【正文】 源的操作。b) 應根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定。b) 應保證無法單獨中斷審計進程,無法刪除、修改或覆蓋審計記錄。e) 應能夠?qū)σ粋€訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額。b) 安全管理制度應具有統(tǒng)一的格式,并進行版本控制。d) 應記錄審批過程并保存審批文檔。c) 應辦理嚴格的調(diào)離手續(xù),關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務后方可離開。c) 應根據(jù)信息系統(tǒng)的等級劃分情況,統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細設(shè)計方案,并形成配套文件。 工程實施(G3)本項要求包括:a) 應指定或授權(quán)專門的部門或人員負責工程實施過程的管理。 等級測評(G3)本項要求包括:a) 在系統(tǒng)運行過程中,應至少每年對系統(tǒng)進行一次等級測評,發(fā)現(xiàn)不符合相應等級保護標準要求的及時整改。b) 應確保介質(zhì)存放在安全的環(huán)境中,對各類介質(zhì)進行控制和保護,并實行存儲環(huán)境專人管理。d) 應定期對網(wǎng)絡系統(tǒng)進行漏洞掃描,對發(fā)現(xiàn)的網(wǎng)絡系統(tǒng)安全漏洞進行及時的修補。 密碼管理(G3)應建立密碼使用管理制度,使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。 應急預案管理(G3)本項要求包括:a) 應在統(tǒng)一的應急預案框架下制定不同事件的應急預案,應急預案框架應包括啟動應急預案的條件、應急處理流程、系統(tǒng)恢復流程、事后教育和培訓等內(nèi)容。c) 應根據(jù)國家相關(guān)管理部門對計算機安全事件等級劃分方法和安全事件對本系統(tǒng)產(chǎn)生的影響,對本系統(tǒng)計算機安全事件進行等級劃分。 惡意代碼防范管理(G3)本項要求包括:a) 應提高所有用戶的防病毒意識,及時告知防病毒軟件版本,在讀取移動存儲設(shè)備上的數(shù)據(jù)以及網(wǎng)絡上接收文件或郵件之前,先進行病毒檢查,對外來計算機或存儲設(shè)備接入網(wǎng)絡系統(tǒng)之前也應進行病毒檢查。c) 應建立安全管理中心,對設(shè)備狀態(tài)、惡意代碼、補丁升級、安全審計等安全相關(guān)事項進行集中管理。b) 應建立資產(chǎn)安全管理制度,規(guī)定信息系統(tǒng)資產(chǎn)管理的責任人員或責任部門,并規(guī)范資產(chǎn)管理和使用的行為。e) 應指定或授權(quán)專門的部門負責系統(tǒng)交付的管理工作,并按照管理規(guī)定的要求完成系統(tǒng)交付工作。 外包軟件開發(fā)(G3)本項要求包括:a) 應根據(jù)開發(fā)需求檢測軟件質(zhì)量。c) 應組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進行論證和審定。c) 應簽署保密協(xié)議。c) 關(guān)鍵事務崗位應配備多人共同管理。b) 應對安全管理活動中的各類管理內(nèi)容建立安全管理制度。 資源控制(A3)本項要求包括:a) 當應用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應,另一方應能夠自動結(jié)束會話。d) 應授予不同帳戶為完成各自承擔任務所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系。 惡意代碼防范(G3)本項要求包括:a) 應安裝防惡意代碼軟件,并及時更新防惡意代碼軟件版本和惡意代碼庫。c) 應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離。 網(wǎng)絡設(shè)備防護(G3)本項要求包括:a) 應對登錄網(wǎng)絡設(shè)備的用戶進行身份鑒別。c) 應對進出網(wǎng)絡的信息內(nèi)容進行過濾,實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制。 電力供應(A3)本項要求包括:a) 應在機房供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備。d) 應對介質(zhì)分類標識,存儲在介質(zhì)庫或檔案室中。 防盜竊和防破壞(G3)本項要求包括:a) 應將主要設(shè)備放置在機房內(nèi)。 防靜電(G3)本項要求包括:a) 主要設(shè)備應采用必要的接地防靜電措施。g) 應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別,保證在網(wǎng)絡發(fā)生擁堵的時候優(yōu)先保護重要主機。b) 當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發(fā)生嚴重入侵事件時應提供報警。f) 應采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別。 入侵防范(G3)本項要求包括:a) 應能夠檢測到對重要服務器進行入侵的行為,能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間,并在發(fā)生嚴重入侵事件時提供報警。 訪問控制(S3)本項要求包括:a) 應提供訪問控制功能,依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問。b) 應具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。c) 應采用冗余技術(shù)設(shè)計網(wǎng)絡拓撲結(jié)構(gòu),避免關(guān)鍵節(jié)點存在單點故障。d) 應制定文件明確安全管理機構(gòu)各個部門和崗位的職責、分工和技能要求。d) 應制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作,定期按照程序進行安全審核和安全檢查活動。b) 對外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應進行書面的規(guī)定,并按照規(guī)定執(zhí)行。c) 應制定代碼編寫安全規(guī)范,要求開發(fā)人員參照規(guī)范編寫代碼。b) 應對負責系統(tǒng)運行維護的技術(shù)人員進行相應的技能培訓。c) 應建立機房安全管理制度,對有關(guān)機房物理訪問,物品帶進、帶出機房和機房環(huán)境安全等方面的管理做出規(guī)定。e) 應確保信息處理設(shè)備必須經(jīng)過審批才能帶離機房或辦公地點。e) 應指定專人對系統(tǒng)進行管理,劃分系統(tǒng)管理員角色,明確各個角色的權(quán)限、責任和風險,權(quán)限設(shè)定應當遵循最小授權(quán)原則。e) 應定期執(zhí)行恢復程序,檢查和測試備份介質(zhì)的有效性,確?？梢栽诨謴统绦蛞?guī)定的時間內(nèi)完成備份的恢復。d) 應定期對應急預案進行演練,根據(jù)不同的應急恢復內(nèi)容,確定演練的周期。c) 應建立變更控制的申報和審批文件化程序,對變更影響進行分析并文檔化,記錄變更實施過程,并妥善保存所有文檔和記錄。g) 應依據(jù)安全策略允許或者拒絕便攜式和移動式設(shè)備的網(wǎng)絡接入。e) 應根據(jù)數(shù)據(jù)備份的需要對某些介質(zhì)實行異地存儲,存儲地的環(huán)境要求和管理方法應與本地相同。d) 應指定或授權(quán)專門的部門或人員負責等級測評的管理。 測試驗收(G3)本項要求包括:a) 應委托公正的第三方測試單位對系統(tǒng)進行安全性測試,并出具安全性測試報告。 產(chǎn)品采購和使用(G3)本項要求包括:a) 應確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定。c) 應對考核結(jié)果進行記錄并保存。c) 應加強與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通。e) 安全管理制度應注明發(fā)布范圍,并對收發(fā)文進行登記。 數(shù)