【正文】 去的標(biāo)記。c) 應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；整改建議：機(jī)房沒有明線。d) 應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫或檔案室中；整改建議：對(duì)介質(zhì)（磁介質(zhì)、紙介質(zhì)）進(jìn)行分類管理，并避免被偷竊。應(yīng)在機(jī)房設(shè)置介質(zhì)存放柜，并有鎖。e) 應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)；整改建議：應(yīng)用防盜報(bào)警設(shè)施，并在正常工作。能提供相關(guān)驗(yàn)收文檔或資質(zhì)證明，以及檢修、維護(hù)記錄。f) 應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。整改建議：應(yīng)安裝攝像頭、傳感器等監(jiān)控報(bào)警系統(tǒng)，并且有相關(guān)驗(yàn)收文檔或資質(zhì)證明材料，以及運(yùn)行的記錄，維護(hù)和檢修記錄。 防雷擊（G3）本項(xiàng)要求包括：a) 機(jī)房建筑應(yīng)設(shè)置避雷裝置；整改建議：有避雷裝置，有相關(guān)證明。需要找物業(yè)要相關(guān)驗(yàn)收材料b) 應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷；整改建議：有防雷保安器，并具有相關(guān)資質(zhì)或檢測(cè)報(bào)告。c) 機(jī)房應(yīng)設(shè)置交流電源地線。整改建議：有交流電源地線，并有說明文檔（或在驗(yàn)收文檔中有說明） 防火（G3 ）本項(xiàng)要求包括：WORD 資料 下載可編輯 專業(yè)技術(shù)a) 機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火；整改建議：要有所要求的消防系統(tǒng)，且有消防系統(tǒng)和消防設(shè)備的相關(guān)資質(zhì)。消防系統(tǒng)在正常運(yùn)行。消防產(chǎn)品應(yīng)在有效期內(nèi)。要具有相關(guān)的檢查、維護(hù)記錄。b) 機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料；整改建議：要有相關(guān)的說明文檔或驗(yàn)收文檔，比如機(jī)房設(shè)計(jì)/驗(yàn)證文檔中說明了此點(diǎn)。c) 機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。整改建議：物理隔離，重要設(shè)備與普通設(shè)備使用耐火材料隔離。 防水和防潮（G3）本項(xiàng)要求包括：a) 水管安裝，不得穿過機(jī)房屋頂和活動(dòng)地板下；整改建議：水管不得穿過機(jī)房屋頂和地板下，使用機(jī)房結(jié)構(gòu)圖做為說明b) 應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透；整改建議：使用物業(yè)材料證明防水。c) 應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；整改建議：應(yīng)有機(jī)房除濕裝置，應(yīng)有相關(guān)的擋水或排水設(shè)施。要有機(jī)房濕度記錄，相關(guān)的維護(hù)記錄。d) 應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件，對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警。整改建議：應(yīng)安裝相關(guān)檢測(cè)儀表或元件，在正常運(yùn)行，并有相關(guān)的維護(hù)記錄。 防靜電（G3）本項(xiàng)要求包括：a) 主要設(shè)備應(yīng)采用必要的接地防靜電措施；整改建議：有接地防靜電措施，并在機(jī)房設(shè)計(jì)/驗(yàn)收文檔中有相關(guān)的描述說明b) 機(jī)房應(yīng)采用防靜電地板。整改建議：機(jī)房鋪設(shè)了防靜電地板，并且經(jīng)查沒有發(fā)現(xiàn)明顯的靜電現(xiàn)象。 溫濕度控制（G3）機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。整改建議：有相關(guān)設(shè)施，且在正常運(yùn)行，有相關(guān)的檢查、維護(hù)記錄。 電力供應(yīng)（A3）本項(xiàng)要求包括：a) 應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備；整改建議：要有相關(guān)設(shè)備，并且在正常工作b) 應(yīng)提供短期的備用電力供應(yīng)，至少滿足主要設(shè)備在斷電情況下的正常運(yùn)行要求；整改建議：是否配置了UPS，且在正常工作；要有相關(guān)的檢查、維護(hù)記錄。WORD 資料 下載可編輯 專業(yè)技術(shù)c) 應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電；整改建議：采用兩路供電d) 應(yīng)建立備用供電系統(tǒng)。整改建議：是否有發(fā)電機(jī)，并有相關(guān)的維護(hù)記錄。 電磁防護(hù)（S3）本項(xiàng)要求包括：a) 應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾；整改建議：機(jī)柜機(jī)架要安全接地，機(jī)房設(shè)備在機(jī)柜/機(jī)架內(nèi)。b) 電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾；整改建議：隔離鋪設(shè)電源線和通信線纜c) 應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。整改建議：關(guān)鍵設(shè)備和磁介質(zhì)應(yīng)放置在具有電磁屏蔽能力的環(huán)境中。 網(wǎng)絡(luò)安全 結(jié)構(gòu)安全（G3）本項(xiàng)要求包括：a) 應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；整改建議：設(shè)備的業(yè)務(wù)處理能力應(yīng)高于業(yè)務(wù)高峰期流量。高峰時(shí)CPU和內(nèi)存占用率不高于70%。b) 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；整改建議：高峰時(shí)帶寬占用率不超過70%。c) 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；整改建議：在路由器/交換機(jī)上作了相關(guān)的配置，啟用了控制策略。測(cè)評(píng)人員會(huì)現(xiàn)場(chǎng)查看。d) 應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；整改建議：應(yīng)有準(zhǔn)確的網(wǎng)絡(luò)拓?fù)鋱D文檔。網(wǎng)管產(chǎn)品具備全網(wǎng)拓?fù)涔芾砉δ堋) 應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；整改建議：進(jìn)行了VLAN劃分，并體現(xiàn)在拓?fù)鋱D和交換機(jī)的配置上。f) 應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；(二級(jí)沒有此項(xiàng))整改建議：技術(shù)隔離手段包括路由器ACL、MPLS VPN、防火墻、網(wǎng)閘等。建議使用使用**防火墻進(jìn)行隔離g) 應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。(二級(jí)沒有此項(xiàng))WORD 資料 下載可編輯 專業(yè)技術(shù)整改建議：在網(wǎng)絡(luò)設(shè)備或安全設(shè)備上進(jìn)行了QoS配置。**防火墻設(shè)備和數(shù)通設(shè)備支持QOS配置。 訪問控制（G3）本項(xiàng)要求包括：a) 應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；整改建議：部署防火墻產(chǎn)品，使用**防火墻，啟用訪問控制功能b) 應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級(jí)；(二級(jí)要求為網(wǎng)段級(jí))整改建議：部署防火墻產(chǎn)品，使用**防火墻，啟用會(huì)話級(jí)端口控制。c) 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、 FTP、TELNET、SMTP、POP3 等協(xié)議命令級(jí)的控制；(二級(jí)沒有此項(xiàng))整改建議：部署防火墻產(chǎn)品，使用**防火墻，啟用應(yīng)用級(jí)控制。d) 應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；(二級(jí)沒有此項(xiàng))整改建議：部署防火墻產(chǎn)品，使用**防火墻，啟用會(huì)話超時(shí)功能。e) 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；(二級(jí)沒有此項(xiàng))整改建議：部署防火墻產(chǎn)品，使用**防火墻，啟用流量和連接數(shù)控制。f) 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；(二級(jí)沒有此項(xiàng))整改建議：交換機(jī)配置 IP 與 MAC 進(jìn)行綁定。g) 應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶；整改建議：安全設(shè)備具備基于用于進(jìn)行安全策略配置，使用**防火墻啟用此功能，使用基于用戶/用戶組的安全策略 。h) 應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量。整改建議：在網(wǎng)絡(luò)出口的**防火墻上配置相關(guān)安全策略進(jìn)行阻斷 PPPOE。 安全審計(jì)（G3）本項(xiàng)要求包括：a) 應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；整改建議：部署安全運(yùn)維審計(jì)系統(tǒng)或安全管理平臺(tái)。 部署日志管理系統(tǒng)。b) 審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；整改建議：部署日志管理系統(tǒng)，與**安全設(shè)備配合，支持記錄以上信息。c) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；(二級(jí)沒有此項(xiàng))整改建議：部署日志管理系統(tǒng)，支持生成審計(jì)報(bào)表d) 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。(二級(jí)沒有此項(xiàng))整改建議：部署日志管理系統(tǒng)，具備數(shù)據(jù)保護(hù)能力。WORD 資料 下載可編輯 專業(yè)技術(shù) 邊界完整性檢查（S3 ）本項(xiàng)要求包括：a) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；整改建議：部署終端準(zhǔn)入系統(tǒng)，使用終端準(zhǔn)入系統(tǒng)進(jìn)行控制。b) 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。(二級(jí)沒有此項(xiàng) )整改建議：部署終端準(zhǔn)入系統(tǒng)，使用終端準(zhǔn)入系統(tǒng)進(jìn)行控制。 入侵防范（G3）本項(xiàng)要求包括：a) 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；整改建議：部署**IPS 系統(tǒng)，記錄攻擊日志，啟用防范策略。b) 當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源 IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。(二級(jí)沒有此項(xiàng))整改建議：部署**IPS 系統(tǒng)，記錄攻擊日志,將日志發(fā)送到統(tǒng)一網(wǎng)管中心. 惡意代碼防范（G3）(二級(jí)沒有此項(xiàng))本項(xiàng)要求包括：a) 應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；整改建議：部署病毒檢測(cè)設(shè)備，并具備病毒檢測(cè)和查殺功能。使用下一代防火墻開啟AV 功能。b) 應(yīng)維護(hù)惡意代碼庫的升級(jí)和檢測(cè)系統(tǒng)的更新。整改建議：病毒庫自動(dòng)進(jìn)行更新。**下一代防火墻,支持 AV 病毒庫更新功能。 網(wǎng)絡(luò)設(shè)備防護(hù)（G3）本項(xiàng)要求包括：a) 應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；整改建議：使用用戶/密碼登錄。**安全設(shè)備都支持身份鑒別功能。b) 應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；整改建議：使用用戶/密碼登錄。**安全設(shè)備都支持對(duì)登錄地址進(jìn)行限制。c) 網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；整改建議：配置唯一的設(shè)備名稱/標(biāo)識(shí)。d) 主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；(二級(jí)沒有此項(xiàng))整改建議：使用雙因子登錄認(rèn)證。**安全設(shè)備支持。WORD 資料 下載可編輯 專業(yè)技術(shù)e) 身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；整改建議：密碼為強(qiáng)密碼，密碼管理有相關(guān)規(guī)定。**安全設(shè)備支持。f) 應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；整改建議：**安全設(shè)備本身具備此功能。g) 當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；整改建議：**安全設(shè)備支持遠(yuǎn)程安全/加密的管理方式，包括 SSH，HTTPSh) 應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。(二級(jí)沒有此項(xiàng))整改建議：**安全設(shè)備支持三權(quán)分立的設(shè)置,將特殊的權(quán)限進(jìn)行分離. 主機(jī)安全 身份鑒別a) 應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；整改建議：使用賬號(hào)密碼。b) 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；整改建議：使用強(qiáng)密碼。在操作系統(tǒng)上配置。c) 應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；整改建議：在操作系統(tǒng)上配置策略。d) 當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；整改建議：KVM硬件管理，或者是啟用了加密功能的3389遠(yuǎn)程管理桌面或修改遠(yuǎn)程登錄端口。e) 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。整改建議：在管理制度中規(guī)范，每人一個(gè)賬號(hào)。f) 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別(二級(jí)沒有此項(xiàng))整改建議：賬號(hào)密碼，指紋，動(dòng)態(tài)口令，數(shù)字證書 訪問控制a) 應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問；整改建議：配置基于用戶和資源的控制策略。b) 應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；(二級(jí)沒有此項(xiàng))WORD 資料 下載可編輯 專業(yè)技術(shù)整改建議：系統(tǒng)管理員、安全管理員、安全審計(jì)員由不同的人員和用戶擔(dān)當(dāng)。**安全系統(tǒng)都支持分權(quán)分域進(jìn)行配置。c) 應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；整改建議：操作系統(tǒng)有管理員和審計(jì)員，并且他們互斥。d) 應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；整改建議：禁用Guest賬戶等默認(rèn)賬戶。修改默認(rèn)口令e) 應(yīng)及時(shí)刪除多余的、過期的帳戶，避免共享帳戶的存在。整改建議：及時(shí)刪除臨時(shí)員工、離職員工賬號(hào)。 安全審計(jì)a) 審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；b) 審計(jì)內(nèi)容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；c) 審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；d) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；(二級(jí)沒有此項(xiàng))e) 應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷；(二級(jí)沒有此項(xiàng))f) 應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。整改建議：服務(wù)器通過服務(wù)器自身的日志進(jìn)行記錄后，支持日志采集，日志保護(hù)功能。 剩余信息保護(hù)(二級(jí)沒有此項(xiàng))a) 應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；b) 應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間，被釋放或重新分配給其他用戶前得到完全清除