二级等保标准_1.pdf

二级等级保护要求 一、技术要求 技术要求项 二级等保 实现方式 物理安全 物理位置得选择 1）机房与办公场地应选择在具有防震、防风与防雨等能力得建筑内。机房建设 物理访问控制 1）机房出入口应有专人值守,鉴别进入得人员身份并登记在案;2）应批准进入机房得来访人员,限制与监控其活动范围、门禁管理系统 防盗窃与防破坏 1）应将主要设备放置在物理受限得范围内;2）应对设备或主要部件进行固定,并设置明显得不易除去得标记;3）应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;4）应对介质分类标识,存储在介质库或档案室中;5）应安装必要得防盗报警设施,以防进入机房得盗窃与破坏行为。机房建设 防雷击 1）机房建筑应设置避雷装置;2）应设置交流电源地线。防雷系统 防火 1）应设置灭火设备与火灾自动报警系统,并保持灭火设备与火灾自动报警系统得良好状态。消防系统 防水与防潮 1）水管安装,不得穿过屋顶与活动地板下;2）应对穿过墙壁与楼板得水管增加必要得保护措施,如设置套管;3）应采取措施防止雨水通过屋顶与墙壁渗透;4）应采取措施防止室内水蒸气结露与地下积水得转移与渗透。机房建设 防静电 1）应采用必要得接地等防静电措施 静电地板 温湿度控制 1）应设置温、湿度自动调节设施,使机房温、湿度得变化在设备运行所允许得范围之内。机房动力环境监控系统 电力供应 1）计算机系统供电应与其她供电分开;2）应设置稳压器与过电压防护设备;3）应提供短期得备用电力供应(如 UPS 设备)。UP 电磁防护 1）应采用接地方式防止外界电磁干扰与设备寄生耦合干扰;2）电源线与通信线缆应隔离,避免互相干扰。防电磁排插,防电磁机柜 网络结构安1）网络设备得业务处理能力应具备冗余空间,要求满足业务高峰期需设备做好双机冗余 技术要求项 二级等保 实现方式 安全 全与网段划分 要;2）应设计与绘制与当前运行情况相符得网络拓扑结构图;3）应根据机构业务得特点,在满足业务高峰期需要得基础上,合理设计网络带宽;4）应在业务终端与业务服务器之间进行路由控制,建立安全得访问路径;5）应根据各部门得工作职能、重要性、所涉及信息得重要程度等因素,划分不同得子网或网段,并按照方便管理与控制得原则为各子网、网段分配地址段;6）重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。网络访问控制 1）应能根据会话状态信息(包括数据包得源地址、目得地址、源端口号、目得端口号、协议、出入得接口、会话序列号、发出信息得主机名等信息,并应支持地址通配符得使用),为数据流提供明确得允许/拒绝访问得能力、防火墙 拨号访问控制 1）应在基于安全属性得允许远程用户对系统访问得规则得基础上,对系统所有资源允许或拒绝用户进行访问,控制粒度为单个用户;2）应限制具有拨号访问权限得用户数量、VPN 网络安全审计 1）应对网络系统中得网络设备运行状况、网络流量、用户行为等事件进行日志记录;2）对于每一个事件,其审计记录应包括:事件得日期与时间、用户、事件类型、事件就是否成功,及其她与审计相关得信息。上网行为管理设备 边界完整性检查 1）应能够检测内部网络中出现得内部用户未通过准许私自联到外部网络得行为(即“非法外联”行为)、IDS入侵检测 网络入侵防范 1）应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、P 碎片攻击、网络蠕虫攻击等入侵事件得发生、S入侵防御 恶意代码防范 1）应在网络边界及核心业务网段处对恶意代码进行检测与清除;2）应维护恶意代码库得升级与检测系统得更新;3）应支持恶意代码防范得统一管理。防毒墙 网络设备防护 1）应对登录网络设备得用户进行身份鉴别;2）应对网络设备得管理员登录地址进行限制;维护堡垒机 技术要求项 二级等保 实现方式 3）网络设备用户得标识应唯一;4）身份鉴别信息应具有不易被冒用得特点,例如口令长度、复杂性与定期得更新等;5）应具有登录失败处理功能,如:结束会话、限制非法登录次数,当网络登录连接超时,自动退出。主机系统安全 身份鉴别 1）操作系统与数据库管理系统用户得身份标识应具有唯一性;2）应对登录操作系统与数据库管理系统得用户进行身份标识与鉴别;3）操作系统与数据库管理系统身份鉴别信息应具有不易被冒用得特点,例如口令长度、复杂性与定期得更新等;4）应具有登录失败处理功能,如:结束会话、限制非法登录次数,当登录连接超时,自动退出。VPN 自主访问控制 1）应依据安全策略控制主体对客体得访问;2）自主访问控制得覆盖范围应包括与信息安全直接相关得主体、客体及它们之间得操作;3）自主访问控制得粒度应达到主体为用户级,客体为文件、数据库表级;4）应由授权主体设置对客体访问与操作得权限;5）应严格限制默认用户得访问权限。VPN防火墙 强制访问控制 无 数据库审计系统 安全审计 1）安全审计应覆盖到服务器上得每个操作系统用户与数据库用户;2）安全审计应记录系统内重要得安全相关事件,包括重要用户行为与重要系统命令得使用等;3）安全相关事件得记录应包括日期与时间、类型、主体标识、客体标识、事件得结果等;4）审计记录应受到保护避免受到未预期得删除、修改或覆盖等。数据库审计系统 系统保护 1）系统应提供在管理维护状态中运行得能力,管理维护状态只能被系统管理员使用、数据存储备份,剩余信息保护 1）应保证操作系统与数据库管理系统用户得鉴别信息所在得存储空间,被释放或再分配给其她用户前得到完全清除,无论这些信息就是存放在硬盘上还就是在内存中;2）应确保系统内得文件、目录与数据库记录等资源所在得存储空间,被释放或重新分配给其她用户前得到完全清除。VN 技术要求项 二级等保 实现方式 入侵防范 无 网管系统,IPS入侵防御系统 恶意代码防范 1）服务器与重要终端设备(包括移动设备)应安装实时检测与查杀恶意代码得软件产品;2）主机系统防恶意代码产品应具有与网络防恶意代码产品不同得恶意代码库;防毒墙,杀毒软件 资源控制 1）应限制单个用户得会话数量;2）应通过设定终端接入方式、网络地址范围等条件限制终端登录。VP 应用安全 身份鉴别 1）应用系统用户得身份标识应具有唯一性;2）应对登录得用户进行身份标识与鉴别;3）系统用户身份鉴别信息应具有不易被冒用得特点,例如口令长度、复杂性与定期得更新等;4）应具有登录失败处理功能,如:结束会话、限制非法登录次数,当登录连接超时,自动退出、访问控制 1）应依据安全策略控制用户对客体得访问;2）自主访问控制得覆盖范围应包括与信息安全直接相关得主体、客体及它们之间得操作;3）自主访问控制得粒度应达到主体为用户级,客体为文件、数据库表级;4）应由授权主体设置用户对系统功能操作与对数据访问得权限;5）应实现应用系统特权用户得权限分离,例如将管理与审计得权限分配给不同得应用系统用户;6）权限分离应采用最小授权原则,分别授予不同用户各自为完成自己承担任务所需得最小权限,并在它们之间形成相互制约得关系;7）应严格限制默认用户得访问权限。防火墙 安全审计 1）安全审计应覆盖到应用系统得每个用户;2）安全审计应记录应用系统重要得安全相关事件,包括重要用户行为与重要系统功能得执行等;3）安全相关事件得记录应包括日期与时间、类型、主体标识、客体标识、事件得结果等;4）审计记录应受到保护避免受到未预期得删除、修改或覆盖等、日志审计系统 剩余信息保护 1）应保证用户得鉴别信息所在得存储空间,被释放或再分配给其她用户前得到完全清除,无论这些信息就是存放在硬盘上还就是在内存VPN 技术要求项 二级等保 实现方式 中;2）应确保系统内得文件、目录与数据库记录等资源所在得存储空间,被释放或重新分配给其她用户前得到完全清除。通信完整性 1）通信双方应约定单向得校验码算法,计算通信数据报文得校验码,在进行通信时,双方根据校验码判断对方报文得有效性。PN 加密 抗抵赖 无 N 通信保密性 1）当通信双方中得一方在一段时间内未作任何响应,另一方应能够自动结束会话;2）在通信双方建立连接之前,利用密码技术进行会话初始化验证;3）在通信过程中,应对敏感信息字段进行加密。VN 软件容错 1）应对通过人机接口输入或通过通信接口输入得数据进行有效性检验;2）应对通过人机接口方式进行得操作提供“回退”功能,即允许按照操作得序列进行回退;3）在故障发生时,应继续提供一部分功能,确保能够实施必要得措施。VP 资源控制 1）应限制单个用户得多重并发会话;2）应对应用系统得最大并发会话连接数进行限制;3）应对一个时间段内可能得并发会话连接数进行限制、VN 代码安全 1）应对应用程序代码进行恶意代码扫描;2）应对应用程序代码进行安全脆弱性分析。防火墙 数据安全 数据完整性 1）应能够检测到系统管理数据、鉴别信息与用户数据在传输过程中完整性受到破坏;2）应能够检测到系统管理数据、鉴别信息与用户数据在存储过程中完整性受到破坏。防火墙 数据保密性 1）网络设备、操作系统、数据库管理系统与应用系统得鉴别信息、敏感得系统管理数据与敏感得用户数据应采用加密或其她有效措施实现传输保密性;2）网络设备、操作系统、数据库管理系统与应用系统得鉴别信息、敏感得系统管理数据与敏感得用户数据应采用加密或其她保护措施实现存储保密性;3）当使用便携式与移动式设备时,应加密或者采用可移动磁盘存储敏感信息。堡垒机 数据备1）应提供自动机制对重要信息进行有选择得数据备份;数据存储备份 技术要求项 二级等保 实现方式 份与恢复 2）应提供恢复重要信息得功能;3）应提供重要网络设备、通信线路与服务器得硬件冗余