等保2.0标准执行之高风险判定(物理环境篇)

等保2。0标准执行之高风险判定(物理环境篇）

2019年5月13日下午,国家标准新闻发布会新闻发布厅召开，网络安全等级保护2。0系列核心标准在千呼万唤中终于正式发布,等保2。0时代又迈出坚实一步。

等级保护2。0标准发布后，对广大等级保护测评机构的工作提出了更高的要求，为了更好地提升全国等级保护测评体系的技术能力,统一测评机构对网络安全风险的评判尺度，由中关村信息安全测评联盟组织，上海市信息安全测评认证中心主笔，杭州安信检测技术有限公司、江苏金盾检测技术有限公司、深圳市网安计算机安全检测技术有限公司、合肥天帷信息安全技术有限公司、山东新潮信息技术有限公司、成都安美勤信息技术股份有限公司、甘肃安信信息安全技术有限公司、江苏骏安信息测评认证有限公司、安徽祥盾信息科技有限公司等机构共同参与编写了等保测评行业指引性文件—-《网络安全等级保护测评高风险判定指引》（简称“判定指引”）。

《判定指引》凝聚着全国测评机构多年测评实践的智慧结晶，它的发布是等级保护技术领域研究成果的一次重要展示.

《判定指引》的适用范围：

1、用于指导测评机构在测评活动中对高风险问题的判定;

2、用于行业主管部门开展的安全检查；

3、作为“负面清单”供运营单位在按照等级保护2。0标准开展系统设计、开发、建设、维护等过程中参考。

《判定指引》每条判例均包括“对应标准要求”、“判例内容”、“适用范围"、“需满足的条件”以及“补偿措施”等内容。在判定过程中,使用者应知晓《判定指引》是基于“一般场景”假设的编制思路.因此，在具体风险判定中，应根据被测对象的实际情况来综合确定该风险严重程度是否为“高”.如初步符合“适用范围”、“需满足的条件"后,还需根据“补偿措施”所引申的方向思考是否可降低风险严重程度;鼓励根据实际情况对于补偿措施中未涉及但确实能起到降低风险等级的安全措施进行深入

分析。

《网络安全等级保护测评高风险判定指引》—-物理环境篇

01物理访问控制

1.1 机房出入口控制措施

对应要求：机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。

判例内容：机房出入口区域无任何访问控制措施，机房无电子或机械门锁，机房入口也无专人值守;办公或外来人员可随意进出机房，无任何管控、监控措施,存在较大安全隐患，可判高风险。

适用范围：所有系统.

满足条件(同时)：

1、机房出入口区域无任何访问控制措施;

2、机房无电子或机械门锁，机房入口也无专人值守；

3、办公或外来人员可随意进出机房，无任何管控、监控措施.

补偿措施：如机房无电子门禁系统，但有其他防护措施，如机房出入配备24小时专人值守，采用摄像头实

时监控等，可酌情降低风险等级。

整改建议：机房出入口配备电子门禁系统，通过电子门禁鉴别、记录进入的人员信息。

02防盗窃和防破坏

2.1 机房防盗措施

对应要求：应设置机房防盗报警系统或设置有专人值守的视频监控系统。

判例内容：机房无防盗报警系统，也未设置有专人值守的视频监控系统，出现盗窃事件无法进行告警、追溯的，可判高风险.

适用范围：3级及以上系统.

满足条件（同时）：

1、3级及以上系统所在机房；

2、机房无防盗报警系统；

3、未设置有专人值守的视频监控系统；

4、机房环境不可控；

5、如发生盗窃事件无法进行告警、追溯。

补偿措施：如果机房有专人24小时值守，并且能对进出人员进出物品进行登记的（如部分IDC机房有要求设备进出需单登记），可酌情降低风险等级。

整改建议：建议机房部署防盗报警系统或设置有专人值守的视频监控系统,如发生盗窃事件可及时告警或进行追溯，确保机房环境的安全可控。

03防火

3。1 机房防火措施

对应要求：机房应设置火灾自动消防系统,能够自动检测火情、自动报警，并自动灭火。

判例内容:机房内无防火措施(既无自动灭火，也无手持灭火器/或手持灭火器药剂已过期),一旦发生火情,无任何消防处置措施,可判高风险。

适用范围：所有系统。

满足条件(同时）:

机房内无任何防火措施（既无自动灭火，也无手持灭火器/或手持灭火器药剂已过期）。

补偿措施：无.

整改建议：建议机房设置火灾自动消防系统,能够自动检测火情、自动报警，并自动灭火，相关消防设备如灭火器等应定级检查，确保防火措施有效。

04温湿度控制

4。1 机房温湿度控制措施

对应要求:应设置温湿度自动调节设施，使机房温湿度的变化在设备运行所允许的范围之内。

判例内容：机房无有效的温湿度控制措施，或温湿度长期高于或低于设备允许的温湿度范围，可能加速设备损害，提高设备的故障率，对设备的正常运行带来安全隐患，可判高风险。

适用范围:所有系统.

满足条件（同时）:

1、机房无温湿度调节措施；

2、机房温湿度长期处于设备运运行的范围之外。

补偿措施：对于一些特殊自然条件或特殊用途的系统，可酌情降低风险等级。

整改建议:建议机房设置温、湿度自动调节设备，确保机房温、湿度的变化在设备运行所允许的范围之内。05电力供应

5。1 机房短期的备用电力供应措施

对应要求：应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求。

判例内容：对于可用性要求较高的系统，如银行、证券等交易类系统，提供公共服务的民生类系统、工控类系统等，机房未配备短期备用电力供应设备(如UPS）或配备的设备无法在短时间内满足断电情况下的正常运行要求的,可判高风险.

适用范围：对可用性要求较高的3级及以上系统。

满足条件（同时）:

1、3级及以上系统；

2、系统可用性要求较高；

3、无法提供短期备用电力供应或备用电力供应无法满足系统短期正常运行.

补偿措施：如机房配备多路供电,且供电方同时断电概率较低的情况下，可酌情降低风险等级.

整改建议：建议配备容量合理的后备电源，并定期对UPS进行巡检，确保在在外部电力供应中断的情况下，备用供电设备能满足系统短期正常运行。

5.2 机房电力线路冗余措施

对应要求:应设置冗余或并行的电力电缆线路为计算机系统供电。

判例内容:机房未配备冗余或并行电力线路供电来自于同一变电站，可判高风险。

适用范围：对可用性要求较高的3级及以上系统。

满足条件(同时)：

1、3级及以上系统；

2、系统可用性要求较高；

3、机房未配备冗余或并行电力线路供电来自于同一变电站。

补偿措施:如机房配备大容量UPS，且足够保障断电情况下，一定时间内系统可正常运行或保障数据存储完整的，可酌情降低风险等级。

整改建议：建议配备冗余或并行的电力线路，电力线路应来自于不同的变电站；对于可用性要求较高的系统（4级系统），建议变电站来自于不同的市电.

5.3 机房应急供电措施

对应要求：应提供应急供电设施.

判例内容：系统所在的机房必须配备应急供电措施，如未配备，或应急供电措施无法使用，可判高风险。

适用范围：4级系统。

满足条件（同时）：

1、4级系统;

2、机房未配备应急供电措施，或应急供电措施不可用/无法满足系统正常允许需求.

补偿措施：如果系统采用多数据中心方式部署，且通过技术手段能够实现应用级灾备，一定程度上可降低单一机房发生故障所带来的可用性方面影响，可酌情降低风险等级。

整改建议：建议配备应急供电设施，如备用发电设备。

06电磁防护

6.1 机房电磁防护措施

对应要求：应对关键设备或关键区域实施电磁屏蔽.

判例内容：对于涉及大量核心数据的系统，如机房或关键设备所在的机柜未采取电磁屏蔽措施,可判高风险。

适用范围：对于数据防泄漏要求较高的4级系统。

满足条件(同时)：

1、4级系统；

2、系统存储数据敏感性较高，有较高的保密性需求；

3、机房环境复杂，有电磁泄露的风险。

补偿措施：如该4级系统涉及的信息对保密性要求不高,或者机房环境相对可控，可酌情降低风险等级。

整改建议：建议机房或重要设备或重要设备所在的机柜采用电磁屏蔽技术，且相关产品或技术获得相关检测认证资质的证明.

附表：

等保2.0标准执行之高风险判定(物理环境篇)

等保2.0标准执行之高风险判定（物理环境篇） 2019年5月13日下午，国家标准新闻发布会新闻发布厅召开，网络安全等级保护2.0系列核心标准在千呼万唤中终于正式发布，等保2.0时代又迈出坚实一步。 等级保护2.0标准发布后，对广大等级保护测评机构的工作提出了更高的要求，为了更好地提升全国等级保护测评体系的技术能力，统一测评机构对网络安全风险的评判尺度，由中关村信息安全测评联盟组织，上海市信息安全测评认证中心主笔，杭州安信检测技术有限公司、江苏金盾检测技术有限公司、深圳市网安计算机安全检测技术有限公司、合肥天帷信息安全技术有限公司、山东新潮信息技术有限公司、成都安美勤信息技术股份有限公司、甘肃安信信息安全技术有限公司、江苏骏安信息测评认证有限公司、安徽祥盾信息科技有限公司等机构共同参与编写了等保测评行业指引性文件——《网络安全等级保护测评高风险判定指引》（简称“判定指引”）。 《判定指引》凝聚着全国测评机构多年测评实践的智慧结晶，它的发布是等级保护技术领域研究成果的一次重要展示。 《判定指引》的适用范围： 1、用于指导测评机构在测评活动中对高风险问题的判定； 2、用于行业主管部门开展的安全检查； 3、作为“负面清单”供运营单位在按照等级保护2.0标准开展系统设计、开发、建设、维护等过程中参考。 《判定指引》每条判例均包括“对应标准要求”、“判例内容”、“适用范围”、“需满足的条件”以及“补偿措施”等内容。在判定过程中，使用者应知晓《判定指引》是基于“一般场景”假设的编制思路。因此，在具体风险判定中，应根据被测对象的实际情况来综合确定该风险严重程度是否为“高”。如初步符合“适用范围”、“需满足的条件”后，还需根据“补偿措施”所引申的方向思考是否可降低风险严重程度；鼓励根据实际情况对于补偿措施中未涉及但确实能起到降低风险等级的安全措施进行深入 分析。 《网络安全等级保护测评高风险判定指引》——物理环境篇 01 物理访问控制 1.1 机房出入口控制措施 对应要求：机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。

等保2.0标准执行之高风险判定(物理环境篇)

等保2。0标准执行之高风险判定(物理环境篇） 2019年5月13日下午,国家标准新闻发布会新闻发布厅召开，网络安全等级保护2。0系列核心标准在千呼万唤中终于正式发布,等保2。0时代又迈出坚实一步。 等级保护2。0标准发布后，对广大等级保护测评机构的工作提出了更高的要求，为了更好地提升全国等级保护测评体系的技术能力,统一测评机构对网络安全风险的评判尺度，由中关村信息安全测评联盟组织，上海市信息安全测评认证中心主笔，杭州安信检测技术有限公司、江苏金盾检测技术有限公司、深圳市网安计算机安全检测技术有限公司、合肥天帷信息安全技术有限公司、山东新潮信息技术有限公司、成都安美勤信息技术股份有限公司、甘肃安信信息安全技术有限公司、江苏骏安信息测评认证有限公司、安徽祥盾信息科技有限公司等机构共同参与编写了等保测评行业指引性文件—-《网络安全等级保护测评高风险判定指引》（简称“判定指引”）。 《判定指引》凝聚着全国测评机构多年测评实践的智慧结晶，它的发布是等级保护技术领域研究成果的一次重要展示. 《判定指引》的适用范围： 1、用于指导测评机构在测评活动中对高风险问题的判定; 2、用于行业主管部门开展的安全检查； 3、作为“负面清单”供运营单位在按照等级保护2。0标准开展系统设计、开发、建设、维护等过程中参考。 《判定指引》每条判例均包括“对应标准要求”、“判例内容”、“适用范围"、“需满足的条件”以及“补偿措施”等内容。在判定过程中,使用者应知晓《判定指引》是基于“一般场景”假设的编制思路.因此，在具体风险判定中，应根据被测对象的实际情况来综合确定该风险严重程度是否为“高”.如初步符合“适用范围”、“需满足的条件"后,还需根据“补偿措施”所引申的方向思考是否可降低风险严重程度;鼓励根据实际情况对于补偿措施中未涉及但确实能起到降低风险等级的安全措施进行深入 分析。 《网络安全等级保护测评高风险判定指引》—-物理环境篇 01物理访问控制 1.1 机房出入口控制措施 对应要求：机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。 判例内容：机房出入口区域无任何访问控制措施，机房无电子或机械门锁，机房入口也无专人值守;办公或外来人员可随意进出机房，无任何管控、监控措施,存在较大安全隐患，可判高风险。 适用范围：所有系统. 满足条件(同时)： 1、机房出入口区域无任何访问控制措施; 2、机房无电子或机械门锁，机房入口也无专人值守；

等保2.0安全通用要求三级测评之物理和环境安全

等保2.0安全通用要求三级测评之物理和环境安全第三级测评要求物理和环境安全 1.1 物理位置的选择 1.1.1 测评单元（L3-PES1-01） a)测评指标 机房场地应选择在具有防震、防风和防雨等能力的建筑内； 1.1.2 测评单元（L3-PES1-02） a)测评指标 机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。 1.2 物理访问控制 1.2.1测评单元（L3-PES1-03） a)测评指标 机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。 1.3 防盗窃和防破坏 1.3.1 测评单元（L3-PES1-04） a)测评指标 应将设备或主要部件进行固定，并设置明显的不易除去的标记； 1.3.2 测评单元（L3-PES1-05） a)测评指标 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中； 1.3.3 测评单元（L3-PES1-06） a)测评指标 应设置机房防盗报警系统或设置有专人值守的视频监控系统。

1.4 防雷击 1.4.1 测评单元（L3-PES1-07） a)测评指标 应将各类机柜、设施和设备等通过接地系统安全接地； 1.4.2 测评单元（L3-PES1-08） a)测评指标 应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等。 1.5 防火 1.5.1 测评单元（L3-PES1-09） a)测评指标 应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火； 1.5.2 测评单元（L3-PES1-10） a)测评指标 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料； 1.5.3 测评单元（L3-PES1-11） a)测评指标 应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。 1.6 防水和防潮 1.6.1 测评单元（L3-PES1-12） a)测评指标 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透； 1.6.2 测评单元（L3-PES1-13） a)测评指标 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透； 1.6.3 测评单元（L3-PES1-14） a)测评指标

等保2.0基本要求

等保2.0基本要求 标题：等保2.0基本要求及其重要性 随着信息化的快速发展，网络安全已经成为国家和社会关注的重要问题。在此背景下，中国制定了等保2.0基本要求，以期提高我国的信息安全防护水平。本文将详细介绍等保2.0的基本要求，并阐述其重要性。 一、等保2.0基本要求概述 等保2.0是《信息安全等级保护基本要求》的简称，是我国在信息安全管理领域的一项重要政策。等保2.0于2019年正式发布并实施，是对原有等保1.0的一次全面升级和改革。等保2.0从原来的五个级别扩展到三个级别，即基础级、增强级和高级，每个级别都有相应的技术要求和管理要求。 二、等保2.0基本要求的具体内容 1. 技术要求：主要包括物理环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面。这些技术要求旨在保证信息系统的稳定运行和数据的安全存储。 2. 管理要求：主要包括安全策略和制度、人员安全管理、资产管理、安全运维管理和应急响应等方面。这些管理要求旨在规范信息系统的日常管理和维护，防止人为因素导致的信息安全事件。 三、等保2.0的重要性

等保2.0的实施对于提升我国的信息安全防护能力具有重要意义。首先，等保2.0能够指导各组织机构进行信息系统建设，确保信息系统的安全性、稳定性。其次，等保2.0能够提高公众对信息安全的认识，推动全社会形成良好的信息安全氛围。最后，等保2.0也体现了我国对国际信息安全标准的接轨，有助于提升我国在国际信息安全领域的影响力。 四、结论 综上所述，等保2.0基本要求是我国信息安全工作的重要指南。只有严格按照等保2.0的要求进行信息系统建设和维护，才能有效保障我国的信息安全。因此，我们需要进一步加强等保2.0的宣传和培训，让更多的人了解和掌握等保2.0的基本要求，共同构建一个安全、可靠的信息环境。 以上只是对等保2.0基本要求的简单介绍，实际上，等保2.0的内容非常丰富，涵盖了信息安全的各个方面。希望这篇文章能帮助大家对等保2.0有一个初步的了解，如果想要深入了解等保2.0，还需要阅读相关的法规和标准，以及参加专业的培训。

等级保护2.0 三级 概述

等级保护2.0 三级概述 等级保护2.0（等保2.0）是我国信息安全保障的基本制度，其三级标准是在法律法规的基础上，对信息系统安全、物理和环境安全、网络通信安全、设备和计算安全、应用和数据安全、安全管理、评估与审计、应急响应等方面提出的具体要求。 1. 法律法规基础：等保 2.0三级依据国家法律法规和标准，对信息系统的合规性进行严格要求，确保信息系统符合法律法规的要求。 2. 信息系统安全：等保2.0三级对信息系统的安全性提出更高要求，包括信息的保密性、完整性和可用性等。 3. 物理和环境安全：等保2.0三级强调物理和环境安全，对物理访问控制、物理安全监测等提出具体要求。 4. 网络通信安全：等保2.0三级在网络通信安全方面要求建立完善的网络安全体系，包括网络隔离、入侵检测、漏洞扫描等。 5. 设备和计算安全：等保2.0三级对设备和计算安全提出要求，包括防病毒、身份认证、访问控制等。 6. 应用和数据安全：等保2.0三级要求应用和数据安全得到保障，包括数据加密、数据备份等。 7. 安全管理：等保2.0三级强调安全管理，要求建立完善的安全管理体系，包括安全组织、安全策略、安全制度等。 8. 评估与审计：等保2.0三级要求对信息系统进行定期的评估和审计，确保信息系统的安全性。 9. 应急响应：等保2.0三级要求建立完善的应急响应机制，包括应急预案、应急演练等。 10. 技术要求符合性验证：等保2.0三级还要求对各项安全技术要求进行符合性验证，确保各项安全措施的有效性。 11. 人员安全：等保2.0三级强调人员安全的重要性，包括对员工的安全培训、岗位管理以及权限管理等方面提出了具体要求。 12. 供应链安全：等保2.0三级要求对供应链安全进行管理，包括对供应商的评估、管理以及控制等方面提出了具体要求。 通过满足等级保护2.0三级的要求，组织可以有效地提高信息系统的安全防护能力，减少安全风险，保障业务的正常运行。

三级等保2.0通过的标准

三级等保2.0（信息安全技术网络安全等级保护三级2.0）是我国网络安全等级保护制度的重要部分，是保障国家关键信息基础设施、重要信息系统和大数据安全的基本要求。下面将详细阐述三级等保2.0通过的标准。 首先，在物理和环境安全方面，三级等保2.0要求机房场地应选择在具有防震、防风和防雨等能力的建筑内，并避免设在建筑物的顶层或地下室，以防止水灾和渗水等安全隐患。同时，机房出入口应配置电子门禁系统，以控制、鉴别和记录进入的人员，防止未经授权的访问。此外，还需将设备或主要部件进行固定，并设置明显的不易去除的标识，以防止设备被盗或恶意破坏。 其次，在网络通信安全方面，三级等保2.0要求采用校验技术或密码技术保证通信过程中数据的完整性和保密性。对于重要的通信链路，应采用冗余或备份措施，以保证通信的可靠性。同时，还需对网络设备进行安全配置和优化，关闭不必要的服务和端口，以减少安全漏洞和风险。 在设备和计算安全方面，三级等保2.0要求对重要设备进行冗余配置，确保设备的故障不会影响系统的正常运行。同时，应采用可信计算技术，确保计算环境的可信度和安全性。此外，还需对操作系统、数据库等关键软件进行安全加固，防止病毒、木马等恶意软件的攻击。 在应用和数据安全方面，三级等保2.0要求采用身份鉴别、访问控制、安全审计等技术手段，确保只有经过授权的用户才能访问应用系统和数据。同时，应采用加密技术对数据进行保护，防止数据泄露和篡改。对于重要的数据，还应进行备份和恢复，以保证数据的可用性和完整性。 此外，在安全管理方面，三级等保2.0要求建立完善的安全管理制度和流程，明确各个部门和人员的职责和权限。同时，需对安全管理人员进行培训和考核，提高他们的安全意识和技能水平。对于安全事件，应建立应急响应机制，确保在发生安全事件时能够及时响应和处理。 综上所述，三级等保2.0通过的标准涵盖了物理和环境安全、网络通信安全、设备和计算安全、应用和数据安全以及安全管理等多个方面。只有满足这些基本要求，才能够保证关键信息基础设施、重要信息系统和大数据的安全稳定运行，为国家的经济发展和社会稳定提供有力保障。

等保二级认证检测标准

等保二级认证检测标准 一、物理和网络环境安全 1. 物理访问控制：确保物理环境的安全，包括门禁系统、监控系统、报警系统等。 2. 网络设备安全：对网络设备进行安全配置，包括防火墙、入侵检测系统、漏洞扫描等。 3. 网络通信安全：采用加密技术对网络通信进行保护，防止数据泄露和篡改。 二、主机系统安全 1. 操作系统安全：对操作系统进行安全配置，包括用户权限管理、访问控制、安全审计等。 2. 数据库安全：对数据库进行安全配置，包括用户权限管理、数据加密、备份恢复等。 3. 应用软件安全：对应用软件进行安全配置，包括输入验证、访问控制、日志记录等。 三、网络安全 1. 防火墙安全：确保防火墙的配置和策略符合等保要求，防止未经授权的访问和攻击。 2. 入侵检测和防御：采用入侵检测和防御系统，实时监测网络流量，发现并阻止恶意攻击。 3. 安全漏洞管理：定期对系统和应用进行漏洞扫描和修复，确保系统的安全性。

四、应用安全 1. 应用访问控制：确保应用系统的访问控制策略符合等保要求，防止未经授权的访问和操作。 2. 数据传输安全：采用加密技术对数据传输进行保护，防止数据泄露和篡改。 3. 数据存储安全：对数据进行加密存储，确保数据的安全性和完整性。 五、管理安全 1. 安全管理制度：建立完善的安全管理制度，明确各级人员的职责和权限。 2. 安全培训：定期对员工进行安全培训，提高员工的安全意识和技能水平。 3. 安全检查：定期对系统和应用进行安全检查，发现并修复潜在的安全隐患。 六、备份与恢复 1. 数据备份：定期对重要数据进行备份，确保数据的完整性和可用性。 2. 数据恢复：建立完善的数据恢复机制，确保在发生故障或灾难时能够及时恢复数据。 3. 备份策略：根据业务需求和数据重要性制定合理的备份策略，确保备份数据的完整性和可用性。 七、安全审计

网络安全等级保护安全物理环境测评实施

网络安全等级保护安全物理环境测评实 施 摘要：网络安全等级保护制度是国家网络安全的基石，2019年修订的《网络 安全等级保护基本要求》等国家标准正式实施，网络安全等级保护进入2.0时代。文章以数据中心设计规范（GB 50174-2017）为基准，结合实际测评、基本要求 和高风险判定指引，阐述在网络安全等级保护测评中，安全物理环境测评实施的 内容和要点。 关键词：网络安全等级保护测评，安全物理环境 安全物理环境主要包括机房、办公场地和介质存放场所等，但我们在实际测 评项目实施的时候，重点关注的是机房的安全，办公和介质存放场所为辅，以 《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）中第三级安 全通用要求为例，安全物理环境涉及的安全控制点包括物理位置选择、物理访问 控制、防盗窃和防破坏、防雷击、防火等十个层面。现场测评主要是测评师通过 现场实地查看、访谈、资料查阅等方式进行测评。 一、测评实施 1、物理位置选择 本安全控制点，要求测评师检查机房所在建筑物的验收或监理文档，抗震设 防类别不应该低于丙类，部分核心系统机房抗震设防类别不应低于乙类。针对部 分由办公室后期改建的机房，存在窗户、水管或暖气管，需核查窗户是否封堵， 是否存在漏水情况及暖气管、水管是否经过改造等，以对符合情况进行综合判断。如果是采用集装箱式数据中心，则需核查模块化机柜所在的环境，但因为模块化 机柜相对封闭可控，故可以对面临相应的风险进行调整。 2、物理访问控制

本安全控制点，首先需要测评师查看机房所有出入口是否配置电子门禁系统，对机房进出行为进行记录，要求项虽然写得简单，但是需要核查的点较多。首先 需要测评师核查机房的门禁系统是否运行正常，市电掉电后门禁是否正常。其次 登录门禁管理系统，查看门禁系统中账号分配的情况和进出情况记录，检查账号 和人员是否对应且一致，并且进出记录是否存留6个月。若是单机版门禁，则查 看设置，导出近期记录进行查看。如果是老旧机房，无门禁管理系统，那如果机 械钥匙统一管理，使用需登记审批，可以起到对进出人员进行识别和控制，那也 可以对风险进行相应调整。另外一种比较特殊的情况，模块化的机柜，大门访问 控制较弱，但是模块化机房的门禁可以做到基于人员的访问控制，那也可以对风 险进行调整。 3、防盗窃和防破坏 按照标准要求，第一，对于主要设备和主要部件设置不易去除的标签，内容 不应仅有设备名称，还应包括：IP地址、用途、责任人、重要程度等。第二，介 质是指磁盘、磁带、U盘之类的存储，需要及时分类并贴上标签放在指定位置。 不然会对后期管理留下隐患，比如人员离职，交接不明确，没有说明文档，后来 的人无法接管工作。第三，机房的防盗窃防破坏应该由视频安防监控系统、入侵 报警系统和出入口控制系统组成，各系统之间具备联动控制功能，且视频监控应 无盲区，硬盘录像机磁盘空间充足，满足视频记录留存6个月的要求。若仅配置 有视频安防监控系统，则需专人值守，不限于机房运维区的专人值守，可以与大 楼视频监控一起接入保安室，但是需要确认视频监控系统是否单独组网，未部署 在互联网上，因为在工业控制安全检查的过程中，发现大量监控摄像头暴露在互 联网上，存在安全漏洞及弱口令现象。 4、防雷击 本项测评时，如果业主或运维方可以提供每年的第三方的防雷检测报告，我 们即可判定为符合。若无法提供，就需要测评工程师进行实地检查，检查机房内 所有设备的金属外壳、各类金属管道、金属线槽等是是否进行等电位联结并接地，检查等点位联结网格，通过等点位联结导体将电位联结带。此类隐蔽工程，核查 难度较大。若面对雷击风险大的雷电多发地区，防雷或过压防护装置则不能只核

二级等保 对机房的要求

二级等保对机房的要求 引言 随着信息化的快速发展，机房作为信息系统的核心基础设施，承载着大量敏感数据和关键业务应用。为了保障信息系统的稳定运行和数据安全，国家对机房提出了一系列要求，其中包括二级等保标准。 二级等保概述 二级等保是指按照国家相关规定，对信息系统进行安全分级，并根据不同安全等级制定相应的安全措施和管理要求。机房作为信息系统重要组成部分，必须满足相应的二级等保标准。 机房物理环境要求 1.地理位置：机房应位于相对安全的地理位置，远离水源、化工厂、高压电线 等危险因素。 2.建筑结构：机房建筑应符合抗震、防火、防水等技术标准，并配备适当的消 防设备和灭火系统。 3.空调与温湿度控制：机房内应配置可靠的空调系统，确保温度和湿度在适宜 范围内，并具备监测报警功能。 4.供电与备用电源：机房应有可靠的供电系统，并配备UPS不间断电源和发电 机组作为备用电源，以应对突发停电情况。 5.防雷与接地：机房应配置合理的防雷装置和接地设施，确保对外界雷击和静 电干扰进行有效防护。 机房安全管理要求 1.准入控制：机房应设立严格的准入控制措施，包括身份认证、访客登记、门 禁系统等，确保只有经过授权的人员可以进入机房。 2.监控与报警：机房内应安装视频监控设备，实时监测关键区域，并配备报警 系统，及时发现异常情况并采取相应的处置措施。 3.机柜锁定：每个机柜都应配置可靠的物理锁，并且只有获得授权的人员才能 打开和操作。 4.网络隔离：不同安全等级的系统应在独立的网络环境中运行，避免信息泄露 和攻击传播。 5.硬件设备管理：对于所有进入机房的硬件设备都要进行清点登记，并建立相 应档案，确保设备的安全和完整性。 6.灾备与容灾：机房应制定完善的灾备和容灾计划，包括数据备份、应急预案 等，以应对自然灾害和突发事件。

等级保护高风险判定指引

等级保护高风险判定指引 （原创版） 目录 1.等级保护高风险判定指引的概述 2.等级保护高风险判定的具体标准 3.如何进行等级保护高风险判定 4.等级保护高风险判定的意义和作用 5.我国等级保护制度的现状与发展 正文 一、等级保护高风险判定指引的概述 等级保护高风险判定指引是为了帮助各级信息安全等级保护工作部门、运营单位及技术服务机构，科学、准确地识别和判定信息系统安全风险等级，有效实施信息安全等级保护制度而制定的。通过等级保护高风险判定指引，有助于确保信息系统的安全稳定运行，维护国家安全和社会稳定。 二、等级保护高风险判定的具体标准 等级保护高风险判定具体标准包括以下几个方面： 1.信息系统资产价值：根据信息系统的资产价值，包括硬件、软件、数据等方面，评估信息系统遭受破坏后可能造成的损失。 2.信息系统安全威胁：分析信息系统面临的安全威胁，包括内部威胁和外部威胁，评估威胁的可能性和影响程度。 3.信息系统安全防护措施：评估信息系统的安全防护措施，包括管理制度、技术手段、人员配备等方面，分析其是否能够有效应对安全威胁。 4.安全事件应急处置能力：评估信息系统在遭受安全事件时的应急处

置能力，包括应急预案、应急响应机制、应急资源等方面。 三、如何进行等级保护高风险判定 1.收集信息：收集信息系统的基本情况、资产价值、安全威胁、安全防护措施、安全事件应急处置能力等方面的信息。 2.评估风险：根据收集的信息，运用风险评估方法，对信息系统的安全风险进行定性或定量评估。 3.判定等级：根据风险评估结果，对照等级保护高风险判定标准，判定信息系统的安全风险等级。 4.制定措施：根据判定结果，制定相应的安全防护措施和应急处置方案，提高信息系统的安全防护能力。 四、等级保护高风险判定的意义和作用 1.有助于确保信息系统安全：通过等级保护高风险判定，可以及时发现信息系统的安全风险，采取有效措施，确保信息系统的安全稳定运行。 2.有助于提高信息安全防护能力：通过对信息系统的风险评估，可以发现安全防护薄弱环节，采取针对性的措施，提高信息安全防护能力。 3.有助于规范信息安全管理：等级保护高风险判定有助于推动信息安全管理工作的规范化、制度化，提高信息安全管理水平。 五、我国等级保护制度的现状与发展 1.现状：我国已经建立了较为完善的信息安全等级保护制度，各级政府部门、企事业单位都在积极开展信息安全等级保护工作。 2.发展：随着信息技术的不断发展，我国等级保护制度将不断完善，加强对新兴技术领域的安全保护，提高信息安全保障能力。

网络安全等级保护测评高风险判定指引(高风险无补偿项整理)

一、安全物理环境 （1）扩展-云计算-基础设施位置 1、应保证云计算基础设施位于中国境内。 6.1.6云计算基础设施物理位置不当 判例场景:云计算基础设施,例如云计算服务器、存储设备、网络设备、云管理平台、信息系统等运行业务和承载数据的软硬件等不在中国境内。 二、安全通信网络 （1）网络架构 2、d) 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段； （6.2.4二级及以上系统）： 在网络架构上,重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)无访问控制设备实施访问控制措施,例如重要网络区域与互联网等外部非安全可控网络边界处、生产网络与员工日常办公网络之间、生产网络与无线网络接入区之间未部署访问控制设备实施访问控制措施等。 （2）扩展-云计算-网络架构 3、a)应保证云计算平台不承载高于其安全保护等级的业务应用系统； (6.2.6云计算平台等级低于承载业务系统等级-二级及以上) 判例场景(任意): 1) 云计算平台承载高于其安全保护等级(SxAxGx)的业务应用系统; 2)业务应用系统部署在低于其安全保护等级(SxAxGx)的云计算平台上; 3)业务应用系统部署在未进行等级保护测评、测评报告超出有效期或者等级保护测评结论 为差的云计算平台上。

三、安全区域边界 （1）访问控制 4、a）应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信。 （6.3.2二级及以上系统）： 重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)访问控制设备配置不当或控制措施失效,存在较大安全隐患。例如办公网络任意网络终端均可访问核心生产服务器和网络设备;无线网络接人区终端可直接访问生产网络设备等。 （2）安全审计 5、a）应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。（6.3.6二级及以上系统）： 1）在网络边界、关键网络节点无法对重要的用户行为进行日志审计; 2)在网络边界、关键网络节点无法对重要安全事件进行日志审计。 四、安全计算环境 （1）安全审计(网络设备、安全设备、主机) 6、a) 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；（6.4.1.5二级及以上系统）： 1) 关键网络设备、关键安全设备、关键主机设备(包括操作系统、数据库等)未开启任何审计功能,无法对重要的用户行为和重要安全事件进行审计; 2)未采用堡垒机、第三方审计工具等技术手段或所采用的辅助审计措施存在漏记、旁路等缺陷,无法对重要的用户行为和重要安全事件进行溯源。 （2）数据保密性 7、b）应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。 （6.4.3.3三级及以上系统）： 1) 鉴别信息、个人敏感信息、行业主管部门规定需加密存储的数据等以明文方式存储; 2)未采取数据访问限制、部署数据库防火墙、使用数据防泄露产品等其他有效保护措施。

等保2.0高风险项判定汇总

最新资料推荐 等保2・0高风险项判定汇总 等保2.0高风险项判定汇总引言所谓高风险项，就是等保测评时可以一票否决的整改项，如果不改，无论你多少分都会被定为不合格。 全文共58页，写得比较细了，但是想到大家基本不会有耐心去仔细看的（凭直觉）。 这几天挑里边相对重点的内容列了出来，就是企业要重点关注的，把这些做好，上70分应该不成问题，个人认为这就是所谓的抓重点了。 最近要定级或者明年打算升级等保2.0的可以参考下。 说明：文中标记（3级）的表示3级及以上系统适用，标记（4级）的表示4级系统适用，为标记的表示所有系统适用。 物理环境部分1.无防盗报警系统、无监控系统，可判定为高风险。 2.机房未配备冗余或并行电力线路供电来自于同一变电站，可判咼风险。 3.系统所在的机房必须配备应急供电措施，如未配备，或应急供电措施无法使用，可判高风险。 （4级）4.对于涉及大量核心数据的系统，如机房或关键设备所在的机柜未采取电磁屏蔽措施，可判高风险。 （4级）网络通信部分 1.对可用性要求较高的系统，网络设备的业务处理能力不足，高峰时可能导致设备宕机或服务中断，影响金融秩序或引发群体事件，若无任何技术 1 / 16

应对措施。 核心网络设备性能无法满足高峰期需求，存在业务中断隐患，如业务高峰期，核心设备性能指标平均达到80%以上，可判定为高风险。 2.应按照不同网络的功能、重要程度进行网络区域划分，如存在重要区域与非重要网络在同一子网或网段的，可判定为高风险。 3.互联网出口无任何访问控制措施，或访问控制措施配置失效，存在较大安全隐患，可判定为高风险。 （区域边界要求同样适用）4.办公网与生产网之间无访问控制措施，办公环境任意网络接入均可对核心生产服务器和网络设备进行管理，可判定为高风险。 5.对可用性要求较高的系统，若网络链路为单链路，核心网络节点、核心网络设备或关键计算设备无冗余设计，一旦出现故障，可能导致业务中断，可判定为高风险。 （3级） 6.对数据传输完整性要求较高的系统，数据在网络层传输无完整性保护措施，一旦数据遭到篡改，可能造成财产损失的，可判定为高风险。 建议采用校验技术或密码技术保证通信过程中数据的完整性。 （3级）7. 口令、密钥等重要敏感信息在网络中明文传输，可判定为高风险。 （3级）建议相关设备开启SSH或HTTPS协议或创建加密通道, 通过这些加密方式传输敏感信息。

网络安全等级保护(等保2

网络安全等级保护(等保2.0)3级建设内 容设计方案 物理环境安全设计旨在保护计算机网络通信的电磁兼容工作环境，防止非法用户进入计算机控制室并防止偷窃和破坏活动发生。在物理位置选择上，应选择具有防震、防风、防雨等能力的建筑内场地，避免设在建筑物的顶层或地下室以确保机房的防水防潮效果。在UPS电池放置时，应考虑楼板的承重 能力。对机房划分区域进行管理，并在重要区域前设置交付或安装等过渡区域。进入机房的人员必须经过申请和审批流程，并受到限制和监控。机房的各出入口应配置电子门禁系统和视频监控系统来控制、鉴别和记录进入机房的人员相关信息。设备或主要部件应固定，并设置不易除去的标记以防盗窃和破坏。为了防止非法用户和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性，必须采用有效的区域监控、防盗报警系统，阻止非法用户的各种临近攻击。必须制定严格的出入管理制度和环境监控制度，以保障区域监控系统和环境监控系统的有效运行。在地板方面，应安装防静电地板并采用必要的接地防静电措施，在上架、调试触摸设备时应佩戴防静电手环等措施消除静电避

免静电引起设备故障和事故。合理规划设备安装位置，应预留足够的空间作安装、维护及操作之用。房间装修必需使用阻燃材料，耐火等级符合国家相关标准规定，同时设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。在机房建设阶段，对机房窗户、屋顶和墙壁进行处理，防止液体渗透。按照新风系统防止机房内水蒸气结露。在机房内部按照水浸传感器，实时对机房进行防水检测和报警。严格按照国家的相关标准将各类机柜、设施和设备等通过接地系统安全接地。在配电方面设置相应的防雷保安器或过压保护装置等。 网络安全设计 为保障通信传输网络的安全性，需要采用多种措施。首先，对网络传输设备进行加密和认证，确保数据传输的安全性。其次，采用虚拟专用网络（VPN）技术，对外部网络进行隔离，防止未经授权的访问。此外，还需要对传输线路进行加密和保护，防止数据在传输过程中被窃取或篡改。 另外，需要对通信传输网络进行监控和管理，及时发现和处理网络安全事件。建立网络安全事件响应机制，对网络安全

等保2.0 重点汇总

等保2.0 重点汇总 1整体测评结果分析从安全控制点间、区域间/层面间和验证测试等方面对单项测评的结果进行验证、分析和整体评价。根据整体测评结果，对安全问题汇总表中的安全问题进行修正，风险等级为“高”、“中”、“低”，修正后的问题风险程度，等级测评结论由综合得分和最终结论构成。 1.GB17859-1999《计算机信息系统安全保护等级划分准则》是网络安全领域唯一强制的标准，也是网络安全等级保护标准体系的中的基础标准。 2.GB17859-1999《计算机信息系统安全保护等级划分准则》将计算机信息系统的安全保护能力由低到高划分五个等级，分别第一级-用户自主保护级、第二级-系统审计保护级、第三级-安全标记保护级、第四级-结构化保护级、第五级-访问验证保护级。 3.GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求，适用于知道分等级的非涉密对象的安全建设和监督管理。 保护数据在存储、传输、处理过程中不被泄露、破坏和免受未侵权的修改的信息安全类要求（简记为S） 保护系统连续正常的运行，免受对系统的未侵权的修改、破坏而导致系统不可用的服务保证类要求（简记为A） 测评单元编码规则为三组数据，第一组：L1-5级别， 第二组： PES为安全物理环境、 CNS为安全通信网络、 ABS为安全区域边界、 CES安全计算环境、 SMC为安全管理中心、 PSS为安全管理制度、 ORS为安全管理制度

HRS为安全管理人员 CMS为安全建设管理 MMS为安全运维管理 BDS代表大数据 数字代表应用场景，1安全通用，2，云计算，3移动互联 4物联网 5 为工业控制系统 数据安全与备份恢复:主要测评对象包括加密机、VPN设备、备份软/硬件系统以及灾备中心等。测评力度在广度方面主要体现为测评对象的类型和数量

网络安全等级保护测评高风险判定指引

网络安全等级保护测评高风险判定指引 1术语和定义 1.1可用性要求较高的系统 指可用性级别大于等于99.9%，年度停机时间小于等于8.8小时的系统（例如银行、证券、非银行支付机构、互联网金融等交易类系统，提供公共服务的民生类系统，工业控制类系统，云计算平台等）。 1.2关键网络设备 指部署在关键网络节点的核心设备（包括但不限于核心交换机、核心路由器、边界防火墙等），一旦该设备遭受攻击或出现故障将影响整个系统网络。 1.3数据传输完整性要求较高的系统 指一旦数据在传输过程中遭受恶意破坏或篡改，可能造成较大的财产损失，或造成严重破坏的系统（例如银行、证券、非银行支付机构、互联网金融等交易类系统等）。 1.4不可控网络环境 指互联网、公共网络环境、开放性办公环境等缺少网络安全管控措施，可能存在恶意攻击、数据窃听等安全隐患的网络环境。 1.5可被利用的高危漏洞 指可被攻击者用来进行网络攻击从而导致严重后果的漏洞（包括但不限于缓冲区溢出、提权漏洞、远程代码执行、严重逻辑缺陷、敏感数据泄露等）。 1.6云管理平台 指云服务商或云服务客户用来对云计算资源进行管理的系统平台。 2安全物理环境 2.1物理访问控制 2.1.1机房出入口无控制措施 对应要求：机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。 判例内容：机房出入口无任何访问控制措施，机房大门未安装电

子或机械门锁（包括机房大门处于未上锁状态），机房入口处也无专人值守；非授权人员可随意进出机房，无任何管控、监控措施，存在较大安全隐患，可判定为高风险。 适用范围：2级及以上系统。 满足条件：机房出入口无任何访问控制措施，例如未安装电子或机械门锁（包括机房大门处于未上锁状态）、专人值守等，可导致非授权人员可随意进出机房。 补偿措施：机房所在位置处于受控区域，仅授权人员可进入该区域，可酌情降低风险等级。 整改建议：机房出入口配备电子门禁系统，通过电子门禁系统控制、鉴别、和记录进入的人员信息。 2.2防盗窃和防破坏 2.2.1机房无防盗措施 对应要求：应设置机房防盗报警系统或设置有专人值守的视频监控系统。 判例内容：机房无防盗报警系统，也未设置有专人值守的视频监控系统，出现盗窃事件无法进行告警、追溯，可判定为高风险。 适用范围：3级及以上系统。 满足条件（同时）： a)机房无防盗报警系统，无法对盗窃事件进行告警、追溯； b)未设置有专人值守的视频监控系统； c)机房出入口或机房所在区域无出入控制措施。 补偿措施： a)机房出入安排专人24小时值守，并且能对进出人员、进出物品进行登记，可酌情 降低风险等级； b)机房所在位置处于受控区域，仅授权人员可进入该区域，可酌情降低风险等级。 整改建议：建议机房部署防盗报警系统或设置有专人值守的视频监控系统，如发生盗窃事件可及时告警或进行追溯，确保机房环境的

网络安全等级保护测评高风险判定指引(等保2.0)讲课讲稿

网络安全等级保护测评高风险判定指引(等 保2.0)

网络安全等级保护测评高风险判定指引 信息安全测评联盟 2019年6月

目录 1适用范围 (1) 2术语和定义 (1) 3参考依据 (2) 4安全物理环境 (2) 4.1 物理访问控制 (2) 4.2 防盗窃和防破坏 (3) 4.3 防火 (3) 4.4 温湿度控制 (4) 4.5 电力供应 (4) 4.6 电磁防护 (6) 5安全通信网络 (6) 5.1 网络架构 (6) 5.2 通信传输 (10) 6安全区域边界 (11) 6.1 边界防护 (11) 6.2 访问控制 (14) 6.3 入侵防范 (15) 6.4 恶意代码和垃圾邮件防范 (16) 6.5 安全审计 (17) 7安全计算环境 (17) 7.1 网络设备、安全设备、主机设备等 (17) 7.1.1 身份鉴别 (17) 7.1.2 访问控制 (20) 7.1.3 安全审计 (20) 7.1.4 入侵防范 (21) 7.1.5 恶意代码防范 (23) 7.2 应用系统 (24) 7.2.1 身份鉴别 (24) 7.2.2 访问控制 (27) 7.2.3 安全审计 (29) 7.2.4 入侵防范 (29) 7.2.5 数据完整性 (31) 7.2.6 数据保密性 (32) 7.2.7 数据备份恢复 (33) 7.2.8 剩余信息保护 (35) 7.2.9 个人信息保护 (36) 8安全区域边界 (37) 8.1 集中管控 (37)

9安全管理制度 (39) 9.1 管理制度 (39) 10安全管理机构 (39) 10.1 岗位设置 (39) 11安全建设管理 (40) 11.1 产品采购和使用 (40) 11.2 外包软件开发 (41) 11.3 测试验收 (42) 12安全运维管理 (43) 12.1 漏洞和风险管理 (43) 12.2 网络和系统安全管理 (43) 12.3 恶意代码防范管理 (45) 12.4 变更管理 (46) 12.5 备份与恢复管理 (46) 12.6 应急预案管理 (47) 附件基本要求与判例对应表 (49)