網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引(等保2.0)9119_第1頁
網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引(等保2.0)9119_第2頁
網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引(等保2.0)9119_第3頁
網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引(等保2.0)9119_第4頁
網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引(等保2.0)9119_第5頁
已閱讀5頁,還剩3頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引(等保2.0)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引信息安全測(cè)評(píng)聯(lián)盟2019年6月

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引(等保2.0)目錄1適用范圍.......................................................12術(shù)語和定義.....................................................13參考依據(jù).......................................................24安全物理環(huán)境...................................................24。1物理訪問控制...............................................24。2防盜竊和防破壞.............................................24。3防火.......................................................34。4溫濕度控制.................................................34。5電力供應(yīng)4.6電磁防護(hù)5安全通信網(wǎng)絡(luò)5。1網(wǎng)絡(luò)架構(gòu)...................................................65。2通信傳輸6安全區(qū)域邊界...................................................4...................................................5...................................................6...................................................9..................................................106.1邊界防護(hù)..................................................106。2訪問控制..................................................126.3入侵防范..................................................136。4惡意代碼和垃圾郵件防范....................................146。5安全審計(jì)..................................................157安全計(jì)算環(huán)境..................................................157.1網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備等............................157。1。1身份鑒別.............................................157.1。2訪問控制.............................................177。1.3安全審計(jì).............................................187。1。4入侵防范.............................................187。1.5惡意代碼防范.........................................207.2應(yīng)用系統(tǒng)..................................................217.2.1身份鑒別.............................................217。2。2訪問控制.............................................247.2.3安全審計(jì).............................................257.2.4入侵防范.............................................267.2.5數(shù)據(jù)完整性...........................................277。2。6數(shù)據(jù)保密性...........................................287。2。7數(shù)據(jù)備份恢復(fù).........................................297.2.8剩余信息保護(hù).........................................317。2.9個(gè)人信息保護(hù).........................................328安全區(qū)域邊界..................................................338.1集中管控..................................................339安全管理制度..................................................349。1管理制度..................................................3410安全管理機(jī)構(gòu)..................................................35

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引(等保2.0)10。1....................................................崗位設(shè)置3511安全建設(shè)管理..................................................3511。1..............................................產(chǎn)品采購(gòu)和使用3511。2................................................外包軟件開發(fā)3611。3....................................................測(cè)試驗(yàn)收3712安全運(yùn)維管理..................................................3812。1..............................................漏洞和風(fēng)險(xiǎn)管理3812.2網(wǎng)絡(luò)和系統(tǒng)安全管理........................................3812.3惡意代碼防范管理..........................................4012。4....................................................變更管理4112。5..............................................備份與恢復(fù)管理4112.6應(yīng)急預(yù)案管理..............................................42附件基本要求與判例對(duì)應(yīng)表.........................................44

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引(等保2.0)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引適用范圍1本指引是依據(jù)GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》有關(guān)條款,對(duì)測(cè)評(píng)過程中所發(fā)現(xiàn)的安全性問題進(jìn)行風(fēng)險(xiǎn)判斷的指引性文件。指引內(nèi)容包括對(duì)應(yīng)要求、判例內(nèi)容、適用范圍、補(bǔ)償措施、整改建議等要素.需要指出的是,本指引無法涵蓋所有高風(fēng)險(xiǎn)案例,測(cè)評(píng)機(jī)構(gòu)須根據(jù)安全問題所實(shí)際面臨的風(fēng)險(xiǎn)做出客觀判斷。本指引適用于網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)活動(dòng)、安全檢查等工作。信息系統(tǒng)建設(shè)單位亦可參考本指引描述的案例編制系統(tǒng)安全需求。術(shù)語和定義2可用性要求較高的系統(tǒng)指出現(xiàn)等于99。9%,年度停機(jī)時(shí)間小于等于8。8小時(shí)的系統(tǒng);一般包括1、短時(shí)故障無法提供服務(wù),可能對(duì)社會(huì)秩序、公共利益等造成嚴(yán)重?fù)p害的系統(tǒng),即可用性級(jí)別大于但不限于銀行、證券、非金融支付機(jī)構(gòu)、互聯(lián)網(wǎng)金融等交易類系統(tǒng),提供公服共務(wù)的民生類系統(tǒng)、工業(yè)控制類系統(tǒng)等.2、核心網(wǎng)絡(luò)設(shè)備指部署在核心網(wǎng)絡(luò)節(jié)點(diǎn)的關(guān)鍵設(shè)備,一般包括但不限于核心交換機(jī)、核心路由器、核心邊界防火墻等。3、數(shù)據(jù)傳輸完整性要求較高的系統(tǒng)指數(shù)據(jù)在傳輸過程中遭受惡意破壞或篡改,可能造成較大的財(cái)產(chǎn)損失,或造成嚴(yán)重破壞的系統(tǒng),一般包括但不限于銀行、證券、非金融支付機(jī)構(gòu)、互聯(lián)網(wǎng)金融等交易類系統(tǒng)等。4、不可控網(wǎng)絡(luò)環(huán)境指互聯(lián)網(wǎng)、公網(wǎng)共絡(luò)環(huán)境、內(nèi)部辦公環(huán)境等無管控措施,可能存在惡意攻擊、數(shù)據(jù)竊聽等安全隱患的網(wǎng)絡(luò)環(huán)境。5、可被利用的漏洞指可被攻擊者用來進(jìn)行網(wǎng)絡(luò)攻擊,可造成嚴(yán)重后果的漏洞,一般包括但不限于緩沖區(qū)溢出、提權(quán)漏洞、遠(yuǎn)程代碼執(zhí)行、嚴(yán)重邏輯缺陷、敏感數(shù)據(jù)泄露等。1

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引(等保2.0)參考依據(jù)3GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T28448—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求GB/T25069-2010信息安全技術(shù)術(shù)語安全物理環(huán)境44.1物理訪問控制機(jī)房出入口控制措施4.1.1對(duì)應(yīng)要求:機(jī)房出入口應(yīng)配置電子門禁系統(tǒng),控制、鑒別和記錄進(jìn)入的人員。判例內(nèi)容:機(jī)房出入口區(qū)域無任何訪問控制措施,機(jī)房無電子或機(jī)械門鎖,機(jī)房入口也無專人值守;辦公或外來人員可隨意進(jìn)出機(jī)房,無任何管控、監(jiān)控措施,存在較大安全隱患,可判高風(fēng)險(xiǎn).適用范圍:所有系統(tǒng)。滿足條件(同時(shí)):1、機(jī)房出入口區(qū)域無任何訪問控制措施;2、機(jī)房無電子或機(jī)械門鎖,機(jī)房入口也無專人值守;3、辦公或外來人員可隨意進(jìn)出機(jī)房,無任何管控、監(jiān)控措施.補(bǔ)償措施:如機(jī)房無電子門禁系統(tǒng),但有其他防護(hù)措施,如機(jī)房出入配備24小時(shí)專人值守,采用攝像頭實(shí)時(shí)監(jiān)控等,可酌情降低風(fēng)險(xiǎn)等級(jí).整改建議:機(jī)房出入口配備電子門禁系統(tǒng),通過電子門禁鑒別、記錄進(jìn)入的人員信息。4.2防盜竊和防破壞機(jī)房防盜措施4.2.1對(duì)應(yīng)要求:應(yīng)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)。判例內(nèi)容:機(jī)房無防盜報(bào)警系統(tǒng),也未設(shè)置有專人值守的視頻監(jiān)控系統(tǒng),出現(xiàn)盜竊事件無法進(jìn)行告警、追溯的,可判高風(fēng)險(xiǎn)。適用范圍:3級(jí)及以上系統(tǒng)。滿足條件(同時(shí)):1、3級(jí)及以上系統(tǒng)所在機(jī)房;2

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引(等保2.0)2、機(jī)房無防盜報(bào)警系統(tǒng);3、未設(shè)置有專人值守的視頻監(jiān)控系統(tǒng);4、機(jī)房環(huán)境不可控;5、如發(fā)生盜竊事件無法進(jìn)行告警、追溯.補(bǔ)償措施:如果機(jī)房有專人24小時(shí)值守,并且能對(duì)進(jìn)出人員進(jìn)出物品進(jìn)行登記的(如部分IDC機(jī)房有要求設(shè)備進(jìn)出需單登記),可酌情降低風(fēng)險(xiǎn)等級(jí).整改建議:建議機(jī)房部署防盜報(bào)警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng),如發(fā)生盜竊事件可及時(shí)告警或進(jìn)行追溯,確保機(jī)房環(huán)境的安全可控。4.3防火機(jī)房防火措施4.3.1對(duì)應(yīng)要求:機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng),能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警,并自動(dòng)滅火。判例內(nèi)容:機(jī)房?jī)?nèi)無防火措施(既無自動(dòng)滅火,也無手持滅火器/或手持滅火器藥劑已過期),一旦發(fā)生火情,無任何消防處置措施,可判高風(fēng)險(xiǎn)。適用范圍:所有系統(tǒng).滿足條件(同時(shí)):機(jī)房?jī)?nèi)無任何防火措施(既無自動(dòng)滅火,也無手持滅火器/或手持滅火器藥劑已過期)。補(bǔ)償措施:無.整改建議:建議機(jī)房設(shè)置火災(zāi)自動(dòng)消防系統(tǒng),能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警,并自動(dòng)滅火,相關(guān)消防設(shè)備如滅火器等應(yīng)定級(jí)檢查,確保防火措施有效。4.4溫濕度控制機(jī)房溫濕度控制措施4.4.1對(duì)應(yīng)要求:應(yīng)設(shè)置溫濕度自動(dòng)調(diào)節(jié)設(shè)施,使機(jī)房溫濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi).判例內(nèi)容:機(jī)房無有效的溫濕度控制措施,或溫濕度長(zhǎng)期高于或低于設(shè)備允許的溫濕度范,圍可能加速設(shè)備損害,提高設(shè)備的故障率,對(duì)設(shè)備的正常運(yùn)行帶來安全隱患,可判高風(fēng)險(xiǎn)。適用范圍:所有系統(tǒng)。滿足條件(同時(shí)):1、機(jī)房無溫濕度調(diào)節(jié)措施;3

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引(等保2.0)2、機(jī)房溫濕度長(zhǎng)期處于設(shè)備運(yùn)運(yùn)行的范圍之外.補(bǔ)償措施:對(duì)于一些特殊自然條件或特殊用途的系統(tǒng),可酌情降低風(fēng)險(xiǎn)等級(jí)。整改建議:建議機(jī)房設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)備,確保機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi).4.5電力供應(yīng)機(jī)房短期的備用電力供應(yīng)措施4.5.1對(duì)應(yīng)要求:應(yīng)提供短期的備用電力供應(yīng),至少滿足設(shè)備在斷電情況下的正常運(yùn)行要求.判例內(nèi)容:對(duì)于可用性要求較高的系統(tǒng),如銀行、證券等交易類系統(tǒng),提供公共服務(wù)的民生類系統(tǒng)、工控類系統(tǒng)等,機(jī)房未配備短期備用電力供應(yīng)設(shè)備(如UPS)或配備的設(shè)備無法在短時(shí)間內(nèi)滿足斷電情況下的正常運(yùn)行要求的,可判高風(fēng)險(xiǎn)。適用范圍:對(duì)可用性要求較高的3級(jí)及以上系統(tǒng)。滿足條件(同時(shí)):1、3級(jí)及以上系統(tǒng);2、系統(tǒng)可用性要求較高;3、無法提供短期備用電力供應(yīng)或備用電力供應(yīng)無法滿足系統(tǒng)短期正常運(yùn)行。補(bǔ)償措施:如機(jī)房配備多路供電,且供電方同時(shí)斷電概率較低的情況下,可酌情降低風(fēng)險(xiǎn)等級(jí)。整改建議:建議配備容量合理的后備電源,并定期對(duì)UPS進(jìn)行巡檢,確保在在外部電力供應(yīng)中斷的情況下,備用供電設(shè)備能滿足系統(tǒng)短期正常運(yùn)行。機(jī)房電力線路冗余措施4.5.2對(duì)應(yīng)要求:應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電。判例內(nèi)容:機(jī)房未配備冗余或并行電力線路供電來自于同一變電站,可判高風(fēng)險(xiǎn).適用范圍:對(duì)可用性要求較高的3級(jí)及以上系統(tǒng)。滿足條件(同時(shí)):1、3級(jí)及以上系統(tǒng);2、系統(tǒng)可用性要求較高;3、機(jī)房未配備冗余或并行電力線路供電來自于同一

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論