收藏
下载资源 加入VIP,免费下载

DB21 T 2082.2-2013 信息系统安全检查规范 第2部分:技术规范.doc

上传人:bowdiet140 文档编号:116548 上传时间:2019-07-06 格式:DOC 页数:26 大小:310.50KB
下载 相关 举报
DB21 T 2082.2-2013 信息系统安全检查规范 第2部分:技术规范.doc_第1页
第1页 / 共26页
DB21 T 2082.2-2013 信息系统安全检查规范 第2部分:技术规范.doc_第2页
第2页 / 共26页
DB21 T 2082.2-2013 信息系统安全检查规范 第2部分:技术规范.doc_第3页
第3页 / 共26页
DB21 T 2082.2-2013 信息系统安全检查规范 第2部分:技术规范.doc_第4页
第4页 / 共26页
DB21 T 2082.2-2013 信息系统安全检查规范 第2部分:技术规范.doc_第5页
第5页 / 共26页
亲,该文档总共26页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

1、ICS 35.020 L70 DB21 辽 宁 省 地 方 标 准 DB 21/ XXXXX XXXX 信息系统安全检查规范 第 2 部分 : 技术规范 Specification for information system security checks Part2: technical Criterion (报批稿) (本稿完成日期: 2012-9-13) XXXX - XX - XX 发布 XXXX - XX - XX 实施 辽宁省质量技术监督局 发布 DBXX/ XXXXX XXXX I 目 次 前言 . V 引言 . VI 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定

2、义 . 1 4 要求 . 2 5 信息安全防护体系 . 2 5.1 物理安全 . 2 5.2 平台安全 . 2 5.3 数据安全 . 2 5.4 通信安全 . 3 5.5 应用安全 . 3 5.6 运 行安全 . 3 5.7 管理安全 . 3 6 信息系统基础产品检查 . 3 6.1 IT 及相关 产品 . 3 6.1.1 检查准备 . 3 6.1.2 检查对象 . 4 6.1.3 检查项 . 4 6.1.4 检查实施 . 4 6.1.5 检查评估 . 4 6.2 信息安全产品 . 4 6.2.1 检查准备 . 4 6.2.2 检查对象 . 4 6.2.3 检查项 . 4 6.2.4 检查实施

3、 . 4 6.2.5 检查评估 . 5 7 信息安全等级保护检查 . 5 7.1 检查准备 . 5 7.2 检查对象 . 5 7.3 检查项 . 5 7.4 检查实施 . 5 7.5 检查评估 . 5 8 技术要求 . 6 DBXX/ XXXXX XXXX II 8.1 风险评估 . 6 8.1.1 检查准备 . 6 8.1.2 检查对象 . 6 8.1.3 检查项 . 6 8.1.4 检查实施 . 6 8.1.5 检查评估 . 6 8.2 物理安全 . 6 8.2.1 检查准备 . 7 8.2.2 检查对象 . 7 8.2.3 检查项 . 7 8.2.4 检查实施 . 7 8.2.5 检查评

4、估 . 7 8.3 网络基础平台安全 . 7 8.3.1 检查准备 . 7 8.3.2 检查对象 . 7 8.3.3 检查项 . 7 8.3.4 检查实施 . 8 8.3.4.1 测试 . 8 8.3.4.2 设备检查 . 8 8.3.4.3 结构检查 . 8 8.3.4.4 安全功能检查 . 8 8.3.5 检查评估 . 8 8.4 系统平台安全 . 9 8.4.1 检查准备 . 9 8.4.2 检查对象 . 9 8.4.3 检查项 . 9 8.4.4 检查实施 . 9 8.4.4.1 测试 . 9 8.4.4.2 安全配置检查 . 9 8.4.4.3 安全监控检查 . 10 8.4.5 检

5、查评估 . 10 8.5 应用系统安全 . 10 8.5.1 检查准备 . 10 8.5.2 检查对象 . 10 8.5.3 检查项 . 10 8.5.4 检查实施 . 10 8.5.4.1 测试 . 11 8.5.4.2 防护措施检查 . 11 8.5.4.2 关键字过滤检查 . 11 8.5.5 检查评估 . 11 8.6 系统安全平台检查 . 11 8.6.1 检查准备 . 11 8.6.2 检查对象 . 12 DBXX/ XXXXX XXXX III 8.6.3 检查项 . 12 8.6.4 检查实施 . 12 8.6.4.1 测试 . 12 8.6.4.2 设备检查 . 12 8.6

6、.4.3 安全管理检查 . 12 8.6.4.4 密码使用和管理 . 12 8.6.5 检查评估 . 13 8.7 数据安全检查 . 13 8.7.1 检查准备 . 13 8.7.2 检查对象 . 13 8.7.3 检查项 . 13 8.7.4 检查实施 . 13 8.7.4.1 测试 . 13 8.7.4.2 设备检查 . 14 8.7.4.3 数据管理检查 . 14 8.7.4.4 备份容灾检查 . 14 8.7.5 检查评估 . 14 8.8 通信安全检查 . 14 8.8.1 检查准备 . 14 8.8.2 检查对象 . 14 8.8.3 检查项 . 15 8.8.4 检查实施 . 1

7、5 8.8.4.1 测试 . 15 8.8.4.2 安全域检查 . 15 8.8.4.3 数据传输检查 . 15 8.8.5 检查评估 . 15 8.9 运行安全检查 . 15 8.9.1 检查准备 . 15 8.9.2 检查对象 . 16 8.9.3 检查项 . 16 8.9.4 检查实施 . 16 8.9.4.1 系统运行检查 . 16 8.9.4.2 IT 服务检查 . 16 8.9.4.3 工作环境检查 . 16 8.9.4.4 应急管理检查 . 16 8.9.4.5 事件管理检查 . 16 8.9.5 检查评估 . 17 8.10 管理安全检查 . 17 8.10.1 检查准备 .

8、17 8.10.2 检查对象 . 17 8.10.3 检查项 . 17 8.10.4 检查实施 . 18 8.10.4.1 规范管理检查 . 18 DBXX/ XXXXX XXXX IV 8.10.4.2 人员管理检查 . 18 8.10.4.3 资产管理检查 . 18 8.10.5 检查评估 . 18 8.11 教育培训检查 . 19 8.11.1 检查准备 . 19 8.11.2 检查对象 . 19 8.11.3 检查项 . 19 8.11.4 检查实施 . 19 8.11.5 检查评估 . 19 DBXX/ XXXXX XXXX V 前 言 DB21/Txxxx分为 2部分: 第 1部分

9、:管理规范 第 2部分:技术规范 本部分是 DB21/Txxxx的第 2部分。 本标准依据 GB/T1.1-2009标准化工作导则 第 1部分:标准的结构与编写制定。 本标准由 大连市网络与信息安全协调小组 提出。 本标准由辽宁省经济和信息化委员会归口。 本标准起草单位: 大连市经济和信息化委员会 、 大连 市网络与信息安全专家组 。 本标准 主 要起草人: 郎庆斌、孙鹏、刘刚、李持见、仉宏、董晶、孙毅、杨莉、王小庚、尹宏、汪祖民、夏炳俐 。 DBXX/ XXXXX XXXX VI 引 言 信息技术,特别是 物联网、 云计算 、移动互联、社交网络、 三网融合 等新兴 IT技术 的广泛应用和迅速

10、发展,极大地促进了社会发展、经济繁荣和人民生活进步,网络应用的 基础性、社会性、全局性日益凸显,社会、经济对信息化应用的依赖度愈来愈高,对网络与信息安全也提出了更高要求。 网络安全问题严重影响我国政治、经济、文化等领域的和谐发展,近年来一些较大级别的基础网络安全事件增多,安全风险继续处于高危水平,网络攻击和网页篡改事件频繁发生,用户 密码、账号被盗比例上升到安全事件的第一位( 2010年统计达到 27),社会影响力和关注度已达到前所未有的高度。 “ 震网 ” 病毒攻击 、“ 谷歌 地图事件 ”等 都警示我们 , 网络信息安全已上升到国家安全的重要层面。 为应对日益严峻的信息安全形势,保证信息系

11、统的可信、安全、可控,国家网络与信息安全协调小组推进重要领域信息系统安全检查,是重要的保障措施。本规范是为建立科学、规范、有序的信息系统安全检查环境 编制。 DBXX/ XXXXX XXXX 1 信息系统安全检查规范 1 范围 本标准规定了基于信息系统安全防护体系,信息系统基础产品检查、信息安全等级保护检查、信息系统安全检查技术要求、检查方式的基本要求。 本标准适用于各级党政机关、行业主管部门为履行职能提供支撑的信息系统的检查。其它面向社会提供服务的重要行业信息系统检查可参照本标准执行。 本标准不适用于涉及国家秘密的信息系统安全检查。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。

12、凡是注日期的引用文件,仅所注日期的版本适用于本文件 。凡是不注日期的引用文件,其最新版本(包括所有的修改单) 适用于本文件。 GB/T 5271.8 信息技术 词汇 第 8部分:安全 GB/T 20269 信息安全技术 信息系统安全管理要求 GB/T 20984 信息安全技术 信息安全风险评估规范 GB/T 20988 信息安全技术 信息系统灾难恢复规范 GB/T 21671 基于以太网技术的局域网系统验收测评规范 GB/T 22239 信息安全技术 信息系统安全等级保护基本要求 GB/T 22240 信息安全技术 信息系统安全等级保护定级指南 GB/Z 24364 信息安全技术 信息安 全风

13、险管理指南 中华人民共和国国务院令( 147号) 计算机信息系统安全保护条例 国密局发 200910号 关于印发 实施意见的通知 DB21/T 1799.1 信息服务管理规范 第 1部分:总则 DB21/T 1799.3 信息服务管理规范 第 3部分:计算机信息系统运营和维护管理 DB21/Txxxx.1 信息系统安全检察规范 第 1部分:管理规范 3 术语和定义 GB/T 5271.8和 DB21/Txxxx.1界定的以及下列术语和定义适用于本 部分 。 3.1 信息系统生 命周期 life cycle of information system 信息系统开发方法,包括可行性分析、需求管理、

14、总体规划、系统设计、系统实施、系统运行、系统服务和系统评估等阶段。 3.2 安全策略 information security policy DBXX/ XXXXX XXXX 2 为实现安全目标制定的约束所有信息安全管理相关活动的一组规则。由实施信息安全的组织建立、描述、实施和实现。 4 要求 信息系统安全检查技术规范,遵循 GB/T 20269确立的信息系统安全管理要求。 本部分遵循 DB21/Txxxx.1确立的管理原则和要求, 重点描述信息系统安全检查边界、检查评估内容。 信息系统安全检查技术规范的一般原则和要求, 参照 DB21/Txxxx.1执行。 在信息系统安全检查中,应同时使用

15、DB21/Txxxx.1和本部分。 在信息系统安全检查中,应根据 DB21/Txxxx.1确立的管理原则和要求,制定技术方案,明确检查措施、技术手段。 5 信息安全防护体系 5.1 物理安全 物理安全主要包括: a) 电源管理 :将电源有效分配到系统中不同的设备组件。应考虑电源设备参数对设备的影响,如过压、过流、浪涌、短路等 ;应考虑电源系统的裕量(包括 UPS) ; b)等电位管理 :设置配电系统、各类电子设备及附属设施 (包括所有金属件) 、防雷 、防静电 等的 接地 等电位体, 应 考虑静电防护、感应雷电可能形成的电磁脉冲和过电压的干扰和毁坏等 ; c)设备管理: 信息系统 相关 设备的

16、日常运行和管理 ;防电磁信息辐射泄漏、防电磁干扰、防线路截获、电源保护等; d) 媒介安全:各种存储媒介内容和媒介本身安全; e)场地环境: 应考虑机房内通风、温度、湿度、灰尘、灯光等的配置;考虑机柜放置与冷却效 率和制冷单元热点的关系;以及可能因功能扩大引起的冷却效率问题等 ; f) 灾害预防 :应考虑物理和自然灾害发生的 可能性,制定应急预案 ;考虑设备防盗、防毁等; g)布线系统: 监控设备间、弱电井 、机房 等区域配线设备、信息插座等设施 及 线缆 状态 , 以 及网络通信线路的工作状态和可能的故障状态 ; h) 监控系统管理 :监控门禁系统、各类监控设备等的运行状态、参数变化、提示信

17、息等 。 5.2 平台安全 信息系统平台主要包括: a) 网络基础平台: 路由设备、网络交换设备 、存储设备 等网络基础设施的安全性、可靠性、可用性和可扩展性, 及 网络结构的优化 等; b) 系统平台: 操作系统、数据库系统及网络协议等的安全性、可靠性和可用性 ; c)应用系统平台:支撑系统应 用的 Web、 DNS、 Mail、中间件 等服务设施和 其它支撑系统应用的软件系统 的安全性、可靠性和可用性; d)系统安全平台:信息系统安全设施、 安全策略、安全机制、安全级别、病毒防护、补丁管理等的安全性、有效性和可用性。 5.3 数据安全 DBXX/ XXXXX XXXX 3 a)存储设备:

18、服务器设备、集群系统、存储阵列、存储网络等,以及支撑数据存储设施运行的软件平台 等 数据存储设施的安全性、可靠性和可用性 ; b)数据管理: 1) 数据质量: 数据的完整性、可靠性、可用性 及 数据管理和数据恢复策略 ; 2) 数据访问控制:数据访问控制策略、访问权限控制策略、非授权访问处 理策略 等 ; 3) 数据存储与容灾:数据存储、数据容灾策略 , 制定数据存储事件处理预案; 4) 数据交换安全: 规划建设数据安全交换平台,保证内、外网络之间数据交换的安全。制定数据安全交换、交换过程 中 数据的完整性、可靠性、安全性策略;制定数据交换事件处理预案 。 5.4 通信安全 a)数据传输线路和

19、网络基础设施的安全性; b)各项网络协议的安全性; c) 数据 传输 的安全性 及 数据通信的安全策略 , 制定数据通信应急处理预案 。 5.5 应用安全 a) 应用系统可靠性、安全性、可用性测试; b)应用系统安全策略; c)应用系统访问控制策略; d)应 用系统访问终端安全检查; e)日志审计等。 5.6 运行安全 a) 信息系统运行状况监测、 预警和 管理; b)工作环境管理,包括工作场地、个人计算机终端安全性等; c)系统性能评估,包括系统整体架构、系统平台、应用系统、数据管理、系统安全平台等的整体安全性、可用性,及业务融合度评估等; d)应急管理和灾难预防恢复机制; e)系统更新、升

20、级等。 5.7 管理安全 a) 制定安全防护体系各个层次和整体的安全管理策略和机制,建立完善的管理制度; b) 日常 管理 规范化和标准化 ; c) 制定 信息系统 安全 总体发展 规划,包括 信息系统 安全 中长期建设 、应用、发展规划;资源整合规划 安全性 ; IT治理模式;标准建设 等 ; d) 优化、提高系统基础架构(包括硬件基础平台、系统平台、安全平台、数据管理平台等)的可用性、可靠性 和安全性 。 6 信息系统基础产品检查 6.1 IT 及相关 产品 6.1.1 检查准备 a) IT及相关产品技术文档; DBXX/ XXXXX XXXX 4 b) 进网许可证、安全审查相关文档; c) 其它必要的文档。 6.1.2 检查对象 IT产品及相关文档。 6.1.3 检查项 a) IT产品国产化情况; b) 系统软件、应用系统、数据库管理系统等的国产化情况; c) IT产品应用情况; d) 国外产品的安全审查情况。 6.1.4 检查实施 a) 查阅 IT产 品技术文档(包括软件应用),确认其应用范围; b) 查看现有 IT产品国产化应用; c) 如选用国外 IT产品,查阅安全审查记录。 6.1.5 检查评估 评估以下各项: a) 在满足应用需求情况下,优先选用国产化产品; b) IT产品在规定的应用范围

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 标准规范 > 地方标准

copyright@ 2008-2019 麦多课文库(www.mydoc123.com)网站版权所有
备案/许可证编号:苏ICP备17064731号-1