烟草行业信息系统安全等级保护基本要求Word格式.docx

1、不同等级的信息系统应具备的差不多安全爱护能力如下：第一级安全爱护能力：应能够防护系统免受来自个人的、拥有专门少资源的威逼源发起的恶意攻击、一样的自然灾难、以及其他相当危害程度的威逼所造成的关键资源损害。信息系统遭到破坏后，对业务造成局部性阻碍且经济缺失程度一样，由信息系统建设和使用单位按本单位信息化工作部门有关规定进行自行爱护，它需要实施系统安全运行所需的差不多的技术要求和安全治理要求。第二级安全爱护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威逼源发起的恶意攻击、一样的自然灾难，以及其他相当危害程度的威逼所造成的重要资源损害，能够发觉重要的安全漏洞和安全事件。信息系统遭到破坏后

2、，对烟草业务造成区域性阻碍且经济缺失程度较大，由信息系统建设和使用单位在国家烟草专卖局有关部门的指导下进行爱护，它需要实施系统安全运行所需的一定程度的技术要求和安全治理要求。第三级安全爱护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威逼源发起的恶意攻击、较为严峻的自然灾难，以及其他相当危害程度的威逼所造成的要紧资源损害，能够发觉安全漏洞和安全事件。信息系统遭到破坏后，对业务造成全局性阻碍或经济缺失程度严峻，由信息系统建设和使用单位在国家烟草专卖局有关部门的监督下进行爱护，它需要实施系统安全运行所需的高程度的技术要求和严格的安全治理要求。第四级安全爱护能力：略

3、第五级安全爱护能力：略。4.3.差不多技术要求和差不多治理要求差不多安全要求是针对不同安全爱护等级信息系统应该具有的差不多安全爱护能力提出的安全要求，依照实现方式的不同，差不多安全要求分为差不多技术要求和差不多治理要求两大类。技术类安全要求与信息系统提供的技术安全机制有关，要紧通过在信息系统中部署软硬件并正确的配置其安全功能来实现；治理类安全要求与信息系统中各种角色参与的活动有关，要紧通过操纵各种角色的活动，从制度、规范、流程以及记录等方面做出规定来实现。差不多技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出；差不多治理要求从安全治理制度、安全治理机构、人员安全治理、系统

4、建设治理和系统运维治理几个方面提出，差不多技术要求和差不多治理要求是确保信息系统安全不可分割的两个部分。差不多安全要求从各个层面或方面提出了系统的每个部分应该满足的安全要求，信息系统具有的整体安全爱护能力通过不同组件实现差不多安全要求来保证。除了保证系统的每个组件满足差不多安全要求外，还要考虑组件之间的相互关系，来保证信息系统的整体安全爱护能力。关于烟草行业信息系统整体安全爱护能力的说明见附录A。关于涉及国家隐秘的信息系统，应按照国家保密工作部门的相关规定和标准进行爱护。关于涉及密码的使用和治理，应按照国家密码治理的相关规定和标准实施。4.4.差不多技术要求的三种类型依照爱护侧重点的不同，技术

5、类安全要求进一步细分为：爱护数据在储备、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求简记为S；爱护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求简记为A；通用安全爱护类要求简记为G。本要求中对差不多安全要求使用了标记，其中的字母表示安全要求的类型，数字表示适用的安全爱护等级。5.第一级差不多要求5.1.技术要求5.1.1.物理安全5.1.1.1.物理访问操纵G1机房出入应安排专人负责，操纵、鉴别和记录进入的人员。1）应对人员进出机房进行治理，采取有效的爱护措施；2）应安排专人对人员进出机房进行治理，储存人员进入机房的登记记录。5.1.1.2

6、.防盗窃和防破坏G1本项要求包括：a）应将要紧设备放置在机房内；1）要紧设备应放置在机房内或其它不易被盗窃和破坏的可控范畴内。b）应将设备或要紧部件进行固定，并设置明显的不易除去的标记。1）设备或要紧部件应当安装、固定在机柜内或机架上；2）设备或要紧部件应贴有明显且不易除去的标识，如粘贴标签或铭牌等。5.1.1.3.防雷击G1机房建筑应设置避雷装置。1）机房或机房所在大楼应安装避雷装置，如：避雷针或避雷器等；2）应具有经国家有关部门验收或检测合格的相关证明文件。5.1.1.4.防火G1a）机房应设置灭火设备；1）应制订机房消防应急预案，并按照5.2.5.1.a）机房消防安全的要求，对相关人员进

7、行消防培训；2）机房应配备有效的灭火设备，摆放位置合理。b）机房内装修材料应采纳难燃材料和非燃材料。1）机房内的装修材料应满足建筑内部装修设计防火规范GB 5022295（2001年修订版）中规定的难燃材料和非燃材料的要求。5.1.1.5.防水和防潮G1a）应对穿过机房墙壁和楼板的水管增加必要的爱护措施；1）水管安装，尽量幸免穿过屋顶和活动地板，穿过墙壁和楼板的水管应使用套管，并采取可靠的密封措施。b）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。1）机房外墙壁假设有对外的窗户，应对窗户进行密封、防水处理；2）应对机房屋顶、地面和墙壁进行防水处理，防止显现漏水、渗透和返潮现象；3）应对机房屋

8、顶进行保温处理，防止产生冷凝水。5.1.1.6.温湿度操纵G1机房应设置必要的温、湿度操纵设施，使机房温、湿度的变化在设备运行所承诺的范畴之内。1）机房应配备温湿度自动调剂设施，按照5.2.5.1.a）的温湿度值要求，对机房温湿度进行操纵，但必须满足电子信息系统机房设计规范GB 501742020中的环境要求A级或B级的技术要求。5.1.1.7.电力供应A1应在机房供电线路上配置稳压器和过电压防护设备。1）运算机系统供电线路上应设置稳压器和过电压防护设备如：UPS，有效操纵电源稳压范畴满足运算机系统正常运行。5.1.2.网络安全5.1.2.1.结构安全G1a）应保证关键网络设备的业务处理能力满

9、足差不多业务需要；1）应保证关键网络设备的CPU使用率在业务访问时期不超过30%；2）应使用监控系统监控关键网络设备的运行状态。b）应保证接入网络和核心网络的带宽满足差不多业务需要；1）应保证要紧网络设备接口带宽配置满足差不多业务访问需要。c）应绘制与当前运行情形相符的网络拓扑结构图。1）应绘制完整的网络拓扑结构图，包含相应的网络配置表、设备IP地址等要紧信息，并与当前运行情形相符且及时更新。5.1.2.2.访问操纵G1a）应在网络边界部署访问操纵设备，启用访问操纵功能；1）应在网络边界处部署防火墙并配置访问操纵列表；2）假设网络边界处未部署防火墙或其他安全访问操纵设备，那么应启用路由器或交换

10、机的访问操纵功能。b）应依照访问操纵列表对源地址、目的地址、源端口、目的端口和协议等进行检查，以承诺/拒绝数据包出入；1）网络边界访问操纵设备应设定过滤规那么集。规那么集应涵盖对所有出入边界的数据包的处理方式，关于没有明确定义的数据包，应缺省拒绝。c）应通过访问操纵列表对系统资源实现承诺或拒绝用户访问，操纵粒度至少为用户组。1）应在防火墙或其他设备上设置用户或用户组，结合访问操纵规那么实现用户认证功能。5.1.2.3.网络设备防护G1a）应对登录网络设备的用户进行身份鉴别；1）应设置设备的登录口令；2）应删除默认用户或修改默认用户的口令，依照治理需要开设用户，不得使用缺省口令、空口令、弱口令。

11、b）应具有登录失败处理功能，可采取终止会话、限制非法登录次数和当网络登录连接超时自动退出等措施；1）应设置非法登录次数为3次，登录连接超时时刻为3分钟。c）当对网络设备进行远程治理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。1）应采纳ssh, s等加密协议方式对设备进行交互式治理。5.1.3.主机安全5.1.3.1.身份鉴别S1应对登录操作系统和数据库系统的用户进行身份标识和鉴别。1）登录用户的身份标识应采纳用户名，鉴别方式采纳口令。5.1.3.2.访问操纵S1a）应启用访问操纵功能，依据安全策略操纵用户对资源的访问；1）服务器系统应依照安全策略限制用户访问文件的权限及关闭默认共享；

12、2）数据库系统应限制主体如用户对客体如文件或系统设备、数据库表等的操作权限如读、写或执行。b）应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令；1）应重命名Windows系统已有默认账号administrator；2）系统无法修改访问权限的专门默认账户，可不修改访问权限；3）系统无法重命名的专门默认账户，可不重命名。c）应及时删除余外的、过期的账户，幸免共享账户的存在。1）应删除系统余外和过期的账户，如GUEST；2）不承诺多人共用一个相同的账户。5.1.3.3.入侵防范G1操作系统应遵循最小安装的原那么，仅安装需要的组件和应用程序，并保持系统补丁及时得到更新。1）应在网络

13、边界处部署入侵检测系统等包含入侵防范功能的安全设备。5.1.3.4.恶意代码防范G1应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库。1）原那么上主机应安装防恶意代码软件并及时更新恶意代码库，不支持的主机操作系统除外；2）未安装防恶意代码软件的主机，应采取有效的防范恶意代码措施。5.1.4.应用安全5.1.4.1.身份鉴别S1a）应提供专用的登录操纵模块对登录用户进行身份标识和鉴别；1）应用系统应具有专用的登录操纵模块对登录用户的用户名/密码进行核实。b）应提供登录失败处理功能，可采取终止会话、限制非法登录次数和自动退出等措施；1）应用系统应限制用户的非法登录次数不超过3次；2）

14、登录失败超过3次的账户将被锁定，由系统治理员解锁；3）应设置应用系统连接超时时刻，超时需重新登录连接。c）应启用身份鉴别和登录失败处理功能，并依照安全策略配置相关参数。1）应用系统应保证身份鉴别、鉴别信息复杂度以及登录失败处理功能的开启，并依照a）、b）、c）相关要求配置参数。5.1.4.2.访问操纵S1a）应提供访问操纵功能操纵用户组/用户对系统功能和用户数据的访问；1）应用系统应依照安全策略限制用户对系统功能和用户数据的访问。b）应由授权主体配置访问操纵策略，并严格限制默认用户的访问权限。1）访问操纵列表的授权与操纵应有专人进行治理；2）应用系统应重命名正在使用的默认账户，如：admin等

15、；3）应用系统应及时删除不被使用的账户，一样指应用系统的公共账户或测试账户。5.1.4.3.通信完整性S1应采纳约定通信会话方式的方法保证通信过程中数据的完整性。1）应用系统中通信双方应利用约定通信会话方式保证数据完整性。5.1.4.4.软件容错A1应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。1）应用系统应对输入数据进行有效性校验如：数据格式、数据长度、空否等。5.1.5.数据安全及备份复原5.1.5.1.数据完整性S1应能够检测到重要用户数据在传输过程中完整性受到破坏。1）应具有对重要用户数据在传输过程中的完整性进行检测的功能。5.1.5

16、.2.备份和复原A1应能够对重要信息进行备份和复原。1）至少每周对关键主机操作系统、网络设备操作系统、数据库治理系统和应用系统配置文件，以及关键数据库和应用系统重要信息进行备份，备份介质场外存放。5.2.治理要求5.2.1.安全治理制度5.2.1.1.治理制度G1应建立日常治理活动中常用的安全治理制度。1）应从物理、网络、主机、数据、应用、建设和治理等层面分别建立安全治理制度。5.2.1.2.制订和公布G1a）应指定或授权专门的人员负责安全治理制度的制订；b）应将安全治理制度以某种方式公布到相关人员手中。1）应明确安全治理制度的公布方式，并按此要求将安全治理制度公布到相关人员手中。5.2.2.

17、安全治理机构5.2.2.1.岗位设置G1应设立系统治理员、网络治理员、安全治理员等岗位，并定义各个工作岗位的职责。1）信息化工作部门应至少设立系统治理员、网络治理员、信息安全治理员岗位；2）各单位内设部门应设立信息安全员岗位，负责本部门各项安全措施的落实；3）应制订信息安全组织机构和岗位职责文件，明确上述涉及的各个岗位的职责。5.2.2.2.人员配备G1应配备一定数量的系统治理员、网络治理员、安全治理员等。1）应按照5.2.2.1.的岗位设置要求，结合实际情形，对各个岗位配备足够的人员；2）应针对各个信息系统建立系统治理员、数据库治理员、网络治理员、信息安全治理员等安全治理岗位人员的信息表。5

18、.2.2.3.授权和审批G1应依照各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批。1）应明确需审批的关键活动，并授权审批部门及批准人对关键活动进行审批；2）关键活动至少包括系统上线、网络接入、重要资源访问、系统变更、外部人员访问、信息公布等。5.2.2.4.沟通和合作G1应加强与合作单位的沟通。1）应与有关合作单位建立沟通、合作机制，明确合作内容、合作方式；2）信息化工作部门应建立合作单位联系列表，至少包括单位名称、合作内容、联系人、联系方式等信息。5.2.3.人员安全治理a）应制订人员信息安全治理制度，对人员录用、外部人员治理等方

19、面作出规定。至少包括以下内容：1）对外部人员访问重要区域治理进行规定，明确对外部人员访问机房等重要区域须通过相关部门或负责人批准等方面内容；2）对外包运维服务商的治理措施和安全要求等内容进行规定。5.2.3.1.人员录用G1a）应指定或授权专门的部门或人员负责人员录用；b）应对被录用人员的身份和专业资格等进行审查，并确保其具有差不多的专业技术水平和安全治理知识。5.2.3.2.人员离岗G1a）应赶忙终止由于各种缘故离岗职员的所有访问权限；1）应及时终止离岗人员的所有访问权限，至少包括物理访问权限、网络设备访问权限、操作系统访问权限、数据库访问权限、应用系统访问权限、用户终端访问权限等。 b）应

20、取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。1）应储存离岗人员的安全处理记录，详细记录交还出入机房和其他重要办公场所的证件、钥匙、胸卡以及单位提供的软硬件设备等情形。5.2.3.3.安全意识教育和培训G1a）应对各类人员进行安全意识教育和岗位技能培训；1）应采取有效的培训方式，对各个岗位人员进行安全教育和岗位技能培训；2）对信息安全治理员应有专门的培训内容，如：信息安全基础知识、信息安全等级爱护政策法规、信息安全等级爱护技术知识等。b）应告知人员相关的安全责任和惩戒措施。1）应明确安全责任和惩戒措施，并向相关人员告知。5.2.3.4.外部人员访问治理G1a）应确保在外部人员访问受控

21、区域前得到授权或审批；1）应按照5.2.3.a）外部人员访问治理的要求，对外部人员访问重要区域如：访问机房、重要服务器或设备区等进行严格治理，采取有效的安全措施，经有关部门或负责人批准后外部人员方能访问。b）应对外包运维服务商提出的安全要求进行书面规定，并对其进行严格的监督治理。1）应按照5.2.3.a）外包运维服务商治理的要求，对外包运维服务商进行严格监督治理；2）外包运维服务商应符合5.2.4.9.a）、b）、c）的要求；3）外包运维服务商必须服从本单位制订的信息安全治理体系方针、安全治理制度和运行爱护流程规范的要求；4）进行安全技术体系运行爱护的服务商必须具备国家信息安全服务资质，同时不

22、能同时承担网络基础设施、重要应用系统和重要数据库系统的外包运行爱护工作。5.2.4.系统建设治理5.2.4.1.系统定级G1a）应明确信息系统的边界和安全爱护等级；1）应参照烟草行业信息系统安全等级爱护与信息安全事件定级准那么YC/T 3892020确定本单位信息系统和信息子系统的安全级别。b）应以书面的形式说明信息系统确定为某个安全爱护等级的方法和理由；1）应结合a）的要求，撰写信息系统定级报告，明确信息系统的边界和安全爱护等级，说明定级的方法和理由。c）应确保信息系统的定级结果通过相关部门的批准。1）信息系统的定级结果应通过上级主管部门批准，并储存烟草行业信息系统安全爱护等级审核表。5.2

23、.4.2.安全方案设计G1a）应依照系统的安全爱护等级选择差不多安全措施，依据风险分析的结果补充和调整安全措施；1）应依照系统的安全爱护等级，参考本要求规定的相应级别的最低爱护要求，确定系统的差不多安全措施；2）应对系统进行风险分析，并依照风险分析的结果补充或调整已确定的差不多安全措施。b）应以书面的形式描述对系统的安全爱护要求和策略、安全措施等内容，形成系统的安全方案；1）应依照信息系统的等级划分情形，参考国家的法律法规、技术标准如：信息安全技术 信息系统安全等级爱护实施指南GB/T 250582020，遵循烟草行业的相关规定，建立系统的安全方案，明确系统的安全爱护要求，详细描述系统的安全策

24、略、系统采取的安全措施等方面内容。c）应对安全方案进行细化，形成能指导安全系统建设、安全产品采购和使用的详细设计方案。GB/T 250582020，遵循烟草行业的相关规定，对已形成的安全方案进行细化，建立系统的详细设计方案，明确安全建设方案和安全产品采购方案等方面内容。5.2.4.3.产品采购和使用G1应确保安全产品采购和使用符合国家的有关规定。1）系统使用的有关信息安全产品应获得运算机信息系统安全专用产品销售许可证，并依照信息系统安全需求选择使用相应等级的产品；2）应按各单位规定的采购流程采购相关产品。5.2.4.4.自行软件开发G1a）应确保开发环境与实际运行环境物理分开；1）自主开发软件

25、应在独立的模拟环境中编写、调试和完成，与实际运行环境物理隔离。b）应确保软件设计相关文档由专人负责保管。1）应储存软件设计的相关文档，并指定专人负责治理；2）软件设计的相关文档至少包括应用软件设计程序文件、源代码文档等。5.2.4.5.外包软件开发G1a）应对外包软件开发的操纵方法和人员行为准那么进行书面规定；1）明确外包软件开发过程的操纵方法包括软件设计、开发、测试、验收过程；2）明确外包软件开发活动的审批流程；3）明确软件开发相关文档的治理措施；4）明确外包开发商应具备的资质条件和外包开发人员的行为准那么。b）应依照开发要求检测软件质量；1）软件交付前应依据开发要求的技术指标对软件功能和性

26、能等进行验收测试。c）应在软件安装之前检测软件包中可能存在的恶意代码；1）软件安装之前应使用第三方的检测工具检测软件包中可能存在的恶意代码。d）应确保提供软件设计的相关文档和使用指南。1）应要求开发单位提供需求分析说明书、软件设计说明书、软件操作手册等软件开发文档和使用指南，并指定专人负责保管。5.2.4.6.工程实施G1应指定或授权专门的部门或人员负责工程实施过程的治理。1）应指定专门部门或人员对工程实施过程进行进度和质量操纵。5.2.4.7.测试验收G1a）应对系统进行安全性测试验收；1）在系统建设完成之后，应对信息系统的安全性进行安全性测试和评估。b）在测试验收前应依照设计方案或合同要求

27、等制订测试验收方案，在测试验收过程中应详细记录测试验收结果，并形成测试验收报告。1）应依照设计方案或合同要求等制订测试验收方案，明确参与测试的部门、人员、测试验收的内容、现场操作过程等方面内容；2）应储存测试验收记录，详细记录测试时刻、人员、现场操作过程和测试验收结果等内容；3）应储存系统测试验收报告，详细描述整体测试验收过程以及测试验收结果，必要时，提出存在的问题及改进意见等内容。5.2.4.8.系统交付G1 a）应对负责系统运行爱护的技术人员进行相应的技能培训；1）系统交付时，应由系统建设方对负责系统运行爱护的技术人员进行相应的技能培训，储存培训记录，详细记录培训内容、培训时刻和参与人员等；2）培训内容至少包括系统操作规程、运维本卷须知等。b）应确保提供系统建设过程中的文档和指导用户进行系统运行爱护的文档；1）应储存系统建设过程中的所有文档、指导用户进行系统爱护的文档和系统培训手册等；2）系统建设过程中的所有文档包括工程实施、系统测试、系统验收等过程产生的文档，可参考信息安全技术 信息系统安全工程治理要求GB/T 202822006。c）应制订系统交付清单，并依照