精华内容
下载资源
问答
  • 等保1.0有哪些要求?等保2.0有哪些要求,都会在其文档中进行描述,通过所对应的标准网络安全,进行了增强,以及技术方面和体系文档方面都会进行相应的加强。
  • 等保2.0二级安全要求

    千次阅读 2020-06-07 12:22:39
    第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾害,以及其他相当危害程度的威胁所造成的重要资源损害...以下加粗字段为等保二级与一级的区别,需重点关注。

    第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾害,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段事件内恢复部分功能。

    以下加粗字段为等保二级与一级的区别,需重点关注。

    1安全通用要求

    1.1安全物理环境

    1.1.1物理位置选择
    本项要求包括:
    a)机房场地应选择在具有防震、防风和防雨等能力的建筑内;
    b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。

    1.1.2物理访问控制
    机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。

    1.1.3防盗窃和防破坏
    本项要求包括:
    a)应将设备或主要部件进行固定,并设置明显的不易除去的标识;
    b)应将通信线缆铺设在隐蔽安全处。

    1.1.4防雷击
    应将各类机柜、设施和设备等通过接地系统安全接地。

    1.1.5防火
    本项要求包括:
    a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
    b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。

    1.1.6防水和防潮
    本项要求包括:
    a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
    b)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。

    1.1.7防静电
    应釆用防静电地板或地面并采用必要的接地防静电措施。

    1.1.8温湿度控制
    应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。

    1.1.9电力供应
    本项要求包括:
    a)应在机房供电线路上配置稳压器和过电压防护设备;
    b)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。

    1.1.10电磁防护
    电源线和通信线缆应隔离铺设,避免互相干扰。

    1.2安全通信网络

    1.2.1网络架构
    本项要求包括:
    a)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
    b)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

    1.2.2通信传输
    应釆用校验技术保证通信过程中数据的完整性。

    1.2.3可信验证
    可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

    1.3安全区域边界

    1.3.1边界防护
    应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。

    1.3.2访问控制
    本项要求包括:
    a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受 控接口拒绝所有通信;
    b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
    c)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
    d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。

    1.3.3入侵防范
    应在关键网络节点处监视网络攻击行为。

    1.3.4恶意代码防范
    应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。

    1.3.5安全审计
    本项要求包括:
    a)应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
    b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
    c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。

    1.3.6可信验证
    可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

    1.4安全计算环境

    1.4.1身份鉴别
    本项要求包括:
    a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
    b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
    c) 当进行远程管理时,应釆取必要措施防止鉴别信息在网络传输过程中被窃听。

    1.4.2访问控制
    本项要求包括:
    a)应对登录的用户分配账户和权限;
    b)应重命名或删除默认账户,修改默认账户的默认口令;
    c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
    d)应授予管理用户所需的最小权限,实现管理用户的权限分离。

    1.4.3安全审计
    本项要求包括:
    a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
    b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
    c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。

    1.4.4入侵防范
    本项要求包括:
    a)应遵循最小安装的原则,仅安装需要的组件和应用程序;
    b)应关闭不需要的系统服务、默认共享和高危端口;
    c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
    d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
    e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。

    1.4.5 恶意代码防范
    应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。

    1.4.6可信验证
    可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证, 并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

    1.4.7数据完整性
    应采用校验技术保证重要数据在传输过程中的完整性。

    1.4.8数据备份恢复
    本项要求包括:
    a)应提供重要数据的本地数据备份与恢复功能;
    b)应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备用场地。

    1.4.9剩余信息保护
    应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。

    1.4.10个人信息保护
    本项要求包括:
    a)应仅采集和保存业务必需的用户个人信息;
    b)应禁止未授权访问和非法使用用户个人信息。

    1.5安全管理中心

    1.5.1系统管理
    本项要求包括:
    a)应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对 这些操作进行审计;
    b)应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。

    1.5.2审计管理
    本项要求包括:
    a)应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;
    b)应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。

    1.6安全管理制度

    1.6.1安全策略
    应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。

    1.6.2管理制度
    本项要求包括:
    a)应对安全管理活动中的主要管理内容建立安全管理制度;
    b)应对管理人员或操作人员执行的日常管理操作建立操作规程。

    1.6.3制定和发布
    本项要求包括:
    a)应指定或授权专门的部门或人员负责安全管理制度的制定;
    b)安全管理制度应通过正式、有效的方式发布,并进行版本控制。

    1.6.4 评审和修订
    应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。

    1.7安全管理机构

    1.7.1 岗位设置
    本项要求包括:
    a)应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定 义各负责人的职责;
    b)应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。

    1.7.2人员配备
    应配备一定数量的系统管理员、审计管理员和安全管理员等。

    1.7.3授权和审批
    本项要求包括:
    a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;
    b)应针对系统变更、重要操作、物理访问和系统接入等事项执行审批过程。

    1.7.4沟通和合作
    本项要求包括:
    a)应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题;
    b)应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通;
    c)应建立外联单位联系列表,包括外联単位名称、合作内容、联系人和联系方式等信息。

    1.7.5审核和检查
    应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。

    1.8安全管理人员

    1.8.1人员录用
    本项要求包括:
    a)应指定或授权专门的部门或人员负责人员录用;
    b)应对被录用人员的身份、安全背景、专业资格或资质等进行审査。

    1.8.2人员离岗
    应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。

    1.8.3安全意识教育和培训
    应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。

    1.8.4外部人员访问管理
    本项要求包括:
    a)应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案;
    b)应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限, 并登记备案;
    c)外部人员离场后应及时清除其所有的访问权限。

    1.9安全建设管理

    1.9.1定级和备案
    本项要求包括:
    a)应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由;
    b)应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定;
    c)应保证定级结果经过相关部门的批准;
    d)应将备案材料报主管部门和相应公安机关备案。

    1.9.2安全方案设计
    本项要求包括:
    a)应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施;
    b)应根据保护对象的安全保护等级进行安全方案设计;
    c)应组织相关部门和有关安全专家对安全方案的合理性和正确性进行论证和审定,经过批准后才能正式实施。

    1.9.3产品采购和使用
    本项要求包括:
    a)应确保网络安全产品釆购和使用符合国家的有关规定;
    b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求。

    1.9.4自行软件开发
    本项要求包括:
    a)应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制;
    b)应在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测。

    1.9.5外包软件开发
    本项要求包括:
    a)应在软件交付前检测其中可能存在的恶意代码;
    b)应保证开发单位提供软件设计文档和使用指南。

    1.9.6工程实施
    本项要求包括:
    a)应指定或授权专门的部门或人员负责工程实施过程的管理;
    b)应制定安全工程实施方案控制工程实施过程。

    1.9.7测试验收
    本项要求包括:
    a)应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告;
    b)应进行上线前的安全性测试,并出具安全测试报告。

    1.9.8系统交付
    本项要求包括:
    a)应制定交付清单,并根据交付清单对所交接的设备,软件和文档等进行清点;
    b)应对负责运行维护的技术人员进行相应的技能培训;
    c)应提供建设过程文档和运行维护文档。

    1.9.9等级测评
    a)应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改;
    a)应在发生重大变更或级别发生变化时进行等级测评;
    c)应确保测评机构的选择符合国家有关规定。

    1.9.10服务供应商选择
    本项要求包括:
    a)应确保服务供应商的选择符合国家的有关规定;
    b)应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的网络安全相关义务。

    1.10安全运维管理

    1.10.1 环境管理
    本项要求包括:

    a)应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理;
    b)应对机房的安全管理做出规定,包括物理访问、物品进出和环境安全等;
    c)应不在重要区域接待来访人员,不随意放置含有敏感信息的纸档文件和移动介质等。

    1.10.2资产管理
    应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。

    1.10.3介质管理
    本项要求包括:
    a)应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点;
    b)应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和査询等进行登记记录。

    1.10.4设备维护管理
    本项要求包括:
    a)应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理;
    b)应对配套设施、软硬件维护管理做出规定,包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等。

    7.1.10.5漏洞和风险管理
    应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。

    7.1.10.6网络和系统安全管理
    本项要求包括:
    a)应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限;
    b)应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制;
    c)应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级 与打补丁、口令更新周期等方面作出规定;
    d)应制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等;
    e)应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容。

    1.10.7恶意代码防范管理
    本项要求包括:
    a)应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查等;
    b)应对恶意代码防范要求做出规定,包括防恶意代码软件的授权使用、恶意代码库升级、恶意代码的定期查杀等;
    c)应定期检查恶意代码库的升级情况,对截获的恶意代码进行及时分析处理。

    1.10.8配置管理
    应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补 丁信息、各个设备或软件组件的配置参数等。

    1.10.9密码管理
    本项要求包括:
    a)应遵循密码相关国家标准和行业标准;
    b)应使用国家密码管理主管部门认证核准的密码技术和产品。

    1.10.10变更管理
    应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施。

    1.10.11备份与族复管
    本项要求包括:
    a)应识别需要定期备份的重要业务信息、系统数据及软件系统等;
    b)应规定备份信息的备份方式、备份频度、存储介质、保存期等;
    c)应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。

    1.10.12安全事件处置
    本项要求包括:
    a)应及时向安全管理部门报告所发现的安全弱点和可疑事件;
    b)应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等;
    c)应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训。

    1.10.13应急预案管理
    本项要求包括:
    a)应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容;
    b)应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练。

    1.10.14外包运维管理
    本项要求包括:
    a)应确保外包运维服务商的选择符合国家的有关规定;
    b)应与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容。

    2云计算安全扩展要求

    2.1安全物理环境

    2.1.1基础设施位置
    应保证云计算基础设施位于中国境内。

    2.2安全通信网络

    2.2.1网络架构
    本项要求包括:
    a)应保证云计算平台不承载高于其安全保护等级的业务应用系统;
    b)应实现不同云服务客户虚拟网络之间的隔离;
    c)应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。

    2.3安全区域边界

    2.3.1访问控制
    本项要求包括:
    a)应在虚拟化网络边界部署访问控制机制,并设置访问控制规则;
    b)应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则。

    7.2.3.2入侵防范
    本项要求包括:
    a)应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;
    b)应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;
    c)应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量。

    2.3.3安全审计
    本项要求包括:
    a)应对云服务商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚 拟机重启;
    b)应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。

    2.4安全计算环境

    2.4.1访问控制
    本项要求包括:
    a)应保证当虚拟机迁移时,访问控制策略随其迁移;
    b)应允许云服务客户设置不同虚拟机之间的访问控制策略。

    2.4.2镜像和快照保护
    本项要求包括:
    a)应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务;
    b)应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改。

    2.4.3数据完整性和保密性
    本项要求包括:
    a)应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定;
    b)应确保只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限;
    c)应确保虚拟机迁移过程中重要数据的完整性,并在检测到完整性受到破坏时采取必要的恢复措施。

    2.4.4数据备份恢复
    本项要求包括:
    a)云服务客户应在本地保存其业务数据的备份;
    b)应提供查询云服务客户数据及备份存储位置的能力。

    2.4.5剩余信息保护
    本项要求包括:
    a)应保证虚拟机所使用的内存和存储空间回收时得到完全清除;
    b)云服务客户删除业务应用数据时,云计算平台应将云存储中所有副本删除。

    2.5安全建设管理

    2.5.1云服务商选择
    本项要求包括:
    a)应选择安全合规的云服务商,其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力;
    b)应在服务水平协议中规定云服务的各项服务内容和具体技术指标;
    c)应在服务水平协议中规定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等;
    d)应在服务水平协议中规定服务合约到期时,完整提供云服务客户数据,并承诺相关数据在云计算平台上清除。

    2.5.2供应链管理
    本项要求包括:
    a)应确保供应商的选择符合国家有关规定;
    b)应将供应链安全事件信息或安全威胁信息及时传达到云服务客户。

    2.6安全运维管理

    2.6.1云计算环境管理
    云计算平台的运维地点应位于中国境内,境外对境内云计算平台实施运维操作应遵循国家相关规定。

    3移动互联安全扩展要求

    3.1安全物理环境

    3.1.1无线接入点的物理位置
    应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。

    3.2安全区域边界

    3.2.1边界防护
    应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备。

    3.2.2访问控制
    无线接入设备应开启接入认证功能,并且禁止使用WEP方式进行认证,如使用口令,长度不小于8位字符。

    3.2.3入侵防范
    本项要求包括:
    a)应能够检测到非授权无线接入设备和非授权移动终端的接入行为;
    b)应能够检测到针对无线接入设备的网络扫描、DDoS攻击、密钥破解、中间人攻击和欺骗攻击 等行为;
    c)应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态;
    d)应禁用无线接入设备和无线接入网关存在风险的功能,如:SSID广播、WEP认证等;
    e)应禁止多个AP使用同一个认证密钥。

    3.3安全计算环境

    3.3.1移动应用管控
    本项要求包括:
    a)应具有选择应用软件安装、运行的功能;
    b)应只允许可靠证书签名的应用软件安装和运行。

    3.4安全建设管理

    3.4.1移动应用软件采购
    本项要求包括:
    a)应保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名;
    b)应保证移动终端安装、运行的应用软件由可靠的开发者开发。

    3.4.2移动应用软件开发
    本项要求包括:
    a)应对移动业务应用软件开发者进行资格审査;
    b)应保证开发移动业务应用软件的签名证书合法性。

    4物联网安全扩展要求

    4.1安全物理环境

    4.1.1感知节点设备物理防护
    本项要求包括:
    a)感知节点设备所处的物理环境应不对感知节点设备造成物理破坏,如挤压、强振动;
    b)感知节点设备在工作状态所处物理环境应能正确反映环境状态(如温湿度传感器不能安装在阳光直射区域)。

    4.2安全区域边界

    4.2.1接入控制
    应保证只有授权的感知节点可以接入。

    4.2.2入侵防范
    本项要求包括:
    a)应能够限制与感知节点通信的目标地址,以避免对陌生地址的攻击行为;
    b)应能够限制与网关节点通信的目标地址,以避免对陌生地址的攻击行为。

    4.3安全运维管理

    4.3.1感知节点管理
    本项要求包括:
    a)应指定人员定期巡视感知节点设备、网关节点设备的部署环境,对可能影响感知节点设备、网关节点设备正常工作的环境异常进行记录和维护;
    b)应对感知节点设备、网关节点设备入库、存储、部署、携带、维修、丢失和报废等过程作出明确规定,并进行全程管理。

    5工业控制系统安全扩展要求

    5.1安全物理环境

    5.1.1室外控制设备物理防护
    本项要求包括:
    a)室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具 有透风、散热、防盗、防雨和防火能力等;
    b)室外控制设备放置应远离强电磁干扰、强热源等环境,如无法避免应及时做好应急处置及检修,保证设备正常运行。

    5.2安全通信网络

    5.2.1网络架构
    本项要求包括:
    a)工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用技术隔离手段;
    b)工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段;
    c)涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其他数据网及外部公共信息网的安全隔离。

    5.2.2通信传输
    在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。

    5.3安全区域边界

    5.3.1访问控制
    本项要求包括:
    a)应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越 区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务;
    b)应在工业控制系统内安全域和安全域之间的边界防护机制失效时,及时进行报警。

    5.3.2拨号使用控制
    工业控制系统确需使用拨号访问服务的,应限制具有拨号访问权限的用户数量,并采取用户身份鉴别和访问控制等措施。

    5.3.3无线使用控制
    本项要求包括:
    a)应对所有参与无线通信的用户(人员、软件进程或者设备)提供唯一性标识和鉴别;
    b)应对所有参与无线通信的用户(人员、软件进程或者设备)进行授权以及执行使用进行限制。

    5.4安全计算环境

    5.4.1控制设备安全
    本项要求包括:
    a)控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求,如受条件限制控制设备无法实现上述要求,应由其上位控制或管理设备实现同等功能或通 过管理手段控制;
    b)应在经过充分测试评估后,在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作。

    5.5安全建设管理

    5.5.1产品采购和使用
    工业控制系统重要设备应通过专业机构的安全性检测后方可采购使用。

    5.5.2外包软件开发
    应在外包开发合同中规定针对开发单位、供应商的约束条款,包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容。

    展开全文
  • 云南昆明学校网络安全等级保护第二级改建方案,昆明等合规测评公司,二级等保、三级等合规建设解决方案。
  • 等保2.0 二级和三级的拓扑图怎么画必须买哪些安全设备.docx
  • 根据网络安全等级保护安全通用要求制定的等保二级测评明细要求表
  • 网络安全等级保护二级基本要求----技术要求,管理要求。
  • 网络安全等保2.0--118张拓扑图解决方案(20210304185412).pdf
  • 网络安全等级保护测评-应用系统二级、三级作业指导书(含现场实施、预期结果),根据 GB∕T 28448-2019 信息安全技术 网络安全等级保护测评要求整理测评指标,平日工作积累的现场实施步骤。
  • 等保2.0标准正式实施已经一年多的时间,在这一年多时间里,国内各个行业、单位陆续推进网络安全等级保护工作,特别是在关键信息基础设施的政府、金融、医疗、交通关系国计民生的重点行业,先后出台针对行业的等级...

    图片

    等保2.0标准正式实施已经一年多的时间,在这一年多时间里,国内各个行业、单位陆续推进网络安全等级保护工作,特别是在关键信息基础设施的政府、金融、医疗、交通等关系国计民生的重点行业,先后出台针对行业的等级保护要求。等保2.0标准的正式实施,提升了我国网络安全保护工作水平,不断筑牢网络安全防线,有效维护各行业关键基础设施与网络信息安全。

    等级保护制度是我国网络安全的基本制度。等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

    等保2.0在1.0的基础上,注重全方位主动防御、动态防御、整体防控和精准防护,实现对云计算、物联网、移动互联网、工控系统、大数据等保护对象全覆盖。从保障思路看,等保2.0从被动防御的安全保障体系向事前预防、事中响应、事后审计的动态保障体系转变,更多体现了对抗思维,讲究一切从实战出发,逐步构建主动防御、安全可信、动态感知、全面审计、应急保障的动态安全保障体系。

    从各单位近一年来的等保工作的实践中,可以看出目前涉及面最广,也是我们最常见的要求就是等保二级和等保三级的建设要求,以下分别整理了二级、三级等保在“安全物理环境、安全通信网络、安全区域边界、安全计算环境及安全管理中心”对各个测评控制点的差异对比。

    图片

    图片

    图片

    图片

    图片

    图片

    图片

    展开全文
  • 相比较等保1.0的要求等保2.0进行了强化,并在网络拓扑上进行了改变。该文档详细的描述了等保2.0网络拓扑图如何绘制以及其中的要点,可以更好的对其进行强化。
  • 等保,即网络安全等级保护标准。 2007年我国信息安全等级保护制度正式实施,通过十余年的时间的发展与实践,成为了我国非涉密信息系统网络安全建设的重要标准。 等保标准具有很强的实用性:它是监管部门合规执法检查...

    等保2.0与等保1.0区别解读

    这4900+的字儿也太多了,哈哈,就先这样吧,听讲座去了

    什么是等保?

    等保,即网络安全等级保护标准。

    2007年我国信息安全等级保护制度正式实施,通过十余年的时间的发展与实践,成为了我国非涉密信息系统网络安全建设的重要标准。

    等保标准具有很强的实用性:它是监管部门合规执法检查的依据,是我国诸多网络信息安全标准制度的重要参考体系架构,是行业主管部门对于下级部门网络安全建设的指引标准的重要依据和参考体系

    由此标准衍生了诸多行业标准:例如人社行业等保标准、金融行业等保标准、能源行业(电力)等保标准、教育行业等保标准等行业标准。总的来说,等保制度是网络安全从业者开展网络安全工作的重要指导体系和制度。

    什么是等保1.0?

    2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。这部法规被称为等保1.0。经过10余年的实践,等保1.0为保障我国信息安全打下了坚实的基础

    什么是等保2.0?

    等保2.0相关国家标准于2019年5月10日正式发布。2019年12月1日开始实施。这是我国实行网络安全等级保护制度过程中的一件大事,具有里程碑意义。

    等保2.0相比等保1.0有哪些区别/进步?

    等保1.0主要强调物理主机、应用、数据、传输,而2.0版本增加了对云计算、移动互联、物联网、工业控制和大数据等新技术新应用的全覆盖。
    相较于等保1.0,等保2.0发生了以下主要变化:
    第一,名称变化。等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,与《网络安全法》保持一致。

    第二,定级对象变化。等保1.0的定级对象是信息系统,现在2.0更为广泛,包含:信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。

    第三,安全要求变化。基本要求的内容,由安全要求变革为安全通用要求与安全扩展要求(含云计算、移动互联、物联网、工业控制)。

    第四,控制措施分类结构变化。等保2.0依旧保留技术和管理两个维度。
    在技术上,由物理安全、网络安全、主机安全、应用安全、数据安全,变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;
    在管理上,结构上没有太大的变化,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

    第五,内容变化。从等保1.0的定级、备案、建设整改、等级测评和监督检查五个规定动作,变更为五个规定动作+新的安全要求(增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置等。)。

    第六,法律效力不同。《网络安全法》第21条规定“国家实行网络安全等级保护制度,要求网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”。落实网络安全等级保护制度上升为法律义务。

    等保2.0的实施对企业有哪些影响?

    根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,网络运营者成为等级保护的责任主体,如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。

    等保2.0有5个运行步骤:定级备案、差距评估、建设和整改、等级测评、检查。同时,也分5个等级,即信息系统按重要程度由低到高分为5个等级,并分别实施不同的保护策略。

    一级系统简单,不需要备案,影响程度很小,因此不作为重点监管对象;
    二级系统大概50万个左右;
    三级系统大概5万个;
    四级系统量级较大,比如支付宝、银行总行系统、国家电网系统,有1000个左右;
    五级系统属国家级、国防类的系统,比如核电站、军用通信系统。

    网络安全等级保护常见注意事项

    1、等级测评并非安全认证

    很多人容易把等保测评等同于安全认证。等保测评并非相当于ISO 20000系列的信息技术服务管理认证,也并非于ISO27000系列的信息安全管理体系认证。等级保护制度是国家信息安全管理的制度,是国家意志的体现。落实等级保护制度为了国家法律法规的合规需求。

    等级保护测评没有相应的证书,如何才能证明信息系统已经符合等级保护安全要求了呢?目前这主要是由公安部授权委托的全国一百多家测评机构,对信息系统进行安全测评,测评通过后出具《等级保护测评报告》,拿到了符合等保安全要求的测评报告就证明该信息系统符合了等级保护的安全要求。

    2、等保制度只是基本要求

    等保制度只是基线的要求,通过测评、整改,落实等级保护制度,确实可以规避大部分的安全风险。但就目前的测评结果来看,几乎没有任何一个被测系统能全部满足等保要求。一般情况下,目前等级保护测评过程中,只要没发现高危安全风险,都可以通过测评。注意如果有高危漏洞,立刻不合格
    但是,安全是一个动态而非静止的过程,而不是通过一次测评,就可以一劳永逸的。 企业通过落实等保安全要求,并严格执行各项安全管理的规章制度,基本能做到系统的安全稳定运行。但依然不能百分百保证系统的安全性。

    3、内网系统也需要做等级测评

    首先,所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系;《网络安全法》规定,等级保护的对象是在中华人民共和国境内建设、运营、维护和使用的网络与信息系统。因此,不管是内网还是外网系统,都需要符合等级保护安全的要求。
    其次,在内网的系统往往其网络安全技术措施做的并不好,甚至不少系统已经中毒不浅。2017年肆虐全球的永恒之蓝勒索病毒攻击,导致了大量内网系统瘫痪,这提醒我们内网系统的安全防护同样不能马虎。所以不论系统在内网还是外网都得及时开展等保工作。

    4、系统上云或者托管在其他地方就也需做等级测评

    目前,比较多的小型企业客户偏向于把系统部署在云平台与IDC机房。这些云平台、IDC机房一般都通过了等级测评。不过,根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,系统责任主体仍然还是属于网络运营者自己,所以,还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。
    部署在云平台的系统还需要购买云平台的安全服务或者第三方安全服务,部署在IDC机房的系统还需要购买相应的安全设备以满足等保安全要求。
    在云计算环境中,将云计算平台作为基础设施、云租户系统作为信息系统,分别作为定级对象进行定级。对于大型云计算平台,当运管平台共用时,可将云计算基础设施与运管平台系统分开定级,责任分离,分别定级、各自备案。云计算基础设施的安全保护等级不低于其所支撑的业务系统的最高等级。
    针对私有云用户,也要按照云平台和云租户信息系统,分别进行定级。并且云平台的安全等级不低于其所支撑的业务系统的最高等级。
    对于云计算平台和云租户信息系统,则分别依据等保2.0基本要求中的通用要求和云计算安全扩展要求来开展等级保护工作。对于私有云,定级流程为云平台先定级测评,再将已定级应用系统向云平台迁移。(云平台等级必须高于等于系统等级)

    5、不可根据自己的主观意愿来定级

    目前的等级保护对象(信息系统)的安全级别分为五个等级:1级为最低级别,5级为最高级别(5级为预留级别,市面上已定级的系统最高为4级)。如果定了1级,不需要做等级测评,自主进行保护即可。定2级以上就需要进行等级测评。系统级别的确定需要根据系统的重要性进行决定。如果定高了,有可能造成投资的浪费;定低了则有可能造成重要信息系统得不到应有的保护,应该谨慎定级。
    等保1.0的要求是自主定级,有主管部门的需要主管部门审核,最终报送公安机关进行审核。等保2.0之后定级流程新增了“专家评审”和“主管部门审核”两个环节,这样定级过程将会变得更加规范,定级也会更加准确。

    6、系统备案场所

    《信息安全等级保护管理办法》规定,等级保护的主体单位为信息系统的运营、使用单位。备案主体一般不会是开发商、系统集成商,而是最终的用户方。
    目前有些单位的注册地跟运营地不一致,正常情况下需要去运营地区的网安部门办理备案手续。比如客户注册地在北京海淀区,运营部门在北京朝阳区,需要到北京朝阳区办理定级备案手续,当然,前提是北京朝阳区必须有正规办公地址。
    有些单位的系统部署在云平台,云平台的实际物理地址往往和云系统网络运营者不在同一地址。而且,有些单位的运维团队和注册经营地址也不一致。这种情况下,云系统应当在系统实际运维团队所在地市网安部门进行系统备案,因为这样会方便属地公安对系统进行监管。
    所以,大部分情况下,还是需要到系统的运维人员实际所在地进行定级备案。当然也有一些特殊行业的要求,比如一些涉及到金融安全的行业,比如互联网金融系统、支付系统需要属地化管理,这些系统需要在注册地办理定级备案手续,以满足本地的监管要求。

    7、等保测评做完不一定需要花很多钱去整改

    		 整改花多少钱取决于你的信息系统等级、系统现有的安全防护措施状况以及网络运营者对测评分数的期望值,不一定要花很多钱甚至不花钱。
    		整改的内容大体分为:安全制度完善、安全加固等安全服务以及安全设备的添置。在安全制度及安全加固上网络运营者自己可以做很多整改工作或者委托系统集成方进行加固,往往这是不需要额外付费的或者是包含在你和系统集成方合同约定中的,这两块内容整改好,加上你有一定的安全技术措施,基本上是可以达到基本符合的结论的。所以花多少钱看你怎么去做或者你的期望值是多少。
    

    8、单位如何开展等级保护建设的相关工作?

    等级保护工作是一个系统性工程,根据网络安全等级保护相关标准,等级保护工作总共分五个阶段,分别为:系统定级、系统备案、建设整改、等级测评、监督检查。
    (1)系统定级
    对拟定为第二级及以上的对象,其运营者应当组织专家评审;有行业主管部门的,应当在专家定级评审后报请主管部门核准;跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。
    (2)系统备案
    定级对象的运营使用单位应准备定级备案材料,材料包括:定级报告、等级保护备案表、单位基本情况、信息系统情况等材料。第二级以上网络运营者应当在定级对象安全保护等级确定后10个工作日内,到县级以上公安机关备案。
    公安机关在接到备案材料后,于10个工作日内完成材料审查,并对定级对象安全等级进行初步审核,并出具网络安全等级保护备案证明。
    (3)建设整改
    对于新建的等级保护对象,要按照等级保护相关标准,撰写等级保护建设方案,并根据建设方案组织集成实施。
    对于已有的等级保护对象,等级保护对象运营使用单位负责对其进行风险评估和整改建设工作, 重要等级保护对象的运营使用单位应形成等级保护整改建设方案,并根据整改方案组织集成建设。
    对于三级以上的等级保护对象建设整改方案,要组织专家进行评审,形成专家评审意见,并最终形成等级保护整改建设方案。
    (4)等级测评
    等级保护对象的运营使用单位应落实等级测评资金保障工作,同时开展等级测评工作。
    等级保护对象建设完成后,运营使用单位或者其主管部门应当选择符合资质要求的第三方测评机构,依据《网络安全等级保护测评要求》等技术标准,定期对等级保护对象开展等级测评。第三级及以上定级对象应当每年至少进行一次等级测评(等保1.0标准里面等级保护四级系统需要每半年一次,现在调整为每年一次),第五级定级对象应当依据特殊安全需求进行等级测评。

    9、对于工业控制系统如何开展等级保护工作?

    依据等保基本要求中的安全通用要求和工控扩展要求来对工业控制系统开展等级保护工作。
    工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,各要素不单独定级;生产管理要素可单独定级。
    对于大型工业控制系统,可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
    工控扩展要求保护主要包括:室外控制设备防护、工业控制系统、网络架构安全、拨号使用控制无线使用控制、控制设备安全、漏洞和风险管理、恶意代码防范管理等方面内容。
    工业控制系统安全扩展要求主要针对现场控制层和现场设备层提出特殊安全要求,其他层次使用安全通用要求条款,对工业控制系统的保护需要根据实际情况使用基本要求。

    展开全文
  • 2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护...

    一、等保2.0概述:

    2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布,将于2019年12月1日开始实施。

    云南等保合规建设、昆明等保整改解决方案 云南天成科技 吴经理:13698746778 QQ:463592055

     

    相较于2007年实施的《信息安全等级保护管理办法》所确立的等级保护1.0体系,为了适应现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求,2018年公安部正式发布《网络安全等级保护条例(征求意见稿)》,国家对信息安全技术与网络安全保护迈入2.0时代。

    事实上,由于某些行业特殊性,如果等保没做,有可能拿不到营业执照或者无法正常开业,也有可能受行业监管部门处罚。不做等保有可能遭遇罚款,事态严重的,有可能遭网监等相关部门勒令停止运营,万一发生了敏感事故,这个安全责任必须自己去承担,不论你的安全工作平时做的有多么好。这一点看来,一般是IT部门或者运维部门的主管首先担责。轻则罚款关机,重则牢狱之灾也是有的。

    云南等保合规建设、昆明等保整改解决方案 云南天成科技 吴经理:13698746778 QQ:463592055

    云南天成科技,解企业燃眉之急,助力企业合规合法运营发展。云南天成科技有限公司,提供专业等保咨询以及等保合规改造服务,助力企业等保工作开展。云南天成科技创立于2009年,向客户提供本地化、高品质的IDC、等保合规建设、云计算、数据中心机房建设、IT系统集成、系统运维管理和大数据等服务。于2019成为阿里云、华为云云南金牌合作伙伴,为用户提供阿里云、华为云全线基础产品及行业解决方案的实施运维服务。

    云南等保合规建设、昆明等保整改解决方案 云南天成科技 吴经理:13698746778 QQ:463592055

    二、什么是等保

    • 根据 2017 年 6 月 1 日起施行《中华人民共和国网络安全法》的规定,等级保护是我国信息安全保障的基本制度。
    • 《中华人民共和国网络安全法》第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列全保护义务:保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
    • 等保1.0指的是2007年的《信息安全等级保护管理办法》和2008年的《信息安全技术信息系统安全等级保护基本要求》。
    • 等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,并对旧有内容进行调整。

    三、等保2.0由来过程

    等保2.0对定级指南、基本要求、实施指南、测评过程指南、测评要求、设计技术要求等标准进行修订和完善,以满足新形势下等级保护工作的需要,其中《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全安全等级保护基本要求》、《信息安全技术 网络安全等级保护安全设计要求》已于2019年5月10日发布,并将在2019年12月1日实施。

    云南等保合规建设、昆明等保整改解决方案 云南天成科技 吴经理:13698746778 QQ:463592055

    四、相较于等保1.0,等保2.0发生了以下主要变化:

    第一:名称变化。等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,与《网络安全法》保持一致。

    第二:定级对象变化。等保1.0的定级对象是信息系统,现在2.0更为广泛,包含:信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。

    第三:安全要求变化。基本要求的内容,由安全要求变革为安全通用要求与安全扩展要求(含云计算、移动互联、物联网、工业控制)。

    针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护基本要求标准。调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。

    第四:控制措施分类结构变化。等保2.0依旧保留技术和管理两个维度。等保2.0由旧标准的10个分类调整为8个分类,分别为:

    • 技术部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;
    • 管理部分:安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理。

     

    云南等保合规建设、昆明等保整改解决方案 云南天成科技 吴经理:13698746778 QQ:463592055

    第五:标准控制点和要求项的变化

    等保2.0在控制点要求上并没有明显增加,通过合并整合后相对旧标准略有缩减。

    控制点变化对比表

     

    要求项变化对比表

     

    第六:内容变化。从等保1.0的定级、备案、建设整改、等级测评和监督检查五个规定动作,变更为五个规定动作+新的安全要求(风险评估、安全监测、通报预警、态势感知等)。

    云南等保合规建设、昆明等保整改解决方案 云南天成科技 吴经理:13698746778 QQ:463592055

     

    等保2.0将进一步提升关键信息基础设施安全。根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,网络运营者成为等级保护的责任主体,如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。

    五、昆明等保2.0二级、三级整改所需设备和要求

    1、二级等保要求及所需设备

     

    《等级保护基本要求》

    所需设备

    防盗窃和防破坏(G2

    e) 主机房应安装必要的防盗报警设施。

    机房防盗报警系统

    防火(G2

    机房应设置灭火设备和火灾自动报警系统。

    灭火设备

    火灾自动报警系统

    温湿度控制(G2

    机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。

    机房专用空调

    电力供应(A2

    b) 应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。

    UPS

    访问控制(G2

    a) 应在网络边界部署访问控制设备,启用访问控制功能;

    b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。

    c) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒  度为单个用户

    防火墙

    (网站系统,需部署web应用防火墙、防篡改系统)

    边界完整性检查(S2

    应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。

    准出控制设备

    入侵防范(G2

    应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区  溢出攻击、IP 碎片攻击和网络蠕虫攻击等。

    IDS(或IPS

    安全审计(G2

    a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;

    安全审计(G2

    a) 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;

    d) 应保护审计记录,避免受到未预期的删除、修改或覆盖等

    日志审计系统

    日志服务器

    恶意代码防范(G2

    a) 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;  

    b) 应支持防恶意代码软件的统一管理

    网络版杀毒软件

    备份和恢复(A2

    a) 应能够对重要信息进行备份和恢复;

    数据备份系统

    网络安全管理(G2

    d) 应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;

    系统安全管理(G2

    b) 应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补;

    漏洞扫描设备


    2、三级等保要求及所需设备

    《等级保护基本要求》

    所需设备

    物理访问控制(G3

    d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。

    电子门禁系统

    防盗窃和防破坏(G3

    e) 应利用光、电等技术设置机房防盗报警系统;

    f) 应对机房设置监控报警系统。

    机房防盗报警系统

    监控报警系统

    防火(G3

    a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;

    火灾自动消防系统

    防水和防潮(G3

    d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。

    水敏感检测设备

    温湿度控制(G3

    机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。

    机房专用空调

    电力供应(A3

    d) 应建立备用供电系统

    UPS或备用发电机

    结构安全(G3

    b) 应保证网络各个部分的带宽满足业务高峰期需要;

    g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护  重要主机。

    负载均衡

    访问控制(G3

    a) 应在网络边界部署访问控制设备,启用访问控制功能  

    b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级

    c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制  

    防火墙

    (网站系统,需部署web应用防火墙、防篡改系统)

    边界完整性检查(S3

    a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;

    b) 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻  断

    准入准出设备

    入侵防范(G3

    a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等;

    b) 当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。

    IDS(或IPS

    恶意代码防范(G3

    a) 应在网络边界处对恶意代码进行检测和清除;

    b) 应维护恶意代码库的升级和检测系统的更新。

    防病毒网关(或UTM、防火墙集成模块)

    安全审计(G3

    a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;

    b) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信  息;

    c) 应能够根据记录数据进行分析,并生成审计报表;

    d) 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等

    安全审计(G3

    a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;

    b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安  全相关事件; c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;

    d) 应能够根据记录数据进行分析,并生成审计报表;

    e) 应保护审计进程,避免受到未预期的中断;

    f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等

    日志审计系统

    数据库审计系统

    日志服务器

    恶意代码防范(G3

    a) 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;

    b) 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;

    c) 应支持防恶意代码的统一管理。

    网络版杀毒软件

    资源控制(A3

    c) 应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;

    d) 应限制单个用户对系统资源的最大或最小使用限度;

    e) 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。

    运维管理系统

    网络设备防护(G3

    d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;

    身份鉴别(S3

    f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别

    身份鉴别(S3

    b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;

    堡垒机+UKey认证

    备份和恢复(A3

    a) 应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;

    b) 应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地;

    数据备份系统

    异地容灾

    网络安全管理(G3

    d) 应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;

    系统安全管理(G3

    b) 应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补;

    漏洞扫描设备

     

    六、昆明等保安全服务流程

     

    云南等保合规建设、昆明等保整改解决方案 云南天成科技 吴经理:13698746778 QQ:463592055

    1、系统定级

    云南天成科技:协助定级、推荐测评机构

    客户:业务系统定级,与云南天成科技签订服务合同。

    通用等保测评流程:信息系统运营单位按照《网络安全等级保护定级指南》,自行定级。三级以上系统定级结论需进行专家评审。

    2、系统备案

    云南天成科技:协助客户完成备案

    客户:提交备案材料

    通用等保测评流程:信息系统定级申报获得通过后,30日内到公安机关办理备案手续

    3、建设整改

    云南天成科技:提供技术方案建议书、协助整改

    客户:依据等级保护标准进行安全建设整改

    通用等保测评流程:根据等保有关规定和标准,对信息系统进行安全建设整改

    4、等级测评

    云南天成科技:协助测评

    客户:配合测评机构测评,接收报告(项目完结)

    通用等保测评流程:信息系统运营单位选择公安部认可的第三方等级测评机构进行测评,提供跨地市的情况下由本地(本省)测评机构交付的等保测评服务。

    5、监督检查(项目后)

    云南天成科技:技术支持

    客户:安全运营、维护,保障日常系统合规

    通用等保测评流程:当地网监定期进行监督检查

    七、几个等级保护常见问题

    1、什么是等级保护?

    网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

    2、为什么要开展等级保护工作?

    《网络安全法》在2017年6月1日正式实施,其中第二十一条明确规定“国家实行网络安全等级保护制度”。国家层面强调各网络运营者必须严格对照自身属性和等级分类,积极开展网络安全等级保护工作,增强网络安全防护能力,切实保障网络运行安全。

    等级保护工作不但是国家信息安全的基本制度,同时还是企业自身信息安全防护能力的重要体现,做好等级保护工作可以实现:

    1)满足国家相关法律法规和制度的要求;

    2)降低信息安全风险,提高信息系统的安全防护能力;

    3)合理地规避或降低风险;

    4)履行和落实网络信息安全责任义务。

    3、等级保护工作具体包含哪些内容?

    信息安全等级保护工作包括定级、备案、安全建设和整改、等级保护测评、安全检查等五个阶段。

    4、去哪里进行信息系统的定级备案工作?

    区县—先将资料交到区县网安大队,再由区县网安大队转交地级市网安支队进行备案。

    地级—各地级市的单位将定级资料交给各自地级市的网安支队。

    省级—省级单位将资料交给省公安网安总队。

    PS:特殊行业按特定要求执行。

    5、什么是等级保护测评?

    等级保护测评是等级保护工作的重要环节,信息系统备案单位通过委托测评机构开展等级测评,可以查找系统安全隐患和薄弱环节,明确系统与相应等级标准要求的差距和不足,有针对性地进行安全建设整改。

    6、等级保护测评一般多长时间能测完?

    一个二级或三级的系统现场测评周期一般一周左右,具体时间还要根据信息系统数量及信息系统的规模,有所增减。小规模安全整改2-3周,出具报告时间一周,整体持续周期1-2个月。如果整改不及时或牵涉到购买设备,时间不好说,但总的要求一年内要完成。

    7、等级保护测评多久需要测一次?

    三级及以上信息系统要求每年至少开展一次测评;二级信息系统建议每两年开展一次测评,部分行业是明确要求每两年开展一次测评。

    8、等级保护测评的费用是多少?

    测评的费用首先是按照信息系统来算,不是按照一个单位,不同等级的测评费用不一样,最后测评的费用也和信息系统的资产规模相关,规模越大相应的测评费用会高些。费用每个省市具体情况不一样,通常每个省市都有自己的一个价格体系,二级和三级系统的测评费用相对都是固定的,具体可以向当地测评机构咨询。

    云南省收费基数(A)计算表

    信息系统等级

    测评指标项数量

    单项收费标准(元/项)

    收费基数(万元)

    二级

    175以上

    300

    6

    三级

    290以上

    300

    8-12

    备注

    测评项目及费用根据企业具体情况来计算

    9、测评机构的选择有哪些要求?

    委托的测评机构需要拥有等级保护测评资质,是在中国网络安全等级保护网可查“全国等级保护测评机构推荐目录”中测评机构,云南省目前测评机构有如下几家:

    推荐证书编号

    测评机构名称

    注册地址

    推荐有效期至

    DJCP2011530149

    云南南天电子信息产业股份有限公司信息安全测评中心

    云南省昆明市环城东路455号

    2020年3月

    DJCP2014530151

    云南联创网安科技有限公司

    云南省昆明市盘龙区金州湾.蓝屿A区2幢1单元1001号

    2020年12月

    DJCP2015530152

    云南厚壁信息安全测评有限公司

    云南省昆明市经济技术开发区佳逸盛景花园二期Ⅲ区1幢1111号

    2021年7月

    DJCP2018530153

    云南电信公众信息产业有限公司

    昆明市丽苑路电信枢纽大楼辅楼3楼

    2021年5月

    DJCP2018530154

    云南无线数字电视文化传媒有限公司

    云南省昆明市人民西路182号

    2021年5月

    备注

    测评机构选择由云南天成科技推荐(具体联系:吴经理 13698746778 QQ:463592055)

    10、哪些行业需要开展等级保护工作?

    政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等。

    金融行业:金融监管机构、各大银行、证券、保险公司等。

    电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等。

    能源行业:电力公司、石油公司、烟草公司。

    企业单位:大中型企业、央企、上市公司等。

     

    展开全文
  • GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南 范围 本标准给出了非涉及国家秘密的等级保护对象的安全保护等级定级方法和定级流程。 本标准适用于指导网络运营者开展非涉及国家秘密的等级保护对象的...
  • 网络安全等级保护工作流程 运营单位确定要开展信息系统等级保护工作后,应按照以下步骤逐步推进工作: 1、确定信息系统的个数、每个信息系统的等保级别、信息系统的资产...3、对所定级的系统进行专家评审(二级系统
  • 等保2.0二级通用要求

    千次阅读 2020-02-02 18:06:01
    1 安全物理环境 1.1 物理位置选择 本项要求包括: a)机房场地应选择在具有防震、防风和防雨能力的建筑内; b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 1.2 物理访问控制 机房出入口...
  • 国内网络安全厂商等级基于国家等级保护制度编写解决方案,希望对大家有帮助,谢谢!
  • 另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面...
  • 等保介绍 等保发展历程 1994 国务院147号令 第一次提出等级保护概念,要求对信息系统分等级进行保护 1999 GB17859 国家强制标准发布,信息系统等级保护必须遵循的法规 ...第十一条“国家实行网络安全等级保护制
  • 等保2.0三级安全要求

    万次阅读 2020-06-07 12:22:55
    第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾害,以及其他相当危害程度...以下加粗字段为等保三级与二级的区别,需重点关注。
  • 一听这哥们这样说话,我就知道他是不清楚信息安全等级保护或者网络安全等级保护的。因为目前只有等保1.0或者等保2.0的说法,还没有等保3.0。一般有人说等保3.0,就知道这个人一定是没有对等级保护了解清楚,错把等保...
  • 关于计算机硬件及网络的《信息系统安全等级保护基本要求》二级、三级等级保护要求比较。
  • 网络信息系统安全等级保护分为五,一防护水平最低,最高等保为五,运维FUN分享等保划分及适用行业: 信息安全等级保护等级划分及适用行业 网络信息系统安全等级保护分为五,一防护水平最低,最高...
  • 首先,先来简要介绍一下什么是《网络安全法》与“等保”。 《网络安全法》: 全称《中华人民共和国网络安全法》,由中华人民共和国第十届全国人民代表大会常务委员会第十四次会议于2016年11月7日通过,现予公布...
  • 二级等保序号建议功能或模块建议方案或产品重要程度主要依据备注安全层面二级分项二级测评指标权重1边界防火墙非常重要网络安全访问控制(G2)a)应在网络边界部署访问控制设备,启用访问控制功能;1b)应能根据会话状态...
  • 计算机等级二级等保要求

    万次阅读 2013-09-10 11:19:27
    现在计算机信息系统要求满足二级等保要求。上网找了一番,找出这么一个标准。 1 第二级基本要求 1.1 技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G2) 机房和办公场地应选择在具有防震、防风和防雨等能力...
  • 等保2.0四级安全要求

    千次阅读 2020-06-07 15:14:16
    第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾害,以及其他相当危害程度的...以下加粗字段为等保与三的区别,需重点关注。
  • 网络安全等级保护测评2.0三安全通用要求检查项和测评要求,可随意复制粘贴 网络安全等级保护测评2.0三安全通用要求检查项和测评要求,可随意复制粘贴
  • 首先,我们先看来一下,什么是、三级等保? 一、等2.0概述 2019年5月13日,国家市场监督管理总局、国家标准化管理委员会发布《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)(“《等基本要求...
  • 信息安全等级保护二级测评控制点1.0标准和2.0标准对比表格
  • 报告数据来源:华创证券、东方财富、东吴证券前 言:据公安部十一局七处处长祝国邦:《网络安全等级保护技术》2.0版本将于5月13日发布。相比等保1.0只针对网络和信息系统,...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 193,437
精华内容 77,374
关键字:

网络安全等保二级