求包含:
a)应在机房供电线路上配置稳压器和过电压防备设备;
b)应供给短期的备用电力供给,起码知足设备在断电状况下的正常运转要 求。
1.10电磁防备
电源线和通讯线缆应隔绝铺设,防止相互扰乱。
安全通讯网络
2.1网络架构
本项要求包含:
a)应区分不一样的网络地区,并依照方便管理和控制的原则为各网络地区分派地点;部署在界限处,重要网络地区与其余网络地区之间应采纳靠谱的技术隔绝手段。
2.2通讯传输
应采纳校验技术保证通讯过程中数据的完好性。
2.3可信考证
2/15
3
b)应防止将重要络地区精选文档
可鉴于可信根对通讯设备的系统指引程序、系统程序、重要配置参数和通讯应用程序等进行可信考证,并在检测到其可信性遇到损坏后进行报警,并将考证结果形成审计记录送至安全管理中心。3安全地区界限
3.1界限防备
应保证超越界限的接见和数据流经过界限设备供给的受控接口进行通讯。
3.2接见控制
本项要求包含:
a)应在网络界限或地区之间依据接见控制策略设置接见控制规则,默认状况下除同意通讯外受控接口拒绝全部通讯;
b)应删除剩余或无效的接见控制规则,优化接见控制列表,并保证接见控制规则数目最小化;
c)应付源地点、目的地点、源端口、目的端口和协议等进行检查,以同意
拒绝数据包进出;d)应能依据会话状态信息为进出数据流供给明确的同意/拒绝接见的能力。
3.3入侵防备
应在重点网络节点处监督网络攻击行为。
3.4歹意代码防备。
应在重点网络节点处对歹意代码进行检测和消除,并保护歹意代码防备体制的升级和更新。
3.5安全审计
本项要求包含:
a)应在网络界限、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; 3/15
4
精选文档
b)审计记录应包含事件的日期和时间、用户、事件种类、事件能否成功及其余与审计有关的信息;
c)应付审计记录进行保护,按期备份,防止遇到未预期的删除、改正或覆盖等。
3.6可信考证
可鉴于可信根对界限设备的系统指引程序、系统程序、重要配置参数和界限防备应用程序等进行可信考证,并在检测到其可信性遇到损坏后进行报警,并将考证结果形成审计记录送至安全管理中心。4安全计算环境
4.1身份鉴识
本项要求包含:
a)应付登录的用户进行身份表记和鉴识,身份表记拥有独一性,身份鉴识信息拥有复杂度要求并按期改换;
b)应拥有登录失败办理功能,应配置并启用结束会话、限制非法登录次数和当登录连结超时自动退出等有关举措;
c)当进行远程管理时,应采纳必需举措防备鉴识信息在网络传输过程中被窃听。
4.2接见控制
本项要求包含:
a)应付登录的用户分派账户和权限:
b)应重命名或删除默认账户,改正默认账户的默认口令;。
c)应实时删除或停用剩余的、过期的账户,防止共享账户的存在;
d)应授与管理用户所需的最小权限,实现管理用户的权限分别。
4.3安全审计
4/15
5
精选文档
本项要求包含:
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b)审计记录应包含事件的日期和时间、用户、事件种类、事件能否成功及其余与审计有关的信息;
c)应付审计记录进行保护,按期备份,防止遇到未预期的删除、改正或覆盖等。
4.4入侵防备。
本项要求包含:
a)应依照最小安装的原则,仅安装需要的组件和应用程序;
b)应封闭不需要的系统服务、默认共享和高危端口;
c)应经过设定终端接入方式或网络地点范围对经过网络进行管理的管理终端进行限制;d)应供给数占有效性查验功能,保证经过人机接口输入或经过通讯接口输入的内容切合系统设定要求;
e)应能发现可能存在的已知破绽,并在经过充足测试评估后,实时修理破绽。4.5歹意代码防备
应安装防歹意代码软件或配置拥有相应功能的软件,并按期进行升级和更新防歹意代码库。
4.6可信考证
可鉴于可信根对计算设备的系统指引程序、系统程序、重要配置参数和应用程序等进行可信考证,并在检测到其可信性遇到损坏后进行报警,并将考证结果形成审计记录送至安全管理中心。
4.7数据完好性
应采纳校验技术保证重要数据在传输过程中的完好性。
5/15
6
精选文档
4.8数据备份恢复
本项要求包含:
a)应供给重要数据的当地数据备份与恢复功能;
b)应供给异地数据备份功能,利用通讯网络将重要数据准时批量传递至备用处所。
4.9节余信息保护
应保证鉴识信息所在的储存空间被开释或从头分派前获得完好消除。
4.10个人信息保护
本项要求包含:
a)应仅采集和保留业务必需的用户个人信息;
b)应严禁未受权接见和非法使用用户个人信息。
安全管理中心
5.1系统管理
本项要求包含:
a)应付系统管理员进行身份鉴识,只同意其经过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;
b)应经过系统管理员对系统的资源和运转进行配置、控制和管理,包含用
户身份、系统资源配置、系统加载和启动、系统运转的异样办理、数据和设备的备份与恢复等。
5.2审计管理
本项要求包含:
6/15
7
精选文档
a)应付审计管理员进行身份鉴识,只同意其经过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;
b)应经过审计管理员对审计记录进行剖析,并依据剖析结果进行办理,包含依据安全审计谋略对审计记录进行储存、管理和查问等。
安全管理制度
6.1安全策略
应拟订网络安全工作的整体目标和安全策略,说明机构安全工作的整体目标、范围、原则和安全框架等。
6.2管理制度
本项要求包含:
a)应付安全管理活动中的主要管理内容成立安全管理制度;。
b)应付管理人员或操作人员执行的平时管理操作成立操作规程。
6.3拟订和公布
本项要求包含:
a)应指定或受权特意的部门或人员负责安全管理制度的拟订;
b)安全管理制度应经过正式、有效的方式公布,并进行版本控制。
6.4评审和订正
应按期对安全管理制度的合理性和合用性进行论证和判定,对存在不足或需要改良的安全管理制度进行订正。安全管理机构
7.1岗位设置
本项要求包含:
7/15
8
7精选文档
a)应建立网络安全管理工作的职能部门,建立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;
b)应建立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。
7.2人员装备
应装备必定数目的系统管理员、审计管理员和安全管理员等。
7.3受权和审批
本项要求包含:
a)应依据各个部门和岗位的职责明确受权审批事项、审批部门和同意人 等;
b)应针对系统更改、重要操作。物理接见和系统接入等事项执行审批过 程。
7.4交流和合作
本项要求包含:
a)应增强各种管理人员、组织内部机构和网络安全管理部门之间的合作与交流,按期召开协调会议,共同协作办理网络安全问题;
b)应增强与网络安全职能部门、各种供给商、业界专家及安全组织的合作与交流;c)应成立外联单位联系列表,包含外联单位名称、合作内容,联系人和联系方式等信息。
7.5审察和检查
8 9
应按期进行惯例安全检查,检查内容包含系统平时运转、系统破绽和数据备份等状况。
安全管理人员
10
8/15
9
精选文档
8.1人员录取
本项要求包含:
a)应指定或受权特意的部门或人员负责人员录取:
b)应付被录取人员的身份、安全背景、专业资格或资质等进行审察。
8.2人员离岗
应实时停止离岗人员的全部接见权限,取回各样身份证件、钥匙、微章等以及机构供给的软硬件设备。
8.3安全意识教育和培训
应付各种人员进行安全意识教育和岗位技术培,并见告有关的安全责任和惩戒举措。
8.4外面人员接见管理
本项要求包含:
a)应在外面人员物理接见受控地区前先提出版面申请,同意后由专人全程陪伴,并登记存案;
b)应在外面人员接入受控网络接见系统前先提出版面申请,同意后由专人开设账户、分派权限,并登记存案;
c)外面人员离场后应实时消除其全部的接见权限。
安全建设管理
9.1定级和存案
本项要求包含:
a)应以书面的形式说明保护对象的安全保护等级及确立等级的方法和理
由;
9/15
10
精选文档
b)应组织有关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和判定;c)应保证定级结果经过有关部门的同意;
d)应将存案资料报主管部门和相应公安机关存案。
9.2安全方案设计
本项要求包含:
a)应依据安全保护等级选择基本安全举措,依照风险剖析的结果增补和调整安全举措;b)应依据保护对象的安全保护等级进行安全方案设计;
c)应组织有关部门和有关安全专家对安全方案的合理性和正确性进行论证和判定,经过同意后才能正式实行。9.3产品采买和使用
本项要求包含:
a)应保证网络安全产品采买和使用切合国家的有关规定;
b)应保证密码产品与服务的采买和使用切合国家密码管理主管部门的要 求。
9.4自行软件开发
本项要求包含:
a)应将开发环境与实质运转环境物理分开,测试数据和测试结果遇到控 制;
b)应在软件开发过程中对安全性进行测试,在软件安装前对可能存在的歹意代码进行检测。
9.5外包软件开发
本项要求包含:
a)应在软件交托前检测此中可能存在的歹意代码;
b)应保证开发单位供给软件设计文档和使用指南。
11
精选文档
10/15
12
精选文档
9.6工程实行
本项要求包含:
a)应指定或受权特意的部门或人员负责工程实行过程的管理;
b)应拟订安全工程实行方案控制工程实行过程。
9.7测试查收
本项要求包含:
a)应制定测试查收方案,并依照测试查收方案实行测试查收,形成测试查收报告;b)应进行上线前的安全性测试,并出具安全测试报告。
9.8系统交托
本项要求包含:
a)应拟订交托清单,并依据交托清单对所交接的设备、软件和文档等进行盘点;b)应付负责运转保护的技术人员进行相应的技术培训;
c)应供给建设过程文档和运转保护文档。
本项要求包含:
9.9等级测评
a)应按期进行等级测评,发现不切合相应等级保护标准要求的实时整顿;
b)应在发生重要更改或级别发生变化时进行等级测评;
c)应保证测评机构的选择切合国家有关规定。
9.10服务供给商选择
本项要求包含:
a)应保证服务供给商的选择切合国家的有关规定;
b)应与选定的服务供给商签署有关协议,明确整个服务供给链各方需执行的网络安全有关义务。
13
精选文档
11/15
14
精选文档
安全运维管理
10.1环境管理
本项要求包含:
a)应指定特意的部门或人员负责机房安全,对机房出人进行管理,按期对机房供配电、空调、温湿度控制、消防等设备进行保护管理;
b)应付机房的安全管理做出规定,包含物理接见、物件进出和环境安全 等:
应不在重要地区招待来访人员,不任意搁置含有敏感信息的纸档文件和挪动介质等。
10.2财产管理
应编制并保留与保护对象有关的财产清单,包含财产责任部门、重要程度和所处地点等内容。
10.3介质管理
本项要求包含:
a)应将介质寄存在安全的环境中,对各种介质进行控制和保护,推行储存环境专人管理,并依据存档介质的目录清单按期盘点;
b)应付介质在物理传输过程中的人员选择、打包、交托等状况进行控制,并对介质的归档和查问等进行登记记录。10.4设备保护管理
本项要求包含:
a)应付各样设备(包含备份和冗余设备)、线路等指定特意的部门或人员按期进行保护管理;b)应付配套设备、软硬件保护管理做出规定,包含明确保护人员的责任、维修和服务的审批。维修过程的监察控制等。
10.5破绽微风险管理
12/15
15
精选文档
应采纳必需的举措辨别安全破绽和隐患,对发现的安全破绽和隐患实时进行修理或评估可能的影响后进行修理。
10.6网络和系统安全管理。
本项要求包含:
a)应区分不一样的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限;b)应指定特意的部门或人员进行账户管理,对申请账户、成立账户、删除账户等进行控制;c)应成立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日记管理、平时操作、升级与打补丁、口令更新周期等方面作出规定;
d)应拟订重要设备的配置和操作手册,依照手册对设备进行安全配置和优化配置等;e)应详尽记录运维操作日记,包含平时巡检工作、运转保护记录、参数的设置和改正等内容。
10.7歹意代码防备管理
本项要求包含:
a)应提升所实用户的防歹意代码意识,对外来计算机或储存设备接人系统行进行歹意代码检查等;
b)应付歹意代码防备要求做出规定,包含防歹意代码软件的受权使用、歹意代码库升级、歹意代码的按期查杀等;
c)应按期检查歹意代码库的升级状况,对截获的歹意代码进行实时剖析处 理。
10.8配置管理
应记录和保留基本配置信息,包含网络拓扑构造、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等。
10.9密码管理
本项要求包含:
13/15
16
精选文档
a)应依照密码有关国家标准和行业标准;
b)应使用国家密码管理主管部门认证同意的密码技术和产品。
10.10更改管理
应明确更改需求,更改前依据更改需求拟订更改方案,更改方案经过评审、审批后方可实行。
10.11备份与恢复管理
本项要求包含:
a)应辨别需要按期备份的重要业务信息、系统数据及软件系统等;
b)应规定备份信息的备份方式、备份频度、储存介质保留期等;
c)应依据数据的重要性和数据对系统运转的影响,拟订数据的备份策略和恢复策略、备份程序和恢复程序等。
10.12安全事件处理
本项要求包含:
a)应实时向安全管理部门报告所发现的安全短处和可疑事件;
b)应拟订安全事件报告和处理管理制度,明确不一样安全事件的报告、处理和响应流程,规定安全事件的现场办理、事件报告和后期恢复的管理职责等;
c)应在安全事件报告和响应办理过程中,剖析和判定事件产生的原由,采集凭证,记录办理过程,总结经验教训。
10.13应急方案管理
本项要求包含:
a)应拟订重要事件的应急方案,包含应急办理流程、系统恢复流程等内
容;
14/15
17
精选文档
b)应按期对系统有关的人员进行应急方案培训,并进行应急方案的操练。
10.14外包运维管理
本项要求包含:
a)应保证外包运维服务商的选择切合国家的有关规定;
b)应与选定的外包运维服务商签署有关的协议,明确商定外包运维的范围、工作内容。
15/15
18
因篇幅问题不能全部显示,请点此查看更多更全内容