【正文】 別信息復(fù)雜度檢查以及登錄失敗處理功能,并根據(jù)安全策略配置相關(guān)參數(shù)。b) 應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定。b) 應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間,被釋放或重新分配給其他用戶前得到完全清除。g) 應(yīng)依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。e) 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名,確保用戶名具有唯一性。e) 身份鑒別信息應(yīng)具有不易被冒用的特點,口令應(yīng)有復(fù)雜度要求并定期更換。 入侵防范(G3)本項要求包括:a) 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。g) 應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則,決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問,控制粒度為單個用戶。f) 應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng),重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段。 電磁防護(S3)本項要求包括:a) 應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾。d) 應(yīng)安裝對水敏感的檢測儀表或元件,對機房進行防水檢測和報警。b) 應(yīng)設(shè)置防雷保安器,防止感應(yīng)雷。d) 重要區(qū)域應(yīng)配置電子門禁系統(tǒng),控制、鑒別和記錄進入的人員。 物理訪問控制(G3)本項要求包括:a) 機房出入口應(yīng)安排專人值守,控制、鑒別和記錄進入的人員。e) 應(yīng)利用光、電等技術(shù)設(shè)置機房防盜報警系統(tǒng)。 防水和防潮(G3)本項要求包括:a) 水管安裝,不得穿過機房屋頂和活動地板下。b) 應(yīng)提供短期的備用電力供應(yīng),至少滿足主要設(shè)備在斷電情況下的正常運行要求。c) 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制建立安全的訪問路徑。d) 應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接。d) 應(yīng)對審計記錄進行保護,避免受到未預(yù)期的刪除、修改或覆蓋等。b) 應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制。b) 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應(yīng)具有不易被冒用的特點,口令應(yīng)有復(fù)雜度要求并定期更換。d) 應(yīng)嚴格限制默認帳戶的訪問權(quán)限,重命名系統(tǒng)默認帳戶,修改這些帳戶的默認口令。e) 應(yīng)保護審計進程,避免受到未預(yù)期的中斷。b) 主機防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫。b) 應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別。e) 應(yīng)具有對重要信息資源設(shè)置敏感標記的功能。 通信完整性(S3)應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。b) 應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進行限制。 數(shù)據(jù)保密性(S3)本項要求包括:a) 應(yīng)采用加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性。c) 應(yīng)對要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程。b) 應(yīng)定期或不定期對安全管理制度進行檢查和審定,對存在不足或需要改進的安全管理制度進行修訂。 授權(quán)和審批(G3)本項要求包括:a) 應(yīng)根據(jù)各個部門和崗位的職責明確授權(quán)審批事項、審批部門和批準人等。e) 應(yīng)聘請信息安全專家作為常年的安全顧問,指導(dǎo)信息安全建設(shè),參與安全規(guī)劃和安全評審等。d) 應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員,并簽署崗位安全協(xié)議。b) 應(yīng)對安全責任和懲戒措施進行書面規(guī)定并告知相關(guān)人員,對違反違背安全策略和規(guī)定的人員進行懲戒。d) 應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準。c) 應(yīng)指定或授權(quán)專門的部門負責產(chǎn)品的采購。b) 應(yīng)在軟件安裝之前檢測軟件包中可能存在的惡意代碼。c) 應(yīng)對系統(tǒng)測試驗收的控制方法和人員行為準則進行書面規(guī)定。 系統(tǒng)備案(G3)本項要求包括:a) 應(yīng)指定專門的部門或人員負責管理系統(tǒng)定級的相關(guān)材料,并控制這些材料的使用。b) 應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議,明確約定相關(guān)責任。c) 應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識管理,根據(jù)資產(chǎn)的價值選擇相應(yīng)的管理措施。 設(shè)備管理(G3)本項要求包括:a) 應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)備(包括備份和冗余設(shè)備)、線路等指定專門的部門或人員定期進行維護管理。 網(wǎng)絡(luò)安全管理(G3)本項要求包括:a) 應(yīng)指定專人對網(wǎng)絡(luò)進行管理,負責運行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護和報警信息分析和處理工作。 系統(tǒng)安全管理(G3)本項要求包括:a) 應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略。b) 應(yīng)指定專人對網(wǎng)絡(luò)和主機進行惡意代碼檢測并保存檢測記錄。 備份與恢復(fù)管理(G3)本項要求包括:a) 應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等。d) 應(yīng)制定安全事件報告和響應(yīng)處理程序,確定事件的報告流程,響應(yīng)和處置的范圍、程度,以及處理方法等。f) 對造成系統(tǒng)中斷和造成信息泄密的安全事件應(yīng)采用不同的處理程序和報告程序。c) 應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響,制定數(shù)據(jù)的備份策略和恢復(fù)策略,備份策略須指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運輸?shù)姆椒?。d) 應(yīng)定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫的升級情況并進行記錄,對主機防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險病毒或惡意代碼進行及時分析處理,并形成書面的報表和總結(jié)匯報。c) 應(yīng)安裝系統(tǒng)的最新補丁程序,在安裝系統(tǒng)補丁前,首先在測試環(huán)境中測試通過,并對重要文件進行備份后,方可實施系統(tǒng)補丁程序的安裝。c) 應(yīng)根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進行更新,并在更新前對現(xiàn)有的重要文件進行備份。c) 應(yīng)建立配套設(shè)施、軟硬件維護方面的管理制度,對其維護進行有效的管理,包括明確維護人員的責任、涉外維修和服務(wù)的審批、維修過程的監(jiān)督控制等。 介質(zhì)管理(G3)本項要求包括:a) 應(yīng)建立介質(zhì)安全管理制度,對介質(zhì)的存放環(huán)境、使用、維護和銷毀等方面做出規(guī)定。 系統(tǒng)運維管理 環(huán)境管理(G3)本項要求包括:a) 應(yīng)指定專門的部門或人員定期對機房供配電、空調(diào)、溫濕度控制等設(shè)施進行維護管理。c) 應(yīng)將系統(tǒng)等級及其他要求的備案材料報相應(yīng)公安機關(guān)備案。e) 應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收報告進行審定,并簽字確認。d) 應(yīng)要求開發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門。 自行軟件開發(fā)(G3)本項要求包括:a) 應(yīng)確保開