等保2.0基本要求一級通用測評要求

1、1 安全物理環(huán)境1.1 物理訪問控制機房出人口應安排專人值守或配置電子門禁系統(tǒng)?？刂?。鑒別和記錄進入的人員。1.2 防盜竊和防破壞應將設備或主要部件進行固定。并設置明顯的不易除去的標識。1.3 防雷擊應將各類機柜。設施和設備等通過接地系統(tǒng)安全接地。1.4 防火機房應設置滅火設備。1.5 防水和防潮應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透。1.6 溫濕度控制應設置必要的溫濕度調節(jié)設施，使機房溫濕度的變化在設備運行所允許的范圍之內。1.7 電力供應應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備。2 安全通信網(wǎng)絡1.1 通信傳輸應采用校驗技術保證通信過程中數(shù)據(jù)的完整性。1.2 可信驗證可基于可信

2、根對通信設備的系統(tǒng)引導程序、系統(tǒng)程序等進行可信驗證。并在檢測到其可信性受到破壞后進行報警。3 安全區(qū)域邊界3.1 邊界防護應保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設備提供的受控接口進行通信。3.2 訪問控制本項要求包括：a）應在網(wǎng)絡邊界根據(jù)訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信；b）應刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表。并保證訪問控制規(guī)則數(shù)量最小化；c） 應對源地址、目的地址、源端口、 目的端口和協(xié)議等進行檢查，以允許 /拒絕數(shù)據(jù)包進出。3.3 可信驗證可基于可信根對邊界設備的系統(tǒng)引導程序、系統(tǒng)程序等進行可信驗證，并在檢測到其可信性受到破壞后進行報警。

3、4 安全計算環(huán)境4.1 身份鑒別本項要求包括：a）應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度 要求并定期更換；b）應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超 時自動退出等相關措施。4.2 訪問控制本項要求包括：a）應對登錄的用戶分配賬戶和權限；b）應重命名或刪除默認賬戶修改默認賬戶的默認口令；c）應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。4.3 入侵防范本項要求包括：a）應遵循最小安裝的原則，僅安裝需要的組件和應用程序；b）應關閉不需要的系統(tǒng)服務、默認共享和高危端口。4.4 惡意代碼防范應安裝防惡意代碼軟件或配置

4、具有相應功能的軟件，并定期進行升級和更新防惡意代碼庫。4.5 可信驗證可基于可信根對計算設備的系統(tǒng)引導程序、系統(tǒng)程序等進行可信驗證，并在檢測到其可信性受到破壞后進行報警。4.6 數(shù)據(jù)完整性應采用校驗技術保證重要數(shù)據(jù)在傳輸過程中的完整性。4.7 數(shù)據(jù)備份恢復應提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復功能。5 安全管理制度5.1 管理制度應建立日常管理活動中常用的安全管理制度。6 安全管理機構6.1 崗位設置應設立系統(tǒng)管理員等崗位，并定義各個工作崗位的職責。6.2 人員配備應配備一定數(shù)量的系統(tǒng)管理員。6.3 授權和審批應根據(jù)各個部門和崗位的職責明確授權審批事項。審批部門和批準人等。7 安全管理人員7.1

5、人員錄用應指定或授權專門的部門或人員負責人員錄用。7.2 人員離崗應及時終止離崗人員的所有訪問權限，取回各種身份證件、鑰匙、 微章等以及機構提供的軟硬件設備。7.3 安全意識教育和培訓應對各類人員進行安全意識教育和崗位技能培訓，并告知相關的安全責任和懲戒措施。7.4 外部人員訪問管理應保證在外部人員訪問受控區(qū)域前得到授權或審批。8 安全建設管理8.1 定級和備案應以書面的形式說明保護對象的安全保護等級及確定等級的方法和理由。8.2 安全方案設計應根據(jù)安全保護等級選擇基本安全措施，依據(jù)風險分析的結果補充和調整安全措施。8.3 產(chǎn)品采購和使用應確保網(wǎng)絡安全產(chǎn)品采購和使用符合國家的有關規(guī)定。8.4

6、工程實施應指定或授權專門的部門或人員負責工程實施過程的管理。8.5 測試驗收應進行安全性測試驗收。8.6 系統(tǒng)交付本項要求包括：a）應制定交付清單，并根據(jù)交付清單對所交接的設備、軟件和文檔等進行清點；b）應對負責運行維護的技術人員進行相應的技能培訓I。8.7 服務供應商選擇本項要求包括： a）應確保服務供應商的選擇符合國家的有關規(guī)定;b）應與選定的服務供應商簽訂與安全相關的協(xié)議，明確約定相關責任。9 安全運維管理9.1 環(huán)境管理本項要求包括：a）應指定專門的部門或人員負責機房安全，對機房出人進行管理，定期對機房供配電、空調、溫濕度控制、消防等設施進行維護管理；b）應對機房的安全管理做出規(guī)定，包

7、括物理訪問、物品進出和環(huán)境安全等方面。9.2 介質管理。應將介質存放在安全的環(huán)境中，對各類介質進行控制和保護，實行存儲環(huán)境專人管理，并根據(jù)存檔介質的目錄清單定期盤點。9.3 設備維護管理應對各種設備（包括備份和冗余設備）、線路等指定專門的部門或人員定期進行維護管理。9.4 漏洞和風險管理應采取必要的措施識別安全漏洞和隱患，對發(fā)現(xiàn)的安全漏洞和隱患及時進行修補或評估可能的影響后進行修補。9.5 網(wǎng)絡和系統(tǒng)安全管理本項要求包括：a）應劃分不同的管理員角色進行網(wǎng)絡和系統(tǒng)的運維管理，明確各個角色的責任和權限；b ） 應指定專門的部門或人員進行賬戶管理，對中請賬戶、建立賬戶、刪除賬戶等進行控制。9.6 惡意代碼防范管理本項要求包括：a ） 應提高所有用戶的防惡意代碼意識，對外來計算機或存儲設備接入系統(tǒng)前進行惡意代碼檢查等；b ）應對惡意代碼防范要求做出規(guī)定，包括防惡意代碼軟件的授權使用、惡意代碼庫升級。惡意代碼的定期查殺等。9.7 備份與恢復管理本項要求包括：a）應識別需要定期備份的重要業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；b）