等级保护三级等保三级基本要求内容.docx
《等级保护三级等保三级基本要求内容.docx》由会员分享,可在线阅读,更多相关《等级保护三级等保三级基本要求内容.docx(39页珍藏版)》请在冰豆网上搜索。
等级保护三级等保三级基本要求内容
等级保护第三级基本要求实行建议残留问题
物理安全
物理地点的选择(G3)
本项要求包含:
a)机房和办公场所应选择在拥有防震、防风和防雨等能力的建筑;
b)机房场所应防止设在建筑物的高一般选择在建筑物2-3层。
(同
层或地下室,以及用水设备的下B类安全机房的选址要求。
)
层或近邻。
物理接见控制(G3)
本项要求包含:
a)机房进出口应安排专人值守,控制、鉴识和记录进入的人员;
b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动围;
c)
应付机房区分地区进行管理,区
重要地区物理隔绝,并安装电
域和地区之间设置物理隔绝装
子门禁系统(天宇翱翔,微耕,
置,在重要地区前设置交托或安
瑞士KABA
或德国KABA
装等过渡地区;
Gallenschutz
)
d)
重要地区应配置电子门禁系统,
控制、鉴识和记录进入的人员。
防偷窃和防损坏(G3)
本项要求包含:
a)应将主要设备搁置在机房;
b)
应将设备或主要零件进行固定,
使用机柜并在设备上焊接铭
并设置显然的不易除掉的标志;
牌,注明设备型号、负责保留
人员、保护单位等信息。
(设
备铭牌只好被损坏性地去除。
)
c)
应将通讯线缆铺设在隐蔽处,可
铺设在地下或管道中;
d)
应付介质分类表记,储存在介质
库或档案室中;
e)
应利用光、电等技术设置机房防
机房安装光电防盗报警系统。
盗报警系统;
f)
应付机房设置监控报警系统。
机房安装视频监控报警系统。
防雷击(G3)
本项要求包含:
a)机房建筑应设置避雷装置;
b)应设置防雷保安器,防备感觉雷;安装电源三级防雷器和信号二
级防雷器(美国克雷太
ALLTEC)。
c)机房应设置交流电源地线。
防火(G3)
本项要求包含:
安装有管网气体自动灭火系
统。
a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
b)
机房及有关的工作房间和辅助房
进行机房改造,使用防火资料
应采纳拥有耐火等级的建筑材
装饰。
料;
c)
机房应采纳地区隔绝防火举措,
进行机房改造,重要地区使用
将重要设备与其余设备隔走开。
防火玻璃间隔。
防水和防潮(G3)
本项要求包含:
a)水管安装,不得穿过机房子顶和活动地板下;
b)应采纳举措防备雨水经过机房窗户、屋顶和墙壁浸透;
c)应采纳举措防备机房水蒸气结露和地下积水的转移与浸透;
d)
应安装对水敏感的检测仪表或元
件,对机房进行防水检测和报警。
安装机房动力环境监控系统(对机房设备的运转状态、温度、湿度、干净度、供电的电压、电流、频次、配电系统的开关状态、测漏系统等进行及时监控并记录历史数据),此中含漏水检测装置。
防静电(
G3)
本项要求包含:
a)主要设备应采纳必需的接地防静电举措;
b)机房应采纳防静电地板。
温湿度控制(G3)
机房应设置温、湿度自动调理设备,
使机房温、湿度的变化在设备运转所同意
安装精细空调系统,配置温湿
度检测装置,并接入动力环境
监控系统。
的围之。
电力供给(A3)
本项要求包含:
a)应在机房供电线路上配置稳压器和过电压防备设备;
b)应供给短期的备用电力供给,起码知足主要设备在断电状况下的正常运转要求;
c)应设置冗余或并行的电力电缆线路为计算机系统供电;
d)应成立备用供电系统。
电磁防备(S3)
本项要求包含:
a)应采纳接地方式防备外界电磁扰乱和设备寄生耦合扰乱;
b)电源线和通讯线缆应隔绝铺设,防止相互扰乱;
c)应付重点设备和磁介质实行电磁障蔽。
网络安全
构造安全(G3)
本项要求包含:
a)应保证主要网络设备的业务办理能力具备冗余空间,知足业务顶峰期需要;
b)应保证网络各个部分的带宽知足业务顶峰期需要;
c)应在业务终端与业务服务器之间进行路由控制成立安全的接见路径;
d)应绘制与目前运转状况符合的网络拓扑构造图;
e)应依据各部门的工作职能、重要性和所波及信息的重要程度等要素,区分不一样的子网或网段,并
配置线路稳压器和电源保护装
置(如金属氧化物可变电阻、
硅雪崩二极管、气体放电管、
滤波器、电压调整变压器和浪
涌滤波器)。
为主要设备配置UPS。
供给备用供电系统,并依据对
业务恢复时间的要求,拟订备
用供电系统的切换时间。
采纳障蔽机柜。
依照方便管理和控制的原则为各
子网、网段分派地址段;
f)
应防止将重要网段部署在网络边
重要网段与其余网段之间采纳
界处且直接连结外面信息系统,
防火墙或网闸进行隔绝。
重要网段与其余网段之间采纳可
靠的技术隔绝手段;
g)
应依照对业务服务的重要序次来
在多个业务共用的网络设备上
指定带宽分派优先级别,保证在
配置QOS。
网络发生拥挤的时候优先保护重
要主机。
接见控制(G3)
在网络界限部署防火墙。
本项要求包含:
a)应在网络界限部署接见控制设备,启用接见控制功能;
b)应能依据会话状态信息为数据流供给明确的同意/拒绝接见的能力,控制粒度为端口级;
c)应付进出网络的信息容进行过
滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
d)应在会话处于非活跃一准时间或会话结束后停止网络连结;
e)应限制网络最大流量数及网络连结数;
f)重要网段应采纳技术手段防备地址欺诈;
g)应按用户和系统之间的同意接见规则,决定同意或拒绝用户对受控系统进行资源接见,控制粒度为单个用户;
h)应限制拥有拨号接见权限的用户数目。
安全审计(G3)
本项要求包含:
a)应付网络系统中的网络设备运转状况、网络流量、用户行为等进行日记记录;
b)审计记录应包含:
事件的日期和时间、用户、事件种类、事件能否成功及其余与审计有关的信息;
c)应能够依据记录数据进行剖析,部署专业的日记审计系统。
并生成审计报表;
d)应付审计记录进行保护,防止受
到未预期的删除、改正或覆盖等。
界限完好性检查(S3)
本项要求包含:
a)
应能够对非受权设备擅自联到部
部署终端安全管理系统,利用
网络的行为进行检查,正确立出
IP/MAC绑定及ARP阻断功能
地点,并对其进行有效阻断;
实现非法接入控制。
b)
应能够对部网络用户擅自联到外
部署终端安全管理系统,供给
部网络的行为进行检查,
正确立
非法外联监控功能。
出地点,并对其进行有效阻断。
入侵防(G3)
部署入侵检测系统。
本项要求包含:
a)应在网络界限处监督以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
b)当检测到攻击行为时,记录攻击源IP、攻击种类、攻击目的、攻击时间,在发生严重入侵事件时应供给报警。
歹意代码防(G3)部署病毒过滤网关系统。
本项要求包含:
a)应在网络界限处对歹意代码进行检测和消除;
b)应保护歹意代码库的升级和检测系统的更新。
网络设备防备(G3)
本项要求包含:
a)应付登录网络设备的用户进行身份鉴识;
b)应付网络设备的管理员登录地址
进行限制;
c)网络设备用户的表记应独一;
d)
主要网络设备应付同一用户选择
采纳动向电子令牌身份认证系
两种或两种以上组合的鉴识技术
统(如RSASecurID)。
来进行身份鉴识;
e)
身份鉴识信息应拥有不易被冒用
的特色,口令应有复杂度要求并
按期改换;
f)
应拥有登录失败办理功能,可采
取结束会话、限制非法登录次数
和当网络登录连结超时自动退出
等举措;
g)
当对网络设备进行远程管理时,
应采纳必需举措防备鉴识信息在
网络传输过程中被窃听;
h)
应实现设备特权用户的权限分
离。
主机安全
身份鉴识(S3)
本项要求包含:
a)
应付登录操作系统和数据库系统
采纳操作系统和数据库系统安
的用户进行身份表记和鉴识;
全评估和加固服务。
b)
操作系统和数据库系统管理用户
身份表记应拥有不易被冒用的特
点,口令应有复杂度要求并按期
改换;
c)
应启用登录失败办理功能,可采
取结束会话、限制非法登录次数
和自动退出等举措;
d)
当对服务器进行远程管理时,应
采纳必需举措,防备鉴识信息在
网络传输过程中被窃听;
e)
应为操作系统和数据库系统的不
同用户分派不一样的用户名,保证
用户名拥有独一性。
f)
应采纳两种或两种以上组合的鉴
采纳动向电子令牌身份认证系
别技术对管理用户进行身份鉴
统(如RSASecurID)。
别。
接见控制(S3)
本项要求包含:
a)应启用接见控制功能,依照安全策略控制用户对资源的接见;
b)应依据管理用户的角色分派权限,实现管理用户的权限分别,仅授与管理用户所需的最小权限;
c)应实现操作系统和数据库系统特权用户的权限分别;
d)应严格限制默认的接见权限,重命名系统默认,改正这些的默认口令;
e)应及时删除剩余的、过期的,防止共享的存在。
f)应付重要信息资源设置敏感标志;
g)应依照安全策略严格控制用户对有敏感标志重要信息资源的操作;
安全审计(G3)
本项要求包含:
a)审计围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
b)审计容应包含重要用户行为、系统资源的异样使用和重要系统命令的使用等系统重要的安全有关事件;
c)审计记录应包含事件的日期、时间、种类、主体表记、客体表记和结果等;
d)应能够依据记录数据进行剖析,并生成审计报表;
e)应保护审计进度,防止遇到未预期的中断;
采纳安全操作系统(如一些国
产Linux操作系统或B1级操作系统)或在C2级操作系统中安装核加固软件(如浪潮SSR服务器安全加固系统-合用
Windows)。
服务器开启日记功能;重要客
户端安装终端安全管理软件进
行审计。
采纳专业的日记审计系统。
服务器采纳安全操作系统或安
装核加固软件,对审计进度进
行守卫,防备进度中断;重要
客户端的终端安全管理代理进
程拥有自我保护体制。
f)
应保护审计记录,防止遇到未预
采纳专业的日记审计系统。
期的删除、改正或覆盖等。
节余信息保护(S3)
采纳安全操作系统(如一些国
本项要求包含:
产Linux操作系统或B1级操作
a)
应保证操作系统和数据库系统用
系统)或安装Windows平台的剩
户的鉴识信息所在的储存空间,
余信息保护软件。
(同客体重
被开释或再分派给其余用户前得