1 4等级保护基本要求详细表格Word文件下载.docx
《1 4等级保护基本要求详细表格Word文件下载.docx》由会员分享,可在线阅读,更多相关《1 4等级保护基本要求详细表格Word文件下载.docx(59页珍藏版)》请在冰豆网上搜索。
c)区域前设置交d)域或安装等过渡配置第二道电域门禁系统控制d)鉴别和记录进配置电子门禁的人统,控制、鉴和记录进入的a)a)a)a)b)b)b)防盗窃c)c)c)内防破d)d)应将设备b)(G)
e)应利用光、e)处,可铺设在f)
固定,并设置下或管道中等技术设置机防盗报警系统应对介质d)f)的标类标识,存储置监控报警系室中e)报警设a)a)a)a)b)b)机房应设b)设置避雷装防雷c)应设置防c)交流电源地(G)
保安器,防止应a)机房应设a)a)机房应设a)
b)火灾自动消防灭火设(G)
防c)统,能够自动系
测火情、自动报.
警并自动灭火
b)的工作房间和助房应采用具耐火等级的建材料
c)区域隔离防火施,将重要设与其他设备隔
a)a)a)a)水管安装b)b)c)c)防水和d)d)(G)要的保护措施敏感的检测仪b)应采取措b)或元件,对机c)防.
机房窗户、屋进行防水检测报和墙壁渗
与渗a)a)关键设备a)b)采用必要的接防静c)防静电措施/地防静电措(G)
消除器等装置b)减少静电的产防静电地机房应设置温机房应设置温机房应设置温湿度自动调节湿度自动调节要的温、湿度施,使机房温制设施,使机施,使机房温温湿度湿度的变化在湿度的变化在温、湿度的变温、湿度的变(G)
备运行所允许备运行所允许范围之范围之
a)a)a)a)电力供应.
(A)
b)应提供短b)b)短应,至少满足压防护设应,至少满足应,至少满足备在断电情况要设备在断电的正常运行要况下的正常运c)要求运行要d)c)或并行的电力缆线路为计算系统供电d)供电系a)电源线和b)a)
b)方式防止外界电磁防c)/
磁干扰和设备铺设,避免互(S)
域实施电磁屏干生耦合干扰b)
c)备和磁介质实电磁屏
a)a)a)a)设备的业务处网络设备的业能力具备冗余处理能力具备间,满足业务备冗余空间,余空间,满足峰期需务高峰期需要需要
b)需要b)b)c)各个部分的带b)应保证接结构安d)满足业务高峰(G)e)需要f)c)要g)端与业务服务要d)
d)之间进行路由e)制建立安全的门的工作职能问路扑结构图
d)e)f应避免将重程度等因素,网段部署在网边界处且直接或网段,并按统,重要网段其他网段之间子网、网段分取可靠的技术地址离手段
g)务服务的重要序来指定带宽配优先级别,证在网络发生堵的时候优先护重要主机
a)a)a)a)b)应能根b)许b)话状态信息为据带通用协议制设备,启用据流提供明确过问控制功能c)确的允拒应根据访b)
的能力,控制访问的能力,的敏感标记允度为端口级c)级过址、源端口、访问控络的信息内容h)g)放(G)
行过滤,实现程拨号访问功等进行检查,应用许访问规则,HTT拒绝数允FTTELNE包出入SMTPOPg)协议命令级的制问,控制粒度d)单个用户于非活跃一定应限制具h)访问,控制粒度.
至少为用户间或会话结束的用户数终止网络连接
e)最大流量数及络连接数
f)采取技术手段止地址欺
g)
h)
a)a)a)b)b)c)c)备运行状况、d)记录数据进行安全审络流量、用户/
e)析,并生成审(G)
报表记录值,当存储空d)审计记录b)接近极限时,能
录进行保护,施,当存储空免受到未预期被耗尽时,终户、事件类型删除、修改或可审计事件的盖生f)相关的信系统的统一安策略,实现集审计,时钟保与时钟服务器
a)b)应能够对a)b)授权设备私自到内部网络的边界完/
为进行检查,(S)
性检确定出位置,对其进行有效的.
断
b)部网络用户私联到外部网络行为进行检查准确定出位置并对其进行有阻
a)a)应在网络a)
b)b)到击行为时,记击行为时,应攻击行为:
端攻击I、攻录攻击I入侵防类型攻击目的击类型、攻击击、木马后门/
(G)
攻击时间,在的、攻击时间击、拒绝服务生严重入侵事在发生严重入击、缓冲区溢时应提供报事件时应提供碎片攻击I警及自动采取击
攻击应动
a)a)b)界处对恶意代恶意代除/
/(G)
防b)代码库的升级检测系统的更
a)a)a)a)b)b)应对网络b)c)c)进行身份鉴别d)d)应具有登录fe)网络设备应对同一用制败处理功能,f)(G)
防选择两种或两c)采取结束会话g)以上组合的鉴h)技术来进行身一i)网络设备鉴d)户的身份鉴别信.
e)息至少应有一e)f)是不可伪造施g)被冒用的特点g)h)特权用户的权理时,应采取分更换f)窃a)a)a)a)b)b)操作系统b)c)c)d)d)身份鉴e)e)(S)和鉴f)应采用两f)应采用两被冒用的特点或两种以上组或两种以上组的鉴别技术对的鉴别技术对度.
更换理用户进行身理用户进行身c)鉴鉴别,并且身失败处理功能鉴别信息至少一种是不可伪话、限制非法
g)应设置鉴退出等措施警示信息,描d)当对服务未授权访问可导致的后
时,应采取必措施,防止鉴听
e)统
户名,确保用名具有唯一
应对所有主体安全标客体设置敏感/
/
(S)
a)a)a)a)应根据管b)b)应实现操控制功能,依策略和所有主用户的角色分和客体设置的权限,实现管感标记控制主的权限分访问对客体的访问访问控d)离,仅授予管b)d)应限制默(S)
e)c)用户所需的最d)权限,重命名系e)c)默认帐户,修制h)f)粒度应达到主息资源设置敏认口令;
e)标记为用户级或进级客体为文件多余的、过期g)数据库表、记帐户,避免共策略严格控制和字段户对有敏感标帐户的存重要信息资源操a)户进行身份鉴时,系统与用之间应能够建一条安全的信可信路传输路径///
b)对统进行访问时系统与用户之应能够建立一安全的信息传输.
路
a)a)a)
b)覆盖到服务器c)重要客户端上d)每个操作系统e)据库用户户和数据库用f)b)审计内容b)g)c)信息系统的统d)行为、系统资安全审安全策略,实/
记录数据进行(G)
集中审析,并生成审报表e)进程,避免受相关事件未预期的中c)f)类型时间期、.
主体标识、客标识和结果等
f应保护审计录,避免受到预期的删除、改或覆盖
a)a)b)系统和数据库统用户的鉴别息所在的存储间,被释放或剩余信/
/分配给其他用(S)
保除,无论这些息是存放在硬中;
b)内的文件、目和数据库记录资源所在的存空间,被释放重新分配给其用户前得到完清
a)c)c)操作系统a)b)到对重要服务c)的原则,仅安的原则,仅安为,能够记录入侵防、攻侵的I应用程序,并应用程序,并(G)
的类型、攻击目的、攻击的时得到更间,并在发生重入侵事件时时得到更新.
供报警
b)要程序的完整进行检测,并检测到完整性到破坏后具有复的措
c)
a)a)a)a)b)c)b)意代码软件,c)代码产品应具恶意代与网络防恶意统一管(G)
防码产品不同的意代码c)
a)a)a)资源控b)/
b)终端接入方式(A)
c)
d)c)e)务器进行监视包括监视服务端登录、硬盘b)应根据安CP内存、网络等源的使用情况d)时锁定e)应限制单d)
统的服务水平低到预先规定最小值进行检小使用限和报a)a)a)a)c)b)b)一身份鉴户采用两种或户采用两种或(S)种以上组合的种以上组合的别技术实现用杂度检查功能别技术实现用和鉴别安.
d)应提供登身份鉴身份鉴别,其c)一种是不可伪失败处理功能d)用户身份标识e)c)话、限制非法d)不易被冒用e)d)退出等措施e)e)鉴别、用户身败处理功能,查、用户身份配置相关参失败处理功能应提供为主体//
安全标记.
客体设置安全记的功能并在装后启
a)a)a)a)b)b)控制功能,依应由授权c)c)用户用户体配置访问控体配置访问控用户对文件、策略,并严格策略,并禁止户数据的访问制默认帐户的认帐户的访c)的访问问权d)b)访问控制访问控d)(S)e)制策略,并严e)安全标记来确要信息资源设是授予还是拒的访问权相关的主体、主体对客体的能的操作f)c)策略严格控制应授予不d)
户对有敏感标重要信息资源需的最小权限操
的关
a)对用户进行身鉴别时,应能建立一条安全信息传输路径可信路/
/通/b)(S)
应用系统对资进行访问时,用系统应保证被访问的资源用户之间应能够
建立一条安全信息传输路径
a)a)a)b)b)c)单独中断审计安全审计功能d)程,无法删除e)修改或覆盖审统一安全策略记录行审计提供集中审计c)应保证无b)安全审应提供对d)删除、修改或/
计记录数据进盖审计记录统计、查询、c)析及生成审计表的功括事件日期、息、类型、描和结果等.
a)a)b)鉴别信息所在存储空间被释或再分配给其用户前得到完清除,无论这信息是存放在盘上还是在内剩余信中//
保b)内的文件、目和数据库记录资源所在的存空间被释放或新分配给其他户前得到完全除.
应采用密码技应采用密码技保证通信过程保证通信过程通信完数据的完整数据的完整(S)
完整完整a)a)a)b)b)建立连接之前c)程中的整个报化的设备对重或会话过程进通信过程进行加通信保/
解密运算和密(S)
验证管应对通信b)
a)a)抗抵/
b)求的情况下为(G)
据原发者或接者提供数据原证据的功能
b)求的情况下为据原发者或接者提供数据接证据的功
a)a)a)应提供数a)b)b)b)在故障发c)保护功能,当时,应用系统能,保证通过恢复功能,当障发生时自动软件容障发生时立即一部分功能,(A)态,保证系统程,恢复原来够进行恢要的措工作状系统设定要a)a)a)/
资源控制.
b)b)c)c)d)d)e)个时间段内可何响应,另一f)的并发会话连g)数进行限制束会话e)应能够对b)个访问帐户或个请求进程占的资源分配最数进行限制c)额f)统服务水平降限到预先规定的小值进行检测报警;
g)能,并在安装根据安全策略定访问帐户或级,根据优先分配系统资
a)应能够检a)a)应能够检a)b)c)据、鉴别信息信提供专用通重要业务数据数据完协议或安全通传输过程中完破(S)协议服务,避性受到破坏,来自基于通用在检测到完整信协议的攻击错误时采取必坏数据完整的恢复措施;
b)据、鉴别信息重要业务数据存储过程中完性受到破坏,在检测到完整错误时采取必的恢复措
a)a)b)应采用加b)或其他有效措c)实现系统管理信提供专用通据、鉴别信息数据保/
协议或安全通重要业务数据(S)
协议服务,避输保密性来自基于通用b)议的攻击破坏或其他保护措施
实现系统管理据保密
据、鉴别信息重要业务数据储保密a)a)a)a)b)应提供关异d)数据备份与恢灾难备份中心网络设备、通功能,完全数份和恢
配备灾难恢复备份至少每天需的通信线路次,备份介质网络设备和数冗余,保证系外存放备份和处理设备,提的可用b)(A)
业务应用的实