等保技術要求

1、技術測評要求S1A1G1等級保護一級技術類測評限制點S1A1G1類別序號測評內容測評方法結果記錄符合情況YNO物理物理 訪問 限制1.機房出入應安排專人負責,限制、鑒別和記錄 進入的人員.訪談,檢查.物理平安負責人,機房值守人員,機房,機房平安治理制度, 值守記錄,進入機房的 登記記 錄,來訪人員進入機房的審批記錄.防盜 竊和 防破 壞2.應將主要設備放置在機房內.訪談,檢查.物理平安負責人,機房維護人員, 資產(chǎn)治理員,機房設施,設備管 理制度文檔,通信線路布線文檔,報警設施的安裝測試/驗收報 告.3.應將設備或主要部件進行固定,并設置明顯的 不易除去的標記.防雷 擊4.機房建筑應設置避雷裝置

2、.訪談,檢查.物理平安負責人,機房維護人員, 機房設施避雷裝置,交流電源地 線,建筑防雷設 計/驗收文檔.防火5.機房應設置火火設備.訪談,檢查.物理平安負責人,機房值守人員, 機房設施,機房平安治理制度,機等級保護一級技術類測評限制點S1A1G1類別序號測評內容測評方法結果記錄符合情況YNO房防火設計/驗收 文檔,火災自 動報警系統(tǒng)設計/驗收文檔.防水 和防 潮6.應對穿過機房墻壁和樓板的水管增加必要的保 護舉措；訪談,檢查.物理平安負責人,機房維護人員, 機房7.應采取舉措預防雨水通過機房窗戶、屋頂和墻 壁滲透.防靜 電8.主要設備應采用必要的接地防靜電舉措.訪談,椽查.物理平安負責人,機

3、房維護人員, 機房設施,防靜電設計/驗收文檔.溫濕 度控 制9.應設置溫、濕度自動調節(jié)設施,使機房溫、濕度 的變化在設備運行所允許的范圍之內.訪談,檢查.物理平安負責人,機房維護人員, 機房設施,溫濕度限制設計/驗收文 檔,溫濕度記錄、運行記錄和維護 記錄.電力 供給10.應在機房供電線路上配置穩(wěn)壓器和過電壓防護 設備.訪談,檢查.物理平安負責人,機房維護人員, 機房設施供電線路,穩(wěn)壓器,過電 壓防護設備,短期備用電源設備, 電力供給平安設計/驗收文檔,檢查 和維護記錄.等級保護一級技術類測評限制點S1A1G1類別序號測評內容測評方法結果記錄符合情況YNO網(wǎng)絡結構11.應保證主要網(wǎng)絡設備的業(yè)務

4、處理水平具備冗余 空間,滿足業(yè)務頂峰期需要.訪談,檢查,測試.網(wǎng)絡治理員,邊界和網(wǎng)絡設備,網(wǎng) 絡拓撲圖,網(wǎng)絡設計/驗收文檔.12.應保證網(wǎng)絡各個局部的帶寬滿足業(yè)務頂峰期需 要.13.應繪制與當前運行情況相符的網(wǎng)絡拓撲結構 圖.14.應根據(jù)各部門的工作職能、重要性和所涉及信 息的重要程度等因素,劃分不向的子網(wǎng)或網(wǎng)段, 并根據(jù)方便治理和限制的原那么為各子網(wǎng)、網(wǎng)段 分配地址段.訪問限制15.應在網(wǎng)絡邊界部署訪問限制設備,啟用訪問控 制功能.訪談,檢查,測試.平安治理員,邊界網(wǎng)絡設備.16.應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允 許/拒絕訪問的水平,限制粒度為端口級.17.應限制具有撥號訪問權限的用

5、戶數(shù)量.W18.應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流 量、用戶行為等進行日志記錄.訪談,檢查,測試.審計員,邊界和網(wǎng)絡設備.19.審計記錄應包括：事件的日期和時間、用戶、 事件類型、事件是否成功及其他與審計相關的 信息.邊界 完整20.應能夠對內部網(wǎng)絡中出現(xiàn)的內部用戶未通過準 許私自聯(lián)到外部網(wǎng)絡的行為進行檢查.訪談,檢查,測試.平安治理員,邊界完整性檢查設備.等級保護一級技術類測評限制點S1A1G1類別序號測評內容測評方法結果記錄符合情況YNO性檢 查入侵 防范21.應在網(wǎng)絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕效勞攻擊、緩 沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊

6、 等.訪談,檢查,測試.平安治理員,網(wǎng)絡入侵防范設備.網(wǎng)絡 設備 防護22.應對登錄網(wǎng)絡設備的用戶進行身份鑒別.訪談,檢查,測試.網(wǎng)絡治理員,邊界和網(wǎng)絡設備.23.應對網(wǎng)絡設備的治理員登錄地址進行限制.24.網(wǎng)絡設備用戶的標識應唯一.25.身份鑒別信息應具后不易被冒用的特點,口令 應有復雜度要求并定期更換.26.應具有登錄失敗處理功能,可米取結束會話、 限制非法登錄次數(shù)和當網(wǎng)絡登錄連接超時自動 退出等舉措.27.當對網(wǎng)絡設備進行遠程治理時,應采取必要措 施預防鑒別信息在網(wǎng)絡傳輸過程中被竊聽.主機身份 鑒別28.應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身 份標識和鑒別.訪談,檢查,測試.系統(tǒng)治理員

7、,數(shù)據(jù)庫治理員,效勞 器操作系統(tǒng)、數(shù)據(jù)庫,效勞器操作 系統(tǒng)文檔,數(shù)據(jù)庫治理系統(tǒng)文檔.29.操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)治理用戶身份標識應具 后不易被冒用的特點,口令應用復雜度要求并 定期更換.30.應啟用登錄失敗處理功能,可米取結束會話、等級保護一級技術類測評限制點S1A1G1類別序號測評內容測評方法結果記錄符合情況YNO限制非法登錄次數(shù)和自動退出等舉措.31.當對效勞器進行遠程治理時, 應采取必要舉措, 預防鑒別信息在網(wǎng)絡傳輸過程中被竊聽.32.應為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不 同的用戶名,保證用戶名具有唯一性.訪問 限制33.應啟用訪問限制功能,依據(jù)平安策略限制用戶 對資源的訪問.訪談,檢

8、查.效勞器操作系統(tǒng)、數(shù)據(jù)庫,效勞器 操作系統(tǒng)文檔,數(shù)據(jù)庫治理系統(tǒng)文 檔.34.應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶的權限 別離.35.應嚴格限制默認帳戶的訪問權限,重命名系統(tǒng) 默認帳戶,修改這些帳戶的默認口令.36.應及時刪除多余的、過期的帳戶,預防共享帳 戶的存在.W37.審計范圍應覆蓋到效勞器和重要客戶端上的每 個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶.訪談,檢查,測試.平安審計員,效勞器操作系統(tǒng)、數(shù) 據(jù)庫和重要終端操作系統(tǒng).38.審計記錄應包括事件的日期、時間、類型、主 體標識、客體標識和結果等.39.應保護審計記錄,預防受到未預期的刪除、修 改或覆蓋等.入侵 防范40.操作系統(tǒng)應遵循最小安裝的原那么,

9、僅安裝需要 的組件和應用程序,并通過設置升級效勞器等訪談,檢查.系統(tǒng)治理員,效勞器操作系統(tǒng).等級保護一級技術類測評限制點S1A1G1類別序號測評內容測評方法結果記錄符合情況YNO方式保持系統(tǒng)補.及時得到更新.惡意 代碼 防范41.應安裝防惡意代碼軟件,并及時更新防惡意代 碼軟件版本和惡意代碼庫.訪談,檢查.平安治理員,效勞器,終端,網(wǎng)絡 防惡意代碼產(chǎn)品.42.應支持防惡意代碼的統(tǒng)一治理.資源 限制43.應通過設定終端接入方式、網(wǎng)絡地址范圍等條 件限制終端登錄.訪談,檢查.效勞器操作系統(tǒng).44.應根據(jù)平安策略設置登錄終端的操作超時鎖 定.45.應限制單個用戶對系統(tǒng)資源的最大或最小使用 限度.應用

10、身份 鑒別46.應提供專用的登錄限制模塊對登錄用戶進行身 份標識和鑒別.訪談,檢查,測試.應用系統(tǒng)治理員,應用系統(tǒng),設計/ 驗收文檔,操作規(guī)程.47.應提供用戶身份標識唯一和鑒別信息復雜度檢 查功能,保證應用系統(tǒng)中不存在重復用戶身份 標識,身份鑒別信息不易被冒用.48.應提供登錄失敗處理功能,可米取結束會話、 限制非法登錄次數(shù)和自動退出等舉措.49.應啟用身份鑒別、用戶身份標識唯一性檢查、 用戶身份鑒別信息復雜度檢查以及登錄失敗處 理功能,并根據(jù)平安策略配置相關參數(shù).訪問 限制50.應提供訪問限制功能,依據(jù)平安策略限制用戶 對文件、數(shù)據(jù)庫表等客體的訪問.訪談,檢查,測試.應用系統(tǒng)治理員,應用系

11、統(tǒng).等級保護一級技術類測評限制點S1A1G1類別序號測評內容測評方法結果記錄符合情況YNO51.訪問限制的覆蓋范圍應包括與資源訪問相關的 主體、客體及它們之間的操作.52.應由授權主體配置訪問限制策略,并嚴格限制 默認帳戶的訪問權限.53.應授予不向帳戶為完成各自承當任務所需的最 小權限,并在它們之間形成相互制約的關系.5 W54.應提供覆蓋到每個用戶的平安審計功能,對應 用系統(tǒng)重要平安事件進行審計.訪談,檢查,測試. 審計員,應用系統(tǒng).55.應保證無法單獨中斷審計進程,無法刪除、修 改或覆蓋審計記錄.56.審計記錄的內容至少應包括事件的日期、時間、發(fā)起者信息、類型、描述和結果等.通信 完整

12、性57.應采用密碼技術保證通信過程中數(shù)據(jù)的完整 性.訪談,檢查,測試.平安治理員,應用系統(tǒng),設計/驗收 文檔.通信 保密 性58.在通信雙方建立連接之前,應用系統(tǒng)應利用密 碼技術進行會話初始化驗證.訪談,檢查,測試.平安治理員,應用系統(tǒng),相關證實 材料證書.軟件 容錯59.應提供數(shù)據(jù)有效性檢驗功能,保證通過人機接 口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度 符合系統(tǒng)設定要求.訪談,檢查,測試.應用系統(tǒng)治理員,應用系統(tǒng).資源60.當應用系統(tǒng)的通信雙方中的一方在一段時間內訪談,檢查,測試.等級保護一級技術類測評限制點S1A1G1類別序號測評內容測評方法結果記錄符合情況YNO限制未作任何響應,另,方應能夠自動結束公話.應用系統(tǒng)治理員,應用系統(tǒng).61.應能夠對系統(tǒng)的最大并發(fā)會話連接數(shù)進行限 制.62.應能夠對單個帳戶的多重并發(fā)會話進行限制.據(jù)安 全及 備份 恢復1 1數(shù)據(jù) 完整 性63.應能夠檢測到鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸 過程中完整性受到破壞.訪談,檢查.系統(tǒng)治理員,網(wǎng)絡治理員,平安管 理員,數(shù)據(jù)庫治理員,應用系統(tǒng),設計/驗收文檔,相關證實性材料 如證書、檢驗報告等.數(shù)據(jù) 保密 性64.應采用加密或其他保護舉措實現(xiàn)鑒別信息的存