等保测评
1安全物理环境
物理位置选择
防震、防风、防雨建筑
避免在顶层或地下室,否则加强防水防潮
物理访问控制 出入口配置电子门禁系统
防盗窃防破坏
固定主要部件、设置明显不易去除标识
通信线缆在隐蔽安全处
防盗报警系统、视频监控系统
防雷击
设备安全接地
防止感应雷(防雷保安器)
防火
自动消防系统
耐火等级建筑材料
区域间设置隔离防火措施
防水防潮
防雨水通过窗户屋顶渗透
防机房内水蒸气结露和地下积水的转移和渗透
安装对水敏感的检测仪表
防静电
防静电地板
静电消除器、防静电手环
温湿度控制
温湿度自动调节设施
20°-25° 40%-60%
电力供应
供电线路配置稳压器和过电压防护设备
提供短期备用电力供应
设置冗余或并行电力电缆线路为计算机系统供电
电磁防护
通信线路隔离铺设,避免相互干扰
对关键设备电磁屏蔽
2安全通信网络
网络架构
保证网络设备业务处理能力满足业务高峰需求
保证网络各部分带宽满足业务高峰需求
划分不同网络区域,为各网络分配地址
重要网络和其他网络区域间采取可靠的技术隔离手段
提供通信线路、关键网络设备和计算机设备的硬
件冗余,保证系统可用性
通信传输
采用校验码技术/密码技术保证通信过程中数据
完整性
采用密码技术保证通信过程数据保密性
可信验证
基于可信根对通信设备系统程序、重要配置参
数、应用程序进行可信验证
程序关键执行环节进行动态可信验证
可信性受到破坏后报警,将验证结果送至安全管
理中心
3安全区域边界
边界防护
保证跨边界的访问和数据流通过边界设备提供的
受控接口进行通信
对非授权设备私自联到内部网络的行为进行检查
或限制
对内部用户非授权联到外部网络的行为进行检查
限制
限制无线网络的使用,保证无线网络通过受控边
界设备接入内部网络
访问控制
在网络边界或区域间设置控制访问规则,除允许
通信外,受控接口拒绝所有通信
删除多余访问控制规则,优化访问控制列表,保
证访问控制规则数量最小化
对源地址、目的地址、源端口、目的端口和协议
进行检查,允许/拒绝数据包进出
根据会话状态信息为进出数据流提供明确的允
许/拒绝访问能力
对进出网络的数据流实现基于应用协议和应用内
容的访问控制
入侵防范
在关键节点处检测,防止或限制从外部发起的网
络攻击行为
在关键节点处检测、限制从内部发起的网络攻击
行为
采取技术措施对新型网络攻击的检测和分析
检测到攻击行为时,记录攻击源IP、攻击类型
等,严重入侵提供报警
恶意代码和垃圾邮件防范
在关键网络节点处对恶意代码进行检测和清除,
维护恶意代码防护机制的升级和更新
在关键网络节点处对垃圾邮件进行检测防护,维
护防护机制升级和更新
安全审计
在网络边界、重要网络节点进行安全审计,覆盖
每个用户,对重要用户行为和安全事件进行审计
审计记录包括事件的日期时间、用户。事件类型
等信息
保护审计记录,定期备份,避免受到删除修改覆
盖
对远程访问的用户行为,访问互联网的用户行为
进行行为审计和数据分析
可信验证
基于可信根对通信设备系统程序、重要配置参
数、应用程序进行可信验证
程序关键执行环节进行动态可信验证
可信性受到破坏后报警,将验证结果送至安全管
理中心
4安全计算环境
网络设备
路由器
交换机
安全设备 防火墙
服务器
Linux服务器
Windows服务器
终端设备
系统管理软件
Oracle
MySQL
应用系统
数据
鉴别数据
重要业务数据
重要审计数据
主要配置数据
重要个人信息
身份鉴别
对登录用户身份标识和鉴别,身份标识具有唯一
性和复杂度要求并定期更换
有登录失败处理功能,限制非法登录次数和登录
连接超时自动退出
远程管理采取必要措施,防止鉴别信息在网络传
输中被窃听
采用口令、生物技术 + 密码技术对用户进行身份
鉴别
身份标识鉴别,唯一性,复杂度定期更换
登录失败,限制非法登录次数,超时自动退出
远程管理,防窃听
口令/生物技术 + 密码技术 身份鉴别
访问控制
对登录用户分配账户和权限
重命名/删除默认账户,修改默认账户的默认口
令
删除/停用多余过期账户,
授予管理用户最小权限,实现权限分离
授权主体配置访问控制策略,规定主体对客体的
访问规则
访问控制粒度达到用户级/进程级,客体为文
件、数据库表级
对重要主体客体设置安全标记,控制主体对有安
全标记信息资源的访问
分配权限,删除默认、多余、过期
修改默认口令,管理最小权限
主体配置访问控制策略,访问规则
访问控制粒度达到用户级、进程级
重要客体安全标记,主体对有安全标记资源访问
安全审计
启用安全审计功能,覆盖每个用户,对重要用户
行为和重要安全事件进行审计
审计记录包括事件日期、用户、事件类型等其他
审计信息
对审计记录进行保护,定期备份,避免被删除修
改覆盖
对审计进程进行保护。防止未授权中断
入侵防范
遵循最小安装原则,只安装需要组件和应用程序
关闭不需要系统服务、默认共享、高危端口
通过设定终端接入方式或网络地址范围,对通过
网络进行管理的管理终端进行限制
发现可能存在的已知漏洞,测试评估后及时修补
漏洞
检测到对重要节点进行入侵的行为,并报警
恶意代码防范
采用免受恶意代码攻击的技术措施/主动免疫可
信验证机制及时识别入侵和病毒行为,将其有效
阻断
可信验证
基于可信根对通信设备系统程序、重要配置参
数、应用程序进行可信验证
程序关键执行环节进行动态可信验证
可信性受到破坏后报警,将验证结果送至安全管
理中心
数据完整性
采用校验码技术/密码技术保证数据传输完整性
包括鉴别数据、重要业务数据、审计数据、配置
数据、视频数据、重要个人信息
采用校验码技术/密码技术保证数据存储完整性
包括鉴别数据、重要业务数据、审计数据、配置
数据、视频数据、重要个人信息
数据保密性
采用密码技术保证重要数据传输中保密性
采用密码技术保证重要数据存储中保密性
数据备份恢复
提供重要数据本地数据备份和恢复
提供异地实时备份功能,利用通信网络将重要数
据实时备份到备份场地
提供重要数据处理系统的热冗余,保证系统高可
用性
剩余信息保护
保证鉴别信息所在存储空间被释放或重新分配前
得到完全清除
保证存有敏感数据的存储空间被释放或重新分配
前得到完全清除
个人信息保护
仅采集和保存业务必须的用户个人信息
禁止未授权访问和非法使用用户个人信息
5安全管理中心
系统管理
对系统管理员进行身份鉴别,只允许通过特定命
令进行系统管理,并对操作进行审计
通过系统管理员对系统资源和运行进行配置、控
制、管理,包括用户身份、系统资源配置、系统
加载和启动、系统运行异常处理、数据设备备份
恢复
审计管理
对审计管理员进行身份鉴别,只允许通过特定命
令进行安全审计操作,并对操作进行审计
通过审计管理员对审计记录进行分析,根据分析
结果进行处理,根据安全审计策略对审计记录进
行存储、管理、查询
安全管理
对安全管理员进行身份鉴别,只允许通过特定命
令进行安全管理操作,并对操作进行审计
通过安全管理员对系统安全策略进行配置,包括
安全参数设置,主客体统一安全标记,对主体进
行授权,配置可信验证策略
集中管控
划分特定管理区域,对分布在网络中安全设备/
安全组件进行管控
建立一条安全的信息传输路径,管理网络中安全
设备/安全组件
集中监测网络链路、安全设备、网络设备和服务
器运行情况
汇总和集中分析分散在各个设备上的审计数据,
保证审计记录的留存时间符合法律法规要求
集中管理安全策略、恶意代码、补丁升级等安全
相关事项
对网络中发生的各类安全事件进行识别、报警分
析
6安全管理制度
安全策略
指定信息安全工作总体方针和安全策略,阐明机
构安全工作总目标、范围、原则和安全框架
管理制度
对安全管理活动中各类管理内容建立安全管理制
度
对管理人员/操作人员执行的日常管理操作建立
操作规程
形成由安全策略、管理制度、操作规程、记录表
单等构成的全面的信息安全管理制度体系
制度和发布
指定/授权专门的部门或人员负责安全管理制度
的制定
安全管理制度应通过正式、有效的方式发布,并
进行版本控制
评审和发布
定期对安全管理制度的合理性和适用性进行论证
和审定,对存在不足或需要改进的安全管理制度
进行修订
7安全管理机构
岗位设置
成立指导和管理信息安全工作的委员会或领导小
组,其最高领导由单位主管领导担任或授权
设立安全管理职能部门和各负责人岗位
设立系统管理员、网络管理员、安全管理员,定
义岗位职责
人员配备
有一定数量系统、网络、安全管理员
配备专职安全管理员,不可兼任
授权和审批
对重要活动建立逐级审批制度
定期审查审批事项,及时更新需授权和审批的项
目、审批部门和审批人等信息
沟通和合作
审核和检查 定期进行全面安全检查,形成安全检查报告
8安全管理人员
人员录用对录用人员背景审查,对技能进行考核
人员离岗
办理严格的调离手续,并承诺调离后的保密义务
后方可离开
安全意识教育和培训
针对不同岗位制定不同培训计划
定期对不同岗位人员进行技能考核
外部人员访问管理
获系统访问授权的外部人员应签署保密协议
不得进行非授权操作
不得复制和泄露任何敏感信息
9安全建设管理
定级和备案
安全方案设计
安全产品采购和使用
自行软件开发
外包软件开发
工程实施
测试验收
系统交付
等级测评
服务供应商管理
10安全运维管理
环境管理
资产管理
介质管理
设备维护管理
漏洞和风险管理
网络和系统安全管理
恶意代码防范管理
配置管理
密码管理
变更管理
备份与恢复管理
安全事件处置
应急预案管理
外包运维管理
11云计算安全扩展
概述
安全物理环境基础设施位置保证云计算基础设施位于中国境内
安全通信网络网络架构
保证云计算平台不承载高于其安全保护等级的业
务应用系统
实现不同云服务器客户虚拟网络之间的隔离
根据云服务客户业务需求提供通信传输、边界防
护、入侵防范等安全机制能力
根据云服务客户业务需求自主设置安全策略的能
力,包括定义访问路径、选择安全组件、配置安
全策略
提供开放接口或开发性安全服务,允许云服务客
户接入第三方安全产品或在云计算平台选择第三
方安全服务
安全区域边界
访问控制
在虚拟化网络边界部署访问控制机制,设置访问
控制规则
在不同等级的网络区域边界部署访问控制机制,
设置访问控制规则
入侵防范
检测云服务客户发起的网络攻击行为,记录攻击
类型、时间、流量
检测对虚拟网络节点的网络攻击行为,记录攻击
类型、时间、流量
检测到虚拟机与宿主机,虚拟机与虚拟机之间的
异常流量
检测到网络攻击行为、异常流量情况时进行告警
安全审计
对云服务商和云服务客户在远程管理时执行特权
命令进行审计、至少包括虚拟机删除、虚拟机重
启
保证云服务商对云服务客户系统和数据的操作可
被云服务客户审计
安全计算环境
身份鉴别
当远程管理云计算平台中设备时,管理终端和云
计算平台之间应建立双向身份验证机制
访问控制
保证虚拟机迁移时,访问控制策略随之迁移
允许云服务客户设置不同虚拟机之间的访问控制策略
入侵防范
检测虚拟机之间资源隔离失效,告警
检测非授权新建虚拟机/重新启用虚拟机,告警
检测恶意代码感染及在虚拟机间蔓延的情况,告警
镜像和快照保护
针对重要业务系统提供加固的操作系统镜像或操
作系统安全加固服务
提供虚拟机镜像、快照完整性校验功能,防止虚
拟机镜像被恶意篡改
采取密码技术或其他技术手段防止虚拟机镜像、
快照中可能存在的敏感资源被非法访问
数据完整性和保密性
确保云服务客户数据、用户个人信息等存储于中
国境内,如需出境应遵守国家相关规定
确保只有在云服务客户授权下,云服务商或第三
方才具有云服务客户数据的管理权限
使用检验码或密码技术确保虚拟机迁移过程中重
要的数据完整性,并在检测到完整性收到破坏时
采取必要的恢复措施
支持云服务客户部署密钥管理解决方案,保证云
服务客户自行实现数据的加解密过程
数据备份恢复
云服务客户应在本地保存其业务数据的备份
提供查询云服务客户数据及备份存储位置的能力
云服务商的云存储服务应保证云服务客户数据存
在若干个可用的副本,各副本之间内容保持一致
为云服务客户将业务系统及数据迁移到其他云计
算平台和本地系统提供技术手段,并协助完成迁
移过程
剩余信息保护
保证虚拟机所使用的内存和存储空间回收时得到
完全清除
云服务客户删除业务应用数据时,云计算平台应
将云存储中所有副本删除
安全管理中心集中管控
安全建设管理
云服务商选择
供应链管理
安全运维管理云计算环境管理
12移动互联网安全扩展
安全物理环境无线接入点的物理位置
安全区域边界
边界防护
访问控制
入侵防范
安全计算环境
移动终端管控
移动应用管控
安全建设管理
移动应用软件采购
移动应用软件开发
安全运维管理配置管理
13物联网安全扩展
安全物理环境
感知节点设备所处的物理环境应不对感知节点设
备造成物理破坏,如挤压、强振动
感知节点设备在工作状态所处物理环境应能正确
反映环境状态
感知节点设备在工作状态所处物理环境应不对感
知节点设备的正常工作造成影响,如强干扰、阻
挡屏蔽等
关键感知节点设备应具有可共长时间工作的电力
供应
安全区域边界
接入控制应保证只有授权的节点可以接入
入侵防范
限制与感知节点通信和目标地址,以避免对陌生
地址的攻击行为
限制与网关节点通信的目标地址,以避免对陌生
地址的攻击行为
安全计算环境
感知节点设备安全
保证只有授权的用户可以对感知节点设备上的软
件应用进行配置或变更
具有对其连接的网关节点设备进行身份标识和鉴
别的能力
具有对其连接的其他感知节点设备进行身份标识
和鉴别的能力
网关节点设备安全
具备对合法连接设备进行标识和鉴别的能力
具备过滤非法节点和伪造节点所发送的数据的能
力
授权用户能够在设备使用过程中对关键密钥进行
在线更新
授权用户应能够在设备使用过程中对关键配置参
数进行在线更新
抗数据重放
鉴别数据的新鲜性,避免历史数据的重放攻击
鉴别历史数据的非法修改,避免数据的修改重放
攻击
数据融合处理
应对来自传感网的数据进行数据融合处理,使不
同种类的数据可以在同一个平台被使用
安全运维管理
人员定期巡视感知节点设备、网关节点设备的部
署环境,对异常进行记录和维护
对感知节点设备、网关节点设备入库存储丢失等
过程做出明确规定,全程管理
加强对感知节点设备、网关节点设备部署环境的
保密性管理
14工业控制系统安全扩展
安全物理环境室外控制设备
室外控制设备放置于铁板或其他防火材料制作的
箱体或装置中并紧固;箱体或装置具有透风、散
热、防盗、防雨和防火能力等
室外控制设备放置应远离强电磁干扰、强热源等
环境,如无法避免应及时做好应急处置及检修,
保证设备正常运行
安全通信网络
网络架构
工控系统和其他系统间划分为两个区域,区域间
采用单向技术隔离手段
工控系统内部根据业务特点划分不同安全域,安
全域间采用技术隔离手段
通信传输
工控系统内使用广域网进行控制指令或相关数据
交换的,应采用加密认证技术手段实现身份认
证、访问控制和数据加密传输
安全区域边界
访问控制
工控系统与其他系统间部署访问控制设备,配置
访问控制策略,禁止任何穿越区域边界的E-
Mail、Web、Telnet、Rlogin、FTP等通用网络
服务
工控系统内安全域之间的边界防护机制失效时,
报警
拨号控制
工控系统使用拨号访问服务的,应限制具有拨号
访问权限的用户数量,并采取用户身份鉴别和访
问控制等措施
拨号服务器和客户端均应使用经安全加固的操作
系统,并采取数字证书认证、传输加密和访问控
制等措施
无线控制
对所有参与无线通信的用户提供唯一性标识和鉴
别
对所有参与无线通信的用户进行授权以及执行使
用进行限制
对无线通信采取传输加密的安全措施。实现传输
报文的机密性保护
对采用无线通信技术进行控制的工业控制系统,
应能识别其物理环境中发射的未经授权的无线设
备,报告未经授权试图接入或干扰控制系统的行
为
安全计算环境控制设备安全
控制设备实现相应级别安全通用要求提出的身份
鉴别、访问控制、安全审计等要求,若无法实现
则由上位控制或管理设备实现同等功能
在充分测试评估后,在不影响系统安全稳定运行
情况下对控制设备进行补丁更新、固件更新等工
作
关闭拆除控制设备软盘驱动、关盘驱动、usb接
口、串行口等,确保留下的要通过相关技术措施
实施严格监控管理
使用专用设备和专用软件对控制设备进行更新
保证控制设备在上线前经过安全性检测,避免控
制设备固件中存在恶意代码程序
安全建设管理
产品采购使用
外包软件开发
15工具测试
原则
首要原则:不影响目标系统正常运行的前提下,
严格按照方案选定的范围进行测试
由低级别系统向高级别系统探测
同一系统中同等重要程度的功能区域之间要相互
探测
由较低重要程度区域向较高重要程度区域探测
由外联接口向系统内部探测
跨网络隔离设备(包括网络设备和安全设备)要
分段探测
注意事项
在将测试工具接入之前,要与被测系统相关人员
确认测试条件是否具备。测试条件包括被测网络
设备、按钮全设备、服务器设备等是否都正常运
行,以及测试时间段是否合适等
接入系统的测试工具的IP地址等配置信息,需要
经过被测系统相关人员的确认
事先将测试过程可能对目标系统的网络流量及设
备性能等方面造成的影响告知给被测系统的相关
人员
对测试过程中的关键步骤、重要证据,要及时利
用抓图工具等进行取证
对测试过程中出现的异常情况(列如服务器故
障、网络中断等)要及时进行记录,并通知被测
系统相关人员
测试结束后,要与被测系统相关人员确认被测系
统状态正常。确认证据的有效性并签字后方可离
场