等保20 第三级 安全通用要求 权重赋值表

《等保20 第三级 安全通用要求 权重赋值表》由会员分享，可在线阅读，更多相关《等保20 第三级 安全通用要求 权重赋值表（19页珍藏版）》请在金锄头文库上搜索。

1、等保等保2.02.0 第三级第三级 安全通用要求安全通用要求 权重赋值表权重赋值表序号序号类别类别控制点控制点要求项要求项权重赋值权重赋值1物理和环境 安全物理位置选 择机房场地应选择在具有防震、 防风和防雨等能力的建筑内；0.22机房场地应避免设在建筑物的 顶层或地下室，否则应加强防 水和防潮措施。0.53物理访问控 制机房出入口应配置电子门禁配置电子门禁 系统系统，控制、鉴别和记录进入 的人员。14防盗窃和防 破坏应将设备或主要部件进行固 定，并设置明显的不易除去的 标记；0.25应将通信线缆铺设在隐蔽处， 可铺设在地下或管道中；0.56应设置机房防盗报警系统或应设置机房防盗报警系统或 设

2、置有专人值守的视频监控设置有专人值守的视频监控 系统系统。17防雷击应将各类机柜、设施和设备等 通过接地系统安全接地；0.58应采取措施防止感应雷应采取措施防止感应雷，例例 如设置防雷保安器或过压保如设置防雷保安器或过压保 护装置等护装置等。0.79防火机房应设置火灾自动消防系 统，能够自动检测火情、自动 报警，并自动灭火；110机房及相关的工作房间和辅助 房应采用具有耐火等级的建筑 材料；0.211应对机房划分区域进行管应对机房划分区域进行管 理理，区域和区域之间设置隔区域和区域之间设置隔 离防火措施离防火措施。0.712防水和防 潮应采取措施防止雨水通过机房 窗户、屋顶和墙壁渗透；0.51

3、3应采取措施防止机房内水蒸气 结露和地下积水的转移与渗 透；0.514应安装对水敏感的检测仪表应安装对水敏感的检测仪表 或元件或元件，对机房进行防水检对机房进行防水检 测和报警测和报警。0.515物理和环境 安全防静电应安装防静电地板并采用必要 的接地防静电措施；0.216应采用措施防止静电的产应采用措施防止静电的产 生生，例如采用静电消除器例如采用静电消除器、 佩戴防静电手环等佩戴防静电手环等。0.217温湿度控制应设置温、湿度自动调节设 施，使机房温、湿度的变化在 设备运行所允许的范围之内。118电力供应应在机房供电线路上配置稳压 器和过电压防护设备；0.519应提供短期的备用电力供应，

4、至少满足设备在断电情况下的 正常运行要求；120应设置冗余或并行的电力电应设置冗余或并行的电力电 缆线路为计算机系统供电缆线路为计算机系统供电。121 电磁防护电源线和通信线缆应隔离铺 设，避免互相干扰；0.222应对关键设备实施电磁屏蔽应对关键设备实施电磁屏蔽 。123网络和通信 安全网络架构应保证网络设备的业务处理能 力满足业务高峰期需要；124应保证网络各个部分的带宽网络各个部分的带宽 满足业务高峰期需要满足业务高峰期需要；125应划分不同的网络区域，并按 照方便管理和控制的原则为各 网络区域分配地址；126应避免将重要网络区域部署在 网络边界处且没有边界防护措 施；127应提供通信线路

5、应提供通信线路、关键网络关键网络 设备的硬件冗余设备的硬件冗余，保证系统保证系统 的可用性的可用性。128通信传输应采用校验码技术或密码技术或密码技术 保证通信过程中数据的完整 性；129应采用密码技术保证通信过应采用密码技术保证通信过 程中敏感信息字段或整个报程中敏感信息字段或整个报 文的保密性文的保密性。130网络和通信 安全边界防护应保证跨越边界的访问和数据 流通过边界防护设备提供的受 控接口进行通信。131应能够对非授权设备私自联应能够对非授权设备私自联 到内部网络的行为进行限制到内部网络的行为进行限制 或检查或检查；0.532应能够对内部用户非授权联应能够对内部用户非授权联 到外部网

6、络的行为进行限制到外部网络的行为进行限制 或检查或检查；0.533应限制无线网络的使用应限制无线网络的使用，确确 保无线网络通过受控的边界保无线网络通过受控的边界 防护设备接入内部网络防护设备接入内部网络。134访问控制应在网络边界或区域之间根据 访问控制策略设置访问控制规 则，默认情况下除允许通信外 受控接口拒绝所有通信；135应删除多余或无效的访问控制 规则，优化访问控制列表，并 保证访问控制规则数量最小 化；136应对源地址、目的地址、源端 口、目的端口和协议等进行检 查，以允许/拒绝数据包进 出；137应能根据会话状态信息为进出 数据流提供明确的允许/拒绝 访问的能力，控制粒度为端口

7、级；138应在关键网络节点处对进出应在关键网络节点处对进出 网络的信息内容进行过滤网络的信息内容进行过滤， 实现对内容的访问控制实现对内容的访问控制。0.539入侵防范应在关键网络节点处检测应在关键网络节点处检测、 防止或限制从外部发起的网防止或限制从外部发起的网 络攻击行为络攻击行为；140应在关键网络节点处检测和应在关键网络节点处检测和 限制从内部发起的网络攻击限制从内部发起的网络攻击 行为行为；0.741应采取技术措施对网络行为应采取技术措施对网络行为 进行分析进行分析，实现对网络攻击实现对网络攻击 特别是未知的新型网络攻击特别是未知的新型网络攻击 的检测和分析的检测和分析；0.742当

8、检测到攻击行为时当检测到攻击行为时，记录记录 攻击源攻击源IPIP、攻击类型攻击类型、攻击攻击 目的目的、攻击时间攻击时间，在发生严在发生严 重入侵事件时应提供报警重入侵事件时应提供报警。0.743网络和通信 安全恶意代码防 范应在关键网络节点处对恶意应在关键网络节点处对恶意 代码进行检测和清除代码进行检测和清除，并维并维 护恶意代码防护机制的升级护恶意代码防护机制的升级 和更新和更新；144应在关键网络节点处对垃圾应在关键网络节点处对垃圾 邮件进行检测和防护邮件进行检测和防护，并维并维 护垃圾邮件防护机制的升级护垃圾邮件防护机制的升级 和更新和更新。145安全审计应在网络边界、重要网络节点

9、进行安全审计，审计覆盖到每 个用户，对重要的用户行为和 重要安全事件进行审计；146审计记录应包括事件的日期和 时间、用户、事件类型、事件 是否成功及其他与审计相关的 信息；147应对审计记录进行保护，定期 备份，避免受到未预期的删除 、修改或覆盖等。0.548应确保审计记录的留存时间符 合法律法规要求；149审计记录产生时的时间应由审计记录产生时的时间应由 系统范围内唯一确定的时钟系统范围内唯一确定的时钟 产生产生，以确保审计分析的正以确保审计分析的正 确性确性。0.250应能对远程访问的用户行为应能对远程访问的用户行为 、访问互联网的用户行为等访问互联网的用户行为等 单独进行行为审计和数据

10、分单独进行行为审计和数据分 析析。151集中管控应划分出特定的管理区域应划分出特定的管理区域， 对分布在网络中的安全设备对分布在网络中的安全设备 或安全组件进行管控或安全组件进行管控；152应能够建立一条安全的信息应能够建立一条安全的信息 传输路径传输路径，对网络中的安全对网络中的安全 设备或安全组件进行管理设备或安全组件进行管理；153应对网络链路应对网络链路、安全设备安全设备、 网络设备和服务器等的运行网络设备和服务器等的运行 状况进行集中监测状况进行集中监测；154应对分散在各个设备上的审应对分散在各个设备上的审 计数据进行收集汇总和集中计数据进行收集汇总和集中 分析分析；155应对安全

11、策略应对安全策略、恶意代码恶意代码、 补丁升级等安全相关事项进补丁升级等安全相关事项进 行集中管理行集中管理；156网络和通信 安全集中管控应能对网络中发生的各类安应能对网络中发生的各类安 全事件进行识别全事件进行识别、报警和分报警和分 析析。157设备和计算 安全身份鉴别应对登录的用户进行身份标识 和鉴别，身份标识具有唯一 性，身份鉴别信息具有复杂度 要求并定期更换；158应具有登录失败处理功能，配 置并启用结束会话、限制非法 登录次数和当登录连接超时自 动退出等相关措施；0.759当进行远程管理时，应采取必 要措施，防止鉴别信息在网络 传输过程中被窃听；160应采用两种或两种以上组合应采用

12、两种或两种以上组合 的鉴别技术对用户进行身份的鉴别技术对用户进行身份 鉴别鉴别，且其中一种鉴别技术且其中一种鉴别技术 应使用密码技术来实现应使用密码技术来实现。161访问控制应对登录的用户分配账户和权 限；162应重命名或删除默认账户，修 改默认账户的默认口令；0.763应及时删除或停用多余的、过 期的账户，避免共享账户的存 在；0.764应进行角色划分应进行角色划分，并授予管 理用户所需的最小权限，实现 管理用户的权限分离；165应由授权主体配置访问控制应由授权主体配置访问控制 策略策略，访问控制策略规定主访问控制策略规定主 体对客体的访问规则体对客体的访问规则；166访问控制的粒度应达到主

13、体访问控制的粒度应达到主体 为用户级或进程级为用户级或进程级，客体为客体为 文件文件、数据库表级数据库表级；0.767应对敏感信息资源设置安全应对敏感信息资源设置安全 标记标记，并控制主体对有安全并控制主体对有安全 标记信息资源的访问标记信息资源的访问。0.568安全审计应启用安全审计功能，审计覆 盖到每个用户，对重要的用户 行为和重要安全事件进行审 计；169审计记录应包括事件的日期和 时间、用户、事件类型、事件 是否成功及其他与审计相关的 信息；170应对审计记录进行保护，定期 备份，避免受到未预期的删除 、修改或覆盖等；0.571设备和计算 安全安全审计应确保审计记录的留存时间符 合法律

14、法规要求；172应对审计进程进行保护应对审计进程进行保护，防防 止未经授权的中断止未经授权的中断；0.573审计记录产生时的时间应由审计记录产生时的时间应由 系统范围内唯一确定的时钟系统范围内唯一确定的时钟 产生产生，以确保审计分析的正以确保审计分析的正 确性确性 。0.274入侵防范应遵循最小安装的原则，仅安 装需要的组件和应用程序。175应关闭不需要的系统服务、默 认共享和高危端口；176应通过设定终端接入方式或网 络地址范围对通过网络进行管 理的管理终端进行限制；177应能发现可能存在的漏洞，并 在经过充分测试评估后，及时 修补漏洞。178应能够检测到对重要节点进应能够检测到对重要节点进

15、 行入侵的行为行入侵的行为，并在发生严并在发生严 重入侵事件时提供报警重入侵事件时提供报警。0.579恶意代码防 范应采用免受恶意代码攻击的应采用免受恶意代码攻击的 技术措施或采用可信计算技技术措施或采用可信计算技 术建立从系统到应用的信任术建立从系统到应用的信任 链链，实现系统运行过程中重实现系统运行过程中重 要程序或文件完整性检测要程序或文件完整性检测， 并在检测到破坏后进行恢复并在检测到破坏后进行恢复 。180系统资源控 制应限制单个用户或进程对系统 资源的最大使用限度；0.581应提供重要节点设备的硬件应提供重要节点设备的硬件 冗余冗余，保证系统的可用性保证系统的可用性；182应对重要

16、节点进行监视应对重要节点进行监视，包包 括监视括监视CPUCPU、硬盘硬盘、内存等资内存等资 源的使用情况源的使用情况；0.583应能够对重要节点的服务水应能够对重要节点的服务水 平降低到预先规定的最小值平降低到预先规定的最小值 进行检测和报警进行检测和报警。0.584应用和数据 安全身份鉴别应对登录的用户进行身份标识 和鉴别，身份标识具有唯一 性，鉴别信息具有复杂度要求 并定期更换；185应提供并启用登录失败处理功 能，多次登录失败后应采取必 要的保护措施；0.786应强制用户首次登录时修改初 始口令；0.787应用和数据 安全身份鉴别用户身份鉴别信息丢失或失效 时，应采用技术措施确保鉴别 信息重置过程的安全；0.788应采用两种或两种以上组合应采用两种或两种以上组合 的鉴别技术实现用户身份鉴的鉴别技术实现用户身份鉴 别别，且其中一种鉴别技术应且其中一种鉴别技术应 使用密码技术来实现使用密码技术来实现。189访问控