等级保护第三级基本要求
1.1.1
物理安全
实施建议 残留问题
1.1.1.1
物理位置的选择( G3)
本项要求包括:
a)
机房和办公场地应选择在具有防震、防风和防雨等能力的建筑;
b) 机房场地应避免设在建筑物的高 层或地下室,以及用水设备的下 层或隔壁。
一般选择在建筑物 2-3 层。(同
B 类安全机房的选址要求。)
1.1.1.2
物理访问控制( G3)
本项要求包括:
a)
机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动围;
c)
应对机房划分区域进行管理,区 域和区域之间设置物理隔离装 置,在重要区域前设置交付或安 装等过渡区域;
重要区域物理隔离,并安装电 子门禁系统(天宇飞翔,微耕, 瑞 士 KABA
或德国 KABA
Gallenschutz )
d)
重要区域应配置电子门禁系统, 控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏( G3)
本项要求包括: a) b)
应将主要设备放置在机房; 应将设备或主要部件进行固定, 并设置明显的不易除去的标记;
使用机柜并在设备上焊接铭 牌,标明设备型号、负责保管 人员、维护单位等信息。(设 备铭牌只能被破坏性地去除。)
应将通信线缆铺设在隐蔽处,可 铺设在地下或管道中;
c)
d)
应对介质分类标识,存储在介质 库或档案室中;
e)
应利用光、电等技术设置机房防 盗报警系统;
机房安装光电防盗报警系统。
f)
应对机房设置监控报警系统。 防雷击( G3)
机房安装视频监控报警系统。
1.1.1.4
本项要求包括:
a) b)
机房建筑应设置避雷装置;
应设置防雷保安器, 防止感应雷; 安装电源三级防雷器和信号二
级防雷器(美国克雷太 ALLTEC)。
c)
机房应设置交流电源地线。
防火( G3)
1.1.1.5
安装有管网气体自动灭火系
本项要求包括: a)
机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
统。
b)
机房及相关的工作房间和辅助房 应采用具有耐火等级的建筑材 料;
进行机房改造,使用防火材料 装修。
c)
机房应采取区域隔离防火措施, 将重要设备与其他设备隔离开。
进行机房改造,重要区域使用 防火玻璃隔断。
1.1.1.6 防水和防潮( G3)
本项要求包括: a)
b)
c)
水管安装,不得穿过机房屋顶和活动地板下;
应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; 应采取措施防止机房水蒸气结露和地下积水的转移与渗透;
d)
应安装对水敏感的检测仪表或元 件,对机房进行防水 检测和报警。
安装机房动力环境监控系统(对机房设备的运行状态、温度、湿度、洁净度、供电的电压、电流、频率、配电系统的开关状态、测漏系统等进行实时监控并记录历史数据),其中含漏水检测装置。
1.1.1.7
防静电( G3)
本项要求包括: a)
主要设备 应采用必要的接地防静电措施; b)
机房应采用防静电地板。
温湿度控制( G3)
1.1.1.8
安装精密空调系统,配置温湿
机房应设置温、湿度自动调节设施, 度检测装置,并接入动力环境
使机房温、湿度的变化在设备运行所允许 监控系统。
的围之。
1.1.1.9
电力供应( A3)
配置线路稳压器和电源保护装
本项要求包括: a)
b)
应在机房供电线路上配置稳压器和过电压防护设备;
置(如金属氧化物可变电阻、
硅雪崩二极管、气体放电管、
滤波器、电压调整变压器和浪
涌滤波器)。
应提供短期的备用电力供应,至少满足 主要设备 在断电情况下的正常运行要求;
为主要设备配置 UPS。
c)
应设置冗余或并行的电力电缆线路为计算机系统供电; 应建立备用供电系统。
d)
提供备用供电系统,并根据对
业务恢复时间的要求,制定备
用供电系统的切换时间。
1.1.1.10
电磁防护( S3)
本项要求包括:
a)
b)
c)
应采用接地方式防止外界电磁干扰和设备寄生耦合干扰; 电源线和通信线缆应隔离铺设,避免互相干扰;
应对关键设备和磁介质实施电磁屏蔽。
网络安全
结构安全( G3)
采用屏蔽机柜。
1.1.2
1.1.2.1
本项要求包括:
a)
应保证 主要网络设备 的业务处理能力具备冗余空间,满足业务高峰期需要;
b)
c)
应保证 网络各个部分的带宽 满足业务高峰期需要 ;
应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
d)
e)
应绘制与当前运行情况相符的网络拓扑结构图;
应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并
按照方便管理和控制的原则为各 子网、网段分配地址段;
f)
应避免将重要网段部署在网络边 界处且直接连接外部信息系统, 重要网段与其他网段之间采取可 靠的技术隔离手段;
g)
应按照对业务服务的重要次序来 指定带宽分配优先级别,保证在 网络发生拥堵的时候优先保护重 要主机。
1.1.2.2
访问控制( G3)
重要网段与其他网段之间采用 防火墙或网闸进行隔离。
在多个业务共用的网络设备上 配置 QOS。
在网络边界部署防火墙。
本项要求包括:
a)
b)
应在网络边界部署访问控制设备,启用访问控制功能; 应能根据会话状态信息为数据流提供明确的允许 /拒绝访问的能力,
c)
控制粒度为端口级 ; 应对进出网络的信息容进行过 滤,实现对应用层 HTTP 、FTP 、 TELNET 、SMTP 、POP3 等协议命
d)
e)
f)
g)
令级的控制;
应在会话处于非活跃一定时间或会话结束后终止网络连接; 应限制网络最大流量数及网络连接数;
重要网段应采取技术手段防止地址欺骗;
应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度
h)
为单个用户;
应限制具有拨号访问权限的用户数量。
1.1.2.3
安全审计( G3)
本项要求包括:
a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
b) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c)
应能够根据记录数据进行分析, 并生成审计报表;
部署专业的日志审计系统。
d) 应对审计记录进行保护,避免受 到未预期的删除、 修改或覆盖等。
1.1.2.4
边界完整性检查( S3)
本项要求包括:
a)
应能够对非授权设备私自联到部 网络的行为进行检查,准确定出 位置,并对其进行有效阻断;
部署终端安全管理系统,利用 IP/MAC 绑定及 ARP 阻断功能 实现非法接入控制。
部署终端安全管理系统,提供 非法外联监控功能。
b)
应能够对部网络用户私自联到外 部网络的行为进行检查,
准确定
出位置,并对其进行有效阻断。
1.1.2.5
入侵防( G3)
部署入侵检测系统。
本项要求包括:
a)
应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、 IP 碎片攻击和网络蠕虫攻击
b)
等;
当检测到攻击行为时,记录攻击源 IP 、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
1.1.2.6
恶意代码防( G3) 部署病毒过滤网关系统。
本项要求包括:
a)
b)
应在网络边界处对恶意代码进行检测和清除;
应维护恶意代码库的升级和检测系统的更新。
网络设备防护( G3)
1.1.2.7
本项要求包括:
a)
b)
应对登录网络设备的用户进行身份鉴别;
应对网络设备的管理员登录地址
进行限制;
c)
网络设备用户的标识应唯一; 主要网络设备应对同一用户选择 两种或两种以上组合的鉴别技术 来进行身份鉴别;
d)
采用动态电子令牌身份认证系 统(如 RSA SecurID )。
e)
身份鉴别信息应具有不易被冒用 的特点,口令应有复杂度要求并 定期更换;
f)
应具有登录失败处理功能,可采 取结束会话、限制非法登录次数 和当网络登录连接超时自动退出 等措施;
g)
当对网络设备进行远程管理时, 应采取必要措施防止鉴别信息在 网络传输过程中被窃听;
h)
应实现设备特权用户的权限分 离。 主机安全
身份鉴别( S3)
1.1.3 1.1.3.1
本项要求包括:
a)
应对登录操作系统和数据库系统 的用户进行身份标识和鉴别;
采用操作系统和数据库系统安 全评估和加固服务。
b)
操作系统和数据库系统管理用户 身份标识应具有不易被冒用的特 点,口令应有复杂度要求并定期 更换;
c)
应启用登录失败处理功能,可采 取结束会话、限制非法登录次数 和自动退出等措施;
d)
当对服务器进行远程管理时,应 采取必要措施,防止鉴别信息在 网络传输过程中被窃听;
e)
应为操作系统和数据库系统的不 同用户分配不同的用户名,确保 用户名具有唯一性。
f)
应采用两种或两种以上组合的鉴 别技术对管理用户进行身份鉴 别。
采用动态电子令牌身份认证系 统(如 RSA SecurID )。
1.1.3.2
访问控制( S3)
采用安全操作系统(如一些国
本项要求包括:
a)
应启用访问控制功能,依据安全策略控制用户对资源的访问;
产 Linux 操作系统或 B1 级操作系统) 或在 C2 级操作系统中安装核加固软件(如浪潮 SSR 服务器安全加固系统-适用
b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
Windows )。
c)
d)
应实现操作系统和数据库系统特权用户的权限分离;
应严格限制默认的访问权限,重命名系统默认,修改这些的默认口令;
e)
f)
g)
应及时删除多余的、过期的,避免共享的存在。
应对重要信息资源设置敏感标记;
应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;
1.1.3.3
安全审计( G3)
本项要求包括:
a)
审计围应覆盖到服务器和 重要客户端上 的每个操作系统用户和数据库用户;
服务器开启日志功能;重要客
b) 审计容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统重要的安全相关事件;
户端安装终端安全管理软件进
行审计。
c)
审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
d)
e)
应能够根据记录数据进行分析,并生成审计报表;
应保护审计进程,避免受到未预期的中断;
采用专业的日志审计系统。
服务器采用安全操作系统或安
装核加固软件,对审计进程进
行守护,防止进程中断;重要
客户端的终端安全管理代理进
程具有自我保护机制。
应保护审计记录,避免受到未预 期的删除、修改或覆盖等。 剩余信息保护( S3)
f)
采用专业的日志审计系统。
1.1.3.4 采用安全操作系统(如一些国 产 Linux 操作系统或 B1级操作 系统)或安装 Windows平台的剩 余信息保护软件。(同客体重 用。)
本项要求包括:
a)
应保证操作系统和数据库系统用 户的鉴别信息所在的存储空间, 被释放或再分配给其他用户前得 到完全清除,无论这些信息是存 放在硬盘上还是在存中;
b) 应确保系统的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
1.1.3.5
入侵防( G3)
本项要求包括:
a)
应能够检测到对重要服务器进行 入侵的行为,能够记录入侵的源 IP 、攻击的类型、攻击的目的、 攻击的时间,并在发生严重入侵 事件时提供报警;
采用主机或网络入侵检测系 统。
b)
应能够对重要程序的完整性进行 检测,并在检测到完整性受到破 坏后具有恢复的措施;
采用安全操作系统或安装核加 固软件。
c)
操作系统应遵循最小安装的原 则,仅安装需要的组件和应用程 序,并通过设置升级服务器等方 式保持系统补丁及时得到更新。 恶意代码防( G3)
采用操作系统安全评估和加固 服务,并部署补丁服务器。
1.1.3.6
安装网络版防病毒软件并与病 毒过滤网关异构。
本项要求包括:
a)
应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意
b)
代码库;
主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代
c)
码库;
应支持防恶意代码的统一管理。
资源控制( A3)
1.1.3.7
本项要求包括:
a)
应通过设定终端接入方式、网络 地址围等条件限制终端登录;
采用操作系统安全评估和加固
服务。
b)
应根据安全策略设置登录终端的操作超时锁定;
c)
应对重要服务器进行监视,包括 监视服务器的 CPU、硬盘、存、网 络等资源的使用情况;
采用操作系统附带或第三方资 源监控软件。
d)
应限制单个用户对系统资源的最 大或最小使用限度;
e)
应能够对系统的服务水平降低到 预先规定的最小值进行检测和报 警。 应用安全
身份鉴别( S3)
1.1.4 1.1.4.1
本项要求包括:
a)
应提供专用的登录控制模块对登 录用户进行身份标识和鉴别;
进行应用系统二次开发。
b)
应对同一用户采用两种或两种以 上组合的鉴别技术实现用户身份 鉴别;
采用数字证书身份认证系统。
c) 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;
d)
应提供登录失败处理功能,可采 取结束会话、限制非法登录次数
进行应用系统二次开发。
和自动退出等措施;
e)
应启用身份鉴别、用户身份标识 唯一性检查、用户身份鉴别信息 复杂度检查以及登录失败处理功
能,并根据安全策略配置相关参
数。
1.1.4.2
访问控制( S3)
本项要求包括:
a)
应提供访问控制功能,依据安全 策略控制用户对文件、数据库表
进行应用系统二次开发,并结
合采用第三方身份认证和访问
等客体的访问;
控制系统。
b) 访问控制的覆盖围应包括与资源访问相关的主体、客体及它们之间的操作;
d) c)
应由授权主体配置访问控制策 略,并严格限制默认的访问权限; 应授予不同为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
e)
应具有对重要信息资源设置敏感 标记的功能;
借助安全操作系统或核加固软 件提供的强制访问控制功能实 现。
f)
应依据安全策略严格控制用户对 有敏感标记重要信息资源的操 作;
安全审计( G3)
1.1.4.3
本项要求包括:
a)
应提供覆盖到每个用户的安全审 计功能,对应用系统重要安全事 件进行审计;
采用网络审计结合日志审计实 现;应用服务器采用安全操作 系统或安装核加固软件,对审
,
计进程进行守护,防止进程中 断。
b)
应保证无法单独中断审计进程
无法删除、 修改或覆盖审计记录;
c)
审计记录的容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等; d)
应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。
1.1.4.4
剩余信息保护( S3)
同主机安全。
本项要求包括:
a)
应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息
是存放在硬盘上还是在存中;
b) 应保证系统的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。
1.1.4.5
通信完整性( S3) 采用 SSL 或 IPSEC 技术,结合 基于数字证书的 PKI 体系。
应采用 密码技术 保证通信过程中数据的完整性。
1.1.4.6
通信性( S3)
本项要求包括:
a)
在通信双方建立连接之前,应用系统应利用密码技术进行会话初
b)
始化验证;
应对通信过程中的 整个报文或会话过程 进行加密。
1.1.4.7
抗抵赖( G3)
本项要求包括:
a) 应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能;
b)
应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。
1.1.4.8
软件容错( A3) 进行应用系统二次开发。
本项要求包括:
a)
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合
b)
系统设定要求;
应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。
1.1.4.9
资源控制( A3)
进行应用系统二次开发或采用
本项要求包括:
a)
当应用系统的通信双方中的一方在一段时间未作任何响应,另一
b)
c)
d)
e)
方应能够自动结束会话; 应能够对系统的最大并发会话连接数进行限制;
应能够对单个的多重并发会话进行限制;
应能够对一个时间段可能的并发会话连接数进行限制; 应能够对一个访问或一个请求进程占用的资源分配最大限额和最
f)
g)
小限额;
应能够对系统服务水平降低到预先规定的最小值进行检测和报警; 应提供服务优先级设定功能,并在安装后根据安全策略设定访问或请求进程的优先级,根据优先级分配系统资源。
第三方应用监控系统。
数据安全及备份恢复
1.1.5 1.1.5.1
数据完整性( S3)
本项要求包括:
应能够检测到 系统管理数据 、鉴 采用 SSL 或 IPSEC 技术,结合
a)
别信息和重要业务数据在传输过 程中完整性受到破坏, 并在检测 到完整性错误时采取必要的恢复 措施;
b)
应能够检测到系统管理数据、鉴 别信息和重要业务数据在存储过 程中完整性受到破坏,并在检测 到完整性错误时采取必要的恢复 措施。
数据性( S3)
基于数字证书的 PKI 体系。
利用安全操作系统或安装核加 固软件提供的文件完整性保护 功能或数据库系统提供的完整 性保护功能。
1.1.5.2
本项要求包括:
a)
应采用加密或其他有效措施实现 系统管理数据、鉴别信息和重要
采用 SSL 或 IPSEC 技术,结合 基于数字证书的 PKI 体系。
业务数据传输性;
b)
应采用加密或其他保护措施实现
利用操作系统和数据库系统提
系统管理数据 、鉴别信息和 重要 供的加密存储机制。 业务数据 存储性。 备份和恢复( A3)
1.1.5.3
本项要求包括:
a)
应提供本地数据备份与恢复功 能,完全数据备份至少每天一次, 备份介质场外存放;
采用磁带机或光盘备份。
b)
应提供异地数据备份功能,利用 通信网络将关键数据定时批量传 送至备用场地;
采用异地数据备份机制。
c)
应采用冗余技术设计网络拓扑结 构,避免关键节点存在单点故障;
关键节点设备采用双机热备 份。
主要网络设备、服务器双机热 备份,主要通信线路双线路备 份。
d)
应提供主要网络设备、通信线路 和数据处理系统的硬件冗余,保 证系统的高可用性。
1.2 管理要求
1.2.1 1.2.1.1
安全管理制度
管理制度( G3)
安全管理咨询服务,帮助用户 建立全面的信息安全管理制度 体系,包括制定安全策略、管 理制度和操作规程等,并协助 用户对管理制度进行发布、评 审和修订。
本项要求包括:
a)
应制定信息安全工作的总体方针 和安全策略,说明机构安全工作 的总体目标、围、原则和安全框 架等;
b)
c)
d)
应对安全管理活动中的各类管理容建立安全管理制度; 应对要求管理人员或操作人员执行的日常管理操作建立操作规程; 应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系 。
1.2.1.2
制定和发布( G3)
本项要求包括:
a)
b)
c)
d)
e)
应指定或授权专门的部门或人员负责安全管理制度的制定; 安全管理制度应具有统一的格式,并进行版本控制; 应组织相关人员对制定的安全管理制度进行论证和审定; 安全管理制度应通过正式、有效的方式发布;
安全管理制度应注明发布围,并对收发文进行登记。
评审和修订( G3)
1.2.1.3
本项要求包括:
a)
信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定;
b)
应定期或不定期对安全管理制度进行检查和审定 ,对存在不足或需要改进的安全管理制度进行修订。
1.2.2 1.2.2.1
安全管理机构
岗位设置( G3)
安全管理咨询服务,帮助用户 建立全面的安全管理组织机 构,包括在岗位设置、人员配 备、职责定义等方面提供合理 建议。
本项要求包括:
a)
应设立信息安全管理工作的职能 部门 ,设立安全主管、安全管理 各个方面的负责人岗位,并定义 各负责人的职责;
b) 应设立系统管理员、 网络管理员、安全管理员等岗位,并定义各个工作岗位的职责;
c)
应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;
d) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
1.2.2.2
人员配备( G3)
本项要求包括:
a)
应配备一定数量的系统管理员、网络管理员、安全管理员等;
b)
c)
应配备专职安全管理员,不可兼任;
关键事务岗位应配备多人共同管理。
授权和审批( G3)
1.2.2.3
本项要求包括:
a)
应根据各个部门和岗位的职责明确授权审批事项 、审批部门和批准
b)
人等;
应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批
c)
制度;
应定期审查审批事项,及时更新需授权和审批的项目、审批部门
d)
和审批人等信息;
应记录审批过程并保存审批文
档。
1.2.2.4
沟通和合作( G3)
本项要求包括:
a) 应加强各类管理人员之间、组织部机构之间以及信息安全职能部门部的合作与沟通 ,定期或不定期召开协调会议,共同协作处理信息安
b)
c)
全问题 ;
应加强与兄弟单位、公安机关、电信公司的合作与沟通; 应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通; d)
应建立外联单位联系列表,包括外联单位名称、合作容、联系人和联系方式等信息;
e)
应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等。
1.2.2.5
审核和检查( G3)
本项要求包括:
a)
安全管理员应负责定期进行安全检查,检查容包括系统日常运行、系
b)
统漏洞和数据备份等情况;
应由部人员或上级单位定期进行全面安全检查,检查容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;
c) 应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;
d)
应制定安全审核和安全检查制度规安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。
1.2.3
人员安全管理
1.2.3.1 人员录用( G3) 安全管理咨询服务,协助用户 建立人员安全管理制度,涵盖 人员录用、离岗、考核、教育, 以及对外部来访人员进行合理 管理等各个方面。
安全培训服务,为用户的各类 人员提供安全意识教育、岗位 安全操作技能培训和相关安全 技术培训等。
本项要求包括:
a)
应指定或授权专门的部门或人员 负责人员录用;
b)
应严格 规人员录用过程,对被录 用人的身份、背景、专业资格和 资质 等进行审查,对其所具有的 技术技能进行考核;
c) d)
应签署协议 ;
应从部人员中选拔从事关键岗位 的人员 ,并签署岗位安全协议 。
1.2.3.2
人员离岗( G3)
本项要求包括:
a)
b)
c)
应严格 规人员离岗过程,及时终止离岗员工的所有访问权限; 应取回各种件、钥匙、徽章等以及机构提供的软硬件设备; 应办理严格的调离手续, 关键岗位人员离岗须承诺调离后的义务后方可离开 。
1.2.3.3
人员考核( G3)
本项要求包括:
a)
b)
应定期对各个岗位的人员进行安全技能及安全认知的考核;
应对关键岗位的人员进行全面、严格的安全审查和技能考核;
c) 1.2.3.4
应对考核结果进行记录并保存 。 安全意识教育和培训(
G3)
本项要求包括:
a) 应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;
b)
应对安全责任和惩戒措施进行书面规定 并告知相关人员,对违反违背安全策略和规定的人员进行惩戒;
c)
应对定期安全教育和培训进行书面规定,针对不同岗位制定不同
的培训计划 ,对信息安全基础知
识、岗位操作规程等进行培训;
d)
应对安全教育和培训的情况和结果进行记录并归档保存。 外部人员访问管理( G3)
1.2.3.5
本项要求包括:
a)
应确保在外部人员访问受控区域前先提出书面申请 ,批准后由专人全
b)
程陪同或监督, 并登记备案;
对外部人员允许访问的区域、系统、设备、信息等容应进行书面的规定,并按照规定执行 。
1.2.4
系统建设管理
1.2.4.1
系统定级( G3) 等级保护定级咨询服务。
本项要求包括:
a)
b)
应明确信息系统的边界和安全保护等级;
应以书面的形式说明确定信息系统为某个安全保护等级的方法和
c)
理由;
应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定;
d) 应确保信息系统的定级结果经过相关部门的批准。
1.2.4.2
安全方案设计( G3)
等级保护规划咨询服务,按照
本项要求包括:
a)
安全保护等级对信息系统进行
应根据系统的安全保护等级选择 基本安全措施,并依据风险分析
总体安全规划和详细方案设
计。
的结果补充和调整安全措施;
b) 应指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划;
c)
应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件;
d) 应组织相关部门和有关安全技术专家 对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件 的合理性和正确性进行论证和审定,并且经过批准后,
e)
才能正式实施;
应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。
1.2.4.3 产品采购和使用( G3) 等级保护安全集成服务,为用 户提供安全产品供货、安全系
本项要求包括:
a)
应确保安全产品采购和使用符合 国家的有关规定;
统集成(工程实施、测试验收、 系统交付)等服务。
安全管理咨询服务,帮助用户 指定软件开发和外包管理制
b)
应确码产品采购和使用符合国家 密码主管部门的要求;
度。
c)
d)
应指定或授权专门的部门负责产品的采购;
应预先对产品进行选型测试,确定产品的候选围,并定期审定和更新候选产品。
1.2.4.4 自行软件开发( G3)
本项要求包括:
a) 应确保开发环境与实际运行环境物理分开, 开发人员和测试人员分离,测试数据和测试结果受到控制;
b)
应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;
c)
d)
e)
应制定代码编写安全规,要求开发人员参照规编写代码; 应确保提供软件设计的相关文档和使用指南, 并由专人负责保管; 应确保对程序资源库的修改、更新、发布进行授权和批准。 外包软件开发( G3)
1.2.4.5
本项要求包括:
a) b)
c)
d)
应根据开发需求检测软件质量; 应在软件安装之前检测软件包中可能存在的恶意代码; 应要求开发单位提供软件设计的相关文档和使用指南;
应要求开发单位提供软件源代码,并审查软件中可能存在的后门。
1.2.4.6
工程实施( G3)
本项要求包括:
a)
b)
应指定或授权专门的部门或人员负责工程实施过程的管理; 应制定详细的工程实施方案控制实施过程, 并要求工程实施单位
c)
能正式地执行安全工程过程 ; 应制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。
1.2.4.7
测试验收( G3)
本项要求包括:
a)
应委托公正的第三方测试单位 对系统进行安全性测试, 并出具安
全性测试报告 ;
b) 在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报
c)
告;
应对系统测试验收的控制方法和人员行为准则进行书面规定;
d) 应指定或授权专门的部门负责系统测试验收的管理,并按照管理规定的要求完成系统测试验收工作;
e)
应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。
1.2.4.8
系统交付( G3)
本项要求包括:
a)
应制定 详细的 系统交付清单,并根据交付清单对所交接的设备、
b)
c)
软件和文档等进行清点; 应对负责系统运行维护的技术人员进行相应的技能培训; 应确保提供系统建设过程中的文档和指导用户进行系统运行维护
d)
e)
的文档;
应对系统交付的控制方法和人员行为准则进行书面规定;
应指定或授权专门的部门负责系统交付的管理工作,并按照管理规定的要求完成系统交付工作。
1.2.4.9
系统备案( G3)
等级保护测评支持服务,包括
本项要求包括:
a) 应指定专门的部门或人员负责管
理系统定级的相关材料,并控制
这些材料的使用;
b) 应将系统等级及相关材料报系统
主管部门备案;
c) 应将系统等级及其他要求的备案
备案材料准备、等级测评技术
支撑等服务。
材料报相应公安机关备案。
1.2.4.10
等级测评( G3)
本项要求包括:
a) 在系统运行过程中,应至少每年对系统进行一次等级测评,发现不符合相应等级保护标准要求的及时整改;
b)
应在系统发生变更时及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标
c)
准要求的及时整改;
应选择具有国家相关技术资质和安全资质的测评单位进行等级测评; d)
应指定或授权专门的部门或人员负责等级测评的管理。 安全服务商选择(
G3)
1.2.4.11
本项要求包括:
a)
b)
应确保安全服务商的选择符合国家的有关规定;
应与选定的安全服务商签订与安全相关的协议,明确约定相关责任;
c)
应确保选定的安全服务商提供技术培训和服务承诺,必要的与其签订服务合同。
1.2.5 系统运维管理
1.2.5.1
环境管理( G3)
安全管理咨询服务,协助用户
本项要求包括:
a)
应指定专门的部门或人员定期对机房供配电、空调、温湿度控制
b)
等设施进行维护管理;
应指定部门负责机房安全 ,并配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管
c)
理;
应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的
d)
管理作出规定;
应加强对办公环境的性管理,规办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、 工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等。
制定并落实如何对环境、资产、
介质、设备进行安全管理的制
度。
1.2.5.2
资产管理( G3)
本项要求包括:
a)
应编制并保存与信息系统相关的资产清单,包括资产责任部门、
重要程度和所处位置等容;
b) 应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规资产管理和使用的行为;
c)
应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施;
d)
应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规化管理。
1.2.5.3
介质管理( G3)
本项要求包括:
a) 应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定;
b)
应确保介质存放在安全的环境 中,对各类介质进行控制和保护,
c)
并实行存储环境专人管理; 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制, 对介质归档和查询等进行登记记录,并根据存档介质的
d)
目录清单定期盘点;
应对存储介质 的使用过程 、送出维修以及销毁等进行严格的管 理, 对带出工作环境的存储介质进行容加密和监控管理, 对送出维修或销毁的介质应首先清除介质中的敏感数据, 对性较高的存储介质未
e)
经批准不得自行销毁;
应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同;
f) 应对重要介质中的数据和软件采取加密存储, 并根据所承载数据和软件的重要程度对介质进行分类和标识管理。
1.2.5.4
设备管理( G3)
本项要求包括:
a)
应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进
b)
行维护管理;
应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规
c)
化管理;
应建立配套设施、软硬件维护方面的管理制度,对其维护进行有
效的管理,包括明确维护人员的
责任、涉外维修和服务的审批、
维修过程的监督控制等;
d) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规化管理,按操作规程实现主要设备(包括备份和冗余设备)的启
e)
动 / 停止、加电 / 断电等操作;
应确保信息处理设备必须经过审批才能带离机房或办公地点。
1.2.5.5
监控管理和安全管理中心( G3)
本项要求包括:
a)
应对通信线路、主机、网络设备 和应用软件的运行状况、网络流 量、用户行为等进行监测和报警, 形成记录并妥善保存;
网络管理系统,应用监控系统, 安全管理系统。
b)
应组织相关人员定期对监测和报 警记录进行分析、评审,发现可 疑行为,形成分析报告,并采取 必要的应对措施;
安全巡检服务。
c)
应建立安全管理中心,对设备状 态、恶意代码、补丁升级、安全 审计等安全相关事项进行集中管 理。
安全设备与策略管理系统,网 络防病毒管理中心,终端安全 管理系统的补丁管理模块,安 全信息管理系统。
1.2.5.6 网络安全管理( G3)
本项要求包括:
a)
应指定专人对网络进行管理,负 责运行日志、网络监控记录的日 常维护和报警信息分析和处理工 作;
应建立网络安全管理制度,对网 络安全配置、日志保存时间、安 全策略、升级与打补丁、口令更 新周期等方面作出规定;
应根据厂家提供的软件升级版本 对网络设备进行更新,并在更新
日常安全运维服务。
b)
安全管理咨询服务,协助用户 制定并落实网络安全管理制 度。
c)
日常安全运维服务。
前对现有的重要文件进行备份; 应定期对网络系统进行漏洞扫 描,对发现的网络系统安全漏洞 进行及时的修补;
应实现设备的最小服务配置,
d)
网络安全评估和加固服务。可 购置专业漏洞扫描设备。
e)
并
日常安全运维服务。
对配置文件进行定期 离线 备份; 应保证所有与外部系统的连接均 得到授权和批准;
应依据安全策略允许或者拒绝便 携式和移动式设备的网络接入;
应定期检查违反规定拨号上网或其他违反网络安全策略的行为。
f)
采用终端安全管理系统提供的 网络准入控制功能(防火墙联 动、 802.1X 准入)和非法外联 监控功能。
g)
h)
1.2.5.7 系统安全管理( G3)
本项要求包括:
a)
应根据业务需求和系统安全分析 确定系统的访问控制策略;
系统安全评估和加固服务。
b)
应定期进行漏洞扫描,对发现的 系统安全漏洞及时进行修补;
系统安全评估和加固服务。可 购置专业漏洞扫描设备。 终端安全管理系统的补丁管理 功能模块。
c)
应安装系统的最新补丁程序,在 安装系统补丁前,首先在测试环 境中测试通过,并对重要文件进 行备份后,方可实施系统补丁程 序的安装;
d)
应建立系统安全管理制度,对系 统安全策略、安全配置、日志管 理和日常操作流程等方面作出具 体规定;
安全管理咨询服务,协助用户 制定并落实系统安全管理制 度、流程和人员职责。
e) 应指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,权限设定应当遵循最小授权原则;
f)
应依据操作手册对系统进行维 护,详细记录操作日志,包括重 要的日常操作、运行维护记录、
日常安全运维服务。
参数的设置和修改等容,严禁进
行未经授权的操作;
g)
应定期对运行日志和审计数据进 行分析,以便及时发现异常行为。
安全巡检服务。
1.2.5.8 恶意代码防管理( G3) 安全管理咨询服务,协助用户 制定并落实恶意代码防管理制 度。
恶意代码防服务,对用户信息 系统恶意代码防护情况进行定 期检查和报告,对新发现的病 毒或恶意代码进行及时分析和 处置。
本项要求包括:
a)
应提高所有用户的防病毒意识, 及时告知防病毒软件版本,在读 取移动存储设备上的数据以及网 络上接收文件或之前,先进行病 毒检查,对外来计算机或存储设 备接入网络系统之前也应进行病 毒检查;
b)
应指定专人对网络和主机进行恶意代码检测并保存检测记录;
c) 应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定;
d)
应定期检查信息系统各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成书面的报表和总结汇报。
1.2.5.9
密码管理( G3) 安全管理咨询服务,协助用户
应建立密码使用管理制度 ,使用符合国 制定并落实密码使用管理制
家密码管理规定的密码技术和产品。 度。
1.2.5.10 变更管理( G3) 安全管理咨询服务,协助用户 制定并落实变更管理制度,以 及对变更失败后的恢复过程进 行必要的演练。
本项要求包括:
a)
应确认系统中要发生的变更,并 制定变更方案;
b)
应建立变更管理制度, 系统发生 变更前,向主管领导申请,变更 和变更方案经过 评审 、审批后方 可实施变更,并在实施后将变更 情况向相关人员通告;
c)
应建立变更控制的申报和审批文 件化程序,对变更影响进行分析 并文档化,记录变更实施过程, 并妥善保存所有文档和记录;
d)
应建立中止变更并从失败变更中 恢复的文件化程序,明确过程控 制方法和人员职责,必要时对恢 复过程进行演练。
备份与恢复管理( G3)
1.2.5.11 安全管理咨询服务,协助用户 制定并落实备份与恢复管理制 度、数据备份和恢复策略、数 据备份和恢复流程,以及对恢 复流程进行必要的测试。
本项要求包括:
a)
应识别需要定期备份的重要业务 信息、系统数据及软件系统等;
b)
应建立备份与恢复管理相关的安 全管理制度, 对备份信息的备份 方式、备份频度、存储介质和保 存期等进行规;
c) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法;
d)
应建立控制数据备份和恢复过程的程序,对备份过程进行记录,
所有文件和记录应妥善保存;
e) 应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间完成备份的恢复。
1.2.5.12 安全事件处置( G3) 安全管理咨询服务,协助用户 制定安全事件报告和处置管理 制度、安全事件报告和响应处 理流程。
安全应急响应服务,对用户信 息系统中发生的安全相关事件 提供及时的响应和处理。
本项要求包括:
a)
应报告所发现的安全弱点和可疑 事件,但任何情况下用户均不应 尝试验证弱点;
b)
应制定安全事件报告和处置管理 制度,明确安全事件的类型,规 定安全事件的现场处理、事件报 告和后期恢复的管理职责;
c) 应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划
d)
分;
应制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的围、程度,以及处理方法等;
e)
应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均应妥善保存;
f) 对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。
1.2.5.13
应急预案管理(
G3)
安全管理咨询服务,协助用户
本项要求包括:
a)
应在统一的应急预案框架下制定 不同事件的应急预案,应急预案
制定安全应急预案,并进行必
要的培训和演练。
框架应包括启动应急预案的条
件、应急处理流程、系统恢复流
程、事后教育和培训等容;
b) 应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障;
c)
应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次;
d)
应定期对应急预案进行演练,根据不同的应急恢复容,确定演练的周期;
e)
应规定应急预案需要定期审查和根据实际情况更新的容,并按照执行。
因篇幅问题不能全部显示,请点此查看更多更全内容