【正文】 攜式和移動式設(shè)備時，應(yīng)加密或者采用可移動磁盤存儲敏感信息。軟件容錯1） 應(yīng)對通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)進(jìn)行有效性檢驗(yàn)；2） 應(yīng)對通過人機(jī)接口方式進(jìn)行的操作提供“回退”功能，即允許按照操作的序列進(jìn)行回退；3） 在故障發(fā)生時，應(yīng)繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧?） 安全審計應(yīng)覆蓋到應(yīng)用系統(tǒng)的每個用戶；2） 安全審計應(yīng)記錄應(yīng)用系統(tǒng)重要的安全相關(guān)事件，包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)功能的執(zhí)行等；3） 安全相關(guān)事件的記錄應(yīng)包括日期和時間、類型、主體標(biāo)識、客體標(biāo)識、事件的結(jié)果等；4） 安全審計應(yīng)可以根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計報表；5） 安全審計應(yīng)可以對特定事件，提供指定方式的實(shí)時報警；6） 審計進(jìn)程應(yīng)受到保護(hù)避免受到未預(yù)期的中斷；7） 審計記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋等。惡意代碼防范1） 服務(wù)器和重要終端設(shè)備（包括移動設(shè)備）應(yīng)安裝實(shí)時檢測和查殺惡意代碼的軟件產(chǎn)品；2） 主機(jī)系統(tǒng)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫；1） 服務(wù)器和終端設(shè)備（包括移動設(shè)備）均應(yīng)安裝實(shí)時檢測和查殺惡意代碼的軟件產(chǎn)品；2） 主機(jī)系統(tǒng)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫；3） 應(yīng)支持惡意代碼防范的統(tǒng)一管理。強(qiáng)制訪問控制無1） 應(yīng)對重要信息資源和訪問重要信息資源的所有主體設(shè)置敏感標(biāo)記；2） 強(qiáng)制訪問控制的覆蓋范圍應(yīng)包括與重要信息資源直接相關(guān)的所有主體、客體及它們之間的操作；3） 強(qiáng)制訪問控制的粒度應(yīng)達(dá)到主體為用戶級，客體為文件、數(shù)據(jù)庫表級。惡意代碼防范1） 應(yīng)在網(wǎng)絡(luò)邊界及核心業(yè)務(wù)網(wǎng)段處對惡意代碼進(jìn)行檢測和清除；2） 應(yīng)維護(hù)惡意代碼庫的升級和檢測系統(tǒng)的更新；3） 應(yīng)支持惡意代碼防范的統(tǒng)一管理。撥號訪問控制1） 應(yīng)在基于安全屬性的允許遠(yuǎn)程用戶對系統(tǒng)訪問的規(guī)則的基礎(chǔ)上，對系統(tǒng)所有資源允許或拒絕用戶進(jìn)行訪問，控制粒度為單個用戶；2） 應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量。電力供應(yīng)1） 計算機(jī)系統(tǒng)供電應(yīng)與其他供電分開；2） 應(yīng)設(shè)置穩(wěn)壓器和過電壓防護(hù)設(shè)備；3） 應(yīng)提供短期的備用電力供應(yīng)（如UPS設(shè)備）。1） 機(jī)房建筑應(yīng)設(shè)置避雷裝置；2） 應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷；3） 應(yīng)設(shè)置交流電源地線。.. . . ..二級、三級等級保護(hù)要求比較一、 技術(shù)要求技術(shù)要求項(xiàng)二級等保三級等保物理安全物理位置的選擇1） 機(jī)房和辦公場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。防火1） 應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動報警系統(tǒng)，并保持滅火設(shè)備和火災(zāi)自動報警系統(tǒng)的良好狀態(tài)。1） 計算機(jī)系統(tǒng)供電應(yīng)與其他供電分開；2） 應(yīng)設(shè)置穩(wěn)壓器和過電壓防護(hù)設(shè)備；3） 應(yīng)提供短期的備用電力供應(yīng)（如UPS設(shè)備）；4） 應(yīng)設(shè)置冗余或并行的電力電纜線路；5） 應(yīng)建立備用供電系統(tǒng)（如備用發(fā)電機(jī)），以備常用供電系統(tǒng)停電時啟用。1） 應(yīng)在基于安全屬性的允許遠(yuǎn)程用戶對系統(tǒng)訪問的規(guī)則的基礎(chǔ)上，對系統(tǒng)所有資源允許或拒絕用戶進(jìn)行訪問，控制粒度為單個用戶；2） 應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量；3） 應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許用戶對受控系統(tǒng)進(jìn)行資源訪問。1） 應(yīng)在網(wǎng)絡(luò)邊界及核心業(yè)務(wù)網(wǎng)段處對惡意代碼進(jìn)行檢測和清除；2） 應(yīng)維護(hù)惡意代碼庫的升級和檢測系統(tǒng)的更新；3） 應(yīng)支持惡意代碼防范的統(tǒng)一管理。安全審計1） 安全審計應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；2） 安全審計應(yīng)記錄系統(tǒng)內(nèi)重要的安全相關(guān)事件，包括重要用戶行為和重要系統(tǒng)命令的使用等；3） 安全相關(guān)事件的記錄應(yīng)包括日期和時間、類型、主體標(biāo)識、客體標(biāo)識、事件的結(jié)果等；4） 審計記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋等。資源控制1） 應(yīng)限制單個用戶的會話數(shù)量；2） 應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄。剩余信息保護(hù)1） 應(yīng)保證用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；2） 應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。1） 應(yīng)對通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)進(jìn)行有效性檢驗(yàn)；2） 應(yīng)對通過人機(jī)接口方式進(jìn)行的操作提供“回退”功能，即允許按照操作的序列進(jìn)行回退；3） 應(yīng)有狀態(tài)監(jiān)測能力，當(dāng)故障發(fā)生時，能實(shí)時檢測到故障狀態(tài)并報警；4） 應(yīng)有自動保護(hù)能力，當(dāng)故障發(fā)生時，自動保護(hù)當(dāng)前所有狀態(tài)。1） 網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用系統(tǒng)的鑒別信息、敏感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)應(yīng)采用加密或其他有效措施實(shí)現(xiàn)傳輸保密性；2） 網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用系統(tǒng)的鑒別信息、敏感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)存儲保密性；3） 當(dāng)使用便攜式和移動式設(shè)備時，應(yīng)加密或者采用可移動磁盤存儲敏感信息；4） 用于特定業(yè)務(wù)通信的通信信道應(yīng)符合相關(guān)的國家規(guī)定。溝通和合作1） 應(yīng)加強(qiáng)各類管理人員和組織內(nèi)部機(jī)構(gòu)之間的合作與溝通，定期或不定期召開協(xié)調(diào)會議，共同協(xié)助處理信息安全問題；2） 信息安全職能部門應(yīng)定期或不定期召集相關(guān)部門和人員召開安全工作會議，協(xié)調(diào)安全工作的實(shí)施；3） 應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通，以便在發(fā)生安全事件時能夠得到及時的支持。評審和修訂1） 應(yīng)定期對安全管理制度進(jìn)行評審和修訂，對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。1） 應(yīng)對各類人員進(jìn)行安全意識教育；2） 應(yīng)告知人員相關(guān)的安全責(zé)任和懲戒措施；3） 應(yīng)制定安全教育和培訓(xùn)計劃，對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進(jìn)行培訓(xùn)；4） 應(yīng)針對不同崗位制定不同培訓(xùn)計劃；5） 應(yīng)對安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存。1） 應(yīng)確保安全產(chǎn)品的使用符合國家的有關(guān)規(guī)定；2） 應(yīng)確保密碼產(chǎn)品的使用符合國家密碼主管部門的要求；3） 應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購；4） 應(yīng)制定產(chǎn)品采購方面的管理制度明確說明采購過程的控制方法和人員行為準(zhǔn)則；5） 應(yīng)預(yù)先對產(chǎn)品進(jìn)行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。1） 應(yīng)對系統(tǒng)進(jìn)行安全性測試驗(yàn)收；2） 應(yīng)在測試驗(yàn)收前根據(jù)設(shè)計方案或合同要求等制訂測試驗(yàn)收方案，測試驗(yàn)收過程中詳細(xì)記錄測試驗(yàn)收結(jié)果，形成測試驗(yàn)收報告；3） 應(yīng)委托公正的第三方測試單位對系統(tǒng)進(jìn)行測試，并出具測試報告；4） 應(yīng)制定系統(tǒng)測試驗(yàn)收方面的管理制度明確說明系統(tǒng)測試驗(yàn)收的控制方法和人員行為準(zhǔn)則；5） 應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測試驗(yàn)收的管理，并按照管理制度的要求完成系統(tǒng)測試驗(yàn)收工作；6） 應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗(yàn)收報告進(jìn)行審定，沒有疑問后由雙方簽字。1） 應(yīng)對機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施指定專人或?qū)ｉT的部門定期進(jìn)行維護(hù)管理；2） 應(yīng)配備機(jī)房安全管理人員，對機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理；3） 應(yīng)建立機(jī)房安全管理制度，對有關(guān)機(jī)房物理訪問，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定；4） 加強(qiáng)對辦公環(huán)境的保密性管理，包括如工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等；5） 應(yīng)有指定的部門負(fù)責(zé)機(jī)房安全，并配置電子門禁系統(tǒng)，對機(jī)房來訪人員實(shí)行登記記錄和電子記錄雙重備案管理；6） 應(yīng)對辦公環(huán)境的人員行為，如工作人員離開座位應(yīng)確保終端計算機(jī)退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件等作出規(guī)定。1） 應(yīng)進(jìn)行主機(jī)運(yùn)行監(jiān)視，包括監(jiān)視主機(jī)的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；2） 應(yīng)對分散或集中的安全管理系統(tǒng)的訪問授權(quán)、操作記錄、日志等方面進(jìn)行有效管理；3） 應(yīng)嚴(yán)格管理運(yùn)行過程文檔，其中包括責(zé)任書、授權(quán)書、許可證、各類策略文檔、事故報告處理文檔、安全配置文檔、系統(tǒng)各類日志等，并確保文檔的完整性和一致性。1） 應(yīng)建立密碼使用管理制度，密碼算法和密鑰的使用應(yīng)符合國家密碼管理規(guī)定。1） 應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程和事后教育和培訓(xùn)等內(nèi)容；2） 應(yīng)從人力、設(shè)備、技術(shù)和財務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障；3） 應(yīng)對系統(tǒng)相關(guān)的人員進(jìn)行培訓(xùn)使之了解如何及何時使用應(yīng)急預(yù)案中的控制手段及恢復(fù)策略，對應(yīng)急預(yù)案的培訓(xùn)至少每年舉辦一次；4） 應(yīng)急預(yù)案應(yīng)定期演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期；5） 應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實(shí)際情況更新內(nèi)容，并按照執(zhí)行。4. 歲月是無情的，假如你丟給它的是一片空白，它還給你的也是一片空白。你必須努力，當(dāng)有一天驀然回首時，你的回憶里才會多一些色彩斑斕，少一些蒼白無力。2. 若不是心寬似海，哪有人生風(fēng)平浪靜。5） 確認(rèn)系統(tǒng)中要發(fā)生的變更，并制定變更方案；6） 建立變更管理制度，重要系統(tǒng)變更前，應(yīng)向主管領(lǐng)導(dǎo)申請，變更和變更方案經(jīng)過評審、審批后方可實(shí)施變更；7） 系統(tǒng)變更情況應(yīng)向所有相關(guān)人員通告；8） 應(yīng)建立變更控制的申報和審批文件化程序，變更影響分析應(yīng)文檔化，變更實(shí)施過程應(yīng)記錄，所有文檔記錄應(yīng)妥善保存；9） 中止變更并從失敗變更中恢復(fù)程序應(yīng)文檔化，應(yīng)明確過程控制方法和人員職責(zé)，必要時恢復(fù)過程應(yīng)經(jīng)過演練。1） 贏指定專人對網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報警信息分析和處理工作；2） 應(yīng)根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對現(xiàn)有的重要文件進(jìn)行備份；3） 應(yīng)進(jìn)行網(wǎng)絡(luò)系統(tǒng)漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時的修補(bǔ)；4） 應(yīng)保證所有與外部系統(tǒng)的連接均應(yīng)得到授權(quán)和批準(zhǔn)；5） 應(yīng)建立網(wǎng)絡(luò)安全管理制度，對網(wǎng)絡(luò)安全配置、網(wǎng)絡(luò)用戶以及日志等方面作出規(guī)定；6） 應(yīng)對網(wǎng)絡(luò)設(shè)備的安全策略、授權(quán)訪問、最小服務(wù)、升級與打補(bǔ)丁、維護(hù)記錄、日志以及配置文件的生成、備份、變更審批、符合性檢查等方面做出具體規(guī)定；7） 應(yīng)規(guī)定網(wǎng)絡(luò)審計日志的保存時間以便為可能的安全事件調(diào)查提供支持；8） 應(yīng)明確各類用戶的責(zé)任、義務(wù)和風(fēng)險，并按照機(jī)構(gòu)制定的審查和批準(zhǔn)程序建立用戶和分配權(quán)限，定期檢查用戶實(shí)際權(quán)限與分配權(quán)限的符合性；9） 應(yīng)對日志的備份、授權(quán)訪問、處理、保留時間等方面做出具體規(guī)定，使用統(tǒng)一的網(wǎng)絡(luò)時間，以確保日志記錄的準(zhǔn)確；10） 應(yīng)通過身份鑒別、訪問控制等嚴(yán)格的規(guī)定限制遠(yuǎn)程管理賬戶的操作權(quán)限和登錄行為；11） 應(yīng)定期檢查違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為。1） 應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理和使用的行為；2） 應(yīng)編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)、資產(chǎn)所屬關(guān)系、安全級別和所處位置等信息的資產(chǎn)清單；3） 應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進(jìn)行定性賦值和標(biāo)識管理，根據(jù)資產(chǎn)的價值選擇相應(yīng)的管理措施；4） 應(yīng)確定信息分類與標(biāo)識的原則和方法，并對信息的使用、傳輸和存儲作出規(guī)定。1） 應(yīng)明確系統(tǒng)的交接手續(xù)，并按照交接手續(xù)完成交接工作；2） 應(yīng)由系統(tǒng)建設(shè)方完成對委托建設(shè)方的運(yùn)維技術(shù)人員的培訓(xùn)；3） 應(yīng)由系統(tǒng)建設(shè)方提交系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)