安全等保第三级基本要求新版.doc

信息安全技术信息系统安全等级保护基础规定Information security technology-Baseline for classified protection of information system1　 第三级基础规定1.1　 技术规定1.1.1　 物理安全1.1.1.1　 物理位置选择（G3）本项规定涉及：a) 机房和办公场地应选择在具有防震、防风和防雨等能力建筑内；b) 机房场地应避免设在建筑物高层或地下室，和用水设备下层或隔壁1.1.1.2　 物理访问控制（G3）本项规定涉及：a) 机房出入口应安排专人值守，控制、鉴别和记录进入人员；b) 需进入机房来访人员应通过申请和审批环节，并限制和监控其活动范畴；c) 应对机房划分区域进行管理，区域和区域之间设立物理隔离装置，在核心区域前设立交付或安装等过渡区域；d) 核心区域应配备电子门禁系统，控制、鉴别和记录进入人员1.1.1.3　 防盗窃和防破坏（G3）本项规定涉及：a) 应将核心设备放置在机房内；b) 应将设备或核心部件进行固定，并设立明显不易除去标记；c) 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；d) 应对介质分类标记，寄存在介质库或档案室中；e) 应运用光、电等技术设立机房防盗报警系统；f) 应对机房设立监控报警系统。

1.1.1.4　 防雷击（G3）本项规定涉及：a) 机房建筑应设立避雷装置；b) 应设立防雷保安器，避免感应雷；c) 机房应设立交流电源地线1.1.1.5　 防火（G3）本项规定涉及：a) 机房应设立火灾自动消防系统，可以自动检测火情、自动报警，并自动灭火；b) 机房及有关工作房间和辅助房应采用具有耐火等级建筑材料；c) 机房应采用区域隔离防火措施，将核心设备和其他设备隔离开1.1.1.6　 防水和防潮（G3）本项规定涉及：a) 水管安装，不得穿过机房屋顶和活动地板下；b) 应采用措施避免雨水通过机房窗户、屋顶和墙壁渗入；c) 应采用措施避免机房内水蒸气结露和地下积水转移和渗入；d) 应安装对水敏感检测仪表或元件，对机房进行防水检测和报警1.1.1.7　 防静电（G3）本项规定涉及：a) 核心设备应采用必需接地防静电措施；b) 机房应采用防静电地板1.1.1.8　 温湿度控制（G3）机房应设立温、湿度自动调节设施，使机房温、湿度变化在设备运营所许可范畴之内1.1.1.9　 电力供应（A3）本项规定涉及：a) 应在机房供电线路上配备稳压器和过电压防护设备；b) 应提供短期备用电力供应，至少满足核心设备在断电状况下正常运营规定；c) 应设立冗余或并行电力电缆线路为计算机系统供电；d) 应建立备用供电系统。

1.1.1.10　 电磁防护（S3）本项规定涉及：a) 应采用接地措施避免外界电磁干扰和设备寄生耦合干扰；b) 电源线和通信线缆应隔离铺设，避免互相干扰；c) 应对核心设备和磁介质实行电磁屏蔽1.1.2　 网络安全1.1.2.1　 构造安全（G3）本项规定涉及：a) 应保证核心网络设备业务解决能力具有冗余空间，满足业务高峰期需要；b) 应保证网络各个部分带宽满足业务高峰期需要；c) 应在业务终端和业务服务器之间进行路由控制建立安全访问途径；d) 应绘制和目前运营状况相符网络拓扑构造图；e) 应根据各部门工作职能、核心性和所涉及信息核心限度等因素，划分不同样子网或网段，并根据以便管理和控制原则为各子网、网段分派地址段；f) 应避免将核心网段部署在网络边界处且直接连接外部信息系统，核心网段和其他网段之间采用可靠技术隔离手段；g) 应根据对业务服务核心顺序来指定带宽分派优先等级，保证在网络发生拥堵时候优先保护核心主机1.1.2.2　 访问控制（G3）本项规定涉及：a) 应在网络边界部署访问控制设备，启用访问控制功能；b) 应能根据会话状态信息为数据流提供明确许可/回绝访问能力，控制粒度为端口级；c) 应对进出网络信息内容进行过滤，实现相应用层HTTP、FTP、TELNET、SMTP、POP3等合同命令级控制；d) 应在会话处在非活跃一定期间或会话结束后终结网络连接；e) 应限制网络最大流量数及网络连接数；f) 核心网段应采用技术手段避免地址欺骗；g) 应按顾客和系统之间许可访问规则，决定许可或回绝顾客对受控系统进行资源访问，控制粒度为单个顾客；h) 应限制具有拨号访问权限顾客数量。

1.1.2.3　 安全审计（G3）本项规定涉及：a) 应对网络系统中网络设备运营状况、网络流量、顾客行为等进行日记记录；b) 审计记录应涉及：事件日期和时间、顾客、事件类型、事件与否成功及其他和审计有关信息；c) 应可以根据记录数据进行分析，并生成审计报表；d) 应对审计记录进行保护，避免受到未预期删除、修改或覆盖等1.1.2.4　 边界完整性检查（S3）本项规定涉及：a) 应可以对非授权设备擅自联到内部网络行为进行检查，对旳定出位置，并对其进行有效阻断；b) 应可以对内部网络顾客擅自联到外部网络行为进行检查，对旳定出位置，并对其进行有效阻断1.1.2.5　 入侵防备（G3）本项规定涉及：a) 应在网络边界处监视如下袭击行为：端口扫描、强力袭击、木马后门袭击、回绝服务袭击、缓冲区溢出袭击、IP碎片袭击和网络蠕虫袭击等；b) 当检测到袭击行为时，记录袭击源IP、袭击类型、袭击目旳、袭击时间，在发生严重入侵事件时应提供报警1.1.2.6　 歹意代码防备（G3）本项规定涉及：a) 应在网络边界处对歹意代码进行检测和清除；b) 应维护歹意代码库升级和检测系统更新1.1.2.7　 网络设备防护（G3）本项规定涉及：a) 应对登录网络设备顾客进行身份鉴别；b) 应对网络设备管理员登录地址进行限制；c) 网络设备顾客标记应唯一；d) 核心网络设备应对同一顾客选择两种或两种以上组合鉴别技术来进行身份鉴别；e) 身份鉴别信息应具有不易被冒用特点，口令应有复杂度规定并定期更换；f) 应具有登录失败解决功能，可采用结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；g) 当对网络设备进行远程管理时，应采用必需措施避免鉴别信息在网络传播过程中被窃听；h) 应实现设备特权顾客权限分离。

1.1.3　 主机安全1.1.3.1　 身份鉴别（S3）本项规定涉及：a) 应对登录操作系统和数据库系统顾客进行身份标记和鉴别；b) 操作系统和数据库系统管理顾客身份标记应具有不易被冒用特点，口令应有复杂度规定并定期更换；c) 应启用登录失败解决功能，可采用结束会话、限制非法登录次数和自动退出等措施；d) 当对服务器进行远程管理时，应采用必需措施，避免鉴别信息在网络传播过程中被窃听；e) 应为操作系统和数据库系统不同样顾客分派不同样顾客名，保证顾客名具有唯一性f) 应采用两种或两种以上组合鉴别技术对管理顾客进行身份鉴别1.1.3.2　 访问控制（S3）本项规定涉及：a) 应启用访问控制功能，根据安全方略控制顾客对资源访问；b) 应根据管理顾客角色分派权限，实现管理顾客权限分离，仅授予管理顾客所需最小权限；c) 应实现操作系统和数据库系统特权顾客权限分离；d) 应严格限制默认帐户访问权限，重命名系统默认帐户，修改这些帐户默认口令；e) 应立即删除多余、过期帐户，避免共享帐户存在f) 应对核心信息资源设立敏感标记；g) 应根据安全方略严格控制顾客对有敏感标记核心信息资源操作；1.1.3.3　 安全审计（G3）本项规定涉及：a) 审计范畴应覆盖到服务器和核心顾客端上每个操作系统顾客和数据库顾客；b) 审计内容应涉及核心顾客行为、系统资源异常使用和核心系统命令使用等系统内核心安全有关事件；c) 审计记录应涉及事件日期、时间、类型、主体标记、客体标记和成果等； d) 应可以根据记录数据进行分析，并生成审计报表；e) 应保护审计进程，避免受到未预期中断；f) 应保护审计记录，避免受到未预期删除、修改或覆盖等。

1.1.3.4　 剩余信息保护（S3）本项规定涉及：a) 应保证操作系统和数据库系统顾客鉴别信息所在寄存空间，被释放或再分派给其他顾客前得到完全清除，不管这些信息是寄存在硬盘上还是在内存中；b) 应保证系统内文献、目录和数据库记录等资源所在寄存空间，被释放或重新分派给其他顾客前得到完全清除1.1.3.5　 入侵防备（G3）本项规定涉及：a) 应可以检测到对核心服务器进行入侵行为，可以记录入侵源IP、袭击类型、袭击目旳、袭击时间，并在发生严重入侵事件时提供报警；b) 应可以对核心程序完整性进行检测，并在检测到完整性受到破坏后具有恢复措施；c) 操作系统应遵循最小安装原则，仅安装需要组件和应用程序，并通过设立升级服务器等措施保持系统补丁立即得到更新1.1.3.6　 歹意代码防备（G3）本项规定涉及：a) 应安装防歹意代码软件，并立即更新防歹意代码软件版本和歹意代码库；b) 主机防歹意代码产品应具有和网络防歹意代码产品不同样歹意代码库；c) 应支持防歹意代码统一管理1.1.3.7　 资源控制（A3）本项规定涉及：a) 应通过设定终端接入措施、网络地址范畴等条件限制终端登录；b) 应根据安全方略设立登录终端操作超时锁定；c) 应对核心服务器进行监视，涉及监视服务器CPU、硬盘、内存、网络等资源使用状况；d) 应限制单个顾客对系统资源最大或最小使用限度；e) 应可以对系统服务水平减少到预先规定最小值进行检测和报警。

1.1.4　 应用安全1.1.4.1　 身份鉴别（S3）本项规定涉及：a) 应提供专用登录控制模块对登录顾客进行身份标记和鉴别； b) 应对同一顾客采用两种或两种以上组合鉴别技术实现顾客身份鉴别；c) 应提供顾客身份标记唯一和鉴别信息复杂度检查功能，保证应用系统中不存在反复顾客身份标记，身份鉴别信息不易被冒用；d) 应提供登录失败解决功能，可采用结束会话、限制非法登录次数和自动退出等措施；e) 应启用身份鉴别、顾客身份标记唯一性检查、顾客身份鉴别信息复杂度检查和登录失败解决功能，并根据安全方略配备有关参数1.1.4.2　 访问控制（S3）本项规定涉及：a) 应提供访问控制功能，根据安全方略控制顾客对文献、数据库表等客体访问；b) 访问控制覆盖范畴应涉及和资源访问有关主体、客体及它们之间操作；c) 应由授权主体配备访问控制方略，并严格限制默认帐户访问权限；d) 应授予不同样帐户为完毕各自承当任务所需最小权限，并在它们之间形成互相制约关系e) 应具有对核心信息资源设立敏感标记功能；f) 应根据安全方略严格控制顾客对有敏感标记核心信息资源操作；1.1.4.3　 安全审计（G3）本项规定涉及：a) 应提供覆盖到每个顾客安全审计功能，相应用系统核心安全事件进行审计；b) 应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；c) 审计记录内容至少应涉及事件日期、时间、建议者信息、类型、描述和成果等；d) 应提供对审计记录数据进行记录、查询、分析及生成审计报表功能。

1.1.4.4　 剩余信息保护（S3）本项规定涉及：a) 应保证顾客鉴别信息所在寄存空间被释放或再分派给其他顾客前得到完全清除，不管这些信息是寄存在硬盘上还是在内存中；b) 应保证系统内文献、。