机房等保三级要求
等级保护三级(等保三级)基本要求
e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配位置段;
f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
重要网段与其他网段之间采用防火墙或网闸进行隔离。
b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
采用安全操作系统(如一些国产Linux操作系统或B1级操作系统)或安装Windows平台的剩余信息保护软件。(同客体重用。)
本项要求包括:
a)应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;
d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
e)应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
采用操作系统和数据库系统安全评估和加固服务。
f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
采用动态电子令牌身份认证系统(如RSA SecurID)。
采用动态电子令牌身份认证系统(如RSA SecurID)。
h)应实现设备特权用户的权限分离。
本项要求包括:
a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
机房2级与3级等保要求
2)应对设备或主要部件进行固定,并设置明显的无法除去的标记;
3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;
4)应对介质分类标识,存储在介质库或档案室中;
5)设备或存储介质携带出工作环境时,应受到监控和内容加密;
6)应利用光、电等技术设置机房的防盗报警系统,以防进入机房的盗窃和破坏行为;
安全审计
1)安全审计应覆盖到服务器上的每个操作系统用户和数据库用户;
2)安全审计应记录系统内重要的安全相关事件,包括重要用户行为和重要系统命令的使用等;
3)安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等;
4)审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
1)安全审计应覆盖到服务器和客户端上的每个操作系统用户和数据库用户;
7)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要业务数据主机。
网络访问控制
1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力。
物理访问控制
1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;
2)应批准进入机房的来访人员,限制和监控其活动范围。
1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;
2)应批准进入机房的来访人员,限制和监控其活动范围;
3)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过度区域;
1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力;
三级等保对机房的要求
三级等保对机房的要求
三级等保对机房的要求包括以下几个方面:
1. 物理环境:机房应具备合理的布局和适宜的环境条件。
包括但不限于:合适的温度、湿度、洁净度、防静电、防震、防雷等。
2. 电力供应:机房应具备稳定可靠的电力供应系统,包括备用电源和自动切换设备,以确保在电力故障或停电时机房正常运行。
3. 消防安全:机房应配备火灾报警系统和灭火设备,同时应有防水和防涝措施。
4. 监控安全:机房应配备监控系统,对机房内部和周边环境进行实时监控,并保存监控记录。
5. 访问控制:机房应实施严格的访问控制措施,包括门禁系统、监控系统等,确保只有授权人员才能进入机房。
6. 防水防潮:机房应具备防水防潮措施,防止水汽和潮气对设备造成损害。
7. 防尘防鼠:机房应具备防尘防鼠措施,防止灰尘和鼠害对设备造成损害。
8. 设备安全:机房内应使用符合国家标准和规范的设备,包括服务器、网络设备、存储设备等。
9. 数据备份与恢复:机房应建立完善的数据备份与恢复机制,以应对可能的数据丢失或损坏。
10. 安全管理制度:机房应建立完善的安全管理制度,包括但不限于:安全检查制度、安全巡查制度、应急预案等。
总的来说,三级等保对机房的要求涉及到物理环境、电力供应、消防安全、监控安全、访问控制、防水防潮、防尘防鼠、设备安全、数据备份与恢复以及安全管理制度等方面。
机房等保三级技术要求
机房等保三级技术要求1.机房物理安全要求机房必须建在稳定的场所,具备防水、防火、防爆等基本安全设施。
机房进出口必须设有门禁系统,并且要对机房内外的人员进行身份认证和访问控制。
机房入口必须有视频监控系统,并能够记录视频数据供后期检验和分析。
机房须设置专门的警报系统,确保在发生入侵等异常情况时能及时报警。
2.机房电力和供电要求机房需配备可靠的电源保障设施,包括备用电源和UPS设备,以确保电力的稳定供应。
机房的电源线路必须符合安全规范,并采取防止短路和过载的措施。
机房须配备稳定的温湿度控制系统,以保证设备的正常运行。
3.机房网络设备和保密设施要求机房内的服务器、交换机等网络设备必须按照规定要求配置和安装。
机房应设有统一的设备管理中心,对设备进行监控、管理和维护。
机房内须设有防火墙等安全设备,确保网络的安全和防护。
机房内的保密设施包括加密设备、非密设备和密级存储设备,必须符合国家保密标准。
4.机房数据备份和恢复要求机房应定期进行数据备份,并在备份过程中确保数据的完整性和安全性。
备份数据必须存储在可靠的介质上,并采取加密措施保护。
机房还应对备份数据进行定期的测试和验证,以确保在系统崩溃或数据丢失时能够及时恢复数据。
5.机房监控和巡检要求机房须安装合适的监控系统,对机房内的设备、温湿度、门禁等进行实时监控和管理。
监控系统应具备报警功能,能够在设备故障或异常情况发生时及时报警通知相关人员。
机房还应定期进行巡检,对机房的设备、电力、网络等进行检查和维护。
6.机房安全管理要求机房应制定详细的安全管理制度和流程,明确机房的权限控制、人员管理、应急响应等相关事项。
机房内的人员必须进行身份认证和授权,定期接受安全培训和考核,并签署保密协议。
机房内应有安全管理专人,负责机房的安全日常管理和应急响应工作。
总结起来,机房等保三级技术要求是一个综合性的概念,涵盖了机房的物理安全、供电要求、网络设备和保密设施、数据备份和恢复、监控和巡检、安全管理等多个方面。
三级等保机房技术要求
三级等保机房技术要求三级等保机房技术要求随着信息化建设的推进,越来越多的企业组织采用数据中心或机房来进行数据存储、处理、管理和维护等工作,其中,信息安全问题特别受到关注。
为了防范网络安全威胁,我国也推行了“三级等保”制度,对机房的技术要求如下。
一、物理安全控制1. 门禁控制:进入机房的人员需要刷卡或使用指纹识别等身份验证方式,并配以视频监控等设施。
2. 机柜安全:机房内的机柜需要有物理锁,只有经过授权的人员才能打开、接触设备。
同时设备的位置也需要合理规划,以避免不必要的物理硬件安全问题。
3. 光纤布线:机房内的光纤布线需要采用统一的标准,并加强管理,防止网络攻击窃听、劫持等问题的发生。
二、网络安全1. 机房网络隔离:不同等级的服务器需要实现物理隔离或网络隔离,以提升网络安全性。
2. 防火墙:机房内需要安装防火墙设备,实现网络流量的监控、过滤和安全管理。
3. 病毒防护:安装杀毒软件,保护网络系统和终端设备不受恶意病毒的侵害。
4. 应用隔离:应用程序需要采用安全隔离模式,实现安全性的数据交换和系统共用。
三、系统安全1. 操作系统加固:限制操作系统权限,删除不必要的服务,加强口令管理、加密和安全配置等。
2. 文件系统加密:在操作系统或应用系统上实施文件系统加密,保障机密信息的安全性。
3. 系统日志管理:设置完善的系统日志,定期分析抓取异常。
4. 系统备份、灾备:按照实际行业安全要求,定期备份数据并建立灾难恢复机制。
四、电源设施1. 电源数据采集与监控:通过电源数据采集与监控方式,实时监测机房电源系统的状态,确保电源供应的安全性。
2. 绿色能源保护:在长时间停电或电量不足的情况下,应配备对应的蓄电池等绿色能源保护设施,以确保机房不间断运行。
五、人员管理1. 人员资质:进入机房的人员,需要经过相关资质证书考核,符合相关职责要求。
2. 人员授权:机房内的设备采用设备标识和用户身份标示等认证方式,只有经过授权的人员才能使用。
等级保护三级等保三级基本要求内容
1.2.1 安全管理制度121.1 管理制度(G3本项要求包括:a)应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、围、原则和安全框架等.b)应对安全管理活动中的各类管理容建立安全管理制度;c)应对要求管理人员或操作人员执行的日常管理操作建立操作规程;d)应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。
121.2 制定和发布(G3)本项要求包括:a)应指定或授权专门的部门或人员负责安全管理制度的制定;b)安全管理制度应具有统一的格式,并进行版本控制;c)应组织相关人员对制定的安全管理制度进行论证和审定;d)安全管理制度应通过正式、有效的方式发布;e)安全管理制度应注明发布围,并对收发文进行登记。
1.2.1.3 评审和修订(G3)本项要求包括:a)信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定;b)应疋期或不疋期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。
安全管理咨询服务,帮助用户建立全面的信息安全管理制度体系,包括制疋安全策略、管理制度和操作规程等,并协助用户对管理制度进行发布、评审和修订。
本项要求包括:a ) 应配备一定数量的系统管理员、 网络管理员、安全管理员等;b ) 应配备专职安全管理员,不可兼 任;c ) 关键事务岗位应配备多人共同管 理。
1.2.2.3 授权和审批(G3) 本项要求包括:a ) 应根据各个部门和岗位的职责明 确授权审批事项、审批部门和批 准人等;b ) 应针对系统变更、重要操作、物 理访问和系统接入等事项建立审 批程序,按照审批程序执行审批 过程,对重要活动建立逐级审批 制度;c ) 应定期审查审批事项,及时更新 需授权和审批的项目、审批部门 和审批人等信息;d ) 应记录审批过程并保存审批文1.2.2 安全管理机构 1.221岗位设置( G3本项要求包括:a)b)c)d)1.2.2.2应设立信息安全管理工作的职能 部门,设立安全主管、安全管理 各个方面的负责人岗位,并定义 各负责人的职责; 应设立系统管理员、网络管理员、 安全管理员等岗位,并定义各个 工作岗位的职责; 应成立指导和管理信息安全工作 的委员会或领导小组,其最高领 导由单位主管领导委任或授权; 应制定文件明确安全管理机构各 个部门和岗位的职责、分工和技 能要求。
机房等保三级要求
机房等保三级要求1.物理安全要求:-具备完善的门禁系统,包括身份验证、门禁权限控制和出入记录管理等。
-采用视频监控系统,对机房的进出和关键区域进行全天候的监控和记录。
-采用防火墙、灭火系统和独立消防通道等消防设施,确保机房火灾的预防和扑灭能力。
-机房应具备恒温恒湿设施,确保设备正常运行和数据安全。
2.信息安全管理要求:-要建立健全的信息安全责任制和安全管理组织机构,明确各级人员的安全职责和权限。
-制定安全管理制度和规范,对机房的设备、人员和数据进行全面管理和控制。
-健全的安全培训和教育体系,提升机房人员的安全意识和技能。
-建立完善的安全审计和评估机制,对机房的安全工作进行定期检查和评估。
3.安全技术措施要求:-部署防火墙、入侵检测和防病毒系统,实施对网络流量、入侵和病毒的实时监测和管理。
-配备足够的安全设备和安全管理软件,对机房设备和系统进行全面监控和管理。
-配置安全加固措施,对机房的操作系统、数据库和应用程序进行加固,提高系统的安全性能。
-部署安全审计系统,对机房的各类操作和行为进行审计和记录,以便后续的安全追溯和分析。
4.应急响应要求:-制定应急预案,明确各类安全事件的处理措施和流程,确保能够及时有效地应对各类安全威胁。
-配备应急响应人员和安全事件处理团队,定期进行安全演练和培训,提高应急响应能力。
-建立安全事件上报和处理机制,对机房的各类安全事件进行报告和处理,并持续改进应对能力。
以上是机房等保三级要求的主要内容。
通过严格遵守这些要求,可以提高机房的信息系统安全等级,保障机房的设备、数据和服务的安全性,为用户提供稳定可靠的服务。
等保三级物理安全要求
等保三级物理安全要求
摘要:
1.等保三级物理安全概述
2.等保三级物理安全要求详解
3.等保三级物理安全的重要性
正文:
一、等保三级物理安全概述
等保三级物理安全是指信息系统在运行过程中,对机房、设备、环境等方面所采取的一系列安全措施,以确保信息系统的正常运行和数据安全。
在我国,等保三级物理安全是信息安全等级保护制度的一个重要组成部分,适用于国家机关、金融机构、重要信息系统等单位。
二、等保三级物理安全要求详解
1.机房安全
(1)机房应设置在具有良好物理环境的建筑物内,避免与其他有潜在安全风险的设施共处。
(2)机房应采取防火、防水、防潮、防盗等措施,确保设备安全。
(3)机房内部应划分为不同功能区域,如主机区、存储区、网络设备区等,各区域应保持整洁有序。
2.设备安全
(1)设备应采取防盗、防拆、防篡改等措施,确保设备安全。
(2)关键设备应实现冗余配置,以确保在设备故障时系统的正常运行。
(3)设备应定期进行维护和检查,确保设备性能稳定。
3.环境安全
(1)机房内应保持适宜的温度、湿度和通风条件,以确保设备正常运行。
(2)机房内应设置应急照明系统,以应对突发停电等紧急情况。
(3)机房应定期进行安全隐患排查,及时消除安全隐患。
三、等保三级物理安全的重要性
等保三级物理安全是保障信息系统正常运行和数据安全的基础。
信息系统等保三级的要求
信息系统等保三级的要求随着信息技术的飞速发展,信息系统的安全问题日益凸显,为了保障信息系统的安全性和可靠性,我国自2007年开始实施信息系统安全等级保护制度,其中等保三级是其中较高的安全等级要求。
本文将详细介绍信息系统等保三级的要求。
一、引言信息系统等保三级是指在等级保护制度中的第三级别,要求对信息系统进行全面的安全保护。
等保三级的要求主要包括物理安全、网络安全、主机安全、应用安全等方面。
二、物理安全要求物理安全是信息系统保护的基础,等保三级要求在物理环境上采取一系列措施来保护信息系统,包括:机房的选址和建设、门禁系统的设置、监控设备的安装和使用等。
机房的选址应远离容易受到自然灾害和人为破坏的地区,建设时应考虑防水、防火、防雷等安全措施。
门禁系统应采用双因素认证,如刷卡加密码,确保只有授权人员才能进入机房。
监控设备应全面覆盖机房各个区域,保证能够及时监控异常情况。
三、网络安全要求网络安全是信息系统保护的关键,等保三级要求在网络层面上加强安全措施,包括:网络拓扑结构的设计、网络设备的配置、网络流量的监测等。
网络拓扑结构应采用多层次的架构,设置DMZ区域来隔离内外网,确保内部网络的安全。
网络设备的配置应采用安全策略,限制不必要的服务和端口,禁止默认密码,加强访问控制等。
网络流量的监测应使用入侵检测系统和防火墙等技术手段,及时发现和阻止网络攻击。
四、主机安全要求主机安全是信息系统保护的重要组成部分,等保三级要求对主机进行全面的安全管理,包括:主机配置的安全性、主机访问的控制、主机运行的监测等。
主机配置的安全性要求禁用不必要的服务和端口,关闭不需要的服务,更新补丁和安全软件等。
主机访问的控制要求采用严格的权限管理机制,确保只有授权人员可以访问主机。
主机运行的监测要求使用安全审计系统和日志管理系统等技术手段,记录主机的运行状态和安全事件。
五、应用安全要求应用安全是信息系统保护的最后一道防线,等保三级要求对应用进行全面的安全测试和加固,包括:应用开发的安全性、应用访问的控制、应用数据的加密等。
机房等保三级标准
机房等保三级标准
机房等保三级标准是指在中国国内,对重要信息系统的机房环境、设备和安全管理进行评估和认定的标准。
机房等保三级标准是一个较高的等级,要求机房具备一定的物理环境和网络安全保障措施,以保证信息系统的可靠性和安全性。
下面是关于机房等保三级标准的详细介绍。
1.机房环境
机房环境是指机房的温度、湿度、噪音等因素,对机房内的设备运行和信息系统的稳定性有重要影响。
机房等保三级标准要求机房的温度控制在20-25摄氏度之间,相对湿度控制在40%-60%之间,噪音控制在60分贝以下。
2.设备要求
机房等保三级标准对设备的要求主要包括设备的稳定性、可靠性和安全性。
设备稳定性要求设备在长时间运行下无故障和崩溃;设备可靠性要求设备在运行中不会发生数据丢失和系统崩溃等问题;设备安全性要求设备具备防火、防雷、防盗等基本安全保障措施。
3.机房布局
4.访问控制
5.网络安全
机房等保三级标准还对机房网络安全提出了一系列要求。
机房网络应具备相应的入侵检测和防御系统,能够及时发现和防止网络攻击。
机房网络应设置防火墙,对入侵行为进行阻止和管理。
同时,机房网络应进行定期的安全扫描和漏洞修复。
总之,机房等保三级标准是中国对信息系统机房环境、设备和安全管理的标准要求。
机房等保三级标准要求机房具备一定的物理环境和网络安全保障措施,以保证信息系统的可靠性和安全性。
机房等保三级的实施,有助于提高信息系统的安全性,减少信息泄露和数据损失的风险,维护国家的信息安全。
等保三级机房建设标准
等保三级机房建设标准
等保三级机房建设是指按照国家等级保护标准,对机房环境、设备设施、安全管理等方面进行规范和要求的一种级别。
1. 机房环境
(1)机房地理位置:机房应位于防水、防火、抗震等自然灾害影响较小的区域,远离交通干扰和噪音源。
(2)机房面积:机房面积应满足业务需求,并且要有合理的布局,确保设备摆放和空调散热的良好环境。
(3)机房电力:机房应有稳定可靠的电力供应,配备备用电源和UPS(不间断电源)系统,确保设备在停电情况下能正常运行。
2. 设备设施
(1)服务器机柜:机柜应具备防尘、防潮、防静电等特性,并且有良好的散热设计。
(2)网络设备:网络设备应支持高速稳定的数据传输,具备防火墙、入侵检测等安全功能。
(3)监控系统:机房应配备完善的监控系统,包括视频监控、门禁系统等,确保机房安全。
3. 安全管理
(1)机房进出管理:机房应设置门禁系统,限制非授权人员进入,同时要建立访客记录系统。
(2)数据安全保护:机房应设有防火墙、入侵检测系统等,保护网络安全,防止黑客攻击和数据泄露。
(3)设备安全管理:机房应定期检查设备的运行状态,做好设备维护和保养工作,确保设备正常运行。
(4)应急响应机制:机房应有完善的应急响应机制,能够及时处理突发事件,保障业务的连续运行。
国家标准检查应答-等保2
国家标准检查应答-等保2.0安全通用要求(三级)第三级安全通用要求包括机房物理安全、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面。
以下为具体要求:机房场地应选择具有防震、防风和防雨等能力的建筑内,避免设在建筑物的顶层或地下室,并加强防水和防潮措施。
机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。
设备或主要部件应进行固定,并设立明显的不易除去的标识。
通信线缆应铺设在隐蔽安全处,机房应设置防盗报警系统或视频监控系统。
机房应设置火灾自动消防系统,采用耐火等级的建筑材料,对机房划分区域进行管理,设置隔离防火措施。
应采取措施防止雨水和水蒸气结露转移和渗透,并安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
防静电地板或地面和必要的接地防静电措施应采用,防止静电的产生,如采用静电消除器和防静电手环等。
应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围内。
在机房供电线路上配置稳压器和电力供应过电压防护设备,提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求,并设置冗余或并行的电力电缆线路为计算机系统供电。
电源线和通信线缆应隔离铺设,避免互相干扰,对关键设备应实施电磁屏蔽。
网络设备的业务处理能力和带宽应满足业务高峰期需要。
总之,第三级安全通用要求是保障机房和设备安全的基本要求,必须严格执行。
建议部署:边界防火墙或网络设备进行ACL策略访问控制。
b)应对网络边界或区域之间的通信流量进行实时监控,并记录审计信息;可通过安全管理系统对网络流量进行实时监控和审计记录。
建议部署:安全管理系统对网络流量进行实时监控和审计记录。
c)应对网络边界或区域之间的通信流量进行安全审计,及时发现和处置安全事件;可通过安全管理系统对网络流量进行安全审计和及时处理安全事件。
建议部署:安全管理系统对网络流量进行安全审计和及时处理安全事件。
d)应定期对网络边界或区域之间的访问控制策略进行评估和调整;建议定期对网络边界或区域之间的访问控制策略进行评估和调整。
三级等保物理环境要求
三级等保物理环境要求
三级等保物理环境要求如下:
1.应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
2.应配置电子门禁系统,控制、鉴别和记录进入的人员。
3.应将设备或主要部件进行固定,并设置明显的不易除去的标识。
4.应将通信线缆铺设在隐蔽安全处。
5.应设置防盗报警系统或设置有专人值守的视频监控系统。
6.应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。
7.应采用具有耐火等级的建筑材料。
8.应划分区域进行管理,区域和区域之间设置隔离防火措施。
9.应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
10.应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
11.应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.1 技术要求 (3)1.1.1 物理安全 (3)1.1.1.1 物理位置的选择(G3) (3)1.1.1.2 物理访问控制(G3) (3)1.1.1.3 防盗窃和防破坏(G3) (3)1.1.1.4 防雷击(G3) (3)1.1.1.5 防火(G3) (3)1.1.1.6 防水和防潮(G3) (4)1.1.2 结构安全(G3) (4)1.1.2.2 访问控制(G3) (4)1.1.2.4 边界完整性检查(S3) (4)1.1.2.5 入侵防范(G3) (4)1.1.2.6 恶意代码防范(G3) (5)1.1.2.7 网络设备防护(G3) (5)1.1.3 主机安全 (5)1.1.3.1 身份鉴别(S3) (5)1.1.3.2 访问控制(S3) (5)1.1.3.3 安全审计(G3) (5)1.1.3.4 剩余信息保护(S3) (6)1.1.4 应用安全 (6)1.1.4.1 身份鉴别(S3) (6)1.1.4.2 访问控制(S3) (6)1.1.4.5 通信完整性(S3) (6)1.1.4.6 通信保密性(S3) (6)1.1.4.7 抗抵赖(G3) (7)1.1.4.8 软件容错(A3) (7)1.1.4.9 资源控制(A3) (7)1.1.5 数据安全及备份恢复 (7)1.1.5.1 数据完整性(S3) (7)1.1.5.2 数据保密性(S3) (7)1.1.5.3 备份和恢复(A3) (7)1.2 管理要求 (8)1.2.1 安全管理制度 (8)1.2.1.1 管理制度(G3) (8)1.2.1.2 制定和发布(G3) (8)1.2.2.2 人员配备(G3) (8)1.2.2.3 授权和审批(G3) (8)1.2.2.4 沟通和合作(G3) (8)1.2.2.5 审核和检查(G3) (9)1.2.3 人员安全管理 (9)1.2.3.1 人员录用(G3) (9)1.2.3.2 人员离岗(G3) (9)1.2.3.3 人员考核(G3) (9)1.2.3.4 安全意识教育和培训(G3) (9)1.2.3.5 外部人员访问管理(G3) (10)1.2.4 系统建设管理 (10)1.2.4.1 系统定级(G3) (10)1.2.4.2 安全方案设计(G3) (10)1.2.4.3 产品采购和使用(G3) (10)1.2.4.4 自行软件开发(G3 (10)1.2.4.5 外包软件开发(G3) (11)1.2.4.6 工程实施(G3) (11)1.2.4.7 测试验收(G3) (11)1.2.4.8 系统交付(G3) (11)1.2.4.9 系统备案(G3 (11)1.2.4.10 等级测评(G3) (12)1.2.4.11 安全服务商选择(G3) (12)1.2.5 系统运维管理 (12)1.2.5.1 环境管理(G3) (12)1.2.5.2 资产管理(G3) (12)1.2.5.3 介质管理(G3) (12)1.2.5.4 设备管理(G3) (13)1.2.5.5 监控管理和安全管理中心(G3) (13)1.2.5.6 网络安全管理(G3) (13)1.2.5.7系统安全管理(G3) (14)1.2.5.8 恶意代码防范管理(G3) (14)1.2.5.9 密码管理(G3) (14)1.2.5.10 变更管理(G3) (14)1.2.5.11 备份与恢复管理(G3) (14)1.2.5.12 安全事件处置(G3) (15)1.2.5.13 应急预案管理(G3) (15)1.1 技术要求1.1.1 物理安全1.1.1.1 物理位置的选择(G3)a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
1.1.1.2 物理访问控制(G3)a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3)a) 应将主要设备放置在机房内;b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d) 应对介质分类标识,存储在介质库或档案室中;e) 应利用光、电等技术设置机房防盗报警系统;f) 应对机房设置监控报警系统。
1.1.1.4 防雷击(G3)a) 机房建筑应设置避雷装置;b) 应设置防雷保安器,防止感应雷;c) 机房应设置交流电源地线。
1.1.1.5 防火(G3)a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
a) 水管安装,不得穿过机房屋顶和活动地板下;b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;1.1.2 结构安全(G3)a) 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;b) 应保证网络各个部分的带宽满足业务高峰期需要;c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;d) 应绘制与当前运行情况相符的网络拓扑结构图;e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
1.1.2.2 访问控制(G3)a) 应在网络边界部署访问控制设备,启用访问控制功能;b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、根据记录数据进行分析,并生成审计报表;d) 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
1.1.2.4 边界完整性检查(S3)a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;b) 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
1.1.2.5 入侵防范(G3)a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
a) 应在网络边界处对恶意代码进行检测和清除;b) 应维护恶意代码库的升级和检测系统的更新。
1.1.2.7 网络设备防护(G3)a) 应对登录网络设备的用户进行身份鉴别;b) 应对网络设备的管理员登录地址进行限制;c) 网络设备用户的标识应唯一;d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;e) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;f) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接计1.1.3 主机安全1.1.3.1 身份鉴别(S3)a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别;b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
1.1.3.2 访问控制(S3)a) 应启用访问控制功能,依据安全策略控制用户对资源的访问;b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;c) 应实现操作系统和数据库系统特权用户的权限分离;d) 应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;e) 应及时删除多余的、过期的帐户,避免共享帐户的存在。
f) 应对重要信息资源设置敏感标记;g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;1.1.3.3 安全审计(G3)a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;d) 应能够根据记录数据进行分析,并生成审计报表;e) 应保护审计进程,避免受到未预期的中断;f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等。
1.1.3.4 剩余信息保护(S3)a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录;b) 应根据安全策略设置登录终端的操作超时锁定;c) 应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;d) 应限制单个用户对系统资源的最大或最小使用限度;e) 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。
1.1.4 应用安全1.1.4.1 身份鉴别(S3)a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别;b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;c) 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;d) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;e) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
1.1.4.2 访问控制(S3)a) 应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;b) 应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。