第一级安全要求

物理环境：

机房入口设置门禁，控制、鉴别和记录进入的人员进入
防盗窃、防破坏——将主要部件固定并设置明显的不易去除的标志
防雷击设置——将机柜、设施、设备接通地线
防火——机房设置防火设备
防水、防潮——防止雨水通过窗户、屋顶、墙壁渗透
温湿度控制
电压供应——在机房供电路上配置稳压器和过电压防护设备

安全制度与机构管理

制度管理——建立日常活动中的常用的安全制度管理
岗位设置——设置系统管理员并定义岗位职责
人员配备——配备一定数量的系统管理员
授权与审批
安全管理人员——人员录用、人员离岗、人员安全意识培训、外部人员访问管理

第二级安全要求

1、物理环境

物理位置选择

机房场地选着在防震、防风、防雨的建筑内
机房场地应避免设置在建筑物层或地下室，否则应加强防水防潮措施

物理访问设置
防盗窃、防破坏——将主要部件固定并设置明显的不易去除的标志

应将通信线缆铺设在隐蔽安全处

防雷击
防火

机房设置火灾自动消除系统，能够自动检测火灾、自动报警、自动灭火
机房采用耐火等级的建筑材料

防水防潮——防止雨水通过窗户、屋顶、墙壁渗透

采取措施防止机房内水蒸气结雾和地下积水转移和渗透

防静电——采用防静电地板或地面上采取接地防静电措施
温湿度控制——设置温湿度调节设施
电力供应——在机房供电路上配置稳压器和过电压防护设备

提供短期的备用电力供应，至少满足设备断电的情况下的正常运行

电磁防护——电源线和通信电缆应隔离铺设，避免相互干扰

主机与网络

网络架构

划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址
避免将重要网络区域部署在边界处，重要网络区域和普通网络区域采用有效的技术隔离手段

通信传输
可信验证——可基千可信根对通信设备的系统引导程序、系统程序等进行可信验证，并在检测到其可信性受到破坏后进行报警。并将验证结果形成审计记录送至安全管理中心。
边界防护
访问控制——根据会话状态信息为进出数据流提供明确的允许/拒绝访问能力
入侵防范——在关键网络节点处监测网络攻击行为
恶意代码防范——在关键网络节点处对恶意代码进行检测和清除并维护恶意代码防护机制的升级和更新
安全审计——在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，为重要的用户和安全事进行安全审计
数据备份与恢复——提供异地数据备份功能，利用通信网络将重要数据定时批量传输至备用场地

安全制度与机构管理

身份鉴别
访问控制——应授权管理用户所需要的最小权限，实现管理用户的权限分离
安全审计

启用安全审计功能
审计记录应包括事件的日时间、事件类型、用户、事件是否成功等
应对审计记录进行保护，定期备份

剩余信息保护、个人信息保护

应保证鉴别信息所在的存储空间被释放或从新分配前得到完全清楚

应采集和保存业务必须的用户个人信息
应禁止授权访问或非法使用用户个人信息

安全策略——应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等。
管理制度——应对管理人员或操作人员执行的日常管理操作建立操作规程。
岗位设置

a）应设立网络安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；

b) 应设立系统管理员、审计管理员和安全管理员等岗位，并定义部门及各个工作岗位的职责。

（8）人员管理、人员访问

a）人员录用：对被录用人与专业资格与资质、安全背景、人员身份进行审查

b) 外部人员访问：书面申请---接受审批---离场清楚权限

（9）安全事件处理

A)应及时像安全部门报告所发现的可疑事件和安全弱点

B)明确安全事件的报告和处理流程，做到现场处理、事件报告、后期恢复管理职责

C)应在安全事件报告和响应处理过程中，分析鉴定事件产省的原因，手集证据，记录处理过程，总结教训经验。

（10）应急预案管理、外包运维管理

第三级安全要求

主机与网络

通信传输——采用校验方式保障数据传输的完整性
可信验证——可基千可信根对通信设备的系统引导程序、系统程序等进行可信验证，并在检测到其可信性受到破坏后进行报警。
边界防护——应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
访问控制
可信验证
入侵防范
恶意代码防范
数据备份恢复管理
漏洞和风险管理——应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。
设备维护管理
网络和系统安全管理

应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限；
应指定专门的部门或人员进行账户管理，对申请账户、建立账户、删除账户等进行控制。

安全事件处理

应及时像安全部门报告所发现的可疑事件和安全弱点
明确安全事件的报告和处理流程，做到现场处理、事件报告、后期恢复管理职责

物理环境

物理位置
物理访问控制——配置电子门禁系统
防盗与防破坏——设置机房防盗报警系统或设置专门的人员值守视频监控系统
防雷击——采取措施防止感应雷（防雷保安器或过压保护装置）
防火——机房进行分区管理，区域与区域之间设置防火措施
防水防潮——安装对水敏感的检测仪器或原件，对机房进行防水检测和报警
防静电——采取措施防静电的产生（静电消除器或防静电手环）
温湿度控制
电力供应——设置沉余或并行的电力电缆线路为计算机供电
电磁防护——对关键设备进行电磁屏蔽

主机与网络

网络架构

保证网络设备处理能力满足业务高峰期需要
保证业务网络各个部分的宽带满足业务高峰期需要
提供通信线路、关键网络设备和关键计算设备的硬件沉余，保障系统的可用性

通信传输——采用密码技术保障通信过程中数据的保密性
可信验证——应用程序的关键环节进行动态可信验证
边界防护
- 应能对非授权设备私自连到到内网行为进行检测或限制
- 应能够对内部用户· 非授权连到外部网络的行为进行检测或限制
- 应限制无线网络的使用，保证无线网络通过受控的边界设备接入到内部网络
入侵防范
- 在关键节点处检测、防止和限制从外部发起的网络攻击行为
- 在关键节点处检测、防止和限制从内部发起的网络攻击行为
- 采用技术措施对网络行为进行分析，实现对网络攻击特别是新型的网络攻击行为分析
- 检测攻击行为时记录攻击源ip、攻击目标、攻击类型、攻击时间，发生严重入侵时应提供报警
恶意代码及垃圾邮件防范

——恶意代码

——应再关键节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级

与更新

——应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。

——定期验证防范恶意代码攻击的技术措施的有效性

安全审计——应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析
身份鉴别——采用口令、密码技术两种或两种以上的技术鉴别的手段对用户身份进行鉴定，其中一种技术至少采用密码技术来说实现
访问控制
- 应有授权主体配置主体访问策略、访问策略规定主体和客体的访问规则
- 访问控制的力度应达到主体为用户进程级，客体为文件，数据库表级
- 应对重要的主体客体设置安全标记，并控制主体对安全标记对信息资源的访问

安全审计——应对审计进程进行保护，防止未经授权进程中断
数据完整性、数据保密性、数据备份恢复（重要）
- 采用效验技术和密码技术保障重要数据在存储过程中的完整性
- 采用密码技术保障重要数据在传输过程中的完整性
- 采用密码技术保障重要数据在存储过程中的保密整性
- 应提供重要数据处理系统的热沉余，保障系统的高可用性
漏洞风险——定期开展安全测评，形成安全测评报告，采取措施应对安全发生的问题

安全制度与机构管理

（1）剩余信息、个人信息保护

应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。

（2）集中管理

- 划分特定的管理区域，对分布在网络中的安全设备或安全组件进行管控
- 应能建立一条安全信息传输路径
- 应对网络链路，安全设备、网路设备、服务器进行安全集中监控
- 对安全策略、恶意代码、补丁升级等安全相关事务进行升级的集中管理
- 应能对网络中的安全事件进行识别、报警、分析
安全机构和人员设置
- 应成立指导和管理网络安全工作的委员会或领导小组，其最高领导由单位主管领导担任或授权；
- 应配备专职的安全管理人员，不可兼备
- 定期审查审批事项，及时更新需授权和审批项目
- 应与被录用人员签订保密协议，与关键岗位人员签订责任协议
- 应办理严格的调离手续，并承诺调离后的保密义务
- 针对不同岗位制定不同的培训计划
- 应定期对不同岗位人员进行技能考核
- 获得系统访间授权的外部人员应签署保密协议，不得进行非授权操作，不得复制和泄露任何敏感信息。

安全运维
- 环境管理——建立机房安全管理机制，对关键物理访问，物品带进出、环境安全等方面做出规定
- 资产管理——根据资产的重要程度对资产的重要程度进行标识

——对信息分类、标识方法作出规定，对信息的使用传输存储进行规范化管理

介质管理
设备维护——信息处理设备要经过审批才能带离办公地点或机房

——含有存储介质的设备在报废或重用前，应进行清除或被安全覆盖

应急预案管理
- 应规定统一的应急预案框架，包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容；
- 定期对应急预案进行重新评估，修改完善
- 外包运维管理

第四级安全要求

物流环境

物理位置选择
物理访问控制——重要区域设置第二道门禁管理系统，控制鉴别记录进入的人员
防盗和防破坏
防雷，防火
防水、防潮
防静电
温湿度控制
电力供应——应提供应急供电设备
电磁防护

主机与网络

网络架构——按照业务的重要程度分配宽带，有限保障重要业务
通信传输——在通信前基于密码技术对双方进行验证和认证

——基于硬件密码模块对重要的通信过程进行密码运算和秘钥管理

可信验证—— 应用程序所执行节进行动态可信验证，并添加动态关联感知验证
边界防护——应能够发现费授权设备私自连接到内网行为或内部用户非授权下连接到外部网络，并对其做出有效的阻止。

——应采用可信验证机制对接入到到网络设备进行可信验证，保证接入到网络设备的真实可信。

访问控制——应在网络边界通过通信协议转换或通信协议隔离等方式进行数据转换
入侵防范
恶意代码——采用主动免疫可信验证机制及时识别入侵和病毒行为，并将有效的阻止
安全审计
数据完整性、数据保密性、数据备份恢复（重要）
- 在可能涉及法律责任认定的应用中，应采用密码技术提供数据原发证据和数据接收证据，实现数据原发行为的抗抵赖和数据接收行为的抗抵赖。
- 建立异地灾难备份中心，提供业务应哟用的实时切换
安全管理中心
- 系统管理
- 审计管理
- 安全管理
- 集中管理——应保证系统范围内时间唯一确定的时钟产生，以保证各种数据管理和分析在时间上的一致性
- 安全策略
安全机构设置
- 岗位设置
- 人员分配——关键事务岗位应配备多人共同管理
- 审批、授权
- 审核、检测
- 人员录用——应内部人员中选拔从事关键岗位人员
- 人员离岗
- 安全意识教育培训
- 外部人员访问管理——对关键区域或关键系统不允许外部人员访问

网络安全等级保护2.0摘要相关推荐

计算机等级保护2.0标准,网络安全等级保护2.0标准情况-马力.pdf
网络安全等级保护2.0标准情况公安部信息安全等级保护评估中心马力目录  等级保护2.0标准概况  基本要求-总体结构变化  基本要求-安全通用要求  基本要求-安全扩展要求等级保护1. ...
网络安全等级保护2.0测评最新流程
按照公安部的最新通知要求,目前网络安全等级保护2.0测评的最新流程,针对各环节重点简要提示如下: 01.定级工作由责任单位发起,按照要求填写相关材料,2.0重点变化是二级及以上系统定级均需要经过专家 ...
网络安全等级保护2.0标准体系以及主要标准
等级保护2.0标准主要特点首先,我们来看看网络安全等级保护2.0的主要标准,如下图: 说起网络安全等级保护2.0标准的特点,马力副研究员表示,主要体现在以下三个方面: 一是,对象范围扩大.新标准将云 ...
医院信息系统网络安全等级保护2.0标准解读
等级保护标准体系 No.1 等级保护1.0标准体系 2007年,<信息安全等级保护管理办法>(公通字[2007]43号)文件的正式发布,标志着等级保护1.0的正式启动.等级保护1.0规定了 ...
网络安全等保定级_差异：关键信息基础设施与网络安全等级保护2.0
2019年12月3日,全国信息安全标准化技术委员会(以下简称信安标委)秘书处在北京组织召开了国家标准<信息安全技术关键信息基础设施网络安全保护基本要求>(报批稿)(以下简称<基本要 ...
网络安全等级保护制度2.0（简称“等保2.0”）学习笔记
文章目录一.等保背景二.为什么要颁布实施等保2.0? 三.等保2.0相比等保1.0有哪些不变? 四.等保2.0相比等保1.0有哪些区别? 五.网络安全等级保护2.0的要求及所需设备的清单 5.1 ...
网络安全等级保护测评机构简介
加强公安等级保护测评工作,推动等级等级保护2.0学习全国测评机构联系名单. 全国等级保护测评机构推荐目录下载地址链接:https://pan.baidu.com/s/10_WPRLXn13052TO ...
二、网络安全等级保护制度的前世今生
一.开展网络安全等级保护工作的法律依据 1994年<计算机信息系统安全保护条例>(第147号)第九条明确规定,"计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的 ...
新版网络安全等级保护测评报告模板包含哪些内容？哪里可以找到？
为深入贯彻落实网络安全等级保护制度,进一步提升等级测评工作的标准化和规范化水平,推进网络安全等级保护2.0系列标准实施应用,公安部网络安全保卫局组织编制了<网络安全等级保护测评报告模板(2021 ...

网络安全等级保护2.0摘要