首页 水利网络与信息安全体系建设基本技术要求.pdf

水利网络与信息安全体系建设基本技术要求.pdf

水利网络与信息安全体系建设基本技术要求.pdf

上传者: 138*****071@sina.cn 2012-02-27 评分1 评论0 下载29 收藏0 阅读量694 暂无简介 简介 举报

简介:本文档为《水利网络与信息安全体系建设基本技术要求pdf》,可适用于专题技术领域,主题内容包含水利网络与信息安全体系建设基本技术要求(送审稿)水利部信息化工作领导小组办公室二零一零年三月I目录目的与范围目的范围规范性引用文件术语、定义和缩略语符等。

水利网络与信息安全体系建设基本技术要求(送审稿)水利部信息化工作领导小组办公室二零一零年三月I目录目的与范围目的范围规范性引用文件术语、定义和缩略语总体建设要求总体要求基本框架信息系统安全定级节点建设要求部机关安全系统建设要求省、流域级节点安全系统建设要求市级节点安全系统建设要求县级节点安全系统建设要求安全要素建设要求物理安全环境建设要求第二级安全防护物理安全要求第三级安全防护物理安全要求第四级安全防护物理安全要求第二级应用服务区建设要求安全计算环境建设安全区域边界建设安全通信网络建设第三级应用服务区建设要求安全计算环境建设安全区域边界建设安全通信网络建设第四级应用服务区建设要求安全计算环境建设安全区域边界建设安全通信网络建设安全管理区建设要求第二级安全管理中心建设第三级安全管理中心建设第四级安全管理中心建设核心交换区建设要求终端区建设要求II第二级终端安全要求第三级终端安全要求第四级终端安全要求公众服务区建设要求部级节点省、流域级节点市级节点县级节点安全互联部件建设要求应用安全建设要求第二级应用安全建设第三级应用安全建设第四级应用安全建设目的与范围目的水利信息化发展快速信息化基础设施及业务应用逐步建设并完善与此同时网络与信息安全体系也逐步建立和发展。但与日益增加的业务应用对安全的需求相比水利行业网络与信息安全系统尚缺乏统一的规划、安排、组织和实施现有的安全应用还比较单一缺乏系统性和整体性存在较大安全风险远不能达到国家对信息系统安全防护的相关要求如不及时解决将严重影响水利信息化的进一步发展。《中华人民共和国计算机信息系统安全防护条例》(国务院令第号)明确规定我国“计算机信息系统实行安全等级保护”。依据国务院号令的要求而制订发布的强制性国家标准《计算机信息系统安全防护等级划分准则》(GB)为计算机信息系统安全防护等级的划分奠定了技术基础。《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发号)明确指出实行信息安全等级保护“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统抓紧建立信息安全等级保护制度”。《关于信息安全等级保护工作的实施意见》(公通字号)和《信息安全等级保护管理办法》(公通字号)确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划明确了开展信息安全等级保护工作的基本内容、工作流程、工作方法等。信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准的出台为网络与信息安全体系的建设提供了法律、政策、标准依据。《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安号)明确要求各部门在信息安全等级保护定级工作基础上力争在年底前完成已定级信息系统(不包括涉及国家秘密信息系统)安全建设整改工作。水利部于年月初组织开展了水利行业信息系统安全等级保护定级工作目前定级工作已基本完成这为水利行业网络与信息安全体系建设奠定了基础。本标准编制的目的是依据国家信息系统等级保护相关标准及其他信息安全标准规范结合水利信息化实际情况对水利网络与信息安全体系的框架结构、安全要素基本要求等进行规范指导水利行业各单位、各部门在信息安全等级保护定级和备案工作基础上开展信息系统安全规划、整改及建设工作落实安全防护技术措施建立健全安全管理制度进一步提高水利网络与信息系统的安全保障能力和防护水平确保各单位、部门网络与信息系统的安全运行推进水利信息化的安全、健康、协调发展。范围本技术要求适用于水利行业各单位用于指导各单位政务外网(水利专网)的网络与信息安全体系规划、设计、建设和整改及各单位政务外网信息系统的安全设计、建设保障信息系统的安全运行也可作为水利行业信息安全职能部门进行监督、检查和指导的依据。各单位政务内网的网络与信息安全系统建设应遵循国家有关职能部门及水利部的相关规定。规范性引用文件)GB《计算机信息系统安全防护等级划分准则》)国务院令第号《中华人民共和国计算机信息系统安全防护条例》)中办发号《国家信息化领导小组关于加强信息安全保障工作的意见》)公通字【】号关于印发《关于信息安全等级保护工作的实施意见》的通知)公通字【】号信息安全等级保护管理办法)《信息安全技术信息系统等级保护安全设计技术要求》(GBT))《信息安全技术信息系统安全等级保护基本要求》(GBT)术语、定义和缩略语)定级系统安全保护环境securityenvironmentofclassifiedsystem由安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心构成的对定级系统进行安全保护的环境。定级系统安全保护环境包括第一级系统安全保护环境、第二级系统安全保护环境、第三级系统安全保护环境、第四级系统安全保护环境、第五级系统安全保护环境以及定级系统的安全互联。)安全计算环境securecomputingenvironment对定级系统的信息进行存储、处理及实施安全策略的相关部件。安全计算环境按照保护能力划分为第一级安全计算环境、第二级安全计算环境、第三级安全计算环境、第四级安全计算环境和第五级安全计算环境。)安全区域边界secureareaboundary对定级系统的安全计算环境边界以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。安全区域边界按照保护能力划分为第一级安全区域边界、第二级安全区域边界、第三级安全区域边界、第四级安全区域边界和第五级安全区域边界。)安全通信网络securecommunicationnetwork对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。安全通信网络按照保护能力划分第一级安全通信网络、第二级安全通信网络、第三级安全通信网络、第四级安全通信网络和第五级安全通信网络。)安全管理中心securitymanagementcenter对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。第二级及第二级以上的定级系统安全保护环境需要设置安全管理中心称为第二级安全管理中心、第三级安全管理中心、第四级安全管理中心和第五级安全管理中心。)系统安全互联securesysteminterconnection通过安全互联部件和跨定级系统安全管理中心实现的相同或不同等级的定级系统安全保护环境之间的安全连接。总体建设要求总体要求本技术要求只是对网络与信息安全体系的框架和基本技术要求进行约定而不是网络与信息安全体系建设的方案各单位在网络与信息安全系统建设时应依据本技术要求结合各自实际情况进行网络与信息安全系统规划、设计及建设。本技术要求主要是对水利信息系统中已定级为第二级、第三级、第四级的信息系统的安全防护建设提出基本技术要求对于定级为第一级或五级的信息系统的安全防护由各建设、管理单位参照等级保护的要求进行建设。水利网络与信息系统安全体系建设需要遵循以下总体要求:)遵循等级保护的相关标准和规范的要求)按照本技术要求进行设计保证系统结构完整安全要素全面覆盖)网络与信息安全体系建设是一个逐步完善的过程各单位应依据本技术要求进行统一规划在建设时可以根据信息化的发展逐步建设与完善首先保证重要信息系统的安全)本要求为基本要求各单位在安全体系建设时可根据具体信息系统的特点适当调整部分安全要素要求)在保证关键技术实现的前提下尽可能采用成熟产品保证系统的可用性、工程实施的简便快捷。各单位在新建应用系统或对已有应用升级改造时,可参照第章应用安全建设要求有关内容完善应用安全。基本框架依据信息系统安全等级保护基本要求及水利网络与信息系统状况将水利行业网络与信息安全体系依据涉及的业务范围划分为政务外网、政务内网依据单位的级别划分为部级节点、省、流域级节点、市级节点、县级节点。水利网络与信息安全体系框架结构如图所示:图水利网络与信息安全体系框架结构图vvvvvvv水利行业信息系统分布于政务外网和政务内网两个物理隔离的网络其中政务外网分公众服务区和业务服务区两部分。各级节点的政务外网公众服务区通过因特网互联各级节点的政务外网业务服务区通过水利信息网政务外网互联各级节点的政务内网通过水利信息网政务内网互联采用安全互联设备进行安全防护。各节点的政务外网和政务内网网络与信息安全措施相对独立在政务外网的互联区域达到等级保护第三级系统的安全防护要求时在经过有关部门审批同意的情况下可采用单向导入设备实现从政务外网到政务内网的单向信息导入各节点的政务外网公众服务区和业务服务区采用统一的安全防护错措施两个区域通过安全边界依据安全策略实现安全互联。各单位可根据需要建设控制调度网,实现重要水库、枢纽、灌区、供水、排水、调水等水利工程设施的调度,控制调度网宜与政务外网、政务内网物理隔离。各信息系统根据定级情况纳入相应等级的应用服务区各级应用服务区提供一个相应等级的系统安全保护环境保护信息系统安全如图所示。其中不同等级应用服务区可共用安全通信网络该安全通信网络将按最高等级安全服务区安全通信网络要求建设。图应用服务区结构图本技术要求以下部分仅针对政务外网网络与信息安全体系政务内网的安全体系遵循国家有关标准规范及水利部的有关要求。信息系统安全定级水利行业各单位在进行网络与信息安全体系规划、建设时首先应进行信息系统的梳理和安全定级工作根据安全定级将信息系统划入相应等级的安全保护区多个信息系统可以放入同一安全保护区。水利行业主要信息系统的安全定级可参考如下规则:)“防汛抗旱指挥系统”可划分成“骨干网系统”、“数据库系统”和“应用系统(可根据实际应用情况再进行划分)”三个系统的流域级、省级分支系统的安全保护等级应定为三级三个系统的地市级及以下单位的分支系统的安全保护等级可定为二级。)“防汛抗旱异地会商视频会议系统”、“实时水情交换与查询系统”的流域级、省级分支系统的安全保护等级应定为三级地市级及以下单位的分支系统的安全保护等级可定为二级。)城市水资源实时监控与管理信息系统的安全保护等级可定为二级或以上。)“全国水土保持监测网络和信息系统”在系统结构上是一套全国联网、数据集中的信息系统“全国水土保持监测网络信息系统”分支系统的安全保护等级可定为二级。)重要水库、枢纽、灌区、供水、排水、调水等水利工程设施的调度和运行信息系统的安全保护等级应定为三级。)流域级、省级单位“政府网站信息系统”的安全保护等级可定为二级。)各单位内部局域网、日常办公等信息系统的安全保护等级可定为二级。)其他信息系统可结合实际情况、按照相关规定进行定级。节点建设要求部机关安全系统建设要求依据GB《计算机信息系统安全防护等级划分准则》以及《信息安全技术信息系统等级保护安全设计技术要求》等信息安全标准规范水利部信息系统定级情况及水利部网络与信息系统状况将水利部政务外网网络与信息系统划分为个安全保护区和个物理安全环境个安全保护区分别为:第二级应用服务区、第三级应用服务区、第四级应用服务区、终端区、安全管理区、核心交换区、公众服务区其中各安全保护区可以通过安全互联部件互联。水利部网络与信息安全系统结构如图所示。图水利部网络与信息安全系统结构图第二级应用服务区公众服务区核心交换区安全互联安全互联终端区安全管理区安全互联物理安全环境第三级应用服务区安全互联第四级应用服务区安全互联)第二级应用服务区:第二级应用服务区用于部署定级为第二级的信息系统对这些信息系统提供统一的安全防护措施并通过安全互联和核心交换区与其他区域和其他单位的信息系统进行数据交换。在第二级应用服务区内的不同第二级信息系统可以根据需要采用安全措施进行隔离。根据网络结构可以部署多个第二级应用服务区每个第二级应用服务区保护一个或多个第二级信息系统。在第二级应用服务区需按以下安全防护要求建设:z用户身份鉴别。应支持用户标识和用户鉴别。在对每一个用户注册到系统时采用用户名和用户标识符标识用户身份并确保在系统整个生存周期用户标识的唯一性在每次用户登录系统时采用受控的口令或具有相应安全强度的其他机制进行用户身份鉴别并对鉴别数据进行保密性和完整性保护。z自主访问控制。应在安全策略控制范围内使用户对其创建的客体具有相应的访问操作权限并能将这些权限的部分或全部授予其他用户。访问控制主体的粒度为用户级客体的粒度为文件或数据库表级。访问操作包括对客体的创建、读、写、修改和删除等。z系统安全审计。应提供安全审计机制记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。该机制应提供审计记录查询、分类和存储保护并可由安全管理中心管理。z用户数据完整性保护。可采用常规校验机制检验存储的用户数据的完整性以发现其完整性是否被破坏。z用户数据保密性保护。可采用密码等技术支持的保密性保护机制对在安全计算环境中存储和处理的用户数据进行保密性保护。z客体安全重用。应对用户使用的客体资源在这些客体资源重新分配前对其原使用者的信息进行清除以确保信息不被泄露。z恶意代码防范。应安装防恶意代码软件或配置具有相应安全功能的操作系统并定期进行升级和更新以防范和清除恶意代码。z备份与恢复。应能对重要信息进行备份与恢复。z区域边界协议过滤。应根据区域边界安全控制策略通过检查数据包的源地址、目的地址、传输层协议和请求的服务等确定是否允许该数据包通过该区域边界。z区域边界安全审计。应在安全区域边界设置审计机制并由安全管理中心统一管理。z区域边界恶意代码防范。应在安全区域边界设置防恶意代码网关由安全管理中心管理。z区域边界完整性保护。应在区域边界设置探测器探测非法外联等行为并及时报告安全管理中心。z通信网络安全审计。应在安全通信网络设置审计机制由安全管理中心管理。z通信网络数据传输完整性保护。可采用由密码等技术支持的完整性校验机制以实现通信网络数据传输完整性保护。z通信网络数据传输保密性保护。可采用由密码等技术支持的保密性保护机制以实现通信网络数据传输保密性保护。)第三级应用服务区:第三级应用服务区用于部署定级为第三级的信息系统对这些系统提供安全防护并通过安全互联和核心交换区与其他区域和其他单位信息系统进行数据交换。为了降低系统复杂度也可以将第二级的信息系统纳入第三级应用服务区按第三级信息系统防护。在第三级应用服务区内的不同信息系统可以根据需要采用安全措施进行隔离。根据网络结构可以部署多个第三级应用服务区每个第三级应用服务区保护一个或多个第三级信息系统。在第三级应用服务区至少需要落实以下安全技术要求:z用户身份鉴别。应支持用户标识和用户鉴别。在对每一个用户注册到系统时采用用户名和用户标识符标识用户身份并确保在系统整个生存周期用户标识的唯一性在每次用户登录系统时采用受安全管理中心控制的口令、令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别并对鉴别数据进行保密性和完整性保护。z自主访问控制。应在安全策略控制范围内使用户对其创建的客体具有相应的访问操作权限并能将这些权限的部分或全部授予其他用户。自主访问控制主体的粒度为用户级客体的粒度为文件或数据库表级和(或)记录或字段级。自主访问操作包括对客体的创建、读、写、修改和删除等。z标记和强制访问控制。在对安全管理员进行身份鉴别和权限控制的基础上应由安全管理员通过特定操作界面对主、客体进行安全标记应按安全标记和强制访问控制规则对确定主体访问客体的操作进行控制。强制访问控制主体的粒度为用户级客体的粒度为文件或数据库表级。应确保安全计算环境内的所有主、客体具有一致的标记信息并实施相同的强制访问控制规则。z系统安全审计。应记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。应提供审计记录查询、分类、分析和存储保护能对特定安全事件进行报警确保审计记录不被破坏或非授权访问。应为安全管理中心提供接口对不能由系统独立处理的安全事件提供由授权主体调用的接口。z用户数据完整性保护。应采用密码等技术支持的完整性校验机制检验存储和处理的用户数据的完整性以发现其完整性是否被破坏且在其受到破坏时能对重要数据进行恢复。z用户数据保密性保护。采用密码等技术支持的保密性保护机制对在安全计算环境中存储和处理的用户数据进行保密性保护。z客体安全重用。应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品对用户使用的客体资源在这些客体资源重新分配前对其原使用者的信息进行清除以确保信息不被泄露。z程序可信执行保护。可采用可信计算等技术构建从操作系统到上层应用的信任链以实现系统运行过程中可执行程序的完整性检验防范恶意代码等攻击并在检测到其完整性受到破坏时采取措施恢复。z备份与恢复。应能对重要信息进行本地备份与恢复备份数据可通过网络定时传送到备用场地。z区域边界访问控制。应在安全区域边界设置自主和强制访问控制机制实施相应的访问控制策略对进出安全区域边界的数据信息进行控制阻止非授权访问。z区域边界协议过滤。应根据区域边界安全控制策略通过检查数据包的源地址、目的地址、传输层协议、请求的服务等确定是否允许该数据包进出该区域边界。z区域边界安全审计。应在安全区域边界设置审计机制由安全管理中心集中管理并对确认的违规行为及时报警。z区域边界恶意代码防范。应在安全区域边界设置防恶意代码网关由安全管理中心管理。z区域边界完整性保护。应在区域边界设置探测器例如外接探测软件探测非法外联和入侵行为并及时报告安全管理中心。z通信网络安全审计。应在安全通信网络设置审计机制由安全管理中心集中管理并对确认的违规行为进行报警。z通信网络数据传输完整性保护。应采用由密码等技术支持的完整性校验机制以实现通信网络数据传输完整性保护并在发现完整性被破坏时进行恢复。z通信网络数据传输保密性保护。应采用由密码等技术支持的保密性保护机制以实现通信网络数据传输保密性保护。z通信网络可信接入保护。可采用由密码等技术支持的可信网络连接机制通过对连接到通信网络的设备进行可信检验确保接入通信网络的设备真实可信防止设备的非法接入。)第四级应用服务区域:第四级应用服务区用于部署定级为第四级的信息系统对这些系统提供安全防护并通过安全互联和核心交换区与其他区域和其他单位信息系统进行数据交换。在第四级应用服务区内的不同第四级信息系统可以根据需要采用安全措施进行隔离。根据网络结构可以部署多个第四级应用服务区每个第四级应用服务区保护一个或多个第四级信息系统。在第四级应用服务区至少需要落实以下安全技术要求:z用户身份鉴别。应支持用户标识和用户鉴别。在每一个用户注册到系统时采用用户名和用户标识符标识用户身份并确保在系统整个生存周期用户标识的唯一性在每次用户登录和重新连接系统时采用受安全管理中心控制的口令、基于生物特征的数据、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别且其中一种鉴别技术产生的鉴别数据是不可替代的并对鉴别数据进行保密性和完整性保护。z自主访问控制。应在安全策略控制范围内使用户对其创建的客体具有相应的访问操作权限并能将这些权限部分或全部授予其他用户。自主访问控制主体的粒度为用户级客体的粒度为文件或数据库表级和(或)记录或字段级。自主访问操作包括对客体的创建、读、写、修改和删除等。z标记和强制访问控制。在对安全管理员进行身份鉴别和权限控制的基础上应由安全管理员通过特定操作界面对主、客体进行安全标记将强制访问控制扩展到所有主体与客体应按安全标记和强制访问控制规则对确定主体访问客体的操作进行控制。强制访问控制主体的粒度为用户级客体的粒度为文件或数据库表级。应确保安全计算环境内的所有主、客体具有一致的标记信息并实施相同的强制访问控制规则。z系统安全审计。应记录系统相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。应提供审计记录查询、分类、分析和存储保护能对特定安全事件进行报警终止违例进程等确保审计记录不被破坏或非授权访问以及防止审计记录丢失等。应为安全管理中心提供接口对不能由系统独立处理的安全事件提供由授权主体调用的接口。z用户数据完整性保护。应采用密码等技术支持的完整性校验机制检验存储和处理的用户数据的完整性以发现其完整性是否被破坏且在其受到破坏时能对重要数据进行恢复。z用户数据保密性保护。采用密码等技术支持的保密性保护机制对在安全计算环境中的用户数据进行保密性保护。z客体安全重用。应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品对用户使用的客体资源在这些客体资源重新分配前对其原使用者的信息进行清除以确保信息不被泄露。z程序可信执行保护。应采用可信计算或其他技术构建从操作系统到上层应用的信任链以实现系统运行过程中可执行程序的完整性检验防范恶意代码等攻击并在检测到其完整性受到破坏时采取措施恢复。z恶意代码防范。应安装防恶意代码软件或配置具有相应安全功能的操作系统并定期进行升级和更新以防范和清除恶意代码。z备份与恢复。应能对重要信息进行本地备份与恢复应建立异地灾难备份中心提供业务应用的实时无缝切换备份数据可通过网络实时传送到备用场地。z区域边界访问控制。应在安全区域边界设置自主和强制访问控制机制实施相应的访问控制策略对进出安全区域边界的数据信息进行控制阻止非授权访问。z区域边界协议过滤。应根据区域边界安全控制策略通过检查数据包的源地址、目的地址、传输层协议、请求的服务等确定是否允许该数据包进出受保护的区域边界。z区域边界安全审计。应在安全区域边界设置审计机制通过安全管理中心集中管理对确认的违规行为及时报警并做出相应处置。z区域边界恶意代码防范。应在安全区域边界设置防恶意代码网关由安全管理中心管理。z区域边界完整性保护。应在区域边界设置探测器例如外接探测软件探测非法外联和入侵行为并及时报告安全管理中心。z通信网络安全审计。应在安全通信网络设置审计机制由安全管理中心集中管理并对确认的违规行为进行报警且做出相应处置。z通信网络数据传输完整性保护。应采用由密码等技术支持的完整性校验机制以实现通信网络数据传输完整性保护并在发现完整性被破坏时进行恢复。z通信网络数据传输保密性保护。应采用由密码等技术支持的保密性保护机制以实现通信网络数据传输保密性保护。z通信网络可信接入保护。应采用由密码等技术支持的可信网络连接机制通过对连接到通信网络的设备进行可信检验确保接入通信网络的设备真实可信防止设备的非法接入。)终端区:终端区是各部门办公人员终端计算机部署的区域。依据终端区计算机设备使用目标的不同终端区的计算机设备可以分为两类()管理终端:办公人员需要使用此类终端进行应用系统进行配置、管理。()普通终端:办公人员需要使用此类终端进行登录应用系统处理业务。管理终端纳入相应信息系统应用服务区进行安全保护普通终端纳入终端区进行安全防护。依据各工作人员工作职责的不同使用的终端可能需要同时访问多个级别信息系统每个终端按照访问的最高级别的系统实施相应的安全防护措施不同防护等级的终端应进行逻辑隔离。)核心交换区:核心交换区主要实现各区域之间的数据交换本身不提供安全防护能力配合安全互联提供各区域之间的访问控制。)安全管理区:建立集中的安全管理中心实现统一的安全策略管理、资源管理及安全审计。)公众服务区:公众服务区主要部署为公众服务的信息系统水利部公众服务区含第二级信息系统和第三级信息系统按照最高级别防护采取第三级应用服务区的防护措施。)物理安全环境:物理安全环境主要是为网络与信息系统提供机房、电力环境保障以及设备、设施、介质的防盗、防破坏等防护。根据网络与信息系统的位置不同每个节点物理安全环境可以分为多个部分每部分按照该环境内承载的信息系统的最高安全等级来确定防护级别。安全互联要求:应对节点内不同安全保护区之间及节点之间的信息系统互联、互通及互操作进行安全保护。省、流域级节点安全系统建设要求依据GB《计算机信息系统安全防护等级划分准则》以及《信息安全技术信息系统等级保护安全设计技术要求》等信息安全标准规范各省、流域机构信息系统定级情况及网络与信息系统状况将省、流域机构政务外网网络与信息系统划分为个安全保护区和个物理安全环境个安全保护区分别为:第二级应用服务区、第三级应用服务区、终端区、安全管理区、核心交换区、公众服务区。省、流域机构网络与信息安全系统结构如图所示。根据各单位的实际需求在省、流域级节点新建第四级的信息系统时可以参照部机关安全系统建设要求中第四级应用服务区的要求进行安全系统建设。图省、流域机构网络与信息安全系统结构图图中各区域功能及要求与部机关安全系统中相应区域一致省、流域机构公众服务区可能是由第二级信息系统组成或第二级信息系统与第三级信息系统共同组成按照最高级别的信息系统进行防护。市级节点安全系统建设要求依据GB《计算机信息系统安全防护等级划分准则》以及《信息安全技术信息系统等级保护安全设计技术要求》等信息第二级应用服务区公众服务区核心交换区安全互联终端区安全管理区安全互联物理安全环境第三级应用服务区安全互联安全互联安全标准规范各地市级单位信息系统定级情况及网络与信息系统状况将地市级单位政务外网网络与信息系统划分为个安全保护区和个物理安全环境个安全保护区分别为:第二级应用服务区、第三级应用服务区、终端区、安全管理区、核心交换区、公众服务区。地市级单位网络与信息安全系统结构如图所示。图地市级节点网络与信息安全系统结构图图中各区域功能及要求与部机关安全系统中相应区域一致。市级节点公众服务区一般由第二级信息系统组成按照第二级信息系统进行防护。县级节点安全系统建设要求依据GB《计算机信息系统安全防护等级划分准则》以及《信息安全技术信息系统等级保护安全设计技术要求》等信息安全标准规范各县级单位信息系统定级情况及网络与信息系统状第二级应用服务区公众服务区核心交换区安全互联终端区安全管理区安全互联物理安全环境第三级应用服务区安全互联安全互联况将县级单位政务外网网络与信息系统划分为个安全保护区和个物理安全环境个安全保护区分别为:第二级应用服务区、终端区、安全管理区、核心交换区、公众服务区。县级单位网络与信息安全系统结构如图所示。根据各单位的实际需求在县级节点新建第三级信息系统时可以参照部机关安全系统建设要求中第三级应用服务区的要求进行安全系统建设。图地市级节点网络与信息安全系统结构图图中各区域功能及要求与部机关安全系统中相应区域一致。县级节点公众服务区一般由第二级信息系统组成按照第二级信息系统进行防护。对于规模较小的节点安全管理区可以并入第二级应用服务区。第二级应用服务区公众服务区核心交换区安全互联安全互联终端区安全管理区安全互联物理安全环境安全要素建设要求各单位在进行网络与信息安全体系设计时可根据第、章要求进行安全分区的基础上参考本章进行各安全保护区设计。物理安全环境建设要求物理安全主要是为网络与信息系统提供机房、电力环境保障以及设备、设施、介质的防盗、防破坏等防护。根据各节点网络与信息系统的位置分布不同物理安全环境可以分为多个部分每部分按照该部分承载的信息系统的最高安全等级来确定防护级别。第二级安全防护物理安全要求环境安全场地选择机房场地选择应满足:)基本要求:按一般建筑物的要求进行机房场地选择)防火要求:避开易发生火灾和危险程度高的地区如油库和其他易燃物附近的区域)防污染要求:避开尘埃、有毒气体、腐蚀性气体、盐雾腐蚀等环境污染的区域)防潮及防雷要求:避开低洼、潮湿及落雷区域)防震动和噪声要求:避开强震动源和强噪声源区域)防强电场、磁场要求:避开强电场和强磁场区域)防地震、水灾要求:避开有地震、水灾危害的区域)防公众干扰要求:避免靠近公共区域如运输通道、停车场或餐厅等。机房内部安全防护机房内部安全防护应满足:)机房出入:机房应只设一个出入口并有专人负责未经允许的人员不准进入机房另设若干紧急疏散出口标明疏散线路和方向)机房物品:没有管理人员的明确准许任何记录介质、文件材料及各种被保护品均不准带出机房磁铁、私人电子计算机或电设备、食品及饮料、香烟、吸烟用具等均不准带入机房。机房防火机房防火应满足:)建筑材料防火:机房和记录介质存放间其建筑材料的耐火等级应符合TJ中规定的第二级耐火等级机房相关的其余基本工作房间和辅助房其建筑材料的耐火等级应不低于TJ中规定的第三级耐火等级)报警和灭火系统:设置火灾报警系统由人来操作灭火设备并对灭火设备的效率、毒性、用量和损害性有一定的要求)区域隔离防火:机房布局应将脆弱区和危险区进行隔离防止外部火灾进入机房特别是重要设备地区应安装防火门、使用阻燃材料装修等。机房供、配电机房供、配电应满足:)分开供电:机房供电系统应将计算机系统供电与其他供电分开并配备应急照明装置)紧急供电:配置抵抗电压不足的基本设备如UPS)备用供电:建立备用的供电系统以备常用供电系统停电时启用完成对运行系统必要的保留)稳压供电:采用线路稳压器防止电压波动对计算机系统的影响)电源保护:设置电源保护装置如金属氧化物可变电阻、硅雪崩二极管、气体放电管、滤波器、电压调整变压器和浪涌滤波器等防止减少电源发生故障。机房温度、湿度调节应有必要的空调设备使机房温度、湿度达到所需设备运行允许的范围。机房防水与防潮机房防水与防潮应满足:)水管安装要求:水管安装不得穿过屋顶和活动地板下穿过墙壁和楼板的水管应使用套管并采取可靠的密封措施)水害防护

职业精品

分销渠道选择.ppt

辞职申请书(优质范文).doc

公司年检申请书doc.doc

厂家和经销商代理合同.doc

用户评论

0/200
    暂无评论
上传我的资料

精彩专题

相关资料换一换

资料评价:

/ 63
所需积分:1 立即下载

意见
反馈

返回
顶部