logo资料库

安全等级保护2级和3级等保要求文档.doc

发布时间:2022-06-06 发布人:admin 分类:说明书 资料大小:0.28M 资料格式:doc 举报 版权申诉
第1页 / 共40页
第2页 / 共40页
第3页 / 共40页
第4页 / 共40页
第5页 / 共40页
第6页 / 共40页
第7页 / 共40页
第8页 / 共40页
资料共40页,剩余部分请下载后查看
    一、技术要求
    二、管理要求
    二级、三级等级保护要求比较 一、 技术要求 技术要求 二级等保 我方措施 三级等保 项 物 理 安 全 物 理 位 置 的 选 择 物 理 访 问 控 制 防 盗 窃 和 防 破 坏 1) 机房和办公场 1) 机房和办公场地应选择在具有防震、 地应选择在具 有防震、防风 和防雨等能力 的建筑内。 防风和防雨等能力的建筑内; 2) 机房场地应避免设在建筑物的高层或 地下室,以及用水设备的下层或隔壁; 3) 机房场地应当避开强电场、强磁场、 强震动源、强噪声源、重度环境污染、 易发生火灾、水灾、易遭受雷击的地 区。 1) 机房出入口应 1) 机房出入口应有专人值守,鉴别进入 有专人值守, 鉴别进入的人 员身份并登记 在案; 2) 应批准进入机 房 的 来 访 人 员,限制和监 控 其 活 动 范 围。 的人员身份并登记在案; 2) 应批准进入机房的来访人员,限制和 监控其活动范围; 3) 应对机房划分区域进行管理,区域和 区域之间设置物理隔离装置,在重要 区域前设置交付或安装等过度区域; 4) 应对重要区域配置电子门禁系统,鉴 别和记录进入的人员身份并监控其活 动。 1) 应将主要设备 1) 应将主要设备放置在物理受限的范围 放置在物理受 限的范围内; 2) 应对设备或主 要部件进行固 定,并设置明 显的不易除去 的标记; 3) 应将通信线缆 铺 设 在 隐 蔽 内; 2) 应对设备或主要部件进行固定,并设 置明显的无法除去的标记; 3) 应将通信线缆铺设在隐蔽处,如铺设 在地下或管道中等; 4) 应对介质分类标识,存储在介质库或 档案室中; 5) 设备或存储介质携带出工作环境时, 应受到监控和内容加密;
    技术要求 二级等保 我方措施 三级等保 项 处,如铺设在 地下或管道中 等; 6) 应利用光、电等技术设置机房的防盗 报警系统,以防进入机房的盗窃和破 坏行为; 4) 应对介质分类 7) 应对机房设置监控报警系统。 标识,存储在 介质库或档案 室中; 5) 应安装必要的 防 盗 报 警 设 施,以防进入 机房的盗窃和 破坏行为。 1) 机房建筑应设 置避雷装置; 2) 应设置交流电 源地线。 1) 应设置灭火设 备和火灾自动 报警系统,并 保持灭火设备 和火灾自动报 警系统的良好 状态。 1) 机房建筑应设置避雷装置; 2) 应设置防雷保安器,防止感应雷; 3) 应设置交流电源地线。 1) 应设置火灾自动消防系统,自动检测 火情、自动报警,并自动灭火; 2) 机房及相关的工作房间和辅助房,其 建筑材料应具有耐火等级; 3) 机房采取区域隔离防火措施,将重要 设备与其他设备隔离开。 1) 水管安装,不 1) 水管安装,不得穿过屋顶和活动地板 得穿过屋顶和 活动地板下; 2) 应对穿过墙壁 和楼板的水管 增加必要的保 护措施,如设 置套管; 3) 应采取措施防 下; 2) 应对穿过墙壁和楼板的水管增加必要 的保护措施,如设置套管; 3) 应采取措施防止雨水通过屋顶和墙壁 渗透; 4) 应采取措施防止室内水蒸气结露和地 下积水的转移与渗透。 防 雷 击 防 火 防 水 和 防 潮
    技术要求 二级等保 我方措施 三级等保 项 止雨水通过屋 顶 和 墙 壁 渗 透; 4) 应采取措施防 止室内水蒸气 结露和地下积 水的转移与渗 透。 1) 应采用必要的 接地等防静电 措施 1) 应采用必要的接地等防静电措施; 2) 应采用防静电地板。 1) 应设置温、湿 1) 应设置恒温恒湿系统,使机房温、湿 度的变化在设备运行所允许的范围之 内。 1) 计算机系统供电应与其他供电分开; 2) 应设置稳压器和过电压防护设备; 3) 应提供短期的备用电力供应(如 UPS 设备); 4) 应设置冗余或并行的电力电缆线路; 5) 应建立备用供电系统(如备用发电 机),以备常用供电系统停电时启用。 度自动调节设 施,使机房温、 湿度的变化在 设备运行所允 许 的 范 围 之 内。 1) 计算机系统供 电应与其他供 电分开; 2) 应设置稳压器 和过电压防护 设备; 3) 应提供短期的 备用电力供应 ( 如 UPS 设 备)。 1) 应采用接地方 1) 应采用接地方式防止外界电磁干扰和 式防止外界电 磁干扰和设备 寄 生 耦 合 干 设备寄生耦合干扰; 2) 电源线和通信线缆应隔离,避免互相 干扰; 防 静 电 温 湿 度 控 制 电 力 供 应 电 磁 防 护
    技术要求 二级等保 我方措施 三级等保 项 网 络 安 全 结 构 安 全 与 网 段 划 分 3) 对重要设备和磁介质实施电磁屏蔽。 扰; 2) 电源线和通信 线缆应隔离, 避 免 互 相 干 扰。 1) 网络设备的业 1) 网络设备的业务处理能力应具备冗余 务处理能力应 具 备 冗 余 空 间,要求满足 业务高峰期需 要; 空间,要求满足业务高峰期需要; 2) 应设计和绘制与当前运行情况相符的 网络拓扑结构图; 3) 应根据机构业务的特点,在满足业务 高峰期需要的基础上,合理设计网络 2) 应设计和绘制 带宽; 与当前运行情 况相符的网络 拓扑结构图; 3) 应根据机构业 务的特点,在 满足业务高峰 期需要的基础 上,合理设计 网络带宽; 4) 应在业务终端与业务服务器之间进行 路由控制建立安全的访问路径; 5) 应根据各部门的工作职能、重要性、 所涉及信息的重要程度等因素,划分 不同的子网或网段,并按照方便管理 和控制的原则为各子网、网段分配地 址段; 6) 重要网段应采取网络层地址与数据链 路层地址绑定措施,防止地址欺骗; 4) 应在业务终端 7) 应按照对业务服务的重要次序来指定 带宽分配优先级别,保证在网络发生 拥堵的时候优先保护重要业务数据主 机。 与业务服务器 之间进行路由 控制,建立安 全 的 访 问 路 径; 5) 应根据各部门 的工作职能、 重要性、所涉 及信息的重要 程度等因素,
    技术要求 二级等保 我方措施 三级等保 项 划分不同的子 网或网段,并 按照方便管理 和控制的原则 为各子网、网 段 分 配 地 址 段; 6) 重要网段应采 取网络层地址 与数据链路层 地 址 绑 定 措 施,防止地址 欺骗。 网 络 访 问 控 制 1) 应能根据会话 防 火 墙 1) 应能根据会话状态信息(包括数据包 状态信息(包 软 件 结 的源地址、目的地址、源端口号、目 括数据包的源 合 主 机 的端口号、协议、出入的接口、会话 地址、目的地 软 件 防 序列号、发出信息的主机名等信息, 址、源端口号、 火墙,对 并应支持地址通配符的使用),为数据 目的端口号、 网 络 访 协议、出入的 问 进 行 接口、会话序 限制。 列号、发出信 息的主机名等 信息,并应支 持地址通配符 的使用),为数 据流提供明确 的 允 许 / 拒 绝 访问的能力。 流提供明确的允许/拒绝访问的能力; 2) 应对进出网络的信息内容进行过滤, 实现对应用层 HTTP、FTP、TELNET、 SMTP、POP3 等协议命令级的控制; 3) 应依据安全策略允许或者拒绝便携式 和移动式设备的网络接入; 4) 应在会话处于非活跃一定时间或会话 结束后终止网络连接; 5) 应限制网络最大流量数及网络连接 数。 拨 号 访 1) 应在基于安全 属性的允许远 程用户对系统 配 置 操 1) 应在基于安全属性的允许远程用户对 作 系 统 系统访问的规则的基础上,对系统所 资 源 访 有资源允许或拒绝用户进行访问,控
    技术要求 二级等保 我方措施 三级等保 项 问 控 制 网 络 安 全 审 计 边 界 完 整 性 检 查 访问的规则的 问控制 制粒度为单个用户; 基础上,对系 统所有资源允 许或拒绝用户 进行访问,控 制粒度为单个 用户; 2) 应限制具有拨 号访问权限的 用户数量。 1) 应对网络系统 中的网络设备 运行状况、网 络流量、用户 行为等事件进 行日志记录; 2) 应限制具有拨号访问权限的用户数 量; 3) 应按用户和系统之间的允许访问规 则,决定允许用户对受控系统进行资 源访问。 依 赖 操 1) 应对网络系统中的网络设备运行状 作 系 统 况、网络流量、用户行为等进行全面 本 身 的 的监测、记录; 事 件 记 2) 对于每一个事件,其审计记录应包括: 录机制, 事件的日期和时间、用户、事件类型、 2) 对于每一个事 确 保 启 事件是否成功,及其他与审计相关的 件,其审计记 用 此 功 信息; 录应包括:事 件的日期和时 间、用户、事 件类型、事件 是否成功,及 其他与审计相 关的信息。 能 3) 安全审计应可以根据记录数据进行分 析,并生成审计报表; 4) 安全审计应可以对特定事件,提供指 定方式的实时报警; 5) 审计记录应受到保护避免受到未预期 的删除、修改或覆盖等。 1) 应能够检测内 只 对 内 1) 应能够检测内部网络中出现的内部用 部网络中出现 的内部用户未 通过准许私自 联到外部网络 的行为(即“非 法 外 联 ” 行 网 特 定 户未通过准许私自联到外部网络的行 IP 端 口 为(即“非法外联”行为); 的应用, 2) 应能够对非授权设备私自联到网络的 且 其 有 行为进行检查,并准确定出位置,对 对 外 网 其进行有效阻断;
    技术要求 二级等保 我方措施 三级等保 项 为)。 络 访 问 3) 应能够对内部网络用户私自联到外部 权限的, 网络的行为进行检测后准确定出位 才放行 置,并对其进行有效阻断。 1) 应在网络边界 防 火 墙 1) 应在网络边界处应监视以下攻击行 处监视以下攻 击行为:端口 扫描、强力攻 击、木马后门 攻击、拒绝服 务攻击、缓冲 区溢出攻击、 IP 碎片攻击、 网络蠕虫攻击 等入侵事件的 发生。 配 合 入 为:端口扫描、强力攻击、木马后门 侵 检 测 攻击、拒绝服务攻击、缓冲区溢出攻 软件 击、IP碎片攻击、网络蠕虫攻击等入 侵事件的发生; 2) 当检测到入侵事件时,应记录入侵的 源IP、攻击的类型、攻击的目的、攻 击的时间,并在发生严重入侵事件时 提供报警。 1) 应在网络边界 运 行 入 1) 应在网络边界及核心业务网段处对恶 及核心业务网 段处对恶意代 码进行检测和 清除; 2) 应维护恶意代 侵 检 测 意代码进行检测和清除; 软 件 实 2) 应维护恶意代码库的升级和检测系统 时 拦 截 的更新; 并阻止, 3) 应支持恶意代码防范的统一管理。 码库的升级和 要 求 各 检测系统的更 应 用 系 新; 3) 应支持恶意代 码防范的统一 管理。 1) 应对登录网络 设备的用户进 行身份鉴别; 2) 应对网络设备 的管理员登录 统 进 行 漏 洞 修 复。 操 作 系 1) 应对登录网络设备的用户进行身份鉴 统 配 置 别; 密 码 复 2) 应对网络上的对等实体进行身份鉴 杂度、用 别; 网 络 入 侵 防 范 恶 意 代 码 防 范 网 络 设 备 防
    技术要求 二级等保 我方措施 三级等保 项 护 地 址 进 行 限 户 权 限 3) 应对网络设备的管理员登录地址进行 等 以 实 限制; 现要求。 4) 网络设备用户的标识应唯一; 5) 身份鉴别信息应具有不易被冒用的特 点,例如口令长度、复杂性和定期的 更新等; 6) 应对同一用户选择两种或两种以上组 合的鉴别技术来进行身份鉴别; 7) 应具有登录失败处理功能,如:结束 会话、限制非法登录次数,当网络登 录连接超时,自动退出; 8) 应实现设备特权用户的权限分离,例 如将管理与审计的权限分配给不同的 网络设备用户。 制; 3) 网络设备用户 的 标 识 应 唯 一; 4) 身份鉴别信息 应具有不易被 冒用的特点, 例 如 口 令 长 度、复杂性和 定 期 的 更 新 等; 5) 应具有登录失 败处理功能, 如:结束会话、 限制非法登录 次数,当网络 登 录 连 接 超 时,自动退出。 身 份 鉴 别 主 机 系 统 安 全 1) 操作系统和数 操 作 系 1) 操作系统和数据库管理系统用户的身 据库管理系统 用户的身份标 识应具有唯一 性; 2) 应对登录操作 系统和数据库 统 及 数 份标识应具有唯一性; 据 库 进 2) 应对登录操作系统和数据库管理系统 行 配 置 的用户进行身份标识和鉴别; 即 可 满 3) 应对同一用户采用两种或两种以上组 足 安 全 合的鉴别技术实现用户身份鉴别; 管理系统的用 要求。 4) 操作系统和数据库管理系统用户的身 户进行身份标 识和鉴别; 3) 操作系统和数 据库管理系统 身份鉴别信息 份鉴别信息应具有不易被冒用的特 点,例如口令长度、复杂性和定期的 更新等; 5) 应具有登录失败处理功能,如:结束
    分享到:
    收藏

    相关推荐

    资料库

    信息化

    共收录1827份资料,累计6个分类,关注成员有19位,主要包括:管理软件,企业管理,电子商务,其它,IT管理,项目管理

    热门标签

    管理软件 企业管理 电子商务 其它 IT管理 项目管理

    最新资料