《等级保护第四级基本要求内容》由会员分享,可在线阅读,更多相关《等级保护第四级基本要求内容(41页珍藏版)》请在金锄头文库上搜索。
1、等级保护第四级基本要求-技术需部署的安全设施其他建议残留问题1.1.1物理安全1.1.1.1物理位置的选择(G3)本项要求包括:a)机房和办公场地应选择在具有防震、防风和防雨等 能力的建筑内;b)机房场地应避免设在建筑物 的咼层或地下室,以及用 水设备的下层或隔壁。般选择在建巩物2- 3层,最好在办公区 附近,且不能邻近洗 手间、厨房等。(同B类安全机房 的选址要求。)1.1.1.2物理访问控制(G3)本项要求包括:a)机房出入应安排专人 值守 并配置电子门禁系统,控 制、鉴别和记录进入的人 员;机房安装电子门禁系统(北京天宇飞翔,深圳 微耕,瑞士 KABA或德国KABA Gallenschu
2、tz ), 建议采用双向控制。增设保安人员在门外 值守;通过门禁电子记录或 填写出入记录单的形 式记录进出人员和时 间。b)需进入机房的来访人员应经 过申请和审批流程,并限 制和监控其活动范围;机房内、外部临近入口区 域安装监控摄像头保证全 部范围覆盖。需要有来访人员进入 机房的审批记录;外 来人员进入机房应当 由专人全程陪同。C)应对机房划分区域进行 管 理,区域和区域之间设置 物理隔离装置,在重要区 域刖设置父付或安装等过 渡区域;d)重要区域应配置第二道电 子门禁系统,控制、鉴别 和记录进入的人员。重要区域物理隔离,并安 装第二道电子门禁系统(双向)。m3防盗窃和防破坏(G3)本项要求包
3、括:a)应将主要设备放置在机 房内;b)应将设备或主要部件进使用机柜并在设备上焊行固定,并设置明显的不 易除去的标记;接铭牌,标明设备型号、负责保管人员、维护单位等信息。(设备铭牌只能被破坏性地去除。)C)应将通信线缆铺设在隐敝 处,可铺设在地下或管道 中;d)应对介质分类标识,存储在介质库或档案室中;介质应异地存放。e)应利用光、电等技术设置机房防盗报警系统;机房重要资产存放处及附 近区域安装光、电防盗报警 系统,如红外或感应报警系 统。f)应对机房设置监控报警系 统。机房安装视频监控报警系 统。1.1.1.4防雷击(G3)本项要求包括:a)机房建筑应设置避雷装置;b)应设置防雷保安器,防止
4、感应雷;安装电源二级防雷器和信 号一级防雷器(美国克雷 太 ALLTEQ。C)机房应设置交流电源地 线。机房设置专用父流电源地 线,接地电阻不应大于 4q。机房交流工作接地、 安全保护接地、防雷 接地应符合GB50174-93电子 计算机机房设计规 范要求。1.1.1.5防火(G3)本项要求包括:a)机房应设置火灾自动消防系 统,能够自动检测火情、 自动报警,并自动灭火;在机房内安装温感或烟感 探测器,连接到机房动力 环境监控系统中;安装有 管网气体自动灭火系统。火火方式应采用气体 灭火系统,如C02 FM-200、气溶胶和烟烙尽等。b)机房及相关的工作房间和辅 助房应米用具有耐火等级 的建筑
5、材料;进行机房改造,使用防火 材料装修。c)机房应米取区域隔离防火 措施,将重要设备与其他 设备隔离开。进行机房改造,重要区域使用防火玻璃隔断。1.1.1.6防水和防潮(G3)本项要求包括:a)水管安装,不得穿过机房 屋顶和活动地板下;b)应采取措施防止雨水通过 机房窗户、屋顶和墙壁渗 透;C)应采取措施防止机房内水 蒸气结露和地下积水的转 移与渗透;机房顶棚、地面和四周应 做好防水处理,有条件的 话可以在机房顶部安装防 漏水设施,在机房地面修 建地漏、泄水槽和配置排 水设备。机房尽可能选择没有 水管经过的房间和尽 量不靠近建筑物外侧 墙壁的地方,这样可 以节省做防水系统的 大量投资。d)应安
6、装对水敏感的检测仪表 或元件,对机房进 行防水 检测和报警。安装机房动力环境监控系 统(对机房设备的运行状 态、温度、湿度、洁净 度、供电的电压、电流、 频率、配电系统的开关状 态、测漏系统等进行实时 监控并记录历史数据), 其中含漏水检测装置。1.1.1.7防静电(G3)本项要求包括:a)主要设备应米用必要的接地防静电措施;b)机房应采用防静电地板;C)应采用静电消除器等装置,减少静电的产生。采用防静电工作台、静电消除剂和静电消除器等。1.1.1.8温湿度控制(G3)机房应设置温、湿度自动调节 设施,使机房温、湿度的变化在设备 运行所允许的范围之内。安装带湿度调节功能的精 密空调系统,配置温
7、湿度检 测装置,并接入动力环境监 控系统。空调应依据机房面 积和设备数量安装,尽量保 证设备工作在湿度带湿度控制的空调价 格比较昂贵,且需要 对水管的布置进行考 虑。可以使用其他方 法增加机房内的湿 度,使用湿度表进行 监控。45-60 %之间,夏季温度控 制在23 C,冬季温度控 制在20 C,温度变化率不 超过5C /h ,并且不得 结 露。(按电子计算机机 房设计规范A级要求)1.1.1.9电力供应(A3)本项要求包括:a)应在机房供电线路上配置稳压器和过电压防护设备;配置线路稳压器和电源保 护装置(如金属氧化物可 变电阻、硅雪崩二极管、 气体放电管、滤波器、电 压调整变压器和浪涌滤波
8、器)。b)应提供短期的备用电力供 应,至少满足主要设备在 断电情况下的正常运行要 求;为机房设备配置UPSC)应设置冗余或并行的电力 电缆线路为计算机系统供 电;建筑应采用双路供电系统(连接两个不同区域的供 电站),并根据对业务恢 复时间的要求,制定备用 供电系统的切换时间。d)应建立备用供电系统。有条件的企业可以配备柴 油发电机保证较长时间的 应急供电。1.1.1.10电磁防护(S3)本项要求包括:a)应米用接地方式防止外 界电 磁干扰和设备寄生耦合干 扰;通过将机架外壳接地的方式可以降低外界的电子干扰。b)电源线和通信线缆应隔离铺设,避免互相干扰;强、弱电线路尽量原 离,使用交叉走线, 避
9、免平行走线;使用 铁质线槽可以抵御电 磁干扰并有效保护线 缆安全。c)应对关键区域实施电磁屏 敝。重要设备和磁介质放置在 电磁屏敝装置中,或对关 键区域建屏敝室。1.1.2网络安全1.121结构安全(G4本项要求包括:a)应保证网络设备的业务处 理能力具备冗余空间,满 足业务高峰期需要;b)应保证网络各个部分的带 宽满足业务高峰期需要;C)应在业务终端与业务服 务 器之间进行路由控制建立 安全的访问路径;d)应绘制与当前运行情况相符的网络拓扑结构图;e)应根据各部门的工作职能、重要性和所涉及信息 的重要程度等因素,划分 不同的子网或网段,并按 照方便管理和控制的原则 为各子网、网段分配地址 段
10、;f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采重要网段与其他网段之间 采用防火墙或网闸进 行隔 离。取可靠的技术隔离手段;g)应按照对业务服务的重要次序来指定带宽分配在多个业务共用的网络 设备上配置QOS有条件的话可以在主干通信线路上安优先级别,保证在网络装专用的带宽管理发生拥堵的时候优先保护设备。重要主机。1.122访问控制(G4网络边界部署安全隔离现有产品无法根据本项要求包括:与信息交换系统(网数据的敏感标记允a)应在网络边界部署访冋闸)。许或拒绝数据通控制设备,启用访冋控过。制功能;b)应不允许数据带通用协议通过;C)应根据数据的敏感标记允许或拒绝
11、数据通过;1.123 安全审计远程拨号访冋功部署专业的日志审计系本项要求包括:统,并且所有事件源与a)应对网络系统中的网络审计服务器保持时钟冋设备运行状况、网络流步。量、用户行为等进行日志记录;b)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;C)应能够根据记录数据进行 分析,并生成审计报表;d)应对审计记录进行保护, 避免受到未预期的删除、 修改或覆盖等;e)应定义审计跟踪极限的 阈值,当存储空间接近极限 时,能采取必要的措施,当 存储空间被耗尽时,终止可 审计事件的发生;f)应根据信息系统的统一 安全策略,实现集中审计,时钟保持与时钟服务 器同步。1
12、.124边界完整性检杳(S4)本项要求包括:a)应能够对非授权设备私自联到内部网络的行为进行检杳,准确定出位置,并对其进行有效阻 断;部署终端安全管理系统,利用IP/MAC绑定及ARP 阻断功能实现非法接入控 制。b)应能够对内部网络用户 私自 联到外部网络的行为进行 检杳,准确定出位置,并对 其进行有效阻断。部署终端安全管理系统, 提供非法外联监控功能。1.125入侵防范(G4本项要求包括:a)应在网络边界处监视以下 攻击行为:端扫描、强 力攻击、木马后门攻击、 拒绝服务攻击、缓冲区溢 出攻击、IP碎片攻击和网 络蠕虫攻击等;a)当检测到攻击行为时,应记 录攻击源IP、攻击 类型、 攻击目的
13、、攻击时间,在 发生严重入侵事件时应提 供报警及自动采取相应动 作。部署网络入侵防御或网 络 入侵检测系统,对进出边 界的网络数据流进行攻击 检测,并提供适当的日志 记录、报警和自动响应机 制。1.126恶意代码防范(G4)本项要求包括:a)应在网络边界处对恶意代码进行检测和清除;a)应维护恶意代码库的升级和检测系统的更新。在区域边界部署病毒过滤 网关系统。1T27网络设备防护(G4)本项要求包括:a)应对登录网络设备的用 户进行身份鉴别;b)应对网络设备的管理员 登录地址进行限制;c)网络设备用户的标识应唯一;d)主要网络设备应对同一用 户选择两种或两种以上组 合的鉴别技术来进行身份 鉴别;e)身份鉴别信息应具有不易 被冒用的特点,令应有 复杂度要求并定期更换;f)网络设备用户的身份鉴别 信息至少应有一种是不可 伪造的;g)应具有登录失败处理功能,可采取结束会话、限 制非法登录次数和当网络 登录连接超时自动退出等 措施;h)当对网络设备进行远程管 理时,应采取必要措施防 止鉴别信息在网络传输过 程中被窃听;采用动态电子令牌身份认证系统(如RSASecurlD),其令牌应当不可伪造。i)应实现设备特权用户的权限分离。1.1.3主机安全采用操作系统和数据库1.131身份鉴别(S4)系统安全评估和加固服本项要求包括
