2023年等級保護(hù)第二級基本要求

級別保護(hù)第二級基本規(guī)定實行建議殘留問題物理安全物理位置選取(G2)本項規(guī)定涉及:機(jī)房和辦公場地應(yīng)選取在具有防震、防風(fēng)和防雨等能力建筑內(nèi);物理訪問控制(G２)本項規(guī)定涉及:機(jī)房出入口應(yīng)安排專人值守,控制、鑒別和記錄進(jìn)入人員;需進(jìn)入機(jī)房來訪人員應(yīng)通過申請和審批環(huán)節(jié),并限制和監(jiān)控其活動范疇；防盜竊和防破壞（Ｇ2）本項規(guī)定涉及:應(yīng)將核心設(shè)備放置在機(jī)房內(nèi);應(yīng)將設(shè)備或核心部件進(jìn)行固定,并設(shè)立明顯不易除去標(biāo)記；應(yīng)將通信線纜鋪設(shè)在隱蔽處,可鋪設(shè)在地下或管道中;應(yīng)對介質(zhì)分類標(biāo)記,存儲在介質(zhì)庫或檔案室中；主機(jī)房應(yīng)安裝必須防盜報警設(shè)施防雷擊（G2)本項規(guī)定涉及:機(jī)房建筑應(yīng)設(shè)立避雷裝置;機(jī)房應(yīng)設(shè)立交流電源地線。防火(Ｇ２)本項規(guī)定涉及：機(jī)房應(yīng)設(shè)立滅火設(shè)備和火災(zāi)自動報警系統(tǒng)防水和防潮(G2)本項規(guī)定涉及:水管安裝，不得穿過機(jī)房屋頂和活動地板下;應(yīng)采用辦法防止雨水通過機(jī)房窗戶、屋頂和墻壁滲入;應(yīng)采用辦法防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水轉(zhuǎn)移和滲入;防靜電（Ｇ2）本項規(guī)定涉及：核心設(shè)備應(yīng)采用必須接地防靜電辦法；溫濕度控制（G2）機(jī)房應(yīng)設(shè)立溫、濕度自動調(diào)節(jié)設(shè)施,使機(jī)房溫、濕度變化在設(shè)備運營所允許范疇之內(nèi)。電力供應(yīng)（A２)本項規(guī)定涉及：應(yīng)在機(jī)房供電線路上配備穩(wěn)壓器和過電壓防護(hù)設(shè)備；應(yīng)提供短期備用電力供應(yīng)，至少滿足核心設(shè)備在斷電狀況下正常運營規(guī)定;電磁防護(hù)(S2）本項規(guī)定涉及：電源線和通信線纜應(yīng)隔離鋪設(shè),避免互相干擾；網(wǎng)絡(luò)安全構(gòu)造安全(G2)本項規(guī)定涉及：應(yīng)保證核心網(wǎng)絡(luò)設(shè)備業(yè)務(wù)解決能力具有冗余空間,滿足業(yè)務(wù)高峰期需要；應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)帶寬滿足業(yè)務(wù)高峰期需要；應(yīng)繪制和當(dāng)前運營狀況相符網(wǎng)絡(luò)拓?fù)錁?gòu)造圖;應(yīng)根據(jù)各部門工作職能、核心性和所涉及信息核心限度等因素,劃分不同樣子網(wǎng)或網(wǎng)段,并依照以便管理和控制原則為各子網(wǎng)、網(wǎng)段分派地址段；訪問控制(G２)本項規(guī)定涉及：應(yīng)在網(wǎng)絡(luò)邊界布置訪問控制設(shè)備,啟用訪問控制功能；應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確允許/回絕訪問能力,控制粒度為網(wǎng)段級；應(yīng)按顧客和系統(tǒng)之間允許訪問規(guī)則,決定允許或回絕顧客對受控系統(tǒng)進(jìn)行資源訪問,控制粒度為單個顧客;應(yīng)限制具有撥號訪問權(quán)限顧客數(shù)量。安全審計(G2)本項規(guī)定涉及:應(yīng)對網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備運營狀況、網(wǎng)絡(luò)流量、顧客行為等進(jìn)行日記記錄;審計記錄應(yīng)涉及：事件日期和時間、顧客、事件類型、事件與否成功及其他和審計有關(guān)信息；邊界完整性檢查(Ｓ2)本項規(guī)定涉及:應(yīng)可以對內(nèi)部網(wǎng)絡(luò)顧客擅自聯(lián)到外部網(wǎng)絡(luò)行為進(jìn)行檢查。入侵防范(G2)本項規(guī)定涉及:應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視如下襲擊行為:端口掃描、強(qiáng)力襲擊、木馬后門襲擊、回絕服務(wù)襲擊、緩沖區(qū)溢出襲擊、IP碎片襲擊和網(wǎng)絡(luò)蠕蟲襲擊等。網(wǎng)絡(luò)設(shè)備防護(hù)(Ｇ2)本項規(guī)定涉及：應(yīng)對登錄網(wǎng)絡(luò)設(shè)備顧客進(jìn)行身份鑒別；應(yīng)對網(wǎng)絡(luò)設(shè)備管理員登錄地址進(jìn)行限制;網(wǎng)絡(luò)設(shè)備顧客標(biāo)記應(yīng)唯一;身份鑒別信息應(yīng)具有不易被冒用特點,口令應(yīng)有復(fù)雜度規(guī)定并定期更換；應(yīng)具有登錄失敗解決功能，可采用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等辦法;當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時,應(yīng)采用必須辦法防止鑒別信息在網(wǎng)絡(luò)傳播過程中被竊聽;主機(jī)安全身份鑒別（S2）本項規(guī)定涉及:應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)顧客進(jìn)行身份標(biāo)記和鑒別;操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理顧客身份標(biāo)記應(yīng)具有不易被冒用特點,口令應(yīng)有復(fù)雜度規(guī)定并定期更換;應(yīng)啟用登錄失敗解決功能,可采用結(jié)束會話、限制非法登錄次數(shù)和自動退出等辦法;當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時，應(yīng)采用必須辦法,防止鑒別信息在網(wǎng)絡(luò)傳播過程中被竊聽;應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)不同樣顧客分派不同樣顧客名,保證顧客名具有唯一性。訪問控制(Ｓ2)本項規(guī)定涉及:應(yīng)啟用訪問控制功能，根據(jù)安全方略控制顧客對資源訪問；應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)顧客權(quán)限分離;應(yīng)嚴(yán)格限制默認(rèn)帳戶訪問權(quán)限,重命名系統(tǒng)默認(rèn)帳戶,修改這些帳戶默認(rèn)口令；應(yīng)及時刪除多余、過期帳戶，避免共享帳戶存在。安全審計(G2)本項規(guī)定涉及：審計范疇?wèi)?yīng)覆蓋到服務(wù)器每個操作系統(tǒng)顧客和數(shù)據(jù)庫顧客；審計內(nèi)容應(yīng)涉及核心顧客行為、系統(tǒng)資源異常使用和核心系統(tǒng)命令使用等系統(tǒng)內(nèi)核心安全有關(guān)事件;審計記錄應(yīng)涉及事件日期、時間、類型、主體標(biāo)記、客體標(biāo)記和成果等；應(yīng)保護(hù)審計記錄,避免受到未預(yù)期刪除、修改或覆蓋等。入侵防范（G２)本項規(guī)定涉及：操作系統(tǒng)應(yīng)遵循最小安裝原則，僅安裝需要組件和應(yīng)用程序,并通過設(shè)立升級服務(wù)器等辦法保持系統(tǒng)補丁及時得到更新。惡意代碼防范(G2)本項規(guī)定涉及:應(yīng)安裝防惡意代碼軟件,并及時更新防惡意代碼軟件版本和惡意代碼庫;應(yīng)支持防惡意代碼統(tǒng)一管理。資源控制(A２)本項規(guī)定涉及：應(yīng)通過設(shè)定終端接入辦法、網(wǎng)絡(luò)地址范疇等條件限制終端登錄;應(yīng)根據(jù)安全方略設(shè)立登錄終端操作超時鎖定;應(yīng)限制單個顧客對系統(tǒng)資源最大或最小使用限度；應(yīng)用安全身份鑒別(S2)本項規(guī)定涉及：應(yīng)提供專用登錄控制模塊對登錄顧客進(jìn)行身份標(biāo)記和鑒別；應(yīng)提供顧客身份標(biāo)記唯一和鑒別信息復(fù)雜度檢查功能,保證應(yīng)用系統(tǒng)中不存在反復(fù)顧客身份標(biāo)記,身份鑒別信息不易被冒用；應(yīng)提供登錄失敗解決功能,可采用結(jié)束會話、限制非法登錄次數(shù)和自動退出等辦法；應(yīng)啟用身份鑒別、顧客身份標(biāo)記唯一性檢查、顧客身份鑒別信息復(fù)雜度檢查和登錄失敗解決功能，并根據(jù)安全方略配備有關(guān)參數(shù)。訪問控制(S2)本項規(guī)定涉及:應(yīng)提供訪問控制功能,根據(jù)安全方略控制顧客對文獻(xiàn)、數(shù)據(jù)庫表等客體訪問；訪問控制覆蓋范疇?wèi)?yīng)涉及和資源訪問有關(guān)主體、客體及它們之間操作；應(yīng)由授權(quán)主體配備訪問控制方略,并嚴(yán)格限制默認(rèn)帳戶訪問權(quán)限；應(yīng)授予不同樣帳戶為完畢各自承擔(dān)任務(wù)所需最小權(quán)限，并在它們之間形成互相制約關(guān)系。安全審計（Ｇ２)本項規(guī)定涉及:應(yīng)提供覆蓋到每個顧客安全審計功能，相應(yīng)用系統(tǒng)核心安全事件進(jìn)行審計;應(yīng)保證無法刪除、修改或覆蓋審計記錄;審計記錄內(nèi)容至少應(yīng)涉及事件日期、時間、建議者信息、類型、描述和成果等；軟件容錯(A2)本項規(guī)定涉及:應(yīng)提供數(shù)據(jù)有效性檢查功能，保證通過人機(jī)接口輸入或通過通信接口輸入數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定規(guī)定;應(yīng)提供自動保護(hù)功能,當(dāng)故障發(fā)生時自動保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)可以進(jìn)行恢復(fù)。資源控制（A2)本項規(guī)定涉及:當(dāng)應(yīng)用系統(tǒng)通信雙方中一方在一段時間內(nèi)未作任何響應(yīng),另一方應(yīng)可以自動結(jié)束會話;應(yīng)可以對系統(tǒng)最大并發(fā)會話連接數(shù)進(jìn)行限制；應(yīng)可以對單個帳戶多重并發(fā)會話進(jìn)行限制;數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)完整性(Ｓ２)本項規(guī)定涉及:應(yīng)可以檢測到鑒別信息和核心業(yè)務(wù)數(shù)據(jù)在傳播過程中完整性受到破壞。數(shù)據(jù)保密性(S2）本項規(guī)定涉及:應(yīng)采用加密或其他保護(hù)辦法實現(xiàn)鑒別信息存儲保密性。備份和恢復(fù)(A2)本項規(guī)定涉及：應(yīng)可以對核心信息進(jìn)行備份和恢復(fù)應(yīng)提供核心網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)解決系統(tǒng)硬件冗余，保證系統(tǒng)可用性。;管理規(guī)定安全管理制度管理制度(G2)本項規(guī)定涉及:應(yīng)制定信息安全工作總體方針和安全方略，闡明機(jī)構(gòu)安全工作總體目的、范疇、原則和安全框架等;應(yīng)對安全管理活動中核心管理內(nèi)容建立安全管理制度;應(yīng)對規(guī)定管理人員或操作人員實行尋常管理操作建立操作規(guī)程；制定和發(fā)布（G２）本項規(guī)定涉及:應(yīng)指定或授權(quán)專門部門或人員負(fù)責(zé)安全管理制度制定；應(yīng)組織有關(guān)人員對制定安全管理制度進(jìn)行論證和審定；應(yīng)將安全管理制度以謀合辦法發(fā)布到有關(guān)人員中。評審和修訂（G2)本項規(guī)定涉及:應(yīng)定期對安全管理制度進(jìn)行評審,對踩在局限性或需求改善安全管理制度進(jìn)行修改。安全管理機(jī)構(gòu)崗位設(shè)立(G2)本項規(guī)定涉及：應(yīng)設(shè)立安全主管、安全管理各方面負(fù)責(zé)人崗位,并定義各負(fù)責(zé)人職責(zé)。應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位,并定義各個工作崗位職責(zé);人員配備(G2)本項規(guī)定涉及:應(yīng)配備一定數(shù)量系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等；安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等;授權(quán)和審批(G２）本項規(guī)定涉及:應(yīng)根據(jù)各個部門和崗位職責(zé)明確授權(quán)審批部門及批準(zhǔn)人、對系統(tǒng)投入運營、網(wǎng)絡(luò)系統(tǒng)接入和核心資源訪問等核心活動進(jìn)行審批；應(yīng)針對核心活動建立審批環(huán)節(jié),并由批準(zhǔn)人簽字?jǐn)M定;溝通和合作（G2)本項規(guī)定涉及:應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間和信息安全職能部門內(nèi)部合作和溝通;應(yīng)加強(qiáng)和兄弟單位、公安機(jī)關(guān)、電信公司合作和溝通。審核和檢查(G2)本項規(guī)定涉及:安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容涉及系統(tǒng)尋常運營、系統(tǒng)漏洞和數(shù)據(jù)備份等狀況；人員安全管理人員錄取(G２）本項規(guī)定涉及:應(yīng)指定或授權(quán)專門部門或人員負(fù)責(zé)人員錄取;應(yīng)規(guī)范人員錄取過程,對被錄取人身份、背景、專業(yè)資格等進(jìn)行審查,對其所具有技術(shù)技能進(jìn)行考核；應(yīng)和從事核心崗位人員訂立保密協(xié)議人員離崗（G2）本項規(guī)定涉及：應(yīng)規(guī)范人員離崗過程,及時終結(jié)離崗職工所有訪問權(quán)限；應(yīng)取回各種身份證件、鑰匙、徽章等和機(jī)構(gòu)提供軟硬件設(shè)備；應(yīng)辦理嚴(yán)格調(diào)離手續(xù)。人員考核(G２）本項規(guī)定涉及:應(yīng)定期對各個崗位人員進(jìn)行安全技能及安全認(rèn)知考核;安全意識教導(dǎo)和培訓(xùn)（Ｇ2）本項規(guī)定涉及:應(yīng)對各類人員進(jìn)行安全意識教導(dǎo)、崗位技能培訓(xùn)和有關(guān)安全技術(shù)培訓(xùn);應(yīng)告知有關(guān)人員，對違反違反安全方略和規(guī)定人員進(jìn)行懲戒;應(yīng)制定安全教導(dǎo)和培訓(xùn)籌劃，對信息安全基本知識、崗位操作規(guī)程等進(jìn)行培訓(xùn);外部人員訪問管理(G２)本項規(guī)定涉及:應(yīng)保證在外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟?，批?zhǔn)后由專人全程陪同或監(jiān)督，并登記備案系統(tǒng)建設(shè)管理系統(tǒng)定級(Ｇ２）本項規(guī)定涉及：應(yīng)明確信息系統(tǒng)邊界和安全保護(hù)級別；應(yīng)以書面形式闡明擬定信息系統(tǒng)為某個安全保護(hù)級別辦法和理由；應(yīng)保證信息系統(tǒng)定級成果通過有關(guān)部門批準(zhǔn)。安全方案設(shè)計(G2)本項規(guī)定涉及：應(yīng)根據(jù)系統(tǒng)安全保護(hù)級別選取基本安全辦法,并根據(jù)風(fēng)險分析成果補充和調(diào)節(jié)安全辦法;應(yīng)以書面形式描述對系統(tǒng)安全保護(hù)規(guī)定、方略和辦法等內(nèi)容，形成系統(tǒng)安全方案。應(yīng)對安全方案進(jìn)行細(xì)化,形成能懂得安全系統(tǒng)建設(shè)、安全產(chǎn)品采購和使用品體設(shè)計方案應(yīng)組織有關(guān)部門和有關(guān)安全技術(shù)專家對安全設(shè)計方案合理性和對的性及進(jìn)行論證和審定，并且通過批準(zhǔn)后，才干正式實行。產(chǎn)品采購和使用(G２)本項規(guī)定涉及:應(yīng)保證安全產(chǎn)品采購和使用符合國家有關(guān)規(guī)定;應(yīng)保證密碼產(chǎn)品采購和使用符合國家密碼主管部門規(guī)定;應(yīng)指定或授權(quán)專門部門負(fù)責(zé)產(chǎn)品采購;自行軟件開發(fā)（G2)本項規(guī)定涉及：應(yīng)保證開發(fā)環(huán)境和實際運營環(huán)境物理分開應(yīng)制定軟件開發(fā)管理制度,明確闡明開發(fā)過程控制辦法和人員行為準(zhǔn)則；應(yīng)保證提供軟件設(shè)計有關(guān)文檔和使用指南,并由專人負(fù)責(zé)保管。外包軟件開發(fā)（G2）本項規(guī)定涉及:應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì)量;應(yīng)保證提供軟件設(shè)計有關(guān)文檔和使用指南。應(yīng)在軟件安裝之前檢測軟件包中也許存在惡意代碼;應(yīng)規(guī)定開發(fā)單位提供軟件源代碼，并審查軟件中也許存在后門。工程實行(G2）本項規(guī)定涉及：應(yīng)指定或授權(quán)專門部門或人員負(fù)責(zé)工程實行過程管理;應(yīng)制定具體工程實行方案控制實行過程;測實驗收(G2）本項規(guī)定涉及：應(yīng)對系統(tǒng)進(jìn)行安全性測實驗收；在測實驗收前應(yīng)根據(jù)設(shè)計方案或協(xié)議規(guī)定等制定測實驗收方案,在測實驗收過程中應(yīng)具體記錄測實驗收成果,并形成測實驗收報告;應(yīng)組織有關(guān)部門和有關(guān)人員對系統(tǒng)測實驗收報告進(jìn)行審定，并簽字?jǐn)M定。系統(tǒng)交付（G2)本項規(guī)定涉及：應(yīng)制定系統(tǒng)交付清單，并根據(jù)交付清單對所交接設(shè)備、軟件和文檔等進(jìn)行清點;應(yīng)對負(fù)責(zé)系統(tǒng)運營維護(hù)技術(shù)人員進(jìn)行相應(yīng)技能培訓(xùn)；應(yīng)保證提供系統(tǒng)建設(shè)過程中文檔和指引顧客進(jìn)行系統(tǒng)運營維護(hù)文檔;安全服務(wù)商選?。ǎ?）本項規(guī)定涉及：應(yīng)保證安全服務(wù)商選取符合國家有關(guān)規(guī)定；應(yīng)和選定安全服務(wù)商訂立和安全有關(guān)協(xié)議,明確商定有關(guān)責(zé)任;應(yīng)保證選定安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必須和其訂立服務(wù)協(xié)議。系統(tǒng)運維管理環(huán)境管理(G2）本項規(guī)定涉及：應(yīng)指定專門部門或人員定期對機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理;應(yīng)配備機(jī)房安全管理人員，對機(jī)房出入、服務(wù)器開機(jī)或關(guān)機(jī)等工作進(jìn)行管理;應(yīng)建立機(jī)房安全管理制度,對有關(guān)機(jī)房物理訪問，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面管理作出規(guī)定;應(yīng)加強(qiáng)對辦公環(huán)境保密性管理，規(guī)范辦公環(huán)境人員行為，涉及工作人員調(diào)離辦公室應(yīng)及時交還該辦公室鑰匙、不在辦公區(qū)接待來訪人員等。資產(chǎn)管理（Ｇ2)本項規(guī)定涉及:應(yīng)編制并保存和信息系統(tǒng)有關(guān)資產(chǎn)清單,涉及資產(chǎn)責(zé)任部門、核心限度和所處位置等內(nèi)容；應(yīng)建立資產(chǎn)安全管理制度,規(guī)定信息系統(tǒng)資產(chǎn)管理負(fù)責(zé)人員或責(zé)任部門,并規(guī)范資產(chǎn)管理和使用行為；介質(zhì)管理(G2）本項規(guī)定涉及：應(yīng)保證介質(zhì)存儲在安全環(huán)境中,對各類介質(zhì)進(jìn)行控制和保護(hù)，并實行存儲環(huán)境專人管理；應(yīng)對介質(zhì)歸檔和查詢等進(jìn)行登記記錄,并根據(jù)存檔介質(zhì)目錄清單定期盤點;應(yīng)對需要送出維修或銷毀介質(zhì)，一方面清除其中敏感數(shù)據(jù),防止信息非法泄露。應(yīng)根據(jù)所承載數(shù)據(jù)和軟件核心限度對介質(zhì)進(jìn)行分類和標(biāo)記管理。設(shè)備管理(Ｇ２)本項規(guī)定涉及:應(yīng)對信息系統(tǒng)有關(guān)各種設(shè)備(涉及備份和冗余設(shè)備)、線路等指定專門部門或人員定期進(jìn)行維護(hù)管理；應(yīng)建立基于申報、審批和專人負(fù)責(zé)設(shè)備安全管理制度,對信息系統(tǒng)各種軟硬件設(shè)備選型、采購、發(fā)放和領(lǐng)用等過程進(jìn)行規(guī)范化管理;應(yīng)對終端計算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備操作和使用進(jìn)行規(guī)范化管理,按操作規(guī)程實現(xiàn)核心設(shè)備(涉及備份和冗余設(shè)備)啟動/停止、加電/斷電等操作;應(yīng)保證信息解決設(shè)備必須通過審批才干帶離機(jī)房或辦公地點。網(wǎng)絡(luò)安全管理本項規(guī)定涉及:應(yīng)指定人員對網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運營日記、網(wǎng)絡(luò)監(jiān)控記錄尋常維護(hù)和報警信息分析和解決工作應(yīng)建立網(wǎng)絡(luò)安全管理制度，對網(wǎng)絡(luò)安全配備、日記保存時間、安全方略、升級和打補丁、口令更新周期等方面做出規(guī)定；應(yīng)根據(jù)廠家提供軟件升級版本對網(wǎng)絡(luò)設(shè)備進(jìn)行更新,并在更新前對現(xiàn)相核心文獻(xiàn)進(jìn)行備份；應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描,對發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時修補;應(yīng)對網(wǎng)絡(luò)設(shè)備配備文獻(xiàn)進(jìn)行定期備份應(yīng)保證所有和外部系統(tǒng)連接均得到授權(quán)和批準(zhǔn)。系統(tǒng)安全管理(Ｇ２)本項規(guī)定涉及：應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析擬定系統(tǒng)訪問控制方略;應(yīng)定期進(jìn)行漏洞掃描,對發(fā)現(xiàn)系統(tǒng)安全漏洞及時進(jìn)行修補;應(yīng)安裝系統(tǒng)最新補丁程序,在安裝系統(tǒng)補丁前，一方面在測試環(huán)境中測試通過,并對核心文獻(xiàn)進(jìn)行備份后,方可實行系統(tǒng)補丁程序安裝;應(yīng)建立系統(tǒng)安全管理制度，對系統(tǒng)安全方略、安全配備、日記管理和尋常操作環(huán)節(jié)等方面作出具體規(guī)定;應(yīng)根據(jù)操作手冊對系統(tǒng)進(jìn)行維護(hù),具體記錄操作日記,涉及核心尋常操作、運營維護(hù)記錄、參數(shù)設(shè)立和修改等內(nèi)容,嚴(yán)禁進(jìn)行未經(jīng)授權(quán)操作;應(yīng)定期對運營日記和審計數(shù)據(jù)及進(jìn)行分析,以便及時發(fā)現(xiàn)異常行為。惡意代碼防范管理(G2)本項規(guī)定涉及：應(yīng)提高所有顧客防病毒意識，及時告知防病毒軟件版本,在讀取移動存儲設(shè)備上數(shù)據(jù)和網(wǎng)絡(luò)上接受文獻(xiàn)或郵件之前，優(yōu)秀行病毒檢查,對外來計算