等级保护制度第三级要求

等级保护制度第三级要求

国家信息安全等级保护制度第三级要求
1 第三级基本要求
1.1技术要求
1.1.1 物理安全
1.1.1.1 物理位置的选择(G3)
本项要求包括:
a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
1.1.1.2 物理访问控制(G3)
本项要求包括:
a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安
装等过渡区域;
d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3)
本项要求包括:
a) 应将主要设备放置在机房内;
b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;
c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
d) 应对介质分类标识,存储在介质库或档案室中;
e) 应利用光、电等技术设置机房防盗报警系统;
f) 应对机房设置监控报警系统。
1.1.1.4 防雷击(G3)
本项要求包括:
a) 机房建筑应设置避雷装置;
b) 应设置防雷保安器,防止感应雷;
c) 机房应设置交流电源地线。
7.1.1.5 防火(G3)
本项要求包括:
a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
1.1.1.6 防水和防潮(G3)
本项要求包括:
a) 水管安装,不得穿过机房屋顶和活动地板下;
b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
1.1.1.7 防静电(G3)
本项要求包括:
a) 主要设备应采用必要的接地防静电措施;
b) 机房应采用防静电地板。
1.1.1.8 温湿度控制(G3)
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.1.1.9 电力供应(A3)
本项要求包括:
a) 应在机房供电线路上配置稳压器和过电压防护设备;
b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求;
c) 应设置冗余或并行的电力电缆线路为计算机系统供电;
d) 应建立备用供电系统。
1.1.1.10 电磁防护(S3)
本项要求包括:
a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
b) 电源线和通信线缆应隔离铺设,避免互相干扰;
c) 应对关键设备和磁介质实施电磁屏蔽。


1.1.2 网络安全
1.1.2.1 结构安全(G3)
本项要求包括:
a) 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
b) 应保证网络各个部分的带宽满足业务高峰期需要;
c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
d) 应绘制与当前运行情况相符的网络拓扑结构图;
e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,
并按照方便管理和控制的原则为各子网、网段分配地址段;
f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取
可靠的技术隔离手段;
g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护
重要主机。
1.1.2.2 访问控制(G3)
本项要求包括:
a) 应在网络边界部署访问控制设备,启用访问控制功能;
b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3

原文地址:https://www.cnblogs.com/csj0907569-/p/12164381.html

时间: 2024-11-05 21:59:40

等级保护制度第三级要求的相关文章

国家信息安全等级保护制度第三级要求

国家信息安全等级保护制度第三级要求 1       第三级基本要求 1.1           技术要求 1.1.1      物理安全 1.1.1.1           物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震.防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁. 1.1.1.2           物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制.鉴别和记录进入的人员; b) 需进

CIIPT培训(等级保护)

随着我国信息化建设步伐的加快,信息系统建设已经达到了一个相当的规模,这些系统中承载着我国各行业的重要业务,正发挥越来越重要的作用,成为我国的关键信息基础设施(Critical Information Infrastructure)(或称为"重要信息系统").这些关键信息基础设施的安全保护(Critical InformationInfrastructure Protection:CIIP)越来越成为人们关注的焦点,其安全保护水平直接关系到我国公众利益.经济秩序和国家安全.我国在信息安全

等级保护发展历程

等级保护发展历程 二十多年来,我国的计算机等级保护制度得到了完善的发展,并在各个行业中得到了切实的实践执行,对我国的网络信息安全具有重要的指导作用.今天,等级保护2.0时代,将根据信息技术发展应用和网络安全态势,不断丰富制度内涵.拓展保护范围.完善监管措施,逐步健全网络安全等级保护制度政策.标准和支撑体系. 等级保护1.0:1994年,国务院颁布<中华人民共和国计算机信息系统安全保护条例>,规定计算机信息系统实行安全等级保护 等保2.0:2016年10月10日,第五届全国信息安全等级保护技术大

【权威】等级保护和分级保护

目录 1等级保护FAQ3 1.1什么是等级保护.有什么用?3 1.2信息安全等级保护制度的意义与作用?3 1.3等级保护与分级保护各分为几个等级,对应关系是什么?3 1.4等级保护的重要信息系统(8+2)有哪些?4 1.5等级保护的主管部门是谁?4 1.6国家密码管理部门在等级保护/分级保护工作中的职责是什么?4 1.7等级保护的政策依据是哪个文件?4 1.8公安机关对等级保护的管理模式是什么,等级保护定级到哪里备案?5 1.9等级保护是否是强制性的,可以不做吗?5 1.10等级保护的主要标准有

为什么要开展等级保护测评?你必须知道!

随着我国信息技术的快速发展,为维护国家安全和社会稳定,维护信息网络安全,国务院于1994年颁布了<中华人民共和国计算机信息系统安全保护条例>(国务院147号令).条例中规定:我国的"计算机信息系统实行安全等级保护. 2003年**办公厅.国务院办公厅转发的<国家信息化领导小组关于加强信息安全保障工作的意见>(中办发[2003]27号)明确指出"实行信息安全等级保护". 2007年公安部会同国家保密局.国家密码管理局和国务院信息化工作办公室下发<信

等级保护与分级保护

一.什么是等级保护? 我国实施信息安全管理的法定制度:信息系统安全实施等级化保护和等级化管理.等级化管理是一种普遍适用的管理方法,是适用于我国当前实际的一种有效的信息安全管理方法. 主管部门为公安机关.国家保密工作部.国家密码管理部负责其中有关保密工作和密码工作,国信办及地方信息化领导小组办事机构负责其中协调工作. 二.什么是分级保护? 涉密信息系统依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分别保护的管理规定和技术标准,实施信息安全分级保护的强制执行制度. 主管部门

哪些单位需要做等级保护测评?

2017年6月1日正式实施的<网络安全法>第三章用了近三分之一的篇幅规范网络运行安全,特别强调要保障关键信息基础设施的运行安全.强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者负有更多的安全保护义务,并配以国家安全审查.重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全.可见,开展等级保护工作是企业义不容辞的网络安全义务. 哪些行业需要进行等级保护测评? 政府机关:各大部委.各省级政府机关.各地市级政府机关.各事业单位等 金融行业:金

等级保护二、三、四级内容及对比

一.等级保护内容框架 技术要求:物理安全.网络安全.主机安全.应用安全.数据安全及备份恢复 管理要求:安全管理制度.安全管理机构.人员安全管理.系统建设管理.系统运维管理 二.等级保护二.三.四级内容 四级等保要求 三级等保要求 二级等保要求 8.1技术要求 8.1.1物理安全 8.1.1.1物理位置的选择 a)   机房和办公场地应选择在具有防震.防风和防雨等能力的建筑内: a)   机房和办公场地应选择在具有防震.防风和防雨等能力的建筑内: 机房和办公场地应选择在具有防震.防风和防雨等能力的

等级保护知识问答

等级保护知识问答   一.什么是等级保护? 答:信息安全等级保护是指对国家重要信息.法人和其他组织及公民的专有信息以及公开信息和存储.传输.处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应.处置. 二.等级保护工作具体包含哪些内容? 答:根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:1)是信息系统定级.2)是信息系统备案(定级备案).3)是系统安全建设.4)是信息系统等级测评(测评报告交属地公安机