等級保護第三級基本要求

1、等級保護第三級基本要求等級保護要第求三級基本實施建議殘留問 題1.1.1 物理安全 物理位置的選擇（G3）本項要求包括： a） 機房和辦公 場地應(yīng)選擇在具 有防震、防風(fēng)和 防雨等能力的建 筑內(nèi)；b） 機房場地應(yīng) 避免設(shè)在建筑物 的高層或地下 室，以及用水設(shè) 備的下層或隔 壁。一般選擇在建筑 物 2-3 層。（同 B 類安全機房的 選址要求。）（G3） 本物理訪問控制 項要求包括： a） 機房出入口 應(yīng)安排專人值 守，控制、鑒別 和記錄進入的人 員；b） 需進入機房 的來訪人員應(yīng)經(jīng) 過申請和審批流 程，并限制和監(jiān) 控其活動范圍；c） 應(yīng)對機房劃 分區(qū)域進行管 理，區(qū)域

2、和區(qū)域 之間設(shè)置物理隔 離裝置，在重要 區(qū)域前設(shè)置交付 或安裝等過渡區(qū) 域；重要區(qū)域物理隔 離，并安裝電子 門禁系統(tǒng)（北京 天宇飛翔，深圳 微耕，瑞士 KABA 或 德 國 KABA Gallenschutz ）d) 重要區(qū)域應(yīng) 配置電子門禁系 統(tǒng)，控制、鑒別 和記錄進入的人 員。 防盜竊和 (G3) 本項要求a) 應(yīng)將 備放置 內(nèi)；防破壞包括： 主要設(shè) 在機房b) 應(yīng)將設(shè)備或 主要部件進行固 定，并設(shè)置明顯 的不易除去的標(biāo) 記；使用機柜并在設(shè) 備上焊接銘牌， 標(biāo)明設(shè)備型號、 負(fù)責(zé)保管人員、 維護單位等信 息。(設(shè)備銘牌 只能被破壞性地 去除。)c) 應(yīng)將 纜鋪設(shè) 處，可鋪 下或

3、管道d) 應(yīng)對 類標(biāo)識， 介質(zhì)庫或通信線 在隱蔽 設(shè)在地 中； 介質(zhì)分 存儲在 檔案室e) 應(yīng)利用光、 電等技術(shù)設(shè)置機 房防盜報警系 統(tǒng)；機房安裝光電防 盜報警系統(tǒng)。f) 應(yīng)對機房設(shè) 置監(jiān)控報警系 統(tǒng)。機房安裝視頻監(jiān) 控報警系統(tǒng)。 防雷擊( G3) 本項要求包括： a) 機房建筑應(yīng) 設(shè)置避雷裝置；b) 應(yīng)設(shè)置防雷 保安器，防止感 應(yīng)雷；安裝 雷器 防雷 雷太電源三級防和信號二級 器(美國克ALLTEC)。c)機房應(yīng)設(shè)置交流電源地線。 防火( G3) 本項要求包括 a) 機房應(yīng)設(shè) 火災(zāi)自動消防 統(tǒng)，能夠自動 測火情、自動 警，并自動滅置 系 檢 報 火；安自裝動有滅火

4、管系網(wǎng)統(tǒng)氣體。b) 機房及相關(guān) 的工作房間和輔 助房應(yīng)采用具有 耐火等級的建筑 材料；進行 使用 修。機防房火改材造料，裝c) 機房應(yīng)采取 區(qū)域隔離防火措 施，將重要設(shè)備 與其他設(shè)備隔離 開。進重行要機區(qū)域房使改用造，防火玻璃隔斷。 防水和防潮( 本項要求包括a) 水管安裝 不得穿過機房 頂和活動地 下；b) 應(yīng)采取措 防止雨水通過 房窗戶、屋頂 墻壁滲透；c) 應(yīng)采取措 防止機房內(nèi)水 氣結(jié)露和地下 水的轉(zhuǎn)移與 透；G3)屋，板施機和施蒸 積滲d） 應(yīng)安裝 敏感的檢測 或元件，對 進行防水檢 報警。對水 儀表 機房 測和安裝機 境監(jiān)控 機房設(shè) 狀態(tài)、 度、潔房動力環(huán) 系統(tǒng)（對 備

5、的運行 溫度、濕 凈度、供電的電 頻率、 的開關(guān) 漏系統(tǒng) 時監(jiān)控 史數(shù)據(jù) 含漏置。壓、電流、 配電系統(tǒng) 狀態(tài)、測 等進行實 并記錄歷 ），其中 水檢測裝 防靜電（ G3） 本項要求包括： a） 主要設(shè)備應(yīng) 采用必要的接地 防靜電措施；b） 機房應(yīng)采用 防靜電地板。 溫濕度控制 機房應(yīng)設(shè)置溫 度自動調(diào)節(jié)設(shè)施， 房溫、濕度的變化 備運行所允許的范 之內(nèi)。（G3）、濕 使機 在設(shè) 圍安裝精 統(tǒng)，配 檢測裝 入動力 系統(tǒng)。密空調(diào) 置溫濕 置，并 環(huán)境監(jiān)系 度 接 控 電力供應(yīng)（ A3） 本項要求包括：a） 應(yīng)在機房供 電線路上配置穩(wěn) 壓器和過電壓防 護設(shè)備；配

6、置線 和電源 （如金 可變電 崩二極 放電管 電壓調(diào) 和浪涌路穩(wěn)壓 保護裝 屬氧化 阻、硅 管、氣 、濾波 整變壓 濾波器器置 物 雪 體 器、 器 ）。b） 應(yīng)提供短期 的備用電力供 應(yīng)，至少滿足主 要設(shè)備在斷電情為主要設(shè)備配置 UPS。況下 要求的正常運行；c) 應(yīng)設(shè)置冗余 或并行的電力電 纜線路為計算機系統(tǒng)供電；d) 應(yīng)建立備用 供電系統(tǒng)。提供備用供 統(tǒng)，并根據(jù) 務(wù)恢復(fù)時間 求，制定備 電系統(tǒng)的切 間。電系 對業(yè) 的要 用供 換時0電 本項a) 方式 磁干 生耦b) 信線 設(shè)， 擾；磁防護( 要求包括 應(yīng)采用 防止外 擾和設(shè) 合干擾 電源線 纜應(yīng)隔 避免互S3) ： 接地

7、界電 備寄和通 離鋪 相干備c)和磁應(yīng)介對質(zhì)關(guān)實鍵施設(shè)電磁屏蔽。采用屏蔽機柜。1.1.2 網(wǎng)絡(luò)安全 結(jié)構(gòu)安全( G3)本項要求包括：a) 應(yīng)保證主要 網(wǎng)絡(luò)設(shè)備的業(yè)務(wù) 處理能力具備冗 余空間，滿足業(yè) 務(wù)高峰期需要；b) 應(yīng)保證網(wǎng)絡(luò) 各個部分的帶寬 滿足業(yè)務(wù)高峰期 需要；c) 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù) 之間進行路由 制建立安全的 問路徑；器 控 訪d) 應(yīng)繪制與當(dāng)前運行情 的網(wǎng)絡(luò)拓 圖；況相撲結(jié)符構(gòu)e) 應(yīng) 門的工作 重要性和 信息的重 等因素， 同的子 段，并按 管理和控 則為各子 段分配地根據(jù)各 職能 所涉 要程 劃分 網(wǎng)或 照方 制的 網(wǎng)、 址段部、 及 度 不網(wǎng)便 原 網(wǎng) ；f

8、) 要網(wǎng)段 絡(luò)邊界 連接外 統(tǒng)，重 其他網(wǎng) 取可靠 離手段應(yīng)部處部要段的；避署且信網(wǎng)之技免將在息段間術(shù)重 網(wǎng) 接 接系 與 采 隔重要網(wǎng)段與其他 網(wǎng)段之間采用防 火墻或網(wǎng)閘進行 隔離。g) 務(wù)服務(wù) 序來指 配優(yōu)先 證在網(wǎng) 堵的時 護重要應(yīng)按的重定帶級別絡(luò)發(fā)候優(yōu)主機照對 要 寬 ，生 先 。業(yè) 次 分 保 擁 保在多個業(yè)務(wù)共用 的網(wǎng)絡(luò)設(shè)備上配 置QOS。訪問控制( G3) 本項要求包括：a) 應(yīng) 在網(wǎng)絡(luò)邊界部 署訪問控制設(shè) 備，啟用訪問控 制功能；b) 應(yīng) 能根據(jù)會話狀 態(tài)信息為數(shù)據(jù)流 提供明確的允許 / 拒絕訪問的能 力，控制粒度為 端口級；c) 應(yīng) 對進出網(wǎng)絡(luò)的 信息內(nèi)容進行過

9、 濾，實現(xiàn)對應(yīng)用 層 HTTP 、FTP 、 TELNET 、 SMTP 、POP3 等 協(xié)議命令級的控 制；d) 應(yīng)在會話處于非 活躍一定時間或 會話結(jié)束后終止 網(wǎng)絡(luò)連接；e) 應(yīng)限制網(wǎng)絡(luò)最大 流量數(shù)及網(wǎng)絡(luò)連 接數(shù)；f) 重 要網(wǎng)段應(yīng)采取 技術(shù)手段防止地 址欺騙；g) 應(yīng)按用戶和系統(tǒng) 之間的允許訪問 規(guī)則，決定允許 或拒絕用戶對受 控系統(tǒng)進行資源 訪問，控制粒度 為單個用戶；在防火網(wǎng)絡(luò)墻邊。界部署h) 應(yīng)限制具有撥訪數(shù)問量權(quán)。限的用戶 安全審計( G3)本項要求包括：a) 應(yīng) 對網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量用戶行為等進行 日志記錄；中、b) 審 計 記 錄括：事件的和時

10、間、用事件類型、是否成功及 與審計相關(guān) 息；應(yīng) 日期 戶、 事件 其他 的信包c) 應(yīng) 能夠根據(jù)記錄 數(shù)據(jù)進行分析， 并生成審計報 表；d) 應(yīng) 對審計記錄進 行保護，避免受 到未預(yù)期的刪 除、修改或覆蓋 等。 邊界完整性檢查 (S3) 本項要求包括：a) 應(yīng)能夠?qū)Ψ鞘跈?quán) 設(shè)備私自聯(lián)到內(nèi) 部網(wǎng)絡(luò)的行為進 行檢查，準(zhǔn)確定 出位置，并對其 進行有效阻斷；部署專業(yè)的日 志審計系 統(tǒng)。部署終端安全 管理系統(tǒng)， 利用 IP/MAC 綁 定 及 ARP 阻斷功能 實現(xiàn)非法 接入控制。絡(luò)用戶私自聯(lián)到 外部網(wǎng)絡(luò)的行為 進行檢查，準(zhǔn)確 定出位置，并對 其進行有效阻 斷。 入侵防范(

11、G3) 本項要求包括：a) 應(yīng) 在網(wǎng)絡(luò)邊界處 監(jiān)視以下攻擊行 為：端口掃描、 強力攻擊、木馬 后門攻擊、拒絕 服務(wù)攻擊、緩沖 區(qū)溢出攻擊、 IP 碎片攻擊和網(wǎng)絡(luò) 蠕蟲攻擊等；部署終端安全 管理系統(tǒng)， 提供非法 外聯(lián)監(jiān)控 功能統(tǒng)部署。入侵檢測系b) 當(dāng)檢測到攻擊行 為時，記錄攻擊 源 IP 、攻擊類型、 攻擊目的、攻擊時間，在發(fā)生嚴(yán)重入侵 提供報事件時應(yīng) 警。 惡 意(G3) 本項要求包a) 應(yīng)在網(wǎng) 對惡意 檢測和b) 應(yīng)維護 庫的升 系統(tǒng)的代碼防范括： 絡(luò)邊界處 代碼進行 清除； 惡意代碼 級和檢測 更新。部關(guān)系署病統(tǒng)毒。過濾網(wǎng) 網(wǎng) 絡(luò) 設(shè) 備 防 護 (G3)本項

12、要求包括：a) 應(yīng)對登 備的用 份鑒別錄網(wǎng)絡(luò)設(shè) 戶進行身 ；b) 應(yīng)對網(wǎng) 管理員 進行限絡(luò)設(shè)備的 登錄地址 制；c)網(wǎng)標(biāo)識絡(luò)應(yīng)設(shè)唯備一用；戶的d）主 對 兩 組 來要網(wǎng)絡(luò)設(shè)備應(yīng)同一用戶選擇種或兩種以上合的鑒別技術(shù) 進行身份鑒采用動態(tài)電子令牌身份 認(rèn)證系統(tǒng) （ 如 RSA SecurID ）。別 e）身具的有定 f） 定應(yīng)處處取制和接 g）等當(dāng) g）當(dāng)行應(yīng)防網(wǎng)被； 份鑒別信息 有不易被冒 特點，口令 復(fù)雜度要求 期更換； 具有登錄失 理功能，可 結(jié)束會話、 非法登錄次 當(dāng)網(wǎng)絡(luò)登錄 超時自動退 措施； 對網(wǎng)絡(luò)設(shè)備 遠(yuǎn)程管理時 采取必要措 止鑒別信息 絡(luò)傳輸過程 竊聽；應(yīng) 用 應(yīng) 并敗 采 限 數(shù)

13、連 出進，施 在 中特 備權(quán) 設(shè)的 現(xiàn)的 實戶 應(yīng)用 ) h權(quán)分1.1.3 主機安全 身份鑒別（ S3）本項要求包括：a) 應(yīng)對登錄操 作系統(tǒng)和數(shù)據(jù)庫 系統(tǒng)的用戶進行 身份標(biāo)識和鑒 別；采用操作系統(tǒng)和 數(shù)據(jù)庫系統(tǒng)安全 評估和加固服 務(wù)。b) 操作系統(tǒng)和 數(shù)據(jù)庫系統(tǒng)管理 用戶身份標(biāo)識應(yīng) 具有不易被冒用 的特點，口令應(yīng) 有復(fù)雜度要求并 定期更換；c) 應(yīng)啟用登錄 失敗處理功能， 可采取結(jié)束會 話、限制非法登 錄次數(shù)和自動退 出等措施；d) 當(dāng)對服務(wù)器 進行遠(yuǎn)程管理 時，應(yīng)采取必要 措施，防止鑒別 信息在網(wǎng)絡(luò)傳輸 過程中被竊聽；e) 應(yīng)為操作系 統(tǒng)和數(shù)據(jù)庫系統(tǒng) 的不同用戶分配 不同的用

14、戶名， 確保用戶名具有 唯一性。f) 應(yīng)采用兩種 或兩種以上組合 的鑒別技術(shù)對管 理用戶進行身份 鑒別。采用動態(tài)電子令牌身份 認(rèn)證系統(tǒng) ( 如 RSA SecurID )。訪問控制（ S3） 應(yīng)啟用訪問 控制功能，依據(jù) 本項要求包括：a安全策略控制用 戶對資源的訪 問；b）應(yīng)根據(jù)管理 用戶的角色分配 權(quán)限，實現(xiàn)管理 用戶的權(quán)限分 離，僅授予管理 用戶所需的最小 權(quán)限；c）應(yīng)實現(xiàn)操作 系統(tǒng)和數(shù)據(jù)庫系 統(tǒng)特權(quán)用戶的權(quán) 限分離；d）應(yīng)嚴(yán)格限制 默認(rèn)帳戶的訪問 權(quán)限，重命名系 統(tǒng)默認(rèn)帳戶，修 改這些帳戶的默 認(rèn)口令；e）應(yīng)及時刪除 多余的、過期的 帳戶，避免共享 帳戶的存在。f）應(yīng)對重要

15、信 息資源設(shè)置敏感 標(biāo)記；g）應(yīng)依據(jù)安全 策略嚴(yán)格控制用 戶對有敏感標(biāo)記 重要信息資源的 操作；采用安全操作 系統(tǒng)（如一 些國產(chǎn) Linux 操作 系統(tǒng)或 B1 級操作系 統(tǒng)）或在 C系2統(tǒng)級中操作安 裝內(nèi)核加 固軟件（如 浪 潮 SSR 服務(wù)器安 全加固系 統(tǒng)-適用 Windows ） 。安全審計（ G3）本項要求包括： 安全審計（ G3）a) 審計 覆蓋到服 重要客戶 每個操作 戶和數(shù)范圍應(yīng) 務(wù)器和 端上的 系統(tǒng)用 據(jù)庫用服務(wù)器開啟日志 功能；重要客戶 端安裝終端安全 管理軟件進行審 計。戶包 為 異 異系 等 安包 期 主標(biāo)； b) 審計括重要 、系統(tǒng) 常使用 統(tǒng)命令 系統(tǒng)

16、內(nèi) 全相關(guān) c) 審計 括事 、時間 體標(biāo)識 識和結(jié)內(nèi)容應(yīng) 用戶行 資源的 和重要 的使用 重要的 事件； 記錄應(yīng) 件的日 、類型、 、客體 果等；記 析 報d) 應(yīng)能 錄數(shù)據(jù) ，并生 表；夠根據(jù) 進行分 成審計采用專業(yè)的日志 審計系統(tǒng)。進e) 應(yīng)保護審計 程，避免受到 預(yù)期的中斷；服務(wù)器采用安全 操作系統(tǒng)或安裝 內(nèi)核加固軟件， 對審計進程進行 守護，防止進程 中斷；重要客戶 端的終端安全管 理代理進程具有 自我保護機制。記未修f) 應(yīng)保護審計 錄，避免受到 預(yù)期的刪除、 改或覆蓋等。采用專業(yè)的日志 審計系統(tǒng)。 剩余信 息保 護 （S3） 本項要求包括：a） 應(yīng)保證操作 系統(tǒng)和數(shù)

17、據(jù)庫系采用安全操作系 統(tǒng)（如一些國產(chǎn) Linux 操 作 系 統(tǒng) 或 B1 級 操 作 系 統(tǒng)）或安裝統(tǒng)用戶的鑒別信 息所在的存儲空 間，被釋放或再 分配給其他用戶 前得到完全清 除，無論這些信 息是存放在硬盤 上還是在內(nèi)存 中；b） 應(yīng)確保系統(tǒng) 內(nèi)的文件、目錄 和數(shù)據(jù)庫記錄等 資源所在的存儲 空間，被釋放或 重新分配給其他 用戶前得到完全 清除。Windows平 臺 的 剩余信息保護軟 件。（同客體重 用。） 入侵防范（ G3）本項要求包括：a） 應(yīng)能夠檢測 到對重要服務(wù)器 進行入侵的行 為，能夠記錄入 侵的源 IP 、攻擊 的類型、攻擊的 目的、攻擊的時 間，并在發(fā)生嚴(yán) 重入

18、侵事件時提 供報警；采用主機或網(wǎng)絡(luò) 入侵檢測系統(tǒng)。b） 應(yīng)能夠?qū)χ?要程序的完整性 進行檢測，并在 檢測到完整性受采用安全操作系 統(tǒng)或安裝內(nèi)核加 固軟件。到破 復(fù)的壞后具有恢 措施；遵c）循原則操作系統(tǒng)應(yīng) 最小安裝的 ，僅安裝需采用操作系統(tǒng)安 全評估和加固服 務(wù)，并部署補丁 服務(wù)器。要的組件和 程序，并通 置升級服務(wù) 方式保持系 丁及時得 新。應(yīng)用過設(shè)器等統(tǒng)補到更 惡 意 （G3） 本項要求a） 意代 及時 代碼 惡意 代b碼） 與網(wǎng) 碼產(chǎn) 意代c） 意代 理。代碼防范 包括： 應(yīng)安裝防惡 碼軟件，并 更新防惡意 軟件版本和 代碼庫； 主機防惡意 產(chǎn)品應(yīng)具有 絡(luò)防惡意代 品不同的

19、惡 碼庫； 應(yīng)支持防惡 碼的統(tǒng)一管安裝網(wǎng)絡(luò)版防病 毒軟件并與病毒 過濾網(wǎng)關(guān)異構(gòu)。 資源控制（ A3）本項要求包括：終端 網(wǎng)絡(luò) 條件 錄； b）策略 端的 定；應(yīng)通過設(shè)定 接入方式、 地址范圍等 限制終端登應(yīng)根據(jù)安全 設(shè)置登錄終 操作超時鎖采用操作系統(tǒng)安 全評估和加固服 務(wù)。c) 應(yīng)對重要服 務(wù)器進行監(jiān)視， 包括監(jiān)視服務(wù)器 的CPU、硬盤、內(nèi) 存、網(wǎng)絡(luò)等資源采用操作系統(tǒng)附 帶或第三方資源 監(jiān)控軟件。的 d 用 的 用 統(tǒng)e 低 最 和使用情況； ) 應(yīng)限制單個 戶對系統(tǒng)資源 最大或最小使 限度；) 應(yīng)能夠?qū)ο?的服務(wù)水平降 到預(yù)先規(guī)定的 小值進行檢測 報警。1.1.4 應(yīng)用安全1.

20、1.4.1 身份鑒別( S3)本項要求包括：a) 應(yīng)提供專用 的登錄控制模塊 對登錄用戶進行 身份標(biāo)識和鑒 別；進行應(yīng)用系統(tǒng)二 次開發(fā)。份采認(rèn)用數(shù)證字系統(tǒng)證書身b) 應(yīng)對同一用 戶采用兩種或兩 種以上組合的鑒 別技術(shù)實現(xiàn)用戶 身份鑒別；c) 應(yīng)提供用戶 身份標(biāo)識唯一和 鑒別信息復(fù)雜度 檢查功能，保證 應(yīng)用系統(tǒng)中不存 在重復(fù)用戶身份 標(biāo)識，身份鑒別 信息不易被冒用；d) 應(yīng)提 失敗處理功 可采取結(jié) 話、限制非 錄次數(shù)和自供登錄能，束會法登動退進行應(yīng)用系統(tǒng)二 次開發(fā)。出等 e)鑒別 標(biāo) 查、 別信 查以 處理據(jù)安 相關(guān)措施； 應(yīng)啟用身 、用戶身 識唯一性 用戶身份 息復(fù)雜度 及登錄失 功能，并 全

21、策略配 參數(shù)。份 份檢鑒 檢 敗 根 置 訪問控制(S3)本項要求包括：a) 應(yīng)提供訪 控制功能，依 安全策略控制 戶對文件、數(shù) 庫表等客體的 問；b) 訪問控制 覆蓋范圍應(yīng)包 與資源訪問相 的主體、客體 它們之間的 作；c) 應(yīng)由授權(quán) 體配置訪問控 策略，并嚴(yán)格 制默認(rèn)帳戶的 問權(quán)限；d) 應(yīng)授予不 帳戶為完成各 承擔(dān)任務(wù)所需 最小權(quán)限，并問 據(jù) 用據(jù) 訪的 括 關(guān) 及操主 制 限 訪同 自 的 在進行應(yīng)用系統(tǒng)二 次開發(fā)，并結(jié)合 采用第三方身份 認(rèn)證和訪問控制 系統(tǒng)。它互們制之約間的形關(guān)成系相。e） 要信 敏 能； 策f）略 戶對 重要 操作應(yīng)具有對重 息資源設(shè)置 感標(biāo)記的功應(yīng)

22、依據(jù)安全嚴(yán)格控制用有敏感標(biāo)記 信息資源的 ；借助安全操作系 統(tǒng)或內(nèi)核加固軟 件提供的強制訪 問控制功能實 現(xiàn)。 安全審計（ G3）本項要求包括：a） 到每 全審 應(yīng)用 全 計； 計單b；獨） 程， 修改 記錄c） 內(nèi)容 事件 間、應(yīng)提供覆蓋 個用戶的安 計功能，對 系統(tǒng)重要安 事件進行審應(yīng)保證無法 中斷審計進 無法刪除、 或覆蓋審計 ； 審計記錄的 至少應(yīng)包括 的日期、時 發(fā)起者信息、采用網(wǎng)絡(luò)審計結(jié) 合日志審計實 現(xiàn)；應(yīng)用服務(wù)器 采用安全操作系 統(tǒng)或安裝內(nèi)核加 固軟件，對審計 進程進行守護， 防止進程中斷。果等；同主機安全d) 應(yīng)提供對審 計記錄數(shù)據(jù)進行 統(tǒng)計、查詢、分 析及生成

23、審計報 表的功能 剩余 信 息保 護 (S3) 本項要求包括：a) 應(yīng)保證用戶 鑒別信息所在的 存儲空間被釋放 或再分配給其他 用戶前得到完全 清除，無論這些 信息是存放在硬 盤上還是在內(nèi)存 中；b) 應(yīng)保證系統(tǒng) 內(nèi)的文件、目錄 和數(shù)據(jù)庫記錄等 資源所在的存儲 空間被釋放或重 新分配給其他用 戶前得到完全清 除。通信完整性（S3）應(yīng)采用密碼技術(shù)保證 通信過程中數(shù)據(jù)的完 整性通信保密性（S3） 本項要求包括：a） 在通信雙方 建立連接之前， 應(yīng)用系統(tǒng)應(yīng)利用 密碼技術(shù)進行會 話初始化驗證；b） 應(yīng)對通信過 程中的整個報文 或會話過程進行 加密。抗抵賴（ G3） 本項要求

24、包括：a） 應(yīng)具有在請 求的情況下為數(shù) 據(jù)原發(fā)者或接收 者提供數(shù)據(jù)原發(fā)證據(jù)的功能b） 應(yīng)具有在請求的情況下為數(shù) 據(jù)原發(fā)者或接收 者提供數(shù)據(jù)接收 證據(jù)的功能 軟件容錯（ A3） 本項要求包括：a） 應(yīng)提供數(shù)據(jù) 有效性檢驗功 能，保證通過人 機接口輸入或通 過通信接口輸入 的數(shù)據(jù)格式或長 度符合系統(tǒng)設(shè)定 要求；b） 應(yīng)提供自動采 用 SSL 或 IPSEC 技術(shù)，結(jié) 合基于數(shù)字證書 的 PKI 體系。進次開行應(yīng)發(fā)用。系統(tǒng)二保護功能，當(dāng)故障發(fā)生時自動保 護當(dāng)前所有狀 態(tài)，保證系統(tǒng)能 夠進行恢復(fù)。 資源控制( A3) 本項要求包括：a) 當(dāng)應(yīng)用系

25、統(tǒng) 的通信雙方中的 一方在一段時間 內(nèi)未作任何響 應(yīng)，另一方應(yīng)能 夠自動結(jié)束會 話；b) 應(yīng)能夠?qū)ο?統(tǒng)的最大并發(fā)會 話連接數(shù)進行限 制；c) 應(yīng)能夠?qū)?個帳戶的多重并 發(fā)會話進行限 制；d) 應(yīng)能夠?qū)σ?個時間段內(nèi)可能 的并發(fā)會話連接 數(shù)進行限制；e) 應(yīng)能夠?qū)σ?個訪問帳戶或一 個請求進程占用 的資源分配最大 限額和最小限 額；f) 應(yīng)能夠?qū)ο?統(tǒng)服務(wù)水平降低進行應(yīng)用系統(tǒng)二 次開發(fā)或采用第 三方應(yīng)用監(jiān)控系 統(tǒng)。到預(yù)先規(guī)定的最小值進行檢測和 報警；g) 應(yīng)提供服務(wù) 優(yōu)先級設(shè)定功能 根 定 求 級，并在 據(jù)安全 訪問帳 進程 ，根據(jù) 配系統(tǒng)安裝后 策略設(shè) 戶或請 的優(yōu)先 優(yōu)先級 資源。1.1

26、.5 數(shù) 恢復(fù)據(jù)安全及備份 數(shù)據(jù)完整性(S3)本項要求包括：到 據(jù) 重 傳 性 在 錯 的a) 應(yīng) 系統(tǒng) 、鑒別 要業(yè)務(wù) 輸過程 受到破 檢測到 誤時采 恢復(fù)措能夠檢測 管理數(shù) 信息和 數(shù)據(jù)在 中完整 壞，并 完整性 取必要 施；采 用 SSL 或 IPSEC 技術(shù)，結(jié) 合基于數(shù)字證書 的 PKI 體系。到 據(jù)b) 應(yīng) 系統(tǒng) 、鑒別 要業(yè)務(wù)能夠檢測 管理數(shù) 信息和 數(shù)據(jù)在利用安全操作系 統(tǒng)或安裝內(nèi)核加 固軟件提供的文 件完整性保護功存儲過 性受到 在檢測 錯誤時 的恢復(fù)程中完整 破壞，并 到完整性 采取必要 措施。能或數(shù)據(jù)庫系統(tǒng) 提供的完整性保 護功能。 數(shù)據(jù)保密性

27、（ S3）本項要求包括：a） 應(yīng)采用加密 或其他有效措施 實現(xiàn)系統(tǒng)管理數(shù) 據(jù)、鑒別信息和 重要業(yè)務(wù)數(shù)據(jù)傳 輸保密性；采 用 SSL 或 IPSEC 技術(shù)，結(jié) 合基于數(shù)字證書 的 PKI 體系。b） 應(yīng)采用加密 或其他保護措施 實現(xiàn)系統(tǒng)管理數(shù) 據(jù)、鑒別信息和 重要業(yè)務(wù)數(shù)據(jù)存 儲保密性。利用操作系統(tǒng)和 數(shù)據(jù)庫系統(tǒng)提供 的加密存儲機 制。 備份和恢復(fù)（A3）本項要求包括：a） 應(yīng)提供本地 數(shù)據(jù)備份與恢復(fù) 功能，完全數(shù)據(jù) 備份至少每天一 次，備份介質(zhì)場 外存放；采用磁帶機或光 盤備份。數(shù)b據(jù)） 利用 關(guān)鍵 量傳 地；應(yīng) 備 通 數(shù) 送提供異 份功能， 信網(wǎng)絡(luò)將 據(jù)定時批 至備用場地采用異

28、地數(shù)據(jù)備 份機制。c） 應(yīng)采用冗余 技術(shù)設(shè)計網(wǎng)絡(luò)拓 撲結(jié)構(gòu)，避免關(guān) 鍵節(jié)點存在單點 故障；關(guān)鍵節(jié)點設(shè)備采 用雙機熱備份。網(wǎng)d絡(luò)） 設(shè)應(yīng)備提、供通主信要線路和數(shù)據(jù)處理 系統(tǒng)的硬件冗 余，保證系統(tǒng)的 主要網(wǎng)絡(luò)設(shè)備、 服務(wù)器雙機熱備 份，主要通信線 路雙線路備份。1.2管理要求.1.1體系。務(wù)，幫助用戶建 立全面的信息安 全管理制度體 系，包括制定安 全策略、管理制 度和操作規(guī)程 等，并協(xié)助用戶 對管理制度進行 發(fā)布、評審和修訂。管理制度( G3) 本項要求包括：a) 應(yīng)制定信息 安全工作的總體 方針和安全策 略，說明機構(gòu)安 全工作的總體目 標(biāo)、范圍、原則 和安全框架等；b) 應(yīng)對安

29、全管 理活動中的各類 管理內(nèi)容建立安 全管理制度；c) 應(yīng)對要求管 理人員或操作人 員執(zhí)行的日常管 理操作建立操作 規(guī)程；d) 應(yīng)形成由安 全策略、管理制 度、操作規(guī)程等 構(gòu)成的全面的信 息安全管理制度 制定和發(fā)布( G3) 本項要求包括：a) 應(yīng)指定或授 權(quán)專門的部門或 人員負(fù)責(zé)安全管 理制度的制定；b) 安全管理制 度應(yīng)具有統(tǒng)一的 格式，并進行版 本控制；c) 應(yīng)組織相關(guān) 人員對制定的安d) 安全管理制 度應(yīng)通過正式、 有效的方式發(fā) 布；e) 安全管理制 度應(yīng)注明發(fā)布范 圍，并對收發(fā)文 進行登記。評審和修訂(G3)本項要求包括：a) 信息安全領(lǐng) 導(dǎo)小組應(yīng)負(fù)責(zé)定

30、期組織相關(guān)部門 和相關(guān)人員對安 全管理制度體系 的合理性和適用 性進行審定；b) 應(yīng)定期或不 定期對安全管理 制度進行檢查和 審定，對存在不 足或需要改進的 安全管理制度進 行修訂安全管理咨詢服 務(wù)，幫助用戶建 立全面的安全管 理組織機構(gòu)，包 括在崗位設(shè)置、 人員配備、職責(zé) 定義等方面提供 合理建議.2.1安全管理機構(gòu) 崗位設(shè)置( G3) 本項要求包括：a) 應(yīng)設(shè)立信息 安全管理工作的 職能部門，設(shè)立 安全主管、安全 管理各個方面的 負(fù)責(zé)人崗位，并 定義各負(fù)責(zé)人的 職責(zé)；b) 應(yīng)設(shè)立系統(tǒng) 管理員、網(wǎng)絡(luò)管 理員、安全管理 員等崗位，并定 義各個工作崗位 的職責(zé)；c)

31、 應(yīng)成立指導(dǎo) 和管理信息安全 工作的委員會或 領(lǐng)導(dǎo)小組，其 高領(lǐng)導(dǎo)由單位主 管領(lǐng)導(dǎo)委任或授 權(quán)；d) 應(yīng)制定文件 明確安全管理機 構(gòu)各個部門和崗 位的職責(zé)、分工 和技能要求 人員配備( G3) 本項要求包括：a) 應(yīng)配備一定 數(shù)量的系統(tǒng)管理 員、網(wǎng)絡(luò)管理員、 安全管理員等；b) 應(yīng)配備專職 安全管理員，不 可兼任；d) 應(yīng)記錄審批 過程并保存審批 文檔 溝通和合作(G3) 本項要求包括：a) 應(yīng)加強各類 管理人員之間、 組織內(nèi)部機構(gòu)之 間以及信息安全 職能部門內(nèi)部的 合作與溝通，定 期或不定期召開 協(xié)調(diào)會議，共同c) 關(guān)鍵事務(wù)崗 位應(yīng)配備多人共 同管理 授權(quán)和審批(

32、G3) 本項要求包括：a) 應(yīng)根據(jù)各個 部門和崗位的職 責(zé)明確授權(quán)審批 事項、審批部門 和批準(zhǔn)人等；b) 應(yīng)針對系統(tǒng) 變更、重要操作、 物理訪問和系統(tǒng) 接入等事項建立 審批程序，按照 審批程序執(zhí)行審 批過程，對重要 活動建立逐級審 批制度；c) 應(yīng)定期審查 審批事項，及時 更新需授權(quán)和審 批的項目、審批 部門和審批人等 信息；協(xié)作處理信息安 全問題；b) 應(yīng)加強與兄 弟單位、公安機 關(guān)、電信公司的 合作與溝通；c) 應(yīng)加強與供 應(yīng)商、業(yè)界專家、 專業(yè)的安全公 司、安全組織的 合作與溝通；d) 應(yīng)建立外聯(lián) 單位聯(lián)系列表， 包括外聯(lián)單位名 稱、合作內(nèi)容、 聯(lián)系人和聯(lián)系方 式等信息；e) 應(yīng)聘請信息

33、 安全專家作為常 年的安全顧問， 指導(dǎo)信息安全建 設(shè)，參與安全規(guī) 劃和安全評審 等。 審核和檢查( G3) 本項要求包括：a) 安全管理員 應(yīng)負(fù)責(zé)定期進行 安全檢查，檢查 內(nèi)容包括系統(tǒng)日 常運行、系統(tǒng)漏 洞和數(shù)據(jù)備份等 情況；b) 應(yīng)由內(nèi)部人 員或上級單位定 期進行全面安全 檢查，檢查內(nèi)容 包括現(xiàn)有安全技性、安全配置與 安全策略的一致 性、安全管理制 度的執(zhí)行情況 等；c) 應(yīng)制定安全 檢查表格實施安 全檢查，匯總安 全檢查數(shù)據(jù)，形 成安全檢查報 告，并對安全檢 查結(jié)果進行通 報；d) 應(yīng)制定安全 審核和安全檢查 制度規(guī)范安全審 核和安全檢查工 作，定期按照程 序進行安全審核 和

34、安全檢查活 動。1.2.3 人員安全管理G3)務(wù)，協(xié)助用戶建 立人員安全管理 制度，涵蓋人員 錄用、離崗、考 核、教育，以及 對外部來訪人員 進行合理管理等各個方面。安全培訓(xùn)服務(wù)， 為用戶的各類人 員提供安全意識 教育、崗位安全 操作技能培訓(xùn)和 相關(guān)安全技術(shù)培 訓(xùn)等協(xié)議。限；b) 應(yīng)件取、回鑰各匙種、 人員錄用 本項要求包括：a) 應(yīng)指定或授 權(quán)專門的部門或 人員負(fù)責(zé)人員錄 用；b) 應(yīng)嚴(yán)格規(guī)范 人員錄用過程， 對被錄用人的身 份、背景、專業(yè) 資格和資質(zhì)等進 行審查，對其所 具有的技術(shù)技能 進行考核；c) 應(yīng)簽署保密 協(xié)議；d) 應(yīng)從內(nèi)部人 員中選拔從事關(guān) 鍵崗位的

35、人員， 并簽署崗位安全 人員離崗( G3) 本項要求包括：a) 應(yīng)嚴(yán)格規(guī)范 人員離崗過程， 及時終止離崗員 工的所有訪問權(quán)身份證件 徽身章份等證件以及機構(gòu) 提供的軟硬件設(shè) 備；c) 應(yīng)辦理嚴(yán)格 的調(diào)離手續(xù)，關(guān) 鍵崗位人員離崗 須承諾調(diào)離后的 保密義務(wù)后方可離開。 人員考核( G3) 本項要求包括：a) 應(yīng)定期對各 個崗位的人員進行安全技能及安 全認(rèn)知的考核； b) 應(yīng)對關(guān)鍵崗 位的人員進行全 面、嚴(yán)格的安全 審查和技能考 核；c) 應(yīng)對考核結(jié) 果進行記錄并保 存。 安全意識教育和 培訓(xùn)( G3) 本項要求包括：a) 應(yīng)對各類人 員進行安全意識 教育、崗

36、位技能 培訓(xùn)和相關(guān)安全 技術(shù)培訓(xùn)；b) 應(yīng)對安全責(zé) 任和懲戒措施進 行書面規(guī)定并告 知相關(guān)人員，對 違反違背安全策 略和規(guī)定的人員 進行懲戒；c) 應(yīng)對定期安 全教育和培訓(xùn)進 行書面規(guī)定，針 對不同崗位制定 不同的培訓(xùn)計 劃，對信息安全 基礎(chǔ)知識、崗位 操作規(guī)程等進行培訓(xùn)； d) 應(yīng) 育和培 和結(jié)果 并歸檔對安全教 訓(xùn)的情況 進行記錄 保存。 外部人員訪問管 理(G3) 本項要求包括：a) 應(yīng)確保在外 部人員訪問受控 區(qū)域前先提出書 面申請，批準(zhǔn)后 由專人全程陪同 或監(jiān)督，并登記 備案；b) 對外部人員 允許訪問的區(qū) 域、系統(tǒng)、設(shè)備、 信息等內(nèi)容應(yīng)進 行書面的規(guī)定， 并按照規(guī)定執(zhí)

37、 行。1.2.4 系統(tǒng)建設(shè)管理 系統(tǒng)定 本項要求包a) 應(yīng) 系統(tǒng)的 全保護b) 應(yīng) 形式說 息系統(tǒng) 全保護 法和理c) 應(yīng) 部門和 技術(shù)專 系統(tǒng)定 合理性級( G3) 括： 明確信息 邊界和安 等級； 等以級書；面的 明確定信 為某個安 等級的方 由； 組織相關(guān) 有關(guān)安全 家對信息 級結(jié)果的 和正確性等詢服級保務(wù)護。定級咨進行論證和審 定；d) 應(yīng)確保信息 系統(tǒng)的定級結(jié)果 經(jīng)過相關(guān)部門的批準(zhǔn)。 安 全 方 案 設(shè) 計 (G3) 本項要求包括：a) 應(yīng)根據(jù)系統(tǒng) 的安全保護等級 選擇基本安全措 施，并依據(jù)風(fēng)險 分析的結(jié)果補充 和調(diào)整安全措 施；b) 應(yīng)指定和授 權(quán)專門的

38、部門對 信息系統(tǒng)的安全 建設(shè)進行總體規(guī) 劃，制定近期和 遠(yuǎn)期的安全建設(shè) 工作計劃；c) 應(yīng)根據(jù)信息 系統(tǒng)的等級劃分 情況，統(tǒng)一考慮 安全保障體系的 總體安全策略、 安全技術(shù)框架、 安全管理策略、 總體建設(shè)規(guī)劃和 詳細(xì)設(shè)計方案，等級保護規(guī)劃咨 詢服務(wù)，按照安 全保護等級對信 息系統(tǒng)進行總體 安全規(guī)劃和詳細(xì) 方案設(shè)計。套文文件。并形 件；d) 應(yīng)組織相關(guān) 部門和有關(guān)安全 技術(shù)專家對總體 安全策略、安全 技術(shù)框架、安全 管理策略、總體 建設(shè)規(guī)劃、詳細(xì) 設(shè)計方案等相關(guān) 配套文件的合理 性和正確性進行 論證和審定，并 且經(jīng)過批準(zhǔn)后， 才能正式實施；e) 應(yīng)根據(jù)等級 測評、安全評估 的結(jié)果定期調(diào)整 和修訂

39、總體安全 策略、安全技術(shù) 框架、安全管理 略、總體建設(shè) 規(guī)劃、詳細(xì)設(shè)計 方案等相關(guān)配套 產(chǎn)品采購和使用G3)本項要求包括：a) 應(yīng)確保安全 產(chǎn)品采購和使用 符合國家的有關(guān) 規(guī)定；b) 應(yīng)確保密碼 產(chǎn)品采購和使用 符合國家密碼主 管部門的要求；c) 應(yīng)指定或授等級保護安全集 成服務(wù)，為用戶 提供安全產(chǎn)品供 貨、安全系統(tǒng)集 成(工程實施、 測試驗收、系統(tǒng) 交付)等服務(wù)。 安全管理咨詢服 務(wù)，幫助用戶指 定軟件開發(fā)和外包管理制度權(quán)專門的部門負(fù) 責(zé)產(chǎn)品的采購； d) 應(yīng)預(yù)先對產(chǎn) 品進行選型測 試，確定產(chǎn)品的 候選范圍，并定 期審定和更新候 選產(chǎn)品名單。G3) 自行軟件開發(fā)

40、本項要求包括： 應(yīng)確保開發(fā) 環(huán)境與實際運行 環(huán)境物理分開， 開發(fā)人員和測試 人員分離，測試 數(shù)據(jù)和測試結(jié)果 受到控制；b) 應(yīng)制定軟件 開發(fā)管理制度， 明確說明開發(fā)過 程的控制方法和 人員行為準(zhǔn)則；c) 應(yīng)制定代碼 編寫安全規(guī)范， 要求開發(fā)人員參 照規(guī)范編寫代 碼；d) 應(yīng)確保提供 軟件設(shè)計的相關(guān) 文檔和使用指 南，并由專人負(fù) 責(zé)保管；準(zhǔn)。e) 應(yīng)確保對程 序資源庫的修 改、更新、發(fā)布 進行授權(quán)和批外包軟件開發(fā)(本項G3要)求包括：a) 應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì) 量；b) 應(yīng)在軟件安 裝之前檢測軟件 包中可能存在的 惡意代碼；c) 應(yīng)要求開發(fā) 單位提供軟件設(shè) 計的相關(guān)文檔和 使用

41、指南；d) 應(yīng)要求開發(fā) 單位提供軟件源 代碼，并審查軟 件中可能存在的準(zhǔn)則。 測試驗收( G3)后門。 工程實施( G3) 本項要求包括：a) 應(yīng)指定或授 權(quán)專門的部門或 人員負(fù)責(zé)工程實 施過程的管理；b) 應(yīng)制定詳細(xì)的工 程實施方案控制 實施過程，并要 求工程實施單位 能正式地執(zhí)行安 全工程過程；c) 應(yīng)制定工程 實施方面的管理 制度，明確說明 實施過程的控制 方法和人員行為本項要求包括：a) 應(yīng)委托公正 的第三方測試單 位對系統(tǒng)進行安 全性測試，并出 具安全性測試報 告；b) 在測試驗收 前應(yīng)根據(jù)設(shè)計方 案或合同要求等 制訂測試驗收方 案，在測試驗收 過程中應(yīng)詳

42、細(xì)記 錄測試驗收結(jié) 果，并形成測試 驗收報告；c) 應(yīng)對系統(tǒng)測 試驗收的控制方 法和人員行為準(zhǔn) 則進行書面規(guī) 定；d) 應(yīng)指定或授 權(quán)專門的部門負(fù) 責(zé)系統(tǒng)測試驗收 的管理，并按照 管理規(guī)定的要求 完成系統(tǒng)測試驗 收工作；e) 應(yīng)組織相關(guān) 部門和相關(guān)人員 對系統(tǒng)測試驗收 報告進行審定， 并簽字確認(rèn)。 系統(tǒng)交付( G3) 本項要求包括：a) 應(yīng)制定詳細(xì) 的系統(tǒng)交付清 單，并根據(jù)交付清單對所交接的 設(shè)備、軟件和文 檔等進行清點；b) 應(yīng)對負(fù)責(zé)系 統(tǒng)運行維護的技 術(shù)人員進行相應(yīng) 的技能培訓(xùn)；c) 應(yīng)確保提供 系統(tǒng)建設(shè)過程中 的文檔和指導(dǎo)用 戶進行系統(tǒng)運行 維護的文檔；d) 應(yīng)對系統(tǒng)交 付

43、的控制方法和 人員行為準(zhǔn)則進 行書面規(guī)定；e) 應(yīng)指定或授 權(quán)專門的部門負(fù) 責(zé)系統(tǒng)交付的管 理工作，并按照 管理規(guī)定的要求 完成系統(tǒng)交付工 作。持服務(wù)，包括備 案材料準(zhǔn)備、等 級測評技術(shù)支撐 等服務(wù)。本項要求包括：的相關(guān)材料，并控 制這些材料的使 用；b) 應(yīng)將系統(tǒng)等級及相關(guān)材料報a) 應(yīng)指定專門 的部門或人員負(fù) 責(zé)管理系統(tǒng)定級系統(tǒng)主管部門備 案；c) 應(yīng)將系統(tǒng)等 級及其他要求的 備案材料報相應(yīng) 公安機關(guān)備案。0 等級測評( G3) 本項要求包括：a) 在系統(tǒng)運行 過程中，應(yīng)至少 每年對系統(tǒng)進行 一次等級測評， 發(fā)現(xiàn)不符合相應(yīng) 等級保護標(biāo)準(zhǔn)要 求的及時整改；b) 應(yīng)

44、在系統(tǒng)發(fā) 生變更時及時對 系統(tǒng)進行等級測 評，發(fā)現(xiàn)級別發(fā) 生變化的及時調(diào) 整級別并進行安 全改造，發(fā)現(xiàn)不 符合相應(yīng)等級保 護標(biāo)準(zhǔn)要求的及 時整改；c) 應(yīng)選擇具有 國家相關(guān)技術(shù)資測評 級測 d)權(quán)專 人員單位進行等 評； 應(yīng)指定或授 門的部門或 負(fù)責(zé)等級測評的管理。1 安 全 服 務(wù) 商 選 擇(G3)本項要求包括：a) 應(yīng)確保安全 服務(wù)商的選擇符 合國家的有關(guān)規(guī) 定；b) 應(yīng)與選定的 安全服務(wù)商簽訂 與安全相關(guān)的協(xié) 議，明確約定相 關(guān)責(zé)任；c) 應(yīng)確保選定 的安全服務(wù)商提 供技術(shù)培訓(xùn)和服務(wù)承諾，必要的 與其簽訂服務(wù)合 同。1.2.5 系統(tǒng)運維管理 環(huán)境管理( G3

45、)安全管理咨詢服本項要求包括：a) 應(yīng)指定專門 的部門或人員定 期對機房供配 電、空調(diào)、溫濕 度控制等設(shè)施進 行維護管理；b) 應(yīng)指定部門 負(fù)責(zé)機房安全， 并配備機房安全 管理人員，對機 房的出入、服務(wù) 器的開機或關(guān)機 等工作進行管 理；c) 應(yīng)建立機房 安全管理制度， 對有關(guān)機房物理 訪問，物品帶進、 帶出機房和機房 環(huán)境安全等方面 的管理作出規(guī) 定；d) 應(yīng)加強對辦 公環(huán)境的保密性 管理，規(guī)范辦公 環(huán)境人員行為， 包括工作人員調(diào) 離辦公室應(yīng)立即 交還該辦公室鑰 匙、不在辦公區(qū) 接待來訪人員、 工作人員離開座務(wù)，協(xié)助用戶制 定并落實如何對 環(huán)境、資產(chǎn)、介 質(zhì)、設(shè)備進行安 全管理的制度。位應(yīng)確

46、保終端計 算機退出登錄狀 態(tài)和桌面上沒有 包含敏感信息的 紙檔文件等。 資產(chǎn)管理( G3) 本項要求包括：a) 應(yīng)編制并保 存與信息系統(tǒng)相 關(guān)的資產(chǎn)清單， 包括資產(chǎn)責(zé)任部 門、重要程度和 所處位置等內(nèi) 容；b) 應(yīng)建立資產(chǎn) 安全管理制度， 規(guī)定信息系統(tǒng)資 產(chǎn)管理的責(zé)任人 員或責(zé)任部門， 并規(guī)范資產(chǎn)管理 和使用的行為；c) 應(yīng)根據(jù)資產(chǎn) 的重要程度對資 產(chǎn)進行標(biāo)識管 理，根據(jù)資產(chǎn)的 價值選擇相應(yīng)的 管理措施；d) 應(yīng)對信息分 類與標(biāo)識方法作 出規(guī)定，并對信 息的使用、傳輸 和存儲等進行規(guī) 范化管理。 介質(zhì)管理( G3) 本項要求包括：a) 應(yīng)建立介質(zhì) 安全管理制度， 對

47、介質(zhì)的存放環(huán)存放在安全的環(huán)境、使用、維護 和銷毀等方面作 出規(guī)定；b) 應(yīng)確保介質(zhì) 存放在安全的環(huán) 境中，對各類介 質(zhì)進行控制和保 護，并實行存儲 環(huán)境專人管理；c) 應(yīng)對介質(zhì)在 物理傳輸過程 的人員選擇、打 包、交付等情況 進行控制，對介 質(zhì)歸檔和查詢等 進行登記記錄， 并根據(jù)存檔介質(zhì) 的目錄清單定期 盤點； 盤d點) ；應(yīng)對存儲介 質(zhì)的使用過程、 送出維修以及銷 毀等進行嚴(yán)格的 管理，對帶出工 作環(huán)境的存儲介 質(zhì)進行內(nèi)容加密 和監(jiān)控管理，對 送出維修或銷毀 的介質(zhì)應(yīng)首先清 除介質(zhì)中的敏感 數(shù)據(jù)，對保密性 較高的存儲介質(zhì) 未經(jīng)批準(zhǔn)不得自 行銷毀；e) 應(yīng)根據(jù)數(shù)據(jù) 備份的需要對某 些介質(zhì)實行異

48、地 存儲，存儲地的環(huán)境要求和管理 方法應(yīng)與本地相 同；f) 應(yīng)對重要介 質(zhì)中的數(shù)據(jù)和軟 件采取加密存 儲，并根據(jù)所承 載數(shù)據(jù)和軟件的 重要程度對介質(zhì) 進行分類和標(biāo)識 管理。 設(shè)備管理( G3) 本項要求包括：a) 應(yīng)對信息系 統(tǒng)相關(guān)的各種設(shè) 備(包括備份和 冗余設(shè)備)、線 路等指定專門的 部門或人員定期 進行維護管理；b) 應(yīng)建立基于 申報、審批和專 人負(fù)責(zé)的設(shè)備安 全管理制度，對 信息系統(tǒng)的各種 軟硬件設(shè)備的選 型、采購、發(fā)放 和領(lǐng)用等過程進 行規(guī)范化管理；c) 應(yīng)建立配套 設(shè)施、軟硬件維 護方面的管理制 度，對其維護進 行有效的管理， 包括明確維護人 員的責(zé)任、涉外 維修和服

49、務(wù)的審 批、維修過程的監(jiān)督控制等； d） 應(yīng)對終端 算機、工作站、 便攜機、系統(tǒng)和 網(wǎng)絡(luò)等設(shè)備的操計作 范 作 設(shè) 和 啟 /斷 e 處 過 機 點和使用進行規(guī) 化管理，按操 規(guī)程實現(xiàn)主要 備（包括備份 冗余設(shè)備）的 動/ 停止、加 電等操作； ） 應(yīng)確保信 理設(shè)備必須經(jīng) 審批才能帶離 房或辦公。電 息地 監(jiān)控管理和安全 管理中心（ G3）本項要求包括：a） 應(yīng)對通信線 路、主機、網(wǎng)絡(luò) 設(shè)備和應(yīng)用軟件 的運行狀況、網(wǎng) 絡(luò)流量、用戶行 為等進行監(jiān)測和 報警，形成記錄 并妥善保存；網(wǎng)絡(luò)管理系統(tǒng)， 應(yīng)用監(jiān)控系統(tǒng)， 安全管理系統(tǒng)。b 人 和 分 現(xiàn) 成 采 措） 應(yīng)組織相關(guān) 員定期對監(jiān)測

50、 報警記錄進行 析、評審，發(fā) 可疑行為，形 分析報告，并 取必要的應(yīng)對 施；安全巡檢服務(wù)。管c）理中應(yīng)心建，立對安設(shè)全安全設(shè)備與策略 管理系統(tǒng)，網(wǎng)絡(luò)備狀態(tài)、惡意代 碼、補丁升級、 安全審計等安全 相關(guān)事項進行集 中管理。防病毒管理 心，終端安全管 理系統(tǒng)的補丁管 理模塊，安全信 息管理系統(tǒng)。中 網(wǎng) 絡(luò) 安 全 管 理 (G3)本項要求包括：a) 應(yīng)指定專人 對網(wǎng)絡(luò)進行管 理，負(fù)責(zé)運行日 志、網(wǎng)絡(luò)監(jiān)控記 錄的日常維護和 報警信息分析和 處理工作；日常安全運維服 務(wù)。b) 應(yīng)建立網(wǎng)絡(luò) 安全管理制度， 對網(wǎng)絡(luò)安全配 置、日志保存時 間、安全策略、 升級與打補丁、 口令更新周期等 方面作

51、出規(guī)定；安全管理咨詢服 務(wù)，協(xié)助用戶制 定并落實網(wǎng)絡(luò)安 全管理制度。c) 應(yīng)根據(jù)廠家 提供的軟件升級 版本對網(wǎng)絡(luò)設(shè)備 進行更新，并在 更新前對現(xiàn)有的 重要文件進行備 份；務(wù)日常。安全運維服d) 應(yīng)定期對網(wǎng) 絡(luò)系統(tǒng)進行漏洞 掃描，對發(fā)現(xiàn)的 網(wǎng)絡(luò)系統(tǒng)安全漏 洞進行及時的修 補；網(wǎng)絡(luò)安全評估和 加固服務(wù)。可購 置專業(yè)漏洞掃描 設(shè)備。e) 應(yīng)實現(xiàn)設(shè)備 的最小服務(wù)配務(wù)日常。安全運維服置件，進并行對定配期備份；置離文線與 接 批策策絕 式 入違違網(wǎng) 絡(luò) 為f) 應(yīng)保證所有 外部系統(tǒng)的連 均得到授權(quán)和 準(zhǔn)；g) 應(yīng)依據(jù)安全 略允許或者拒 便攜式和移動 設(shè)備的網(wǎng)絡(luò)接 ；h) 應(yīng)定期檢查 反規(guī)定撥號上 或其他違反網(wǎng) 安全策略的行 。采用終端安全管