三級(jí)等保分項(xiàng)調(diào)查表

技術(shù)部分技術(shù)部分詳細(xì)以下表所表示（加黑部分為三級(jí)系統(tǒng)比二級(jí)系統(tǒng)增加基本技術(shù)要求要求）要求類別基本要求(三級(jí))處理方案物理安全物理位置選擇（G3）a) 機(jī)房和辦公場(chǎng)地應(yīng)選擇在具備防震、防風(fēng)和防雨等能力建筑內(nèi)；b) 機(jī)房場(chǎng)地應(yīng)防止設(shè)在建筑物高層或地下室，以及用水設(shè)備下層或隔壁。按照各自級(jí)別基本要求進(jìn)行物理位置選址。三級(jí)依照要求進(jìn)行樓層選擇。物理訪問(wèn)控制（G3）a) 機(jī)房出入口應(yīng)安排專員值守，控制、判別和統(tǒng)計(jì)進(jìn)入人員；b) 需進(jìn)入機(jī)房來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍；c) 應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在主要區(qū)域前設(shè)置交付或安裝等過(guò)渡區(qū)域；d) 主要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、判別和統(tǒng)計(jì)進(jìn)入人員。按照基本要求進(jìn)行人員配置，制訂管理制度；對(duì)進(jìn)出人員采取陪同或監(jiān)控設(shè)備進(jìn)行限制和監(jiān)控。三級(jí)依照要求加強(qiáng)對(duì)區(qū)域管理和主要區(qū)域控制力度。防偷竊和防破壞（G3）a) 應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi)；b) 應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置顯著不易除去標(biāo)識(shí)；c) 應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；d) 應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí)，存放在介質(zhì)庫(kù)或檔案室中；e) 應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)；f) 應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。按照基本要求進(jìn)行建設(shè)。制訂防偷竊防破壞相關(guān)管理制度。三級(jí)依照要求進(jìn)行光、電技術(shù)防盜報(bào)警系統(tǒng)配置。防雷擊（G3）a) 機(jī)房建筑應(yīng)設(shè)置避雷裝置；b) 應(yīng)設(shè)置防雷保安器，預(yù)防感應(yīng)雷；c) 機(jī)房應(yīng)設(shè)置交流電源地線。按照基本要求進(jìn)行建設(shè)。三級(jí)依照要求設(shè)置防雷保安器，預(yù)防感應(yīng)雷。防火（G3）a) 機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火；b) 機(jī)房及相關(guān)工作房間和輔助房應(yīng)采取具備耐火等級(jí)建筑材料；c) 機(jī)房應(yīng)采取區(qū)域隔離防火方法，將主要設(shè)備與其余設(shè)備隔離開(kāi)。按照基本要求進(jìn)行建設(shè)。三級(jí)依照要求進(jìn)行消防、耐火、隔離等方法。防水和防潮（G3）a) 水管安裝，不得穿過(guò)機(jī)房屋頂和活動(dòng)地板下；b) 應(yīng)采取方法預(yù)防雨水經(jīng)過(guò)機(jī)房窗戶、屋頂和墻壁滲透；c) 應(yīng)采取方法預(yù)防機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水轉(zhuǎn)移與滲透；d) 應(yīng)安裝對(duì)水敏感檢測(cè)儀表或元件，對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警。按照基本要求進(jìn)行建設(shè)。三級(jí)依照要求進(jìn)行防水檢測(cè)儀表安裝使用。防靜電（G3）a) 主要設(shè)備應(yīng)采取必要接地防靜電方法；b) 機(jī)房應(yīng)采取防靜電地板。按照基本要求進(jìn)行建設(shè)。三級(jí)依照要求安裝防靜電地板。溫濕度控制（G3）機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)整設(shè)施，使機(jī)房溫、濕度改變?cè)谠O(shè)備運(yùn)行所允許范圍之內(nèi)。配置空調(diào)系統(tǒng)。電力供給（A3）a) 應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；b) 應(yīng)提供短期備用電力供給，最少滿足主要設(shè)備在斷電情況下正常運(yùn)行要求；c) 應(yīng)設(shè)置冗余或并行電力電纜線路為計(jì)算機(jī)系統(tǒng)供電；d) 應(yīng)建立備用供電系統(tǒng)。配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；配置UPS系統(tǒng)。三級(jí)依照要求設(shè)置冗余或并行電力電纜線路，建立備用供電系統(tǒng)。電力供給（A2）a)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；b)提供短期備用電力供給，最少滿足主要設(shè)備在斷電情況下正常運(yùn)行要求。配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；配置UPS系統(tǒng)。電力供給（A1）應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；電磁防護(hù)（S3）a) 應(yīng)采取接地方式預(yù)防外界電磁干擾和設(shè)備寄生耦合干擾；b) 電源線和通信線纜應(yīng)隔離鋪設(shè)，防止相互干擾；c) 應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。按照基本要求進(jìn)行建設(shè)。三級(jí)依照要求進(jìn)行接地，關(guān)鍵設(shè)備和介質(zhì)電磁屏蔽?？刹扇‰姶鸥蓴_器、電磁屏蔽機(jī)柜等伎倆電磁防護(hù)（S2）無(wú)S1級(jí)要求電源線和通信線纜隔離鋪設(shè)，防止相互干擾；按照基本要求進(jìn)行電源線和通信線纜隔離鋪設(shè)。網(wǎng)絡(luò)安全結(jié)構(gòu)安全（G3）a) 應(yīng)確保主要網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；b) 應(yīng)確保網(wǎng)絡(luò)各個(gè)部分帶寬滿足業(yè)務(wù)高峰期需要；c) 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全訪問(wèn)路徑；d) 應(yīng)繪制與當(dāng)前運(yùn)行情況相符網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；e) 應(yīng)依照各部門工作職能、主要性和所包括信息主要程度等原因，劃分不一樣子網(wǎng)或網(wǎng)段，并按照方便管理和控制標(biāo)準(zhǔn)為各子網(wǎng)、網(wǎng)段分配地址段；f) 應(yīng)防止將主要網(wǎng)段布署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，主要網(wǎng)段與其余網(wǎng)段之間采取可靠技術(shù)隔離伎倆；g) 應(yīng)按照對(duì)業(yè)務(wù)服務(wù)主要次序來(lái)指定帶寬分配優(yōu)先級(jí)別，確保在網(wǎng)絡(luò)發(fā)生擁堵時(shí)候優(yōu)先保護(hù)主要主機(jī)。依照高峰業(yè)務(wù)流量，關(guān)鍵設(shè)備選擇高端設(shè)備，關(guān)鍵交換設(shè)備和接入設(shè)備帶寬能夠支撐業(yè)務(wù)高峰數(shù)據(jù)量，并采取雙機(jī)冗余配置方式。合理組網(wǎng)，繪制詳細(xì)網(wǎng)絡(luò)拓?fù)鋱D，依照業(yè)務(wù)、部門、信息系統(tǒng)類別等合理劃分子網(wǎng)、VLAN、安全域。三級(jí)依照要求在以下方面進(jìn)行加強(qiáng)設(shè)計(jì)：主要網(wǎng)絡(luò)設(shè)備處理能力以及各部分帶寬均需滿足業(yè)務(wù)高峰需要；合理規(guī)劃路由，在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑；規(guī)劃主要網(wǎng)段，在路由交換設(shè)備上配置ACL策略進(jìn)行隔離；網(wǎng)絡(luò)設(shè)備規(guī)劃帶寬優(yōu)先級(jí)，確保在網(wǎng)絡(luò)發(fā)生擁堵時(shí)候優(yōu)先保護(hù)主要主機(jī)。訪問(wèn)控制（G3）a) 應(yīng)在網(wǎng)絡(luò)邊界布署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功效；b) 應(yīng)能依照會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確允許/拒絕訪問(wèn)能力，控制粒度為端口級(jí)；c) 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)控制；d) 應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；e) 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；f) 主要網(wǎng)段應(yīng)采取技術(shù)伎倆預(yù)防地址坑騙；g) 應(yīng)按用戶和系統(tǒng)之間允許訪問(wèn)規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用戶；h) 應(yīng)限制具備撥號(hào)訪問(wèn)權(quán)限用戶數(shù)量。網(wǎng)絡(luò)邊界布署如：防火墻等隔離設(shè)備；依照基本要求對(duì)隔離設(shè)備以及網(wǎng)絡(luò)設(shè)備等制訂對(duì)應(yīng)ACL策略。包含：訪問(wèn)控制粒度、用戶數(shù)量等。三級(jí)依照要求在配置防火墻等隔離設(shè)備策略時(shí)要滿足對(duì)應(yīng)要求，包含：端口級(jí)控制粒度；常見(jiàn)應(yīng)用層協(xié)議命令過(guò)濾；會(huì)話控制；流量控制；連接數(shù)控制；防地址坑騙等。安全審計(jì)（G3）a) 應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備運(yùn)行情況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志統(tǒng)計(jì)；b) 審計(jì)統(tǒng)計(jì)應(yīng)包含：事件日期和時(shí)間、用戶、事件類型、事件是否成功及其余與審計(jì)相關(guān)信息；c) 應(yīng)能夠依照統(tǒng)計(jì)數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；d) 應(yīng)對(duì)審計(jì)統(tǒng)計(jì)進(jìn)行保護(hù)，防止受到未預(yù)期刪除、修改或覆蓋等。布署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，統(tǒng)計(jì)用戶網(wǎng)絡(luò)行為、網(wǎng)絡(luò)設(shè)備運(yùn)行情況、網(wǎng)絡(luò)流量等，審計(jì)統(tǒng)計(jì)包含事件日期和時(shí)間、用戶、事件類型、事件是否成功及其余與審計(jì)相關(guān)信息。三級(jí)依照要求加強(qiáng)審計(jì)功效，具備報(bào)表生成功效，同時(shí)采取日志服務(wù)器進(jìn)行審計(jì)統(tǒng)計(jì)保留，防止非正常刪除、修改或覆蓋。邊界完整性檢驗(yàn)（S3）a) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)行為進(jìn)行檢驗(yàn)，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；b) 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)行為進(jìn)行檢驗(yàn)，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。布署終端安全管理系統(tǒng)，啟用非法外聯(lián)監(jiān)控以及安全準(zhǔn)入功效進(jìn)行邊界完整性檢驗(yàn)。三級(jí)依照要求在檢測(cè)同時(shí)要進(jìn)行有效阻斷。邊界完整性檢驗(yàn)（S2）無(wú)S1級(jí)別要求應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)中出現(xiàn)內(nèi)部用戶未經(jīng)過(guò)準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)行為進(jìn)行檢驗(yàn)。布署終端安全管理系統(tǒng)，啟用非法外聯(lián)監(jiān)控以及安全準(zhǔn)入功效進(jìn)行邊界完整性檢驗(yàn)與控制。入侵防范（G3）a) 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等；b) 當(dāng)檢測(cè)到攻擊行為時(shí)，統(tǒng)計(jì)攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。布署入侵檢測(cè)系統(tǒng)進(jìn)行入侵行為進(jìn)行檢測(cè)。包含：端口掃描、強(qiáng)力攻擊、木馬后門攻擊等各類攻擊行為。三級(jí)依照要求配置入侵檢測(cè)系統(tǒng)日志模塊，統(tǒng)計(jì)統(tǒng)計(jì)攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間等相關(guān)信息，并經(jīng)過(guò)一定方式進(jìn)行告警。惡意代碼防范（G3）a) 應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和去除；b) 應(yīng)維護(hù)惡意代碼庫(kù)升級(jí)和檢測(cè)系統(tǒng)更新。三級(jí)系統(tǒng)在網(wǎng)絡(luò)邊界處布署UTM或AV、IPS網(wǎng)關(guān)進(jìn)行惡意代碼檢測(cè)與去除，并定時(shí)升級(jí)惡意代碼庫(kù)。升級(jí)方式依照與互聯(lián)網(wǎng)連接狀態(tài)采取在線或離線方式。網(wǎng)絡(luò)設(shè)備防護(hù)（G3）a) 應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備用戶進(jìn)行身份判別；b) 應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備管理員登錄地址進(jìn)行限制；c) 網(wǎng)絡(luò)設(shè)備用戶標(biāo)識(shí)應(yīng)唯一；d) 主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合判別技術(shù)來(lái)進(jìn)行身份判別；e) 身份判別信息應(yīng)具備不易被冒用特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定時(shí)更換；f) 應(yīng)具備登錄失敗處理功效，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等方法；g) 當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要方法預(yù)防判別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；h) 應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶權(quán)限分離。依照基本要求配置網(wǎng)絡(luò)設(shè)備本身身份判別與權(quán)限控制；包含：登陸地址、標(biāo)識(shí)符、口令復(fù)雜度（3種以上字符、長(zhǎng)度不少于8位）、失敗處理，傳輸加密等方面。對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固。三級(jí)依照要求對(duì)主要網(wǎng)絡(luò)設(shè)備實(shí)施雙原因認(rèn)證伎倆進(jìn)身份判別；對(duì)設(shè)備管理員等特權(quán)用戶進(jìn)行不一樣權(quán)限等級(jí)配置，實(shí)現(xiàn)權(quán)限分離。主機(jī)安全身份判別（S3）a) 應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶進(jìn)行身份標(biāo)識(shí)和判別；b) 操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具備不易被冒用特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定時(shí)更換；c) 應(yīng)啟用登錄失敗處理功效，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等方法；d) 當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要方法，預(yù)防判別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；e) 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)不一樣用戶分配不一樣用戶名，確保用戶名具備唯一性。f) 應(yīng)采取兩種或兩種以上組合判別技術(shù)對(duì)管理用戶進(jìn)行身份判別。依照基本要求配置用戶名/口令；采取3種以上字符、長(zhǎng)度不少于8位口令；啟用登陸失敗處理、傳輸加密等方法；確保用戶名唯一性。三級(jí)依照要求對(duì)主機(jī)管理員登錄時(shí)進(jìn)行雙原因身份判別（USBkey+密碼）。身份判別（S2）a) 應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶進(jìn)行身份標(biāo)識(shí)和判別；b) 操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具備不易被冒用特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定時(shí)更換；c) 應(yīng)啟用登錄失敗處理功效，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等方法；d) 當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要方法，預(yù)防判別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；e) 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)不一樣用戶分配不一樣用戶名，確保用戶名具備唯一性。依照基本要求對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)配置用戶名/口令；采取3種以上字符、長(zhǎng)度不少于8位口令；啟用登陸失敗處理、傳輸加密等方法；確保用戶名唯一性。身份判別（S1）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶進(jìn)行身份標(biāo)識(shí)和判別依照基本要求對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)配置用戶名/口令訪問(wèn)控制（S3）a) 應(yīng)啟用訪問(wèn)控制功效，依據(jù)安全策略控制用戶對(duì)資源訪問(wèn)；b) 應(yīng)依照管理用戶角色分配權(quán)限，實(shí)現(xiàn)管理用戶權(quán)限分離，僅授予管理用戶所需最小權(quán)限；c) 應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶權(quán)限分離；d) 應(yīng)嚴(yán)格限制默認(rèn)帳戶訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶默認(rèn)口令；e) 應(yīng)及時(shí)刪除多出、過(guò)期帳戶，防止共享帳戶存在。f) 應(yīng)對(duì)主要信息資源設(shè)置敏感標(biāo)識(shí)；g) 應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)識(shí)主要信息資源操作；依照基本要求進(jìn)行主機(jī)訪問(wèn)控制配置，包含：功效啟用、特權(quán)用戶權(quán)限分離、默認(rèn)賬號(hào)和口令修改，無(wú)用賬號(hào)去除等；經(jīng)過(guò)安全加固方法制訂嚴(yán)格用戶權(quán)限策略，確保賬號(hào)、口令等符合安全策略；三級(jí)依照要求對(duì)管理員進(jìn)行分級(jí)權(quán)限控制，并依照最小權(quán)限標(biāo)準(zhǔn)僅授予管理用戶所需最小權(quán)限。對(duì)主要信息（文件、數(shù)據(jù)庫(kù)等）進(jìn)行標(biāo)識(shí)，并設(shè)定訪問(wèn)控制策略進(jìn)行訪問(wèn)控制，實(shí)現(xiàn)強(qiáng)制訪問(wèn)控制。訪問(wèn)控制（S2）a) 應(yīng)啟用訪問(wèn)控制功效，依據(jù)安全策略控制用戶對(duì)資源訪問(wèn)；b) 應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶權(quán)限分離；c) 應(yīng)限制默認(rèn)帳戶訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶默認(rèn)口令；d) 應(yīng)及時(shí)刪除多出、過(guò)期帳戶，防止共享帳戶存在。依照基本要求進(jìn)行主機(jī)訪問(wèn)控制配置，包含：功效啟用、特權(quán)用戶權(quán)限分離、默認(rèn)賬號(hào)和口令修改，無(wú)用賬號(hào)去除等；經(jīng)過(guò)安全加固方法制訂嚴(yán)格用戶權(quán)限策略，確保賬號(hào)、口令等符合安全策略；訪問(wèn)控制（S1）a) 應(yīng)啟用訪問(wèn)控制功效，依據(jù)安全策略控制用戶對(duì)資源訪問(wèn)；b) 應(yīng)限制默認(rèn)帳戶訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶默認(rèn)口令；c) 應(yīng)及時(shí)刪除多出、過(guò)期帳戶，防止共享帳戶存在。依照基本要求進(jìn)行主機(jī)訪問(wèn)控制配置，包含：功效啟用、默認(rèn)賬號(hào)和口令修改，無(wú)用賬號(hào)去除等；經(jīng)過(guò)安全加固方法制訂嚴(yán)格用戶權(quán)限策略，確保賬號(hào)、口令等符合安全策略安全審計(jì)（G3）a) 審計(jì)范圍應(yīng)覆蓋到服務(wù)器和主要客戶端上每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；b) 審計(jì)內(nèi)容應(yīng)包含主要用戶行為、系統(tǒng)資源異常使用和主要系統(tǒng)命令使用等系統(tǒng)內(nèi)主要安全相關(guān)事件；c) 審計(jì)統(tǒng)計(jì)應(yīng)包含事件日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；d) 應(yīng)能夠依照統(tǒng)計(jì)數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；e) 應(yīng)保護(hù)審計(jì)進(jìn)程，防止受到未預(yù)期中止；f) 應(yīng)保護(hù)審計(jì)統(tǒng)計(jì)，防止受到未預(yù)期刪除、修改或覆蓋等。布署主機(jī)審計(jì)系統(tǒng)進(jìn)行文件操作審計(jì)、外掛設(shè)備操作審計(jì)、非法外聯(lián)審計(jì)、IP地址更改審計(jì)、服務(wù)與進(jìn)程審計(jì)等；依照基本要求統(tǒng)計(jì)用戶行為，資源情況等，審計(jì)統(tǒng)計(jì)包含事件日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果，并保護(hù)好審計(jì)結(jié)果。三級(jí)依照要求將審計(jì)范圍擴(kuò)大到主要客戶端；同時(shí)能夠生成審計(jì)報(bào)表。剩下信息保護(hù)（S3）a) 應(yīng)確保操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶判別信息所在存放空間，被釋放或再分配給其余用戶前得到完全去除，不論這些信息是存放在硬盤上還是在內(nèi)存中；b) 應(yīng)確保系統(tǒng)內(nèi)文件、目錄和數(shù)據(jù)庫(kù)統(tǒng)計(jì)等資源所在存放空間，被釋放或重新分配給其余用戶前得到完全去除。經(jīng)過(guò)對(duì)操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行安全加固配置，及時(shí)去除剩下信息存放空間。入侵防范（G3）a) 應(yīng)能夠檢測(cè)到對(duì)主要服務(wù)器進(jìn)行入侵行為，能夠統(tǒng)計(jì)入侵源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；b) 應(yīng)能夠?qū)χ饕绦蛲暾赃M(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具備恢復(fù)方法；c) 操作系統(tǒng)應(yīng)遵照最小安裝標(biāo)準(zhǔn)，僅安裝需要組件和應(yīng)用程序，并經(jīng)過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。布署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和主機(jī)入侵檢測(cè)系統(tǒng)，統(tǒng)計(jì)入侵行為并告警；依照基本要求經(jīng)過(guò)安全加固方法制加固系統(tǒng)；布署終端安全管理系統(tǒng)進(jìn)行補(bǔ)丁及時(shí)分發(fā)。三級(jí)依照要求配置IDS，檢測(cè)到對(duì)主要服務(wù)器進(jìn)行入侵行為，能夠統(tǒng)計(jì)入侵源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。對(duì)主要程序進(jìn)行代碼審查，去除漏洞，配置主機(jī)入侵檢測(cè)以及終端管理軟件進(jìn)行完整性檢測(cè)。惡意代碼防范（G3）a) 應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)；b) 主機(jī)防惡意代碼產(chǎn)品應(yīng)具備與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不一樣惡意代碼庫(kù)；c) 應(yīng)支持防惡意代碼統(tǒng)一管理。布署終端防惡意代碼軟件，及時(shí)進(jìn)行升級(jí)更新；進(jìn)行漏洞掃描，及時(shí)進(jìn)行系統(tǒng)補(bǔ)丁更新。三級(jí)依照要求將終端防惡意代碼軟件與邊界處網(wǎng)關(guān)設(shè)備進(jìn)行異構(gòu)布署。資源控制（A3）a) 應(yīng)經(jīng)過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；b) 應(yīng)依照安全策略設(shè)置登錄終端操作超時(shí)鎖定；c) 應(yīng)對(duì)主要服務(wù)器進(jìn)行監(jiān)視，包含監(jiān)視服務(wù)器CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源使用情況；d) 應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源最大或最小使用程度；e) 應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先要求最小值進(jìn)行檢測(cè)和報(bào)警。依照基本要求經(jīng)過(guò)安全加固方法制進(jìn)行限定；布署應(yīng)用安全管理系統(tǒng)（APM）進(jìn)行資源監(jiān)控。三級(jí)依照要求經(jīng)過(guò)安全加固，對(duì)主要服務(wù)器進(jìn)行監(jiān)視，包含監(jiān)視服務(wù)器CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源使用情況，對(duì)系統(tǒng)服務(wù)相關(guān)閾值進(jìn)行檢測(cè)告警。資源控制（A2）無(wú)A1級(jí)別要求a) 應(yīng)經(jīng)過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；b) 應(yīng)依照安全策略設(shè)置登錄終端操作超時(shí)鎖定；c) 應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源最大或最小使用程度。依照基本要求經(jīng)過(guò)安全加固方法制進(jìn)行限定；布署應(yīng)用監(jiān)控管理系統(tǒng)進(jìn)行資源監(jiān)控。應(yīng)用安全身份判別（S3）a) 應(yīng)提供專用登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和判別；b) 應(yīng)對(duì)同一用戶采取兩種或兩種以上組合判別技術(shù)實(shí)現(xiàn)用戶身份判別；c) 應(yīng)提供用戶身份標(biāo)識(shí)唯一和判別信息復(fù)雜度檢驗(yàn)功效，確保應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份判別信息不易被冒用；d) 應(yīng)提供登錄失敗處理功效，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等方法；e) 應(yīng)啟用身份判別、用戶身份標(biāo)識(shí)唯一性檢驗(yàn)、用戶身份判別信息復(fù)雜度檢驗(yàn)以及登錄失敗處理功效，并依照安全策略配置相關(guān)參數(shù)。依照基本要求配置用戶名/口令；采取3種以上字符、長(zhǎng)度不少于8位口令；設(shè)計(jì)登陸失敗處理方法，采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等方法；確保系統(tǒng)用戶名唯一性。三級(jí)依照要求進(jìn)行雙原因認(rèn)證或采取CA系統(tǒng)進(jìn)行身份判別。身份判別（S2）a) 應(yīng)提供專用登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和判別；b) 應(yīng)提供用戶身份標(biāo)識(shí)唯一和判別信息復(fù)雜度檢驗(yàn)功效，確保應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份判別信息不易被冒用；c) 應(yīng)提供登錄失敗處理功效，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等方法；d) 應(yīng)啟用身份判別、用戶身份標(biāo)識(shí)唯一性檢驗(yàn)、用戶身份判別信息復(fù)雜度檢驗(yàn)以及登錄失敗處理功效，并依照安全策略配置相關(guān)參數(shù)。依照基本要求配置用戶名/口令；采取3種以上字符、長(zhǎng)度不少于8位口令；設(shè)計(jì)登陸失敗處理方法，采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等方法；確保系統(tǒng)用戶名唯一性。身份判別（S1）a) 應(yīng)提供專用登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和判別；b) 應(yīng)提供登錄失敗處理功效，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等方法；c) 應(yīng)啟用身份判別和登錄失敗處理功效，并依照安全策略配置相關(guān)參數(shù)。依照基本要求配置用戶名/口令；設(shè)計(jì)登陸失敗處理方法，采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等方法；訪問(wèn)控制（S3）a) 應(yīng)提供訪問(wèn)控制功效，依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體訪問(wèn)；b) 訪問(wèn)控制覆蓋范圍應(yīng)包含與資源訪問(wèn)相關(guān)主體、客體及它們之間操作；c) 應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，并嚴(yán)格限制默認(rèn)帳戶訪問(wèn)權(quán)限；d) 應(yīng)授予不一樣帳戶為完成各自負(fù)擔(dān)任務(wù)所需最小權(quán)限，并在它們之間形成相互制約關(guān)系。e) 應(yīng)具備對(duì)主要信息資源設(shè)置敏感標(biāo)識(shí)功效；f) 應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)識(shí)主要信息資源操作；依照基本要求進(jìn)行訪問(wèn)控制配置，包含：權(quán)限定義、默認(rèn)賬號(hào)權(quán)限管理、控制粒度確實(shí)定等；經(jīng)過(guò)安全加固方法制訂嚴(yán)格用戶權(quán)限策略，確保賬號(hào)、口令等符合安全策略；經(jīng)過(guò)防火墻制訂符合基本要求ACL策略。三級(jí)依照要求依照系統(tǒng)主要資源標(biāo)識(shí)以及定義安全策略進(jìn)行嚴(yán)格訪問(wèn)控制。訪問(wèn)控制（S2）a) 應(yīng)提供訪問(wèn)控制功效，依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體訪問(wèn)；b) 訪問(wèn)控制覆蓋范圍應(yīng)包含與資源訪問(wèn)相關(guān)主體、客體及它們之間操作；c) 應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，并嚴(yán)格限制默認(rèn)帳戶訪問(wèn)權(quán)限；d) 應(yīng)授予不一樣帳戶為完成各自負(fù)擔(dān)任務(wù)所需最小權(quán)限，并在它們之間形成相互制約關(guān)系。依照基本要求進(jìn)行訪問(wèn)控制配置，包含：權(quán)限定義、默認(rèn)賬號(hào)權(quán)限管理、控制粒度確實(shí)定等；經(jīng)過(guò)安全加固方法制訂嚴(yán)格用戶權(quán)限策略，確保賬號(hào)、口令等符合安全策略；經(jīng)過(guò)防火墻制訂符合基本要求ACL策略。訪問(wèn)控制（S1）a) 應(yīng)提供訪問(wèn)控制功效控制用戶組/用戶對(duì)系統(tǒng)功效和用戶數(shù)據(jù)訪問(wèn)；b) 應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，并嚴(yán)格限制默認(rèn)用戶訪問(wèn)權(quán)限依照基本要求進(jìn)行訪問(wèn)控制配置，包含：權(quán)限定義、默認(rèn)賬號(hào)權(quán)限管理、控制粒度確實(shí)定等。安全審計(jì)（G3）a) 應(yīng)提供覆蓋到每個(gè)用戶安全審計(jì)功效，對(duì)應(yīng)用系統(tǒng)主要安全事件進(jìn)行審計(jì)；b) 應(yīng)確保無(wú)法單獨(dú)中止審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)統(tǒng)計(jì)；c) 審計(jì)統(tǒng)計(jì)內(nèi)容最少應(yīng)包含事件日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等；d) 應(yīng)提供對(duì)審計(jì)統(tǒng)計(jì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表功效。應(yīng)用系統(tǒng)開(kāi)發(fā)應(yīng)用審計(jì)功效，依照基本要求統(tǒng)計(jì)系統(tǒng)主要安全事件日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等，并保護(hù)好審計(jì)結(jié)果。布署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)對(duì)用戶行為、用戶事件及系統(tǒng)狀態(tài)加以審計(jì)，從而把握數(shù)據(jù)庫(kù)系統(tǒng)整體安全。三級(jí)依照要求不但生成審計(jì)統(tǒng)計(jì)，還要對(duì)審計(jì)統(tǒng)計(jì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表。剩下信息保護(hù)（S3）a) 應(yīng)確保用戶判別信息所在存放空間被釋放或再分配給其余用戶前得到完全去除，不論這些信息是存放在硬盤上還是在內(nèi)存中；b) 應(yīng)確保系統(tǒng)內(nèi)文件、目錄和數(shù)據(jù)庫(kù)統(tǒng)計(jì)等資源所在存放空間被釋放或重新分配給其余用戶前得到完全去除。經(jīng)過(guò)對(duì)操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行安全加固配置，及時(shí)去除剩下信息存放空間。通信完整性（S3）應(yīng)采取密碼技術(shù)確保通信過(guò)程中數(shù)據(jù)完整性。應(yīng)用系統(tǒng)開(kāi)發(fā)數(shù)據(jù)完整性校驗(yàn)功效，采取消息摘要機(jī)制確保完整性校驗(yàn)；采取密碼機(jī)或PKI體系中完整性校驗(yàn)功效進(jìn)行完整性檢驗(yàn)，保障通信完整性。通信完整性（S2）應(yīng)采取校驗(yàn)碼技術(shù)確保通信過(guò)程中數(shù)據(jù)完整性。應(yīng)用系統(tǒng)開(kāi)發(fā)數(shù)據(jù)完整性校驗(yàn)功效，采取消息摘要機(jī)制確保完整性校驗(yàn)；采取密碼機(jī)或PKI體系中完整性校驗(yàn)功效進(jìn)行完整性檢驗(yàn)，保障通信完整性。通信完整性（S1）應(yīng)采取約定通信會(huì)話方式方法確保通信過(guò)程中數(shù)據(jù)完整性應(yīng)用系統(tǒng)開(kāi)發(fā)約定通信會(huì)話方式方法確保通信過(guò)程中數(shù)據(jù)完整性。通信保密性（S3）a) 在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；b) 應(yīng)對(duì)通信過(guò)程中整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密。應(yīng)用系統(tǒng)本身開(kāi)發(fā)數(shù)據(jù)加密功效；采取密碼機(jī)或PKI體系加密功效保障通信保密性。三級(jí)依照要求需要整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密。通信保密性（S2）無(wú)S1級(jí)別要求a) 在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；b) 應(yīng)對(duì)通信過(guò)程中敏感信息字段進(jìn)行加密。應(yīng)用系統(tǒng)本身開(kāi)發(fā)數(shù)據(jù)加密功效；采取密碼機(jī)或PKI體系加密功效保障通信保密性?？沟仲嚕℅3）a) 應(yīng)具備在請(qǐng)求情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)功效；b) 應(yīng)具備在請(qǐng)求情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)功效。應(yīng)用PKI體系數(shù)字署名功效提供抗抵賴功效。軟件容錯(cuò)（A3）a) 應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功效，確保經(jīng)過(guò)人機(jī)接口輸入或經(jīng)過(guò)通信接口輸入數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求；b) 應(yīng)提供自動(dòng)保護(hù)功效，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前全部狀態(tài)，確保系統(tǒng)能夠進(jìn)行恢復(fù)。進(jìn)行代碼審核，對(duì)輸入數(shù)據(jù)進(jìn)行檢驗(yàn)，確保符合要求；三級(jí)依照要求系統(tǒng)具備自動(dòng)保護(hù)功效設(shè)計(jì)，故障后能夠恢復(fù)。軟件容錯(cuò)（A2）a) 應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功效，確保經(jīng)過(guò)人機(jī)接口輸入或經(jīng)過(guò)通信接口輸入數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求；b) 在故障發(fā)生時(shí)，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功效，確保能夠?qū)嵤┍匾椒?。進(jìn)行代碼審核，對(duì)輸入數(shù)據(jù)進(jìn)行檢驗(yàn)，確保符合要求；具備自動(dòng)保護(hù)功效設(shè)計(jì)，故障后能夠恢復(fù)。軟件容錯(cuò)（A1）應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功效，確保經(jīng)過(guò)人機(jī)接口輸入或經(jīng)過(guò)通信接口輸入數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求。進(jìn)行代碼審核，對(duì)輸入數(shù)據(jù)進(jìn)行檢驗(yàn)，確保符合要求。資源控制（A3）a) 當(dāng)應(yīng)用系統(tǒng)通信雙方中一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話；b) 應(yīng)能夠?qū)ο到y(tǒng)最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制；c) 應(yīng)能夠?qū)蝹€(gè)帳戶多重并發(fā)會(huì)話進(jìn)行限制；d) 應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能并發(fā)會(huì)話連接數(shù)進(jìn)行限制；e) 應(yīng)能夠?qū)σ粋€(gè)訪問(wèn)帳戶或一個(gè)請(qǐng)求進(jìn)程占用資源分配最大限額和最小限額；f) 應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先要求最小值進(jìn)行檢測(cè)和報(bào)警；g) 應(yīng)提供服務(wù)優(yōu)先級(jí)設(shè)定功效，并在安裝后依照安全策略設(shè)定訪問(wèn)帳戶或請(qǐng)求進(jìn)程優(yōu)先級(jí)，依照優(yōu)先級(jí)分配系統(tǒng)資源。經(jīng)過(guò)安全加固方法制進(jìn)行系統(tǒng)資源限定（并發(fā)、會(huì)話、存放空間等）；布署應(yīng)用安全管理系統(tǒng)進(jìn)行資源監(jiān)控。三級(jí)依照要求細(xì)化加固方法，對(duì)并發(fā)連接、資源配額、系統(tǒng)服務(wù)相關(guān)閾值、系統(tǒng)服務(wù)優(yōu)先級(jí)等進(jìn)行限制和管理。資源控制（A2）無(wú)A1級(jí)別要求a) 當(dāng)應(yīng)用系統(tǒng)通信雙方中一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話；b) 應(yīng)能夠?qū)?yīng)用系統(tǒng)最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制；c) 應(yīng)能夠?qū)蝹€(gè)帳戶多重并發(fā)會(huì)話進(jìn)行限制。經(jīng)過(guò)安全加固方法制進(jìn)行系統(tǒng)資源限定（并發(fā)、會(huì)話、存放空間等）；布署應(yīng)用監(jiān)控管理系統(tǒng)進(jìn)行資源監(jiān)控。數(shù)據(jù)安全與備份恢復(fù)數(shù)據(jù)完整性（S3）a) 應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、判別信息和主要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要恢復(fù)方法；b) 應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、判別信息和主要業(yè)務(wù)數(shù)據(jù)在存放過(guò)程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要恢復(fù)方法。應(yīng)用系統(tǒng)采取數(shù)據(jù)校驗(yàn)技術(shù)對(duì)數(shù)據(jù)進(jìn)行完整性檢驗(yàn)；數(shù)據(jù)受到破壞后經(jīng)過(guò)備份策略進(jìn)行數(shù)據(jù)恢復(fù)；利用密碼機(jī)保障數(shù)據(jù)傳輸過(guò)程中數(shù)據(jù)完整性。三級(jí)依照要求在傳輸過(guò)程增加對(duì)系統(tǒng)管理數(shù)據(jù)檢測(cè)與恢復(fù)，配置存放系統(tǒng)對(duì)系統(tǒng)管理數(shù)據(jù)、判別信息和主要業(yè)務(wù)數(shù)據(jù)存放過(guò)程中完整性進(jìn)行檢測(cè)與恢復(fù)數(shù)據(jù)完整性（S2）應(yīng)能夠檢測(cè)到判別信息和主要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞。應(yīng)用系統(tǒng)采取數(shù)據(jù)校驗(yàn)技術(shù)對(duì)數(shù)據(jù)進(jìn)行完整性檢驗(yàn)；數(shù)據(jù)受到破壞后經(jīng)過(guò)備份策略進(jìn)行數(shù)據(jù)恢復(fù)；利用密碼機(jī)保障數(shù)據(jù)傳輸過(guò)程中數(shù)據(jù)完整性。數(shù)據(jù)完整性（S1）應(yīng)能夠檢測(cè)到主要用戶數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞應(yīng)用系統(tǒng)采取數(shù)據(jù)校驗(yàn)技術(shù)對(duì)數(shù)據(jù)進(jìn)行完整性檢驗(yàn)，能夠檢驗(yàn)出主要用戶數(shù)據(jù)完整性是否被破壞。數(shù)據(jù)保密性（S3）a) 應(yīng)采取加密或其余有效方法實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、判別信息和主要業(yè)務(wù)數(shù)據(jù)傳輸保密性；b) 應(yīng)采取加密或其余保護(hù)方法實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、判別信息和主要業(yè)務(wù)數(shù)據(jù)存放保密性。應(yīng)用系統(tǒng)針對(duì)判別信息存放開(kāi)發(fā)加密功效。利用加密機(jī)實(shí)現(xiàn)管理數(shù)據(jù)、判別信息和主要業(yè)務(wù)數(shù)據(jù)傳輸過(guò)程保密性數(shù)據(jù)保密性（S2）、無(wú)S1級(jí)別要求應(yīng)采取加密或其余保護(hù)方法實(shí)現(xiàn)判別信息存放保密性。應(yīng)用系統(tǒng)針對(duì)判別信息存放開(kāi)發(fā)加密功效。備份與恢復(fù)（A3）a) 應(yīng)提供當(dāng)?shù)財(cái)?shù)據(jù)備份與恢復(fù)功效，完全數(shù)據(jù)備份最少天天一次，備份介質(zhì)場(chǎng)外存放；b) 應(yīng)提供異地?cái)?shù)據(jù)備份功效，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地；c) 應(yīng)采取冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，防止關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障；d) 應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)硬件冗余，確保系統(tǒng)高可用性。依照基本要求對(duì)主要數(shù)據(jù)進(jìn)行定時(shí)備份；對(duì)關(guān)鍵交換設(shè)備、線路、主要設(shè)備進(jìn)行冗余設(shè)計(jì)。三級(jí)依照要求進(jìn)行天天數(shù)據(jù)備份且介質(zhì)存放與場(chǎng)外；構(gòu)建網(wǎng)絡(luò)實(shí)現(xiàn)異地備份；網(wǎng)絡(luò)結(jié)構(gòu)、主要網(wǎng)絡(luò)設(shè)備、出口線路及主機(jī)服務(wù)器等進(jìn)行高可靠冗余設(shè)計(jì)。備份與恢復(fù)（A2）a) 應(yīng)能夠?qū)χ饕畔⑦M(jìn)行備份和恢復(fù)；b) 應(yīng)提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)硬件冗余，確保系統(tǒng)可用性。依照基本要求對(duì)主要信息進(jìn)行定時(shí)備份；對(duì)關(guān)鍵交換設(shè)備、線路、主要設(shè)備進(jìn)行冗余設(shè)計(jì)。備份與恢復(fù)（A1）應(yīng)能夠?qū)χ饕畔⑦M(jìn)行備份和恢復(fù)依照基本要求對(duì)主要信息進(jìn)行定時(shí)備份管理部分管理部分詳細(xì)以下表所表示，均為G3類要求。要求類別基本要求（三級(jí)）處理方案安全管理制度管理制度a) 應(yīng)制訂信息安全工作總體方針和安全策略，說(shuō)明機(jī)構(gòu)安全工作總體目標(biāo)、范圍、標(biāo)準(zhǔn)和安全框架等；b) 應(yīng)對(duì)安全管理活動(dòng)中各類管理內(nèi)容建立安全管理制度；c) 應(yīng)對(duì)要求管理人員或操作人員執(zhí)行日常管理操作建立操作規(guī)程；d) 應(yīng)形成由安全策略、管理制度、操作規(guī)程等組成全方面信息安全管理制度體系。依照安全管理制度基本要求制訂各類管理要求、管理方法和暫行要求。從安全策略主文檔中要求安全各個(gè)方面所應(yīng)恪守標(biāo)準(zhǔn)方法和指導(dǎo)性策略引出詳細(xì)管理要求、管理方法和實(shí)施方法，是具備可操作性，且必須得到有效推行和實(shí)施制度。制訂嚴(yán)格制度制訂與公布流程，方式，范圍等；定時(shí)對(duì)安全管理制度進(jìn)行評(píng)審和修訂，修訂不足及進(jìn)行改進(jìn)。制訂與公布a) 應(yīng)指定或授權(quán)專門部門或人員負(fù)責(zé)安全管理制度制訂；b) 安全管理制度應(yīng)具備統(tǒng)一格式，并進(jìn)行版本控制；c) 應(yīng)組織相關(guān)人員對(duì)制訂安全管理制度進(jìn)行論證和審定；d) 安全管理制度應(yīng)經(jīng)過(guò)正式、有效方式公布；e) 安全管理制度應(yīng)注明公布范圍，并對(duì)收發(fā)文進(jìn)行登記。評(píng)審與修訂a) 信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定時(shí)組織相關(guān)部門和相關(guān)人員對(duì)安全管理制度體系合理性和適用性進(jìn)行審定；b) 應(yīng)定時(shí)或不定時(shí)對(duì)安全管理制度進(jìn)行檢驗(yàn)和審定，對(duì)存在不足或需要改進(jìn)安全管理制度進(jìn)行修訂。安全管理機(jī)構(gòu)崗位設(shè)置a) 應(yīng)設(shè)置信息安全管理工作職能部門，設(shè)置安全主管、安全管理各個(gè)方面責(zé)任人崗位，并定義各責(zé)任人職責(zé)；b) 應(yīng)設(shè)置系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位職責(zé)；c) 應(yīng)成立指導(dǎo)和管理信息安全工作委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；d) 應(yīng)制訂文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位職責(zé)、分工和技能要求。依照基本要求設(shè)置安全管理機(jī)構(gòu)組織形式和運(yùn)作方式，明確崗位職責(zé)；設(shè)置安全管理崗位，設(shè)置系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，依照要求進(jìn)行人員配置，配置專職安全員；建立授權(quán)與審批制度；建立內(nèi)外部溝通合作渠道；定時(shí)進(jìn)行全方面安全檢驗(yàn)，尤其是系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等。人員配置a) 應(yīng)配置一定數(shù)量系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等；b) 應(yīng)配置專職安全管理員，不可兼任；c) 關(guān)鍵事務(wù)崗位應(yīng)配置多人共同管理。授權(quán)與審批a) 應(yīng)依照各個(gè)部門和崗位職責(zé)明確授權(quán)審批事項(xiàng)、審批部門和同意人等；b) 應(yīng)針對(duì)系統(tǒng)變更、主要操作、物理訪問(wèn)和系統(tǒng)接入等事項(xiàng)建立審批程序，按照審批程序執(zhí)行審批過(guò)程，對(duì)主要活動(dòng)建立逐層審批制度；c) 應(yīng)定時(shí)審查審批事項(xiàng)，及時(shí)更新需授權(quán)和審批項(xiàng)目、審批部門和審批人等信息；d) 應(yīng)統(tǒng)計(jì)審批過(guò)程并保留審批文檔。溝通與合作a) 應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部合作與溝通，定時(shí)或不定時(shí)召開(kāi)協(xié)調(diào)會(huì)議，共同協(xié)作處理信息安全問(wèn)題；b) 應(yīng)加強(qiáng)與弟兄單位、公安機(jī)關(guān)、電信企業(yè)合作與溝通；c) 應(yīng)加強(qiáng)與供給商、業(yè)界教授、專業(yè)安全企業(yè)、安全組織合作與溝通；d) 應(yīng)建立外聯(lián)單位聯(lián)絡(luò)列表，包含外聯(lián)單位名稱、合作內(nèi)容、聯(lián)絡(luò)人和聯(lián)絡(luò)方式等信息；e) 應(yīng)聘請(qǐng)信息安全教授作為常年安全顧問(wèn)，指導(dǎo)信息安全建設(shè)，參加安全規(guī)劃和安全評(píng)審等。審核與檢驗(yàn)a) 安全管理員應(yīng)負(fù)責(zé)定時(shí)進(jìn)行安全檢驗(yàn)，檢驗(yàn)內(nèi)容包含系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；b) 應(yīng)由內(nèi)部人員或上級(jí)單位定時(shí)進(jìn)行全方面安全檢驗(yàn)，檢驗(yàn)內(nèi)容包含現(xiàn)有安全技術(shù)方法有效性、安全配置與安全策略一致性、安全管理制度執(zhí)行情況等；c) 應(yīng)制訂安全檢驗(yàn)表格實(shí)施安全檢驗(yàn)，匯總安全檢驗(yàn)數(shù)據(jù)，形成安全檢驗(yàn)匯報(bào)，并對(duì)安全檢驗(yàn)結(jié)果進(jìn)行通報(bào)；d) 應(yīng)制訂安全審核和安全檢驗(yàn)制度規(guī)范安全審核和安全檢驗(yàn)工作，定時(shí)按照程序進(jìn)行安全審核和安全檢驗(yàn)活動(dòng)。人員安全管理人員錄用a) 應(yīng)指定或授權(quán)專門部門或人員責(zé)任人員錄用；b) 應(yīng)嚴(yán)格規(guī)范人員錄用過(guò)程，對(duì)被錄用人身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查，對(duì)其所具備技術(shù)技能進(jìn)行考評(píng)；c) 應(yīng)簽署保密協(xié)議；d) 應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位人員，并簽署崗位安全協(xié)議。依照基本要求制訂人員錄用，離崗、考評(píng)、培訓(xùn)幾個(gè)方面要求，并嚴(yán)格執(zhí)行；要求外部人員訪問(wèn)流程，并嚴(yán)格執(zhí)行。人員離崗a) 應(yīng)嚴(yán)格規(guī)范人員離崗過(guò)程，及時(shí)終止離崗員工全部訪問(wèn)權(quán)限；b) 應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供軟硬件設(shè)備；c) 應(yīng)辦理嚴(yán)格調(diào)離手續(xù)，關(guān)鍵崗位人員離崗須承諾調(diào)離后保密義務(wù)后方可離開(kāi)。人員考評(píng)a) 應(yīng)定時(shí)對(duì)各個(gè)崗位人員進(jìn)行安全技能及安全認(rèn)知考評(píng)；b) 應(yīng)對(duì)關(guān)鍵崗位人員進(jìn)行全方面、嚴(yán)格安全審查和技能考評(píng)；c) 應(yīng)對(duì)考評(píng)結(jié)果進(jìn)行統(tǒng)計(jì)并保留。安全意識(shí)教育和培訓(xùn)a) 應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；b) 應(yīng)對(duì)安全責(zé)任和懲戒方法進(jìn)行書(shū)面要求并通知相關(guān)人員，對(duì)違反違反安全策略和要求人員進(jìn)行懲戒；c) 應(yīng)對(duì)定時(shí)安全教育和培訓(xùn)進(jìn)行書(shū)面要求，針對(duì)不一樣崗位制訂不一樣培訓(xùn)計(jì)劃，對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)；d) 應(yīng)對(duì)安全教育和培訓(xùn)情況和結(jié)果進(jìn)行統(tǒng)計(jì)并歸檔保留。外部人員訪問(wèn)管理a) 應(yīng)確保在外部人員訪問(wèn)受控區(qū)域前先提出書(shū)面申請(qǐng)，同意后由專員全程陪同或監(jiān)督，并登記立案；b) 對(duì)外部人員允許訪問(wèn)區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行書(shū)面要求，并按照要求執(zhí)行。系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)a) 應(yīng)明確信息系統(tǒng)邊界和安全保護(hù)等級(jí)；b) 應(yīng)以書(shū)面形式說(shuō)明確定信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)方法和理由；c) 應(yīng)組織相關(guān)部門和關(guān)于安全技術(shù)教授對(duì)信息系統(tǒng)定級(jí)結(jié)果合理性和正確性進(jìn)行論證和審定；d) 應(yīng)確保信息系統(tǒng)定級(jí)結(jié)果經(jīng)過(guò)相關(guān)部門同意。依照基本要求制訂系統(tǒng)建設(shè)管理制度，包含：系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、自行軟件開(kāi)發(fā)、外包軟件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、系統(tǒng)立案、等級(jí)評(píng)測(cè)、安全服務(wù)商選擇等方面。從工程實(shí)施前、中、后三個(gè)方面，從初始定級(jí)設(shè)計(jì)到驗(yàn)收評(píng)測(cè)完整工程周期角度進(jìn)行系統(tǒng)建設(shè)管理。安全方案設(shè)計(jì)a) 應(yīng)依照系統(tǒng)安全保護(hù)等級(jí)選擇基本安全方法，并依據(jù)風(fēng)險(xiǎn)分析結(jié)果補(bǔ)充和調(diào)整安全方法；b) 應(yīng)指定和授權(quán)專門部門對(duì)信息系統(tǒng)安全建設(shè)進(jìn)行總體規(guī)劃，制訂近期和遠(yuǎn)期安全建設(shè)工作計(jì)劃；c) 應(yīng)依照信息系統(tǒng)等級(jí)劃分情況，統(tǒng)一考慮安全保障體系總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，并形成配套文件；d) 應(yīng)組織相關(guān)部門和關(guān)于安全技術(shù)教授對(duì)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件合理性和正確性進(jìn)行論證和審定，而且經(jīng)過(guò)同意后，才能正式實(shí)施；e) 應(yīng)依照等級(jí)測(cè)評(píng)、安全評(píng)定結(jié)果定時(shí)調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件。產(chǎn)品采購(gòu)和使用a) 應(yīng)確保安全產(chǎn)品采購(gòu)和使用符合國(guó)家關(guān)于要求；b) 應(yīng)確保密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門要求；c) 應(yīng)指定或授權(quán)專門部門負(fù)責(zé)產(chǎn)品采購(gòu)；d) 應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試，確定產(chǎn)品候選范圍，并定時(shí)審定和更新候選產(chǎn)品名單。自行軟件開(kāi)發(fā)a) 應(yīng)確保開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開(kāi)，開(kāi)發(fā)人員和測(cè)試人員分離，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制；b) 應(yīng)制訂軟件開(kāi)發(fā)管理制度，明確說(shuō)明開(kāi)發(fā)過(guò)程控制方法和人員行為準(zhǔn)則；c) 應(yīng)制訂代碼編寫安全規(guī)范，要求開(kāi)發(fā)人員參考規(guī)范編寫代碼；d) 應(yīng)確保提供軟件設(shè)計(jì)相關(guān)文檔和使用指南，并由專員負(fù)責(zé)保管；e) 應(yīng)確保對(duì)程序資源庫(kù)修改、更新、公布進(jìn)行授權(quán)和同意。外包軟件開(kāi)發(fā)a) 應(yīng)依照開(kāi)發(fā)需求檢測(cè)軟件質(zhì)量；b) 應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在惡意代碼；c) 應(yīng)要求開(kāi)發(fā)單位提供軟件設(shè)計(jì)相關(guān)文檔和使用指南；d) 應(yīng)要求開(kāi)發(fā)單位提供軟件源代碼，并審查軟件中可能存在后門。工程實(shí)施a) 應(yīng)指定或授權(quán)專門部門或人員負(fù)責(zé)工程實(shí)施過(guò)程管理；b) 應(yīng)制訂詳細(xì)工程實(shí)施方案控制實(shí)施過(guò)程，并要求工程實(shí)施單位能正式地執(zhí)行安全工程過(guò)程；c) 應(yīng)制訂工程實(shí)施方面管理制度，明確說(shuō)明實(shí)施過(guò)程控制方法和人員行為準(zhǔn)則。測(cè)試驗(yàn)收a) 應(yīng)委托公正第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，并出具安全性測(cè)試匯報(bào)；b) 在測(cè)試驗(yàn)收前應(yīng)依照設(shè)計(jì)方案或協(xié)議要求等制訂測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過(guò)程中應(yīng)詳細(xì)統(tǒng)計(jì)測(cè)試驗(yàn)收結(jié)果，并形成測(cè)試驗(yàn)收匯報(bào)；c) 應(yīng)對(duì)系統(tǒng)測(cè)試驗(yàn)收控制方法和人員行為準(zhǔn)則進(jìn)行書(shū)面要求；d) 應(yīng)指定或授權(quán)專門部門負(fù)責(zé)系統(tǒng)測(cè)試驗(yàn)收管理，并按照管理要求要求完成系統(tǒng)測(cè)試驗(yàn)收工作；e) 應(yīng)組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收匯報(bào)進(jìn)行審定，并簽字確認(rèn)。系統(tǒng)交付a) 應(yīng)制訂詳細(xì)系統(tǒng)交付清單，并依照交付清單對(duì)所交接設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)；b) 應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)技術(shù)人員進(jìn)行對(duì)應(yīng)技能培訓(xùn)；c) 應(yīng)確保提供系統(tǒng)建設(shè)過(guò)程中文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)文檔；d) 應(yīng)對(duì)系統(tǒng)交付控制方法和人員行為準(zhǔn)則進(jìn)行書(shū)面要求；e) 應(yīng)指定或授權(quán)專門部門負(fù)責(zé)系統(tǒng)交付管理工作，并按照管理要求要求完成系統(tǒng)交付工作。系統(tǒng)立案a) 應(yīng)指定專門部門或人員負(fù)責(zé)管理系統(tǒng)定級(jí)相關(guān)材料，并控制這些材料使用；b) 應(yīng)將系統(tǒng)等級(jí)及相關(guān)材料報(bào)系統(tǒng)主管部門立案；c) 應(yīng)將系統(tǒng)等級(jí)及其余要求立案材料報(bào)對(duì)應(yīng)公安機(jī)關(guān)立案。等級(jí)測(cè)評(píng)a) 在系統(tǒng)運(yùn)行過(guò)程中，應(yīng)最少每年對(duì)系統(tǒng)進(jìn)行一次等級(jí)測(cè)評(píng)，發(fā)覺(jué)不符合對(duì)應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求及時(shí)整改；b) 應(yīng)在系統(tǒng)發(fā)生變更時(shí)及時(shí)對(duì)系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)，發(fā)覺(jué)級(jí)別發(fā)生改變及時(shí)調(diào)整級(jí)別并進(jìn)行安全改造，發(fā)覺(jué)不符合對(duì)應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求及時(shí)整改；c) 應(yīng)選擇具備國(guó)家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)測(cè)評(píng)單位進(jìn)行等級(jí)測(cè)評(píng)；d) 應(yīng)指定或授權(quán)專門部門或人員負(fù)責(zé)等級(jí)測(cè)評(píng)管理。安全服務(wù)商選擇a) 應(yīng)確保安全服務(wù)商選擇符合國(guó)家關(guān)于要求；b) 應(yīng)與選定安全服務(wù)商訂立與安全相關(guān)協(xié)議，明確約定相關(guān)責(zé)任；c) 應(yīng)確保選定安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要與其訂立服務(wù)協(xié)議。系統(tǒng)運(yùn)維管理環(huán)境管理a) 應(yīng)指定專門部門或人員定時(shí)對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理；b) 應(yīng)指定部門負(fù)責(zé)機(jī)房安全，并配置機(jī)房安全管理人員，對(duì)機(jī)房出入、服務(wù)器開(kāi)機(jī)或關(guān)機(jī)等工作進(jìn)行管理；c) 應(yīng)建立機(jī)房安全管理制度，對(duì)關(guān)于機(jī)房物理訪問(wèn)，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面管理作出要求；d) 應(yīng)加強(qiáng)對(duì)辦公環(huán)境保密性管理，規(guī)范辦公環(huán)境人員行為，包含工作人員調(diào)離辦公室應(yīng)立刻交還該辦公室鑰匙、不在辦公區(qū)接待來(lái)訪人員、工作人員離開(kāi)座位應(yīng)確保終端計(jì)算機(jī)退出登錄狀態(tài)和桌面上沒(méi)有包含敏感信息紙檔文件等。依照基本要求進(jìn)行信息系統(tǒng)日常運(yùn)行維護(hù)管理，利用管理制度以及安全管理中心進(jìn)行，包含：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等，使系統(tǒng)一直處于對(duì)應(yīng)等級(jí)安全狀態(tài)中。資產(chǎn)管理a) 應(yīng)編制并保留與信息系統(tǒng)相關(guān)資產(chǎn)清單，包含資產(chǎn)責(zé)任部門、主要程度和所處位置等內(nèi)容；b) 應(yīng)建立資產(chǎn)安全管理制度，要求信息系統(tǒng)資產(chǎn)管理責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理和使用行為；c) 應(yīng)依照資產(chǎn)主要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理，依照資產(chǎn)價(jià)值選擇對(duì)應(yīng)管理方法；d) 應(yīng)對(duì)信息分類與標(biāo)識(shí)方法作出要求，并對(duì)信息使用、傳輸和存放等進(jìn)行規(guī)范化管理。介質(zhì)管理a) 應(yīng)建立介質(zhì)安全管理制度，對(duì)介質(zhì)存放環(huán)境、使用、維護(hù)和銷毀等方面作出要求；b) 應(yīng)確保介質(zhì)存放在安全環(huán)境中，對(duì)各類介質(zhì)進(jìn)行控制和保護(hù)，并實(shí)施存放環(huán)境專員管理；c) 應(yīng)對(duì)介質(zhì)在物理傳輸過(guò)程中人員選擇、打包、交付等情況進(jìn)行控制，對(duì)介質(zhì)歸檔和查詢等進(jìn)行登記統(tǒng)計(jì)，并依照存檔介質(zhì)目錄清單定時(shí)盤點(diǎn)；d) 應(yīng)對(duì)存放介質(zhì)使用過(guò)程、送出維修以及銷毀等進(jìn)行嚴(yán)格管理，對(duì)帶出工作環(huán)境存放介質(zhì)進(jìn)行內(nèi)容加密和監(jiān)控管理，對(duì)送出維修或銷毀介質(zhì)應(yīng)首先去除介質(zhì)中敏感數(shù)據(jù)，對(duì)保密性較高存放介質(zhì)未經(jīng)同意不得自行銷毀；e) 應(yīng)依照數(shù)據(jù)備份需要對(duì)一些介質(zhì)實(shí)施異地存放，存放地環(huán)境要求和管理方法應(yīng)與當(dāng)?shù)叵嗤?；f) 應(yīng)對(duì)主要介質(zhì)中數(shù)據(jù)和軟件采取加密存放，并依照所承載數(shù)據(jù)和軟件主要程度對(duì)介質(zhì)進(jìn)行分類和標(biāo)識(shí)管理。設(shè)備管理a) 應(yīng)對(duì)信息系統(tǒng)相關(guān)各種設(shè)備（包含備份和冗余設(shè)備）、線路等指定專門部門或人員定時(shí)進(jìn)行維護(hù)管理；b) 應(yīng)建立基于申報(bào)、審批和專員負(fù)責(zé)設(shè)備安全管理制度，對(duì)信息系統(tǒng)各種軟硬件設(shè)備選型、采購(gòu)、發(fā)放和領(lǐng)用等過(guò)程進(jìn)行規(guī)范化管理；c) 應(yīng)建立配套設(shè)施、軟硬件維護(hù)方面管理制度，對(duì)其維護(hù)進(jìn)行有效管理，包含明確維護(hù)人員責(zé)任、涉外維修和服務(wù)審批、維修過(guò)程監(jiān)督控制等；d) 應(yīng)對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實(shí)現(xiàn)主要設(shè)備（包含備份和冗余設(shè)備）開(kāi)啟/停頓、加電/斷電等操作；e) 應(yīng)確保信息處理設(shè)備必須經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)。監(jiān)控管理和安全管理中心a) 應(yīng)對(duì)通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件運(yùn)行情況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和報(bào)警，形成統(tǒng)計(jì)并妥善保留；b) 應(yīng)組織相關(guān)人員定時(shí)對(duì)監(jiān)測(cè)和報(bào)警統(tǒng)計(jì)進(jìn)行分析、評(píng)審，發(fā)覺(jué)可疑行為，形成份析匯報(bào)，并采取必要應(yīng)對(duì)方法；c) 應(yīng)建立安全管理中心，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。網(wǎng)絡(luò)安全管理a) 應(yīng)指定專員對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控統(tǒng)計(jì)日常維護(hù)和報(bào)警信息分析和處理工作；b) 應(yīng)建立網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)絡(luò)安全配置、日志保留時(shí)間、