等保测评之-信息安全管理制度
等保信息安全管理制度
等保信息安全管理制度1. 引言等保信息安全管理制度是指为了确保信息系统在硬件、软件和人员等方面的安全保障,在管理层面上制定的一系列规章制度和措施。
该制度旨在为组织提供一种可执行的框架,帮助组织评估、分析和管理信息系统的安全风险。
本文档描述了实施等保信息安全管理制度的必要性,以及制定和执行该制度的基本原则和流程。
通过有效的信息安全管理,组织能够降低信息系统受到威胁的概率,并能够更好地保护敏感信息和业务资产。
2. 等保信息安全管理制度的必要性在当今数字化和网络化的时代,信息系统安全问题日益凸显。
各种类型的黑客攻击、病毒感染、数据泄露等事件屡见不鲜,给组织的信息资产和业务运营带来了巨大的风险。
为了应对这些威胁,制定一个严格的等保信息安全管理制度变得至关重要。
等保信息安全管理制度提供以下几个方面的好处:•管理框架:制定一套明确的管理框架,为信息系统的安全提供指导和支持。
•风险评估:通过对信息系统的风险评估,识别和分析潜在的安全威胁,并采取相应的措施进行防范。
•合规要求:满足法律、法规和行业标准对信息安全的合规要求,避免因违规行为而遭受法律风险。
•资源优化:通过合理规划和管理安全资源,提高资源利用效率,降低信息安全管理成本。
•组织信誉:建立和维护组织在信息安全领域的良好声誉,增强合作伙伴和客户的信任。
•灾难恢复:确保信息系统在发生灾难或其他紧急情况下能够迅速恢复正常运行,保障业务连续性。
3. 等保信息安全管理制度的制定3.1 制定基本原则等保信息安全管理制度的制定应遵循以下基本原则:•全员参与:所有员工都应对信息安全负有责任,应参与到信息安全管理中来。
•依法合规:制定的制度应符合相关法律、法规和行业标准的要求,确保合规性。
•适应性:制度应能够适应组织的规模、业务需求和信息系统特点。
•持续完善:制度应是一个动态的、持续完善的过程,随着技术和威胁的变化进行调整和更新。
3.2 制定流程和措施制定等保信息安全管理制度的流程可以包括以下几个步骤:1.需求分析:对组织的信息安全需求进行分析和评估,明确制度的目标和范围。
等保测评安全管理制度模板
一、总则1.1 为了加强信息系统的安全管理,确保信息系统安全稳定运行,根据《中华人民共和国网络安全法》和《信息安全技术信息系统安全等级保护基本要求》等相关法律法规,结合本单位的实际情况,制定本制度。
1.2 本制度适用于本单位所有信息系统的安全管理工作。
二、组织机构与职责2.1 成立信息系统安全领导小组,负责组织、协调和监督本单位的等保测评安全管理工作。
2.2 设立信息系统安全管理办公室,负责等保测评安全管理的日常工作。
2.3 各部门、各岗位应明确安全职责,落实安全责任。
三、安全管理制度3.1 等级保护制度3.1.1 依据信息系统安全等级保护基本要求,对本单位信息系统进行安全等级划分。
3.1.2 根据信息系统安全等级,制定相应的安全保护措施。
3.2 技术防护措施3.2.1 对信息系统进行安全加固,包括操作系统、数据库、应用系统等。
3.2.2 实施网络安全防护,包括防火墙、入侵检测系统、入侵防御系统等。
3.2.3 加强数据安全保护,包括数据加密、数据备份与恢复等。
3.3 管理措施3.3.1 制定安全管理制度,包括网络安全管理制度、数据安全管理制度、个人信息保护制度等。
3.3.2 加强安全管理机构建设,明确安全管理职责。
3.3.3 定期开展安全培训,提高员工安全意识。
3.4 应急响应与灾难恢复3.4.1 制定网络安全事件应急预案,明确事件响应流程。
3.4.2 定期开展应急演练,提高应急处置能力。
3.4.3 建立灾难恢复机制,确保信息系统在灾难发生后能够迅速恢复。
四、等保测评4.1 定期进行等保测评,确保信息系统安全等级符合国家标准。
4.2 根据测评结果,及时整改安全隐患,提高信息系统安全水平。
4.3 对测评过程中发现的问题,及时向上级主管部门报告。
五、监督检查5.1 定期对信息系统安全管理工作进行检查,确保各项制度落实到位。
5.2 对违反本制度的行为,严肃追究责任。
六、附则6.1 本制度由信息系统安全管理办公室负责解释。
等保测评人员管理制度
一、目的为了确保等级保护测评工作的顺利进行,提高测评质量,保障信息安全,特制定本制度。
二、适用范围本制度适用于等级保护测评中心所有参与测评工作的员工。
三、人员管理要求1. 人员录用(1)测评中心应指定或授权专门的部门或人员负责人员录用。
(2)对被录用人员的身份、安全背景、专业资格或资质等进行审查,对其所具有的技术技能进行考核。
(3)与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议。
2. 人员离岗(1)及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。
(2)办理严格的调离手续,并承诺调离后的保密义务后方可离开。
3. 安全意识教育和培训(1)对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。
(2)针对不同岗位制定不同的培训计划,对安全基础知识、岗位操作规程等进行培训。
(3)定期对不同岗位的人员进行技能考核。
4. 外部人员访问管理(1)在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案。
5. 人员考核与评价(1)定期对测评人员进行考核,考核内容包括专业知识、技能水平、工作态度等方面。
(2)根据考核结果,对测评人员进行奖惩、晋升或降级。
四、责任与权限1. 人力资源部门负责人员招聘、培训、考核等工作。
2. 测评中心负责人负责对测评人员的管理、考核、奖惩等工作。
3. 测评人员应严格遵守本制度,服从管理,积极参与培训,提高自身综合素质。
五、监督与检查1. 测评中心应定期对人员管理制度执行情况进行检查,发现问题及时整改。
2. 对违反本制度的人员,视情节轻重给予警告、记过、降级、辞退等处分。
六、附则1. 本制度由测评中心负责解释。
2. 本制度自发布之日起施行。
等保安全管理制度
等保安全管理制度(实用版5篇)《等保安全管理制度》篇1等保安全管理制度是关于网络安全保障的一系列规定。
根据《网络安全等级保护管理办法》,网络安全等级保护(以下称等保)是国家对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件进行监测、预警和相应处置的制度。
以下是等保安全管理制度的一些关键要素:1. 等级保护对象:明确需要保护的信息系统、网络设备和通信线路等。
2. 安全等级:根据信息系统的重要性和受破坏后带来的损失,将信息系统划分为不同的安全等级。
3. 安全等级保护标准:根据安全等级和相应的安全需求,制定相应的安全等级保护标准,包括物理安全、网络安全、应用安全和安全管理等方面。
4. 安全技术措施:按照安全等级保护标准的要求,采取相应的技术措施,如访问控制、加密、入侵检测等。
5. 安全管理制度:制定安全管理规定,包括责任制度、保密制度、安全操作规程等,以确保等保工作的顺利实施。
6. 信息安全风险评估:定期进行信息安全风险评估,识别和评估潜在的安全威胁和漏洞,并采取相应的措施进行防范。
7. 安全审计:定期进行安全审计,检查等保工作的实施情况,确保等保工作的合规性和有效性。
8. 应急响应:制定应急响应计划,明确在发生信息安全事件时的应对措施和流程。
9. 监督检查:定期进行监督检查,确保等保工作的持续性和有效性。
10. 培训和宣传:开展网络安全教育和宣传活动,提高员工的安全意识和防范能力。
《等保安全管理制度》篇2等保安全管理制度是指对保护信息安全行为的规定,其目的是规范信息安全行为,保护网络和信息系统安全。
以下是一些常见的等保安全管理制度:1. 信息安全责任制度:规定信息安全责任人、信息安全责任范围、信息安全责任追究等。
2. 信息安全检查制度:规定信息安全检查的内容、方式、周期、结果应用等。
3. 信息安全漏洞通报制度:规定漏洞发现、报告、审核、通报、处置等流程。
4. 信息安全应急处置制度:规定应急处置的流程、责任人、响应时间、资源保障等。
《信息安全等级保护测评机构管理办法》最新
信息平安等级爱护测评机构管理方法第一条为加强信息平安等级爱护测评机构管理,规范等级测评行为,提高测评技术实力和服务水平,依据《信息平安等级爱护管理方法》等有关规定,制定本方法。
其次条等级测评工作,是指等级测评机构依据国家信息平安等级爱护制度规定,依据有关管理规范和技术标准,对非涉及国家隐私信息系统平安等级爱护状况进行检测评估的活动。
等级测评机构,是指依据国家信息平安等级爱护制度规定,具备本方法规定的基本条件,经审核举荐,从事等级测评等信息平安服务的机构。
第三条等级测评机构举荐管理工作遵循统筹规划、合理布局、平安规范的方针,依据“谁举荐、谁负责,谁审核、谁负责”的原则有序开展。
第四条等级测评机构应以供应等级测评服务为主,可依据信息系统运营运用单位平安保障需求,供应信息平安询问、应急保障、平安运维、平安监理等服务。
第五条国家信息平安等级爱护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息平安职能部门和重点行业主管部门申请单位提出的申请,并对其举荐的等级测评机构进行监督管理。
省级信息平安等级爱护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其举荐的等级测评机构进行监督管理。
第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统平安相关工作两年以上,无违法记录;(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(五)具有信息系统平安相关工作阅历的技术人员,不少于10人;(六)具备必要的办公环境、设备、设施,运用的技术装备、设施应满意测评工作需求;(七)具有完备的平安保密管理、项目管理、质量管理、人员管理和培训教化等规章制度;(八)自觉接受等保办的监督、检查和指导,对国家平安、社会秩序、公共利益不构成威逼;(九)不涉及信息平安产品开发、销售或信息系统平安集成等业务;(十)应具备的其他条件。
等保测评之-信息安全管理制度
等保测评之-信息安全管理制度一、项目概述信息安全管理制度是企业实施信息安全保护的基础,其作用在于规定企业信息安全的目标,加强信息安全保护的责任和管控,完善信息安全管理体系,确保企业正常运营和健康发展。
本次等保测评的任务是对企业的信息安全管理制度进行测评,以确定能否满足等保2.0的要求,并提出相应的建议和改进建议。
二、测评流程1. 初步审查:初步审查信息安全管理制度是否符合等保2.0的要求,包括制度的完整性、实效性、合规性等。
2. 评估信息资产:通过评估信息资产,确定威胁等级,为制定保护措施提供基础数据。
3. 制定保护措施:针对评估出的威胁等级,制定相应的保护措施。
4. 建立保护措施:建立并执行信息安全保护措施。
5. 检测与评估:定期检查保护措施的有效性,确保信息安全管理制度的持续改进。
三、信息安全管理制度评估1. 信息安全政策与目标:企业是否制定了符合国家相关规定和行业标准的信息安全政策与目标,并且向员工进行有效宣传,以确保其深入人心。
2. 安全保障责任:企业是否建立了符合等保要求的安全组织结构、职责制度和考核机制,确保各级管理人员履行信息安全管理职责。
3. 安全标准和安全措施:企业是否制定了符合等保要求的信息安全标准和相关安全措施,并将其具体应用于信息系统建设运维过程中。
4. 信息资产管理:企业是否建立了完整的信息资产清单,对重要的信息资产进行分类评估,并采取相对应的防范措施。
5. 安全事件管理:企业是否建立了健全的安全事件管理程序,并通过针对不同安全事件的分类管理来及时应对各类安全事件。
6. 安全培训和意识:企业是否定期对员工进行信息安全知识和技能培训,并提高员工安全意识,确保员工能够识别和处理安全事件。
7. 及时响应:企业是否建立了及时响应机制,能够在发生安全事件后快速有效地响应,避免安全事件扩大化。
四、测评结果1. 初步审查:企业的信息安全管理制度基本符合等保2.0的要求,但在实际执行中还存在一些细节上的问题,需要考虑增强信息安全管理体系。
信息安全合规管理制度汇编(等保3级)
信息安全合规管理制度汇编(等保3级)一、引言本文档旨在为组织制定一套信息安全合规管理制度,以满足等级保护3级的要求。
该制度旨在确保组织的信息系统安全可靠,以应对当前高风险的信息安全环境。
二、信息安全政策1. 制定并实施信息安全政策,明确各级别人员对信息安全的责任和义务。
2. 鼓励员工接受信息安全培训,并持续加强对信息安全意识的培养。
三、信息资产管理1. 识别和分类所有的信息资产,并进行风险评估。
2. 采取合适的措施,确保信息资产的保密性、完整性和可用性。
3. 设立信息资产管理责任人,负责信息资产的安全管理和合规性。
四、访问控制1. 设立访问控制策略,包括核心系统的双因素身份认证和访问权限的分级管理。
2. 建立账户管理机制,包括授权和审计账户的创建、修改和删除。
五、安全运维与监控1. 制定安全运维规范,包括设立安全巡检和漏洞扫描机制。
2. 建立安全事件响应和应急预案,确保及时响应和应对。
六、数据保护和隐私1. 采取合适的加密措施,保护敏感数据的安全。
2. 确保个人信息的合法收集和使用,并明确个人信息保护的责任。
七、物理环境安全1. 控制物理访问和管理,保证信息系统的物理安全性。
2. 定期进行物理环境的安全检查与评估。
八、人员安全管理1. 进行员工背景调查,确保雇佣人员的可信度。
2. 限制员工的权限,并制定离职时的帐户注销流程。
九、持续改进1. 设立信息安全管理改进机制,定期评估和改进信息安全制度。
2. 与外部专业机构合作,不断了解最新的信息安全风险和对策。
十、附则1. 本制度应严格遵守国家法律法规和相关规定。
2. 各部门和员工均应遵守本制度,对违规行为进行相应处理。
十一、生效日期本制度自发布之日起生效。
二级等保测评安全管理制度
一、总则为了确保信息系统安全,保障信息系统稳定运行,根据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》等法律法规,结合本单位的实际情况,特制定本制度。
二、适用范围本制度适用于本单位所有信息系统,包括但不限于网络系统、数据库系统、应用系统等。
三、安全管理制度1. 系统安全防护(1)访问控制:对关键系统组件的访问进行严格控制,实现最小权限原则。
(2)合法性验证:对用户身份进行验证,确保用户身份真实、合法。
(3)完整性检查:对系统数据进行完整性检查,防止数据被篡改。
(4)抗拒绝服务攻击能力:提高系统对拒绝服务攻击的抵抗能力。
2. 数据加密(1)对传输和存储的敏感数据进行加密处理。
(2)使用国家认证的加密产品和算法。
3. 身份认证(1)实施强制的身份认证措施,包括多因素认证。
(2)保证身份认证信息的安全性。
4. 网络安全(1)部署防火墙,实现网络边界的安全隔离。
(2)对网络通信进行监控和审计。
5. 操作安全(1)实施操作系统和应用软件的定期更新和补丁管理。
(2)对操作人员进行安全意识培训和技能训练。
6. 安全审计(1)定期进行安全审计和漏洞扫描。
(2)保留审计记录,支持事后追溯和事件分析。
7. 物理安全(1)保护信息系统的物理设施,防止非授权物理访问。
(2)设施应具备环境监控和紧急处理设施。
8. 应急响应和灾难恢复(1)建立应急响应和灾难恢复计划。
(2)定期进行演练,确保计划的有效性和可操作性。
四、安全管理制度执行与监督1. 安全管理部门负责制定、实施和监督安全管理制度。
2. 各部门负责人对本部门的安全工作负责。
3. 员工应自觉遵守安全管理制度,加强安全意识。
4. 定期对安全管理制度执行情况进行检查和评估。
五、奖惩措施1. 对遵守安全管理制度、在安全工作中表现突出的单位和个人给予表彰和奖励。
2. 对违反安全管理制度、造成信息系统安全事故的个人和单位进行处罚。
六、附则1. 本制度由安全管理部门负责解释。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等保测评之-信息安全管理制度信息安全等级保护制度第三级要求1 第三级基本要求1.1技术要求1.1.1 物理安全1.1.1.1 物理位置的选择(G3)本项要求包括:a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
1.1.1.2 物理访问控制(G3)本项要求包括:a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3)本项要求包括:a) 应将主要设备放置在机房内;b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d) 应对介质分类标识,存储在介质库或档案室中;e) 应利用光、电等技术设置机房防盗报警系统;f) 应对机房设置监控报警系统。
1.1.1.4 防雷击(G3)本项要求包括:a) 机房建筑应设置避雷装置;b) 应设置防雷保安器,防止感应雷;c) 机房应设置交流电源地线。
7.1.1.5 防火(G3)本项要求包括:a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
1.1.1.6 防水和防潮(G3)本项要求包括:a) 水管安装,不得穿过机房屋顶和活动地板下;b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
1.1.1.7 防静电(G3)本项要求包括:a) 主要设备应采用必要的接地防静电措施;b) 机房应采用防静电地板。
1.1.1.8 温湿度控制(G3)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.1.1.9 电力供应(A3)本项要求包括:a) 应在机房供电线路上配置稳压器和过电压防护设备;b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求;c) 应设置冗余或并行的电力电缆线路为计算机系统供电;d) 应建立备用供电系统。
1.1.1.10 电磁防护(S3)本项要求包括:a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;b) 电源线和通信线缆应隔离铺设,避免互相干扰;c) 应对关键设备和磁介质实施电磁屏蔽。
1.1.2 网络安全1.1.2.1 结构安全(G3)本项要求包括:a) 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;b) 应保证网络各个部分的带宽满足业务高峰期需要;c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;d) 应绘制与当前运行情况相符的网络拓扑结构图;e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
1.1.2.2 访问控制(G3)本项要求包括:a) 应在网络边界部署访问控制设备,启用访问控制功能;b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;d) 应在会话处于非活跃一定时间或会话结束后终止网络连接;e) 应限制网络最大流量数及网络连接数;f) 重要网段应采取技术手段防止地址欺骗;g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;h) 应限制具有拨号访问权限的用户数量。
1.1.2.3 安全审计(G3)本项要求包括:a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;b) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;c) 应能够根据记录数据进行分析,并生成审计报表;d) 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
1.1.2.4 边界完整性检查(S3)本项要求包括:a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;b) 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
1.1.2.5 入侵防范(G3)本项要求包括:a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等;b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
7.1.2.6 恶意代码防范(G3)本项要求包括:a) 应在网络边界处对恶意代码进行检测和清除;b) 应维护恶意代码库的升级和检测系统的更新。
7.1.2.7 网络设备防护(G3)本项要求包括:a) 应对登录网络设备的用户进行身份鉴别;b) 应对网络设备的管理员登录地址进行限制;c) 网络设备用户的标识应唯一;d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;e) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;f) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;g) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;h) 应实现设备特权用户的权限分离。
1.1.3 主机安全7.1.3.1 身份鉴别(S3)本项要求包括:a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别;b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
1.1.3.2 访问控制(S3)本项要求包括:a) 应启用访问控制功能,依据安全策略控制用户对资源的访问;b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;c) 应实现操作系统和数据库系统特权用户的权限分离;d) 应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;e) 应及时删除多余的、过期的帐户,避免共享帐户的存在。
f) 应对重要信息资源设置敏感标记;g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;7.1.3.3 安全审计(G3)本项要求包括:a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;d) 应能够根据记录数据进行分析,并生成审计报表;e) 应保护审计进程,避免受到未预期的中断;f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等。
1.1.3.4 剩余信息保护(S3)本项要求包括:a) 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;b) 应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
7.1.3.5 入侵防范(G3)本项要求包括:a) 应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;b) 应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;c) 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方持系统补丁及时得到更新。
7.1.3.6 恶意代码防范(G3)本项要求包括:a) 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;b) 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;c) 应支持防恶意代码的统一管理。
7.1.3.7 资源控制(A3)本项要求包括:a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录;b) 应根据安全策略设置登录终端的操作超时锁定;c) 应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;d) 应限制单个用户对系统资源的最大或最小使用限度;e) 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。
7.1.4 应用安全7.1.4.1 身份鉴别(S3)本项要求包括:a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别;b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;c) 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;d) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;e) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
7.1.4.2 访问控制(S3)本项要求包括:a) 应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;b) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;c) 应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;d) 应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
e) 应具有对重要信息资源设置敏感标记的功能;f) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;7.1.4.3 安全审计(G3)本项要求包括:a) 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;b) 应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;c) 审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;d) 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。