【正文】 安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作，定期按照程序進行安全審核和安全檢查活動。　 安全管理機構　 崗位設置（G3）本項要求包括：a) 應設立信息安全管理工作的職能部門，設立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責；b) 應設立系統(tǒng)管理員、網絡管理員、安全管理員等崗位，并定義各個工作崗位的職責；c) 應成立指導和管理信息安全工作的委員會或領導小組，其最高領導由單位主管領導委任或授權；d) 應制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求。　 備份和恢復（A3）本項要求包括：a) 應提供本地數(shù)據備份與恢復功能，完全數(shù)據備份至少每天一次，備份介質場外存放；b) 應提供異地數(shù)據備份功能，利用通信網絡將關鍵數(shù)據定時批量傳送至備用場地；c) 應采用冗余技術設計網絡拓撲結構，避免關鍵節(jié)點存在單點故障；d) 應提供主要網絡設備、通信線路和數(shù)據處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性?！?軟件容錯（A3）本項要求包括：a) 應提供數(shù)據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據格式或長度符合系統(tǒng)設定要求；b) 應提供自動保護功能，當故障發(fā)生時自動保護當前所有狀態(tài)，保證系統(tǒng)能夠進行恢復?！?剩余信息保護（S3）本項要求包括：a) 應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中；b) 應保證系統(tǒng)內的文件、目錄和數(shù)據庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除?！?資源控制（A3）本項要求包括：a) 應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄；b) 應根據安全策略設置登錄終端的操作超時鎖定；c) 應對重要服務器進行監(jiān)視，包括監(jiān)視服務器的CPU、硬盤、內存、網絡等資源的使用情況；d) 應限制單個用戶對系統(tǒng)資源的最大或最小使用限度；e) 應能夠對系統(tǒng)的服務水平降低到預先規(guī)定的最小值進行檢測和報警。f) 應對重要信息資源設置敏感標記；g) 應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作；　 安全審計（G3）本項要求包括：a) 審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據庫用戶；b) 審計內容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要的安全相關事件；c) 審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等； d) 應能夠根據記錄數(shù)據進行分析，并生成審計報表；e) 應保護審計進程，避免受到未預期的中斷；f) 應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。　 網絡設備防護（G3）本項要求包括：a) 應對登錄網絡設備的用戶進行身份鑒別；b) 應對網絡設備的管理員登錄地址進行限制；c) 網絡設備用戶的標識應唯一；d) 主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；e) 身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；f) 應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和當網絡登錄連接超時自動退出等措施；g) 當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽；h) 應實現(xiàn)設備特權用戶的權限分離?！?安全審計（G3）本項要求包括：a) 應對網絡系統(tǒng)中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；b) 審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；c) 應能夠根據記錄數(shù)據進行分析，并生成審計報表；d) 應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等?！?電力供應（A3）本項要求包括：a) 應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備；b) 應提供短期的備用電力供應，至少滿足主要設備在斷電情況下的正常運行要求；c) 應設置冗余或并行的電力電纜線路為計算機系統(tǒng)供電；d) 應建立備用供電系統(tǒng)。　 防火（G3）本項要求包括：a) 機房應設置火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火；b) 機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料；c) 機房應采取區(qū)域隔離防火措施，將重要設備與其他設備隔離開。1　 第三級基本要求　 技術要求　 物理安全　 物理位置的選擇（G3）本項要求包括：a) 機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內；b) 機房場地應避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁?！?防雷擊（G3）本項要求包括：a) 機房建筑應設置避雷裝置；b) 應設置防雷保安器，防止感應雷；c) 機房應設置交流電源地線?！?溫濕度控制（G3）機房應設置溫、濕度自動調節(jié)設施，使機房溫、濕度的變化在設備運行所允許的范圍之內。　 訪問控制（G3）本項要求包括：a) 應在網絡邊界部署訪問控制設備，啟用訪問控制功能；b) 應能根據會話狀態(tài)信息為數(shù)據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；c) 應對進出網絡的信息內容進行過濾，實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；d) 應在會話處于非活躍一定時間或會話結束后終止網絡連接；e) 應限制網絡最大流量數(shù)及網絡連接數(shù)；f) 重要網段應采取技術手段防止地址欺騙；g) 應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；h) 應限制具有撥號訪問權限的用戶數(shù)量?！?惡意代碼防范（G3）本項要求包括：a) 應在網絡邊界處對惡意代碼進行檢測和清除；b) 應維護惡意代碼庫的升級和檢測系統(tǒng)的更新?！?訪問控制（S3）本項要求包括：a) 應啟用訪問控制功能，依據安全策略控制用戶對資源的訪問；b) 應根據管理用戶的角色分配權限，實現(xiàn)管理用戶的權限分離，僅授予管理用戶所需的最小權限；c) 應實現(xiàn)操作系統(tǒng)和數(shù)據庫系統(tǒng)特權用戶的權限分離；d) 應嚴格限制默認帳戶的訪問權限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令；e) 應及時刪除多余的、過期的帳戶，避免共享帳戶的存在?！?惡意代碼防范（G3）本項要求包括：a) 應