1-信息系統(tǒng)安全保護(hù)管理

1、信息系統(tǒng)安全等級保護(hù)基本要求安全事項(xiàng)保護(hù)等級一級二級三級四級五級身份鑒別1、應(yīng)提供專用的登 錄控制模塊對登錄 用戶進(jìn)行身份標(biāo)識 和鑒別；2、應(yīng)提供登錄失敗 處理功能，可采取 結(jié)束會(huì)話、限制非 法登錄次數(shù)和自動(dòng) 退出等措施；3、應(yīng)啟用身份鑒別 和登錄失敗處理功 能，并根據(jù)安全策 略配置相關(guān)參數(shù)。1、應(yīng)提供專用的登錄控制模塊對登錄 用戶進(jìn)行身份標(biāo)識和鑒別；2、應(yīng)提供用戶身份標(biāo)識唯一和鑒別信 息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不 存在重復(fù)用戶身份標(biāo)識，身份鑒別信息不 易被冒用；3、應(yīng)提供登錄失敗處理功能，可采取結(jié) 束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等 措施；4、應(yīng)啟用身份鑒別、用戶身份標(biāo)識唯一 性檢查

2、、用戶身份鑒別信息復(fù)雜度檢查以 及登錄失敗處理功能，并根據(jù)安全策略配 斐上口 *耕置相關(guān)參數(shù)。1、應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行 身份標(biāo)識和鑒別；2、應(yīng)對同一用戶采用兩種或兩種以上組合鑒別 技術(shù)實(shí)現(xiàn)用戶身份鑒別；3、應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度 檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份 標(biāo)識，身份鑒別信息不易被冒用；4、應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、 限制非法登錄次數(shù)和自動(dòng)退出等措施；5、應(yīng)啟用身份鑒別、用戶身份標(biāo)識唯一性檢 查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗 處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。訪問控制1、應(yīng)提供訪問控制 功能控制用戶組/用 戶對系統(tǒng)功

3、能和用 戶數(shù)據(jù)的訪問；2、應(yīng)由授權(quán)主體配 置訪問控制策略， 并嚴(yán)格限制默認(rèn)用 戶的訪問權(quán)限。1、應(yīng)提供訪問控制功能，依據(jù)安全策略 控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；2、訪問控制覆蓋范圍應(yīng)包括與資源訪 問相關(guān)的主體、客體及它們之間的操作；3、應(yīng)由授權(quán)主體配置訪問控制策略，并 嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限；4、應(yīng)授予不同帳戶為兀成各自承擔(dān)任1、應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶 對文件、數(shù)據(jù)庫表等客體的訪問；2、訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作；3、應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制 默認(rèn)帳戶的訪問權(quán)限；4、應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的 最

4、小權(quán)限，并在它們之間形成相互制約關(guān)系。務(wù)所需的最小權(quán)限，并在它們之間形成相 互制約關(guān)系。5、應(yīng)具有對重要信息資源設(shè)置敏感標(biāo)記功能；6、應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記 重要信息資源的操作；安全審計(jì)無1、應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功 能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；2、應(yīng)保證無法刪除、修改或覆蓋審計(jì)記 錄；3、審計(jì)記錄的內(nèi)容至少應(yīng)包括事件日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié) 果等。1、應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對應(yīng) 用系統(tǒng)重要安全事件進(jìn)行審計(jì)；2、應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修 改或覆蓋審計(jì)記錄；3、審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、

5、描述和結(jié)果等；4、應(yīng)提供對審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析 及生成審計(jì)報(bào)表的功能剩余信息 保護(hù)無無1、應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放 或再分配給其他用戶前得到完全清除，無論這 些信息是存放在硬盤上還是在內(nèi)存中；2、應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等 資源所在的存儲(chǔ)空間被釋放或重新分配給其他 用戶前得到完全清除。通信完整 性應(yīng)采用約定通信會(huì)話 方式的方法保證通信 過程中數(shù)據(jù)完整性。應(yīng)米用校驗(yàn)碼技術(shù)保證通信過程中數(shù)據(jù) 的完整性應(yīng)米用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。通信保密 性無1、在通信雙方建立連接之前，應(yīng)用系統(tǒng) 應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；2、應(yīng)對通信過程中的敏感信息字段進(jìn)

6、 行加密1、在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用 密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；應(yīng)對通信過程中的整個(gè)報(bào)文或會(huì)話過程進(jìn)行加 密?？沟仲嚐o無1、應(yīng)具有在請求情況下為數(shù)據(jù)原發(fā)者或接收者 提供數(shù)據(jù)原發(fā)證據(jù)功能；2、應(yīng)具有在請求情況下為數(shù)據(jù)原發(fā)者或接收者 提供數(shù)據(jù)接收證據(jù)功能。軟件容錯(cuò)應(yīng)提供數(shù)據(jù)有效性檢 驗(yàn)功能，保證通過人 機(jī)接口輸入或通過通 信接口輸入的數(shù)據(jù)格 式或長度符合系統(tǒng)設(shè) 定要求。1、應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證 通過人機(jī)接口輸入或通過通信接口輸入 的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；2、在故障發(fā)生時(shí)，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù) 提供一部分功能，確保能夠?qū)嵤┍匾拇?施。1、應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，

7、保證通過人機(jī) 接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度 符合系統(tǒng)設(shè)定要求；2、應(yīng)提供自動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保 護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。資源控制無1、當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在 一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能 夠自動(dòng)結(jié)束會(huì)話；2、應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會(huì)話 連接數(shù)進(jìn)行限制；3、應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話 進(jìn)行限制。1、當(dāng)應(yīng)用系統(tǒng)的通信雙方中一方在一段時(shí)間內(nèi) 未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話；2、應(yīng)能夠?qū)ο到y(tǒng)最大并發(fā)會(huì)話連接數(shù)進(jìn)行限 制；3、應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限 制；4、應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接 數(shù)進(jìn)行限制；5、應(yīng)能夠?qū)σ粋€(gè)訪問帳戶或一個(gè)