等级保护三级等保三级基本要求内容.docx

1、等级保护三级等保三级基本要求内容等级保护第三级基本要求 实行建议 残留问题 物理安全 物理地点的选择（ G3）本项要求包含：a)机房和办公场所应选择在拥有防震、防风和防雨等能力的建筑；b) 机房场所应防止设在建筑物的高 一般选择在建筑物 2-3 层。（同层或地下室，以及用水设备的下 B 类安全机房的选址要求。）层或近邻。 物理接见控制（ G3）本项要求包含：a)机房进出口应安排专人值守，控制、鉴识和记录进入的人员；b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动围；c)应付机房区分地区进行管理，区重要地区物理隔绝，并安装电域和地区之间设置物理隔绝装子门禁系统（天宇翱翔，微耕，置

2、，在重要地区前设置交托或安瑞 士 KABA或德国 KABA装等过渡地区；Gallenschutz）d)重要地区应配置电子门禁系统，控制、鉴识和记录进入的人员。防偷窃和防损坏（ G3）本项要求包含：a)应将主要设备搁置在机房；b)应将设备或主要零件进行固定，使用机柜并在设备上焊接铭并设置显然的不易除掉的标志；牌，注明设备型号、负责保留人员、保护单位等信息。（设备铭牌只好被损坏性地去除。）c)应将通讯线缆铺设在隐蔽处，可铺设在地下或管道中；d)应付介质分类表记，储存在介质库或档案室中；e)应利用光、电等技术设置机房防机房安装光电防盗报警系统。盗报警系统；f)应付机房设置监控报警系统。机房安装视频监

3、控报警系统。防雷击（ G3）本项要求包含：a)机房建筑应设置避雷装置；b)应设置防雷保安器， 防备感觉雷； 安装电源三级防雷器和信号二级防雷器（美国克雷太ALLTEC）。c)机房应设置交流电源地线。 防火（ G3）本项要求包含：安装有管网气体自动灭火系统。a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；b)机房及有关的工作房间和辅助房进行机房改造，使用防火资料应采纳拥有耐火等级的建筑材装饰。料；c)机房应采纳地区隔绝防火举措，进行机房改造，重要地区使用将重要设备与其余设备隔走开。防火玻璃间隔。防水和防潮（ G3）本项要求包含：a)水管安装，不得穿过机房子顶和活动地板下；

4、b)应采纳举措防备雨水经过机房窗户、屋顶和墙壁浸透；c)应采纳举措防备机房水蒸气结露和地下积水的转移与浸透；d)应安装对水敏感的检测仪表或元件，对机房进行防水 检测和报警。安装机房动力环境监控系统（对机房设备的运转状态、温度、湿度、干净度、供电的电压、电流、频次、配电系统的开关状态、测漏系统等进行及时监控并记录历史数据），此中含漏水检测装置。 防静电（G3）本项要求包含：a)主要设备 应采纳必需的接地防静电举措；b)机房应采纳防静电地板。 温湿度控制（ G3）机房应设置温、湿度自动调理设备，使机房温、湿度的变化在设备运转所同意安装精细空调系统，配置温湿度检测装置，并接入动力环境监控系统。的围之

5、。 电力供给（ A3）本项要求包含：a)应在机房供电线路上配置稳压器和过电压防备设备；b)应供给短期的备用电力供给，起码知足 主要设备 在断电状况下的正常运转要求；c)应设置冗余或并行的电力电缆线路为计算机系统供电；d)应成立备用供电系统。 电磁防备（ S3）本项要求包含：a)应采纳接地方式防备外界电磁扰乱和设备寄生耦合扰乱；b)电源线和通讯线缆应隔绝铺设，防止相互扰乱；c)应付重点设备和磁介质实行电磁障蔽。 网络安全 构造安全（ G3）本项要求包含：a)应保证 主要网络设备 的业务办理能力具备冗余空间，知足业务顶峰期需要；b)应保证 网络各个部分的带宽 知足业务顶峰期需要 ；c)应在业务终端

6、与业务服务器之间进行路由控制成立安全的接见路径；d)应绘制与目前运转状况符合的网络拓扑构造图；e)应依据各部门的工作职能、重要性和所波及信息的重要程度等要素，区分不一样的子网或网段，并配置线路稳压器和电源保护装置（如金属氧化物可变电阻、硅雪崩二极管、气体放电管、滤波器、电压调整变压器和浪涌滤波器）。为主要设备配置 UPS。供给备用供电系统，并依据对业务恢复时间的要求，拟订备用供电系统的切换时间。采纳障蔽机柜。依照方便管理和控制的原则为各子网、网段分派地址段；f)应防止将重要网段部署在网络边重要网段与其余网段之间采纳界处且直接连结外面信息系统，防火墙或网闸进行隔绝。重要网段与其余网段之间采纳可靠

7、的技术隔绝手段；g)应依照对业务服务的重要序次来在多个业务共用的网络设备上指定带宽分派优先级别，保证在配置 QOS。网络发生拥挤的时候优先保护重要主机。接见控制（ G3）在网络界限部署防火墙。本项要求包含：a)应在网络界限部署接见控制设备，启用接见控制功能；b)应能依据会话状态信息为数据流供给明确的同意 /拒绝接见的能力，控制粒度为端口级 ；c)应付进出网络的信息容进行过滤，实现对应用层 HTTP 、FTP 、 TELNET 、SMTP 、POP3 等协议命令级的控制；d)应在会话处于非活跃一准时间或会话结束后停止网络连结；e)应限制网络最大流量数及网络连结数；f)重要网段应采纳技术手段防备地

8、址欺诈；g)应按用户和系统之间的同意接见规则，决定同意或拒绝用户对受控系统进行资源接见，控制粒度为单个用户；h)应限制拥有拨号接见权限的用户数目。 安全审计（ G3）本项要求包含：a)应付网络系统中的网络设备运转状况、网络流量、用户行为等进行日记记录；b)审计记录应包含：事件的日期和时间、用户、事件种类、事件能否成功及其余与审计有关的信息；c) 应能够依据记录数据进行剖析， 部署专业的日记审计系统。并生成审计报表；d)应付审计记录进行保护，防止受到未预期的删除、 改正或覆盖等。 界限完好性检查（ S3）本项要求包含：a)应能够对非受权设备擅自联到部部署终端安全管理系统，利用网络的行为进行检查，

9、正确立出IP/MAC 绑定及 ARP 阻断功能地点，并对其进行有效阻断；实现非法接入控制。b)应能够对部网络用户擅自联到外部署终端安全管理系统，供给部网络的行为进行检查，正确立非法外联监控功能。出地点，并对其进行有效阻断。入侵防（ G3）部署入侵检测系统。本项要求包含：a)应在网络界限处监督以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、 IP 碎片攻击和网络蠕虫攻击等；b)当检测到攻击行为时，记录攻击源 IP 、攻击种类、攻击目的、攻击时间，在发生严重入侵事件时应供给报警。 歹意代码防（ G3） 部署病毒过滤网关系统。本项要求包含：a)应在网络界限处对歹意代码进

10、行检测和消除；b)应保护歹意代码库的升级和检测系统的更新。 网络设备防备（ G3）本项要求包含：a)应付登录网络设备的用户进行身份鉴识；b)应付网络设备的管理员登录地址进行限制；c)网络设备用户的表记应独一；d)主要网络设备应付同一用户选择采纳动向电子令牌身份认证系两种或两种以上组合的鉴识技术统（如 RSA SecurID ）。来进行身份鉴识；e)身份鉴识信息应拥有不易被冒用的特色，口令应有复杂度要求并按期改换；f)应拥有登录失败办理功能，可采取结束会话、限制非法登录次数和当网络登录连结超时自动退出等举措；g)当对网络设备进行远程管理时，应采纳必需举措防备鉴识信息在网络传输过程中被窃听；h)应

11、实现设备特权用户的权限分离。主机安全身份鉴识（ S3）本项要求包含：a)应付登录操作系统和数据库系统采纳操作系统和数据库系统安的用户进行身份表记和鉴识；全评估和加固服务。b)操作系统和数据库系统管理用户身份表记应拥有不易被冒用的特点，口令应有复杂度要求并按期改换；c)应启用登录失败办理功能，可采取结束会话、限制非法登录次数和自动退出等举措；d)当对服务器进行远程管理时，应采纳必需举措，防备鉴识信息在网络传输过程中被窃听；e)应为操作系统和数据库系统的不同用户分派不一样的用户名，保证用户名拥有独一性。f)应采纳两种或两种以上组合的鉴采纳动向电子令牌身份认证系别技术对管理用户进行身份鉴统（如 RS

12、A SecurID ）。别。 接见控制（ S3）本项要求包含：a)应启用接见控制功能，依照安全策略控制用户对资源的接见；b)应依据管理用户的角色分派权限，实现管理用户的权限分别，仅授与管理用户所需的最小权限；c)应实现操作系统和数据库系统特权用户的权限分别；d)应严格限制默认的接见权限，重命名系统默认，改正这些的默认口令；e)应及时删除剩余的、过期的，防止共享的存在。f)应付重要信息资源设置敏感标志；g)应依照安全策略严格控制用户对有敏感标志重要信息资源的操作； 安全审计（ G3）本项要求包含：a) 审计围应覆盖到服务器和 重要客户端上 的每个操作系统用户和数据库用户；b)审计容应包含重要用户

13、行为、系统资源的异样使用和重要系统命令的使用等系统重要的安全有关事件；c)审计记录应包含事件的日期、时间、种类、主体表记、客体表记和结果等；d)应能够依据记录数据进行剖析，并生成审计报表；e)应保护审计进度，防止遇到未预期的中断；采纳安全操作系统（如一些国产 Linux 操作系统或 B1 级操作系统） 或在 C2 级操作系统中安装核加固软件（如浪潮 SSR 服务器安全加固系统-合用Windows ）。服务器开启日记功能；重要客户端安装终端安全管理软件进行审计。采纳专业的日记审计系统。服务器采纳安全操作系统或安装核加固软件，对审计进度进行守卫，防备进度中断；重要客户端的终端安全管理代理进程拥有自我保护体制。f)应保护审计记录，防止遇到未预采纳专业的日记审计系统。期的删除、改正或覆盖等。节余信息保护（ S3）采纳安全操作系统（如一些国本项要求包含：产 Linux 操作系统或 B1级操作a)应保证操作系统和数据库系统用系统）或安装 Windows平台的剩户的鉴识信息所在的储存空间，余信息保护软件。（同客体重被开释或再分派给其余用户前得