等保三級(jí)系統(tǒng)加固及測(cè)評(píng)關(guān)鍵點(diǎn)

1、信息信息系統(tǒng)安全系統(tǒng)安全加固加固日期：日期：2016年年9月月廣西廣西金普威信息系統(tǒng)有限公司金普威信息系統(tǒng)有限公司nBefore 2005Before 2005中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（1994年 國(guó)務(wù)院147號(hào)令）國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)（中辦發(fā)200327號(hào)）關(guān)于信息安全等級(jí)保護(hù)工作的關(guān)于信息安全等級(jí)保護(hù)工作的（公通字200466號(hào)）n20072007信息安全等級(jí)保護(hù)信息安全等級(jí)保護(hù)（公通字200743號(hào)） 關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全

2、的通知的通知 （公信安2007861號(hào)）上海市：滬公發(fā)2007319號(hào)上海市迎世博信息安全保障兩年行動(dòng)計(jì)劃上海市迎世博信息安全保障兩年行動(dòng)計(jì)劃n2009200920092009年信息安全等級(jí)保護(hù)工作內(nèi)容及具體要求年信息安全等級(jí)保護(hù)工作內(nèi)容及具體要求（公信安（公信安20092322009232號(hào)）號(hào)）關(guān)于組織開(kāi)展關(guān)于組織開(kāi)展20092009年度本市重要信息系統(tǒng)年度本市重要信息系統(tǒng)的通知的通知 （滬公發(fā)2009187號(hào)）滬公發(fā)2009173號(hào)、滬密局200939號(hào)、。等級(jí)保護(hù)政策推進(jìn)過(guò)程n基礎(chǔ)類基礎(chǔ)類 n應(yīng)用類應(yīng)用類 信息系統(tǒng)通用安全技術(shù)要求GB/T 20271-2006 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)

3、技術(shù)要求 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南 信息系統(tǒng)安全管理要求GB/T 20269-2006 信息系統(tǒng)安全工程管理要求GB/T 20282-2006 等級(jí)保護(hù)十大核心標(biāo)準(zhǔn)等級(jí)保護(hù)完全實(shí)施過(guò)程信息系統(tǒng)定級(jí)信息系統(tǒng)定級(jí)安全總體規(guī)劃安全總體規(guī)劃安全設(shè)計(jì)與實(shí)施安全設(shè)計(jì)與實(shí)施安全運(yùn)行維護(hù)安全運(yùn)行維護(hù)信息系統(tǒng)終止信息系統(tǒng)終止安全等級(jí)測(cè)評(píng)安全等級(jí)測(cè)評(píng)信息系統(tǒng)備案信息系統(tǒng)備案安全整改設(shè)計(jì)安全整改設(shè)計(jì)等級(jí)符合性檢查等級(jí)符合性檢查應(yīng)急預(yù)案及演練應(yīng)急預(yù)案及演練安全要求整改安全等級(jí)整改局部調(diào)整等級(jí)變更安全保護(hù)能力基本安全要求等保3級(jí)的信息系統(tǒng)基本技術(shù)措施基本管理措施具備包含包含滿足滿足實(shí)現(xiàn)某級(jí)系統(tǒng)物理安全技術(shù)要求管

4、理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理指標(biāo)類指標(biāo)類技術(shù)技術(shù)/管理管理層面層面類數(shù)量類數(shù)量項(xiàng)數(shù)量項(xiàng)數(shù)量S S類類(3(3級(jí)級(jí))A A類類(3(3級(jí)級(jí))G G類類(3(3級(jí)級(jí))小計(jì)小計(jì)小計(jì)小計(jì)安全技術(shù)物理安全1181032網(wǎng)絡(luò)安全106733主機(jī)安全313732應(yīng)用安全522931數(shù)據(jù)安全21038安全管理安全管理制度N/A311安全管理機(jī)構(gòu)520人員安全管理516系統(tǒng)建設(shè)管理1145系統(tǒng)運(yùn)維管理1360合 計(jì)物理安全主要涉及的方面包括環(huán)境環(huán)境安全（防火、防水、防雷擊等）設(shè)備設(shè)備和介質(zhì)介質(zhì)的防盜竊防破壞等方面。物理安全具體包括：1

5、010個(gè)控制點(diǎn)個(gè)控制點(diǎn) 物理位置的選擇（G）、 物理訪問(wèn)控制（G）、 防盜竊和防破壞（G）、 防雷擊（G)、 防火（G）、防水和防潮（G） 、防靜電（G） 、溫濕度控制（G）、電力供應(yīng)（A）、 電磁防護(hù)（S）物理位置的選擇物理位置的選擇基本防護(hù)能力高層、地下室高層、地下室物理訪問(wèn)控制物理訪問(wèn)控制基本出入控制分區(qū)域管理分區(qū)域管理在機(jī)房中的活動(dòng)電子門禁電子門禁防盜竊和防破壞防盜竊和防破壞存放位置、標(biāo)記標(biāo)識(shí)監(jiān)控報(bào)警系統(tǒng)監(jiān)控報(bào)警系統(tǒng)防雷擊防雷擊建筑防雷、機(jī)房接地設(shè)備防雷設(shè)備防雷防火防火滅火設(shè)備、自動(dòng)報(bào)警自動(dòng)消防系統(tǒng)自動(dòng)消防系統(tǒng)區(qū)域隔離措施區(qū)域隔離措施防防靜電靜電關(guān)鍵設(shè)備主要設(shè)備主要設(shè)備防靜電地板防靜電

6、地板電力供應(yīng)電力供應(yīng)穩(wěn)定電壓、短期供應(yīng)主要設(shè)備主要設(shè)備冗余冗余/并行線路并行線路備用供電系統(tǒng)備用供電系統(tǒng)電磁防護(hù)電磁防護(hù)線纜隔離接地防干擾接地防干擾電磁屏蔽電磁屏蔽防水和防潮防水和防潮溫濕度控制溫濕度控制物理安全的整改要點(diǎn)物理位置選擇物理訪問(wèn)控制防盜竊和防破壞防雷擊、防火、防水和防潮、防靜電、溫濕度控制電力供應(yīng)電磁防護(hù)不做硬性要求網(wǎng)絡(luò)安全主要關(guān)注的方面包括：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等。網(wǎng)絡(luò)安全具體包括：7 7個(gè)控制點(diǎn)個(gè)控制點(diǎn) 結(jié)構(gòu)安全(G)、訪問(wèn)控制(G)、安全審計(jì)(G)、 邊界完整性檢查(A)、入侵防范(G)、 惡意代碼防范(G)、網(wǎng)絡(luò)設(shè)備防護(hù)(G

7、)結(jié)構(gòu)安全結(jié)構(gòu)安全關(guān)鍵設(shè)備冗余空間主要設(shè)備冗余空間主要設(shè)備冗余空間訪問(wèn)控制訪問(wèn)控制訪問(wèn)控制設(shè)備（用戶、網(wǎng)段）應(yīng)用層協(xié)議過(guò)濾應(yīng)用層協(xié)議過(guò)濾撥號(hào)訪問(wèn)限制會(huì)話終止會(huì)話終止安全審計(jì)安全審計(jì)日志記錄審計(jì)報(bào)表審計(jì)報(bào)表邊界完整性檢查邊界完整性檢查內(nèi)部的非法聯(lián)出非授權(quán)設(shè)備私自外聯(lián)非授權(quán)設(shè)備私自外聯(lián)網(wǎng)絡(luò)安全的整改要點(diǎn)子網(wǎng)/網(wǎng)段控制核心網(wǎng)絡(luò)帶寬整體網(wǎng)絡(luò)帶寬整體網(wǎng)絡(luò)帶寬重要網(wǎng)段部署重要網(wǎng)段部署路由控制路由控制帶寬分配優(yōu)先級(jí)帶寬分配優(yōu)先級(jí)端口控制端口控制最大流量數(shù)及最大連接數(shù)最大流量數(shù)及最大連接數(shù)防止地址欺騙防止地址欺騙審計(jì)記錄的保護(hù)審計(jì)記錄的保護(hù)定位及阻斷定位及阻斷入侵防范入侵防范檢測(cè)常見(jiàn)攻擊記錄、報(bào)警記錄、報(bào)警惡

8、意代碼防范惡意代碼防范網(wǎng)絡(luò)邊界處防范網(wǎng)絡(luò)邊界處防范網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù)基本的登錄鑒別組合鑒別技術(shù)組合鑒別技術(shù)特權(quán)用戶的權(quán)限分離特權(quán)用戶的權(quán)限分離結(jié)構(gòu)安全訪問(wèn)控制安全審計(jì)邊界完整性檢查入侵防范惡意代碼防范網(wǎng)絡(luò)設(shè)備防護(hù)主機(jī)系統(tǒng)安全是包括服務(wù)器、終端服務(wù)器、終端/ /工作站工作站等在內(nèi)的計(jì)算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)層面的安全。主機(jī)安全具體包括：7 7個(gè)控制點(diǎn)個(gè)控制點(diǎn) 身份鑒別(S)、訪問(wèn)控制(S)、安全審計(jì)(G)、 剩余信息保護(hù)(S)、入侵防范(G)、 惡意代碼防范(G)、資源控制(A)身份鑒別身份鑒別基本的身份鑒別訪問(wèn)控制訪問(wèn)控制安全策略管理用戶的權(quán)限分離管理用戶的權(quán)限

9、分離特權(quán)用戶的權(quán)限分離安全審計(jì)安全審計(jì)服務(wù)器基本運(yùn)行情況審計(jì)審計(jì)報(bào)表審計(jì)報(bào)表剩余信息保護(hù)剩余信息保護(hù)空間釋放及信息清除空間釋放及信息清除主機(jī)安全的整改要點(diǎn)組合鑒別技術(shù)組合鑒別技術(shù)敏感標(biāo)記的設(shè)置及操作敏感標(biāo)記的設(shè)置及操作審計(jì)記錄的保護(hù)審計(jì)記錄的保護(hù)入侵防范入侵防范最小安裝原則重要服務(wù)器：檢測(cè)、記錄、報(bào)警重要服務(wù)器：檢測(cè)、記錄、報(bào)警惡意代碼防范惡意代碼防范主機(jī)與網(wǎng)絡(luò)的防范產(chǎn)品不同主機(jī)與網(wǎng)絡(luò)的防范產(chǎn)品不同資源控制資源控制監(jiān)視重要服務(wù)器監(jiān)視重要服務(wù)器最小服務(wù)水平的檢測(cè)及報(bào)警最小服務(wù)水平的檢測(cè)及報(bào)警重要客戶端的審計(jì)重要客戶端的審計(jì)升級(jí)服務(wù)器重要程序完整性重要程序完整性防惡意代碼軟件、代碼庫(kù)統(tǒng)一管理對(duì)用戶

10、會(huì)話數(shù)及終端登錄的限制身份鑒別訪問(wèn)控制安全審計(jì)剩余信息保護(hù)入侵防范比較超前較難實(shí)現(xiàn)惡意代碼防范資源控制應(yīng)用系統(tǒng)的安全就是保護(hù)系統(tǒng)的各種應(yīng)用程序應(yīng)用程序安全運(yùn)行。包括基本應(yīng)用基本應(yīng)用，如：消息發(fā)送、web瀏覽等；業(yè)務(wù)應(yīng)用業(yè)務(wù)應(yīng)用，如：電子商務(wù)、電子政務(wù)等。應(yīng)用安全具體包括：9 9個(gè)控制點(diǎn)個(gè)控制點(diǎn) 身份鑒別（S）、訪問(wèn)控制（S）、安全審計(jì) （G）、剩余信息保護(hù)（S）、通信完整性（S）、 通信保密性（S）、抗抵賴（G）、軟件容錯(cuò)（A）、資源控制（A）身份鑒別身份鑒別基本的身份鑒別訪問(wèn)控制訪問(wèn)控制安全策略最小授權(quán)原則安全審計(jì)安全審計(jì)運(yùn)行情況審計(jì)（用戶級(jí)）審計(jì)報(bào)表審計(jì)報(bào)表剩余信息保護(hù)剩余信息保護(hù)空間釋放

11、及信息清除空間釋放及信息清除應(yīng)用安全的整改要點(diǎn)組合鑒別技術(shù)組合鑒別技術(shù)敏感標(biāo)記的設(shè)置及操作敏感標(biāo)記的設(shè)置及操作審計(jì)過(guò)程的保護(hù)審計(jì)過(guò)程的保護(hù)通信完整性通信完整性校驗(yàn)碼技術(shù)密碼技術(shù)密碼技術(shù)軟件容錯(cuò)軟件容錯(cuò)自動(dòng)保護(hù)功能自動(dòng)保護(hù)功能資源控制資源控制資源分配限制、資源分配優(yōu)先級(jí)資源分配限制、資源分配優(yōu)先級(jí)最小服務(wù)水平的檢測(cè)及報(bào)警最小服務(wù)水平的檢測(cè)及報(bào)警數(shù)據(jù)有效性檢驗(yàn)、部分運(yùn)行保護(hù)對(duì)用戶會(huì)話數(shù)及 系統(tǒng)最大并發(fā)會(huì)話數(shù)的限制審計(jì)記錄的保護(hù)通信保密性通信保密性初始化驗(yàn)證整個(gè)報(bào)文及會(huì)話過(guò)程加密整個(gè)報(bào)文及會(huì)話過(guò)程加密敏感信息加密抗抵賴抗抵賴身份鑒別訪問(wèn)控制安全審計(jì)剩余信息保護(hù)通信完整性通信保密性抗抵賴軟件容錯(cuò)資源控

12、制比較超前較難實(shí)現(xiàn)比較超前較難實(shí)現(xiàn)可通過(guò)配置服務(wù)達(dá)到部分要求數(shù)據(jù)安全主要是保護(hù)用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)務(wù)數(shù)據(jù)的保護(hù)。將對(duì)數(shù)據(jù)造成的損害降至最小。備份恢復(fù)也是防止數(shù)據(jù)被破壞后無(wú)法恢復(fù)的重要手段，主要包括數(shù)據(jù)備份、硬件冗余和異地?cái)?shù)據(jù)備份、硬件冗余和異地實(shí)時(shí)備份實(shí)時(shí)備份。數(shù)據(jù)安全和備份恢復(fù)具體包括：3 3個(gè)控制點(diǎn)個(gè)控制點(diǎn) 數(shù)據(jù)完整性（S）、數(shù)據(jù)保密性（S）、 備份和恢復(fù)（A）數(shù)據(jù)完整性數(shù)據(jù)完整性鑒別數(shù)據(jù)傳輸?shù)耐暾詡浞莺突謴?fù)備份和恢復(fù)重要數(shù)據(jù)的備份數(shù)據(jù)安全及備份恢復(fù)的整改要點(diǎn)各類數(shù)據(jù)傳輸及存儲(chǔ)各類數(shù)據(jù)傳輸及存儲(chǔ)異地備份異地備份網(wǎng)絡(luò)冗余、硬件冗余網(wǎng)絡(luò)冗余、硬件冗余本地完全備份

13、本地完全備份硬件冗余檢測(cè)和恢復(fù)檢測(cè)和恢復(fù)數(shù)據(jù)保密性數(shù)據(jù)保密性鑒別數(shù)據(jù)存儲(chǔ)的保密性各類數(shù)據(jù)的傳輸及存儲(chǔ)各類數(shù)據(jù)的傳輸及存儲(chǔ)每天每天1次次備份介質(zhì)場(chǎng)外存放備份介質(zhì)場(chǎng)外存放數(shù)據(jù)完整性數(shù)據(jù)保密性備份與恢復(fù)僅世博相關(guān)單位23管理制度管理制度管理機(jī)構(gòu)管理機(jī)構(gòu)人員管理人員管理系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理信息系統(tǒng)安全管理制度包括信息安全工作的總體方針、總體方針、策略、規(guī)范策略、規(guī)范各種安全管理活動(dòng)的管理制度管理制度以及管

14、理人員或操作人員日常操作的操作規(guī)程操作規(guī)程。安全管理制度具體包括：3 3個(gè)控制點(diǎn)個(gè)控制點(diǎn) 管理制度、制定和發(fā)布、評(píng)審和修訂整改要點(diǎn)：整改要點(diǎn)：形成信息安全管理制度體系、 統(tǒng)一發(fā)布、定期修訂等安全管理機(jī)構(gòu)主要是在單位的內(nèi)部結(jié)構(gòu)上建立一整套從單位最高管理層最高管理層（董事會(huì)）到執(zhí)執(zhí)行管理層行管理層以及業(yè)務(wù)運(yùn)營(yíng)層業(yè)務(wù)運(yùn)營(yíng)層的管理結(jié)構(gòu)來(lái)約束和保證各項(xiàng)安全管理措施的執(zhí)行。安全管理機(jī)構(gòu)具體包括：5 5個(gè)控制點(diǎn)個(gè)控制點(diǎn) 崗位設(shè)置、人員配備、授權(quán)和審批、 溝通和合作、審核和檢查整改要點(diǎn)：整改要點(diǎn)：信息安全領(lǐng)導(dǎo)小組與職能部門、專職安全員、定期全面安全檢查、定期協(xié)調(diào)會(huì)議、外部溝通與合作等對(duì)人員安全的管理，主要涉及

15、兩方面： 對(duì)內(nèi)部?jī)?nèi)部人員人員的安全管理和對(duì)外部人員外部人員的安全管理。人員安全管理具體包括：5 5個(gè)控制點(diǎn)個(gè)控制點(diǎn) 人員錄用、人員離崗、人員考核、 安全意識(shí)教育及培訓(xùn)、外部人員訪問(wèn)管理整改要點(diǎn)：整改要點(diǎn)：全員保密協(xié)議、關(guān)鍵崗位人員管理、針對(duì)不同崗位的培訓(xùn)計(jì)劃、外部人員訪問(wèn)管理系統(tǒng)建設(shè)管理分別從定級(jí)、設(shè)計(jì)建設(shè)實(shí)施、驗(yàn)收交付、定級(jí)、設(shè)計(jì)建設(shè)實(shí)施、驗(yàn)收交付、測(cè)評(píng)測(cè)評(píng)等方面考慮，關(guān)注各項(xiàng)安全管理活動(dòng)。系統(tǒng)建設(shè)管理具體包括：1111個(gè)控制點(diǎn)個(gè)控制點(diǎn) 系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、 自行軟件開(kāi)發(fā)、外包軟件開(kāi)發(fā)、工程實(shí)施、 測(cè)試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、等級(jí)測(cè)評(píng)、 安全服務(wù)商選擇整改要點(diǎn)：整改要點(diǎn)

16、：系統(tǒng)定級(jí)的論證、總體規(guī)劃、產(chǎn)品選型測(cè)試、開(kāi)發(fā)過(guò)程的人員控制、工程實(shí)施制度化、第三方委托測(cè)試、運(yùn)行起30 天內(nèi)備案、每年進(jìn)行1次等級(jí)測(cè)評(píng)、安全服務(wù)商的選擇系統(tǒng)運(yùn)維管理涉及日常管理、變更管理、制度化管理、日常管理、變更管理、制度化管理、安全事件處置、應(yīng)急預(yù)案管理和安管中心安全事件處置、應(yīng)急預(yù)案管理和安管中心等。系統(tǒng)運(yùn)維管理具體包括：1313個(gè)控制點(diǎn)個(gè)控制點(diǎn) 環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、 監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、 系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、 變更管理、備份與恢復(fù)管理、安全事件處置、 應(yīng)急預(yù)案管理整改要點(diǎn)：整改要點(diǎn)：辦公環(huán)境保密性、資產(chǎn)的標(biāo)識(shí)和分類管理、介質(zhì)/設(shè)備/系統(tǒng)/網(wǎng)絡(luò)/密碼/備份與恢復(fù)的制度化管理、建立安全管理中心、安全事件分類分級(jí)響應(yīng)、 應(yīng)急預(yù)案的演練和審查不滿足項(xiàng)分布, 物理安全, 2, 11%不滿足項(xiàng)分布, 網(wǎng)絡(luò)安全, 3, 17%不滿足項(xiàng)分布,