当前位置:文档之家 › 等保二级技术要求

等保二级技术要求

  • 格式:doc
  • 大小:48.50 KB
  • 文档页数:7

下载文档原格式

  / 7

合集下载

等保二级三级区别与详细对比

等保二级三级区别与详细对比

等保2.0二级、三级区别与测评项详细对比
目录
一、评定要求对比 (2)
二、测评周期对比 (2)
三、详细测评项对比 (2)
(一)技术部分 (3)
(二)管理部分 (13)
四、安全产品对与落地实施建议 (26)
(一)等级保护2.0差异变化 (26)
(二)关键指标与应对产品。

(27)
(三)等级保护2.0通用要求相关产品和措施(三级) (28)
基于等保2.0标准体系,详细对比等保二级、三级之前的区别,包含:评定要求对比、测评周期对比、详细测评项对比、安全产品对比与落地实施建议等内容。

一、评定要求对比
等保二级:等保对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全 ;
等保三级:等保对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害 ;
二、测评周期对比
等保二级:一般两年进行一次测评;
等保三级:每年至少进行一次等级测评;
三、详细测评项对比
通用部分等保二级测评和三级测评项数量如下:
标记注释:是否适用:No-不适用
注意:以下所有测评项全部适用于三级系统,最后一列仅标识哪些项二级不适用。

(一)技术部分
(二)管理部分
四、安全产品对与落地实施建议(一)等级保护2.0差异变化
(二)关键指标与应对产品。

(三)等级保护2.0通用要求相关产品和措施(三级)。

等保二级说明

等保二级说明

等保二级说明等保二级,全称是信息安全等级保护二级,是我国信息安全管理制度中的一项重要评估标准。

等保二级的目标是为了确保信息系统的安全性和可靠性,提供保障用户数据和信息安全的措施。

等保二级的评估标准主要包括以下几个方面:安全策略、安全组织、安全技术、安全管理、安全运维和安全事件响应。

其中,安全策略是制定信息安全目标、策略和规划的基础,安全组织是组织架构和职责分工的规范,安全技术是利用技术手段保障信息安全的措施,安全管理是指对信息安全管理过程的规范和控制,安全运维是对信息系统运行过程中的安全管理和维护,安全事件响应是对安全事件的及时响应和处置。

等保二级的实施过程需要进行详细的规划和准备工作。

首先是制定信息安全管理制度和安全策略,明确信息安全的目标和措施。

然后是进行信息系统的风险评估和漏洞扫描,找出潜在的安全隐患。

接下来是制定安全管理规范和操作手册,明确安全管理的流程和责任。

同时,还需要对员工进行安全培训和意识教育,提高员工的信息安全意识和能力。

等保二级的实施需要依赖于一系列的技术措施和安全产品。

其中,网络安全设备是保障信息系统安全的重要手段,包括防火墙、入侵检测系统和安全网关等设备。

此外,还需要进行网络安全监测和日志分析,及时发现和处置安全事件。

同时,还需要进行数据备份和恢复,确保数据的完整性和可用性。

等保二级的评估和认证是确保信息系统安全的重要手段。

在评估过程中,需要进行全面的审查和测试,包括文档审查、系统安全扫描、漏洞检测和安全组织的评估等。

通过评估和认证,可以对信息系统的安全性进行全面的检验和验证,为用户提供可靠的保障。

等保二级是我国信息安全管理制度中的重要评估标准,通过一系列的措施和技术手段,确保信息系统的安全性和可靠性。

实施等保二级需要进行详细的规划和准备工作,依赖于技术措施和安全产品,同时需要进行评估和认证。

只有全面、系统地实施等保二级,才能有效保护用户的数据和信息安全。

机房2级和3级等保要求

机房2级和3级等保要求

二级、三级等级保护要求比较一、技术要求技术要求项二级等保三级等保物理安全物理位置的选择1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。

1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;2)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁;3)机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区。

物理访问控制1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;2)应批准进入机房的来访人员,限制和监控其活动范围。

1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;2)应批准进入机房的来访人员,限制和监控其活动范围;3)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过度区域;4)应对重要区域配置电子门禁系统,鉴别和记录进入的人员身份并监控其活动。

防盗窃和防破坏1)应将主要设备放置在物理受限的范围内;2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;4)应对介质分类标识,存储在介质库或档案室中;5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。

1)应将主要设备放置在物理受限的范围内;2)应对设备或主要部件进行固定,并设置明显的无法除去的标记;3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;4)应对介质分类标识,存储在介质库或档案室中;5)设备或存储介质携带出工作环境时,应受到监控和内容加密;6)应利用光、电等技术设置机房的防盗报警系统,以防进入机房的盗窃和破坏行为;7)应对机房设置监控报警系统。

防雷击1)机房建筑应设置避雷装置;2)应设置交流电源地线。

1)机房建筑应设置避雷装置;2)应设置防雷保安器,防止感应雷;3)应设置交流电源地线。

防火1)应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。

安全等保二级要求

安全等保二级要求

安全等保二级要求篇一【安全等保二级要求】哎呀,为啥要搞这个安全等保二级要求呢?这可不是闹着玩的!如今这网络世界,信息满天飞,安全问题那是层出不穷。

咱们要是不把安全防护做好,万一出了岔子,数据被偷了、系统被黑了,那可就惨啦!所以呢,为了保护咱们的信息资产,保障业务的正常运行,这安全等保二级要求必须得整起来!下面咱就来好好唠唠这些要求:**一、安全管理制度方面**1. 咱得有一套完善的安全管理制度,这就好比是家里的家规,得明确规定谁负责啥,出了事找谁。

2. 定期对员工进行安全培训,至少每半年一次,让大家心里都有根安全的弦儿,不然咋能知道啥能做啥不能做?3. 对安全制度的执行情况要进行检查和评估,这就像考试一样,看看大家到底有没有把制度落实到位。

**二、安全技术防护方面**1. 网络访问控制得做好,不是谁都能随便进来溜达的,得有身份验证和授权,这就像进家门得有钥匙一样。

2. 系统要定期打补丁,更新软件,你想想,要是系统漏洞百出,那不就跟纸糊的墙一样,一捅就破?3. 安装防病毒软件,这可是保护电脑的“保镖”,能把那些病毒啥的都挡在门外。

**三、安全运维管理方面**1. 对重要数据要定期备份,万一数据丢了,还能找回来,这就跟买保险一样,有备无患。

2. 定期进行安全审计,看看有没有啥安全隐患,这就像给身体做体检,早发现早治疗。

3. 对设备和系统的运行状态要实时监控,一旦有异常,能及时发现并处理,不能等到出了大事才傻眼。

这些要求可不是说着玩的,如果不遵守,那后果可严重啦!数据丢失、业务中断,这损失谁能承担得起?所以大家都得重视起来,把安全工作做好,让咱们的网络世界稳稳当当的!篇二【安全等保二级要求】嘿,朋友们!今天咱们来聊聊为啥要有这安全等保二级要求。

你想啊,现在这科技发展得这么快,到处都是数字化的东西,信息就像宝贝一样,得好好保护着。

要是不小心让坏人给偷了、毁了,那咱们不就傻眼了?所以,为了守住咱们的“宝贝”,这要求就得严起来!下面咱具体瞅瞅都有啥要求:**一、人员安全管理**1. 员工入职时就得进行安全背景审查,可别让那些有“前科”的人混进来,这能放心吗?2. 每个员工都得签订保密协议,**要是敢泄露公司机密,那可就等着吃官司吧!**3. 对离职员工的账号和权限要及时清理,万一他拿着“钥匙”回来捣乱咋办?**二、物理环境安全**1. 机房得有防火、防水、防盗的措施,这要是着了火、进了水或者被小偷光顾了,那还得了?2. 温度和湿度要控制好,不然设备容易出故障,这就跟人在恶劣环境下容易生病一样。

二级等保测评依据

二级等保测评依据

二级等保测评是根据《网络安全法》和《信息安全技术网络安全等级保护基本要求》进行的,旨在保障网络和信息系统的安全。

以下是二级等保测评的主要依据和要求:
1. 法律法规要求:二级等保测评需要遵守《网络安全法》和相关法规,以及国家有关安全技术规范和标准。

2. 等级保护要求:二级等保测评的对象是等级保护二级信息系统,需要满足《信息安全技术网络安全等级保护基本要求》中规定的有关安全控制和安全审计等方面的要求。

3. 安全技术要求:二级等保测评需要针对等级保护二级信息系统面临的安全威胁和风险,采取必要的安全技术措施,包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等方面。

4. 安全管理制度要求:二级等保测评需要建立完善的安全管理制度,包括安全策略、安全管理组织架构、安全培训、应急预案等方面的要求。

5. 用户授权管理要求:二级等保测评需要采取用户授权管理措施,对不同用户进行分级授权,并实施身份认证和访问控制。

6. 安全审计要求:二级等保测评需要建立安全审计机制,对系统内的重要操作进行记录和审计,确保安全事件的发现和处理。

7. 安全加固要求:二级等保测评需要对系统进行安全加固,包括操作系统、数据库、网络设备等方面的安全配置和加固,以提高系统的安全性。

总之,二级等保测评是根据国家有关法律法规和标准进行的,旨在提高网络和信息系统的安全性,保障国家网络空间的安全稳定。

等级保护测评二级要求

等级保护测评二级要求

等级保护测评二级要求【原创版】目录1.等级保护测评二级概述2.等级保护测评二级的具体要求3.测评流程和标准4.注意事项和常见问题正文【等级保护测评二级概述】等级保护测评是指对信息系统的安全等级进行评估和检测,以确保其安全可靠。

等级保护测评二级是其中的一个等级,主要针对的是信息系统的机密性、完整性和可用性进行评估。

在我国,等级保护测评二级的要求和标准是由国家相关部门制定的,适用于各种国有和非国有的信息系统。

【等级保护测评二级的具体要求】等级保护测评二级的具体要求包括以下几个方面:1.机密性:信息系统在存储、传输和处理过程中,必须保证数据的机密性,防止未经授权的访问和窃取。

2.完整性:信息系统必须保证数据的完整性,防止数据被篡改或者损坏。

3.可用性:信息系统必须保证在任何情况下都能正常运行,防止因为各种原因导致的系统崩溃或者服务中断。

【测评流程和标准】等级保护测评二级的测评流程和标准主要包括以下几个步骤:1.准备阶段:测评前需要对信息系统进行全面的检查和准备,包括备份数据、关闭不必要的服务等。

2.测评阶段:测评人员将对信息系统进行全面的安全检测,包括渗透测试、漏洞扫描等。

3.报告阶段:测评人员将根据测评结果编写测评报告,详细描述信息系统的安全状况和存在的问题。

4.整改阶段:针对测评报告中提到的问题,信息系统需要进行整改和完善,以提高其安全性。

【注意事项和常见问题】在进行等级保护测评二级时,需要注意以下几点:1.测评过程应遵循客观公正、科学严谨的原则,确保测评结果的真实性和可靠性。

2.测评人员应具备相关的专业知识和技能,以保证测评的质量。

3.信息系统的运营者和管理者应积极配合测评工作,提供必要的支持和协助。

二级等保标准

二级等保标准在网络安全日益受到重视的今天,信息安全已经成为各个行业的首要任务。

为了保护国家的信息安全,我国制定了一系列的信息安全标准,其中二级等保标准是其中非常重要的一部分。

本文将对二级等保标准进行详细介绍,以便广大读者更加深入地了解这一标准的重要性和实施方法。

首先,二级等保标准是指在信息系统安全保护等级测评中,对应的是较为重要的信息系统。

这些信息系统可能涉及国家的重要行政、科研、生产等领域,一旦泄露或遭受攻击,可能对国家安全和社会稳定造成严重影响。

因此,二级等保标准的制定和实施显得尤为重要。

其次,二级等保标准主要包括了信息系统的安全管理、安全技术措施、安全保密等方面的要求。

在安全管理方面,要求信息系统的管理者建立健全的安全管理制度,包括安全策略、安全组织、安全教育和安全审计等方面的要求。

在安全技术措施方面,要求信息系统具备完善的安全防护措施,包括身份认证、访问控制、数据加密、安全审计等技术手段。

在安全保密方面,要求信息系统对重要数据和信息进行严格的保密措施,包括数据备份、数据传输加密、数据存储安全等方面的要求。

再次,对于二级等保标准的实施,需要信息系统的管理者和相关人员密切配合,共同努力。

首先,需要建立专门的信息安全团队,负责信息系统的安全保护工作。

其次,需要制定详细的安全管理制度和技术措施,并严格执行。

同时,还需要定期对信息系统进行安全检查和评估,及时发现和解决安全隐患。

最后,需要加强对相关人员的安全教育和培训,提高其安全意识和技能。

最后,二级等保标准的实施不仅仅是一项技术工作,更是一项系统工程,需要全社会的共同参与。

只有通过全社会的共同努力,才能够更好地保护国家的信息安全,实现国家的长治久安。

总之,二级等保标准的制定和实施对于保护国家的信息安全具有重要的意义。

只有加强信息安全意识,完善信息安全制度,才能够更好地应对各种信息安全威胁,确保国家的长治久安。

希望本文能够对广大读者有所帮助,引起大家对信息安全的重视,共同维护国家的信息安全。

服务器 二级等保测评标准

服务器二级等保测评标准
服务器二级等保测评标准主要涉及以下几个方面:
1. 物理安全:包括物理访问控制、物理安全监测等,要求对服务器所在的物理环境进行严格控制,防止未经授权的访问和破坏。

2. 网络安全:包括网络安全监测、网络安全审计等,要求对服务器的网络通信进行严格监控和审计,防止网络攻击和数据泄露。

3. 主机安全:包括身份认证、访问控制、安全审计等,要求对服务器的用户身份进行严格认证和权限管理,防止未经授权的访问和操作。

4. 应用安全:包括应用安全监测、应用漏洞扫描等,要求对服务器上运行的应用程序进行安全监测和漏洞扫描,及时发现和修复安全问题。

5. 数据安全:包括数据加密、数据备份和恢复等,要求对服务器上的数据进行严格保护,防止数据泄露和损坏。

在服务器二级等保测评中,还需要注意以下几个方面:
1. 符合国家信息安全等级保护相关标准的要求,如《信息安全技术信息系统安全等级保护基本要求》等。

2. 对服务器的安全配置和安全漏洞进行全面检查和修复,保证服务器的安全性。

3. 对服务器的安全事件进行实时监控和审计,及时发现和处理安全问题。

4. 定期进行服务器安全漏洞扫描和渗透测试,确保服务器的安全性。

以上是服务器二级等保测评标准的主要内容,具体标准可能会根据不同的应用场景和安全需求而有所不同。

二级等保标准

6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
设备做好双机冗余
网络访问控制
1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力。
防火墙
2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;
3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;
4)应对介质分类标识,存储在介质库或档案室中;
5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
机房建设
防雷击
1)机房建筑应设置避雷装置;
2)应设置交流电源地线。
防雷系统
防火
1)应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
拨号访问控制
1)应在基于安全属性的允许远程用户对系统访问的规则的基础上,对系统所有资源允许或拒绝用户进行访问,控制粒度为单个用户;
2)应限制具有拨号访问权限的用户数量。
VPN
网络安全审计
1)应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录;
2)对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息。
2)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
VPN
入侵防范

网管系统,IPS入侵防御系统
恶意代码防范
1)服务器和重要终端设备(包括移动设备)应安装实时检测和查杀恶意代码的软件产品;
2)主机系统防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;

等保二级对业务系统的要求

等保二级对业务系统的要求篇一【等保二级对业务系统的要求】嘿,朋友们!今天咱们来聊聊等保二级对业务系统到底有啥要求。

为啥要聊这个呢?还不是因为如今这网络世界太复杂,信息安全那可是重中之重啊!咱们的业务系统要是不达到等保二级的要求,万一出点啥岔子,那可就麻烦大啦!首先,在物理安全方面,咱得保证机房有个靠谱的环境。

你说这机房要是温度忽高忽低,湿度大得能长蘑菇,那设备还能正常工作吗?所以,**温度要控制在 22℃到 26℃之间**,湿度得在 40%到 60%的范围内。

还有啊,这机房的门可不能随便谁都能进,得有严格的访问控制,**进出都得登记**,这就跟咱们进家门得拿钥匙一个道理。

再说说网络安全。

网络就像咱们的高速公路,得保证畅通无阻还不能有“坏人”捣乱。

**防火墙得配置到位**,把那些不该进来的流量都挡在外面。

还有,网络访问得有授权,不能谁都能在咱们的网络里“闲逛”。

然后是主机安全。

系统得及时打补丁,就像给咱们的电脑治病一样,**一个月至少得检查更新一次**。

还有,用户账号密码可不能太简单,像“123456”这种,那不是给黑客送“开门钥匙”吗?数据安全也不能马虎。

数据得备份,万一出问题了还能恢复。

**备份频率至少一周一次**,而且得存放在不同的地方,不能把鸡蛋都放在一个篮子里。

总之,这些要求可不是闹着玩的。

要是达不到,业务系统出问题,那损失可就大了去了。

到时候,老板发火,咱们都得吃不了兜着走!所以,大家都得重视起来,把等保二级的要求落实到位,让咱们的业务系统稳稳当当的!篇二【等保二级对业务系统的要求】哟呵,各位!今天咱接着唠唠等保二级对业务系统的那些要求。

你说为啥要有这些要求?这就好比你出门得锁好门,不然家里的宝贝不就危险了?在这网络时代,业务系统就是咱的宝贝,得保护好咯!先看看应用安全这一块。

咱的业务系统得有身份鉴别机制,不能谁都能冒充进来。

**登录失败次数超过 5 次就得锁定账号**,这能防止那些乱试密码的家伙。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

1 第二级基本要求
1.1 技术要求
1.1.1 物理安全
1.1.1.1 物理位置的选择(G2)
机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
1.1.1.2 物理访问控制(G2)
本项要求包括:
a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
1.1.1.3 防盗窃和防破坏(G2)
本项要求包括:
a) 应将主要设备放置在机房内;
b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;
c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
d) 应对介质分类标识,存储在介质库或档案室中;
e) 主机房应安装必要的防盗报警设施。
1.1.1.4 防雷击(G2)
本项要求包括:
a) 机房建筑应设置避雷装置;
b) 机房应设置交流电源地线。
1.1.1.5 防火(G2)
机房应设置灭火设备和火灾自动报警系统。
1.1.1.6 防水和防潮(G2)
本项要求包括:
a) 水管安装,不得穿过机房屋顶和活动地板下;
b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
1.1.1.7 防静电(G2)
关键设备应采用必要的接地防静电措施。
1.1.1.8 温湿度控制(G2)
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.1.1.9 电力供应(A2)
本项要求包括:
a) 应在机房供电线路上配置稳压器和过电压防护设备;
b) 应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
1.1.1.10 电磁防护(S2)
电源线和通信线缆应隔离铺设,避免互相干扰。
1.1.2 网络安全
1.1.2.1 结构安全(G2)
本项要求包括:
a) 应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
b) 应保证接入网络和核心网络的带宽满足业务高峰期需要;
c) 应绘制与当前运行情况相符的网络拓扑结构图;
d) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网
或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。

1.1.2.2 访问控制(G2)
本项要求包括:
a) 应在网络边界部署访问控制设备,启用访问控制功能;
b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段
级。

c) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,
控制粒度为单个用户;

d) 应限制具有拨号访问权限的用户数量。
1.1.2.3 安全审计(G2)
本项要求包括:
a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相
关的信息。

1.1.2.4 边界完整性检查(S2)
应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。
1.1.2.5 入侵防范(G2)
应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、
缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。

1.1.2.6 网络设备防护(G2)
本项要求包括:
a) 应对登录网络设备的用户进行身份鉴别;
b) 应对网络设备的管理员登录地址进行限制;
c) 网络设备用户的标识应唯一;
d) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
e) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超
时自动退出等措施;

f) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃
听。

1.1.3 主机安全
1.1.3.1 身份鉴别(S2)
本项要求包括:
a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度
要求并定期更换;

c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃
听;

e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
1.1.3.2 访问控制(S2)
本项要求包括:
a) 应启用访问控制功能,依据安全策略控制用户对资源的访问;
b) 应实现操作系统和数据库系统特权用户的权限分离;
c) 应限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;
d) 应及时删除多余的、过期的帐户,避免共享帐户的存在。
1.1.3.3 安全审计(G2)
本项要求包括:
a) 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;
b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内
重要的安全相关事件;

c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
d) 应保护审计记录,避免受到未预期的删除、修改或覆盖等。
1.1.3.4 入侵防范(G2)
操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等
方式保持系统补丁及时得到更新。

1.1.3.5 恶意代码防范(G2)
本项要求包括:
a) 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
b) 应支持防恶意代码软件的统一管理。
1.1.3.6 资源控制(A2)
本项要求包括:
a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录;
b) 应根据安全策略设置登录终端的操作超时锁定;
c) 应限制单个用户对系统资源的最大或最小使用限度。
1.1.4 应用安全
1.1.4.1 身份鉴别(S2)
本项要求包括:
a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别;
b) 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用
户身份标识,身份鉴别信息不易被冒用;

c) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
d) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录
失败处理功能,并根据安全策略配置相关参数。

1.1.4.2 访问控制(S2)
本项要求包括:
a) 应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;
b) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;
c) 应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;
d) 应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的
关系。

1.1.4.3 安全审计(G2)
本项要求包括:
a) 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;
b) 应保证无法删除、修改或覆盖审计记录;
c) 审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。
1.1.4.4 通信完整性(S2)
应采用校验码技术保证通信过程中数据的完整性。
1.1.4.5 通信保密性(S2)
本项要求包括:
a) 在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;
b) 应对通信过程中的敏感信息字段进行加密。
1.1.4.6 软件容错(A2)
本项要求包括:
a) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式
或长度符合系统设定要求;
b) 在故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措施。
1.1.4.7 资源控制(A2)
本项要求包括:
a) 当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束
会话;

b) 应能够对应用系统的最大并发会话连接数进行限制;
c) 应能够对单个帐户的多重并发会话进行限制。
1.1.5 数据安全及备份恢复
1.1.5.1 数据完整性(S2)
应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。
1.1.5.2 数据保密性(S2)
应采用加密或其他保护措施实现鉴别信息的存储保密性。
1.1.5.3 备份和恢复(A2)
本项要求包括:
a) 应能够对重要信息进行备份和恢复;
b) 应提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的可用性。