(只描述二级和三级的测评项,每个机构的详细标准有出入,但大同小异。非倾斜的字体为国标内容,倾斜内容是对其进行的解说,图片均来着网上。高风险参考新旧两版,有差异的会标注,只描述二三级的高危)
参考依据标准:
GB/T 22239-2019:《信息安全技术 网络安全等级保护基本要求》
GB/T 28448-2019:《信息安全技术 网络安全等级保护测评要求》
《网络安全等级保护测评高风险判定实施指引(试行 )》(还未正式实行,暂不提供下载地址)
TISEAA001—202《网络安全等级保护测评高风险判定指引》(没有找到原文件,也不好上传,可以自行百度)
目录
b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
a)机房出入口应配置电子门禁系统,控制、鉴别和记录进入人员。(高风险)
a)应将设备或主要部件进行固定,并设置明显的不易除去的标识;
c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。(旧版高风险)
b)应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。
a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;(高风险)
b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
c)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。
c)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
b)应采取措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等。
a)应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。
b)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求;
a)应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。(高风险)
a)感知节点设备所处的物理环境应不对感知节点设备造成物理破坏,如挤压、强振动;(高风险)
b)感知节点设备在工作状态所处物理环境应能正确反映环境状态(如温湿度传感器不能安装在阳光直射区域);
c)感知节点设备在工作状态所处物理环境应不对感知节点设备的正常工作造成影响,如强干扰、阻挡屏蔽等;
d)关键感知节点设备应具有可供长时间工作的电力供应(关键网关节点设备应具有持久稳定的电力供应能力)。
a)室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具有透风、散热、防盗、防雨和防火能力等;(高风险)
b)室外控制设备放置应远离强电磁干扰、强热源等环境,如无法避免应及时做好应急处置及检修,保证设备正常运行。
一、安全通用要求
1、物理位置选择
a)机房场地应选择在具有防震、防风和防雨等能力的建筑内。
测汗对象:记录类文档和机房。
测评实施内容:
1)应核查所在建筑物是否具有建筑物抗震建设防审批文档;
(需要找单位要,一般情况只有新楼房还在)
2)应核查机房是否不存在雨水渗漏;
3)应核查门窗是否不存在因风导致的尘土严重;
4)应核查屋顶、墙休、门窗和地面等是否不存在破损开裂。
判定:符合、部分符合、不符合
b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
测评对象:机房。
测评实施内容:
应核查机房是否部位与所在建筑物的顶层或地下室,如果否,则核查机房是否采取了放水和防潮措施。
(查看机房所在楼层和总层数)
判定:符合、不符合
2、物理访问控制
a)机房出入口应配置电子门禁系统,控制、鉴别和记录进入人员。(高风险)
测评对象:机房电子门禁系统。
测评实施内容:
1)应核查出入口是否配置电子门禁系统
2)应核查电子门禁系统是否可以鉴别、记录进入的人员信息
(看一下门禁设备的牌子和工作模式,部分机构是不认可非生物识别,认为有盗刷的可能,无法正确识别记录进出人员。最好再看一下门禁的日志、维保记录)
判定:符合、部分符合、不符合
高风险判断:机房出入口无任何访问控制措施
补偿因素:机房所在位置处于受控区域(门口有24h监控),非授权人员无法随意进出机房
3、防盗窃和防破坏
a)应将设备或主要部件进行固定,并设置明显的不易除去的标识;
测评对象:机房设备或主要部件。
测评实施内容:
1)应核查机房内设备或主要部件是否固定;
(一般是都固定在机柜上,主要就是看一下有没有裸露在外面的设备)
2)应核查机房内设备或主要部件上是否设置了明显且不易出去的标志。
(查看设备和线缆是否有标签)
判定:符合、部分符合、不符合
b)应将通信线缆铺设在隐蔽安全处;
测评对象:机房通信线缆。
测评实施内容:
应核查机房内通信线缆是否铺设在隐蔽安全处,如桥架中等
判定:符合、不符合
c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。(旧版高风险)
测评对象:机房防盗报警系统或视频监控系统。
测评实施内容:
1)应核查机房内是否配置防盗报警系统或专人值守的视屏监控系统;
(看看有没有监控,询问是否是自动识别或者有专人24h值守,或者是红外线等自动报警器)
2)应核查防盗报警系统或视频监控系统是否启用。
判定:符合、部分符合、不符合
高风险判断:机房内或所在区域无报警系统,且未设置专人值守的视频监控系统,无法告警、追溯
补偿因素:机房出入口或所在区域有其他控制措施(机房出入口有专人值守等)
4、防雷击
a)应将各类机柜、设施和设备等通过接地系统安全接地;
测评对象:机房。
测评实施内容:
应核查机房内机柜、设施和设备等是否进行接地处理。
(查看铁皮机柜背面是否有绿黄接地线,如果是其他材质的机柜或者没有机柜,看设备是否有单独接地)
判定:符合、不符合
b)应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。
测评对象:机房防雷设施。
测评实施内容:
1)应核查机房内是否设置防感应雷措施;
(不是很好找和判断,询问业主是否有购买安装防雷器。有情况是电源接入UPS后传输到设备上,个别UPS具有防雷措施)
2)应核查防雷装置是否通过验收或国家有关部门的检测。
(看机房验收报告和设备合格证)
判定:符合、部分符合、不符合
5、 防火
a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;(高风险)
测评对象:机房防火设施
测评实施内容:
1)应核查机房内是否设置火灾自动消防系统;
(就看看机房内外墙上是否有自动消防系统,没有的话就看看有没有手提式灭火器,虽然手动也不符合。再看看是否在质保期和定期维护)
2)应核查火灾自动消防系统是否可以自动检测火情、自动报警并自动灭火。
(一般是搭配烟雾报警器、温度报警器使用)
判定:符合、部分符合、不符合
高风险判断:机房无任何有效的消防措施(检测火情、感应措施、手提灭火器、消防设备未年检或失效等)、灭火系统或设备不符合国家规定(仅手提式灭火器无报警措施,也是高危)
补偿因素:机房有专人值守或机房有专人值守的视频监控系统,且机房附近有符合国家消防标注的灭火器
b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
测评对象:机房验收类文档
测评实施内容:
应核查机房验收文档是否明确相关建筑材料的耐火等级。
判定:符合、不符合
c)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。
测评对象:机房管理员和机房
测评实施内容:
1)应访谈机房管理员是否进行了区域划分;
(主要是看是否将设备和运维办公在机房分开,然后用具有防火材料的墙区分开。)
2)应核查各区域间是否采取了防火措施进行隔离。
(要是有机房建设材料,直接看材料判断。)
判定:符合、部分符合、不符合
6、防水和防潮
a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
测评对象:机房
测评实施内容:
应核查窗户、屋顶和墙壁是否采取了防雨水渗透的措施。
(主要看一下窗户是否可以打开,能打开的话就不符合,不能打开的话看看有没有密封措施。剩下就看一下有没有漏水。)
判定:符合、不符合
b)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
测评对象:机房
测评实施内容:
1)应核查机房内是否采取了防止水蒸气结露的措施;
(看一下有没有精密空调,或者除湿机)
2)应核查机房内是否采取了排泄地下积水,防止地下积水渗透的措施。
(看一下静电地板底下是否有地漏,门口是否有挡水坝等)
判定:符合、部分符合、不符合
c)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
测评对象:机房防水检测设施
测评实施内容:
1)应核查机房内是否安装了对水敏感的检测装置;
(先询问,后查看是否具有相关装置)
2)应核查防水检测和报警装置是否启用
判定:符合、部分符合、不符合
7、防静电
a)应采用防静电地板或地面并采用必要的接地防静电措施;
测评对象:机房
测评实施内容:
1)应核查机房内是否安装了防静电地板或地面;
(进去看到是高于地面一截的,如图所示的地面,基本上就是防静电地板,实在判断不了,静电地板可以撬开看的。)
2)应核查机房内是否采用了接地防静电措施。
判定:符合、部分符合、不符合
b)应采取措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等。
测评对象:机房
测评实施内容:
应核查机房内是否配备了防静电设备
判定:符合、不符合
8、温湿度控制
a)应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。
测评对象:机房
测评实施内容:
1)应核查机房内是否配备了专用空调;
2)应核查机房内温湿度是否在设备运行所允许的范围之内。
(看机房建设材料是几类的机房,如果没有办法判断,直接按最严格的A类,如果机构有自己的标准,按机构的标准来。
A类:温度10~25°、湿度40%~70%;
B类:温度10~28°、湿度30%~80%;
C类:温度10°~30°、湿度20%~80%。)
判定:符合、部分符合、不符合
9、电力供应
a)应在机房供电线路上配置稳压器和过电压防护设备;
测评对象:机房供电设施
测评实施内容:
应核查供电线路上是否配置了稳压器和过压防护设备
(一般是有的)
判定:符合、不符合
b)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求;
测评对象:机房备用供电设施
测评实施内容:
1)应核查是否配备UPS等后备电源系统;
2)应核查UPS等后备电源系统是否满足设备在断电情况下的正常运行要求
(至少一小时)
判定:符合、部分符合、不符合
c)应设置冗余或并行的电力电缆线路为计算机系统供电。
测评对象:机房
测评实施内容:
应核查机房内是否设置了冗余或并行的电力电缆线路未计算机系统供电
(双路市电,就是机房的电由两个供电厂提供,确保任意一路发生故障时,另一路仍可正常供电)
判定:符合、不符合
10、电磁防护
a)电源线和通信线缆应隔离铺设,避免互相干扰;
测评对象:机房线缆
测评实施内容:
应核查机房内电源线缆和通信线缆是否隔离铺设
判定:符合、不符合
b)应对关键设备实施电磁屏蔽。
测评对象:机房关键设备
测评实施内容:
应核查机房内是否为关键设备配备了电磁屏蔽装置。
(三级及以下很少见,屏蔽柜非常厚且昂贵,电磁屏蔽器可以看一下一进去还有没有信号。如果是机密数据就不会是三级了)
判定:符合、不符合
二、云计算安全扩展
基础设施位置
a)应保证云计算基础设施位于中国境内。(高风险)
测评对象:机房管理员、办公场地、机房和平台建设方案
测评实施内容:
1)应访谈机房管理员云计算服务器、存储设备、网络设备、云管理平台、信息系统等运行业务和承载数据的软硬件是否均位于中国境内;
2)应核查云计算平台建设方案,云计算服务器、存储设备、网络设备、云管理平台、信息系统等运行业务和承载数据的软硬件是否均位于中国境内。
判定:符合、部分符合、不符合
高风险判断:云计算基础设施不在中国境内
补偿因素:无
三、移动互联安全扩展
无线接入点的物理位置
a)应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。(高风险)
测评对象:无线接入设备
测评实施内容:
1)应核查物理位置与无线信号的覆盖范围是否合理;
2)应测试验证无线信号是否可以避免电磁干扰
(一般是可以的,不可以的话业务会断断续续的,时常出现信号不好)
判定:符合、部分符合、不符合
高风险判断:无线信号覆盖范围过度,致使未授权访问。或未使用电磁屏蔽
补偿因素:采用MAC地址接入,或具有准入控制、MAC地址过滤
四、物联网安全扩展
感知节点设备物理防护
a)感知节点设备所处的物理环境应不对感知节点设备造成物理破坏,如挤压、强振动;(高风险)
测评对象:感知节点设备所处物理环境和设计或验收文档
测评实施内容:
1)应核查感知节点设备所处物理环境的设计或验收文档,是否有感知节点设备所处物理环境具有防挤压、防强振动等能力的说明,是否与实际情况一致;
2)应核查感知节点设备所处物理环境是否采取了防挤压、防强振动的防护措施。
判定:符合、部分符合、不符合
高风险判断:感知节点设备所处物理环境易对设备进行破坏,影响正常工作
补偿因素:无
b)感知节点设备在工作状态所处物理环境应能正确反映环境状态(如温湿度传感器不能安装在阳光直射区域);
测评对象:感知节点设备所处物理环境和设计或验收文档
测评实施内容:
1)应核查感知节点设备所处物理环境的设计或验收文档,是否有感知节点设备在工作状态所处物理环境的说明,是否与实际情况一致;
2)应核查感知节点设备在工作状态所处物理环境是否能反映环境状态(如温湿度传感器不能安装在阳光直射区域)。
(意思就是感知设备是不是放对地方了,能不能收集到想要的数据)
判定:符合、部分符合、不符合
c)感知节点设备在工作状态所处物理环境应不对感知节点设备的正常工作造成影响,如强干扰、阻挡屏蔽等;
测评对象:感知节点设备所处物理环境和设计或验收文档
测评实施内容:
1)应核查感知节点设备所处物理环境的设计或验收文档,是否有感知节点设备所处物理环境防强干扰、防阻拦屏蔽等能力的说明,是否与实际情况一致;
2)应核查感知节点设备所处物理环境是否采取了防强干扰、防阻拦屏蔽等防护措施。
判定:符合、部分符合、不符合
d)关键感知节点设备应具有可供长时间工作的电力供应(关键网关节点设备应具有持久稳定的电力供应能力)。
测评对象:感知节点设备所处物理环境和设计或验收文档
测评实施内容:
1)应核查感知节点设备(关键网关节点设备)电力供应设计或验收文档是否标明电力供应要求,其中是否明确保障关键感知节点设备长时间感知的电力供应措施(关键网络节点设备持久稳定的电力供应措施);
2)应核查是否具有相关电力供应措施的运行维护记录,是否与电力供应设计一致。
判定:符合、部分符合、不符合
五、工业控制系统安全扩展
室外控制设备物理防护
a)室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具有透风、散热、防盗、防雨和防火能力等;(高风险)
测评对象:室外控制设备
测评实施内容:
1)应核查是否防止于采用铁板或其他防火材料制作的箱体或装置中并紧固;
2)应核查箱体或装置是否具有透风、散热、防盗、防雨和防火能力等。
判定:符合、部分符合、不符合
高风险判断:室外控制设备裸露、无固定措施,无法防水和防火。或放置的箱体不具有相关检测验收报告,无相关能力
补偿因素:设备所处受控区域,本身具有防水、防火特性
b)室外控制设备放置应远离强电磁干扰、强热源等环境,如无法避免应及时做好应急处置及检修,保证设备正常运行。
测评对象:室外控制设备
测评实施内容:
1)应核查放置位置是否远离电磁干扰和热源等环境;
2)应核查是否有应急处置及检修维护记录。
判定:符合、部分符合、不符合
六、大数据安全扩展
基础设施位置
应保证承载大数据存储、处理和分析的设备机房位于中国境内。
测评对象:机房管理员、办公场地、机房和平台建设方案
测评实施内容:
1)应访谈机房管理员大数据服务器、存储设备、网络设备、管理平台、信息系统等运行业务和承载数据的软硬件是否均位于中国境内;
2)应核查大数据平台建设方案,大数据服务器、存储设备、网络设备、管理平台、信息系统等运行业务和承载数据的软硬件是否均位于中国境内。
判定:符合、部分符合、不符合
扫一扫
1150
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
