等級保護(hù)與網(wǎng)絡(luò)安全技術(shù)基本要求

1、等級保護(hù)與網(wǎng)絡(luò)等級保護(hù)與網(wǎng)絡(luò)安全安全技術(shù)基本要求技術(shù)基本要求等級保護(hù) 信息安全等級保護(hù)是指： 對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù)； 對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理； 對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置?；靖拍钭饔茫禾岢鲂畔踩ぷ鞯乃悸穭澏ㄐ畔⑾到y(tǒng)保護(hù)的基線發(fā)現(xiàn)信息系統(tǒng)的問題和差距明確信息系統(tǒng)安全保護(hù)的方向提升信息系統(tǒng)的安全保護(hù)能力l 公安部是等級保護(hù)工作的主管部門，具有強(qiáng)制性。l 等級保護(hù)以信息系統(tǒng)為對象，按照重要性和遭受損壞后的危害性，確定級別。l 等級保護(hù)概念：信息系統(tǒng)分等級實(shí)行安全

2、保護(hù)；對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理；對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。l 合規(guī)性：-按照文件和標(biāo)準(zhǔn)開展等級保護(hù)工作-按照基本要求判斷信息系統(tǒng)的是否達(dá)到保障要求。l 等級保護(hù)是一個(gè)持續(xù)改進(jìn)的事物：-方法論-保護(hù)要求工作流程等級劃分等級保護(hù) 信息系統(tǒng)的安全保護(hù)等級是信息系統(tǒng)的客觀屬性，不以已采取或?qū)⒉扇∈裁窗踩Ｗo(hù)措施為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對國家安全、社會穩(wěn)定、人民群眾合法權(quán)益的危害程度為依據(jù)，確定信息系統(tǒng)的安全保護(hù)等級。信息網(wǎng)絡(luò)的安全等級可以參照在其上運(yùn)行的信息系統(tǒng)的等級、網(wǎng)絡(luò)的服務(wù)范圍和自身的安全需求確定適當(dāng)?shù)谋Ｗo(hù)等級，不以在其上運(yùn)行的

3、信息系統(tǒng)的最高等級或最低等級為標(biāo)準(zhǔn)，即不就高、不就低。 技術(shù)要求物理安全技術(shù)基本要求物理安全技術(shù)基本要求網(wǎng)絡(luò)安全技術(shù)基本要求網(wǎng)絡(luò)安全技術(shù)基本要求主機(jī)安全技術(shù)基本要求主機(jī)安全技術(shù)基本要求應(yīng)用軟件系統(tǒng)安全技術(shù)基本要求應(yīng)用軟件系統(tǒng)安全技術(shù)基本要求數(shù)據(jù)保護(hù)安全技術(shù)基本要求數(shù)據(jù)保護(hù)安全技術(shù)基本要求內(nèi)容提綱物理安全威脅？ 機(jī)房應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；具有符合當(dāng)?shù)乜拐鹨蟮南嚓P(guān)證明；機(jī)房外墻壁應(yīng)沒有對外的窗戶。否則，窗戶應(yīng)做密封、防水處理； 機(jī)房應(yīng)選在外界電磁干擾小的地方。物理安全物理安全機(jī)房位置選擇機(jī)房位置選擇 1當(dāng)電子信息設(shè)備已確定規(guī)格時(shí)，可按下式計(jì)算：A = KS 式中 A 電子信

4、息系統(tǒng)主機(jī)房使用面積（） ; K 系數(shù)，取值為57 ; S 電子設(shè)備的投影面積（）。 2當(dāng)電子信息設(shè)備尚未確定規(guī)格時(shí)，可按下式計(jì)算： A = KN K 單臺設(shè)備占用面積，可取3.55.5(/臺）; N計(jì)算機(jī)主機(jī)房內(nèi)所有設(shè)備的總臺數(shù)。 輔助區(qū)的面積宜為主機(jī)房面積的0.21 倍。 用戶工作室可按每人3.54計(jì)算。硬件及軟件人員辦公室等有人長期工作的房間，可按每人57計(jì)算。數(shù)據(jù)中心規(guī)劃面積計(jì)算 機(jī)房出/入應(yīng)有專人負(fù)責(zé)管理； 沒有配置電子門禁系統(tǒng)的機(jī)房，應(yīng)有專人值守，對進(jìn)/出機(jī)房的人員進(jìn)行鑒別、控制和記錄；配置電子門禁系統(tǒng)的機(jī)房，應(yīng)保存門禁系統(tǒng)的日志記錄； 采用監(jiān)控設(shè)備將機(jī)房人員進(jìn)出情況傳輸?shù)街蛋帱c(diǎn)，

5、監(jiān)控文本記錄至少應(yīng)保留3個(gè)月，監(jiān)控圖資料至少應(yīng)保留3個(gè)月； 進(jìn)入機(jī)房的外部來訪人員應(yīng)經(jīng)過申請和審批，對其進(jìn)出時(shí)間、工作內(nèi)容及帶進(jìn)帶出的設(shè)備進(jìn)行記錄，并有專人陪同，且應(yīng)將其活動限定在工作內(nèi)容所涉及的范圍之內(nèi)。物理安全物理安全 機(jī)房物理訪問控機(jī)房物理訪問控制制 機(jī)房建筑應(yīng)設(shè)置避雷裝置，防雷擊措施至少應(yīng)包括避雷針或避雷器等； 防雷裝置應(yīng)經(jīng)國家防雷檢測部門檢測合格，有相關(guān)合格證明； 機(jī)房應(yīng)設(shè)置交流電源地線。物理安全物理安全 機(jī)房防雷擊機(jī)房防雷擊 機(jī)房設(shè)置的消防設(shè)施應(yīng)達(dá)到GB 50174-2008中B類電子信息系統(tǒng)機(jī)房的消防要求； 機(jī)房位于其它建筑物內(nèi)時(shí)，在主機(jī)房和其他部位之間應(yīng)設(shè)置耐火極限不低于2h的

6、隔墻，隔墻上的門應(yīng)采用甲級防火門。 面積大于100的主機(jī)房，安全出口應(yīng)不少于兩個(gè)，且應(yīng)分散布置。面積不大于100的主機(jī)房，可設(shè)置一個(gè)安全出口，并可通過其他相臨房間的門進(jìn)行疏散。門應(yīng)向疏散方向開啟，且應(yīng)自動關(guān)閉，并應(yīng)保證在任何情況下都能從機(jī)房內(nèi)開啟。走廊、樓梯間應(yīng)暢通，并應(yīng)有明顯的疏散指示標(biāo)志。 主機(jī)房的頂棚、壁板（包括夾芯材料）和隔斷應(yīng)為不燃燒體，且不得采用有機(jī)復(fù)合材料。 機(jī)房應(yīng)設(shè)置火災(zāi)自動報(bào)警系統(tǒng)，并向當(dāng)?shù)毓蚕啦块T備案。物理安全物理安全機(jī)房防火機(jī)房防火 對穿過機(jī)房墻壁和樓板的水管應(yīng)有必要的保護(hù)措施； 應(yīng)有防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透的措施； 與機(jī)房設(shè)備無關(guān)的水管不得穿過機(jī)房屋頂和

7、活動地板下；機(jī)房屋頂和活動地板下鋪有水管的，應(yīng)采取有效防護(hù)措施； 應(yīng)有防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水轉(zhuǎn)移與滲透的措施。物理安全物理安全 機(jī)房防水和防潮機(jī)房防水和防潮 機(jī)房關(guān)鍵設(shè)備應(yīng)有接地防靜電措施。 主機(jī)房和輔助區(qū)的絕緣體的靜電電位不應(yīng)大于1KV。物理安全物理安全 機(jī)房防靜電機(jī)房防靜電 機(jī)房應(yīng)設(shè)置必要的溫、濕度監(jiān)測設(shè)施，及時(shí)了解溫、濕度的變化情況； 機(jī)房應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)裝置，使機(jī)房溫、濕度控制在GB50174-2008 附錄A對B級機(jī)房所要求的以下范圍： 機(jī)房溫度：開機(jī)時(shí)應(yīng)控制在22-24，停機(jī)時(shí)應(yīng)控制在5-35； 機(jī)房相對濕度：開機(jī)應(yīng)控制在40%-55%，停機(jī)時(shí)應(yīng)控制在40%-70%。

8、物理安全物理安全 機(jī)房溫濕度控機(jī)房溫濕度控制制 應(yīng)設(shè)置單獨(dú)的供電線路，并配置穩(wěn)壓裝置和過壓、過流防護(hù)裝置及應(yīng)急照明裝置； 應(yīng)提供短期備用電力供應(yīng)（如UPS），以滿足系統(tǒng)設(shè)備在外部斷電情況下短期的供電需求；短期備用電力的供電時(shí)間應(yīng)不少于從正常供電系統(tǒng)斷電到正常供電系統(tǒng)或備用供電系統(tǒng)重新供電時(shí)間的2倍；物理安全物理安全 機(jī)房供配電機(jī)房供配電 電源線和通信線纜應(yīng)隔離鋪設(shè)（比如，鋪設(shè)在不同電源線和通信線纜應(yīng)隔離鋪設(shè)（比如，鋪設(shè)在不同的橋架或管道），避免互相干擾。的橋架或管道），避免互相干擾。物理安全物理安全 機(jī)房電磁防護(hù)機(jī)房電磁防護(hù) 主要設(shè)備應(yīng)放置在機(jī)房內(nèi)； 設(shè)備和主要部件應(yīng)安裝、固定在機(jī)柜內(nèi)或機(jī)架上

9、； 主要設(shè)備和機(jī)柜、機(jī)架等應(yīng)有明顯且不易除去的標(biāo)識，如粘貼標(biāo)簽或銘牌； 通信線纜應(yīng)鋪設(shè)在隱蔽處，例如可鋪設(shè)在地下、管通信線纜應(yīng)鋪設(shè)在隱蔽處，例如可鋪設(shè)在地下、管道或線槽中，并采取必要的防盜、防毀措施。道或線槽中，并采取必要的防盜、防毀措施。物理安全物理安全 設(shè)備安全防護(hù)設(shè)備安全防護(hù) 存儲業(yè)務(wù)數(shù)據(jù)的各類介質(zhì)，如紙介質(zhì)、磁介質(zhì)、半導(dǎo)體介質(zhì)和光介質(zhì)等，應(yīng)有較嚴(yán)格的防丟失、被毀較嚴(yán)格的防丟失、被毀和受損措施和受損措施； 存儲業(yè)務(wù)數(shù)據(jù)的移動存儲介質(zhì)，應(yīng)有較嚴(yán)格的防惡較嚴(yán)格的防惡意代碼感染措施意代碼感染措施； 備份業(yè)務(wù)數(shù)據(jù)的備份存儲介質(zhì)，應(yīng)存放在機(jī)房以外備份業(yè)務(wù)數(shù)據(jù)的備份存儲介質(zhì)，應(yīng)存放在機(jī)房以外的專門場

10、所，并有較嚴(yán)格的防丟失、被毀和受損措的專門場所，并有較嚴(yán)格的防丟失、被毀和受損措施。施。物理安全物理安全 存儲介質(zhì)安全防存儲介質(zhì)安全防護(hù)護(hù)物理安全技術(shù)基本要求物理安全技術(shù)基本要求網(wǎng)絡(luò)安全技術(shù)基本要求網(wǎng)絡(luò)安全技術(shù)基本要求主機(jī)安全技術(shù)基本要求主機(jī)安全技術(shù)基本要求應(yīng)用軟件系統(tǒng)安全技術(shù)基本要求應(yīng)用軟件系統(tǒng)安全技術(shù)基本要求數(shù)據(jù)保護(hù)安全技術(shù)基本要求數(shù)據(jù)保護(hù)安全技術(shù)基本要求內(nèi)容提綱？網(wǎng)絡(luò)安全 關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力應(yīng)具備冗余空間（至少為歷史峰值的3倍），滿足業(yè)務(wù)高峰期需要； 保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期需要； 繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖； 根據(jù)網(wǎng)絡(luò)所涉及的*業(yè)務(wù)部門的工作職能、

11、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。網(wǎng)絡(luò)網(wǎng)絡(luò)安全安全 網(wǎng)絡(luò)結(jié)構(gòu)安全網(wǎng)絡(luò)結(jié)構(gòu)安全 在網(wǎng)絡(luò)節(jié)點(diǎn)和邊界設(shè)置訪問控制機(jī)制，按確定的網(wǎng)絡(luò)訪問控制策略控制用戶對網(wǎng)絡(luò)的訪問； 網(wǎng)絡(luò)訪問控制策略應(yīng)包括： 根據(jù)訪問控制列表對源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，允許/拒絕數(shù)據(jù)包出入； 通過訪問控制列表對系統(tǒng)資源實(shí)現(xiàn)允許或拒絕用戶訪問，控制粒度為用戶級和系統(tǒng)資源級； 根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為用戶級和網(wǎng)段級； 網(wǎng)絡(luò)訪問控制應(yīng)設(shè)定過濾規(guī)則集，并涵蓋所有出入邊界數(shù)據(jù)包的處理方式，對于沒有明確

12、定義的數(shù)據(jù)包，應(yīng)缺省拒絕； 按用戶和系統(tǒng)之間的允許訪問規(guī)則，允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問，控制粒度為用戶級和系統(tǒng)資源級； 應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量。網(wǎng)絡(luò)網(wǎng)絡(luò)安全安全 網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)訪問控制 在網(wǎng)絡(luò)節(jié)點(diǎn)和邊界設(shè)置安全審計(jì)； 審計(jì)內(nèi)容包括網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、用戶行為等安全相關(guān)事件； 審計(jì)記錄包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功等； 提供按事件進(jìn)行安全審計(jì)分類、安全審計(jì)事件選擇，以及進(jìn)行安全審計(jì)查閱、安全審計(jì)分析并生成審計(jì)報(bào)表等功能； 提供安全審計(jì)事件報(bào)警、安全審計(jì)記錄存儲與保護(hù)等功能；審計(jì)記錄應(yīng)至少保存6個(gè)月； 在安全審計(jì)存儲區(qū)記滿時(shí)，應(yīng)采取相應(yīng)的防止安全審計(jì)數(shù)據(jù)丟失

13、的措施； 為安全審計(jì)機(jī)制集中控制和審計(jì)數(shù)據(jù)的匯集提供接口。網(wǎng)絡(luò)網(wǎng)絡(luò)安全安全 網(wǎng)絡(luò)安全審計(jì)網(wǎng)絡(luò)安全審計(jì) 能夠?qū)?nèi)部網(wǎng)絡(luò)用戶聯(lián)接到外部網(wǎng)絡(luò)的行為（比如，網(wǎng)絡(luò)用戶終端采用雙網(wǎng)卡跨接外部網(wǎng)絡(luò)，或采用電話撥號、ADSL撥號、手機(jī)、無線上網(wǎng)卡等無線撥號方式連接其他外部網(wǎng)絡(luò)）進(jìn)行檢查。網(wǎng)絡(luò)網(wǎng)絡(luò)安全安全 邊界完整性保邊界完整性保護(hù)護(hù)對網(wǎng)絡(luò)設(shè)備的管理員、審計(jì)員等進(jìn)行身份標(biāo)識、身份鑒別，并對登錄地址進(jìn)行限制；身份標(biāo)識：在網(wǎng)絡(luò)用戶注冊到設(shè)備時(shí)進(jìn)行，應(yīng)對注冊信息的完整性及其在系統(tǒng)整個(gè)生存周期的唯一性進(jìn)行保護(hù)；身份鑒別：在網(wǎng)絡(luò)用戶登錄到設(shè)備時(shí)進(jìn)行，采用強(qiáng)化管理的口令或具有相應(yīng)安全強(qiáng)度的其他機(jī)制，并對鑒別所使用的鑒別信息

14、的保密性和完整性進(jìn)行保護(hù)；應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和網(wǎng)絡(luò)登錄連接超時(shí)自動退出等措施； 強(qiáng)化管理口令的具體要求如下：采用數(shù)字、字母、符號的無規(guī)律混排方式，口令的長度至少應(yīng)為8位，并且每季度至少更換1次，更新的口令至少5次內(nèi)不能重復(fù)；如果設(shè)備口令不支持上述復(fù)雜度要求，應(yīng)使用所支持的最長長度，并適當(dāng)縮小更換周期；也可以使用動態(tài)密碼卡等一次性口令認(rèn)證方式。應(yīng)刪除默認(rèn)用戶或修改默認(rèn)用戶的口令，系統(tǒng)無法實(shí)現(xiàn)的除外；對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊取。網(wǎng)絡(luò)網(wǎng)絡(luò)安全安全 網(wǎng)絡(luò)設(shè)備登錄控網(wǎng)絡(luò)設(shè)備登錄控制制 提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線路的硬件備

15、份；當(dāng)相關(guān)設(shè)備或線路發(fā)生故障時(shí)，用備份設(shè)備或線路替換故障設(shè)備或線路； 主備通信線路應(yīng)采用不同運(yùn)營商的設(shè)備；當(dāng)相關(guān)設(shè)備或線路發(fā)生故障時(shí)進(jìn)行主備切換，支持*業(yè)務(wù)繼續(xù)運(yùn)行。網(wǎng)絡(luò)網(wǎng)絡(luò)安全安全 網(wǎng)絡(luò)備份與恢復(fù)網(wǎng)絡(luò)備份與恢復(fù)物理安全技術(shù)基本要求物理安全技術(shù)基本要求網(wǎng)絡(luò)安全技術(shù)基本要求網(wǎng)絡(luò)安全技術(shù)基本要求主機(jī)安全技術(shù)基本要求主機(jī)安全技術(shù)基本要求應(yīng)用軟件系統(tǒng)安全技術(shù)基本要求應(yīng)用軟件系統(tǒng)安全技術(shù)基本要求數(shù)據(jù)保護(hù)安全技術(shù)基本要求數(shù)據(jù)保護(hù)安全技術(shù)基本要求主機(jī)安全 對登錄到操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的一般用戶和系統(tǒng)用戶進(jìn)行標(biāo)識和鑒別； 用戶標(biāo)識：在每一個(gè)用戶注冊到系統(tǒng)時(shí)，采用用戶名和用戶標(biāo)識符進(jìn)行標(biāo)識，并對標(biāo)識信息在系

16、統(tǒng)整個(gè)生存周期的唯一性和完整性進(jìn)行保護(hù)； 用戶鑒別：在用戶登錄系統(tǒng)時(shí)，采用強(qiáng)化管理的口令或具有相應(yīng)安全強(qiáng)度的其他機(jī)制進(jìn)行鑒別，并對鑒別所使用的數(shù)據(jù)信息的保密性和完整性進(jìn)行保護(hù)；應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和登錄連接超時(shí)自動退出等措施；強(qiáng)化管理口令的具體要求如下： 采用數(shù)字、字母、符號的無規(guī)律混排方式； 口令的長度至少為8位，并且每季度至少更換1次，更新的口令至少5次內(nèi)不能重復(fù)； 如果系統(tǒng)長度不支持上述口令復(fù)雜度要求，應(yīng)使用所支持的最長長度并適當(dāng)縮小更換周期；也可以使用動態(tài)密碼卡等一次性口令認(rèn)證方式。 重新命名系統(tǒng)默認(rèn)賬戶，修改這些賬戶的默認(rèn)口令，系統(tǒng)無法實(shí)現(xiàn)的除外。

17、主機(jī)安全主機(jī)安全用戶身份鑒別用戶身份鑒別 對主機(jī)操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)設(shè)置自主訪問控制； 按確定的自主訪問控制策略設(shè)計(jì)訪問控制功能，實(shí)現(xiàn)用戶對其所創(chuàng)建客體訪問權(quán)限的自主控制； 訪問控制主體的粒度應(yīng)為用戶級，客體的粒度應(yīng)為文件級和數(shù)據(jù)庫表級； 按授權(quán)規(guī)則和授權(quán)轉(zhuǎn)移規(guī)則，由用戶確定所屬客體的訪問權(quán)限和權(quán)限轉(zhuǎn)移； 限制默認(rèn)賬戶的訪問權(quán)限，系統(tǒng)無法實(shí)現(xiàn)的除外。主機(jī)安全主機(jī)安全 自主訪問控制自主訪問控制 在主機(jī)操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)設(shè)置安全審計(jì)； 審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系的重要安全相關(guān)事件。例如：用戶的添加和刪除，審計(jì)功能的啟動和關(guān)閉，審計(jì)策略的調(diào)整、權(quán)

18、限變更，重要的系統(tǒng)操作（如用戶登錄、退出）等； 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶名、事件類型、事件是否成功等； 提供按事件進(jìn)行安全審計(jì)分類、安全審計(jì)事件選擇，以及進(jìn)行安全審計(jì)查閱并生成安全審計(jì)報(bào)表等功能； 提供安全審計(jì)事件報(bào)警、安全審計(jì)記錄存儲與保護(hù)等功能；審計(jì)記錄應(yīng)至少保存6個(gè)月； 在安全審計(jì)存儲區(qū)記滿時(shí)，應(yīng)采取相應(yīng)的防止安全審計(jì)數(shù)據(jù)丟失的措施； 為安全審計(jì)機(jī)制集中控制和審計(jì)數(shù)據(jù)的匯集提供接口。主機(jī)安全主機(jī)安全 安全審計(jì)安全審計(jì) 遵循最小安裝的原則，對操作系統(tǒng)僅安裝需要的組件和實(shí)用程序； 通過設(shè)置升級服務(wù)器等方式，持續(xù)跟蹤廠商提供的系統(tǒng)升級更新補(bǔ)丁，在經(jīng)過充分測試評估后，按正式發(fā)布的補(bǔ)丁

19、，及時(shí)進(jìn)行系統(tǒng)修補(bǔ)。主機(jī)安全主機(jī)安全 入侵防范入侵防范 選配滿足本安全級要求的主機(jī)惡意代碼防范軟件；原則上所有主機(jī)均應(yīng)安裝惡意代碼防范軟件，對由于系統(tǒng)不支持而未安裝惡意代碼防范軟件的主機(jī)，應(yīng)采取其他措施進(jìn)行惡意代碼防范； 及時(shí)更新惡意代碼防范軟件版本和惡意代碼庫。 支持主機(jī)惡意代碼防范軟件的統(tǒng)一管理。主機(jī)安全主機(jī)安全 惡意代碼防范惡意代碼防范 通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等限制終端登錄； 根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定； 限制單個(gè)用戶對系統(tǒng)資源的最大或最小使用限度。主機(jī)安全主機(jī)安全 資源控制資源控制 對主機(jī)中的重要設(shè)備設(shè)置備份；當(dāng)相關(guān)設(shè)備發(fā)生故障時(shí)，用備份設(shè)備替換故障設(shè)備； 對主

20、機(jī)中的重要局部系統(tǒng)設(shè)置備份，并定期（每月至少一次）進(jìn)行備份；當(dāng)相關(guān)部分發(fā)生故障時(shí)，進(jìn)行局部系統(tǒng)恢復(fù)。主機(jī)安全主機(jī)安全 備份與恢復(fù)備份與恢復(fù)物理安全技術(shù)基本要求物理安全技術(shù)基本要求網(wǎng)絡(luò)安全技術(shù)基本要求網(wǎng)絡(luò)安全技術(shù)基本要求主機(jī)安全技術(shù)基本要求主機(jī)安全技術(shù)基本要求應(yīng)用軟件系統(tǒng)安全技術(shù)基本要求應(yīng)用軟件系統(tǒng)安全技術(shù)基本要求數(shù)據(jù)保護(hù)安全技術(shù)基本要求數(shù)據(jù)保護(hù)安全技術(shù)基本要求對登錄到應(yīng)用軟件系統(tǒng)的一般用戶和系統(tǒng)用戶（含系統(tǒng)管理員、審計(jì)員等）進(jìn)行標(biāo)識和鑒別；用戶標(biāo)識：在每一個(gè)用戶注冊到應(yīng)用軟件系統(tǒng)時(shí)，采用用戶名和用戶標(biāo)識符進(jìn)行標(biāo)識，并對標(biāo)識信息在系統(tǒng)整個(gè)生存周期的唯一性和完整性進(jìn)行保護(hù)；用戶鑒別：在每次用戶登錄

21、應(yīng)用軟件系統(tǒng)時(shí)，采用強(qiáng)化管理的口令或具有相應(yīng)安全強(qiáng)度的其他機(jī)制進(jìn)行鑒別，并對鑒別所使用的數(shù)據(jù)信息的保密性和完整性進(jìn)行保護(hù)；應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和登錄連接超時(shí)自動退出等措施；強(qiáng)化管理口令的具體要求如下：采用數(shù)字、字母、符號的無規(guī)律混排方式；口令的長度至少為8位，并且每季度至少更換1次，更新的口令至少5次內(nèi)不能重復(fù)；如果系統(tǒng)長度不支持上述口令復(fù)雜度要求，應(yīng)使用所支持的最長長度并適當(dāng)縮小更換周期；也可以使用動態(tài)密碼卡等一次性口令認(rèn)證方式。重新命名系統(tǒng)默認(rèn)賬戶，修改這些賬戶的默認(rèn)口令，系統(tǒng)無法實(shí)現(xiàn)的除外。應(yīng)用系統(tǒng)安全應(yīng)用系統(tǒng)安全用戶身份鑒別用戶身份鑒別 可根據(jù)需要按

22、如下要求在*應(yīng)用軟件系統(tǒng)中設(shè)置自主訪問控制： 按確定的自主訪問控制策略設(shè)計(jì)訪問控制功能，實(shí)現(xiàn)用戶對其所創(chuàng)建客體訪問權(quán)限的自主控制； 訪問控制主體的粒度應(yīng)為用戶級，客體的粒度應(yīng)為文件級和數(shù)據(jù)庫表級； 按授權(quán)規(guī)則和授權(quán)轉(zhuǎn)移規(guī)則，由用戶確定所屬客體的訪問權(quán)限和權(quán)限轉(zhuǎn)移。應(yīng)用系統(tǒng)安全應(yīng)用系統(tǒng)安全 自主訪問控制自主訪問控制 在應(yīng)用軟件系統(tǒng)設(shè)置安全審計(jì)； 審計(jì)內(nèi)容應(yīng)包括重要用戶行為、用戶源（IP地址）、資源的異常使用和重要命令的使用等應(yīng)用軟件系統(tǒng)的重要安全相關(guān)事件，例如用戶登錄、用戶退出、增加用戶、修改用戶權(quán)限等操作； 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶名、事件類型、事件是否成功等； 提供按事件進(jìn)行安全

23、審計(jì)分類、安全審計(jì)事件選擇，以及進(jìn)行安全審計(jì)查閱并生成審計(jì)報(bào)表等功能； 提供安全審計(jì)事件報(bào)警、安全審計(jì)記錄存儲與保護(hù)等功能；審計(jì)記錄應(yīng)至少保存6個(gè)月； 在安全審計(jì)存儲區(qū)記滿時(shí)，應(yīng)采取相應(yīng)的防止安全審計(jì)數(shù)據(jù)丟失的措施； 為安全審計(jì)機(jī)制集中管控和審計(jì)數(shù)據(jù)的匯集提供接口。應(yīng)用系統(tǒng)安全應(yīng)用系統(tǒng)安全 安全審計(jì)安全審計(jì) 在應(yīng)用軟件系統(tǒng)設(shè)置檢查機(jī)制，對數(shù)據(jù)按格式進(jìn)行檢查，發(fā)現(xiàn)不符合要求的進(jìn)行報(bào)警，比如，對通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度進(jìn)行檢查。應(yīng)用系統(tǒng)安全應(yīng)用系統(tǒng)安全 檢錯(cuò)和容錯(cuò)檢錯(cuò)和容錯(cuò) 當(dāng)通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話； 能對應(yīng)用系統(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制； 能對單個(gè)賬戶的多重并發(fā)會話連接數(shù)進(jìn)行限制。應(yīng)用系統(tǒng)安全應(yīng)用系統(tǒng)安全 資源控制資源控制物理安全技術(shù)基本要求物理安全技術(shù)基本要求網(wǎng)絡(luò)安全技術(shù)基本要求網(wǎng)絡(luò)安全技術(shù)基本要求主機(jī)安全技術(shù)基本要求主機(jī)安全技術(shù)基本要求*應(yīng)用軟件系統(tǒng)安全技術(shù)基本要求應(yīng)用軟件系統(tǒng)安全技術(shù)基本要求數(shù)據(jù)保護(hù)安全技術(shù)基本要求數(shù)據(jù)保護(hù)安全技術(shù)基本要求 在操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)中，采用常規(guī)的完整性校驗(yàn)機(jī)制或基于密碼的完整性檢驗(yàn)機(jī)制，對所存儲和傳輸?shù)?業(yè)務(wù)數(shù)據(jù)、操作系統(tǒng)自身的重要數(shù)據(jù)及其安全功能數(shù)據(jù)的完整性檢驗(yàn)提供支持；采用回退技