首页 购物车 询价
www.GB-GBT.com

[PDF] GB/T 20271-2006 - 自动发货. 英文版

标准搜索结果: 'GB/T 20271-2006'
标准号码内文价格美元第2步(购买)交付天数标准名称状态
GB/T 20271-2006 英文版 145 GB/T 20271-2006 3分钟内自动发货[PDF] 信息安全技术 信息系统通用安全技术要求 有效

基本信息
标准编号 GB/T 20271-2006 (GB/T20271-2006)
中文名称 信息安全技术 信息系统通用安全技术要求
英文名称 Information security technology - Common security techniques requirement for information system
行业 国家标准 (推荐)
中标分类 L80
国际标准分类 35.040
字数估计 171,112
发布日期 2006-05-31
实施日期 2006-12-01
引用标准 GB 17859-1999; GBJ 45-1982; TJ 16-1974
起草单位 北京思源新创信息安全资讯有限公司、江南计算技术研究所技术服务中心
归口单位 全国信息安全标准化技术委员会
标准依据 中国国家标准批准发布公告 2006年第7号(总第94号)
提出机构 全国信息安全标准化技术委员会
发布机构 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会
范围 本标准依据GB 17859-1999的五个安全保护等级的划分, 规定了信息系统安全所需要的安全技术的各个安全等级要求。本标准适用于按等级化要求进行的安全信息系统的设计和实现, 对按等级化要求进行的信息系统安全的测试和管理可参照使用。

GB/T 20271-2006: 信息安全技术 信息系统通用安全技术要求 GB/T 20271-2006 英文名称: Information security technology -- Common security techniques requirement for information system 中华人民共和国国家标准 GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布 1 范围 本标准依据GB 17859-1999的五个安全保护等级的划分,规定了信息系统安全所需要的安全技 术的各个安全等级要求。 本标准适用于按等级化要求进行的安全信息系统的设计和实现,对按等级化要求进行的信息系统 安全的测试和管理可参照使用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有 的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。 4.1.1.1 中心机房的安全保护 4.1.1.1.1 机房场地选择 根据对机房安全保护的不同要求,机房场地选择分为: a) 基本要求:按一般建筑物的要求进行机房场地选择; b) 防火要求:避开易发生火灾和危险程度高的地区,如油库和其他易燃物附近的区域; c) 防污染要求:避开尘埃、有毒气体、腐蚀性气体、盐雾腐蚀等环境污染的区域; d) 防潮及防雷要求:避开低洼、潮湿及落雷区域; e) 防震动和噪声要求:避开强震动源和强噪声源区域; f) 防强电场、磁场要求:避开强电场和强磁场区域; g) 防地震、水灾要求:避开有地震、水灾危害的区域; h) 位置要求:避免在建筑物的高层以及用水设备的下层或隔壁; i) 防公众干扰要求:避免靠近公共区域,如运输通道、停车场或餐厅等。 4.1.1.1.2 机房内部安全防护 根据对机房安全保护的不同要求,机房内部安全防护分为: a) 机房出入:机房应只设一个出入口,并有专人负责,未经允许的人员不准进入机房;另设若干紧 急疏散出口,标明疏散线路和方向; b) 机房物品:没有管理人员的明确准许,任何记录介质、文件材料及各种被保护品均不准带出机 房,磁铁、私人电子计算机或电设备、食品及饮料、香烟、吸烟用具等均不准带入机房; c) 机房人员:获准进入机房的来访人员,其活动范围应受到限制,并有接待人员陪同; d) 机房分区:机房内部应分区管理,一般分为主机区、操作区、辅助区等,并根据每个工作人员的 实际工作需要,确定其能进入的区域; e) 机房门禁:设置机房电子门禁系统,进入机房的人员,通过门禁系统的鉴别,方可进入。 4.1.1.1.3 机房防火 根据对机房安全保护的不同要求,机房防火分为: a) 建筑材料防火①:机房和记录介质存放间,其建筑材料的耐火等级,应符合TJ16-1974中规 定的二级耐火等级;机房相关的其余基本工作房间和辅助房,其建筑材料的耐火等级应不低于 TJ16-1974中规定的三级耐火等级; b) 建筑材料防火②:机房和重要的记录介质存放间,其建筑材料的耐火等级,应符合GB J45- 1982中规定的二级耐火等级;机房相关的其余基本工作房间和辅助房,其建筑材料的耐火等 级应不低于TJ16-1974中规定的二级耐火等级; c) 建筑材料防火③:机房和重要的记录介质存放间,其建筑材料的耐火等级,应符合GB J45- 1982中规定的一级耐火等级;机房相关的其余基本工作房间和辅助房,其建筑材料的耐火等 级应不低于TJ16-1974中规定的二级耐火等级; d) 报警和灭火系统①:设置火灾报警系统,由人来操作灭火设备,并对灭火设备的效率、毒性、用 量和损害性有一定的要求; e) 报警和灭火系统②:设置火灾自动报警系统,包括火灾自动探测器、区域报警器、集中报警器和 控制器等,能对火灾发生的部位以声、光或电的形式发出报警信号,并启动自动灭火设备,切断 电源、关闭空调设备等; f) 报警和灭火系统③:设置火灾自动消防系统,能自动检测火情、自动报警,并自动切断电源和其 他应急开关,自动启动事先固定安装好的灭火设备进行自动灭火; g) 区域隔离防火:机房布局应将脆弱区和危险区进行隔离,防止外部火灾进入机房,特别是重要 设备地区,应安装防火门、使用阻燃材料装修等。 4.1.1.1.4 机房供、配电 根据对机房安全保护的不同要求,机房供、配电分为: a) 分开供电:机房供电系统应将计算机系统供电与其他供电分开,并配备应急照明装置; b) 紧急供电①:配置抵抗电压不足的基本设备,如UPS; c) 紧急供电②:配置抵抗电压不足的改进设备,如基本UPS、改进UPS、多级UPS; d) 紧急供电③:配置抵抗电压不足的更强设备,如基本UPS、改进的UPS、多级UPS和应急电源 (发电机组)等; e) 备用供电:建立备用的供电系统,以备常用供电系统停电时启用,完成对运行系统必要的保留; f) 稳压供电:采用线路稳压器,防止电压波动对计算机系统的影响; g) 电源保护:设置电源保护装置,如金属氧化物可变电阻、硅雪崩二极管、气体放电管、滤波器、 电压调整变压器和浪涌滤波器等,防止/减少电源发生故障; h) 不间断供电:采用不间断供电电源,防止电压波动、电器干扰、断电等对计算机系统的影响; i) 电器噪声防护:采取有效措施,减少机房中电器噪声干扰,保证计算机系统正常运行; j) 突然事件防护:采取有效措施,防止/减少供电中断、异常状态供电(指连续电压过载或低电 压)、电压瞬变、噪声(电磁干扰)以及由于雷击等引起的设备突然失效事件。 4.1.1.1.5 机房空调、降温 根据对机房安全保护的不同要求,机房空调、降温分为: a) 基本温度要求:应有必要的空调设备,使机房温度达到所需的温度要求; b) 较完备空调系统:应有较完备的中央空调系统,保证机房温度的变化在计算机系统运行所允 许的范围; c) 完备空调系统:应有完备的中央空调系统,保证机房各个区域的温度变化能满足计算机系统运 行、人员活动和其他辅助设备的要求。 4.1.1.1.6 机房防水与防潮 根据对机房安全保护的不同要求,机房防水与防潮分为: a) 水管安装要求:水管安装,不得穿过屋顶和活动地板下,穿过墙壁和楼板的水管应使用套管,并 采取可靠的密封措施; b) 水害防护:采取一定措施,防止雨水通过屋顶和墙壁渗透、室内水蒸气结露和地下积水的转移 与渗透; c) 防水检测:安装对水敏感的检测仪表或元件,对机房进行防水检测,发现水害,及时报警; d) 排水要求:机房应设有排水口,并安装水泵,以便迅速排出积水。 4.1.1.1.7 机房防静电 根据对机房安全保护的不同要求,机房防静电分为: a) 接地与屏蔽:采用必要的措施,使计算机系统有一套合理的防静电接地与屏蔽系统; b) 服装防静电:人员服装采用不易产生静电的衣料,工作鞋选用低阻值材料制作; c) 温、湿度防静电:控制机房温湿度,使其保持在不易产生静电的范围内; d) 地板防静电:机房地板从表面到接地系统的阻值,应在不易产生静电的范围; e) 材料防静电:机房中使用的各种家具,工作台、柜等,应选择产生静电小的材料; f) 维修 MOS电路保护:在硬件维修时,应采用金属板台面的专用维修台,以保护 MOS电路; g) 静电消除要求:在机房中使用静电消除剂和静电消除器等,以进一步减少静电的产生。 4.1.1.1.8 机房接地与防雷击 根据对机房安全保护的不同要求,机房接地与防雷击分为: a) 接地要求:采用地桩、水平栅网、金属板、建筑物基础钢筋构建接地系统等,确保接地体的良好 接地; b) 去耦、滤波要求:设置信号地与直流电源地,并注意不造成额外耦合,保障去耦、滤波等的良好 效果; c) 避雷要求:设置避雷地,以深埋地下、与大地良好相通的金属板作为接地点;至避雷针的引线则 应采用粗大的紫铜条,或使整个建筑的钢筋自地基以下焊连成钢筋网作为“大地”与避雷针 相连; d) 防护地与屏蔽地要求:设置安全防护地与屏蔽地,采用阻抗尽可能小的良导体的粗线,以减小 各种地之间的电位差;应采用焊接方法,并经常检查接地的良好,检测接地电阻,确保人身、设 备和运行的安全; e) 交流电源地线要求:设置交流电源地线;交流供电线应有规范连接位置的三芯线,即相线、中线 和地线,并将该“地线”连通机房的地线网,以确保其安全保护作用。 4.1.1.1.9 机房电磁防护 根据对机房安全保护的不同要求,机房电磁防护分为: a) 接地防干扰:采用接地的方法,防止外界电磁和设备寄生耦合对计算机系统的干扰; b) 屏蔽防干扰:采用屏蔽方法,减少外部电器设备对计算机系统的瞬间干扰; c) 距离防干扰:采用距离防护的方法,将计算机机房的位置选在外界电磁干扰小的地方和远离可 能接收辐射信号的地方; d) 电磁泄漏发射防护:应采用必要措施,防止计算机设备产生的电磁泄漏发射造成信息泄露; e) 介质保护:对磁带、磁盘等磁介质设备的保管存放,应注意电磁感应的影响,如使用铁制柜 存放; f) 机房屏蔽:采用屏蔽方法,对计算机机房进行电磁屏蔽,防止外部电磁场对计算机设备的干扰, 防止电磁信号泄漏造成的信息泄露。 4.1.1.2 通信线路的安全防护 根据对通信线路安全的不同要求,通信线路安全防护分为: a) 确保线路畅通:采取必要措施,保证通信线路畅通; b) 发现线路截获:采取必要措施,发现线路截获事件并报警; c) 及时发现线路截获:采取必要措施,及时发现线路截获事件并报警; d) 防止线路截获:采取必要措施,防止线路截获事件发生。 4.1.2 设备安全 4.1.2.1 设备的防盗和防毁 根据对设备安全的不同要求,设备的防盗和防毁分为: a) 设备标记要求:计算机系统的设备和部件应有明显的无法除去的标记,以防更换和方便查找 赃物; b) 计算中心防盗①:计算中心应安装防盗报警装置,防止夜间从门窗进入的盗窃行为; c) 计算中心防盗②:计算中心应利用光、电、无源红外等技术设置机房报警系统,并有专人值守, 防止夜间从门窗进入的盗窃行为; d) 计算中心防盗③:利用闭路电视系统对计算中心的各重要部位进行监视,并有专人值守,防止 夜间从门窗进入的盗窃行为; e) 机房外部设备防盗:机房外部的设备,应采取加固防护等措施,必要时安排专人看管,以防止盗 窃和破坏。 4.1.2.2 设备的安全可用 根据对设备安全的不同要求,设备的安全可用分为: a) 基本运行支持:信息系统的所有设备应提供基本的运行支持,并有必要的容错和故障恢复 能力; b) 设备安全可用:支持信息系统运行的所有设备,包括计算机主机、外部设备、网络设备及其他 辅助设备等均应安全可用; c) 设备不间断运行:提供可靠的运行支持,并通过容错和故障恢复等措施,支持信息系统实现不 间断运行。 4.1.3 记录介质安全 根据对设备安全的不同要求,记录介质安全分为: a) 公开数据介质保护:存放有用数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质 等,应采取一定措施防止被毁和受损; b) 内部数据介质保护:存放内部数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质 等,应采取一定措施,防止被盗、被毁和受损;需要删除和销毁的内部数据,应有一定措施,防止 被非法拷贝; c) 重要数据介质保护:存放重要数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质 等,应采取较严格的保护措施,防止被盗、被毁和受损;应该删除和销毁的重要数据,要有有效 的管理和审批手续,防止被非法拷贝; d) 关键数据介质保护:存放关键数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质 等,应采取严格的保护措施,防止被盗、被毁和受损;需要删除和销毁的关键数据,要有严格的 管理和审批手续,并采取有效措施,防止被非法拷贝; e) 核心数据介质保护:存放核心数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质 等,应采取最严格的保护措施,防止被盗、被毁和受损;核心数据应长期保存,并采取有效措施, 防止被非法拷贝。 4.2 运行安全 4.2.1 风险分析 信息系统的风险分析应按以下要求进行: a) 以系统安全运行和数据安全保护为出发点,全面分析由于物理的、系统的、管理的、人为的和自 然的原因所造成的安全风险; b) 通过对影响信息系统安全运行的诸多因素的了解和分析,明确系统存在的风险,找出克服这 些风险的办法; c) 对常见的风险(如:后门/陷阱门、拒绝使用、辐射、盗用、伪造、假冒、逻辑炸弹、破坏活动、偷窃 行为、搭线窃听以及计算机病毒等)进行分析,确定每类风险的程度; d) 系统设计前和运行前应进行静态风险分析,以发现系统的潜在安全隐患; e) 系统运行过程中应进行动态风险分析,测试、跟踪并记录其活动,以发现系统运行期的安全漏 洞,并提供相应的系统脆弱性分析报告; f) 采用风险分析工具,通过收集数据、分析数据、输出数据,确定危险的严重性等级,分析危险的 可能性等方法,进行风险分析,并确定安全对策。 4.2.2 信息系统安全性检测分析 根据对信息系统安全运行的不同要求,信息系统安全性检测分析分为: a) 操作系统安全性检测分析:从操作系统的角度,以管理员身份评......