资源描述
,-,63,-,Click to modify the text styles,gfdgdfd,fghfhfhfhfh,dgsdgsdgsdsgsgd,Click to modify the subtitles style,All rights reserved 200,7,Click to modify the text styles,gfdgdfd,fghfhfhfhfh,dgsdgsdgsdsgsgd,Click to modify the subtitles style,信,息,息,系,系,统,统,安,安,全,全,等,等,级,级,保,保,护,护,基,基,本,本,要,要,求,求,标,标,准,准,研,研,读,读,目录,物理安,全,全,网络安,全,全,主机安,全,全,应用安,全,全,数据安,全,全及备,份,份恢复,安全管,理,理制度,安全管,理,理机构,人员安,全,全管理,系统建,设,设管理,系统运,维,维管理,物理位,置,置的选,择,择 (,G3,),标准要,求,求,a,)机房,和,和办公,场,场地应,选,选择在,具,具有防,震,震、防,风,风和防,雨,雨等能,力,力的建,筑,筑内;,b),机房场,地,地应避,免,免设在,建,建筑物,的,的高层,或,或地下,室,室,以,及,及用水,设,设备的,下,下层或,隔,隔壁。,标准理,解,解,机房或,机,机房所,在,在建筑,物,物应由,物,物业提,供,供的本,建,建筑物,符,符合当,地,地抗震,要,要求的,相,相关证,明,明。,机房主,墙,墙壁没,有,有对外,的,的窗户,,,,否则,,,,窗户,应,应做密,封,封、防,水,水处理,。,。,机房场,地,地不宜,设,设在建,筑,筑物顶,层,层,如,果,果不可,避,避免,,应,应采取,有,有效防,水,水措施,。,。机房,场,场地设,在,在建筑,物,物地下,室,室的,,应,应采取,有,有效的,防,防水措,施,施;,机房场,地,地设在,高,高层建,筑,筑物高,区,区的,,应,应对设,备,备采取,有,有效固,定,定措施,如果机,房,房周围,有,有用水,设,设备,,应,应当有,防,防护渗,水,水和疏,导,导措施,。,。,物理访,问,问控制,(,(,G3,),标准要,求,求,a),机房出,入,入口应,安,安排专,人,人值守,,,,控制,、,、鉴别,和,和记录,进,进入的,人,人员;,b),需进入,机,机房的,来,来访人,员,员应经,过,过申请,和,和审批,流,流程,,并,并限制,和,和监控,其,其活动,范,范围;,c),应对机,房,房划分,区,区域进,行,行管理,,,,区域,和,和区域,之,之间设,置,置物理,隔,隔离装,置,置,在,重,重要区,域,域前设,置,置交付,或,或安装,等,等过渡,区,区域;,d),重要区,域,域应配,置,置电子,门,门禁系,统,统,控,制,制、鉴,别,别和记,录,录进入,的,的人员,。,。,标准理,解,解,(,1,)有专,门,门的机,房,房值班,人,人员,,或,或采取,监,监控设,备,备将机,房,房出入,情,情况传,输,输到专,门,门的楼,宇,宇值班,点,点;,(,2,)通过,记,记录表,或,或监控,录,录像记,录,录机房,出,出入情,况,况。,(,3,)机房,的,的设备,区,区域和,辅,辅助工,作,作区域,应,应当进,行,行分区,管,管理,,并,并采取,物,物理隔,断,断方式,。,。,(,4,)机房,设,设施的,交,交付或,安,安装应,在,在辅助,区,区域内,进,进行。,(,5,)查看,门,门禁装,置,置及记,录,录,防盗窃,和,和防破,坏,坏(,G3,),标准要,求,求,a),应将主,要,要设备,放,放置在,机,机房内,;,;,b),应将设,备,备或主,要,要部件,进,进行固,定,定,并,设,设置明,显,显的不,易,易除去,的,的标记,;,;,c),应将通,信,信线缆,铺,铺设在,隐,隐蔽处,,,,可铺,设,设在地,下,下或管,道,道中;,d),应对介,质,质分类,标,标识,,存,存储在,介,介质库,或,或档案,室,室中;,e),应利用,光,光、电,等,等技术,设,设置机,房,房防盗,报,报警系,统,统;,f),应对机,房,房设置,监,监控报,警,警系统,。,。,标准理,解,解,(,1,)主要,设,设备、,机,机柜、,机,机架等,应,应有明,显,显不易,除,除去的,标,标识,,如,如以标,签,签或铭,牌,牌等方,式,式;,(,2,)主要,设,设备必,须,须安装,、,、固定,在,在机柜,内,内或机,架,架上。,(,3,)通信,线,线缆可,铺,铺设在,地,地下、,管,管道或,线,线槽中,。,。,(,4,)参见,7.2.5.3,介质管,理,理的有,关,关要求,。,。,(,5,)在机,房,房的出,入,入口采,取,取红外,、,、接触,式,式感应,等,等设备,进,进行防,盗,盗。,(,6,)应至,少,少对机,房,房的出,入,入口、,操,操作台,等,等区域,进,进行摄,像,像监控,;,;,(,7,)监控,记,记录至,少,少保存,一,一个月,。,。,防雷击(,G3,),标准要求,机房建筑应,设,设置避雷装,置,置;,应设置防雷,保,保安器,防,止,止感应雷;,机房应设置,交,交流电源地,线,线。,标准理解,(,1,)机房或机,房,房所在大楼,,,,应根据建,筑,筑设计要求,,,,设计并安,装,装防雷击措,施,施,防雷措,施,施包括但不,限,限于避雷针,、,、避雷器,,以,以及电路设,计,计;,(,2,)避雷系统,必,必须经过国,家,家主管部门,的,的技术检测,并,并合格;,(,3,)每年一,次,次对防雷,装,装置进行,检,检测;,防火(,G3,),标准要求,机房应设,置,置火灾自,动,动消防系,统,统,能够,自,自动检测,火,火情、自,动,动报警,,并,并自动灭,火,火;,机房及相,关,关的工作,房,房间和辅,助,助房应采,用,用具有耐,火,火等级的,建,建筑材料,;,;,机房应采,取,取区域隔,离,离防火措,施,施,将重,要,要设备与,其,其他设备,隔,隔离开。,标准理解,(,1,)机房的,火,火灾自动,消,消防系统,具,具备自动,报,报警和灭,火,火功能,,并,并通过当,地,地公安消,防,防部门的,验,验收;,(,2,)机房的,设,设备区域,应,应采取气,体,体灭火装,置,置;,(,3,)机房设,备,备区域与,其,其他区域,的,的隔离材,料,料必须达,到,到防火等,级,级二级;,(,4,)保存消,防,防系统的,各,各类技术,资,资料,并,有,有专人对,消,消防系统,进,进行维护,(,5,)每年至,少,少一次对,消,消防设备,的,的使用、,维,维护人员,进,进行培训,。,。,防水和防,潮,潮(,G3,),标准要求,水管安装,,,,不得穿,过,过机房屋,顶,顶和活动,地,地板下;,应采取措,施,施防止雨,水,水通过机,房,房窗户、,屋,屋顶和墙,壁,壁渗透;,应采取措,施,施防止机,房,房内水蒸,气,气结露和,地,地下积水,的,的转移与,渗,渗透;,应安装对,水,水敏感的,检,检测仪表,或,或元件,,对,对机房进,行,行防水检,测,测和报警,。,。,标准理解,(,1,)提供建,筑,筑防水和,防,防潮设计,/,验收文档,,,,检查实,际,际建设是,否,否与机房,防,防水防潮,的,的实际情,况,况一致;,(,2,)机房装,修,修时必须,有,有上下墙,体,体保温层,,,,以防止,隔,隔层结露,;,;,(,3,)及时检,查,查机房是,否,否存在屋,顶,顶和墙壁,等,等出现过,漏,漏水、渗,透,透和返潮,现,现象;,(,4,)布置漏,水,水监控装,置,置。,防静电(,G3,),标准要求,主要设备,应,应采用必,要,要的接地,防,防静电措,施,施;,机房应采,用,用防静电,地,地板。,标准理解,(,1,)提供对,机,机房环境,静,静电的检,测,测报告或,证,证书;,(,2,)对进入,机,机房设备,区,区域,必,须,须采取防,尘,尘措施,,以,以防止灰,尘,尘的引入,导,导致产生,静,静电;,(,3,)在设备,集,集中的区,域,域,采取,防,防静电工,作,作台、静,电,电消除剂,和,和静电消,除,除器等措,施,施以防止,静,静电的产,生,生。,温湿度控,制,制(,G3,),标准要求,机房应设,置,置温、湿,度,度自动调,节,节设施,,使,使机房温,、,、湿度的,变,变化在设,备,备运行所,允,允许的范,围,围之内。,标准理解,(,1,)采取精,密,密空调方,式,式保持机,房,房的恒温,恒,恒湿;,(,2,)根据各,地,地实际情,况,况,应安,装,装除湿、,加,加湿设备,以,以保持机,房,房温在,22,(正负,3,)度范围,内,内,湿度,保,保持在,45,65,之间。,电力供应,(,(,A3,),标准要求,应在机房,供,供电线路,上,上配置稳,压,压器和过,电,电压防护,设,设备;,应提供短,期,期的备用,电,电力供应,,,,至少满,足,足主要设,备,备在断电,情,情况下的,正,正常运行,要,要求;,应设置冗,余,余或并行,的,的电力电,缆,缆线路为,计,计算机系,统,统供电;,应建立备,用,用供电系,统,统。,标准理解,(,1,)机房必,须,须配备,UPS,,机房供,电,电和照明,必,必须分开,不,不同的配,电,电柜;,(,2,)采用双,路,路供电,,或,或配备、,租,租用发电,机,机;应急,供,供电设备,的,的供电能,力,力应保障,业,业务不间,断,断所需要,的,的,UPS,及空调供,电,电;,(,3,)如果不,具,具备后备,供,供电设施,,,,,UPS,供电时间,不,不得小于,4,小时;,(,4,)具备后,备,备供电设,施,施的,,UPS,供电时间,不,不少于,1,小时;,(,5,)每季度,对,对,UPS,进行一次,检,检测,并,形,形成检测,记,记录。,电磁防护,(,(,S3,),标准要求,应采用接,地,地方式防,止,止外界电,磁,磁干扰和,设,设备寄生,耦,耦合干扰,;,;,电源线和,通,通信线缆,应,应隔离铺,设,设,避免,互,互相干扰,;,;,应对关键,设,设备和磁,介,介质实施,电,电磁屏蔽,。,。,标,准,准,理,理,解,解,(,1,),机,机,房,房,或,或,机,机,房,房,所,所,在,在,的,的,大,大,楼,楼,必,必,须,须,有,有,接,接,地,地,措,措,施,施,,,,,并,并,且,且,接,接,地,地,电,电,阻,阻,必,必,须,须,小,小,于,于,1,欧,姆,姆,;,;,(,2,),接,接,地,地,电,电,阻,阻,的,的,接,接,地,地,效,效,果,果,应,应,经,经,过,过,专,专,业,业,技,技,术,术,机,机,构,构,的,的,检,检,测,测,;,;,(,3,),强,强,、,、,弱,弱,电,电,线,线,路,路,必,必,须,须,走,走,不,不,同,同,的,的,桥,桥,架,架,或,或,管,管,道,道,;,;,(,4,),如,如,果,果,机,机,房,房,附,附,近,近,存,存,在,在,强,强,电,电,磁,磁,场,场,,,,,如,如,无,无,线,线,基,基,站,站,、,、,电,电,力,力,变,变,压,压,器,器,等,等,,,,,应,应,采,采,取,取,屏,屏,蔽,蔽,室,室,方,方,式,式,。,。,目,录,录,(,(,按,按,第,第,三,三,级,级,要,要,求,求,),),物,理,理,安,安,全,全,网,络,络,安,安,全,全,主,机,机,安,安,全,全,应,用,用,安,安,全,全,数,据,据,安,安,全,全,及,及,备,备,份,份,恢,恢,复,复,安,全,全,管,管,理,理,制,制,度,度,安全管理机,构,构,人员安全管,理,理,系统建设管,理,理,系统运维管,理,理,结构安全(,G3,),-1,标准要求,应保证主要,网,网络设备的,业,业务处理能,力,力具备冗余,空,空间,满足,业,业务高峰期,需,需要;,应保证网络,各,各个部分的,带,带宽满足业,务,务高峰期需,要,要;,应在业务终,端,端与业务服,务,务器之间进,行,行路由控制,建,建立安全的,访,访问路径;,应绘制与当,前,前运行情况,相,相符的网络,拓,拓扑结构图,;,;,应根据各部,门,门的工作职,能,能、重要性,和,和所涉及信,息,息的重要程,度,度等因素,,划,划分不同的,子,子网或网段,,,,并按照方,便,便管理和控,制,制的原则为,各,各子网、网,段,段分配地址,段,段;,标准理解,(,1,)主要网络,设,设备的业务,处,处理能力至,少,少为历史峰,值,值的,1.5-2.0,倍;,(,2,)带宽利用,率,率超过,80%,的最大持续,小,小于,5,分钟,一日,内,内累计时间,不,不超过,10,分钟;,(,3,)边界和主,要,要网络设备,应,应配置路由,控,控制策略,,如,如策略路由,、,、,ACL,等,建立安,全,全的访问路,径,径。,(4,)应绘制完,整,整的网络拓,扑,扑结构图,,粒,粒度到设备,级,级,包含,IP,地址、设备,主,主要信息,,与,与当前运行,情,情况相符,,并,并有相应的,配,配置表;并,及,及时更新,(,5,)应有,IP/VLAN/MPLS,地址分配方,案,案文档;,结构安全(,G3,),-2,标准要求,应避免将重,要,要网段部署,在,在网络边界,处,处且直接连,接,接外部信息,系,系统,重要,网,网段与其他,网,网段之间采,取,取可靠的技,术,术隔离手段,;,;,应按照对业,务,务服务的重,要,要次序来指,定,定带宽分配,优,优先级别,,保,保证在网络,发,发生拥堵的,时,时候优先保,护,护重要主机,。,。,标准理解,(,1,)确定组织,的,的网络边界,,,,根据边界,划,划分安全域,,,,针对安全,域,域采取合适,的,的安全隔离,措,措施,形成,安,安全策略文,档,档,隔离方,式,式视安全需,求,求可采取物,理,理隔离或防,火,火墙、,VLAN,、,VPN,等逻辑隔离,措,措施。,(,2,)对业务网,和,和内部办公,网,网实施物理,或,或逻辑隔离,;,;,(,3,) 对所有,业,业务确定重,要,要性、优先,级,级,制定业,务,务相关带宽,分,分配原则及,相,相应的带宽,控,控制策略,,根,根据安全需,求,求,采取网,络,络,QoS,或专用带宽,管,管理设备等,措,措施。,访问控制(,G3,),-1,标准要求,应在网络边,界,界部署访问,控,控制设备,,启,启用访问控,制,制功能;,应能根据会,话,话状态信息,为,为数据流提,供,供明确的允,许,许,/,拒绝访问的,能,能力,控制,粒,粒度为端口,级,级;,应,对,对,进,进,出,出,网,网,络,络,的,的,信,信,息,息,内,内,容,容,进,进,行,行,过,过,滤,滤,,,,,实,实,现,现,对,对,应,应,用,用,层,层,HTTP,、,FTP,、,TELNET,、,SMTP,、,POP3,等,协,协,议,议,命,命,令,令,级,级,的,的,控,控,制,制,;,;,应,在,在,会,会,话,话,处,处,于,于,非,非,活,活,跃,跃,一,一,定,定,时,时,间,间,或,或,会,会,话,话,结,结,束,束,后,后,终,终,止,止,网,网,络,络,连,连,接,接,;,;,标,准,准,理,理,解,解,(,1,),网,网,络,络,边,边,界,界,应,应,部,部,署,署,防,防,火,火,墙,墙,/,路,由,由,器,器,ACL,,,应,应,能,能,根,根,据,据,会,会,话,话,状,状,态,态,信,信,息,息,设,设,定,定,过,过,滤,滤,规,规,则,则,集,集,,,,,规,规,则,则,集,集,应,应,涵,涵,盖,盖,对,对,所,所,有,有,出,出,入,入,边,边,界,界,的,的,数,数,据,据,包,包,的,的,处,处,理,理,方,方,法,法,,,,,对,对,于,于,没,没,有,有,明,明,确,确,定,定,义,义,的,的,数,数,据,据,包,包,,,,,应,应,缺,缺,省,省,拒,拒,绝,绝,,,,,需,需,要,要,拒,拒,绝,绝,的,的,协,协,议,议,应,应,显,显,式,式,的,的,拒,拒,绝,绝,并,并,开,开,启,启,日,日,志,志,记,记,录,录,;,;,(,2,),控,控,制,制,粒,粒,度,度,为,为,端,端,口,口,级,级,。,。,(,3,)过滤,规,规则应,易,易于理,解,解,易,于,于编辑,修,修改;,(,4,)应进,行,行一致,性,性检测,,,,防止,规,规则冲,突,突;,(,5,)使用,HTTP,、,FTP,、,TELNET,、,SMTP,、,POP3,等服务,,,,则必,须,须部署,内,内容审,计,计产品,访问控,制,制(,G3,),-2,标准要,求,求,应限制,网,网络最,大,大流量,数,数及网,络,络连接,数,数;,重要网,段,段应采,取,取技术,手,手段防,止,止地址,欺,欺骗;,应按用,户,户和系,统,统之间,的,的允许,访,访问规,则,则,决,定,定允许,或,或拒绝,用,用户对,受,受控系,统,统进行,资,资源访,问,问,控,制,制粒度,为,为单个,用,用户;,应限制,具,具有拨,号,号访问,权,权限的,用,用户数,量,量。,标准理,解,解,(,6,)管理,终,终端连,接,接网络,设,设备,,当,当会话,处,处于非,活,活跃时,间,间超过,5,分钟或,会,会话结,束,束后终,止,止网络,连,连接;,(,7,)关闭,闲,闲置的,网,网络端,口,口;,(,8,)重要,网,网络用,端,端口与,mac,地址绑,定,定方式,防,防止地,址,址欺骗,;,;,(,9,)对不,同,同用户,建,建立一,个,个授权,访,访问列,表,表,控,制,制粒度,为,为单个,用,用户;,(,10,)禁止,使,使用拨,号,号或互,联,联网对,网,网络设,备,备进行,管,管理和,维,维护;,(,11,)拨号,访,访问服,务,务器限,制,制用户,数,数量和,权,权限。,安全审,计,计(,G3,),标准要,求,求,应对网,络,络系统,中,中的网,络,络设备,运,运行状,况,况、网,络,络流量,、,、用户,行,行为等,进,进行日,志,志记录,;,;,审计记,录,录应包,括,括:事,件,件的日,期,期和时,间,间、用,户,户、事,件,件类型,、,、事件,是,是否成,功,功及其,他,他与审,计,计相关,的,的信息,;,;,应能够,根,根据记,录,录数据,进,进行分,析,析,并,生,生成审,计,计报表,;,;,应对审,计,计记录,进,进行保,护,护,避,免,免受到,未,未预期,的,的删除,、,、修改,或,或覆盖,等,等。,标准理,解,解,(,1,)关闭,闲,闲置的,网,网络端,口,口;,(,2,)重要,网,网络用,端,端口与,mac,地址绑,定,定方式,防,防止地,址,址欺骗,;,;,(,3,)对不,同,同用户,建,建立一,个,个授权,访,访问列,表,表,控,制,制粒度,为,为单个,用,用户;,(,4,)禁止,使,使用拨,号,号或互,联,联网对,网,网络设,备,备进行,管,管理和,维,维护;,(,5,)拨号,访,访问服,务,务器限,制,制用户,数,数量和,权,权限。,边界完,整,整性检,查,查(,S3,),标准要,求,求,应能够,对,对非授,权,权设备,私,私自联,到,到内部,网,网络的,行,行为进,行,行检查,,,,准确,定,定出位,置,置,并,对,对其进,行,行有效,阻,阻断;,应能,够,够对,内,内部,网,网络,用,用户,私,私自,联,联到,外,外部,网,网络,的,的行,为,为进,行,行检,查,查,,准,准确,定,定出,位,位置,,,,并,对,对其,进,进行,有,有效,阻,阻断,。,。,标准,理,理解,(,1,)应,有,有设,备,备接,入,入授,权,权控,制,制管,理,理过,程,程。,(,2,)限,制,制或,禁,禁止,内,内部,人,人员,使,使用,电,电话,拨,拨号,、,、,adsl,拨号,、,、手,机,机、,pda,等连,接,接到,外,外部,网,网络,。,。,入侵,防,防范,(,(,G3,),标准,要,要求,应在,网,网络,边,边界,处,处监,视,视以,下,下攻,击,击行,为,为:,端,端口,扫,扫描,、,、强,力,力攻,击,击、,木,木马,后,后门,攻,攻击,、,、拒,绝,绝服,务,务攻,击,击、,缓,缓冲,区,区溢,出,出攻,击,击、,IP,碎片,攻,攻击,和,和网,络,络蠕,虫,虫攻,击,击等,;,;,当检,测,测到,攻,攻击,行,行为,时,时,,记,记录,攻,攻击,源,源,IP,、攻,击,击类,型,型、,攻,攻击,目,目的,、,、攻,击,击时,间,间,,在,在发,生,生严,重,重入,侵,侵事,件,件时,应,应提,供,供报,警,警。,标准,理,理解,(,1,)在,网,网络,边,边界,部,部署,入,入侵,检,检测,系,系统,;,;,(2),入侵,检,检测,系,系统,根,根据,安,安全,策,策略,配,配置,规,规则,。,。,恶意,代,代码,防,防范,(,(,G3,),标准,要,要求,应在,网,网络,边,边界,处,处对,恶,恶意,代,代码,进,进行,检,检测,和,和清,除,除;,应维,护,护恶,意,意代,码,码库,的,的升,级,级和,检,检测,系,系统,的,的更,新,新。,标,准,准,理,理,解,解,(,1,),在,在,不,不,严,严,重,重,影,影,响,响,网,网,络,络,性,性,能,能,的,的,情,情,况,况,下,下,,,,,应,应,在,在,网,网,络,络,边,边,界,界,部,部,署,署,恶,恶,意,意,代,代,码,码,检,检,测,测,系,系,统,统,。,。,(,2,),恶,恶,意,意,代,代,码,码,检,检,测,测,系,系,统,统,的,的,版,版,本,本,为,为,最,最,新,新,。,。,网,络,络,设,设,备,备,防,防,护,护,(,(,G3,),1,标,准,准,要,要,求,求,应,对,对,登,登,录,录,网,网,络,络,设,设,备,备,的,的,用,用,户,户,进,进,行,行,身,身,份,份,鉴,鉴,别,别,;,;,应,对,对,网,网,络,络,设,设,备,备,的,的,管,管,理,理,员,员,登,登,录,录,地,地,址,址,进,进,行,行,限,限,制,制,;,;,网,络,络,设,设,备,备,用,用,户,户,的,的,标,标,识,识,应,应,唯,唯,一,一,;,;,主,要,要,网,网,络,络,设,设,备,备,应,应,对,对,同,同,一,一,用,用,户,户,选,选,择,择,两,两,种,种,或,或,两,两,种,种,以,以,上,上,组,组,合,合,的,的,鉴,鉴,别,别,技,技,术,术,来,来,进,进,行,行,身,身,份,份,鉴,鉴,别,别,;,;,身,份,份,鉴,鉴,别,别,信,信,息,息,应,应,具,具,有,有,不,不,易,易,被,被,冒,冒,用,用,的,的,特,特,点,点,,,,,口,口,令,令,应,应,有,有,复,复,杂,杂,度,度,要,要,求,求,并,并,定,定,期,期,更,更,换,换,;,;,标,准,准,理,理,解,解,(,1,),应,应,删,删,除,除,或,或,修,修,改,改,默,默,认,认,用,用,户,户,及,及,密,密,码,码,,,,,根,根,据,据,管,管,理,理,需,需,要,要,开,开,设,设,用,用,户,户,,,,,不,不,得,得,使,使,用,用,缺,缺,省,省,口,口,令,令,、,、,空,空,口,口,令,令,、,、,弱,弱,口,口,令,令,。,。,(,2,)口令应符,合,合以下条件,:,:避免使用,字,字典词汇、,姓,姓名、电话,号,号码、日期,、,、公司名称,等,等;、 包,括,括至少一个,小,小写字母、,大,大写字母、,数,数字、特殊,符,符号;所有,口,口令的长度,至,至少为,8,位;避免连,续,续使用,4,位数字或同,样,样大小写的,字,字母;口令,至,至少每季度,更,更换一次;,新,新旧口令更,换,换必须替换,6,个以上字符,;,;,网络设备防,护,护(,G3,),2,标准要求,应具有登录,失,失败处理功,能,能,可采取,结,结束会话、,限,限制非法登,录,录次数和当,网,网络登录连,接,接超时自动,退,退出等措施,;,;,当对网络设,备,备进行远程,管,管理时,应,采,采取必要措,施,施防止鉴别,信,信息在网络,传,传输过程中,被,被窃听;,应实现设备,特,特权用户的,权,权限分离。,标准理解,(,1,)网络设备,应,应开启登录,失,失败处理功,能,能,失败后可结,束,束会话;,(,2,)允许的不,成,成功登录尝,试,试的次数至,多,多位,5,次;,(,3,)应配置最,近,近一次会话,活,活动之后保,持,持,5,分钟的激活,期,期,超时自,动,动退出;,(,4,)应采取加,密,密传输或光,纤,纤传输,(,5,)应根据管,理,理用户的角,色,色分配权限,,,,实现系统,管,管理、安全,管,管理和审计,管,管理用户的,权,权限分离,,仅,仅授予用户,所,所需的最小,权,权限;,目录(按第,三,三级要求),物理安全,网络安全,主机安全,应用安全,数据安全及,备,备份恢复,安全管理制,度,度,安全管理机,构,构,人员安全管,理,理,系统建设管,理,理,系统运维管,理,理,身份鉴别(,S3,),1,标准要求,应对登录操,作,作系统和数,据,据库系统的,用,用户进行身,份,份标识和鉴,别,别;,操作系统和,数,数据库系统,管,管理用户身,份,份标识应具,有,有不易被冒,用,用的特点,,口,口令应有复,杂,杂度要求并,定,定期更换;,应启用登录,失,失败处理功,能,能,可采取,结,结束会话、,限,限制非法登,录,录次数和自,动,动退出等措,施,施;,标准理解,(,1,)操作系统,和,和数据库系,统,统管理用户,的,的口令复杂,度,度应满足,8,位以上,由,数,数字、字母,大,大小写以及,特,特殊字符组,合,合,并至少,每,每,3,个月更换;,(,2,)操作系统,应,应启用登录,失,失败处理功,能,能,可采取,结,结束会话、,限,限制非法登,录,录次数(,10,次)、帐户,锁,锁定(,30,分钟自动解,锁,锁或由系统,管,管理员手工,解,解锁)等措,施,施;,(,3,)数据库应,启,启用登录失,败,败处理功能,,,,可采取结,束,束会话、限,制,制非法登录,次,次数(,10,次)、自动,退,退出等措施,;,;,身份鉴别(,S3,),2,标准要求,当对服务器,进,进行远程管,理,理时,应采,取,取必要措施,,,,防止鉴别,信,信息在网络,传,传输过程中,被,被窃听;,应为操作系,统,统和数据库,系,系统的不同,用,用户分配不,同,同的用户名,,,,确保用户,名,名具有唯一,性,性。,应采用两种,或,或两种以上,组,组合的鉴别,技,技术对管理,用,用户进行身,份,份鉴别。,标准理解,(,1,)当对服务,器,器进行远程,管,管理时,应,采,采取会话加,密,密或光纤传,输,输等措施,,防,防止鉴别信,息,息在网络传,输,输过程中被,窃,窃听;,(,2,)应采用两,种,种或两种以,上,上组合的鉴,别,别技术对管,理,理用户进行,身,身份鉴别,,不,不适用于非,开,开放环境式,平,平台主机。,访问控制(,S3,),标准要求,应启用访问,控,控制功能,,依,依据安全策,略,略控制用户,对,对资源的访,问,问;,应根据管理,用,用户的角色,分,分配权限,,实,实现管理用,户,户的权限分,离,离,仅授予,管,管理用户所,需,需的最小权,限,限;,应实,现,现操,作,作系,统,统和,数,数据,库,库系,统,统特,权,权用,户,户的,权,权限,分,分离,;,;,应严,格,格限,制,制默,认,认帐,户,户的,访,访问,权,权限,,,,重,命,命名,系,系统,默,默认,帐,帐户,,,,修,改,改这,些,些帐,户,户的,默,默认,口,口令,;,;,应及,时,时删,除,除多,余,余的,、,、过,期,期的,帐,帐户,,,,避,免,免共,享,享帐,户,户的,存,存在,。,。,应对,重,重要,信,信息,资,资源,设,设置,敏,敏感,标,标记,应依,据,据安,全,全策,略,略严,格,格控,制,制用,户,户对,有,有敏,感,感标,记,记重,要,要信,息,息资,源,源的,操,操作,标准,理,理解,(,1,)应,根,根据,管,管理,用,用户,的,的角,色,色分,配,配权,限,限,,实,实现,系,系统,管,管理,、,、安,全,全管,理,理和,审,审计,管,管理,用,用户,的,的权,限,限分,离,离,,仅,仅授,予,予用,户,户所,需,需的,最,最小,权,权限,;,;,(,2,)强,制,制访,问,问控,制,制机,制,制在,现,现有,的,的系,统,统中,无,无法,实,实现,。,。,安全,审,审计,(,(,G3,),标准,要,要求,审计,范,范围,应,应覆,盖,盖到,服,服务,器,器和,重,重要,客,客户,端,端上,的,的每,个,个操,作,作系,统,统用,户,户和,数,数据,库,库用,户,户;,审计,内,内容,应,应包,括,括重,要,要用,户,户行,为,为、,系,系统,资,资源,的,的异,常,常使,用,用和,重,重要,系,系统,命,命令,的,的使,用,用等,系,系统,内,内重,要,要的,安,安全,相,相关,事,事件,;,;,审计,记,记录,应,应包,括,括事,件,件的,日,日期,、,、时,间,间、,类,类型,、,、主,体,体标,识,识、,客,客体,标,标识,和,和结,果,果等,;,;,应能,够,够根,据,据记,录,录数,据,据进,行,行分,析,析,,并,并生,成,成审,计,计报,表,表;,应保,护,护审,计,计进,程,程,,避,避免,受,受到,未,未预,期,期的,中,中断,;,;,应,保,保,护,护,审,审,计,计,记,记,录,录,,,,,避,避,免,免,受,受,到,到,未,未,预,预,期,期,的,的,删,删,除,除,、,、,修,修,改,改,或,或,覆,覆,盖,盖,等,等,。,。,标,准,准,理,理,解,解,(,1,),采,采,用,用,“,大,集,集,中,中,”,方,式,式,管,管,理,理,的,的,系,系,统,统,,,,,审,审,计,计,范,范,围,围,应,应,覆,覆,盖,盖,到,到,服,服,务,务,器,器,端,端,的,的,每,每,个,个,用,用,户,户,;,;,(,2,),审,审,计,计,内,内,容,容,至,至,少,少,包,包,括,括,:,:,用,用,户,户,的,的,添,添,加,加,和,和,删,删,除,除,、,、,审,审,计,计,功,功,能,能,的,的,启,启,动,动,和,和,关,关,闭,闭,、,、,审,审,计,计,策,策,略,略,的,的,调,调,整,整,、,、,权,权,限,限,变,变,更,更,、,、,系,系,统,统,资,资,源,源,的,的,异,异,常,常,使,使,用,用,、,、,重,重,要,要,的,的,系,系,统,统,操,操,作,作,(,(,如,如,修,修,改,改,文,文,件,件,、,、,目,目,录,录,的,的,访,访,问,问,控,控,制,制,、,、,更,更,改,改,系,系,统,统,或,或,服,服,务,务,的,的,配,配,置,置,文,文,件,件,),),、,、,重,重,要,要,用,用,户,户,(,(,如,如,系,系,统,统,管,管,理,理,员,员,、,、,系,系,统,统,安,安,全,全,员,员,、,、,系,系,统,统,审,审,计,计,员,员,),),的,的,各,各,项,项,操,操,作,作,;,;,(,3,),审,审,计,计,记,记,录,录,应,应,包,包,括,括,事,事,件,件,的,的,日,日,期,期,和,和,时,时,间,间,、,、,触,触,发,发,事,事,件,件,的,的,主,主,体,体,与,与,客,客,体,体,、,、,事,事,件,件,的,的,类,类,型,型,、,、,事,事,件,件,成,成,功,功,或,或,失,失,败,败,、,、,事,事,件,件,的,的,结,结,果,果,等,等,;,;,(,4,),应,应,保,保,护,护,审,审,计,计,记,记,录,录,,,,,应,应,至,至,少,少,保,保,存,存,6,个,月,月,以,以,上,上,,,,,避,避,免,免,受,受,到,到,未,未,预,预,期,期,的,的,删,删,除,除,、,、,修,修,改,改,或,或,覆,覆,盖,盖,等,等,。,。,剩,余,余,信,信,息,息,保,保,护,护,(,(,S3,),标,准,准,要,要,求,求,应,保,保,证,证,操,操,作,作,系,系,统,统,和,和,数,数,据,据,库,库,系,系,统,统,用,用,户,户,的,的,鉴,鉴,别,别,信,信,息,息,所,所,在,在,的,的,存,存,储,储,空,空,间,间,,,,,被,被,释,释,放,放,或,或,再,再,分,分,配,配,给,给,其,其,他,他,用,用,户,户,前,前,得,得,到,到,完,完,全,全,清,清,除,除,,,,,无,无,论,论,这,这,些,些,信,信,息,息,是,是,存,存,放,放,在,在,硬,硬,盘,盘,上,上,还,还,是,是,在,在,内,内,存,存,中,中,;,;,应确保,系,系统内,的,的文件,、,、目录,和,和数据,库,库记录,等,等资源,所,所在的,存,存储空,间,间,被,释,释放或,重,重新分,配,配给其,他,他用户,前,前得到,完,完全清,除,除。,标准理,解,解,(,1,)应保,证,证操作,系,系统和,数,数据库,系,系统用,户,户的鉴,别,别信息,所,所在的,存,存储空,间,间,被,释,释放或,再,再分配,给,给其他,用,用户前,得,得到有,效,效删除,,,,无论,这,这些信,息,息是存,放,放在硬,盘,盘上还,是,是在内,存,存中;,(,2,)当主,机,机转为,其,其他用,途,途、需,要,要维修,或,或废弃,时,时,应,实,实现完,全,全清除,。,。,(,3,)应确,保,保系统,内,内的文,件,件、目,录,录和数,据,据库记,录,录等资,源,源所在,的,的存储,空,空间,,被,被释放,或,或重新,分,分配给,其,其他用,户,户前得,到,到有效,删,删除。,(,4,)当主,机,机转为,其,其他用,途,途、需,要,要维修,或,或废弃,时,时,应,实,实现完,全,全清除,。,。,入侵防,范,范(,G3,),标准要,求,求,应能够,检,检测到,对,对重要,服,服务器,进,进行入,侵,侵的行,为,为,能,够,够记录,入,入侵的,源,源,IP,、攻击,的,的类型,、,、攻击,的,的目的,、,、攻击,的,的时间,,,,并在,发,发生严,重,重入侵,事,事件时,提,提供报,警,警;,应能够,对,对重要,程,程序的,完,完整性,进,进行检,测,测,并,在,在检测,到,到完整,性,性受到,破,破坏后,具,具有恢,复,复的措,施,施;,操作系,统,统应遵,循,循最小,安,安装的,原,原则,,仅,仅安装,需,需要的,组,组件和,应,应用程,序,序,并,通,通过设,置,置升级,服,服务器,等,等方式,保,保持系,统,统补丁,及,及时得,到,到更新,。,。,标准理,解,解,(,1,)针对,主,主机的,入,入侵行,为,为监测,可,可通过,网,网络级,或,或主机,级,级入侵,监,监测系,统,统等方,式,式实现,;,;,(,2,)应能,够,够在程,序,序启动,时,时对重,要,要程序,的,的完整,性,性进行,检,检测,,并,并在检,测,测到完,整,整性受,到,到破坏,后,后具有,恢,恢复的,措,措施;,如,如不能,正,正常恢,复,复,应,停,停止有,关,关服务,,,,并提,供,供报警,;,;,实施前,提,提是确,保,保更新,后,后,对,系,系统和,应,应用的,正,正常使,用,用不会,造,造成影,响,响,非开放式系,统,统可仅更新,必,必要系统补,丁,丁。,恶意代码防,范,范(,G3,),标准要求,应安装防恶,意,意代码软件,,,,并及时更,新,新防恶意代,码,码软件版本,和,和恶意代码,库,库;,主机防恶意,代,代码产品应,具,具有与网络,防,防恶意代码,产,产品不同的,恶,恶意代码库,;,;,应支持防恶,意,意代码的统,一,一管理。,标准理解,(,1,)是否安装,网,网络版的防,恶,恶意代码软,件,件。,资源控制(,A3,),标准要求,应通过设定,终,终端接入方,式,式、网络地,址,址范围等条,件,件限制终端,登,登录;,应根据安全,策,策略设置登,录,录终端的操,作,作超时锁定,;,;,应对重要服,务,务器进行监,视,视,包括监,视,视服务器的,CPU,、硬盘、内,存,存、网络等,资,资源的使用,情,情况;,应限制单个,用,用户对系统,资,资源的最大,或,或最小使用,限,限度;,应能够对系,统,统的服务水,平,平降低到预,先,先规定的最,小,小值进行检,测,测和报警。,标准理解,(,1,)终端通过,交,交互式登录,方,方式进入服,务,务器的,超,时,时锁定时间,应,应设定在,5,分钟以内;,(,2,)应限制单,个,个用户对系,统,统资源(主,要,要是硬盘空,间,间、会话数,量,量)的最大,使,使用限度;,目录(按第,三,三级要求),物理安全,网络安全,主机安全,应用安全,数据安全及,备,备份恢复,安全管理制,度,度,安全管理机,构,构,人员安全管,理,理,系统建设管,理,理,系统运维管,理,理,身份鉴别(,S3,),1,标准要求,应提供专用,的,的登录控制,模,模块对登录,用,用户进行身,份,份标识和鉴,别,别;,应对同一用,户,户采用两种,或,或两种以上,组,组合的鉴别,技,技术实现用,户,户身份鉴别,;,;,应提供用户,身,身份标识唯,一,一和鉴别信,息,息复杂度检,查,查功能,保,证,证应用系统,中,中不存在重,复,复用户身份,标,标识,身份,鉴,鉴别信息不,易,易被冒用;,应提供登录,失,失败处理功,能,能,可采取,结,结束会话、,限,限制非法登,录,录次数和自,动,动退出等措,施,施;,应启用身份,鉴,鉴别、用户,身,身份标识唯,一,一性检查、,用,用户身份鉴,别,别信息复杂,度,度检查以及,登,登录失败处,理,理功能,并,根,根据安全策,略,略配置相关,参,参数。,标准理解,(,1,)应用系统,应,应提供登录,失,失败处理功,能,能,当用户,连,连续五次尝,试,试登录失败,后,后,可采取,结,结束会话和,自,自动退出等,措,措施,防止,用,用户多次反,复,复猜测密码,;,;,(,2,)对开发的,应,应用系统,,在,在口令复杂,度,度模块设计,时,时应设计密,码,码强度等检,测,测机制。,(,3,)对原有系,统,统,应在不,影,影响业务正,常,常运行的前,提,提下,改进,密,密码强度等,检,检测机制。,访问控制(,S3,),1,应提供访问,控,控制功能,,依,依据安全策,略,略控制用户,对,对文件、数,据,据库表等客,体,体的访问;,访问控制的,覆,覆盖范围应,包,包括与资源,访,访问相关的,主,主体、客体,及,及它们之间,的,的操作;,应由授权主,体,体配置访问,控,控制策略,,并,并严格限制,默,默认帐户的,访,访问权限;,标准理解,(,1,)应用系统,应,应具有明确,的,的安全访问,策,策略文档,,表,表明不同类,型,型的用户对,各,各种文件和,数,数据具有访,问,问权限,并,实,实现安全策,略,略中的访问,控,控制功能;,(,2,)应合理设,置,置访问应用,系,系统功能的,授,授权体系,,只,只有权限管,理,理员才能生,成,成、修改、,删,删除用户的,访,访问控制权,限,限;,(,3,)严格限制,系,系统的默认,帐,帐户的访问,权,权限,修改,系,系统初始化,帐,帐户或严格,限,限制其权限,;,;,访问控制(,S3,),1,应授予不同,帐,帐户为完成,各,各自承担任,务,务所需的最,小,小权限,并,在,在它们之间,形,形成相互制,约,约的关系。,应具有对重,要,要信息资源,设,设置敏感标,记,记的功能;,应依据安,全,全策略严,格,格控制用,户,户对有敏,感,感标记重,要,要信息资,源,源的操作,;,;,标准理解,(,1,)应实现,交,交易业务,运,运作与技,术,术支持之,间,间的相互,隔,隔离,运,维,维人员、,业,业务人员,、,、开发人,员,员之间职,责,责不得相,互,互交叉;,(,2,)应实现,前,前台业务,操,操作、中,台,台业务管,理,理以及后,台,台业务支,持,持三者之,间,间的隔离,;,;,安全审计,(,(,G3,),标准要求,应提供覆,盖,盖到每个,用,用户的安,全,全审计功,能,能,对应,用,用系统重,要,要安全事,件,件进行审,计,计;,应保证无,法,法单独中,断,断审计进,程,程,无法,删,删除、修,改,改或覆盖,审,审计记录,;,;,审计记录,的,的内容至,少,少应包括,事,事件的日,期,期、时间,、,、发起者,信,信息、类,型,型、描述,和,和结果等,;,;,应提供对,审,审计记录,数,数据进行,统,统计、查,询,询、分析,及,及生成审,计,计报表的,功,功能。,标准理解,(,1,)应用系,统,统应能够,对,对每个业,务,务用户的,关,关键操作,提,提供记录,,,,例如增,加,加用户、,修,修改用户,权,权限、删,除,除数据、,修,修改数据,等,等操作;,(,2,)审计进,程,程应作为,应,应用系统,整,整体进程,中,中的一部,分,分,并不,能,能单独中,断,断审计进,程,程;,剩余信息,保,保护(,S3,),标准要求,应保证用,户,户鉴别信,息,息所在的,存,存储空间,被,被释放或,再,再分配给,其,其他用户,前,前得到完,全,全清除,,无,无论这些,信,信息是存,放,放在硬盘,上,上还是在,内,内存中;,应,保,保,证,证,系,系,统,统,内,内,的,的,文,文,件,件,、,、,目,目,录,录,和,和,数,数,据,据,库,库,记,记,录,录,等,等,资,资,源,源,所,所,在,在,的,的,存,存,储,储,空,空,间,间,被,被,释,释,放,放,或,或,重,重,新,新,分,分,配,配,给,给,其,其,他,他,用,用,户,户,前,前,得,得,到,到,完,完,全,全,清,清,除,除,。,。,标,准,准,理,理,解,解,(,1,),在,在,会,会,话,话,结,结,束,束,后,后,,,,,应,应,及,及,时,时,清,清,除,除,用,用,户,户,身,身,份,份,认,认,证,证,信,信,息,息,。,。,(,2,),“,用,户,户,鉴,鉴,别,别,信,信,息,息,”,指,用,用,户,户,身,身,份,份,认,认,证,证,信,信,息,息,,,,,一,一,般,般,有,有,帐,帐,户,户,名,名,、,、,密,密,码,码,、,、,cookie,等,;,;,(,3,),“,完,全,全,清,清,除,除,”,指,使,使,用,用,专,专,用,用,的,的,磁,磁,盘,盘,空,空,间,间,擦,擦,写,写,工,工,具,具,和,和,内,内,存,存,释,释,放,放,工,工,具,具,,,,,保,保,证,证,在,在,使,使,用,用,后,后,的,的,信,信,息,息,不,不,被,被,未,未,授,授,权,权,人,人,员,员,获,获,得,得,。,。,通,信,信,完,完,整,整,性,性,(,(,S3,),标,准,准,要,要,求,求,应,采,采,用,用,密,密,码,码,技,技,术,术,保,保,证,证,通,通,信,信,过,过,程,程,中,中,数,数,据,据,的,的,完,完,整,整,性,性,。,。,标,准,准,理,理,解,解,(,1,),是,是,否,否,采,采,用,用,密,密,码,码,技,技,术,术,实,实,现,现,加,加,密,密,传,传,输,输,(,2,),对,对,于,于,部,部,分,分,简,简,单,单,的,的,系,系,统,统,,,,,非,非,正,正,式,式,的,的,加,加,密,密,算,算,法,法,也,也,可,可,以,以,认,认,可,可,。,。,通,信,信,保,保,密,密,性,性,(,(,S3,),标,准,准,要,要,求,求,在,通,通,信,信,双,双,方,方,建,建,立,立,连,连,接,接,之,之,前,前,,,,,应,应,用,用,系,系,统,统,应,应,利,利,用,用,密,密,码,码,技,技,术,术,进,进,行,行,会,会,话,话,初,初,始,始,化,化,验,验,证,证,;,;,应对通,信,信过程,中,中的整,个,个报文,或,或会话,过,过程进,行,行加密,。,。,标准理,解,解,(,1,)与外,部,部组织,机,机构建,立,立通信,连,连接之,前,前,应,用,用系统,应,应利用,密,密码技,术,术进行,会,会话初,始,始化验,证,证;,(,2,)远程,通,通信时,,,,应对,整,整个报,文,文或会,话,话过程,进,进行加,密,密。,抗抵赖,(,(,G3,),标准要,求,求,应具有,在,在请求,的,的情况,下,下为数,据,据原发,者,者或接,收,收者提,供,供数据,原,原发证,据,据的功,能,能;,应具有,在,在请求,的,的情况,下,下为数,据,据原发,者,者或接,收,收者提,供,供数据,接,接收证,据,据的功,能,能。,标准理,解,解,(,1,)应采,用,用数字,签,签名技,术,术实现,发,发起者,操,操作抗,抵,抵赖的,功,功能;,(,2,)应采,用,用数字,签,签名技,术,术实现,接,接收者,操,操作抗,抵,抵赖的,功,功能;,软件容,错,错(,A3,),标准要,求,求,应提供,数,数据有,效,效性检,验,验功能,,,,保证,通,通过人,机,机接口,输,输入或,通,通过通,信,信接口,输,输入的,数,数据格,式,式或长,度,度符合,系,系统设,定,定要求,;,;,应提供,自,自动保,护,护功能,,,,当故,障,障发生,时,时自动,保,保护当,前,前所有,状,状态,,保,保证系,统,统能够,进,进行恢,复,复。,标准理,解,解,(,1,)应用,系,系统应,该,该具有,发,发生故,障,障后的,自,自我恢,复,复功能,,,,并保,持,持最后,一,一次成,功,功操作,的,的信息,。,。,(,2,)有效,性,性检测,内,内容至,少,少包括,输,输入数,据,据格式,、,、数值,大,大小、,数,数据类,型,型、数,据,据长度,等,等;,资源控,制,制(,A3,),标准要,求,求,当应用,系,系统的,通,通信双,方,方中的,一,一方在,一,一段时,间,间内未,作,作任何,响,响应,,另,另一方,应,应能够,自,自动结,束,束会话,;,;,应能够,对,对系统,的,的最大,并,并发会,话,话连接,数,数进行,限,限制;,应能够,对,对单个,帐,帐户的,多,多重并,发,发会话,进,进行限,制,制;,应能够,对,对一个,时,时间段,内,内可能,的,的并发,会,会话连,接,接数进,行,行限制,;,;,应能够,对,对一个,访,访问帐,户,户或一,个,个请求,进,进程占,用,用的资,源,源分配,最,最大限,额,额和最,小,小限额,;,;,应能,够,够对,系,系统,服,服务,水,水平,降,降低,到,到预,先,先规,定,定的,最,最小,值,值进,行,行检,测,测和,报,报警,;,;,应提,供,供服,务,务优,先,先级,设,设定,功,功能,,,,并,在,在安,装,装后,根,根据,安,安全,策,策略,设,设定,访,访问,帐,帐户,或,或请,求,求进,程,程的,优,优先,级,级,,根,根据,优,优先,级,级分,配,配系,统,统资,源,源。,标准,理,理解,(,1,)用,户,户在,登,登录,应,应用,系,系统,后,后在,规,规定,的,的时,间,间内,未,未执,行,行任,何,何操,作,作,,则,则自,动,动退,出,出系,统,统,,并,并提,示,示用,户,户,“,操作,超,超时,”,;,(,2,)系,统,统上,线,线前,,,,应,测,测试,并,并设,置,置应,用,用系,统,统的,最,最大,并,并发,会,会话,连,连接,数,数。,(,3,)不,允,允许,单,单个,帐,帐户,同,同时,登,登录,。,。,(,4,)可,以,以不,限,限定,最,最小,限,限额,;,;
展开阅读全文