信息安全等级保护二级测评控制点

格式：doc
大小：352.00 KB
文档页数：18

下载文档原格式

信息系统等级保护测评指标(二级与三级)

分类应用安全
子类安全审计（G2）入侵防范（G2）恶意代码防范
（G2）资源控制（A2）
身份鉴别（S2）
访问控制（S2）
安全审计（G2）
基本要求些帐户的默认口令应及时删除多余的、过期的帐户、避免共享帐户的存在审计范围应覆盖到服务器上的每个操作系统用户和数据库用户审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等应保护审计记录，避免受到未预期的删除、修改或覆盖等操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库应支持防恶意代码软件的统一管理应通过设定终端接入方式、网络地址范围等条件限制终端登录应根据安全策略设置登录终端的操作超时锁定应限制单个用户对系统资源的最大或最小使用限度应提供专用的登录控制模块对登录用户进行身份标识和鉴别应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计应保证无法删除、修改或覆盖审计记录审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等

等级保护测评二级要求

等级保护测评二级要求一、物理安全1.物理访问控制：应能够根据需要控制不同区域之间的访问，并能够实现对重要区域或设备进行物理保护，如设置门禁系统、视频监控等。

2.物理安全审计：应能够对重要区域或设备的物理安全事件进行审计记录，如对进出重要区域的人员进行记录，对重要设备的操作进行记录等。

二、网络安全1.网络架构安全：应能够根据系统等级保护二级的要求，设计合理的网络架构，包括拓扑结构、设备选型、区域划分等，以确保网络的安全性和可用性。

2.网络安全管理：应能够制定并执行有效的网络安全管理策略和规定，以确保网络的安全性和可用性。

三、主机安全1.主机系统安全：应能够对主机系统进行安全配置，如用户管理、访问控制、安全审计等，以确保主机系统的安全性和可用性。

2.防病毒与防恶意软件：应能够安装并更新防病毒软件和防恶意软件，以防止病毒和恶意软件的入侵。

四、数据库安全1.数据库系统安全：应能够对数据库系统进行安全配置，如用户管理、访问控制、审计等，以确保数据库系统的安全性和可用性。

2.数据备份与恢复：应能够制定并执行有效的数据备份与恢复计划，以确保数据的完整性和可用性。

五、应用安全1.应用系统安全：应能够根据系统等级保护二级的要求，设计应用系统的安全架构，包括输入输出验证、访问控制、加密解密等，以确保应用系统的安全性和可用性。

2.数据传输安全：应能够采取措施保证数据传输的安全性，如加密传输、完整性校验等。

六、数据安全及备份恢复1.数据安全：应能够采取措施保证数据的机密性、完整性、可用性等，如加密存储、备份恢复等。

2.数据备份与恢复：应能够制定并执行有效的数据备份与恢复计划，以确保数据的完整性和可用性。

七、安全管理1.安全组织与规划：应能够建立完善的安全组织架构和规章制度，明确各级人员的职责和权限，确保信息安全的全面管理和控制。

2.安全培训与意识提升：应能够定期开展安全培训和意识提升活动，提高员工的安全意识和技能水平。

等级保护二级和三级基本介绍

等级保护二级要备案要注意什么？
定级备案后，寻找本地区测评机构进行等级测评。根据测评评分(GBT22239-2019信息安全技术网络安全等级保护基本要求。具体分数需要测评后才能给出)对信息系统（APP）进行安全整改，如果企业没有专业的安全团队，需要寻找安全公司时代新威进行不同项目的整改。
等级保护2.0
等级保护2.0三级有211项内容，通常企业需要根据自身情况采购安全产品完成整改。进行安全建设整改后，通过测评。当地公安机关会进行监督检查包含定级备案测评、测评后抽查。整个流程企业自行做等级保护，顺利的话3-4个月完成，如果不熟悉需要半年甚至更久，具体可以问当地测评机构。
○ APP含有用户比较多一般在6000条以上，一般可以参考定级为：三级！
等级保护二做级有多少个操控点个，要求项175；三级控制点73个，要求项290个
做等级保护要注意什么？
一级不需要备案仅需企业自主定级，二级、三级是大部分普通企业的信息系统定级。四级、五级普通企业不会涉及，通常是与国家相关（如等保四级-涉及民生的，如铁路、能源、电力等）的重要系统。根据地区不同备案文件修改递交通常需要1个月左右的时间。
等级保护二级和三级怎么定？以什么为参考？
二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。
三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。一般网站无大量大客户信息（如不包含用户注册或用户注册量极少），可以参考定级为：二级！

等级保护测评项目测评方案-2级和3级标准

等级保护测评项目测评方案-2级和3级标准信息安全等级保护测评项目测评方案广州华南信息安全测评中心二〇一六年目录第一章概述 (3)第二章测评基本原则 (4)一、客观性和公正性原则 (4)二、经济性和可重用性原则 (4)三、可重复性和可再现性原则 (4)四、结果完善性原则 (4)第三章测评安全目标（2级） (5)一、技术目标 (5)二、管理目标 (6)第四章测评内容 (9)一、资料审查 (10)二、核查测试 (10)三、综合评估 (10)第五章项目实施 (12)一、实施流程 (12)二、测评工具 (13)2.1 调查问卷 (13)2.2 系统安全性技术检查工具 (13)2.3 测评工具使用原则 (13)三、测评方法 (14)第六章项目管理 (15)一、项目组织计划 (15)二、项目成员组成与职责划分 (15)三、项目沟通 (16)3.1 日常沟通，记录和备忘录 (16)3.2 报告 (16)3.3 正式会议 (16)第七章附录：等级保护评测准则 (19)一、信息系统安全等级保护 2 级测评准则 (19)1.1 基本要求 (19)1.2 评估测评准则 (31)二、信息系统安全等级保护 3 级测评准则 (88)基本要求 (88)评估测评准则 (108)第一章概述2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）以及2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。

”2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出，“通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设”。

二级系统安全等级保护基本要求及测评要求内容

二级系统安全等级保护基本要求及测评要求内容二级系统安全等级保护是我国国家保密局对信息系统进行安全等级评定的一项标准。

其目的是为了保护重要信息系统，确保信息在传输、存储和处理过程中不被泄露、被篡改和被破坏。

以下是二级系统安全等级保护的基本要求及测评要求内容。

一、基本要求：1.规范安全建设：对于进行二级系统安全等级保护的单位，需要建立健全安全管理机构，并确保安全管理制度得以有效贯彻。

同时，要明确安全管理职责，进行安全备案和安全审计，建立完善的安全控制策略和技术措施。

2.安全培训和意识教育：对系统安全等级保护的相关人员进行合理、全面、持续的安全培训和意识教育，提高其安全意识和技能水平，确保其能够有效地识别和应对安全风险。

3.安全防护措施：要建立有效的安全防护措施，包括网络安全防护、入侵检测与防御、数据加密和存储等方面。

此外，还要对系统进行定期的漏洞扫描和安全演练，找出系统存在的安全风险并进行及时修复。

4.安全审计：进行定期的安全审计，对系统进行安全评估和漏洞扫描，挖掘和解决可能存在的安全问题，保障系统的安全性能。

5.应急处理：建立完善的安全应急处理机制，及时响应和处理安全事件，采取有效的措施进行事故处置和恢复，最大限度减少损失，并追究相关责任。

二、测评要求内容：1.安全策略：对系统的安全策略进行评估，包括安全性目标的设定、安全策略的制定和实施效果的评估。

2.身份认证和访问控制：评估系统的用户身份认证和访问控制机制，检查是否存在弱密码、默认口令等安全漏洞。

3.系统配置管理：评估系统配置的合规性，包括操作系统、数据库、网络设备和应用系统的配置管理，确保系统的配置符合安全要求。

4.网络安全防护：评估系统的网络安全防护措施，包括入侵检测与防御、防火墙、反病毒等网络安全设备的配置和使用情况。

5.数据保护与备份：评估系统对重要数据的保护措施，包括数据加密、数据备份和数据恢复措施的合规性和有效性。

6.安全审计与日志管理：评估系统的安全审计机制和日志管理情况，包括日志收集、存储和分析等方面，确保系统安全事件的追溯性和可靠性。

信息安全等年级保护二级测评控制点

应将设备或主要部件进行固定，并设置明显的不易除去的标记。
应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。
应对介质分类标识，存储在介质库或档案室中。
主机房应安装必要的防盗报警设施。
防雷击
机房建筑应设置避雷装置。
访谈，检查。
物理安全负责人，机房维护人员，机房设施（避雷装置，交流电源地线），建筑防雷设计/验收文档。
边界完整性检查
应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。
访谈，检查，测试。
安全管理员，边界完整性检查设备。
入侵防范
应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
访谈，检查，测试。
安全管理员，网络入侵防范设备。
应保证网络各个部分的带宽满足业务高峰期需要。
应绘制与当前运行情况相符的网络拓扑结构图。
应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。
访问控制
应在网络边界部署访问控制设备，启用访问控制功能。
访谈，检查，测试。
安全管理员，边界网络设备。
系统管理员，网络管理员，安全管理员，数据库管理员，应用系统，设计/验收文档，相关证明性材料（如证书、检验报告等）
备份和恢复
应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。
访谈，检查，测试。
系统管理员，网络管理员，数据库管理员，安全管理员，主机操作系统，网络设备操作系统，数据库管理系统，应用系统，设计/验收文档，网络拓扑结构。
访谈。安全主管，人事工作人员。
安全意识教育和培训

GBT22239-2019信息安全技术网络安全等级保护二级等保2.0各要求控制点解读及测评方法及预期证据

核查机房验收文档是否明确所用建筑材料的耐火等级
机房所有材料为耐火材料，如使用墙体、防火玻璃等，但使用金属栅栏的不能算符合
c）应对机房划分区域进行管理，区域和区域之间设置隔离防火措施
机房内需要进行区域划分并设置隔离防火措施，防止水灾发生后火势蔓延
1)核查是否进行了区域划分
2)核查各区域间是否采取了防火隔离措施
c)应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警
机房内需要布设对水敏感的检测装置，对渗水、漏水情况进行检测和报警
1)核查是否安装了对水敏感的检测装置
2)核查防水检测和报警装置是否开启并正常运行
1)机房内部署了漏水检测装置，如漏水检测绳等
2)检测和报警工作正常
防静电
a)应采用防静电地板或地面并采用必要的接地防静电措施
在机房内对机柜、各类设施和设备采取接地措施，防止雷击对电子设备产生
损害
核查机房内机柜、设施和设备等是否进行接地处理，通常黄绿色相间的电线为接地用线
机房内所有机柜、设施和设备等均已采取了接地的控制措施
b)应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等
在机房内安装防雷保安器或过压保护等装置,防止感应雷对电子设备产生损害
1)机房进行了区域划分，如过渡区、主机房
2)区域间部署了防火隔离装置
防水和防潮
a）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透
机房内需要采取防渗漏措施，防止窗户、屋顶和墙壁存在水渗透情况
核查窗户、屋顶和墙壁是否采取了防渗漏的措施
机房采取了防雨水渗透的措施，如封锁了窗户并采取了防水、屋顶和墙壁均采取了防雨水渗透的措施
1）核查机房内是否设置火灾自动消防系统
2)核查火灾自动消防系统是否可以自动检测火情、自动报警并自动灭火

GBT22239-2019信息安全技术网络安全等级保护二级等保测评标准等保测评方法检查表

2、应核查机房是否不存在雨水渗漏；
3、应核查门窗是否不存在因风导致的尘土严重；4、应核查屋顶、墙体、门窗和地面等是否不存在破损开裂。
符合
b) 机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。
机房
应核查机房是否不位于所在建筑的顶层或地下室，如果否，则核查机房是否采取了防水和防潮措施。
1、应核查机房内设备或主要部件是否固定；
2、应核查机房内设备或主要部件上是否设置了明显且不易除去的标识。
符合
b) 应将通信线缆铺设在隐蔽安全处。
机房通信线缆
应核查机房内通信线缆是否铺设在隐蔽安全处，如桥架中等。
符合
7.1.1.4 防雷击
应将各类机柜、设施和设备等通过接地系统安全接地。
机房
应核查机房内机柜、设施和设备等是否进行接地处理。
2、应核查机房内是否采取了排泄地下积水，防止地下积水渗透的措施。
符合
7.1.1.7 防静电
应采用防静电地板或地面并采用必要的接地防静电措施。
机房
1、应核查机房内是否安装了防静电地板或地面；
2、应核查机房内是否采用了防静电措施。
符合
7.1.1.8 温湿度控制
应设置温湿度自动调节设施，使机房温湿度的变化在设备运行所允许的范围之内。
GBT22239-2019信息安全技术网络安全等级保护二级等保测评标准等保测评方法检查表
安全物理环境
控制点
测评项
测评对象
测评方法及步骤
检查结果
结果判断
整改建议
7.1.1.1 物理位置选择
a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内；
记录类文档和机房
1、应核查所在建筑物是否有建筑抗震设防审批文档；

2级等级保护测评的详细文字描述

2级等级保护测评的详细文字描述引言等级保护测评是评估一个系统或软件的安全性和稳定性的一种方法。

本文将详细介绍2级等级保护测评，包括测评方法、关键步骤以及测评结果的解读。

1.测评方法2级等级保护测评采用了多种评估方法，以确保系统的安全性和可靠性得到全面检验。

主要方法包括：1.1系统分析对系统进行全面的分析，包括架构分析、数据流分析、边界分析等，以确定系统的关键组成部分和信息流动情况。

1.2安全需求分析根据等级保护的要求，对系统的安全需求进行深入分析和定义，确保系统在设计、开发和运行过程中能够满足安全需求。

1.3安全策略评估评估系统的安全策略，包括访问控制、身份认证、数据加密等，确保系统采用了适当的安全策略来保护敏感数据和关键操作。

1.4安全漏洞分析通过漏洞扫描和安全测试等手段，识别系统中可能存在的安全漏洞，并提出相应的修复建议，以增强系统的安全性。

2.关键步骤2级等级保护测评包括以下关键步骤：2.1前期准备在进行测评之前，需要对系统进行充分的准备工作。

包括确定测评的范围和目标、收集系统的相关文档和资料，以及与相关人员进行沟通和协调。

2.2测试环境搭建搭建适合进行等级保护测评的测试环境，包括硬件设备、软件工具和网络环境的准备。

确保测试环境与实际运行环境相似，以得到准确的测评结果。

2.3测试计划制定根据系统的特点和测评目标，制定详细的测试计划，包括测试方法、测试步骤、测试资源等。

确保测试计划能够全面、有效地评估系统的安全性和稳定性。

2.4测试执行和记录按照测试计划的要求进行测试执行，记录测试过程中的关键信息和测试结果。

包括系统的漏洞、测试的错误日志以及系统的行为等。

2.5测试结果分析和报告对测试结果进行分析和总结，生成详细的测试报告。

报告中包括测试的目标、测试方法、测试结果以及对测试结果的解读和建议。

3.测评结果的解读根据2级等级保护测评的结果，可以对系统的安全性和稳定性进行评估和判断。

主要包括以下几个方面：3.1系统的安全性根据测评结果，评估系统的安全性能力，包括系统的访问控制、数据保护、身份认证等方面。

信息系统等级保护测评指标(二级与三级)资料

1•信息系统等级保护测评指标等级保护的测评技术指标至少覆盖各系统等保二级、等级保三级的全部指标1.1.等级保护二级测评基本指标1・2・等级保护三级测评基本指标a ）应指定专门的部门或人员负责管理系统定级的相关材料，并控制这些材料的使用；工程实施测试验收系统交付系统备案确保可以在恢复程序规定的时间内完成备份的恢复。

a ）应报告所发现的安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点； b ）应制定安全事件报告和处置管理制度，明确安全事件的类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责； c ）应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响，对本系统计算机安全事件进行等级划分； d ）应制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置的范围、程度，以及处理方法等； e ）应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训，制定防止再次发生的补救措施，过程形成的所有文件和记录均应妥善保存； f ）对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。

a ）应在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容；b ）应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障；c ）应对系统相关的人员进行应急预案培训，应急预案的培训应至少每年举办一次；d ）应定期对应急预案进行演练，根据不同的应急恢复内容，确定演练的周期；e ）应规定应急预案需要定期审查和根据实际情况更新的内容，并按照执行。

安全事件处置应急预案管理。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

访问控制
42.
应启用访问控制功能，依据安全策略控制用户对资源的访问。
访谈，检查。
服务器操作系统、数据库，服务器操作系统文档，数据库管理系统文档。
43.
应实现操作系统和数据库系统特权用户的权限分离。
44.
应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令。
45.
应及时删除多余的、过期的帐户，避免共享帐户的存在。
访谈，检查，测试。
审计员，应用系统。
64.
应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录。
65.
审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等。
通信完整性
66.
应采用密码技术保证通信过程中数据的完整性。
访谈，检查，测试。
安全管理员，应用系统，设计/验收文档。
通信保密性
应用系统管理员，应用系统。
60.
访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作。
61.
应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限。
62.
应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。
安全审计
63.
应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计。
备份和恢复
74.
应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。
访谈，检查，测试。
系统管理员，网络管理员，数据库管理员，安全管理员，主机操作系统，网络设备操作系统，数据库管理系统，应用系统，设计/验收文档，网络拓扑结构。
等级保护二级管理类测评控制点
类别
序号
测评内容
测评方法
应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。
36.
当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。
主机安全
身份鉴别
37.
应对登录操作系统和数据库系统的用户进行身份标识和鉴别。
访谈，检查，测试。
系统管理员，数据库管理员，服务器操作系统、数据库，服务器操作系统文档，数据库管理系统文档。
系统管理员，网络管理员，安全管理员，数据库管理员，应用系统，设计/验收文档，相关证明性材料（如证书、检验报告等）。
数据保密性
73.
应采用加密或其他保护措施实现鉴别信息的存储保密性。
访谈，检查，测试。
系统管理员，网络管理员，安全管理员，数据库管理员，应用系统，设计/验收文档，相关证明性材料（如证书、检验报告等）
2.
机房出入口应安排专人值守，控制、鉴别和记录进入的人员。
访谈，检查。
物理安全负责人，机房值守人员，机房，机房安全管理制度，值守记录，进入机房的登记记录，来访人员进入机房的审批记录。
3.
需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。
防盗窃和防破坏
4.
应将主要设备放置在机房内。
访谈，检查。
当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话。
访谈，检查，测试。
应用系统管理员，应用系统。
70.
应能够对系统的最大并发会话连接数进行限制。
71.
应能够对单个帐户的多重并发会话进行限制。
数据完整性
72.
应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。
访谈，检查。
67.
在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证。
访谈，检查，测试。
安全管理员，应用系统，相关证明材料（证书）。
软件容错
68.
应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。
访谈，检查，测试。
应用系统管理员，应用系统。
资源控制
69.
访谈，检查。
物理安全负责人，机房维护人员，机房设施（供电线路，稳压器，过电压防护设备，短期备用电源设备），电力供应安全设计/验收文档，检查和维护记录。
18.
应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求。
电磁防护
19.
电源线和通信线缆应隔离铺设，避免互相干扰。
访谈，检查。
物理安全负责人，机房维护人员，机房设施，电磁防护设计/验收文档。
访谈，检查。
物理安全负责人，机房维护人员，机房设施，防静电设计/验收文档。
温湿度控制
16.
应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。
访谈，检查。
物理安全负责人，机房维护人员，机房设施，温湿度控制设计/验收文档，温湿度记录、运行记录和维护记录。
电力供应
17.
应在机房供电线路上配置稳压器和过电压防护设备。
访问控制
24.
应在网络边界部署访问控制设备，启用访问控制功能。
访谈，检查，测试。
安全管理员，边界网络设备。
25.
应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。
26.
应限制具有拨号访问权限的用户数量。
安全审计
27.
应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。
信息安全等级保护二级测评控制点
一、技术类测评要求
等级保护二级技术类测评控制点(S2A2G2)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
物理安全
物理位置的选择
1.
机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
访谈，检查。
物理安全负责人，机房，办公场地，机房场地设计/验收文档。
物理访问控制
访谈，检查。安全主管，安全管理制度列表，评审记录。
人员录用
91.
应指定或授权专门的部门或人员负责人员录用。
访谈，检查。人事负责人，人事工作人员，人员录用要求管理文档，人员审查文档或记录，考核文档或记录，保密协议。
92.
应规范人员录用过程，对被录用人员的身份、背景和专业资格等进行审查，对其所具有的技术技能进行考核。
访谈，检查，测试。
审计员，边界和网络设备。
28.
审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
边界完整性检查
29.
应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。
访谈，检查，测试。
安全管理员，边界完整性检查设备。
入侵防范
30.
应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
制定和发布
87.
应指定或授权专门的部门或人员负责安全管理制度的制定。
访谈，检查。安全主管，制度制定和发布要求管理文档，评审记录，安全管理制度。
88.
应组织相关人员对制定的安全管理制度进行论证和审定。
89.
应将安全管理制度以某种方式发布到相关人员手中。
评审和修订
90.
应定期对安全管理制度进行评审，对存在不足或需要改进的安全管理制度进行修订。
网络安全
结构安全
20.
应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。
访谈，检查，测试。
网络管理员，边界和网络设备，网络拓扑图，网络设计/验收文档。
21.
应保证网络各个部分的带宽满足业务高峰期需要。
22.
应绘制与当前运行情况相符的网络拓扑结构图。
23.
应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。
57.
应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。
58.
应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。
访问控制
59.
应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问。
访谈，检查，测试。
80.
应针对关键活动建立审批流程，并由批准人签字确认。
沟通和合作
81.
应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通。
访谈，检查。安全主管，安全管理人员，会议文件，会议记录，外联单位说明文档。
`
82.
应加强与兄弟单位、公安机关、电信公司的合作与沟通。
审核和检查
83.
安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。
防雷击
9.
机房建筑应设置避雷装置。
访谈，检查。
物理安全负责人，机房维护人员，机房设施（避雷装置，交流电源地线），建筑防雷设计/验收文档。
10.
机房应设置交流电源地线。
防火
11.
机房应设置灭火设备和火灾自动报警系统。
访谈，检查。
物理安全负责人，机房值守人员，机房设施，机房安全管理制度，机房防火设计/验收文档，火灾自动报警系统设计/验收文档。
53.
应根据安全策略设置登录终端的操作超时锁定。
54.
应限制单个用户对系统资源的最大或最小使用限度。
应用安全
身份鉴别
55.
应提供专用的登录控制模块对登录用户进行身份标识和鉴别。
访谈，检查，测试。
应用系统管理员，应用系统，设计/验收文档，操作规程。
56.
应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用。