信息系統(tǒng)網(wǎng)絡(luò)安全檢查表（2024A0）

信息系統(tǒng)網(wǎng)絡(luò)安全檢查表檢查項(xiàng)內(nèi)容信息系統(tǒng)網(wǎng)絡(luò)安全檢查要點(diǎn)檢查結(jié)果安全管理制度制度體系有適用于網(wǎng)絡(luò)安全防護(hù)的總體方針和安全策略，說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等有適用于信息系統(tǒng)日常管理的操作規(guī)程，包括門禁、人員管理、訪問控制、設(shè)備、惡意代碼防范、審計(jì)、數(shù)據(jù)及系統(tǒng)的備份、賬號(hào)、培訓(xùn)等管理細(xì)則制定和發(fā)布制定適用全機(jī)構(gòu)范圍的安全管理制度，在保持主體內(nèi)容不變的前提下，結(jié)合自身實(shí)際編制差異性條款并報(bào)上級(jí)審批網(wǎng)絡(luò)安全管理制度具有規(guī)范的格式，并進(jìn)行版本控制網(wǎng)絡(luò)安全管理制度通過正式、有效的方式發(fā)布并組織實(shí)施評(píng)審和修訂根據(jù)外部環(huán)境與客觀情況的變化，定期組織對(duì)安全管理制度進(jìn)行適用性和有效性的評(píng)審、修訂，評(píng)審期限不宜超過3年安全管理機(jī)構(gòu)責(zé)任落實(shí)明確網(wǎng)絡(luò)安全管理的責(zé)任領(lǐng)導(dǎo)及其安全職責(zé)明確網(wǎng)絡(luò)安全管理崗位及其職責(zé)，明確該崗位人員要求明確信息系統(tǒng)相關(guān)業(yè)務(wù)主管、建設(shè)、運(yùn)維等部門的安全管理職責(zé)人員配備配備網(wǎng)絡(luò)安全管理人員，安全管理員不得兼任網(wǎng)絡(luò)管理、系統(tǒng)管理、數(shù)據(jù)庫(kù)管理、審計(jì)員等工作安全管理崗位指定第一、第二責(zé)任人授權(quán)和審批根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人等針對(duì)系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項(xiàng)建立審批程序；按照審批程序執(zhí)行審批過程，對(duì)重要活動(dòng)建立逐級(jí)審批制度，記錄審批過程并保存審批文檔每月一次審查審批事項(xiàng)，及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息溝通和合作加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息職能部門內(nèi)部的合作與溝通，定期或不定期召開協(xié)調(diào)會(huì)議，共同協(xié)作處理信息系統(tǒng)安全問題加強(qiáng)與兄弟單位、公安機(jī)關(guān)、專業(yè)機(jī)構(gòu)、上級(jí)主管部門的合作與溝通審核和檢查宜制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作，定期按照規(guī)范進(jìn)行安全審核和安全檢查活動(dòng)安全管理人員崗位安全職責(zé)確定信息系統(tǒng)建設(shè)、運(yùn)行、使用等相關(guān)崗位的安全職責(zé)設(shè)置專門的網(wǎng)絡(luò)安全管理崗位，配備安全管理人員，明確安全工作職責(zé)日常安全管理與關(guān)鍵崗位員工簽訂保密協(xié)議，明確信息安全保密的內(nèi)容和職責(zé)加強(qiáng)對(duì)員工使用的桌面辦公終端、移動(dòng)存儲(chǔ)介質(zhì)、文件資料等信息資產(chǎn)的日常安全管理，定期組織安全檢查，及時(shí)消除安全隱患培訓(xùn)與考核在員工入職培訓(xùn)時(shí)組織開展網(wǎng)絡(luò)安全培訓(xùn)，宣傳貫徹網(wǎng)絡(luò)安全管理要求根據(jù)工作需要定期組織員工參加網(wǎng)絡(luò)與網(wǎng)絡(luò)安全培訓(xùn)和基礎(chǔ)考試，定期對(duì)信息系統(tǒng)開發(fā)、運(yùn)維等關(guān)鍵崗位的人員進(jìn)行網(wǎng)絡(luò)安全技能考試外來人員安全管理加強(qiáng)對(duì)臨時(shí)來訪第三方人員和常駐外來工作人員的網(wǎng)絡(luò)安全管理加強(qiáng)第三方人員的出入登記和接待管理。嚴(yán)格控制第三方人員活動(dòng)區(qū)域。對(duì)臨時(shí)來訪第三方工作人員宜核對(duì)其身份并進(jìn)行登記，限制在受控區(qū)域活動(dòng)。對(duì)常駐外來工作人員，可根據(jù)工作需要授予其有時(shí)間和活動(dòng)區(qū)域限制的臨時(shí)出入證件第三方人員進(jìn)入機(jī)房等重要區(qū)域宜辦理審批登記手續(xù)并由相關(guān)管理人員全程陪同選擇安全可靠的第三方服務(wù)提供商并與其簽訂保密協(xié)議對(duì)常駐外來工作人員的相關(guān)專業(yè)資質(zhì)進(jìn)行審核，告知其網(wǎng)絡(luò)安全管理要求對(duì)在工作中可能會(huì)接觸到商業(yè)秘密信息的第三方人員宜簽訂保密協(xié)議根據(jù)工作需要為常駐外來工作人員統(tǒng)一配備計(jì)算機(jī)信息設(shè)備，為其分配IP地址，并由科技管理部門備案限制第三方的計(jì)算機(jī)等信息設(shè)備接入公司信息網(wǎng)絡(luò)。確因工作要求需要，應(yīng)由業(yè)務(wù)主管部門和科技管理部門審批，由運(yùn)維機(jī)構(gòu)對(duì)其設(shè)備進(jìn)行安全檢查后準(zhǔn)予接入；在工作完成后應(yīng)及時(shí)停止其接入權(quán)限并確認(rèn)設(shè)備中沒有存儲(chǔ)生產(chǎn)和運(yùn)營(yíng)的商業(yè)秘密信息安全建設(shè)及運(yùn)行維護(hù)管理系統(tǒng)規(guī)劃管理網(wǎng)絡(luò)安全總體規(guī)劃組織制定信息安全總體規(guī)劃，提出網(wǎng)絡(luò)安全防護(hù)總體策略，指導(dǎo)整體網(wǎng)絡(luò)安全防護(hù)建設(shè)及各業(yè)務(wù)應(yīng)用系統(tǒng)安全防護(hù)建設(shè)系統(tǒng)可行性研究管理業(yè)務(wù)影響分析在可研階段，業(yè)務(wù)部門應(yīng)組織系統(tǒng)研發(fā)項(xiàng)目組對(duì)系統(tǒng)面臨的主要網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及對(duì)現(xiàn)有業(yè)務(wù)系統(tǒng)流程、運(yùn)行穩(wěn)定性等可能產(chǎn)生的影響進(jìn)行分析，并在可研報(bào)告中增加上述業(yè)務(wù)影響分析內(nèi)容。已投運(yùn)系統(tǒng)進(jìn)行版本升級(jí)過程中也需進(jìn)行業(yè)務(wù)影響分析可研評(píng)審組織對(duì)可研報(bào)告中涉及的安全內(nèi)容進(jìn)行專項(xiàng)評(píng)審，無安全相關(guān)內(nèi)容或內(nèi)容不完善的均不應(yīng)通過評(píng)審系統(tǒng)應(yīng)統(tǒng)一組織評(píng)審，下級(jí)機(jī)構(gòu)自建系統(tǒng)由各單位自行評(píng)審并向上級(jí)報(bào)備需求分析管理安全需求分析系統(tǒng)研發(fā)單位宜綜合考慮業(yè)務(wù)流程、重要資產(chǎn)、系統(tǒng)內(nèi)外網(wǎng)部署情況、業(yè)務(wù)接口及數(shù)據(jù)安全保護(hù)等因素進(jìn)行全面系統(tǒng)安全風(fēng)險(xiǎn)分析，完成安全需求文檔的編寫。相關(guān)業(yè)務(wù)部門應(yīng)從業(yè)務(wù)安全角度提出安全需求。運(yùn)維機(jī)構(gòu)應(yīng)從運(yùn)維角度提出安全需求，如運(yùn)行可靠性等三級(jí)及以上系統(tǒng)、對(duì)外服務(wù)系統(tǒng)單獨(dú)編制安全需求分析文檔需求評(píng)審三級(jí)及以上自建系統(tǒng)由上級(jí)機(jī)構(gòu)統(tǒng)一組織進(jìn)行安全需求專項(xiàng)評(píng)審，下級(jí)機(jī)構(gòu)自建二級(jí)系統(tǒng)應(yīng)由各單位自行評(píng)審并向上級(jí)報(bào)備系統(tǒng)設(shè)計(jì)管理軟硬件選型系統(tǒng)選用上級(jí)機(jī)構(gòu)統(tǒng)一集采軟硬件設(shè)備。如確需要采用非集采范圍內(nèi)的關(guān)鍵系統(tǒng)軟硬件，經(jīng)安全測(cè)試后方準(zhǔn)予采用密鑰選型系統(tǒng)研發(fā)單位遵循國(guó)家密鑰管理相關(guān)要求，對(duì)系統(tǒng)擬采用的加密方式、密碼算法及密鑰數(shù)量進(jìn)行分析及技術(shù)論證，并在設(shè)計(jì)方案中進(jìn)行詳細(xì)說明安全防護(hù)方案編制系統(tǒng)研發(fā)單位按照安全防護(hù)方案模板編制系統(tǒng)設(shè)計(jì)文檔的信息安全防護(hù)相關(guān)章節(jié)，明確系統(tǒng)自身安全功能設(shè)計(jì)以及安全防護(hù)部署系統(tǒng)設(shè)計(jì)管理安全防護(hù)方案編制三級(jí)及以上系統(tǒng)、對(duì)外服務(wù)系統(tǒng)單獨(dú)編制安全防護(hù)專項(xiàng)方案方案評(píng)審對(duì)三級(jí)及以上自建系統(tǒng)，由上級(jí)機(jī)構(gòu)統(tǒng)一組織進(jìn)行安全防護(hù)方案評(píng)審，包括安全架構(gòu)遵從度、安全措施等。必要時(shí)應(yīng)邀請(qǐng)國(guó)家主管機(jī)構(gòu)專家對(duì)核心系統(tǒng)安全防護(hù)方案進(jìn)行評(píng)審。下級(jí)機(jī)構(gòu)其他自建系統(tǒng)安全防護(hù)方案應(yīng)由各單位自行組織評(píng)審并備案系統(tǒng)開發(fā)管理開發(fā)環(huán)節(jié)管理嚴(yán)格遵循開發(fā)管理要求，制訂完善的管理機(jī)制，確保開發(fā)全過程信息安全開發(fā)環(huán)境及測(cè)試環(huán)境與實(shí)際運(yùn)行環(huán)境及辦公環(huán)境之間采取防火墻等措施進(jìn)行安全隔離，開發(fā)測(cè)試環(huán)境不宜直接使用生產(chǎn)數(shù)據(jù)將核心研發(fā)環(huán)境中計(jì)算機(jī)軟驅(qū)、光驅(qū)、USB接口封存。對(duì)確需開放的接口應(yīng)加強(qiáng)安全管理，確保交互內(nèi)容有審批、可審計(jì)、可追溯安全編碼宜嚴(yán)格按照信息系統(tǒng)全生命周期安全管控系列規(guī)范進(jìn)行代碼編寫，采用公司應(yīng)用系統(tǒng)統(tǒng)一開發(fā)平臺(tái)進(jìn)行開發(fā)避免采用無安全性保障的第三方軟件及插件，確實(shí)需要引入開源軟件，需通過具有相應(yīng)資質(zhì)的第三方機(jī)構(gòu)安全測(cè)試并備案代碼管理系統(tǒng)研發(fā)單位建立代碼管理服務(wù)器，集中對(duì)代碼進(jìn)行統(tǒng)一管理，并嚴(yán)格限制一般編碼人員特別是第三方開發(fā)人員直接訪問并獲取公司核心代碼建立代碼簽名制，實(shí)現(xiàn)代碼編寫內(nèi)容及編寫人員可追溯內(nèi)部測(cè)試系統(tǒng)研發(fā)單位建立內(nèi)部安全測(cè)試機(jī)制，完善內(nèi)部安全測(cè)試手段，在單一模塊完成、多模塊集成及發(fā)布前等關(guān)鍵節(jié)點(diǎn)進(jìn)行內(nèi)部安全測(cè)試；定期組織代碼審核，全面開展代碼安全檢測(cè)系統(tǒng)測(cè)試管理第三方安全測(cè)試系統(tǒng)上線前，系統(tǒng)研發(fā)單位組織進(jìn)行第三方安全測(cè)試，包括安全功能測(cè)試、代碼安全檢測(cè)等內(nèi)容，發(fā)現(xiàn)并修復(fù)深層次代碼安全漏洞、預(yù)置安全后門等風(fēng)險(xiǎn)軟件著作權(quán)管理確保系統(tǒng)研發(fā)單位提交資料的真實(shí)性、完整性和可用性，確保提交代碼與安全測(cè)試通過代碼版本一致未完成資料移交不宜上線試運(yùn)行，分步進(jìn)行移交應(yīng)確保與上線版本一致項(xiàng)目實(shí)施單位采用統(tǒng)一發(fā)布的程序進(jìn)行系統(tǒng)上線安裝部署和升級(jí)完善系統(tǒng)上線管理安全建設(shè)系統(tǒng)上線前，系統(tǒng)實(shí)施單位會(huì)同系統(tǒng)研發(fā)單位、運(yùn)維機(jī)構(gòu)共同制定安全防護(hù)實(shí)施方案，并按照方案開展安全防護(hù)建設(shè)系統(tǒng)實(shí)施單位對(duì)系統(tǒng)進(jìn)行安全加固，并配合運(yùn)維單位對(duì)運(yùn)行環(huán)境進(jìn)行風(fēng)險(xiǎn)評(píng)估及安全加固上線試運(yùn)行測(cè)試系統(tǒng)安裝調(diào)試完成后，運(yùn)維機(jī)構(gòu)組織系統(tǒng)實(shí)施單位和第三方安全測(cè)試機(jī)構(gòu)對(duì)系統(tǒng)及其運(yùn)行環(huán)境進(jìn)行安全評(píng)估，并形成相關(guān)記錄和報(bào)告信息系統(tǒng)在完成上線試運(yùn)行測(cè)試前，不宜對(duì)外提供服務(wù)試運(yùn)行安全管理系統(tǒng)試運(yùn)行期間應(yīng)按照系統(tǒng)對(duì)待，按照信息系統(tǒng)運(yùn)行維護(hù)的有關(guān)安全管理規(guī)定，配置安全策略、賬號(hào)及訪問權(quán)限、定期備份重要數(shù)據(jù)，保證系統(tǒng)及用戶數(shù)據(jù)的安全，并對(duì)系統(tǒng)運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè)運(yùn)行管理權(quán)限移交系統(tǒng)試運(yùn)行期間確認(rèn)運(yùn)行穩(wěn)定并經(jīng)信息通信管理部門審批后，系統(tǒng)實(shí)施單位應(yīng)向運(yùn)維機(jī)構(gòu)移交系統(tǒng)管理賬號(hào)和權(quán)限，清理開發(fā)、測(cè)試過程中使用的臨時(shí)賬號(hào)及權(quán)限，對(duì)系統(tǒng)安全架構(gòu)、安全運(yùn)維內(nèi)容進(jìn)行培訓(xùn)和交底審查及備案系統(tǒng)試運(yùn)行結(jié)束后，由相關(guān)業(yè)務(wù)部門會(huì)同運(yùn)維機(jī)構(gòu)共同組織對(duì)系統(tǒng)進(jìn)行審查，審查通過并報(bào)科技管理部門備案后方可正式上線運(yùn)行系統(tǒng)運(yùn)行管理機(jī)房出入管理嚴(yán)格執(zhí)行機(jī)房管理有關(guān)規(guī)范，確保機(jī)房運(yùn)行環(huán)境符合要求，嚴(yán)格機(jī)房出入管理非機(jī)房管理人員進(jìn)入機(jī)房辦理申請(qǐng)和批準(zhǔn)手續(xù)，經(jīng)機(jī)房值班人員核準(zhǔn)后在工作負(fù)責(zé)人陪同下方可進(jìn)入，并在離開機(jī)房時(shí)向機(jī)房值班人員報(bào)告，辦理相關(guān)手續(xù)進(jìn)入機(jī)房人員需操作機(jī)柜內(nèi)設(shè)備，在相關(guān)手續(xù)中明確所需操作的設(shè)備和具體操作。機(jī)房值班人員應(yīng)通過監(jiān)視攝像系統(tǒng)對(duì)進(jìn)入機(jī)房人員的活動(dòng)進(jìn)行監(jiān)視，對(duì)超出許可活動(dòng)范圍和違反機(jī)房管理的行為及時(shí)制止，錄像保存時(shí)間不小于3個(gè)月外來工作人員進(jìn)入計(jì)算機(jī)機(jī)房由業(yè)務(wù)部門或機(jī)房運(yùn)維單位接待人員負(fù)責(zé)為其辦理進(jìn)出機(jī)房審批，登記并由接待人員全程陪同安全配置管理嚴(yán)格執(zhí)行系統(tǒng)變更、系統(tǒng)重要操作、物理訪問和系統(tǒng)接入申報(bào)和審批程序按照最小權(quán)限原則為信息系統(tǒng)運(yùn)維人員分配管理賬號(hào)，確保操作系統(tǒng)的超級(jí)管理員與數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離，確保應(yīng)用系統(tǒng)的系統(tǒng)管理角色、業(yè)務(wù)操作角色的權(quán)限分離加強(qiáng)遠(yuǎn)程運(yùn)維管理，嚴(yán)格限制通過互聯(lián)網(wǎng)或信息外網(wǎng)遠(yuǎn)程運(yùn)維方式進(jìn)行設(shè)備和系統(tǒng)的維護(hù)工作。內(nèi)網(wǎng)遠(yuǎn)程運(yùn)維應(yīng)履行審批程序，并對(duì)各項(xiàng)操作進(jìn)行監(jiān)控、記錄和審計(jì)指定專人負(fù)責(zé)信息系統(tǒng)核心部分(骨干網(wǎng)絡(luò)設(shè)備、重要數(shù)據(jù)庫(kù)系統(tǒng)和重要業(yè)務(wù)應(yīng)用系統(tǒng))的配置管理和操作賬號(hào)權(quán)限管理信息系統(tǒng)應(yīng)用賬號(hào)及權(quán)限由業(yè)務(wù)部門管理。如業(yè)務(wù)部門委托信息運(yùn)維部門操作時(shí)，信息運(yùn)維部門應(yīng)保證由不相容崗位人員負(fù)責(zé)賬號(hào)管理與權(quán)限管理。賬號(hào)權(quán)限的申請(qǐng)及變更應(yīng)由業(yè)務(wù)部門審批定期對(duì)信息系統(tǒng)用戶賬號(hào)及其權(quán)限進(jìn)行審核、清理，及時(shí)調(diào)整可能導(dǎo)致安全問題的權(quán)限分配，清理長(zhǎng)期不使用的用戶賬號(hào)，在系統(tǒng)中將采用弱口令、空口令的賬號(hào)禁用系統(tǒng)運(yùn)行管理補(bǔ)丁漏洞管理應(yīng)用系統(tǒng)補(bǔ)丁升級(jí)前，在測(cè)試環(huán)境中進(jìn)行安全性和兼容性測(cè)試，保證使用無誤后再在正式環(huán)境中更新運(yùn)維機(jī)構(gòu)對(duì)照信息安全可信機(jī)構(gòu)發(fā)布的漏洞清單表及時(shí)開展漏洞確認(rèn)、修復(fù)工作運(yùn)行安全監(jiān)控由運(yùn)維機(jī)構(gòu)加強(qiáng)系統(tǒng)的日常安全監(jiān)控，對(duì)信息網(wǎng)絡(luò)、主機(jī)、存儲(chǔ)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)、基礎(chǔ)應(yīng)用、業(yè)務(wù)應(yīng)用系統(tǒng)、安全防護(hù)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行7×24h實(shí)時(shí)監(jiān)測(cè)，及時(shí)匯總、分析監(jiān)測(cè)信息，發(fā)現(xiàn)安全風(fēng)險(xiǎn)隱患及時(shí)報(bào)告運(yùn)維人員及相關(guān)負(fù)責(zé)人檢修操作管理系統(tǒng)檢修前，運(yùn)行維護(hù)單位提前編制檢修方案，做好對(duì)關(guān)鍵用戶、重要系統(tǒng)的影響范圍和影響程度的評(píng)估，開展事故預(yù)想和風(fēng)險(xiǎn)分析，制定相應(yīng)的應(yīng)急預(yù)案及回退、恢復(fù)方案在發(fā)現(xiàn)突發(fā)事件時(shí)，信息運(yùn)行人員立即匯報(bào)當(dāng)值調(diào)度值班員，確認(rèn)需要進(jìn)行緊急搶修的，應(yīng)立即啟動(dòng)應(yīng)急預(yù)案，嚴(yán)格按照應(yīng)急預(yù)案進(jìn)行搶修操作安全巡檢建立對(duì)系統(tǒng)進(jìn)行常態(tài)安全巡檢的機(jī)制，定期進(jìn)行安全配置檢查和安全漏洞掃描，及時(shí)將發(fā)現(xiàn)的問題反饋給研發(fā)單位，并督促整改應(yīng)急保障運(yùn)維機(jī)構(gòu)負(fù)責(zé)系統(tǒng)的各種安全應(yīng)急預(yù)案編制和維護(hù)，健全應(yīng)急技術(shù)隊(duì)伍體系，做好業(yè)務(wù)與數(shù)據(jù)的備份工作，配備應(yīng)急資源，定期開展應(yīng)急培訓(xùn)和應(yīng)急演練，提高對(duì)各類網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件的應(yīng)急響應(yīng)和綜合處理能力系統(tǒng)研發(fā)單位配合運(yùn)維機(jī)構(gòu)制定應(yīng)急預(yù)案，做好應(yīng)急培訓(xùn)，并配合定期應(yīng)急演練系統(tǒng)使用管理賬號(hào)和權(quán)限管理加強(qiáng)信息系統(tǒng)使用過程中的賬號(hào)和權(quán)限管理，強(qiáng)化賬號(hào)口令安全策略，不應(yīng)采用弱口令、空口令，應(yīng)定期清理長(zhǎng)期不使用的用戶賬號(hào)，及時(shí)調(diào)整可能導(dǎo)致安全問題的權(quán)限分配終端設(shè)備接入控制內(nèi)、外網(wǎng)桌面終端不應(yīng)混用，桌面終端采取IP/MAC綁定、安全準(zhǔn)入管理、訪問控制、病毒防護(hù)、惡意代碼過濾、補(bǔ)丁管理、安全審計(jì)、桌面資產(chǎn)管理等措施進(jìn)行安全防護(hù)其他與業(yè)務(wù)應(yīng)用相關(guān)的智能采集終端經(jīng)安全測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)試通過后才允許接入智能采集終端通過安全接入措施接入數(shù)據(jù)保護(hù)根據(jù)數(shù)據(jù)的重要性和敏感程度對(duì)在信息系統(tǒng)及終端上存儲(chǔ)的數(shù)據(jù)及其介質(zhì)采取加密、備份等安全保護(hù)措施系統(tǒng)使用信息系統(tǒng)使用人員遵守網(wǎng)絡(luò)安全管理規(guī)定，不應(yīng)越權(quán)訪問或?qū)ο到y(tǒng)進(jìn)行惡意攻擊、破壞信息系統(tǒng)及其終端的安全配置和防護(hù)措施等操作辦公計(jì)算機(jī)網(wǎng)絡(luò)安全和保密管理不宜將涉及國(guó)家秘密的計(jì)算機(jī)、存儲(chǔ)設(shè)備與信息內(nèi)外網(wǎng)和其他公共信息網(wǎng)絡(luò)連接，不宜將涉密計(jì)算機(jī)與互聯(lián)網(wǎng)和其他公共信息網(wǎng)絡(luò)連接，不宜在非涉密計(jì)算機(jī)和互聯(lián)網(wǎng)上存儲(chǔ)、處理國(guó)家秘密不宜在信息外網(wǎng)計(jì)算機(jī)上存儲(chǔ)和處理涉及企業(yè)秘密的信息信息內(nèi)網(wǎng)和信息外網(wǎng)計(jì)算機(jī)不宜交叉使用；普通移動(dòng)存儲(chǔ)介質(zhì)和掃描儀、打印機(jī)等計(jì)算機(jī)外設(shè)不應(yīng)在信息內(nèi)網(wǎng)和信息外網(wǎng)上交叉使用信息內(nèi)網(wǎng)辦公計(jì)算機(jī)不應(yīng)配置無線上網(wǎng)卡，不宜使用無線鍵盤、鼠標(biāo)等無線設(shè)備，不應(yīng)通過電話撥號(hào)、無線等各種方式與信息外網(wǎng)和互聯(lián)網(wǎng)絡(luò)互聯(lián)定期檢查信息內(nèi)外網(wǎng)辦公計(jì)算機(jī)及應(yīng)用系統(tǒng)口令設(shè)置情況，避免空口令，弱口令系統(tǒng)下線管理下線安全評(píng)估系統(tǒng)下線后，運(yùn)維機(jī)構(gòu)形成系統(tǒng)下線報(bào)告報(bào)送業(yè)務(wù)主管部門和科技管理部門，由科技管理部門到當(dāng)?shù)毓矙C(jī)關(guān)辦理等保備案變更手續(xù)。重要系統(tǒng)上報(bào)上級(jí)機(jī)構(gòu)備案數(shù)據(jù)備份與遷移在系統(tǒng)停運(yùn)前，業(yè)務(wù)主管部門確定數(shù)據(jù)備份與遷移等需求，由運(yùn)維機(jī)構(gòu)執(zhí)行相關(guān)數(shù)據(jù)備份與遷移工作剩余信息處理運(yùn)維機(jī)構(gòu)在系統(tǒng)下線階段負(fù)責(zé)數(shù)據(jù)安全轉(zhuǎn)存、數(shù)據(jù)與存儲(chǔ)介質(zhì)安全銷毀，對(duì)系統(tǒng)內(nèi)存緩沖區(qū)、磁盤空間、進(jìn)程空間及存儲(chǔ)介質(zhì)中可銷毀的數(shù)據(jù)進(jìn)行清除，妥善保存需備份留存的數(shù)據(jù)和存儲(chǔ)介質(zhì)軟硬件處理運(yùn)維機(jī)構(gòu)在系統(tǒng)下線階段及時(shí)對(duì)系統(tǒng)涉及的軟硬件進(jìn)行安全處置下線備案系統(tǒng)下線后，運(yùn)維機(jī)構(gòu)形成系統(tǒng)下線報(bào)告報(bào)送業(yè)務(wù)主管部門和科技管理部門，由科技管理部門到當(dāng)?shù)毓矙C(jī)關(guān)辦理等保備案變更手續(xù)。重要系統(tǒng)還應(yīng)上報(bào)上級(jí)機(jī)構(gòu)備案安全工作機(jī)制網(wǎng)絡(luò)安全等級(jí)保護(hù)系統(tǒng)定級(jí)統(tǒng)推系統(tǒng)組織業(yè)務(wù)部門確定并發(fā)布其安全等級(jí)各單位自建管理類信息系統(tǒng)由各單位擬定其安全等級(jí)定級(jí)建議，報(bào)科技管理部門審批后執(zhí)行等保建設(shè)按照系統(tǒng)定級(jí)組織制定系統(tǒng)安全防護(hù)建設(shè)方案，并組織專家評(píng)審三級(jí)及以上系統(tǒng)宜由上級(jí)機(jī)構(gòu)相關(guān)部門組織召開評(píng)審會(huì)測(cè)評(píng)與整改定期組織開展信息系統(tǒng)的安全等級(jí)保護(hù)測(cè)評(píng)與整改工作。三級(jí)及以上系統(tǒng)由金融行業(yè)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)對(duì)三級(jí)系統(tǒng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)等保備案各單位科技管理部門按照國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)備案要求，將本單位信息系統(tǒng)定級(jí)、測(cè)評(píng)情況報(bào)本地公安機(jī)關(guān)備案網(wǎng)絡(luò)安全技術(shù)督查網(wǎng)絡(luò)安全技術(shù)督查宜覆蓋統(tǒng)推和各單位自建信息系統(tǒng)，覆蓋系統(tǒng)規(guī)劃、可行性研究、需求、設(shè)計(jì)、開發(fā)、測(cè)試、上線、運(yùn)行、使用、下線等全生命周期各環(huán)節(jié)建立網(wǎng)絡(luò)安全督查隊(duì)伍，配置信息安全技術(shù)督查人員，加強(qiáng)督查培訓(xùn)，鼓勵(lì)督查人員通過國(guó)家或公司級(jí)的網(wǎng)絡(luò)安全技能考核與認(rèn)證，提升人員技能水平督查隊(duì)伍將督查結(jié)果和整改建議形成督查整改通知單，及時(shí)反饋至被督查單位和科技管理部門，要求按限期完成整改建立督查通報(bào)制度，由督查隊(duì)伍定期向督查管理部門和被督查單位通報(bào)信息安全技術(shù)督查工作情況、督查問題及整改情況，及時(shí)通報(bào)突發(fā)網(wǎng)絡(luò)安全事件、重要預(yù)警信息做好督查信息內(nèi)容的保密工作。各單位要做好督查信息的保密工作，督查結(jié)果與發(fā)現(xiàn)隱患除按規(guī)定渠道審批報(bào)送外，不得向其他單位和個(gè)人透露，所有督查信息不得通過信息外網(wǎng)傳送信息資產(chǎn)準(zhǔn)入備案各單位建立信息系統(tǒng)、網(wǎng)絡(luò)邊界、主設(shè)備、辦公終端、采集控制作業(yè)類終端和安全防護(hù)拓?fù)鋱D等臺(tái)賬，并生成統(tǒng)一的備案編碼，在信息設(shè)備上粘貼網(wǎng)絡(luò)安全備案標(biāo)簽，在業(yè)務(wù)系統(tǒng)主界面上展現(xiàn)信息安全備案號(hào)建立備案信息與上下線相關(guān)運(yùn)行安全工作的準(zhǔn)入聯(lián)動(dòng)機(jī)制，未進(jìn)行安全備案的系統(tǒng)、設(shè)備、網(wǎng)絡(luò)邊界不得上線，不能接入信息網(wǎng)絡(luò)。系統(tǒng)下線時(shí)，應(yīng)及時(shí)更新相應(yīng)備案信息，對(duì)安全備案號(hào)進(jìn)行銷號(hào)，確保數(shù)據(jù)的準(zhǔn)確性網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，切實(shí)將風(fēng)險(xiǎn)評(píng)估工作常態(tài)化和制度化，及時(shí)落實(shí)整改，及時(shí)消除安全隱患嚴(yán)格按照國(guó)家相關(guān)標(biāo)準(zhǔn)和公司信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則要求，開展信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施工作，并組織信息運(yùn)維機(jī)構(gòu)或系統(tǒng)開發(fā)實(shí)施單位對(duì)確認(rèn)的安全風(fēng)險(xiǎn)進(jìn)行安全整改網(wǎng)絡(luò)安全事件處置網(wǎng)絡(luò)安全應(yīng)急響應(yīng)應(yīng)急組織在上級(jí)機(jī)構(gòu)統(tǒng)一領(lǐng)導(dǎo)下，按照綜合協(xié)調(diào)、統(tǒng)一領(lǐng)導(dǎo)、分級(jí)負(fù)責(zé)的原則，建立應(yīng)急組織和指揮體系。應(yīng)急組織包括應(yīng)急領(lǐng)導(dǎo)小組及其辦事機(jī)構(gòu)，由科技管理部門、安全監(jiān)察質(zhì)量部門、業(yè)務(wù)部門、運(yùn)維機(jī)構(gòu)分工負(fù)責(zé)應(yīng)急保障堅(jiān)持“安全第一、預(yù)防為主”的方針，健全網(wǎng)絡(luò)安全應(yīng)急技術(shù)隊(duì)伍體系，做好應(yīng)急預(yù)案編制和維護(hù)，配備應(yīng)急資源，做好業(yè)務(wù)與數(shù)據(jù)的備份，定期開展應(yīng)急培訓(xùn)和演練，提高對(duì)各類網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件的應(yīng)急響應(yīng)和綜合處理能力風(fēng)險(xiǎn)監(jiān)測(cè)與預(yù)警安全監(jiān)控中心和各單位信息運(yùn)維機(jī)構(gòu)負(fù)責(zé)對(duì)信息系統(tǒng)運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，發(fā)現(xiàn)安全風(fēng)險(xiǎn)隱患后，應(yīng)及時(shí)上報(bào)安全管理部門科技管理部門綜合各單位信息安全風(fēng)險(xiǎn)通報(bào)和運(yùn)行監(jiān)測(cè)風(fēng)險(xiǎn)，對(duì)安全風(fēng)險(xiǎn)進(jìn)行分析研判，根據(jù)需要發(fā)布風(fēng)險(xiǎn)預(yù)警，組織應(yīng)急工作小組開展預(yù)警處置應(yīng)急處置建立“上下聯(lián)動(dòng)、區(qū)域協(xié)作”的快速響應(yīng)機(jī)制，建立內(nèi)部各單位之間的應(yīng)急救援協(xié)調(diào)聯(lián)動(dòng)和資源共享機(jī)制，建立與國(guó)家主管部門、國(guó)家網(wǎng)絡(luò)安全隊(duì)伍間的協(xié)作支援機(jī)制，協(xié)同開展突發(fā)事件處置工作網(wǎng)絡(luò)安全事件處置事件調(diào)查對(duì)不同級(jí)別的網(wǎng)絡(luò)安全事件，按要求逐級(jí)上報(bào)(必要時(shí)可以越級(jí)上報(bào)),并組織事件調(diào)查組進(jìn)行調(diào)查事件調(diào)查組按照安全事件調(diào)查規(guī)程開展網(wǎng)絡(luò)安全事件調(diào)查，相關(guān)管理部門、運(yùn)維機(jī)構(gòu)應(yīng)配合協(xié)助事件調(diào)查組開展調(diào)查工作事件通報(bào)發(fā)生網(wǎng)絡(luò)安全事件后，運(yùn)維機(jī)構(gòu)及時(shí)通知本單位科技管理部門，由科技管理部門根據(jù)需要向本單位應(yīng)急領(lǐng)導(dǎo)小組和上級(jí)單位科技管理部門匯報(bào)，并根據(jù)安全事故調(diào)查規(guī)程向安全監(jiān)察質(zhì)量部門報(bào)告當(dāng)網(wǎng)絡(luò)安全事件可能影響當(dāng)?shù)厣鐣?huì)秩序、公眾利益時(shí)，科技管理部門或信息系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組應(yīng)立即通報(bào)本地公安機(jī)關(guān)和行業(yè)監(jiān)管機(jī)構(gòu)。五級(jí)網(wǎng)絡(luò)安全事件應(yīng)向公安部和行業(yè)監(jiān)管機(jī)構(gòu)通報(bào)對(duì)外信息通報(bào)符合上級(jí)機(jī)構(gòu)對(duì)外信息發(fā)布管理要求，由統(tǒng)一出口發(fā)布供應(yīng)鏈安全管理選擇信息技術(shù)軟硬件設(shè)備、服務(wù)供應(yīng)商時(shí)對(duì)其資質(zhì)、技術(shù)和服務(wù)能力進(jìn)行全面考核，與供應(yīng)商簽署安全保密協(xié)議，約定安全保密責(zé)任單位科技管理部門負(fù)責(zé)建立信息技術(shù)合格供應(yīng)商名單，對(duì)惡意違反網(wǎng)絡(luò)安全管理要求的供應(yīng)商列入黑名單對(duì)信息系統(tǒng)核心軟硬件設(shè)備的安全檢測(cè)和招標(biāo)采購(gòu)工作由單位統(tǒng)一組織，定期發(fā)布中選設(shè)備清單信息系統(tǒng)建設(shè)選用單位統(tǒng)一集中采購(gòu)軟硬件設(shè)備，如確需要采用非集中采購(gòu)范圍內(nèi)的關(guān)鍵系統(tǒng)軟硬件，經(jīng)過安全測(cè)試并由相關(guān)管理部門審批網(wǎng)絡(luò)安全評(píng)價(jià)考核網(wǎng)絡(luò)安全評(píng)價(jià)考核對(duì)象全面覆蓋所有承擔(dān)網(wǎng)絡(luò)安全責(zé)任的部門和單位網(wǎng)絡(luò)安全評(píng)價(jià)考核內(nèi)容包括管理和技術(shù)兩方面，其中安全管理內(nèi)容包括安全管理組織、安全管理制度、人員安全管理、信息系統(tǒng)全生命周期安全管理、信息安全管理工作機(jī)制等方面的建設(shè)與落實(shí)情況，安全技術(shù)內(nèi)容包括物理、網(wǎng)絡(luò)、主機(jī)、終端、應(yīng)用與數(shù)據(jù)等方面的防護(hù)與監(jiān)控措施科技管理部門每年組織開展一次全范圍內(nèi)的網(wǎng)絡(luò)安全評(píng)價(jià)與考核工作，考核結(jié)果納入年度績(jī)效考核業(yè)務(wù)連續(xù)性業(yè)務(wù)連續(xù)性管理制度制訂重要信息系統(tǒng)業(yè)務(wù)連續(xù)性策略及計(jì)劃具有重要信息系統(tǒng)業(yè)務(wù)連續(xù)性管理整合及職能部門結(jié)合自身情況，對(duì)造成系統(tǒng)中斷和造成信息泄密的安全事件制定不同的處理程序和內(nèi)外部報(bào)告程序制訂員工重要信息系統(tǒng)業(yè)務(wù)連續(xù)性方面的培訓(xùn)計(jì)劃和考核標(biāo)準(zhǔn)定期測(cè)試并更新重要信息系統(tǒng)業(yè)務(wù)連續(xù)性計(jì)劃與過程業(yè)務(wù)影響分析根據(jù)數(shù)據(jù)備份實(shí)時(shí)性需求，劃分?jǐn)?shù)據(jù)備份等級(jí)根據(jù)數(shù)據(jù)特性等級(jí)，確定信息系統(tǒng)恢復(fù)至正常服務(wù)水平的指標(biāo)，包括信息系統(tǒng)恢復(fù)時(shí)間要求(信息系統(tǒng)恢復(fù)時(shí)間目標(biāo)RTO)、信息系統(tǒng)恢復(fù)點(diǎn)要求(信息系統(tǒng)恢復(fù)點(diǎn)目標(biāo)RPO)、信息系統(tǒng)恢復(fù)優(yōu)先級(jí)別。業(yè)務(wù)影響分析過程應(yīng)形成報(bào)告一般情況，業(yè)務(wù)影響分析每三年進(jìn)行一次；當(dāng)新業(yè)務(wù)上線、業(yè)務(wù)發(fā)生重大變更或業(yè)務(wù)運(yùn)營(yíng)內(nèi)、外部環(huán)境發(fā)生變化時(shí)，則及時(shí)進(jìn)行業(yè)務(wù)影響分析業(yè)務(wù)連續(xù)性計(jì)劃為確保在發(fā)生災(zāi)難事件時(shí)重要業(yè)務(wù)能夠持續(xù)運(yùn)行而事先制定的各種機(jī)制以及事先制定的一系列方案、措施、程序和操作手冊(cè)業(yè)務(wù)連續(xù)性預(yù)案應(yīng)不斷地更新和維護(hù)，以保證預(yù)案的有效性業(yè)務(wù)連續(xù)性資源建設(shè)建設(shè)保障業(yè)務(wù)連續(xù)性的備用人力資源、備用數(shù)據(jù)資源、備用數(shù)據(jù)處理系統(tǒng)軟硬件資源、備用網(wǎng)絡(luò)資源、備用存儲(chǔ)資源等對(duì)信息科技關(guān)鍵崗位人員采取A/B角措施，降低人力資源集中度過高的風(fēng)險(xiǎn)，確保突發(fā)事件發(fā)生時(shí)恢復(fù)人員能夠執(zhí)行任務(wù)業(yè)務(wù)連續(xù)性計(jì)劃演練和評(píng)審每半年至少針對(duì)核心系統(tǒng)開展一次主備機(jī)切換演練，每年至少對(duì)各關(guān)鍵外圍系統(tǒng)組織一次主備機(jī)切換演練，以檢驗(yàn)本地應(yīng)急響應(yīng)和高可用措施的有效性每年至少進(jìn)行一次重要信息系統(tǒng)專項(xiàng)災(zāi)備切換演練，每三年至少進(jìn)行一次重要信息系統(tǒng)全面災(zāi)備切換演練，以真實(shí)業(yè)務(wù)接管為目標(biāo)，驗(yàn)證災(zāi)備系統(tǒng)有效接管生產(chǎn)系統(tǒng)及安全回切的能力，檢驗(yàn)各部門人員、相關(guān)設(shè)備和設(shè)施以及制定的流程等能否按照計(jì)劃工作定期或面臨重大變更時(shí)全面評(píng)估、審核業(yè)務(wù)連續(xù)性策略以及各類計(jì)劃網(wǎng)絡(luò)安全技術(shù)防護(hù)安全物理環(huán)境物理位置選擇機(jī)房和辦公場(chǎng)地選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)機(jī)房場(chǎng)地避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁，如不可避免，采取有效防水等措施物理訪問控制機(jī)房各出入口安排專人值守或配置電子門禁系統(tǒng)，重要區(qū)域配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)出的人員、進(jìn)出時(shí)間、操作活動(dòng)等，使用加密卡或非接觸CPU卡的門禁系統(tǒng)的，密碼安全技術(shù)要求符合國(guó)家密碼管理局頒發(fā)的GM/T0036—2014的要求進(jìn)入機(jī)房的來訪人員經(jīng)過申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間應(yīng)用物理方式隔斷，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域開發(fā)測(cè)試環(huán)境應(yīng)與辦公環(huán)境分離防盜竊與破壞將主要設(shè)備放置在機(jī)房?jī)?nèi)，在易受鼠蟲害的場(chǎng)所，計(jì)算機(jī)機(jī)房?jī)?nèi)應(yīng)采取防蟲鼠措施室外設(shè)備應(yīng)放置于室外機(jī)柜/機(jī)箱內(nèi)，機(jī)柜/機(jī)箱的外殼門應(yīng)安裝防盜鎖設(shè)備或主要部件進(jìn)行固定，并在設(shè)備、線纜、機(jī)柜等上設(shè)置詳細(xì)的標(biāo)識(shí)宜將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中對(duì)介質(zhì)分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或檔案室中A、B級(jí)機(jī)房采取紅外防盜報(bào)警等聲光電報(bào)警技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)機(jī)房安裝視頻監(jiān)控系統(tǒng)，監(jiān)控范圍沒有盲點(diǎn)，生產(chǎn)區(qū)重點(diǎn)部位應(yīng)安裝視頻監(jiān)控?cái)z像頭進(jìn)行24h連續(xù)監(jiān)視，并對(duì)監(jiān)視錄相進(jìn)行記錄。機(jī)房監(jiān)控系統(tǒng)可納入保衛(wèi)部門視頻監(jiān)控系統(tǒng)統(tǒng)一控制和管理在機(jī)房部署防鼠裝置防雷擊機(jī)房、辦公場(chǎng)所等建筑安裝、使用避雷針等避雷裝置機(jī)房設(shè)置防雷保安器，防止感應(yīng)雷機(jī)房交流電源應(yīng)設(shè)置接地保護(hù)，各機(jī)柜等電位接地，保護(hù)性接地和功能性接地宜共用一組接地裝置，其接地電阻按其中最小值確定室外設(shè)備存放機(jī)柜安裝防雷設(shè)備防火A、B級(jí)機(jī)房根據(jù)安裝在核心區(qū)、生產(chǎn)區(qū)、輔助區(qū)等重點(diǎn)消防區(qū)的感煙探測(cè)器及感溫探測(cè)器發(fā)出的信號(hào)，在監(jiān)視器上顯示火警方位，發(fā)出聲光報(bào)警機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料，耐火等級(jí)不宜低于二級(jí)。并且機(jī)房宜采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開機(jī)房采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開防水和防潮與主機(jī)房無關(guān)的給排水管道不得穿過主機(jī)房，與主機(jī)房相關(guān)的給排水管道有可靠的防滲漏措施對(duì)機(jī)房門窗做防塵密閉處理，對(duì)房頂、墻體、柱體、地面等部位的建筑面采取防塵處理措施，裝修材料不起塵、不積灰，新風(fēng)系統(tǒng)及其他裝置的通風(fēng)管道加裝空氣過濾器機(jī)房在計(jì)算機(jī)機(jī)房及周圍重點(diǎn)部位以及空調(diào)機(jī)體、加濕管、抽濕管等部位的活動(dòng)地板下設(shè)置漏水傳感器，一旦發(fā)現(xiàn)漏水情況即時(shí)顯示漏水部位并報(bào)警A、B級(jí)機(jī)房?jī)?nèi)安裝對(duì)水敏感的檢測(cè)儀表或元件進(jìn)行防水檢測(cè)和報(bào)警防靜電主要設(shè)備采用必要的接地防靜電措施機(jī)房采用防靜電地板溫濕度控制機(jī)房新風(fēng)機(jī)進(jìn)風(fēng)口和主空調(diào)機(jī)回風(fēng)口以及主要設(shè)備工作間有溫度和濕度傳感探頭進(jìn)行實(shí)時(shí)檢測(cè)并在監(jiān)視屏上顯示，當(dāng)溫度或濕度檢測(cè)值超過各工作區(qū)規(guī)定的上、下限值時(shí)應(yīng)及時(shí)報(bào)警電力供應(yīng)通過測(cè)量低壓配電柜和不間斷電源(UPS)設(shè)備的輸入端和輸出端的電壓電流、頻率、電功率值，在監(jiān)視屏上實(shí)時(shí)直觀地顯示各路電力參數(shù)，以便了解供電質(zhì)量，各路載荷情況以及UPS設(shè)備運(yùn)行狀況，確保安全供電并在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備建立備用供電系統(tǒng)(如備用發(fā)電機(jī)),以備供電系統(tǒng)臨時(shí)停電時(shí)啟用，并確保備用供電系統(tǒng)能在UPS供電時(shí)間內(nèi)到位，每年需進(jìn)行備用供電系統(tǒng)的模擬演練，并定期對(duì)備用電力供應(yīng)設(shè)備進(jìn)行檢修和維護(hù)，確保其能正常使用電力供應(yīng)A、B級(jí)機(jī)房宜設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電，輸入電源應(yīng)采用雙路自動(dòng)切換供電方式機(jī)房設(shè)置應(yīng)急照明和安全出口指示燈，供配電柜(箱)和分電盤內(nèi)各種開關(guān)、手柄、按鈕應(yīng)標(biāo)志清晰，防止誤操作電磁防護(hù)電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾計(jì)算機(jī)系統(tǒng)設(shè)備網(wǎng)絡(luò)布線不得與空調(diào)設(shè)備、電源設(shè)備的無電磁屏蔽的布線平行；交叉時(shí)，盡量以接近于垂直的角度交叉，并采取防延燃措施安全區(qū)域邊界訪問控制根據(jù)信息系統(tǒng)訪問需求，在與系統(tǒng)相關(guān)的邊界處部署有網(wǎng)絡(luò)訪問控制設(shè)備，配置必需的網(wǎng)絡(luò)訪問控制策略，并啟用訪問控制功能各邊界處的網(wǎng)絡(luò)訪問控制設(shè)備能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級(jí)各邊界處的網(wǎng)絡(luò)訪問控制設(shè)備按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶。以撥號(hào)或虛擬專用網(wǎng)(VPN)等方式接入網(wǎng)絡(luò)的，宜采用兩種或兩種以上的認(rèn)證方式，并對(duì)用戶訪問權(quán)限進(jìn)行嚴(yán)格限制限制具有撥號(hào)、VPN等訪問權(quán)限的用戶數(shù)量將單位管理信息系統(tǒng)主要部署于信息內(nèi)網(wǎng)，僅可將與互聯(lián)網(wǎng)有交互的子系統(tǒng)或功能單元部署于信息外網(wǎng)利用邊界訪問控制設(shè)備在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接訪問控制如果系統(tǒng)涉及訪問互聯(lián)網(wǎng)，在互聯(lián)網(wǎng)出口處的邊界訪問控制設(shè)備上限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)在邊界訪問控制設(shè)備上綁定重要服務(wù)器的IP、MAC地址安全審計(jì)設(shè)備需要配置遠(yuǎn)程日志功能。重要網(wǎng)絡(luò)設(shè)備日志均能傳輸?shù)饺罩痉?wù)器，日志記錄至少保存6個(gè)月審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息配置日志服務(wù)器統(tǒng)一采集設(shè)備日志信息，能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等邊界完整性檢查對(duì)接入信息內(nèi)、外網(wǎng)的設(shè)備，采用桌面終端安全管理系統(tǒng)、IP/MAC地址綁定等手段進(jìn)行接入認(rèn)證和控制，并阻斷非授權(quán)設(shè)備的接入內(nèi)網(wǎng)采用防違規(guī)外聯(lián)系統(tǒng)、桌面終端安全管理系統(tǒng)等對(duì)非法外聯(lián)設(shè)備進(jìn)行定位和阻斷入侵防范根據(jù)信息系統(tǒng)訪問需求，在與系統(tǒng)相關(guān)的邊界處部署有網(wǎng)絡(luò)入侵檢測(cè)/防御設(shè)備，配置入侵檢測(cè)/防御策略，并啟用相關(guān)功能通過入侵檢測(cè)/防御系統(tǒng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警或阻斷攻擊提供對(duì)外發(fā)布服務(wù)的信息系統(tǒng)應(yīng)在邊界部署網(wǎng)站防篡改措施，防止系統(tǒng)頁(yè)面被非授權(quán)修改惡意代碼防范宜在內(nèi)網(wǎng)縱向邊界或信息外網(wǎng)縱向邊界、互聯(lián)網(wǎng)邊界處，部署有惡意代碼檢測(cè)和清除功能的安全設(shè)備，其惡意代碼庫(kù)與主機(jī)防惡意代碼產(chǎn)品不同啟用網(wǎng)絡(luò)惡意代碼防護(hù)設(shè)備的功能，對(duì)惡意代碼進(jìn)行實(shí)時(shí)的檢測(cè)或清除定期升級(jí)惡意代碼檢測(cè)軟件及其惡意代碼特征庫(kù)硬件資源配置主機(jī)資源配置具備快速整體切換架構(gòu)的數(shù)據(jù)中心，以主機(jī)CPU利用率不超過單臺(tái)80%作為配置標(biāo)準(zhǔn)；不具備快速整體切換架構(gòu)的數(shù)據(jù)中心，以主機(jī)CPU峰值利用率之和不超過單臺(tái)CPU利用率的90%作為配置標(biāo)準(zhǔn)主機(jī)系統(tǒng)上線后，每年啟動(dòng)一次主機(jī)CPU或內(nèi)存資源擴(kuò)容評(píng)估，每一年進(jìn)行一次硬件微碼升級(jí)。當(dāng)現(xiàn)有設(shè)備無法擴(kuò)容時(shí)，選擇設(shè)備更新備份中心主機(jī)配置除滿足日常運(yùn)維需求外，通過臨時(shí)提升容量等方式配置每半年至少進(jìn)行一次安全漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)，掃描結(jié)果宜及時(shí)上報(bào)開放系統(tǒng)資源配置單臺(tái)服務(wù)器按照CPU滿配，內(nèi)存與CPU數(shù)量配比為8:1,IO板卡按設(shè)計(jì)數(shù)量的2倍配置服務(wù)器計(jì)算資源池的單個(gè)分區(qū)CPU能滿足未來3年業(yè)務(wù)高峰時(shí)段業(yè)務(wù)處理，CPU平均利用率不超過70%每年對(duì)生產(chǎn)系統(tǒng)設(shè)備性能進(jìn)行一次評(píng)估。滿足以下條件啟動(dòng)開放系統(tǒng)資源擴(kuò)容或更新：1)計(jì)算資源池CPU利用率之和超過90%或日均利用率之和超過70%;2)計(jì)算資源池內(nèi)存空間利用率之和超過90%或日均利用率之和超過70%;3)計(jì)算資源池IO板卡利用率之和超過90%或日均利用率之和超過70%存儲(chǔ)資源配置每年評(píng)估存儲(chǔ)設(shè)備空間使用情況。存儲(chǔ)空間利用率超過70%,且無其他資源可調(diào)配使用，啟動(dòng)存儲(chǔ)設(shè)備擴(kuò)容或更新工作對(duì)現(xiàn)有存儲(chǔ)設(shè)備擴(kuò)容可滿足未來5年業(yè)務(wù)增長(zhǎng)需要，啟動(dòng)設(shè)備擴(kuò)容，否則啟動(dòng)設(shè)備更新網(wǎng)絡(luò)資源配置網(wǎng)絡(luò)各部分帶寬能夠滿足業(yè)務(wù)高峰期需要，并通過設(shè)置服務(wù)質(zhì)量(QoS)保證重要業(yè)務(wù)應(yīng)用獲得充足的網(wǎng)絡(luò)帶寬和流量有外網(wǎng)交互功能的應(yīng)用系統(tǒng)將前端部署在外網(wǎng)，將數(shù)據(jù)庫(kù)部署在內(nèi)網(wǎng)，通過信息內(nèi)外網(wǎng)邊界的邏輯強(qiáng)隔離設(shè)備交換數(shù)據(jù)應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，將信息內(nèi)、外網(wǎng)分別劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段主要網(wǎng)絡(luò)設(shè)備保證其業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間應(yīng)通過路由控制建立安全的訪問路徑，動(dòng)態(tài)路由協(xié)議時(shí)應(yīng)只將網(wǎng)絡(luò)設(shè)備之間的互聯(lián)端口納入動(dòng)態(tài)路由域中，不宜包含服務(wù)器、應(yīng)用系統(tǒng)和終端虛擬局域網(wǎng)(VLAN)的端口網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)應(yīng)采用冗余技術(shù)設(shè)計(jì)，提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障宜繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，在圖上標(biāo)識(shí)設(shè)備名稱、型號(hào)、IP地址等信息，并提供網(wǎng)段劃分、路由、安全策略等配置信息網(wǎng)絡(luò)通信安全通道安全信息內(nèi)、外網(wǎng)系統(tǒng)采用電力專用光纖進(jìn)行長(zhǎng)距離通信時(shí)，采用網(wǎng)絡(luò)訪問控制、入侵檢測(cè)等措施保證通信安全信息外網(wǎng)系統(tǒng)租用電信運(yùn)營(yíng)商專線或光纜進(jìn)行長(zhǎng)距離通信時(shí)，采用鏈路加密、VPN、網(wǎng)絡(luò)訪問控制、入侵檢測(cè)等措施保證通信安全通道安全政府、銀行等第三方機(jī)構(gòu)網(wǎng)絡(luò)接入內(nèi)網(wǎng)時(shí)，采用光纖、APN網(wǎng)絡(luò)專線等安全通道接入，設(shè)置第三方網(wǎng)絡(luò)接入?yún)^(qū)并采取網(wǎng)絡(luò)防火墻或網(wǎng)絡(luò)加密設(shè)備等防護(hù)措施，并具備管理權(quán)限作業(yè)類、采集類等專用終端通過電信運(yùn)營(yíng)商專線/無線網(wǎng)絡(luò)接入單位內(nèi)網(wǎng)時(shí)，采用安全接入平臺(tái)，實(shí)現(xiàn)接入認(rèn)證和數(shù)據(jù)傳輸加密網(wǎng)絡(luò)設(shè)備防護(hù)設(shè)備口令存儲(chǔ)應(yīng)以密文方式保存對(duì)所有客戶端進(jìn)行IP和MAC地址綁定網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)唯一，同一網(wǎng)絡(luò)設(shè)備的用戶標(biāo)識(shí)應(yīng)唯一，不宜多人共用一個(gè)賬號(hào)身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度應(yīng)滿足要求并定期更換；修改默認(rèn)用戶和口令，不得使用缺省口令；口令長(zhǎng)度不得小于8位，并包括數(shù)字、小寫字母、大寫字母、特殊符號(hào)4類中至少3類。并每三個(gè)月更換口令，用戶名和口令不得相同；在控制接口(Console)和輸入接口(AUX)口設(shè)置高強(qiáng)度口令，口令應(yīng)在12位以上并由字母、數(shù)字、符號(hào)等混合組成對(duì)核心交換機(jī)、路由器采用兩種或以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別，如口令+智能密碼鑰匙、口令十?dāng)?shù)字證書、口令十生物特征信息設(shè)置登錄失敗處理功能，連續(xù)登錄6次以上結(jié)束會(huì)話，網(wǎng)絡(luò)連接超過20min后自動(dòng)退出登錄對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理采用超文本傳輸協(xié)議(HTTPS)、安全通信協(xié)議(SSH)等安全方式實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離，部署日志服務(wù)器保證管理員的操作能夠被審計(jì)，保證網(wǎng)絡(luò)特權(quán)用戶管理員無權(quán)對(duì)審計(jì)記錄進(jìn)行操作網(wǎng)絡(luò)設(shè)備應(yīng)關(guān)閉不需要的網(wǎng)絡(luò)端口，關(guān)閉不需要的網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)絡(luò)設(shè)備開啟日志審計(jì)功能，并應(yīng)配置日志服務(wù)器統(tǒng)一采集設(shè)備日志信息，記錄用戶登錄系統(tǒng)的日期和時(shí)間、用戶名、操作命令、操作是否成功等信息。審計(jì)記錄至少要保存6個(gè)月對(duì)網(wǎng)絡(luò)及安全設(shè)備定期進(jìn)行弱點(diǎn)掃描，及時(shí)對(duì)設(shè)備進(jìn)行安全配置加固，掃描和配置加固應(yīng)制定相應(yīng)的回退計(jì)劃并在非關(guān)鍵業(yè)務(wù)時(shí)段進(jìn)行，通過訪問控制列表禁止病毒常用攻擊端口在每次更新網(wǎng)絡(luò)設(shè)備或安全設(shè)備配置信息后及時(shí)備份配置文件應(yīng)用系統(tǒng)安全身份鑒別系統(tǒng)基于統(tǒng)一用戶管理系統(tǒng)來管理用戶賬號(hào)和登錄控制，統(tǒng)一用戶管理系統(tǒng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別應(yīng)用系統(tǒng)用戶身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度滿足要求并定期更換。宜提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)；系統(tǒng)宜為用戶隨機(jī)生成初始口令并通過安全渠道分發(fā)給用戶；用戶在第一次登錄系統(tǒng)時(shí)修改分發(fā)的初始口令，口令長(zhǎng)度不得小于8位字符，且為字母、數(shù)字或特殊字符的混合組合；用戶名和口令不得相同；口令不宜明文存儲(chǔ)系統(tǒng)應(yīng)保證用戶身份鑒別信息存儲(chǔ)安全，不宜在主機(jī)文件系統(tǒng)、數(shù)據(jù)庫(kù)及客戶端瀏覽器中明文存儲(chǔ)用戶口令三級(jí)系統(tǒng)采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別，如口令+智能密碼鑰匙、口令+數(shù)字證書、口令十生物特征信息等身份鑒別對(duì)外服務(wù)的系統(tǒng)在登錄時(shí)采用圖形驗(yàn)證碼增強(qiáng)身份認(rèn)證安全。圖形驗(yàn)證碼隨機(jī)生成，長(zhǎng)度不得小于4位字符，且包含字母與數(shù)字內(nèi)部部署和使用的系統(tǒng)，當(dāng)采用數(shù)字證書進(jìn)行身份鑒別時(shí)，使用密鑰管理系統(tǒng)簽發(fā)的數(shù)字證書。涉及第三方業(yè)務(wù)的系統(tǒng)，采用國(guó)家主管機(jī)構(gòu)認(rèn)證的第三方數(shù)字證書系統(tǒng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施系統(tǒng)應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)訪問控制系統(tǒng)基于統(tǒng)一權(quán)限平臺(tái)提供權(quán)限分配和訪問控制功能，不能與統(tǒng)一權(quán)限平臺(tái)集成的應(yīng)提供專用的權(quán)限管理模塊實(shí)現(xiàn)訪問控制功能系統(tǒng)依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問，訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作系統(tǒng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)賬戶的訪問權(quán)限系統(tǒng)授予不同賬戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系系統(tǒng)分別在應(yīng)用系統(tǒng)服務(wù)器和客戶端分別檢查用戶訪問權(quán)限系統(tǒng)上線后對(duì)系統(tǒng)用戶和權(quán)限進(jìn)行梳理，刪除不必要的賬號(hào)，限制匿名用戶訪問權(quán)限采用統(tǒng)一的訪問控制機(jī)制安全審計(jì)系統(tǒng)提供覆蓋每個(gè)用戶的安全審計(jì)功能審計(jì)內(nèi)容包括系統(tǒng)級(jí)事件和重要業(yè)務(wù)事件，如開啟/關(guān)閉審計(jì)功能、修改審計(jì)策略、添加/刪除系統(tǒng)用戶賬號(hào)、修改用戶權(quán)限、用戶登錄/退出、修改/刪除重要業(yè)務(wù)數(shù)據(jù)及對(duì)應(yīng)用系統(tǒng)資源的異常訪問等重要安全事件安全審計(jì)審計(jì)記錄至少包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等系統(tǒng)防止審計(jì)記錄被非授權(quán)刪除、修改或覆蓋，維護(hù)審計(jì)活動(dòng)的完整性系統(tǒng)中存儲(chǔ)至少3個(gè)月的日志記錄系統(tǒng)保證無法單獨(dú)中斷審計(jì)進(jìn)程系統(tǒng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能，或通過第三方審計(jì)工具實(shí)現(xiàn)漏洞攻擊防護(hù)設(shè)計(jì)具備注入防范功能具備跨站腳本攻擊、越權(quán)訪問防范功能通信完整性采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性，并使用國(guó)家主管部門認(rèn)可的算法和安全的密鑰通信保密性在通信雙方建立連接之前，應(yīng)用系統(tǒng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證三級(jí)系統(tǒng)采用國(guó)家主管部門認(rèn)可的密碼算法對(duì)通信過程中的整個(gè)報(bào)文或會(huì)話過程進(jìn)行加密抗抵賴系統(tǒng)詳細(xì)記錄重要業(yè)務(wù)操作的日志并提供日志查詢功能，能夠在用戶請(qǐng)求時(shí)，為業(yè)務(wù)操作發(fā)起方或接收方提供數(shù)據(jù)發(fā)送或接收的證據(jù)涉及電子商務(wù)交易的系統(tǒng)，應(yīng)具有對(duì)重要業(yè)務(wù)操作進(jìn)行數(shù)字簽名的功能，并能夠在用戶請(qǐng)求時(shí)提供簽名驗(yàn)證功能軟件容錯(cuò)系統(tǒng)對(duì)輸入的數(shù)據(jù)格式和長(zhǎng)度進(jìn)行限定系統(tǒng)分別在服務(wù)器端和客戶端對(duì)通過人機(jī)接口或通信接口輸入的數(shù)據(jù)進(jìn)行有效性檢驗(yàn)，保證數(shù)據(jù)格式和長(zhǎng)度符合系統(tǒng)設(shè)定要求軟件容錯(cuò)系統(tǒng)采取關(guān)鍵查詢字符串參數(shù)加密、過濾不安全字符、服務(wù)器端驗(yàn)證等措施防止用戶繞過數(shù)據(jù)有效性檢驗(yàn)當(dāng)程序發(fā)生異常時(shí)使用通用錯(cuò)誤信息，并在日志中記錄詳細(xì)的錯(cuò)誤消息系統(tǒng)提供自動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)配置管理系統(tǒng)保證配置管理功能只能由經(jīng)過授權(quán)的操作員和管理員訪問系統(tǒng)避免進(jìn)行遠(yuǎn)程配置管理，如確需遠(yuǎn)程配置管理應(yīng)采取通信加密等措施應(yīng)用系統(tǒng)的重要配置信息應(yīng)采取加密或訪問控制等措施進(jìn)行保護(hù)，避免將配置文件存儲(chǔ)在WEB服務(wù)器的文件目錄下，并利用文件系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用服務(wù)器的日志功能記錄對(duì)配置文件的重要操作會(huì)話管理用戶每次登錄系統(tǒng)成功后創(chuàng)建新的會(huì)話并釋放舊會(huì)話，新會(huì)話ID應(yīng)具有一定的隨機(jī)性與長(zhǎng)度要求在會(huì)話過程中將重要會(huì)話數(shù)據(jù)存儲(chǔ)在服務(wù)器端，敏感會(huì)話數(shù)據(jù)應(yīng)加密存儲(chǔ)用戶退出登錄時(shí)同時(shí)刪除會(huì)話數(shù)據(jù)；用戶未退出登錄而關(guān)閉瀏覽器時(shí)，提示用戶安全退出或自動(dòng)為用戶執(zhí)行安全退出資源控制當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作響應(yīng)，另一方能夠自動(dòng)結(jié)束會(huì)話系統(tǒng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制系統(tǒng)能夠?qū)蝹€(gè)賬戶的多重并發(fā)會(huì)話進(jìn)行限制系統(tǒng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制系統(tǒng)能夠?qū)σ粋€(gè)訪問賬戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額資源控制系統(tǒng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警系統(tǒng)提供服務(wù)優(yōu)先級(jí)設(shè)定功能，可根據(jù)安全策略設(shè)定訪問賬戶或請(qǐng)求進(jìn)程的優(yōu)先級(jí)，根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源基礎(chǔ)軟件安全操作系統(tǒng)安全身份鑒別對(duì)登錄操作系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別操作系統(tǒng)管理用戶身份鑒別信息不易被冒用，口令復(fù)雜度應(yīng)滿足要求并定期更換。制定賬號(hào)和口令安全策略，限定用戶口令的長(zhǎng)度、復(fù)雜度、生存周期等，口令長(zhǎng)度至少為8位，并包括數(shù)字、小寫字母、大寫字母、特殊符號(hào)4類中至少3類。并每三個(gè)月更換口令操作系統(tǒng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；應(yīng)限制同一用戶連續(xù)失敗登錄次數(shù)系統(tǒng)配置使用SSH等加密協(xié)議進(jìn)行遠(yuǎn)程登錄維護(hù)，并安全配置SSHD的設(shè)置。不使用TELNET進(jìn)行遠(yuǎn)程登錄維護(hù)操作系統(tǒng)為不同用戶分配不同的用戶名，確保用戶名具有唯一性三級(jí)系統(tǒng)的服務(wù)器操作系統(tǒng)管理用戶采用兩種或以上組合的鑒別技術(shù)(如口令+智能密碼鑰匙、口令十?dāng)?shù)字證書、口令十生物特征信息等)進(jìn)行身份鑒別當(dāng)采用數(shù)字證書進(jìn)行身份鑒別時(shí)，使用CA系統(tǒng)或密鑰管理系統(tǒng)簽發(fā)的數(shù)字證書，涉及第三方業(yè)務(wù)系統(tǒng)，采用國(guó)家主管機(jī)構(gòu)認(rèn)證的數(shù)字證書訪問控制對(duì)登錄的用戶分配賬戶和權(quán)限，禁用或限制匿名、默認(rèn)賬戶的訪問權(quán)限刪除多余的、過期不再使用的賬戶，避免共享賬戶的存在根據(jù)業(yè)務(wù)需要限定允許訪問網(wǎng)絡(luò)的應(yīng)用程序和允許遠(yuǎn)程登錄該設(shè)備的IP地址范圍鎖定操作系統(tǒng)當(dāng)前不使用的賬號(hào)，禁用guest賬戶除業(yè)務(wù)需要外，關(guān)閉不必要的系統(tǒng)服務(wù)安全審計(jì)配置日志功能(/etc/syslog.conf,Windows系統(tǒng)啟用本地策略中的審核策略),對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號(hào)、登錄是否成功、登錄時(shí)間以及遠(yuǎn)程登錄時(shí)用戶使用的IP地址，或采用第三方安全審計(jì)產(chǎn)品實(shí)現(xiàn)主機(jī)安全審計(jì)功能，審計(jì)范圍覆蓋服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶審計(jì)內(nèi)容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)重要安全相關(guān)事件，至少包括：用戶的添加和刪除、審計(jì)功能的啟動(dòng)和關(guān)閉、審計(jì)策略的調(diào)整、權(quán)限變更、系統(tǒng)資源的異常使用、重要的系統(tǒng)操作(如用戶登錄、退出)等審計(jì)記錄包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等防范審計(jì)記錄受到未預(yù)期的刪除、修改或覆蓋等，審計(jì)記錄至少保存6個(gè)月能夠通過操作系統(tǒng)自身功能或第三方工具根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表保護(hù)審計(jì)進(jìn)程，避免審計(jì)受到未預(yù)期的中斷漏洞攻擊防范設(shè)計(jì)采取必要的措施識(shí)別安全漏洞和隱患，對(duì)發(fā)現(xiàn)的安全漏洞和隱患及時(shí)進(jìn)行修補(bǔ)或評(píng)估可能的影響后進(jìn)行修補(bǔ)入侵防范操作系統(tǒng)遵循最小安裝的原則，僅安裝必要的組件和應(yīng)用程序，并通過設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁得到及時(shí)更新，補(bǔ)丁安裝前應(yīng)進(jìn)行安全性和兼容性測(cè)試入侵防范定期對(duì)服務(wù)器進(jìn)行安全漏洞掃描和加固，或采用第三方安全工具增強(qiáng)操作系統(tǒng)的安全性；掃描宜當(dāng)在非關(guān)鍵業(yè)務(wù)時(shí)段進(jìn)行并制定詳細(xì)的回退計(jì)劃，對(duì)于掃描發(fā)現(xiàn)的漏洞及配置弱點(diǎn)應(yīng)及時(shí)進(jìn)行處理及時(shí)備份主機(jī)上的重要配置文件，定期使用文件完整性檢查工具或腳本對(duì)重要文件進(jìn)行完整性檢測(cè)和恢復(fù)驗(yàn)證惡意代碼防范采用Windows系列操作系統(tǒng)的服務(wù)器，安裝網(wǎng)絡(luò)版防病毒軟件或服務(wù)器專用防病毒軟件定期更新防惡意代碼軟件和惡意代碼庫(kù)資源控制通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定根據(jù)需要采用磁盤限額等方式限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度采用網(wǎng)管系統(tǒng)或其他方式對(duì)重要服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用狀況進(jìn)行監(jiān)測(cè)，并能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)定的最小值進(jìn)行檢測(cè)和報(bào)警數(shù)據(jù)庫(kù)安全身份鑒別對(duì)登錄數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別數(shù)據(jù)庫(kù)系統(tǒng)用戶身份鑒別信息宜不易被冒用，口令復(fù)雜度應(yīng)滿足要求并定期更換。當(dāng)制定賬號(hào)和口令安全策略，限定用戶口令的長(zhǎng)度、復(fù)雜度、生存周期等，口令長(zhǎng)度不小于8位，且為字母和數(shù)字或特殊字符組合身份鑒別數(shù)據(jù)庫(kù)系統(tǒng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；限制同一用戶連續(xù)失敗登錄次數(shù)當(dāng)對(duì)數(shù)據(jù)庫(kù)進(jìn)行遠(yuǎn)程管理時(shí)，采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽數(shù)據(jù)庫(kù)系統(tǒng)為不同用戶分配不同的用戶名，確保用戶名具有唯一性對(duì)三級(jí)系統(tǒng)的數(shù)據(jù)庫(kù)管理用戶采用兩種或以上組合的鑒別技術(shù)(如口令+智能密碼鑰匙、口令+數(shù)字證書、口令十生物特征信息等)進(jìn)行身份鑒別當(dāng)采用數(shù)字證書進(jìn)行身份鑒別時(shí)，使用CA系統(tǒng)或密鑰管理系統(tǒng)簽發(fā)的數(shù)字證書，涉及第三方業(yè)務(wù)系統(tǒng)，采用國(guó)家主管機(jī)構(gòu)認(rèn)證的數(shù)字證書訪問控制數(shù)據(jù)庫(kù)系統(tǒng)啟用訪問控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問數(shù)據(jù)庫(kù)系統(tǒng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予所需的最小權(quán)限操作系統(tǒng)特權(quán)用戶不宜作為數(shù)據(jù)庫(kù)管理員對(duì)系統(tǒng)默認(rèn)賬戶重命名并修改其默認(rèn)口令，限制其訪問權(quán)限數(shù)據(jù)庫(kù)系統(tǒng)中多余的、過期的賬戶及時(shí)刪除，避免共享賬戶的存在嚴(yán)格限制數(shù)據(jù)庫(kù)系統(tǒng)參數(shù)的訪問及授權(quán)相關(guān)配置，防止數(shù)據(jù)泄露安全審計(jì)采用統(tǒng)一的數(shù)據(jù)庫(kù)安全審計(jì)設(shè)備實(shí)現(xiàn)數(shù)據(jù)庫(kù)日志記錄和審計(jì)報(bào)表功能審計(jì)內(nèi)容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等重要安全相關(guān)事件，至少包括：用戶的添加和刪除、審計(jì)功能的啟動(dòng)和關(guān)閉、審計(jì)策略的調(diào)整、權(quán)限變更、系統(tǒng)資源的異常使用、重要的系統(tǒng)操作(如用戶登錄、退出)等審計(jì)記錄包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等審計(jì)記錄避免受到未預(yù)期的刪除、修改或覆蓋等數(shù)據(jù)庫(kù)審計(jì)設(shè)備應(yīng)旁路部署，避免審計(jì)進(jìn)程受到未預(yù)期的中斷入侵防范重要系統(tǒng)采用安全可控的數(shù)據(jù)庫(kù)系統(tǒng)數(shù)據(jù)庫(kù)系統(tǒng)遵循最小安裝的原則，僅安裝必要的組件和應(yīng)用程序及時(shí)安裝數(shù)據(jù)庫(kù)安全補(bǔ)丁，補(bǔ)丁安裝前進(jìn)行安全性和兼容性測(cè)試，補(bǔ)丁安裝在非關(guān)鍵業(yè)務(wù)時(shí)段進(jìn)行并制定詳細(xì)的回退計(jì)劃定期對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全漏洞掃描和加固，或采用第三方安全工具增強(qiáng)操作系統(tǒng)和數(shù)據(jù)庫(kù)的安全性，掃描應(yīng)當(dāng)在非關(guān)鍵業(yè)務(wù)時(shí)段進(jìn)行并制定詳細(xì)的回退計(jì)劃嚴(yán)格控制能夠直接操作主機(jī)文件系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)資源的存儲(chǔ)過程，刪除不必要的敏感存儲(chǔ)過程對(duì)遠(yuǎn)程數(shù)據(jù)庫(kù)調(diào)用進(jìn)行地址限制及時(shí)備份數(shù)據(jù)庫(kù)重要配置文件，定期使用文件完整性檢查工具或腳本對(duì)重要文件進(jìn)行完整性檢測(cè)和恢復(fù)驗(yàn)證資源控制通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定對(duì)重要數(shù)據(jù)庫(kù)的表空間、磁盤空間等資源的使用狀況進(jìn)行監(jiān)測(cè)，并能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)定的最小值進(jìn)行檢測(cè)和報(bào)警終端安全身份鑒別對(duì)登錄終端的用戶進(jìn)行身份標(biāo)識(shí)和鑒別確保用戶身份鑒別信息不易被冒用，口令應(yīng)滿足復(fù)雜度要求并定期更換。信息內(nèi)、外網(wǎng)桌面終端應(yīng)制定賬號(hào)和口令安全策略，限定用戶口令的長(zhǎng)度、復(fù)雜度、生存周期等，口令長(zhǎng)度不小于8位，且為字母和數(shù)字或特殊字符組合啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施訪問控制信息