安全系统等保第三级基本要求
网络安全等保三级
网络安全等保三级网络安全等级保护是我国对涉密信息系统进行的一种保护措施,它是根据信息系统重要性、所处环境风险性和技术发展水平等因素,按照一定的规则、标准、技术和措施对信息系统进行等级划分和安全防护的工作。
网络安全等级保护分为四个级别,分别是三级、二级、一级和无等级。
其中,等保三级是级别较高的一种,适用于国家重要机关、企事业单位涉及国家安全、经济安全和社会稳定的涉密信息系统。
下面,我将从等保三级的具体要求和措施两方面来详细介绍。
首先,等保三级要求涉密信息系统必须具备以下特点:1. 安全漏洞评估和安全测试要全面,包括系统登录认证、程序控制、网络通信、系统操作管理等多个方面。
2. 数据备份和恢复要做到及时可行,确保数据不会因为人为操作错误或系统故障而丢失。
3. 进行系统安全加固,包括操作系统、数据库、应用程序等的安全配置和完善。
4. 采用合适的身份认证方式,确保只有合法用户才能进行系统登录和使用。
5. 信息系统要设置安全审计和日志记录功能,能对系统操作进行记录和监控。
其次,等保三级的安全措施包括以下方面:1. 加强访问控制,要设置细粒度的权限控制和用户身份认证方式,限制人员只能访问到其所需的信息和资源。
2. 做好入侵检测和防范工作,引入入侵检测设备和安全防护设备,对系统进行实时监控和告警。
3. 建立安全管理制度,制定相关的安全规定和流程,落实责任分工,确保安全责任落地。
4. 进行安全教育培训,提高员工的安全意识,增强他们对信息安全的重视程度。
5. 建立紧急处置机制,定期进行应急演练,确保在发生紧急情况时能够迅速响应和处置。
总之,网络安全等保三级是对涉密信息系统的高级别保护要求,要求系统具备综合的安全能力和措施。
只有做好了这些工作,才能保证信息系统的安全性,保护国家和企事业单位的利益。
网络安全三级等保标准
网络安全三级等保标准
网络安全三级等保标准包括但不限于以下内容:
1. 信息系统分级管理:根据信息系统的重要性和敏感程度,对其进行分级管理,包括分级确定、动态管理和分级标志等。
2. 安全审查与测试:对信息系统进行定期安全审查和测试,包括漏洞扫描、渗透测试、安全代码审计等,发现和修复系统中存在的安全漏洞和风险。
3. 访问控制与权限管理:建立用户身份验证、授权和权限管理机制,确保合法用户获得合法访问权限,禁止未经授权用户访问系统资源。
4. 通信和数据安全:保护信息传输和存储过程中的安全,包括加密通讯、数据加密和解密、数据完整性验证等。
5. 安全运维管理:确保系统运行稳定安全,包括安全事件响应、安全漏洞修复、备份与恢复管理、日志审计和监控等。
6. 安全教育与培训:对系统操作人员进行安全意识教育和相关培训,提高其安全意识和能力,减少人为因素对系统安全的威胁。
7. 安全事件管理:建立完善的安全事件管理机制,对安全事件进行快速响应和处置,及时报告上级部门和相关方。
8. 物理安全控制:对设备机房、服务器等系统基础设施进行安全控制,避免物理攻击和损坏。
9. 安全设备配置与管理:对网络设备、防火墙、入侵检测系统等安全设备进行配置和管理,保证其正常运行。
10. 安全监测与报告:建立安全监测机制,及时发现和报告系统安全事件、漏洞和威胁。
以上仅为网络安全三级等保标准的一部分内容,实际实施过程中还需根据具体情况进行细化和定制化。
阿里云等保三级基本要求
阿里云等保三级基本要求"等保" 是中国政府对信息系统安全的等级保护制度,分为三个级别:等保一级、等保二级、等保三级。
阿里云等保三级基本要求主要涵盖了以下几个方面:1. 基础设施安全•网络架构:采用防火墙、入侵检测系统(IDS)、虚拟专用云(VPC)等技术构建安全的网络架构。
•数据中心:使用符合等保三级要求的安全、可靠的数据中心,确保基础设施的物理安全性。
2. 身份认证和访问控制•身份验证:实施强身份认证机制,包括多因素认证,确保用户身份的安全。
•访问控制:建立精确的访问控制策略,确保只有授权用户能够访问敏感信息和系统功能。
3. 数据安全•加密:对敏感数据进行加密存储和传输,确保数据在存储和传输过程中的机密性。
•备份与恢复:定期备份关键数据,并建立完善的数据恢复机制,防范数据丢失或遭受攻击后的损失。
4. 系统审计与监控•安全审计:实施系统操作的审计,记录关键系统活动,以便追溯和分析潜在的安全问题。
•实时监控:部署实时监控系统,及时检测和应对潜在的安全威胁。
5. 安全运维管理•漏洞管理:及时修复系统和应用程序中的漏洞,保持系统处于最新的安全状态。
•应急响应:制定完善的应急响应计划,对可能的安全事件做出迅速而有效的反应。
6. 合规性管理•合规审查:定期进行安全合规性审查,确保符合相关法规和标准的要求。
•报告和记录:定期生成安全报告,记录安全事件和管理活动,为合规性审查提供支持。
7. 培训与意识•培训计划:开展定期的安全培训,提高员工的信息安全意识和技能。
•安全文化建设:建立积极的安全文化,使员工将安全作为工作中的重要因素。
阿里云等保三级基本要求的具体细节可能根据政策的变化而有所更新,因此建议用户定期查阅阿里云等保三级文档和政策,以保持最新的合规性。
等级保护三级等保三级基本要求
1.2.1 安全管理制度 1.2.1.1 管理制度(G3) 本项要求包括:a )应制定信息安全工作的总体方针 和安全策略,说明机构安全工作 的总体目标、范围、原则和安全 框架等;b )应对安全管理活动中的各类管理 内容建立安全管理制度;c )应对要求管理人员或操作人员执 行的日常管理操作建立操作规 程;d )应形成由安全策略、管理制度、 操作规程等构成的全面的信息安 全管理制度体系。
1.2.1.2 制定和发布(G3) 本项要求包括:a )应指定或授权专门的部门或人员 负责安全管理制度的制定;b )安全管理制度应具有统一的格 式,并进行版本控制;c )应组织相关人员对制定的安全管 理制度进行论证和审定;d )安全管理制度应通过正式、有效 的方式发布;e )安全管理制度应注明发布范围, 并对收发文进行登记。
1.2.1.3 评审和修订(G3) 本项要求包括:a )信息安全领导小组应负责定期组 织相关部门和相关人员对安全管 理制度体系的合理性和适用性进 行审定; b )应定期或不定期对安全管理制度安全管理咨询服务,帮助用户 建立全面的信息安全管理制度 体系,包括制定安全策略、管 理制度和操作规程等,并协助 用户对管理制度进行发布、评 审和修订。
1.2.2 安全管理机构 1.2.2.1 岗位设置(G3) 本项要求包括:a )应设立信息安全管理工作的职能 部门,设立安全主管、安全管理 各个方面的负责人岗位,并定义 各负责人的职责;b )应设立系统管理员、网络管理员、 安全管理员等岗位,并定义各个 工作岗位的职责;c )应成立指导和管理信息安全工作 的委员会或领导小组,其最高领 导由单位主管领导委任或授权;d )应制定文件明确安全管理机构各 个部门和岗位的职责、分工和技 能要求。
1.2.2.2 人员配备(G3) 本项要求包括:a )应配备一定数量的系统管理员、 网络管理员、安全管理员等;b )应配备专职安全管理员,不可兼 任;c )关键事务岗位应配备多人共同管 理。
三级等保的标准是什么
因为每个单位、每个企业的信息系统、重要程度、应对威胁的能力、具有的安全保护能力等方面的不同,所以需要按照等级保护对象受到破坏时,对客体造成侵害的程度分别进行不同等级的保护。
相信关注过等保这块内容应该都知道信息系统的安全等级被分为五个等级,他们分别是第一级自主保护、第二级指导保护、第三极监督保护、第四级强制保护、第五级专控保护。
今天就给大家介绍一下其中我们接触可能会比较多一点的第三级等级保护,以及它的相关标准。
三级等保是指信息系统收到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
三级信息系统适用于地级市以上的国家机关、企业、事业单位的内部重要信息系统,重要领域、重要部门跨省、跨市或全国(省)联网运行的用于生产、调度、管理、作业、指挥等方面的重要信息系统,跨省或全国联网运行的重要信息系统在省、地市的分支系统,中央各部委、省(区、市)门户网站和重要网站,跨省联接的网络系统等。
第三级安全保护能力需达到:在统一安全策略下防护系统免受外来有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难和其他相应程度的威胁所造成的主要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭受攻击损害后,能较快恢复绝大部分功能。
三级等保在系统开发过程中的作用:在系统开发过程中,要考虑评测指标,满足相关安全要求,例如身份鉴别的要求、访问控制的要求、安全审计的要求等等。
通过满足安全评测指标,排除系统的安全隐患,提升系统的安全等级。
安畅网络是中国市场专业的云托管服务商(Cloud MSP),在数据中心和云计算领域有近十年的专业交付和管理经验,目前正服务于2000多家企业级客户并与全球多家超大规模公有云服务商建立了战略合作关系。
在云计算驱动产业变革的今天,安畅以客户需求为驱动,积极投资于核心技术研发和团队组织的云原生技能,致力于成为IT新生态和产业互联网的新一代连接器。
网络安全三级等保标准
网络安全三级等保标准网络安全三级等保标准是指根据我国的网络安全法以及相关政策法规,制定的网络安全等级保护管理体系。
网络安全等级保护体系分为一级、二级和三级,其中三级等保标准是最高等级,要求更为严格和全面。
网络安全三级等保标准主要包括以下内容:一、网络安全等级分类根据网络系统的重要程度和安全需求,将网络系统分为多个等级。
一级网络系统是国家、社会的重要基础设施系统,必须高度保护资产和服务,具有极高的安全性要求。
二级网络系统是经济高度发达地区、金融系统、重要能源供应系统等,同样具有较高的安全性要求。
三级网络系统是其他网络系统,安全性要求较一、二级网络系统相对较低。
二、网络安全认证与评估网络安全三级等保标准要求对网络系统进行认证与评估,及时发现和解决系统中的安全隐患。
认证与评估内容包括对信息系统的物理环境、安全管理、网络连接、安全配置等进行检查,确保网络系统的完整性、可用性和机密性。
三、安全策略与技术网络安全三级等保标准要求制定和实施相应的安全策略与技术,确保网络系统的安全性。
包括建立安全策略和规则,制定密码管理政策,加强访问控制及身份认证,加密通信和存储等。
四、安全管理与监控网络安全三级等保标准要求建立安全管理与监控机制,及时发现和处置网络安全事件。
包括建立安全管理人员和值班制度,实施安全事件响应和处置措施,开展安全漏洞扫描和渗透测试等。
五、数据备份与恢复网络安全三级等保标准要求制定数据备份与恢复策略,确保网络系统的数据安全。
包括进行备份和归档,建立合理的数据恢复机制,以防止数据丢失和破坏。
六、网络培训与教育网络安全三级等保标准要求进行全员网络培训与教育,提高员工的网络安全意识和技能水平,减少人为操作失误和安全事件的发生。
网络安全三级等保标准的实施,能够有效保护网络系统的安全,防范各类网络攻击和威胁。
对于我国的国家安全和经济发展具有重要意义。
同时,网络安全三级等保标准也要求各个网络系统的运行单位按照标准要求进行设备和技术的升级与更新,不断提升网络系统的安全性。
等保三级基本要求设计方案PPT课件
1.6 防水和防潮(G3)
28
a. 水管安装不得穿过机房屋顶和活 动地板下
29
b. 应采取措施防止雨水通过机房窗 户、屋顶和墙壁渗透
30
c. 应采取措施防止机房内水蒸气结 露和地下积水的转移与渗透
31
d. 应安装对水敏感的检测仪表或元 件,对机房进行防水检测和报警
32
1.7 防静电(G3)
化验证
153
b. 应对通信过程中的整个报文或会 话过程进行加密
154
4.7 抗抵赖(G3)
155
a. 应具有在请求的情况下为数据原 发者或接收者提供数据原发证据的
功能
156
b. 应具有在请求的情况下为数据原 发者或接收者提供数据接收证据的
功能
157
4.8 软件容错(A3)
158
a. 应提供数据有效性检验功能,保 证通过人机接口输入或通过通信接 口输入的数据格式或长度符合系统
57
b. 应能根据会话状态信息为数据流 提供明确的允许/拒绝访问的能力,
控制粒度为端口级
58
c. 应对进出网络的信息内容进行过 滤,实现对应用层 HTTP、FTP、
TELNET、SMTP、POP3 等协议命令级 的控制
59
d. 应在会话处于非活跃一定时间或 会话结束后终止网络连接
60
e. 应限制网络最大流量数及网络连 接数
9
b. 需进入机房的来访人员应经过申 请和审批流程,并限制和监控其活
动范围
10
c. 应对机房划分区域进行管理,区 域和区域之间设置物理隔离装置, 在重要区域前设置交付或安装等过
渡区域
11
d. 重要区域应配置电子门禁系统, 控制、鉴别和记录进入的人员
网络安全等保三级
网络安全等保三级网络安全是指通过对计算机网络进行保护和防御,确保网络系统的机密性、完整性和可用性。
网络安全的等级分为三级,等保三级是最高级别的安全等级。
它要求在基本概念的基础上,进一步加强安全保护,保证网络的安全运行。
下面我们来具体了解一下网络安全等保三级的要求。
首先,网络安全等保三级要求建立健全的安全管理体系。
这包括制定安全策略和安全规章制度,对安全管理人员进行培训和考核,确保其具备相关的安全知识和能力。
同时,建立安全审计制度,定期对网络系统进行安全漏洞的检测和分析,及时修补漏洞,防止黑客攻击。
其次,网络安全等保三级要求加强网络边界的防护。
网络边界是网络系统与外部网络进行通信的接口,是攻击者入侵的主要途径。
因此,需要建立起有效的防火墙和入侵检测系统,对传入和传出的数据进行全面检测和过滤,防止恶意代码的传播和网络攻击的发生。
同时,要通过VPN等安全通信技术,对远程访问进行加密和认证,保障数据的安全传输。
第三,网络安全等保三级要求加强对用户身份和权限的管理。
用户身份认证是网络安全的基础,要求用户通过用户名密码、指纹、证书等方式进行身份验证。
同时,要根据用户的身份和权限进行访问控制,确保用户只能访问其具备权限的数据和资源。
此外,还需要建立起监控和审计机制,对用户的操作行为进行记录和分析,及时发现和阻止异常行为。
最后,网络安全等保三级要求加强对系统和应用软件的安全管理。
系统和应用软件是网络系统的基石,如果存在漏洞和安全隐患,将对整个网络系统造成严重影响。
因此,要及时更新和升级软件,安装安全补丁,修复已知漏洞。
同时,要对软件进行架构分析和代码审计,发现和修复潜在的安全漏洞。
综上所述,网络安全等保三级是一个综合性的安全等级,要求在安全管理体系、网络边界防护、用户身份和权限管理以及系统和应用软件安全管理等方面进行全面的保护。
只有按照这些要求进行安全管理,才能确保网络系统的安全运行,防止黑客攻击和数据泄露的发生。
三级等保的安全要求
三级等保的安全要求随着信息技术的快速发展,网络安全问题日益突出,为了保护国家关键信息基础设施和重要信息系统的安全,我国推出了三级等保制度。
三级等保是指按照国家标准对信息系统进行评估和分级,分为一级、二级和三级,其中三级等保的安全要求最为严格。
下面将详细介绍三级等保的安全要求。
一、物理安全要求物理安全是信息系统安全的基础,对于三级等保来说尤为重要。
三级等保要求在物理环境方面,要确保信息系统的机房设施具备防火、防水、防雷击等基本安全措施,并配备相应的监控设备和门禁系统,以防止未经授权的人员进入机房。
此外,还要定期进行安全巡检,确保机房环境的安全。
二、网络安全要求网络安全是三级等保的核心要求之一。
在网络安全方面,三级等保要求信息系统具备防火墙、入侵检测与防御系统、反病毒系统等安全设备,并定期进行安全漏洞扫描和安全事件检测。
此外,还要对网络设备和系统进行严格的访问控制,确保只有授权的人员可以访问系统,并对敏感数据进行加密传输。
三、身份认证和访问控制要求身份认证和访问控制是保证信息系统安全的重要手段。
三级等保要求信息系统具备强大的身份认证和访问控制机制,包括多因素身份认证、密码策略、会话管理等。
只有经过身份认证的用户才能访问系统,并且根据用户的权限进行访问控制,以防止未经授权的人员获取敏感信息或进行非法操作。
四、数据安全要求数据是信息系统中最重要的资产,三级等保要求对数据的安全性进行了严格规定。
首先,要对敏感数据进行分类,并采取不同的安全措施进行保护。
其次,要对数据进行加密存储和传输,确保数据在存储和传输过程中不被窃取或篡改。
此外,还要建立完善的数据备份和恢复机制,以防止数据丢失或损坏。
五、安全管理要求安全管理是信息系统安全的基础,三级等保要求建立健全的安全管理机制。
首先,要制定安全策略和安全管理制度,明确各部门和人员的安全责任。
其次,要进行安全培训和意识教育,提高员工的安全意识和能力。
此外,还要建立安全事件响应机制,及时应对安全事件和威胁。
2023等保三级测评标准
2023等保三级测评标准
2023等保三级测评标准是指中国国家信息安全等级保护测评标准(GB/T 22239-2023)中规定的安全等级评估要求。
该标准适用于对政府机关、金融机构、电信运营商等重要信息系统进行安全等级测评。
下面是2023等保三级测评标准的主要内容:
1. 安全管理能力要求:包括组织管理、制度建设、安全策略与目标、安全人员配备等方面,要求被测评单位具备完善的安全管理体系和相关制度。
2. 系统建设要求:包括网络架构设计、系统安全配置、身份认证与访问控制、数据保护、应急响应与恢复等方面,要求被测评系统满足一定的技术要求和安全防护措施。
3. 安全事件管理要求:要求被测评单位建立健全的安全事件管理机制,包括安全事件监测与检测、安全事件响应与处置、安全事件溯源与分析等方面。
4. 安全审计与评估要求:要求被测评单位实施日常安全审
计和定期安全评估,包括安全漏洞扫描、风险评估、合规性审计等方面。
5. 安全培训与意识要求:要求被测评单位开展定期的安全培训和教育,提高人员的信息安全意识和技能。
6. 安全保障措施要求:要求被测评单位在物理安全、网络安全、应用安全、数据安全等方面采取一系列的安全保障措施,确保信息系统的整体安全性。
以上是2023等保三级测评标准的主要内容,该标准旨在帮助各类重要信息系统达到一定的安全等级要求,确保信息系统的安全运行和保护。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实用标准 文档 信息安全技术 信息系统安全等级保护基本要求 Information security technology- Baseline for classified protection of information system 实用标准
文档 1 第三级基本要求 1.1 技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域; d) 重要区域应配置电子门禁系统(电子门禁锁),控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统(红外线防盗报警器); f) 应对机房设置监控报警系统(高清摄像头)。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 1.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; 实用标准 文档 c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括: a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应(发电机),至少满足主要设备在断电情况下的正常运行要求; c) 应设置冗余或并行的电力电缆线路为计算机系统供电; d) 应建立备用供电系统。 1.1.1.10 电磁防护(S3) 1.1.1.11 本项要求包括:(防电磁辐射玻璃贴膜防辐射玻璃贴膜电磁辐射屏蔽膜机房监控室隔断) a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰; b) 电源线和通信线缆应隔离铺设,避免互相干扰; c) 应对关键设备和磁介质实施电磁屏蔽。 1.1.2 网络安全 1.1.2.1 结构安全(G3) 本项要求包括: a) 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要; b) 应保证网络各个部分的带宽满足业务高峰期需要; c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径(防火墙); d) 应绘制与当前运行情况相符的网络拓扑结构图; e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段; f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段; g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。 1.1.2.2 访问控制(G3) 本项要求包括:(防火墙)
a) 应在网络边界部署访问控制设备,启用访问控制功能; 实用标准 文档 b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
d) 应在会话处于非活跃一定时间或会话结束后终止网络连接; e) 应限制网络最大流量数及网络连接数; f) 重要网段应采取技术手段防止地址欺骗; g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
h) 应限制具有拨号访问权限的用户数量。 1.1.2.3 安全审计(G3) 本项要求包括:(安全审计系统)
a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; b) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应能够根据记录数据进行分析,并生成审计报表; d) 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。 1.1.2.4 边界完整性检查(S3) 本项要求包括:(网络边界完整性检查管理系统)
a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;
b) 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
1.1.2.5 入侵防范(G3)(杀毒软件) 本项要求包括:
a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
1.1.2.6 恶意代码防范(G3)(防火墙) 本项要求包括:
a) 应在网络边界处对恶意代码进行检测和清除; b) 应维护恶意代码库的升级和检测系统的更新。 1.1.2.7 网络设备防护(G3)(防火墙) 本项要求包括:
a) 应对登录网络设备的用户进行身份鉴别; b) 应对网络设备的管理员登录地址进行限制; c) 网络设备用户的标识应唯一; 实用标准 文档 d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别; e) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换; f) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
g) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
h) 应实现设备特权用户的权限分离。 1.1.3 主机安全 1.1.3.1 身份鉴别(S3)(防火墙) 本项要求包括: a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别; b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换; c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听; e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。 f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。 1.1.3.2 访问控制(S3)(防火墙) 本项要求包括: a) 应启用访问控制功能,依据安全策略控制用户对资源的访问; b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限; c) 应实现操作系统和数据库系统特权用户的权限分离; d) 应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令; e) 应及时删除多余的、过期的帐户,避免共享帐户的存在。 f) 应对重要信息资源设置敏感标记; g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作; 1.1.3.3 安全审计(G3)(防火墙) 本项要求包括: a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户; b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件; c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等; d) 应能够根据记录数据进行分析,并生成审计报表; e) 应保护审计进程,避免受到未预期的中断; f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等。 实用标准 文档 1.1.3.4 剩余信息保护(S3)(防火墙) 本项要求包括: a) 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中; b) 应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。 1.1.3.5 入侵防范(G3)(杀毒软件) 本项要求包括: a) 应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警; b) 应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施; c) 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。 1.1.3.6 恶意代码防范(G3)(防火墙和杀毒软件) 本项要求包括: a) 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库; b) 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库; c) 应支持防恶意代码的统一管理。 1.1.3.7 资源控制(A3) 本项要求包括: a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录; b) 应根据安全策略设置登录终端的操作超时锁定; c) 应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况; d) 应限制单个用户对系统资源的最大或最小使用限度; e) 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。 1.1.4 应用安全 1.1.4.1 身份鉴别(S3) 本项要求包括: a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别; b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别; c) 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用; d) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; e) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。 1.1.4.2 访问控制(S3)(防火墙)