等级保护第三级基本要求

资源描述

《等级保护第三级基本要求》由会员分享，可在线阅读，更多相关《等级保护第三级基本要求（70页珍藏版）》请在金锄头文库上搜索。

1、等级保护第三级基本要求等级保护第三级基本1实施建议残留问题1.1.1物勿理安全1.1.1.1物理位置的选择（G3本项要求包括：a）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；b）机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。一般选择在建筑物2-3层。（冋 B类安全机房的选址要求。）1.1.1.2(G3本丿、物理访冋控制软项要求包括：a）、机房出入口应安排专人值守，控制、鉴别和记录进入的人员；b）需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；c）应对机房划分区域进行管理，区域和区域之间设置物理隔

2、离装置，在重要区域前设置交付或安装等过渡区域；重要区域物理隔离，并安装电子门禁系统（北京天宇飞翔，深圳微耕，瑞士 KABA 或德国 KABAGallenschutz ）: ,d）重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员、。1.1.1.3 防盗切不（G3本项要求a）应将备放置内；口防破坏包括：P主要设在机房b）应将设备或主要部件进行固定，并设置明显的不易除去的标记；使用机柜并在设备上焊接铭牌，标明设备型号、负责保管人员、维护单位等信息。（设备铭牌只能被破坏性地去除。）c）应将缆铺设处，可铺下或管道d）应对类标识，介质库或1

3、 1 1 13P通信线在隐蔽设在地中.!介质分存储在档案室e）应利用光、电等技术设置机房防盗报警系统；机房安装光电防盗报警系统。f）应对机房设置监控报警系统。机房安装视频监控报警系统。1.1.1.4 防雷击（G3 本项要求包括：a）机房建筑应设置避雷装置；b）应设置防雷保安器，防止感应雷；安装1= 雷器防雷虽雷太麦电源二级防巻和信号二级葺器（美国克瓦 ALLTEC 。c) 7机房应设置父流电m源地线。：1.1.1.5 防火（G3 本项要求包括a）机房应设火灾自动消防统，能够自动测火情、自动警，并自动灭E置系检报 -火：安装有火系统。b）机

4、房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；使用修。寻机房改造，c）机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。进行机域使用，火玻璃隔断。1.1.1.6防水和防潮本项要求包括a）亦管安装不得穿过机房顶和活动地下；b）应采取措防止雨水通过房窗户、屋顶墙壁渗透；c）应采取措防止机房内水气结露和地下水的转移与透：（G3 屋&板扌施机和扌施蒸.八、积亍渗d）应安装敏感的检测彳或兀件，对进行防水检1 报警。对水仪表机房测和安装机境监控机房设状态、度、洁 tr 白 Ar -房动力环系统（对尢备的运行温度、湿

5、打争度、供电的电频率、的开关漏系统时监控史数据含漏置。去压、电力IL、配电系统糾犬态、测 g等进行实孑并记录历号）其中水检涮装I 防静电G3 本项要求包括：a）主要设备应采用必要的接地防静电措施;一b）机房应采用防静电地板。1.1.1.8温湿度控制、机房应设置温度自动调节设施，房温、湿度的变化备运行所允许的范之内。（G3J 見、湿使机;在设也围安装精统，配检测装入动力系统。芋密空调F置温湿置，并J环境监系度接控1.1.1.9 电力供应（A3）本项要求包括：a）应在机房供电线路上配置稳压器和过电压防护设备；配置线和电源（如金可

6、变电崩二极放电管电压调和浪涌艮路稳压計呆护装 1属氧化 1阻、硅攵管、气孑、滤波; 月整变压 i滤波器器物雪体器、器）。b）应提供短期的备用电力供应，至少满足主要设备在断电情为主要设备配置UPS况下要求、的止常运行心c）应设置冗余或并行的电力电缆线路为计算机士r-l-r系统供电；1d）应建立备用供电系统。提供备用供统？并根据务恢复时间求，制定备电系统的切间。共电系富对业可的要旨用供刀换时1.1.1.10i/本项 O）方式磁干生耦b）信线设，扰;I磁防护込要求包括应米用弋防止外; 扰和设, 禺合干扰、电源线戋缆应隔

7、避免互;（S3）接地界电备寄和通离铺相干备和磁对质实设电磁屏蔽。采用屏蔽机柜。1.1.2 网冈络安全11.1.2.1 结构安全（G3本项要求包括：a）应葆证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；b）应保证网络各个部分的带宽满足业务高峰期需要：c）应在业务终端与业务服务之间进行路由制建立安全的问路径；控访d）应绘制与当士、/Lt Xr-r刖运仃情的网络扌图；育况相石扑结付构e）应门的工作重要性和信息的重等因素，同的子段，并按管理和扌则为各子段分配地根据各乍职能和所涉査要程划分 :网、或安照方空制的产网、

8、也址段F部、及度不矣网便原网;f）丿要网段络边界连接外统，重其他网取可靠离手段应殳部木部殳;避雋也且殳之 1勺技免将旱在舌、 rH =1息、冯段二间殳术F重网接接与米隔重要网段与其他网段之间采用防火墙或网闸进行隔离。q）丿务服务序来指配优先证在网堵的时护重要应按丿亍的重旨定带 E级别冯络发寸候优吏主机照对 H要厅宽贮先几。f业次分保拥保在多个业务共用的网络设备上配置QOS1.122访问控制（G3 本项要求包括：、a）应在网络边界部署访问控制设备，启用访问控制功能；b）应能根据会话状态信息为数据

9、流提供明确的允许/ 拒绝访问的能力，控制粒度为端口级；c）应对进出网络的信息内容进行过滤，实现对应用层 HTTP、FTP、TELNET 、 SMTP、POP3 等协议命令级的控制；d）应在会话处于非活跃一定时间或会话结束后终止网络连接；e）应限制网络最大流量数及网络连接数；f）重要网段应采取技术手段防止地址欺骗；g）应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；在火络边界部署h）应限制具有拨访问权限的用户1.123安全审孑计（G3|本项要求包括舌：a）应对网络系统| 的网络设备运彳状况、网络流量用户

10、行为等进彳日志记录；中負、亍b）审计记录括：事件的和时间、用事件类型、是否成功及与审计相关息：:应日期户、事件其他的信包也_A_.c）应能够根据记录数据进行分析，并生成审计报表；、d）应对审计记录进行保护避免受到未预期的删除、修改或覆盖等。.1.124 边界完整性检查（S3）本项要求包括：-,a）应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；部署专业的日志审计系统。部署终端安全管理系统，禾U用IP/MAC 绑定及ARP 阻断功能实现非法接入控制。络用户私自联到外部网络的行为进行检查，准确定

11、出位置，并对其进行有效阻断。1.1.2.5入侵防范（G3 本项要求包括：a）应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等；部署终端安全管理系统，提供非法外联监控功能统署入侵检测系b）当检测到攻击行为时记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严3 -f /-L P重入侵提供报疋事件时应去警。1.126 恶意（G3本项要求包a）应在网对恶意检测和b）应维护库的升系统的:代码防范:舌：切络边界处殳代码进行 1清除;户恶意代码卜级和检测勺更新。部系病毒过滤网

12、1.127网络设备防护（G3本项要求包括:a）应对登备的用份鉴另务录网络设户进行身 J;b）应对网管理员进行限目络设备的 i登录地址艮制；c）网络设唯一户的d）主对两纟来匚匚要网络设备应:寸同一用户选择肝种或商种以上1合的鉴别技术定进行身份鉴采用动态电子令牌身份认证系统（如 RSA SecurlD）。别e）身的有定f）定处和接g）等g）当应防网被川；势份鉴别信息 m有不易被冒 1勺特点，口令寻复杂度要求总期更换；匸具有登录失小理功能，可夏结束会话、引非法登录次卫当网络登录妾超时自动退李措施；苴对网络设备亍远程管理时立米取必要措方止鉴别信息冈

13、络传输过程皮窃听；应用应并败采限数连出进施在中特冈备权设的现M 实户O 应用离h权 1分1.1.3主机安全.1.3.1身份鉴别（S3）II本项要求包括：a）应对登录操作系统和数据库系统的用户进行身份标识和鉴别； -kw ZX-厶大工口采用操作系统和数据库系统安全评估和加固服务。b）操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；c）应启用登录失败处理功能，可采取结、束会话、限制非法登录次数和自动退出等措施；d）当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；e）应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。f）应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。采用动态电子

展开阅读全文