《等级保护第三级基本要求》由会员分享,可在线阅读,更多相关《等级保护第三级基本要求(36页珍藏版)》请在金锄头文库上搜索。
1、肆等级保护第三级基本要求肄实施建议肃残留问题1.1.11.1.2蚁物理安全1.1211.122膆物理位置的选择(G3)蒅本项要求包括:a)b)袅机房和办公场地应选择在具有 防震、防风和防雨等能力的建筑 内;c)d)蒀机房场地应避免设在建筑物的 高层或地下室,以及用水设备的 下层或隔壁。薀一般选择在建巩物 2-3层。(同B类安全机房的选址要求。)1.1.2.31.1.2.4 祎物理访问控制(G3)节本项要求包括:a)b)蒂机房出入口应安排专人值守,控制、鉴别和记录进入的人员;c)d)蚀需进入机房的来访人员应经过 申请和审批流程,并限制和监控 其活动范围;e)f)芆应对机房划分区域进行管理,区 域
2、和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域;g)h)羄重要区域应配置电子门禁系统, 控制、鉴别和记录进入的人员。芁重要区域物理隔离,并安装电 子门禁系统(北京天宇飞翔, 深圳微耕,瑞士KABA或德国KABAGallenschutz )1.1.2.51.1.2.6 蚀防盗窃和防破坏(G3)蚇本项要求包括:a)b)蒂应将主要设备放置在机房内;c)d)肀应将设备或主要部件进行固定, 并设置明显的不易除去的标记;螀使用机柜并在设备上焊接铭 牌,标明设备型号、负责保管 人员、维护单位等信息。(设 备铭牌只能被破坏性地去除。)e)f)螄应将通信线缆铺设在隐蔽处,可 铺设在地下或管道
3、中;g)h)螈应对介质分类标识,存储在介质 库或档案室中;i)j)莃应利用光、电等技术设置机房防盗报警系统;蒄机房安装光电防盗报警系统。k)l)蝿应对机房设置监控报警系统。芆机房安装视频监控报警系统。1.1271.128 蒆防雷击(G3薄本项要求包括:a)b)膀机房建筑应设置避雷装置;c)d)羈应设置防雷保安器,防止感应雷;膅安装电源三级防雷器和信号 二级防雷器(美国克雷太ALLTEC 。e)f)蚄机房应设置交流电源地线。1.1291.1.2.10薁防火(G3)莆本项要求包括:a)b)羄机房应设置火灾自动消防系统, 能够自动检测火情、自动报警, 并自动灭火;螃安装有管网气体自动火火系 统。c)
4、d)蚈机房及相关的工作房间和辅助 房应采用具有耐火等级的建筑材 料;肇进行机房改造,使用防火材料 装修。e)f)螃机房应米取区域隔离防火措施, 将重要设备与其他设备隔离开。螃进行机房改造,重要区域使用 防火玻璃隔断。1.1.2.111.1.2.12聿防水和防潮(G3)薆本项要求包括:a)b)螆水管安装,不得穿过机房屋顶和 活动地板下;c)d)袃应采取措施防止雨水通过机房 窗户、屋顶和墙壁渗透;e)f)蒀应采取措施防止机房内水蒸气 结露和地下积水的转移与渗透;g)h)芈应安装对水敏感的检测仪表或元件,对机房进行防水检测和报 警。薅安装机房动力环境监控系统(对机房设备的运行状态、温 度、湿度、洁净
5、度、供电的电 压、电流、频率、配电系统的 开关状态、测漏系统等进行实 时监控并记录历史数据),其 中含漏水检测装置。1.1.2.131.1.2.14 羃防静电(G3)袁本项要求包括:a)b)螅主要设备应采用必要的接地防静电措施;c)d)莄机房应采用防静电地板。1.1.2.151.1.2.16 肃温湿度控制(G3)莂机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的 范围之内。蒇安装精密空调系统,配置温湿 度检测装置,并接入动力环境 监控系统。1.1.2.171.1.2.18 莆电力供应(A3)腿配置线路稳压器和电源保护 装置(如金属氧化物可变电阻、膃本项要求包括:a)b)蒈
6、应在机房供电线路上配置稳压器和过电压防护设备;硅雪崩二极管、气体放电管、 滤波器、电压调整变压器和浪 涌滤波器)。c)d)膅应提供短期的备用电力供应,至少满足主要设备 在断电情况下的 正常运行要求;芃为主要设备配置 UPSe)f)衿应设置冗余或并行的电力电缆 线路为计算机系统供电;g)h)蚇应建立备用供电系统。袄提供备用供电系统,并根据对 业务恢复时间的要求,制定备 用供电系统的切换时间。1.1.2.191.1220莃电磁防护(S3)芀本项要求包括:a)b)荿应采用接地方式防止外界电磁 干扰和设备寄生耦合干扰;c)d)蚃电源线和通信线缆应隔离铺设, 避免互相干扰;e)f)莂应对关键设备和磁介质
7、实施电 磁屏敝。蚁采用屏敝机柜。1.1.31.1.4 螇网络安全1.1.4.11.1.4.2 蚆结构安全(G3)蚀本项要求包括:a)b)羆应保证主要网络设备的业务处 理能力具备冗余空间,满足业务 高峰期需要;c)d)蚇应保证网络各个部分的带宽满足业务高峰期需要;e)f) 蚃应在业务终端与业务服务器之 间进行路由控制建立安全的访问 路径;g)h) 螀应绘制与当前运行情况相符的网络拓扑结构图;i)j)莇应根据各部门的工作职能、重要 性和所涉及信息的重要程度等因素,划分不同的子网或网段,并 按照方便管理和控制的原则为各 子网、网段分配地址段;k)l) 膄应避免将重要网段部署在网络 边界处且直接连接外
8、部信息系 统,重要网段与其他网段之间米 取可靠的技术隔离手段;蒁重要网段与其他网段之间采 用防火墙或网闸进行隔离。m)n)袀应按照对业务服务的重要次序 来指定带宽分配优先级别,保证 在网络发生拥堵的时候优先保护 重要主机。螇在多个业务共用的网络设备上配置QOS1.1431.144 祎访问控制(G3)蒄本项要求包括:a)b)羀应在网络边界部署访冋控制设备,启用访冋控制功能;c)d)膈应能根据会话状态信息为数据 流提供明确的允许 /拒绝访问的 能力,控制粒度为端口级;e)f)莄应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制;g)h
9、)芃应在会话处于非活跃一疋时间 或会话结束后终止网络连接;i)j)肀应限制网络最大流量数及网络连接数;k)l)蕿重要网段应采取技术手段防止 地址欺骗;m)n)肆应按用户和系统之间的允许访 问规则,决定允许或拒绝用户对 受控系统进行资源访问,控制粒 度为单个用户;0)p)羂应限制具有拨号访问权限的用户数量。腿在网络边界部署防火墙。1.1.4.51.1.4.6 螆安全审计(G3)蒄本项要求包括:a)b)螁应对网络系统中的网络设备运 行状况、网络流量、用户行为等 进行日志记录;c)d)腿审计记录应包括:事件的日期和 时间、用户、事件类型、事件是 否成功及其他与审计相关的信息;e)f)腿应能够根据记录
10、数据进行分析, 并生成审计报表;g)h)芆应对审计记录进行保护,避免受 到未预期的删除、修改或覆盖等。袄部署专业的日志审计系统。1.1471.148 艿边界完整性检杳(S3)薈本项要求包括:a)b)蚄应能够对非授权设备私自联到 内部网络的行为进行检杳,准确 定出位置,并对其进行有效阻断;薃部署终端安全管理系统,利用IP/MAC绑定及ARP阻断功能 实现非法接入控制。c)d)荿应能够对内部网络用户私自联到外部网络的行为进行检杳,准确定出位置,并对其进行有效阻 断。罿部署终端安全管理系统,提供 非法外联监控功能。1.1491.1.4.10莆入侵防范(G3)莂本项要求包括:a)b)葿应在网络边界处监
11、视以下攻击行为:端口扫描、强力攻击、木 马后门攻击、拒绝服务攻击、缓 冲区溢出攻击、IP碎片攻击和网 络蠕虫攻击等;c)d)莀当检测到攻击行为时,记录攻击 源IP、攻击类型、攻击目的、攻 击时间,在发生严重入侵事件时 应提供报警。袃部署入侵检测系统。1.1.4.111.1412莅恶意代码防氾(G3)蕿本项要求包括:a)b)蒆应在网络边界处对恶意代码进 行检测和清除;c)d)薅应维护恶意代码库的升级和检 测系统的更新。膃部署病毒过滤网关系统。1.1.4.131.1.4.14 虿网络设备防护(G3)袇本项要求包括:a)b)芇应对登录网络设备的用户进行身份鉴别;c)d)羂应对网络设备的管理员登录地址
12、进行限制;e)f)蝿网络设备用户的标识应唯一;g)h)芈主要网络设备应对同一用户选 择两种或两种以上组合的鉴别技 术来进行身份鉴别;i)j)螅身份鉴别信息应具有不易被冒 用的特点,口令应有复杂度要求 并定期更换;k)l)蚁应具有登录失败处理功能,可采 取结束会话、限制非法登录次数 和当网络登录连接超时自动退出等措施;m)n)螈当对网络设备进行远程管理时, 应采取必要措施防止鉴别信息在 网络传输过程中被窃听;虿采用动态电子令牌身份认证系统(如 RSASecurlD)。0)p)蒇应实现设备特权用户的权限分离。1.1.51.1.6 螄主机安全1.1611.1.6.2袈身份鉴别(S3)祎本项要求包括:
13、a)b)袅应对登录操作系统和数据库系 统的用户进行身份标识和鉴别;c)d)蒃操作系统和数据库系统管理用 户身份标识应具有不易被冒用的 特点,口令应有复杂度要求并定 期更换;e)f)节应启用登录失败处理功能,可采 取结束会话、限制非法登录次数 和自动退出等措施;g)h)蒁当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在 网络传输过程中被窃听;i)j)袁应为操作系统和数据库系统的 不同用户分配不同的用户名,确 保用户名具有唯一性。薆采用操作系统和数据库系统安全评估和加固服务。k)l)薆应采用两种或两种以上组合的 鉴别技术对管理用户进行身份鉴 另叽袂采用动态电子令牌身份认证 系统(如 RSASecurlD )。1.1631.164 荿访问控制(S3)蕿本项要求包括:a)b)蚆应启用访冋控制功能, 依据女全 策略控制用户对资源的访问;c)d)芃应根据管理用户的角色分配权 限,实现管理用户的权限分离, 仅授予管理用户所需的最小权 限;e)f)肁应实现操作系统和数据库系统特权用户的权限分离;g)h)莈应严格限制默认帐户的访问权 限,重命名系统默认帐户,修改 这些帐户的默认口令;i)j)螆应及时删除多余的、过期的帐 户,避免共享帐户的存在。k)l)蚄应对重要信息资源设置敏
