信息安全技術網絡安全等級保護基本要求概述(PDF 58頁)
信息安全技術網絡安全等級保護基本要求概述(PDF 58頁)內容簡介
前言 .... . X
引言 . XI
第1部分安全通用要求 .. 1
1 範圍 1
2規範性引用文件 ....... 1
3術語和定義 ... 1
3.1 安全保護能力 security protection ability .. 1
4網絡安全等級保護概述 . 1
4.1 不同等級的安全保護對象 .... 1
4.2 不同等級的安全保護能力 .... 2
4.3 技術要求和管理要求 2
5第一級安全要求 ....... 2
5.1 技術要求 .. 2
5.1.1物理和環境安全 ... 3
5.1.1.1 物理訪問控製 .. 3
5.1.1.2 防盜竊和防破壞 3
5.1.1.3 防雷擊 3
5.1.1.4 防火 .. 3
5.1.1.5 防水和防潮 .... 3
5.1.1.6 溫濕度控製 .... 3
5.1.1.7 電力供應 ...... 3
5.1.2網絡和通信安全 ... 3
5.1.2.1 網絡架構 ...... 3
5.1.2.2 通信傳輸 ...... 3
5.1.2.3 邊界防護 ...... 3
5.1.2.4 訪問控製 ...... 3
5.1.3設備和計算安全 ... 3
5.1.3.1 身份鑒別 ...... 3
5.1.3.2 訪問控製 ...... 3
5.1.3.3 入侵防範 ...... 4
5.1.3.4 惡意代碼防範 .. 4
5.1.4應用和數據安全 ... 4
5.1.4.1 身份鑒別 ...... 4
5.1.4.2 訪問控製 ...... 4
5.1.4.3 軟件容錯 ...... 4
5.1.4.4 數據完整性 .... 4
5.1.4.5 數據備份恢複 .. 4
5.2 管理要求 .. 4
5.2.1安全策略和管理製度 ....... 4
GB/T 22239.1– XXXX
III
5.2.1.1 管理製度 ...... 4
5.2.2安全管理機構和人員 ....... 4
5.2.2.1 崗位設置 ...... 4
5.2.2.2 人員配備 ...... 4
5.2.2.3 授權和審批 .... 4
5.2.2.4 人員錄用 ...... 5
5.2.2.5 人員離崗 ...... 5
5.2.2.6 安全意識教育和培訓 .... 5
5.2.2.7 外部人員訪問管理 ...... 5
5.2.3安全建設管理 ..... 5
5.2.3.1 定級 .. 5
5.2.3.2 安全方案設計 .. 5
5.2.3.3 產品采購和使用 5
5.2.3.4 工程實施 ...... 5
5.2.3.5 測試驗收 ...... 5
5.2.3.6 係統交付 ...... 5
5.2.3.7 服務供應商選擇 5
5.2.4安全運維管理 ..... 5
5.2.4.1 環境管理 ...... 5
5.2.4.2 介質管理 ...... 5
5.2.4.3 設備維護管理 .. 6
5.2.4.4 漏洞和風險管理 6
5.2.4.5 網絡和係統安全管理 .... 6
5.2.4.6 惡意代碼防範管理 ...... 6
5.2.4.7 備份與恢複管理 6
5.2.4.8 安全事件處置 .. 6
6第二級安全要求 ....... 6
6.1 技術要求 .. 6
6.1.1物理和環境安全 ... 6
6.1.1.1 物理位置選擇 .. 6
6.1.1.2 物理訪問控製 .. 6
6.1.1.3 防盜竊和防破壞 6
6.1.1.4 防雷擊 7
6.1.1.5 防火 .. 7
6.1.1.6 防水和防潮 .... 7
6.1.1.7 防靜電 7
6.1.1.8 溫濕度控製 .... 7
6.1.1.9 電力供應 ...... 7
6.1.1.10 電磁防護 ..... 7
6.1.2網絡和通信安全 ... 7
6.1.2.1 網絡架構 ...... 7
6.1.2.2 通信傳輸 ...... 7
6.1.2.3 邊界防護 ...... 7
6.1.2.4 訪問控製 ...... 7
GB/T 22239.1– XXXX
IV
6.1.2.5 入侵防範 ...... 8
6.1.2.6 安全審計 ...... 8
6.1.3設備和計算安全 ... 8
6.1.3.1 身份鑒別 ...... 8
6.1.3.2 訪問控製 ...... 8
6.1.3.3 安全審計 ...... 8
6.1.3.4 入侵防範 ...... 8
6.1.3.5 惡意代碼防範 .. 9
6.1.3.6 資源控製 ...... 9
6.1.4應用和數據安全 ... 9
6.1.4.1 身份鑒別 ...... 9
6.1.4.2 訪問控製 ...... 9
6.1.4.3 安全審計 ...... 9
6.1.4.4 軟件容錯 ...... 9
6.1.4.5 資源控製 ...... 9
6.1.4.6 數據完整性 .... 9
6.1.4.7 數據備份恢複 .. 9
6.1.4.8 剩餘信息保護 . 10
6.1.4.9 個人信息保護 . 10
6.2 管理要求 . 10
6.2.1安全策略和管理製度 ...... 10
6.2.1.1 管理製度 ..... 10
6.2.1.2 製定和發布 ... 10
6.2.1.3 評審和修訂 ... 10
6.2.2安全管理機構和人員 ...... 10
6.2.2.1 崗位設置 ..... 10
6.2.2.2 人員配備 ..... 10
6.2.2.3 授權和審批 ... 10
6.2.2.4 溝通和合作 ... 10
6.2.2.5 審核和檢查 ... 11
6.2.2.6 人員錄用 ..... 11
6.2.2.7 人員離崗 ..... 11
6.2.2.8 安全意識教育和培訓 ... 11
6.2.2.9 外部人員訪問管理 ..... 11
6.2.3安全建設管理 .... 11
6.2.3.1 定級和備案 ... 11
6.2.3.2 安全方案設計 . 11
6.2.3.3 產品采購和使用 ....... 11
6.2.3.4 自行軟件開發 . 11
6.2.3.5 外包軟件開發 . 12
6.2.3.6 工程實施 ..... 12
6.2.3.7 測試驗收 ..... 12
6.2.3.8 係統交付 ..... 12
6.2.3.9 等級測評 ..... 12
GB/T 22239.1– XXXX
V
6.2.3.10 服務供應商選擇 ...... 12
6.2.4安全運維管理 .... 12
6.2.4.1 環境管理 ..... 12
6.2.4.2 資產管理 ..... 12
6.2.4.3 介質管理 ..... 12
6.2.4.4 設備維護管理 . 13
6.2.4.5 漏洞和風險管理 ....... 13
6.2.4.6 網絡和係統安全管理 ... 13
6.2.4.7 惡意代碼防範管理 ..... 13
6.2.4.8 配置管理 ..... 13
6.2.4.9 密碼管理 ..... 13
6.2.4.10 變更管理 .... 13
6.2.4.11 備份與恢複管理 ...... 13
6.2.4.12 安全事件處置 14
6.2.4.13 應急預案管理 14
6.2.4.14 外包運維管理 14
7第三級安全要求 ...... 14
7.1 技術要求 . 14
7.1.1物理和環境安全 .. 14
7.1.1.1 物理位置選擇 . 14
7.1.1.2 物理訪問控製 . 14
7.1.1.3 防盜竊和防破壞 ....... 14
7.1.1.4 防雷擊 ....... 14
7.1.1.5 防火 . 15
7.1.1.6 防水和防潮 ... 15
7.1.1.7 防靜電 ....... 15
7.1.1.8 溫濕度控製 ... 15
7.1.1.9 電力供應 ..... 15
7.1.1.10 電磁防護 .... 15
7.1.2網絡和通信安全 .. 15
7.1.2.1 網絡架構 ..... 15
7.1.2.2 通信傳輸 ..... 15
7.1.2.3 邊界防護 ..... 16
7.1.2.4 訪問控製 ..... 16
7.1.2.5 入侵防範 ..... 16
7.1.2.6 惡意代碼防範 . 16
7.1.2.7 安全審計 ..... 16
7.1.2.8 集中管控 ..... 16
7.1.3設備和計算安全 .. 17
7.1.3.1 身份鑒別 ..... 17
7.1.3.2 訪問控製 ..... 17
7.1.3.3 安全審計 ..... 17
7.1.3.4 入侵防範 ..... 17
7.1.3.5 惡意代碼防範 . 17
GB/T 22239.1– XXXX
VI
7.1.3.6 資源控製 ..... 18
7.1.4應用和數據安全 .. 18
7.1.4.1 身份鑒別 ..... 18
7.1.4.2 訪問控製 ..... 18
7.1.4.3 安全審計 ..... 18
7.1.4.4 軟件容錯 ..... 18
7.1.4.5 資源控製 ..... 19
7.1.4.6 數據完整性 ... 19
7.1.4.7 數據保密性 ... 19
7.1.4.8 數據備份恢複 . 19
7.1.4.9 剩餘信息保護 . 19
7.1.4.10 個人信息保護 19
7.2 管理要求 . 19
7.2.1安全策略和管理製度 ...... 19
7.2.1.1 安全策略 ..... 19
7.2.1.2 管理製度 ..... 19
7.2.1.3 製定和發布 ... 20
7.2.1.4 評審和修訂 ... 20
7.2.2安全管理機構和人員 ...... 20
7.2.2.1 崗位設置 ..... 20
7.2.2.2 人員配備 ..... 20
7.2.2.3 授權和審批 ... 20
7.2.2.4 溝通和合作 ... 20
7.2.2.5 審核和檢查 ... 20
7.2.2.6 人員錄用 ..... 21
7.2.2.7 人員離崗 ..... 21
7.2.2.8 安全意識教育和培訓 ... 21
7.2.2.9 外部人員訪問管理 ..... 21
7.2.3安全建設管理 .... 21
7.2.3.1 定級和備案 ... 21
7.2.3.2 安全方案設計 . 21
7.2.3.3 產品采購和使用 ....... 21
7.2.3.4 自行軟件開發 . 22
7.2.3.5 外包軟件開發 . 22
7.2.3.6 工程實施 ..... 22
7.2.3.7 測試驗收 ..... 22
7.2.3.8 係統交付 ..... 22
7.2.3.9 等級測評 ..... 22
7.2.3.10 服務供應商選擇 ...... 22
7.2.4安全運維管理 .... 23
7.2.4.1 環境管理 ..... 23
7.2.4.2 資產管理 ..... 23
7.2.4.3 介質管理 ..... 23
7.2.4.4 設備維護管理 . 23
GB/T 22239.1– XXXX
VII
7.2.4.5 漏洞和風險管理 ....... 23
7.2.4.6 網絡和係統安全管理 ... 23
7.2.4.7 惡意代碼防範管理 ..... 24
7.2.4.8 配置管理 ..... 24
7.2.4.9 密碼管理 ..... 24
7.2.4.10 變更管理 .... 24
7.2.4.11 備份與恢複管理 ...... 24
7.2.4.12 安全事件處置 25
7.2.4.13 應急預案管理 25
7.2.4.14 外包運維管理 25
8第四級安全要求 ...... 25
8.1 技術要求 . 25
8.1.1物理和環境安全 .. 25
8.1.1.1 物理位置選擇 . 25
8.1.1.2 物理訪問控製 . 25
8.1.1.3 防盜竊和防破壞 ....... 26
8.1.1.4 防雷擊 ....... 26
8.1.1.5 防火 . 26
8.1.1.6 防水和防潮 ... 26
8.1.1.7 防靜電 ....... 26
8.1.1.8 溫濕度控製 ... 26
8.1.1.9 電力供應 ..... 26
8.1.1.10 電磁防護 .... 26
8.1.2網絡和通信安全 .. 26
8.1.2.1 網絡架構 ..... 26
8.1.2.2 通信傳輸 ..... 27
8.1.2.3 邊界防護 ..... 27
8.1.2.4 訪問控製 ..... 27
8.1.2.5 入侵防範 ..... 27
8.1.2.6 惡意代碼防範 . 27
8.1.2.7 安全審計 ..... 28
8.1.2.8 集中管控 ..... 28
8.1.3設備和計算安全 .. 28
8.1.3.1 身份鑒別 ..... 28
8.1.3.2 訪問控製 ..... 28
8.1.3.3 安全審計 ..... 28
8.1.3.4 入侵防範 ..... 29
8.1.3.5 惡意代碼防範 . 29
8.1.3.6 資源控製 ..... 29
8.1.4應用和數據安全 .. 29
8.1.4.1 身份鑒別 ..... 29
8.1.4.2 訪問控製 ..... 29
8.1.4.3 安全審計 ..... 30
8.1.4.4 軟件容錯 ..... 30
GB/T 22239.1– XXXX
VIII
8.1.4.5 資源控製 ..... 30
8.1.4.6 數據完整性 ... 30
8.1.4.7 數據保密性 ... 30
8.1.4.8 數據備份恢複 . 30
8.1.4.9 剩餘信息保護 . 31
8.1.4.10 個人信息保護 31
8.2 管理要求 . 31
8.2.1安全策略和管理製度 ...... 31
8.2.1.1 安全策略 ..... 31
8.2.1.2 管理製度 ..... 31
8.2.1.3 製定和發布 ... 31
8.2.1.4 評審和修訂 ... 31
8.2.2安全管理機構和人員 ...... 31
8.2.2.1 崗位設置 ..... 31
8.2.2.2 人員配備 ..... 31
8.2.2.3 授權和審批 ... 32
8.2.2.4 溝通和合作 ... 32
8.2.2.5 審核和檢查 ... 32
8.2.2.6 人員錄用 ..... 32
8.2.2.7 人員離崗 ..... 32
8.2.2.8 安全意識教育和培訓 ... 32
8.2.2.9 外部人員訪問管理 ..... 32
8.2.3安全建設管理 .... 33
8.2.3.1 定級和備案 ... 33
8.2.3.2 安全方案設計 . 33
8.2.3.3 產品采購和使用 ....... 33
8.2.3.4 自行軟件開發 . 33
8.2.3.5 外包軟件開發 . 33
8.2.3.6 工程實施 ..... 34
8.2.3.7 測試驗收 ..... 34
8.2.3.8 係統交付 ..... 34
8.2.3.9 等級測評 ..... 34
8.2.3.10 服務供應商選擇 ...... 34
8.2.4安全運維管理 .... 34
8.2.4.1 環境管理 ..... 34
8.2.4.2 資產管理 ..... 34
8.2.4.3 介質管理 ..... 35
8.2.4.4 設備維護管理 . 35
8.2.4.5 漏洞和風險管理 ....... 35
8.2.4.6 網絡和係統安全管理 ... 35
8.2.4.7 惡意代碼防範管理 ..... 35
8.2.4.8 配置管理 ..... 36
8.2.4.9 密碼管理 ..... 36
8.2.4.10 變更管理 .... 36
GB/T 22239.1– XXXX
IX
8.2.4.11 備份與恢複管理 ...... 36
8.2.4.12 安全事件處置 36
8.2.4.13 應急預案管理 36
8.2.4.14 外包運維管理 37
9第五級安全要求 ...... 37
附錄A 38
安全要求的選擇和使用 . 38
附錄B 42
關於保護對象整體安全保護能力的要求 ... 42
附錄C 44
等級保護安全框架和關鍵技術 ... 44
參考文獻 參考文獻 ..... 46
..............................
引言 . XI
第1部分安全通用要求 .. 1
1 範圍 1
2規範性引用文件 ....... 1
3術語和定義 ... 1
3.1 安全保護能力 security protection ability .. 1
4網絡安全等級保護概述 . 1
4.1 不同等級的安全保護對象 .... 1
4.2 不同等級的安全保護能力 .... 2
4.3 技術要求和管理要求 2
5第一級安全要求 ....... 2
5.1 技術要求 .. 2
5.1.1物理和環境安全 ... 3
5.1.1.1 物理訪問控製 .. 3
5.1.1.2 防盜竊和防破壞 3
5.1.1.3 防雷擊 3
5.1.1.4 防火 .. 3
5.1.1.5 防水和防潮 .... 3
5.1.1.6 溫濕度控製 .... 3
5.1.1.7 電力供應 ...... 3
5.1.2網絡和通信安全 ... 3
5.1.2.1 網絡架構 ...... 3
5.1.2.2 通信傳輸 ...... 3
5.1.2.3 邊界防護 ...... 3
5.1.2.4 訪問控製 ...... 3
5.1.3設備和計算安全 ... 3
5.1.3.1 身份鑒別 ...... 3
5.1.3.2 訪問控製 ...... 3
5.1.3.3 入侵防範 ...... 4
5.1.3.4 惡意代碼防範 .. 4
5.1.4應用和數據安全 ... 4
5.1.4.1 身份鑒別 ...... 4
5.1.4.2 訪問控製 ...... 4
5.1.4.3 軟件容錯 ...... 4
5.1.4.4 數據完整性 .... 4
5.1.4.5 數據備份恢複 .. 4
5.2 管理要求 .. 4
5.2.1安全策略和管理製度 ....... 4
GB/T 22239.1– XXXX
III
5.2.1.1 管理製度 ...... 4
5.2.2安全管理機構和人員 ....... 4
5.2.2.1 崗位設置 ...... 4
5.2.2.2 人員配備 ...... 4
5.2.2.3 授權和審批 .... 4
5.2.2.4 人員錄用 ...... 5
5.2.2.5 人員離崗 ...... 5
5.2.2.6 安全意識教育和培訓 .... 5
5.2.2.7 外部人員訪問管理 ...... 5
5.2.3安全建設管理 ..... 5
5.2.3.1 定級 .. 5
5.2.3.2 安全方案設計 .. 5
5.2.3.3 產品采購和使用 5
5.2.3.4 工程實施 ...... 5
5.2.3.5 測試驗收 ...... 5
5.2.3.6 係統交付 ...... 5
5.2.3.7 服務供應商選擇 5
5.2.4安全運維管理 ..... 5
5.2.4.1 環境管理 ...... 5
5.2.4.2 介質管理 ...... 5
5.2.4.3 設備維護管理 .. 6
5.2.4.4 漏洞和風險管理 6
5.2.4.5 網絡和係統安全管理 .... 6
5.2.4.6 惡意代碼防範管理 ...... 6
5.2.4.7 備份與恢複管理 6
5.2.4.8 安全事件處置 .. 6
6第二級安全要求 ....... 6
6.1 技術要求 .. 6
6.1.1物理和環境安全 ... 6
6.1.1.1 物理位置選擇 .. 6
6.1.1.2 物理訪問控製 .. 6
6.1.1.3 防盜竊和防破壞 6
6.1.1.4 防雷擊 7
6.1.1.5 防火 .. 7
6.1.1.6 防水和防潮 .... 7
6.1.1.7 防靜電 7
6.1.1.8 溫濕度控製 .... 7
6.1.1.9 電力供應 ...... 7
6.1.1.10 電磁防護 ..... 7
6.1.2網絡和通信安全 ... 7
6.1.2.1 網絡架構 ...... 7
6.1.2.2 通信傳輸 ...... 7
6.1.2.3 邊界防護 ...... 7
6.1.2.4 訪問控製 ...... 7
GB/T 22239.1– XXXX
IV
6.1.2.5 入侵防範 ...... 8
6.1.2.6 安全審計 ...... 8
6.1.3設備和計算安全 ... 8
6.1.3.1 身份鑒別 ...... 8
6.1.3.2 訪問控製 ...... 8
6.1.3.3 安全審計 ...... 8
6.1.3.4 入侵防範 ...... 8
6.1.3.5 惡意代碼防範 .. 9
6.1.3.6 資源控製 ...... 9
6.1.4應用和數據安全 ... 9
6.1.4.1 身份鑒別 ...... 9
6.1.4.2 訪問控製 ...... 9
6.1.4.3 安全審計 ...... 9
6.1.4.4 軟件容錯 ...... 9
6.1.4.5 資源控製 ...... 9
6.1.4.6 數據完整性 .... 9
6.1.4.7 數據備份恢複 .. 9
6.1.4.8 剩餘信息保護 . 10
6.1.4.9 個人信息保護 . 10
6.2 管理要求 . 10
6.2.1安全策略和管理製度 ...... 10
6.2.1.1 管理製度 ..... 10
6.2.1.2 製定和發布 ... 10
6.2.1.3 評審和修訂 ... 10
6.2.2安全管理機構和人員 ...... 10
6.2.2.1 崗位設置 ..... 10
6.2.2.2 人員配備 ..... 10
6.2.2.3 授權和審批 ... 10
6.2.2.4 溝通和合作 ... 10
6.2.2.5 審核和檢查 ... 11
6.2.2.6 人員錄用 ..... 11
6.2.2.7 人員離崗 ..... 11
6.2.2.8 安全意識教育和培訓 ... 11
6.2.2.9 外部人員訪問管理 ..... 11
6.2.3安全建設管理 .... 11
6.2.3.1 定級和備案 ... 11
6.2.3.2 安全方案設計 . 11
6.2.3.3 產品采購和使用 ....... 11
6.2.3.4 自行軟件開發 . 11
6.2.3.5 外包軟件開發 . 12
6.2.3.6 工程實施 ..... 12
6.2.3.7 測試驗收 ..... 12
6.2.3.8 係統交付 ..... 12
6.2.3.9 等級測評 ..... 12
GB/T 22239.1– XXXX
V
6.2.3.10 服務供應商選擇 ...... 12
6.2.4安全運維管理 .... 12
6.2.4.1 環境管理 ..... 12
6.2.4.2 資產管理 ..... 12
6.2.4.3 介質管理 ..... 12
6.2.4.4 設備維護管理 . 13
6.2.4.5 漏洞和風險管理 ....... 13
6.2.4.6 網絡和係統安全管理 ... 13
6.2.4.7 惡意代碼防範管理 ..... 13
6.2.4.8 配置管理 ..... 13
6.2.4.9 密碼管理 ..... 13
6.2.4.10 變更管理 .... 13
6.2.4.11 備份與恢複管理 ...... 13
6.2.4.12 安全事件處置 14
6.2.4.13 應急預案管理 14
6.2.4.14 外包運維管理 14
7第三級安全要求 ...... 14
7.1 技術要求 . 14
7.1.1物理和環境安全 .. 14
7.1.1.1 物理位置選擇 . 14
7.1.1.2 物理訪問控製 . 14
7.1.1.3 防盜竊和防破壞 ....... 14
7.1.1.4 防雷擊 ....... 14
7.1.1.5 防火 . 15
7.1.1.6 防水和防潮 ... 15
7.1.1.7 防靜電 ....... 15
7.1.1.8 溫濕度控製 ... 15
7.1.1.9 電力供應 ..... 15
7.1.1.10 電磁防護 .... 15
7.1.2網絡和通信安全 .. 15
7.1.2.1 網絡架構 ..... 15
7.1.2.2 通信傳輸 ..... 15
7.1.2.3 邊界防護 ..... 16
7.1.2.4 訪問控製 ..... 16
7.1.2.5 入侵防範 ..... 16
7.1.2.6 惡意代碼防範 . 16
7.1.2.7 安全審計 ..... 16
7.1.2.8 集中管控 ..... 16
7.1.3設備和計算安全 .. 17
7.1.3.1 身份鑒別 ..... 17
7.1.3.2 訪問控製 ..... 17
7.1.3.3 安全審計 ..... 17
7.1.3.4 入侵防範 ..... 17
7.1.3.5 惡意代碼防範 . 17
GB/T 22239.1– XXXX
VI
7.1.3.6 資源控製 ..... 18
7.1.4應用和數據安全 .. 18
7.1.4.1 身份鑒別 ..... 18
7.1.4.2 訪問控製 ..... 18
7.1.4.3 安全審計 ..... 18
7.1.4.4 軟件容錯 ..... 18
7.1.4.5 資源控製 ..... 19
7.1.4.6 數據完整性 ... 19
7.1.4.7 數據保密性 ... 19
7.1.4.8 數據備份恢複 . 19
7.1.4.9 剩餘信息保護 . 19
7.1.4.10 個人信息保護 19
7.2 管理要求 . 19
7.2.1安全策略和管理製度 ...... 19
7.2.1.1 安全策略 ..... 19
7.2.1.2 管理製度 ..... 19
7.2.1.3 製定和發布 ... 20
7.2.1.4 評審和修訂 ... 20
7.2.2安全管理機構和人員 ...... 20
7.2.2.1 崗位設置 ..... 20
7.2.2.2 人員配備 ..... 20
7.2.2.3 授權和審批 ... 20
7.2.2.4 溝通和合作 ... 20
7.2.2.5 審核和檢查 ... 20
7.2.2.6 人員錄用 ..... 21
7.2.2.7 人員離崗 ..... 21
7.2.2.8 安全意識教育和培訓 ... 21
7.2.2.9 外部人員訪問管理 ..... 21
7.2.3安全建設管理 .... 21
7.2.3.1 定級和備案 ... 21
7.2.3.2 安全方案設計 . 21
7.2.3.3 產品采購和使用 ....... 21
7.2.3.4 自行軟件開發 . 22
7.2.3.5 外包軟件開發 . 22
7.2.3.6 工程實施 ..... 22
7.2.3.7 測試驗收 ..... 22
7.2.3.8 係統交付 ..... 22
7.2.3.9 等級測評 ..... 22
7.2.3.10 服務供應商選擇 ...... 22
7.2.4安全運維管理 .... 23
7.2.4.1 環境管理 ..... 23
7.2.4.2 資產管理 ..... 23
7.2.4.3 介質管理 ..... 23
7.2.4.4 設備維護管理 . 23
GB/T 22239.1– XXXX
VII
7.2.4.5 漏洞和風險管理 ....... 23
7.2.4.6 網絡和係統安全管理 ... 23
7.2.4.7 惡意代碼防範管理 ..... 24
7.2.4.8 配置管理 ..... 24
7.2.4.9 密碼管理 ..... 24
7.2.4.10 變更管理 .... 24
7.2.4.11 備份與恢複管理 ...... 24
7.2.4.12 安全事件處置 25
7.2.4.13 應急預案管理 25
7.2.4.14 外包運維管理 25
8第四級安全要求 ...... 25
8.1 技術要求 . 25
8.1.1物理和環境安全 .. 25
8.1.1.1 物理位置選擇 . 25
8.1.1.2 物理訪問控製 . 25
8.1.1.3 防盜竊和防破壞 ....... 26
8.1.1.4 防雷擊 ....... 26
8.1.1.5 防火 . 26
8.1.1.6 防水和防潮 ... 26
8.1.1.7 防靜電 ....... 26
8.1.1.8 溫濕度控製 ... 26
8.1.1.9 電力供應 ..... 26
8.1.1.10 電磁防護 .... 26
8.1.2網絡和通信安全 .. 26
8.1.2.1 網絡架構 ..... 26
8.1.2.2 通信傳輸 ..... 27
8.1.2.3 邊界防護 ..... 27
8.1.2.4 訪問控製 ..... 27
8.1.2.5 入侵防範 ..... 27
8.1.2.6 惡意代碼防範 . 27
8.1.2.7 安全審計 ..... 28
8.1.2.8 集中管控 ..... 28
8.1.3設備和計算安全 .. 28
8.1.3.1 身份鑒別 ..... 28
8.1.3.2 訪問控製 ..... 28
8.1.3.3 安全審計 ..... 28
8.1.3.4 入侵防範 ..... 29
8.1.3.5 惡意代碼防範 . 29
8.1.3.6 資源控製 ..... 29
8.1.4應用和數據安全 .. 29
8.1.4.1 身份鑒別 ..... 29
8.1.4.2 訪問控製 ..... 29
8.1.4.3 安全審計 ..... 30
8.1.4.4 軟件容錯 ..... 30
GB/T 22239.1– XXXX
VIII
8.1.4.5 資源控製 ..... 30
8.1.4.6 數據完整性 ... 30
8.1.4.7 數據保密性 ... 30
8.1.4.8 數據備份恢複 . 30
8.1.4.9 剩餘信息保護 . 31
8.1.4.10 個人信息保護 31
8.2 管理要求 . 31
8.2.1安全策略和管理製度 ...... 31
8.2.1.1 安全策略 ..... 31
8.2.1.2 管理製度 ..... 31
8.2.1.3 製定和發布 ... 31
8.2.1.4 評審和修訂 ... 31
8.2.2安全管理機構和人員 ...... 31
8.2.2.1 崗位設置 ..... 31
8.2.2.2 人員配備 ..... 31
8.2.2.3 授權和審批 ... 32
8.2.2.4 溝通和合作 ... 32
8.2.2.5 審核和檢查 ... 32
8.2.2.6 人員錄用 ..... 32
8.2.2.7 人員離崗 ..... 32
8.2.2.8 安全意識教育和培訓 ... 32
8.2.2.9 外部人員訪問管理 ..... 32
8.2.3安全建設管理 .... 33
8.2.3.1 定級和備案 ... 33
8.2.3.2 安全方案設計 . 33
8.2.3.3 產品采購和使用 ....... 33
8.2.3.4 自行軟件開發 . 33
8.2.3.5 外包軟件開發 . 33
8.2.3.6 工程實施 ..... 34
8.2.3.7 測試驗收 ..... 34
8.2.3.8 係統交付 ..... 34
8.2.3.9 等級測評 ..... 34
8.2.3.10 服務供應商選擇 ...... 34
8.2.4安全運維管理 .... 34
8.2.4.1 環境管理 ..... 34
8.2.4.2 資產管理 ..... 34
8.2.4.3 介質管理 ..... 35
8.2.4.4 設備維護管理 . 35
8.2.4.5 漏洞和風險管理 ....... 35
8.2.4.6 網絡和係統安全管理 ... 35
8.2.4.7 惡意代碼防範管理 ..... 35
8.2.4.8 配置管理 ..... 36
8.2.4.9 密碼管理 ..... 36
8.2.4.10 變更管理 .... 36
GB/T 22239.1– XXXX
IX
8.2.4.11 備份與恢複管理 ...... 36
8.2.4.12 安全事件處置 36
8.2.4.13 應急預案管理 36
8.2.4.14 外包運維管理 37
9第五級安全要求 ...... 37
附錄A 38
安全要求的選擇和使用 . 38
附錄B 42
關於保護對象整體安全保護能力的要求 ... 42
附錄C 44
等級保護安全框架和關鍵技術 ... 44
參考文獻 參考文獻 ..... 46
..............................
