等保三级技术要求.docx

《等保三级技术要求.docx》由会员分享，可在线阅读，更多相关《等保三级技术要求.docx（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、技术测评要求(S3A3G3)等级保护三级技术类测评掌握点(S3A3G3)类别序号物理1. 位置的选2.择3.物理 4.物理 访问安全 掌握 5.6.7.防盗窃和 8. 防破坏9.测 评 内 容机房和办公场地应选择在具有防震、防风和防雨等力量的建筑内。G2机房场地应避开设在建筑物的高层或地下室， 以及用水设备的下层或隔壁。G3机房出入口应安排专人值守，掌握、鉴别和记录进入的人员。G2需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。G2应对机房划分区域进展治理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域。G3重要区域应配置电子门禁系统，掌握、鉴别和记录进

2、入的人员。G3应将主要设备放置在机房内。G2应将设备或主要部件进展固定，并设置明显的不易除去的标记。G2应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。G2测评方法访谈，检查。物理安全负责人，机房，办公场地， 机房场地设计/验收文档。访谈，检查。物理安全负责人，机房值守 人员，机房，机房安全治理制度， 值守记录，进入机房的 登记记录，来访人员进入机房的审批记录。访谈，检查。物理安全负责人，机房维护人员， 资产治理员，机房设施，设备管 理制度文档，通信 线路布线文档，报警设施的安装测试/验收报结果记录符合状况YN等级保护三级技术类测评掌握点(S3A3G3)类别序号10.11.12.13.测 评

3、内 容应对介质分类标识，存储在介质库或档案室中。G2应利用光、电等技术设置机房防盗报警系统。G3应对机房设置监控报警系统。G3 机房建筑应设置避雷装置。G2测评方法告。访谈，检查。结果记录符合状况YN防雷 14.击15.16.防火 17.18.19.防水20.和防潮21.22.应设置防雷保安器，防止感应雷。G3 机房应设置沟通电源地线。G2机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。G3机房及相关的工作房间和关心房应承受具有耐火等级的建筑材料。G3机房应实行区域隔离防火措施，将重要设备与其他设备隔离开。G3水管安装，不得穿过机房屋顶和活动地板下。G2应实行措施防止雨水通

4、过机房窗户、屋顶和墙壁渗透。G2应实行措施防止机房内水蒸气结露和地下积水的转移与渗透。G2应安装对水敏感的检测仪表或元件，对机房进物理安全负责人，机房维护人员， 机房设施避雷装置，沟通电源地线，建筑防雷设 计/验收文档。访谈，检查。物理安全负责人，机房值守人员， 机房设施，机房安全治理制度，机房防火设计/验收 文档，火灾自动报警系统设计/验收文档。访谈，检查。物理安全负责人，机房维护人员， 机房设施等级保护三级技术类测评掌握点(S3A3G3)类别序号测 评 内 容行防水检测和报警。G3测评方法结果记录符合状况YN23.防静电24.温湿度控25.制26.电力27.供给28.29.主要设备应承受必

5、要的接地防静电措施。G2 机房应承受防静电地板。G3应设置温、湿度自动调整设施，使机房温、湿度的变化在设备运行所允许的范围之内。G2应在机房供电线路上配置稳压器和过电压防护设备。G2应供给短期的备用电力供给，至少满足主要设备在断电状况下的正常运行要求。G2应设置冗余或并行的电力电缆线路为计算机系统供电。G3应建立备用供电系统。G3应承受接地方式防止外界电磁干扰和设备寄生访谈，检查。物理安全负责人，机房维护人员， 机房设施，防静电设计/验收文档。访谈，检查。物理安全负责人，机房维护人员，机房设施，温湿度掌握设计/验收文档，温湿度记录、 运行记录和维护记录。访谈，检查。物理安全负责人，机房维护人员

6、， 机房设施供电线路，稳压器，过电压防护设备，短 期备用电源设备，电力供给安全设计/验收文档，检查和维护记录。30.耦合干扰。G3访谈，检查。电磁防护 31.32.电源线和通信线缆应隔离铺设，避开相互干扰。G2应对关键设备和磁介质实施电磁屏蔽。G3物理安全负责人，机房维护人员， 机房设施，电磁防护设计/验收文档。等级保护三级技术类测评掌握点(S3A3G3)类别序号33.34.35.36.测 评 内 容应保证主要网络设备的业务处理力量具备冗余空间，满足业务顶峰期需要。G2应保证网络各个局部的带宽满足业务顶峰期需要。G2应在业务终端与业务效劳器之间进展路由掌握建立安全的访问路径。G3应绘制与当前运

7、行状况相符的网络拓扑构造图。G2测评方法结果记录访谈，检查，测试。符合状况YN构造安全网络并依据便利治理和掌握的原则为各子网、网段安全安排地址段。G2应避开将重要网段部署在网络边界处且直接连38.接外部信息系统，重要网段与其他网段之间采取牢靠的技术隔离手段。G3应依据对业务效劳的重要次序来指定带宽安排39.优先级别，保证在网络发生拥堵的时候优先保护重要主机。G337.应依据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，网络治理员，边界和网络设备，网络拓扑图，网络设计/验收文档。40.访问掌握41.应在网络边界部署访问掌握设备，启用访问掌握功能。G2应能依据会话状态

8、信息为数据流供给明确的允许/拒绝访问的力量，掌握粒度为端口级。G2访谈，检查，测试。安全治理员，边界网络设备。等级保护三级技术类测评掌握点(S3A3G3)类别序号测 评 内 容应对进出网络的信息内容进展过滤，实现对应测评方法结果记录符合状况YN42.43.44.45.46.47.48.49.安全审计50.51.边界52.完整用层 、FTP、TELNET、SMTP、POP3 等协议命令级的掌握。G3应在会话处于非活泼肯定时间或会话完毕后终止网络连接。G3应限制网络最大流量数及网络连接数。G3 重要网段应实行技术手段防止地址哄骗。G3 应按用户和系统之间的允许访问规章，打算允许或拒绝用户对受控系统

9、进展资源访问，掌握粒度为单个用户。G3应限制具有拨号访问权限的用户数量。G2 应对网络系统中的网络设备运行状况、网络流量、用户行为等进展日志记录。G2审计记录应包括：大事的日期和时间、用户、大事类型、大事是否成功及其他与审计相关的信息。G2应能够依据记录数据进展分析，并生成审计报表。G3应对审计记录进展保护，避开受到未预期的删除、修改或掩盖等。G3应能够对非授权设备私自联到内部网络的行为进展检查，准确定出位置，并对其进展有效阻访谈，检查，测试。审计员，边界和网络设备。访谈，检查，测试。安全治理员，边界完整性检查设备。等级保护三级技术类测评掌握点(S3A3G3)类别序号性检断。G3测 评 内 容

10、测评方法结果记录符合状况YN查入侵防范G353.54.55.应能够对内部网络用户私自联到外部网络的行为进展检查，准确定出位置，并对其进展有效阻断。G3应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝效劳攻击、缓冲区溢出攻击、 IP 碎片攻击和网络蠕虫攻击等。G2当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严峻入侵大事时应供给报警。G3应在网络边界处对恶意代码进展检测和去除。访谈，检查，测试。安全治理员，网络入侵防范设备。恶意 56.代码防范 57.58.59.网络设备 60. 防护61.62.G3应维护恶意代码库的升级和检测系统的更。G3应对登

11、录网络设备的用户进展身份鉴别。G2 应对网络设备的治理员登录地址进展限制。G2网络设备用户的标识应唯一。G2主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进展身份鉴别。G3身份鉴别信息应具有不易被冒用的特点，口令访谈，检查。安全治理员，防恶意代码产品，网络设计/验收文档。访谈，检查，测试。网络治理员，边界和网络设备。等级保护三级技术类测评掌握点(S3A3G3)类别序号测 评 内 容应有简单度要求并定期更换。G2应具有登录失败处理功能，可实行完毕会话、测评方法结果记录符合状况YN63.64.65.66.67.主机 身份 68. 安全 鉴别69.70.71.限制非法登录次数和当网络登录

12、连接超时自动退出等措施。G2当对网络设备进展远程治理时，应实行必要措施防止鉴别信息在网络传输过程中被窃听。G2应实现设备特权用户的权限分别。G3应对登录操作系统和数据库系统的用户进展身份标识和鉴别。G2操作系统和数据库系统治理用户身份标识应具有不易被冒用的特点，口令应有简单度要求并定期更换。G2应启用登录失败处理功能，可实行完毕会话、限制非法登录次数和自动退出等措施。G2当对效劳器进展远程治理时，应实行必要措施， 防止鉴别信息在网络传输过程中被窃听。G2应为操作系统和数据库系统的不同用户安排不同的用户名，确保用户名具有唯一性。G2 应承受两种或两种以上组合的鉴别技术对治理用户进展身份鉴别。G3

13、访谈，检查，测试。系统治理员，数据库治理员，效劳器操作系统、数据库，效劳器操作系统文档，数据库治理系统文档。等级保护三级技术类测评掌握点(S3A3G3)类别序号72.73.74.访问掌握75.76.77.78.79.安全 80. 审计81.82.测 评 内 容应启用访问掌握功能，依据安全策略掌握用户对资源的访问。G2应依据治理用户的角色安排权限，实现治理用户的权限分别，仅授予治理用户所需的最小权限。G3应实现操作系统和数据库系统特权用户的权限分别。G2应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令。G2 应准时删除多余的、过期的帐户，避开共享帐户的存在。G2应对重要信

14、息资源设置敏感标记。G3应依据安全策略严格掌握用户对有敏感标记重要信息资源的操作。G3审计范围应掩盖到效劳器和重要客户端上的每个操作系统用户和数据库用户。G2审计内容应包括重要用户行为、系统资源的特别使用和重要系统命令的使用等系统内重要的安全相关大事。G3审计记录应包括大事的日期、时间、类型、主体标识、客体标识和结果等。G2应能够依据记录数据进展分析，并生成审计报测评方法结果记录访谈，检查。效劳器操作系统、数据库，效劳器操作系统文档，数据库治理系统文档。访谈，检查，测试。安全审计员，效劳器操作系统、数据库和重要终端操作系统。符合状况YN等级保护三级技术类测评掌握点(S3A3G3)类别序号表。G

15、3测 评 内 容测评方法结果记录符合状况YN83.84.剩余信息保护前得到完全去除，无论这些信息是存放在硬盘上还是在内存中。G3G386.应确保系统内的文件、名目和数据库记录等资源所在的存储空间，被释放或重安排给其他用户前得到完全去除。G3应能够检测到对重要效劳器进展入侵的行为，85.应保护审计进程，避开受到未预期的中断。G3 应保护审计记录，避开受到未预期的删除、修改或掩盖等。G2应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再安排给其他用户访谈，检查。系统治理员，数据库治理员，效劳器操作系统维护/操作手册，数据库治理系统维护/操作手册。87.入侵防范 88.89.恶意90

16、.代码能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严峻入侵大事时供给报警。G3应能够对重要程序的完整性进展检测，并在检测到完整性受到破坏后具有恢复的措施。G3 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级效劳器等方式保持系统补丁准时得到更。G2应安装防恶意代码软件，并准时更防恶意代码软件版本和恶意代码库。G2访谈，检查。系统治理员，效劳器操作系统。访谈，检查。安全治理员，效劳器，终端，网络等级保护三级技术类测评掌握点(S3A3G3)类别防范资源掌握应用 身份安全 鉴别序号91.92.93.94.95.96.97.98.99.100.101.测

17、评 内 容主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。G3应支持防恶意代码的统一治理。G2应通过设定终端接入方式、网络地址范围等条件限制终端登录。G2应依据安全策略设置登录终端的操作超时锁定。G2应对重要效劳器进展监视，包括监视效劳器的CPU、硬盘、内存、网络等资源的使用状况。G3 应限制单个用户对系统资源的最大或最小使用限度。G2应能够对系统的效劳水平降低到预先规定的最小值进展检测和报警。G3应供给专用的登录掌握模块对登录用户进展身份标识和鉴别。G2应对同一用户承受两种或两种以上组合的鉴别技术实现用户身份鉴别。G3应供给用户身份标识唯一和鉴别信息简单度检查功能，保证应用系统

18、中不存在重复用户身份标识，身份鉴别信息不易被冒用。G2应供给登录失败处理功能，可实行完毕会话、限制非法登录次数和自动退出等措施。G2测评方法防恶意代码产品。访谈，检查。 效劳器操作系统。访谈，检查，测试。应用系统治理员，应用系统，设计/ 验收文档，操作规程。结果记录符合状况YN等级保护三级技术类测评掌握点(S3A3G3)类别序号测 评 内 容应启用身份鉴别、用户身份标识唯一性检查、测评方法结果记录符合状况YN102.103.104.105.访问掌握106.107.108.109.安全110.审计111.用户身份鉴别信息简单度检查以及登录失败处理功能，并依据安全策略配置相关参数。G2 应供给访问

19、掌握功能，依据安全策略掌握用户对文件、数据库表等客体的访问。G2访问掌握的掩盖范围应包括与资源访问相关的主体、客体及它们之间的操作。G2应由授权主体配置访问掌握策略，并严格限制默认帐户的访问权限。G2应授予不同帐户为完成各自担当任务所需的最小权限，并在它们之间形成相互制约的关系。G2应具有对重要信息资源设置敏感标记的功能。G3应依据安全策略严格掌握用户对有敏感标记重要信息资源的操作。G3应供给掩盖到每个用户的安全审计功能，对应用系统重要安全大事进展审计。G2应保证无法单独中断审计进程，无法删除、修改或掩盖审计记录。G2审计记录的内容至少应包括大事的日期、时间、发起者信息、类型、描述和结果等。G

20、2访谈，检查，测试。应用系统治理员，应用系统。访谈，检查，测试。审计员，应用系统。等级保护三级技术类测评掌握点(S3A3G3)类别序号112.剩余测 评 内 容应供给对审计记录数据进展统计、查询、分析及生成审计报表的功能。G3应保证用户鉴别信息所在的存储空间被释放或测评方法结果记录符合状况YN信息保护G3通信完整性113.114.115.再安排给其他用户前得到完全去除，无论这些信息是存放在硬盘上还是在内存中。G3应保证系统内的文件、名目和数据库记录等资源所在的存储空间被释放或重安排给其他用户前得到完全去除。G3应承受密码技术保证通信过程中数据的完整性。G2通信保密116.性117.抗抵赖118

21、.G3119.软件容错120.在通信双方建立连接之前，应用系统应利用密码技术进展会话初始化验证。G2应对通信过程中的整个报文或会话过程进展加密。G3应具有在恳求的状况下为数据原发者或接收者供给数据原发证据的功能。G3应具有在恳求的状况下为数据原发者或接收者供给数据接收证据的功能。G3应供给数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。G2访谈，检查，测试。应用系统治理员，设计/验收文档。访谈，检查，测试。安全治理员，应用系统，设计/验收文档。访谈，检查，测试。安全治理员，应用系统，相关证明材料证书。访谈，检查，测试。 安全治理员，应用系统。访谈，检

22、查，测试。应用系统治理员，应用系统。等级保护三级技术类测评掌握点(S3A3G3)类别序号121.122.123.124.资源125.掌握126.127.128.测 评 内 容应供给自动保护功能，当故障发生时自动保护当前全部状态，保证系统能够进展恢复。G3 当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动完毕会话。G2应能够对系统的最大并发会话连接数进展限制。G2应能够对单个帐户的多重并发会话进展限制。G2应能够对一个时间段内可能的并发会话连接数进展限制。G3应能够对一个访问帐户或一个恳求进程占用的资源安排最大限额和最小限额。G3应能够对系统效劳水平降低到预先规定的最小值进

23、展检测和报警。G3应供给效劳优先级设定功能，并在安装后依据安全策略设定访问帐户或恳求进程的优先级， 依据优先级安排系统资源。G3测评方法结果记录访谈，检查，测试。应用系统治理员，应用系统。符合状况YN数据 数据应能够检测到系统治理数据、鉴别信息和重要访谈，检查。安全 完整及备 性129.业务数据在传输过程中完整性受到破坏，并在 系统治理员，网络治理员，安全管检测到完整性错误时实行必要的恢复措施。 理员，数据库治理员，应用系统，G3设计/验收文档，相关证明性材料等级保护三级技术类测评掌握点(S3A3G3)类别序号测 评 内 容份恢应能够检测到系统治理数据、鉴别信息和重要测评方法如证书、检验报告等

24、。结果记录符合状况YN复130.业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时实行必要的恢复措施。G3应承受加密或其他有效措施实现系统治理数访谈，检查，测试。数据保密131.性132.133.备份134.和恢复135.136.据、鉴别信息和重要业务数据传输保密性。G3 系统治理员，网络治理员，安全管理员，数据库治理员，应用系统，应承受加密或其他保护措施实现系统治理数据、鉴别信息和重要业务数据存储保密性。G3应供给本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放。G3 应供给异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地。G3应承受冗余技术设计网络拓扑构造，避开关键节点存在单点故障。G3应供给主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。G2设计/验收文档，相关证明性材料如证书、检验报告等访谈，检查，测试。系统治理员，网络治理员，数据库 治理员，安全治理员，主机操作系统，网络设备操作系统，数据库治理系统，应用系统，设计/验收文档， 网络拓扑构造。