没有合适的资源?快使用搜索试试~ 我知道了~
首页网络安全等级保护测评高风险判定指引2019定稿版.docx
本指引是依据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》有关条款,对测评过程中所发现的安全性问题进行风险判断的指引性文件。指引内容包括对应要求、判例内容、适用范围、补偿措施、整改建议等要素。 需要指出的是,本指引无法涵盖所有高风险案例,测评机构须根据安全问题所实际面临的风险做出客观判断。 本指引适用于网络安全等级保护测评活动、安全检查等工作。信息系统建设单位亦可参考本指引描述的案例编制系统安全需求。 参考依据: GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求 GB/T 25069-2010 信息安全技术术语
资源详情
资源评论
资源推荐
网络安全等级保护测评
高风险判定指引
信息安全测评联盟
2019 年 6 月
目 录
1 适用范围............................................................................................................1
2 术语和定义........................................................................................................1
3 参考依据............................................................................................................3
4 安全物理环境.....................................................................................................3
4.1 物理访问控制..............................................................................................3
4.1.1 机房出入口控制措施..................................................................................3
4.2 防盗窃和防破坏...........................................................................................4
4.2.1 机房防盗措施............................................................................................4
4.3 防火...........................................................................................................5
4.3.1 机房防火措施............................................................................................5
4.4 温湿度控制.................................................................................................6
4.4.1 机房温湿度控制措施..................................................................................6
4.5 电力供应....................................................................................................7
4.5.1 机房短期的备用电力供应措施......................................................................7
4.5.2 机房电力线路冗余措施...............................................................................8
4.5.3 机房应急供电措施......................................................................................9
4.6 电磁防护..................................................................................................10
4.6.1 机房电磁防护措施....................................................................................10
5 安全通信网络...................................................................................................11
5.1 网络架构..................................................................................................11
5.1.1 网络设备业务处理能力.............................................................................11
5.1.2 网络区域划分..........................................................................................12
5.1.3 网络访问控制设备不可控..........................................................................13
5.1.4 互联网边界访问控制................................................................................14
5.1.5 不同区域边界访问控制.............................................................................15
5.1.6 关键线路、设备冗余................................................................................16
5.2 通信传输..................................................................................................17
5.2.1 传输完整性保护.......................................................................................17
5.2.2 传输保密性保护.......................................................................................18
6 安全区域边界...................................................................................................20
6.1 边界防护..................................................................................................20
6.1.1 互联网边界访问控制................................................................................20
6.1.2 网络访问控制设备不可控..........................................................................21
6.1.3 违规内联检查措施....................................................................................22
6.1.4 违规外联检查措施....................................................................................23
6.1.5 无线网络管控措施....................................................................................24
6.2 访问控制..................................................................................................25
6.2.1 互联网边界访问控制................................................................................25
6.2.2 通信协议转换及隔离措施..........................................................................26
6.3 入侵防范..................................................................................................27
6.3.1 外部网络攻击防御....................................................................................27
6.3.2 内部网络攻击防御....................................................................................28
6.4 恶意代码和垃圾邮件防范............................................................................30
6.4.1 网络层恶意代码防范................................................................................30
6.5 安全审计..................................................................................................31
6.5.1 网络安全审计措施....................................................................................31
7 安全计算环境...................................................................................................32
7.1 网络设备、安全设备、主机设备等...............................................................32
7.1.1 身份鉴别................................................................................................32
7.1.1.1 设备弱口令..........................................................................................32
7.1.1.2 远程管理防护.......................................................................................33
7.1.1.3 双因素认证..........................................................................................35
7.1.2 访问控制................................................................................................36
7.1.2.1 默认口令处理.......................................................................................36
7.1.3 安全审计................................................................................................37
7.1.3.1 设备安全审计措施.................................................................................37
7.1.4 入侵防范................................................................................................39
7.1.4.1 不必要服务处置....................................................................................39
7.1.4.2 管理终端管控措施.................................................................................40
7.1.4.3 已知重大漏洞修补.................................................................................41
7.1.4.4 测试发现漏洞修补.................................................................................42
7.1.5 恶意代码防范..........................................................................................43
7.1.5.1 操作系统恶意代码防范..........................................................................43
7.2 应用系统..................................................................................................45
7.2.1 身份鉴别................................................................................................45
7.2.1.1 口令策略.............................................................................................45
7.2.1.2 弱口令.................................................................................................46
7.2.1.3 登录失败处理.......................................................................................47
7.2.1.4 双因素认证..........................................................................................49
7.2.2 访问控制................................................................................................50
7.2.2.1 登录用户权限控制.................................................................................50
7.2.2.2 默认口令处理.......................................................................................51
7.2.2.3 访问控制策略.......................................................................................52
7.2.3 安全审计................................................................................................53
7.2.3.1 安全审计措施.......................................................................................53
7.2.4 入侵防范................................................................................................55
7.2.4.1 数据有效性检验功能..............................................................................55
7.2.4.2 已知重大漏洞修补.................................................................................56
7.2.4.3 测试发现漏洞修补.................................................................................57
7.2.5 数据完整性.............................................................................................58
7.2.5.1 传输完整性保护....................................................................................58
7.2.6 数据保密性.............................................................................................60
7.2.6.1 传输保密性保护....................................................................................60
7.2.6.2 存储保密性保护....................................................................................61
7.2.7 数据备份恢复..........................................................................................62
7.2.7.1 数据备份措施.......................................................................................62
7.2.7.2 异地备份措施.......................................................................................63
7.2.7.3 数据处理冗余措施.................................................................................64
7.2.7.4 异地灾难备份中心.................................................................................65
7.2.8 剩余信息保护..........................................................................................66
7.2.8.1 鉴别信息释放措施.................................................................................66
7.2.8.2 敏感数据释放措施.................................................................................67
7.2.9 个人信息保护..........................................................................................68
7.2.9.1 个人信息采集、存储..............................................................................68
7.2.9.2 个人信息访问、使用..............................................................................69
8 安全区域边界...................................................................................................70
8.1 集中管控..................................................................................................70
8.1.1 运行监控措施..........................................................................................70
8.1.2 日志集中收集存储....................................................................................71
8.1.3 安全事件发现处置措施.............................................................................72
9 安全管理制度...................................................................................................73
9.1 管理制度..................................................................................................73
9.1.1 管理制度建设..........................................................................................73
10 安全管理机构.................................................................................................74
10.1 岗位设置................................................................................................74
10.1.1 网络安全领导小组建立...........................................................................74
11 安全建设管理.................................................................................................75
11.1 产品采购和使用.......................................................................................75
11.1.1 网络安全产品采购和使用........................................................................75
11.1.2 密码产品与服务采购和使用.....................................................................76
11.2 外包软件开发..........................................................................................76
11.2.1 外包开发代码审计..................................................................................76
11.3 测试验收................................................................................................78
11.3.1 上线前安全测试.....................................................................................78
12 安全运维管理.................................................................................................80
12.1 漏洞和风险管理.......................................................................................80
12.1.1 安全漏洞和隐患的识别与修补..................................................................80
12.2 网络和系统安全管理................................................................................81
12.2.1 重要运维操作变更管理...........................................................................81
12.2.2 运维工具的管控.....................................................................................82
12.2.3 运维外联的管控.....................................................................................83
12.3 恶意代码防范管理...................................................................................85
12.3.1 外来接入设备恶意代码检查.....................................................................85
12.4 变更管理................................................................................................86
12.4.1 需求变更管理........................................................................................86
12.5 备份与恢复管理.......................................................................................87
12.5.1 数据备份策略........................................................................................87
12.6 应急预案管理..........................................................................................88
12.6.1 应急预案制定........................................................................................88
12.6.2 应急预案培训演练..................................................................................89
附件 基本要求与判例对应表..................................................................................91
剩余63页未读,继续阅读
weixin_42213440
- 粉丝: 0
- 资源: 2
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- RTL8188FU-Linux-v5.7.4.2-36687.20200602.tar(20765).gz
- c++校园超市商品信息管理系统课程设计说明书(含源代码) (2).pdf
- 建筑供配电系统相关课件.pptx
- 企业管理规章制度及管理模式.doc
- vb打开摄像头.doc
- 云计算-可信计算中认证协议改进方案.pdf
- [详细完整版]单片机编程4.ppt
- c语言常用算法.pdf
- c++经典程序代码大全.pdf
- 单片机数字时钟资料.doc
- 11项目管理前沿1.0.pptx
- 基于ssm的“魅力”繁峙宣传网站的设计与实现论文.doc
- 智慧交通综合解决方案.pptx
- 建筑防潮设计-PowerPointPresentati.pptx
- SPC统计过程控制程序.pptx
- SPC统计方法基础知识.pptx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论1