【正文】 設置敏感標記；g) 應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作a) 應依據安全策略和所有主體和客體設置的敏感標記控制主體對客體的訪問；b) c) d) e) h) 訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表、記錄和字段級可信路徑(S)///a) 在系統(tǒng)對用戶進行身份鑒別時，系統(tǒng)與用戶之間應能夠建立一條安全的信息傳輸路徑。安全審計(G)/a) 應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全事件進行審計；b) 應保證無法刪除、修改或覆蓋審計記錄；c) 審計記錄的內容至少應包括事件日期、時間、發(fā)起者信息、類型、描述和結果等a) b) 應保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄；c) d) 應提供對審計記錄數據進行統(tǒng)計、查詢、分析及生成審計報表的功能a) b) c) d) e) 應根據系統(tǒng)統(tǒng)一安全策略，提供集中審計接口剩余信息保護(S)//a) 應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中；b) 應保證系統(tǒng)內的文件、目錄和數據庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除a) b) 通信完整性(S)應采用約定通信會話方式的方法保證通信過程中數據的完整性應采用校驗碼技術保證通信過程中數據的完整性應采用密碼技術保證通信過程中數據的完整性應采用密碼技術保證通信過程中數據的完整性通信保密性(S)/a) 在通信雙方建立連接之前，應用系統(tǒng)應利用密碼技術進行會話初始化驗證；b) 應對通信過程中的敏感信息字段進行加密a) b) 應對通信過程中的整個報文或會話過程進行加密a) b) c) 應基于硬件化的設備對重要通信過程進行加解密運算和密鑰管理抗抵賴(G)//a) 應具有在請求的情況下為數據原發(fā)者或接收者提供數據原發(fā)證據的功能；b) 應具有在請求的情況下為數據原發(fā)者或接收者提供數據接收證據的功能a) b) 軟件容錯(A)a) 應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統(tǒng)設定要求a) b) 在故障發(fā)生時，應用系統(tǒng)應能夠繼續(xù)提供一部分功能，確保能夠實施必要的措施a) b) 應提供自動保護功能，當故障發(fā)生時自動保護當前所有狀態(tài)，保證系統(tǒng)能夠進行恢復a) b) c) 應提供自動恢復功能，當故障發(fā)生時立即自動啟動新的進程，恢復原來的工作狀態(tài)資源控制(A)/a) 當應用系統(tǒng)的通信雙方中的一方在一段時間內未作任何響應，另一方應能夠自動結束會話；b) 應能夠對應用系統(tǒng)的最大并發(fā)會話連接數進行限制；c) 應能夠對單個帳戶的多重并發(fā)會話進行限制a) b) c) d) 應能夠對一個時間段內可能的并發(fā)會話連接數進行限制；e) 應能夠對一個訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額；f) 應能夠對系統(tǒng)服務水平降低到預先規(guī)定的最小值進行檢測和報警；g) 應提供服務優(yōu)先級設定功能，并在安裝后根據安全策略設定訪問帳戶或請求進程的優(yōu)先級，根據優(yōu)先級分配系統(tǒng)資源a) b) c) d) e) f )g) 數據安全及備份恢復數據完整性(S)a) 應能夠檢測到重要用戶數據在傳輸過程中完整性受到破壞a) 應能夠檢測到鑒別信息和重要業(yè)務數據在傳輸過程中完整性受到破壞a) 應能夠檢測到系統(tǒng)管理數據、鑒別信息和重要業(yè)務數據在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施；b) 應能夠檢測到系統(tǒng)管理數據、鑒別信息和重要業(yè)務數據在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施a) b) c) 應對重要通信提供專用通信協(xié)議或安全通信協(xié)議服務，避免來自基于通用通信協(xié)議的攻擊破壞數據完整性數據保密性(S)/b) 應采用加密或其他保護措施實現鑒別信息的存儲保密性a) 應采用加密或其他有效措施實現系統(tǒng)管理數據、鑒別信息和重要業(yè)務數據傳輸保密性；b) 應采用加密或其他保護措施實現系統(tǒng)管理數據、鑒別信息和重要業(yè)務數據存儲保密性a) b) c) 應對重要通信提供專用通信協(xié)議或安全通信協(xié)議服務，避免來自基于通用協(xié)議的攻擊破壞數據保密性備份和恢復(A)a) 應能夠對重要信息進行備份和恢復a) d) 應提供關鍵網絡設備、通信線路和數據處理系統(tǒng)的硬件冗余，保證系統(tǒng)的可用性a) 應提供本地數據備份與恢復功能，完全數據備份至少每天一次，備份介質場外存放；b) 應提供異地數據備份功能，利用通信網絡將關鍵數據定時批量傳送至備用場地；c) 應采用冗余技術設計網絡拓撲結構，避免關鍵節(jié)點存在單點故障；d) 應提供主要網絡設備、通信線路和數據處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性a) b) 應建立異地災難備份中心，配備災難恢復所需的通信線路、網絡設備和數據處理設備，提供業(yè)務應用的實時無縫切換；c) d) e) 應提供異地實時備份功能，利用通信網絡將數據實時備份至災難備份中心；二、管理要求標記說明：保護數據在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權的修改的信息安全類要求（簡記為S）；保護系統(tǒng)連續(xù)正常的運行，免受對系統(tǒng)的未授權修改、破壞而導致系統(tǒng)不可用的服務保證類要求（簡記為A）；通用安全保護類要求（簡記為G）基本要求第一級第二級第三級第四級安全管理制度管理制度（G）應建立日常管理活動中常用的安全管理制度a) 應制定信息安全工作的總體方針和安全策略，說明機構安全工作的總體目標、范圍、原則和安全框架等；b) 應對安全管理活動中重要的管理內容建立安全管理制度；c) 應對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程a)b) 應對安全管理活動中的各類管理內容建立安全管理制度；c) 應對要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；d) 應形成由安全策略、管理制度、操作規(guī)程等構成的全面的信息安全管理制度體系a)b)c)d)制定和發(fā)布（G）a) 應指定或授權專門的人員負責安全管理制度的制定；b) 應將安全管理制度以某種方式發(fā)布到相關人員手中a) 應指定或授權專門的部門或人員負責安全管理制度的制定；b) 應組織相關人員對制定的安全管理制度進行論證和審定；c) 應將安全管理制度以某種方式發(fā)布到相關人員手中a) b) c) 安全管理制度應通過正式、有效的方式發(fā)布；d) 安全管理制度應注明發(fā)布范圍，并對收發(fā)文進行登記e) 安全管理制度應具有統(tǒng)一的格式，并進行版本控制a) b) c) d) e) f) 有密級的安全管理制度，應注明安全管理制度密級，并進行密級管理評審和修訂（G）/應定期對安全管理制度進行評審，對存在不足或需要改進的安全管理制度進行修訂a) 信息安全領導小組應負責定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定；b) 應定期或不定期對安全管理制度進行檢查和審定，對存在不足或需要改進的安全管理制度進行修訂a) b) c) 應明確需要定期修訂的安全管理制度，并指定負責人或負責部門負責制度的日常維護；d) 應根據安全管理制度的相應密級確定評審和修訂的操作范圍安全管理機構崗位設置（G）應設立系統(tǒng)管理員、網絡管理員、安全管理員等崗位，并定義各個工作崗位的職責a) 應設立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責；b) 應設立系統(tǒng)管理員、網絡管理員、安全管理員等崗位，并定義各個工作崗位的職責a) 應設立信息安全管理工作的職能部門，設立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責；b) c) 應成立指導和管理信息安全工作的委員會或領導小組，其最高領導由單位主管領導委任或授權；d) 應制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求a) b) c) d) 人員配備（G）應配備一定數量的系統(tǒng)管理員、網絡管理員、安全管理員等a) 應配備一定數量的系統(tǒng)管理員、網絡管理員、安全管理員等；b) 安全管理員不能兼任網絡管理員、系統(tǒng)管理員、數據庫管理員等a) b) 應配備專職安全管理員，不可兼任；c) 關鍵事務崗位應配備多人共同管理a) b) c) 授權和審批（G）應根據各個部門和崗位的職責明確授權審批部門及批準人，對系統(tǒng)投入運行、網絡系統(tǒng)接入和重要資源的訪問等關鍵活動進行審批a) 應根據各個部門和崗位的職責明確授權審批部門及批準人，對系統(tǒng)投入運行、網絡系統(tǒng)接入和重要資源的訪問等關鍵活動進行審批； b) 應針對關鍵活動建立審批流程，并由批準人簽字確認a) 應根據各個部門和崗位的職責明確授權審批事項、審批部門和批準人等；b) 應針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項建立審批程序，按照審批程序執(zhí)行審批過程，對重要活動建立逐級審批制度；c) 應定期審查審批事項，及時更新需授權和審批的項目、審批部門和審批人等信息；d) 應記錄審批過程并保存審批文檔a) b) c) d) 溝通和合作（G）應加強與兄弟單位、公安機關、電信公司的合作與溝通a) 應加強各類管理人員之間、組織內部機構之間以及信息安全職能部門內部的合作與溝通；b) 應加強與兄弟單位、公安機關、電信公司的合作與溝通a) 應加強各類管理人