【文章內容簡介】 絡用戶私自聯(lián)到外部網絡的行為進行檢查, ,為業(yè)內人士提供最強大的交流共享平臺本項要求包括: a)應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別。b)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點,口令應有復雜度要求并定期更換。c)應啟用登錄失敗處理功能,可采取結束會話、限制非法登錄次數(shù)和自動退出等措施。d)當對服務器進行遠程管理時,應采取必要措施,防止鑒別信息在網絡傳輸過程中被竊聽。e)應為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名,確保用戶名具有唯一性。f)應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。 訪問控制(S3)本項要求包括: a)應啟用訪問控制功能,依據(jù)安全策略控制用戶對資源的訪問。b)應根據(jù)管理用戶的角色分配權限,實現(xiàn)管理用戶的權限分離,僅授予管理用戶所需的最小權限。c)應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶的權限分離。d)應嚴格限制默認帳戶的訪問權限,重命名系統(tǒng)默認帳戶,修改這些帳戶的默認口令。e)應及時刪除多余的、過期的帳戶,避免共享帳戶的存在。f)應對重要信息資源設置敏感標記。g)應依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。 安全審計(G3)本項要求包括: a)審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶。b)審計內容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要的安全相關事件。 ,為業(yè)內人士提供最強大的交流共享平臺a)應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄。b)應根據(jù)安全策略設置登錄終端的操作超時鎖定。c)應對重要服務器進行監(jiān)視,包括監(jiān)視服務器的CPU、硬盤、內存、網絡等資源的使用情況。d)應限制單個用戶對系統(tǒng)資源的最大或最小使用限度。e)應能夠對系統(tǒng)的服務水平降低到預先規(guī)定的最小值進行檢測和報警。 應用安全 身份鑒別(S3)本項要求包括: a)應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別。b)應對同一用戶采用兩種或兩種以上組合的鑒別技術實現(xiàn)用戶身份鑒別。c)應提供用戶身份標識唯一和鑒別信息復雜度檢查功能,保證應用系統(tǒng)中不存在重復用戶身份標識,身份鑒別信息不易被冒用。d)應提供登錄失敗處理功能,可采取結束會話、限制非法登錄次數(shù)和自動退出等措施。e)應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能,并根據(jù)安全策略配置相關參數(shù)。 訪問控制(S3)本項要求包括: a)應提供訪問控制功能,依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問。b)訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作。c)應由授權主體配置訪問控制策略,并嚴格限制默認帳戶的訪問權限。d)應授予不同帳戶為完成各自承擔任務所需的最小權限,并在它們之間形成相互制約的關系。e)應具有對重要信息資源設置敏感標記的功能。 ,為業(yè)內人士提供最強大的交流共享平臺 軟件容錯(A3)本項要求包括: a)應提供數(shù)據(jù)有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設定要求。b)應提供自動保護功能,當故障發(fā)生時自動保護當前所有狀態(tài),保證系統(tǒng)能夠進行恢復。 資源控制(A3)本項要求包括: a)當應用系統(tǒng)的通信雙方中的一方在一段時間內未作任何響應,另一方應能夠自動結束會話。b)應能夠對系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制。c)應能夠對單個帳戶的多重并發(fā)會話進行限制。d)應能夠對一個時間段內可能的并發(fā)會話連接數(shù)進行限制。e)應能夠對一個訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額。f)應能夠對系統(tǒng)服務水平降低到預先規(guī)定的最小值進行檢測和報警。g)應提供服務優(yōu)先級設定功能,并在安裝后根據(jù)安全策略設定訪問帳戶或請求進程的優(yōu)先級,根據(jù)優(yōu)先級分配系統(tǒng)資源。 數(shù)據(jù)安全及備份恢復 數(shù)據(jù)完整性(S3)本項要求包括: a)應能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程中完整性受到破壞,并在檢測到完整性錯誤時采取必要的恢復措施。b)應能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在存儲過程中完整性受到破壞,并在檢測到完整性錯誤時采取必要的恢復措施。 數(shù)據(jù)保密性(S3)本項要求包括: ,為業(yè)內人士提供最強大的交流共享平臺c)應組織相關人員對制定的安全管理制度進行論證和審定。d)安全管理制度應通過正式、有效的方式發(fā)布。e)安全管理制度應注明發(fā)布范圍,并對收發(fā)文進行登記。 評審和修訂(G3)本項要求包括: a)信息安全領導小組應負責定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定。b)應定期或不定期對安全管理制度進行檢查和審定,對存在不足或需要改進的安全管理制度進行修訂。 安全管理機構 崗位設置(G3)本項要求包括: a)應設立信息安全管理工作的職能部門,設立安全主管、安全管理各個方面的負責人崗位,并定義各負責人的職責。b)應設立系統(tǒng)管理員、網絡管理員、安全管理員等崗位,并定義各個工作崗位的職責。c)應成立指導和管理信息安全工作的委員會或領導小組,其最高領導由單位主管領導委任或授權。d)應制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求。 人員配備(G3)本項要求包括: a)應配備一定數(shù)量的系統(tǒng)管理員、網絡管理員、安全管理員等。b)應配備專職安全管理員,不可兼任。c)關鍵事務崗位應配備多人共同管理。 授權和審批(G3)本項要求包括: a)應根據(jù)各個部門和崗位的職責明確授權審批事項、審批部門和批準人等。 ,為業(yè)內人士提供最強大的交流共享平臺a)應指定或授權專門的部門或人員負責人員錄用。b)應嚴格規(guī)范人員錄用過程,對被錄用人的身份、背景、專業(yè)資格和資質等進行審查,對其所具有的技術技能進行考核。c)應簽署保密協(xié)議。d)應從內部人員中選拔從事關鍵崗位的人員,并簽署崗位安全協(xié)議。 人員離崗(G3)本項要求包括: a)應嚴格規(guī)范人員離崗過程,及時終止離崗員工的所有訪問權限。b)應取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備。c)應辦理嚴格的調離手續(xù),關鍵崗位人員離崗須承諾調離后的保密義務后方可離開。 人員考核(G3)本項要求包括: a)應定期對各個崗位的人員進行安全技能及安全認知的考核。b)應對關鍵崗位的人員進行全面、嚴格的安全審查和技能考核。c)應對考核結果進行記錄并保存。 安全意識教育和培訓(G3)本項要求包括: a)應對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓。b)應對安全責任和懲戒措施進行書面規(guī)定并告知相關人員,對違反違背安全策略和規(guī)定的人員進行懲戒。c)應對定期安全教育和培訓進行書面規(guī)定,針對不同崗位制定不同的培訓計劃,對信息安全基礎知識、崗位操作規(guī)程等進行培訓。d)應對安全教育和培訓的情況和結果進行記錄并歸檔保存。 外部人員訪問管理(G3)本項要求包括: a)應確保在外部人員訪問受控區(qū)域前先提出書面申請, ,為業(yè)內人士提供最強大的交流共享平臺b)應確保密碼產品采購和使用符合國家密碼主管部門的要求。c)應指定或授權專門的部門負責產品的采購。d)應預先對產品進行選型測試,確定產品的候選范圍,并定期審定和更新候選產品名單。 自行軟件開發(fā)(G3)本項要求包括: a)應確保開發(fā)環(huán)境與實際運行環(huán)境物理分開,開發(fā)人員和測試人員分離,測試數(shù)據(jù)和測試結果受到控制。b)應制定軟件開發(fā)管理制度,明確說明開發(fā)過程的控制方法和人員行為準則。c)應制定代碼編寫安全規(guī)范,要求開發(fā)人員參照規(guī)范編寫代碼。d)應確保提供軟件設計的相關文檔和使用指南,并由專人負責保管。e)應確保對程序資源庫的修改、更新、發(fā)布進行授權和批準。 外包軟件開發(fā)(G3)本項要求包括: a)應根據(jù)開發(fā)需求檢測軟件質量。b)應在軟件安裝之前檢測軟件包中可能存在的惡意代碼。c)應要求開發(fā)單位提供軟件設計的相關文檔和使用指南。d)應要求開發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門。 工程實施(G3)本項要求包括: a)應指定或授權專門的部門或人員負責工程實施過程的管理。b)應制定詳細的工程實施方案控制實施過程,并要求工程實施單位能正式地執(zhí)行安全工程過程。c)應制定工程實施方面的管理制度,明確說明實施過程的控制方法和人員行為準則。 測試驗收(G3) ,為業(yè)內人士提供最強大的交流共享平臺a)在系統(tǒng)運行過程中,應至少每年對系統(tǒng)進行一次等級測評,發(fā)現(xiàn)不符合相應等級保護標準要求的及時整改。b)應在系統(tǒng)發(fā)生變更時及時對系統(tǒng)進行等級測評,發(fā)現(xiàn)級別發(fā)生變化的及時調整級別并進行安全改造,發(fā)現(xiàn)不符合相應等級保護標準要求的及時整改。c)應選擇具有國家相關技術資質和安全資質的測評單位進行等級測評。d)應指定或授權專門的部門或人員負責等級測評的管理。 安全服務商選擇(G3)本項要求包括: a)應確保安全服務商的選擇符合國家的有關規(guī)定。b)應與選定的安全服務商簽訂與安全相關的協(xié)議,明確約定相關責任。c)應確保選定的安全服務商提供技術培訓和服務承諾,必要的與其簽訂服務合同。 系統(tǒng)運維管理 環(huán)境管理(G3)本項要求包括: a)應指定專門的部門或人員定期對機房供配電、空調、溫濕度控制等設施進行維護管理。b)應指定部門負責機房安全,并配備機房安全管理人員,對機房的出入、服務器的開機或關機等工作進行管理。c)應建立機房安全管理制度,對有關機房物理訪問,物品帶進、帶出機房和機房環(huán)境安全等方面的管理做出規(guī)定。d)應加強對辦公環(huán)境的保密性管理,規(guī)范辦公環(huán)境人員行為,包括工作人員調離辦公室應立即交還該辦公室鑰匙、不在辦公區(qū)接待來訪人員、工作人員離開座位應確保終端計算機退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件等。 資產管理(G3)本項要求包括: a)應編制并保存與信息系統(tǒng)相關的資產清單,包括資產責任部門、重要程度和所處位置等內容。 ,為業(yè)內人士提供最強大的交流共享平臺d)應對終端計算機、工作站、便攜機、系統(tǒng)和網絡等設備的操作和使用進行規(guī)范化管理,按操作規(guī)程實現(xiàn)主要設備(包括備份和冗余設備)的啟動/停止、加電/斷電等操作。e)應確保信息處理設備必須經過審批才能帶離機房或辦公地點。 監(jiān)控管理和安全管理中心(G3)本項要求包括: a)應對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監(jiān)測和報警,形成記錄并妥善保存。b)應組織相關人員定期對監(jiān)測和報警記錄進行分析、評審,發(fā)現(xiàn)可疑行為,形成分析報告,并采取必要的應對措施。c)應建立安全管理中心,對設備狀態(tài)、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理。 網絡安全管理(G3)本項要求包括: a)應指定專人對網絡進行管理,負責運行日志、網絡監(jiān)控記錄的日常維護和報警信息分析和處理工作。b)應建立網絡安全管理制度,對網絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規(guī)定。c)應根據(jù)廠家提供的軟件升級版本對網絡設備進行更新,并在更新前對現(xiàn)有的重要文件進行備份。d)應定期對網絡系統(tǒng)進行漏洞掃描,對發(fā)現(xiàn)的網絡系統(tǒng)安全漏洞進行及時的修補。e)應實現(xiàn)設備的最小服務配置,并對配置文件進行定期離線備份。f)應保證所有與外部系統(tǒng)的連接均得到授權和批準。g)應依據(jù)安全策略允許或者拒絕便攜式和移動式設備的網絡接入。h)應定期檢查違反規(guī)定撥號上網或其他違反網絡安全策略的行為。 系統(tǒng)安全管理(G3)本項要求包括: ,為業(yè)內人士提供最強大的交流共享平臺案經過評審、審批后方可實施變更,并在實施后將變更情況向相關人員通告。c)應建立變更控制的申報和審批文件化程序,對變更影響進行分析并文檔化,記錄變更實施過程,并妥善保存所有文檔和記錄。d)應建立中止變更并從失敗變更中恢復的文件化程序,明確過程控制方法和人員職責,必要時對恢復過程進行演練。 備份與恢復管理(G3)本項要求包括: a)應識別需要定期備份的重要業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等。b)應建立備份與恢復管理相關的安全管理制度,對備份信息的備份方式、備份頻度、存儲介質和保存期等進行規(guī)范。c)應根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響,制定數(shù)據(jù)的備份策略和恢復策略,備份策略須指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質替換頻率和將數(shù)據(jù)離站運輸?shù)姆椒ā)應建立控制數(shù)據(jù)備份和恢復過程的程序,對備份過程進行記錄,所有文件和記錄應妥善保存。e)應定期執(zhí)行恢復程序,檢查和測試備份介質的有效性,確?？梢栽诨謴统绦蛞?guī)定的時間內完成備份的恢復。 安全事件處置(G3)本項要求包括: a)應報告所發(fā)現(xiàn)的安全弱點和可疑事件,但任何情況下用戶均不應嘗試驗