資源描述:
《【7A文】二級等保標準》由會員上傳分享�����,免費在線閱讀�,更多相關內容在行業(yè)資料-天天文庫。
1���、【MeiWei81-優(yōu)質實用版文檔】二級等級保護要求一�����、技術要求技術要求項二級等保實現方式物理安全物理位置的選擇1)機房和辦公場地應選擇在具有防震�����、防風和防雨等能力的建筑內����。機房建設物理訪問控制1)機房出入口應有專人值守,鑒別進入的人員身份并登記在案����;2)應批準進入機房的來訪人員,限制和監(jiān)控其活動范圍����。門禁管理系統防盜竊和防破壞1)應將主要設備放置在物理受限的范圍內�����;2)應對設備或主要部件進行固定��,并設置明顯的不易除去的標記��;3)應將通信線纜鋪設在隱蔽處���,如鋪設在地下或管道中等�;4)應對介質分類標識�����,存儲在介質庫或檔案室中;5)應安裝必要的防盜
2����、報警設施,以防進入機房的盜竊和破壞行為�。機房建設防雷擊1)機房建筑應設置避雷裝置;2)應設置交流電源地線��。防雷系統防火1)應設置滅火設備和火災自動報警系統��,并保持滅火設備和火災自動報警系統的良好狀態(tài)����。消防系統防水和防潮1)水管安裝,不得穿過屋頂和活動地板下�����;2)應對穿過墻壁和樓板的水管增加必要的保護措施����,如設置套管;3)應采取措施防止雨水通過屋頂和墻壁滲透��;4)應采取措施防止室內水蒸氣結露和地下積水的轉移與滲透�����。機房建設防靜電1)應采用必要的接地等防靜電措施靜電地板溫濕度控制1)應設置溫、濕度自動調節(jié)設施�����,使機房溫�����、濕度的變化在設備運行所允許的
3��、范圍之內�����。機房動力環(huán)境監(jiān)控系統電力供應1)計算機系統供電應與其他供電分開�;2)應設置穩(wěn)壓器和過電壓防護設備��;3)應提供短期的備用電力供應(如UPS設備)��。UPS電磁防護1)應采用接地方式防止外界電磁干擾和設備寄生耦合干擾��;2)電源線和通信線纜應隔離�����,避免互相干擾。防電磁排插���,防電磁機柜網絡結構安1)網絡設備的業(yè)務處理能力應具備冗余空間�,要求滿足業(yè)務高峰期需設備做好雙機冗余【MeiWei81-優(yōu)質實用版文檔】【MeiWei81-優(yōu)質實用版文檔】安全全與網段劃分要����;1)應設計和繪制與當前運行情況相符的網絡拓撲結構圖;2)應根據機構業(yè)務的特點���,在滿足
4�����、業(yè)務高峰期需要的基礎上��,合理設計網絡帶寬����;3)應在業(yè)務終端與業(yè)務服務器之間進行路由控制���,建立安全的訪問路徑���;4)應根據各部門的工作職能����、重要性����、所涉及信息的重要程度等因素,劃分不同的子網或網段���,并按照方便管理和控制的原則為各子網���、網段分配地址段;5)重要網段應采取網絡層地址與數據鏈路層地址綁定措施�,防止地址欺騙����。網絡訪問控制1)應能根據會話狀態(tài)信息(包括數據包的源地址、目的地址��、源端口號�����、目的端口號、協議���、出入的接口��、會話序列號��、發(fā)出信息的主機名等信息�,并應支持地址通配符的使用)�,為數據流提供明確的允許/拒絕訪問的能力。防火墻撥號訪問控制1)應
5��、在基于安全屬性的允許遠程用戶對系統訪問的規(guī)則的基礎上���,對系統所有資源允許或拒絕用戶進行訪問���,控制粒度為單個用戶;2)應限制具有撥號訪問權限的用戶數量�。VPN網絡安全審計1)應對網絡系統中的網絡設備運行狀況、網絡流量�、用戶行為等事件進行日志記錄;2)對于每一個事件����,其審計記錄應包括:事件的日期和時間��、用戶����、事件類型�、事件是否成功,及其他與審計相關的信息���。上網行為管理設備邊界完整性檢查1)應能夠檢測內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為(即“非法外聯”行為)���。IDS入侵檢測網絡入侵防范1)應在網絡邊界處監(jiān)視以下攻擊行為:端口掃描、
6�����、強力攻擊�、木馬后門攻擊、拒絕服務攻擊�����、緩沖區(qū)溢出攻擊�、IP碎片攻擊、網絡蠕蟲攻擊等入侵事件的發(fā)生�����。IPS入侵防御惡意代碼防范1)應在網絡邊界及核心業(yè)務網段處對惡意代碼進行檢測和清除���;2)應維護惡意代碼庫的升級和檢測系統的更新�����;3)應支持惡意代碼防范的統一管理���。防毒墻網絡設備防護1)應對登錄網絡設備的用戶進行身份鑒別;2)應對網絡設備的管理員登錄地址進行限制�;維護堡壘機【MeiWei81-優(yōu)質實用版文檔】【MeiWei81-優(yōu)質實用版文檔】1)網絡設備用戶的標識應唯一;2)身份鑒別信息應具有不易被冒用的特點�,例如口令長度、復雜性和定期的更新等����;3
7、)應具有登錄失敗處理功能�����,如:結束會話、限制非法登錄次數����,當網絡登錄連接超時,自動退出���。主機系統安全身份鑒別1)操作系統和數據庫管理系統用戶的身份標識應具有唯一性����;2)應對登錄操作系統和數據庫管理系統的用戶進行身份標識和鑒別�����;3)操作系統和數據庫管理系統身份鑒別信息應具有不易被冒用的特點����,例如口令長度、復雜性和定期的更新等����;4)應具有登錄失敗處理功能,如:結束會話��、限制非法登錄次數����,當登錄連接超時,自動退出����。VPN自主訪問控制1)應依據安全策略控制主體對客體的訪問;2)自主訪問控制的覆蓋范圍應包括與信息安全直接相關的主體���、客體及它們之間的操作��;
8����、3)自主訪問控制的粒度應達到主體為用戶級�����,客體為文件�、數據庫表級;4)應由授權主體設置對客體訪問和操作的權限��;5)應嚴格限制默認用戶的訪問權限����。VPN
