等保三级系统加固及测评关键点汇编.pptx

信息系统安全加固 日期：2016年9月 广西金普威信息系统有限公司 Before 2005 《中华人民共和国计算机信息系统安全保护条例》（1994年 国务院147号令） 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号） 《关于信息安全等级保护工作的实施意见》（公通字[2004]66号） 2007 《信息安全等级保护管理办法》（公通字[2007]43号） 《关于开展全国重要信息系统安全等级保护定级工作的通知》 （公信安[2007]861号）－－－上海市：沪公发[2007]319号 《上海市迎世博信息安全保障两年行动计划》 2009 《2009年信息安全等级保护工作内容及具体要求》（公信安[2009]232号） 《关于组织开展2009年度本市重要信息系统等级保护工作的通知》 （沪公发[2009]187号）－－－沪公发[2009]173号、沪密局[2009]39号、。。。 等级保护－－政策推进过程 基础类 《计算机信息系统安全保护等级划分准则》GB 17859-1999 《信息系统安全等级保护实施指南》GB/T CCCC-CCCC 报批稿 应用类 定级：《信息系统安全保护等级定级指南》GB/T 22240-2008 建设：《信息系统安全等级保护基本要求》GB/T 22239-2008 《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》 测评：《信息系统安全等级保护测评要求》 GB/T DDDD-DDDD 报批稿 《信息系统安全等级保护测评过程指南》 管理：《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006 等级保护－－十大核心标准 等级保护－－完全实施过程 信息系统定级 安全总体规划 安全设计与实施 安全运行维护 信息系统终止 安全等级测评 信息系统备案 安全整改设计 等级符合性检查 应急预案及演练 局部调整 等级变更 能力、措施和要求 安全保护能力 基本安全要求 等保3级的信息系统 基本技术措施 基本管理措施 具备 包含 包含 满足 满足 实现 等级保护基本安全要求 某级系统 物理安全 技术要求 管理要求 基本要求 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 三级系统的控制类及控制项 指标类 技术/管理 层面 类数量 项数量 S类 (3级) A类 (3级) G类 (3级) 小计 小计 安全技术 物理安全 1 1 8 10 32 网络安全 1 0 6 7 33 主机安全 3 1 3 7 32 应用安全 5 2 2 9 31 数据安全 2 1 0 3 8 安全管理 安全管理制度 N/A 3 11 安全管理机构 5 20 人员安全管理 5 16 系统建设管理 11 45 系统运维管理 13 60 合 计 73（类） 290（项） 物理安全主要涉及的方面包括环境安全（防火、防水、防雷击等）设备和介质的防盗窃防破坏等方面。 物理安全具体包括：10个控制点 物理位置的选择（G）、 物理访问控制（G）、 防盗窃和防破坏（G）、 防雷击（G)、 防火（G）、防水和防潮（G） 、防静电（G） 、温湿度控制（G）、电力供应（A）、 电磁防护（S） 三级系统安全保护要求—物理安全 物理位置的选择 基本防护能力 高层、地下室 物理访问控制 基本出入控制 分区域管理 在机房中的活动 电子门禁 防盗窃和防破坏 存放位置、标记标识 监控报警系统 防雷击 建筑防雷、机房接地 设备防雷 防火 灭火设备、自动报警 自动消防系统 区域隔离措施 防静电 关键设备 主要设备 防静电地板 电力供应 稳定电压、短期供应 主要设备 冗余/并行线路 备用供电系统 电磁防护 线缆隔离 接地防干扰 电磁屏蔽 防水和防潮 温湿度控制 物理安全的整改要点 物理位置选择 物理访问控制 防盗窃和防破坏 防雷击、防火、防水和防潮、防静电、温湿度控制 电力供应 电磁防护 不做硬性要求 网络安全主要关注的方面包括：网络结构、网络边界以及网络设备自身安全等。 网络安全具体包括：7个控制点 结构安全(G)、访问控制(G)、安全审计(G)、 边界完整性检查(A)、入侵防范(G)、 恶意代码防范(G)、网络设备防护(G) 三级系统安全保护要求—网络安全 结构安全 关键设备冗余空间