《A.01_系统集成项目施工质量要求(V.1)》由会员分享,可在线阅读,更多相关《A.01_系统集成项目施工质量要求(V.1)(10页珍藏版)》请在金锄头文库上搜索。
1、山谷公司系统集成项目施工质量要求一、 机柜整理质量要求1.1 机柜柜体a) 涉密信息系统机柜与其他信息系统机柜至少间隔1.5m;b) 涉密信息系统机柜之间可不考虑间隔;c) 涉密信息系统机柜必须按要求接地;d) 机柜摆放必须前端对齐,高度一致。1.2 服务器及网络设备a) 服务器与网络设备分不同机柜摆放;b) 服务器按照密级不同集中摆放,条件允许的话,在不同机柜内分别摆放;c) KVM切换器必须与服务器顺序对应,做到整齐有序;d) 服务器与网络设备必须进行密级标识(与甲方达成一致后,采用标签打印机制作专用标签);1.3 机柜内线缆a) 线缆标识必须清晰,制作标准统一(线缆两端均有标识);b)
2、双绞线与电源线分别沿机柜两侧进行整理,外观做到整齐大方;c) KVM线缆、设备接地线缆禁止与电源线同侧摆放;d) 机柜前端线缆整理必须通过理线架辅助实施。二、 服务器及交换机配置质量要求2.1 服务器a) C盘分区至少分为50G,分区格式必须用NTFS;b) 必需更新为最新的系统补丁(包括其它软件如:数据库等。可与补丁分发系统结合);c) 必须设置管理员密码,要求长度、复杂度,禁止使用空密码;d) 必须使用屏幕保护,恢复时使用密码保护;e) 禁用空闲的网卡;f) 计算机命名规则和域用户的命名规则必须统一;g) 禁止开启远程桌面连接服务。2.2 交换机配置要求a) 必须配置CONSOLE口管理密
3、码,密码复杂度及长度(见下文)必须与设备密级匹配;b) 缺省情况下,禁止远程TELNET管理,必须配置SSH登陆;如设备不支持SSH,可配置TELNET远程管理,并利用ACL限制TELNET管理终端的IP。c) 空闲交换机端口必须关闭;d) 交换机级联口必须使用trunk模式,仅允许指定VLAN通过;e) 核心交换机必须记录日志,日志级别建议information;f) 必须进行IP+MAC+端口的绑定,必要时可通过核心交换机与接入交换机共同实现;g) 必须关闭交换机端口的MAC学习功能;h) ACL访问控制列表必须准确、全面;i) 禁止使用VLAN 1 做为终端计算机接入VLAN;三、安全保
4、密产品配置质量要求3.1 防火墙类产品配置要求a) 必须配置三员,其密码长度、复杂度必须符合要求;b) 必须指定管理计算机,禁止其他计算机进行管理;c) 区域名称必须标识清楚、通俗易懂(如:eth0 服务器区);d) 地址对象必须与实际应用对应(如:防病毒服务器 IP:192.168.1.1);e) 自定义服务必须标识清楚(如:域控1 139 、域控2 445等)f) 访问控制策略定义要求:主体具体到单个VLAN、客体具体到单个IP地址、仅开放实际需要的服务。g) 必须开启日志功能,指定日志服务器,定期查看并进行备份;3.2 入侵检测类产品配置要求a) 必须配置三员,其密码长度、复杂度必须符合
5、要求;b) 配置策略:传感器检测的安全事件种类;事件的级别;对付安全事件的响应方式;c) 控制台启用应用服务,如:事件收集服务、安全事件响应服务、数据管理服务等。d) 日志须定期查看并导出备份。3.3 入侵防御类产品配置要求a) 及时更新规则库;b) 配置入侵防御策略(从哪个区域到哪个区域的访问);c) 必须配置三员,其密码长度、复杂度必须符合要求;d) 日志须定期查看并导出备份。3.4 漏洞扫描类产品配置要求a) 及时更新漏洞库;b) 协助甲方进行至少一次全网扫描;c) 根据甲方实际网络情况,排除网络设备IP授权,以免其占用授权(不限IP版本除外);d) 至少做一次报表导出、分析及漏洞修补;
6、3.5 主机监控与审计类产品配置要求a) 配置三员;b) 根据实际情况划分不同的部门(二级机构);c) 根据各部门实际应用情况配置不同的策略(禁用USB,光驱,打印机等端口);d) 终端用户注册(注:终端计算机使用人员真实名称);e) 与实际终端数量进行对比,保持一致;f) 确保终端策略的有效性。3.6 “三合一”产品配置要求a) 客户端软件如实填写客户端信息、部门信息、报警中心IP地址、甲方单位地址等信息。b) 涉密U盘注册按照用户的实际情况对红盘进行注册,并确定其使用范围。c) 单向导入装置把单向导入装置按照要求安装在客户端上。导入通用U盘内文件的目录为根目录下的文件或“发送文件”夹内的文
7、件及文件夹。d) 策略配置设置外联策略、外设策略、介质管理策略。3.7 防病毒产品配置要求a) 服务器必须安装防病毒客户端;b) 设置控制台登录密码(要求长度、复杂度);c) 设置终端保护密码(要求长度、复杂度);d) 根据实际情况定制防病毒策略;e) 病毒库升级时间(至少一周升级一次)f) 与实际终端数量进行对比,保持一致。3.8 电子文档安全管理类产品配置要求a) 数据库文件保存在大容量分区内,禁止使用系统盘保存数据库文件;b) 根据相关标准要求,结合甲方需求,定制“文件带出、打印”及“解密审批”等流程、审批方式及审批人;c) 根据甲方实际情况进行文档加密方式的配置;d) 要配置三员管理及
8、相应的密码;a) 用户名设置标准必须统一;b) 设置记录文档操作、传输的日志。3.9 安全电子邮件系统配置要求a) 根据密级、职能部门建立不同的邮件域,各邮件域之间禁止互发邮件;b) 用户名必须采用真实姓名;c) 视实际情况对不同邮件域的数据进行存储,不同密级的邮件域禁止使用同一物理分区存储;d) 根据实际情况,为部分用户添加邮件发送审核权限;e) 指定出口账号,所有发送至出口账号的邮件必须经过审核;3.10 安全隔离与信息交换系统配置要求a) 必须配置安全策略,对流经的信息进行严格的过滤;b) 根据实际情况配置应用通道;c) 通过仲裁机对内外端机产生的日志进行审计;d) 配置三员管理及相应的
9、密码。3.11 终端安全与文件保护类产品配置要求a) USB-KEY与用户名、计算机进行绑定;b) 设置“文件保险箱”,将需保护的文件迁移至“文件保险箱”内(需提前测试稳定性)。3.12 线路传导干扰器类产品配置要求a) 同一方向上的网络线路,只需最远端和次远端两条线路接入干扰器,即可达到干扰效果;b) 线路传导干扰器连接在交换机和终端之间,其间不能增加其他设备(如:HUB、交换机和路由器等)。3.13 屏蔽机柜部署要求a) 屏蔽机柜定位螺栓必须调节到位,防止机柜使用时移位。b) 屏蔽柜应可靠接地,接地电阻应1; c) 通电前必须接地,接地时电源插座前不能有漏电保护器。 d) 安装进入机柜只能
10、使用光纤,而且光纤线必须要经过屏蔽机柜后面的波导管孔,直径为20mm的铜制波导管为进光纤用,进入屏蔽机柜。 e) 机柜顶部的风扇必须打开。四、通用软件配置质量要求4.1 数据库类产品配置要求(以SQL为主)a) Sa密码必须符合相应的复杂度及长度要求,禁止空密码;b) 必须更新补丁(可与补丁分发系统相结合);c) 数据库文件禁止存放于系统盘内,应选择大容量分区;4.2 补丁分发系统类产品配置要求a) 本类产品建议使用审计系统自带的补丁更新模块实现,其次考虑WSUS;b) 如采用WSUS,则应根据甲方实际情况,选择需更新的产品(至少包含操作系统、数据库、OFFICE);c) 检查终端计算机的更新
11、情况,查缺补漏,纠正错误。五、客户端部署质量要求a) CMOS管理密码、开机密码;b) 禁止光驱、软盘、U盘启动;c) 计算机名称为责任人真实姓名,命名标准统一;d) 关闭系统缺省共享、用户开启的共享;e) 根据实际情况安装红黑电源、视频干扰器;f) 统计IP、MAC、房间模块号,最终与配线架号和交换机端口一一对应;g) 根据实际情况,部署安全防护软件;h) 严格控制终端用户权限,缺省为users;i)六、域控制器部署质量要求a) 与甲方共同确认域名规则,做到命名严谨、有代表性;b) 如存在不同密级,应根据不同密级建立不同的域控制器;c) 必须建立备份域控制器和备份DNS;d) 根据各职能部门建立不同的OU;e) 域用户必须与终端操作人员真实姓名一致;f) 域用户必须与终端计算机进行绑定;g) 启用组策略,设置账户策略、审核策略;h) 根据实际情况设置系统日志存储空间;i) 系统日志保留时间必须满足要求(机密6个月,秘密3个月);j) 如开启文件服务器,则须严格控制各用户权限,禁止查看其它用户的文件;k) 如使用WSUS,则须开启windows update 策略,配置自动更新并指定更新服务器位置;
