【正文】 4. 歲月是無情的，假如你丟給它的是一片空白，它還給你的也是一片空白。e) 應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實(shí)際情況更新的內(nèi)容,并按照執(zhí)行。c) 應(yīng)根據(jù)國家相關(guān)管理部門對計(jì)算機(jī)安全事件等級劃分方法和安全事件對本系統(tǒng)產(chǎn)生的影響,對本系統(tǒng)計(jì)算機(jī)安全事件進(jìn)行等級劃分。d) 應(yīng)建立中止變更并從失敗變更中恢復(fù)的文件化程序,明確過程控制方法和人員職責(zé),必要時(shí)對恢復(fù)過程進(jìn)行演練。 惡意代碼防范管理(G3)本項(xiàng)要求包括:a) 應(yīng)提高所有用戶的防病毒意識,及時(shí)告知防病毒軟件版本,在讀取移動(dòng)存儲設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前,先進(jìn)行病毒檢查,對外來計(jì)算機(jī)或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查。h) 應(yīng)定期檢查違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為。c) 應(yīng)建立安全管理中心,對設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。f) 應(yīng)對重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲,并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進(jìn)行分類和標(biāo)識管理。b) 應(yīng)建立資產(chǎn)安全管理制度,規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門,并規(guī)范資產(chǎn)管理和使用的行為。 安全服務(wù)商選擇(G3)本項(xiàng)要求包括:a) 應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定。e) 應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)交付的管理工作,并按照管理規(guī)定的要求完成系統(tǒng)交付工作。b) 在測試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測試驗(yàn)收方案,在測試驗(yàn)收過程中應(yīng)詳細(xì)記錄測試驗(yàn)收結(jié)果,并形成測試驗(yàn)收報(bào)告。 外包軟件開發(fā)(G3)本項(xiàng)要求包括:a) 應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì)量。b) 應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求。c) 應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進(jìn)行論證和審定。 安全意識教育和培訓(xùn)(G3)本項(xiàng)要求包括:a) 應(yīng)對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)。c) 應(yīng)簽署保密協(xié)議。d) 應(yīng)建立外聯(lián)單位聯(lián)系列表,包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。c) 關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。 評審和修訂(G3)本項(xiàng)要求包括:a) 信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定。b) 應(yīng)對安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度。b) 應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中完整性受到破壞,并在檢測到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。 資源控制(A3)本項(xiàng)要求包括:a) 當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng),另一方應(yīng)能夠自動(dòng)結(jié)束會話。b) 應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。d) 應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系。 應(yīng)用安全 身份鑒別(S3)本項(xiàng)要求包括:a) 應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別。 惡意代碼防范(G3)本項(xiàng)要求包括:a) 應(yīng)安裝防惡意代碼軟件,并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫。d) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計(jì)報(bào)表。c) 應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離。 主機(jī)安全 身份鑒別(S3)本項(xiàng)要求包括:a) 應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別。 網(wǎng)絡(luò)設(shè)備防護(hù)(G3)本項(xiàng)要求包括:a) 應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別。c) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計(jì)報(bào)表。c) 應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾,實(shí)現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制。b) 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要。 電力供應(yīng)(A3)本項(xiàng)要求包括:a) 應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備。c) 機(jī)房應(yīng)采取區(qū)域隔離防火措施,將重要設(shè)備與其他設(shè)備隔離開。d) 應(yīng)對介質(zhì)分類標(biāo)識,存儲在介質(zhì)庫或檔案室中。b) 機(jī)房場地應(yīng)避免設(shè)在建筑物的高層或地下室,以及用水設(shè)備的下層或隔壁。 防盜竊和防破壞(G3)本項(xiàng)要求包括:a) 應(yīng)將主要設(shè)備放置在機(jī)房內(nèi)。c) 機(jī)房應(yīng)設(shè)置交流電源地線。 防靜電(G3)本項(xiàng)要求包括:a) 主要設(shè)備應(yīng)采用必要的接地防靜電措施。b) 電源線和通信線纜應(yīng)隔離鋪設(shè),避免互相干擾。g) 應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別,保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。h) 應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量。b) 當(dāng)檢測到攻擊行為時(shí),記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間,在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。f) 應(yīng)具有登錄失敗處理功能,可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施。f) 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行身份鑒別。 安全審計(jì)(G3)本項(xiàng)要求包括:a) 審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶。 入侵防范(G3)本項(xiàng)要求包括:a) 應(yīng)能夠檢測到對重要服務(wù)器進(jìn)行入侵的行為,能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間,并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。c) 應(yīng)對重要服務(wù)器進(jìn)行監(jiān)視,包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況。 訪問控制(S3)本項(xiàng)要求包括:a) 應(yīng)提供訪問控制功能,依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問。c) 審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等。b) 應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。f) 應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報(bào)警。c) 應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障。c) 應(yīng)組織相關(guān)人員對制定的安全管理制度進(jìn)行論證和審定。d) 應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求。 溝通和合作(G3)a) 應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通,定期或不定期召開協(xié)調(diào)會議,共同協(xié)作處理信息安全問題。d) 應(yīng)制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作,定期按照程序進(jìn)行安全審核和安全檢查活動(dòng)。 人員考核(G3)本項(xiàng)要求包括:a) 應(yīng)定期對各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核。b) 對外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容