信管网wengmingx***: [回复] 5 第一级基本要求
5.1 技术要求
5.1.1 物理安全
5.1.1.1 物理访问控制(g1)
机房出入应安排专人负责,控制、鉴别和记录进入的人员。
5.1.1.2 防盗窃和防破坏(g1)
本项要求包括:
a) 应将主要设备放置在机房内;
b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记。
5.1.1.3 防雷击(g1)
机房建筑应设置避雷装置。
5.1.1.4 防火(g1)
机房应设置灭火设备。
5.1.1.5 防水和防潮(g1)
本项要求包括:
a) 应对穿过机房墙壁和楼板的水管增加必要的保护措施;
b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
5.1.1.6 温湿度控制(g1)
机房应设置必要的温、湿度控制设施,使机房温、湿度的变化在设备运行所允许的范围之内。
5.1.1.7 电力供应(a1)
应在机房供电线路上配置稳压器和过电压防护设备。
5.1.2 网络安全
5.1.2.1 结构安全(g1)
本项要求包括:
a) 应保证关键网络设备的业务处理能力满足基本业务需要;
b) 应保证接入网络和核心网络的带宽满足基本业务需要;
c) 应绘制与当前运行情况相符的网络拓扑结构图。
5.1.2.2 访问控制(g1)
本项要求包括:
a) 应在网络边界部署访问控制设备,启用访问控制功能;
b) 应根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包出入;
c) 应通过访问控制列表对系统资源实现允许或拒绝用户访问,控制粒度至少为用户组。
5.1.2.3 网络设备防护(g1)
本项要求包括:
a) 应对登录网络设备的用户进行身份鉴别;
b) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
c) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
5.1.3 主机安全
5.1.3.1 身份鉴别(s1)
应对登录操作系统和数据库系统的用户进行身份标识和鉴别。
5.1.3.2 访问控制(s1)
本项要求包括:
a) 应启用访问控制功能,依据安全策略控制用户对资源的访问;
b) 应限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;
c) 应及时删除多余的、过期的帐户,避免共享帐户的存在。
5.1.3.3 入侵防范(g1)
操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并保持系统补丁及时得到更新。
5.1.3.4 恶意代码防范(g1)
应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。
5.1.4 应用安全
5.1.4.1 身份鉴别(s1)
本项要求包括:
a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别;
b) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
c) 应启用身份鉴别和登录失败处理功能,并根据安全策略配置相关参数。
5.1.4.2 访问控制(s1)
本项要求包括:
a) 应提供访问控制功能控制用户组/用户对系统功能和用户数据的访问;
b) 应由授权主体配置访问控制策略,并严格限制默认用户的访问权限。
5.1.4.3 通信完整性(s1)
应采用约定通信会话方式的方法保证通信过程中数据的完整性。
5.1.4.4 软件容错(a1)
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。
5.1.5 数据安全及备份恢复
5.1.5.1 数据完整性(s1)
应能够检测到重要用户数据在传输过程中完整性受到破坏。
5.1.5.2 备份和恢复(a1)
应能够对重要信息进行备份和恢复。
信管网aishuijuedey***: [回复] a
信管网北京市联通ADS***: [回复] d
信管网中***: [回复] 应用层面的
信管网广西南宁市电***: [回复] b
信管网sd***: [回复] 天津b
信管网clonst***: [回复] 《信息系统安全等级保护基本要求》 gb/t 22239-2008中有原文描述,7.1 技术要求
7.1.2 网络安全7.1.2.5 入侵防范(g3)b) 当检测到攻击行为时,记录攻击源ip、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
信管网上海市铁***: [回复] b
信管网安徽省合肥市电***: [回复] bbb
信管网辽宁省沈阳市电***: [回复] d
|