信息系统安全等级保护第一级检查-管理要求+技术要求
信息系统安全等级保护基本要求-一级
基本要求规定的范围:对象:不同安全保护等级信息系统内容:基本技术要求管理要求作用:指导分等级信息系统安全建设监督管理引用:保护等级:依重要程度、危害程度、由低到高分5级见:GB/T 22240-2008不同等级的安全保护能力:共5级基本技术要求和管理要求:信统安全等保应让系统有它们相应等级的基本安全保护能力。
基本安全要求,依实现方式,分基本技术要求、基本管理要求。
技术要求:立基于技术安全机制,通过在信统中部署软硬件,正确配置其安全功能。
管理要求:聚焦于信统中各种角色和角色参与的活动。
控制角色活动、从政策、制度、规范、流程以及记录等方面做出规定来实现。
基本技术要求:从物理、网络、主机、应用和数据安全,4个层面提出要求。
基本管理要求:从安全管理制度、机构、人员、系统建设、运维几方面提要求。
基本安全要求从各个层面方面,提出系统的每个组件应该满足的安全要求。
整体的安全保护能力依赖于其内部各不同组件的安全实现来满足。
基本技术要求的三种类型:技术类安全要求进一步细分为:保护数据在存储、传输、处理过程中不被泄漏、破坏、和免受未授权的修改的要求(S 要求)保护系统正常运行、免受对系统未授权修改、破坏而导致系统不可用的服务保护类要求(S 要求)通用安全保护类要求(G要求)第一级基本要求:技术要求:物理安全:访问控制:防盗窃、破坏:防雷击:防火:防水和防潮:温湿度控制:电力控制:网络安全:结构安全:a.保证关键网络设备的业务处理能力满足基本业务需要b.保证接入网络和核心网络的带宽满足基本业务需要c.绘制与当前运行情况相符的网络拓扑结构图访问控制:(G1)a.在网络边界部署访问控制设备,启用访问控制功能b.根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查,允许/拒绝数据包出入c.通过访问控制列表对系统资源实现允许或拒绝用户访问,控制粒度至少为用户组。
网络设备防护:a.应对登录网络设备的用户进行身份鉴别b.有登录失败处理功能,采取结束会话、限制非法登录次数、和当网络登录连接超时自动退出等措施c.对网络设备进行远程管理时,采措施防止信息传输中被窃听主机安全:身份鉴别:(S1)对登录操作系统和数据库系统的用户进行身份标识和鉴别。
信息安全技术 信息系统安全等级保护测评要求
信息安全技术信息系统安全等级保护测评要求一、概述信息安全技术作为当前社会中不可或缺的一部分,对于信息系统的安全等级保护测评要求也变得愈发重要。
信息系统安全等级保护测评是指为了评估信息系统的安全性,保障信息系统的功能和安全性,根据《信息安全技术信息系统安全等级保护测评要求》,对信息系统进行等级保护测评,明确信息系统安全等级。
二、等级划分根据我国《信息安全技术信息系统安全等级保护测评要求》,信息系统安全等级分为四个等级,分别是一级、二级、三级和四级。
每个等级都有相应的技术和管理要求,以及安全保护的措施。
在信息系统安全等级保护测评中,根据信息系统的安全等级,采用不同的测评方法和技术手段,对信息系统进行全面的评估和测试。
三、技术要求在信息系统安全等级保护测评中,技术要求是至关重要的一环。
根据《信息安全技术信息系统安全等级保护测评要求》,信息系统的技术要求包括但不限于以下几个方面:1. 安全功能要求信息系统在进行测评时,需要满足一定的安全功能要求。
对于不同等级的信息系统,需要有相应的访问控制、身份认证、加密通信等安全功能,以确保系统的安全性。
2. 安全性能要求信息系统的安全性能也是非常重要的。
在信息系统安全等级保护测评中,需要对系统的安全性能进行评估,包括系统的稳定性、可靠性、容错性等方面。
3. 鉴别技术要求鉴别技术是信息系统安全等级保护测评中的关键环节。
通过鉴别技术对信息系统进行鉴别,以确定系统的真实性和完整性,防止系统被篡改和伪造。
4. 安全风险评估要求在信息系统安全等级保护测评中,需要进行全面的安全风险评估,包括对系统可能存在的安全威胁和漏洞进行评估,以及制定相应的安全保护措施和应急预案。
四、管理要求除了技术要求之外,信息系统安全等级保护测评还需要满足一定的管理要求。
管理要求主要包括以下几个方面:1. 安全管理体系要求信息系统安全等级保护测评需要建立健全的安全管理体系,包括安全管理策略、安全管理制度、安全管理流程等,以确保信息系统的安全性。
电力行业信息系统安全等级保护基本要求
电力行业信息系统安全等级保护基本要求随着信息技术在电力行业中的广泛应用,电力行业信息系统安全问题日益凸显。
为了保护电力行业的信息安全,提高电力行业信息系统的安全等级,国家制定了电力行业信息系统安全等级保护基本要求。
以下是这些基本要求的详细介绍。
一、基本要求的概述基本要求包括安全等级划分、安全技术要求、安全管理要求、监督检查要求等方面内容。
二、安全等级划分根据不同的保护需求,将电力行业信息系统分为五个等级,从低到高分别是一级、二级、三级、四级、五级。
三、安全技术要求安全技术要求包括电力行业信息系统安全的要求和控制措施。
控制措施包括访问控制、身份认证、数据加密、安全传输、安全审计等方面。
四、安全管理要求安全管理要求包括组织管理、安全策略和规程、人员安全管理、物理环境管理等方面。
组织管理主要涉及电力行业信息系统安全的组织机构、职责划分和人员配备。
安全策略和规程要求制定合理的安全策略和规程,明确安全责任、权限和流程。
人员安全管理要求对操作人员进行安全培训,确保人员的安全意识和安全素质。
物理环境管理要求对信息系统的机房、终端设备等进行有效的保护和管理。
五、监督检查要求监督检查要求包括自查、定期检查、不定期检查等方面。
自查是指电力企事业单位定期对信息系统进行自我评估,发现问题及时改进。
定期检查是指国家相关部门定期对电力行业信息系统进行检查,评估其安全状况。
不定期检查是指国家相关部门根据需要对电力行业信息系统进行突击检查。
六、其它要求此外,电力行业信息系统安全等级保护基本要求还包括突发事件处置、安全漏洞管理、信息共享和协作等方面的要求。
突发事件处置要求电力行业信息系统建立应急响应机制,及时处置信息安全事件。
安全漏洞管理要求建立漏洞监测和修复机制,及时修补系统中的漏洞。
信息共享和协作要求电力行业加强与相关部门的信息共享和协作,形成多方合作、共同防范的态势。
总之,电力行业信息系统安全等级保护基本要求对电力行业的信息系统进行了全面规范和保护,为电力行业信息安全提供了重要的技术和管理支持,有效保障了电力行业信息系统的安全等级。
信息系统安全等级保护(1级2级要求)
结构安全(G)
访问控制(G)
安全审计(G) 边界完整性检查(S) 入侵防范(G) a)应对登录网络设备的用户进行身份鉴别: b)应具有登录失败处理功能,可采取结束会话、限制 非法登录次数和当网络登录连接超时自动退出等措 网络设备防护(G) 施 c)当对网络设备进行远程管理时,应采取必要措施防 止鉴别信息在网络传输过程中被窃听 主机安全
环境管理(G)
资产管理(G)
介质管理(G)
设备管理(G)
a)应对信息系统相关的各种设备、线路等指定专门 的部门或人员定期进行维护管理 b)应建立基于申报、审批和专人负责的设备安全管 理制度,对信息系统的各种软硬件设备的选型、采购 、发放和领用等过程进行规范化管理
a)应指定人员对网络进行管理,负责运行日志、网络 监控记录的日常维护和报警信息分析和处理工作 网络安全管理(G) b)应定期进行网络系统漏洞扫描,对发现的网络系统 安全漏洞进行及时的修补
a应根据业务需求和系统安全分析确定系统的访问控 制策略 b)应定期进行漏洞扫描,对发现的系统安全漏洞进行 系统安全管理(G) 及时的修补 c)应安装系统的最新补丁程序,并在安装系统补丁前 对现有的重要文件及时升级防病毒 软件,在读取移动存储设备上的数据以及网络上接收 恶意代码防范管理(G) 文件或邮件之前,先进行病毒检査,对外来计算机或 存储设备接入网络系统之前也应进行病毒检查 密码管理(G) 变更管理(G) a)应识别需要定期备份的重要业务信息、系统数据 及软件系统等 备份与恢复管理(G) b)应规定备份信息的备份方式、备份频度、存储介 质、保存期等
一级要求内容 技术要求 物理安全 物理位置的选择(G) 机房出入应安排专人负责,控制、鉴别和记录进入的 物理访问控制(G) 人员������������������������������ a)应将主要设备放置在机房内;������������ 防盗窃和防破坏(G) b)应将设备或主要部件进行固定,并设置明显的不易 除去的标记������������������������������������������������������������������������������������ 防雷击(G) 防火(G) 防水和防潮(G) 防静电(G) 温湿度控制(G) 电力供应(A) 电磁防护(S) 网络安全 a)应保证关键网络设备的业务处理能力满足基本业 务需要 b)应保证接入网络和核心网络的带宽满足基本业务 需要 c)应绘制与当前运行情况相符的网络拓扑结构图。 a)应在网络边界部署访问控制设备,启用访问控制功 能 b)应根据访问控制列表对源地址、目的地址、源端 口、目的端口和协议等进行检查,以允许/拒绝数据 包出入。 机房应设置必要的温、湿度控制设施,使机房温、湿 度的变化在设备运行所允许的范围之内 应在机房供电线路上配置稳压器和过电压防护设备 。 机房建筑应设置避雷装置 机房应设置灭火设备 a)应对穿过机房墙壁和楼板的水管增加必要的保护 措施 b)应采取措施防止雨水通过机房窗户、屋顶和墙壁
信息系统安全等级保护(一级)基本要求
(G1)
统等;
b) 应规定备份信息的备份方式、备份频度、存储介质、保存
期等。
48
安 全 事 件 处 置 a) 应报告所发现的安全弱点和可疑事件,但任何情况下用户
(G1)
均不应尝试验证弱点;
b) 应制定安全事件报告和处置管理制度,规定安全事件的现
场处理、事件报告和后期恢复的管理职责。
(G1)
录的日常维护和报警信息分析和处理工作;
b) 应定期进行网络系统漏洞扫描,对发现的网络系统安全漏
洞进行及时的修补。
45
系 统 安 全 管 理 a) 应根据业务需求和系统安全分析确定系统的访问控制策
(G1)
略;
b) 应定期进行漏洞扫描,对发现的系统安全漏洞进行及时的
修补;
c) 应安装系统的最新补丁程序,并在安装系统补丁前对现有
进、带出机房和机房环境安全等方面的管理作出规定。
41
资产管理(G1) 应编制与信息系统相关的资产清单,包括资产责任部门、重
要程度和所处位置等内容。
42
介质管理(G1) a) 应确保介质存放在安全的环境中,对各类介质进行控制和
保护;
b) 应对介质归档和查询等过程进行记录,并根据存档介质的
目录清单定期盘点。
c) 应确保提供软件设计的相关文档和使用指南。
36
工程实施(G1) 应指定或授权专门的部门或人员负责工程实施过程的管理。
37
测试验收(G1) a) 应对系统进行安全性测试验收;
b) 在测试验收前应根据设计方案或合同要求等制订测试验收
方案,在测试验收过程中应详细记录测试验收结果,并形成 测试验收报告。
问;
b) 应限制默认帐户的访问权限,重命名系统默认帐户,修改 这些帐户的默认口令;
信息系统安全等级保护基本要求
管理要求
系统建设 管理
外包软件 开发
第三级
管理要求
系统建设 管理
工程实施
第三级
管理要求
系统建设 管理
测试验收
第三级
管理要求
系统建设 管理
系统交付
第三级
管理要求
系统建设 管理
系统备案
第三级
管理要求
系统建设 管理
等级测评
第三级
管理要求
系统建设 管理
安全服务 商选择
第三级
管理要求
系统运维 管理
环境管理
第三级
系统建设 管理
产品采购 和使用
第二级
管理要求
系统建设 管理
自行软件 开发
第二级
管理要求
系统建设 管理
外包软件 开发
第二级
管理要求
系统建设 管理
工程实施
第二级
管理要求
系统建设 管理
测试验收
第二级
管理要求
系统建设 管理
系统交付
第二级
管理要求
系统建设 管理
安全服务 商选择
第二级
管理要求
系统运维 管理
环境管理
管理要求
系统运维 管理
环境管理
管理要求 管理要求
系统运维 管理
系统运维 管理
资产管理 介质管理
管理要求
系统运维 管理
设备管理
管理要求
系统运维 管理
网络安全 管理
第一级 第一级 第一级 第一级
第二级 第二级
管理要求
系统运维 管理
系统安全 管理
管理要求 管理要求
系统运维 管理
系统运维 管理
恶意代码 防范管理
信息系统安全等级保护及二级、三级审核内容和相关制度
《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级分为以下五级,一至五级等级逐级增高:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
中华人民共和国计算机信息系统安全保护条例(1994年国务院147号令)(“第九条计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”)计算机信息系统安全保护等级划分准则(GB 17859-1999)(“第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级”)国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)关于信息安全等级保护工作的实施意见(公通字[2004]66号)信息安全等级保护管理办法(公通字[2007]43号)关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)中华人民共和国网络安全法(2017年6月1日发布)十大重要标准计算机信息系统安全等级保护划分准则(GB 17859-1999)(基础类标准)信息系统安全等级保护实施指南(GB/T 25058-2010)(基础类标准)信息系统安全保护等级定级指南(GB/T 22240-2008)(应用类定级标准)信息系统安全等级保护基本要求(GB/T 22239-2008)(应用类建设标准)信息系统通用安全技术要求(GB/T 20271-2006)(应用类建设标准)信息系统等级保护安全设计技术要求(GB/T 25070-2010)(应用类建设标准)信息系统安全等级保护测评要求(GB/T 28448-2012)(应用类测评标准)信息系统安全等级保护测评过程指南(GB/T 28449-2012)(应用类测评标准)信息系统安全管理要求(GB/T 20269-2006)(应用类管理标准)信息系统安全工程管理要求(GB/T 20282-2006)(应用类管理标准)其它相关标准GB/T 21052-2007 信息安全技术信息系统物理安全技术要求GB/T 20270-2006 信息安全技术网络基础安全技术要求GB/T 20271-2006 信息安全技术信息系统通用安全技术要求GB/T 20272-2006 信息安全技术操作系统安全技术要求GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求GB/T 20984-2007 信息安全技术信息安全风险评估规范GB/T 20985-2007 信息安全技术信息安全事件管理指南GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南GB/T 20988-2007 信息安全技术信息系统灾难恢复规范信息系统安全等级保护三、二级评测内容等级保护自上而下分别为:类、控制点和项。
《信息安全等级保护管理办法》(全文)
7月24日,公安部网站发布四部门联合制定的《信息安全等级保护管理办法》,全文如下:第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:页脚内容1第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
应用系统的输入域设有长度限制; 应用系统的日期型输入域设有限制,输入非日期数值进行过滤。 应用系统的数值型输入域设有限制,对输入字符或字母进行过滤; 应用系统不存在SQL注入漏洞(如未过滤单引号等); 应用系统对可上传的文件类型具有限制,不能上传.asp、.jsp、.php和webshell脚本等文件; 应用系统是否采取身份标识和鉴别措施? 应用系统已对管理员权限或者用户权限进行区分控制; 具有对重要信息的备份与恢复策略。
网络安全
软件容错 应用安全
软件容错 应用安全 身份鉴别 访问控制 备份和恢复
数据安全及备份恢复
a 检查项 检查是否建立日常管理活动中常用的安全管理制度。 检查是否配备一定数量的系统管理员、网络管理员、安全管理员。
检查是否由专门的部门或人员负责对信息系统建设运维相关的人员进行录用。 检查是否对外部人员访问受控区域前进行授权或审批,查验审批记录。
检查范围 安全管理制度 安全管理机构
检查内容 管理制度 人员配备 人员录用
人员安全管理
外部人员访问管理 系统定级 安全方案设计 产品采购和使用 工程实施 测试验收 环境管理 资产管理 设备管理
系统建设管理
网络安全管理 系统运维管理 系统安全管理 恶意代码防范管理
安全事பைடு நூலகம்处置
物理访问控制 物理安全 温湿度控制 结构安全 访问控制 网络设备防护 恶意代码防范 主机安全 身份鉴别 访问控制
指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。 检查是否编制与信息系统相关的资产清单。
否对信息系统相关的各种设备、线路等指定专门的部门或人员定期进行维护管理。
人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。
进行漏洞扫描,对发现的系统安全漏洞及时进行修补;检查系统是否安装最新补丁程序。 检查是否将防病毒意识告知所有用户,告知及时升级防病毒软件。
和处置管理制度,是否明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责。
机房出入口应控制、鉴别和记录进入的人员;
设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 应绘制与当前运行情况相符的网络拓扑结构图。 应在网络边界部署访问控制设备,启用访问控制功能。
检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。
应提供专用的登录控制模块对登录用户进行身份标识和鉴别。 应提供访问控制功能控制用户组/用户对系统功能和用户数据的访问。 应能够对重要信息进行备份和恢复。
a 检查要点 是否有网络安全管理相关文档? 是否有相关管理员的制度规定? 是否有系统管理员? 是否有网络管理员? 是否有安全管理员? 是否由专门的部门或人员负责对信息系统建设运维相关的人员进行录用? 是否有外部人员访问受控区域的审批登记表? 登记表中是否包含外部人员访问受控区域的进入时间? 登记表中是否包含外部人员访问受控区域的离开时间? 登记表中是否包含外部人员访问受控区域的区域范围? 是否有定级报告? 是否有系统的安全设计方案? 是否有安全产品的销售许可证? 是否指定或授权专门的部门或人员负责工程实施过程的管理? 是否有安全性验收测试方案和测试验收报告? 是否有运维记录? 运维记录是否记录机房温湿度? 是否有与信息系统相关的资产清单?其中包括包括资产名称、资产位置、资产责任部门或责任人等。 是否有设备管理的部门或人员? 是否有设备维护记录? 是否有网络管理的部门或人员? 是否有网络管理的日常监控记录? 日常监控记录是否包括监控时间? 日常监控记录是否包括监控内容? 日常监控记录是否包括监控人员? 是否定期对系统进行漏洞扫描? 发现系统漏洞是否及时修补? 补丁升级记录是否包括最近更新补丁的时间和补丁内容? 是否安装有杀毒软件?记录杀毒软件的名称和版本。 是否有安全事件报告和处置管理制度? 管理制度中是否明确了本系统已发生的和需要防止发生的安全事件类型? 管理制度中是否包含有现场处理的规定? 管理制度中是否包含有事件报告的规定? 管理制度中是否包含有后期恢复的规定? 进入机房申请有书面或电子记录; 机房入口处能准确鉴别进入人员的身份和时间。 机房的温度应在15℃-26℃,相对湿度应在30%-70%,不出现凝露现象; 温湿度调节设施完好,可保证提供持续的温湿度控制能力,不出现设备在允许的温湿度范围外工作。 有能反映系统当前状况的网络整体拓扑图; 网络边界有防火墙、网闸等安全设备对系统的边界进行防护,并启动访问控制功能; 设备管理时采用SSH或HTTPS等加密协议。 核心交换机、路由器和重要防火墙等网络设备采取用户身份鉴别技术; 恶意代码防范产品的病毒库已及时更新。 Linux或AIX操作系统已安装恶意代码防范产品; Windows操作系统已安装恶意代码防范产品; 操作系统和数据库系统管理用户采取身份鉴别技术登录。 数据库已禁用或删除默认的用户名和口令。 操作系统已更改默认用户登录名(Linux的root用户除外); Windows操作系统已禁用Guest默认账户、Linux操作系统已禁用默认用户(如daemon、bin、sys、adm等); 应用系统不存在跨站脚本漏洞(如未过滤<script>标签等);
检查是否有明确信息系统边界、安全保护等级和定级理由方法的定级报告。 书面的形式描述对系统的安全保护要求和策略、安全措施等内容,形成系统的安全方案。 检查采购的安全产品和密码产品是否符合国家的有关规定。 检查是否指定或授权专门的部门或人员负责工程实施过程的管理。 否对系统进行安全性测试验收,是否根据设计方案或合同要求等制订测试验收方案。
结果
文字结果
结果说明
行身份鉴别,当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。
格限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令。
检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。