信息安全技术网络安全等级保护基本要求概述(PDF 58页)
信息安全技术网络安全等级保护基本要求概述(PDF 58页)内容简介
前言 .... . X
引言 . XI
第1部分安全通用要求 .. 1
1 范围 1
2规范性引用文件 ....... 1
3术语和定义 ... 1
3.1 安全保护能力 security protection ability .. 1
4网络安全等级保护概述 . 1
4.1 不同等级的安全保护对象 .... 1
4.2 不同等级的安全保护能力 .... 2
4.3 技术要求和管理要求 2
5第一级安全要求 ....... 2
5.1 技术要求 .. 2
5.1.1物理和环境安全 ... 3
5.1.1.1 物理访问控制 .. 3
5.1.1.2 防盗窃和防破坏 3
5.1.1.3 防雷击 3
5.1.1.4 防火 .. 3
5.1.1.5 防水和防潮 .... 3
5.1.1.6 温湿度控制 .... 3
5.1.1.7 电力供应 ...... 3
5.1.2网络和通信安全 ... 3
5.1.2.1 网络架构 ...... 3
5.1.2.2 通信传输 ...... 3
5.1.2.3 边界防护 ...... 3
5.1.2.4 访问控制 ...... 3
5.1.3设备和计算安全 ... 3
5.1.3.1 身份鉴别 ...... 3
5.1.3.2 访问控制 ...... 3
5.1.3.3 入侵防范 ...... 4
5.1.3.4 恶意代码防范 .. 4
5.1.4应用和数据安全 ... 4
5.1.4.1 身份鉴别 ...... 4
5.1.4.2 访问控制 ...... 4
5.1.4.3 软件容错 ...... 4
5.1.4.4 数据完整性 .... 4
5.1.4.5 数据备份恢复 .. 4
5.2 管理要求 .. 4
5.2.1安全策略和管理制度 ....... 4
GB/T 22239.1– XXXX
III
5.2.1.1 管理制度 ...... 4
5.2.2安全管理机构和人员 ....... 4
5.2.2.1 岗位设置 ...... 4
5.2.2.2 人员配备 ...... 4
5.2.2.3 授权和审批 .... 4
5.2.2.4 人员录用 ...... 5
5.2.2.5 人员离岗 ...... 5
5.2.2.6 安全意识教育和培训 .... 5
5.2.2.7 外部人员访问管理 ...... 5
5.2.3安全建设管理 ..... 5
5.2.3.1 定级 .. 5
5.2.3.2 安全方案设计 .. 5
5.2.3.3 产品采购和使用 5
5.2.3.4 工程实施 ...... 5
5.2.3.5 测试验收 ...... 5
5.2.3.6 系统交付 ...... 5
5.2.3.7 服务供应商选择 5
5.2.4安全运维管理 ..... 5
5.2.4.1 环境管理 ...... 5
5.2.4.2 介质管理 ...... 5
5.2.4.3 设备维护管理 .. 6
5.2.4.4 漏洞和风险管理 6
5.2.4.5 网络和系统安全管理 .... 6
5.2.4.6 恶意代码防范管理 ...... 6
5.2.4.7 备份与恢复管理 6
5.2.4.8 安全事件处置 .. 6
6第二级安全要求 ....... 6
6.1 技术要求 .. 6
6.1.1物理和环境安全 ... 6
6.1.1.1 物理位置选择 .. 6
6.1.1.2 物理访问控制 .. 6
6.1.1.3 防盗窃和防破坏 6
6.1.1.4 防雷击 7
6.1.1.5 防火 .. 7
6.1.1.6 防水和防潮 .... 7
6.1.1.7 防静电 7
6.1.1.8 温湿度控制 .... 7
6.1.1.9 电力供应 ...... 7
6.1.1.10 电磁防护 ..... 7
6.1.2网络和通信安全 ... 7
6.1.2.1 网络架构 ...... 7
6.1.2.2 通信传输 ...... 7
6.1.2.3 边界防护 ...... 7
6.1.2.4 访问控制 ...... 7
GB/T 22239.1– XXXX
IV
6.1.2.5 入侵防范 ...... 8
6.1.2.6 安全审计 ...... 8
6.1.3设备和计算安全 ... 8
6.1.3.1 身份鉴别 ...... 8
6.1.3.2 访问控制 ...... 8
6.1.3.3 安全审计 ...... 8
6.1.3.4 入侵防范 ...... 8
6.1.3.5 恶意代码防范 .. 9
6.1.3.6 资源控制 ...... 9
6.1.4应用和数据安全 ... 9
6.1.4.1 身份鉴别 ...... 9
6.1.4.2 访问控制 ...... 9
6.1.4.3 安全审计 ...... 9
6.1.4.4 软件容错 ...... 9
6.1.4.5 资源控制 ...... 9
6.1.4.6 数据完整性 .... 9
6.1.4.7 数据备份恢复 .. 9
6.1.4.8 剩余信息保护 . 10
6.1.4.9 个人信息保护 . 10
6.2 管理要求 . 10
6.2.1安全策略和管理制度 ...... 10
6.2.1.1 管理制度 ..... 10
6.2.1.2 制定和发布 ... 10
6.2.1.3 评审和修订 ... 10
6.2.2安全管理机构和人员 ...... 10
6.2.2.1 岗位设置 ..... 10
6.2.2.2 人员配备 ..... 10
6.2.2.3 授权和审批 ... 10
6.2.2.4 沟通和合作 ... 10
6.2.2.5 审核和检查 ... 11
6.2.2.6 人员录用 ..... 11
6.2.2.7 人员离岗 ..... 11
6.2.2.8 安全意识教育和培训 ... 11
6.2.2.9 外部人员访问管理 ..... 11
6.2.3安全建设管理 .... 11
6.2.3.1 定级和备案 ... 11
6.2.3.2 安全方案设计 . 11
6.2.3.3 产品采购和使用 ....... 11
6.2.3.4 自行软件开发 . 11
6.2.3.5 外包软件开发 . 12
6.2.3.6 工程实施 ..... 12
6.2.3.7 测试验收 ..... 12
6.2.3.8 系统交付 ..... 12
6.2.3.9 等级测评 ..... 12
GB/T 22239.1– XXXX
V
6.2.3.10 服务供应商选择 ...... 12
6.2.4安全运维管理 .... 12
6.2.4.1 环境管理 ..... 12
6.2.4.2 资产管理 ..... 12
6.2.4.3 介质管理 ..... 12
6.2.4.4 设备维护管理 . 13
6.2.4.5 漏洞和风险管理 ....... 13
6.2.4.6 网络和系统安全管理 ... 13
6.2.4.7 恶意代码防范管理 ..... 13
6.2.4.8 配置管理 ..... 13
6.2.4.9 密码管理 ..... 13
6.2.4.10 变更管理 .... 13
6.2.4.11 备份与恢复管理 ...... 13
6.2.4.12 安全事件处置 14
6.2.4.13 应急预案管理 14
6.2.4.14 外包运维管理 14
7第三级安全要求 ...... 14
7.1 技术要求 . 14
7.1.1物理和环境安全 .. 14
7.1.1.1 物理位置选择 . 14
7.1.1.2 物理访问控制 . 14
7.1.1.3 防盗窃和防破坏 ....... 14
7.1.1.4 防雷击 ....... 14
7.1.1.5 防火 . 15
7.1.1.6 防水和防潮 ... 15
7.1.1.7 防静电 ....... 15
7.1.1.8 温湿度控制 ... 15
7.1.1.9 电力供应 ..... 15
7.1.1.10 电磁防护 .... 15
7.1.2网络和通信安全 .. 15
7.1.2.1 网络架构 ..... 15
7.1.2.2 通信传输 ..... 15
7.1.2.3 边界防护 ..... 16
7.1.2.4 访问控制 ..... 16
7.1.2.5 入侵防范 ..... 16
7.1.2.6 恶意代码防范 . 16
7.1.2.7 安全审计 ..... 16
7.1.2.8 集中管控 ..... 16
7.1.3设备和计算安全 .. 17
7.1.3.1 身份鉴别 ..... 17
7.1.3.2 访问控制 ..... 17
7.1.3.3 安全审计 ..... 17
7.1.3.4 入侵防范 ..... 17
7.1.3.5 恶意代码防范 . 17
GB/T 22239.1– XXXX
VI
7.1.3.6 资源控制 ..... 18
7.1.4应用和数据安全 .. 18
7.1.4.1 身份鉴别 ..... 18
7.1.4.2 访问控制 ..... 18
7.1.4.3 安全审计 ..... 18
7.1.4.4 软件容错 ..... 18
7.1.4.5 资源控制 ..... 19
7.1.4.6 数据完整性 ... 19
7.1.4.7 数据保密性 ... 19
7.1.4.8 数据备份恢复 . 19
7.1.4.9 剩余信息保护 . 19
7.1.4.10 个人信息保护 19
7.2 管理要求 . 19
7.2.1安全策略和管理制度 ...... 19
7.2.1.1 安全策略 ..... 19
7.2.1.2 管理制度 ..... 19
7.2.1.3 制定和发布 ... 20
7.2.1.4 评审和修订 ... 20
7.2.2安全管理机构和人员 ...... 20
7.2.2.1 岗位设置 ..... 20
7.2.2.2 人员配备 ..... 20
7.2.2.3 授权和审批 ... 20
7.2.2.4 沟通和合作 ... 20
7.2.2.5 审核和检查 ... 20
7.2.2.6 人员录用 ..... 21
7.2.2.7 人员离岗 ..... 21
7.2.2.8 安全意识教育和培训 ... 21
7.2.2.9 外部人员访问管理 ..... 21
7.2.3安全建设管理 .... 21
7.2.3.1 定级和备案 ... 21
7.2.3.2 安全方案设计 . 21
7.2.3.3 产品采购和使用 ....... 21
7.2.3.4 自行软件开发 . 22
7.2.3.5 外包软件开发 . 22
7.2.3.6 工程实施 ..... 22
7.2.3.7 测试验收 ..... 22
7.2.3.8 系统交付 ..... 22
7.2.3.9 等级测评 ..... 22
7.2.3.10 服务供应商选择 ...... 22
7.2.4安全运维管理 .... 23
7.2.4.1 环境管理 ..... 23
7.2.4.2 资产管理 ..... 23
7.2.4.3 介质管理 ..... 23
7.2.4.4 设备维护管理 . 23
GB/T 22239.1– XXXX
VII
7.2.4.5 漏洞和风险管理 ....... 23
7.2.4.6 网络和系统安全管理 ... 23
7.2.4.7 恶意代码防范管理 ..... 24
7.2.4.8 配置管理 ..... 24
7.2.4.9 密码管理 ..... 24
7.2.4.10 变更管理 .... 24
7.2.4.11 备份与恢复管理 ...... 24
7.2.4.12 安全事件处置 25
7.2.4.13 应急预案管理 25
7.2.4.14 外包运维管理 25
8第四级安全要求 ...... 25
8.1 技术要求 . 25
8.1.1物理和环境安全 .. 25
8.1.1.1 物理位置选择 . 25
8.1.1.2 物理访问控制 . 25
8.1.1.3 防盗窃和防破坏 ....... 26
8.1.1.4 防雷击 ....... 26
8.1.1.5 防火 . 26
8.1.1.6 防水和防潮 ... 26
8.1.1.7 防静电 ....... 26
8.1.1.8 温湿度控制 ... 26
8.1.1.9 电力供应 ..... 26
8.1.1.10 电磁防护 .... 26
8.1.2网络和通信安全 .. 26
8.1.2.1 网络架构 ..... 26
8.1.2.2 通信传输 ..... 27
8.1.2.3 边界防护 ..... 27
8.1.2.4 访问控制 ..... 27
8.1.2.5 入侵防范 ..... 27
8.1.2.6 恶意代码防范 . 27
8.1.2.7 安全审计 ..... 28
8.1.2.8 集中管控 ..... 28
8.1.3设备和计算安全 .. 28
8.1.3.1 身份鉴别 ..... 28
8.1.3.2 访问控制 ..... 28
8.1.3.3 安全审计 ..... 28
8.1.3.4 入侵防范 ..... 29
8.1.3.5 恶意代码防范 . 29
8.1.3.6 资源控制 ..... 29
8.1.4应用和数据安全 .. 29
8.1.4.1 身份鉴别 ..... 29
8.1.4.2 访问控制 ..... 29
8.1.4.3 安全审计 ..... 30
8.1.4.4 软件容错 ..... 30
GB/T 22239.1– XXXX
VIII
8.1.4.5 资源控制 ..... 30
8.1.4.6 数据完整性 ... 30
8.1.4.7 数据保密性 ... 30
8.1.4.8 数据备份恢复 . 30
8.1.4.9 剩余信息保护 . 31
8.1.4.10 个人信息保护 31
8.2 管理要求 . 31
8.2.1安全策略和管理制度 ...... 31
8.2.1.1 安全策略 ..... 31
8.2.1.2 管理制度 ..... 31
8.2.1.3 制定和发布 ... 31
8.2.1.4 评审和修订 ... 31
8.2.2安全管理机构和人员 ...... 31
8.2.2.1 岗位设置 ..... 31
8.2.2.2 人员配备 ..... 31
8.2.2.3 授权和审批 ... 32
8.2.2.4 沟通和合作 ... 32
8.2.2.5 审核和检查 ... 32
8.2.2.6 人员录用 ..... 32
8.2.2.7 人员离岗 ..... 32
8.2.2.8 安全意识教育和培训 ... 32
8.2.2.9 外部人员访问管理 ..... 32
8.2.3安全建设管理 .... 33
8.2.3.1 定级和备案 ... 33
8.2.3.2 安全方案设计 . 33
8.2.3.3 产品采购和使用 ....... 33
8.2.3.4 自行软件开发 . 33
8.2.3.5 外包软件开发 . 33
8.2.3.6 工程实施 ..... 34
8.2.3.7 测试验收 ..... 34
8.2.3.8 系统交付 ..... 34
8.2.3.9 等级测评 ..... 34
8.2.3.10 服务供应商选择 ...... 34
8.2.4安全运维管理 .... 34
8.2.4.1 环境管理 ..... 34
8.2.4.2 资产管理 ..... 34
8.2.4.3 介质管理 ..... 35
8.2.4.4 设备维护管理 . 35
8.2.4.5 漏洞和风险管理 ....... 35
8.2.4.6 网络和系统安全管理 ... 35
8.2.4.7 恶意代码防范管理 ..... 35
8.2.4.8 配置管理 ..... 36
8.2.4.9 密码管理 ..... 36
8.2.4.10 变更管理 .... 36
GB/T 22239.1– XXXX
IX
8.2.4.11 备份与恢复管理 ...... 36
8.2.4.12 安全事件处置 36
8.2.4.13 应急预案管理 36
8.2.4.14 外包运维管理 37
9第五级安全要求 ...... 37
附录A 38
安全要求的选择和使用 . 38
附录B 42
关于保护对象整体安全保护能力的要求 ... 42
附录C 44
等级保护安全框架和关键技术 ... 44
参考文献 参考文献 ..... 46
..............................
引言 . XI
第1部分安全通用要求 .. 1
1 范围 1
2规范性引用文件 ....... 1
3术语和定义 ... 1
3.1 安全保护能力 security protection ability .. 1
4网络安全等级保护概述 . 1
4.1 不同等级的安全保护对象 .... 1
4.2 不同等级的安全保护能力 .... 2
4.3 技术要求和管理要求 2
5第一级安全要求 ....... 2
5.1 技术要求 .. 2
5.1.1物理和环境安全 ... 3
5.1.1.1 物理访问控制 .. 3
5.1.1.2 防盗窃和防破坏 3
5.1.1.3 防雷击 3
5.1.1.4 防火 .. 3
5.1.1.5 防水和防潮 .... 3
5.1.1.6 温湿度控制 .... 3
5.1.1.7 电力供应 ...... 3
5.1.2网络和通信安全 ... 3
5.1.2.1 网络架构 ...... 3
5.1.2.2 通信传输 ...... 3
5.1.2.3 边界防护 ...... 3
5.1.2.4 访问控制 ...... 3
5.1.3设备和计算安全 ... 3
5.1.3.1 身份鉴别 ...... 3
5.1.3.2 访问控制 ...... 3
5.1.3.3 入侵防范 ...... 4
5.1.3.4 恶意代码防范 .. 4
5.1.4应用和数据安全 ... 4
5.1.4.1 身份鉴别 ...... 4
5.1.4.2 访问控制 ...... 4
5.1.4.3 软件容错 ...... 4
5.1.4.4 数据完整性 .... 4
5.1.4.5 数据备份恢复 .. 4
5.2 管理要求 .. 4
5.2.1安全策略和管理制度 ....... 4
GB/T 22239.1– XXXX
III
5.2.1.1 管理制度 ...... 4
5.2.2安全管理机构和人员 ....... 4
5.2.2.1 岗位设置 ...... 4
5.2.2.2 人员配备 ...... 4
5.2.2.3 授权和审批 .... 4
5.2.2.4 人员录用 ...... 5
5.2.2.5 人员离岗 ...... 5
5.2.2.6 安全意识教育和培训 .... 5
5.2.2.7 外部人员访问管理 ...... 5
5.2.3安全建设管理 ..... 5
5.2.3.1 定级 .. 5
5.2.3.2 安全方案设计 .. 5
5.2.3.3 产品采购和使用 5
5.2.3.4 工程实施 ...... 5
5.2.3.5 测试验收 ...... 5
5.2.3.6 系统交付 ...... 5
5.2.3.7 服务供应商选择 5
5.2.4安全运维管理 ..... 5
5.2.4.1 环境管理 ...... 5
5.2.4.2 介质管理 ...... 5
5.2.4.3 设备维护管理 .. 6
5.2.4.4 漏洞和风险管理 6
5.2.4.5 网络和系统安全管理 .... 6
5.2.4.6 恶意代码防范管理 ...... 6
5.2.4.7 备份与恢复管理 6
5.2.4.8 安全事件处置 .. 6
6第二级安全要求 ....... 6
6.1 技术要求 .. 6
6.1.1物理和环境安全 ... 6
6.1.1.1 物理位置选择 .. 6
6.1.1.2 物理访问控制 .. 6
6.1.1.3 防盗窃和防破坏 6
6.1.1.4 防雷击 7
6.1.1.5 防火 .. 7
6.1.1.6 防水和防潮 .... 7
6.1.1.7 防静电 7
6.1.1.8 温湿度控制 .... 7
6.1.1.9 电力供应 ...... 7
6.1.1.10 电磁防护 ..... 7
6.1.2网络和通信安全 ... 7
6.1.2.1 网络架构 ...... 7
6.1.2.2 通信传输 ...... 7
6.1.2.3 边界防护 ...... 7
6.1.2.4 访问控制 ...... 7
GB/T 22239.1– XXXX
IV
6.1.2.5 入侵防范 ...... 8
6.1.2.6 安全审计 ...... 8
6.1.3设备和计算安全 ... 8
6.1.3.1 身份鉴别 ...... 8
6.1.3.2 访问控制 ...... 8
6.1.3.3 安全审计 ...... 8
6.1.3.4 入侵防范 ...... 8
6.1.3.5 恶意代码防范 .. 9
6.1.3.6 资源控制 ...... 9
6.1.4应用和数据安全 ... 9
6.1.4.1 身份鉴别 ...... 9
6.1.4.2 访问控制 ...... 9
6.1.4.3 安全审计 ...... 9
6.1.4.4 软件容错 ...... 9
6.1.4.5 资源控制 ...... 9
6.1.4.6 数据完整性 .... 9
6.1.4.7 数据备份恢复 .. 9
6.1.4.8 剩余信息保护 . 10
6.1.4.9 个人信息保护 . 10
6.2 管理要求 . 10
6.2.1安全策略和管理制度 ...... 10
6.2.1.1 管理制度 ..... 10
6.2.1.2 制定和发布 ... 10
6.2.1.3 评审和修订 ... 10
6.2.2安全管理机构和人员 ...... 10
6.2.2.1 岗位设置 ..... 10
6.2.2.2 人员配备 ..... 10
6.2.2.3 授权和审批 ... 10
6.2.2.4 沟通和合作 ... 10
6.2.2.5 审核和检查 ... 11
6.2.2.6 人员录用 ..... 11
6.2.2.7 人员离岗 ..... 11
6.2.2.8 安全意识教育和培训 ... 11
6.2.2.9 外部人员访问管理 ..... 11
6.2.3安全建设管理 .... 11
6.2.3.1 定级和备案 ... 11
6.2.3.2 安全方案设计 . 11
6.2.3.3 产品采购和使用 ....... 11
6.2.3.4 自行软件开发 . 11
6.2.3.5 外包软件开发 . 12
6.2.3.6 工程实施 ..... 12
6.2.3.7 测试验收 ..... 12
6.2.3.8 系统交付 ..... 12
6.2.3.9 等级测评 ..... 12
GB/T 22239.1– XXXX
V
6.2.3.10 服务供应商选择 ...... 12
6.2.4安全运维管理 .... 12
6.2.4.1 环境管理 ..... 12
6.2.4.2 资产管理 ..... 12
6.2.4.3 介质管理 ..... 12
6.2.4.4 设备维护管理 . 13
6.2.4.5 漏洞和风险管理 ....... 13
6.2.4.6 网络和系统安全管理 ... 13
6.2.4.7 恶意代码防范管理 ..... 13
6.2.4.8 配置管理 ..... 13
6.2.4.9 密码管理 ..... 13
6.2.4.10 变更管理 .... 13
6.2.4.11 备份与恢复管理 ...... 13
6.2.4.12 安全事件处置 14
6.2.4.13 应急预案管理 14
6.2.4.14 外包运维管理 14
7第三级安全要求 ...... 14
7.1 技术要求 . 14
7.1.1物理和环境安全 .. 14
7.1.1.1 物理位置选择 . 14
7.1.1.2 物理访问控制 . 14
7.1.1.3 防盗窃和防破坏 ....... 14
7.1.1.4 防雷击 ....... 14
7.1.1.5 防火 . 15
7.1.1.6 防水和防潮 ... 15
7.1.1.7 防静电 ....... 15
7.1.1.8 温湿度控制 ... 15
7.1.1.9 电力供应 ..... 15
7.1.1.10 电磁防护 .... 15
7.1.2网络和通信安全 .. 15
7.1.2.1 网络架构 ..... 15
7.1.2.2 通信传输 ..... 15
7.1.2.3 边界防护 ..... 16
7.1.2.4 访问控制 ..... 16
7.1.2.5 入侵防范 ..... 16
7.1.2.6 恶意代码防范 . 16
7.1.2.7 安全审计 ..... 16
7.1.2.8 集中管控 ..... 16
7.1.3设备和计算安全 .. 17
7.1.3.1 身份鉴别 ..... 17
7.1.3.2 访问控制 ..... 17
7.1.3.3 安全审计 ..... 17
7.1.3.4 入侵防范 ..... 17
7.1.3.5 恶意代码防范 . 17
GB/T 22239.1– XXXX
VI
7.1.3.6 资源控制 ..... 18
7.1.4应用和数据安全 .. 18
7.1.4.1 身份鉴别 ..... 18
7.1.4.2 访问控制 ..... 18
7.1.4.3 安全审计 ..... 18
7.1.4.4 软件容错 ..... 18
7.1.4.5 资源控制 ..... 19
7.1.4.6 数据完整性 ... 19
7.1.4.7 数据保密性 ... 19
7.1.4.8 数据备份恢复 . 19
7.1.4.9 剩余信息保护 . 19
7.1.4.10 个人信息保护 19
7.2 管理要求 . 19
7.2.1安全策略和管理制度 ...... 19
7.2.1.1 安全策略 ..... 19
7.2.1.2 管理制度 ..... 19
7.2.1.3 制定和发布 ... 20
7.2.1.4 评审和修订 ... 20
7.2.2安全管理机构和人员 ...... 20
7.2.2.1 岗位设置 ..... 20
7.2.2.2 人员配备 ..... 20
7.2.2.3 授权和审批 ... 20
7.2.2.4 沟通和合作 ... 20
7.2.2.5 审核和检查 ... 20
7.2.2.6 人员录用 ..... 21
7.2.2.7 人员离岗 ..... 21
7.2.2.8 安全意识教育和培训 ... 21
7.2.2.9 外部人员访问管理 ..... 21
7.2.3安全建设管理 .... 21
7.2.3.1 定级和备案 ... 21
7.2.3.2 安全方案设计 . 21
7.2.3.3 产品采购和使用 ....... 21
7.2.3.4 自行软件开发 . 22
7.2.3.5 外包软件开发 . 22
7.2.3.6 工程实施 ..... 22
7.2.3.7 测试验收 ..... 22
7.2.3.8 系统交付 ..... 22
7.2.3.9 等级测评 ..... 22
7.2.3.10 服务供应商选择 ...... 22
7.2.4安全运维管理 .... 23
7.2.4.1 环境管理 ..... 23
7.2.4.2 资产管理 ..... 23
7.2.4.3 介质管理 ..... 23
7.2.4.4 设备维护管理 . 23
GB/T 22239.1– XXXX
VII
7.2.4.5 漏洞和风险管理 ....... 23
7.2.4.6 网络和系统安全管理 ... 23
7.2.4.7 恶意代码防范管理 ..... 24
7.2.4.8 配置管理 ..... 24
7.2.4.9 密码管理 ..... 24
7.2.4.10 变更管理 .... 24
7.2.4.11 备份与恢复管理 ...... 24
7.2.4.12 安全事件处置 25
7.2.4.13 应急预案管理 25
7.2.4.14 外包运维管理 25
8第四级安全要求 ...... 25
8.1 技术要求 . 25
8.1.1物理和环境安全 .. 25
8.1.1.1 物理位置选择 . 25
8.1.1.2 物理访问控制 . 25
8.1.1.3 防盗窃和防破坏 ....... 26
8.1.1.4 防雷击 ....... 26
8.1.1.5 防火 . 26
8.1.1.6 防水和防潮 ... 26
8.1.1.7 防静电 ....... 26
8.1.1.8 温湿度控制 ... 26
8.1.1.9 电力供应 ..... 26
8.1.1.10 电磁防护 .... 26
8.1.2网络和通信安全 .. 26
8.1.2.1 网络架构 ..... 26
8.1.2.2 通信传输 ..... 27
8.1.2.3 边界防护 ..... 27
8.1.2.4 访问控制 ..... 27
8.1.2.5 入侵防范 ..... 27
8.1.2.6 恶意代码防范 . 27
8.1.2.7 安全审计 ..... 28
8.1.2.8 集中管控 ..... 28
8.1.3设备和计算安全 .. 28
8.1.3.1 身份鉴别 ..... 28
8.1.3.2 访问控制 ..... 28
8.1.3.3 安全审计 ..... 28
8.1.3.4 入侵防范 ..... 29
8.1.3.5 恶意代码防范 . 29
8.1.3.6 资源控制 ..... 29
8.1.4应用和数据安全 .. 29
8.1.4.1 身份鉴别 ..... 29
8.1.4.2 访问控制 ..... 29
8.1.4.3 安全审计 ..... 30
8.1.4.4 软件容错 ..... 30
GB/T 22239.1– XXXX
VIII
8.1.4.5 资源控制 ..... 30
8.1.4.6 数据完整性 ... 30
8.1.4.7 数据保密性 ... 30
8.1.4.8 数据备份恢复 . 30
8.1.4.9 剩余信息保护 . 31
8.1.4.10 个人信息保护 31
8.2 管理要求 . 31
8.2.1安全策略和管理制度 ...... 31
8.2.1.1 安全策略 ..... 31
8.2.1.2 管理制度 ..... 31
8.2.1.3 制定和发布 ... 31
8.2.1.4 评审和修订 ... 31
8.2.2安全管理机构和人员 ...... 31
8.2.2.1 岗位设置 ..... 31
8.2.2.2 人员配备 ..... 31
8.2.2.3 授权和审批 ... 32
8.2.2.4 沟通和合作 ... 32
8.2.2.5 审核和检查 ... 32
8.2.2.6 人员录用 ..... 32
8.2.2.7 人员离岗 ..... 32
8.2.2.8 安全意识教育和培训 ... 32
8.2.2.9 外部人员访问管理 ..... 32
8.2.3安全建设管理 .... 33
8.2.3.1 定级和备案 ... 33
8.2.3.2 安全方案设计 . 33
8.2.3.3 产品采购和使用 ....... 33
8.2.3.4 自行软件开发 . 33
8.2.3.5 外包软件开发 . 33
8.2.3.6 工程实施 ..... 34
8.2.3.7 测试验收 ..... 34
8.2.3.8 系统交付 ..... 34
8.2.3.9 等级测评 ..... 34
8.2.3.10 服务供应商选择 ...... 34
8.2.4安全运维管理 .... 34
8.2.4.1 环境管理 ..... 34
8.2.4.2 资产管理 ..... 34
8.2.4.3 介质管理 ..... 35
8.2.4.4 设备维护管理 . 35
8.2.4.5 漏洞和风险管理 ....... 35
8.2.4.6 网络和系统安全管理 ... 35
8.2.4.7 恶意代码防范管理 ..... 35
8.2.4.8 配置管理 ..... 36
8.2.4.9 密码管理 ..... 36
8.2.4.10 变更管理 .... 36
GB/T 22239.1– XXXX
IX
8.2.4.11 备份与恢复管理 ...... 36
8.2.4.12 安全事件处置 36
8.2.4.13 应急预案管理 36
8.2.4.14 外包运维管理 37
9第五级安全要求 ...... 37
附录A 38
安全要求的选择和使用 . 38
附录B 42
关于保护对象整体安全保护能力的要求 ... 42
附录C 44
等级保护安全框架和关键技术 ... 44
参考文献 参考文献 ..... 46
..............................