【正文】 安[2023]1429號(hào)） 《 關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知 》（發(fā)改高技[2023] 2071號(hào)） 《 關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測評(píng) 體系建設(shè)和開展等級(jí)測評(píng)工作的通知 》 （公信安[2023]303號(hào)） 《 公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范（試行） 》（公信安[2023]736號(hào) ） 《 信息系統(tǒng)安全等級(jí)測評(píng)報(bào)告模版（試行） 》（公信安[2023]1487號(hào)） 《 信息安全等級(jí)保護(hù)管理辦法 》 （公通字 [2023]43號(hào)） 《 關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見 》 （公通字 [2023]66號(hào)） 《 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》 （國務(wù)院 147號(hào)令） 《 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見 》 （中辦發(fā) [2023]27號(hào)） 等保概念 等級(jí)保護(hù)實(shí)施過程中涉及的角色和職責(zé)： 等保概念 等級(jí)保護(hù)實(shí)施的基本流程： 三、等保評(píng)定內(nèi)容 評(píng)定內(nèi)容 等級(jí)測評(píng)內(nèi)容： 物理安全 技術(shù)要求 管理要求 基本要求 網(wǎng)絡(luò)安全 主機(jī)安全 應(yīng)用安全 數(shù)據(jù)安全 安全管理機(jī)構(gòu) 安全管理制度 人員安全管理 系統(tǒng)建設(shè)管理 系統(tǒng)運(yùn)維管理 評(píng)定內(nèi)容 等級(jí)測評(píng)內(nèi)容： 物理位置選擇 物理安全 (三級(jí) ) 物理訪問控制 防盜竊 和防破壞 防雷擊 防火 防水和防潮 溫濕度控制 電力供應(yīng) 電磁防護(hù) 防靜電 物理 層面構(gòu)成組件包括信息系統(tǒng)工作的設(shè)施環(huán)境以及構(gòu)成信息系統(tǒng)的硬件設(shè)備和介質(zhì) 等。 評(píng)定內(nèi)容 ?物理安全解讀 基本要求指標(biāo)項(xiàng) 實(shí)施建議 重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。 對(duì)安裝網(wǎng)絡(luò)與重要服務(wù)器等核心設(shè)備的機(jī)房或區(qū)域應(yīng)配置門禁系統(tǒng)，并采用 密碼或指紋識(shí)別技術(shù)。 應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記； 標(biāo)記應(yīng)明確 服務(wù)對(duì)象、 IP 地址、固定資產(chǎn)編號(hào)、物理位置、設(shè)備維護(hù)責(zé)任人 等信息，并粘貼在 明顯的位置 。 應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中； 在線纜的兩端做好 標(biāo)記 。 應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。 應(yīng)在 機(jī)房入口、機(jī)柜走道、重要服務(wù)器等位置安裝攝像頭和圖像存儲(chǔ)、監(jiān)控系統(tǒng)。 評(píng)定內(nèi)容 ?物理安全解讀 2 基本要求指標(biāo)項(xiàng) 實(shí)施建議 機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。 政務(wù)外網(wǎng)的重要設(shè)備如廣域網(wǎng)核心路由器、城域網(wǎng)核心交換機(jī)等，應(yīng)與其他網(wǎng)絡(luò)和應(yīng)用設(shè)備隔離放置 ，并按消防要求采取相應(yīng)的防火措施。 應(yīng)采取措施防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透； 在機(jī)房內(nèi) 做好隔熱層 ，并注意樓層之間的 溫差不要太大 。 機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。 一般機(jī)房日常溫度應(yīng)控制在 10～ 28℃ ，濕度30～ 70%。應(yīng)具有 聯(lián)網(wǎng)監(jiān)控和自動(dòng)報(bào)警 、并及時(shí)通知相關(guān)運(yùn)維人員等功能。 電源線和通信線纜應(yīng)隔離鋪設(shè) ，避免 互相干擾； 電源線和通信線應(yīng)隔離鋪設(shè)，平行超過 30米 時(shí)，其鋪設(shè)間隔應(yīng)大于 200毫米 。 評(píng)定內(nèi)容 等級(jí)測評(píng)內(nèi)容： 結(jié)構(gòu)安全和網(wǎng)段劃分 網(wǎng)絡(luò)安全 (三級(jí) ) 網(wǎng)絡(luò)訪問控制 網(wǎng)絡(luò)安全審計(jì) 邊界完整性檢查 網(wǎng)絡(luò)入侵檢測 惡意代碼防護(hù) 網(wǎng)絡(luò)設(shè)備防護(hù) 評(píng)定內(nèi)容 ?網(wǎng)絡(luò)安全解讀 基本要求指標(biāo)項(xiàng) 實(shí)施建議 應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖； 拓?fù)鋱D應(yīng)與實(shí)際部署一致，其 各類安全設(shè)備也 應(yīng)標(biāo)注在圖上 ， 建議拓?fù)鋱D掛在機(jī)房內(nèi) ，以便 故障處置 ，有利于運(yùn)維人員直觀、便捷的查看 應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接 網(wǎng)絡(luò)應(yīng)有實(shí)時(shí)監(jiān)控功能，對(duì)會(huì)話處于非活躍 30分鐘以上或會(huì)話結(jié)束后及時(shí)終止網(wǎng)絡(luò)連接 應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶； 可在應(yīng)用服務(wù)器前設(shè)置 防火墻、認(rèn)證網(wǎng)關(guān)或授權(quán)管理系統(tǒng) ，對(duì)單個(gè)用戶的訪問進(jìn)行策略控制。 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表； 對(duì)數(shù)據(jù)進(jìn)行分析時(shí)，應(yīng)能發(fā)現(xiàn)異常并主動(dòng)告警 ，審計(jì) 報(bào)表應(yīng)能根據(jù)用戶需要修改，相關(guān)信息應(yīng) 能 上 報(bào)到安全管理系統(tǒng) 。 評(píng)定內(nèi)容 ?網(wǎng)絡(luò)安全解讀 2 基本要求指標(biāo)項(xiàng) 實(shí)施建議 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或 覆蓋 等。 審計(jì)記錄應(yīng)保存至少 半年 以上。 當(dāng)檢測到攻擊行為時(shí)，記錄攻擊源 IP、攻擊類型、攻擊 目的 、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警 應(yīng)部署安全管理系統(tǒng)（ SOC)， 對(duì) 網(wǎng)絡(luò)攻擊行為 進(jìn)行綜合 分析，對(duì)發(fā)現(xiàn)有嚴(yán)重入侵事件時(shí)應(yīng)實(shí)時(shí)告警 。 身份鑒別信息應(yīng)具有不易被冒用的 特點(diǎn)，口令 應(yīng)有復(fù)雜度 要求 并定期更換； 用戶口令應(yīng)不少于 12位 ，數(shù)字和字母組成， 至少 3 個(gè)月 更換一次。 應(yīng)具有登錄失敗處理功能，可采取 結(jié)束會(huì)話 、限制非法 登錄次數(shù) 和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施； 當(dāng)一次登錄密碼錯(cuò)誤次數(shù)超過 6次 ，應(yīng)能自動(dòng)關(guān)閉并告警。 評(píng)定內(nèi)容 等級(jí)測評(píng)內(nèi)容： 身份鑒別 主機(jī)系統(tǒng)安全 (三級(jí) ) 訪問控制 安全審計(jì) 剩余信息保護(hù) 入侵防范 惡意代碼防范 資源控制 評(píng)定內(nèi)容 ?主機(jī)安全解讀 基本要求指標(biāo)項(xiàng) 實(shí)施建議 應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別； 對(duì)網(wǎng)絡(luò)管理系統(tǒng)和安全管理系統(tǒng)的管理員登陸 地址 應(yīng)