PDF《2 规范性引用文件》

4 邮政业信息系统安全保护能力 4.

1 安全保护能力 不同安全保护等级的信息系统应具备与其安全等级相适应的基本安全保护能力? 邮政业信息系统 各级安全保护能力要求见表 1?

1 YZ / T 0152―2016 表1邮政业信息系统各级安全保护能力要求 级别代码 级别要求1第一级安全保护能力 (1)能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻 击、一般的自然灾难?以及其他相当危害程度的威胁所造成的关键资源损害? (2)在系统遭到损害后?能够恢复部分功能

2 第二级安全保护能力 (1)能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起 的恶意攻击、一般的自然灾难?以及其他相当危害程度的威胁所造成的重要 资源损害? (2)了解系统的安全状态?能够发现重要的安全漏洞和安全事件? (3)在系统遭到损害后?能够在一段时间内恢复部分功能

3 第三级安全保护能力 (1)能够在统一安全策略下?防护系统免受来自外部有组织的团体、拥有较 为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难?以及其他相当 危害程度的威胁所造成的主要资源损害? (2)能够发现安全漏洞和安全事件?评估系统的安全状态? (3)在系统遭到损害后?能够较快恢复绝大部分功能

4 第四级安全保护能力 (1)能够在统一安全策略下?防护系统免受来自国家级别的、敌对组织的、 拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难?以及其他相当危 害程度的威胁所造成的资源损害? (2)能够发现安全漏洞和安全事件?实时动态评估系统的安全状态? (3)在系统遭到损害后?能够迅速恢复所有功能

5 第五级安全保护能力 略4.

2 基本安全要求的四种类型 基本安全要求分为技术要求和管理要求两大类? 技术类安全要求主要通过在信息系统中部署软硬 件并正确配置其安全功能来实现?管理类安全要求主要通过控制各种角色的活动?并对制度、流程、记录 等方面作出规定来实现? 技术要求和管理要求根据保护内容的不同分为四种类型?具体类型见表 2? 其中?字母表示安全要 求的类型?数字表示适用的安全保护等级? 各类安全要求的选择和使用见附录 A? 表2基本安全要求的四种类型 类型代码 安全要求的类型名称 用途S信息安全类 主要用于保障业务信息安全 A 服务保证类 主要用于保障保证系统服务安全 G 通用安全保护类 适用于保障业务信息安全与系统服务安全 P 邮政业增强保护类 邮政业特有的要求?适用于保障业务信息安全与系统服务安全

2 YZ / T 0152―2016

5 第一级基本要求 5.

1 技术要求 5. 1.

1 物理安全 5. 1. 1.

1 物理访问控制(G1) 机房出入应安排专人负责?控制、鉴别和记录进入机房的人员? 5. 1. 1.

2 防盗窃和防破坏(G1) a) 应将主要设备放置在机房内? b) 应将设备或主要部件进行固定?并设置明显的不易除去的标记? 5. 1. 1.

3 防雷击(G1) 机房建筑应设置避雷装置? 5. 1. 1.

4 防火(G1) 机房应配置灭火设备? 5. 1. 1.

5 防水和防潮(G1) a) 应对穿过机房墙壁和楼板的水管增加保护措施? b) 应防止雨水通过机房窗户、屋顶和墙壁渗透? 5. 1. 1.

6 温湿度控制(G1) 机房的温、湿度应控制在设备运行所要求的范围之内? 5. 1. 1.

7 电力供应(A1) 应在机房供电线路上配置稳压器和过电压防护设备? 5. 1.