机房级和级等保要求
机房等级保护标准
机房等级保护标准
机房等级保护标准如下:
1. A级:是最高级别,主要是指涉及国计民生的机房设计。
2. B级:定义为电子信息系统运行中断将造成一定的社会秩序混乱和一定的经济损失的机房。
3. C级:为基本型,在场地设备正常运行情况下,应保证电子信息系统运行不中断。
A级或B级范围之外的电子信息系统机房为C级。
以上内容仅供参考,建议咨询专业人士获取更准确的信息。
除了以上提到的机房等级保护标准,还有一些其他重要的方面需要考虑。
例如,在机房设计中,需要考虑到防尘、防潮、防雷、防火等多个方面,以确保机房的安全和稳定运行。
此外,机房的布局和设备摆放也需要根据实际情况进行合理的设计和规划,以充分利用空间,提高工作效率。
在机房的运行管理中,需要制定严格的管理制度和操作规程,确保机房的安全和电子设备的正常运行。
同时,还需要定期对机房进行维护和检查,及时发现和解决潜在的问题和故障。
另外,随着信息技术的发展,机房的智能化管理也逐渐成为趋势。
通过引入智能化的管理系统和设备,可以实现机
房的自动化监控和管理,提高管理效率和管理质量。
综上所述,机房等级保护标准是机房设计和运行管理的重要依据和规范,需要根据实际情况进行合理的规划和设计,以确保机房的安全和稳定运行。
机房2级与3级等保要求
2)应对设备或主要部件进行固定,并设置明显的无法除去的标记;
3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;
4)应对介质分类标识,存储在介质库或档案室中;
5)设备或存储介质携带出工作环境时,应受到监控和内容加密;
6)应利用光、电等技术设置机房的防盗报警系统,以防进入机房的盗窃和破坏行为;
安全审计
1)安全审计应覆盖到服务器上的每个操作系统用户和数据库用户;
2)安全审计应记录系统内重要的安全相关事件,包括重要用户行为和重要系统命令的使用等;
3)安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等;
4)审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
1)安全审计应覆盖到服务器和客户端上的每个操作系统用户和数据库用户;
7)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要业务数据主机。
网络访问控制
1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力。
物理访问控制
1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;
2)应批准进入机房的来访人员,限制和监控其活动范围。
1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;
2)应批准进入机房的来访人员,限制和监控其活动范围;
3)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过度区域;
1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力;
机房2级及3级等保要求
4)应在会话处于非活跃一定时间或会话结束后终止网络连接;
5)应限制网络最大流量数及网络连接数。
拨号访问控制
1)应在基于安全属性的允许远程用户对系统访问的规则的基础上,对系统所有资源允许或拒绝用户进行访问,控制粒度为单个用户;
2)应限制具有拨号访问权限的用户数量。
7)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要业务数据主机。
网络访问控制
1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力。
物理访问控制
1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;
2)应批准进入机房的来访人员,限制和监控其活动范围。
1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;
2)应批准进入机房的来访人员,限制和监控其活动范围;
3)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过度区域;
二级、三级等级保护要求比较
一、
技术要求项
二级等保
三级等保
物理安全物理位置的选择Fra bibliotek1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
2)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁;
3)机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区。
机房2级与3级等保要求
机房2级与3级等保要求机房2级和3级等保是指针对机房的信息安全等级保护的要求。
等保是我国对重要信息系统安全保护的一种规范,按照等级分为5级,分别为1级、2级、3级、4级和5级等保。
等保的目的是保障信息系统的安全性,保护系统内的重要信息不被泄露、篡改或损坏。
本文将分别对机房2级和3级等保的要求进行详细介绍。
首先,2级等保要求机房的安保措施要相对较高。
具体要求如下:1.机房出入口要设置门禁系统,只有授权人员才能进入。
门禁系统要有记录功能,记录所有人员的出入时间和身份信息。
2.机房内要配备视频监控系统,覆盖全面,监控画面的存储时间要达到要求,存储设备要有密码保护功能。
3.机房内要有消防设备,包括灭火器、消防栓等,设备要进行定期维护和检查,并保证处于正常工作状态。
4.机房内的电源设备要有备份,保证机房的供电不中断。
备用电源应配备UPS(不间断电源)设备,以便在停电时维持机房正常运行。
5.机房内的设备要进行分类管理,不同区域或功能的设备要分离布置,以降低可能因设备故障或人为操作导致的风险。
6.机房内的设备要进行定期巡检和维护,保证设备的正常运行状态,及时发现和排除可能存在的故障。
7.机房内的数据备份要定期进行,备份数据要存储在安全可靠的地方,以防止数据丢失。
而对于3级等保,机房的安保要求更高。
具体要求如下:1.机房出入口要进行严格的身份验证,使用指纹、虹膜等生物识别技术,确保只有授权人员能够进入机房。
2.机房要安装严密的监控和报警系统,能够及时发现非法侵入和异常活动,并及时采取相应的安全措施。
3.机房要设置防火墙、入侵检测系统等网络安全设备,以保护机房内的网络环境和数据安全。
4.机房内的设备要有防雷措施,如安装避雷设备或利用接地技术,以保护设备免受雷击损坏。
5.机房内的设备要按照规定的标准进行存放,设备布局合理,避免设备之间相互干扰。
6.机房内要进行全面的漏洞扫描和安全性评估,及时发现和修复可能存在的安全漏洞。
机房等保三级要求
机房等保三级要求1.物理安全要求:-具备完善的门禁系统,包括身份验证、门禁权限控制和出入记录管理等。
-采用视频监控系统,对机房的进出和关键区域进行全天候的监控和记录。
-采用防火墙、灭火系统和独立消防通道等消防设施,确保机房火灾的预防和扑灭能力。
-机房应具备恒温恒湿设施,确保设备正常运行和数据安全。
2.信息安全管理要求:-要建立健全的信息安全责任制和安全管理组织机构,明确各级人员的安全职责和权限。
-制定安全管理制度和规范,对机房的设备、人员和数据进行全面管理和控制。
-健全的安全培训和教育体系,提升机房人员的安全意识和技能。
-建立完善的安全审计和评估机制,对机房的安全工作进行定期检查和评估。
3.安全技术措施要求:-部署防火墙、入侵检测和防病毒系统,实施对网络流量、入侵和病毒的实时监测和管理。
-配备足够的安全设备和安全管理软件,对机房设备和系统进行全面监控和管理。
-配置安全加固措施,对机房的操作系统、数据库和应用程序进行加固,提高系统的安全性能。
-部署安全审计系统,对机房的各类操作和行为进行审计和记录,以便后续的安全追溯和分析。
4.应急响应要求:-制定应急预案,明确各类安全事件的处理措施和流程,确保能够及时有效地应对各类安全威胁。
-配备应急响应人员和安全事件处理团队,定期进行安全演练和培训,提高应急响应能力。
-建立安全事件上报和处理机制,对机房的各类安全事件进行报告和处理,并持续改进应对能力。
以上是机房等保三级要求的主要内容。
通过严格遵守这些要求,可以提高机房的信息系统安全等级,保障机房的设备、数据和服务的安全性,为用户提供稳定可靠的服务。
系统等保三级标准
系统等保三级标准系统等保三级标准是指一种安全保护等级,主要适用于计算机信息系统中存在较高风险的信息系统。
它是一种制度和技术要求的综合体,对系统的安全性和保密性提出了较高的要求。
系统等保三级标准主要包括四个方面的要求:机房环境等级、系统运行安全等级、网络安全等级和数据备份恢复等级。
首先,机房环境等级是指计算机信息系统物理环境的安全保护要求。
这包括机房的建筑结构、消防防护、电力供应、通风与温湿度控制、防护设备和防护区域等措施。
例如,机房必须具备防火、防盗、防水和防雷等功能,而且要定期维护各种设施设备,确保其正常运行。
其次,系统运行安全等级主要要求对计算机信息系统及其关键设备进行安全防护。
这包括物理安全措施、设备管理、系统运行状态监测、安全管理和应急措施等方面的要求。
例如,对关键设备要建立完善的管理制度,保证设备的正常运行和安全使用,以及在系统运行异常时能够及时进行处理和应急响应措施。
第三,网络安全等级是指计算机网络安全保护的要求。
这包括网络管控、身份认证和访问控制、数据传输加密、网络设备安全防护等措施。
例如,网络访问需要进行身份验证,只有经过授权的用户才能够访问系统;数据传输也需要进行加密处理,以防止数据被黑客窃取和篡改。
最后,数据备份恢复等级是指计算机信息系统数据备份和恢复的要求。
这包括数据备份策略、数据备份存储设备和数据恢复过程等要求。
例如,要定期进行数据备份,并将备份数据存储在安全可靠的地方,以便在系统遭受损坏或数据丢失时能够及时恢复数据。
系统等保三级标准通过对机房环境、系统运行、网络安全和数据备份等方面的要求,提高了计算机信息系统的安全性和保密性,降低了系统遭受攻击和数据丢失的风险。
同时,它也为企业和政府机构提供了一种参考框架,帮助它们建立和完善计算机信息系统的安全管理和保护体系。
机房级及级等保要求
机房级及级等保要求机房级及级等保要求是指在信息系统中,对机房进行级别划分,并根据级别确定相应的安全保护要求。
在信息系统中,机房是存放和运行服务器、网络设备等关键设备的重要场所,保护好机房的安全对整个信息系统的正常运行和数据的安全具有重要意义。
下面将从机房级别划分和机房级等保要求两个方面进行详细介绍。
一、机房级别划分根据安全保护要求的不同,机房可以划分为不同的级别。
一般而言,机房级别划分包括以下几个层次:1.一级机房:一级机房是最高级别的机房,要求具备最严格的安全保护措施。
这种机房通常用于承载核心业务系统,如银行、电信等行业的核心数据中心。
一级机房要求具备完善的物理安全措施,如多层次的门禁系统、视频监控系统等;同时还需要有高可靠性的设备,如双路供电、UPS和发电机等,以确保设备的稳定运行。
2.二级机房:二级机房是次于一级机房的级别,具备较高的安全保护措施。
这种机房通常用于承载重要的业务系统,如企业的主要数据中心。
二级机房要求具备有效的物理安全措施,如单层门禁系统、安全防护墙等;同时还需要有可靠的设备,如UPS和发电机等,以确保设备的可用性。
3.三级机房:三级机房是最低级别的机房,要求具备基本的安全保护措施。
这种机房通常用于承载普通的业务系统,如企业的辅助数据中心。
三级机房要求具备基本的物理安全措施,如普通门禁系统、防火设施等;同时还需要有可靠的设备,如UPS等,以确保设备的正常运行。
机房级等保要求是指在不同级别的机房中,对安全保护的具体要求。
在信息系统中,级等保安全等级采用分级管理的方式,即按照保密等级和可能造成的危害程度划分不同的级别,从而确定相应的安全保护要求。
1.物理安全要求:机房要求具备完善的物理安全措施,包括门禁系统、视频监控系统、安全防护墙、防火设施等。
对于高级别的机房,还需要具备双路供电、UPS和发电机等设备,以确保设备的稳定运行。
2.访问控制要求:机房要求实施有效的访问控制机制,包括严格的身份认证、权限管理和审计等措施,以确保只有经过授权的人员可以进入机房,并且只能访问其所需的资源。
国家机房二级等保标准
国家机房二级等保标准
一、物理安全
1.机房应设置有效的门禁系统,严格控制人员进出,防范未经授权人员进入
机房。
2.机房应设置火灾报警系统和灭火设备,确保及时发现并处理火灾。
3.机房应采取防雷、防静电、防尘等措施,保证设备正常运行。
4.机房应设置监控摄像头,对机房进行全方位的监控。
二、网络安全
1.机房应使用具有安全认证的网络设备,确保数据传输的安全性。
2.机房应设置防火墙、入侵检测/防御系统等网络安全设备,防范外部攻击和
非法访问。
3.机房应实施访问控制策略,根据业务需求设置不同的安全访问权限。
4.机房应定期进行网络安全漏洞扫描和修复,确保系统安全。
三、主机安全
1.机房应使用具有安全认证的主机设备,确保数据存储和处理的安全性。
2.机房应设置操作系统和应用程序的安全补丁更新机制,及时修复漏洞。
3.机房应实施密码管理策略,保证密码的安全性和保密性。
4.机房应设置备份和恢复机制,确保数据不丢失和损坏。
四、应用及数据安全
1.机房应使用具有安全认证的应用软件,确保数据处理和应用的安全性。
2.机房应实施数据加密和传输加密策略,保证数据的安全性和保密性。
3.机房应设置数据备份和恢复机制,确保数据不丢失和损坏。
4.机房应实施访问控制策略,根据业务需求设置不同的安全访问权限。
机房2级及3级等保要求
1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;
2)应批准进入机房的来访人员,限制和监控其活动范围。
1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;
2)应批准进入机房的来访人员,限制和监控其活动范围;
3)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过度区域;
3)安全审计应可以根据记录数据进行分析,并生成审计报表;
4)安全审计应可以对特定事件,提供指定方式的实时报警;
5)审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
边界完整性检查
1)应能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为(即“非法外联”行为)。
1)应能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为(即“非法外联”行为);
2)应设置稳压器和过电压防护设备;
3)应提供短期的备用电力供应(如UPS设备);
4)应设置冗余或并行的电力电缆线路;
5)应建立备用供电系统(如备用发电机),以备常用供电系统停电时启用。
电磁防护
1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
2)电源线和通信线缆应隔离,避免互相干扰。
1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
2)应维护恶意代码库的升级和检测系统的更新;
3)应支持恶意代码防范的统一管理。
1)应在网络边界及核心业务网段处对恶意代码进行检测和清除;
2)应维护恶意代码库的升级和检测系统的更新;
3)应支持恶意代码防范的统一管理。
网络设备防护
1)应对登录网络设备的用户进行身份鉴别;
2)应对网络设备的管理员登录地址进行限制;
一级等保机房标准要求
一级等保机房标准要求一、概述一级等保机房是指在信息系统安全等级保护中,按照规定的安全保护等级要求建设的机房。
本文将详细介绍一级等保机房的标准要求,包括物理安全、网络安全、主机安全、应用安全、数据安全、备份与恢复、安全管理制度、信息安全、网络安全监测、安全审计、应急预案、人员管理、物理环境安全、电力保障和机房消防安全等方面。
二、物理安全1. 机房应设置门禁系统,严格控制人员进出,防止未经授权人员进入机房。
2. 机房应安装监控摄像头,对机房进行全方位的监控,并记录所有进出机房的人员和活动。
3. 机房应配备消防报警系统和灭火设备,确保在火灾发生时能够及时发现并扑灭火源。
4. 机房应安装防雷设施,防止雷电对机房设备和人员造成危害。
三、网络安全1. 机房应使用可信的网络设备和系统,保证网络设备的性能和安全性。
2. 机房应实施访问控制策略,对访问网络资源的用户进行身份认证和授权管理。
3. 机房应使用防火墙、入侵检测和防御系统等安全设备,防止网络攻击和非法访问。
4. 机房应实施加密技术和虚拟专用网络(VPN)等措施,保护数据的传输安全和完整性。
四、主机安全1. 机房应使用可信的服务器和终端设备,保证设备的性能和安全性。
2. 机房应安装杀毒软件和恶意软件防护措施,防止病毒和恶意软件的传播。
3. 机房应设置强密码策略,对主机设备的登录和操作进行严格的密码管理。
4. 机房应实施漏洞扫描和安全加固措施,及时发现并修复系统漏洞。
五、应用安全1. 机房应使用可信的应用软件和应用程序,保证应用的性能和安全性。
2. 机房应设置应用系统的访问控制策略,对访问应用系统的用户进行身份认证和授权管理。
3. 机房应实施应用系统的数据加密和完整性保护措施,确保数据的机密性和完整性。
4. 机房应设置应用系统的日志和监控策略,对应用系统的操作进行记录和监控。
六、数据安全1. 机房应实施数据加密和完整性保护措施,确保数据的机密性和完整性。
2. 机房应设置数据备份和恢复策略,确保数据的可靠性和可用性。
机房等保三级要求
1.1 技术要求4令狐采学1.1.1 物理平安41.1.1.1 物理位置的选择(G3)41.1.1.2 物理拜访控制(G3)41.1.1.3 防偷盗和防破坏(G3)51.1.1.4 防雷击(G3)51.1.1.5 防火(G3)51.1.1.6 防水和防潮(G3)61.1.2 结构平安(G3)61.1.2.2 拜访控制(G3)61.1.2.4 鸿沟完整性检查(S3)71.1.2.5 入侵防备(G3)71.1.2.6 歹意代码防备(G3)71.1.2.7 网络设备防护(G3)81.1.3 主机平安81.1.3.1 身份鉴别(S3)81.1.3.2 拜访控制(S3)91.1.3.3 平安审计(G3)91.1.3.4 剩余信息呵护(S3)101.1.4 应用平安101.1.4.1 身份鉴别(S3)101.1.4.2 拜访控制(S3)111.1.4.5 通信完整性(S3)111.1.4.6 通信保密性(S3)111.1.4.7 抗承认(G3)121.1.4.8 软件容错(A3)121.1.4.9 资源控制(A3)121.1.5 数据平安及备份恢复131.1.5.1 数据完整性(S3)131.1.5.2 数据保密性(S3)131.1.5.3 备份和恢复(A3)131.2 管理要求141.2.1 平安管理制度141.2.1.1 管理制度(G3)141.2.1.2 制定和宣布(G3)141.2.2.2 人员配备(G3)151.2.2.3 授权和审批(G3)151.2.2.4 沟通和合作(G3)151.2.2.5 审核和检查(G3)161.2.3 人员平安管理161.2.3.1 人员录用(G3)161.2.3.2 人员离岗(G3)171.2.3.3 人员考核(G3)171.2.3.4 平安意识教育和培训(G3)171.2.3.5 外部人员拜访管理(G3)181.2.4 系统建设管理181.2.4.1 系统定级(G3)181.2.4.2 平安计划设计(G3)181.2.4.3 产品推销和使用(G3)191.2.4.4 自行软件开发(G3191.2.4.5 外包软件开发(G3)201.2.4.6 工程实施(G3)201.2.4.7 测试验收(G3)211.2.4.8 系统交付(G3)211.2.4.9 系统备案(G3221.2.4.10 品级测评(G3)221.2.4.11 平安办事商选择(G3)221.2.5 系统运维管理231.2.5.1 环境管理(G3)231.2.5.2 资产管理(G3)231.2.5.3 介质管理(G3)241.2.5.4 设备管理(G3)241.2.5.5 监控管理和平安管理中心(G3)251.2.5.6 网络平安管理(G3)251.2.5.7系统平安管理(G3)261.2.5.8 歹意代码防备管理(G3)271.2.5.9 密码管理(G3)271.2.5.10 变动管理(G3)281.2.5.11 备份与恢复管理(G3)281.2.5.12 平安事件处理(G3)291.2.5.13 应急预案管理(G3)291.1 技术要求1.1.1 物理平安1.1.1.1 物理位置的选择(G3)a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
等保三级物理安全要求
等保三级物理安全要求
摘要:
1.等保三级物理安全概述
2.等保三级物理安全要求详解
3.等保三级物理安全的重要性
正文:
一、等保三级物理安全概述
等保三级物理安全是指信息系统在运行过程中,对机房、设备、环境等方面所采取的一系列安全措施,以确保信息系统的正常运行和数据安全。
在我国,等保三级物理安全是信息安全等级保护制度的一个重要组成部分,适用于国家机关、金融机构、重要信息系统等单位。
二、等保三级物理安全要求详解
1.机房安全
(1)机房应设置在具有良好物理环境的建筑物内,避免与其他有潜在安全风险的设施共处。
(2)机房应采取防火、防水、防潮、防盗等措施,确保设备安全。
(3)机房内部应划分为不同功能区域,如主机区、存储区、网络设备区等,各区域应保持整洁有序。
2.设备安全
(1)设备应采取防盗、防拆、防篡改等措施,确保设备安全。
(2)关键设备应实现冗余配置,以确保在设备故障时系统的正常运行。
(3)设备应定期进行维护和检查,确保设备性能稳定。
3.环境安全
(1)机房内应保持适宜的温度、湿度和通风条件,以确保设备正常运行。
(2)机房内应设置应急照明系统,以应对突发停电等紧急情况。
(3)机房应定期进行安全隐患排查,及时消除安全隐患。
三、等保三级物理安全的重要性
等保三级物理安全是保障信息系统正常运行和数据安全的基础。
机房2级和3级等保要求
7)应严格限制默认用户的访问权限。
强制访问控制
无
1)应对重要信息资源和访问重要信息资源的所有主体设置敏感标记;
2)强制访问控制的覆盖范围应包括与重要信息资源直接相关的所有主体、客体及它们之间的操作;
3)强制访问控制的粒度应达到主体为用户级,客体为文件、数据库表级。
5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;
2)应设计和绘制与当前运行情况相符的网络拓扑结构图;
3)网络设备用户的标识应唯一;
4)身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;
5)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当网络登录连接超时,自动退出。
1)应对登录网络设备的用户进行身份鉴别;
2)应对网络上的对等实体进行身份鉴别;
3)应对网络设备的管理员登录地址进行限制;
二级、三级等级保护要求比较
一、
技术要求项
二级等保
三级等保
物理安全
物理位置的选择
1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
2)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁;
3)机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区。
1)应在网络边界处应监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生;
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2)当检测到入侵事件时,应记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。
恶意代码防范
1)应在网络边界及核心业务网段处对恶意代码进行检测和清除;
4)网络设备用户的标识应唯一;
5)身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;
6)应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
7)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当网络登录连接超时,自动退出;
8)应实现设备特权用户的权限分离,例如将管理与审计的权限分配给不同的网络设备用户。
1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力;
2)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
7)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要业务数据主机。
网络访问控制
1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力。
5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;
2)应设计和绘制与当前运行情况相符的网络拓扑结构图;
1)应在基于安全属性的允许远程用户对系统访问的规则的基础上,对系统所有资源允许或拒绝用户进行访问,控制粒度为单个用户;
2)应限制具有拨号访问权限的用户数量;
3)应按用户和系统之间的允许访问规则,决定允许用户对受控系统进行资源访问。
网络安全审计
1)应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录;
6)应实现操作系统和数据库管理系统特权用户的权限分离;
7)应严格限制默认用户的访问权限。
强制访问控制
无
1)应对重要信息资源和访问重要信息资源的所有主体设置敏感标记;
2)强制访问控制的覆盖范围应包括与重要信息资源直接相关的所有主体、客体及它们之间的操作;
3)强制访问控制的粒度应达到主体为用户级,客体为文件、数据库表级。
1)操作系统和数据库管理系统用户的身份标识应具有唯一性;
2)应对登录操作系统和数据库管理系统的用户进行身份标识和鉴别;
3)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;
4)操作系统和数据库管理系统用户的身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;
5)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当登录连接超时,自动退出;
主机系统安全
身份鉴别
1)操作系统和数据库管理系统用户的身份标识应具有唯一性;
2)应对登录操作系统和数据库管理系统的用户进行身份标识和鉴别;
3)操作系统和数据库管理系统身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;
4)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当登录连接超时,自动退出。
4)应对重要区域配置电子门禁系统,鉴别和记录进入的人员身份并监控其活动。
防盗窃和防破坏
1)应将主要设备放置在物理受限的范围内;
2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;
3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;
4)应对介质分类标识,存储在介质库或档案室中;
5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
2)机房及相关的工作房间和辅助房,其建筑材料应具有耐火等级;
3)机房采取区域隔离防火措施,将重要设备与其他设备隔离开。
防水和防潮
1)水管安装,不得穿过屋顶和活动地板下;
2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;
3)应采取措施防止雨水通过屋顶和墙壁渗透;
4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
3)网络设备用户的标识应唯一;
4)身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;
5)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当网络登录连接超时,自动退出。
1)应对登录网络设备的用户进行身份鉴别;
2)应对网络上的对等实体进行身份鉴别;
3)应对网络设备的管理员登录地址进行限制;
6)应具有鉴别警示功能;
7)重要的主机系统应对与之相连的服务器或终端设备进行身份标识和鉴别。
自主访问控制
1)应依据安全策略控制主体对客体的访问;
2)自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作;
3)自主访问控制的粒度应达到主体为用户级,客体为文件、数据库表级;
4)应由授权主体设置对客体访问和操作的权限;
1)应将主要设备放置在物理受限的范围内;
2)应对设备或主要部件进行固定,并设置明显的无法除去的标记;
3)应将通信线缆铺设在隐蔽处,如铺源自在地下或管道中等;4)应对介质分类标识,存储在介质库或档案室中;
5)设备或存储介质携带出工作环境时,应受到监控和内容加密;
6)应利用光、电等技术设置机房的防盗报警系统,以防进入机房的盗窃和破坏行为;
物理访问控制
1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;
2)应批准进入机房的来访人员,限制和监控其活动范围。
1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;
2)应批准进入机房的来访人员,限制和监控其活动范围;
3)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过度区域;
1)水管安装,不得穿过屋顶和活动地板下;
2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;
3)应采取措施防止雨水通过屋顶和墙壁渗透;
4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
防静电
1)应采用必要的接地等防静电措施
1)应采用必要的接地等防静电措施;
2)应采用防静电地板。
温湿度控制
2)应能够对非授权设备私自联到网络的行为进行检查,并准确定出位置,对其进行有效阻断;
3)应能够对内部网络用户私自联到外部网络的行为进行检测后准确定出位置,并对其进行有效阻断。
网络入侵防范
1)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生。
安全审计
1)安全审计应覆盖到服务器上的每个操作系统用户和数据库用户;
2)安全审计应记录系统内重要的安全相关事件,包括重要用户行为和重要系统命令的使用等;
3)安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等;
4)审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
1)安全审计应覆盖到服务器和客户端上的每个操作系统用户和数据库用户;
7)应对机房设置监控报警系统。
防雷击
1)机房建筑应设置避雷装置;
2)应设置交流电源地线。
1)机房建筑应设置避雷装置;
2)应设置防雷保安器,防止感应雷;
3)应设置交流电源地线。
防火
1)应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
1)应设置火灾自动消防系统,自动检测火情、自动报警,并自动灭火;
2)应设置稳压器和过电压防护设备;
3)应提供短期的备用电力供应(如UPS设备);
4)应设置冗余或并行的电力电缆线路;
5)应建立备用供电系统(如备用发电机),以备常用供电系统停电时启用。
电磁防护
1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
2)电源线和通信线缆应隔离,避免互相干扰。
1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
3)应依据安全策略允许或者拒绝便携式和移动式设备的网络接入;
4)应在会话处于非活跃一定时间或会话结束后终止网络连接;
5)应限制网络最大流量数及网络连接数。
拨号访问控制
1)应在基于安全属性的允许远程用户对系统访问的规则的基础上,对系统所有资源允许或拒绝用户进行访问,控制粒度为单个用户;
2)应限制具有拨号访问权限的用户数量。
2)对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息。
1)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行全面的监测、记录;
2)对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息;
2)应维护恶意代码库的升级和检测系统的更新;
3)应支持恶意代码防范的统一管理。
1)应在网络边界及核心业务网段处对恶意代码进行检测和清除;
2)应维护恶意代码库的升级和检测系统的更新;
3)应支持恶意代码防范的统一管理。
网络设备防护
1)应对登录网络设备的用户进行身份鉴别;
2)应对网络设备的管理员登录地址进行限制;
3)安全审计应可以根据记录数据进行分析,并生成审计报表;
4)安全审计应可以对特定事件,提供指定方式的实时报警;
5)审计记录应受到保护避免受到未预期的删除、修改或覆盖等。