国家信息安全等级保护制度第三级要求
1 第三级基本要求
1.1技术要求
1.1.1 物理安全
1.1.1.1 物理位置的选择(G3)
本项要求包括:
a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
1.1.1.2 物理访问控制(G3)
本项要求包括:
a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安
装等过渡区域;
d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3)
本项要求包括:
a) 应将主要设备放置在机房内;
b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;
c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
d) 应对介质分类标识,存储在介质库或档案室中;
e) 应利用光、电等技术设置机房防盗报警系统;
f) 应对机房设置监控报警系统。
1.1.1.4 防雷击(G3)
本项要求包括:
a) 机房建筑应设置避雷装置;
b) 应设置防雷保安器,防止感应雷;
c) 机房应设置交流电源地线。
7.1.1.5 防火(G3)
本项要求包括:
a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
1.1.1.6 防水和防潮(G3)
本项要求包括:
a) 水管安装,不得穿过机房屋顶和活动地板下;
b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
1.1.1.7 防静电(G3)
本项要求包括:
a) 主要设备应采用必要的接地防静电措施;
b) 机房应采用防静电地板。
1.1.1.8 温湿度控制(G3)
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.1.1.9 电力供应(A3)
本项要求包括:
a) 应在机房供电线路上配置稳压器和过电压防护设备;
b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求;
c) 应设置冗余或并行的电力电缆线路为计算机系统供电;
d) 应建立备用供电系统。
1.1.1.10 电磁防护(S3)
本项要求包括:
a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
b) 电源线和通信线缆应隔离铺设,避免互相干扰;
c) 应对关键设备和磁介质实施电磁屏蔽。
1.1.2 网络安全
1.1.2.1 结构安全(G3)
本项要求包括:
a) 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
b) 应保证网络各个部分的带宽满足业务高峰期需要;
c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
d) 应绘制与当前运行情况相符的网络拓扑结构图;
e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,
并按照方便管理和控制的原则为各子网、网段分配地址段;
f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取
可靠的技术隔离手段;
g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护
重要主机。
1.1.2.2 访问控制(G3)
本项要求包括:
a) 应在网络边界部署访问控制设备,启用访问控制功能;
b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3
1.等级保护是国家信息安全的基本制度
随着我国信息技术的快速发展,为维护国家安全和社会稳定,维护信息网络安全,国务院于1994年颁布了《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)。条例中规定:我国的“计算机信息系统实行安全等级保护。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。2007年公安部会同国家保密局、国家密码管理局和国务院信息化工作办公室下发《信息安全等级保护管理办法》(公通字[2007]43号)明确规定“定期对信息系统安全等级状况开展等级测评”。“第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评……”。并制定了包括《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》等50多个国家标准和行业标准,形成了信息安全等级保护标准体系。具体如下图所示:
2012年,CSDN网站因未落实国家信息安全等级保护制度,造成了大量用户信息泄露的严重后果。依据《中华人民共和国计算机信息系统安全保护条例》,北京市公安局对CSDN网站运营公司做出行政警告处罚。可见,开展等级保护工作是企业义不容辞的信息安全义务。
2.各行业或监管部门落实信息安全等级保护工作的具体工作
随着国家相关机关不断出台等级保护规范标准,各行业或监管部门迅速发文响应并落实行业内信息系统安全等级保护工作。例如,卫生部2011年印发(卫办发[2011]85号)《卫生行业信息安全等级保护工作的指导意见》的通知,明确卫生行业信息系统实行“定级备案、建设与整改、等级测评”工作。中国人民银行2012年制定了《金融行业信息安全等级保护测评服务安全指引》、《金融行业信息信息系统信息安全等级保护测评指南》和《金融行业信息系统信息安全等级保护实施指引》,2013年制定了《征信机构管理办法》(中国人民银行令[2013]第1号),明确和规范金融机构开展的信息系统安全等级保护测评工作。教育部2014年发布《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技[2014]4号)明确规定“各单位信息系统要按照教育行业有关规范准确定级和备案”,“按照国际和教育行业有关标准规范要求进行等级测评”。还有财政部、人力资源社会保障、交通运输行业、电力行业等监管部门或行业都发布相应文件明确落实信息系统安全等级保护工作,建立、健全信息安全管理制度,落实安全保护技术措施,全面贯彻落实信息安全等级保护制度。
3.等级保护测评的工作内容
为了达到各级的安全保护能力要求,国家等级保护基本安全要求提出了技术要求和管理要求两大类,涵盖了物理(机房)、网络、主机、应用、数据安全、安全管理制度、安全管理机构、人员、系统建设、系统运维十个方面的内容。如下图所示。
信息系统安全等级保护测评(简称“等级保护测评”)包括系统定级、系统备案、安全建设整改、等级保护测评、定期安全检查五个阶段。等级保护工作的实施过程如下图所示:
等级保护测评是指信息系统运营、使用单位委托具有等级保护测评资质的测评机构对其建设的已定级的信息系统进行等级保护测评过程,测评机构在测评过程中采用访谈、检查和测试三大类的测评方法,具体细分为人员访谈、文档审查、配置核查、现场观测和工具测试等五个小类,对信息系统进行安全测评和风险评估,验证信息系统是否满足相应安全保护等级要求,并形成信息安全等级保护测评报告。其所包含的测评工作流程可参考下图:
公安机关等安全监管部门进行信息安全等级保护监督检查时,系统运营、使用单位必须提交由具有等级测评资质的机构出具的等级测评报告。
4.哪些行业需要进行等级保护测评
政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等;
金融行业:金融监管机构、各大银行、证券、保险公司等;
电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等;
能源行业:电力公司、石油公司、烟草公司;
企业单位:大中型企业、央企、上市公司等;
其它有信息系统定级需求的行业与单位。
一些基于上级监管单位要求和政策的强制要求开展等级保护测评的企业。例如,中国人民银行要求征信机构必须进行等级保护测评,所以多数相关机构会委托经人民银行和国家信息安全管理机构批准成立的认证机构CFCA(中国金融认证中心)进行测评。CFCA是国家级权威安全认证机构,是国家重要的金融信息安全基础设施之一,汇集高、精、尖人才,拥有优秀的管理团队和工作扎实、饱含激情与活力的员工队伍。CFCA在2013年已获得公安部颁发的《等级保护测评机构能力评估合格证书》、《等级保护测评机构推荐证书》,CFCA成立的信息安全实验室拥有40多名具备信息安全等级测评师资质的工程师,大部分工程师在等级保护测评领域有五年以上的工作经验,是国内最权威的测评机构之一。
5.组织中哪些信息系统需要实施等级保护
·电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
·铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统
·市(地)级以上党政机关的重要网站和办公信息系统。
·涉及国家秘密的信息系统。
6.开展等级保护测评的益处
对于企业来说,实施信息安全等级保护测评能够有效地提高单位信息和信息系统安全建设的整体水平,有效控制企业信息安全建设成本;有利于明确国家、法人和其他组织、公民的信息安全责任,加强企业信息安全管理。
对于信息系统来说,通过等级保护测评可及时发现信息系统安全状况并制定方案进行整改,当信息系统完全达到安全保护能力要求时,信息系统就基本可做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”。
具体包括:
·保障基础设施安全,保障网络周边环境和物理特性引起的网络设备和线路的持续使用。
·保障网络连接安全,保障网络传输中的安全,尤其保障网络边界和外部接入中的安全。
·保障计算环境的安全,保障操作系统、数据库、服务器、用户终端及相关商用产品的安全。
·保障应用系统安全,保障应用程序层对网络信息的保密性、完整性和信源的真实的保护和鉴别,防止和抵御各种安全威胁和攻击手段,在一定程度上弥补和完善现有操作系统和网络信息系统的安全风险。
·保障数据安全及备份恢复,保障数据完整性、数据保密性、备份和恢复等。
·安全管理体系保障。根据国家有关信息安全等级保护方面的标准和规范要求,建立一套切实可行的安全管理体系,加强安全管理机制。
国家信息安全等级保护制度第三级要求
等保大师
会员积分:20
1 第三级基本要求
1.1技术要求
1.1.1 物理安全
1.1.1.1 物理位置的选择(G3)
本项要求包括:
a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
1.1.1.2 物理访问控制(G3)
本项要求包括:
a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安
装等过渡区域;
d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3)
本项要求包括:
a) 应将主要设备放置在机房内;
b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;
c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
d) 应对介质分类标识,存储在介质库或档案室中;
e) 应利用光、电等技术设置机房防盗报警系统;
f) 应对机房设置监控报警系统。
1.1.1.4 防雷击(G3)
本项要求包括:
a) 机房建筑应设置避雷装置;
b) 应设置防雷保安器,防止感应雷;
c) 机房应设置交流电源地线。
7.1.1.5 防火(G3)
本项要求包括:
a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
1.1.1.6 防水和防潮(G3)
本项要求包括:
a) 水管安装,不得穿过机房屋顶和活动地板下;
b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
1.1.1.7 防静电(G3)
本项要求包括:
a) 主要设备应采用必要的接地防静电措施;
b) 机房应采用防静电地板。
1.1.1.8 温湿度控制(G3)
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.1.1.9 电力供应(A3)
本项要求包括:
a) 应在机房供电线路上配置稳压器和过电压防护设备;
b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求;
c) 应设置冗余或并行的电力电缆线路为计算机系统供电;
d) 应建立备用供电系统。
1.1.1.10 电磁防护(S3)
本项要求包括:
a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
b) 电源线和通信线缆应隔离铺设,避免互相干扰;
c) 应对关键设备和磁介质实施电磁屏蔽。
1.1.2 网络安全
1.1.2.1 结构安全(G3)
本项要求包括:
a) 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
b) 应保证网络各个部分的带宽满足业务高峰期需要;
c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
d) 应绘制与当前运行情况相符的网络拓扑结构图;
e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,
并按照方便管理和控制的原则为各子网、网段分配地址段;
f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取
可靠的技术隔离手段;
g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护
重要主机。
1.1.2.2 访问控制(G3)
本项要求包括:
a) 应在网络边界部署访问控制设备,启用访问控制功能;
b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3
1.等级保护是国家信息安全的基本制度
随着我国信息技术的快速发展,为维护国家安全和社会稳定,维护信息网络安全,国务院于1994年颁布了《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)。条例中规定:我国的“计算机信息系统实行安全等级保护。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。2007年公安部会同国家保密局、国家密码管理局和国务院信息化工作办公室下发《信息安全等级保护管理办法》(公通字[2007]43号)明确规定“定期对信息系统安全等级状况开展等级测评”。“第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评……”。并制定了包括《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》等50多个国家标准和行业标准,形成了信息安全等级保护标准体系。具体如下图所示:
2012年,CSDN网站因未落实国家信息安全等级保护制度,造成了大量用户信息泄露的严重后果。依据《中华人民共和国计算机信息系统安全保护条例》,北京市公安局对CSDN网站运营公司做出行政警告处罚。可见,开展等级保护工作是企业义不容辞的信息安全义务。
2.各行业或监管部门落实信息安全等级保护工作的具体工作
随着国家相关机关不断出台等级保护规范标准,各行业或监管部门迅速发文响应并落实行业内信息系统安全等级保护工作。例如,卫生部2011年印发(卫办发[2011]85号)《卫生行业信息安全等级保护工作的指导意见》的通知,明确卫生行业信息系统实行“定级备案、建设与整改、等级测评”工作。中国人民银行2012年制定了《金融行业信息安全等级保护测评服务安全指引》、《金融行业信息信息系统信息安全等级保护测评指南》和《金融行业信息系统信息安全等级保护实施指引》,2013年制定了《征信机构管理办法》(中国人民银行令[2013]第1号),明确和规范金融机构开展的信息系统安全等级保护测评工作。教育部2014年发布《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技[2014]4号)明确规定“各单位信息系统要按照教育行业有关规范准确定级和备案”,“按照国际和教育行业有关标准规范要求进行等级测评”。还有财政部、人力资源社会保障、交通运输行业、电力行业等监管部门或行业都发布相应文件明确落实信息系统安全等级保护工作,建立、健全信息安全管理制度,落实安全保护技术措施,全面贯彻落实信息安全等级保护制度。
3.等级保护测评的工作内容
为了达到各级的安全保护能力要求,国家等级保护基本安全要求提出了技术要求和管理要求两大类,涵盖了物理(机房)、网络、主机、应用、数据安全、安全管理制度、安全管理机构、人员、系统建设、系统运维十个方面的内容。如下图所示。
信息系统安全等级保护测评(简称“等级保护测评”)包括系统定级、系统备案、安全建设整改、等级保护测评、定期安全检查五个阶段。等级保护工作的实施过程如下图所示:
等级保护测评是指信息系统运营、使用单位委托具有等级保护测评资质的测评机构对其建设的已定级的信息系统进行等级保护测评过程,测评机构在测评过程中采用访谈、检查和测试三大类的测评方法,具体细分为人员访谈、文档审查、配置核查、现场观测和工具测试等五个小类,对信息系统进行安全测评和风险评估,验证信息系统是否满足相应安全保护等级要求,并形成信息安全等级保护测评报告。其所包含的测评工作流程可参考下图:
公安机关等安全监管部门进行信息安全等级保护监督检查时,系统运营、使用单位必须提交由具有等级测评资质的机构出具的等级测评报告。
4.哪些行业需要进行等级保护测评
政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等;
金融行业:金融监管机构、各大银行、证券、保险公司等;
电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等;
能源行业:电力公司、石油公司、烟草公司;
企业单位:大中型企业、央企、上市公司等;
其它有信息系统定级需求的行业与单位。
一些基于上级监管单位要求和政策的强制要求开展等级保护测评的企业。例如,中国人民银行要求征信机构必须进行等级保护测评,所以多数相关机构会委托经人民银行和国家信息安全管理机构批准成立的认证机构CFCA(中国金融认证中心)进行测评。CFCA是国家级权威安全认证机构,是国家重要的金融信息安全基础设施之一,汇集高、精、尖人才,拥有优秀的管理团队和工作扎实、饱含激情与活力的员工队伍。CFCA在2013年已获得公安部颁发的《等级保护测评机构能力评估合格证书》、《等级保护测评机构推荐证书》,CFCA成立的信息安全实验室拥有40多名具备信息安全等级测评师资质的工程师,大部分工程师在等级保护测评领域有五年以上的工作经验,是国内最权威的测评机构之一。
5.组织中哪些信息系统需要实施等级保护
·电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
·铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统
·市(地)级以上党政机关的重要网站和办公信息系统。
·涉及国家秘密的信息系统。
6.开展等级保护测评的益处
对于企业来说,实施信息安全等级保护测评能够有效地提高单位信息和信息系统安全建设的整体水平,有效控制企业信息安全建设成本;有利于明确国家、法人和其他组织、公民的信息安全责任,加强企业信息安全管理。
对于信息系统来说,通过等级保护测评可及时发现信息系统安全状况并制定方案进行整改,当信息系统完全达到安全保护能力要求时,信息系统就基本可做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”。
具体包括:
·保障基础设施安全,保障网络周边环境和物理特性引起的网络设备和线路的持续使用。
·保障网络连接安全,保障网络传输中的安全,尤其保障网络边界和外部接入中的安全。
·保障计算环境的安全,保障操作系统、数据库、服务器、用户终端及相关商用产品的安全。
·保障应用系统安全,保障应用程序层对网络信息的保密性、完整性和信源的真实的保护和鉴别,防止和抵御各种安全威胁和攻击手段,在一定程度上弥补和完善现有操作系统和网络信息系统的安全风险。
·保障数据安全及备份恢复,保障数据完整性、数据保密性、备份和恢复等。
·安全管理体系保障。根据国家有关信息安全等级保护方面的标准和规范要求,建立一套切实可行的安全管理体系,加强安全管理机制。
18-07-05 09:49
7256
0
回复
暂无评论
