标准规范下载简介
Q/GDW 10595-2021 管理信息系统网络安全等级保护验收规范.pdfICS 29.240
Q/GDW10595—2021 代替Q/GDW1595—2014
GB/T 50903-2013标准下载管理信息系统网络安全等级保护验收规范
Acceptancespecificationforclassifiedprotectionofmanagementinformationsystem cybersecurity
tancespecificationforclassifiedprotectionofmanagementinformationsyster cybersecurity
Q/GDW 105952021
范围 规范性引用文件, 术语和定义 缩略语. 概述... 5.1验收内容 5.2总体安全防护技术验收 5.3二、三级系统安全防护技术验收. 5.4终端安全防护技术验收. 5.5大数据系统安全防护技术验收, 评分方法和验收结论判定. 6. 1 验收指标权重分配.. 6.2评分计算方法.. 6.3 系统验收结论判定, 附录A(规范性附录) 管理信息系统网络安全等级保护验收评分细则. 编制说明
Q/GDW105952021
为规范公司二级、三级管理信息系统的安全等级保护验收工作,指导公司各单位开展管理信息系统 的安全等级保护验收,保证信息系统安全等级保护验收工作顺利开展,针对Q/GDW10594一2021《管理 信息系统网络安全等级保护技术要求》规定的防护要求,参考GB/T22239一2019《信息安全技术网络 安全等级保护基本要求》,对Q/GDW1595一2014《国家电网公司管理信息系统安全等级保护技术验收 规范》进行修订,形成本标准。 本标准代替Q/GDW1595一2014《国家电网公司管理信息系统安全等级保护技术验收规范》,与Q/GDI 595一2014相比,主要技术性差异如下: 一标准名称修改为《管理信息系统网络安全等级保护验收规范》; 修改总体安全防护技术指标、第二级安全技术指标、第三级安全技术指标、终端安全技术指 标,删除相应章节,并将相应内容移至附录B管理信息系统网络安全等级保护技术验收评分 细则中; 增加了第5章,对管理信息系统等级保护技术验收内容及方法进行了说明; 一增加了云计算安全、移动互联安全、物联网安全、大数据系统安全等扩展要求验收内容; 一删除附录A评分方法和验收结论判定标准,并将相应内容移至第6章评分方法和验收结论判定 中。 本标准由国家电网有限公司互联网部提出并解释。 本标准由国家电网有限公司科技部归口。 本标准起草单位:全球能源互联网研究院有限公司、中国电力科学研究院有限公司、南瑞集团有限 公司、国网黑龙江省电力有限公司、国网山东省电力公司。 本标准主要起草人:张道娟、张绷、刘莹、孙炜、詹雄、秦学嘉、丁晓玉、栾国强、赵威、孙绍辉 张智勇、周亮、范永、邱意民、靳敏、吕军、乔淑娟、李祉岐、刘圣龙、胡洛娜、牛德龄、翁征、张涛、 武宏斌、钱珂翔、韩啸、王文辉、韩龙玺、程杰、杨斌、刘义英、段文奇、陈涛、王迪、石志祥、朱璐 本标准2011年12月首次发布,2014年11月第一次修订,2020年11月第二次修订。 本标准执行过程中的意见或建议反馈至国家电网有限公司科技部。
Q/GDW 105952021
信息系统网络安全等级保护验收
本标准规定了国家电网有 信息系统等级保护技术验收方法, 本标准适用于公司总部和各 系统等级保护技术验收工作,
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T22239一2019信息安全技术网络安全等级保护基本要求 GB/T25069一2010信息安全技术术语 GB/T28448一2019信息安全技术网络安全等级保护测评要求 GB/T36627一2018信息安全技术网络安全等级保护测试评估技术指南 Q/GDW10594一2021管理信息系统网络安全等级保护技术要求
GB/T22239—2019、GB/T25069—2010、GB/T28448—2019、GB/T36627—2018和Q/GDW 2021界定的以及下列术语和定义适用于本文件。
Q/GDW10595—2021WEP:有线等效加密(WiredEquivalentPrivacy)WPS:WiFi保护设置(WiFiProtectedSetup)5概述5.1验收内容管理信息系统网络安全等级保护技术验收指标遵循Q/GDW10594一2021中规定的技术要求,包括总体安全、二/三级管理信息系统通用安全技术指标及云计算/移动互联/物联网/大数据等扩展安全技术指标(安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心)以及终端安全技术指标,各项技术验收指标的权重分配见表1,评分细则见附录A。5.2总体安全防护技术验收总体安全验收项遵循Q/GDW10594一2021第6章提出的技术要求,按照附录A.1规定的验收实施内容进行评分。总体安全技术验收内容适用于公司所有管理信息系统,总体安全技术验收实施内容不能全部满足(不适用者除外)则验收不通过。5.3二、三级系统安全防护技术验收二、三级系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心通用技术要求以及云计算、移动互联、物联网等扩展技术验收指标遵循Q/GDW10594一2021第7、8章提出的技术要求,分别按照附录A.2或A.3规定的验收实施内容进行评分。5.4终端安全防护技术验收终端安全防护技术验收指标遵循Q/GDW10594一2021第9章提出的技术要求,按照附录A.4规定的验收实施内容进行评分。5.5大数据系统安全防护技术验收大数据系统安全防护技术验收指标遵循Q/GDW10594一2021附录A提出的技术要求,按照附录A.5规定的验收实施内容进行评分。6评分方法和验收结论判定6.1验收指标权重分配管理信息系统网络安全等级保护验收各项指标的权重分配如表1所示。表1验收指标权重分配表验收指标权重值总体安全20%安全物理环境10%安全区域边界12%安全通信网络10%2
Q/GDW 10595202
6.2.1单项指标评分方法
对本标准附录A给出的每项验收指标,按以下方法给予单项指标得分: 如果该项指标规定的全部要求都得到满足,给予该项指标的全部分值; b) 如果有充分理由证明该项指标对该信息系统不适用,给予该指标项的全部分值; 如果该项指标规定的全部要求都未得到满足且不满足b)情况,该指标项得0分: 该项指标规定的要求部分满足且不满足b)情况,按具体满足情况给予该指标部分分值
6.2.2系统安全总得分计算方法
6.2.2.1系统安全总得分计算公式
计算系统安全总得分,见公式(1): Sys =Ge+Ph + Bd + Nt + Sv + Mg + Te 式中: Sys一一系统安全总得分,单位为分; Ge一一总体安全得分,单位为分; Ph一一安全物理环境得分,单位为分; Bd一一安全区域边界得分,单位为分; Nt一一安全通信网络得分,单位为分; Sv一一安全计算环境得分,单位为分; Mg一一安全管理中心得分,单位为分; Te一一终端安全得分,单位为分。
计算系统安全总得分,见公式1):
6.2.2.2总体安全得分计算公式
计算总体安全得分,见公式(2):
式中: Ge一一总体安全得分,单位为分; Ege一一根据6.2.1计算出系统在总体安全项的实际得分,单位为分; Tge一一总体安全项的满分值,单位为分; Wge——表1中给出的总体要求项的权重值。
Q/GDW105952021
6.2.2.3安全物理环境得分计算公式
计算安全物理环境得分,见公式(③):
式中: Ph一一安全物理环境得分,单位为分; Eph一一根据6.2.1计算出系统在安全物理环境项的实际得分,单位为分; Tph一一系统对应安全等级的安全物理环境项的满分值,单位为分; Wph 一表1中给出的安全物理环境项的权重值。
6.2.2.4安全区域边界得分计算公式
计算安全区域边界得分,见公式(4):
Bd一一 安全区域边界得分,单位为分; Ebd 根据6.2.1计算出系统在安全区域边界项的实际得分,单位为分; 系统对应安全等级的安全区域边界项的满分值,单位为分; Wbd一一表1中给出的安全区域边界项的权重值。
6.2.2.5安全通信网络得分计算公式为:
算安全通信网络得分,见
Nt一一安全通信网络得分,单位为分; Enw一一根据6.2.1计算出系统在安全通信网络项的实际得分,单位为分: Tnt一一系统对应安全等级的安全通信网络项的满分值,单位为分; Wnt一一表1中给出的安全通信网络项的权重值。
6.2.2.6安全计算环境得分计算公式为:
计算安全计算环境得分,见公式(6):
Ph = Eph 2×Wph ×100 Tph
Ebd Bd = ×Wbd ×100 Thd
Sv一一安全计算环境得分,单位,分; TsV——系统对应安全等级的安全计算环境项的满分值,单位为分:
Q/GDW 105952021
n一一验收中抽查的服务器操作系统总数,单位为台; Eos(i)一一根据6.2.1计算出的第i台服务器操作系统的实际扣分,单位为分; m一一验收中抽查的数据库系统总数,单位为台; Edb(j)一一根据6.2.1计算出的第冶数据库系统的实际扣分,单位为分; k一一验收中抽查的应用系统个数,单位,个; Eap(x)一一根据6.2.1计算出的第x个应用系统的实际扣分,单位为分: 1一一验收中抽查的网络设备总数,单位,台; End(y)一一根据6.2.1计算出的第y台网络设备的实际扣分,单位为分; Edt一一根据6.2.1计算出的系统在数据安全项的实际扣分,单位为分; 一表1中给出的安全计算环境项的权重值。
计算应用安全得分,见公式(7):
式中: Mg一一为安全管理中心得分,单位为分; Emg一一为根据6.2.1计算出系统在安全管理中心项的实际得分,单位为分; Tmg为一一系统对应安全等级的安全管理中心项的满分值,单位为分; Wmg为一一表1中给出的安全管理中心项的权重值。
6.2.2.8安全扩展项得分计算方法为
Emg ×Wmg×100 Mg Tmg
当待验收系统具有云计算、移动互联、物联网或大数据等一个或多个安全扩展要求时,将对应扩展 要求的得分分别计入安全物理环境、安全区域边界、安全通信网络、安全计算环境、安全管理中心等项 目,按照6.2.2.3~6.2.2.7各项目计算公式进行统一计算: a)对应项目的满分值应为:安全通用指标的满分值与各个扩展要求对应项目的满分值之总和; b) 对应项目的实际得分为:安全通用指标的实际得分与各个扩展要求对应项目的实际得分之总 和
6.2.2.9终端安全得分计算公式为
计算终端安全得分,见公式(8):
re =(Epc(i) n + Epd(j)+ m)→ Tte × Wte × 100
Q/GDW105952021
信息系统安全等级保护验收的判定标准如下: a)如果总体安全得分(Ge)小于20分,则判定为验收不通过; 如果系统安全总得分(Sys)小于80分,则判定为验收不通过; 如果总体安全得分(Ge)大于等于20分,且系统安全总得分(Sys)大于等于80分,则判定为 验收通过,并按以下标准进行分级: 1)系统安全总得分(Sys)大于等于90分,为A级水平: 2) 系统安全总得分(Sys)大于等于85分且小于90分,为B级水平; 3) 系统安全总得分(Sys)大于等于80分且小于85分,为C级水平。
A.1总体安全防护技术
Q/GDW 105952021
附录A (规范性附录) 管理信息系统网络安全等级保护技术验收评分细则
表A.1总体安全防护技术验收评分细则
Q/GDW105952021
1.2.1通用安全防护技
安全防护技术要求中各项指标评分细则如表A.2所
表A.2通用安全防护技术验收指标评分细则
酒店改造装饰施工组织设计Q/GDW 105952021
Q/GDW10595—2021表A.2(续)验收指标验收实施分值得分1)拓扑图是否包括网络的整体架构,存在的网络边界,主要的系统、网络设备、安全设备的部署和允余情况,并附有e)详细的台账和配置清单;2)台账内容是否包设备名称、型号、IP地址等信息;3)配置清单是否包括网段划分、路由、安全策略等配置信息管理信息大区的网络接入通道是否是公司自建光纤专网、a)电力无线专网、租用的APN和第三方专线1分管理信息大区和互联网大区系统采用电力专用光纤进行b)长距离通信时,是否采用防火墙或者具备网络访问控制功1分能的网络设备、IPS/IDS系统等措施保证通信安全。互联网大区系统租用电信运营商专线或光缆进行长距离通信时,是否采用链路加密、VPN、防火墙或者具备网络c)1分访问控制功能的网络设备、IPS/IDS系统等措施保证通信安全。安全通Q/GDW10594—20211)政府、银行等第三方机构网络接入管理信息大区时,是否信网络采用网络专线接入:第7.1.2.2条d)2)是否设置第三方网络接入区,并采取网络防火墙或网络加1分(20分)通道传输密设备等防护措施。公司作业类、采集类等专用终端通过电信运营商专线/无e)线网络接入公司管理信息大区时,是否采用安全接入网关1分接入,实现接入认证和数据传输加密,通信双方是否采用校验码技术或密码技术保证通信过程f)1分中数据的完整性。在通信双方建立连接之前,应用系统是否利用密码技术进g)1分行会话初始化验证。是否采用国家主管部门认可的密码算法对通信过程中的h)1分敏感信息字段进行加密Q/GDW10594—20211)是否基于可信根对通信设备的系统引导程序、系统程序、第7.1.2.3条重要配置参数和通信应用程序等进行可信验证:3分2)当检测到通信设备的可信性受到破坏后是否进行报警:可信验证3)验证结果是否以审计记录的形式送至安全管理中心。1)接入管理信息大区、互联网大区的设备,是否采用桌面终端安全管理系统、IP/MAC地址绑定等技术手段进行接入认a)证和控制:1分2)是否关闭网络设备未使用的端口;3)是否能够阻断非授权设备的接入。Q/GDW10594—2021管理信息大区是否采用专用的防违规外联系统、桌面终端第7.1.3.1条b)1分安全管理系统等对非法外联设备进行定位和阻断。边界防护1)在网络边界处是否部署访问控制设备:安全区2)设备配置信息是否指定端口进行跨越边界的网络通信,指域边界定端口是否配置并启用了安全策略:c)3)采用非法无线网络设备定位、核查设备配置信息等技术手1分(35分)段核查是否不存在其他未受控端口进行跨越边界的网络通信。1)根据信息系统访问需求,在与系统相关的边界处是否部署或利用现有的网络访问控制设备,配置必需的网络访问控Q/GDW10594—2021a)3分制策略,并启用访问控制策略;第7.1.3.2条2)设备的最后一条访问控制策略是否为禁止所有网络通信。访问控制1)是否不存在多余或无效的访问控制策略;b)2)不同的访问控制策略之间的逻辑关系及前后排列顺序是2分否合理。10
Q/GDW 105952021
Q/GDW105952021
Q/GDW105952021
Q/GDW10595—2021表A.2(续)验收指标验收实施分值得分是否具有关键查询字符串参数加密、过滤不安全字符、服务e)器端验证等措施防止用户绕过数据有效性检验。1分1)是否不存在高风险漏洞,定期进行漏洞扫描、渗透测试等,或采用第三方安全工具增强系统的安全性;Q/GDW10594—2021f)2)漏洞扫描是否在非关键业务时段进行并制定详细回退计划;1分第7.1.4.4条3)发现的漏洞及配置弱点是否经过充分测试评估后及时进行入侵防范处理。直接操作主机文件系统、数据库系统资源的存储过程是否进g)1分行严格控制,并删除不必要的敏感存储过程。h)是否通过防火墙等设备对远程数据库调用进行地址限制。1分i)是否通过防火墙等设备对远程数据库调用进行地址限制。1分1)是否安装了防恶意代码软件或相应功能的软件;2)当本机无法安装恶意代码软件时,是否独立部署恶意代码防Q/GDW10594—2021护设备,如在网络上部署防毒墙;第7.1.4.5条3)是否将同一环境中的系统作为一个整体的防护对象进行保3分恶意代码防范护,为所有系统提供统一的恶意代码防护策略,统一更新、统一查杀;4)是否每日更新防恶意代码软件和恶意代码库。1)是否基于可信根对计算设备的系统引导程序、系统程序、重安全计Q/GDW10594—2021要配置参数和应用程序等进行可信验证:算环境第7.1.4.6条3分2)当检测到计算设备的可信性受到破坏后是否进行报警:(50分)可信验证3)验证结果是否以审计记录的形式送至安全管理中心。Q/GDW10594—2021核查系统设计文档,重要管理数据、鉴别信息和重要业务数第7.1.4.7条据在传输过程中是否采用了校验技术或密码技术保证完整3分数据完整性性。1)是否按照备份策略进行本地备份;2)数据备份是否至少每天一次;3)备份策略设置是否合理、配置是否正确;Q/GDW10594—2021a)4)备份结果是否与备份策略一致;2分第7.1.4.8条5)近期恢复测试记录是否能够进行正常的数据恢复;数据备份恢复6)备份介质是否场外存放。是否利用公司三地数据中心实现数据异地实时备份,并利用b)2分通信网络将重要数据实时备份至备份场地Q/GDW10594—2021核查相关配置信息或系统设计文档GB/T 37033.3-2018 信息安全技术 射频识别系统密码应用技术要求 第3部分:密钥管理技术要求,用户的鉴别信息所在的第7.1.4.9条2分剩余信息保护存储空间被释放或重新分配前是否得到完全清除。1)采集的用户个人信息是否是业务应用必需的:Q/GDW10594—2021a)2)是否制定了有关用户个人信息保护的管理制度和流程。2分第7.1.4.10条是否对用户个人信息设置专门的访问控制措施,限制未授权个人信息保护b)2分访问和非法使用用户个人信息的行为。1)是否对系统管理员进行身份鉴别;2)是否只允许系统管理员通过特定的命令或操作界面进行系Q/GDW10594—2021a)4分安全管统管理操作;理中心第7.1.5.1条3)是否对系统管理的操作进行审计。(15分)系统管理是否通过系统管理员对系统的资源和运行进行配置、控制和b)管理,包括用户身份、资源配置、系统加载和启动、系统运3分行的异常处理、数据和设备的备份与恢复等,14
Q/GDW 105952021