二級等保標準

1、一、 技術求 技要項二級等保要求二等實方物理安全物理位置的選擇） 機和辦公場地選擇在具有防震、防風和防雨等能力的建筑內(nèi)。 機建設物理訪問控制防盜竊和防破壞防雷擊） 機房入口應專人值守，鑒別進入的人員身份并登記在; ） 應批進入機的來訪人員，限制和監(jiān)控其活動范） 應將要設備置在物理受限的范圍;） 應對備或主部件進行固定，并設置明顯的不易除去的標記； ） 應將信線纜設在隱蔽處，如鋪設在地下或管道中;） 應對質(zhì)分類識，存儲在介質(zhì)庫或檔案室;） 應安必要的盜報警設,防進入機房的盜竊和破壞行為。 ） 機房筑應設避雷裝置；） 應設交流電地線。門禁管理系統(tǒng)機房建設防雷系統(tǒng)防火） 應設滅火設和火災自動報警系統(tǒng)

2、持滅火設備和火災自動 消系統(tǒng) 報警系統(tǒng)的良好狀態(tài).防水和防潮防靜電） 水管裝，不穿過屋頂和活動地板;） 應對過墻壁樓板的水管增加必要的保護措施，如設置套; ） 應采措施防雨水通過屋頂和墻壁滲透；） 應采措施防室內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。 ） 應采必要的地等防靜電措施機房建設靜電地板技要項二等實方溫濕度） 應設溫、濕自動調(diào)節(jié)設施，使機房溫、濕度的變化在設備運行 機動力環(huán)監(jiān)控系控制電力供應電磁防護所允許的范圍之內(nèi)。） 計算系統(tǒng)供應與其他供電分;） 應設穩(wěn)壓器過電壓防護設備；） 應提短期的用電力供應（如 UPS 設） 應采接地方防止外界電磁干擾和設備寄生耦合干擾； ） 電源和通信纜應隔避免

3、互相干擾統(tǒng)UPS防電磁排插電機 柜網(wǎng)絡安全結(jié)構(gòu)安全與網(wǎng)段劃分） 網(wǎng)絡備的業(yè)處理能力應具備冗余空間滿足業(yè)務高峰期需 設備做好雙冗余 要；） 應設和繪制當前運行情況相符的網(wǎng)絡拓撲結(jié)構(gòu);） 應根機構(gòu)業(yè)的特點在滿足業(yè)務高峰期需要的基礎上合理設計網(wǎng)絡帶寬） 應在務終端業(yè)務服務器之間進行路由控制安全的訪問路徑） 應根各部門工作職能性及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；） 重要段應采網(wǎng)絡層地址與數(shù)據(jù)鏈路層地址綁定措施 止地址欺騙網(wǎng)絡訪問控制撥號訪） 應能據(jù)會話態(tài)信（包括數(shù)據(jù)包的源地址目地址源口 號、目的端口號、協(xié)議、出入的接口、會話序列號、發(fā)出信

4、息的主 機名等信息，并應支持地址通配符的使用數(shù)據(jù)流提供明確的 允許/拒絕訪問的能力。） 應在于安全性的允許遠程用戶對系統(tǒng)訪問的規(guī)則的基礎上防火墻VPN技要項問控制二等系統(tǒng)所有資源允許或拒絕用戶進行訪問，控制粒度為單個用; ） 應限具有撥訪問權限的用戶數(shù)量。實方網(wǎng)絡安全審計） 應對絡系統(tǒng)的網(wǎng)絡設備運行狀況絡流量用行為等事件 上行為管設備 進行日志記錄；） 對于一個事，其審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功，及其他與審計相關的信息。邊界完整性檢查） 應能檢測內(nèi)網(wǎng)絡中出現(xiàn)的內(nèi)部用戶未通過準許私自聯(lián)到外部 網(wǎng)絡的行為（即非外”行IDS入侵檢測網(wǎng)絡入侵防范） 應在絡邊界監(jiān)視以下

5、攻擊行為：端口掃描、強力攻擊后 IPS入侵防 門攻擊拒服務攻擊緩區(qū)出攻擊IP 碎攻擊網(wǎng)蠕蟲攻擊等入侵事件的發(fā)生。惡意代碼防范網(wǎng)絡設備防護） 應在絡邊界核心業(yè)務網(wǎng)段處對惡意代碼進行檢測和清除； ） 應維惡意代庫的升級和檢測系統(tǒng)的更新；） 應支惡意代防范的統(tǒng)一管理。） 應對錄網(wǎng)絡備的用戶進行身份鑒;） 應對絡設備管理員登錄地址進行限制；） 網(wǎng)絡備用戶標識應唯一；） 身份別信息具有不易被冒用的特點如口令長度雜和 定期的更新等；） 應具登錄失處理功,如:結(jié)束會話、限制非法登錄次數(shù)，當網(wǎng) 絡登錄連接超時自動退出。防毒墻維護堡壘機主機系統(tǒng)安全身份鑒別） 操作統(tǒng)和數(shù)庫管理系統(tǒng)用戶的身份標識應具有唯一; 1、

6、） 應對錄操作統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的用戶進行身份標識和鑒別； 、 ） 操作統(tǒng)和數(shù)庫管理系統(tǒng)身份鑒別信息應具有不易被冒用的特技要項自主訪問控制強制訪問控制安全審計二等點，例如口令長度、復雜性和定期的更新等；） 應具登錄失處理功能，如：結(jié)束會話、限制非法登錄次數(shù)，當 登錄連接超時，自動退出。） 應依安全策控制主體對客體的訪問；） 自主問控制覆蓋范圍應包括與信息安全直接相關的主體 及它們之間的操作；） 自主問控制粒度應達到主體為用戶級體為文件據(jù)表 級；） 應由權主體置對客體訪問和操作的權限；） 應嚴限制默用戶的訪問權限。無） 安全計應覆到服務器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；） 安全計應記系統(tǒng)內(nèi)重要

7、的安全相關事件重要用戶行為和 重要系統(tǒng)命令的使用;） 安全關事件記錄應包括日期和時間、類型、主體標識標 識、事件的結(jié)果等;） 審計錄應受保護避免受到未預期的刪除、修改或覆蓋等。實方VPN防火墻數(shù)據(jù)庫審計系統(tǒng)數(shù)據(jù)庫審計系統(tǒng)系統(tǒng)保護） 系統(tǒng)提供在理維護狀態(tài)中運行的能力維護狀態(tài)只能被系 數(shù)據(jù)存儲備， 統(tǒng)管理員使用。剩余信息保護） 應保操作系和數(shù)據(jù)庫管理系統(tǒng)用戶的鑒別信息所在的存儲空 間,被釋或再分配給其他用戶前得到完全清除，無論這些信息是 存放在硬盤上還是在內(nèi)存中；） 應確系統(tǒng)內(nèi)文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間， 被釋放或重新分配給其他用戶前得到完全清.VPN技要項二等實方入侵防范無網(wǎng)管系

8、統(tǒng)， IPS入防 御系統(tǒng)惡意代碼防范） 服務和重要端設包括移動設備安裝實時檢測和查殺惡 防毒墻殺毒軟件 意代碼的軟件產(chǎn)品;） 主機統(tǒng)防惡代碼產(chǎn)品應具有與網(wǎng)絡防惡意代碼產(chǎn)品不同的惡意代碼庫應用安全資源控制身份鑒別訪問控制） 應限單個用的會話數(shù);） 應通設定終接入方式、網(wǎng)絡地址范圍等條件限制終端登. ） 應用統(tǒng)用戶身份標識應具有唯一性；） 應對錄的用進行身份標識和鑒別；） 系統(tǒng)戶身份別信息應具有不易被冒用的特點，例如口令長度、 復雜性和定期的更新等；） 應具登錄失處理功能 如：結(jié)束會話、限制非法登錄次數(shù)，當 登錄連接超時，自動退.） 應依安全策控制用戶對客體的訪;） 自主問控制覆蓋范圍應包括與信息

9、安全直接相關的主體 及它們之間的操作；） 自主問控制粒度應達到主體為用戶級體為文件據(jù)表 級；） 應由權主體置用戶對系統(tǒng)功能操作和對數(shù)據(jù)訪問的權限；） 應實應用系特權用戶的權限分離將管理與審計的權限分 配給不同的應用系統(tǒng)用戶；） 權限離應采最小授權原則授予不同用戶各自為完成自己VPN、權限明確、建 議 統(tǒng) 一 身 份 認 證短信登錄等 方式、 位上字母、數(shù) 字、字符混合搭配、SESSION 時 效 明 確，超時自動退出防火墻技要項安全審計二等承擔任務所需的最小權,在它們之間形成相互制約的關系； ） 應嚴限制默用戶的訪問權.） 安全計應覆到應用系統(tǒng)的每個用戶；） 安全計應記應用系統(tǒng)重要的安全相關事

10、件 包括重要用戶行為 和重要系統(tǒng)功能的執(zhí)行等;） 安全關事件記錄應包括日期和時間、類型、主體標識標 識、事件的結(jié)果等；） 審計錄應受保護避免受到未預期的刪除、修改或覆蓋等。實方日志審計系統(tǒng)操作日志剩余信息保護） 應保用戶的別信息所在的存儲空間放或再分配給其他用 VPN 戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；） 應確系統(tǒng)內(nèi)文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清.通信完整性抗抵賴） 通信方應約單向的校驗碼算法 ,計算通信數(shù)據(jù)報文的校驗碼， 在進行通信時，雙方根據(jù)校驗碼判斷對方報文的有效.無VPN 加VPN通信保密性） 當通雙方中一方在

11、一段時間內(nèi)未作任何響應方應能夠自 VPN 動結(jié)束會話；） 在通雙方建連接之前，利用密碼技術進行會話初始化驗證；） 在通過程中應對敏感信息字段進行加密。軟件容錯） 應對過人機口輸入或通過通信接口輸入的數(shù)據(jù)進行有效性檢 驗） 應對過人機口方式進行的操作提回退功能允許按照操 作的序列進行回退；） 在故發(fā)生時續(xù)提供一部分功能保能夠?qū)嵤┍匾拇隫PN技要項資源控制代碼安全二等） 應限單個用的多重并發(fā)會;） 應對用系統(tǒng)最大并發(fā)會話連接數(shù)進行限制；） 應對個時間內(nèi)可能的并發(fā)會話連接數(shù)進行限制。 ） 應對用程序碼進行惡意代碼掃描；） 應對用程序碼進行安全脆弱性分.實方VPN防火墻數(shù)據(jù)安全數(shù)據(jù)完整性） 應能檢測到統(tǒng)管理數(shù)據(jù)別信息和用戶數(shù)據(jù)在傳輸過程中完 防墻 整性受到破壞；） 應能檢測到統(tǒng)管理數(shù)據(jù)別信息和用戶數(shù)據(jù)在存儲過程中完整性受到破壞。數(shù)據(jù)保密性數(shù)據(jù)備份和恢復） 網(wǎng)絡備、操系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應用系統(tǒng)的鑒別信息 感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)應采用加密