信息系統(tǒng)安全等級(jí)保護(hù)基本要求二級(jí)

1、精選文檔精選文檔PAGEPAGE7精選文檔PAGE等保第二級(jí)要求：技術(shù)要求物理安全物理地點(diǎn)選擇（G2）機(jī)房和辦公場(chǎng)所應(yīng)選擇在擁有防震、防風(fēng)和防雨等能力的建筑內(nèi)。物理接見(jiàn)控制（G2）機(jī)房進(jìn)出口應(yīng)安排專人值守，控制、鑒識(shí)和記錄進(jìn)入的人員需進(jìn)入機(jī)房的來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍防偷竊和防損壞應(yīng)將主要設(shè)備擱置在機(jī)房?jī)?nèi)應(yīng)將設(shè)備或主要零件進(jìn)行固定，并設(shè)置顯然的不易除掉的標(biāo)志應(yīng)將通訊線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中應(yīng)付介質(zhì)分類表記，儲(chǔ)存在介質(zhì)庫(kù)或檔案室中主機(jī)房應(yīng)安裝必需的防盜報(bào)警設(shè)備防雷擊機(jī)房建筑應(yīng)設(shè)置避雷裝置機(jī)房應(yīng)設(shè)置交流電源地線防火機(jī)房應(yīng)設(shè)置滅火設(shè)置和火災(zāi)自動(dòng)報(bào)警系統(tǒng)防水和

2、防潮a.水管安裝，不得穿過(guò)機(jī)房子頂和活動(dòng)地板下b.采納舉措防備雨水經(jīng)過(guò)機(jī)房窗戶、屋頂和墻壁浸透c.采納舉措防備機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與浸透防靜電重點(diǎn)設(shè)備應(yīng)采納必需的接地防靜電舉措溫濕度控制機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)理設(shè)備，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)轉(zhuǎn)所同意的范圍以內(nèi)電力供給（A2）在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防備設(shè)備供給短期的備用電力供給，起碼知足重點(diǎn)設(shè)備在斷電狀況下的正常運(yùn)轉(zhuǎn)要求電磁防備（S2）電源線和通訊線纜應(yīng)隔絕鋪設(shè)，防止相互擾亂網(wǎng)絡(luò)安全構(gòu)造安全（G2）a.保證重點(diǎn)網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)辦理能力具備冗余空間，知足業(yè)務(wù)頂峰期需要b.保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬知足業(yè)務(wù)頂峰期需要c.

3、繪制與目前運(yùn)轉(zhuǎn)狀況符合的網(wǎng)絡(luò)拓?fù)錁?gòu)造圖d.依據(jù)各部門的工作職能、重要性和所波及信息的重要程度等要素，區(qū)分不一樣的子網(wǎng)或網(wǎng)段，并依照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分派地址段。接見(jiàn)控制a.在網(wǎng)絡(luò)界限部署接見(jiàn)控制設(shè)備，啟用接見(jiàn)控制功能b.依據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流供給明確的同意/拒絕接見(jiàn)的能力，控制粒度為網(wǎng)段級(jí)。c.應(yīng)按用戶和系統(tǒng)之間的同意接見(jiàn)規(guī)則，決定同意或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源接見(jiàn)，控制粒度為單個(gè)用戶。應(yīng)限制擁有撥號(hào)接見(jiàn)權(quán)限的用戶數(shù)目安全審計(jì)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)轉(zhuǎn)狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日記記錄審計(jì)記錄應(yīng)包含事件的日期和時(shí)間、用戶、事件種類、事件能否成功及其余與審計(jì)有關(guān)的信息界限

4、完好性檢查（S2）可以對(duì)內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未經(jīng)過(guò)允許擅自聯(lián)到外面網(wǎng)絡(luò)的行為進(jìn)行檢查。入侵防備應(yīng)在網(wǎng)絡(luò)界限處監(jiān)督以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等。網(wǎng)絡(luò)設(shè)備防備對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒識(shí)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制網(wǎng)絡(luò)設(shè)備用戶的表記應(yīng)獨(dú)一身份鑒識(shí)信息應(yīng)擁有不易被冒用的特色，口令應(yīng)有復(fù)雜度要求并按期改換擁有登錄失敗辦理功能，可采納結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連結(jié)超時(shí)自動(dòng)退出等措施當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，采納必需舉措防備鑒識(shí)信息在傳輸過(guò)程中被竊聽(tīng)主機(jī)安全身份鑒識(shí)（S2）對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的

5、用戶進(jìn)行身份表記和鑒識(shí)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份表記應(yīng)擁有不易被冒用的特色，口令應(yīng)有復(fù)雜度要求并按期改換應(yīng)啟用登錄失敗辦理功能，可采納結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等舉措當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，采納必需舉措，防備鑒識(shí)信息在傳輸過(guò)程中被竊聽(tīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不一樣用戶，分派不一樣用戶名，保證用戶名獨(dú)一性接見(jiàn)控制（S2）啟用接見(jiàn)控制功能，依照安全策略控制用戶對(duì)資源的接見(jiàn)應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分別c.限制默認(rèn)賬戶的接見(jiàn)權(quán)限，重命名系統(tǒng)默認(rèn)賬戶，改正這些賬戶的默認(rèn)口令實(shí)時(shí)刪除剩余的、過(guò)期的賬戶，防止共享賬戶的存在安全審計(jì)（G2）a.審計(jì)范圍應(yīng)覆蓋到服務(wù)器上每個(gè)操作

6、系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶b.審計(jì)內(nèi)容應(yīng)包含重要用戶行為、系統(tǒng)資源的異樣使用和重要系統(tǒng)命令的使用有關(guān)事件等系統(tǒng)內(nèi)重要的安全審計(jì)記錄應(yīng)包含事件的日期、時(shí)間、種類、主體表記、客體表記和結(jié)果等應(yīng)保護(hù)審計(jì)記錄，防止遇到未預(yù)期的刪除、改正或覆蓋等入侵防備操作系統(tǒng)應(yīng)依照最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，經(jīng)過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁實(shí)時(shí)獲得更新。歹意代碼防備（G2）a.應(yīng)安裝防歹意代碼軟件，實(shí)時(shí)更新防歹意代碼軟件版本和歹意代碼庫(kù)支持防歹意代碼軟件的一致管理資源控制a.經(jīng)過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件b.依據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定c.限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度限

7、制終端登錄應(yīng)用安全身份鑒識(shí)（S2）a.供給專用的登錄控制模塊對(duì)登錄取戶進(jìn)行身份表記和鑒識(shí)b.供給用戶身份表記獨(dú)一和鑒識(shí)信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份表記，身份鑒識(shí)信息不易被冒用應(yīng)供給登錄失敗辦理功能，可采納結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等舉措d.啟用身份鑒識(shí)、用戶身份表記獨(dú)一性檢查、用戶身份鑒識(shí)信息復(fù)雜度檢查以及登錄失敗辦理功能，并依據(jù)安全策略配置有關(guān)參數(shù)。接見(jiàn)控制（S2）a.供給接見(jiàn)控制功能，依照安全策略控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的接見(jiàn)b.接見(jiàn)控制的覆蓋范圍包含與資源接見(jiàn)有關(guān)的主體、客體及它們間的操作應(yīng)由受權(quán)主體配置接見(jiàn)控制策略，并嚴(yán)格限制默認(rèn)賬戶的接見(jiàn)權(quán)限應(yīng)

8、授與不一樣賬戶為達(dá)成各自擔(dān)當(dāng)當(dāng)務(wù)所需的最小權(quán)限，并在它們這間形成相互限制的關(guān)系安全審計(jì)（G2）供給覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)保證沒(méi)法刪除、改正或覆蓋審計(jì)記錄審問(wèn)記錄的內(nèi)容起碼應(yīng)包含事件日期、時(shí)間、倡始者信息、種類、描繪和結(jié)果等通訊完好性（S2）應(yīng)采納查驗(yàn)碼技術(shù)保證通訊過(guò)程中數(shù)據(jù)的完好性通訊保密性（S2）a.通訊兩方成立連結(jié)前，應(yīng)用系統(tǒng)先利用密碼技術(shù)b.對(duì)通訊過(guò)程中的敏感信息字段進(jìn)行加密做會(huì)話初始化考證軟件容錯(cuò)（A2）a.供給數(shù)占有效性查驗(yàn)功能，保證經(jīng)過(guò)人機(jī)接口輸入或經(jīng)過(guò)通訊接口輸入的數(shù)據(jù)格式設(shè)定要求。或長(zhǎng)度切合系統(tǒng)在故障發(fā)生時(shí)，應(yīng)用系統(tǒng)應(yīng)可以持續(xù)供給一部分功能

9、，保證可以實(shí)行必需的舉措資源控制（A2）當(dāng)應(yīng)用系統(tǒng)的通訊兩方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)可以自動(dòng)結(jié)束會(huì)話應(yīng)可以對(duì)應(yīng)用系統(tǒng)的最大并發(fā)會(huì)話連結(jié)數(shù)進(jìn)行限制應(yīng)可以對(duì)單個(gè)賬戶的多重并發(fā)會(huì)話進(jìn)行限制數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)完好性（S2）能檢測(cè)到鑒識(shí)信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完好性遇到損壞數(shù)據(jù)保密性（S2）應(yīng)采納加密或其余保護(hù)舉措實(shí)現(xiàn)鑒識(shí)信息的儲(chǔ)存保密性備份和恢復(fù)（A2）可以對(duì)重要信息進(jìn)行備份和恢復(fù)供給重點(diǎn)網(wǎng)絡(luò)設(shè)備、通訊線路和數(shù)據(jù)辦理系統(tǒng)的硬件冗余，保證系統(tǒng)的可用性管理要求安全管理制度管理制度（G2）擬訂信息安全工作的整體目標(biāo)和安全策略，說(shuō)明機(jī)構(gòu)安全工作的整體目標(biāo)、范圍、原則和安全框架等。對(duì)

10、安全管理活動(dòng)中重要的管理內(nèi)容成立安全管理制度對(duì)安全管理人員或操作人員履行的重要管理操作成立操作規(guī)程擬訂和公布（G2）指定或受權(quán)特意的部門或人員負(fù)責(zé)安全管理制度的擬訂組織有關(guān)人員對(duì)擬訂的安全管理制度進(jìn)行論證和鑒定應(yīng)將安全管理制度以某種方式公布到有關(guān)人員手中評(píng)審和訂正（G2）應(yīng)按期對(duì)安全管理制度進(jìn)行評(píng)審，對(duì)存在不足或需要改良的安全管理制度進(jìn)行訂正安全管理機(jī)構(gòu)崗位設(shè)置建立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)應(yīng)建立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責(zé)。人員裝備（G2）應(yīng)裝備必定數(shù)目的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等b.安全管理員不可以兼任網(wǎng)絡(luò)管

11、理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等。受權(quán)和審批a.應(yīng)依據(jù)各個(gè)部門和崗位的職責(zé)明確受權(quán)審批部門及同意人，對(duì)系統(tǒng)投入運(yùn)轉(zhuǎn)、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的接見(jiàn)等重點(diǎn)活動(dòng)進(jìn)行審批應(yīng)針對(duì)重點(diǎn)活動(dòng)成立審批流程，并由同意人署名確認(rèn)。交流和合作（G2）應(yīng)增強(qiáng)各婁管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與交流應(yīng)增強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信企業(yè)的合作與交流。審察和檢查（G2）安全管理員應(yīng)負(fù)責(zé)按期進(jìn)行安全檢查，檢查內(nèi)容包含系統(tǒng)平時(shí)運(yùn)轉(zhuǎn)、系統(tǒng)破綻和數(shù)據(jù)備份等狀況。人員安全管理人員錄取（G2）本項(xiàng)要求包含：應(yīng)指定或受權(quán)特意的部門或人員負(fù)責(zé)人員錄取應(yīng)規(guī)范人員錄取過(guò)程，對(duì)被錄取人員的身份、背景和專業(yè)資格等進(jìn)行

12、審察，對(duì)其所擁有的技術(shù)技術(shù)進(jìn)行查核應(yīng)與從事重點(diǎn)崗位的人員簽訂保密協(xié)議。人員離崗（G2）應(yīng)規(guī)范人員離崗過(guò)程，實(shí)時(shí)停止離崗職工的全部接見(jiàn)權(quán)限應(yīng)取回各樣身份證件、鑰匙、徽章等以及機(jī)構(gòu)供給的軟硬件設(shè)備應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)人員查核（G2）應(yīng)按期對(duì)各個(gè)崗位的人員進(jìn)行安全技術(shù)及安全認(rèn)知的查核安全意識(shí)教育和培訓(xùn)（G2）a.對(duì)各種人員進(jìn)行安全意識(shí)教育、崗位技術(shù)培訓(xùn)和有關(guān)安全技術(shù)培訓(xùn)b.見(jiàn)告人員有關(guān)的安全責(zé)任和懲戒舉措，對(duì)違犯違反安全策略和規(guī)定的人員進(jìn)行懲戒擬訂安全教育和培訓(xùn)計(jì)劃，對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)外面人員接見(jiàn)管理（G2）保證在外面人員接見(jiàn)受控地區(qū)前獲得受權(quán)或?qū)徟?，同意后由專人全程陪伴或監(jiān)

13、察，并登記存案系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)（G2）明確信息系統(tǒng)的界限和安全保護(hù)等級(jí)以書(shū)面的形式說(shuō)明信息系統(tǒng)確立為某個(gè)安全保護(hù)等級(jí)的方法和原因保證信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過(guò)有關(guān)部門的同意安全方案設(shè)計(jì)（G2）依據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全舉措，依照風(fēng)險(xiǎn)剖析的結(jié)果增補(bǔ)和調(diào)整安全舉措以書(shū)面形式描繪對(duì)系統(tǒng)的安全保護(hù)要求、策略和舉措等內(nèi)容，形成系統(tǒng)的安全方案對(duì)安全方案進(jìn)行細(xì)化，形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采買和使用的詳盡設(shè)計(jì)方案組織有關(guān)部門和有關(guān)安全技術(shù)專家對(duì)安全設(shè)計(jì)方案的合理性和正確性進(jìn)行論證和鑒定，而且經(jīng)過(guò)同意后，才能正式實(shí)行產(chǎn)品采買和使用（G2）保證安全產(chǎn)品采買和使用切合國(guó)家的有關(guān)規(guī)定應(yīng)保證密碼產(chǎn)品采買

14、和使用切合國(guó)家密碼主管部門的要求指定或受權(quán)特意的部門負(fù)責(zé)產(chǎn)品的采買自行軟件開(kāi)發(fā)開(kāi)發(fā)環(huán)境與實(shí)質(zhì)運(yùn)轉(zhuǎn)環(huán)境物理分開(kāi)擬訂軟件開(kāi)發(fā)管理制度，明確說(shuō)明開(kāi)發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則保證供給軟件設(shè)計(jì)的有關(guān)文檔和使用指南，由專人負(fù)責(zé)保留外包軟件開(kāi)發(fā)（G2）指定或受權(quán)特意的部門或人員負(fù)責(zé)工程實(shí)行過(guò)程的管理擬訂詳盡的工程實(shí)行方案，控制工程實(shí)行過(guò)程測(cè)試查收對(duì)系統(tǒng)進(jìn)行安全性測(cè)試查收測(cè)試查收前依據(jù)設(shè)計(jì)方案或合同要求等制定測(cè)試查收方案，在測(cè)試查收過(guò)程中詳盡記錄測(cè)試查收結(jié)果，形成測(cè)試查收?qǐng)?bào)告c.組織有關(guān)部門和有關(guān)人員對(duì)系統(tǒng)測(cè)試查收?qǐng)?bào)告進(jìn)行鑒定，并署名確認(rèn)。系統(tǒng)交托擬訂系統(tǒng)交托清單，依據(jù)交托清單對(duì)所交接的設(shè)備、軟件和文檔等

15、進(jìn)行盤點(diǎn)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)轉(zhuǎn)保護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技術(shù)培訓(xùn)保證供給系統(tǒng)建議過(guò)程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)轉(zhuǎn)保護(hù)的文檔安全服務(wù)商選擇保證安全服務(wù)商的選擇切合國(guó)家的有關(guān)規(guī)定與選定的安全服務(wù)商簽訂與安全有關(guān)的協(xié)議，明確商定有關(guān)責(zé)任保證選定的安全服務(wù)商供給技術(shù)支持和服務(wù)許諾，必需的與其簽訂服務(wù)合同。系統(tǒng)運(yùn)維管理環(huán)境管理指定特意的部門或人員按期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)備進(jìn)行保護(hù)管理裝備機(jī)房安全管理人員，對(duì)機(jī)房的進(jìn)出、服務(wù)器的開(kāi)機(jī)或關(guān)機(jī)等工作進(jìn)行管理成立機(jī)房安全管理制度，對(duì)有關(guān)機(jī)房物理接見(jiàn)，物件帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定應(yīng)增強(qiáng)對(duì)辦公環(huán)境的保密性管理，包含工作人員調(diào)離辦公室應(yīng)立

16、刻交還該辦公室鑰匙和不在辦公區(qū)招待來(lái)訪人員等。財(cái)產(chǎn)管理編制與信息系統(tǒng)相磁的財(cái)產(chǎn)清單，包含財(cái)產(chǎn)責(zé)任部門、重要程度和所處地點(diǎn)等內(nèi)容成立財(cái)產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)財(cái)產(chǎn)管理的責(zé)任人員或責(zé)任部門，并規(guī)范財(cái)產(chǎn)管理和使用的行為。介質(zhì)管理a.保證介質(zhì)寄存在安全的環(huán)境中，對(duì)各種介質(zhì)進(jìn)行控制和保護(hù)，并推行儲(chǔ)存環(huán)境專人管理對(duì)介質(zhì)歸檔和查問(wèn)等過(guò)程進(jìn)行記錄，依據(jù)存檔介質(zhì)的目錄清單按期盤點(diǎn)對(duì)需要送出保護(hù)或銷毀的介質(zhì)，第一消除此中的敏感數(shù)據(jù)，防備信息的非法泄露依據(jù)所承載數(shù)據(jù)和軟件的重要程度對(duì)介質(zhì)進(jìn)行分類和表記管理設(shè)備管理（G2）a.對(duì)信息系統(tǒng)有關(guān)的各樣設(shè)備（包含備份和冗余設(shè)備）、線路等指定特意的部門或人員按期進(jìn)行保護(hù)管理成立鑒于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理制度，對(duì)信息系統(tǒng)的各樣軟硬件設(shè)備的造型、采買、發(fā)放和領(lǐng)用等過(guò)程進(jìn)行規(guī)范化管理對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實(shí)現(xiàn)重點(diǎn)設(shè)備（包含備份和冗余設(shè)備）的啟動(dòng)/停止、加電/斷電等操作保證信息辦理設(shè)備一定經(jīng)過(guò)審批才能帶離機(jī)房或辦公地址網(wǎng)絡(luò)安全管理指定人員對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)轉(zhuǎn)日記、網(wǎng)絡(luò)監(jiān)控記錄的平時(shí)保護(hù)和報(bào)警信息剖析和辦理工作成立網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)