《电力行业信息系统安全等级保护基本要求》|免费下载.doc

《《电力行业信息系统安全等级保护基本要求》|免费下载.doc》由会员分享，可在线阅读，更多相关《《电力行业信息系统安全等级保护基本要求》|免费下载.doc（102页珍藏版）》请在悟道方案网上搜索。

1、1 中华人民共和国电力行业标准  DL/T  ICS  电力行业信息系统安全等级保护基本要求  Baseline for classified protection of power industry information system 201 - -发布  201 - -实施  电力行业网络与信息安全领导小组办公室  DL I 目   次  前   言  . V 引   言  . VI 第一部分  通用要求  . 1 1 适用范围  

2、;. 1 2 规范性参考文件  . 1 3 术语和定义  . 1 4 信息系统安全等级保护概述  . 1 4.1 信息系统安全保护等级  . 1 4.2 不同等级的安全保护能力  . 1 4.3 总体要求、基本技术要求和基本管理要求  . 2 4.4 基本技术要求的三种类型  . 2 第二部分： 管理信息系统类要求  . 4 5 总体要求  . 4 5.1 总体技术要求  . 4 5.2 总体管理要求  . 4 6 第一级基本要求  . 5 6.1 技术要求  .

3、5 6.1.1 物理安全  . 5 6.1.2 网络安全  . 5 6.1.3 主机安全  . 6 6.1.4 应用安全  . 6 6.1.5 数据安全及备份恢复  . 7 6.2 管理要求  . 7 6.2.1 安全管理制度  . 7 6.2.2 安全管理机构  . 7 6.2.3 人员安全管理  . 7 6.2.4 系统建设管理  . 8 6.2.5 系统运维管理  . 9 7 第二级基本要求  . 10 7.1 技术要 求  . 10 7.1.1 物理安全 &

4、nbsp;. 10 II 7.1.2 网络安全  . 11 7.1.3 主机安全  . 13 7.1.4 应用安全  . 14 7.1.5 数据安全  . 15 7.2 管理要 求  . 15 7.2.1 安全管理制度  . 15 7.2.2 安全管理机构  . 16 7.2.3 人员安全管理  . 16 7.2.4 系统建设管理  . 17 7.2.5 系统运维管理  . 19 8 第三级基本要求  . 21 8.1 技术要求  . 22 8.1.1 物理安全  

5、. 22 8.1.2 网络安全  . 23 8.1.3 主机安全  . 25 8.1.4 应用安全  . 27 8.1.5 数据安全  . 29 8.2 管理要求  . 29 8.2.1 安全管理制度  . 29 8.2.2 安全管理机构  . 30 8.2.3 人员安全管理  . 31 8.2.4 系统建设管理  . 32 8.2.5 系统运维管理  . 35 第三部分：生产控制信息系统类要求  . 40 9 总体要求  . 40 9.1 总体技术要求  . 40

6、 9.2 总体管理要求  . 40 10 第一级基本要求  . 41 10.1 技术要求  . 41 10.1.1 物理安全  . 41 10.1.2 网络安全  . 41 10.1.3 主机安全  . 42 10.1.4 应用安全  . 42 10.1.5 数据安全及备份恢复  . 42 III 10.2 管理要求  . 42 10.2.1 安全管理制度  . 42 10.2.2 安全管理机构  . 43 10.2.3 人员安全管理  . 43 10.2.4 系统建设管理

7、 . 44 10.2.5 系统运维管理  . 45 11 第二级基本要求  . 46 11.1 技术要求  . 46 11.1.1 物理安全  . 46 11.1.2 网络安全  . 47 11.1.3 主机安全  . 48 11.1.4 应用安全  . 49 11.1.5 数据安全  . 50 11.2 管理要求  . 51 11.2.1 安全管理制度  . 51 11.2.2 安全管理机构  . 51 11.2.3 人员安全管理  . 52 11.2.4 系统建

8、设管理  . 52 11.2.5 系统运维管理  . 54 12 第三级基本要求  . 56 12.1 技术要求  . 56 12.1.1 物理安全  . 56 12.1.2 网络安全  . 58 12.1.3 主机安全  . 60 12.1.4 应用安全  . 61 12.1.5 数据安全  . 63 12.2 管理要求  . 63 12.2.1 安全管理制度  . 63 12.2.2 安全管理 机构  . 64 12.2.3 人员安全管理  . 65 12.2.

9、4 系统建设管理  . 66 12.2.5 系统运维管理  . 68 13 第四级基本要求  . 71 13.1 技术要求  . 71 13.1.1 物理安全  . 72 IV 13.1.2 网络安全  . 73 13.1.3 主机安全  . 75 13.1.4 应用安全  . 76 13.1.5 数据安全  . 78 13.2 管理要求  . 78 13.2.1 安全管理制度  . 78 13.2.2 安全管理机构  . 79 13.2.3 人员安全管理  . 8

10、0 13.2.4 系统建设管理  . 81 13.2.5 系统运维管理  . 84 附录 A 关于信息系统整体安全保护能力 的要求  . 88 附录 B 基本安全要求的选择和使用  . 90 参考文献  . 92 前   言  本标准的附录 A 和附录 B 是规范性附录 。  本标准由 国家电力监管委员会提出 。  VI 引   言  依据国家信息安全等级保护管理规定和电力行业有关要求制定本标准。  本标准是电力行业信息安 全等级保护相关系列规范性文件之一。   与

11、本标准相关的系列标准包括：   电力行业信息系统安全等级保护定级工作指导意见（电监信息 200744 号）。  本标准与 GB17859-1999、 GB/T 22239 2008 等标准共同构成了电力行业信息系统安全等级保护的相关配套标准。其中 GB17859-1999 、 GB/T 22239 2008 是基础性标准，本标准是在 GB17859-1999 和GB/T 22239 2008 基础上，根据电力行业信息系统和信息安全防护特点及要求，对 GB/T 22239 2008的进 一步细化和扩展。  本标准在 GB17859-1999、 GB/T 22239

12、2008 等技术类标准的基础上，根据电力行业现有技术的发展水平和安全防护要求，分管理信息系统类和生产控制信息系统累，分别提出和规定了不同安全保护等级信息系统的最低保护要求，即基本安全要求，基本安全要求包括总体要求、基本技术要求和基本管理要求，本标准适用于指导不同安全保护等级信息系统的安全建设和监督管理。  在本标准文本中，黑体字表示较低等级中没有出现或增强的要求。  为便于和 GB/T 22239 2008 比照，分别用“（新增）”、“（细化） ”、“（增强）”和“（落实）”来标识本标准的该条目和 GB/T 22239 2008 中相关条目的差异，未标识则是等同采用。 &n

13、bsp;电力行业信息系统安全等级保护基本要求  第一部分  通用要求  1  适用范围  本规范规定了电力行业管理类信息系统和生产控制类信息系统不同安全等级的信息系统等级保护要求，包括安全技术指标和安全管理指标，用于指导电力行业各单位信息系统的安全等级保护建设工作。其中，通用要求部分同时适用于管理类信息系统和生产控制类信息系统，管理信息系统类基本要求适用于管理类信息系统的 安全等级保护建设工作，生产控制信息系统类基本要求适用于生产控制类信息系统的安全等级保护建设工作。  2  规范性参考文件  信息安全等级保护管理

14、办法（公通字 200743 号）  GB 17859-1999计算机信息系统安全保护等级保护划分准则  GB/T 22239-2008信息安全技术  信息系统安全等级保护基本要求   电力二次系统安全防护规定 (电监会 5 号令 ) 电力行业网络与信息安全监督管理暂行规定（电监信息 200750 号）  电力行业信息系统安全等级保护定级工作指导意见（电监信息 200744 号）  3  术语和定义  GB/T 5271.8 和 GB 17859-1999 确立的以及下列术语和定义适用于本标准。  安全保护

15、能力  security protection ability  系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。  4  信息系统安全等级保护概述  4.1  信息系统安全保护等级  信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分为五级。  4.2  不同等级的安全保护能力  不同等级的 信息系统应具备的基本安全保护能力如下：  第一级安全保护能

16、力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到 损害 后，能够恢复部分功能。  第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶2 意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源 损害 ，能够发现重要的安全漏洞和安全事件，在系统遭到 损害 后，能够在一段时间内恢复部分功能。  第三级安全保护能力：应能够在统一安全策略下 防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他

17、相当危害程度的威胁所造成的主要资源 损害 ，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。  第四级安全保护能力：应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。  第五级安全保护能力：（略）。  4.3  总体要求、基本技术 要求和基本管理要求  信息系统安全 等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力，不

18、同安全保护等级的信息系统要求具有不同的安全保护能力。  基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求，根据实现方式的不同，基本安全要求分为总体要求、基本 技术 要求 和 基本 管理 要求三大类 。 总体要求与各个单位的总体安全策略相关，主要通过落实总体安全策略直接导出的、所有信息系统必须遵从的总体安全防护要求来体现； 技术 类安全要求与信息系统提供的技术安全机制有关，主要 通过 在信 息系统中 部署软硬件 并正确的配置其安全功能 来实现 ； 管理 类安全要求与 信息系统中各种 角色 参与 的活动有关， 主要通过 控制 各种 角色的活动， 从政策、

19、制度、规范、流程以及记录等方面做出规定 来实现 。  总体要求概括了电力行业信息安全防护策略的基本要求；基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出；基本管 理 要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出，总体要求、基本技术要求和基本管理要求是确保信息系统安全不可分割的三个部分。  基本安全要求从各个层面或方面提出 了系统的每个组件应该满足的安全要求，信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。除了保证系统的每个组件满足基本安全要求外，还要考虑组件之间的相互关系，来保证信息系统的

20、整体安全保护能力。关于信息系统整体安全保护能力的说明见附录 A。  对于涉及国家秘密的信息系统，应按照国家保密工作部门的相关规定和标准进行保护。对于涉及密码的使用和管理，应按照国家密码管理的相关规定和标准实施。  4.4  基本技术要求的三种类型  根据保护侧重点的不同，技术类安全 要求 进一步细分为： 保护数据在存储、传输、处理过程中不被泄漏 、 破坏 和 免受 未授权的 修改 的信息安全类要求（简记为 S）； 保护系统连续正常的运行，免受对系统的 未授权 修改、破坏而导致系统不可用 的服务保证类要求（简记为 A）；通用安全保护类要求（简记为 G）。