等級保護2.0測評指導(dǎo)書

等級保護2.0測評指導(dǎo)書

目錄

一、安全物理環(huán)境理導(dǎo)書..................................................5

二、安全通信網(wǎng)絡(luò)涌評指導(dǎo)書...................................................10

三、安全區(qū)強界溝評指導(dǎo)書.......................................................................................................16

四、安全計防境淵評指導(dǎo)書.......................................................................................................28

4.1網(wǎng)絡(luò)設(shè)備測評指導(dǎo)書........................................................28

4.2LINUX測評指導(dǎo)書.............................................................................................................75

4.3WINDOWS測評指導(dǎo)書............................................................................................88

4.4ORACLE測評指導(dǎo)書..........................................................................................................101

4.5MYSQL測評指導(dǎo)書..........................................................................................................108

4.6終端設(shè)備測評指導(dǎo)書.......................................................118

4.7應(yīng)用系統(tǒng)測評指導(dǎo)書.......................................................126

五、安全?理中心加評指導(dǎo)書......................................................................................................135

六、安全?理科度混評指導(dǎo)書....................................................139

七、安全管理機構(gòu)測評指導(dǎo)書......................................................................................................143

A安全管理人員測評指導(dǎo)書......................................................................................................151

九、安全建設(shè)曾超淵評指導(dǎo)書......................................................................................................156

十、安全運維管理淵評指導(dǎo)書......................................................................................................170

十一'云計算安全擴展要求測評指導(dǎo)書184

十二、移動互聯(lián)安全擴展要求測評指導(dǎo)書204

十三、物聯(lián)網(wǎng)安全擴展要求測評指導(dǎo)書209

十四、工業(yè)控制系統(tǒng)安全擴展要求測評指導(dǎo)書219

一、安全物理環(huán)境測評指導(dǎo)書

控制點安全要求要求解讀測評方法預(yù)期結(jié)果或主要證據(jù)

D核查是否有建筑物抗宸

設(shè)防審批文檔

D機房具有驗收文檔

2）核杳是否有雨水港漏的

2）天花板、窗臺下無水滲漏的

痕跡

a）機房場地應(yīng)選擇在具現(xiàn)象

3）核查是否有可靈活開啟

有防蔻、防風(fēng)和防雨等機房場地所壟的建筑物要具有防熊、防風(fēng)和防雨等的能力3）機房無窗戶,有窗戶且做了

的窗戶，若有窗戶，是否做

能力的建筑內(nèi)防護措施

物理位了封閉、上鎖等防護措施

4）現(xiàn)場觀泅屋頂、墻體、門窗

置選擇4）核查屋頂、墻體、門窗和

和地面等無開裂的情況

地面等是否有破損開裂的

情況

b）機房場地應(yīng)避免設(shè)在D核杳機房是否在頂層或

機房場地要就免設(shè)置在建筑物的頂層或地下室。如果因為某D非建筑物頂層或地下空

建筑物的頂層或地下地下室

些原因無法燒免時，設(shè)置在建筑物頂層或地下室的機房需要2）在頂層式地下室的,做了嚴(yán)

室，否則應(yīng)加強防水和2）若是，核杳機房是否采

加強防水和環(huán)潮措施格的防水防潮措施

防潮措施，取了防水和防潮措能

D核荏出入口是酉配置電

子門禁系統(tǒng)

為防止非授權(quán)人員進入機房，需要安裝電子門禁系統(tǒng)對機房1）機房出入口是配備電子門

機房出入口應(yīng)配置電子2）核查電子門禁系統(tǒng)是否

物理訪及機房內(nèi)區(qū)域的出入人員實施訪問控制,避免由于非授權(quán)人禁

門禁系統(tǒng)，控制、鑒別和開啟并正常運行

問控制員的擅自進入，造成系統(tǒng)運行中斷、設(shè)備丟失或損壞、數(shù)據(jù)被2）電子門禁系統(tǒng)工作正常，可

記錄進入的人員3）核查電子門禁系統(tǒng)是否

竊取或舞改,并可利用系統(tǒng)實現(xiàn)對人員進入情況的記錄對道出人員遂行鑒別

可以鑒別、記錄進入的人

員信息

D機房內(nèi)攵備均放置在機柜

1）核查機房內(nèi)設(shè)備或主要

a）應(yīng)將設(shè)備或主要部件或機架，井已固定

對于安放在機房內(nèi)用于保障系統(tǒng)正常運行的設(shè)備或主要落件部件是否固定

進行固定,并設(shè)黃明顯2）設(shè)備或主要部件均設(shè)置r

需要進行固定，并設(shè)置明顯的不易除去的標(biāo)記用于識別2）核杏機房內(nèi)設(shè)備或主要

的不易除去的標(biāo)識不易除去的標(biāo)識、標(biāo)志,如使

部件上是否設(shè)置了明顯且

用拈貼方式則不能有翹起

不易除去的標(biāo)記

防is竊

b）應(yīng)將通信線纜鋪設(shè)在核吏機房內(nèi)通信線纜是否機房通信找纜鋪設(shè)在線槽或

和防破機房內(nèi)通信或纜需要鋪設(shè)在能蔽安全處.防止線纜受損

隱.故安全處鋪設(shè)在隱蔽安全處橋架里

壞

D核查是否配置防酒報警

1）機房內(nèi)配置了防了報警系

系統(tǒng)或?qū)Ｈ酥凳氐囊曨l監(jiān)

C）應(yīng)設(shè)祖機房防盜報警統(tǒng)或?qū)Ｈ酥凳氐囊暟姹O(jiān)控系

機房需要安裝防盜報警系統(tǒng)，或在安笠視頻監(jiān)控系統(tǒng)的同時控系統(tǒng)

系統(tǒng)或設(shè)置有專人值守統(tǒng)

安掛專人進行值守，防止盜竊和惡意破壞行為的發(fā)生2）核查防盜報警系統(tǒng)或視

的視頻監(jiān)控系統(tǒng)2）現(xiàn)場觀測時監(jiān)控系統(tǒng)正常

頻監(jiān)控系統(tǒng)是否開處并正

工作

常運行

核杳機房內(nèi)機柜、設(shè)能和

a）應(yīng)將各類機板、設(shè)麗在機房內(nèi)對機柜、各類設(shè)施和設(shè)笛采取接地措施，防止目擊機房內(nèi)所有機柜、設(shè)施和設(shè)招

設(shè)缶等是否進行接地處

防雷擊和設(shè)備等通過接地系統(tǒng)對電子設(shè)備產(chǎn)生等均己采取了接地的控制措

理，劃常黃綠色相間的電

安全接地?fù)p占砥

線為接地用線

D核直機房內(nèi)是否設(shè)置防D機房內(nèi).殳置了防總應(yīng)市措

b）應(yīng)采取措施防止團感應(yīng)簾措施施,如設(shè)置了防雷感應(yīng)器、防

在機房內(nèi)安裝防簾保安禍或過壓保護等裝田.，防止感應(yīng)召對

應(yīng)雷，例如設(shè)置防雷保2）核查防簾裝置是否通過浪涌插座等

電子設(shè)翁產(chǎn)生損害

安器或過壓保護裝置等驗收或國家有關(guān)部門的技2）防價裝置通過了畫家有關(guān)

術(shù)檢測部門的技術(shù)檢測

1）核杳機房內(nèi)是否設(shè)就火

災(zāi)自動消防系統(tǒng)

2）核查火災(zāi)自動消防系統(tǒng)D機房內(nèi).殳假火災(zāi)自動消防

a）機房應(yīng)設(shè)置火災(zāi)自動機房內(nèi)需要設(shè)置火災(zāi)自動消防系統(tǒng)，可在發(fā)生火災(zāi)時進行自

是否可以自動檢測火情、系統(tǒng)

消防系統(tǒng)，能夠自動檢動檢測、報警和滅火，如采用自動氣體消防系統(tǒng)、自動嗓淋

自動報警并自動滅火2）現(xiàn)場觀物時火災(zāi)自動消防

測火情、自動報警，并自消防系統(tǒng)等

3）核查火災(zāi)自動消防系統(tǒng)系統(tǒng)工作正常

動滅火

是否通過驗收或國家有關(guān)

防火部門的技術(shù)檢測

b）機房及相關(guān)的工作房核杳機房驗收文檔是否明機房所有材料為耐火材料，如

機房內(nèi)需要采用具有耐火等級的建筑材料，防止火災(zāi)的發(fā)生

間和輔助房應(yīng)采用具有確所用建筑材料的耐火等使用墻體、防火玻瑜等,但使

和火勢蔓延

耐火等級的建筑材料級用金屬柵欄的不能算符作

1）核查是否進行了區(qū)域劃1）機房進行了區(qū)域劃分，如過

C）應(yīng)對機房劃分區(qū)域進

機房內(nèi)需要進行區(qū)域劃分并設(shè)置隔窗防火措施，防止水災(zāi)發(fā)分渡區(qū)、主機房

行管理，區(qū)域和區(qū)域之

生后火勢硬誕2）核查各區(qū)域間是否采取2）區(qū)域間部罟了防火隔施裝

間設(shè)置隔盅防火措瓶

了防火隔離措施置

機房采取了防雨水滲透的措

a）應(yīng)采取措施防止雨水

防水和機房內(nèi)需要采取防滲漏措施,防止窗戶、屋頂和墻壁存在水核變窗戶、屋頂和墻壁是碓，如封鎖了皆戶并采取了防

通過機房窗戶、屋頂和

防潮?滲透情況否采取了防滲漏的措施水、屋頂和墻壁均采取了防雨

墻壁滲透

水滲透的措施

D機房內(nèi)配舒了專用的怙宙

D核查是否采取了防止水

b）應(yīng)采取措施防止機房空調(diào)來防上水蒸氣結(jié)漏的控

機房內(nèi)需要采取防結(jié)露和排水措施,防止水蒸氣結(jié)露和地面蒸氣結(jié)露的措施

內(nèi)水蒸氣結(jié)露和地卜積制措施

產(chǎn)生枳水2）核查是否采取了排水措

水的轉(zhuǎn)移與溶透2）機房內(nèi)部署了潤水檢測裝

碓,防止地面產(chǎn)生枳水

置，可以對漏水進行監(jiān)控報警

1）核杳是否安裝了對水域

C）應(yīng)安裝對水敏感的檢1）機房內(nèi)部署了溫水檢測裝

機房內(nèi)需要布設(shè)對水敏城的檢測裝置，時淡水、漏水情況進感的檢測裝置

測儀表或元件，對機房%.如漏水檢測繩等

行檢測和報警2）核查防水檢測和報警裝

進行防水檢測和報警2》檢測和報警工作正常

置是否開啟并正常運行

D核查是否安裝了防靜電

a）應(yīng)采用防靜電地板或1）機房部考了防齡電地板

機國內(nèi)需要安裝防酹電地板或在地面采取必要的接地措施，地板

地面并采用必要的接地2）機房采用了接地的防靜電

防止靜電的產(chǎn)生2）核查是否采用了防帶電

防崢電措施措施

接地措施

防靜電

b）應(yīng)采取措旅防上沛電

的產(chǎn)生,例如采用靜電機房內(nèi)制要配備靜電消除器E佩戴防靜電手環(huán)等消除靜電的核查機房內(nèi)是否配茶/錚

機房配備了防靜電設(shè)備

消除曙、做城防睜電手設(shè)備.電消除設(shè)備.

環(huán)等，

D核查機房內(nèi)是否配備了

應(yīng)設(shè)置溫、濕度白動調(diào)機房內(nèi)需要安裝溫、濕度自動調(diào)節(jié)裝SL如空調(diào)、除濕機、D機房內(nèi)配備了專用的精格

專用空調(diào)

濕制度節(jié)設(shè)幽.使機房溫、濕度通風(fēng)機等,使機房內(nèi)海、濕度的變化在適宜設(shè)備運行所允許空調(diào)

2）核查機房內(nèi)?溫濕度是否

控制的變化在設(shè)備運行所允的范用之內(nèi).通常機房內(nèi)適宜的溫度范困是18、274c,汽氣2）機房內(nèi)部濕度設(shè)置在20-

在設(shè)備運行所允許的范圍

許的范圍之內(nèi)濕度范用是35~75%25,濕度為：40V60%

之內(nèi)

a）應(yīng)在機房供電線路1:核查供電線路上是否配置D機房的4?算機系統(tǒng)供電線

電力供機房供電線路上需要安裝電流穩(wěn)壓器和電壓過我保護裝四，

配置檢樂器和過電壓防了穩(wěn)壓器和過電壓防護設(shè)珞上設(shè)置了穩(wěn)壓器和過電壓

應(yīng)防止電力波動對電子設(shè)備造成損咨

護設(shè)備備防護設(shè)備

2》現(xiàn)場觀測時您壓器和過，也

壓防護設(shè)的可正常工作

D核杳是否配備不間斷電

b）應(yīng)提供短期的符用電1）機房配番了UPS后符電源

機房供電焉要配備不間斷電源（UPS）或備用供電系統(tǒng),如備用源（UPS）等備用供電系統(tǒng)

力供應(yīng)，至少滿足設(shè)省系統(tǒng)

發(fā)電機或使用第三方提供的備用供電服務(wù)，防止電力中斷對2）核杳不間斷電源（UPS）

在斷電情況下的正常運2）UPS能夠滿足短期斷電時

設(shè)得運轉(zhuǎn)和系統(tǒng)運行造成損害等備用供電系統(tǒng)的運行切

行要求的供電要求

換記錄和檢修維護記錄

C）應(yīng)設(shè)置冗余或并行的核查是否設(shè)置了冗余或并

機房供電需要使用冗余或并行的電力電纜線路,防止電刀中為機房配小了冗余的供電線

電力電纜線路為計算機行的電力電纜線路為計算

斷對設(shè)備運轉(zhuǎn)和系統(tǒng)運行造成損害路,如市電雙路接入

系統(tǒng)供電機系統(tǒng)供電

a）電源線和通信我統(tǒng)應(yīng)機房內(nèi)電源線纜和通信線纜

機房內(nèi)電源淺和通信線線福變隔離鋪設(shè)在不同的管道或橋架核杳機房內(nèi)電源線線和通

隔離鋪設(shè)，避免互相干隔離鋪設(shè)，如通過線槽或橋架

內(nèi)，防止電破輜射和干擾對設(shè)備運轉(zhuǎn)和系統(tǒng)運行產(chǎn)生的影響信線纜是否隔離鋪設(shè)

猶進行了隔離

電械防

為關(guān)梯設(shè)落采取了電磁屏蔽

護機房內(nèi)關(guān)鍵設(shè)備需要安放在電磁屏蔽機柜內(nèi)或電隧屏蔽區(qū)域

b）應(yīng)對關(guān)鍵設(shè)備實施電核查機房內(nèi)是否為關(guān)犍設(shè)措施，如配備了屏蔽機柜或屏

內(nèi),防止電碗輻

磁屏蔽備配備了電域屏蔽裝置藪機房.關(guān)鍵設(shè)備

射和干擾對火備運轉(zhuǎn)和系統(tǒng)運行產(chǎn)生的影響

如加密機

二、安全通信網(wǎng)絡(luò)測評指導(dǎo)書

控

市1安全要求要求解讀測評方法預(yù)期結(jié)果或土嬰證搟

點

1)設(shè)宿CPU和內(nèi)存使用率峰值不大J70%,通過命令核直

D應(yīng)訪談網(wǎng)絡(luò)管理員業(yè)務(wù)高峰時期相關(guān)使用情況：

為何時,核查邊界設(shè)備和主要網(wǎng)絡(luò)設(shè)<Huawei>displaycpu-usage

備的處理能力是否滿足業(yè)務(wù)高峰期CPUUsageStat.Cycle:60(Second)

需要，詢問采用何種手段對主要網(wǎng)絡(luò)CPUUsage:3%Max:45%.

設(shè)備的運行狀態(tài)進行監(jiān)控.CPUUsageStal.Time:2018-05-2616:58:16

以華為交換機為例，輸入命令CPUutilizationforfiveseconds:15%:one

“displaycpu-usage","displayminute:15%:fiveminutes:15%

memory-usage”查看相關(guān)配置.一般<Huawei>displayme?or)—usage

來說?在業(yè)務(wù)高峰期主要網(wǎng)絡(luò)設(shè)番的CPUutilizationforfiveseconds:15%:one

CPU內(nèi)存地大使用率不宜超過70%.minute:15%:fiveminutes:15%

網(wǎng)為了保證主要網(wǎng)絡(luò)攻備具備足也可以通過揀合網(wǎng)管系統(tǒng)杳看主要SystemTotalMemoryIs:75312648bytes

絡(luò)a）應(yīng)保證網(wǎng)絡(luò)設(shè)備的夠處理能力，應(yīng)定期檢介設(shè)備網(wǎng)絡(luò)設(shè)備的CPU、內(nèi)存的使用情況TotalMemoryUsedIs:45037704bytes

架業(yè)務(wù)處理能力滿足業(yè)資源占用情況,確保設(shè)備的業(yè)2）應(yīng)訪談或核查是否因設(shè)備處理能MemoryUsingPercentageIs:59%

構(gòu)務(wù)商峰期需要務(wù)處理能力具備冗余空間。力不足而出現(xiàn)過宕機情況，可核直綜2)未出現(xiàn)宕機情況,網(wǎng)管平臺未出現(xiàn)宕機告警口志,設(shè)備

臺網(wǎng)管系統(tǒng)告警口志或設(shè)法運廳時運行時間較長：

間等，或者訪諛是否因設(shè)法處理能力<Huawei>displayversion

不足而進行設(shè)備升級，HuaweiVersatileRoutingPlatformSoftware

以華為設(shè)備為例，輸入命令"displayVRP(R)software,Version5130(AR1200

version",杳看設(shè)備在鏤時長,如設(shè)V200R003COO

備在線時間在近期有重啟可詢問原Copyright(C)2011-2012HUAWEITECHCo.,LTD

因HuaweiAR1220Routeruptimeis0week,0day,0

3）應(yīng)核查設(shè)備在一段時間內(nèi)的性能hour,1minute

峰值，結(jié)合設(shè)備自身的承載性能.分UPU0(Master):uptimeis0week,0day,0hour,I

析是否能魴滿足業(yè)務(wù)處理能力minute

3)業(yè)務(wù)離蜂流域不超過取名處理能力船70%

D任各個關(guān)鍵點部署流fit監(jiān)拄系統(tǒng)，俄的監(jiān)測網(wǎng)絡(luò)中的

實時流冊，部署流量控制設(shè)備，在關(guān)鋌H點設(shè)備品置QoS