日志管理:
流程:确定定级对象得信息系统;确定业务信息安全收到的破坏时所侵害得客体;根据不同的受侵害课题,从多个方面综合评定业务信息安全被破坏对客体侵害程度。确定系统服务安全受到破坏时所侵害的
定级要素: 等级保护对象被破坏时所侵害客户和对客体造成侵害得程度
受害客体:公民、法人其他组织的合法权益;社会秩序、公共利益;国家安全。
侵害程度:造成一般损害
第一级:信息系统受到破坏后,对公民、法人组织合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级:信息系统受到破坏后,对公民,法人其他组织的合法权益产生严重损害,或对社会秩序和公共利益造成损害,但不损害国家安全
第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或对国家安全造成损害
第四级:信息系统受到破坏后,对社会秩序和公共利益造成特别严重损害,或对国家安全造成损害
人员安全 5个控制点 16个控制项
人员录用: 需要专门的部门负责录用人员,对录用者的技术考核,背景身份等资质核查,需要签署相关的保密协议,从内部人员选拔从事关键岗位,并签署岗位安全协议
人员离岗:
人员考核:要对相关认知的考核。对相关考核记录进行记录和保存
安全意识教育和培训:对安全意识教育,需要对培训的内容和计划进行保存
外部人员访问管理:对外部人员访问受控区域必须申请备案,对外部人员访问进行记录备案记录
安全管理机构:控制点 5个 控制项目20个
岗位设置:设立网络安全管理工作职能部门,设立安全主 管,安全管理各方面的负责人岗位。设定系统管理员,网络管理员,安全管理员等岗位并且定义相关职能。必须成立网络安全领导小组或委员会。最高领导必须为单位主管领导,并且有相关制度明确各个部门的岗位职责和技能要求。各个方面需要定义相关负责人。网络安全工作小组对应相关的方面的责任人。安全管理的机构(信息安全的负责领导:资源调配,决策,评审,对外的安全责任)安全管理团队:对制度的修正,审核。各个团队指定相关的系统负责人,安全责任人.
人员配备:关键事物岗位配备多人共同管理(冗余备份的三级要求必须有备岗)。配备专职管理员不可兼任(三级特殊要求)
授权和审批:各部门需要授权审批,审批部门和批准人,保存相关的系统变更,重要操作等必须需要有相关流程和评估等相关记录,必须有流程记录和文档化(纸质文档,并不是相关操作日志文档要求:相应的审批文档)
安全管理机构:需要管理人员之间,组织内部机构和合作沟通,处理相关的信息安全问题。需要有相关的兄弟单位,公安机构,电信合作与沟通。需要有专门的安全公司,安全组织合作和沟通。需要有信息安全专家作为安全顾问
审核和检查:安全管理员需要对系统的数据备份等情况,定义谁检查检查内容,检查的内容需要相关的表格,以及结果。需要制度化,需要相关安全检查的制度。对于检查结果进行跟踪记录,并
安全管理制度 3个控制点 11个控制项
管理制度:安全总体方针,相应系统安全的总体守则管理制度的基本要求。安全管理活动中的各类管理内容(技术方面的安全管理制度 如:机房安全管理手册,技术安全管理手册,各方面的安全管理策略)。定义人员的操作规范和范围(操作手册包括人,事物,要求,步骤,检测等)需要一套文件相呼应(网络的需要的安全等级所需的安全制度,承载网络上的应用安全手册对应的人员安全管理手册)。一套合规,集合的制度体系
制定和发布:对于制度发布人员是被授权的管理人员团队进行发布和修改,必须有相应的版本控制(记录版本修改时间,修改内容等)对修改的内容进行审核才能发布。以公司为整体而非个人,制度管理范围需要明确和定义
评审和修订:需要根据系统变化,业务变化所对应的安全进行变化,制度也需要变化。每年需要对所有安全管理制度进行评审回顾以确定是否满足现需,对不足的地方进行修正。
应用安全 控制点9个 控制项31个
身份鉴别:和主机一样密码复杂度,双因子认证登陆失败功能。账户同时需要唯一性
访问控制:各个用户之间的权限需要进行限定;根据职权分配不同的权限。权限最小化是通用原则。铭感信息标记一般难以实现
安全审计:审计这块有关删除的需要没有删除修改按钮。需要对审计记录分析统计查询,生成报表功能,审计的记录需要具体到人,所做的所有事情需要记录包括登出事件
剩信息很难完成一般不做要求
通信完整性;采用HTTPS即可但是最好发送前进行密码进行算法加密一般来https即可
通信保密性也是https即可
抗抵赖一般来说数字水印即可,但是可以采用日志功能完全记录发送内容时间也行但是能给部分分数
软件容错:一般根据渗透a)对输入格式长度进行要求b)自动回复功能
资源控制:会话超时;最大并发数限制通过中间件进行限制,单个用户多重并发最好完成;一个时间段内并发数一般很难完成,对用户资源分配不做要求优先级一样难以完成
数据安全与恢复 控制点3个 控制项8个
数据完整性:传输过程加密(数据进行校验数据包验证保证不被篡改)若被篡改有机制可以重发。存储加密通过需要进行校验检查。
数据保密性:重要业务进行加密存储,比如加密算法
备份和恢复:硬件网络相关备份;异地备份>30km
主机安全
身份鉴别:
G3通用要求 S3系统服务相关要求 A3业务安全要求
物理安全 10个控制点 32个控制项
物理位置的选择:若 条件不满足可设置补偿措施
物理访问控制:相应的设别工具,专人值守(被授权的人),相应的记录文档
防盗窃和放破坏:线路的铺设 监控报警 分类标识等。
防雷击:电源电线(电缆安全,消防安全)
防火:气体灭火器
防水和防潮:湿温度限制
防静电:防静电措施(防静电胶带,绳等) 重要设备进行接地
温湿度控制:温湿度剂,精密空调
电力供应:稳压器,UPS
电磁防护:电缆隔离铺设
基本要求的三种类型:
信息安全类S
服务保证类A
通用安全保护类G
等保的总体要求:
1.构建纵深防御体系
2.采取互补的安全措施
3. 保证一致的安全强度
4.建立统一的支撑平台
5.进行集中安全管理
是
等级变更
定级对象的确认:
1.具有唯一确定的安全责任单位。
2.具有信息系统的基本要素。
3.承载单一或相对独立的业务应用。
业务信息安全&系统服务安全
1、
网络安全 7个控制点(三级)控制项33个
结构安全:查看网络冗余情况,网络拓扑图(检查要点),相关的网络分段网络隔离相关的技术要求,分段网络是信息安全的主旨。
访问控制:配置相应访问控制设备:防火墙路由器,三层访问控制。从端口到协议进行访问控制,连接数超时连接等进行限制,每个用户连接超时必须进行限制
安全审计: 日志安全(日志防篡改,日志的访问控制 日志定期备份)网络日志内容的具体要求
边界完整性检查:某个系统在内网路由器,其他网络设备,私接网络。即网络拓扑图里不存在的网络连接设备或个人应用安全要求安全管理要求相违背的行为都不允许。私自代理服务器自私添加nat等。
入侵防范: 网络边界(内网到网络;相应的安全网络;日常网;测试网其中不同的网络进行相应的隔离,隔离之后就会产生相应的网络边界)安全监控。监控到的攻击行为进行记录,即日志行为牵扯到了安全审计
恶意代码防范:病毒,恶意程序,恶意的数据包都包括恶意的程序都算恶意代码
网络设备防护: 网络设备的用户管理(身份认证,用户账户有效性,非法登陆次数。特权账户不能日常使用)
若网络检测手段,防护手段不存在则不符合
可以对公民、法人和其他组织的合法权益造成侵害(影响正 常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷 等)
可以对社会秩序公共利益造成侵害(造成社会不良影响,引 起公共利益的损害等)。 (根据《定级指南》的要求,出现上述两个侵害客体时,优先考 虑社会秩序和公共利益,另外一个不做考虑。)
信息受到破坏后对侵害客体的侵害程度(即上述分析的结果 的表现程度) 上述结果的程度表现为:对社会秩序和公共利益造 成严重损害,即会出现较大范围的社会不良影响和较大程度的公共 利益的损害等。
