信息安全整改技術標準 |
1、GB/T 17859-1999 《信息安全技術 計算機信息系統安全保護等級劃分準則》 |
2、GB/T 22239-2019 《信息安全技術 網絡安全等級保護基本要求》 |
3、GB/T 22240-2020 《信息安全技術 網絡安全等級保護定級指南》 |
4、GB/T 28448-2019 《信息安全技術 網絡安全等級保護測評要求》 |
5、GB/T 28449-2018 《信息安全技術 網絡安全等級保護測評過程指南》 |
6、GB/T 20984-2007 《信息安全技術 信息安全風險評估規范》 |
7、GB/T 25070-2019 《信息安全技術網絡安全等級保護安全設計技術要求》 |
信息安全等級保護整改技術要求 |
1、安全物理環境 |
信息安全等級保護整改管理類要求 |
1、安全管理制度 |
2、安全通信網絡 |
2、安全管理機構 |
3、安全區域邊界 |
3、安全管理人員 |
4、安全計算環境 |
4、安全建設管理 |
5、安全管理中心 |
5、安全運維管理 |
信息安全等級保護整改三級系統應用整改 |
三級等保要求(應用系統) 陸陸信息科技編寫 |
1、密碼復雜度策略:要求密碼長度8位以上,由大、小寫字母+數字+特殊字符至少三種組成;密碼定期更換策略,不大于90天。(此項為高危風險項) |
2、登錄失敗處理和超時登錄策略:連續登錄失?。?-5次)鎖定賬戶、鎖定 時間(5-15分鐘)、(10-30分鐘)內無操作自動退出登錄。(此項為高危風險項) |
3、應采用HTTPS、SSH等加密協議傳輸,禁用http、telnet等明方式傳輸。(此項為高危風險項)
|
4、應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用密碼技術來實現;
(此項為高危風險項)
(登錄時除用戶名+密碼以外還需一種加密技術的雙因素登錄方式。若無法實現,可開通短信驗證或通過開通了雙因素登錄功能的堡壘機登錄,如開啟令牌、短信等認證方式)
|
5、需要給系統配備三個賬戶,系統管理員、安全管理員、審計管理員,并配置不同的管理權限。(審計管理員獨有日志管理權限)。
|
6、應用中的默認賬戶變更或刪除,并修改默認密碼,無法變更的修改密碼即可。(此項為高危風險項) |
7、不同管理員用不同的賬戶登錄應用,多余的,不用的賬戶刪除; |
8、應由授權主體配置訪問控制策略,訪問控制策略規定主體對客體的訪問規則;(系統管理員負責配置訪問控制策略,配置訪問控制規則,嚴禁越權訪問,非管理用戶不能訪問域權限管理相關的功能);(此項為高危風險項) |
9、開啟應用的日志功能,如網絡中部署了日志審計設備,將日志關聯到日志審計。(此項為高危風險項) |
10、日志內容應包括事件的日期和時間、用戶、事件類型、事件是否成功等信息。 |
11、僅審計管理員具有查看、處理審計日志的權限,審計日志定期備份(日志服務器或手動),添加日志導出功能,日志留存時間大于6個月(網絡安全閥)。(此項為高危風險項) |
12、應對審計進程進行保護,防止未經授權的中斷;(僅審計管理員具有中斷審計進程的權限)
|
13、應能發現可能存在的已知漏洞,并在經過充分測試評估后,及時修補漏洞;(此項為高危風險項)(及時更新補丁,升級版本,定期通過漏洞掃描設備進行漏洞掃描,并對發現的漏洞進行修補) |
14、應采用校驗技術或密碼技術保證重要數據在傳輸過程中的完整性,包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等, (應用需采用加密傳輸協議);(此項為高危風險項) |
15、應采用校驗技術或密碼技術保證重要數據在存儲過程中的完整性,包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等; |
16、數據輸入界面提供有效性校驗功能,可對無效或非法數據、字符長度和有效性進行校驗。(例:輸入或查詢長度或格式不正確的手機號會進行提示)(此項為高危風險項) |
17、不可自動保存和顯示歷史賬號和口令,在用戶退出后及時清空cookie和會話session。(登錄界面不能保留賬戶名和密碼、退出后按回退鍵無法回退到退出前的界面,需重新登錄)(此項為高危風險項) |
信息安全等級保護整改硬件機房整改要求 |
1、物理位置選擇 機房場地應選擇在具有防震、防風和防雨等能力的建筑內; 建議,應將該機房設置在符合要求的專用機房,至少具備防震、防風和防雨等能力的建筑內,并且要求有相關的設計文件和驗收文檔;
機房場地應避免設在建筑物的頂層或地下室,否則應加強防水和防潮措施; 建議,應將機房設置在建筑物的中間樓層,如設置在頂層或地下室應將強防水防潮措施; |
2、 物理訪問控制 機房出入口應配置電子門禁系統,控制、鑒別和記錄進入的人員; 建議,機房各出入口配置電子門禁系統,要求具備控制、鑒別和記錄進入的人員信息; |
3、 防盜竊和防破壞 應將設備或主要部件進行固定,并設置明顯的不易除去的標識; 建議,該機房內的所有設施、設備和主要部件安全加固,并且設置明顯不易去除的標識;
應將通信線纜鋪設在隱蔽安全處; 建議,該機房內所有類別的線纜(通信線纜、強電、弱電等)分別鋪設于不同的橋架或線槽內,并要求做到隱蔽安全;
應設置機房防盜報警系統或設置有專人值守的視頻監控系統; 建議1.該機房應設置防盜報警系統要求覆蓋機房出入口及重要區域(如核心區、生產區、網絡區、電磁屏蔽間等);建議2.設置專人值守的視頻監控系統。要求設置安防監控室,配備專人對機房進行7*24小時實時監控值守。機房出入口、區域出入口、通道等均應部署視頻監控設備,保證機房監控全覆蓋、機房所有區域無死角,以監控個人對敏感區域的物理訪問。
|
4、防雷擊 應將各類機柜、設施和設備等通過接地系統安全接地; 建議機房內設置防雷接地系統(可以直接連接到建筑物的保護地)安裝接地匯流排將機房內各機柜、UPS電池柜、配電柜、空調、防靜電地板支架等進行了有效的安全接地;
應采取措施防止感應雷,例如設置防雷保安器或過壓保護裝置; 機房設置防感應雷措施,如在供電系統或電源線路安裝浪涌保護器等;新建防雷裝置要求具有驗收文檔/核查報告等,并且要求每年核查防雷裝置是否通過驗收或國家有關部門的技術檢測。
序號 控制點 檢測項 整改意見
|
5、防火 機房應設置火災自動消防系統,能夠自動檢測火情、自動報警,并自動滅火; 建議該機房安裝火災自動消防系統,要求覆蓋機房所有區域,包括核心區、生產區、輔助區等。機房內、基本工作房間內、防靜電地板下、吊頂里、主要空調管道中及易燃物附近部位設置煙感、溫感等多種方式自動檢測火情裝置。
機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材; 建議該機房的所有相關房間和輔助間對易燃或耐火等級不足的建筑材料進行整改,要求耐火等級符合消防要求,且具備由公安消防支隊蓋章的消防驗收材料。
應對機房劃分區域進行管理,區域和區域之間設置隔離防火措; 建議將該機房劃分不同的消防分區且使用隔離防火措施,如使用單層銫鉀防火玻璃、鋼制防火門或防火隔墻將各區域分隔開。要求消防分區密閉,以防止火勢和煙霧蔓延,各消防分區密閉應包括吊頂上方和防靜電地板下方等。
|
6、防水和防潮 應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透; 建議該機房將窗戶密封,墻壁和屋頂做防水處理;
應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透; 建議該機房采取措施防止水蒸氣結露和地下積水轉移滲透等;例如安裝有相應功能的設備等;
應安裝對水敏感的檢測儀表或元件,對機房進行防水檢測和報警; 建議該機房裝對水敏感的檢測儀表或元件,要求有對機房進行防水檢測和報警功能; |
7、防靜電 應采用防靜電地板或地面并采用必要的接地防靜電措施; 建議該機房使用防靜電地板,并將地板支架和機房設施、設備等均做接地處理;
應采取措施防止靜電的產生,例如采用靜電消除器、佩戴防靜電手環等; 建議該機房安裝靜電消除器或者使用防靜電手環等設備; |
8、溫濕度控制 應設置溫濕度自動調節設施,使機房溫濕度的變化在設備運行所允許的范圍之內; 建議該機房使用溫濕度自動調節設施,使機房溫濕度的變化在設備運行所允許的范圍之內; |
9、 電力供應 應在機房供電線路上配置穩壓器和過電壓防護設備; 建議該機房供電線路上配置穩壓器和過壓保護裝置,要求穩壓器和過電壓防護設備應能夠控制電源穩壓范圍滿足計算機系統運行正常;
應提供短期的備用電力供應,至少滿足設備在斷電情況下的正常運行要求; 建議:1.該機房配備UPS系統,要求UPS后備時間能滿足主要設備在斷電情況下的正常運行要求。2.使用備用發電機或使用第三方提供的備用供電服務。 |
10、電力供應 應設置冗余或并行的電力電纜線路為計算機系統供電; 建議:1.該機房設置冗余或并行的電力電纜線路為計算機系統供電;2.該機房應采用UPS雙回路供電,如另增加一路市電和安裝發電機等; |
11、電磁防護 電源線和通信線纜應隔離鋪設,避免互相干擾; 建議,應將通信線纜和強電線纜均通過橋架方式上走線,網線、光纖、強電、使用不同橋架走線,強電橋架和網線橋架應相隔一定距離,橋架交叉時應以垂直角度交叉,防止電磁干擾;
應對關鍵設備實施電磁屏蔽; 建議該機房使用電磁屏蔽機柜或建造電磁屏蔽間等;
|