《5-信息安全等級保護檢查（霍珊珊）》由會員分享，可在線閱讀，更多相關《5-信息安全等級保護檢查（霍珊珊）（96頁珍藏版）》請在裝配圖網上搜索。

1、,,單擊此處編輯母版標題樣式,,單擊此處編輯母版文本樣式,,第二級,,第三級,,第四級,,第五級,,*,,*,,,單擊此處編輯母版標題樣式,,單擊此處編輯母版文本樣式,,第二級,,第三級,,第四級,,第五級,,*,,*,信息平安等級保護檢查,信息產業(yè)部計算機平安技術檢測中心,霍珊珊,,,,信息平安等級保護檢查工作,,政策、法律依據,,等保檢查工作周期,,等保檢查工作原那么,,等保檢查工作方法,,等保檢查工作流程,,等保檢查工作具體內容,檢查的法律、政策依據,?中華人民共和國警察法?第十二款,,?中華人民共和國計算機信息系統(tǒng)平安保護條例?〔國務院令第147號〕第六、第九條,,?關于信息平安等級保

2、護工作的實施意見?〔公通字[2004]66號〕,,?信息平安等級保護管理方法?〔公通字[2006]43號〕,,關于印發(fā)?公安機關信息平安等級保護檢查工作標準〔試行〕?的通知〔公信安[2021]736號〕,信息平安等級保護檢查工作標準,第二條,,公安機關信息平安等級保護檢查工作是指公安機關依據有關規(guī)定，會同主管部門對非涉密重要信息系統(tǒng)運營使用單位等級保護工作開展和落實情況進行檢查，催促、檢查其建設平安設施、落實平安措施、建立并落實平安管理制度、落實平安責任、落實責任部門和人員。,等保檢查工作周期,第三條,,由市〔地〕級以上公安機關網安部門,,每年對第三級信息系統(tǒng)的運營使用單位信息平安等級保護工作

3、檢查一次,,每半年對第四級信息系統(tǒng)的運營使用單位信息平安等級保護工作檢查一次,等保檢查工作原那么,第八條,,“誰受理備案，誰負責檢查〞原那么,,對跨省或者全國聯(lián)網運行、跨市或者全省聯(lián)網運行等跨地域的信息系統(tǒng)，由部、省、市級公安機關分別對所受理備案的信息系統(tǒng)進行檢查,,對轄區(qū)內獨立運行的信息系統(tǒng)，由受理備案的公安機關獨立進行檢查,等保檢查工作原那么,第九條,,對跨省或者全國聯(lián)網運行的信息系統(tǒng)進行檢查時，需要會同其主管部門。因故無法會同的，公安機關可以自行開展檢查,等保檢查工作方法,第五條,,詢問情況,,查閱、核對材料,,調看記錄、資料,,現場查驗,等保檢查工作流程,第十條,,公安機關開展檢查前，

4、應當提前通知被檢查單位，并發(fā)送?信息平安等級保護監(jiān)督檢查通知書?,,第十一條,,檢查時，檢查民警不得少于兩人，并應當向被檢查單位負責人或其他有關人員出示工作證件,等保檢查工作流程,第十二條,,檢查中應當填寫?信息系統(tǒng)平安等級保護監(jiān)督檢查記錄?,,檢查完畢后，?信息系統(tǒng)平安等級保護監(jiān)督檢查記錄?應當交被檢查單位主管人員閱后簽字,,對記錄有異議或者拒絕簽名的，監(jiān)督、檢查人員應當注明情況,,?信息系統(tǒng)平安等級保護監(jiān)督檢查記錄?應當存檔備查,等保檢查工作流程,第十三條,,檢查時，發(fā)現不符合信息平安等級保護有關管理標準和技術標準要求，具有以下情形之一的，應當通知其運用使用單位限期整改，并發(fā)送?信息系統(tǒng)平

5、安等級保護限期整改通知書?,,逾期不改正的，給予警告，并向其上級主管部門通報,等保檢查工作流程,第十三條,,〔一〕未按照?管理方法?開展信息系統(tǒng)定級工作的,,有主管部門的，應當經主管部門審核批準。,,跨省或者全國統(tǒng)一聯(lián)網運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定平安保護等級。,,對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應當請國家信息平安保護等級專家評審委員會評審。,等保檢查工作流程,第十三條,,〔二〕信息系統(tǒng)平安保護等級不準確的,,〔三〕未按?管理方法?規(guī)定備案的,,〔四〕備案材料與備案單位、備案系統(tǒng)不符合的,,〔五〕未按要求及時提交?信息系統(tǒng)平安等級保護備案登記表?表四的有關內容

6、的,等保檢查工作流程,第十三條,,〔六〕系統(tǒng)發(fā)生變化，平安保護等級未及時進行調整并重新備案的,,〔七〕未按?管理方法?規(guī)定落實平安管理制度、技術措施的,,〔八〕未按?管理方法?規(guī)定開展平安建設整改和平安技術測評的,,〔九〕未按?管理方法?規(guī)定選擇使用信息平安產品和測評機構的,等保檢查工作流程,第十三條,,〔十〕未定期開展自查的,,〔十一〕違反?管理方法?其他規(guī)定的,等保檢查工作流程,信息平安等級保護檢查工作標準,第六條 主要內容,,〔一〕等級保護工作組織開展、落實情況。平安責任落實情況，信息系統(tǒng)平安崗位和平安管理人員設置情況,,〔二〕按照信息平安法律法規(guī)、標準標準的要求制定具體實施方案和落實情

7、況,,〔三〕信息系統(tǒng)定級備案情況，信息系統(tǒng)變化及定級備案變動情況,,〔四〕信息平安設施建設情況和信息平安整改情況,信息平安等級保護檢查工作標準,第六條,,〔五〕信息平安管理制度建設和落實情況,,〔六〕信息平安保護技術措施建設和落實情況,,〔七〕選擇使用信息平安產品情況,,〔八〕聘請測評機構按標準要求開展技術測評工作情況，根據測評結果開展整改情況,,〔九〕自行定期開展自查情況,,〔十〕開展信息平安知識和技能培訓情況,信息平安等級保護檢查工作標準,第七條 檢查工程,,〔一〕等級保護工作部署和組織實施情況,,1-1 開展信息平安等級保護工作的文件，出臺有關工作的意見或方案，了解組織開展信息平安等級保

8、護工作情況,,1-2 建立或明確平安管理機構，落實信息平安責任，落實平安管理崗位和人員,信息平安等級保護檢查工作標準,平安管理機構-1,,信息平安管理工作職能部門,,信息平安管理委員會或領導小組，最高領導由單位領導委任或授權,,通過文件形式明確各部門、平安崗位職責、分工和技能要求,,,,信息平安等級保護檢查工作標準,平安管理機構-2,,一定數量系統(tǒng)管理員、網絡管理員、平安管理員,,平安管理員 專職,,關鍵事務崗位多人共同管理,,對系統(tǒng)重要變更、重要操作、物理訪問和系統(tǒng)接入要建立審批程序，明確審批內容，對重要活動要逐級審批,,定期審查審批事項，及時更新需授權和審批的工程、審批部門和審批人等信息,

9、,,信息平安等級保護檢查工作標準,平安管理機構-3,,加強與兄弟單位、公安機關、電信、業(yè)界專家、供給商和廠家的合作和溝通,,定期或不定期召開協(xié)調會議，共同合作處理信息平安問題,,外聯(lián)單位聯(lián)系表,,聘信息平安專家作為參謀,信息平安等級保護檢查工作標準,平安管理機構-4,,平安管理員定期進行平安檢查-平安技術措施有效性〔日常運行、系統(tǒng)漏洞、數據備份〕、平安配置與平安策略一致性、平安管理制度執(zhí)行情況,,應由內部人員或上級單位定期進行全面平安檢查,,制定平安檢查表格、匯總數據、形成報告,,平安檢查結果通報,信息平安等級保護檢查工作標準,第七條 檢查工程,,〔一〕等級保護工作部署和組織實施情況,,1-3

10、 依據國家信息平安法律法規(guī)、標準標準等要求制定具體信息平安工作規(guī)劃和實施方案,,1-4 制定本行業(yè)、本部門信息平安等級保護行業(yè)標準標準并組織實施,信息平安等級保護檢查工作標準,法律法規(guī),,標準標準,,17859 等級劃分準那么,,22240 定級指南,,22239 根本要求,,24856 平安設計技術要求,,20984 風險評估標準,,。。。。,信息平安等級保護檢查工作標準,平安方案設計-1,,根據等級選擇根本平安措施，并依據風險分析的結果補充和調整平安措施,,指定和授權專門部門建立總體平安規(guī)劃，近期和遠期平安建設規(guī)劃,,根據等級劃分情況，統(tǒng)一考慮總體平安策略、平安技術框架、平安管理策略、

11、詳細的設計方案，形成配套文件,信息平安等級保護檢查工作標準,平安方案設計-2,,應組織相關部門和有關平安技術專家對總體平安策略、平安技術框架、平安管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件的合理性和正確性進行論證和審定，并且經過批準后，才能正式實施,,根據等級測評結果定期調整和修訂,信息平安等級保護檢查工作標準,第七條 檢查工程,,〔二〕信息系統(tǒng)平安等級保護定級 備案情況,,2-1 是否有未定級、備案信息系統(tǒng)，第一級信息系統(tǒng)定級是否準確,,2-2 現場查看備案的信息系統(tǒng)，核對備案材料。備案單位提交的備案材料與實際情況是否相符,信息平安等級保護檢查工作標準,定級、備案,,GB/T 222

12、40-2021 定級指南,,第一級 信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家平安、社會秩序和公共利益,,定級、備案材料,,定級報告〔明確系統(tǒng)邊界和等級、明確方法和理由、合理性和正確性的論證和審定、相關部門批準〕,,備案材料、備案證明,信息平安等級保護檢查工作標準,第七條 檢查工程,,〔二〕信息系統(tǒng)平安等級保護定級 備案情況,,2-3 是否補充提交?信息系統(tǒng)平安等級保護備案登記表?表四中的有關備案材料,,系統(tǒng)拓撲結構及說明,,系統(tǒng)平安組織機構及管理制度,,系統(tǒng)平安保護設施設計實施方案或改建實施方案,,系統(tǒng)使用的平安產品清單及認證、銷售許可證明,,系統(tǒng)等級測評報

13、告,,專家評審情況,,上級主管部門審批意見,信息平安等級保護檢查工作標準,第七條 檢查工程,,〔二〕信息系統(tǒng)平安等級保護定級 備案情況,,2-4 信息系統(tǒng)所承載的業(yè)務、效勞范圍、平安需求等是否發(fā)生變化，信息系統(tǒng)平安保護等級是否變更,,2-5 新建信息系統(tǒng)是否在規(guī)劃、設計階段確定平安保護等級并備案,信息平安等級保護檢查工作標準,第七條 檢查工程,,〔三〕信息平安設施建設情況和信息平安整改情況,,3-1 是否部署和組織開展信息平安建設整改工作,,3-2 是否制定信息平安建設規(guī)劃、信息系統(tǒng)平安整改方案,,3-3 是否按照國家標準或行業(yè)標準建設平安設施，落實平安措施,信息平安等級保護檢查工作標準,整改

14、建設,,關于開展信息平安等級保護平安建設整改工作的指導意見(公信安[2021]1429號),信息平安等級保護檢查工作標準,第七條 檢查工程,,〔四〕信息平安管理制度建立和落實情況,,4-1 是否建立根本平安管理制度，包括機房平安管理、網絡平安管理、系統(tǒng)運行維護管理、系統(tǒng)平安風險管理、資產和設備管理、數據及信息平安管理、用戶管理、備份與恢復、密碼管理等制度,信息平安等級保護檢查工作標準,平安管理制度-1,,信息平安總體方針和策略〔目標、范圍、原那么等〕,,平安管理制度,,日常管理操作建立操作規(guī)程,信息平安等級保護檢查工作標準,平安管理制度-2,,信息平安管理制度體系,,手冊〔方針、目標〕,,程序

15、文件、制度,,操作規(guī)程、作業(yè)指導書,,記錄,信息平安等級保護檢查工作標準,平安管理制度-3,,授權或指定專門部門和人員負責制度的制定,,制度論證和審定,,正式、有效方式發(fā)布,,統(tǒng)一格式、版本控制,,信息平安領導小組定期組織對制度合理性和適用性的審定,,定期或不定期進行檢查和審定，對存在缺乏或需要改進的平安管理制度進行修訂,信息平安等級保護檢查工作標準,平安管理制度-4,,機房平安管理制度,,網絡平安管理,,系統(tǒng)運行維護管理,,系統(tǒng)平安管理,,資產和設備管理,,數據及信息平安管理,,用戶管理,,備份與恢復,,密碼管理,,信息平安等級保護檢查工作標準,平安管理制度-5,,機房平安管理制度,,配備機

16、房平安管理人員，負責對機房的出入、效勞器的開機或關機等工作,,物理訪問、物品帶入帶出機房、機房環(huán)境平安,,溫濕度控制,,登記表,,審批制度和記錄,信息平安等級保護檢查工作標準,平安管理制度-6,,網絡平安管理,,專人對網絡進行管理，負責運行日志、網絡監(jiān)控記錄的日常維護和報警信息分析和處理工作,,網絡平安配置,,日志保存時間,,平安策略,,升級與打補丁,,口令更新周期,,對重要文件進行備份,,信息平安等級保護檢查工作標準,平安管理制度-7,,網絡平安管理,,效勞配置最小化、配置文件定期離線備份,,定期漏掃,,限制便攜和移動式設備的網絡接入,,定期檢查違反規(guī)定撥號上網或其他違反網絡平安策略的行為,

17、信息平安等級保護檢查工作標準,平安管理制度-8,,系統(tǒng)運行維護管理,,應依據操作手冊對系統(tǒng)進行維護,,詳細記錄操作日志，包括重要的日常操作、運行維護記錄、參數的設置和修改等內容，嚴禁進行未經授權的操作,,,應定期對運行日志和審計數據進行分析，以便及時發(fā)現異常行為,,信息平安等級保護檢查工作標準,平安管理制度-9,,系統(tǒng)平安管理,,根據業(yè)務和系統(tǒng)平安級別確定系統(tǒng)訪問控制策略,,對系統(tǒng)平安策略、平安配置、日志管理和日常操作流程做出具體規(guī)定,,應安裝系統(tǒng)的最新補丁程序，在安裝系統(tǒng)補丁前，首先在測試環(huán)境中測試通過，并對重要文件進行備份后，方可實施系統(tǒng)補丁程序的安裝,,管理員劃分角色、最小授權原那么,,

18、定期漏掃、及時修補,信息平安等級保護檢查工作標準,平安管理制度-10,,系統(tǒng)平安管理,,應提高所有用戶的防病毒意識，及時告知防病毒軟件版本，在讀取移動存儲設備上的數據以及網絡上接收文件或郵件之前，先進行病毒檢查，對外來計算機或存儲設備接入網絡系統(tǒng)之前也應進行病毒檢查；,,指定專人對網絡和主機進行惡意代碼檢測并保存檢測記錄；，對防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等作出明確規(guī)定；,,定期檢查信息系統(tǒng)內各種產品的惡意代碼庫的升級情況并進行記錄，對主機防病毒產品、防病毒網關和郵件防病毒網關上截獲的危險病毒或惡意代碼進行及時分析處理，并形成書面的報表和總結匯報。,,信息平安等級保護檢查工

19、作標準,平安管理制度-11,,資產和設備管理,,資產清單〔責任部門、重要程度、位置〕,,規(guī)定資產管理部門和責任人,,根據重要程度進行標識管理,,分類標識，對使用、傳輸和存儲做出規(guī)定,信息平安等級保護檢查工作標準,平安管理制度-12,,資產和設備管理,,介質存放環(huán)境、使用、維護和銷毀的規(guī)定,,存儲環(huán)境專人管理,,對帶出工作環(huán)境的存儲介質進行內容加密和監(jiān)控管理,,對保密性較高的存儲介質未經批準不得自行銷毀,,根據數據備份的需要對某些介質實行異地存儲，存儲地的環(huán)境要求和管理方法應與本地相同,,應對重要介質中的數據和軟件采取加密存儲,信息平安等級保護檢查工作標準,平安管理制度-13,,資產和設備管理,

20、,建立基于申報、審批和專人負責的設備平安管理制度，對信息系統(tǒng)的各種軟硬件設備的選型、采購、發(fā)放和領用等過程進行標準化管理,,明確維護人員的責任、涉外維修和效勞的審批、維修過程的監(jiān)督控制,,對終端計算機、工作站、便攜機、系統(tǒng)和網絡等設備的操作建立操作規(guī)程,,信息處理設備必須經過審批才能帶離機房或辦公地點,,,信息平安等級保護檢查工作標準,平安管理制度-14,,人員平安管理,,嚴格標準人員錄用過程，對被錄用人的身份、背景、專業(yè)資格和資質等進行審查，對其所具有的技術技能進行考核,,簽署保密協(xié)議,,嚴格標準離崗，及時終止各種訪問權限〔門禁、鑰匙、賬戶、郵箱〕,,關鍵崗位人員離崗須承諾調離后的保密義務前

21、方可離開,,定期對各個崗位的人員進行平安技能及平安認知的考核,,,信息平安等級保護檢查工作標準,平安管理制度-15,,備份與恢復管理,,識別需要定期備份的重要業(yè)務信息、系統(tǒng)數據及軟件系統(tǒng),,對備份信息的備份方式、備份頻度、存儲介質和保存期等進行標準,,備份策略須指明備份數據的放置場所、文件命名規(guī)那么、介質替換頻率和將數據離站運輸的方法,,定期執(zhí)行恢復程序，檢查和測試備份介質的有效性，確保可以在恢復程序規(guī)定的時間內完成備份的恢復,,,,,,,,信息平安等級保護檢查工作標準,平安管理制度-16,,密碼管理,,應建立密碼使用管理制度，使用符合國家密碼管理規(guī)定的密碼技術和產品,,,,,,,,,信息平安

22、等級保護檢查工作標準,第七條 檢查工程,,〔四〕信息平安管理制度建立和落實情況,,4-2 是否建立平安責任制，系統(tǒng)管理員、網絡管理員、平安管理員、平安審計員是否與本單位簽訂信息平安責任書,信息平安等級保護檢查工作標準,第七條 檢查工程,,〔四〕信息平安管理制度建立和落實情況,,4-3 是否建立平安審計管理制度、崗位和人員管理制度,,4-4 是否建立技術測評管理制度，信息平安產品采購、使用管理制度,,4-5 是否建立平安事件報告和處置管理制度，制定信息系統(tǒng)平安應急處置預案，定期組織開展應急處置演練,信息平安等級保護檢查工作標準,平安管理制度-17,,采購和使用管理,,,確保平安產品采購和使用符合

23、國家的有關規(guī)定；,,確保密碼產品采購和使用符合國家密碼主管部門的要求；,,指定或授權專門的部門負責產品的采購；,,預先對產品進行選型測試，確定產品的候選范圍，并定期審定和更新候選產品名單,,,,,,,,,信息平安等級保護檢查工作標準,平安管理制度-18,,技術測評管理,,自行軟件開發(fā),,開發(fā)和測試的環(huán)境物理隔離,,開發(fā)和測試人員分開,,代碼編寫標準,,程序資源庫的修改、更新和發(fā)布須授權和批準,,外包軟件開發(fā),,安裝前檢測惡意代碼、審查可能存在的后門,,要求提供源代碼,,等級測評,,關于發(fā)布?全國信息平安等級保護測評機構推薦目錄?的公告,,,,信息平安等級保護檢查工作標準,平安管理制度-19,,

24、平安事件處置,,應報告所發(fā)現的平安弱點和可疑事件，但任何情況下用戶均不應嘗試驗證弱點；,,應制定平安事件報告和處置管理制度，明確平安事件的類型，規(guī)定平安事件的現場處理、事件報告和后期恢復的管理職責；,,應根據國家相關管理部門對計算機平安事件等級劃分方法和平安事件對本系統(tǒng)產生的影響，對本系統(tǒng)計算機平安事件進行等級劃分；,,?GB/T20986-2007 信息平安技術 信息平安事件分類分級指南?,,?GB/T20985-2007 信息技術 平安技術 信息平安事件管理指南?,,,,,,,信息平安等級保護檢查工作標準,平安管理制度-20,,平安事件處置,,應制定平安事件報告和響應處理程序，確定事件的報

25、告流程，響應和處置的范圍、程度，以及處理方法等；,,應在平安事件報告和響應處理過程中，分析和鑒定事件產生的原因，收集證據，記錄處理過程，總結經驗教訓，制定防止再次發(fā)生的補救措施，過程形成的所有文件和記錄均應妥善保存；,,對造成系統(tǒng)中斷和造成信息泄密的平安事件應采用不同的處理程序和報告程序,,,,,,,信息平安等級保護檢查工作標準,平安管理制度-21,,應急預案管理,,在統(tǒng)一的應急預案框架下制定不同事件的應急預案，應急預案框架應包括啟動應急預案的條件、應急處理流程、系統(tǒng)恢復流程、事后教育和培訓等內容；,,從人力、設備、技術和財務等方面確保應急預案的執(zhí)行有足夠的資源保障；,,對系統(tǒng)相關的人員進行應

26、急預案培訓，應急預案的培訓應至少每年舉辦一次；,,定期對應急預案進行演練，根據不同的應急恢復內容，確定演練的周期；,,應急預案需要定期審查需要更新的內容，并按照執(zhí)行。,,,,,,,信息平安等級保護檢查工作標準,第七條 檢查工程,,〔四〕信息平安管理制度建立和落實情況,,4-6 是否建立教育培訓制度，是否認期開展信息平安知識和技能培訓,信息平安等級保護檢查工作標準,平安管理制度-22,,平安意識教育和培訓,,對各類人員進行平安意識教育、崗位技能培訓和相關平安技術培訓,,對平安責任和懲戒措施進行書面規(guī)定并告知相關人員,,對定期平安教育和培訓進行書面規(guī)定，針對不同崗位制定不同的培訓方案，對信息平安根

27、底知識、崗位操作規(guī)程等進行培訓,信息平安等級保護檢查工作標準,第七條 檢查工程,,〔五〕信息平安產品選擇和使用情況,,5-1 是否按照?管理方法?要求的條件選擇使用信息平安產品,,產品研制、生產單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內具有獨立的法人資格；,,產品的核心技術、關鍵部件具有我國自主知識產權；,,產品研制、聲場單位及其主要業(yè)務、技術人員無犯罪記錄；,,產品研制、生產單位聲明沒有成心留有或者設置漏洞、后門、木馬等程序和功能,信息平安等級保護檢查工作標準,第七條 檢查工程,,〔五〕信息平安產品選擇和使用情況,,5-1 是否按照?管理方法?要求的條件選擇使用信

28、息平安產品,,對國家平安、社會秩序、公共利益不構成危害,,對已列入信息平安產品認證目錄的，應當取得國家信息平安產品認證機構頒發(fā)的認證證書,信息平安等級保護檢查工作標準,第七條 檢查工程,,〔五〕信息平安產品選擇和使用情況,,5-2 是否要求產品研制、生產單位提供相關材料。包括營業(yè)執(zhí)照，產品的版權或專利證書，提供的聲明、證明材料，計算機信息系統(tǒng)平安專用產品銷售許可證等,,5-3 采用國外信息平安產品的，是否經主管部門批準，并請有關單位對產品進行專門技術檢測,信息平安等級保護檢查工作標準,第七條 檢查工程,,〔六〕聘請測評機構開展技術測評工作情況,,6-1 是否按照?管理方法?的要求部署開展技術測

29、評工作。對第三級信息系統(tǒng)每年開展一次技術測評，對第四級信息系統(tǒng)每半年開展一次技術測評,信息平安等級保護檢查工作標準,第七條 檢查工程,,〔六〕聘請測評機構開展技術測評工作情況,,6-2 是否按照?管理方法?規(guī)定的條件選擇技術測評機構〔管理方法第二十二條〕,,在中華人民共和國境內注冊成立〔港澳臺地區(qū)除外〕,,由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位〔港澳臺地區(qū)除外〕,,從事相關檢測評估工作兩年以上，無違法犯罪記錄,,工作人員僅限于中國公民,,法人及主要業(yè)務、技術人員無犯罪記錄,,使用的技術裝備、設施應當符合本方法對信息平安產品的要求,信息平安等級保護檢查工作標準,第七條 檢查工程,,

30、〔六〕聘請測評機構開展技術測評工作情況,,6-2 是否按照?管理方法?規(guī)定的條件選擇技術測評機構,,具有完備的保密管理、工程管理、質量管理、人員管理和培訓教育等平安管理制度,,對國家平安、社會秩序、公共利益不構成威脅。,,關于發(fā)布?全國信息平安等級保護測評機構推薦目錄?的公告,,全國信息平安等級保護測評機構推薦目錄,信息平安等級保護檢查工作標準,第七條 檢查工程,,〔六〕聘請測評機構開展技術測評工作情況,,6-3 是否要求技術測評機構提供相關材料。包括營業(yè)執(zhí)照、聲明、證明及資質材料等。,,等級測評機構推薦證書,,等級測評師證書,,等級測評機構能力評估合格證書,信息平安等級保護檢查工作標準,信息

31、平安等級保護檢查工作標準,第七條 檢查工程,,〔六〕聘請測評機構開展技術測評工作情況,,6-4 是否與測評機構簽訂保密協(xié)議,,6-5 是否要求測評機構制定技術檢測方案,,確定測評對象、測評指標、測評工具接入點,,6-6 是否對技術檢測過程進行監(jiān)督，采取了哪些監(jiān)督措施,,6-7 是否出具技術檢測報告，檢測報告是否標準、完整，檢查結果是否客觀、公正,信息平安等級保護檢查工作標準,第七條 檢查工程,,〔六〕聘請測評機構開展技術測評工作情況,,6-8 是否根據技術檢測結果，對不符合平安標準要求的，進一步進行平安整改,信息平安等級保護檢查工作標準,第七條 檢查工程,,〔七〕定期自查情況,,7-1 是否認

32、期對信息系統(tǒng)平安狀況、平安保護制度及平安技術措施的落實情況進行自查。第三級信息系統(tǒng)是否每年進行一次自查，第四級信息系統(tǒng)是否每半年進行一次自查,,7-2 經自查，信息系統(tǒng)平安狀況未到達平安保護等級要求的，運營、使用單位是否進一步進行平安建設整改,信息系統(tǒng)平安等級保護技術措施,,物理平安,,主機平安,,網絡平安,,應用平安,,數據平安,信息系統(tǒng)平安等級保護技術措施,,物理平安 -1,,機房場地應防止設在建筑物的高層或地下室，以及用水設備的下層或隔壁,,機房出入口應安排專人值守，控制、鑒別和記錄進入的人員,,需進入機房的來訪人員應經過申請和審批流程，并限制和監(jiān)控其活動范圍,,應對機房劃分區(qū)域進行管理

33、，區(qū)域和區(qū)域之間設置物理隔離裝置，在重要區(qū)域前設置交付或安裝等過渡區(qū)域,,重要區(qū)域應配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員,,,信息系統(tǒng)平安等級保護技術措施,,物理平安 -2,,防盜報警裝置,,設備在機架內固定，有明顯標記,,防雷擊、防火、防水防潮,,防靜電、溫濕度控制,,備用供電系統(tǒng),,電磁屏蔽,,,信息系統(tǒng)平安等級保護技術措施,,網絡平安 -1,,網絡設備業(yè)務處理能力和帶寬滿足頂峰期需要,,建立平安的訪問路徑,,根據工作職能、重要性和涉及信息的重要程度劃分平安域,,應防止將重要網段部署在網絡邊界處且直接連接外部信息系統(tǒng)，重要網段與其他網段之間采取可靠的技術隔離手段；,,應按照對業(yè)務效

34、勞的重要次序來指定帶寬分配優(yōu)先級別，保證在網絡發(fā)生擁堵的時候優(yōu)先保護重要主機,,,信息系統(tǒng)平安等級保護技術措施,,網絡平安 -2,,邊界處部署訪問控制設備,,控制粒度為端口級、協(xié)議命令級,,限制最大流量和連接數,,防止地址欺騙,信息系統(tǒng)平安等級保護技術措施,,網絡平安 -3,,網絡設備運行狀況、網絡流量、用戶行為進行審計,,事件的日期時間、用戶、事件類型、成功與否,,保護審計記錄，免遭未授權的刪除、修改,信息系統(tǒng)平安等級保護技術措施,,網絡平安 -4,,非授權設備私自連接到內部網絡,,內部設備非授權外聯(lián),,網絡邊界處監(jiān)視入侵行為：端口掃描、木馬后門攻擊、拒絕效勞攻擊等,,記錄攻擊事件的源IP、

35、攻擊類型、攻擊時間,,發(fā)生嚴重入侵事件時應提供報警,信息系統(tǒng)平安等級保護技術措施,,網絡平安 -5,,網絡邊界處對惡意代碼進行檢測和去除,,惡意代碼庫升級更新,,網絡設備管理員身份鑒別〔兩種以上鑒別技術〕,,設備支持登錄失敗功能,,特權用戶權限別離,信息系統(tǒng)平安等級保護技術措施,,主機平安 -1,,操作系統(tǒng)和數據庫管理員身份標識和鑒別〔兩種以上鑒別機制〕,,口令復雜度、定期更換,,登錄失敗處理,,遠程管理的傳輸保密性,,用戶權限最小化原那么,信息系統(tǒng)平安等級保護技術措施,,主機平安 -2,,管理用戶權限別離,,限制默認賬戶的訪問、重命名系統(tǒng)默認賬戶、修改默認口令,,刪除多余、過期賬戶,,重要信

36、息資源設置敏感標記,信息系統(tǒng)平安等級保護技術措施,,主機平安 -3,,對效勞器和重要客戶端每個操作系統(tǒng)用戶和數據庫用戶,,重要用戶行為、資源異常使用、重要系統(tǒng)命令,,事件的日期、時間、類型、主體標識、客體標識,,審計報表,,保護審計進程,,保護審計記錄,信息系統(tǒng)平安等級保護技術措施,,主機平安 -4,,對重要效勞器進行入侵行為檢測,,記錄入侵的源IP、攻擊類型、時間,,對嚴重的事件報警,,重要程序完整性檢測，檢測到破壞后具有恢復措施,,操作系統(tǒng)最小化安裝原那么,,操作系統(tǒng)補丁升級、及時更新,信息系統(tǒng)平安等級保護技術措施,,主機平安 -5,,部署防惡意代碼軟件，及時更新版本和惡意代碼庫,,主機與

37、網絡部署不同的防惡意代碼產品,,支持防惡意代碼統(tǒng)一管理,信息系統(tǒng)平安等級保護技術措施,,主機平安 -6,,設定終端接入方式、網絡地址范圍等限制終端登錄,,登錄終端操作超時鎖定,,重要效勞器監(jiān)視，包括CPU、內存、硬盤、網絡資源占用等情況,,限制單個用戶對系統(tǒng)資源的使用限度,,對系統(tǒng)效勞水平降低到預先設定的最小值進行檢測和報警,信息系統(tǒng)平安等級保護技術措施,,應用平安 -1,,專用的登錄控制模塊進行身份標識和鑒別,,同一用戶采取兩種或以上鑒別技術,,身份標識唯一、口令復雜度檢查,,登錄失敗處理,,根據平安策略配置以上參數,信息系統(tǒng)平安等級保護技術措施,,應用平安 -2,,依據平安策略，控制用戶對

38、文件、數據庫等的訪問,,訪問控制的范圍覆蓋與資源訪問相關的主體、客體及他們之間的操作,,嚴格限制默認賬戶的訪問權限,,授予不同賬戶完成各自任務最小權限，相互制約,,依據平安策略，嚴格控制對用戶對敏感信息的訪問和操作,信息系統(tǒng)平安等級保護技術措施,,應用平安 -3,,覆蓋每個用戶的平安審計，對應用系統(tǒng)的重要平安事件進行審計,,保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄,,記錄至少包括事件的日期、時間、發(fā)起者信息、類型、結果等,,提供審計記錄統(tǒng)計、查詢、分析及生成審計報表,信息系統(tǒng)平安等級保護技術措施,,應用平安 -4,,采用密碼技術保證通信過程中數據的完整性,,在通信雙方建立連接之前

39、，應用系統(tǒng)應利用密碼技術進行會話初始化驗證,,對通信過程中的整個報文或會話過程進行加密,信息系統(tǒng)平安等級保護技術措施,,應用平安 -5,,應具有在請求的情況下為數據原發(fā)者或接收者提供數據原發(fā)證據的功能,,應具有在請求的情況下為數據原發(fā)者或接收者提供數據接收證據的功能,信息系統(tǒng)平安等級保護技術措施,,應用平安 -6,,提供數據有效性檢驗功能，人機接口輸入或通過通信接口輸入的數據格式或長度符合系統(tǒng)設定要求,,提供自動保護功能，當故障發(fā)生時自動保護當前所有狀態(tài)，保證系統(tǒng)能夠進行恢復,信息系統(tǒng)平安等級保護技術措施,,應用平安 -7,,通信雙方一方在一段時間內未作任何響應，另一方應自動結束會話,,對系統(tǒng)

40、的最大并發(fā)會話連接數進行限制,,對單個賬戶的多重并發(fā)會話進行限制,,能夠對一個時間段內可能的并發(fā)會話連接數進行限制,,能夠對一個訪問賬戶或一個請求進程占用的資源分配最大和最小限額,信息系統(tǒng)平安等級保護技術措施,,應用平安 -8,,對系統(tǒng)效勞水平降低到預先設定的最小值進行檢測和報警,,根據平安策略，設定賬戶或請求進程的優(yōu)先級，根據優(yōu)先級分配系統(tǒng)資源,信息系統(tǒng)平安等級保護技術措施,,數據平安和備份恢復-1,,能夠檢測到系統(tǒng)管理數據、鑒別信息和重要業(yè)務數據在傳輸過程中完整性受到破壞、并在檢測到完整性錯誤時采取必要的恢復措施,,能夠檢測到系統(tǒng)管理數據、鑒別信息和重要業(yè)務數據在存儲過程中完整性受到破壞、

41、并在檢測到完整性錯誤時采取必要的恢復措施,,信息系統(tǒng)平安等級保護技術措施,,數據平安和備份恢復-2,,采用加密或其他有效措施實現系統(tǒng)管理數據、鑒別信息和重要業(yè)務數據傳輸保密性,,采用加密或其他保護措施實現系統(tǒng)管理數據、鑒別信息和重要業(yè)務數據存儲保密性,信息系統(tǒng)平安等級保護技術措施,,數據平安和備份恢復-3,,提供本地數據備份與恢復功能，完全數據備份至少每天一次，備份介質場外存放,,提供異地數據備份功能，利用通信網絡將關鍵數據定時批量傳送至備用場地,,采用冗余技術設計網絡拓撲結構，防止關鍵節(jié)點存在單點故障,,提供主要網絡設備、通信線路和數據處理系統(tǒng)的硬件冗余，保證系統(tǒng)高可用性,,謝謝！,信息產業(yè)部計算機平安技術檢測中心,霍珊珊,,,,