文档介绍:IT 主流设备安全基
线技术规范
1
2020 年 5 月 29 日
文档仅供参考
范围
本规范适用于中国 XX 电网有限责任公司及所属单位管理信息大区所有信息系统相关主流支撑平台设备。
规范性引用文件
下列文件对于本规范的应用是必不可少的。凡是注日期的引
用文件 ,仅注日期的版本适用于本规范。凡是不注日期的引用文件 , 其最新版本 (包括所有的修改单 )适用于本规范。
——中华人民共和国计算机信息系统安全保护条例——中华人民共和国国家安全法——中华人民共和国保守国家秘密法——计算机信息系统国际联网保密管理规定——中华人民共和国计算机信息网络国际联网管理暂行规定
—— ISO27001 标准 /ISO27002 指南
——公通字 [ ]43 号 信息安全等级保护管理办法
—— GB/T 21028- 信息安全技术 服务器安全技术要求
—— GB/T 20269- 信息安全技术 信息系统安全管理要
求
—— GB/T 22239- 信息安全技术 信息系统安全等级保护基
本要求
—— GB/T 22240- 信息安全技术 信息系统安全等级保护定
级指南
2
2020 年 5 月 29 日
文档仅供参考
术语和定义
安全基线 :指针对 IT 设备的安全特性 ,选择合适的安全控制措施 ,
定义不同 IT 设备的最低安全配置要求 ,则该最低安全配置要求就
称为安全基线。
管理信息大区 : 发电企业、电网企业、供电企业内部基于计算
机和网络技术的业务系统 ,原则上划分为生产控制大区和管理信息
大区。生产控制大区能够分为控制区 (安全区 I) 和非控制区 (安全区
Ⅱ ); 管理信息大区内部在不影响生产控制大区安全的前提下 ,能够
根据各企业不同安全要求划分安全区。根据应用系统实际情况 ,在
满足总体安全要求的前提下 ,能够简化安全区的设置 ,可是应当避免经过广域网形成不同安全区的纵向交叉连接。
4
�
总则
指导思想
围绕公司打造经营型、服务型、一体化、现代化的国内领
先、国际著名企业的战略总体目标 ,为切实践行南网方略 ,保障信息化建设 ,提高信息安全防护能力 ,经过规范 IT 主流设备安全基线 ,建立公司管理信息大区 IT 主流设备安全防护的最低标准 ,实现公司 IT 主流设备整体防护的技术措施标准化、规范化、指标化。
目标
管理信息大区内 IT 主流设备安全配置所应达到的安全基线规范 ,
3
2020 年 5 月 29 日
文档仅供参考
主要包括针对 AIX 系统、 Windows 系统、 Linux