等级保护第四级基本要求.docx

1、等级保护第四级基本要求等级保护第四级基本要求 -技术 需部署的安全设施 其他建议 残留问题1.1.1 物理安全1.1.1.1 物理位置的选择 （G3）本项要求包括：a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；b)机房场地应避免设在建一般选择在建筑物筑物的高层或地下室，2-3 层，最好在办公以及用水设备的下层或区附近，且不能邻隔壁。近洗手间、厨房等。（同 B 类安全机房的选址要求。）1.1.1.2物理访问控制（ G3）机房安装电子门禁系统增设保安人员在门本项要求包括：（北京天宇飞翔，深圳外值守；a)机房出入口应安排专人微耕，瑞士 KABA或德国通过门禁电子记录值守并 配置电子门

2、禁系KABA Gallenschutz ），或填写出入记录单统，控制、鉴别和记录建议采用双向控制。的形式记录进出人进入的人员；员和时间。b)需进入机房的来访人员机房内、外部临近入口需要有来访人员进应经过申请和审批流区域安装监控摄像头保入机房的审批记程，并限制和监控其活证全部范围覆盖。录；外来人员进入动范围；机房应当由专人全程陪同。c)应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；d)重要区域应配置 第二道电子门禁系统 ，控制、鉴别和记录进入的人员。1.1.1.3 防盗窃和防破坏 （G3）本项要求包括：a)应将主要设备放置在机房内；b)应将设备或

3、主要部件进重要区域物理隔离，并安装第二道电子门禁系统（双向）。使用机柜并在设备上焊行固定，并设置明显的不易除去的标记；c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；d)应对介质分类标识，存储在介质库或档案室中；e)应利用光、电等技术设置机房防盗报警系统；f)应对机房设置监控报警系统。1.1.1.4 防雷击（ G3）本项要求包括：a)机房建筑应设置避雷装置；b)应设置防雷保安器，防止感应雷；c)机房应设置交流电源地线。1.1.1.5 防火（ G3）本项要求包括：a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材

4、料；接铭牌，标明设备型号、负责保管人员、维护单位等信息。（设备铭牌只能被破坏性地去除。 ）介质应异地存放。机房重要资产存放处及附近区域安装光、电防盗报警系统，如红外或感应报警系统。机房安装视频监控报警系统。安装电源三级防雷器和信号二级防雷器（美国克雷太 ALLTEC）。机房设置专用交流电源 机房交流工作接地线，接地电阻不应大 地、安全保护接地、于4。 防雷接地应符合GB50174-93 电子计算机机房设计规范要求。在机房内安装温感或烟 灭火方式应采用气感探测器，连接到机房 体灭火系统，如动力环境监控系统中； CO2、FM-200、气溶安装有管网气体自动灭 胶和烟烙尽等。火系统。进行机房改造，使

5、用防火材料装修。c)机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。1.1.1.6 防水和防潮（ G3）本项要求包括：a)水管安装，不得穿过机房屋顶和活动地板下；b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；d)应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。1.1.1.7 防静电（ G3）本项要求包括：a)主要设备应采用必要的接地防静电措施；b)机房应采用防静电地板；c)应采用静电消除器等装置，减少静电的产生。1.1.1.8 温湿度控制（ G3）机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允

6、许的范围之内。进行机房改造，重要区域使用防火玻璃隔断。机房顶棚、地面和四周 机房尽可能选择没应做好防水处理，有条 有水管经过的房间件的话可以在机房顶部 和尽量不靠近建筑安装防漏水设施，在机 物外侧墙壁的地房地面修建地漏、泄水 方，这样可以节省槽和配置排水设备。 做防水系统的大量投资。安装机房动力环境监控系统（对机房设备的运行状态、温度、湿度、洁净度、供电的电压、电流、频率、配电系统的开关状态、测漏系统等进行实时监控并记录历史数据），其中含漏水检测装置。采用防静电工作台、静电消除剂和静电消除器等。安装带湿度调节功能的 带湿度控制的空调精密空调系统，配置温 价格比较昂贵，且湿度检测装置，并接入 需

7、要对水管的布置动力环境监控系统。空 进行考虑。可以使调应依据机房面积和设 用其他方法增加机备数量安装，尽量保证 房内的湿度，使用设备工作在湿度湿度表进行监控。1.1.1.9 电力供应（ A3）本项要求包括：a)应在机房供电线路上配置稳压器和过电压防护设备；b)应提供短期的备用电力供应，至少满足主要 设备在断电情况下的正常运行要求；c)应设置冗余或并行的电力电缆线路为计算机系统供电；d)应建立备用供电系统。1.1.1.10 电磁防护（ S3）本项要求包括：a)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；b)电源线和通信线缆应隔离铺设，避免互相干扰；45-60 之间，夏季温度控制在 23 2

8、 ，冬季 温 度 控 制 在202，温度变化率不超过 5/h ， 并且不得结露。（按电子计算机机房设计规范 A 级要求）配置线路稳压器和电源保护装置（如金属氧化物可变电阻、硅雪崩二极管、气体放电管、滤波器、电压调整变压器和浪涌滤波器）。为机房设备配置 UPS。建筑应采用双路供电系统（连接两个不同区域的供电站），并根据对业务恢复时间的要求，制定备用供电系统的切换时间。有条件的企业可以配备柴油发电机保证较长时间的应急供电。通过将机架外壳接地的方式可以降低外界的电子干扰。强、弱电线路尽量原离，使用交叉走线，避免平行走线；使用铁质线槽可以抵御电磁干扰并有效保护线缆安全。c)应对关键区域实施电磁屏蔽。1

9、.1.2 网络安全1.1.2.1 结构安全（ G4）本项要求包括：a)应保证 网络设备 的业务处理能力具备冗余空间，满足业务高峰期需要；b)应保证网络各个部分的带宽满足业务高峰期需要；c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；d)应绘制与当前运行情况相符的网络拓扑结构图；e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采重要设备和磁介质放置在电磁屏蔽装置中，或对关键区域建屏蔽室。重要网段与其他网段之间采

10、用防火墙或网闸进行隔离。取可靠的技术隔离手段；g)应按照对业务服务的重在多个业务共用的网络有条件的话可以在要次序来指定带宽分配设备上配置 QOS。主干通信线路上安优先级别，保证在网络装专用的带宽管理发生拥堵的时候优先保设备。护重要主机。1.1.2.2访问控制（ G4）网络边界部署安全隔离现有产品无法根据本项要求包括：与信息交换系统（网数据的敏感标记允a)应在网络边界部署访问闸）。许或拒绝数据通控制设备，启用访问控过。制功能；b)应不允许数据带通用协议通过；c)应根据数据的敏感标记允许或拒绝数据通过；d)应不开放远程拨号访问功能。1.1.2.3 安全审计（ G4） 部署专业的日志审计系本项要求包

11、括： 统，并且所有事件源与a) 应对网络系统中的网络 审计服务器保持时钟同设备运行状况、网络流 步。量、用户行为等进行日志记录；b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；d)b) 应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。e)本项要求包括：c)应能够根据记录数据进行分析，并生成审计报表；d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等；e)应定义审计跟踪极限的阈值，当存储空间接近极限时，能采取必要的措施，当存储空间被耗尽时，

12、终止可审计事件的发生；f)应根据信息系统的统一安全策略，实现集中审计，时钟保持与时钟服务器同步。1.1.2.4 边界完整性检查 （S4） 部 署 终 端 安 全 管 理 系统，利用 IP/MAC 绑定及 ARP 阻断功能实现a) 应能够对非授权设备私非法接入控制。部署终端安全管理系统，提供非法外联监控功能。1.1.2.61.1.2.5 入侵防范（ G4）本项要求包括：a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、 IP 碎片攻击和网络蠕虫攻击等；a)当检测到攻击行为时，应记录攻击源 IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应

13、提供报警及 自动采取相应动作 。恶意代码防范（ G4）本项要求包括：a)应在网络边界处对恶意代码进行检测和清除；a)应维护恶意代码库的升级和检测系统的更新。1.1.2.7 网络设备防护（ G4）本项要求包括：a)应对登录网络设备的用户进行身份鉴别；b)应对网络设备的管理员登录地址进行限制；c)网络设备用户的标识应唯一；部署网络入侵防御或网络入侵检测系统，对进出边界的网络数据流进行攻击检测，并提供适当的日志记录、报警和自动响应机制。在区域边界部署病毒过滤网关系统。d)主要网络设备应对同一采用动态电子令牌身份用户选择两种或两种以认证系统（如 RSA上组合的鉴别技术来进SecurID ），其令牌应当行身份鉴别；不可伪造。e)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；f)网络设备用户的身份鉴别信息至少应有一种是不可伪造的；g)应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录