網(wǎng)絡(luò)安全等級保護2.0-等保三級合規(guī)基線表(技術(shù)要求)
網(wǎng)絡(luò)安全等級保護三級差距分析表(技術(shù)要求)
1.安全物理環(huán)境
分類 | 項目 | 內(nèi)容 | 測評對象 | 要求項說明 | 現(xiàn)狀分析 | 檢查結(jié)果 | 條目來源 | 備注 |
符合/不符合/部分符合/不適用 | ||||||||
安全物理環(huán)境 |
物理位置選擇 |
a) 機房場地應選擇在具有防震、防風和防雨等能力的建筑內(nèi); | 記錄類文檔和機房 |
1、應核查所在建筑物是否有建筑抗震設(shè)防審批文檔; 2、應核查機房是否不存在雨水滲漏; 3、應核查門窗是否不存在因風導致的塵土嚴重; 4、應核查屋頂、墻體、門窗和地面等是否不存在破損開裂。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||
b) 機房場地應避免設(shè)在建筑物的頂層或地下室,否則應加強防水和防潮措施。 | 機房 | 應核查機房是否不位于所在建筑的頂層或地下室,如果否,則核查機房是否采取了防水和防潮措施。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
物理訪問控制 |
a) 機房出入口應配置電子門禁系統(tǒng),控制、鑒別和記錄進入的人員。 | 機房電子門禁系統(tǒng) |
1、應核查出入口是否配置電子門禁系統(tǒng); 2、應核查電子門禁系統(tǒng)是否可以鑒別、記錄進入的人員信息。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
防盜竊和防破壞 | a) 應將設(shè)備或主要部件進行固定,并設(shè)置明顯的不易除去的標識; | 機房設(shè)備或主要部件 |
1、應核查機房內(nèi)設(shè)備或主要部件是否固定; 2、應核查機房內(nèi)設(shè)備或主要部件上是否設(shè)置了明顯且不易除去的標識。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
b) 應將通信線纜鋪設(shè)在隱蔽安全處; | 機房通信線纜 | 應核查機房內(nèi)通信線纜是否鋪設(shè)在隱蔽安全處,如橋架中等。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
c) 應設(shè)置機房防盜報警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)。 | 機房防盜報警系統(tǒng)或視頻監(jiān)控系統(tǒng) |
1、應核查機房內(nèi)是否配置防盜報警系統(tǒng)或?qū)H酥凳氐囊曨l監(jiān)控系統(tǒng); 2、應核查防盜報警系統(tǒng)或視頻監(jiān)控系統(tǒng)是否啟用。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
防雷擊 | a) 應將各類機柜、設(shè)施和設(shè)備等通過接地系統(tǒng)安全接地; | 機房 | 應核查機房內(nèi)機柜、設(shè)施和設(shè)備等是否進行接地處理。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
b) 應采取措施防止感應雷,例如設(shè)置防雷保安器或過壓保護裝置等。 | 機房防雷設(shè)施 |
1、應核查機房內(nèi)是否設(shè)置防感應雷措施; 2、應核查防雷裝置是否通過驗收或國家相關(guān)部門的技術(shù)檢測。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
防火 |
a) 機房應設(shè)置火災自動消防系統(tǒng),能夠自動檢測火情、自動報警,并自動滅火; | 機房防火設(shè)施 |
1、應核查機房內(nèi)是否設(shè)置火災自動消防系統(tǒng); 2、應核查火災自動消防系統(tǒng)是否可以自動檢測火情、自動報警并自動滅火。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
b) 機房及相關(guān)的工作房間和輔助房應采用具有耐火等級的建筑材料; | 機房驗收類文檔 | 應核查機房驗收文檔是否明確相關(guān)建筑材料的耐火等級。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
c) 應對機房劃分區(qū)域進行管理,區(qū)域和區(qū)域之間設(shè)置隔離防火措施。 | 機房管理員和機房 |
1、應訪談機房管理員是否進行了區(qū)域劃分; 2、應核查各區(qū)域間是否采取了防火措施進行隔離。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
防水和防潮 |
a)應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透; | 機房 | 應核查窗戶、屋頂和墻壁是否采取了防雨水滲透的措施。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
b) 應采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透; | 機房 |
1、應核查機房內(nèi)是否采取了防止水蒸氣結(jié)露的措施; 2、應核查機房內(nèi)是否采取了排泄地下積水,防止地下積水滲透的措施。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
c)應安裝對水敏感的檢測儀表或元件,對機房進行防水檢測和報警。 | 機房防水檢查設(shè)施 |
1、應核查機房內(nèi)是否安裝了對水敏感的檢測裝置; 2、應核查防水檢測和報警裝置是否啟用。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
防靜電 |
a) 應采用防靜電地板或地面并采用必要的接地防靜電措施; | 機房 |
1、應核查機房內(nèi)是否安裝了防靜電地板或地面; 2、應核查機房內(nèi)是否采用了接地防靜電措施。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
b) 應采取措施防止靜電的產(chǎn)生,例如采用靜電消除器、佩戴防靜電手環(huán)等。 | 機房 | 應核查機房內(nèi)是否配備了防靜電設(shè)備。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
溫濕度控制 | 應設(shè)置溫濕度自動調(diào)節(jié)設(shè)施,使機房溫濕度的變化在設(shè)備運行所允許的范圍之內(nèi)。 | 機房溫濕度調(diào)解設(shè)施 |
1、應核查機房內(nèi)是否配備了專用空調(diào); 2、應核查機房內(nèi)溫濕度是否在設(shè)備運行所允許的范圍內(nèi)之內(nèi)。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
電力供應 | a) 應在機房供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備; | 機房供電設(shè)施 | 應核查供電線路上是否配置了穩(wěn)壓器和過電壓防護設(shè)備。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
b) 應提供短期的備用電力供應,至少滿足設(shè)備在斷電情況下的正常運行要求; | 機房備用供電設(shè)施 |
1、應核查是否配備UPS等后備電源系統(tǒng); 2、應核查UPS等后備電源系統(tǒng)是否滿足設(shè)備在斷電情況下的正常運行要求。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
c) 應設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電。 | 機房 | 應核查機房內(nèi)是否設(shè)置了冗余或并行的電力電纜線路為計算機系統(tǒng)供電。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
電磁防護 | a)電源線和通信線纜應隔離鋪設(shè),避免互相干擾; | 機房線纜 | 應核查機房內(nèi)電源線纜和通信線纜是否隔離鋪設(shè)。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
b) 應對關(guān)鍵設(shè)備實施電磁屏蔽。 | 機房關(guān)鍵設(shè)備 | 應核查機房內(nèi)是否為關(guān)鍵設(shè)備配備了電磁屏蔽裝置。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 |
2.安全通信網(wǎng)絡(luò)
分類 | 項目 | 內(nèi)容 | 測評對象 | 要求項說明 | 現(xiàn)狀分析 | 檢查結(jié)果 | 條目來源 | 備注 |
符合/不符合/部分符合/不適用 | ||||||||
安全通信網(wǎng)絡(luò) |
網(wǎng)絡(luò)結(jié)構(gòu) |
a) 應保證網(wǎng)絡(luò)設(shè)備的業(yè)務處理能力滿足業(yè)務高峰期需要; | 路由器、交換機、無線接入設(shè)備和防火墻等提供網(wǎng)絡(luò)通信功能的設(shè)備或相關(guān)組件。 |
1、應核查業(yè)務高峰時期一段時間內(nèi)主要網(wǎng)絡(luò)設(shè)備的CPU使用率和內(nèi)存使用率是否滿足需求; 2、應核查網(wǎng)絡(luò)設(shè)備是否從未出現(xiàn)過因設(shè)備性能問題導致的宕機情況; 3、應測試驗證設(shè)備是否滿足業(yè)務高峰期需求。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||
b) 應保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務高峰期需要; | 綜合網(wǎng)管系統(tǒng)等 |
1、應核查綜合網(wǎng)管系統(tǒng)各通信鏈路寬帶是否滿足高峰時段的業(yè)務流量需要; 2、應測試驗證網(wǎng)絡(luò)帶寬是否滿足業(yè)務高峰期需求。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
c) 應劃分不同的網(wǎng)絡(luò)區(qū)域,并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址; | 路由器、交換機、無線接入設(shè)備和防火墻等提供網(wǎng)絡(luò)通信功能的設(shè)備或相關(guān)組件。 |
1、應核查是否依據(jù)重要性、部門等因素劃分不同的網(wǎng)絡(luò)區(qū)域; 2、應核查相關(guān)網(wǎng)絡(luò)設(shè)備配置信息,驗證劃分的網(wǎng)絡(luò)區(qū)域是否與劃分原則一致。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
d) 應避免將重要網(wǎng)絡(luò)區(qū)域部署在網(wǎng)絡(luò)邊界處,重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間采取可靠的技術(shù)隔離手段; | 網(wǎng)絡(luò)拓撲 |
1、應核查網(wǎng)絡(luò)拓撲圖是否與實際網(wǎng)絡(luò)運行環(huán)境一致; 2、應核查重要網(wǎng)絡(luò)區(qū)域是否未部署在網(wǎng)絡(luò)邊界處; 3、應核查重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間是否采取可靠的技術(shù)隔離手段,如網(wǎng)閘、防火墻和設(shè)備訪問控制列表(ACL)等。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
e) 應提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備的硬件冗余,保證系統(tǒng)的可用性。 | 網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)拓撲 | 應核查是否有關(guān)鍵網(wǎng)絡(luò)設(shè)備、安全設(shè)備和關(guān)鍵計算設(shè)備的硬件冗余(主備或雙活)和通信線路冗余。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
通信傳輸 |
a) 應采用校驗碼技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性; | 提供校驗技術(shù)和密碼技術(shù)功能的設(shè)備或組件 |
1、應核查是否在數(shù)據(jù)傳輸過程中使用校驗技術(shù)或密碼技術(shù)來保證其完整性; 2、應測試驗證密碼技術(shù)設(shè)備或組件能否保證通信過程中數(shù)據(jù)的完整性。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
b) 應采用密碼技術(shù)保證通信過程中敏感信息字段或整個報文的保密性。 | 提供密碼技術(shù)功能的設(shè)備或組件 |
1、應核查是否在通信過程中采取保密措施,具體采用哪些技術(shù)措施; 2、應測試驗證在通信過程中是否對數(shù)據(jù)進行加密。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
可信驗證 | 可基于可信根對通信設(shè)備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和通信應用程序等進行可信驗證,并在應用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證,在檢測到其可信性受到破壞后進行報警,并將驗證結(jié)果形成審計記錄送至安全管理中心。 | 提供可信驗證的設(shè)備或組件、提供集中審計功能的系統(tǒng)。 |
1、應核查是否基于可信根對通信設(shè)備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和通信應用程序等進行可信驗證; 2、應核查是否在應用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證; 3、應測試驗證當檢測到通信設(shè)備的可信性受到破壞后是否進行報警; 4、應測試驗證結(jié)果是否以審計記錄的形式送至安全管理中心。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 |
3.安全區(qū)域邊界
分類 | 項目 | 內(nèi)容 | 測評對象 | 要求項說明 | 現(xiàn)狀分析 | 檢查結(jié)果 | 條目來源 | 備注 |
符合/不符合/部分符合/不適用 | ||||||||
安全區(qū)域邊界 | 邊界防護 | a) 應保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進行通信; | 網(wǎng)閘、防火墻、路由器、交換機和無線接入網(wǎng)關(guān)設(shè)備等提供訪問控制功能的設(shè)備或相關(guān)組件 |
1、應核查在網(wǎng)絡(luò)邊界處是否部署訪問控制設(shè)備; 2、應核查設(shè)備配置信息是否指定端口進行跨越邊界的網(wǎng)絡(luò)通信,指定端口是否配置并啟用了安全策略; 3、應采用其他技術(shù)手段(如非法無線網(wǎng)絡(luò)設(shè)備定位、核查設(shè)備配置信息等)核查或測試驗證是否不存在其他未受控端口進行跨越邊界的網(wǎng)絡(luò)通信。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||
b) 應能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查或限制; | 終端管理系統(tǒng)或相關(guān)設(shè)備 |
1、應核查是否采用技術(shù)措施防止非授權(quán)設(shè)備接入內(nèi)部網(wǎng)絡(luò); 2、應核查所有路由器和交換機等相關(guān)設(shè)備閑置端口是否均已關(guān)閉。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
c) 應能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查或限制; | 終端管理系統(tǒng)或相關(guān)設(shè)備 | 應核查是否采用技術(shù)措施防止內(nèi)部用戶存在非法外聯(lián)行為。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
d) 應限制無線網(wǎng)絡(luò)的使用,確保無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)。 | 網(wǎng)絡(luò)拓撲和無線網(wǎng)絡(luò)設(shè)備 |
1、應核查無線網(wǎng)絡(luò)的部署方式,是否單獨組網(wǎng)后再連接到有線網(wǎng)絡(luò); 2、應核查無線網(wǎng)絡(luò)是否通過受控的邊界防護設(shè)備接入到內(nèi)部有線網(wǎng)絡(luò)。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
訪問控制 | a) 應在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則,默認情況下除允許通信外受控接口拒絕所有通信; | 網(wǎng)閘、防火墻、路由器、交換機和無線接入網(wǎng)關(guān)設(shè)備等提供訪問控制功能的設(shè)備或相關(guān)組件 |
1、應核查在網(wǎng)絡(luò)邊界或區(qū)域之間是否部署訪問控制設(shè)備并啟用訪問控制策略; 2、應核查設(shè)備的最后一條訪問控制策略是否為禁止所有網(wǎng)絡(luò)通信。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
b) 應刪除多余或無效的訪問控制規(guī)則,優(yōu)化訪問控制列表,并保證訪問控制規(guī)則數(shù)量最小化; | 網(wǎng)閘、防火墻、路由器、交換機和無線接入網(wǎng)關(guān)設(shè)備等提供訪問控制功能的設(shè)備或相關(guān)組件 |
1、應核查是否不存在多余或無效的訪問控制策略; 2、應核查不同的訪問控制策略之間的邏輯關(guān)系及前后排列順序是否合理。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
c) 應對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查,以允許/拒絕數(shù)據(jù)包進出; | 網(wǎng)閘、防火墻、路由器、交換機和無線接入網(wǎng)關(guān)設(shè)備等提供訪問控制功能的設(shè)備或相關(guān)組件 |
1、應核查設(shè)備的訪問控制策略中是否設(shè)定了源地址、目的地址、源端口、目的端口和協(xié)議等相關(guān)配置參數(shù); 2、應測試驗證訪問控制策略中設(shè)定的相關(guān)配置參數(shù)是否有效。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
d) 應能根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力; | 網(wǎng)閘、防火墻、路由器、交換機和無線接入網(wǎng)關(guān)設(shè)備等提供訪問控制功能的設(shè)備或相關(guān)組件 |
1、應核查是否采用會話認證等機制為進出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力; 2、應測試驗證是否為進出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
e) 應對進出網(wǎng)絡(luò)的數(shù)據(jù)流實現(xiàn)基于應用協(xié)議和應用內(nèi)容的訪問控制; | 第二代防火墻等提供應用層訪問控制功能的設(shè)備或相關(guān)組件 |
1、應核查是否部署訪問控制設(shè)備并啟用訪問控制策略; 2、應測試驗證設(shè)備訪問控制策略是否能夠?qū)M出網(wǎng)絡(luò)的數(shù)據(jù)流實現(xiàn)基于應用協(xié)議和應用內(nèi)容的訪問控制。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
入侵防范 |
a) 應在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為; | 抗APT攻擊系統(tǒng)、網(wǎng)絡(luò)回溯系統(tǒng)、威脅情報檢測系統(tǒng)、抗DDoS攻擊和入侵保護系統(tǒng)或相關(guān)組件 |
1、應核查相關(guān)系統(tǒng)或組件是否能夠檢測從外部發(fā)起的網(wǎng)絡(luò)攻擊行為; 2、應核查相關(guān)系統(tǒng)或組件的規(guī)則庫版本或威脅情報庫是否已經(jīng)更新到最新版本; 3、應核查相關(guān)系統(tǒng)或組件的配置信息或安全策略是否能夠覆蓋網(wǎng)絡(luò)所有關(guān)鍵節(jié)點; 4、應測試驗證相關(guān)系統(tǒng)或組件的配置信息或安全策略是否有效。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
b) 應在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為; | 抗APT攻擊系統(tǒng)、網(wǎng)絡(luò)回溯系統(tǒng)、威脅情報檢測系統(tǒng)、抗DDoS攻擊和入侵保護系統(tǒng)或相關(guān)組件 |
1、應核查相關(guān)系統(tǒng)或組件是否能夠檢測到從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為; 2、應核查相關(guān)系統(tǒng)或組件的規(guī)則庫版本或威脅情報庫是否已經(jīng)更新到最新版本; 3、應核查相關(guān)系統(tǒng)或組件的配置信息或安全策略是否能夠覆蓋網(wǎng)絡(luò)所有關(guān)鍵節(jié)點; 4、應測試驗證相關(guān)系統(tǒng)或組件的配置信息或安全策略是否有效。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
c) 應采取技術(shù)措施對網(wǎng)絡(luò)行為進行分析,實現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析; | 抗APT攻擊系統(tǒng)、網(wǎng)絡(luò)回溯系統(tǒng)、威脅情報檢測系統(tǒng)、抗DDoS攻擊和入侵保護系統(tǒng)或相關(guān)組件 |
1、應核查是否部署相關(guān)系統(tǒng)或組件對新型網(wǎng)絡(luò)攻擊進行檢測和分析; 2、應測試驗證是否對網(wǎng)絡(luò)行為進行分析,實現(xiàn)對網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測和分析。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
d) 當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發(fā)生嚴重入侵事件時應提供報警。 | 抗APT攻擊系統(tǒng)、網(wǎng)絡(luò)回溯系統(tǒng)、威脅情報檢測系統(tǒng)、抗DDoS攻擊和入侵保護系統(tǒng)或相關(guān)組件 |
1、應核查相關(guān)系統(tǒng)或組件的記錄是否包括攻擊源IP、攻擊類型、攻擊目標、攻擊時間等相關(guān)內(nèi)容; 2、應測試驗證相關(guān)系統(tǒng)或組件的報警策略是否有效。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
惡意代碼防范 |
a) 應在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對惡意代碼進行檢測和清除,并維護惡意代碼防護機制的升級和更新; | 防病毒網(wǎng)關(guān)和UTM等提供防惡意代碼功能的系統(tǒng)或相關(guān)組件 |
1、應核查在關(guān)鍵網(wǎng)絡(luò)節(jié)點處是否部署防惡意代碼產(chǎn)品等技術(shù)措施; 2、應核查防惡意代碼產(chǎn)品運行是否正常,惡意代碼庫是否已更新到最新; 3、應測試驗證相關(guān)系統(tǒng)或組件的安全策略是否有效。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
b) 應在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對垃圾郵件進行檢測和防護,并維護垃圾郵件防護機制的升級和更新。 | 防垃圾郵件網(wǎng)關(guān)等提供防垃圾郵件功能的系統(tǒng)或相關(guān)組件 |
1、應核查在關(guān)鍵網(wǎng)絡(luò)節(jié)點處是否部署了防垃圾郵件產(chǎn)品等技術(shù)措施; 2、應核查防垃圾郵件產(chǎn)品運行是否正常,防垃圾郵件規(guī)則庫是否已經(jīng)更新到最新; 3、應測試驗證相關(guān)系統(tǒng)或組件的安全策略是否有效。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
安全審計 |
a) 應在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計; | 綜合安全審計系統(tǒng)等 |
1、應核查是否部署了綜合安全審計系統(tǒng)或類似功能的系統(tǒng)平臺; 2、應核查安全審計范圍是否覆蓋到每個用戶; 3、應核查是否對重要的用戶行為和重要安全事件進行了審計。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
b) 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息; | 綜合安全審計系統(tǒng)等 | 應核查審計記錄信息是否包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
c) 應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等; | 綜合安全審計系統(tǒng)等 |
1、應核查是否采取了技術(shù)措施對審計記錄進行保護; 2、應核查是否采取技術(shù)措施對審計記錄進行定期備份,并核查其備份策略。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
d) 應能對遠程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨進行行為審計和數(shù)據(jù)分析。 | 上網(wǎng)行為管理系統(tǒng)或綜合安全審計系統(tǒng) | 應核查是否對遠程訪問用戶及互相聯(lián)網(wǎng)訪問用戶行為單獨進行審計分析。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
可信驗證 | 可基于可信根對邊界設(shè)備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應用程序等進行可信驗證,并在應用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證,在檢測到其可信性受到破壞后進行報警,并將驗證結(jié)果形成審計記錄送至安全管理中心。 | 提供可信驗證的設(shè)備或組件、提供集中審計功能的系統(tǒng) |
1、應核查是否基于可信根對邊界設(shè)備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應用程序等進行可信驗證; 2、應核查是否在應用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證; 3、應測試驗證當檢測到邊界設(shè)備的可信性受到破壞后是否進行報警; 4、應測試驗證結(jié)果是否以審計記錄的形式發(fā)送至安全管理中心。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 |
分類 | 項目 | 內(nèi)容 | 測評對象 | 要求項說明 | 現(xiàn)狀分析 | 檢查結(jié)果 | 條目來源 | 備注 |
符合/不符合/部分符合/不適用 | ||||||||
安全計算環(huán)境 |
身份鑒別 |
a) 應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換; | 終端和服務器等設(shè)備中的操作系統(tǒng)(包括宿主機和虛擬機操作系統(tǒng))、網(wǎng)絡(luò)設(shè)備(包括虛擬機網(wǎng)絡(luò)設(shè)備)、安全設(shè)備(包括虛擬機安全設(shè)備)、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點設(shè)備、控制設(shè)備、業(yè)務應用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等 |
1、應核查用戶在登錄時是否采用了身份鑒別措施; 2、應核查用戶列表確認用戶身份標識是否具有唯一性; 3、應核查用戶配置信息或測試驗證是否不存在空口令用戶; 4、應核查用戶鑒別信息是否具有復雜度要求并定期更換。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||
b) 應具有登錄失敗處理功能,應配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關(guān)措施; |
1、應核查是否配置并啟用了登錄失敗處理功能; 2、應核查是否配置并啟用了限制非法登錄功能,非法登錄達到一定次數(shù)后采取特定動作,如賬戶鎖定等; 3、應核查是否配置并啟用了登錄連接超時及自動退出功能。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||||
c) 當進行遠程管理時,應采取必要措施,防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽; | 應核查是否采用加密等安全方式對系統(tǒng)進行遠程管理,防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||||
d) 應采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別,且其中一種鑒別技術(shù)至少應使用密碼技術(shù)來實現(xiàn)。 |
1、應核查是否采用動態(tài)口令、數(shù)字證書、生物技術(shù)和設(shè)備指紋等兩種或兩種以上組合的鑒別技術(shù)對用戶身份進行鑒別; 2、應核查其中一種鑒別技術(shù)是否使用密碼技術(shù)來實現(xiàn)。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||||
訪問控制 | a) 應對登錄的用戶分配賬戶和權(quán)限; |
1、應核查是否為用戶分配了賬戶和權(quán)限及相關(guān)設(shè)置情況; 2、應核查是否已禁用或限制匿名、默認賬戶的訪問權(quán)限。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
b) 應重命名或刪除默認賬戶,修改默認賬戶的默認口令; |
1、應核查是否已經(jīng)重命名默認賬戶或默認賬戶已被刪除; 2、應核查是否已修改默認賬戶的默認口令。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||||
c) 應及時刪除或停用多余的、過期的賬戶,避免共享賬戶的存在; |
1、應核查是否不存在多余或過期賬戶,管理員用戶與賬戶之間是否一一對應; 2、應測試驗證多余的、過期的賬戶是否被刪除或停用。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||||
d)應授予管理用戶所需的最小權(quán)限,實現(xiàn)管理用戶的權(quán)限分離; |
1、應核查是否進行角色劃分; 2、應核查管理用戶的權(quán)限是否已進行分離; 3、應核查管理用戶權(quán)限是否為其工作任務所需的最小權(quán)限。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||||
e) 應由授權(quán)主體配置訪問控制策略,訪問控制策略規(guī)定主體對客體的訪問規(guī)則; |
1、應核查是否由授權(quán)主體(如管理用戶)負責配置訪問控制策略; 2、應核查授權(quán)主體是否依據(jù)安全策略配置了主體對客體的訪問規(guī)則; 3、應測試驗證用戶是否有可越權(quán)訪問情形。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||||
f) 訪問控制的粒度應達到主體為用戶級或進程級,客體為文件、數(shù)據(jù)庫表級; | 應核查訪問控制策略的控制粒度是否達到主體為用戶級別或進程級,客體為文件、數(shù)據(jù)庫表、記錄或字段級。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||||
g) 應對重要主體和客體設(shè)置安全標記,并控制主體對有安全標記信息資源的訪問。 |
1、應核查是否對主體、客體設(shè)置了安全標記; 2、應測試驗證是否依據(jù)主體、客體安全標記控制主體對客體訪問的強制訪問控制策略。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||||
安全審計 | a) 應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計; |
1、應核查是否開啟了安全審計功能; 2、應核查安全審計范圍是否覆蓋到每個用戶; 3、應核查是否對重要的用戶行為和重要安全事件進行審計。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
b) 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息; | 應核查審計記錄信息是否包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||||
c) 應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等; |
1、應核查是否采取了保護措施對審計記錄進行保護; 2、應核查是否采取技術(shù)措施對審計記錄進行定期備份,并核查其備份策略。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||||
d) 應對審計進程進行保護,防止未經(jīng)授權(quán)的中斷。 | 應測試驗證通過非審計管理員的其他賬戶來中斷審計進程,驗證審計進程是否受到保護。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||||
入侵防范 | a) 應遵循最小安裝的原則,僅安裝需要的組件和應用程序。 |
1、應核查是否遵循最小安裝原則; 2、應核查是否未安裝非必要的組件和應用程序。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
b) 應關(guān)閉不需要的系統(tǒng)服務、默認共享和高危端口; |
1、應核查是否關(guān)閉了非必要的系統(tǒng)服務和默認共享; 2、應核查是否不存在非必要的高危端口。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||||
c) 應通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進行管理的管理終端進行限制; | 應核查配置文件或參數(shù)是否對終端接入范圍進行限制。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||||
d)應提供數(shù)據(jù)有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求; |
1、應核查系統(tǒng)設(shè)計文檔的內(nèi)容是否包括數(shù)據(jù)有效性檢驗功能的內(nèi)容或模塊; 2、應測試驗證是否對人機接口或通信接口輸入的內(nèi)容進行有效性檢驗。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||||
e) 應能發(fā)現(xiàn)可能存在的已知漏洞,并在經(jīng)過充分測試評估后,及時修補漏洞; |
1、應通過漏洞掃描、滲透測試等方式核查是否不存在高風險漏洞; 2、應核查是否在經(jīng)過充分測試評估后及時修補漏洞。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||||
f) 應能夠檢測到對重要節(jié)點進行入侵的行為,并在發(fā)生嚴重入侵事件時提供報警。 |
1、應訪談并核查是否有入侵檢測的措施; 2、應核查在發(fā)生嚴重入侵事件時是否提供報警。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||||
惡意代碼防范 |
應采用免受惡意代碼攻擊的技術(shù)措施或主動免疫可信機制及時識別入侵和病毒行為,并將其有效阻斷; | 終端和服務器等設(shè)備中的操作系統(tǒng)(包括宿主機和虛擬機操作系統(tǒng))、移動終端、移動終端管系統(tǒng)、移動終端管理客戶端和控制設(shè)備等 |
1、應核查是否安裝了防惡意代碼軟件或相應功能的軟件,定期進行升級和更新防惡意代碼庫; 2、應核查是否采用主動免疫可信驗證技術(shù)及時識別入侵和病毒行為; 3、應核查當識別入侵和病毒行為時是否將其有效阻斷。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
可信驗證 | 可基于可信根對計算設(shè)備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和應用程序等進行可信驗證,并在應用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證,在檢測到其可信性受到破壞后進行報警,并將驗證結(jié)果形成審計記錄送至安全管理中心。 | 提供可信驗證的設(shè)備或組價、提供集中審計功能的系統(tǒng) |
1、應核查是否基于可信根對計算設(shè)備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和應用程序等進行可信驗證; 2、應核查是否在應用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證; 3、應測試驗證當檢測到計算設(shè)備的可信性受到破壞后是否進行報警; 4、應測試驗證結(jié)果是否以審計記錄的形式送至安全管理中心。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
數(shù)據(jù)完整性 |
a) 應采用校驗碼技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等; | 業(yè)務應用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件、系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔、數(shù)據(jù)安全保護系統(tǒng)、終端和服務器等設(shè)備中的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備和安全設(shè)備等 |
1、應核查系統(tǒng)設(shè)計文檔,鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等在傳輸過程中是否采用了校驗技術(shù)和密碼技術(shù)保證完整性; 2、應測試驗證在傳輸過程中對鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等進行篡改、是否能否檢測到數(shù)據(jù)在傳輸過程中的完整性收到破壞并能夠及時恢復。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
b) 應采用校驗技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等。 |
1、應核查系統(tǒng)設(shè)計文檔,鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等在存儲過程中是否采用了校驗技術(shù)和密碼技術(shù)保證完整性; 2、應核查是否采用技術(shù)措施(如數(shù)據(jù)安全保護系統(tǒng)等)保證鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等在存儲過程中的完整性 3、應測試驗證在傳輸過程中對鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等進行篡改、是否能否檢測到數(shù)據(jù)在傳輸過程中的完整性收到破壞并能夠及時恢復。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||||
數(shù)據(jù)保密性 | a) 應采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等; | 業(yè)務應用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件、系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等 |
1、應核查系統(tǒng)設(shè)計文檔,鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等在傳輸過程中是否采用密碼技術(shù)保證保密性; 2、應通過嗅探等方式抓取傳輸過程中的數(shù)據(jù)包,鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等在傳輸過程中是否進行了加密處理。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
b) 應采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等。 | 業(yè)務應用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件、系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔、數(shù)據(jù)安全保護系統(tǒng)、終端和服務器等設(shè)備中的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備和安全設(shè)備中的重要配置數(shù)據(jù)。 |
1、應核查是否采用密碼技術(shù)保證鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等在存儲過程中的保密性; 2、應核查是否采用技術(shù)措施(如數(shù)據(jù)安全保護系統(tǒng)等)保證鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等在存儲過程中的保密性; 3、應測試驗證是否對制定的數(shù)據(jù)進行加密處理。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
數(shù)據(jù)備份恢復 | a) 應提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復功能; | 配置數(shù)據(jù)和業(yè)務數(shù)據(jù) |
1、應核查是否按照備份策略進行本地備份; 2、應核查備份策略設(shè)置是否合理、配置是否正確; 3、應核查備份結(jié)果是否與備份策略一致; 4、應核查近期恢復測試記錄是否能夠進行正常的數(shù)據(jù)恢復。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
b) 應提供異地實時備份功能,利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實時備份至備份場地; | 配置數(shù)據(jù)和業(yè)務數(shù)據(jù) | 應核查是否提供異地實時備份功能,并通過網(wǎng)絡(luò)將重要配置數(shù)據(jù)、重要業(yè)務數(shù)據(jù)實時備份至備份場地。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
c) 應提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余,保證系統(tǒng)的高可用性。 | 重要數(shù)據(jù)處理系統(tǒng) | 應核查重要數(shù)據(jù)處理系統(tǒng)(包括邊界路由器、邊界防火墻、核心交換機、應用服務器和數(shù)據(jù)庫服務器等)是否采用熱冗余方式部署。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
剩余信息保護 | a) 應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除; | 終端和服務器等設(shè)備中的操作系統(tǒng)、業(yè)務應用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等 | 應核查相關(guān)配置信息或系統(tǒng)設(shè)計文檔,用戶的鑒別信息所在的存儲空間被釋放或重新分配前是否得到完全清除。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
b) 應保證存有敏感數(shù)據(jù)的存儲空間被釋放或重新分配前得到完全清除。 | 終端和服務器等設(shè)備中的操作系統(tǒng)、業(yè)務應用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等 | 應核查相關(guān)配置信息或系統(tǒng)設(shè)計文檔,敏感數(shù)據(jù)所在的存儲空間被釋放或重新分配給其他用戶前是否得到完全清除。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
個人信息保護 | a) 應僅采集和保存業(yè)務必需的用戶個人信息; | 業(yè)務應用系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)等 |
1、應核查采集的用戶個人信息是否是業(yè)務應用必須的; 2、應核查是否制定了相關(guān)用戶個人信息保護的管理制度和流程。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
b) 應禁止未授權(quán)訪問和非法使用用戶個人信息。 | 業(yè)務應用系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)等 |
1、應核查是否采用技術(shù)措施限制對用戶個人信息的訪問和使用; 2、應核查是否制定了有關(guān)用戶個人信息保護的管理制度和流程。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 |
5.安全管理中心
分類 | 項目 | 內(nèi)容 | 測評對象 | 要求項說明 | 現(xiàn)狀分析 | 檢查結(jié)果 | 條目來源 | 備注 |
符合/不符合/部分符合/不適用 | ||||||||
安全管理中心 |
系統(tǒng)管理 |
a) 應對系統(tǒng)管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行系統(tǒng)管理操作,并對這些操作進行審計; | 提供集中系統(tǒng)管理功能的系統(tǒng) |
1、應核查是否對系統(tǒng)管理員進行身份鑒別; 2、應核查是否只允許系統(tǒng)管理員通過特定的命令或操作界面進行系統(tǒng)管理操作; 3、應核查是否對系統(tǒng)管理的操作進行審計。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||
b)應通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理,包括用戶身份、系統(tǒng)資源配置、系統(tǒng)加載和啟動、系統(tǒng)運行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復等。 | 提供集中系統(tǒng)管理功能的系統(tǒng) | 應核查是否通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理,包括用戶身份、資源配置、系統(tǒng)加載和啟動、系統(tǒng)運行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復等。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
審計管理 |
a) 應對審計管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行安全審計操作,并對這些操作進行審計; | 綜合安全審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)等提供集中審計功能的系統(tǒng) |
1、應核查是否對審計管理員進行身份鑒別; 2、應核查是否只允許審計管理員通過特定的命令或操作界面進行安全審計操作; 3、應核查是否安全審計操作進行審計。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
b) 應通過審計管理員對審計記錄應進行分析,并根據(jù)分析結(jié)果進行處理,包括根據(jù)安全審計策略對審計記錄進行存儲、管理和查詢等。 | 綜合安全審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)等提供集中審計功能的系統(tǒng) | 應核查是否通過審計管理員對審計記錄進行分析,并根據(jù)分析結(jié)果進行處理,包括根據(jù)安全審計策略對審計記錄進行存儲、管理和查詢等。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
安全管理 | a) 應對安全管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行安全管理操作,并對這些操作進行審計; | 提供集中安全管理功能的系統(tǒng) |
1、應核查是否對安全管理員進行身份鑒別; 2、應核查是否只允許安全管理員通過特定的命令或操作界面進行安全審計操作; 3、應核查是否對安全管理操作進行審計。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
b) 應通過安全管理員對系統(tǒng)中的安全策略進行配置,包括安全參數(shù)的設(shè)置,主體、客體進行統(tǒng)一安全標記,對主體進行授權(quán),配置可信驗證策略等。 | 提供集中安全管理功能的系統(tǒng) | 應核查是否通過安全管理員對系統(tǒng)中的安全策略進行配置,包括安全參數(shù)的設(shè)置,主體、客體進行統(tǒng)一安全標記,對主體進行授權(quán),配置可信驗證策略等。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
集中管控 | a) 應劃分出特定的管理區(qū)域,對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管控; | 網(wǎng)絡(luò)拓撲 |
1、應核查是否劃分出單獨的網(wǎng)絡(luò)區(qū)域用于部署安全設(shè)備或安全組件; 2、應核查各個安全設(shè)備或安全組件是否集中部署在單獨的網(wǎng)絡(luò)區(qū)域內(nèi)。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | ||||
b) 應能夠建立一條安全的信息傳輸路徑,對網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管理; | 路由器、交換機和防火墻等設(shè)備或相關(guān)組件 |
1、應核查是否采用安全方式(如SSH、HTTPS、IPSec VPN等)對安全設(shè)備或安全組件進行管理; 2、應核查是否使用獨立的帶外管理網(wǎng)絡(luò)對安全設(shè)備或安全組件進行管理。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
c) 應對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務器等的運行狀況進行集中監(jiān)測; | 綜合網(wǎng)管理系統(tǒng)等提供運行狀態(tài)監(jiān)測功能的系統(tǒng) |
1、應核查是否部署了具備運行狀態(tài)監(jiān)測功能的系統(tǒng)或設(shè)備,能夠?qū)W(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務器等的運行狀態(tài)進行集中監(jiān)測; 2、應測試驗證運行狀態(tài)監(jiān)測系統(tǒng)是否根據(jù)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務器等的工作狀態(tài)、依據(jù)設(shè)定的閥值(或默認閥值)實時報警。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
d) 應對分散在各個設(shè)備上的審計數(shù)據(jù)進行收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規(guī)要求; | 綜合安全審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)等提供集中審計功能的系統(tǒng) |
1、應核查各個設(shè)備是否配置啟用了相關(guān)策略,將審計數(shù)據(jù)發(fā)送到獨立于設(shè)備自身的外部集中安全審計系統(tǒng)中; 2、應核查是否部署統(tǒng)一的集中安全審計系統(tǒng),統(tǒng)一收集和存儲各設(shè)備日志,并根據(jù)需要進行集中審計分析; 3、應核查審計記錄的留存時間是否至少為6個月。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
e) 應對安全策略、惡意代碼、補丁升級等安全相關(guān)事項進行集中管理; | 提供集中安全管控功能的系統(tǒng) |
1、應核查是否能夠?qū)Π踩呗裕ㄈ绶阑饓υL問控制策略、入侵保護系統(tǒng)防護策略、WAF安全防護策略等)進行集中管理; 2、應核查是否實現(xiàn)對操作系統(tǒng)防惡意代碼系統(tǒng)及網(wǎng)絡(luò)惡意代碼防護設(shè)備的集中管理,實現(xiàn)對防惡意代碼病毒規(guī)則庫的升級進行集中管理; 3、應核查是否實現(xiàn)對各個系統(tǒng)或設(shè)備的補丁升級進行集中管理。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 | |||||
f) 應能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進行識別、報警和分析。 | 提供集中安全管控功能的系統(tǒng) |
1、應核查是否部署了相關(guān)系統(tǒng)平臺能夠?qū)Ω黝惏踩录M行分析并通過聲光等方式實時報警; 2、應核查檢測范圍是否能夠覆蓋網(wǎng)絡(luò)所有關(guān)鍵路徑。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護基本要求 |
1.系統(tǒng)信息 | |||||||
系統(tǒng)名稱: | |||||||
系統(tǒng)等級: | |||||||
2.測評結(jié)果-技術(shù)類 | |||||||
針對本系統(tǒng)依照信息安全等級保護三級信息系統(tǒng)安全技術(shù)類要求總共進行了XXX項安全檢查,具體測評結(jié)果如下: | |||||||
類別\符合情況 | 總檢查項 | 符合 | 不符合 | 部分符合 | 不適用 | ||
安全物理環(huán)境 | 23 | 23 | |||||
安全通信網(wǎng)絡(luò) | 8 | 8 | |||||
安全區(qū)域邊界 | 20 | 20 | |||||
安全計算環(huán)境 | 34 | 34 | |||||
安全管理中心 | 12 | 12 |