等级保护信息安全管理制度
等保安全管理制度
等保安全管理制度(实用版5篇)《等保安全管理制度》篇1等保安全管理制度是关于网络安全保障的一系列规定。
根据《网络安全等级保护管理办法》,网络安全等级保护(以下称等保)是国家对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件进行监测、预警和相应处置的制度。
以下是等保安全管理制度的一些关键要素:1. 等级保护对象:明确需要保护的信息系统、网络设备和通信线路等。
2. 安全等级:根据信息系统的重要性和受破坏后带来的损失,将信息系统划分为不同的安全等级。
3. 安全等级保护标准:根据安全等级和相应的安全需求,制定相应的安全等级保护标准,包括物理安全、网络安全、应用安全和安全管理等方面。
4. 安全技术措施:按照安全等级保护标准的要求,采取相应的技术措施,如访问控制、加密、入侵检测等。
5. 安全管理制度:制定安全管理规定,包括责任制度、保密制度、安全操作规程等,以确保等保工作的顺利实施。
6. 信息安全风险评估:定期进行信息安全风险评估,识别和评估潜在的安全威胁和漏洞,并采取相应的措施进行防范。
7. 安全审计:定期进行安全审计,检查等保工作的实施情况,确保等保工作的合规性和有效性。
8. 应急响应:制定应急响应计划,明确在发生信息安全事件时的应对措施和流程。
9. 监督检查:定期进行监督检查,确保等保工作的持续性和有效性。
10. 培训和宣传:开展网络安全教育和宣传活动,提高员工的安全意识和防范能力。
《等保安全管理制度》篇2等保安全管理制度是指对保护信息安全行为的规定,其目的是规范信息安全行为,保护网络和信息系统安全。
以下是一些常见的等保安全管理制度:1. 信息安全责任制度:规定信息安全责任人、信息安全责任范围、信息安全责任追究等。
2. 信息安全检查制度:规定信息安全检查的内容、方式、周期、结果应用等。
3. 信息安全漏洞通报制度:规定漏洞发现、报告、审核、通报、处置等流程。
4. 信息安全应急处置制度:规定应急处置的流程、责任人、响应时间、资源保障等。
信息安全等级保护制度
信息安全等级保护制度1. 简介信息安全等级保护制度是为了保障机构和个人的信息安全,确保信息资源在使用、传输和存储过程中不受到非法获取、篡改和破坏的制度。
本文旨在介绍信息安全等级保护制度的背景、目的、原则以及具体实施步骤。
2. 背景随着信息技术的快速发展,信息安全面临越来越严峻的挑战。
大规模的网络攻击、数据泄露事件频发,给机构和个人带来了巨大的损失。
为了加强对信息安全的保护,确保国家安全和社会稳定,信息安全等级保护制度应运而生。
3. 目的信息安全等级保护制度的目的主要有以下几点:•统一信息安全管理标准:通过制定统一的标准和规范,确保信息安全管理工作的可操作性和一致性。
•提高信息安全保护水平:按照不同的安全等级要求,采取相应的措施和防护措施,提高信息安全的保护水平。
•促进信息安全技术的发展:制度的实施将推动信息安全技术的研究和应用,促进信息安全技术的发展和创新。
4. 原则信息安全等级保护制度的实施应遵循以下原则:•全面性原则:制度应对所有涉及信息资源的机构和个人适用,确保全面保护信息安全。
•灵活性原则:制度应根据不同的信息安全等级要求,采取相应的措施,灵活适应不同的情况和需求。
•风险管理原则:制度应建立完善的风险管理机制,评估和应对各种信息安全风险。
•法律依据原则:制度应遵循国家相关法律法规,确保合法合规。
•隐私保护原则:制度应保护个人隐私权益,禁止非法收集和使用个人信息。
5. 实施步骤5.1 制定信息安全等级分类标准制定信息安全等级分类标准是信息安全等级保护制度的重要基础,主要包括以下方面:•信息资源分类:对不同类型的信息资源进行分类,如国家秘密级、商业机密级、一般内部级等。
•安全等级划分:根据不同的信息资源分类,制定相应的安全等级划分标准,包括技术要求、管理要求等。
•安全风险评估:对各个安全等级进行安全风险评估,确定对应的安全等级控制要求。
5.2 制定信息安全等级保护标准与规范根据信息安全等级分类标准,制定相应的信息安全等级保护标准与规范,明确具体的安全保护要求和控制措施。
等保安全管理制度
等保安全管理制度第一章总则第一条为了加强等保安全管理,维护国家信息安全,保护国家网络安全,促进网络安全技术的发展和应用,规范网络安全管理行为,制定本制度。
第二条本制度适用于各类网络运营者、网络服务提供者、网络安全产品和服务提供者等单位和个人。
第三条等级保护(以下简称等保)是指依据国家标准和有关规定,依据信息系统的安全性要求,结合信息系统的网络技术、网络营运环境和网络安全风险等级,按照严格的安全管理要求,对信息系统进行安全分级,提供相应的安全保护措施,以保护信息系统的安全。
第四条等保的目标是建立和完善信息系统等保体系,落实信息系统的安全保护措施,建立适当的安全管理组织和安全管理制度,发挥网络安全技术的防护功能,确保信息系统按照安全要求设计、开发、部署和维护,提高信息系统的安全性和抗干扰能力。
第五条等保的原则是依法合规、科学规划、安全先行、分类保护、适度保险和动态管理。
第六条国家互联网信息办公室负责等保的组织协调和监督检查工作。
第七条工业和信息化部负责根据国家标准和有关规定,制定信息系统安全等级保护工作指南、技术规范和其他规范性文件,指导等保的具体实施。
第八条公安部门负责依法打击网络安全事件和犯罪活动,并负责对等保实施情况进行检查。
第二章等保管理机构第九条各单位应当设置专门的网络安全管理部门或者网络安全管理岗位,负责网络安全等保工作。
第十条网络安全管理部门应当有专门的安全管理人员,负责网络安全技术和网络安全管理工作。
第十一条网络安全管理部门应当有充分的资源和技术支持,拥有良好的技术和管理水平,确保网络安全管理工作的顺利实施。
第十二条网络安全管理部门应当及时掌握网络安全技术和网络安全管理方法,不断提升安全管理水平和管理能力。
第十三条网络安全管理部门应当建立完善的安全文件和记录管理制度,记录安全管理工作的整个过程,并按照规定保存相关文件和记录。
第十四条网络安全管理部门应当培训安全管理人员,提高他们的安全管理能力和技术水平。
等保三级安全管理制度
一、总则第一条为确保信息系统安全,保障国家秘密、商业秘密和个人信息安全,根据《中华人民共和国网络安全法》、《信息安全技术信息系统安全等级保护基本要求》等法律法规,结合本单位的实际情况,制定本制度。
第二条本制度适用于本单位所有信息系统,包括但不限于内部办公系统、业务系统、数据库系统、网站系统等。
第三条信息系统安全等级保护工作应遵循以下原则:1. 预防为主、防治结合;2. 综合管理、分步实施;3. 安全责任到人、制度明确;4. 安全教育与培训相结合。
二、组织机构及职责第四条成立信息系统安全等级保护工作领导小组,负责统筹协调、监督指导等保三级安全管理工作。
第五条信息系统安全等级保护工作领导小组下设以下工作机构:1. 安全管理办公室:负责制定、修订和实施等保三级安全管理制度,组织开展安全培训和宣传教育工作;2. 技术保障部门:负责信息系统安全等级保护的技术支持、安全检查和应急响应等工作;3. 运维管理部门:负责信息系统安全等级保护的日常运维管理,确保系统安全稳定运行;4. 法规事务部门:负责信息系统安全等级保护的法律法规咨询、合规审查和纠纷处理等工作。
第六条各工作机构的职责如下:1. 安全管理办公室:(1)制定、修订和实施等保三级安全管理制度;(2)组织开展安全培训和宣传教育工作;(3)监督、检查信息系统安全等级保护工作的落实情况;(4)组织安全评估、整改和验收工作。
2. 技术保障部门:(1)负责信息系统安全等级保护的技术支持;(2)组织开展安全检查、漏洞扫描和风险评估等工作;(3)组织应急响应,处理信息系统安全事件;(4)定期对信息系统进行安全加固和升级。
3. 运维管理部门:(1)负责信息系统安全等级保护的日常运维管理;(2)确保信息系统安全稳定运行;(3)对信息系统进行定期巡检、备份和恢复;(4)及时处理系统故障和异常情况。
4. 法规事务部门:(1)负责信息系统安全等级保护的法律法规咨询;(2)组织开展合规审查和纠纷处理工作;(3)提供法律支持和协助。
等保 安全管理制度
等保安全管理制度第一章总则第一条为了规范等保工作,强化信息安全意识,加强信息保护,确保信息系统安全运行,保护国家秘密和重要商业信息,维护社会秩序和公共利益,根据《网络安全法》等法律法规,结合本单位实际,制定本制度。
第二条本制度适用于本单位内外网信息系统的安全等级保护工作。
第三条本单位等保工作的指导思想是坚持保密与开放相结合、防范与治理相结合、技术与管理相结合、自律与监管相结合的原则。
第二章制度规定第四条信息系统等级划分管理(一)本单位将信息系统划分为不同的安全等级,并根据等级确定相应的保密要求和安全防护措施,确保信息系统的安全运行。
(二)按照国家规定的要求,制定信息系统的等级划分标准,并向相关部门备案。
(三)对信息系统的安全等级进行定期评估,并根据需要对系统等级进行调整。
第五条信息系统安全管理责任(一)本单位设立信息安全管理委员会,负责统筹本单位信息系统等级保护工作。
(二)各部门要设立信息安全管理岗位,明确工作职责,配备专门的信息安全管理人员。
(三)本单位要不定期组织信息安全培训,提高员工信息安全意识,加强保密管理。
第六条信息系统安全防护措施(一)本单位要建立健全安全防护体系,包括网络安全、数据安全、应用系统安全等方面。
(二)制定安全管理制度和技术规范,规范和约束各类信息系统的使用和管理。
(三)加强对信息系统的监测和检测,及时发现并处理安全威胁和漏洞。
第七条信息系统安全监测和应急响应(一)建立健全信息系统安全监测体系,及时响应异常事件并进行处理。
(二)建立应急响应流程,对发生的信息安全事件进行快速响应和处置。
(三)定期开展信息系统安全演练和演练活动,提高员工的应急响应能力。
第八条信息系统安全审计管理(一)定期组织信息系统安全审计工作,对系统的安全漏洞、漏洞利用、潜在威胁和风险进行评估。
(二)对安全审计结果进行分析和总结,及时进行整改和改进。
第九条信息系统保密管理(一)本单位将信息分为国家秘密和商业秘密两个等级,建立相关的保密管理制度。
信息安全等级保护管理办法范文(二篇)
信息安全等级保护管理办法范文一、概述信息安全是保障国家信息化建设、经济社会发展和国家安全的重要保障。
为了保护信息系统的安全,提高信息系统防护能力,制定信息安全等级保护管理办法。
二、适用范围本管理办法适用于所有具有信息系统的单位和个人。
三、基本原则1. 法律依据:依法进行信息安全保护,遵守国家相关法律法规。
2. 防范为主:以防范为主要手段,采取技术、物理和管理等措施防止信息安全事件发生或降低事件的危害。
3. 分级保护:根据信息系统的重要性和敏感程度,将其分为不同的等级,并采取相应的保护措施。
4. 综合治理:综合考虑技术、管理和法律等方面的因素,建立信息安全保护的综合治理体系。
四、等级划分根据信息系统的重要性和敏感程度,将其分为三个等级:一级、二级和三级。
1. 一级:对国家安全和人民群众生命财产安全具有重大影响的信息系统。
2. 二级:对国家安全和人民群众生命财产安全具有较大影响的信息系统。
3. 三级:对国家安全和人民群众生命财产安全影响较小的信息系统。
五、保护措施根据信息系统的等级划分,采取相应的保护措施。
1. 一级信息系统:(1)网络安全:采取防火墙、入侵检测系统等网络安全设备进行防护,建立安全的网络边界。
(2)数据安全:对关键数据进行加密存储和传输,确保数据的机密性和完整性。
(3)访问控制:建立严格的身份认证和访问控制机制,只允许授权人员访问相关系统。
(4)事件响应:建立紧急事件响应机制,及时处置安全事件,保障系统的稳定运行。
2. 二级信息系统:(1)网络安全:加强网络安全设备和监控系统的部署,及时发现和阻止网络攻击。
(2)数据安全:建立数据备份和恢复机制,及时恢复受损数据。
(3)访问控制:加强用户权限管理,确保只有授权用户才能访问系统。
(4)事件响应:建立应急预案和演练机制,提高事件响应速度和效率。
3. 三级信息系统:(1)网络安全:加强网络设备配置和漏洞修复,提高系统的抗攻击能力。
(2)数据安全:建立数据备份机制,防止因数据丢失造成的业务中断。
等级保护信息安全管理制度
等级保护信息安全管理制度1. 引言等级保护信息安全管理制度旨在确保等级保护信息的安全性和保密性,从而保护组织的关键信息资源。
本文档定义了等级保护信息的分类标准、安全管理措施和责任分工,旨在为组织内部相关人员提供指导,确保信息安全管理的规范执行。
2. 术语和定义在本文档中,以下术语将具有如下含义: - 等级保护信息:指根据信息的重要性和敏感性,划分为不同等级的信息资源。
- 等级保护信息安全管理:指对等级保护信息进行分类管理、安全策略制定和技术控制的一系列措施和方法。
- 等级保护信息负责人:指被授权负责本单位等级保护信息安全管理工作的责任人。
- 等级保护信息责任部门:指根据工作职责和机构设置,在本单位内负责等级保护信息安全管理的相关部门。
3. 等级保护信息的分类标准等级保护信息按照其重要性和敏感性,分为三个等级:一般等级、重要等级和核心等级。
3.1 一般等级一般等级信息指那些对组织的正常运行和业务流程没有重大影响的信息,泄露后对组织的损失较小。
一般等级信息应遵循以下管理要求: - 采取适当的访问控制措施,限制访问权限; - 对一般等级信息的存储和传输进行加密保护; - 定期进行备份,确保一般等级信息的可恢复性; - 对一般等级信息进行巡检和监控,及时发现异常情况。
3.2 重要等级重要等级信息指那些对组织运行和业务流程具有较重要影响的信息,泄露后可能对组织造成较大损失。
重要等级信息应遵循以下管理要求: - 严格的访问控制,限制访问权限,并建立审批流程; - 对重要等级信息进行加密存储和传输,并定期更新加密算法; - 建立灾备机制,确保重要等级信息的可恢复性; - 配备专业的监控系统,对重要等级信息进行实时监控和异常处理。
3.3 核心等级核心等级信息指那些对组织运行和业务流程具有重大影响的信息,泄露后可能对组织造成巨大损失甚至灾难性后果。
核心等级信息应遵循以下管理要求: - 严格控制核心等级信息的访问权限,并建立多层审批制度; - 采用多重加密措施,确保核心等级信息的安全存储和传输; - 建立高可用的备份和灾备机制,确保核心等级信息的持续可用性; - 配备专业的安全团队,进行实时监控、入侵检测和应急响应。
信息安全等级保护制度
信息安全等级保护制度一、为了加强医院的计算机信息网络的安全保护,根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息信息安全等级保护制度》、《计算机信息安全管理办法》和其它有关法律、法规的规定,制定本制度。
二、本制度适用于我院网络机房、各计算机网络用户。
三、医院信息安全管理工作在医院信息化建设委员会的领导下进行,医院网络管理员必须要对所有网上信息进行巡查。
四、任何科室和个人不得利用医院内部网络或国际互联网危害国家安全、泄露国家和医院内部秘密,不得从事违法犯罪活动,不得在医院内部网络和互联网中故意传播计算机病毒等破坏性程序。
五、任何人不得将含有医院信息的计算机或各种存储介质交予无关人员。
更不得利用医院数据信息获取不当利益。
六、未经允许不得对医院内部网络站点中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。
七、网络使用人员应妥善保管各自的用户名和密码,不得将密码交予其他人使用。
八、网络机房由专人负责管理,未经同意,不得进入。
服务器、路由器和交换机的口令由专人负责保管,不得随意外泄,口令的修改及设定需做好专门记录和备案。
九、内部站点禁止USB使用大容量存储设备。
定期检查内网站点是否有非授权使用情况,保证设备正常运行。
做好医院内部网络医疗系统数据的备份工作,确保系统遭破坏后能及时恢复。
十、未经允许,不得中断网络设备及设施的供电线路。
因特殊原因必须停电的,应提前通知网络管理人员。
十一、对于违反上述制度的有关人员,将视情节及危害程度予以教育、经济处罚和行政处罚等措施,触犯法律的将移送公安司法机关依法追究刑事责任。
附件:《核心制度的各层级人员考核细则》十二、信息科技术人员在指定情况下可以使用移动设备。
十三、本制度由信息科制定,解释权、修改权归属信息科。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等级保护信息安全管理制度————————————————————————————————作者:————————————————————————————————日期:信息安全等级保护第三级要求1 第三级基本要求1.1技术要求1.1.1 物理安全1.1.1.1 物理位置的选择(G3)本项要求包括:a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
1.1.1.2 物理访问控制(G3)本项要求包括:a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3)本项要求包括:a) 应将主要设备放置在机房内;b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d) 应对介质分类标识,存储在介质库或档案室中;e) 应利用光、电等技术设置机房防盗报警系统;f) 应对机房设置监控报警系统。
1.1.1.4 防雷击(G3)本项要求包括:a) 机房建筑应设置避雷装置;b) 应设置防雷保安器,防止感应雷;c) 机房应设置交流电源地线。
7.1.1.5 防火(G3)本项要求包括:a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
1.1.1.6 防水和防潮(G3)本项要求包括:a) 水管安装,不得穿过机房屋顶和活动地板下;b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
1.1.1.7 防静电(G3)本项要求包括:a) 主要设备应采用必要的接地防静电措施;b) 机房应采用防静电地板。
1.1.1.8 温湿度控制(G3)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.1.1.9 电力供应(A3)本项要求包括:a) 应在机房供电线路上配置稳压器和过电压防护设备;b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求;c) 应设置冗余或并行的电力电缆线路为计算机系统供电;d) 应建立备用供电系统。
1.1.1.10 电磁防护(S3)本项要求包括:a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;b) 电源线和通信线缆应隔离铺设,避免互相干扰;c) 应对关键设备和磁介质实施电磁屏蔽。
1.1.2 网络安全1.1.2.1 结构安全(G3)本项要求包括:a) 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;b) 应保证网络各个部分的带宽满足业务高峰期需要;c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;d) 应绘制与当前运行情况相符的网络拓扑结构图;e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
1.1.2.2 访问控制(G3)本项要求包括:a) 应在网络边界部署访问控制设备,启用访问控制功能;b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;d) 应在会话处于非活跃一定时间或会话结束后终止网络连接;e) 应限制网络最大流量数及网络连接数;f) 重要网段应采取技术手段防止地址欺骗;g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;h) 应限制具有拨号访问权限的用户数量。
1.1.2.3 安全审计(G3)本项要求包括:a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;b) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;c) 应能够根据记录数据进行分析,并生成审计报表;d) 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
1.1.2.4 边界完整性检查(S3)本项要求包括:a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;b) 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
1.1.2.5 入侵防范(G3)本项要求包括:a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等;b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
7.1.2.6 恶意代码防范(G3)本项要求包括:a) 应在网络边界处对恶意代码进行检测和清除;b) 应维护恶意代码库的升级和检测系统的更新。
7.1.2.7 网络设备防护(G3)本项要求包括:a) 应对登录网络设备的用户进行身份鉴别;b) 应对网络设备的管理员登录地址进行限制;c) 网络设备用户的标识应唯一;d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;e) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;f) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;g) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;h) 应实现设备特权用户的权限分离。
1.1.3 主机安全7.1.3.1 身份鉴别(S3)本项要求包括:a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别;b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
1.1.3.2 访问控制(S3)本项要求包括:a) 应启用访问控制功能,依据安全策略控制用户对资源的访问;b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;c) 应实现操作系统和数据库系统特权用户的权限分离;d) 应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;e) 应及时删除多余的、过期的帐户,避免共享帐户的存在。
f) 应对重要信息资源设置敏感标记;g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;7.1.3.3 安全审计(G3)本项要求包括:a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;d) 应能够根据记录数据进行分析,并生成审计报表;e) 应保护审计进程,避免受到未预期的中断;f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等。
1.1.3.4 剩余信息保护(S3)本项要求包括:a) 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;b) 应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
7.1.3.5 入侵防范(G3)本项要求包括:a) 应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;b) 应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;c) 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方持系统补丁及时得到更新。
7.1.3.6 恶意代码防范(G3)本项要求包括:a) 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;b) 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;c) 应支持防恶意代码的统一管理。
7.1.3.7 资源控制(A3)本项要求包括:a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录;b) 应根据安全策略设置登录终端的操作超时锁定;c) 应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;d) 应限制单个用户对系统资源的最大或最小使用限度;e) 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。
7.1.4 应用安全7.1.4.1 身份鉴别(S3)本项要求包括:a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别;b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;c) 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;d) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;e) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
7.1.4.2 访问控制(S3)本项要求包括:a) 应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;b) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;c) 应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;d) 应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
e) 应具有对重要信息资源设置敏感标记的功能;f) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;7.1.4.3 安全审计(G3)本项要求包括:a) 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;b) 应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;c) 审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;d) 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。