【正文】 c) 應對系統(tǒng)相關(guān)的人員進行應急預案培訓,應急預案的培訓應至少每年舉辦一次。 安全事件處置(G3)本項要求包括:a) 應報告所發(fā)現(xiàn)的安全弱點和可疑事件,但任何情況下用戶均不應嘗試驗證弱點。b) 應建立變更管理制度,系統(tǒng)發(fā)生變更前,向主管領(lǐng)導申請,變更和變更方案經(jīng)過評審、審批后方可實施變更,并在實施后將變更情況向相關(guān)人員通告。f) 應依據(jù)操作手冊對系統(tǒng)進行維護,詳細記錄操作日志,包括重要的日常操作、運行維護記錄、參數(shù)的設(shè)置和修改等內(nèi)容,嚴禁進行未經(jīng)授權(quán)的操作。f) 應保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準。 監(jiān)控管理和安全管理中心(G3)本項要求包括:a) 應對通信線路、主機、網(wǎng)絡設(shè)備和應用軟件的運行狀況、網(wǎng)絡流量、用戶行為等進行監(jiān)測和報警,形成記錄并妥善保存。d) 應對存儲介質(zhì)的使用過程、送出維修以及銷毀等進行嚴格的管理,對帶出工作環(huán)境的存儲介質(zhì)進行內(nèi)容加密和監(jiān)控管理,對送出維修或銷毀的介質(zhì)應首先清除介質(zhì)中的敏感數(shù)據(jù),對保密性較高的存儲介質(zhì)未經(jīng)批準不得自行銷毀。d) 應加強對辦公環(huán)境的保密性管理,規(guī)范辦公環(huán)境人員行為,包括工作人員調(diào)離辦公室應立即交還該辦公室鑰匙、不在辦公區(qū)接待來訪人員、工作人員離開座位應確保終端計算機退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件等。c) 應選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位進行等級測評。c) 應確保提供系統(tǒng)建設(shè)過程中的文檔和指導用戶進行系統(tǒng)運行維護的文檔。c) 應制定工程實施方面的管理制度,明確說明實施過程的控制方法和人員行為準則。d) 應確保提供軟件設(shè)計的相關(guān)文檔和使用指南,并由專人負責保管。e) 應根據(jù)等級測評、安全評估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件。 系統(tǒng)建設(shè)管理 系統(tǒng)定級(G3)本項要求包括:a) 應明確信息系統(tǒng)的邊界和安全保護等級。b) 應對關(guān)鍵崗位的人員進行全面、嚴格的安全審查和技能考核。 人員安全管理 人員錄用(G3)本項要求包括:a) 應指定或授權(quán)專門的部門或人員負責人員錄用。b) 應加強與兄弟單位、公安機關(guān)、電信公司的合作與溝通。 人員配備(G3)本項要求包括:a) 應配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等。d) 安全管理制度應通過正式、有效的方式發(fā)布。d) 應提供主要網(wǎng)絡設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余,保證系統(tǒng)的高可用性。g) 應提供服務優(yōu)先級設(shè)定功能,并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請求進程的優(yōu)先級,根據(jù)優(yōu)先級分配系統(tǒng)資源。 軟件容錯(A3)本項要求包括:a) 應提供數(shù)據(jù)有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求。d) 應提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。b) 訪問控制的覆蓋范圍應包括與資源訪問相關(guān)的主體、客體及它們之間的操作。d) 應限制單個用戶對系統(tǒng)資源的最大或最小使用限度。b) 應能夠?qū)χ匾绦虻耐暾赃M行檢測,并在檢測到完整性受到破壞后具有恢復的措施。b) 審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。 訪問控制(S3)本項要求包括:a) 應啟用訪問控制功能,依據(jù)安全策略控制用戶對資源的訪問。g) 當對網(wǎng)絡設(shè)備進行遠程管理時,應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。 惡意代碼防范(G3)本項要求包括:a) 應在網(wǎng)絡邊界處對惡意代碼進行檢測和清除。 安全審計(G3)本項要求包括:a) 應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設(shè)備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄。 訪問控制(G3)本項要求包括:a) 應在網(wǎng)絡邊界部署訪問控制設(shè)備,啟用訪問控制功能。c) 應對關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽。b) 機房應采用防靜電地板。 防火(G3)本項要求包括:a) 機房應設(shè)置火災自動消防系統(tǒng),能夠自動檢測火情、自動報警,并自動滅火。b) 應將設(shè)備或主要部件進行固定,并設(shè)置明顯的不易除去的標記。信息安全等級保護第三級要求1 第三級基本要求 物理安全 物理位置的選擇(G3)本項要求包括:a) 機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內(nèi)。c) 應將通信線纜鋪設(shè)在隱蔽處,可鋪設(shè)在地下或管道中。b) 機房及相關(guān)的工作房間和輔助房應采用具有耐火等級的建筑材料。 溫濕度控制(G3)機房應設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施,使機房溫、濕度的變化在設(shè)備運行所允許的范圍之內(nèi)。 網(wǎng)絡安全 結(jié)構(gòu)安全(G3)本項要求包括:a) 應保證主要網(wǎng)絡設(shè)備的業(yè)務處理能力具備冗余空間,滿足業(yè)務高峰期需要。b) 應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,控制粒度為端口級。b) 審計記錄應包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。b) 應維護惡意代碼庫的升級和檢測系統(tǒng)的更新。h) 應實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。b) 應根據(jù)管理用戶的角色分配權(quán)限,實現(xiàn)管理用戶的權(quán)限分離,僅授予管理用戶所需的最小權(quán)限。c) 審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等。c) 操作系統(tǒng)應遵循最小安裝的原則,僅安裝需要的組件和應用程序,并通過設(shè)置升級服務器等方持系統(tǒng)補丁及時得到更新。e) 應能夠?qū)ο到y(tǒng)的服務水平降低到預先規(guī)定的最小值進行檢測和報警。c) 應由授權(quán)主體配置訪問控制策略,并嚴格限制默認帳戶的訪問權(quán)限。 剩余信息保護(S3)本項要求包括:a) 應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除,無論這些信息是存放在硬盤上還是在內(nèi)存中。b) 應提供自動保護功能,當故障發(fā)生時自動保護當前所有狀態(tài),保證系統(tǒng)能夠進行恢復。 數(shù)據(jù)安全及備份恢復 數(shù)據(jù)完整性(S3)本項要求包括:a) 應能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程中完整性受到破壞,并在檢測到完整性錯誤時采取必要的恢復措施。 管理要求 安全管理制度 管理制度(G3)本項要求包括:a) 應制定信息安全工作的總體方針和安全策略,說明機構(gòu)安全工作的總體目標、范圍、原則和安全框架等。e) 安全管