GB/T 51434-2021标准规范下载简介
GB/T 51434-2021 互联网网络安全设施工程技术标准(完整正版、清晰无水印).pdf位的安全监测,达到及时发现并管控安全风险的要求; 2安全监测设施应根据互联网业务发展需求构建,宜在保持 安全监测设施整体架构不变的前提下对监测设施功能和性能按需 扩容; 3安全监测设施宜将监测结果及时反馈给网络安全防护设 施和安全响应设施,形成一体化的安全防护和监测处置能力; 4安全监测设施的监测性能应与所监测的互联网业务规模 相匹配,监测设施配置不应低于预估业务忙时和攻击峰值时的安 全监测需求。
4.5.1安全恢复设施宜包括数据备份系统、备用数据
4.5.1安全恢复设施宜包括数据备份系统、备用数据处理系统 备用网络系统和备用基础设施等。网络安全设施工程设计中应根 据所保障互联网业务的灾难恢复能力等级要求确定具体的恢复时 间目标(RTO)和恢复点目标(RPO)指标CJJ 122-2017:游泳池给水排水工程技术规程(无水印 带书签),并应按现行国家标准 《信息安全技术信息系统灾难恢复规范》GB/T20988的有关规 定编制相应的应急灾备策略和应急灾备技术方案。
1.5.3安全恢复设施设计应符合下列规定:
1安全恢复设施应根据互联网业务所需达到的灾难恢复等 级进行设计,并应在满足安全工程规划需求的前提下,按照成本风 险平衡原则,实现快捷可靠的应急灾备,满足快速恢复数据和业务 的要求; 2安全恢复设施应根据互联网业务发展特征构建,宜在保持 安全恢复设施整体架构不变的前提下对恢复设施的功能和性能按 需扩容; 3安全恢复设施自身的安全防护和安全监测手段应同步 设计。
5网络安全设施工程施工
5.1.1网络安全设施工程施工应严格依据网络安全设施工程设 计的相关方案和要求,并应在此基础上制订详细的施工方案。 5.1.2网络安全设施宜与互联网业务系统同局址设置,网络安全 设施所在机房等级不应低于互联网业务系统所在机房等级。 5.1.3网络安全设施工程中涉及的机架安装、走线架及槽道安 装、线缆布放应符合工程设计要求及现行国家标准《互联网数据中 心工程技术规范》GB51195的有关规定,
装、线缆布放应符合工程设计要求及现行国家标准《互联网数据中 心工程技术规范》GB51195的有关规定。
5.2.1在工程实施前应制订施工组织方案,方案应包含人员配 备、施工进度计划、技术措施、质量保证措施、安全保证措施及测试 方案等内容,并应对其中的关键内容组织专项评审。 5.2.2施工单位应根据施工组织方案建立施工组织机构,明确分 工权责、签署保密协议,并应进行技术交底及必要的技术培训等 工作。 5.2.3施工单位进场施工前应对施工现场进行检查,施工条件应 符合下列规定: 1机房的电源、空调、消防、安防等基础设施应符合相应验收 要求; 2机房内温、湿度,照明,通风,净高等环境条件应符合施工 安全作业要求,设备安装场所宜整洁、无尘; 3施工现场管理所需的办公场地、设备设施存储保管场所、
5.2.1在工程实施前应制订施工组织方案,方案应包含人 备、施工进度计划、技术措施、质量保证措施、安全保证措施及 方案等内容,并应对其中的关键内容组织专项评审。
5.2.2施工单位应根据施工组织方案建立施工组织机
工权责、签署保密协议,并应进行技术交底及必要的技术培 工作。
.2.3施工单位进场施工前应对施工现场进行检查,施工条件应
付合下列规: 1机房的电源、空调、消防、安防等基础设施应符合相应验收 要求; 2机房内温、湿度,照明,通风,净高等环境条件应符合施工 安全作业要求,设备安装场所宜整洁、无尘; 3施工现场管理所需的办公场地、设备设施存储保管场所、 相关工程管理工具部署等均应符合施工管理要求;
5.2.4施工单位施工开始前应对设备、材料进行检验,并应符合 下列规定: 1设备、材料检查时,建设单位或监理单位、施工单位和供货 一家应同时在场,并应做好记录; 2开箱清点时不得损坏设备、器材,设备名称、型号、规格、数 量等应符合设计和工程合同要求,外观应完好无损,技术资料及配 牛应齐全,并应有出厂合格证; 3有源设备应逐个通电检测,检测内容应包括安全性、可靠 性及电磁兼容性等项目; 4软件产品应对其使用许可证及使用范围进行检查,应符合 设计和工程合同要求,软件文档资料应齐全; 5产品功能、性能的检测应符合国家产品标准要求,有特殊 要求的产品可按合同规定或设计要求进行; 6设备与材料的功能、性能、技术指标应符合设计要求和产 品说明书; 7设备、材料检查完毕应分类存放,并应堆放整齐。
$.2.6进场施工前施工单位应对施工人员进行安全和文明施
5.3网络安全设备安装
5.3.1网络安全设备的安装应满足工程设计、产品说明书及安装 工艺等要求。
5.3.1 网络安全设备的安装应满足工程设计、产品说明书及安装 工艺等要求。 5.3.2归属同一安全域的设备宜安装在同一物理区域。 5.3.3 网络安全设备的安装应平稳、牢固,便于操作、维护和维修
5.3.4网络安全设备上的功能标签或产品编号应正确清晰
实,线缆应避免交叉,电源线和信号线应分别从机柜两侧分开 布放。 5.3.6网络安全设备应可靠接地,防静电措施应符合设备及工程 设计要求。
5.3.7网络安全设备在安装过程中应保护其物理安全,施工过程
5.4.1网络安全设备安装完成后,应对设备进行配置,并应满足 后续运行维护的要求。网络安全设备配置应包括但不限于设备账 号配置、账号口令配置、设备授权配置、设备日志配置、设备协议配 置及安全策略配置。
5.4.2设备账号配置应符合下列规定:
设备账号配置应符合下列规定
1应按照用户分配账号,不同用户不得共用同一账号,用户 账号和设备间通信账号不得共用;
2与设备运行、维护等工作无关的账号应删除或锁定; 3应根据系统要求及用户的业务需求建立多账户组,将用户 账号分配到相应的账户组; 4·应限制具备管理员权限的用户远程登录,远程执行管理员 权限操作应先以普通权限用户远程登录后再切换至管理员权限账 号执行。
5.4.3账号口令配置应符合下列规定:
5.4.3账号口令配置应符合下
1采用静态口令认证技术的设备应配置安全的口令长度、 杂度、有效期和加密强度,不得使用默认口令或空口令; 2采用静态口令认证技术的设备应限制连续登录失败次 连续多次登录失败后应锁定该用户使用的账号。
5.4.4设备授权配置应符合下列规定
1在设备权限配置能力内应根据用户的业务需要,配置其 需的最小权限; 2当在创建新文件或自录时应控制用户缺省访问权限,屏 掉新文件或目录不应有的访问充许权限
4.5设备日志配置应符合下列
5.4.6设备协议配置应符合下列规定:
1使用IP协议进行远程维护的设备应配置使用SSH等加 密协议; 2设备应设置SNMP访问安全限制,只充许特定主机通过 SNMP访问。
5.4.7安全策略配置应符合下列规定
1安全策略配置应依据安全设计中的网络安全策略方案, 并应符合安全域划分和网络安全防护、监测、响应及恢复的 要求; 2安全策略配置应符合各安全设施之间联动的要求,形成 体化的网终安全保障体系
4.8设备其他配置应符合下列规定:
1在配置过程中发现设备存在安全漏洞等网络安全缺陷时, 应当立即采取安全加固等补救措施: 2设备应关闭不必要的服务、端口; 3设备应安装最新的安全补丁,补丁在安装前应进行测试 确认。
5.5.1对于投资1000万元以上或涉及多个施工单位的网络安全 设施工程宜聘请工程监理单位参与工程建设管理。 5.5.2施工单位在网络安全设施工程建设过程中应通过质量监 测分析、改进活动确保工程质量目标的实现。 5.5.3施工单位应建立网络安全设施工程的协调机制,应保持与 建设单位、监理单位及其他第三方之间的沟通协作。 5.5.4施工单位应按设计方案进行施工,应定期检查与设计方案 的一致性情况并记录检查结果。当需要设计变更时,应提交建设 单位及设计单位审核,审核通过后方可按变更后的方案继续施工,
备边建设边测试,以评估其功能、性能是否符合工程设计的要求, 并应进行工作文档记录,文档应包括测试指标、测试方法、测试 结果。
5.5.6在网络安全设施工程实施过程中,施工
或监理单位提交工程实施计划、工程进度安排、工程进展状
或监理单位提交工程实施计划、工程进度安排、工程进展状况、 程问题报告、工程解决方案等工程资料
5.5.7在网络安全设施工程交付前,施工单位应为建设单位
6网络安全设施工程验收
6.1.1网络安全设施工程验收应与互联网业务系统建设工程验 收同步进行。
6.1.2网络安全设施工程验收应以网络安全设施工程设计及工 程合同技术规范书的相关要求作为依据,应编制网络安全设施工 程测试方案。测试方案应涵盖网络安全防护、监测、响应、恢复等 各类安全设施的功能和性能测试,并应测试各类网络安全设施间 的联动性和整体有效性。在验收过程中应对测试方案中的项目逐 项进行测试验证。 6.1.3已安装的网络安全设备应符合下列规定: 1 标志应齐全、正确; 2各种零件、配件安装位置应正确,数量应齐全; 3各种选择开关应按设备技术说明书置于指定位置; 4 各类设备的规格应符合设备技术说明书的要求; 5 设备接地应良好、可靠; 6 电源引入线极性应正确,连接应牢固可靠。 6.1.4 网络安全设施工程验收前施工单位应完成工程竣工技术 文件的编制。 6.1.5网络安全设施工程验收前施工单位应协助建设单位制定 网络安全管理制度和操作规程,并应完成对操作维护人员的技术 培训。 6.1.6 网络安全设施工程验收应包括工程初验、工程试运行、工
6.1.2网络安全设施工程验收应以网络安全设施工程
程合同技术规范书的相关要求作为依据,应编制网络安全设施工 程测试方案。测试方案应涵盖网络安全防护、监测、响应、恢复等 各类安全设施的功能和性能测试,并应测试各类网络安全设施间 的联动性和整体有效性。在验收过程中应对测试方案中的项目逐 项进行测试验证
6.1.5网络安全设施工程验收前施工单位应协助建设单位 网络安全管理制度和操作规程,并应完成对操作维护人员的 培训。
6.1.6网络安全设施工程验收应包括工程初验、工程试运行、工
1.6网络安全设施工程验收应包括工程初验、工程试运行、工 终验三个阶段的工作
6.2.1 工程初验应按照工程合同及设计要求开展下列工作: 对设备进行清点核实; 2 对工程安装工艺质量进行检查; 对系统功能、性能、可靠性进行测试; 4 对竣工文件进行审查; 对已安装设备和技术文件进行移交。 6.2.2 网络安全设施工程初验测试应严格按照工程测试方案进 行,并应符合下列规定: 1对于网络安全设施新建工程,应进行端到端测试,压力测 试应使用专用测试工具进行; 2对于网络安全设施改建和扩建工程,对可能影响现网业务 的测试应编制割接方案和应急回退预案。 6.2.3初验测试发现主要指标和性能达不到要求时,应及时处 理,问题解决后冉进行重新测试。 6.2.4工程初验中移交的技术文件的介质形式、份数、内容应符
1 资产明细表; 2 说明文件; 3 硬件资料; 4 软件资料; 5 设备配置文件; 6 施工图纸; 7 技术手册; 8 日常操作维护指导; 9 设备安装、测试资料及各种记录; 10 安全风险评估报告; 11 其他相关文件。
6.2.5初验通过应符合下列规定
1网络安全设施设备数量、硬件配置、软件参数以及设备安 装应符合工程设计要求; 2网络安全设施配置、安全策略设置以及软件数据参数应符 合工程设计及技术要求; 3网络安全设施工程测试方案应通过逐项验证,不得存在重 大不合格项; 4工程技术文件应齐全。 6.2.6网络安全设施工程初验通过后,应形成初验报告,初验报
告中应列出工程中的遗留问题,并应明确遗留问题的责任单 解决时限。
6.2.7工程初验通过后,施工单位应向建设单位移交所有的
统口令和测试账号。建设单位应检查所有的口令设置,并应根 居有关要求重新进行设定。
6.3.1工程初验通过后,工程建设单位应安排网络安全设施进入 试运行状态,试运行阶段应从工程初验合格、网络割接后开始,试 运行期间应加载部分互联网业务并检验网络安全设施的有效性。 5.3.2网络安全设施工程试运行时间不应少于3个月,网络安全
1设备稳定性和故障率; 2各项设备功能指标是否满足工程设计及合同要求; 3各项设备性能指标是否满足工程设计及合同要求; 4观察记录各网络安全防护、监测、响应和恢复设施间的联 动性。 6.3.4对试运行阶段发现的问题,施工单位应及时进行整改以满
足工程设计及合同要求。
6.3.5试运行期满时,系统功能和性能指标如能达到工
合同的全部要求,安全运行维护人员应提交试运行报告并提请工 程建设单位组织工程终验。否则,工程应重新进人试运行阶段。
6.4.1试运行结束后,当系统各项功能、性能已达到工程合同及 设计要求且工程遗留问题已经解决时,工程建设单位应组织工程 终验。
6.4.2工程终验应包括下列内
1 确定各阶段检查、测试结果,工程试运行情况; 2 核查工程初验提出的遗留问题处理情况; 3 审阅工程试运行报告; 4 验收组认为必要的抽查复验; 5 检查工程技术档案的整理情况; 6 对工程进行评定和签收。 6.4.3 工程终验通过应符合下列规定: 1 工程初验和试运行期间的相关遗留问题应已全部解决; 2 工程竣工验收所需的全部文档应已完成整理备案; 3 应形成竣工验收报告。
6.4.4网络安全设施工程终验后,工程建设单位可适时
7.1.1网络安全设施工程的质量保修期限应遵守工程设备采购 及施工合同的相关条款约定,不宜低于工程终验合格之日起2年。 7.1.2网络安全设施工程建设单位可委托专业安全运行维护单 位负责网络安全设施的运行维护工作,建设单位应为运行维护单 位提供必要的运行维护信息和工作环境。
7.1.3承担网络安全设施工程运行维护的单位应具备对网络
7.1.4运行维护单位应在网络安全设施工程建设单位的认可和
7.1.4运行维护单位应在网络安全设施工程建设单位的认可 支持下,建立健全运行维护管理制度、应急处理制度及重点设施 障制度。
7.2安全运行维护要求
7.2.2运行维护单位在网络安全设施运行维护过程中,应
员权限管控和操作日志审计,并应防止安全策略被篡改等内部 员的违规行为。
高风险操作时,应提前通知互联网业务运营单位,并应做好重要 据的备份和回滚方案。
估工作,并应做好网络安全风险管理,相关工作应符合现行国家标 准《信息安全技术信息安全风险评估规范》GB/T20984和《信 息安全技术信息安全风险评估实施指南》GB/T31509的有关 规定。
息安全技术信息安全风险评估实施指南》GB/T31509的有关 规定。 7.2.5运行维护单位应定期开展网络安全设施运行状态巡查,依 照标准化流程了解网络安全设施整体的工作状态,及时排除故障 隐惠,并应做好运行维护日志记录。
7.2.5运行维护单位应定期开展网络安全设施运行状态巡
照标准化流程了解网络安全设施整体的工作状态,及时排除故障 意患,并应做好运行维护日志记录
7.2.6运行维护单位在运行维护过程中发现网络安全设施
构不完善、安全风险高、功能和性能不足等非工程质量类问匙 ,应及时反馈给网络安全设施工程建设单位。工程建设单位应 子相关问题纳入后续网络安全改建和扩建工程的需求分析中
1为便于在执行本标准条文时区别对待,对要求严格程度不 司的用词说明如下: 1)表示很严格,非这样做不可的: 正面词采用“必须”,反面词采用“严禁”; 2)表示严格,在正常情况下均应这样做的: 正面词采用“应”,反面词采用“不应”或“不得”; 3)表示允许稍有选择,在条件许可时首先应这样做的: 正面词采用“宜”,反面词采用“不宜”; 4)表示有选择,在一定条件下可以这样做的,采用“可”。 2条文中指明应按其他有关标准执行的写法为:“应符合 的规定”或“应按执行”
1为便于在执行本标准条文时区别对待,对要求严格程度不 同的用词说明如下: 1)表示很严格,非这样做不可的: 正面词采用“必须”,反面词采用“严禁”; 2)表示严格,在正常情况下均应这样做的: 正面词采用“应”,反面词采用“不应”或“不得”; 3)表示允许稍有选择,在条件许可时首先应这样做的: 正面词采用“宜”,反面词采用“不宜”; 4)表示有选择,在一定条件下可以这样做的,采用“可”。 2条文中指明应按其他有关标准执行的写法为:“应符合. 的规定”或“应按…执行”。
工程技术规范》GB51195 信息系统安全工程管理要求》GB/T20282 信息安全风险评估规范》GB/T20984 信息系统灾难恢复规范》GB/T20988 网络安全等级保护基本要求》GB/T22239 信息安全应急响应计划规范》GB/T24363 网络安全等级保护安全设计技术要求》GB/T 信息安全风险评估实施指南》GB/T31509 信息系统安全运维管理指南》GB/T36626
中华人民共和国国家标准
互联网网络安全设施工程技术标准
GB/T 25330-2019标准下载总 则 (31) 网络安全设施工程规划 (32) 网络安全设施工程设计 (33) 4.2安全防护设施 (33) 4.5安全恢复设施 (33) 网络安全设施运行维护 (34 ) 7 1一般规定 34
3 网络安全设施工程规划 网络安全设施工程设计
1.0.1《中华人民共和国网络安全法》第三十三条规定,建设关键 信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并 保证安全技术措施同步规划、同步建设、同步使用。互联网业务系 统中涉及大量关键信息基础设施,故引用了相关要求,并作为本标 准的一个基本原则。
包括但不限于网络安全等级保护的要求、关键信息基础设施的保 户要求。
3.0.1美国国家标准和技术学会(NIST)所提出的网络安全框架 中,网络安全保障体系包括识别、防护、监测、响应、恢复五个方面 的工作,并形成一个迭代闭环。本标准的防护设施、监测设施、响 应设施、恢复设施分别对应着防护、监测、响应、恢复四个方面的技 术支撑手段。识别方面的技术支撑手段主要包括资产管理系统 等,暂未纳人本标准的网络安全设施范畴
4.2.2为便于设计人员理解与实施,本条与网络安全等级保护安 全技术设计框架中相关表述保持一致。 4.2.6预估业务忙时和攻击峰值可根据业务的特点及安全威胁 分析的结果,通过数学建模后进行测算。
4.5.1按现行国家标准《信息安全技术信息系统灾难恢复规 范》GB/T20988的规定,信息系统灾难恢复能力等级由低到高划 分为第1级至第6级。信息系统灾难恢复能力等级与系统的恢复 时间目标(RTO)和恢复点目标(RPO)具有一定的对应关系
统一书号:155182·069 定价:18.00元
DB31/T 1185-2019标准下载统一书号:155182·0699 定价:18.00元