首页产品文档行业知识

安全等保

水利信息化相关的基础概念之安全等保

Contents

等级保护

相关法规:《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

根据《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019),是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。

网络安全等级保护:是指对网络(含信息系统、数据)实施分等级保护、分等级监管。信息系统安全等级测评:是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力。

等保一级不需要备案仅需企业自主定级。二级、三级是大部分普通企业的信息系统定级。四级、五级普通企业不会涉及,通常是与国家相关(如等保四级-涉及民生的,如铁路、能源、电力等)的重要系统。

等保实施流程

等保二级

  • 制定信息安全政策和制度:建立健全的信息安全管理制度,包括信息安全政策、安全管理制度、安全责任制等。
  • 资产分类和等级保护:对公司的信息资产进行分类和等级保护,根据重要性确定相应的安全保护措施。
  • 访问控制管理:建立严格的访问控制机制,控制用户的访问权限,确保信息系统的安全性。
  • 安全事件监测与应急响应:建立安全事件监测体系,及时发现和应对安全事件,保障信息系统的连续性和可靠性。
  • 安全培训与意识提升:开展员工的信息安全培训,提高员工的信息安全意识,减少安全风险。
  • 安全技术防护:部署有效的安全技术措施,包括防火墙、入侵检测系统、安全加固等,提升系统的安全性。
  • 安全审计与评估:定期进行安全审计和评估,发现潜在的安全风险,及时改进安全措施。

以上是二级等保需要做好的一些工作,通过全面的安全管理措施,可以有效提升信息系统的安全性和稳定性。

等保三级

等保三级的评定标准涵盖了信息系统的多个层面,包括物理安全、网络安全、主机安全、应用安全和数据安全五个方面。具体要求如下:

  • 物理安全​:机房应有区域划分,如主机房和监控区;配备电子门禁系统、防盗报警系统、监控系统;机房无窗户,配备气体灭火和备用发电机。
  • 网络安全​:绘制与当前运行情况相符的拓扑图;网络设备如交换机、防火墙的配置应符合要求,如Vlan划分、Qos流量控制、访问控制等;配备网络审计设备、入侵检测或防御设备。
  • 主机安全​:服务器自身配置应符合要求,如身份鉴别机制、访问控制机制、安全审计机制、防病毒等;服务器应具有冗余性,如双机热备或集群部署。
  • 应用安全​:应用自身功能应符合等保要求,如身份鉴别机制、审计日志、通信和存储加密等;应用部署网页防篡改设备。
  • 数据安全​:提供数据本地备份机制,每天备份至本地,且场外存放;如系统中存在核心关键数据,应提供异地数据备份功能。

此外,等保三级还要求企业制定并实施符合等保要求的安全管理制度,建立并完善符合等保要求的安全管理机构,对涉及信息系统运行维护的人员进行背景审查和培训考核,以及按照等保要求进行信息系统的日常运行维护等。

水利信息化安全要求

主要包括感知端安全需求、网络安全需求、系统安全需求、应用安全需求、数据安全需求、水利工程安全。

  • 感知端安全需求:提升水利信息数据采集、通信的安全能力、加强物理安全、数据传输安全、数据汇集和管理安全等重点安全内容建设。
  • 网络安全需求:网络安全需求分析对象为省数据中心机房的网络设备、网络安全设备、传输加密和网络拓扑结构四类;涉及结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码防范、网络设备防护等内容。
  • 系统安全需求:完善和加强包括身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等系统关键安全内容。
  • 应用安全需求:完善应用安全漏洞检测、安全监测和预警措施;建立健全应用开发、接入、升级维护和运行等技术标准和安全管理责任体系。
  • 数据安全需求:规范数据访问、数据服务、数据传输、数据存储的保护技术措施;建立健全数据的汇集、更新、开发、利用和保护的技术标准及相关安全管理责任体系。
  • 水利工程安全需求:建设以信息技术为平台的防灾减灾体系,确保水工程安全运行。与水利安全相关的信息化建设包括工程安全监测、防汛抗旱、预报预警、应急指挥等。

系统安全相关细分如下:

(1)用户身份鉴别

应支持用户标识和用户鉴别。在每一个用户注册到系统时,采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录和重新连接系统时,采用受安全管理中心控制的口令、基于生物特征的数据、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别,且其中一种鉴别技术产生的鉴别数据是不可替代的,并对鉴别数据进行保密性和完整性保护。

(2)自主访问控制

应在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限部分或全部授予其他用户。自主访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级或记录或字段级。自主访问操作包括对客体的创建、读、写、修改和删除等。

(3)标记和强制访问控制

在对安全管理员进行身份鉴别和权限控制的基础上,应由安全管理员通过特定操作界面对主、客体进行安全标记,将强制访问控制扩展到所有主体与客体;应按安全标记和强制访问控制规则,对确定主体访问客体的操作进行控制。强制访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级。应确保安全计算环境内的所有主、客体具有一致的标记信息,并实施相同的强制访问控制规则。

(4)系统安全审计

应记录系统相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。应提供审计记录查询、分类、分析和存储保护;能对特定安全事件进行报警,终止违例进程等;确保审计记录不被破坏或非授权访问以及防止审计记录丢失等。应为安全管理中心提供接口;对不能由系统独立处理的安全事件,提供由授权主体调用的接口。

(5)用户数据完整性保护

应采用密码等技术支持的完整性校验机制,检验存储和处理的用户数据的完整性,以发现其完整性是否被破坏,且在其受到破坏时能对重要数据进行恢复。

(6)用户数据保密性保护

采用密码等技术支持的保密性保护机制,对在安全计算环境中的用户数据进行保密性保护。

(7)客体安全重用

应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品,对用户使用的客体资源,在这些客体资源重新分配前,对其原使用者的信息进行清除,以确保信息不被泄露。

(8)程序可信执行保护

应构建从操作系统到上层应用的信任链,以实现系统运行过程中可执行程序的完整性检验,防范恶意代码等攻击,并在检测到其完整性受到破坏时采取措施恢复,例如采用可信计算等技术。

Last updated on March 24, 2025