1、c)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出入入侵侵防防范范/恶恶意意代代码码防防范范/安安全全审审计计/网网络络和和通通信信安安全全通通信信传传输输a)应采用校验码技术保证通信过程中数据的完整性集集中中管管控控/设设备备和和计计算算安安全全身身份份鉴鉴别别a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施访访问问控控制制a)应对登录的用户分配账号和权限;b)应重命名默认账号或修改默认口令;c)应及时删除或停用多
2、余的、过期的账号,避免共享账号的存在安安全全审审计计/入入侵侵防防范范a)系统应遵循最小安装的原则,仅安装需要的组件和应用程序;b)应关闭不需要的系统服务、默认共享和高危端口恶恶意意代代码码防防范范a)应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库资资源源控控制制/应应用用和和数数据据安安全全身身份份鉴鉴别别a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求并定期更换;b)应提供并启用登录失败处理功能,多次登录失败后应采取必要的保护措施访访问问控控制制a)应提供访问控制功能,对登录的用户分配账号和权限;b)应重命名应用系统默认账号或
3、修改这些账号的默认口令;c)应及时删除或停用多余的、过期的账号,避免共享账号的存在安安全全审审计计/入入侵侵防防范范软软件件容容错错a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求资资源源控控制制/数数据据完完整整性性a)应采用校验码技术保证重要数据在传输过程中的完整性数数据据保保密密性性/数数据据备备份份恢恢复复a)应提供重要数据的本地数据备份与恢复功能剩剩余余信信息息保保护护/个个人人信信息息保保护护/二二、管管理理要要求求基基本本要要求求第第一一级级安安全全策策略略和和管管理理制制度度安安全全策策略略/管管理理制制度度a)应建立日常管理活动中常用
4、的安全管理制度应应用用和和数数据据安安全全安安全全审审计计/制制定定和和发发布布/评评审审和和修修订订/安安全全管管理理机机构构和和人人员员岗岗位位设设置置c)应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责人人员员配配备备a)应配备一定数量的系统管理员、网络管理员、安全管理员等授授权权和和审审批批a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等沟沟通通和和合合作作/审审核核和和检检查查/人人员员录录用用a)应指定或授权专门的部门或人员负责人员录用人人员员离离岗岗a)应及时终止离岗员工的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设
5、备安安全全意意识识教教育育和和培培训训a)应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施安安全全策策略略和和管管理理制制度度管管理理制制度度a)应建立日常管理活动中常用的安全管理制度外外部部人人员员访访问问管管理理a)应确保在外部人员访问受控区域前得到授权或审批安安全全建建设设管管理理定定级级和和备备案案a)应明确保护对象的边界和安全保护等级安安全全方方案案设设计计a)应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施产产品品采采购购和和使使用用a)应确保信息安全产品采购和使用符合国家的有关规定自自行行软软件件开开发发/外外包包软软件件开开发发
6、/工工程程实实施施a)应指定或授权专门的部门或人员负责工程实施过程的管理安安全全意意识识教教育育和和培培训训a)应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施测测试试验验收收 a)应进行安全性测试验收系系统统交交付付a)应根据交付清单对所交接的设备、软件和文档等进行清点;b)应对负责运行维护的技术人员进行相应的技能培训等等级级测测评评/服服务务供供应应商商选选择择a)应确保服务供应商的选择符合国家的有关规定;b)应与选定的服务供应商签订与安全相关的协议,明确约定相关责任安安全全运运维维管管理理环环境境管管理理a)应指定专门的部门或人员负责机房安全,对机房出入进行管理
7、,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理;b)应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定资资产产管管理理/介介质质管管理理a)应确保介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点设设备备维维护护管管理理a)应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理工工程程实实施施a)应指定或授权专门的部门或人员负责工程实施过程的管理漏漏洞洞和和风风险险管管理理a)应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的
8、影响后进行修补网网络络和和系系统统安安全全管管理理a)应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限;b)应指定专门的部门或人员进行账号管理,对申请账号、建立账号、删除账号等进行控制恶恶意意代代码码防防范范管管理理a)应提高所有用户的防恶意代码意识,告知对外来计算机或存储设备接入系统前进行恶意代码检查等;b)应对恶意代码防范要求做出规定,包括防恶意代码软件的授权使用、恶意代码库升级、恶意代码的定期查杀等配配置置管管理理/密密码码管管理理/安安全全运运维维管管理理设设备备维维护护管管理理a)应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理变
9、变更更管管理理/备备份份与与恢恢复复管管理理a)应识别需要定期备份的重要业务信息、系统数据及软件系统等;b)应规定备份信息的备份方式、备份频度、存储介质、保存期等安安全全事事件件处处置置a)应报告所发现的安全弱点和可疑事件;b)应明确安全事件的报告和处置流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责应应急急预预案案管管理理/外外包包运运维维管管理理/密密码码管管理理/第第二二级级第第三三级级a)机机房房场场地地应应选选择择在在具具有有防防震震、防防风风和和防防雨雨等等能能力力的的建建筑筑内内;a);b)机机房房场场地地应应避避免免设设在在建建筑筑物物的的顶顶层层或或地地下下室室,否
10、否则则应应加加强强防防水水和和防防潮潮措措施施b);a)a)机房出入口应应配配置置电电子子门门禁禁系系统统,控制、鉴别和记录进入的人员a);a);b)应应将将通通信信线线缆缆铺铺设设在在隐隐蔽蔽处处,可可铺铺设设在在地地下下或或管管道道中中。b);c)应应设设置置机机房房防防盗盗报报警警系系统统或或设设置置有有专专人人值值守守的的视视频频监监控控系系统统a)a);b)应应采采取取措措施施防防止止感感应应雷雷,例例如如设设置置防防雷雷保保安安器器或或过过压压保保护护装装置置等等a)机机房房应应设设置置火火灾灾自自动动消消防防系系统统,能能够够自自动动检检测测火火情情、自自动动报报警警,并并自自动
11、动灭灭火火;b)机机房房及及相相关关的的工工作作房房间间和和辅辅助助房房应应采采用用具具有有耐耐火火等等级级的的建建筑筑材材料料b);c)应应对对机机房房划划分分区区域域进进行行管管理理,区区域域和和区区域域之之间间设设置置隔隔离离防防火火措措施施。b)应应采采取取措措施施防防止止机机房房内内水水蒸蒸气气结结露露和和地地下下积积水水的的转转移移与与渗渗透透b);c)应应安安装装对对水水敏敏感感的的检检测测仪仪表表或或元元件件,对对机机房房进进行行防防水水检检测测和和报报警警。a)应应安安装装防防静静电电地地板板并并采采用用必必要要的的接接地地防防静静电电措措施施a);b)应应采采用用措措施施防
12、防止止静静电电的的产产生生,例例如如采采用用静静电电消消除除器器、佩佩戴戴防防静静电电手手环环等等。a)机房应设置温温湿湿度度自自动动调调节节设设施施,使机房温湿度的变化在设备运行所允许的范围之内a);b)应应提提供供短短期期的的备备用用电电力力供供应应,至至少少满满足足设设备备在在断断电电情情况况下下的的正正常常运运行行要要求求b);c)应应设设置置冗冗余余或或并并行行的的电电力力电电缆缆线线路路为为计计算算机机系系统统供供电电。a)电电源源线线和和通通信信线线缆缆应应隔隔离离铺铺设设,避避免免互互相相干干扰扰a);b)应应对对关关键键设设备备实实施施电电磁磁屏屏蔽蔽。a)应保证网络设备的业
13、务处理能力满满足足业业务务高高峰峰期期需需要要;b)应保证接入网络和核心网络的带宽满满足足业业务务高高峰峰期期需需要要;b)应保证网网络络各各个个部部分分的的带带宽宽满满足足业业务务高高峰峰期期需需要要;c)应应划划分分不不同同的的网网络络区区域域,并并按按照照方方便便管管理理和和控控制制的的原原则则为为各各网网络络区区域域分分配配地地址址;c);d)应应避避免免将将重重要要网网络络区区域域部部署署在在网网络络边边界界处处且且没没有有边边界界防防护护措措施施。d);e)应应提提供供通通信信线线路路、关关键键网网络络设设备备的的硬硬件件冗冗余余,保保证证系系统统的的可可用用性性。a)a)应采用校
14、验码技术或或加加解解密密技技术术保证通信过程中数据的完整性;b)应应采采用用加加解解密密技技术术保保证证通通信信过过程程中中敏敏感感信信息息字字段段或或整整个个报报文文的的保保密密性性。a)a);b)应应能能够够对对非非授授权权设设备备私私自自联联到到内内部部网网络络的的行行为为进进行行限限制制或或检检查查;c)应应能能够够对对内内部部用用户户非非授授权权联联到到外外部部网网络络的的行行为为进进行行限限制制或或检检查查;d)应应限限制制无无线线网网络络的的使使用用,确确保保无无线线网网络络通通过过受受控控的的边边界界防防护护设设备备接接入入内内部部网网络络。a)应在网网络络边边界界或或区区域域之之间间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;d)应应能能根根据据会会话话状状态态信信息息为为数数据据流流提提供供明明确确的的允允许许/拒拒绝绝访访问问的的能能力力,控控制制粒粒度度为为端端口口级级d);e)应应在在关关键键网网络络节节点点处处对对进进出出网网络络的的信信息息内内容容进进行行过过滤滤,实实现现对对内内容容的的访访问问控控制制。a
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1