【正文】 源的操作。b) 應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定。b) 應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程,無(wú)法刪除、修改或覆蓋審計(jì)記錄。e) 應(yīng)能夠?qū)σ粋€(gè)訪問(wèn)帳戶(hù)或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額。b) 安全管理制度應(yīng)具有統(tǒng)一的格式,并進(jìn)行版本控制。d) 應(yīng)記錄審批過(guò)程并保存審批文檔。c) 應(yīng)辦理嚴(yán)格的調(diào)離手續(xù),關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開(kāi)。c) 應(yīng)根據(jù)信息系統(tǒng)的等級(jí)劃分情況,統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案,并形成配套文件。 工程實(shí)施(G3)本項(xiàng)要求包括:a) 應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)工程實(shí)施過(guò)程的管理。 等級(jí)測(cè)評(píng)(G3)本項(xiàng)要求包括:a) 在系統(tǒng)運(yùn)行過(guò)程中,應(yīng)至少每年對(duì)系統(tǒng)進(jìn)行一次等級(jí)測(cè)評(píng),發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改。b) 應(yīng)確保介質(zhì)存放在安全的環(huán)境中,對(duì)各類(lèi)介質(zhì)進(jìn)行控制和保護(hù),并實(shí)行存儲(chǔ)環(huán)境專(zhuān)人管理。d) 應(yīng)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描,對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)。 密碼管理(G3)應(yīng)建立密碼使用管理制度,使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。 應(yīng)急預(yù)案管理(G3)本項(xiàng)要求包括:a) 應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案,應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容。c) 應(yīng)根據(jù)國(guó)家相關(guān)管理部門(mén)對(duì)計(jì)算機(jī)安全事件等級(jí)劃分方法和安全事件對(duì)本系統(tǒng)產(chǎn)生的影響,對(duì)本系統(tǒng)計(jì)算機(jī)安全事件進(jìn)行等級(jí)劃分。 惡意代碼防范管理(G3)本項(xiàng)要求包括:a) 應(yīng)提高所有用戶(hù)的防病毒意識(shí),及時(shí)告知防病毒軟件版本,在讀取移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前,先進(jìn)行病毒檢查,對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查。c) 應(yīng)建立安全管理中心,對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。b) 應(yīng)建立資產(chǎn)安全管理制度,規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門(mén),并規(guī)范資產(chǎn)管理和使用的行為。e) 應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén)負(fù)責(zé)系統(tǒng)交付的管理工作,并按照管理規(guī)定的要求完成系統(tǒng)交付工作。 外包軟件開(kāi)發(fā)(G3)本項(xiàng)要求包括:a) 應(yīng)根據(jù)開(kāi)發(fā)需求檢測(cè)軟件質(zhì)量。c) 應(yīng)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對(duì)信息系統(tǒng)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定。c) 應(yīng)簽署保密協(xié)議。c) 關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。b) 應(yīng)對(duì)安全管理活動(dòng)中的各類(lèi)管理內(nèi)容建立安全管理制度。 資源控制(A3)本項(xiàng)要求包括:a) 當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng),另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話(huà)。d) 應(yīng)授予不同帳戶(hù)為完成各自承擔(dān)任務(wù)所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系。 惡意代碼防范(G3)本項(xiàng)要求包括:a) 應(yīng)安裝防惡意代碼軟件,并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)。c) 應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶(hù)的權(quán)限分離。 網(wǎng)絡(luò)設(shè)備防護(hù)(G3)本項(xiàng)要求包括:a) 應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶(hù)進(jìn)行身份鑒別。c) 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾,實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制。 電力供應(yīng)(A3)本項(xiàng)要求包括:a) 應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備。d) 應(yīng)對(duì)介質(zhì)分類(lèi)標(biāo)識(shí),存儲(chǔ)在介質(zhì)庫(kù)或檔案室中。 防盜竊和防破壞(G3)本項(xiàng)要求包括:a) 應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi)。 防靜電(G3)本項(xiàng)要求包括:a) 主要設(shè)備應(yīng)采用必要的接地防靜電措施。g) 應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別,保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。b) 當(dāng)檢測(cè)到攻擊行為時(shí),記錄攻擊源IP、攻擊類(lèi)型、攻擊目的、攻擊時(shí)間,在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。f) 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶(hù)進(jìn)行身份鑒別。 入侵防范(G3)本項(xiàng)要求包括:a) 應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為,能夠記錄入侵的源IP、攻擊的類(lèi)型、攻擊的目的、攻擊的時(shí)間,并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。 訪問(wèn)控制(S3)本項(xiàng)要求包括:a) 應(yīng)提供訪問(wèn)控制功能,依據(jù)安全策略控制用戶(hù)對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問(wèn)。b) 應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。c) 應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障。d) 應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門(mén)和崗位的職責(zé)、分工和技能要求。d) 應(yīng)制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作,定期按照程序進(jìn)行安全審核和安全檢查活動(dòng)。b) 對(duì)外部人員允許訪問(wèn)的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行書(shū)面的規(guī)定,并按照規(guī)定執(zhí)行。c) 應(yīng)制定代碼編寫(xiě)安全規(guī)范,要求開(kāi)發(fā)人員參照規(guī)范編寫(xiě)代碼。b) 應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)。c) 應(yīng)建立機(jī)房安全管理制度,對(duì)有關(guān)機(jī)房物理訪問(wèn),物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理做出規(guī)定。e) 應(yīng)確保信息處理設(shè)備必須經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)。e) 應(yīng)指定專(zhuān)人對(duì)系統(tǒng)進(jìn)行管理,劃分系統(tǒng)管理員角色,明確各個(gè)角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn),權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)原則。e) 應(yīng)定期執(zhí)行恢復(fù)程序,檢查和測(cè)試備份介質(zhì)的有效性,確?？梢栽诨謴?fù)程序規(guī)定的時(shí)間內(nèi)完成備份的恢復(fù)。d) 應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練,根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容,確定演練的周期。c) 應(yīng)建立變更控制的申報(bào)和審批文件化程序,對(duì)變更影響進(jìn)行分析并文檔化,記錄變更實(shí)施過(guò)程,并妥善保存所有文檔和記錄。g) 應(yīng)依據(jù)安全策略允許或者拒絕便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入。e) 應(yīng)根據(jù)數(shù)據(jù)備份的需要對(duì)某些介質(zhì)實(shí)行異地存儲(chǔ),存儲(chǔ)地的環(huán)境要求和管理方法應(yīng)與本地相同。d) 應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)等級(jí)測(cè)評(píng)的管理。 測(cè)試驗(yàn)收(G3)本項(xiàng)要求包括:a) 應(yīng)委托公正的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試,并出具安全性測(cè)試報(bào)告。 產(chǎn)品采購(gòu)和使用(G3)本項(xiàng)要求包括:a) 應(yīng)確保安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定。c) 應(yīng)對(duì)考核結(jié)果進(jìn)行記錄并保存。c) 應(yīng)加強(qiáng)與供應(yīng)商、業(yè)界專(zhuān)家、專(zhuān)業(yè)的安全公司、安全組織的合作與溝通。e) 安全管理制度應(yīng)注明發(fā)布范圍,并對(duì)收發(fā)文進(jìn)行登記。 數(shù)