《电力行业信息系统安全等级保护基本要求buoo.docx》由会员分享,可在线阅读,更多相关《电力行业信息系统安全等级保护基本要求buoo.docx(183页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、DL电力行业网络与信息安全领导小组办公室201-实施201-发布电力行业信息系统安全等级保护基本要求Baseline for classified protection of power industry information system(征求意见稿)ICS DL/T 中华人民共和国电力行业标准165目 次次前言V引言VII第一部分分通用要要求11 适用用范围112 规范范性参考考文件113 术语语和定义义14 信息息系统安安全等级级保护概概述14.1 信息系系统安全全保护等等级14.2 不同等等级的安安全保护护能力114.3 总体要要求、基基本技术术要求和和基本管管理要求求24.4 基本
2、技技术要求求的三种种类型22第二部分分:管理理信息系系统类要要求45 总体体要求445.1 总体技技术要求求45.2 总体管管理要求求46 第一一级基本本要求556.1 技术要要求56.1.1 物物理安全全56.1.2 网网络安全全56.1.3 主主机安全全66.1.4 应应用安全全66.1.5 数数据安全全及备份份恢复776.2 管理要要求76.2.1 安安全管理理制度776.2.2 安安全管理理机构776.2.3 人人员安全全管理776.2.4 系系统建设设管理886.2.5 系系统运维维管理997 第二二级基本本要求1107.1 技术要要求1007.1.1 物物理安全全107.1.2 网
3、网络安全全117.1.3 主主机安全全137.1.4 应应用安全全147.1.5 数数据安全全157.2 管理要要求1557.2.1 安安全管理理制度1157.2.2 安安全管理理机构1167.2.3 人人员安全全管理1167.2.4 系系统建设设管理1177.2.5 系系统运维维管理1198 第三三级基本本要求2218.1 技术要要求2228.1.1 物物理安全全228.1.2 网网络安全全238.1.3 主主机安全全258.1.4 应应用安全全278.1.5 数数据安全全298.2 管理要要求2998.2.1 安安全管理理制度2298.2.2 安安全管理理机构3308.2.3 人人员安全全
4、管理3318.2.4 系系统建设设管理3328.2.5 系系统运维维管理335第三部分分:生产产控制信信息系统统类要求求409 总体体要求4409.1 总体技技术要求求409.2 总体管管理要求求4010 第第一级基基本要求求4110.11 技术术要求44110.11.1 物理安安全41110.11.2 网络安安全41110.11.3 主机安安全42210.11.4 应用安安全42210.11.5 数据安安全及备备份恢复复4210.22 管理理要求44210.22.1 安全管管理制度度4210.22.2 安全管管理机构构4310.22.3 人员安安全管理理4310.22.4 系统建建设管理理4
5、410.22.5 系统运运维管理理4511 第第二级基基本要求求4611.11 技术术要求44611.11.1 物理安安全46611.11.2 网络安安全47711.11.3 主机安安全48811.11.4 应用安安全49911.11.5 数据安安全50011.22 管理理要求55111.22.1 安全管管理制度度5111.22.2 安全管管理机构构5111.22.3 人员安安全管理理5211.22.4 系统建建设管理理5211.22.5 系统运运维管理理5412 第第三级基基本要求求5612.11 技术术要求55612.11.1 物理安安全56612.11.2 网络安安全58812.11.3
6、 主机安安全60012.11.4 应用安安全61112.11.5 数据安安全63312.22 管理理要求66312.22.1 安全管管理制度度6312.22.2 安全管管理机构构6412.22.3 人员安安全管理理6512.22.4 系统建建设管理理6612.22.5 系统运运维管理理6813 第第四级基基本要求求7113.11 技术术要求77113.11.1 物理安安全72213.11.2 网络安安全73313.11.3 主机安安全75513.11.4 应用安安全76613.11.5 数据安安全78813.22 管理理要求77813.22.1 安全管管理制度度7813.22.2 安全管管理机
7、构构7913.22.3 人员安安全管理理8013.22.4 系统建建设管理理8113.22.5 系统运运维管理理84附录A关关于信息息系统整整体安全全保护能能力的要要求888附录B 基本安安全要求求的选择择和使用用90参考文献献92前 言言本标准的的附录AA和附录录B是规规范性附附录。本标准由由国家电电力监管管委员会会提出。引 言言依据国家家信息安安全等级级保护管管理规定定和电力力行业有有关要求求制定本本标准。本标准是是电力行行业信息息安全等等级保护护相关系系列规范范性文件件之一。与本标准准相关的的系列标标准包括括:电电力行业业信息系系统安全全等级保保护定级级工作指指导意见见(电电监信息息20
8、00744 号)。本标准与与GB1178559-119999、GB/T 2222339220088等标准准共同构构成了电电力行业业信息系系统安全全等级保保护的相相关配套套标准。其其中GB1778599-19999 、GB/T 2222339220088是基础础性标准准,本标标准是在在GB1178559-119999和GB/T 2222339220088基础上上,根据据电力行行业信息息系统和和信息安安全防护护特点及及要求,对对GB/T 2222339220088的进一一步细化化和扩展展。本标准在在GB1178559-119999、GB/T 2222339220088等技术术类标准准的基础础上,根
9、根据电力力行业现现有技术术的发展展水平和和安全防防护要求求,分管管理信息息系统类类和生产产控制信信息系统统累,分分别提出出和规定定了不同同安全保保护等级级信息系系统的最最低保护护要求,即即基本安安全要求求,基本本安全要要求包括括总体要要求、基基本技术术要求和和基本管管理要求求,本标标准适用用于指导导不同安安全保护护等级信信息系统统的安全全建设和和监督管管理。在本标准准文本中中,黑体体字表示示较低等等级中没没有出现现或增强强的要求求。为便于和和GB/T 2222339220088比照,分分别用“(新增增)”、“(细化化)”、“(增强强)”和“(落实实)”来标识识本标准准的该条条目和GGB/TT
10、222239920008中中相关条条目的差差异,未未标识则则是等同同采用。电力行业业信息系系统安全全等级保保护基本本要求第一部分分 通用用要求1 适用范围围本规范规规定了电电力行业业管理类类信息系系统和生生产控制制类信息息系统不不同安全全等级的的信息系系统等级级保护要要求,包包括安全全技术指指标和安安全管理理指标,用用于指导导电力行业业各单位位信息系系统的安安全等级级保护建建设工作作。其中中,通用用要求部部分同时时适用于于管理类类信息系系统和生生产控制制类信息息系统,管管理信息息系统类类基本要要求适用用于管理理类信息息系统的的安全等等级保护护建设工工作,生生产控制制信息系系统类基基本要求求适用
11、于于生产控控制类信信息系统统的安全全等级保保护建设设工作。2 规范性参参考文件件信息安安全等级级保护管管理办法法(公公通字20007443号)GB 1178559-119999计算算机信息息系统安安全保护护等级保保护划分分准则GB/TT 2222399-20008信信息安全全技术 信息系系统安全全等级保保护基本本要求电力二二次系统统安全防防护规定定(电监监会5号号令)电力行行业网络络与信息息安全监监督管理理暂行规规定(电电监信息息2000750号)电力行行业信息息系统安安全等级级保护定定级工作作指导意意见(电电监信息息2000744 号)3 术语和定定义GB/TT 52271.8和GB 178
12、859-19999确立立的以及及下列术术语和定定义适用用于本标标准。安全保护护能力 seccuriity prootecctioon aabillityy 系统能够够抵御威威胁、发发现安全全事件以以及在系系统遭到到损害后后能够恢恢复先前前状态等等的程度度。4 信息系统统安全等等级保护护概述4.1 信息系统统安全保保护等级级信息系统统根据其其在国家家安全、经经济建设设、社会会生活中中的重要要程度,遭遭到破坏坏后对国国家安全全、社会会秩序、公公共利益益以及公公民、法法人和其其他组织织的合法法权益的的危害程程度等,由由低到高高划分为为五级。4.2 不同等级级的安全全保护能能力不同等级级的信息息系统应
13、应具备的的基本安安全保护护能力如如下:第一级安安全保护护能力:应能够够防护系系统免受受来自个个人的、拥拥有很少少资源的的威胁源源发起的的恶意攻攻击、一一般的自自然灾难难、以及及其他相相当危害害程度的的威胁所所造成的的关键资资源损害害,在系系统遭到到损害后,能能够恢复复部分功功能。第二级安安全保护护能力:应能够够防护系系统免受受来自外外部小型型组织的的、拥有有少量资资源的威威胁源发发起的恶恶意攻击击、一般般的自然然灾难、以以及其他他相当危危害程度度的威胁胁所造成成的重要要资源损损害,能能够发现现重要的的安全漏漏洞和安安全事件件,在系系统遭到到损害后,能能够在一一段时间间内恢复复部分功功能。第三级
14、安安全保护护能力:应能够够在统一一安全策策略下防防护系统统免受来来自外部部有组织织的团体体、拥有有较为丰丰富资源源的威胁胁源发起起的恶意意攻击、较较为严重重的自然然灾难、以以及其他他相当危危害程度度的威胁胁所造成成的主要要资源损损害,能能够发现现安全漏漏洞和安安全事件件,在系系统遭到到损害后后,能够够较快恢恢复绝大大部分功功能。第四级安安全保护护能力:应能够够在统一一安全策策略下防防护系统统免受来来自国家家级别的的、敌对对组织的的、拥有有丰富资资源的威威胁源发发起的恶恶意攻击击、严重重的自然然灾难、以以及其他他相当危危害程度度的威胁胁所造成成的资源源损害,能能够发现现安全漏漏洞和安安全事件件,
15、在系系统遭到到损害后后,能够够迅速恢恢复所有有功能。第五级安安全保护护能力:(略)。4.3 总体要求求、基本本技术要要求和基基本管理理要求信息系统统安全等等级保护护应依据据信息系系统的安安全保护护等级情情况保证证它们具具有相应应等级的的基本安安全保护护能力,不不同安全全保护等等级的信信息系统统要求具具有不同同的安全全保护能能力。基本安全全要求是是针对不不同安全全保护等等级信息息系统应应该具有有的基本本安全保保护能力力提出的的安全要要求,根根据实现现方式的的不同,基基本安全全要求分分为总体体要求、基本技术要求和基本管理要求三大类。总体要求与各个单位的总体安全策略相关,主要通过落实总体安全策略直接
16、导出的、所有信息系统必须遵从的总体安全防护要求来体现;技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。总体要求求概括了了电力行行业信息息安全防防护策略略的基本本要求;基本技技术要求求从物理理安全、网网络安全全、主机机安全、应应用安全全和数据据安全几几个层面面提出;基本管管理要求从从安全管管理制度度、安全全管理机机构、人人员安全全管理、系系统建设设管理和和系统运运维管理理几个方方面提出出,总体体要求、基本技
17、术要求和基本管理要求是确保信息系统安全不可分割的三个部分。基本安全全要求从从各个层层面或方方面提出出了系统统的每个个组件应应该满足足的安全全要求,信信息系统统具有的的整体安安全保护护能力通通过不同同组件实实现基本本安全要要求来保保证。除除了保证证系统的的每个组组件满足足基本安安全要求求外,还还要考虑虑组件之之间的相相互关系系,来保保证信息息系统的的整体安安全保护护能力。关关于信息息系统整整体安全全保护能能力的说说明见附附录A。对于涉及及国家秘秘密的信信息系统统,应按按照国家家保密工工作部门门的相关关规定和和标准进进行保护护。对于于涉及密密码的使使用和管管理,应应按照国国家密码码管理的的相关规规
18、定和标标准实施施。4.4 基本技术术要求的的三种类类型根据保护护侧重点点的不同同,技术术类安全全要求进一一步细分分为:保保护数据据在存储储、传输输、处理理过程中中不被泄泄漏、破坏和免受未授授权的修修改的信信息安全全类要求求(简记记为S);保护系系统连续续正常的的运行,免免受对系系统的未未授权修修改、破破坏而导导致系统统不可用用的服务务保证类类要求(简简记为AA);通通用安全全保护类类要求(简简记为GG)。本规范中中对基本本安全要要求使用用了标记记,其中中的字母母表示安安全要求求的类型型,数字字表示适适用的安安全保护护等级。关于各类安全要求的选择和使用见附录B。第二部分分:管理理信息系系统类要要
19、求5 总体要求求5.1 总体技术术要求a) 管理信息息大区网网络与生生产控制制大区网网络应物物理隔离离;两网网之间有有信息通通信交换换时应部部署符合合电力系系统要求求的单向向隔离装装置;(新新增)b) 管理信息息大区网网络可进进一步划划分为内内部网络络和外部部网络,两两网之间间有信息息通信交交换时防防护强度度应强于于逻辑隔隔离;(新新增)c) 具有层次次网络结结构的单单位可统统一提供供互联网网出口;(新增增)d) 二级系统统统一成成域,三三级系统统单独成成域;(新新增)e) 三级系统统域由独独立子网网承载,每每个域有有唯一网网络出口口,可在在网络出出口处部部署三级级等级保保护专用用装置为为系统
20、提提供整体体安全防防护。(新新增)5.2 总体管理理要求a) 如果本单单位管理理信息大大区仅有有一级信信息系统统时,通通用管理理要求等等同采用用一级;(新增增)b) 如果本单单位管理理信息大大区含有二级级及以下下等级信信息系统统时,通通用管理理要求等等同采用用二级;(新增增)c) 如果本单单位管理理信息大大区含有有三级及及以下等等级信息息系统时时,通用用管理要要求等同同采用三三级。(新增增)6 第一级基基本要求求6.1 技术要求求6.1.1 物理安全全6.1.1.1 物理访问问控制(GG1)机房出入入应安排排专人负负责,控控制、鉴鉴别和记记录进入入的人员员。6.1.1.2 防盗窃和和防破坏坏(
21、G11)本项要求求包括:a) 应将主要要设备放放置在机机房内;b) 应将设备备或主要要部件进进行固定定,并设设置明显显的不易易除去的的标记。6.1.1.3 防雷击(GG1)机房建筑筑应设置置避雷装装置。6.1.1.4 防火(GG1)机房应设设置灭火火设备。6.1.1.5 防水和防防潮(GG1)本项要求求包括:a) 应对穿过过机房墙墙壁和楼楼板的水水管增加加必要的的保护措措施;b) 应采取措措施防止止雨水通通过机房房窗户、屋屋顶和墙墙壁渗透透。6.1.1.6 温湿度控控制(GG1)机房应设设置必要要的温、湿湿度控制制设施,使使机房温温、湿度度的变化化在设备备运行所所允许的的范围之之内。6.1.1
22、.7 电力供应应(A11)应在机房房供电线线路上配配置稳压压器和过过电压防防护设备备。6.1.2 网络安全全6.1.2.1 结构安全全(G11)本项要求求包括:a) 应保证关关键网络络设备的的业务处处理能力力满足基基本业务务需要;b) 应保证接接入网络络和核心心网络的的带宽满满足基本本业务需需要;c) 应绘制与与当前运运行情况况相符的的网络拓拓扑结构构图。6.1.2.2 访问控制制(G11)本项要求求包括:a) 应在网络络边界部部署访问问控制设设备,启启用访问问控制功功能;b) 应根据访访问控制制列表对对源地址址、目的的地址、源源端口、目目的端口口和协议议等进行行检查,以以允许/拒绝数数据包出
23、出入;c) 应通过访访问控制制列表对对系统资资源实现现允许或或拒绝用用户访问问,控制制粒度至至少为用用户组。6.1.2.3 网络设备备防护(GG1)本项要求求包括:a) 应对登录录网络设设备的用用户进行行身份鉴鉴别;b) 应具有登登录失败败处理功功能,可可采取结结束会话话、限制制非法登登录次数数和当网网络登录录连接超超时自动动退出等等措施;c) 当对网络络设备进进行远程程管理时时,应采采取必要要措施防防止鉴别别信息在在网络传传输过程程中被窃窃听。6.1.3 主机安全全6.1.3.1 身份鉴别别(S11)应对登录录操作系系统和数数据库系系统的用用户进行行身份标标识和鉴鉴别。6.1.3.2 访问控
24、制制(S11)本项要求求包括:a) 应启用访访问控制制功能,依依据安全全策略控控制用户户对资源源的访问问;b) 应限制默默认帐户户的访问问权限,重重命名系系统默认认帐户,修修改这些些帐户的的默认口口令;c) 应及时删删除多余余的、过过期的帐帐户,避避免共享享帐户的的存在。6.1.3.3 入侵防范范(G11)操作系统统应遵循循最小安安装的原原则,仅仅安装需需要的组组件和应应用程序序,并保保持系统统补丁及及时得到到更新。6.1.3.4 恶意代码码防范(GG1)应安装防防恶意代代码软件件,并及及时更新新防恶意意代码软软件版本本和恶意意代码库库。6.1.4 应用安全全6.1.4.1 身份鉴别别(S11
25、)本项要求求包括:a) 应提供专专用的登登录控制制模块对对登录用用户进行行身份标标识和鉴鉴别;b) 应提供登登录失败败处理功功能,可可采取结结束会话话、限制制非法登登录次数数和自动动退出等等措施;c) 应启用身身份鉴别别和登录录失败处处理功能能,并根根据安全全策略配配置相关关参数。6.1.4.2 访问控制制(S11)本项要求求包括:a) 应提供访访问控制制功能控控制用户户组/用用户对系系统功能能和用户户数据的的访问;b) 应由授权权主体配配置访问问控制策策略,并并严格限限制默认认用户的的访问权权限。6.1.4.3 通信完整整性(SS1)应采用约约定通信信会话方方式的方方法保证证通信过过程中数数
26、据的完完整性。6.1.4.4 软件容错错(A11)应提供数数据有效效性检验验功能,保保证通过过人机接接口输入入或通过过通信接接口输入入的数据据格式或或长度符符合系统统设定要要求。6.1.5 数据安全全及备份份恢复6.1.5.1 数据完整整性(SS1)应能够检检测到重重要用户户数据在在传输过过程中完完整性受受到破坏坏。6.1.5.2 备份和恢恢复(AA1)应能够对对重要信信息进行行备份和和恢复。6.2 管理要求求6.2.1 安全管理理制度6.2.1.1 管理制度度(G11)应建立日日常管理理活动中中常用的的安全管管理制度度。6.2.1.2 制定和发发布(GG1)本项要求求包括:a) 应指定或或授
27、权专专门的人人员负责责安全管管理制度度的制定定;b) 应将安全全管理制制度以某某种方式式发布到到相关人人员手中中。6.2.2 安全管理理机构6.2.2.1 资金保障障a) 应保障落落实信息息系统安安全建设设、运维维及等级级保护测测评资金金等;(新新增)b) 系统建设设资金筹筹措方案案和年度度系统维维护经费费应包括括信息安安全保障障资金项项目。(新新增)6.2.2.2 岗位设置置(G11)应设立系系统管理理员、网网络管理理员、安安全管理理员等岗岗位,并并定义各各个工作作岗位的的职责。6.2.2.3 人员配备备(G11)应配备一一定数量量的系统统管理员员、网络络管理员员、安全全管理员员等。6.2.
28、2.4 授权和审审批(GG1)应根据各各个部门门和岗位位的职责责明确授授权审批批部门及及批准人人,对系系统投入入运行、网网络系统统接入和和重要资资源的访访问等关关键活动动进行审审批。6.2.2.5 沟通和合合作(GG1)应加强与与行业信信息安全全监管部部门、公公安机关关、通信信运营商商、银行行及相关关单位和和部门的的合作与与沟通。(增强)6.2.3 人员安全全管理6.2.3.1 人员录用用(G11)本项要求求包括:a) 应指定或或授权专专门的部部门或人人员负责责人员录录用;b) 应对被录录用人员员的身份份和专业业资格等等进行审审查,并并确保其其具有基基本的专专业技术术水平和和安全管管理知识识。
29、6.2.3.2 人员离岗岗(G11)本项要求求包括:a) 应立即终终止由于于各种原原因离岗岗员工的的所有访访问权限限;b) 应收回各各种身份份证件、钥钥匙、徽徽章等以以及机构构提供的的软硬件件设备。(落实)6.2.3.3 安全意识识教育和和培训(GG1)本项要求求包括:a) 应按照行行业信息息安全要要求,制制定安全全教育和和培训计计划,对对信息安安全基础础知识、岗岗位操作作规程等等进行的的培训应应至少每每年举办办一次。(新新增)b) 应对各类类人员进进行安全全意识教教育和岗岗位技能能培训;c) 应告知人人员相关关的安全全责任和和惩戒措措施。6.2.3.4 外部人员员访问管管理(GG1)应确保在
30、在外部人人员访问问受控区区域前得得到授权权或审批批。6.2.4 系统建设设管理6.2.4.1 系统定级级(G11)本项要求求包括:a) 应明确信信息系统统的边界界和安全全保护等等级;b) 应以书面面的形式式说明信信息系统统确定为为某个安安全保护护等级的的方法和和理由;c) 应确保信信息系统统的定级级结果经经过行业业信息安安全主管管部门等等相关部部门的批批准。(细细化)6.2.4.2 安全方案案设计(GG1)本项要求求包括:a) 应根据系系统的安安全保护护等级选选择基本本安全措措施,依依据风险险分析的的结果补补充和调调整安全全措施;b) 应以书面面的形式式描述对对系统的的安全保保护要求求和策略略
31、、安全全措施等等内容,形形成系统统的安全全方案;c) 应对安全全方案进进行细化化,形成成能指导导安全系系统建设设、安全全产品采采购和使使用的详详细设计计方案。6.2.4.3 产品采购购和使用用(G11)a) 应确保安安全产品品采购和和使用符符合国家家的有关关规定。b) 电力系统统专用信信息安全全产品应应经行业业主管部部门指定定的安全全机构测测评方可可采购使使用。(新新增)6.2.4.4 自行软件件开发(GG1)本项要求求包括:a) 应确保开开发环境境与实际际运行环环境物理理分开;b) 应确保软软件设计计相关文文档由专专人负责责保管。6.2.4.5 外包软件件开发(GG1)本项要求求包括:a)
32、应根据开开发要求求检测软软件质量量;b) 应在软件件安装之之前检测测软件包包中可能能存在的的恶意代代码;c) 应确保提提供软件件设计的的相关文文档和使使用指南南。6.2.4.6 工程实施施(G11)应指定或或授权专专门的部部门或人人员负责责工程实实施过程程的管理理。6.2.4.7 测试验收收(G11)本项要求求包括:a) 应对系统统进行安安全性测测试验收收;b) 在测试验验收前应应根据设设计方案案或合同同要求等等制订测测试验收收方案,在在测试验验收过程程中应详详细记录录测试验验收结果果,并形形成测试试验收报报告。6.2.4.8 系统交付付(G11)本项要求求包括:a) 应制定系系统交付付清单,
33、并并根据交交付清单单对所交交接的设设备、软软件和文文档等进进行清点点;b) 应对负责责系统运运行维护护的技术术人员进进行相应应的技能能培训;c) 应确保提提供系统统建设过过程中的的文档和和指导用用户进行行系统运运行维护护的文档档。6.2.4.9 安全服务务商选择择(G11)本项要求求包括:a) 应确保安安全服务务商的选选择符合合国家的的有关规规定;b) 应与选定定的安全全服务商商签订与与安全相相关的协协议,明明确约定定相关责责任。6.2.5 系统运维维管理6.2.5.1 环境管理理(G11)本项要求求包括:a) 应指定专专门的部部门或人人员定期期对机房房供配电电、空调调、温湿湿度控制制等设施施
34、进行维维护管理理;b) 应对机房房的出入入、服务务器的开开机或关关机等工工作进行行管理;c) 应建立机机房安全全管理制制度,对对有关机房房物理访访问,物物品带进进、带出出机房和和机房环环境安全全等方面的管管理作出出规定。6.2.5.2 资产管理理(G11)应编制与与信息系系统相关关的资产产清单,包包括资产产责任部部门、重重要程度度和所处处位置等等内容。6.2.5.3 介质管理理(G11)本项要求求包括:a) 应确保介介质存放放在安全全的环境境中,对对各类介介质进行行控制和和保护;b) 应对介质质归档和和查询等等过程进进行记录录,并根根据存档档介质的的目录清清单定期期盘点。6.2.5.4 设备管
35、理理(G11)本项要求求包括:a) 应对信息息系统相相关的各各种设备备、线路路等指定定专门的的部门或或人员定定期进行行维护管管理;b) 应建立基基于申报报、审批批和专人人负责的的设备安安全管理理制度,对对信息系系统的各各种软硬硬件设备备的选型型、采购购、发放放和领用用等过程程进行规规范化管管理。6.2.5.5 网络安全全管理(GG1)本项要求求包括:a) 应指定人人员对网网络进行行管理,负负责运行行日志、网网络监控控记录的的日常维维护和报报警信息息分析和和处理工工作;b) 应定期进进行网络络系统漏漏洞扫描描,对发发现的网网络系统统安全漏漏洞进行行及时的的修补。6.2.5.6 系统安全全管理(G
36、G1)本项要求求包括:a) 应根据业业务需求求和系统统安全分分析确定定系统的的访问控控制策略略;b) 应定期进进行漏洞洞扫描,对对发现的的系统安安全漏洞洞进行及及时的修修补;c) 应安装系系统的最最新补丁丁程序,在安装系统补丁前,应首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。(增强)6.2.5.7 恶意代码码防范管管理(GG1)应提高所所有用户户的防病病毒意识识,告知知及时升升级防病病毒软件件,在读读取移动动存储设设备上的的数据以以及网络络上接收收文件或或邮件之之前,先先进行病病毒检查查,对外外来计算算机或存存储设备备接入网网络系统统之前也也应进行行病毒检检查
37、。6.2.5.8 备份与恢恢复管理理(G11)本项要求求包括:a) 应识别需需要定期期备份的的重要业业务信息息、系统统数据及及软件系系统等;b) 应规定备备份信息息的备份份方式、备备份频度度、存储介介质、保保存期等等。6.2.5.9 安全事件件处置(G11)本项要求求包括:a) 应报告所所发现的的安全弱弱点和可可疑事件件,但任任何情况况下用户户均不应应尝试验验证弱点点;b) 应制定安安全事件件报告和和处置管管理制度度,规定定安全事事件的现现场处理理、事件件报告和和后期恢恢复的管管理职责责。7 第二级基基本要求求7.1 技术要求求7.1.1 物理安全全7.1.1.1 物理位置置的选择择(G22)
38、 机房和和办公场场地应选选择在具具有防震震、防风风和防雨雨等能力力的建筑筑内。7.1.1.2 物理访问问控制(G2)本项要求求包括:a) 机房各出出入口应应安排专专人值守守或配置置电子门门禁系统统,控制制、鉴别别和记录录进入的的人员;(增强强)b) 进入机房房的来访访人员应应经过申申请和审审批流程程,并限限制和监监控其活活动范围围。7.1.1.3 防盗窃和和防破坏坏(G22)本项要求求包括:a) 应将主要要设备放放置在机机房内;b) 应将设备备或主要要部件进进行固定定,并设设置明显显的不易易除去的的标记;c) 应将通信信线缆铺铺设在隐隐蔽处,可可铺设在在地下或或管道中中;d) 应对介质质分类标
39、标识,存存储在介介质库或或档案室室中;e) 主机房应应安装必必要的防防盗报警警设施。7.1.1.4 防雷击(G2)本项要求求包括:a) 机房建筑筑应设置置避雷装装置;b) 机房应设设置交流流电源地地线。7.1.1.5 防火(GG2)机房应设设置灭火火设备和和火灾自自动报警警系统。7.1.1.6 防水和防防潮(GG2)本项要求求包括:a) 主机房尽尽量避开开水源,与与主机房房无关的的给排水水管道不不得穿过过主机房房,与主主机房相相关的给给排水管管道必须须有可靠靠的防渗渗漏措施施;(落落实)b) 应采取措措施防止止雨水通通过机房房窗户、屋屋顶和墙墙壁渗透透;c) 应采取措措施防止止机房内内水蒸气气
40、结露和和地下积积水的转转移与渗渗透。7.1.1.7 防静电(G2)关键设备备应采用用必要的的接地防防静电措措施。7.1.1.8 温湿度控控制(GG2)机房应设设置温、湿湿度自动动调节设设施,使使机房温温、湿度度的变化化在设备备运行所所允许的的范围之之内。7.1.1.9 电力供应应(A22)本项要求求包括:a) 应在机房房供电线线路上配配置稳压压器和过过电压防防护设备备;b) 应提供短短期的备备用电力力供应,至至少满足足关键设设备在断断电情况况下的正正常运行行要求。7.1.1.10 电磁防护护(S22) 电源线线和通信信线缆应应隔离铺铺设,避避免互相相干扰。7.1.2 网络安全全7.1.2.1
41、结构安全全(G22)本项要求求包括:a) 管理信息息大区网网络与生生产控制制大区网网络应物物理隔离离;两网网之间有有信息通通信交换换时应部部署符合合电力系系统要求求的单向向隔离装装置;(新新增)b) 管理信息息大区网网络可进进一步划划分为内内部网络络和外部部网络,两两网之间间有信息息通信交交换时防防护强度度应强于于逻辑隔隔离;(新新增)c) 具有层次次网络结结构的单单位可统统一提供供互联网网出口;(新增增)d) 应保证关关键网络络设备的的业务处处理能力力具备冗冗余空间间,满足足业务高高峰期需需要;e) 应保证接接入网络络和核心心网络的的带宽满满足业务务高峰期期需要;a) 应绘制完完整的网网络拓
42、扑扑结构图图,有相相应的网网络配置置表,包包含设备备IP地地址等主主要信息息,与当当前运行行情况相相符;(增强)f) 应根据各各部门的的工作职职能、重重要性和和所涉及及信息的的重要程程度等因因素,划划分不同同的子网网或网段段,并按按照方便便管理和和控制的的原则为为各子网网、网段段分配地地址段。7.1.2.2 访问控制制(G22)本项要求求包括:a) 应在网络络边界部部署访问问控制设设备,启启用访问问控制功功能;b) 应能根据据会话状状态信息息为数据据流提供供明确的的允许/拒绝访访问的能能力,控控制粒度度为端口口级;(增增强)c) 应按用户户和系统统之间的的允许访访问规则则,决定定允许或或拒绝用
43、用户对受受控系统统进行资资源访问问,控制制粒度为为单个用用户。以以拨号或或VPNN等方式式接入网网络的,应应采用强强认证方方式,并并对用户户访问权权限进行行严格限限制。(增强)d) 应限制具具有拨号号、VPPN等访访问权限限的用户户数量。(增强)7.1.2.3 安全审计计(G22)本项要求求包括:a) 应对网络络系统中中的网络络设备运运行状况况、网络络流量、用用户行为为等进行行日志记记录;b) 审计记录录应包括括:事件件的日期期和时间间、用户户、事件件类型、事事件是否否成功及及其他与与审计相相关的信信息。7.1.2.4 边界完整整性检查查(S22) 应能够够对内部部网络中中出现的的内部用用户未
44、通通过准许许私自联联到外部部网络的的行为进进行检查查。7.1.2.5 入侵防范范(G22) 应在网网络边界界处监视视以下攻攻击行为为:端口口扫描、强强力攻击击、木马马后门攻攻击、拒拒绝服务务攻击、缓缓冲区溢溢出攻击击、IPP碎片攻攻击和网网络蠕虫虫攻击等等。7.1.2.6 网络设备备防护(G2)本项要求求包括:a) 应对登录录网络设设备的用用户进行行身份鉴鉴别;b) 应对网络络设备的的管理员员登录地地址进行行限制;c) 网络设备备标识应应唯一;同一网网络设备备的用户户标识应应唯一;禁止多多个人员员共用一一个账号号;(增强)d) 身份鉴别别信息应应不易被被冒用,口口令复杂杂度应满满足要求求并定期
45、期更换。应修改默认用户和口令,不得使用缺省口令,口令长度不得小于8位,要求是字母和数字或特殊字符的混合并不得与用户名相同,口令应定期更换,并加密存储;(增强)e) 应具有登登录失败败处理功功能,可可采取结结束会话话、限制制非法登登录次数数和当网网络登录录连接超超时自动动退出等等措施;f) 当对网络络设备进进行远程程管理时时,采取取必要措措施防止止鉴别信信息在网网络传输输过程中中被窃听听;g) 应封闭不不需要的的网络端端口,关关闭不需需要的网网络服务务。如需需使用SSNMPP服务,应应采用安安全性增增强版本本;并应应设定复复杂的CCommmuniity控控制字段段,不使使用Puubliic、Priivatte等默默认字段段。(新新增)7.1.3 主机安全全7.1.3.1 身份鉴别别(S22)本项要求求包括:a) 应对登录录操作系系统和数数据库系系统的用用户进行行身份标标识和鉴鉴别;b) 操作系统统和数据据库系统统管理用用户身份份鉴别信信息应不不易被冒冒用,口口令复杂杂度应满满足