【正文】 應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離。e) 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名,確保用戶名具有唯一性。 主機(jī)安全 身份鑒別(S3)本項要求包括:a) 應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別。e) 身份鑒別信息應(yīng)具有不易被冒用的特點,口令應(yīng)有復(fù)雜度要求并定期更換。 網(wǎng)絡(luò)設(shè)備防護(hù)(G3)本項要求包括:a) 應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別。 入侵防范(G3)本項要求包括:a) 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為:端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。c) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計報表。g) 應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則,決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問,控制粒度為單個用戶。c) 應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾,實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制。f) 應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng),重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段。b) 應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要。 電磁防護(hù)(S3)本項要求包括:a) 應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾。 電力供應(yīng)(A3)本項要求包括:a) 應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備。d) 應(yīng)安裝對水敏感的檢測儀表或元件,對機(jī)房進(jìn)行防水檢測和報警。c) 機(jī)房應(yīng)采取區(qū)域隔離防火措施,將重要設(shè)備與其他設(shè)備隔離開。b) 應(yīng)設(shè)置防雷保安器,防止感應(yīng)雷。d) 應(yīng)對介質(zhì)分類標(biāo)識,存儲在介質(zhì)庫或檔案室中。d) 重要區(qū)域應(yīng)配置電子門禁系統(tǒng),控制、鑒別和記錄進(jìn)入的人員。b) 機(jī)房場地應(yīng)避免設(shè)在建筑物的高層或地下室,以及用水設(shè)備的下層或隔壁。 物理訪問控制(G3)本項要求包括:a) 機(jī)房出入口應(yīng)安排專人值守,控制、鑒別和記錄進(jìn)入的人員。 防盜竊和防破壞(G3)本項要求包括:a) 應(yīng)將主要設(shè)備放置在機(jī)房內(nèi)。e) 應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報警系統(tǒng)。c) 機(jī)房應(yīng)設(shè)置交流電源地線。 防水和防潮(G3)本項要求包括:a) 水管安裝,不得穿過機(jī)房屋頂和活動地板下。 防靜電(G3)本項要求包括:a) 主要設(shè)備應(yīng)采用必要的接地防靜電措施。b) 應(yīng)提供短期的備用電力供應(yīng),至少滿足主要設(shè)備在斷電情況下的正常運(yùn)行要求。b) 電源線和通信線纜應(yīng)隔離鋪設(shè),避免互相干擾。c) 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑。g) 應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別,保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護(hù)重要主機(jī)。d) 應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接。h) 應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量。d) 應(yīng)對審計記錄進(jìn)行保護(hù),避免受到未預(yù)期的刪除、修改或覆蓋等。b) 當(dāng)檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警。b) 應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制。f) 應(yīng)具有登錄失敗處理功能,可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等措施。b) 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點,口令應(yīng)有復(fù)雜度要求并定期更換。f) 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行身份鑒別。d) 應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限,重命名系統(tǒng)默認(rèn)帳戶,修改這些帳戶的默認(rèn)口令。 安全審計(G3)本項要求包括:a) 審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶。e) 應(yīng)保護(hù)審計進(jìn)程,避免受到未預(yù)期的中斷。 入侵防范(G3)本項要求包括:a) 應(yīng)能夠檢測到對重要服務(wù)器進(jìn)行入侵的行為,能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間,并在發(fā)生嚴(yán)重入侵事件時提供報警。b) 主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫。c) 應(yīng)對重要服務(wù)器進(jìn)行監(jiān)視,包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況。b) 應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別。 訪問控制(S3)本項要求包括:a) 應(yīng)提供訪問控制功能,依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問。e) 應(yīng)具有對重要信息資源設(shè)置敏感標(biāo)記的功能。c) 審計記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等。 通信完整性(S3)應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。b) 應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。b) 應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制。f) 應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報警。 數(shù)據(jù)保密性(S3)本項要求包括:a) 應(yīng)采用加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性。c) 應(yīng)采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),避免關(guān)鍵節(jié)點存在單點故障。c) 應(yīng)對要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程。c) 應(yīng)組織相關(guān)人員對制定的安全管理制度進(jìn)行論證和審定。b) 應(yīng)定期或不定期對安全管理制度進(jìn)行檢查和審定,對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。d) 應(yīng)制定文件明確安全管理機(jī)構(gòu)各個部門和崗位的職責(zé)、分工和技能要求。 授權(quán)和審批(G3)本項要求包括:a) 應(yīng)根據(jù)各個部門和崗位的職責(zé)明確授權(quán)審批事項、審批部門和批準(zhǔn)人等。 溝通和合作(G3)a) 應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通,定期或不定期召開協(xié)調(diào)會議,共同協(xié)作處理信息安全問題。e) 應(yīng)聘請信息安全專家作為常年的安全顧問,指導(dǎo)信息安全建設(shè),參與安全規(guī)劃和安全評審等。d) 應(yīng)制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作,定期按照程序進(jìn)行安全審核和安全檢查活動。d) 應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員,并簽署崗位安全協(xié)議。 人員考核(G3)本項要求包括:a) 應(yīng)定期對各個崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核。b) 應(yīng)對安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員,對違反違背安全策略和規(guī)定的人員進(jìn)行懲戒。b) 對外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、