细心整理技术测评要求(S3A3G3)等级爱惜三级技术类测评限制点(S3A3G3)类别序号测 评 内 容测评方法结果记录符合状况YN物理平安物理位置选择1.机房和办公场地应选择在具有防震、防风和防雨等实力建筑内〔G2〕访谈,检查物理平安负责人,机房,办公场地,机房场地设计/验收文档2.机房场地应幸免设在建筑物高层或地下室,以及用水设备下层或隔壁〔G3〕物理访问限制3.机房出入口应支配专人值守,限制、鉴别和记录进入人员〔G2〕访谈,检查物理平安负责人,机房值守 人员,机房,机房平安管理制度,值守记录,进入机房 登记记录,来访人员进入机房审批记录4.需进入机房来访人员应经过申请和审批流程,并限制和监控其活动范围〔G2〕5.应对机房划分区域进展管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域〔G3〕6.重要区域应配置电子门禁系统,限制、鉴别和记录进入人员〔G3〕防盗窃和防破坏7.应将主要设备放置在机房内〔G2〕访谈,检查物理平安负责人,机房维护人员,资产管理员,机房设施,设备管理制度文档,通信 线路布线文档,报警设施安装测试/验收报告8.应将设备或主要部件进展固定,并设置明显不易除去标记。
〔G2〕9.应将通信线缆铺设在隐藏处,可铺设在地下或管道中〔G2〕10.应对介质分类标识,存储在介质库或档案室中〔G2〕11.应利用光、电等技术设置机房防盗报警系统〔G3〕12.应对机房设置监控报警系统〔G3〕防雷击13.机房建筑应设置避雷装置〔G2〕访谈,检查物理平安负责人,机房维护人员,机房设施〔避雷装置,沟通电源地线〕,建筑防雷设 计/验收文档14.应设置防雷保安器,防止感应雷〔G3〕15.机房应设置沟通电源地线〔G2〕防火16.机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火〔G3〕访谈,检查物理平安负责人,机房值守人员,机房设施,机房平安管理制度,机房防火设计/验收 文档,火灾自动报警系统设计/验收文档17.机房及相关工作房间和帮助房应接受具有耐火等级建筑材料〔G3〕18.机房应接受区域隔离防火措施,将重要设备与其他设备隔离开〔G3〕防水和防潮19.水管安装,不得穿过机房屋顶和活动地板下〔G2〕访谈,检查物理平安负责人,机房维护人员,机房设施〔上下水装置,除湿装置〕,建筑防水和防 潮设计/验收文档20.应接受措施防止雨水通过机房窗户、屋顶和墙壁渗透〔G2〕21.应接受措施防止机房内水蒸气结露和地下积水转移与渗透。
〔G2〕22.应安装对水敏感检测仪表或元件,对机房进展防水检测和报警〔G3〕防静电23.主要设备应接受必要接地防静电措施〔G2〕访谈,检查物理平安负责人,机房维护人员,机房设施,防静电设计/验收文档24.机房应接受防静电地板〔G3〕温湿度限制25.应设置温、湿度自动调整设施,使机房温、湿度变更在设备运行所允许范围之内〔G2〕访谈,检查物理平安负责人,机房维护人员,机房设施,温湿度限制设计/验收文档,温湿度记录、 运行记录和维护记录电力供应26.应在机房供电线路上配置稳压器和过电压防护设备〔G2〕访谈,检查物理平安负责人,机房维护人员,机房设施〔供电线路,稳压器,过电压防护设备,短 期备用电源设备〕,电力供应平安设计/验收文档,检查和维护记录27.应供应短期备用电力供应,至少满足主要设备在断电状况下正常运行要求〔G2〕28.应设置冗余或并行电力电缆线路为计算机系统供电〔G3〕29.应建立备用供电系统〔G3〕电磁防护30.应接受接地方式防止外界电磁干扰和设备寄生耦合干扰〔G3〕访谈,检查物理平安负责人,机房维护人员,机房设施,电磁防护设计/验收文档31.电源线和通信线缆应隔离铺设,幸免相互干扰。
〔G2〕32.应对关键设备和磁介质实施电磁屏蔽〔G3〕网络平安构造平安33.应保证主要网络设备业务处理实力具备冗余空间,满足业务顶峰期须要〔G2〕访谈,检查,测试网络管理员,边界和网络设备,网络拓扑图,网络设计/验收文档34.应保证网络各个局部带宽满足业务顶峰期须要〔G2〕35.应在业务终端与业务效劳器之间进展路由限制建立平安访问路径〔G3〕36.应绘制与当前运行状况相符网络拓扑构造图〔G2〕37.应依据各部门工作职能、重要性和所涉及信息重要程度等因素,划分不同子网或网段,并遵照便利管理和限制原那么为各子网、网段支配地址段〔G2〕38.应幸免将重要网段部署在网络边界处且干脆连接外部信息系统,重要网段与其他网段之间接受牢靠技术隔离手段〔G3〕39.应遵照对业务效劳重要次序来指定带宽支配优先级别,保证在网络发生拥堵时候优先爱惜重要主机〔G3〕访问限制40.应在网络边界部署访问限制设备,启用访问限制功能〔G2〕访谈,检查,测试平安管理员,边界网络设备41.应能依据会话状态信息为数据流供应明确允许/拒绝访问实力,限制粒度为端口级〔G2〕42.应对进出网络信息内容进展过滤,实现对应用层HTTP、、SMTP、POP3等协议叮嘱级限制。
〔G3〕43.应在会话处于非活泼必需时间或会话完毕后终止网络连接〔G3〕44.应限制网络最大流量数及网络连接数〔G3〕45.重要网段应接受技术手段防止地址欺瞒〔G3〕46.应按用户和系统之间允许访问规那么,确定允许或拒绝用户对受控系统进展资源访问,限制粒度为单个用户〔G3〕47.应限制具有拨号访问权限用户数量〔G2〕平安审计48.应对网络系统中网络设备运行状况、网络流量、用户行为等进展日志记录〔G2〕访谈,检查,测试审计员,边界和网络设备49.审计记录应包括:事务日期和时间、用户、事务类型、事务是否成功及其他与审计相关信息〔G2〕50.应能够依据记录数据进展分析,并生成审计报表〔G3〕51.应对审计记录进展爱惜,幸免受到未预期删除、修改或覆盖等〔G3〕边界完整性检查52.应能够对非授权设备私自联到内部网络行为进展检查,精确定出位置,并对其进展有效阻断〔G3〕访谈,检查,测试平安管理员,边界完整性检查设备53.应能够对内部网络用户私自联到外部网络行为进展检查,精确定出位置,并对其进展有效阻断〔G3〕入侵防范〔G3〕54.应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝效劳攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
〔G2〕访谈,检查,测试平安管理员,网络入侵防范设备55.当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目、攻击时间,在发生紧要入侵事务时应供应报警〔G3〕恶意代码防范56.应在网络边界处对恶意代码进展检测和去除〔G3〕访谈,检查平安管理员,防恶意代码产品,网络设计/验收文档57.应维护恶意代码库升级和检测系统更新〔G3〕网络设备防护58.应对登录网络设备用户进展身份鉴别〔G2〕访谈,检查,测试网络管理员,边界和网络设备59.应对网络设备管理员登录地址进展限制〔G2〕60.网络设备用户标识应唯一〔G2〕61.主要网络设备应对同一用户选择两种或两种以上组合鉴别技术来进展身份鉴别〔G3〕62.身份鉴别信息应具有不易被冒用特点,口令应有困难度要求并定期更换〔G2〕63.应具有登录失败处理功能,可接受完毕会话、限制非法登录次数和当网络登录连接超时自动退出等措施〔G2〕64.当对网络设备进展远程管理时,应接受必要措施防止鉴别信息在网络传输过程中被窃听〔G2〕65.应实现设备特权用户权限分别〔G3〕主机平安身份鉴别66.应对登录操作系统和数据库系统用户进展身份标识和鉴别〔G2〕访谈,检查,测试。
系统管理员,数据库管理员,效劳器操作系统、数据库,效劳器操作系统文档,数据库管理系统文档67.操作系统和数据库系统管理用户身份标识应具有不易被冒用特点,口令应有困难度要求并定期更换〔G2〕68.应启用登录失败处理功能,可接受完毕会话、限制非法登录次数和自动退出等措施〔G2〕69.当对效劳器进展远程管理时,应接受必要措施,防止鉴别信息在网络传输过程中被窃听〔G2〕70.应为操作系统和数据库系统不同用户支配不同用户名,确保用户名具有唯一性〔G2〕71.应接受两种或两种以上组合鉴别技术对管理用户进展身份鉴别〔G3〕访问限制72.应启用访问限制功能,依据平安策略限制用户对资源访问〔G2〕访谈,检查效劳器操作系统、数据库,效劳器操作系统文档,数据库管理系统文档73.应依据管理用户角色支配权限,实现管理用户权限分别,仅授予管理用户所需最小权限〔G3〕74.应实现操作系统和数据库系统特权用户权限分别〔G2〕75.应严格限制默认帐户访问权限,重命名系统默认帐户,修改这些帐户默认口令〔G2〕76.应刚好删除多余、过期帐户,幸免共享帐户存在〔G2〕77.应对重要信息资源设置敏感标记〔G3〕78.应依据平安策略严格限制用户对有敏感标记重要信息资源操作。
〔G3〕平安审计79.审计范围应覆盖到效劳器和重要客户端上每个操作系统用户和数据库用户〔G2〕访谈,检查,测试平安审计员,效劳器操作系统、数据库和重要终端操作系统80.审计内容应包括重要用户行为、系统资源异样运用和重要系统叮嘱运用等系统内重要平安相关事务〔G3〕81.审计记录应包括事务日期、时间、类型、主体标识、客体标识和结果等〔G2〕82.应能够依据记录数据进展分析,并生成审计报表〔G3〕83.应爱惜审计进程,幸免受到未预期中断〔G3〕84.应爱惜审计记录,幸免受到未预期删除、修改或覆盖等〔G2〕剩余信息爱惜〔G3〕85.应保证操作系统和数据库。