網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0-通常要求-表格版

1、*網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第1部分：安全通用要求、技術(shù)要求基本要求A級(jí)第二級(jí)第三級(jí)第四級(jí)物理 和環(huán) 境安 全物理位置的選擇/a）機(jī)房場(chǎng)地應(yīng)選擇在具有防 震、防風(fēng)和防雨等能力的建筑 內(nèi)；b） 機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑 物的頂層或地卜室，否則應(yīng)加 強(qiáng)防水和防潮措施a）； b）；a）； b）；物理訪問控制a）機(jī)房出入口應(yīng)安排專人值 守或配置電子門禁系統(tǒng)，控制、 鑒別和記錄進(jìn)入的人員a）a）機(jī)房出入口應(yīng)配置電子門禁 系統(tǒng)，控制、鑒別和記錄進(jìn)入 的人員a）；b）重要區(qū)域應(yīng)配置第一道電 子門禁系統(tǒng)，控制、鑒別和記 錄進(jìn)入的人員防盜竊和防破壞a）應(yīng)將機(jī)房設(shè)備或主財(cái)B件 進(jìn)行固定，并設(shè)置明顯的不易 除去的標(biāo)記

2、a）；b）應(yīng)將通信線纜鋪設(shè)在隱蔽疝，可鋪設(shè)在地卜或管道中。a）；b）；c） 應(yīng)設(shè)置機(jī)房防盜報(bào)警系統(tǒng) 或設(shè)置有專人值守的視頻監(jiān)控 系統(tǒng)a）； b）； c）；防雷擊a）應(yīng)將各類機(jī)柜、設(shè)施和設(shè) 備等通過接地系統(tǒng)安全接地a）a）;b） 應(yīng)采取措施防止感應(yīng)雷， 例如設(shè)置防雷保安器或過壓保護(hù)裝置等a）； b）；防火a）機(jī)房應(yīng)設(shè)置火火設(shè)備a）機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防 系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自 動(dòng)報(bào)警，并自動(dòng)滅火；b）機(jī)房及相關(guān)的工作房間和 輔助房應(yīng)采用具有耐火等級(jí)的 建筑材料a）;b）；c） 應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管 理，區(qū)域和區(qū)域之間設(shè)置隔離 防火措施。a）； b）； c）；防水和防潮a)應(yīng)采取措施防止雨水

3、通過 機(jī)房窗戶、屋頂和墻壁滲透a)；b)應(yīng)采取措施防止機(jī)房?jī)?nèi)水 蒸氣結(jié)露和地下積水的轉(zhuǎn)移與 滲透a);b)；c) 應(yīng)安裝對(duì)水敏感的檢測(cè)儀 表或元件，對(duì)機(jī)房進(jìn)行防水檢 測(cè)和報(bào)警。a）； b）； c）；防靜電/a)應(yīng)安裝防靜電地板并采用 必要的接地防靜電措施a);b)應(yīng)采用措施防止靜電的產(chǎn) 生，例如采用靜電消除器、佩 戴防靜電手環(huán)等。a）； b）；溫濕度控制a) 機(jī)房應(yīng)設(shè)置必要的溫、濕 度控制設(shè)施，使機(jī)房溫、濕度 的變化在設(shè)備運(yùn)行所允許的范 圍之內(nèi)a)機(jī)房應(yīng)設(shè)置 溫濕度自動(dòng)調(diào)節(jié) 設(shè)施，使機(jī)房溫濕度的變化在 設(shè)備運(yùn)行所允許的范圍之內(nèi)a）；a）；電力供應(yīng)a)應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備

4、a)；b)應(yīng)提供短期的備用電力供 應(yīng)，至少滿足設(shè)備在斷電情況 下的正常運(yùn)行要求a);b)；c)應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電。a);b)；c)；d)應(yīng)提供應(yīng)急供電設(shè)施。電磁防護(hù)/a)電源線和通信線纜應(yīng)隔離 鋪設(shè)，避免互相干擾a);b) 應(yīng)對(duì)關(guān)鍵設(shè)備實(shí)施電磁屏 蔽。a);b)應(yīng)對(duì)關(guān)鍵設(shè)備或關(guān)鍵區(qū)域 實(shí)施電磁屏蔽。網(wǎng)絡(luò) 和通 信安 全網(wǎng)絡(luò)架構(gòu)a) 應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處 理能力滿足基本業(yè)務(wù)需要；b) 應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng) 絡(luò)的帶寬滿足基本業(yè)務(wù)需要。a) 應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處 理能力滿足業(yè)務(wù)高峰期需要；b) 應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng) 絡(luò)的帶寬滿足業(yè)務(wù)高峰期需 要；c) 應(yīng)劃分/、同

5、的網(wǎng)絡(luò)區(qū)域， 并按照方便管理和控制的原則 為各網(wǎng)絡(luò)區(qū)域分配地址；d) 應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部 署在網(wǎng)絡(luò)邊界處且沒有邊界防 護(hù)措施。a);b) 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶 寬滿足業(yè)務(wù)高峰期需要；c)；d)；e) 應(yīng)提供通信線路、關(guān)鍵網(wǎng) 絡(luò)設(shè)備的硬件冗余，保證系統(tǒng) 的可用性。a);c)；d)；e)；f) 應(yīng)可按照業(yè)務(wù)服務(wù)的重要 程度分配帶寬，優(yōu)先保障重要 業(yè)務(wù)。通信傳輸a)應(yīng)米用校驗(yàn)碼技術(shù)保證通信a）P a)應(yīng)米用校驗(yàn)碼技術(shù)或加解a）;過程中數(shù)據(jù)的完整性密技術(shù)保證通信過程中數(shù)據(jù)的 完整性；b） 應(yīng)采用加解密技術(shù)保證通 信過程中敏感信息字段或整個(gè) 報(bào)文的保密性。b）；c）應(yīng)在通/前基于管碼技術(shù) 對(duì)通信的

6、雙方進(jìn)行驗(yàn)證或認(rèn) 證；d）應(yīng)基于硬件設(shè)備對(duì)重要通 信過程進(jìn)行加解密運(yùn)算和密鑰 管理。邊界防護(hù)a）應(yīng)保證跨越邊界的訪問和數(shù) 據(jù)流通過邊界防護(hù)設(shè)備提供的 受控接口進(jìn)行通信a）a）；b）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自 聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；c） 應(yīng)能夠?qū)?nèi)部用戶非授權(quán) 聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；d） 應(yīng)限制無線網(wǎng)絡(luò)的使用， 確保無線網(wǎng)絡(luò)通過受控的邊界 防護(hù)設(shè)備接入內(nèi)部網(wǎng)絡(luò)。a）；b）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián) 到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查，并對(duì)其進(jìn)行有效阻斷； c）應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián) 到外部網(wǎng)絡(luò)的行為進(jìn)行限制或 檢查，并對(duì)其進(jìn)行有效阻斷；d）；e）應(yīng)能夠?qū)B接到內(nèi)部網(wǎng)絡(luò)的 設(shè)備進(jìn)行

7、可信驗(yàn)證，確保接入 網(wǎng)絡(luò)的設(shè)備真實(shí)可信。訪問控制a）應(yīng)在網(wǎng)絡(luò)邊界根據(jù)訪問控 制策略設(shè)置訪問控制規(guī)則，默 認(rèn)情況下除允許通信外受控接 口拒絕所有通信；b）應(yīng)刪除多余或無效的訪問 控制規(guī)則，優(yōu)化訪問控制列表， 并保證訪問控制規(guī)則數(shù)量最小 化；c） 應(yīng)對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn) 行檢查，以允許/拒絕數(shù)據(jù)包進(jìn) 出a） 應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控 制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信；b）；c）；d）應(yīng)能根據(jù)會(huì)話狀態(tài)信息為 數(shù)據(jù)流提供明確的允許/拒絕訪 問的能力，控制粒度為端口級(jí)a）；b）；c）；d）；e）應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行

8、過濾， 實(shí)現(xiàn)對(duì)內(nèi)容的訪問控制。a）；b）；c）應(yīng)不允許數(shù)據(jù)帶通用協(xié)議 通過。入侵防范/a）應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處監(jiān)視 網(wǎng)絡(luò)攻擊行為a） 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢 測(cè)、防止或限制從外部發(fā)起的a）； b）； c）；網(wǎng)絡(luò)攻擊行為；b) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè) 和限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊 行為；c) 應(yīng)米取技術(shù)措施對(duì)網(wǎng)絡(luò)行 為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊 特別是未知的新型網(wǎng)絡(luò)攻擊的 檢測(cè)和分析；d)當(dāng)檢測(cè)到攻擊行為時(shí)，記 錄攻擊源IP、攻擊類型、攻擊 目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警d）；惡意代碼防范/a) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡 意代碼進(jìn)行檢測(cè)和清除，并維 護(hù)惡意代碼防護(hù)機(jī)制的升級(jí)和 更新；b)

9、應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)垃 圾郵件進(jìn)行檢測(cè)和防護(hù)，并維 護(hù)垃圾郵件防護(hù)機(jī)制的升級(jí)和 更新a）； b）；安全審計(jì)/a)應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò) 節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋 到每個(gè)用戶，對(duì)重要的用戶行 為和重要安全事件進(jìn)行審計(jì)； b) 審計(jì)記錄應(yīng)包括事件的日 期和時(shí)間、用戶、事件類型、 事件是否成功及其他與審計(jì)相 關(guān)的信息；c) 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)， 定期備份，避免受到未預(yù)期的 刪除、修改或覆蓋等。a)；b)；c)；d) 審計(jì)記錄產(chǎn)生時(shí)的時(shí)間應(yīng) 由系統(tǒng)范圍內(nèi)唯一確定的時(shí)鐘 產(chǎn)生，以確保審計(jì)分析的正確 性；e) 應(yīng)能對(duì)遠(yuǎn)程訪問的用戶行 為、訪問互聯(lián)網(wǎng)的用戶行為等 單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析a）； b）；

10、 c）； d）；集中管控/a) 應(yīng)劃分出特定的管理區(qū)a）； b）;域，對(duì)分布在網(wǎng)絡(luò)中的安全設(shè)c）；備或安全組件進(jìn)行管控；b） 應(yīng)能夠建立一條安全的信 息傳輸路徑，對(duì)網(wǎng)絡(luò)中的安全 設(shè)備或安全組件進(jìn)行管理；c） 應(yīng)對(duì)網(wǎng)絡(luò)鏈路、安全設(shè)備、 網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測(cè)；d） 應(yīng)對(duì)分散在各個(gè)設(shè)備上的 審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析；e） 應(yīng)對(duì)安全策略、惡意代碼、 補(bǔ)丁升級(jí)等安全相關(guān)事項(xiàng)進(jìn)行 集中管理；f） 應(yīng)能對(duì)網(wǎng)絡(luò)中發(fā)生的各類 安全事件進(jìn)行識(shí)別、報(bào)警和分析。d）； e）； f）；a）應(yīng)對(duì)登錄的用戶進(jìn)行身份 標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯 一性，身份鑒別信息具有復(fù)雜a）；b）；c）當(dāng)進(jìn)行遠(yuǎn)程管

11、理時(shí)，應(yīng)采 取必要措施，防止鑒別信息在 網(wǎng)絡(luò)傳輸過程中被竊聽。a）； b）； c）；a）； b）； c）； d）；設(shè)備 和計(jì) 算安 全身份鑒別度要求升7E期更換；b） 應(yīng)具有登錄失敗處理功 能，應(yīng)配置并啟用結(jié)束會(huì)話、 限制非法登錄次數(shù)和當(dāng)?shù)卿涍B 接超時(shí)自動(dòng)退出等相關(guān)措施d） 應(yīng)采用兩種或兩種以上組 合的鑒別技術(shù)對(duì)用戶進(jìn)行身份 鑒別。訪問控制a） 應(yīng)對(duì)登錄的用戶分配賬號(hào) 和權(quán)限；b） 應(yīng)重命名默認(rèn)賬號(hào)或修改 就認(rèn)口令；c）應(yīng)及時(shí)刪除或停用多余 的、過期的賬號(hào)，避免共享賬 號(hào)的存在a）；b）；c）；d）應(yīng)授予管理用戶所需的最 小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限 分離a）；b）；c）；d）；e） 應(yīng)由授權(quán)主

12、體配置訪問控 制策略，訪問控制策略規(guī)定主 體對(duì)客體的訪問規(guī)則；a）；b）；c）；d）；e）；f）；g）應(yīng)對(duì)所有主體、客體設(shè)置f） 訪問控制的粒度應(yīng)達(dá)到主 體為用戶級(jí)或進(jìn)程級(jí)，客體為 文件、數(shù)據(jù)庫表級(jí)；g） 應(yīng)對(duì)敏感信息資源設(shè)置安 全標(biāo)記，并控制主體對(duì)有安全 標(biāo)記信息資源的訪問。安全標(biāo)記，并依據(jù)安全標(biāo)記和 強(qiáng)制訪問控制規(guī)則確定主體對(duì) 客體的訪問。安全審計(jì)/a）應(yīng)啟用安全審計(jì)功能，審 計(jì)覆蓋到每個(gè)用戶，對(duì)重要的 用戶行為和重要安全事件進(jìn)行 W;b） 審計(jì)記錄應(yīng)包括事件的日 期和時(shí)間、用戶、事件類型、 事件是否成功及其他與審計(jì)相 關(guān)的信息；c） 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)， 定期備份，避免受到未預(yù)期的 刪

13、除、修改或覆蓋等。a）；b）；c）；d） 應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)， 防止未經(jīng)授權(quán)的中斷；e） 審計(jì)記錄產(chǎn)生時(shí)的時(shí)間應(yīng) 由系統(tǒng)范圍內(nèi)唯一確定的時(shí)鐘 產(chǎn)生，以確保審計(jì)分析的正確 性a）；b）審計(jì)記錄應(yīng)包括事件的日 期、時(shí)間、類型、主體標(biāo)識(shí)、 客體標(biāo)識(shí)和結(jié)果等；c）；d）；e）。入侵防范a）系統(tǒng)應(yīng)遵循最小安裝的原 則，僅安裝需要的組件和應(yīng)用 程序；b）應(yīng)關(guān)閉不需要的系統(tǒng)服 務(wù)、默認(rèn)共享和高危端口a）；b）；c） 應(yīng)通過設(shè)定終端接入方式 或網(wǎng)絡(luò)地址范圍對(duì)通過網(wǎng)絡(luò)進(jìn) 行管理的管理終端進(jìn)行限制；d）應(yīng)能發(fā)現(xiàn)可能存在的漏 洞，并在經(jīng)過充分測(cè)試評(píng)估后， 及時(shí)修補(bǔ)漏洞a） ob）；c）；d）；e） 應(yīng)能夠檢測(cè)到對(duì)

14、重要下點(diǎn) 進(jìn)行入侵的行為，并在發(fā)生嚴(yán) 重入侵事件時(shí)提供報(bào)警。a）； b）； c）； d）； e）；惡意代碼防范a）應(yīng)安裝防惡意代碼軟件或 配置具有相應(yīng)功能的軟件，并 定期進(jìn)行升級(jí)和更新防惡意代 碼庫a）；a）應(yīng)米用免受惡意代碼攻擊的 技術(shù)措施或采用可信計(jì)算技術(shù) 建立從系統(tǒng)到應(yīng)用的信任鏈， 實(shí)現(xiàn)系統(tǒng)運(yùn)行過程中重要程序 或文件完整性檢測(cè)，并在檢測(cè) 到破壞后進(jìn)行恢復(fù)。a）；資源控制/a）應(yīng)限制單個(gè)用戶或進(jìn)程對(duì)a）；a）； 系統(tǒng)資源的最大使用限度b） 應(yīng)提供重要節(jié)點(diǎn)設(shè)備的硬 件冗余，保證系統(tǒng)的可用性； c） 應(yīng)對(duì)重要下點(diǎn)進(jìn)仃監(jiān)視， 包括監(jiān)視CPU、硬盤、內(nèi)存等 資源的使用情況；d） 應(yīng)能夠?qū)χ匾?jié)點(diǎn)的

15、服務(wù) 水平降低到預(yù)先規(guī)定的最小值 進(jìn)行檢測(cè)和報(bào)警。c）； d）；應(yīng)用 和數(shù) 據(jù)安 全身份鑒別a）應(yīng)對(duì)登錄的用戶進(jìn)行身份 標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯 一性，鑒別信息具有復(fù)雜度要 求并定期更換；b）應(yīng)提供并啟用登錄失敗處 理功能，多次登錄失敗后應(yīng)采 取必要的保護(hù)措施a）；b）；c） 應(yīng)強(qiáng)制用戶首次登錄時(shí)修 改初始口令；d）用戶身份鑒別信息丟失或 失效時(shí)，應(yīng)采用鑒別信息重置 或其他技術(shù)措施保證系統(tǒng)安全a）；b）；c）；d）；e） 應(yīng)對(duì)同一用戶采用兩種或 兩種以上組合的鑒別技術(shù)實(shí)現(xiàn) 用戶身份鑒別。a）；b）；c）；d）；e）；f）登錄用戶執(zhí)行重要操作時(shí)應(yīng)再次進(jìn)行身份鑒別。訪問控制a）應(yīng)提供訪問控制功能

16、，對(duì) 登錄的用戶分配賬號(hào)和權(quán)限；b） 應(yīng)重命名應(yīng)用系統(tǒng)默認(rèn)賬 號(hào)或修改這些賬號(hào)的默認(rèn)口 令；c）應(yīng)及時(shí)刪除或停用多余 的、過期的賬號(hào)，避免共享賬 號(hào)的存在a）； b）； c）；a）；b）；c）；d） 應(yīng)授予不同賬號(hào)為完成各 自承擔(dān)任務(wù)所需的最小權(quán)限， 并在它們之間形成相互制約的 關(guān)系；e） 應(yīng)由授權(quán)主體配置訪問控 制策略，訪問控制策略規(guī)定主 體對(duì)客體的訪問規(guī)則；f） 訪問控制的粒度應(yīng)達(dá)到主 體為用戶級(jí)，客體為文件、數(shù)據(jù)庫表級(jí)、記錄或字段級(jí)；g） 應(yīng)對(duì)敏感信息資源設(shè)置安 全標(biāo)記，并控制主體對(duì)有安全 標(biāo)記信息資源的訪問。a）；b）；c）；d）；e）；f）；g）應(yīng)對(duì)所有主體、客體設(shè)置 安全標(biāo)記，并依

17、據(jù)安全標(biāo)記和 強(qiáng)制訪問控制規(guī)則確定主體對(duì) 客體的訪問。安全審計(jì)/a）應(yīng)提供安全審計(jì)功能，審a）；a）；計(jì)覆蓋到每個(gè)用戶，對(duì)重要的 用戶行為和重要安全事件進(jìn)行 W;b） 審計(jì)記錄應(yīng)包括事件的日 期和時(shí)間、用戶、事件類型、 事件是否成功及其他與審計(jì)相 關(guān)的信息；c） 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)， 定期備份，避免受到未預(yù)期的 刪除、修改或覆蓋等b）；c）；d） 應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)， 防止未經(jīng)授權(quán)的中斷；e） 審計(jì)記錄產(chǎn)生時(shí)的時(shí)間應(yīng) 由系統(tǒng)范圍內(nèi)唯一確定的時(shí)鐘 產(chǎn)生，以確保審計(jì)分析的正確 性b）審計(jì)記錄應(yīng)包括事件的日 期、時(shí)間、類型、主體標(biāo)識(shí)、 客體標(biāo)識(shí)和結(jié)果等；c）；d）；e）。軟件容錯(cuò)a）應(yīng)提供數(shù)據(jù)有

18、效性檢驗(yàn)功 能，保證通過人機(jī)接口輸入或 通過通信接口輸入的內(nèi)容符合 系統(tǒng)設(shè)定要求a）；b） 在故障發(fā)生時(shí)，應(yīng)能夠繼 續(xù)提供一部分功能，確保能夠 實(shí)施必要的措施a）； b）；c）應(yīng)提供自動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有 狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。a）； b）； c）；資源控制/a） 當(dāng)通信雙方中的一方在一 段時(shí)間內(nèi)未作任何響應(yīng)，另一 方應(yīng)能夠自動(dòng)結(jié)束會(huì)話；b）應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā) 會(huì)話連接數(shù)進(jìn)行限制；c） 應(yīng)能夠?qū)蝹€(gè)賬號(hào)的多重 并發(fā)會(huì)話進(jìn)行限制a）；b）；c）；d）應(yīng)能夠?qū)Σl(fā)進(jìn)程的每個(gè)進(jìn)程占用的資源分配最大限者貝。a）； b）； c）； d）；數(shù)據(jù)完整性a）應(yīng)米用校驗(yàn)碼技術(shù)保證重

19、 要數(shù)據(jù)在傳輸過程中的完整性a）；a）應(yīng)米用校驗(yàn)碼技術(shù)或加解管 技術(shù)保證重要數(shù)據(jù)在傳輸過程 中的完整性；b） 應(yīng)米用校驗(yàn)碼技術(shù)或加解,'技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過程中的完整性。a）；b）；c）應(yīng)對(duì)重要數(shù)據(jù)傳輸提供專 用通信協(xié)議或安全通信協(xié)議， 避免來自基于通用通信協(xié)議的 攻擊破壞數(shù)據(jù)完整性。數(shù)據(jù)保密性/a） 應(yīng)米用加解號(hào)技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性；b） 應(yīng)米用加解留技術(shù)保證重a）;b）;c）應(yīng)對(duì)重要數(shù)據(jù)傳輸提供專 用通信協(xié)議或安全通信協(xié)議，要數(shù)據(jù)在存儲(chǔ)過程中的保密 性。避免來自基于通用通信協(xié)議的 攻擊破壞數(shù)據(jù)保密性。數(shù)據(jù)備份恢復(fù)a）應(yīng)提供重要數(shù)據(jù)的本地?cái)?shù) 據(jù)備份與恢復(fù)功能a）；

20、b）應(yīng)提供異地?cái)?shù)據(jù)備份功 能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù) 定時(shí)批量傳送至備用場(chǎng)地a）；b） 應(yīng)提供異地實(shí)時(shí)備份功 能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實(shí)時(shí)備份至備份場(chǎng)地；c） 應(yīng)提供重要數(shù)據(jù)處理系統(tǒng) 的熱冗余，保證系統(tǒng)的高可用性。a）；b）；c）；d）應(yīng)建立異地災(zāi)難備份中心，提供業(yè)務(wù)應(yīng)用的實(shí)時(shí)切換。剩余信息保護(hù)/a）應(yīng)保證鑒別信息所在的存 儲(chǔ)空間被釋放或重新分配 前得到完全清除a）；b） 應(yīng)保證存后敏感數(shù)據(jù)的存 儲(chǔ)空間被釋放或重新分配前得 到完全清除。a）； b）；個(gè)人信息保護(hù)/a）應(yīng)僅采集和保存業(yè)務(wù)必需 的用戶個(gè)人信息；b）應(yīng)禁止未授權(quán)訪問、使用 用戶個(gè)人信息a）； b）；a）； b）；、管理要求基本要求

21、A級(jí)第二級(jí)第三級(jí)第四級(jí)亞 策略 和管 理制 度安全策略/a）應(yīng)制定信息安全工作的總體 方針和安全策略，說明機(jī)構(gòu)安 全工作的總體目標(biāo)、范圍、原 則和安全框架等。a）；管理制度a）應(yīng)建立日常管理活動(dòng)中常用 的安全管理制度a）應(yīng)對(duì)安全管理活動(dòng)中的主 要管理內(nèi)容建立安全管理制 度；b）應(yīng)對(duì)要求管理人員或操作a）;b）；c） 應(yīng)形成由安全策略、管理 制度、操作規(guī)程、記錄表單等a）； b）； c）；人員執(zhí)行的日常管理操作建立 操作規(guī)程構(gòu)成的全面的信息安全管理制 度體系。制定和發(fā)布/a） 應(yīng)指正或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定；b）安全管理制度應(yīng)通過正 式、有效的方式發(fā)布，并進(jìn)行 版本控制a）；

22、 b）；a）； b）；評(píng)審和修訂/a）應(yīng)定期對(duì)安全管理制度的 合理性和適用性進(jìn)行論證和審 定，對(duì)存在不足或需要改進(jìn)的 安全管理制度進(jìn)行修訂a）a）；亞 管理 機(jī)構(gòu) 和人 員崗位設(shè)置c）應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管 理員、安全管理員等崗位，并 定義各個(gè)工作崗位的職責(zé)b）應(yīng)設(shè)立信息安全管理工作 的職能部門，設(shè)立安全主管、 安全管理各個(gè)方面的負(fù)責(zé)人崗 位，并定義各負(fù)責(zé)人的職責(zé) ； c）應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò) 管理員、安全管理員等崗位， 并定義部門 及各個(gè)工作崗位的 職責(zé)a）應(yīng)成立指導(dǎo)和管理信息安 全工作的委員會(huì)或領(lǐng)導(dǎo)小組， 其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委 任或授權(quán)；b）；c）；a）； b）； c）；人員配備

23、a）應(yīng)配備一定數(shù)量的系統(tǒng)管理 員、網(wǎng)絡(luò)管理員、安全管理員 等a）；a）；b）應(yīng)配備專職安全管理員，不口兼任。a）；b）；c）關(guān)鍵事務(wù)崗位應(yīng)配備多人共 同管理授權(quán)和審批a）應(yīng)根據(jù)各個(gè)部門和崗位的職 責(zé)明確授權(quán)審批事項(xiàng)、審批部 門和批準(zhǔn)人等a）；b） 應(yīng)針對(duì)系統(tǒng)變更、重要操 作、物理訪問和系統(tǒng)接入等事項(xiàng)執(zhí)行審批過程a）；b） 應(yīng)針對(duì)系統(tǒng)變更、重要操 作、物理訪問和系統(tǒng)接入等事項(xiàng)建立審批程序，按照審批程 序執(zhí)行審批過程，對(duì)重要活動(dòng) 建立逐級(jí)審批制度；c） 應(yīng)定期審查審批事項(xiàng)，及 時(shí)更新需授權(quán)和審批的項(xiàng)目、 審批部門和審批人等信息 。a）； b）； c）；溝通和合作/a）應(yīng)加強(qiáng)各類管理人員之 間、組織

24、內(nèi)部機(jī)構(gòu)之間以及信 息安全職能部門內(nèi)部的合作與 溝通，定期召開協(xié)調(diào)會(huì)議，共 同協(xié)作處理信息安全問題；b）應(yīng)加強(qiáng)與兄弟單位、公安 機(jī)關(guān)、各類供應(yīng)商、業(yè)界專家 及安全組織的合作與溝通； c）應(yīng)建立外聯(lián)單位聯(lián)系列 表，包括外聯(lián)單位名稱、合作 內(nèi)容、聯(lián)系人和聯(lián)系方式等信 息a）； b）； c）；b）； c）；審核和檢查/a）應(yīng)定期進(jìn)行常規(guī)安全檢查， 檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、 系統(tǒng)漏洞和數(shù)據(jù)備份等情況a）；b） 應(yīng)定期進(jìn)行全面安全檢 查，檢查內(nèi)容包括現(xiàn)有安全技 術(shù)措施的有效性、安全配置與 安全策略的一致性、安全管理 制度的執(zhí)行情況等；c） 應(yīng)制定安全檢查表格實(shí)施 安全檢查，匯總安全檢查數(shù)據(jù)， 形成安全

25、檢查報(bào)告，并對(duì)安全 檢查結(jié)果進(jìn)行通報(bào)。a）； b）； c）；人員錄用a）應(yīng)指正或授權(quán)專門的部門或 人員負(fù)責(zé)人員錄用a）；b）應(yīng)對(duì)被錄用人員的身份、 背景、專業(yè)資格和資質(zhì)等進(jìn)行審查a）；b）對(duì)被錄用人員的身份、背 景、專業(yè)資格和資質(zhì)等進(jìn)行審 查，對(duì)其所具有的技術(shù)技能進(jìn) 行有核；c） 應(yīng)與被錄用人員簽署保密 協(xié)議，與關(guān)鍵崗位人員簽署崗 位責(zé)任協(xié)議。a）；b）；c）；d）應(yīng)從內(nèi)部人員中選拔從事 關(guān)鍵崗位的人員。人員離崗a）應(yīng)及時(shí)終止離崗員工的所有 訪問權(quán)限，取回各種身份證件、a）；a）；b） 應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)，a）； b）；鑰匙、徽章等以及機(jī)構(gòu)提供的 軟硬件設(shè)備并承諾調(diào)離后的保密義務(wù)后方 口離開

26、O安全意識(shí)教育和培 訓(xùn)a）應(yīng)對(duì)各類人員進(jìn)行安全意識(shí) 教育和崗位技能培訓(xùn)，并告知 相關(guān)的安全責(zé)任和懲戒措施a）；a）；b） 應(yīng)針對(duì)小同崗位制定小同 的培訓(xùn)計(jì)劃，對(duì)信息安全基礎(chǔ) 知識(shí)、崗位操作規(guī)程等進(jìn)行培 訓(xùn)。a）； b）；外部人員訪問管理a）應(yīng)確保在外部人員訪問受控 區(qū)域前得到授權(quán)或?qū)徟鷄）應(yīng)確保在外部人員物理訪問受控區(qū)域前先提出書面申 請(qǐng)，批準(zhǔn)后由專人全程陪同， 并登記備案；b）應(yīng)確保在外部人員接入網(wǎng) 絡(luò)訪問系統(tǒng)前先提出書面申 請(qǐng)，批準(zhǔn)后由專人開設(shè)賬號(hào)、 分配權(quán)限，并登記備案；c）外部人員離場(chǎng)后應(yīng)及時(shí)清 除其所有的訪問權(quán)限a）；b）；c）；d）獲得系統(tǒng)訪問授權(quán)的外部 人員應(yīng)簽署保密協(xié)議，不得進(jìn)

27、 行非授權(quán)操作，不得復(fù)制和泄 露任何敏感信息。a）;b）；c）；d）；e）對(duì)關(guān)鍵區(qū)域或關(guān)鍵系統(tǒng)不 允許外部人員訪問。亞 建設(shè) 管理定級(jí)和備案a）應(yīng)明確保護(hù)對(duì)象的邊界和安 全保護(hù)等級(jí)a）應(yīng)以書面的形式說明保護(hù) 對(duì)象的邊界、安全保護(hù)等級(jí)及 確定等級(jí)的方法和理由；b）應(yīng)組織相關(guān)部門和有美安 全技術(shù)專豕對(duì)7E級(jí)結(jié)果的合理 性和正確性進(jìn)行論證和審定； c）應(yīng)確保定級(jí)結(jié)果經(jīng)過相關(guān) 部門的批準(zhǔn)；d）應(yīng)將備案材料報(bào)主管部門 和相應(yīng)公安機(jī)關(guān)備案a）； b）； c）； d）；a）; b）； c）； d）；安全方案設(shè)計(jì)a）應(yīng)根據(jù)安全保護(hù)等級(jí)選擇基 本安全措施，依據(jù)風(fēng)險(xiǎn)分析的 結(jié)果補(bǔ)充和調(diào)整安全措施a）；b）應(yīng)根據(jù)保

28、護(hù)對(duì)象的安全保 護(hù)等級(jí)進(jìn)行安全方案設(shè)計(jì)；c）應(yīng)組織相關(guān)部門和有美安 全專家對(duì)安全方案的合理性和a）；b） 應(yīng)根據(jù)保護(hù)對(duì)象的安全保 護(hù)等級(jí)及與其他級(jí)別保護(hù)對(duì)象 的關(guān)系進(jìn)行安全整體規(guī)劃和安全方案設(shè)計(jì)，并形成配套文件；a）; b）； c）；正確性進(jìn)行論證和審定，經(jīng)過 批準(zhǔn)后才能正式實(shí)施c） 應(yīng)組織相關(guān)部門和有美安 全專家對(duì)安全整體規(guī)劃及其配 套文件的合理性和正確性進(jìn)行 論證和審定，經(jīng)過批準(zhǔn)后才能 正式實(shí)施。產(chǎn)品采購和使用a）應(yīng)確保信息安全產(chǎn)品米購和 使用符合國(guó)家的有關(guān)規(guī)定a）；b）應(yīng)確保密他產(chǎn)品采購和使 用符合國(guó)家密碼主管部門的要 求a）；b）；c）應(yīng)切先對(duì)廣品進(jìn)行選型測(cè)試，確定產(chǎn)品的候選范圍，并

29、定期審定和更新候選廣品名 單。a）；b）；c）；d）應(yīng)對(duì)重要部位的廣品委托專業(yè)測(cè)評(píng)單位進(jìn)行專項(xiàng)測(cè)試， 根據(jù)測(cè)試結(jié)果選用產(chǎn)品。自行軟件開發(fā)/a）應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn) 行環(huán)境物理分開，測(cè)試數(shù)據(jù)和 測(cè)試結(jié)果受到控制；e）應(yīng)確保在軟件開發(fā)過程中 對(duì)安全性進(jìn)行測(cè)試，在軟件安 裝前對(duì)可能存在的惡意代碼進(jìn) 行檢測(cè)。a）；b） 應(yīng)制定軟件開發(fā)管理制 度，明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則；c） 應(yīng)制定代碼編寫安全規(guī) 范，要求開發(fā)人員參照規(guī)范編寫代碼；d） 應(yīng)確保具備軟件設(shè)計(jì)的相 關(guān)文檔和使用指南，并對(duì)文檔使用進(jìn)行控制；e）；f） 應(yīng)確保對(duì)程序資源庫的修 改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)，并嚴(yán)格進(jìn)行版本控制

30、；g） 應(yīng)確保開發(fā)人員為專職人 員，開發(fā)人員的開發(fā)活動(dòng)受到 控制、監(jiān)視和審查。a）； b）； c）； d）； e）； f）； g）；外包軟件開發(fā)/a）應(yīng)在軟件交付前檢測(cè)軟件 質(zhì)量和其中可能存在的惡意代 碼；b）應(yīng)要求開發(fā)單位提供軟件a）；b）；c） 應(yīng)要求開發(fā)單位提供軟件 源代碼，并審查軟件中可能存a）； b）； c）；設(shè)計(jì)文檔和使用指南在的后門和隱蔽信道。工程實(shí)施a）應(yīng)指正或授權(quán)專門的部門或 人員負(fù)責(zé)工程實(shí)施過程的管理a）；b）應(yīng)制定工程實(shí)施方案控制 安全工程實(shí)施過程a）；b）；c） 應(yīng)通過第三方工程監(jiān)理控 制項(xiàng)目的實(shí)施過程。a）;b）;c）；測(cè)試驗(yàn)收a）應(yīng)進(jìn)行安全性測(cè)試驗(yàn)收a）在制訂測(cè)試驗(yàn)

31、收方案，并 依據(jù)測(cè)試驗(yàn)收方案實(shí)施測(cè)試驗(yàn) 收，形成測(cè)試驗(yàn)收?qǐng)?bào)告；b）應(yīng)進(jìn)行上線前的安全性測(cè) 試，并出具安全測(cè)試報(bào)告a）； b）；a）;b）;系統(tǒng)交付a）應(yīng)根據(jù)交付清單對(duì)所交接 的設(shè)備、軟件和文檔等進(jìn)行清 點(diǎn)；b） 應(yīng)對(duì)負(fù)責(zé)運(yùn)行維護(hù)的技術(shù) 人員進(jìn)行相應(yīng)的技能培訓(xùn)a）；b）；c）應(yīng)確保提供建設(shè)過程中的 文檔和指導(dǎo)用戶進(jìn)行運(yùn)行維護(hù) 的文檔a）； b）； c）；a）;b）;c）；等級(jí)測(cè)評(píng)/a）應(yīng)定期進(jìn)行等級(jí)測(cè)評(píng)，發(fā) 現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要 求的及時(shí)整改；b）應(yīng)在發(fā)生重大變更或級(jí)別 發(fā)生變化時(shí)進(jìn)行等級(jí)測(cè)評(píng)；c）應(yīng)選擇具有國(guó)豕相關(guān)技術(shù) 資質(zhì)和安全資質(zhì)的測(cè)評(píng)單位進(jìn) 行等級(jí)測(cè)評(píng)a）； b）； c）；a）;b

32、）;c）；服務(wù)供應(yīng)商選擇a） 應(yīng)確保服務(wù)供應(yīng)商的選擇 符合國(guó)家的有關(guān)規(guī)定；b） 應(yīng)與選定的服務(wù)供應(yīng)商簽 訂與安全相關(guān)的協(xié)議，明確約 定相關(guān)責(zé)任a）；b）應(yīng)與選定的服務(wù)供應(yīng)商簽 訂相關(guān)協(xié)議，明確整個(gè)服務(wù)供 應(yīng)鏈各方需履行的信息安全相 關(guān)義務(wù)a）;b）;c） 應(yīng)定期監(jiān)視、評(píng)審和審核 服務(wù)供應(yīng)商提供的服務(wù)，并對(duì) 其父更服務(wù)內(nèi)容加以控制。a）;b）;c）；亞 運(yùn)維 管理環(huán)境管理a） 應(yīng)指定專門的部門或人員 負(fù)責(zé)機(jī)房安全，對(duì)機(jī)房出入進(jìn) 行管理，定期對(duì)機(jī)房供配電、 空調(diào)、溫濕度控制、消防等設(shè)a）；b）；c）應(yīng)不在重要區(qū)域接待來訪 人員和桌面上沒有包含敏感信a）； b）； c）；a）;b）;c）;d）應(yīng)對(duì)出

33、入人員進(jìn)行相應(yīng)級(jí)施進(jìn)行維護(hù)管理；b） 應(yīng)建立機(jī)房安全管理制 度，對(duì)有關(guān)機(jī)房物理訪問，物 品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境 安全等方面的管理作出規(guī)定息的紙檔文件、移動(dòng)介質(zhì)等別的授權(quán)，對(duì)進(jìn)入重要安全區(qū) 域的人員和活動(dòng)實(shí)時(shí)監(jiān)視等。資產(chǎn)管理/a）應(yīng)編制并保存與保護(hù)對(duì)象 相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé) 任部門、重要程度和所處位置 等內(nèi)容a）；b） 應(yīng)根據(jù)資產(chǎn)的重要程度對(duì) 資產(chǎn)進(jìn)行標(biāo)識(shí)管理，根據(jù)資產(chǎn) 的價(jià)值選擇相應(yīng)的管理措施；c） 應(yīng)對(duì)信息分類與標(biāo)識(shí)方法 作出規(guī)定，并對(duì)信息的使用、 傳輸和存儲(chǔ)等進(jìn)行規(guī)范化管 理。a）； b）； c）；介質(zhì)管理a）應(yīng)確保介質(zhì)存放仕安全的環(huán) 境中，對(duì)各類介質(zhì)進(jìn)行控制和 保護(hù)，實(shí)行存儲(chǔ)環(huán)

34、境專人管理， 并根據(jù)存檔介質(zhì)的目錄清單定 期盤點(diǎn)a）；b）應(yīng)對(duì)介質(zhì)在物理傳輸過程 中的人員選擇、打包、交付等 情況進(jìn)行控制，并對(duì)介質(zhì)的歸 檔和查詢等進(jìn)行登記記錄a）； b）；a）; b）；a）應(yīng)對(duì)各種設(shè)備（包括備份和 冗余設(shè)備）、線路等指定專門的 部門或人員定期進(jìn)行維護(hù)管理a）；b）應(yīng)建立配套設(shè)施、軟硬件 維護(hù)力卸的管理制度，對(duì)其維 護(hù)進(jìn)行有效的管理，包括明確 維護(hù)人員的責(zé)任、涉外維修和 服務(wù)的審批、維修過程的監(jiān)督 控制等a）；b）；c） 應(yīng)確保信息處理設(shè)備必須 經(jīng)過審批才能帶離機(jī)房或辦公 地點(diǎn)，含有存儲(chǔ)介質(zhì)的設(shè)備帶a）; b）； c）； d）；設(shè)備維護(hù)管理出，作環(huán)境時(shí)其中重要數(shù)據(jù)必 須加密；

35、d）含有存儲(chǔ)介質(zhì)的設(shè)備在報(bào) 廢或重用前，應(yīng)進(jìn)行完全清除 或被安全覆蓋，確保該設(shè)備上 的敏感數(shù)據(jù)和授權(quán)軟件無法被 恢復(fù)重用。漏洞和風(fēng)險(xiǎn)管理a）應(yīng)米取必要的措施識(shí)別安全 漏洞和隱患，對(duì)發(fā)現(xiàn)的安全漏a）；a）；b） 應(yīng)定期開展安全測(cè)評(píng)，形a）;b）:洞和隱患及時(shí)進(jìn)行修補(bǔ)或評(píng)估 可能的影響后進(jìn)行修補(bǔ)成安全測(cè)評(píng)報(bào)告，采取措施應(yīng) 對(duì)發(fā)現(xiàn)的安全問題。a) 應(yīng)劃分不同的管埋員角色a）；a）；a）；進(jìn)行網(wǎng)絡(luò)和系統(tǒng)的運(yùn)維管理，b）；b）；b）；明確各個(gè)角色的責(zé)任和權(quán)限；c)應(yīng)建立網(wǎng)絡(luò)和系統(tǒng)安全管c）；c）；b)應(yīng)指定專門的部門或人員理制度，對(duì)安全策略、賬號(hào)管d）；d）；進(jìn)行賬號(hào)管理，對(duì)申請(qǐng)賬號(hào)、理、配置管理、日志

36、管理、日e）；e）；建立賬號(hào)、刪除賬號(hào)等進(jìn)行控常操作、升級(jí)與打補(bǔ)丁、口令f) 應(yīng)嚴(yán)格控制變更性運(yùn)維，f）；制更新周期等方面作出規(guī)定；經(jīng)過審批后才可改變連接、安g）；d)應(yīng)制定重要設(shè)備的配置和裝系統(tǒng)組件或調(diào)整配置參數(shù)，h）；網(wǎng)絡(luò)和系統(tǒng)安全管 理操作手冊(cè)，依據(jù)手冊(cè)對(duì)設(shè)備進(jìn) 行安全配置和優(yōu)化配置等； e)應(yīng)詳細(xì)記錄運(yùn)維操作日 志，包括日常巡檢工作、運(yùn)行 維護(hù)記錄、參數(shù)的設(shè)置和修改 等內(nèi)容。操作過程中應(yīng)保留不PJ更改的 審計(jì)日志，操作結(jié)束后應(yīng)同步 更新配置信息庫；g) 應(yīng)嚴(yán)格控制運(yùn)維工具的使 用，經(jīng)過審批后才可接入進(jìn)行 操作，操作過程中應(yīng)保留/、可 更改的審計(jì)日志，操作結(jié)束后 應(yīng)刪除工具中的敏感數(shù)據(jù)；

37、h) 應(yīng)嚴(yán)格控制遠(yuǎn)程運(yùn)維的開 通，經(jīng)過審批后才可開通遠(yuǎn)程 運(yùn)維接口或通道，操作過程中 應(yīng)保留不口更改的審計(jì)日志， 操作結(jié)束后立即關(guān)閉接口或通 道；i) 應(yīng)保證所有與外部的連接均得到授權(quán)和批準(zhǔn)，應(yīng)定期檢查違反規(guī)定無線上網(wǎng)及其他違 反網(wǎng)絡(luò)安全策略的行為。i）；a)應(yīng)提高所有用戶的防惡意a）；a）；a）；代碼意識(shí)，告知對(duì)外來計(jì)算機(jī)b）；b） ；b）；惡忌代碼防氾營(yíng)埋或存儲(chǔ)設(shè)備接入系統(tǒng)前進(jìn)行惡 意代碼檢查等；c) 應(yīng)定期驗(yàn)證防范惡意代碼 攻擊的技術(shù)措施的有效性。c）；b） 應(yīng)對(duì)惡意代碼防范要求做 出規(guī)定，包括防惡意代碼軟件 的授權(quán)使用、惡意代碼庫升級(jí)、 惡意代碼的定期查殺等配置管理/a）應(yīng)記錄和保存基本配