二级系统安全等级保护测评基本要求和测评要求

《二级系统安全等级保护测评基本要求和测评要求》由会员分享，可在线阅读，更多相关《二级系统安全等级保护测评基本要求和测评要求（12页珍藏版）》请在金锄头文库上搜索。

1、安全类别第一级基本要求第二级基本要求第二级测评要求物理 安全物理位 置的选 择（G）/a）机房和办公场地应选择在具有防震、 防风和防雨等能力的建筑内。a）应访谈物理安全负责人，询问现有机房和放置终端计 算机设备的办公场地的环境条件是否能够满足信息系统业 务需求和安全管理需求，是否具有基本的防震、防风和防 雨等能力；b）应检查机房和办公场地是否在具有防震、防风和防雨 等能力的建筑内。物理访 问控制（G）a）机房出入应安排专人负责，控 制、鉴别和记录进入的人员a）机房出入应安排专人负责，控制、鉴 别和记录进入的人员；b）需进入机房的来访人员应经过申请 和审批流程,并限制和监控其活动范围。a）应访谈

2、物理安全负责人，了解部署了哪些控制人员进出 机房的保护措施；b）应检查机房安全管理制度，查看是否有关于机房出入 方面的规定；c）应检查机房出入口是否有专人值守，是否有值守记录及 人员进入机房的登记记录；检查机房是否不存在专人值守 之外的其他出入口；d）应检查是否有来访人员进入机房的审批记录，查看 审批记录 是否包括来访人员的访问范围。防盗窃 和防破 坏（G）a）应将主要设备放置在机房内；b）应将设备或主要部件进行固 定，并设置明显的不易除去的标记a）应将主要设备放置在机房内；b）应将设备或主要部件进行固定，并设 置明显的不易除去的标记；c）应将通信线缆铺设在隐蔽处，可铺设 在地下或管道中；d）

3、应对介质分类标识，存储在介质库或 档案室中；e）主机房应安装必要的防盗报警设施。a）应访谈物理安全负责人，了解采取了哪些防止设备、介 质等丢失的保护措施；b）应访谈机房维护人员，询问关键设备放置位置是否做到 安全可控，设备或主要部件是否进行了固定和标记，通信 线缆是否铺设在隐蔽处；是否对机房安装的防盗报警设施 并定期进行维护检查；c）应访谈资产管理员，介质是否进行了分类标识管理， 介质是否存放在介质库或档案至内进仃管理；d）应检查关键设备是否放置在机房内或其它不易被盗窃 和破坏的可控范围内；检查关键设备或设备的主要部件的 固定情况，查看其是否不易被移动或被搬走，是否设置明 显的不易除去的标记；

4、e）应检查通信线缆铺设是否在隐蔽处；f）应检查机房防盗报警设施是否正常运行，并查看是否有 运行和报警记录；g）应检杳介质的管理情况，查看介质是否有正确的分类标 识，是否存放在介质库或档案室内。防雷击（G）a）机房建筑应设置避雷装置a）机房建筑应设置避雷装置；b）机房应设置交流电源地线。a）应访谈物理安全负责人，询问为防止雷击事件导致重 要设备被破坏采取了哪些防护措施，机房建筑是否设置了 避雷装置，是否通过验收或国家有关部门的技术检测；询 问机房计算机供电系统是否有交流电源地线；b）应检查机房建筑是否有避雷装置，是否有交流地线。防火（G）a）机房应设置灭火设备a）机房应设置灭火设备和火灾自动报

5、警系统。a）应访谈物理安全负责人，询问机房是否设置了灭火设 备，是否设置了火灾自动报警系统，是否有人负责维护该 系统的运行，是否制定了有关机房消防的管理制度和消防 预案，是否进行了消防培训；b）应访谈机房维护人员，询问是否对火灾自动报警系统定 期进行检查和维护；c）应检杳机房是否设置了灭火设备，灭火设备摆放位置是 否合理，其有效期是否合格；应检查机房火灾自动报警系 统是否正常工作，查看是否有运行记录、报警记录、定期 检杳和维修记录。防水和 防潮（G）a）应对穿过机房墙壁和楼板的水 管增加必要的保护措施；b）应米取措施防止雨水通过机房 窗户、屋顶和墙壁渗透a）水管安装，不得穿过机房屋顶和活 动地

6、板下；b）应采取措施防止雨水通过机房窗户、 屋顶和墙壁渗透；c）应采取措施防止机房内水蒸气结露 和地下积水的转移与渗透。a）应访谈物理安全负责人，询问机房是否部署了防水防潮 措施；如果机房内有上/下水管安装，是否避免穿过屋顶和 活动地板下，穿过墙壁和楼板的水管是否采取了可靠的保 护措施；在湿度较咼的地区或季节是否有人负责机房防水 防潮事宜，配备除湿装置；b）应访谈机房维护人员，询问机房是否没有出现过漏水和 返潮事件；如果机房内有上/下水管安装，是否经常检查其 漏水情况；在湿度较咼地区或季节是否有人负责机房防水 防潮事宜，使用除湿装置除湿；如果出现机房水蒸气结露 和地下积水的转移与渗透现象是否及

7、时采取防范措施；c）应检杳穿过主机房墙壁或楼板的管道是否配置套管，管 道与套管之间是否采取可靠的密封措施；d）应检杳机房的窗户、屋顶和墙壁等是否未出现过漏水、 渗透和返潮现象，机房及其环境是否不存在明显的漏水和 返潮的威胁；如果出现漏水、渗透和返潮现象，则查看是 否能够及时修复解决；e）对湿度较咼的地区，应检杳机房是否有湿度记录，是否 有除湿装置并能够正常运行，是否有防止出现机房地下积网络 安全水的转移与渗透的措施，是否有防水防潮处理记录。防静电（G）/a）关键设备应采用必要的接地防静电 措施。a）应访谈物理安全负责人，询问关键设备是否采 取用必 要的防静电措施，机房是否不存在静电问题或因静电

8、引发 的安全事件；b）应检查关键设备是否有安全接地，查看机房是否不存在 明显的静电现象。温湿度 控制（G）机房应设置必要的温、湿度控制设 施，使机房温、湿度的变化在设备 运行所允许的范围之内机房应设置温、湿度自动调节设施，使 机房温、湿度的变化在设备运行所允许 的范围之内。a）应访谈物理安全负责人，询问机房是否配备了，温湿度 自动调节设施，保证温湿度能够满足计算机设备运行的要 求，是否在机房管理制度中规定了温湿度控制的要求，是 否有人负责此项工作，是否定期检查和维护机房的温湿度 自动调节设施，询问是否没有出现过温湿度影响系统运行 的事件；b）应检查温湿度自动调节设施是否能够正常运行，查看是 否

9、有温湿度记录、运行记录和维护记录；查看机房温湿度 是否满足计算站场地的技术条件要求。电力供 应a）应在机房供电线路上配置稳压 器和过电压防护设备a）应在机房供电线路上配置稳压器和 过电压防护设备；b）应提供短期的备用电力供应，至少满 足关键设备在断电情况下的正常运行要 求。a）应访谈物理安全负责人，询问计算机系统供电线路上 是否设置了稳压器和过电压防护设备；是否设置了短期备 用电源设备，供电时间是否满足系统关键设备最低电力供 应需求；b）应检查机房，查看计算机系统供电线路上的稳压器、过 电压防护设备和短期备用电源设备是否正常运行；c）应检查是否有稳压器、过电压防护设备以及短期备用电 源设备等的

10、检查和维护记录。电磁防 护（S）/a）电源线和通信线缆应隔离铺设，避免 互相干扰。a）应访谈物理安全负责人，询问电源线和通信线缆是否隔 离铺设，是否没有出现过因电磁干扰等问题引发的故障；b）应检查机房布线，查看是否做到电源线和通信线缆隔 离。结构安 全（G）a）应保证关键网络设备的 业务处理能力满足基本业务需要；b）应保证接入网络和核心网 络的带宽满足基本业务需要；c）应绘制与当前运行情况相a）应保证关键网络设备的业务处理能 力具备冗余空间，满足业务高峰期需要;b）应保证接入网络和核心网络的带宽 满足业务高峰期需要；c）应绘制与当前运行情况相符的网络a）应访谈网络管理员，询问关键网络设备的性能

11、以及目前 业务高峰流量情况；b）应访谈网络管理员，询问网段划分情况以及划分原则； 询问重要的网段有哪些；c）应访谈网络管理员，询问网络中带宽控制情况以及带宽符的网络拓扑结构图拓扑结构图；d）应根据各部门的工作职能、重要性和 所涉及信息的重要程度等因素，划分不 同的子网或网段，并按照方便管理和控 制的原则为各子网、网段分配地址段。分配的原则；d）应检杳网络拓扑结构图，杳看其与当前运行的实际网络 系统是否一致；e）应检查网络设计或验收文档，查看是否有关键网络设 备业务处理能力、接入网络及核心网络的带宽满足业务高峰期需要的设计或说明；f）应检查网络设计或验收文档，查看是否有根据各部门的 工作职能、重

12、要性和所涉及信息的重要程度等因素，划分 不冋的子网或网段，并按照方便管理和控制的原则为各子 网和网段分配地址段的设计或描述。访问控 制（G）a）应在网络边界部署访问控制设 备，启用访问控制功能；b）应根据访问控制列表对源地 址、目的地址、源端口、目的端口 和协议等进行检查，以允许/拒绝 数据包出入；c）应通过访问控制列表对系统资 源实现允许或拒绝用户访问，控制 粒度至少为用户组a）应在网络边界部署访问控制设备，启 用访问控制功能；b）应能根据会话状态信息为数据流提 供明确的允许/拒绝访问的能力,控制粒 度为网段级。c）应按用户和系统之间的允许访问规 则，决定允许或拒绝用户对受控系统进 行资源访

13、问，控制粒度为单个用户；d）应限制具有拨号访问权限的用户数 量a）应访谈安全管理员，询问网络访问控制措施有哪些；询 问访问控制策略的设计原则是什么；询问网络访问控制设备具备哪些访问控制功能；询问是否 允许拨号访问网络；b）应检查边界网络设备，查看其是否根据会话状态信息 对数据流进行控制，控制粒度是否为网段级；c）应检查边界网络设备，查看其是否限制具有拨号访问权 限的用户数量；d）应测试边界网络设备，可通过试图访问未授权的资源， 验证访问控制措施是否能对未授权的访问行为进行控制， 控制粒度是否至少为单个用户安全审 计（G）/a）应对网络系统中的网络设备运行状 况、网络流量、用户行为等进行日志记

14、录；b）审计记录应包括事件的日期和时间、 用户、事件类型、事件是否成功及其他 与审计相关的信息.a）应访谈安全审计员，询问边界和关键网络设备是否开启 审计功能，审计内容包括哪些项；询问审计记录的主要内 容有哪些；b）应检查边界和关键网络设备，查看其审计策略是否包括 网络设备运行状况、网络流量、用户行为等；c）应检杳边界和关键网络设备，杳看其事件审计记录是 否包括：事件的日期和时间、用户、事件类型、事件成功 情况。边界完 整性检 查（S）/a）应能够对内部网络中出现的内部用 户未通过准许私自联到外部网络的行为 进行检査。a）应访谈安全管理员，询问是否对内部用户私自连接到外 部网络的行为；b）应检

15、查边界完整性检查设备，查看是否正确设置了对网 络内部用户私自连接到外部网络的行为进行有效监控的配置；c）应测试边界完整性检查设备，验证其是否能够有效发现 “非法外联”的行为。入侵防 范（G）/a）应在网络边界处监视以下攻击行为： 端口扫描、强力攻击、木马后门攻击、 拒绝服务攻击、缓冲区溢出攻击、IP碎 片攻击和网络蠕虫攻击等。a）应访谈安全管理员，询问网络入侵防范措施有哪些； 询问是否有专门设备对网络入侵进行防范；b）应检查网络入侵防范设备，查看是否能检测以下攻击行 为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、 缓冲区溢出攻击、1P碎片攻击、网络蠕虫攻击等；c）应检查网络入侵防范设备，查看其规则库是否为最新；d）应测试网络入侵防范设备，验证其检 测。网络设 备防护（G）a）应对登录网络设备的用户进行 身份鉴别；b ）应具有登录失败处理功能，可 采取结束会话、限制非法登录次数 和当网络