三级等保分项调研表.docx

1、三级等保分项调研表1.1技术部分技术部分具体如下表所示（加黑部分为三级系统比二级系统增加的基本技术要求要求）要求类别基本要求(三级)解决方案物理安全物理位置的选择（G3）a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。按照各自级别的基本要求进行物理位置选址。三级根据要求进行楼层的选择。物理访问控制（G3）a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员；b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动X围；c)应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付

2、或安装等过渡区域；d)重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。按照基本要求进行人员配备，制定管理制度；对进出人员采用陪同或监控设备进行限制和监控。三级根据要求加强对区域的管理和重要区域控制力度。防盗窃和防破坏（G3）a)应将主要设备放置在机房内；b)应将设备或主要部件进行固定，并设置明显的不易除去的标记；c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；d)应对介质分类标识，存储在介质库或档案室中；e)应利用光、电等技术设置机房防盗报警系统；f)应对机房设置监控报警系统。按照基本要求进行建设。制定防盗窃防破坏相关管理制度。三级根据要求进行光、电技术防盗报警系统的配备。防雷击（

3、G3）a)机房建筑应设置避雷装置；b)应设置防雷保安器，防止感应雷；c)机房应设置交流电源地线。按照基本要求进行建设。三级根据要求设置防雷保安器，防止感应雷。防火（G3）a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；c)机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。按照基本要求进行建设。三级根据要求进行消防、耐火、隔离等措施。防水和防潮（G3）a)水管安装，不得穿过机房屋顶和活动地板下；b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；d

4、)应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。按照基本要求进行建设。三级根据要求进行防水检测仪表的安装使用。防静电（G3）a)主要设备应采用必要的接地防静电措施；b)机房应采用防静电地板。按照基本要求进行建设。三级根据要求安装防静电地板。温湿度控制（G3）机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的X围之内。配备空调系统。电力供应（A3）a)应在机房供电线路上配置稳压器和过电压防护设备；b)应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求；c)应设置冗余或并行的电力电缆线路为计算机系统供电；d)应建立备用供电系统。配备稳压器和过电压防

5、护设备；配备UPS系统。三级根据要求设置冗余或并行的电力电缆线路，建立备用供电系统。电力供应（A2）a)在机房供电线路上配置稳压器和过电压防护设备；b)提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求。配备稳压器和过电压防护设备；配备UPS系统。电力供应（A1）应在机房供电线路上配置稳压器和过电压防护设备配备稳压器和过电压防护设备；电磁防护（S3）a)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；b)电源线和通信线缆应隔离铺设，避免互相干扰；c)应对关键设备和磁介质实施电磁屏蔽。按照基本要求进行建设。三级根据要求进行接地，关键设备和介质的电磁屏蔽。可采用电磁干扰器、电磁屏

6、蔽机柜等手段电磁防护（S2）无S1级要求电源线和通信线缆隔离铺设，避免互相干扰； 按照基本要求进行电源线和通信线缆隔离铺设。网络安全结构安全（G3）a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；b)应保证网络各个部分的带宽满足业务高峰期需要；c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；d)应绘制与当前运行情况相符的网络拓扑结构图；e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取

7、可靠的技术隔离手段；g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。根据高峰业务流量，关键设备选择高端设备，核心交换设备和接入设备带宽能够支撑业务高峰的数据量，并采用双机冗余配置方式。合理组网，绘制详细网络拓扑图，根据业务、部门、信息系统类别等合理划分子网、VLAN、安全域。三级根据要求在以下方面进行加强设计：主要网络设备的处理能力以及各部分带宽均需满足业务高峰需要；合理规划路由，在业务终端与业务服务器之间建立安全路径；规划重要网段，在路由交换设备上配置ACL策略进行隔离；网络设备规划带宽优先级，保证在网络发生拥堵的时候优先保护重要主机。访问控制

8、（G3）a)应在网络边界部署访问控制设备，启用访问控制功能；b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；d)应在会话处于非活跃一定时间或会话结束后终止网络连接；e)应限制网络最大流量数及网络连接数；f)重要网段应采取技术手段防止地址欺骗；g)应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；h)应限制具有拨号访问权限的用户数量。网络边界部署如：防火墙等隔离设备；根据基本要求对隔离设备以及网络设备

9、等制定相应的ACL策略。包括：访问控制粒度、用户数量等。三级根据要求在配置防火墙等隔离设备的策略时要满足相应要求，包括：端口级的控制粒度；常见应用层协议命令过滤；会话控制；流量控制；连接数控制；防地址欺骗等。安全审计（G3）a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)应能够根据记录数据进行分析，并生成审计报表；d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。部署网络安全审计系统，记录用户网络行为、网络设备运行状况、网络流量等，审计记录包括事件的日期和时间、用户

10、、事件类型、事件是否成功及其他与审计相关的信息。三级根据要求加强审计功能，具备报表生成功能，同时采用日志服务器进行审计记录的保存，避免非正常删除、修改或覆盖。边界完整性检查（S3）a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。部署终端安全管理系统，启用非法外联监控以及安全准入功能进行边界完整性检查。三级根据要求在检测的同时要进行有效阻断。边界完整性检查（S2）无S1级别要求应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。部署终端安全管理系

11、统，启用非法外联监控以及安全准入功能进行边界完整性检查与控制。入侵防X（G3）a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；b)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。部署入侵检测系统进行入侵行为进行检测。包括：端口扫描、强力攻击、木马后门攻击等各类攻击行为。三级根据要求配置入侵检测系统的日志模块，记录记录攻击源IP、攻击类型、攻击目的、攻击时间等相关信息，并通过一定的方式进行告警。恶意代码防X（G3）a)应在网络边界处对恶意代码进行检测和清除；b)应维

12、护恶意代码库的升级和检测系统的更新。三级系统 在网络边界处部署UTM或AV、IPS网关进行恶意代码的检测与清除，并定期升级恶意代码库。升级方式根据与互联网的连接状态采取在线或离线方式。网络设备防护（G3）a)应对登录网络设备的用户进行身份鉴别；b)应对网络设备的管理员登录地址进行限制；c)网络设备用户的标识应唯一；d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；e)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；f)应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；g)当对网络设备进行远程管理时，应采取必要

13、措施防止鉴别信息在网络传输过程中被窃听；h)应实现设备特权用户的权限分离。根据基本要求配置网络设备自身的身份鉴别与权限控制；包括：登陆地址、标识符、口令的复杂度（3种以上字符、长度不少于8位）、失败处理，传输加密等方面。对网络设备进行安全加固。三级根据要求对主要网络设备实施双因素认证手段进身份鉴别；对设备的管理员等特权用户进行不同权限等级的配置，实现权限分离。主机安全身份鉴别（S3）a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别；b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和

14、自动退出等措施；d)当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；e)应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。根据基本要求配置用户名/口令；采用3种以上字符、长度不少于8位的口令；启用登陆失败处理、传输加密等措施；保证用户名的唯一性。三级根据要求对主机管理员登录时进行双因素身份鉴别（USBkey+密码）。身份鉴别（S2）a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别；b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换

15、；c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；d)当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；e)应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。根据基本要求对操作系统和数据库系统配置用户名/口令；采用3种以上字符、长度不少于8位的口令；启用登陆失败处理、传输加密等措施；保证用户名的唯一性。身份鉴别（S1）应对登录操作系统和数据库系统的用户进行身份标识和鉴别根据基本要求对操作系统和数据库系统配置用户名/口令访问控制（S3）a)应启用访问控制功能，依据安全策略控制用户对资源的访问；b)应根据管理用户的角

16、色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；c)应实现操作系统和数据库系统特权用户的权限分离；d)应严格限制默认某某的访问权限，重命名系统默认某某，修改这些某某的默认口令；e)应及时删除多余的、过期的某某，避免共享某某的存在。f)应对重要信息资源设置敏感标记；g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；根据基本要求进行主机访问控制的配置，包括：功能启用、特权用户权限分离、默认账号和口令的修改，无用账号的清除等；通过安全加固措施制定严格用户权限策略，保证账号、口令等符合安全策略；三级根据要求对管理员进行分级权限控制，并根据最小权限原则仅授予管理用户所需的最

17、小权限。对重要信息（文件、数据库等）进行标记，并设定访问控制策略进行访问控制，实现强制访问控制。访问控制（S2）a)应启用访问控制功能，依据安全策略控制用户对资源的访问；b)应实现操作系统和数据库系统特权用户的权限分离；c)应限制默认某某的访问权限，重命名系统默认某某，修改这些某某的默认口令；d)应及时删除多余的、过期的某某，避免共享某某的存在。根据基本要求进行主机访问控制的配置，包括：功能启用、特权用户权限分离、默认账号和口令的修改，无用账号的清除等；通过安全加固措施制定严格用户权限策略，保证账号、口令等符合安全策略；访问控制（S1）a)应启用访问控制功能，依据安全策略控制用户对资源的访问；

18、b)应限制默认某某的访问权限，重命名系统默认某某，修改这些某某的默认口令；c)应及时删除多余的、过期的某某，避免共享某某的存在。根据基本要求进行主机访问控制的配置，包括：功能启用、默认账号和口令的修改，无用账号的清除等；通过安全加固措施制定严格用户权限策略，保证账号、口令等符合安全策略安全审计（G3）a)审计X围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； d)应能够根据记录数据进行分析，并生成审计报表；e)应保

19、护审计进程，避免受到未预期的中断；f)应保护审计记录，避免受到未预期的删除、修改或覆盖等。部署主机审计系统进行文件操作审计、外挂设备操作审计、非法外联审计、IP地址更改审计、服务与进程审计等；根据基本要求记录用户行为，资源状况等，审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果，并保护好审计结果。三级根据要求将审计X围扩大到重要客户端；同时能够生成审计报表。剩余信息保护（S3）a)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放

20、或重新分配给其他用户前得到完全清除。通过对操作系统及数据库系统进行安全加固配置，及时清除剩余信息的存储空间。入侵防X（G3）a)应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；b)应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；c)操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。部署网络入侵检测系统和主机入侵检测系统，记录入侵行为并告警；根据基本要求通过安全加固措施制加固系统；部署终端安全管理系统进行补丁及时分发。三级根据要

21、求配置IDS，检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。对重要程序进行代码审查，去除漏洞，配置主机入侵检测以及终端管理软件进行完整性检测。恶意代码防X（G3）a)应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；c)应支持防恶意代码的统一管理。部署终端防恶意代码软件，及时进行升级更新；进行漏洞扫描，及时进行系统补丁更新。三级根据要求将终端防恶意代码软件与边界处的网关设备进行异构部署。资源控制（A3）a)应通过设定终端接入方式、网络地址

22、X围等条件限制终端登录；b)应根据安全策略设置登录终端的操作超时锁定；c)应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；d)应限制单个用户对系统资源的最大或最小使用限度；e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。根据基本要求通过安全加固措施制进行限定；部署应用安全管理系统（APM）进行资源监控。三级根据要求通过安全加固，对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况，对系统服务相关阈值进行检测告警。资源控制（A2）无A1级别要求a)应通过设定终端接入方式、网络地址X围等条件限制终端登录；b)应根据安全策略

23、设置登录终端的操作超时锁定；c)应限制单个用户对系统资源的最大或最小使用限度。根据基本要求通过安全加固措施制进行限定；部署应用监控管理系统进行资源监控。应用安全身份鉴别（S3）a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别； b)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别；c)应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；d)应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；e)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略

24、配置相关参数。根据基本要求配置用户名/口令；采用3种以上字符、长度不少于8位的口令；设计登陆失败处理措施，采取结束会话、限制非法登录次数和自动退出等措施；保证系统用户名的唯一性。三级根据要求进行双因素认证或采用CA系统进行身份鉴别。身份鉴别（S2）a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别；b)应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；c)应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；d)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全

25、策略配置相关参数。根据基本要求配置用户名/口令；采用3种以上字符、长度不少于8位的口令；设计登陆失败处理措施，采取结束会话、限制非法登录次数和自动退出等措施；保证系统用户名的唯一性。身份鉴别（S1）a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别；b)应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；c)应启用身份鉴别和登录失败处理功能，并根据安全策略配置相关参数。根据基本要求配置用户名/口令；设计登陆失败处理措施，采取结束会话、限制非法登录次数和自动退出等措施；访问控制（S3）a)应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；b)访问控

26、制的覆盖X围应包括与资源访问相关的主体、客体及它们之间的操作；c)应由授权主体配置访问控制策略，并严格限制默认某某的访问权限；d)应授予不同某某为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。e)应具有对重要信息资源设置敏感标记的功能；f)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；根据基本要求进行访问控制的配置，包括：权限定义、默认账号的权限管理、控制粒度的确定等；通过安全加固措施制定严格用户权限策略，保证账号、口令等符合安全策略；通过防火墙制定符合基本要求的ACL策略。三级根据要求根据系统重要资源的标记以及定义的安全策略进行严格的访问控制。访问控制（S2）a

27、)应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；b)访问控制的覆盖X围应包括与资源访问相关的主体、客体及它们之间的操作；c)应由授权主体配置访问控制策略，并严格限制默认某某的访问权限；d)应授予不同某某为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。根据基本要求进行访问控制的配置，包括：权限定义、默认账号的权限管理、控制粒度的确定等；通过安全加固措施制定严格用户权限策略，保证账号、口令等符合安全策略；通过防火墙制定符合基本要求的ACL策略。访问控制（S1）a)应提供访问控制功能控制用户组/用户对系统功能和用户数据的访问；b)应由授权主体配置访问控制策略

28、，并严格限制默认用户的访问权限根据基本要求进行访问控制的配置，包括：权限定义、默认账号的权限管理、控制粒度的确定等。安全审计（G3）a)应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；b)应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；c)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等；d)应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。应用系统开发应用审计功能，根据基本要求记录系统重要安全事件的日期、时间、发起者信息、类型、描述和结果等，并保护好审计结果。部署数据库审计系统对用户行为、用户事件及系统状态加以审计，从而把握数

29、据库系统的整体安全。三级根据要求不仅生成审计记录，还要对审计记录数据进行统计、查询、分析及生成审计报表。剩余信息保护（S3）a)应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；b)应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。通过对操作系统及数据库系统进行安全加固配置，及时清除剩余信息的存储空间。通信完整性（S3）应采用密码技术保证通信过程中数据的完整性。应用系统开发数据完整性校验功能，采用消息摘要机制确保完整性校验；采用密码机或PKI体系中的完整性校验功能进行完整性检查，保障通

30、信完整性。通信完整性（S2）应采用校验码技术保证通信过程中数据的完整性。应用系统开发数据完整性校验功能，采用消息摘要机制确保完整性校验；采用密码机或PKI体系中的完整性校验功能进行完整性检查，保障通信完整性。通信完整性（S1）应采用约定通信会话方式的方法保证通信过程中数据的完整性应用系统开发约定通信会话方式的方法保证通信过程中数据的完整性。通信某某性（S3）a)在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；b)应对通信过程中的整个报文或会话过程进行加密。应用系统自身开发数据加密功能；采用密码机或PKI体系的加密功能保障通信某某性。三级根据要求需要整个报文或会话过程进行加密。

31、通信某某性（S2）无S1级别要求a)在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；b)应对通信过程中的敏感信息字段进行加密。应用系统自身开发数据加密功能；采用密码机或PKI体系的加密功能保障通信某某性。抗抵赖（G3）a)应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能；b)应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。应用PKI体系数字签名功能提供抗抵赖功能。软件容错（A3）a)应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；b)应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。