【正文】 權(quán)限分配由辦公室集中統(tǒng)一維護(hù)和管理，并建立相應(yīng)用戶清單。2）安全信息化系統(tǒng)中所涉及的操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等系統(tǒng)軟件的使用權(quán)限由信息中心集中統(tǒng)一維護(hù)和管理。(8) 升級(jí)、完善與拓展管理 1）系統(tǒng)軟件和應(yīng)用軟件的升級(jí)、完善由信息中心統(tǒng)一管理。2）系統(tǒng)運(yùn)行過(guò)程中的缺陷，由技術(shù)服務(wù)合作單位協(xié)助或承擔(dān)升級(jí)完善的技術(shù)工作，經(jīng)信息中心核準(zhǔn)后進(jìn)行對(duì)系統(tǒng)進(jìn)行升級(jí)。3）信息中心應(yīng)根據(jù)系統(tǒng)使用部門(mén)情況反饋，結(jié)合系統(tǒng)的運(yùn)行狀態(tài)和功能范圍，適時(shí)統(tǒng)一組織對(duì)系統(tǒng)功能的升級(jí)。4）信息中心負(fù)責(zé)對(duì)安全信息化系統(tǒng)的運(yùn)行維護(hù)工作進(jìn)行檢查，并把檢查結(jié)果通報(bào)給各技術(shù)服務(wù)合作單位。216。 安全管理自主訪問(wèn)控制、輕質(zhì)訪問(wèn)控制、標(biāo)記、身份鑒別、審計(jì)、數(shù)據(jù)完整性。在技術(shù)上 （1）通過(guò)安裝防火墻，實(shí)現(xiàn)下列的安全目標(biāo)： 1)利用防火墻將Internet外部網(wǎng)絡(luò)、DMZ服務(wù)區(qū)、安全監(jiān)控與備份中心進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)直接通信； 2)利用防火墻建立網(wǎng)絡(luò)各終端和服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全； 3)利用防火墻對(duì)來(lái)自外網(wǎng)的服務(wù)請(qǐng)求進(jìn)行控制，使非法訪問(wèn)在到達(dá)主機(jī)前被拒絕； 4)利用防火墻使用IP與MAC地址綁定功能，加強(qiáng)終端用戶的訪問(wèn)認(rèn)證，同時(shí)在不影響用戶正常訪問(wèn)的基礎(chǔ)上將用戶的訪問(wèn)權(quán)限控制在最低限度內(nèi)；5)利用防火墻全面監(jiān)視對(duì)服務(wù)器的訪問(wèn)，及時(shí)發(fā)現(xiàn)和阻止非法操作；6)利用防火墻及服務(wù)器上的審計(jì)記錄，形成一個(gè)完善的審計(jì)體系，建立第二條防線；7)根據(jù)需要設(shè)置流量控制規(guī)則，實(shí)現(xiàn)網(wǎng)絡(luò)流量控制，并設(shè)置基于時(shí)間段的訪問(wèn)控制。 （2）網(wǎng)絡(luò)內(nèi)的權(quán)限控制 通過(guò)目錄服務(wù)等操作系統(tǒng)存在的服務(wù)隊(duì)對(duì)主機(jī)內(nèi)的資源進(jìn)行權(quán)限訪問(wèn)的控制，可將具體的安全控制到文件級(jí)。通過(guò)對(duì)網(wǎng)絡(luò)作安全的劃分控制、如通過(guò)設(shè)置vlan等，對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行權(quán)限控制。（3）入侵檢測(cè)系統(tǒng)技術(shù) 通過(guò)使用入侵檢測(cè)系統(tǒng)，我們可以做到： 1)對(duì)網(wǎng)絡(luò)邊界點(diǎn)的數(shù)據(jù)進(jìn)行檢測(cè)，防止黑客的入侵； 2)對(duì)服務(wù)器的數(shù)據(jù)流量進(jìn)行檢測(cè)，防止入侵者的蓄意破壞和篡改；3)監(jiān)視內(nèi)部用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶和合法用戶的越權(quán)操作；4)對(duì)用戶的非正?；顒?dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律；5)實(shí)時(shí)對(duì)檢測(cè)到的入侵行為進(jìn)行報(bào)警、阻斷，能夠與防火墻/系統(tǒng)聯(lián)動(dòng)；6)對(duì)關(guān)鍵正常事件及異常行為記錄日志，進(jìn)行審計(jì)跟蹤管理。通過(guò)使用入侵檢測(cè)系統(tǒng)可以容易的完成對(duì)以下的攻擊識(shí)別：網(wǎng)絡(luò)信息收集、網(wǎng)絡(luò)服務(wù)缺陷攻擊、Dosamp。Ddos攻擊、緩沖區(qū)溢出攻擊、Web攻擊、后門(mén)攻擊等。 (4)網(wǎng)絡(luò)防病毒 為了使整個(gè)機(jī)關(guān)網(wǎng)絡(luò)免受病毒侵害，保證網(wǎng)絡(luò)系統(tǒng)中信息的可用性，構(gòu)建從主機(jī)到服務(wù)器的完善的防病毒體系。以服務(wù)器作為網(wǎng)絡(luò)的核心，通過(guò)派發(fā)的形式對(duì)整個(gè)網(wǎng)絡(luò)部署殺毒，同時(shí)要對(duì)Lotus Domino內(nèi)進(jìn)行查殺毒。 (5)網(wǎng)絡(luò)內(nèi)的信息流動(dòng)的監(jiān)控 對(duì)網(wǎng)絡(luò)內(nèi)流動(dòng)的信息進(jìn)行監(jiān)控，防止非法訪問(wèn)信息的傳播和記錄控制非法信息的傳播、對(duì)涉密信息進(jìn)行安全防護(hù)。 (6)無(wú)線接入安全管理 現(xiàn)在無(wú)線網(wǎng)絡(luò)使用越來(lái)越普遍，對(duì)無(wú)線網(wǎng)絡(luò)的接入，同樣需要進(jìn)行安全控制，可以根據(jù)IP和MAC綁定的方式確保無(wú)線接入的安全性，對(duì)未經(jīng)容許的無(wú)線設(shè)備、筆記本電腦則無(wú)法接入無(wú)線網(wǎng)絡(luò)。有效防止外部的病毒或黑客程序被帶進(jìn)內(nèi)網(wǎng)。 (7)操作系統(tǒng)以及應(yīng)用系統(tǒng)的安全設(shè)置 操作系統(tǒng)以及應(yīng)用系統(tǒng)都提供有強(qiáng)大的安全設(shè)置，為保證系統(tǒng)的安全性，我們要在合理配置好操作系統(tǒng)以及應(yīng)用系統(tǒng)的安全設(shè)置，在這個(gè)層面上要在保證安全和使用方便兩者之間的關(guān)系取得一定的平衡。比如操作系統(tǒng)密碼口令復(fù)雜度、有效時(shí)間、應(yīng)用開(kāi)放的端口控制、數(shù)據(jù)庫(kù)是否容許遠(yuǎn)程管理、用戶賬號(hào)權(quán)限控制等等。并且制定對(duì)黑客入侵的防范策略。 (8)安全審計(jì)、日志審核機(jī)制 網(wǎng)絡(luò)安全，不光是要防范杜絕，還要建立 檔案。合理的配置安全審計(jì)，一些重要的安全信息、系統(tǒng)、設(shè)備的登入登出，都可以完整記錄下來(lái)。而日志審核也可以對(duì)于故障排查、安全檢查有很好的幫助。 (9)內(nèi)部網(wǎng)絡(luò)安全機(jī)制 根據(jù)部門(mén)以及功能的需求，在局域網(wǎng)通過(guò)vlan的劃分，既可以阻止大規(guī)模的廣播風(fēng)暴影響整體網(wǎng)絡(luò)的通暢，保障網(wǎng)絡(luò)的穩(wěn)定。并且通過(guò)交換機(jī)的ACL的控制，根據(jù)網(wǎng)絡(luò)應(yīng)用以及各部門(mén)內(nèi)部信息保密的需求，對(duì)不同的網(wǎng)段之間的訪問(wèn)進(jìn)行訪問(wèn)的控制。同時(shí)一些交換機(jī)具備流量控制、源路由限制等功能，根據(jù)企業(yè)實(shí)際情況設(shè)置也可加強(qiáng)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全，降低因病毒、網(wǎng)絡(luò)攻擊造成的網(wǎng)絡(luò)威脅。216。 在管理上 以上所有的網(wǎng)絡(luò)安全管理是基于技術(shù)方面，為了使網(wǎng)絡(luò)能夠安全高效有序的運(yùn)轉(zhuǎn)這些系統(tǒng)，更需要配合一套完整的網(wǎng)絡(luò)安全管理制度。 l 建立網(wǎng)絡(luò)安全管理制度，明確網(wǎng)絡(luò)安全管理的職責(zé) l 完善網(wǎng)絡(luò)安全設(shè)置各方面的技術(shù)文檔，按照技術(shù)文檔進(jìn)行設(shè)定安全策略以及安全方案。在涉及網(wǎng)絡(luò)安全的變更管理、事件管理、配置管理中都必須有文檔記錄 l 確定網(wǎng)絡(luò)安全管理的具體責(zé)任人。 l 加強(qiáng)培訓(xùn)，提高人們的網(wǎng)絡(luò)安全意識(shí)和防范意識(shí)。 216。 安全體系設(shè)計(jì)根據(jù)安全體系規(guī)劃，整個(gè)系統(tǒng)的安全體系建設(shè)內(nèi)容包括物理安全、操作系統(tǒng)安全、網(wǎng)絡(luò)安全、傳輸安全、數(shù)據(jù)安全、應(yīng)用系統(tǒng)安全、終端安全和管理安全等方面。安全系統(tǒng)設(shè)計(jì)原則安全防范體系在整體設(shè)計(jì)過(guò)程中應(yīng)遵循以下12項(xiàng)原則： l 木桶原則 木桶原則是指對(duì)信息均衡、全面的進(jìn)行保護(hù)。木桶的最大容積取決于最短的一塊木板。 l 整體性原則 要求在網(wǎng)絡(luò)發(fā)生被攻擊、破壞事件的情況下，必須盡可能地快速恢復(fù)網(wǎng)絡(luò)信息中心的服務(wù)，減少損失。因此，信息安全系統(tǒng)應(yīng)該包括安全防護(hù)機(jī)制、安全檢測(cè)機(jī)制和安全恢復(fù)機(jī)制。 l 有效性與實(shí)用性原則 不能影響系統(tǒng)的正常運(yùn)行和合法用戶的操作活動(dòng)。網(wǎng)絡(luò)中的信息安全和信息共享存在一個(gè)矛盾：一方面，為健全和彌補(bǔ)系統(tǒng)缺陷或漏洞，會(huì)采取多種技術(shù)手段和管理措施；另一方面，勢(shì)必給系統(tǒng)的運(yùn)行和用戶的使用造成負(fù)擔(dān)和麻煩，尤其在網(wǎng)絡(luò)環(huán)境下，實(shí)時(shí)性要求很高的業(yè)務(wù)不能容忍安全連接和安全處理造成的時(shí)延和數(shù)據(jù)擴(kuò)張。如何在確保安全性的基礎(chǔ)上，把安全處理的運(yùn)算量減小或分?jǐn)?，減少用戶記憶、存儲(chǔ)工作和安全服務(wù)器的存儲(chǔ)量、計(jì)算量，應(yīng)該是一個(gè)信息安全設(shè)計(jì)者主要解決的問(wèn)題。 l 安全性評(píng)價(jià)與平衡原則 對(duì)任何網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的，所以需要建立合理的實(shí)用安全性與用戶需求評(píng)價(jià)與平衡體系。安全體系設(shè)計(jì)要正確處理需求、風(fēng)險(xiǎn)與代價(jià)的關(guān)系，做到安全性與可用性相容，做到組織上可執(zhí)行。評(píng)價(jià)信息是否安全，沒(méi)有絕對(duì)的評(píng)判標(biāo)準(zhǔn)和衡量指標(biāo)，只能決定于系統(tǒng)的用戶需求和具體的應(yīng)用環(huán)境，具體取決于系統(tǒng)的規(guī)模和范圍，系統(tǒng)的性質(zhì)和信息的重要程度。l 標(biāo)準(zhǔn)化與一致性原則 系統(tǒng)是一個(gè)龐大的系統(tǒng)工程，其安全體系的設(shè)計(jì)必須遵循一系列的標(biāo)準(zhǔn)，這樣才能確保各個(gè)分系統(tǒng)的一致性，使整個(gè)系統(tǒng)安全地互聯(lián)互通、信息共享。l 技術(shù)與管理相結(jié)合原則 安全體系是一個(gè)復(fù)雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要素，單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)。因此，必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。 l 統(tǒng)籌規(guī)劃，分步實(shí)施原則 由于政策規(guī)定、服務(wù)需求的不明朗，環(huán)境、條件、時(shí)間的變化，攻擊手段的進(jìn)步，安全防護(hù)不可能一步到位，可在一個(gè)比較全面的安全規(guī)劃下，根據(jù)網(wǎng)絡(luò)的實(shí)際需要，先建立基本的安全體系，保證基本的、必須的安全性。隨著今后隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)應(yīng)用和復(fù)雜程度的變化，網(wǎng)絡(luò)脆弱性也會(huì)不斷增加，調(diào)整或增強(qiáng)安全防護(hù)力度，保證整個(gè)網(wǎng)絡(luò)最根本的安全需求。l 等級(jí)性原則 等級(jí)性原則是指安全層次和安全級(jí)別。良好的信息安全系統(tǒng)必然是分為不同等級(jí)的，包括對(duì)信息保密程度分級(jí)，對(duì)用戶操作權(quán)限分級(jí)，對(duì)網(wǎng)絡(luò)安全程度分級(jí)（安全子網(wǎng)和安全區(qū)域），對(duì)系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級(jí)（應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等），從而針對(duì)不同級(jí)別的安全對(duì)象，提供全面、可選的安全算法和安全體制，以滿足網(wǎng)絡(luò)中不同層次的各種實(shí)際需求。l 動(dòng)態(tài)發(fā)展原則 要根據(jù)網(wǎng)絡(luò)安全的變化不斷調(diào)整安全措施，適應(yīng)新的網(wǎng)絡(luò)環(huán)境，滿足新的網(wǎng)絡(luò)安全需求。 l 易操作性原則 首先，安全措施需要人為去完成，如果措施過(guò)于復(fù)雜，對(duì)人的要求過(guò)高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。 l 自主和可控性原則 網(wǎng)絡(luò)安全與保密問(wèn)題關(guān)系著一個(gè)國(guó)家的主權(quán)和安全，所以網(wǎng)絡(luò)安全產(chǎn)品不可能依賴于從國(guó)外進(jìn)口，必須解決網(wǎng)絡(luò)安全產(chǎn)品的自主權(quán)和自控權(quán)問(wèn)題，建立我們自主的網(wǎng)絡(luò)安全產(chǎn)品和產(chǎn)業(yè)。同時(shí)為了防止安全技術(shù)被不正當(dāng)?shù)挠脩羰褂?，必須采取相?yīng)的措施對(duì)其進(jìn)行控制，比如密鑰托管技術(shù)等。l 權(quán)限分割、互相制約、最小化原則 在很多系統(tǒng)中都有一個(gè)系統(tǒng)超級(jí)用戶或系統(tǒng)管理員，擁有對(duì)系統(tǒng)全部資源的存取和分配權(quán)，所以它的安全至關(guān)重要，如果不加以限制，有可能由于超級(jí)用戶的惡意行為、口令泄密、偶然破壞等對(duì)系統(tǒng)造成不可估量的損失和破壞。因此有必要對(duì)系統(tǒng)超級(jí)用戶的權(quán)限加以限制，實(shí)現(xiàn)權(quán)限最小化原則。管理權(quán)限交叉，有幾個(gè)管理用戶來(lái)動(dòng)態(tài)地控制系統(tǒng)的管理，實(shí)現(xiàn)互相制約。對(duì)于普通用戶，則實(shí)現(xiàn)權(quán)限最小原則，不允許其進(jìn)行非授權(quán)以外的操作。 信息安全保護(hù)系統(tǒng)滿足信息系統(tǒng)安全等級(jí)三級(jí)要求的連接云計(jì)算平臺(tái)的信息安全保護(hù)系統(tǒng)。216。 第三級(jí)安全保護(hù)能力要求能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來(lái)自外部有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大部分功能。第三級(jí)基本要求如下：216。 技術(shù)要求（1） 物理安全1） 物理位置的選擇（G3）本項(xiàng)要求包括：a) 機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；b) 機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。2） 物理訪問(wèn)控制（G3）本項(xiàng)要求包括：a) 機(jī)房出入口應(yīng)安排專人值守，控制、鑒別和記錄進(jìn)入的人員；b) 需進(jìn)入機(jī)房的來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍；c) 應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過(guò)渡區(qū)域；d) 重要區(qū)域應(yīng)配置電子門(mén)禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。3）防盜竊和防破壞（G3）本項(xiàng)要求包括：a) 應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi)；b) 應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記；c) 應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；d) 應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或檔案室中；e) 應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)；f) 應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。4）防雷擊（G3）本項(xiàng)要求包括：a) 機(jī)房建筑應(yīng)設(shè)置避雷裝置；b) 應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷；c) 機(jī)房應(yīng)設(shè)置交流電源地線。5）防火（G3）本項(xiàng)要求包括：a) 機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火；b) 機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料；c) 機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開(kāi)。6）防水和防潮（G3）本項(xiàng)要求包括：a) 水管安裝，不得穿過(guò)機(jī)房屋頂和活動(dòng)地板下；b) 應(yīng)采取措施防止雨水通過(guò)機(jī)房窗戶、屋頂和墻壁滲透；c) 應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；d) 應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件，對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警。7）防靜電（G3）本項(xiàng)要求包括：a) 主要設(shè)備應(yīng)采用必要的接地防靜電措施；b) 機(jī)房應(yīng)采用防靜電地板。8）溫濕度控制（G3）機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。9）電力供應(yīng)（A3）本項(xiàng)要求包括：a) 應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；b) 應(yīng)提供短期的備用電力供應(yīng)，至少滿足主要設(shè)備在斷電情況下的正常運(yùn)行要求；c) 應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電；d) 應(yīng)建立備用供電系統(tǒng)。10）電磁防護(hù)（S3）本項(xiàng)要求包括：a) 應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾；b) 電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾；c) 應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。（2）網(wǎng)絡(luò)安全1）　 結(jié)構(gòu)安全（G3）本項(xiàng)要求包括：a) 應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；b) 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；c) 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑；d) 應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；e) 應(yīng)根據(jù)各部門(mén)的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；f) 應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；g) 應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。2）訪問(wèn)控制（G3）本項(xiàng)要求包括：a) 應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能；b) 應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力，控制粒度為端口級(jí)；c) 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制；d) 應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；e) 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；f) 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；g) 應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用戶；h) 應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量。3）　安全審計(jì)（G3）本項(xiàng)要求包括：a) 應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；b) 審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；c) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；d) 應(yīng)對(duì)審計(jì)