信息安全等级保护二级测评控制点1.0&2.0.pdf

发布时间：2022-06-06 发布人：admin 分类：说明书资料大小：0.75M 资料格式：pdf 举报版权申诉

第1页 / 共26页

qq_36469047-11356005-信息安全等级保护二级测评控制点1.0&2.0.pdf-第2页.png

第2页 / 共26页

qq_36469047-11356005-信息安全等级保护二级测评控制点1.0&2.0.pdf-第3页.png

第3页 / 共26页

qq_36469047-11356005-信息安全等级保护二级测评控制点1.0&2.0.pdf-第4页.png

第4页 / 共26页

qq_36469047-11356005-信息安全等级保护二级测评控制点1.0&2.0.pdf-第5页.png

第5页 / 共26页

qq_36469047-11356005-信息安全等级保护二级测评控制点1.0&2.0.pdf-第6页.png

第6页 / 共26页

qq_36469047-11356005-信息安全等级保护二级测评控制点1.0&2.0.pdf-第7页.png

第7页 / 共26页

qq_36469047-11356005-信息安全等级保护二级测评控制点1.0&2.0.pdf-第8页.png

第8页 / 共26页

文本预览

信息安全等级保护二级测评控制点（1.0&2.0）注： 1）此表仅作为等保二级测评自查参考使用，最终以测评单位的表格为准。 2）表格中注“/”的位置表示对比 1.0 和 2.0 相应的增加或删除条款，其中修订的条款居多，不作一一标注。 3）类别中“（）”内代表 2.0 标准的新类别名称。 4）对于 2.0 标准中的“可信验证····”内容可以暂时忽略，该部分内容尚无明确的实施方法。一、技术类测评要求等级保护二级技术类测评控制点(S2A2G2) 类别序号测评内容（1.0）测评内容（2.0）测评方法（参考）结果记录物理位置的选择 1. 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。访谈，检查。物理安全负责人，机房，办公场地，机房场地设计/验收机房场地应避免设在建筑物的顶层文档。或地下室，否则应加强防水和防潮措施。物理安全物理访问控制 2. 3. 机房出入口应安排专人值守，控制、鉴别和记录进入的人员。需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。机房出入口应安排专人值守或配备电子门禁系统，控制、鉴别和记录进入的人员防盗窃和防破坏 4. 应将主要设备放置在机房内。 5. 应将设备或主要部件进行固定，并设置明显的不易除去的标记。应将设备或主要部件进行固定，并设置明显的不易除去的标识。 6. 应将通信线缆铺设在隐蔽处，可铺设应将通信线缆铺设在隐蔽安全处。访谈，检查。物理安全负责人，机房值守人员，机房，机房安全管理制度，值守记录，进入机房的登记记录，来访人员进入机房的审批记录。访谈，检查。物理安全负责人，机房维护人员，资产管理员，机房设施，设备管理制度文档，通信线路布线文档，报第 1 页符合情况 Y N O

类别序号测评内容（1.0）测评内容（2.0）测评方法（参考）结果记录等级保护二级技术类测评控制点(S2A2G2) 在地下或管道中。 7. 应对介质分类标识，存储在介质库或档案室中。 8. 主机房应安装必要的防盗报警设施。 9. 机房建筑应设置避雷装置。防雷击 10. 机房应设置交流电源地线。应将各类机柜、设施和设备等通过接地系统安全接地。防火 11. 机房应设置灭火设备和火灾自动报警系统。水管安装，不得穿过机房屋顶和活动地板下。应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 12. 13. 14. 机房内应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。防水和防潮防静电温湿度控应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 15. 主要设备应采用必要的接地防静电措施。应采用防静电地板和地面并采用必要的接地防静电措施 16. 应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许第 2 页警设施的安装测试/验收报告。访谈，检查。物理安全负责人，机房维护人员，机房设施（避雷装置，交流电源地线），建筑防雷设计/验收文档。访谈，检查。物理安全负责人，机房值守人员，机房设施，机房安全管理制度，机房防火设计/验收文档，火灾自动报警系统设计/验收文档。访谈，检查。物理安全负责人，机房维护人员，机房设施（上下水装置，除湿装置），建筑防水和防潮设计/验收文档。访谈，检查。物理安全负责人，机房维护人员，机房设施，防静电设计/验收文档。访谈，检查。物理安全负责人，机房维护人员，机房设施，温湿度控制符合情况 Y N O

类别序号测评内容（1.0）测评内容（2.0）测评方法（参考）结果记录等级保护二级技术类测评控制点(S2A2G2) 制的范围之内。的范围之内。电力供应 17. 应在机房供电线路上配置稳压器和过电压防护设备。 18. 应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求。应在机房供电线路上配置稳压器和过电压防护设备。应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求。电磁防护 19. 电源线和通信线缆应隔离铺设，避免互相干扰。电源线和通信线缆应隔离铺设，避免互相干扰。结构安全（网络架构） 20. 21. 22. 23. 应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。应保证网络各个部分的带宽满足业务高峰期需要。应绘制与当前运行情况相符的网络拓扑结构图。应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。应划分不同的网络区域，并按照方便管理和控制的原则为各个网络区域分配地址；应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。网络安全（安全通信网络 + 安全通信传输 24. / 应采用校验技术保证通信过程中数据的完整性。访谈，检查，测试。第 3 页设计/验收文档，温湿度记录、运行记录和维护记录。访谈，检查。物理安全负责人，机房维护人员，机房设施（供电线路，稳压器，过电压防护设备，短期备用电源设备），电力供应安全设计/验收文档，检查和维护记录。访谈，检查。物理安全负责人，机房维护人员，机房设施，电磁防护设计/验收文档。访谈，检查，测试。网络管理员，边界和网络设备，网络拓扑图，网络设计/验收文档。符合情况 Y N O

类别序号测评内容（1.0）测评内容（2.0）测评方法（参考）结果记录等级保护二级技术类测评控制点(S2A2G2) 区域边界）可信验证 25. / 26. 应在网络边界部署访问控制设备，启用访问控制功能。安全通信网络：可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信。访问控制 27. 28. 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统访问的能力，控制颗粒度为单个用户应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许下/拒绝数据包进出。 29. 应限制具有拨号访问权限的用户数量。安全审计 30. 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。应能够根据会话状态信息为进出数据流量提供明确的允许/拒绝访问的能力。应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。访谈，检查，测试。安全管理员，边界网络设备。访谈，检查，测试。审计员，边界和网络设备。第 4 页符合情况 Y N O

类别序号测评内容（1.0）测评内容（2.0）测评方法（参考）结果记录等级保护二级技术类测评控制点(S2A2G2) 31. 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 32. / 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。边界完整性检查（边界防护）入侵防范恶意代码防范可信验证 33. 应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。应保证跨越边界的访问和数据流量通过边界设备提供的受控接口进行通信。访谈，检查，测试。安全管理员，边界完整性检查设备。 34. 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等。应在网络关键节点处监视网络攻击行为。访谈，检查，测试。安全管理员，网络入侵防范设备。 35. / 36. / 应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新。安全区域边界：可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数第 5 页符合情况 Y N O

类别序号测评内容（1.0）测评内容（2.0）测评方法（参考）结果记录等级保护二级技术类测评控制点(S2A2G2) 网络设备防护 37. 38. 应对登录网络设备的用户进行身份鉴别。应对网络设备的管理员登录地址进行限制。 39. 网络设备用户的标识应唯一。 40. 41. 42. 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换。应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。 43. 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。身份鉴别 44. 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换。和通信应用程序等进行可信验证，并在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。 / / / / / / 访谈，检查，测试。网络管理员，边界和网络设备。应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。访谈，检查，测试。系统管理员，数据库管理员，服务器操作系统、数据库，服务器操作系统文档，数据库管理系统文档。 45. 应启用登录失败处理功能，可采取结应启用登录失败处理功能，应配置第 6 页主机安全（安符合情况 Y N O

类别序号测评内容（1.0）测评内容（2.0）测评方法（参考）结果记录等级保护二级技术类测评控制点(S2A2G2) 全计算环境）访问控制安全审计束会话、限制非法登录次数和自动退出等措施。并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。 / 应启用访问控制功能，依据安全策略控制用户对资源的访问。应对登录的用户分配账户和权限。应实现操作系统和数据库系统特权用户的权限分离。应授予管理用户所需的最小权限，实现管理用户的权限分离。应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令。应重命名或删除默认账户，修改默认账户的默认口令。 46. 47. 48. 49. 50. 51. 应及时删除多余的、过期的帐户，避免共享帐户的存在。应及时删除或停用多余的、过期的帐户，避免共享帐户的存在。访谈，检查。服务器操作系统、数据库，服务器操作系统文档，数据库管理系统文档。 52. 53. 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关时间。应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。访谈，检查，测试。安全审计员，服务器操作系统、数据库和重要终端操作系统。第 7 页符合情况 Y N O

类别序号测评内容（1.0）测评内容（2.0）测评方法（参考）结果记录等级保护二级技术类测评控制点(S2A2G2) 符合情况 Y N O 54. 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。 55. 应保护审计记录，避免受到未预期的删除、修改或覆盖等。入侵防范 56. 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他审计相关的信息。应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。应遵循最小安装的原则，仅安装需要的组件和应用程序。应关闭不需要的系统服务、默认共享和高危端口。用通过设定终端接入方式和网络地址范围对通信网络进行管理的管理终端进行限制。应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。应能发现可能存在的已知漏洞，并在经过充分测试评估后及时修补漏洞。访谈，检查。系统管理员，服务器操作系统。恶意代码防范可信验证 57. 应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库。 58. 应支持防恶意代码的统一管理。应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库。访谈，检查。安全管理员，服务器，终端，网络防恶意代码产品。 59. / 安全计算环境：可基于可信根对通信设备的系统引第 8 页

分享到：

赞收藏

资料库

信息安全等级保护二级测评控制点1.0&2.0.pdf

相关推荐

安全技术

热门标签

最新资料