1、煙草行業(yè)信息系統(tǒng)安全等級保護基本要求二一一年五月目次引言.-3-1.范圍.-4-2.規(guī)范性引用文件.-4-3.術語和定義.-4-3.1.安全保護能力.-4-4.煙草行業(yè)信息系統(tǒng)安全等級保護概述.-4-4.1.煙草行業(yè)信息系統(tǒng)安全保護等級.-4-4.2.不同等級的安全保護能力.-4-4.3.基本技術要求和基本管理要求.-5-4.4.基本技術要求的三種類型.-5-5.第一級基本要求.-5-5.1.技術要求.-5-5.1.1.物理安全.-5-5.1.2.網(wǎng)絡安全.-7-5.1.3.主機安全.-8-5.1.4.應用安全.-9-5.1.5.數(shù)據(jù)安全及備份恢復.-10-5.2.管理要求.-10-5.2.1

2、.安全管理制度.-10-5.2.2.安全管理機構.-10-5.2.3.人員安全管理.-11-5.2.4.系統(tǒng)建設管理.-12-5.2.5.系統(tǒng)運維管理.-15-6.第二級基本要求.-18-6.1.技術要求.-18-6.1.1.物理安全.-18-6.1.2.網(wǎng)絡安全.-21-6.1.3.主機安全.-23-6.1.4.應用安全.-26-6.1.5.數(shù)據(jù)安全及備份恢復.-28-6.2.管理要求.-29-6.2.1.安全管理制度.-29-6.2.2.安全管理機構.-30-6.2.3.人員安全管理.-31-6.2.4.系統(tǒng)建設管理.-33-6.2.5.系統(tǒng)運維管理.-38-7.第三級基本要求.-44-7

3、.1.技術要求.-44-7.1.1.物理安全.-44-7.1.2.網(wǎng)絡安全.-49-7.1.3.主機安全.-53-7.1.4.應用安全.-56-7.1.5.數(shù)據(jù)安全及備份恢復.-60-7.2.管理要求.-61-7.2.1.安全管理制度.-61-7.2.2.安全管理機構.-63-7.2.3.人員安全管理.-66-7.2.4.系統(tǒng)建設管理.-69-7.2.5.系統(tǒng)運維管理.-76-8.第四級基本要求.-87-9.第五級基本要求.-87-附錄A （規(guī)范性附錄） 煙草行業(yè)信息系統(tǒng)整體安全保護能力要求.-88-附錄B （規(guī)范性附錄） 煙草行業(yè)信息系統(tǒng)安全要求的選擇和使用.-90-引言本要求依據(jù)國家信息安

4、全等級保護管理規(guī)定制訂。從煙草行業(yè)實際情況出發(fā)， 對信息系統(tǒng)安全等級保護基本要求（GB/T222392008）的有關要求進行了明確、細化和調整，提出和規(guī)定了煙草行業(yè)不同等級信息系統(tǒng)的安全要求，適用于煙草行業(yè)按照等級保護要求進行安全建設、測評和監(jiān)督管理等工作。煙草行業(yè)信息系統(tǒng)安全等級保護基本要求1. 范圍本要求規(guī)定了煙草行業(yè)不同安全保護等級信息系統(tǒng)的安全要求，包括基本技術要求和基本管理要求，適用于煙草行業(yè)按照等級保護要求進行安全建設、測評和監(jiān)督管理等工作。2. 規(guī)范性引用文件GB/T 5271.8 信息技術 詞匯 第 8 部分：安全（GB/T 5271.82001, idt ISO/IEC 23

5、828:1998）GB 17859 計算機信息系統(tǒng)安全保護等級劃分準則GB 501742008 電子信息系統(tǒng)機房設計規(guī)范GB/T 222402008 信息安全技術 信息系統(tǒng)安全等級保護定級指南GB/T 222392008 信息安全技術 信息系統(tǒng)安全等級保護基本要求YC/T 3892011 煙草行業(yè)信息系統(tǒng)安全等級保護與信息安全事件的定級準則3. 術語和定義GB/T 5271.8 和 GB 178591999 確定的以及下列術語和定義適用于本要求。3.1. 安全保護能力 security protection ability系統(tǒng)能夠抵御威脅、發(fā)現(xiàn)安全事件以及在系統(tǒng)遭到損害后能夠恢復先前狀態(tài)等的程

6、度。4. 煙草業(yè)信息系統(tǒng)安全等級保護概述4.1.煙草業(yè)信息系統(tǒng)安全保護等級煙草行業(yè)信息系統(tǒng)根據(jù)其在國家安全、經(jīng)濟建設、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及法人和其他組織的合法權益的危害程度，等級劃分定義見 YC/T 3892011。4.2.不同等級的安全保護能力不同等級的信息系統(tǒng)應具備的基本安全保護能力如下：第一級安全保護能力：應能夠防護系統(tǒng)免受來自個人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的關鍵資源損害。信息系統(tǒng)遭到破壞后，對業(yè)務造成局部性影響且經(jīng)濟損失程度一般，由信息系統(tǒng)建設和使用單位按本單位信息化工作部門有關

7、規(guī)定進行自行保護，它需要實施系統(tǒng)安全運行所需的基本的技術要求和安全管理要求。第二級安全保護能力：應能夠防護系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅 源發(fā)起的惡意攻擊、一般的自然災難，以及其他相當危害程度的威脅所造成的重要資源損害， 能夠發(fā)現(xiàn)重要的安全漏洞和安全事件。信息系統(tǒng)遭到破壞后，對煙草業(yè)務造成區(qū)域性影響且經(jīng)濟損失程度較大，由信息系統(tǒng)建設和使用單位在國家煙草專賣局有關部門的指導下進行保護，它需要實施系統(tǒng)安全運行所需的一定程度的技術要求和安全管理要求。第三級安全保護能力：應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自外部有組織的團體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災難，

8、以及其他相當危害程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件。信息系統(tǒng)遭到破壞后，對業(yè)務造成全局性影響或經(jīng)濟損失程度嚴重，由信息系統(tǒng)建設和使用單位在國家煙草專賣局有關部門的監(jiān)督下進行保護，它需要實施系統(tǒng)安全運行所需的高程度的技術要求和嚴格的安全管理要求。第四級安全保護能力：（略） 第五級安全保護能力：（略）。4.3.基本技術要求和基本管理要求基本安全要求是針對不同安全保護等級信息系統(tǒng)應該具有的基本安全保護能力提出的安全要求，根據(jù)實現(xiàn)方式的不同，基本安全要求分為基本技術要求和基本管理要求兩大類。技術類安全要求與信息系統(tǒng)提供的技術安全機制有關，主要通過在信息系統(tǒng)中部署軟硬件并正確的配

9、置其安全功能來實現(xiàn)；管理類安全要求與信息系統(tǒng)中各種角色參與的活動有關，主要通過控制各種角色的活動，從制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)。基本技術要求從物理安全、網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全幾個層面提出； 基本管理要求從安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理幾個方面提出，基本技術要求和基本管理要求是確保信息系統(tǒng)安全不可分割的兩個部分。基本安全要求從各個層面或方面提出了系統(tǒng)的每個部分應該滿足的安全要求，信息系統(tǒng)具有的整體安全保護能力通過不同組件實現(xiàn)基本安全要求來保證。除了保證系統(tǒng)的每個組件 滿足基本安全要求外，還要考慮組件之間的相互關系，來保證信息

10、系統(tǒng)的整體安全保護能力。關于煙草行業(yè)信息系統(tǒng)整體安全保護能力的說明見附錄 A。對于涉及國家秘密的信息系統(tǒng)，應按照國家保密工作部門的相關規(guī)定和標準進行保護。對于涉及密碼的使用和管理，應按照國家密碼管理的相關規(guī)定和標準實施。4.4.基本技術要求的三種類型根據(jù)保護側重點的不同，技術類安全要求進一步細分為：保護數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權的修改的信息安全類要求（簡記為 S）；保護系統(tǒng)連續(xù)正常的運行，免受對系統(tǒng)的未授權修改、破壞而導致系統(tǒng)不可用的服務保證類要求（簡記為A）；通用安全保護類要求（簡記為 G）。本要求中對基本安全要求使用了標記，其中的字母表示安全要求的類型，數(shù)字表示

11、適用的安全保護等級。5. 第一級基本要求5.1.技術要求5.1.1. 物理安全.物理訪問控制（G1）機房出入應安排專人負責，控制、鑒別和記錄進入的人員。1） 應對人員進出機房進行管理，采取有效的保護措施；2） 應安排專人對人員進出機房進行管理，保存人員進入機房的登記記錄。.防盜竊和防破壞（G1）本項要求包括：a) 應將主要設備放置在機房內；1） 主要設備應放置在機房內或其它不易被盜竊和破壞的可控范圍內。b) 應將設備或主要部件進行固定，并設置明顯的不易除去的標記。1） 設備或主要部件應當安裝、固定在機柜內或機架上；2） 設備或主要部件應貼有明顯且不易除去的標識，如粘

12、貼標簽或銘牌等。.防雷擊（G1）機房建筑應設置避雷裝置。1） 機房或機房所在大樓應安裝避雷裝置，如：避雷針或避雷器等；2） 應具有經(jīng)國家有關部門驗收或檢測合格的相關證明文件。.防火（G1）本項要求包括：a) 機房應設置滅火設備；1） 應制訂機房消防應急預案，并按照 .a)機房消防安全的要求，對相關人員進行消防培訓；2） 機房應配備有效的滅火設備，擺放位置合理。b) 機房內裝修材料應采用難燃材料和非燃材料。1） 機房內的裝修材料應滿足建筑內部裝修設計防火規(guī)范GB5022295(2001 年修訂版)中規(guī)定的難燃材料和非燃材料的要求。.防水和防

13、潮（G1）本項要求包括：a) 應對穿過機房墻壁和樓板的水管增加必要的保護措施；1） 水管安裝，盡量避免穿過屋頂和活動地板，穿過墻壁和樓板的水管應使用套管，并采取可靠的密封措施。b) 應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透。1） 機房外墻壁若有對外的窗戶，應對窗戶進行密封、防水處理；2） 應對機房屋頂、地面和墻壁進行防水處理，防止出現(xiàn)漏水、滲透和返潮現(xiàn)象；3） 應對機房屋頂進行保溫處理，防止產(chǎn)生冷凝水。.溫濕度控制（G1）機房應設置必要的溫、濕度控制設施，使機房溫、濕度的變化在設備運行所允許的范圍之內。1） 機房應配備溫濕度自動調節(jié)設施，按照 .a)的溫濕度值

14、要求，對機房溫濕度進行控制，但必須滿足電子信息系統(tǒng)機房設計規(guī)范GB 501742008 中的“環(huán)境要求”A 級或 B 級的技術要求。.電力供應（A1）應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備。1） 計算機系統(tǒng)供電線路上應設置穩(wěn)壓器和過電壓防護設備（如：UPS），有效控制電源穩(wěn)壓范圍滿足計算機系統(tǒng)正常運行。5.1.2. 網(wǎng)絡安全.結構安全（G1）本項要求包括：a) 應保證關鍵網(wǎng)絡設備的業(yè)務處理能力滿足基本業(yè)務需要；1） 應保證關鍵網(wǎng)絡設備的 CPU 使用率在業(yè)務訪問階段不超過 30%；2） 應使用監(jiān)控系統(tǒng)監(jiān)控關鍵網(wǎng)絡設備的運行狀態(tài)。b) 應保證接入網(wǎng)絡和核心網(wǎng)絡的

15、帶寬滿足基本業(yè)務需要；1） 應保證主要網(wǎng)絡設備接口帶寬配置滿足基本業(yè)務訪問需要。c) 應繪制與當前運行情況相符的網(wǎng)絡拓撲結構圖。1） 應繪制完整的網(wǎng)絡拓撲結構圖，包含相應的網(wǎng)絡配置表、設備 IP 地址等主要信息， 并與當前運行情況相符且及時更新。.訪問控制（G1）本項要求包括：a) 應在網(wǎng)絡邊界部署訪問控制設備，啟用訪問控制功能；1） 應在網(wǎng)絡邊界處部署防火墻并配置訪問控制列表；2） 若網(wǎng)絡邊界處未部署防火墻或其他安全訪問控制設備，則應啟用路由器或交換機的訪問控制功能。b) 應根據(jù)訪問控制列表對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，以允許/拒絕數(shù)據(jù)包出入；1） 網(wǎng)絡

16、邊界訪問控制設備應設定過濾規(guī)則集。規(guī)則集應涵蓋對所有出入邊界的數(shù)據(jù)包的處理方式，對于沒有明確定義的數(shù)據(jù)包，應缺省拒絕。c) 應通過訪問控制列表對系統(tǒng)資源實現(xiàn)允許或拒絕用戶訪問，控制粒度至少為用戶組。1） 應在防火墻或其他設備上設置用戶或用戶組，結合訪問控制規(guī)則實現(xiàn)用戶認證功能。.網(wǎng)絡設備防護（G1）本項要求包括：a) 應對登錄網(wǎng)絡設備的用戶進行身份鑒別；1） 應設置設備的登錄口令；2） 應刪除默認用戶或修改默認用戶的口令，根據(jù)管理需要開設用戶，不得使用缺省口令、空口令、弱口令。b) 應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和當網(wǎng)絡登錄連接超時自動退出等措施；1）

17、應設置非法登錄次數(shù)為 3 次，登錄連接超時時間為 3 分鐘。c) 當對網(wǎng)絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。1） 應采用 ssh,https 等加密協(xié)議方式對設備進行交互式管理。5.1.3. 主機安全.身份鑒別（S1）應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別。1） 登錄用戶的身份標識應采用用戶名，鑒別方式采用口令。.訪問控制（S1）本項要求包括：a) 應啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；1） 服務器系統(tǒng)應根據(jù)安全策略限制用戶訪問文件的權限及關閉默認共享；2） 數(shù)據(jù)庫系統(tǒng)應限制主體（如用戶）對客體（如文

18、件或系統(tǒng)設備、數(shù)據(jù)庫表等）的操作權限（如讀、寫或執(zhí)行）。b) 應限制默認賬戶的訪問權限，重命名系統(tǒng)默認賬戶，修改這些賬戶的默認口令；1） 應重命名 Windows 系統(tǒng)已有默認賬號 administrator；2） 系統(tǒng)無法修改訪問權限的特殊默認賬戶，可不修改訪問權限；3） 系統(tǒng)無法重命名的特殊默認賬戶，可不重命名。c) 應及時刪除多余的、過期的賬戶，避免共享賬戶的存在。1） 應刪除系統(tǒng)多余和過期的賬戶，如 GUEST；2） 不允許多人共用一個相同的賬戶。.入侵防范（G1）操作系統(tǒng)應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并保持系統(tǒng)補丁及時得到更新。1） 應在網(wǎng)絡邊界處部

19、署入侵檢測系統(tǒng)等包含入侵防范功能的安全設備。.惡意代碼防范（G1）應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫。1） 原則上主機應安裝防惡意代碼軟件并及時更新惡意代碼庫，不支持的主機操作系統(tǒng)除外；2） 未安裝防惡意代碼軟件的主機，應采取有效的防范惡意代碼措施。5.1.4. 應用安全.身份鑒別（S1）本項要求包括：a) 應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；1） 應用系統(tǒng)應具有專用的登錄控制模塊對登錄用戶的用戶名/密碼進行核實。b) 應提供登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施；1） 應用系統(tǒng)應限制用戶的非

20、法登錄次數(shù)不超過 3 次；2） 登錄失敗超過 3 次的賬戶將被鎖定，由系統(tǒng)管理員解鎖；3） 應設置應用系統(tǒng)連接超時時間，超時需重新登錄連接。c) 應啟用身份鑒別和登錄失敗處理功能，并根據(jù)安全策略配置相關參數(shù)。1） 應用系統(tǒng)應保證身份鑒別、鑒別信息復雜度以及登錄失敗處理功能的開啟，并根據(jù)a)、b)、c)相關要求配置參數(shù)。.訪問控制（S1）本項要求包括：a) 應提供訪問控制功能控制用戶組/用戶對系統(tǒng)功能和用戶數(shù)據(jù)的訪問；1） 應用系統(tǒng)應根據(jù)安全策略限制用戶對系統(tǒng)功能和用戶數(shù)據(jù)的訪問。b) 應由授權主體配置訪問控制策略，并嚴格限制默認用戶的訪問權限。1） 訪問控制列表的授權與控制應有專

21、人進行管理；2） 應用系統(tǒng)應重命名正在使用的默認賬戶，如：admin 等；3） 應用系統(tǒng)應及時刪除不被使用的賬戶，一般指應用系統(tǒng)的公共賬戶或測試賬戶。.通信完整性（S1）應采用約定通信會話方式的方法保證通信過程中數(shù)據(jù)的完整性。1） 應用系統(tǒng)中通信雙方應利用約定通信會話方式保證數(shù)據(jù)完整性。.軟件容錯（A1）應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設定要求。1） 應用系統(tǒng)應對輸入數(shù)據(jù)進行有效性校驗（如：數(shù)據(jù)格式、數(shù)據(jù)長度、空否等）。5.1.5. 數(shù)據(jù)安全及備份恢復.數(shù)據(jù)完整性（S1）應能夠檢測到重要用戶數(shù)據(jù)在

22、傳輸過程中完整性受到破壞。1） 應具有對重要用戶數(shù)據(jù)在傳輸過程中的完整性進行檢測的功能。.備份和恢復（A1）應能夠對重要信息進行備份和恢復。1） 至少每周對關鍵主機操作系統(tǒng)、網(wǎng)絡設備操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應用系統(tǒng)配置文件，以及關鍵數(shù)據(jù)庫和應用系統(tǒng)重要信息進行備份，備份介質場外存放。5.2.管理要求5.2.1. 安全管理制度.管理制度（G1）應建立日常管理活動中常用的安全管理制度。1） 應從物理、網(wǎng)絡、主機、數(shù)據(jù)、應用、建設和管理等層面分別建立安全管理制度。.制訂和發(fā)布（G1）本項要求包括：a) 應指定或授權專門的人員負責安全管理制度的制訂；b) 應

23、將安全管理制度以某種方式發(fā)布到相關人員手中。1） 應明確安全管理制度的發(fā)布方式，并按此要求將安全管理制度發(fā)布到相關人員手中。5.2.2. 安全管理機構.崗位設置（G1）應設立系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等崗位，并定義各個工作崗位的職責。1） 信息化工作部門應至少設立系統(tǒng)管理員、網(wǎng)絡管理員、信息安全管理員崗位；2） 各單位內設部門應設立信息安全員崗位，負責本部門各項安全措施的落實；3） 應制訂信息安全組織機構和崗位職責文件，明確上述涉及的各個崗位的職責。.人員配備（G1）應配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等。1） 應按照 .的崗位設

24、置要求，結合實際情況，對各個崗位配備足夠的人員；2） 應針對各個信息系統(tǒng)建立系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡管理員、信息安全管理員等安全管理崗位人員的信息表。.授權和審批（G1）應根據(jù)各個部門和崗位的職責明確授權審批部門及批準人，對系統(tǒng)投入運行、網(wǎng)絡系統(tǒng)接入和重要資源的訪問等關鍵活動進行審批。1） 應明確需審批的關鍵活動，并授權審批部門及批準人對關鍵活動進行審批；2） 關鍵活動至少包括系統(tǒng)上線、網(wǎng)絡接入、重要資源訪問、系統(tǒng)變更、外部人員訪問、信息發(fā)布等。.溝通和合作（G1）應加強與合作單位的溝通。1） 應與有關合作單位建立溝通、合作機制，明確合作內容、合作方式；2）

25、信息化工作部門應建立合作單位聯(lián)系列表，至少包括單位名稱、合作內容、聯(lián)系人、聯(lián)系方式等信息。5.2.3. 人員安全管理a) 應制訂人員信息安全管理制度，對人員錄用、外部人員管理等方面作出規(guī)定。至少包括以下內容：1） 對外部人員訪問重要區(qū)域管理進行規(guī)定，明確對外部人員訪問機房等重要區(qū)域須經(jīng)過相關部門或負責人批準等方面內容；2） 對外包運維服務商的管理措施和安全要求等內容進行規(guī)定。.人員錄用（G1）本項要求包括：a) 應指定或授權專門的部門或人員負責人員錄用；b) 應對被錄用人員的身份和專業(yè)資格等進行審查，并確保其具有基本的專業(yè)技術水平和安全管理知識。.人員離崗（G1）本

26、項要求包括：a) 應立即終止由于各種原因離崗員工的所有訪問權限；1） 應及時終止離崗人員的所有訪問權限，至少包括物理訪問權限、網(wǎng)絡設備訪問權限、操作系統(tǒng)訪問權限、數(shù)據(jù)庫訪問權限、應用系統(tǒng)訪問權限、用戶終端訪問權限等。b) 應取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備。1） 應保存離崗人員的安全處理記錄，詳細記錄交還出入機房和其他重要辦公場所的證件、鑰匙、胸卡以及單位提供的軟硬件設備等情況。.安全意識教育和培訓（G1）本項要求包括：a) 應對各類人員進行安全意識教育和崗位技能培訓；1） 應采取有效的培訓方式，對各個崗位人員進行安全教育和崗位技能培訓；2） 對信息安全管理

27、員應有特殊的培訓內容，如：信息安全基礎知識、信息安全等級保護政策法規(guī)、信息安全等級保護技術知識等。b) 應告知人員相關的安全責任和懲戒措施。1） 應明確安全責任和懲戒措施，并向相關人員告知。.外部人員訪問管理（G1）本項要求包括：a) 應確保在外部人員訪問受控區(qū)域前得到授權或審批；1） 應按照 5.2.3.a)外部人員訪問管理的要求，對外部人員訪問重要區(qū)域（如：訪問機房、重要服務器或設備區(qū)等）進行嚴格管理，采取有效的安全措施，經(jīng)有關部門或負責人批準后外部人員方能訪問。b) 應對外包運維服務商提出的安全要求進行書面規(guī)定，并對其進行嚴格的監(jiān)督管理。1） 應按照 5.2.3.a)外包運

28、維服務商管理的要求，對外包運維服務商進行嚴格監(jiān)督管理；2） 外包運維服務商應符合 .a)、b)、c)的要求；3） 外包運維服務商必須服從本單位制訂的信息安全管理體系方針、安全管理制度和運行維護流程規(guī)范的要求；4） 進行安全技術體系運行維護的服務商必須具備國家信息安全服務資質，并且不能同時承擔網(wǎng)絡基礎設施、重要應用系統(tǒng)和重要數(shù)據(jù)庫系統(tǒng)的外包運行維護工作。5.2.4. 系統(tǒng)建設管理.系統(tǒng)定級（G1）本項要求包括：a) 應明確信息系統(tǒng)的邊界和安全保護等級；1） 應參照煙草行業(yè)信息系統(tǒng)安全等級保護與信息安全事件定級準則（YC/T 3892011）確定本單位信息系統(tǒng)和信息子系

29、統(tǒng)的安全級別。b) 應以書面的形式說明信息系統(tǒng)確定為某個安全保護等級的方法和理由；1） 應結合 a)的要求，撰寫信息系統(tǒng)定級報告，明確信息系統(tǒng)的邊界和安全保護等級， 說明定級的方法和理由。c) 應確保信息系統(tǒng)的定級結果經(jīng)過相關部門的批準。1） 信息系統(tǒng)的定級結果應通過上級主管部門批準，并保存煙草行業(yè)信息系統(tǒng)安全保護等級審核表。.安全方案設計（G1）本項要求包括：a) 應根據(jù)系統(tǒng)的安全保護等級選擇基本安全措施，依據(jù)風險分析的結果補充和調整安全措施；1） 應根據(jù)系統(tǒng)的安全保護等級，參考本要求規(guī)定的相應級別的最低保護要求，確定系統(tǒng)的基本安全措施；2） 應對系統(tǒng)進行風險分析，并根據(jù)風險分

30、析的結果補充或調整已確定的基本安全措施。b) 應以書面的形式描述對系統(tǒng)的安全保護要求和策略、安全措施等內容，形成系統(tǒng)的安全方案；1） 應根據(jù)信息系統(tǒng)的等級劃分情況，參考國家的法律法規(guī)、技術標準（如：信息安全技術 信息系統(tǒng)安全等級保護實施指南GB/T 250582010），遵循煙草行業(yè)的相關規(guī)定，建立系統(tǒng)的安全方案，明確系統(tǒng)的安全保護要求，詳細描述系統(tǒng)的安全策略、系統(tǒng)采取的安全措施等方面內容。c) 應對安全方案進行細化，形成能指導安全系統(tǒng)建設、安全產(chǎn)品采購和使用的詳細設計方案。1） 應根據(jù)信息系統(tǒng)的等級劃分情況，參考國家的法律法規(guī)、技術標準（如：信息安全技術 信息系統(tǒng)安全等級保護實施指南GB/T

31、 250582010），遵循煙草行業(yè)的相關規(guī)定，對已形成的安全方案進行細化，建立系統(tǒng)的詳細設計方案，明確安全建設方案和安全產(chǎn)品采購方案等方面內容。.產(chǎn)品采購和使用（G1）應確保安全產(chǎn)品采購和使用符合國家的有關規(guī)定。1） 系統(tǒng)使用的有關信息安全產(chǎn)品應獲得計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證， 并根據(jù)信息系統(tǒng)安全需求選擇使用相應等級的產(chǎn)品；2） 應按各單位規(guī)定的采購流程采購相關產(chǎn)品。.自行軟件開發(fā)（G1）本項要求包括：a) 應確保開發(fā)環(huán)境與實際運行環(huán)境物理分開；1） 自主開發(fā)軟件應在獨立的模擬環(huán)境中編寫、調試和完成，與實際運行環(huán)境物理隔離。b) 應確保軟件設計相關文檔由

32、專人負責保管。1） 應保存軟件設計的相關文檔，并指定專人負責管理；2） 軟件設計的相關文檔至少包括應用軟件設計程序文件、源代碼文檔等。.外包軟件開發(fā)（G1）本項要求包括：a) 應對外包軟件開發(fā)的控制方法和人員行為準則進行書面規(guī)定；1） 明確外包軟件開發(fā)過程的控制方法（包括軟件設計、開發(fā)、測試、驗收過程）；2） 明確外包軟件開發(fā)活動的審批流程；3） 明確軟件開發(fā)相關文檔的管理措施；4） 明確外包開發(fā)商應具備的資質條件和外包開發(fā)人員的行為準則。b) 應根據(jù)開發(fā)要求檢測軟件質量；1） 軟件交付前應依據(jù)開發(fā)要求的技術指標對軟件功能和性能等進行驗收測試。c) 應在軟件安裝之前檢測軟件包中可

33、能存在的惡意代碼；1） 軟件安裝之前應使用第三方的檢測工具檢測軟件包中可能存在的惡意代碼。d) 應確保提供軟件設計的相關文檔和使用指南。1） 應要求開發(fā)單位提供需求分析說明書、軟件設計說明書、軟件操作手冊等軟件開發(fā)文檔和使用指南，并指定專人負責保管。.工程實施（G1）應指定或授權專門的部門或人員負責工程實施過程的管理。1） 應指定專門部門或人員對工程實施過程進行進度和質量控制。.測試驗收（G1）本項要求包括：a) 應對系統(tǒng)進行安全性測試驗收；1） 在系統(tǒng)建設完成之后，應對信息系統(tǒng)的安全性進行安全性測試和評估。b) 在測試驗收前應根據(jù)設計方案或合同要求等制訂測試驗收方

34、案，在測試驗收過程中應詳細記錄測試驗收結果，并形成測試驗收報告。1） 應根據(jù)設計方案或合同要求等制訂測試驗收方案，明確參與測試的部門、人員、測試驗收的內容、現(xiàn)場操作過程等方面內容；2） 應保存測試驗收記錄，詳細記錄測試時間、人員、現(xiàn)場操作過程和測試驗收結果等內容；3） 應保存系統(tǒng)測試驗收報告，詳細描述整體測試驗收過程以及測試驗收結果，必要時， 提出存在的問題及改進意見等內容。.系統(tǒng)交付（G1） 本項要求包括：a) 應對負責系統(tǒng)運行維護的技術人員進行相應的技能培訓；1） 系統(tǒng)交付時，應由系統(tǒng)建設方對負責系統(tǒng)運行維護的技術人員進行相應的技能培訓， 保存培訓記錄，詳細記錄培訓內容、培訓

35、時間和參與人員等；2） 培訓內容至少包括系統(tǒng)操作規(guī)程、運維注意事項等。b) 應確保提供系統(tǒng)建設過程中的文檔和指導用戶進行系統(tǒng)運行維護的文檔；1） 應保存系統(tǒng)建設過程中的所有文檔、指導用戶進行系統(tǒng)維護的文檔和系統(tǒng)培訓手冊等；2） 系統(tǒng)建設過程中的所有文檔包括工程實施、系統(tǒng)測試、系統(tǒng)驗收等過程產(chǎn)生的文檔， 可參考信息安全技術 信息系統(tǒng)安全工程管理要求GB/T 202822006。c) 應制訂系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設備、軟件和文檔等進行清點。1） 應建立系統(tǒng)交付清單，分類列舉系統(tǒng)交付的各類設備、軟件、文檔等；2） 系統(tǒng)交接時應根據(jù)交付清單對所交接的設備、文檔、軟件等進行清點。5.2.

36、4.9.安全服務商選擇（G1）本項要求包括：a) 應確保安全服務商的選擇符合國家的有關規(guī)定；1） 選擇的安全服務商應具有國家有關部門頒發(fā)的相關安全服務資質，包括安全咨詢、監(jiān)理、培訓、規(guī)劃、設計、實施、測評、運維等方面。b) 應與選定的安全服務商簽訂與安全相關的協(xié)議，明確約定相關責任；1） 應保存與安全服務商簽訂的安全責任合同書或保密協(xié)議等文檔，明確保密范圍、安全責任、違約責任、協(xié)議的有效期限等方面內容，并具有雙方簽字或蓋章。c) 應確保選定的安全服務商提供技術支持和服務承諾，必要的與其簽訂服務合同。1） 應保存與安全服務商簽訂的服務合同，明確服務內容、服務承諾、服務期限等方面內容，并具有雙方簽

37、字或蓋章。5.2.5. 系統(tǒng)運維管理.環(huán)境管理（G1）本項要求包括：a) 應建立機房安全管理制度，對有關機房物理訪問，物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定；1） 應制訂機房安全管理制度，明確機房物理訪問、物品帶進/帶出機房、機房環(huán)境安全（如：機房溫濕度值）、機房消防安全等方面內容。b) 應指定專門的部門或人員定期對機房供配電、空調、溫濕度控制等設施進行維護管理；1） 應指定專門的部門或人員負責機房基礎設施的維護管理，機房基礎設施至少包括機房專用空調、機房供配電設備等；2） 應至少每季度聘請維護商對機房基礎設施進行維護，保存維護商提供的維護報告；3） 應制訂機房巡檢

38、記錄單，明確檢查的設備、檢查內容等，指定專人按照記錄單內容每天對機房的基礎設施、信息系統(tǒng)的相關設備、線路進行檢查，詳細記錄檢查時間、檢查人、當前溫濕度值、設備的運行狀況、故障原因、維護結果等內容。c) 應對機房的出入、服務器的開機或關機等工作進行管理。1） 應指定專人負責機房的出入、服務器的開機或關機等工作。.資產(chǎn)管理（G1）應編制與信息系統(tǒng)相關的資產(chǎn)清單，包括資產(chǎn)責任部門、重要程度和所處位置等內容。1） 應針對各個信息系統(tǒng)編制資產(chǎn)清單，明確資產(chǎn)責任部門、責任人、所處位置和重要程度等方面內容；2） 建議各單位可從資產(chǎn)的重要程度、資產(chǎn)的價值、資產(chǎn)的類別等因素考慮，編制資產(chǎn)清單。5.

39、2.5.3.介質管理（G1）本項要求包括：a) 應確保介質存放在安全的環(huán)境中，對各類介質進行控制和保護；1） 應對介質的存放環(huán)境采取有效的保護措施，防止介質被盜、被毀、介質內存儲信息被修改以及非法泄漏等。b) 應對介質歸檔和查詢等過程進行記錄，并根據(jù)存檔介質的目錄清單定期盤點。1） 應建立介質的目錄清單，并根據(jù)該清單至少每季度對介質的使用現(xiàn)狀進行檢查；2） 應保存介質管理記錄，詳細記錄介質的歸檔、查詢和借用等情況。.設備管理（G1）本項要求包括：a) 應對信息系統(tǒng)相關的各種設備、線路等指定專門的部門或人員定期進行維護管理；1） 應指定專門的部門或人員每天對各種設備、線路進行檢查維

40、護，具體要求按照.b)的要求執(zhí)行；2） 維護人員使用各類測試工具之前應對工具進行有效性、安全性檢查，使用之后刪除工具中攜帶的敏感信息，保存工具檢查記錄。b) 應建立基于申報、審批和專人負責的設備安全管理制度，對信息系統(tǒng)的各種軟硬件設備的選型、采購、發(fā)放和領用等過程進行規(guī)范化管理。1） 應制訂設備安全管理制度，明確各種軟硬件設備選用的各個環(huán)節(jié)的申報和審批流程， 至少包括選型、采購、發(fā)放和領用等環(huán)節(jié)。.網(wǎng)絡安全管理（G1）本項要求包括：a) 應指定人員對網(wǎng)絡進行管理，負責運行日志、網(wǎng)絡監(jiān)控記錄的日常維護和報警信息分析和處理工作；1） 應指定專人負責網(wǎng)絡運行日志、監(jiān)控記錄

41、的日常維護，分析并處理報警信息等工作。b) 應定期進行網(wǎng)絡系統(tǒng)漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡系統(tǒng)安全漏洞進行及時的修補。1） 應每年對網(wǎng)絡設備進行一次漏洞掃描，對漏洞風險持續(xù)跟蹤，在經(jīng)過充分的驗證測試后對必要漏洞開展修補工作；2） 實施漏洞掃描或漏洞修補前，應對可能的風險進行評估和充分準備，如選擇恰當時間，并做好數(shù)據(jù)備份和回退方案；3） 漏洞掃描或漏洞修補后應進行驗證測試，以保證網(wǎng)絡系統(tǒng)的正常運行；4） 應保存網(wǎng)絡漏洞掃描報告，詳細描述網(wǎng)絡存在的漏洞、嚴重級別和結果處理等方面內容。.系統(tǒng)安全管理（G1）本項要求包括：a) 應根據(jù)業(yè)務需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略；1） 應根據(jù)業(yè)

42、務需求和系統(tǒng)安全分析制訂系統(tǒng)的訪問控制策略，控制分配信息系統(tǒng)、文件及服務的訪問權限。b) 應定期進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞進行及時的修補；1） 應每年對操作系統(tǒng)、應用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)進行一次漏洞掃描，對漏洞風險持續(xù)跟蹤，在經(jīng)過充分的驗證測試后對必要漏洞開展修補工作；2） 實施漏洞掃描或漏洞修補前，應對可能的風險進行評估和充分準備，如選擇恰當時間，并做好數(shù)據(jù)備份和回退方案；3） 漏洞掃描或漏洞修補后應進行驗證測試，以保證系統(tǒng)的正常運行；4） 應保存系統(tǒng)漏洞掃描報告，詳細描述系統(tǒng)存在的漏洞、嚴重級別和結果處理等方面內容。c) 應安裝系統(tǒng)的最新補丁程序，并在安裝系統(tǒng)補丁前對現(xiàn)有的重要文件進行

43、備份。1） 系統(tǒng)管理員應及時跟蹤國家有關部門（如：公安部國家網(wǎng)絡與信息安全通報中心、信產(chǎn)部 CNCERT）、操作系統(tǒng)開發(fā)商和數(shù)據(jù)庫系統(tǒng)開發(fā)商最新發(fā)布的漏洞公告，為信息系統(tǒng)獲取相關的補丁軟件；2） 在安裝系統(tǒng)補丁前，應對重要文件進行完全備份后，方可實施系統(tǒng)補丁程序的安裝。.惡意代碼防范管理（G1）應提高所有用戶的防病毒意識，告知及時升級防病毒軟件，在讀取移動存儲設備上的數(shù)據(jù)以及網(wǎng)絡上接收文件或郵件之前，先進行病毒檢查，對外來計算機或存儲設備接入網(wǎng)絡系統(tǒng)之前也應進行病毒檢查。1） 應對員工進行基本惡意代碼防范意識教育，告知員工應及時升級防惡意代碼軟件版本，使用外來設備、網(wǎng)絡上接收文件

44、和外來計算機或存儲設備接入網(wǎng)絡系統(tǒng)之前應進行病毒檢查等。.備份與恢復管理（G1）本項要求包括：a) 應規(guī)定備份信息的備份方式、備份頻度、存儲介質、保存期等。1） 應制訂備份管理文檔，明確備份方式、備份頻度、存儲介質和保存期等方面內容。b) 應識別需要定期備份的重要業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；1） 應根據(jù)信息系統(tǒng)的重要性和業(yè)務需求，明確需要定期備份的數(shù)據(jù)，至少包括業(yè)務信息、系統(tǒng)數(shù)據(jù)、軟件系統(tǒng)等；2） 系統(tǒng)數(shù)據(jù)包括：權限設置、網(wǎng)絡地址、硬件配置、系統(tǒng)配置參數(shù)等；3） 軟件系統(tǒng)包括：系統(tǒng)軟件及應用軟件的執(zhí)行程序及可獲取的源代碼等；4） 備份頻度至少為每周一次。.安全事

45、件處置（G1）本項要求包括：a) 應報告所發(fā)現(xiàn)的安全弱點和可疑事件，但任何情況下用戶均不應嘗試驗證弱點；1） 要求用戶在發(fā)現(xiàn)安全弱點和可疑事件時應及時報告。b) 應制訂安全事件報告和處置管理制度，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復的管理職責。6. 第二級基本要求6.1.技術要求6.1.1. 物理安全應對機房內安裝/部署的所有基礎設施進行定期檢查維護，具體要求按照 .b)的要求執(zhí)行。.物理位置的選擇（G2）機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內。1） 機房和辦公場地的環(huán)境條件應滿足信息系統(tǒng)業(yè)務需求和安全管理需求；2） 機房和辦公場地選址應選擇

46、在具有防震、防風和防雨等能力的建筑內；3） 建議保存機房或機房所在建筑物符合當?shù)乜拐稹⒎里L和防雨等要求的相關證明。.物理訪問控制（G2）本項要求包括：a) 機房出入口應安排專人值守，控制、鑒別和記錄進入的人員；1） 應按照 .a)機房物理訪問的要求，對機房的出入進行管理；2） 機房出入口應安排專人負責值守，保存值守記錄；3） 值守人員應控制、鑒別和記錄進入機房的人員，保存人員進入機房的登記記錄。b) 需進入機房的來訪人員應經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍。1） 來訪人員進入機房，應通過書面申請和審批流程，說明需訪問的范圍； 2） 來訪人員訪問機房時，應由專

47、人全程陪同，并限制和監(jiān)控其活動范圍。.防盜竊和防破壞（G2）本項要求包括：a) 應將主要設備放置在機房內；1） 主要設備應放置在機房內或其它不易被盜竊和破壞的可控范圍內。b) 應將設備或主要部件進行固定，并設置明顯的不易除去的標記；1） 設備或主要部件應當安裝、固定在機柜內或機架上；2） 設備或主要部件應貼有明顯且不易除去的標識，如粘貼標簽或銘牌等。c) 應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中；1） 通信線纜可鋪設在地下、管道、橋架或線槽中。d) 應對介質分類標識，存儲在介質庫或檔案室中；1） 應對介質進行分類標識管理，如：磁介質、紙介質等；2） 應對介質進行分類存放，存

48、放于介質庫或檔案室中，并且滿足介質的存放條件；3） 介質的存放環(huán)境應具備防盜、防火、防潮等基本條件，對于磁介質還應有防止介質被磁化的措施。e) 主機房應安裝必要的防盜報警設施。1） 主機房應安裝防盜報警系統(tǒng)，當發(fā)生異常情況時，可自動報警并保存報警記錄。.防雷擊（G2）本項要求包括：a) 機房建筑應設置避雷裝置；1） 機房或機房所在大樓應安裝避雷裝置，如：避雷針或避雷器等；2） 應具有經(jīng)國家有關部門驗收或檢測合格的相關證明文件。b) 機房應設置交流電源地線。1） 機房計算機供電系統(tǒng)應設置交流電源地線；2） 機房建筑應設置交流電源地線。.防火（G2）本項要求包括：a)

49、機房應設置滅火設備和火災自動報警系統(tǒng)；1） 應按照 .a)機房消防安全的要求和 2.a)的機房應急預案，對相關人員進行消防培訓；2） 機房應配備有效的滅火設備，擺放位置合理；3） 機房應設置有效的火災自動報警系統(tǒng)，當發(fā)現(xiàn)火災隱患時，可自動報警并保存報警記錄。b) 機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料。1） 機房和重要的記錄介質存放間，其建筑材料的耐火等級，應滿足建筑設計防火規(guī)范GB 500162006 中規(guī)定的二級耐火等級；機房相關的基本工作房間和輔助房，其建筑材料的耐火等級，應滿足建筑設計防火規(guī)范GB 500162006 中規(guī)定的三級耐火等級。

50、.防水和防潮（G2）本項要求包括：a) 水管安裝，不得穿過機房屋頂和活動地板下；1） 水管安裝，不得穿過屋頂和活動地板下，穿過墻壁和樓板的水管應使用套管，并采取可靠的密封措施。b) 應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；1） 機房外墻壁若有對外的窗戶，應對窗戶進行密封、防水處理；2） 應對機房屋頂、地面和墻壁進行防水處理，防止出現(xiàn)漏水、滲透和返潮現(xiàn)象；3） 應對機房屋頂進行保溫處理，防止產(chǎn)生冷凝水。c) 應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透。1） 應指定機房管理員每天負責機房防水防潮事宜，保存防水防潮處理記錄；2） 對濕度較高的地區(qū)，機房應配備有效的除濕

51、裝置，防止機房出現(xiàn)水蒸氣結露的現(xiàn)象， 并且保存除濕裝置運行記錄；3） 應采取措施防止機房地下積水的轉移與滲透，如：在機房地面修建地漏、泄水槽等。.防靜電（G2）關鍵設備應采用必要的接地防靜電措施。1） 機房設備應有安全接地。.溫濕度控制（G2）機房應設置溫、濕度自動調節(jié)設施，使機房溫、濕度的變化在設備運行所允許的范圍之內。1） 機房應配備溫濕度自動調節(jié)設施，按照 .a)的溫濕度值要求，對機房溫濕度進行控制，但必須滿足電子信息系統(tǒng)機房設計規(guī)范GB 501742008 中的“環(huán)境要求”A 級或 B 級的技術要求。.電力供應（A2）本項要求包括

52、：a) 應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備；1） 計算機系統(tǒng)供電線路上應設置穩(wěn)壓器和過電壓防護設備（如：UPS），有效控制電源穩(wěn)壓范圍滿足計算機系統(tǒng)正常運行。b) 應提供短期的備用電力供應，至少滿足關鍵設備在斷電情況下的正常運行要求。1） 應配備短期備用電源設備（如：UPS），按照信息安全技術 信息系統(tǒng)物理安全技術要求GB/T 210522007 的規(guī)定，保證系統(tǒng)至少正常工作 30 分鐘。0.電磁防護（S2）電源線和通信線纜應隔離鋪設，避免互相干擾。1） 電源線和通信線纜應鋪設在不同的橋架或管道，使用交叉走線，避免并排敷設；當不能避免時，應采取有效的屏蔽措施。6.1.2

53、. 網(wǎng)絡安全.結構安全（G2）本項要求包括：a)應保證關鍵網(wǎng)絡設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要；1） 應保證關鍵網(wǎng)絡設備的 CPU 使用率在業(yè)務高峰期階段不超過 30%；2） 應使用監(jiān)控系統(tǒng)監(jiān)控關鍵網(wǎng)絡設備的運行狀態(tài)。b)應保證接入網(wǎng)絡和核心網(wǎng)絡的帶寬滿足業(yè)務高峰期需要；1） 應保證主要網(wǎng)絡設備接口帶寬配置滿足滿足業(yè)務高峰期需要。c)應繪制與當前運行情況相符的網(wǎng)絡拓撲結構圖；1） 應繪制完整的網(wǎng)絡拓撲結構圖，包含相應的網(wǎng)絡配置表、設備 IP 地址等主要信息， 并與當前運行情況相符且及時更新。d)應根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同

54、的子網(wǎng)或 網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。1） 根據(jù)實際情況和區(qū)域安全防護要求在主要網(wǎng)絡設備上進行 VLAN 劃分。.訪問控制（G2）本項要求包括：a)應在網(wǎng)絡邊界部署訪問控制設備，啟用訪問控制功能；1） 應在網(wǎng)絡邊界處部署防火墻并配置訪問控制列表；2） 若網(wǎng)絡邊界處未部署防火墻或其他安全訪問控制設備，則應啟用路由器或交換機的訪問控制功能。b)應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為網(wǎng)段級；1） 網(wǎng)絡邊界訪問控制設備應設定過濾規(guī)則集。規(guī)則集應涵蓋對所有出入邊界的數(shù)據(jù)包的處理方式，對于沒有明確定義的數(shù)據(jù)包，應缺省拒絕。c)應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問， 控制粒度為單個用戶；1） 應在防火墻或其他設備上