【正文】 QoS配置。**防火墻設備和數(shù)通設備支持QOS配置。 訪問控制（G3）本項要求包括：a) 應在網(wǎng)絡邊界部署訪問控制設備，啟用訪問控制功能；整改建議：部署防火墻產(chǎn)品，使用**防火墻，啟用訪問控制功能b) 應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；(二級要求為網(wǎng)段級)整改建議：部署防火墻產(chǎn)品，使用**防火墻，啟用會話級端口控制。c) 應對進出網(wǎng)絡的信息內(nèi)容進行過濾，實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3 等協(xié)議命令級的控制；(二級沒有此項)整改建議：部署防火墻產(chǎn)品，使用**防火墻，啟用應用級控制。d) 應在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡連接；(二級沒有此項)整改建議：部署防火墻產(chǎn)品，使用**防火墻，啟用會話超時功能。e) 應限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)；(二級沒有此項)整改建議：部署防火墻產(chǎn)品，使用**防火墻，啟用流量和連接數(shù)控制。f) 重要網(wǎng)段應采取技術(shù)手段防止地址欺騙；(二級沒有此項)整改建議：交換機配置 IP 與 MAC 進行綁定。g) 應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；整改建議：安全設備具備基于用于進行安全策略配置，使用**防火墻啟用此功能，使用基于用戶/用戶組的安全策略 。h) 應限制具有撥號訪問權(quán)限的用戶數(shù)量。整改建議：在網(wǎng)絡出口的**防火墻上配置相關(guān)安全策略進行阻斷 PPPOE。 安全審計（G3）本項要求包括：a) 應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄；整改建議：部署安全運維審計系統(tǒng)或安全管理平臺。 部署日志管理系統(tǒng)。b) 審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；整改建議：部署日志管理系統(tǒng)，與**安全設備配合，支持記錄以上信息。c) 應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；(二級沒有此項)整改建議：部署日志管理系統(tǒng)，支持生成審計報表d) 應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。(二級沒有此項)整改建議：部署日志管理系統(tǒng)，具備數(shù)據(jù)保護能力。.. . . ..學習參考 邊界完整性檢查（S3）本項要求包括：a) 應能夠?qū)Ψ鞘跈?quán)設備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；整改建議：部署終端準入系統(tǒng)，使用終端準入系統(tǒng)進行控制。b) 應能夠?qū)?nèi)部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。(二級沒有此項)整改建議：部署終端準入系統(tǒng)，使用終端準入系統(tǒng)進行控制。 入侵防范（G3）本項要求包括：a) 應在網(wǎng)絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡蠕蟲攻擊等；整改建議：部署**IPS 系統(tǒng)，記錄攻擊日志，啟用防范策略。b) 當檢測到攻擊行為時，記錄攻擊源 IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警。(二級沒有此項)整改建議：部署**IPS 系統(tǒng)，記錄攻擊日志,將日志發(fā)送到統(tǒng)一網(wǎng)管中心. 惡意代碼防范（G3）(二級沒有此項)本項要求包括：a) 應在網(wǎng)絡邊界處對惡意代碼進行檢測和清除；整改建議：部署病毒檢測設備，并具備病毒檢測和查殺功能。使用下一代防火墻開啟AV 功能。b) 應維護惡意代碼庫的升級和檢測系統(tǒng)的更新。整改建議：病毒庫自動進行更新。**下一代防火墻,支持 AV 病毒庫更新功能。 網(wǎng)絡設備防護（G3）本項要求包括：a) 應對登錄網(wǎng)絡設備的用戶進行身份鑒別；整改建議：使用用戶/密碼登錄。**安全設備都支持身份鑒別功能。b) 應對網(wǎng)絡設備的管理員登錄地址進行限制；整改建議：使用用戶/密碼登錄。**安全設備都支持對登錄地址進行限制。c) 網(wǎng)絡設備用戶的標識應唯一；整改建議：配置唯一的設備名稱/標識。d) 主要網(wǎng)絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；(二級沒有此項)整改建議：使用雙因子登錄認證。**安全設備支持。.. . . ..學習參考e) 身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；整改建議：密碼為強密碼，密碼管理有相關(guān)規(guī)定。**安全設備支持。f) 應具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng)絡登錄連接超時自動退出等措施；整改建議：**安全設備本身具備此功能。g) 當對網(wǎng)絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽；整改建議：**安全設備支持遠程安全/加密的管理方式，包括 SSH，HTTPSh) 應實現(xiàn)設備特權(quán)用戶的權(quán)限分離。(二級沒有此項)整改建議：**安全設備支持三權(quán)分立的設置,將特殊的權(quán)限進行分離. 主機安全 身份鑒別a) 應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別；整改建議：使用賬號密碼。b) 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換；整改建議：使用強密碼。在操作系統(tǒng)上配置。c) 應啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；整改建議：在操作系統(tǒng)上配置策略。d) 當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽；整改建議：KVM硬件管理，或者是啟用了加密功能的3389遠程管理桌面或修改遠程登錄端口。e) 應為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。整改建議：在管理制度中規(guī)范，每人一個賬號。f) 應采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別(二級沒有此項)整改建議：賬號密碼，指紋，動態(tài)口令，數(shù)字證書 訪問控制a) 應啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；整改建議：配置基于用戶和資源的控制策略。b) 應根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；(二級沒有此項).. . . ..學習參考整改建議：系統(tǒng)管理員、安全管理員、安全審計員由不同的人員和用戶擔當。**安全系統(tǒng)都支持分權(quán)分域進行配置。c) 應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；整改建議：操作系統(tǒng)有管理員和審計員，并且他們互斥。d) 應嚴格限制默認帳戶的訪問權(quán)限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令；整改建議：禁用Guest賬戶等默認賬戶。修改默認口令e) 應及時刪除多余的、過期的帳戶，避免共享帳戶的存在。整改建議：及時刪除臨時員工、離職員工賬號。 安全審計a) 審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；b) 審計內(nèi)容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；c) 審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等；d) 應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；(二級沒有此項)e) 應保護審計進程，避免受到未預期的中斷；(二級沒有此項)f) 應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。整改建議：服務器通過服務器自身的日志進行記錄后，支持日志采集，日志保護功能。 剩余信息保護(二級沒有此項)a) 應保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；b) 應確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。整改建議：檢查產(chǎn)品的測試報告、用戶手冊或管理手冊，確認其是否具有相關(guān)功能；或由第三方工具提供了相應功能。如果測試報告、用戶手冊或管理手冊中沒有相關(guān)描述，且沒有提供第三方工具增強該功能，則該項要求為不符合。 入侵防范a) 能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警；(二級沒有此項)整改建議：部署**IPSamp。WAF系統(tǒng),具體日志,并進行告警b) 應能夠?qū)χ匾绦虻耐暾赃M行檢測，并在檢測到完整性受到破壞后具有恢復的措施；(二級沒有此項)整改建議：部署**IPS防御系統(tǒng),對服務器的完整性進行保護... . . ..學習參考c) 操作系統(tǒng)應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新。整改建議：服務器及時更新和打補丁。網(wǎng)絡側(cè)**IPS支持熱補丁功能，可以為系統(tǒng)提供沒有及時打補丁的情況下進行防護。 惡意代碼防范a) 應安裝防惡意代碼軟件，及時更新防惡意代碼軟件版本和惡意代碼庫；b) 主機防惡意代碼產(chǎn)品應具有與網(wǎng)絡防惡意代碼產(chǎn)品不同的惡意代碼庫；(二級沒有此項)c) 應支持防惡意代碼的統(tǒng)一管理。整改建議：安裝主機防毒軟件，部署網(wǎng)絡側(cè)殺毒系統(tǒng)**下一代防火墻,支持病毒庫自動升級功能。 資源控制a) 應通過設定終端接入方式、網(wǎng)絡地址范圍等條件限制終端登錄；b) 應根據(jù)安全策略設置登錄終端的操作超時鎖定；c) 應對重要服務器進行監(jiān)視，包括監(jiān)視服務器的CPU、硬盤、內(nèi)存、網(wǎng)絡等資源的使用情況；(二級沒有此項)d) 應限制單個用戶對系統(tǒng)資源的最大或最小使用限度；e) 應能夠?qū)ο到y(tǒng)的服務水平降低到預先規(guī)定的最小值進行檢測和報警。(二級沒有此項)整改建議：支持對主機進行狀態(tài)監(jiān)控。 應用安全 身份鑒別a) 應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；b) 應對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別；(二級沒有此項)c) 應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統(tǒng)中不存在重復用戶身份標識，身份鑒別信息不易被冒用；d) 應提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；e) 應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。整改建議：審視自身業(yè)務系統(tǒng)，要求業(yè)務系統(tǒng)支持以上能力。.. . . ..學習參考 訪問控制a) 應提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；整改建議：使用**安全堡壘主機b) 訪問控制的覆蓋范圍應包括與資源訪問相關(guān)的主體、客體及它們之間的操作；整改建議：使用**安全堡壘主機c) 應由授權(quán)主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權(quán)限；整改建議：使用**安全堡壘主機d) 應授予不同帳戶為完成各自承擔任務所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。整改建議：使用**安全堡壘主機，應用系統(tǒng)也需要配置相應的權(quán)限控制。e) 應具有對重要信息資源設置敏感標記的功能；(二級沒有此項)整改建議：應用系統(tǒng)自身具備此功能。f) 應依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作；(二級沒有此項)整改建議：應用系統(tǒng)自身具備此功能。 安全審計a) 應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全事件進行審計；b) 應保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄；c) 審計記錄的內(nèi)容至少應包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等；d) 應提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。(二級沒有此項)整改建議：通過業(yè)務系統(tǒng)自身支持日志的記錄,并支持日志報表功能,并有防篡改的功能. 剩余信息保護(二級沒有此項)a) 應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；b) 應保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。整改建議：檢查產(chǎn)品的測試報告、用戶手冊或管理手冊，確認其是否具有相關(guān)功能；或由第三方工具提供了相應功能。如果測試報告、用戶手冊或管理手冊中沒有相關(guān)描述，且沒有提供第三方工具增強該功能，則該項要求為不符合。 通信完整性a) 應采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。.. . . ..學習參考整改建議：應用系統(tǒng)自身應具備此能力。 通信保密性a) 在通信雙方建立連接之前，應用系統(tǒng)應利用密碼技術(shù)進行會話初始化驗證；b) 應對通信過程中的整個報文或會話過程進行加密。整改建議：審視業(yè)務系統(tǒng)自身，應用系統(tǒng)自身應具備此能力。 抗抵賴(二級沒有此項)a) 應具有在請求的情況下為數(shù)據(jù)