关于机房“信息安全等级保护“的一些知识

关于机房“信息安全等级保护“的一些知识

这篇文章主要是介绍IDC数据中心 信息安全等级保护 的一些相关知识。

信息安全等级保护一共5级,其中最高级“等保五级”只有运营商建立的机房才可以通过。比如电信、联通、移动运营商所建立的IDC数据中心。普通IDC服务器比如:阿里云、腾讯云、华为及我公司联邦在线,这类机构的数据中心最高只可获取到等保4级的评定。

“政务云”采购要求必须是“等保5”的数据中心等级方可通过审核。

我司经营的南阳市IDC数据中心就是移动通信有限公司在南阳市建立的“等保五级”IDC数据中心。拥有最高等级的信息安全等级。

主要服务对象为南阳市智慧城市基础承载工作。南阳市的交通、医疗、公积金等信息都存储运行在该机房。

机房介绍:中国移动南阳IDC数据中心

信息安全等级保护

以下引自百度百科:https://baike.baidu.com/item/信息安全等级保护/2149325

信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。
在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。
工作内容
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。
等级划分
《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级分为以下五级,一至五级等级逐级增高:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

关于等保五级详细内容

第一级 自主性保护级

由公民、法人和社会组织参照国家标准自主进行保护。主要适用于一般信息系统。
第一级安全的信息系统具备对信息和系统进行基本保护的能力。
在技术方面,第一级要求设置基本的安全功能,使信息免遭非授权的泄露和破坏,能保证基本安全的系统服务。
基本安全的功能是指:
对计算机、网络的设备、环境和介质采用基本的防护措施,确保其为信息系统的安全运行提供支持,防止由于物理原因造成信息的泄漏和破坏;
通过份区域保护,采用以口令方式为主的身份鉴别、 粗粒度的自主访问控制、数据的备份和完整性保护、主机方式的病毒防护、适当的操作系统和数据库的安全配置等安全防护机制,提供对系统和信息基本的安全控制;
按照模块化结构的方法设计和实现安全子系统,并进行基本的自身安全保护,确保安全子系统的安全功能具有所要求的安全性。
在安全管理方面,自主性保护级要求“根据机构自身安全需求,为信息系统正常运行提供基本的安全管理保障”。
“基本的安全管理保障”是指:
信息系统应根据自身安全需求,确定安全策略和防护目标,并基于安全策略在某些控制环节制订相应的管理规定;
在信息系统的工程建设中进行适当的安全管理,使建设成果达到预期设计的安全要求;
在包括机房门禁管理、设备和资源管理等方面做到事事有人管;
规定了管理员在病毒防护管理、服务器维护、用户账户维护等系统日常工作中的基本操作要求,以维护系统正常运行;
采取常用的防御性控制措施,具备基本的应急响应流程和恢复方法。

第二级 指导性保护级

在政府职能部门指导下,有公民、法人和社会组织按照国家标准自主进行保护。主要适用于企事业单位的内部信息系统。
第二级安全的信息系统具备对信息和系统进行比较完整的系统化的安全保护能力。
在技术方面,第二级要求采用系统化的设计方法(即:把各种安全机制,设计成一个安全子系统),按照木桶原理,实现比较完整的安全保护,并通过安全审计机制,使其它安全机制间接的相连接,使信息免遭非授权的泄漏和破坏,保证一定安全的系统服务。
系统化设计和比较完整的安全功能是本级安全的重要特征,主要是指:
对计算机、网络的设备、环境和介质采用一定的防护措施,确保其为信息系统的安全运行提供支持,防止由于物理原因造成信息的泄漏和破坏;
通过对区域计算环境内各组成部分采用入侵防范、安全审计、数据的备份于恢复极重要设备的冗余设计、数据的完整性保护、集中统一的病毒监控体系、高强度口令的身份鉴别、细粒度的自主访问控制、存储和传输数据的加密保护、严格的系统和数据库安全配置、重要系统的客体重用等安全机制,实现对局域计算环境内信息的安全保护和系统安全运行的支持;
采用分区域保护和边界防护(如防火墙、网络隔离部件、信息过滤、边界完整性检查等),实现不同安全等级区域之间安全互操作的控制;
按照系统化的要求和层次化结构的方法设计和实现安全子系统,在完整的系统化的安全保护基础上,采用了基本的审计、入侵防范等检测手段,使系统实现初步的动态安全性。
在安全管理方面,指导性保护级的要求“建立必要的信息系统安全管理制度,对岸”管理和执行过程进行计划、管理和跟踪。根据实际安全需求,明确机构和人员的相应责任。
“必要的信息系统安全管理”是指:
按照国家标准的要求,确定信息系统的安全方针和策略,明确机构和人员在安全方面的职责;
在机房管理、设备管理、访问控制管理、病毒防护、应急管理、工程建设管理等必要的环节,将管理意图以管理制度、操作规范、计划和流程等文件化方式加以固化;
加强对管理制度、操作规范、计划和流程的执行情况的跟踪和检查;
加强对系统以外人员的管理;
加强系统安全风险管理要求,基本实现全系统的风险管理。

第三级 监督性保护级

在政府职能部门的监督下,由信息系统主管部门运营、使用单位,按国家标准严格落实各项保护措施进行保护。
第三级安全的信息系统具备对信息和系统进行基于安全策略强制的安全保护能力。
在技术方面,第三级要求按照确定的安全策略,实施强制性的安全保护,使数据信息免遭非授权的泄漏和破坏,保证较高安全的系统服务。
完整的安全策略模型和由系统进行的强制性的安全保护是本级的重要特征,前者是从设计角度确保安全功能的安全性达到预期目标,后者是指安全策略是由系统统一执行,并加强于所有安全域之上的。这些安全技术主要包括:
对计算机、网络的设备、环境和介质采用较严格的防护措施,确保其为信息系统的安全运行提供硬件支持,防止由于硬件原因造成信息的泄漏和破坏;
通过对局域计算环境内各组成部分采用网络安全监控、安全审计、数据、设备及系统的备份与恢复、集中统一的病毒监控体系、两种鉴别方式组合实现的强身份鉴别、细粒度的自主访问控制、满足三级要求的操作系统和数据库、较高强度密码支持的存储和传输数据的加密保护、客体重用等安全机制,实现对局域网计算环境内信息的安全保护和系统安全运行的支持;
采用分区域保护和边界防护(如应用级防火墙、网络隔离部件、信息过滤和边界完整性检查等),在不同区域边界统一制定边界访问控制策略,实现不同安全等级区域之间安全互操作的较严格控制;
按照系统化的要求和层次化结构的方法设计和实现安全子系统,增强各层面的安全防护能力,通过安全管理中心,在统一安全策略下对系统安全事件集中审计、集中监控和数据分析,并做出响应和处理,从而构建较为全面的动态安全体系。
在安全管理方面,监督性保护级要求“建立完整的信息系统安全管理体系,对安全管理过程进行规范化的定义,并对过程执行实施监督和检查。根据实际安全需求,建立安全管理机构,配备专职安全管理人员,落实各级领导及相关人员的责任。”
“完整的信息系统安全管理体系”是指:
在信息系统的安全方针和策略的指导下,在策略、组织、人员、风险、工程、运行、应急与安全时间处理等安全管理的各个环节建立相应的管理制度和工作规范;
通过建立安全管理机构,配备专职安全管理人员为安全管理提供必要组织保证和人员保证,目的在于落实各级领导及相关人员的责任;
各项管理制度明确管理目标、人员职责、关键控制点和管理手段;
具备对管理制度执行情况的监督和检查机制,加强集中统一管理,注重引入自动化的管理工具,丰富管理和监督检查手段。

第四级 强制性保护

在政府职能部门的强制监督和检查下,信息系统主管部门和运营、使用单位、按国家标准和安全需求,严格落实各项措施进行保护。
第四级安全的信息系统具备对信息和系统进行基于安全策略强制的安全保护能力。
在技术方面,第四级要求按照确定的安全策略,整体的实施强制性的安全保护。采用结构化设计方法,按照完整的安全策略模型,实现各层面相结合的强制性安全保护,使数据信息免遭非授权的泄漏和破坏,保证高安全的系统服务。
第四级的技术要求,采用以结构化设计为代表的一系列措施来保证其安全性达到所要求的目标。实现这些安全功能和提供安全保证的安全技术主要包括:
对计算机、网络的设备、环境和介质采用严格的防护措施,确保其为信息系统的安全运行提供支持,防止由于物理原因造成信息的泄漏和破坏;
通过局域计算环境内各组成部分采用网络安全监控、安全审计、全方位的备份与故障恢复、集中统一的病毒监控体系、基于密码技术或生物特征的强身份鉴别和多充鉴别、强访问控制、高强度密码支持的存储和传输数据的加密保护、严格的客体重用等安全机制,实现对局域计算环境内信息的安全保护和系统安全运行的支持;
采用分区域保护和边界防护(如高等级的防火墙、信息过滤、边界完整检查和其他隔离部件),实现不同安全等级区域之间安全互操作的严格控制;
按照结构化的方法设计和实现安全子系统,使在不同层面实现的访问控制、身份鉴别、审计、加密等安全机制的交互作用最小化,从而使复杂性降低,充分实现系统安全设计要求。
在安全管理方面,强制性保护级要求“建立持续改进的信息系统安全管理体系,在对安全管理过程进行规范化定义,并对过程执行实施监督和检查的基础上,具有对缺陷自我发现、纠正和改正的能力。根据实际安全需求,采取安全隔离措施,限定信息系统规模和应用范围。建立安全管理机构,配备专职安全管理人员,落实各级领导及相关人员的责任。”
“持续改进的信息系统安全管理体系”是指:
在维护完整的信息系统安全管理体系的基础上,建立系统的自我完善机制,具备对不断变化的系统状态自我发现和解决问题能力:
通过采用安全隔离措施,限定信息系统的规模和应用范围,增强信息系统的安全性,以达到所要求的安全目标。

第五级 专控性保护级

由信息系统的主管部门和使用单位根据安全需求,对信息系统进行专门控制和保护,政府职能部门予以协助。主要适用于国家最重要核心部门的专用信息系统。
第五级安全的信息系统提供对信息和系统进行基于可验证安全策略强制的安全保护能力。
在技术方面,第五级要求按照的安全策略,在整体的实施强制性的安全保护的基础上,通过可验证设计增强系统的安全性,使其具有抗渗透能力,使数据信息免遭非授权的泄露和破坏,保证最高安全的系统服务。
在结构化设计的基础上,采用核心可验证设计是本级的重要特征。实现这些安全功能和提供安全保证的安全技术主要包括:
对计算机、网络的设备、环境和本质采用最严格的防护措施,确实其为信息系统的安全运行提供硬件支持,防止由于硬件原因造成信息的泄露和破坏;
通过局域计算环境内各组成部分采用网络安全监控、安全审计、全方位的备份与故障恢复、集中统一的病毒监控体系、基于密码技术或生物特征的强身份鉴别、细力度的自主访问控制、全面的强制访问控制、最高强度密码支持的全程数据和加密保护、严格的客体重用等安全机制,实现对局域计算环境内信息的安全保护和系统安全运行的支持;
采用物理隔离措施,实现最严格控制的边界保护;
用结构化的方法设计和实现安全子系统,使作为安全子系统核心的“访问监督器”和“前端过滤器”足够小,达到可验证,并具有抗渗透能力,确保安全子系统的安全功能具有所要求的安全性。
在安全管理方面,专控性保护级要求“由信息系统的主管部门和使用单位根据安全需求,建立核心部门的专用信息系统安全管理体系,对安全管理过程进行规范化的定义,并对过程执行实施监督和检查,具有对缺陷自我发现、纠正和改进的能力。采取安全隔离措施,限定信息系统规模和应用范围。建立安全管理机构,配备专职安全管理人员,落实各级领导及相关人员的责任。
“建立完善的信息系统安全管理制度,从工程管理和系统管理方面,对执行过程进行规范化的定义和管理,并严格执行:根据实际安全需求,采取安全隔离措施,限定信息系统规模和应用范围,建立安全管理机构,配备专职安全管理人员,落实各级领导及相关人员的责任。确保安全功能达到预期目标。”
“核心部门的专用信息系统安全管理体系”是指:
针对核心部分专门的安全需求,在严格限定的信息系统规模和应用范围内,制定相应的安全策略和安全管理体系;
管理体系中各项管理制度管理目标、人员职责、关键控制点和管理手段定义明确,具有良好的可操作性和可检查性;
管理体系具有自我完善机制,对不断变化的系统状态具有自我发现和解决问题能力。