二級等保標(biāo)準(zhǔn)

1、二級等保標(biāo)準(zhǔn)二級等級保護(hù)要求技術(shù)要求技木要求項二級等保實現(xiàn)方式物理安全物理位置的選擇1）機(jī)房和辦公場所應(yīng)選擇在擁有防震、防風(fēng)和防雨等能力的建筑內(nèi)。機(jī)房建設(shè)物理訪1）控制2）機(jī)房進(jìn)出口應(yīng)有專人值守，鑒識進(jìn)入的人員身份弁登記在案；問 應(yīng)同意進(jìn)入機(jī)房的來訪人員，限制和監(jiān)控其活動范圍。門禁管理系統(tǒng)防偷竊和防破壞1）應(yīng)將主要設(shè)備擱置在物理受限的范圍內(nèi)；2）應(yīng)付設(shè)備或主要零件進(jìn)行固定，弁設(shè)置顯然的不易除掉的標(biāo)志；3）應(yīng)將通訊線纜鋪設(shè)在隱蔽處，如鋪設(shè)在地下或管道中等；4）應(yīng)付介質(zhì)分類表記，儲存在介質(zhì)庫或檔案室中；5）應(yīng)安裝必需的防盜報警設(shè)備，以防進(jìn)入機(jī)房的偷竊和損壞行為。機(jī)房建設(shè)防雷擊1）機(jī)房建筑應(yīng)設(shè)置避雷

2、裝置；2）應(yīng)設(shè)置溝通電源地線。防雷系統(tǒng)防.火1）應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動報警系統(tǒng)，弁保持滅火設(shè)備和火災(zāi)自動報警系統(tǒng)的優(yōu)秀狀態(tài)。消防系統(tǒng)防水和防潮1）水管安裝，不得穿過屋頂和活動地板下；2）應(yīng)付穿過墻壁和樓板的水管增添必需的保護(hù)舉措，如設(shè)置套管；3）應(yīng)采納舉措防備雨水經(jīng)過屋頂和墻壁浸透；4）應(yīng)采納舉措防備室內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與浸透。機(jī)房建設(shè)防靜電1）應(yīng)采納必需的接地等防靜電舉措靜電地板溫濕度控制1）應(yīng)設(shè)置溫、濕度自動調(diào)理設(shè)備，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)轉(zhuǎn) 所同意的范圍以內(nèi)。機(jī)房動力環(huán)境監(jiān)控系統(tǒng)電力供應(yīng)1）計算機(jī)系統(tǒng)供電應(yīng)與其余供電分開；2）應(yīng)設(shè)置穩(wěn)壓器和過電壓防備設(shè)備；3）應(yīng)供給短期

3、的備用E1力供給（如UPS設(shè)備）。UPS電磁防護(hù)1）應(yīng)采納接地方式防備外界電磁擾亂和設(shè)備寄生耦合擾亂；2）電源線和通訊線纜應(yīng)隔絕，防止相互擾亂。防電磁排插， 防電磁機(jī)柜網(wǎng)絡(luò)構(gòu)造安1）網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)辦理能力應(yīng)具備冗余空間，要求知足業(yè)務(wù)頂峰期需設(shè)備做好雙機(jī)冗余二級等保標(biāo)準(zhǔn)精選文庫技木要求項二級等保實現(xiàn)方式安全全與網(wǎng) 段區(qū)分要；2）應(yīng)設(shè)計和繪制與目前運(yùn)轉(zhuǎn)狀況符合的網(wǎng)絡(luò)拓?fù)錁?gòu)造圖；3）應(yīng)依據(jù)機(jī)構(gòu)業(yè)務(wù)的特色，在知足業(yè)務(wù)頂峰期需要的基礎(chǔ)上，合理設(shè)計網(wǎng)絡(luò)帶寬；4）應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制，成立安全的接見路徑；5）應(yīng)依據(jù)各部門的，作職能、重要性、所波及信息的重要程度等要素，區(qū)分不一樣的子網(wǎng)或網(wǎng)

4、段，弁依照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分派地點(diǎn)段；6）重要網(wǎng)段應(yīng)采納網(wǎng)絡(luò)層地點(diǎn)與數(shù)據(jù)鏈路層地點(diǎn)綁定舉措，防備地點(diǎn)欺詐。網(wǎng)絡(luò)訪問控制1）應(yīng)能依據(jù)會話狀態(tài)信息（包含數(shù)據(jù)包的源地點(diǎn)、目的地點(diǎn)、 源端口號、目的端口號、協(xié)議、進(jìn)出的接口、會話序列號、發(fā)出信息的主機(jī)名等信息，弁應(yīng)支持地點(diǎn)通配符的使用），為數(shù)據(jù)流供給明確的同意/拒絕接見的能力。防火墻撥號訪問控制1）應(yīng)在鑒于安全屬性的同意遠(yuǎn)程用戶對系統(tǒng)接見的規(guī)則的基礎(chǔ)上，對系統(tǒng)全部資源同意或拒絕用戶進(jìn)行接見，控制粒度為單個用戶；2）應(yīng)限制擁啟撥號接見權(quán)限的用戶數(shù)目。VPN網(wǎng)絡(luò)安全審計1）應(yīng)付網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)轉(zhuǎn)狀況、網(wǎng)絡(luò)流量、 用戶行為等事件進(jìn)行日

5、記記錄；2）關(guān)于每一個事件，具審計記錄應(yīng)包含：事件的日期和時間、用戶、 事件種類、事件能否成功，及其余與審計有關(guān)的信息。上網(wǎng)行為管理設(shè)備界限完整性檢查1）應(yīng)可以檢測內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未經(jīng)過允許擅自聯(lián)到外面 網(wǎng)絡(luò)的行為（即“非法外聯(lián)”行為）。IDS入侵檢測網(wǎng)絡(luò)入侵防備1）應(yīng)在網(wǎng)絡(luò)界限處監(jiān)督以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲 攻擊等入侵事件的發(fā)生。IPS入侵防守歹意代碼防備1）應(yīng)在網(wǎng)絡(luò)界限及核心業(yè)務(wù)網(wǎng)段處對歹意代碼進(jìn)行檢測和消除；2）應(yīng)保護(hù)歹意代碼庫的升級和檢測系統(tǒng)的更新；3）應(yīng)支二寺歹意代碼防備的T管理。防毒墻網(wǎng)絡(luò)設(shè)備防備1

6、）應(yīng)付登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒識；2） 應(yīng)付XX絡(luò)設(shè)備的管理吊登錄地占講彳不限制保護(hù)碉堡機(jī)二級等保標(biāo)準(zhǔn)精選文庫技木要求項二級等保實現(xiàn)方式3）網(wǎng)絡(luò)設(shè)備用戶的表記應(yīng)獨(dú)一；4）身份鑒識信息應(yīng)擁有不易被冒用的特色，比如口令長度、 復(fù)雜性和按期的更新等；5）應(yīng)擁有登錄失敗辦理功能，如：結(jié)束會話、限制非法登錄次數(shù)，當(dāng)網(wǎng)絡(luò)登錄連結(jié)超時，自動退出。系統(tǒng)安全身份鑒別1）操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)用戶的身份表記應(yīng)擁有獨(dú)一性；2）應(yīng)付登錄操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的用戶進(jìn)行身份表記和鑒識；3）操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)身份鑒識信息應(yīng)擁有不易被冒用的特點(diǎn)，比如口令長度、復(fù)雜性和按期的更新等；4）應(yīng)擁有登錄失敗辦理功能，

7、如：結(jié)束會話、限制非法登錄次數(shù)，當(dāng) 登錄連結(jié)超時，自動退出。VPN自主訪問控制1）應(yīng)依照安全策略控制主體對客體的接見；2）自主接見控制的覆蓋范圍應(yīng)包含與信息安全直接有關(guān)的主體、客體及它們之間的操作；3）自主接見控制的粒度應(yīng)達(dá)到主體為用戶級，客體為文件、 數(shù)據(jù)庫表級；4）應(yīng)由受權(quán)主體設(shè)置對客體接見和操作的權(quán)限；5）應(yīng)嚴(yán)格限制默認(rèn)用戶的接見權(quán)限。VPN防火墻強(qiáng)迫訪問控制無數(shù)據(jù)庫審計系統(tǒng)安全審計1）安全審計應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；2）安全審計應(yīng)記錄系統(tǒng)內(nèi)重要的安全有關(guān)事件，包含重要用戶行型唯要系統(tǒng)命令的使用等；3）安全有關(guān)事件的記錄應(yīng)包含日期和時間、種類、主體表記、客體標(biāo)識、

8、事件的結(jié)果等；數(shù)據(jù)庫審計系統(tǒng)系統(tǒng)保4）審計記錄應(yīng)遇到保護(hù)防止遇到未預(yù)期的刪除、改正或覆蓋等。1）系統(tǒng)應(yīng)供給在管理保護(hù)狀態(tài)中運(yùn)轉(zhuǎn)的能力，管理保護(hù)狀態(tài)只好被系數(shù)據(jù)存貯備份，護(hù)節(jié)余信息保護(hù)統(tǒng)管理員使用。1）應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)用戶的鑒識信息所在的儲存空間，被開釋或再分派給其余用戶前獲得完整消除，不論這些信息是寄存在硬盤上仍是在內(nèi)存中；2）應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的儲存空間，VPN被開釋或從頭分派給其余用戶前獲得完整消除。二級等保標(biāo)準(zhǔn)精選文庫技木要求項二級等保實現(xiàn)方式入侵防范無網(wǎng)管系統(tǒng)，IPS入侵防御系統(tǒng)歹意代碼防備1）服務(wù)器和重要終端設(shè)備（包含挪動設(shè)備）應(yīng)安裝及時檢測

9、和查殺惡意代碼的軟件產(chǎn)品；2）主機(jī)系統(tǒng)防歹意代碼產(chǎn)品應(yīng)擁有與網(wǎng)絡(luò)防歹意代碼產(chǎn)品不一樣的惡意代碼庫；防毒墻，殺毒軟件資源控制1）應(yīng)限制單個用戶的會話數(shù)目；2）應(yīng)經(jīng)過設(shè)定終端接入方式、網(wǎng)絡(luò)地點(diǎn)范圍等條件限制終端登錄。VPN應(yīng)用安全身份鑒別1）應(yīng)用系統(tǒng)用戶的身份表記應(yīng)擁啟獨(dú)一性；2）應(yīng)付登錄的用戶進(jìn)行身份表記和鑒識；3）系統(tǒng)用戶身份鑒識信息應(yīng)擁有不易被冒用的特色，比如口令長度、 復(fù)雜性和按期的更新等；4）應(yīng)擁有登錄失敗辦理功能，如：結(jié)束會話、限制非法登錄次數(shù)，當(dāng) 登錄連結(jié)超時，自動退出。接見控制1）應(yīng)依照安全策略控制用戶對客體的接見；2）自主接見控制的覆蓋范圍應(yīng)包含與信息安全直接有關(guān)的主體、客體及它

10、們之間的操作；3）自主接見控制的粒度應(yīng)達(dá)到主體為用戶級，客體為文件、 數(shù)據(jù)庫表級；4）應(yīng)由受權(quán)主體設(shè)置用戶對系統(tǒng)功能操作和對數(shù)據(jù)接見的權(quán)限；5）應(yīng)實現(xiàn)應(yīng)用系統(tǒng)特權(quán)用戶的權(quán)限分別，比如將管理與審計的權(quán)限分配給不一樣的應(yīng)用系統(tǒng)用戶；6）權(quán)限分別應(yīng)采納最小受權(quán)原則，分別授與不一樣用戶各自為達(dá)成自己肩負(fù)任務(wù)所需的最小權(quán)限，弁在它們之間形成相互限制的關(guān)系；7）應(yīng)嚴(yán)格限制默認(rèn)用戶的接見權(quán)限。防火墻安全審計1）安全審計應(yīng)覆蓋到應(yīng)用系統(tǒng)的每個用戶；2）安全審計應(yīng)記錄應(yīng)用系統(tǒng)重要的安全有關(guān)事件，包含重要用戶行為和重要系統(tǒng)功能的履行等；3）安全有關(guān)事件的記錄應(yīng)包含日期和時間、種類、主體表記、客體標(biāo)識、事件的結(jié)果等

11、；4）審計記錄應(yīng)遇到保護(hù)防止遇到未預(yù)期的刪除、改正或覆蓋等。日記審計系統(tǒng)節(jié)余信息保護(hù)1）應(yīng)保證用戶的鑒識信息所在的儲存空間，被開釋或再分派給其余用戶前獲得完整消除，不論這些信息是寄存在硬盤上仍是在內(nèi)存中；VPN4二級等保標(biāo)準(zhǔn)精選文庫技木要求項二級等保實現(xiàn)方式2）應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的儲存空間， 被開釋或從頭分派給其余用戶前獲得完整消除。通訊完整性1）通訊兩方應(yīng)商定單向的校驗碼算法，計算通訊數(shù)據(jù)報文的校驗碼， 在進(jìn)行通訊時，兩方依據(jù)校驗碼判斷對方報文的有效性。VPN加密抗狡辯無VPN通訊保密性1）當(dāng)通訊兩方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)口以自動結(jié)束會話；2）

12、在通訊兩方成立連結(jié)以前，利用密碼技術(shù)進(jìn)行會話初始化考證；3）在通訊過程中，應(yīng)付敏感信息字段進(jìn)行加密。VPN軟件容錯1）應(yīng)付經(jīng)過人機(jī)接口輸入或經(jīng)過通訊接口輸入的數(shù)據(jù)進(jìn)行有效性檢驗；2）應(yīng)付經(jīng)過人機(jī)接口方式進(jìn)行的操作供給“回退”功能，即同意依照操作的序列進(jìn)行回退；VPN資源控制3）在故障發(fā)生時， 應(yīng)持續(xù)供給一部分功能，保證可以實行必需的舉措。1）應(yīng)限制單個用戶的多重并發(fā)會話；2）應(yīng)付應(yīng)用系統(tǒng)的最大弁發(fā)會話連結(jié)數(shù)進(jìn)行限制；VPN代碼安3）應(yīng)付一個時間段內(nèi)可能的開發(fā)會話連結(jié)數(shù)進(jìn)行限制。1）應(yīng)付應(yīng)用程序代碼進(jìn)行歹意代碼掃描；防火墻數(shù)據(jù)安全全數(shù)據(jù)完 整性2） 應(yīng)付應(yīng)用程序代用進(jìn)仃安全柔弱性剖析。1）應(yīng)可以檢測到系統(tǒng)管理數(shù)據(jù)、鑒識信息和用戶數(shù)據(jù)在傳輸過程中完整性遇到損壞；2）應(yīng)可以檢測到系統(tǒng)管理數(shù)據(jù)、鑒識信息和用戶數(shù)據(jù)在儲存過程中完防火墻數(shù)據(jù)保密性整性遇到損壞。1）網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用系統(tǒng)的鑒識信息、敏感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)應(yīng)采納加密或其余有效舉措實現(xiàn)傳輸保密性；2）網(wǎng)絡(luò)設(shè)備、操作