【正文】 應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶(hù)的權(quán)限分離。e) 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶(hù)分配不同的用戶(hù)名,確保用戶(hù)名具有唯一性。 主機(jī)安全 身份鑒別(S3)本項(xiàng)要求包括:a) 應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別。e) 身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有復(fù)雜度要求并定期更換。 網(wǎng)絡(luò)設(shè)備防護(hù)(G3)本項(xiàng)要求包括:a) 應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶(hù)進(jìn)行身份鑒別。 入侵防范(G3)本項(xiàng)要求包括:a) 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為:端口掃描、強(qiáng)力攻擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等。c) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計(jì)報(bào)表。g) 應(yīng)按用戶(hù)和系統(tǒng)之間的允許訪問(wèn)規(guī)則,決定允許或拒絕用戶(hù)對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn),控制粒度為單個(gè)用戶(hù)。c) 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾,實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制。f) 應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng),重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段。b) 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要。 電磁防護(hù)(S3)本項(xiàng)要求包括:a) 應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾。 電力供應(yīng)(A3)本項(xiàng)要求包括:a) 應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備。d) 應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件,對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警。c) 機(jī)房應(yīng)采取區(qū)域隔離防火措施,將重要設(shè)備與其他設(shè)備隔離開(kāi)。b) 應(yīng)設(shè)置防雷保安器,防止感應(yīng)雷。d) 應(yīng)對(duì)介質(zhì)分類(lèi)標(biāo)識(shí),存儲(chǔ)在介質(zhì)庫(kù)或檔案室中。d) 重要區(qū)域應(yīng)配置電子門(mén)禁系統(tǒng),控制、鑒別和記錄進(jìn)入的人員。b) 機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室,以及用水設(shè)備的下層或隔壁。 物理訪問(wèn)控制(G3)本項(xiàng)要求包括:a) 機(jī)房出入口應(yīng)安排專(zhuān)人值守,控制、鑒別和記錄進(jìn)入的人員。 防盜竊和防破壞(G3)本項(xiàng)要求包括:a) 應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi)。e) 應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)。c) 機(jī)房應(yīng)設(shè)置交流電源地線。 防水和防潮(G3)本項(xiàng)要求包括:a) 水管安裝,不得穿過(guò)機(jī)房屋頂和活動(dòng)地板下。 防靜電(G3)本項(xiàng)要求包括:a) 主要設(shè)備應(yīng)采用必要的接地防靜電措施。b) 應(yīng)提供短期的備用電力供應(yīng),至少滿足主要設(shè)備在斷電情況下的正常運(yùn)行要求。b) 電源線和通信線纜應(yīng)隔離鋪設(shè),避免互相干擾。c) 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑。g) 應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別,保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。d) 應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接。h) 應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶(hù)數(shù)量。d) 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù),避免受到未預(yù)期的刪除、修改或覆蓋等。b) 當(dāng)檢測(cè)到攻擊行為時(shí),記錄攻擊源IP、攻擊類(lèi)型、攻擊目的、攻擊時(shí)間,在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。b) 應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制。f) 應(yīng)具有登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施。b) 操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶(hù)身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有復(fù)雜度要求并定期更換。f) 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶(hù)進(jìn)行身份鑒別。d) 應(yīng)嚴(yán)格限制默認(rèn)帳戶(hù)的訪問(wèn)權(quán)限,重命名系統(tǒng)默認(rèn)帳戶(hù),修改這些帳戶(hù)的默認(rèn)口令。 安全審計(jì)(G3)本項(xiàng)要求包括:a) 審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶(hù)端上的每個(gè)操作系統(tǒng)用戶(hù)和數(shù)據(jù)庫(kù)用戶(hù)。e) 應(yīng)保護(hù)審計(jì)進(jìn)程,避免受到未預(yù)期的中斷。 入侵防范(G3)本項(xiàng)要求包括:a) 應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為,能夠記錄入侵的源IP、攻擊的類(lèi)型、攻擊的目的、攻擊的時(shí)間,并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。b) 主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫(kù)。c) 應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視,包括監(jiān)視服務(wù)器的CPU、硬盤(pán)、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況。b) 應(yīng)對(duì)同一用戶(hù)采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶(hù)身份鑒別。 訪問(wèn)控制(S3)本項(xiàng)要求包括:a) 應(yīng)提供訪問(wèn)控制功能,依據(jù)安全策略控制用戶(hù)對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問(wèn)。e) 應(yīng)具有對(duì)重要信息資源設(shè)置敏感標(biāo)記的功能。c) 審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類(lèi)型、描述和結(jié)果等。 通信完整性(S3)應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性。b) 應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。b) 應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制。f) 應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。 數(shù)據(jù)保密性(S3)本項(xiàng)要求包括:a) 應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性。c) 應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障。c) 應(yīng)對(duì)要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程。c) 應(yīng)組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定。b) 應(yīng)定期或不定期對(duì)安全管理制度進(jìn)行檢查和審定,對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。d) 應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門(mén)和崗位的職責(zé)、分工和技能要求。 授權(quán)和審批(G3)本項(xiàng)要求包括:a) 應(yīng)根據(jù)各個(gè)部門(mén)和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門(mén)和批準(zhǔn)人等。 溝通和合作(G3)a) 應(yīng)加強(qiáng)各類(lèi)管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門(mén)內(nèi)部的合作與溝通,定期或不定期召開(kāi)協(xié)調(diào)會(huì)議,共同協(xié)作處理信息安全問(wèn)題。e) 應(yīng)聘請(qǐng)信息安全專(zhuān)家作為常年的安全顧問(wèn),指導(dǎo)信息安全建設(shè),參與安全規(guī)劃和安全評(píng)審等。d) 應(yīng)制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作,定期按照程序進(jìn)行安全審核和安全檢查活動(dòng)。d) 應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員,并簽署崗位安全協(xié)議。 人員考核(G3)本項(xiàng)要求包括:a) 應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核。b) 應(yīng)對(duì)安全責(zé)任和懲戒措施進(jìn)行書(shū)面規(guī)定并告知相關(guān)人員,對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒。b) 對(duì)外部人員允許訪問(wèn)的區(qū)域、系統(tǒng)、設(shè)備、