【正文】 網(wǎng)絡帶寬；4） 應在業(yè)務終端與業(yè)務服務器之間進行路由控制，建立安全的訪問路徑；5） 應根據(jù)各部門的工作職能、重要性、所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；6） 重要網(wǎng)段應采取網(wǎng)絡層地址與數(shù)據(jù)鏈路層地址綁定措施，防止地址欺騙。電力供應1） 計算機系統(tǒng)供電應與其他供電分開；2） 應設置穩(wěn)壓器和過電壓防護設備；3） 應提供短期的備用電力供應（如UPS設備）。1） 水管安裝，不得穿過屋頂和活動地板下；2） 應對穿過墻壁和樓板的水管增加必要的保護措施，如設置套管；3） 應采取措施防止雨水通過屋頂和墻壁滲透；4） 應采取措施防止室內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。1） 機房建筑應設置避雷裝置；2） 應設置防雷保安器，防止感應雷；3） 應設置交流電源地線。1） 機房出入口應有專人值守，鑒別進入的人員身份并登記在案；2） 應批準進入機房的來訪人員，限制和監(jiān)控其活動范圍；3） 應對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設置物理隔離裝置，在重要區(qū)域前設置交付或安裝等過度區(qū)域；4） 應對重要區(qū)域配置電子門禁系統(tǒng)，鑒別和記錄進入的人員身份并監(jiān)控其活動。.. . . ..二級、三級等級保護要求比較一、 技術(shù)要求技術(shù)要求項二級等保三級等保物理安全物理位置的選擇1） 機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內(nèi)。防盜竊和防破壞1） 應將主要設備放置在物理受限的范圍內(nèi)；2） 應對設備或主要部件進行固定，并設置明顯的不易除去的標記；3） 應將通信線纜鋪設在隱蔽處，如鋪設在地下或管道中等；4） 應對介質(zhì)分類標識，存儲在介質(zhì)庫或檔案室中；5） 應安裝必要的防盜報警設施，以防進入機房的盜竊和破壞行為。防火1） 應設置滅火設備和火災自動報警系統(tǒng)，并保持滅火設備和火災自動報警系統(tǒng)的良好狀態(tài)。防靜電1） 應采用必要的接地等防靜電措施1） 應采用必要的接地等防靜電措施；2） 應采用防靜電地板。1） 計算機系統(tǒng)供電應與其他供電分開；2） 應設置穩(wěn)壓器和過電壓防護設備；3） 應提供短期的備用電力供應（如UPS設備）；4） 應設置冗余或并行的電力電纜線路；5） 應建立備用供電系統(tǒng)（如備用發(fā)電機），以備常用供電系統(tǒng)停電時啟用。1） 網(wǎng)絡設備的業(yè)務處理能力應具備冗余空間，要求滿足業(yè)務高峰期需要；2） 應設計和繪制與當前運行情況相符的網(wǎng)絡拓撲結(jié)構(gòu)圖；3） 應根據(jù)機構(gòu)業(yè)務的特點，在滿足業(yè)務高峰期需要的基礎上，合理設計網(wǎng)絡帶寬；4） 應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑；5） 應根據(jù)各部門的工作職能、重要性、所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；6） 重要網(wǎng)段應采取網(wǎng)絡層地址與數(shù)據(jù)鏈路層地址綁定措施，防止地址欺騙；7） 應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡發(fā)生擁堵的時候優(yōu)先保護重要業(yè)務數(shù)據(jù)主機。1） 應在基于安全屬性的允許遠程用戶對系統(tǒng)訪問的規(guī)則的基礎上，對系統(tǒng)所有資源允許或拒絕用戶進行訪問，控制粒度為單個用戶；2） 應限制具有撥號訪問權(quán)限的用戶數(shù)量；3） 應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許用戶對受控系統(tǒng)進行資源訪問。1） 應能夠檢測內(nèi)部網(wǎng)絡中出現(xiàn)的內(nèi)部用戶未通過準許私自聯(lián)到外部網(wǎng)絡的行為（即“非法外聯(lián)”行為）；2） 應能夠?qū)Ψ鞘跈?quán)設備私自聯(lián)到網(wǎng)絡的行為進行檢查，并準確定出位置，對其進行有效阻斷；3） 應能夠?qū)?nèi)部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢測后準確定出位置，并對其進行有效阻斷。1） 應在網(wǎng)絡邊界及核心業(yè)務網(wǎng)段處對惡意代碼進行檢測和清除；2） 應維護惡意代碼庫的升級和檢測系統(tǒng)的更新；3） 應支持惡意代碼防范的統(tǒng)一管理。1） 操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)用戶的身份標識應具有唯一性；2） 應對登錄操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的用戶進行身份標識和鑒別；3） 應對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別；4） 操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)用戶的身份鑒別信息應具有不易被冒用的特點，例如口令長度、復雜性和定期的更新等；5） 應具有登錄失敗處理功能，如：結(jié)束會話、限制非法登錄次數(shù)，當?shù)卿涍B接超時，自動退出；6） 應具有鑒別警示功能；7） 重要的主機系統(tǒng)應對與之相連的服務器或終端設備進行身份標識和鑒別。安全審計1） 安全審計應覆蓋到服務器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；2） 安全審計應記錄系統(tǒng)內(nèi)重要的安全相關事件，包括重要用戶行為和重要系統(tǒng)命令的使用等；3） 安全相關事件的記錄應包括日期和時間、類型、主體標識、客體標識、事件的結(jié)果等；4） 審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋等。剩余信息保護1） 應保證操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；2） 應確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。資源控制1） 應限制單個用戶的會話數(shù)量；2） 應通過設定終端接入方式、網(wǎng)絡地址范圍等條件限制終端登錄。訪問控制1） 應依據(jù)安全策略控制用戶對客體的訪問；2） 自主訪問控制的覆蓋范圍應包括與信息安全直接相關的主體、客體及它們之間的操作；3） 自主訪問控制的粒度應達到主體為用戶級，客體為文件、數(shù)據(jù)庫表級；4） 應由授權(quán)主體設置用戶對系統(tǒng)功能操作和對數(shù)據(jù)訪問的權(quán)限；5） 應實現(xiàn)應用系統(tǒng)特權(quán)用戶的權(quán)限分離，例如將管理與審計的權(quán)限分配給不同的應用系統(tǒng)用戶；6） 權(quán)限分離應采用最小授權(quán)原則，分別授予不同用戶各自為完成自己承擔任務所需的最小權(quán)限，并在它們之間形成相互制約的關系；7） 應嚴格限制默認用戶的訪問權(quán)限。剩余信息保護1） 應保證用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；2） 應確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除?？沟仲嚐o1） 應具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；2） 應具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。1） 應對通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)進行有效性檢驗；2） 應對通過人機接口方式進行的操作提供“回退”功能，即允許按照操作的序列進行回退；3） 應有狀態(tài)監(jiān)測能力，當故障發(fā)生時，能實時檢測到故障狀態(tài)并報警；4） 應有自動保護能力，當故障發(fā)生時，自動保護當前所有狀態(tài)。1） 應制定應用程序代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼；2） 應對應用程序代碼進行代碼復審，識別可能存在的惡意代碼；3） 應對應用程序代碼進行安全脆弱性分析；4） 應對應用程序代碼進行穿透性測試。1） 網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應用系統(tǒng)的鑒別信息、敏感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)應采用加密或其他有效措施實現(xiàn)傳輸保密性；2） 網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應用系統(tǒng)的鑒別信息、敏感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)應采用加密或其他保護措施實現(xiàn)存儲保密性；3） 當使用便攜式和移動式設備時，應加密或者采用可移動磁盤存儲敏感信息；4） 用于特定業(yè)務通信的通信信道應符合相關的國家規(guī)定。人員配備1） 應配備一定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡管理人員、安全管理人員等；2） 安全管理人員不能兼任網(wǎng)絡管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。溝通和合作1） 應加強各類管理人員和組織內(nèi)部機構(gòu)之間的合作與溝通，定期或不定期召開協(xié)調(diào)會議，共同協(xié)助處理信息安全問題；2） 信息安全職能部門應定期或不定期召集相關部門和人員召開安全工作會議，協(xié)調(diào)安全工作的實施；3） 應加強與兄弟單位、公安機關、電信公司的合作與溝通，以便在發(fā)生安全事件時能夠得到及時的支持。安全管理制度管理制度1） 應制定信息安全工作的總體方針、政策性文件和安全策略等，說明機構(gòu)安全工作的總體目標、范圍、方針、原則、責任等；2） 應對安全管理活動中重要的管理內(nèi)容建立安全管理制度，以規(guī)范安全管理活動，約束人員的行為方式；3） 應對要求管理人員或操作人員執(zhí)行的重要管理操作，建立操作規(guī)程，以規(guī)范操作行為，防止操作失誤。評審和修訂1） 應定期對安全管理制度進行評審和修訂，對存在不足或需要改進的安全管理制度進行修訂。人員離崗1） 應立即終止由于各種原因即將離崗的員工的所有訪問權(quán)限；2） 應取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設備；3） 應經(jīng)機構(gòu)人事部門辦理嚴格的調(diào)離手續(xù)，并承諾調(diào)離后的保密義務后方可離開。1） 應對各類人員進行安全意識教育；2） 應告知人員相關的安全責任和懲戒措施；3） 應制定安全教育和培訓計劃，對信息安全基礎知識、崗位操作規(guī)程等進行培訓；4） 應針對不同崗位制定不同培訓計劃；5） 應對安全教育和培訓的情況和結(jié)果進行記錄并歸檔保存。1） 應明確信息系統(tǒng)劃分的方法；2） 應確定信息系統(tǒng)的安全等級；3） 應以書面的形式定義確定了安全等級的信息系統(tǒng)的屬性，包括使命、業(yè)務、網(wǎng)絡、硬件、軟件、數(shù)據(jù)、邊界、人員等；4） 應以書面的形式說明確定一個信息系統(tǒng)為某個安全等級的方法和理由；5） 應組織相關部門和有關安全技術(shù)專家對信息系統(tǒng)的定級結(jié)果的合理性和正確性進行論證和審定；6） 應確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關部門的批準。1） 應確保安全產(chǎn)品的使用符合國家的有關規(guī)定；2） 應確保密碼產(chǎn)品的使用符合國家密碼主管部門的要求；3） 應指定或授權(quán)專門的部門負責產(chǎn)品的采購；4） 應制定產(chǎn)品采購方面的管理制度明確說明采購過程的控制方法和人員行為準則；5） 應預先對產(chǎn)品進行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。1） 應與軟件開發(fā)單位簽訂協(xié)議，明確知識產(chǎn)權(quán)的歸屬和安全方面的要求；2） 應根據(jù)協(xié)議的要求檢測軟件質(zhì)量；3） 應在軟件安裝之前檢測軟件包中可能存在的惡意代碼；4） 應要求開發(fā)單位提供技術(shù)培訓和服務承諾；5） 應要求開發(fā)單位提供軟件設計的相關文檔和使用指南。1） 應對系統(tǒng)進行安全性測試驗收；2） 應在測試驗收前根據(jù)設計方案或合同要求等制訂測試驗收方案，測試驗收過程中詳細記錄測試驗收結(jié)果，形成測試驗收報告；3） 應委托公正的第三方測試單位對系統(tǒng)進行測試，并出具測試報告；4） 應制定系統(tǒng)測試驗收方面的管理制度明確說明系統(tǒng)測試驗收的控制方法和人員行為準則；5） 應指定或授權(quán)專門的部門負責系統(tǒng)測試驗收的管理，并按照管理制度的要求完成系統(tǒng)測試驗收工作；6） 應組織相關部門和相關人員對系統(tǒng)測試驗收報告進行審定，沒有疑問后由雙方簽字。安全測評無1） 應在系統(tǒng)投入運行前進行安全測評，測評后符合相應等級保護標準要求的才能投入使用；2） 應在系統(tǒng)運行過程中定期對系統(tǒng)進行安全測評，發(fā)現(xiàn)不符合相應等級保護標準要求的及時整改；3） 應在系