【正文】 　 安全服務商選擇（G3）本項要求包括：a) 應確保安全服務商的選擇符合國家的有關(guān)規(guī)定；b) 應與選定的安全服務商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責任；c) 應確保選定的安全服務商提供技術(shù)培訓和服務承諾，必要的與其簽訂服務合同。　 測試驗收（G3）本項要求包括：a) 應委托公正的第三方測試單位對系統(tǒng)進行安全性測試，并出具安全性測試報告；b) 在測試驗收前應根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案，在測試驗收過程中應詳細記錄測試驗收結(jié)果，并形成測試驗收報告；c) 應對系統(tǒng)測試驗收的控制方法和人員行為準則進行書面規(guī)定；d) 應指定或授權(quán)專門的部門負責系統(tǒng)測試驗收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測試驗收工作；e) 應組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收報告進行審定，并簽字確認?！?產(chǎn)品采購和使用（G3）本項要求包括：a) 應確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定；b) 應確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求；c) 應指定或授權(quán)專門的部門負責產(chǎn)品的采購； d) 應預先對產(chǎn)品進行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。　 安全意識教育和培訓（G3）本項要求包括：a) 應對各類人員進行安全意識教育、崗位技能培訓和相關(guān)安全技術(shù)培訓；b) 應對安全責任和懲戒措施進行書面規(guī)定并告知相關(guān)人員，對違反違背安全策略和規(guī)定的人員進行懲戒； c) 應對定期安全教育和培訓進行書面規(guī)定，針對不同崗位制定不同的培訓計劃，對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進行培訓；d) 應對安全教育和培訓的情況和結(jié)果進行記錄并歸檔保存?！?審核和檢查（G3）本項要求包括：a) 安全管理員應負責定期進行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；b) 應由內(nèi)部人員或上級單位定期進行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；c) 應制定安全檢查表格實施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報告，并對安全檢查結(jié)果進行通報；d) 應制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作，定期按照程序進行安全審核和安全檢查活動?！?安全管理機構(gòu)　 崗位設(shè)置（G3）本項要求包括：a) 應設(shè)立信息安全管理工作的職能部門，設(shè)立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責；b) 應設(shè)立系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等崗位，并定義各個工作崗位的職責；c) 應成立指導和管理信息安全工作的委員會或領(lǐng)導小組，其最高領(lǐng)導由單位主管領(lǐng)導委任或授權(quán)；d) 應制定文件明確安全管理機構(gòu)各個部門和崗位的職責、分工和技能要求。　 備份和恢復（A3）本項要求包括：a) 應提供本地數(shù)據(jù)備份與恢復功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放；b) 應提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地；c) 應采用冗余技術(shù)設(shè)計網(wǎng)絡拓撲結(jié)構(gòu)，避免關(guān)鍵節(jié)點存在單點故障；d) 應提供主要網(wǎng)絡設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性?！?軟件容錯（A3）本項要求包括：a) 應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；b) 應提供自動保護功能，當故障發(fā)生時自動保護當前所有狀態(tài)，保證系統(tǒng)能夠進行恢復?！?剩余信息保護（S3）本項要求包括：a) 應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；b) 應保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。　 資源控制（A3）本項要求包括：a) 應通過設(shè)定終端接入方式、網(wǎng)絡地址范圍等條件限制終端登錄；b) 應根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定；c) 應對重要服務器進行監(jiān)視，包括監(jiān)視服務器的CPU、硬盤、內(nèi)存、網(wǎng)絡等資源的使用情況；d) 應限制單個用戶對系統(tǒng)資源的最大或最小使用限度；e) 應能夠?qū)ο到y(tǒng)的服務水平降低到預先規(guī)定的最小值進行檢測和報警。f) 應對重要信息資源設(shè)置敏感標記；g) 應依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作；　 安全審計（G3）本項要求包括：a) 審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；b) 審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；c) 審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等； d) 應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；e) 應保護審計進程，避免受到未預期的中斷；f) 應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等?！?網(wǎng)絡設(shè)備防護（G3）本項要求包括：a) 應對登錄網(wǎng)絡設(shè)備的用戶進行身份鑒別；b) 應對網(wǎng)絡設(shè)備的管理員登錄地址進行限制；c) 網(wǎng)絡設(shè)備用戶的標識應唯一；d) 主要網(wǎng)絡設(shè)備應對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；e) 身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；f) 應具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng)絡登錄連接超時自動退出等措施；g) 當對網(wǎng)絡設(shè)備進行遠程管理時，應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽；h) 應實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離?！?安全審計（G3）本項要求包括：a) 應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設(shè)備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄；b) 審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；c) 應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；d) 應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。　 電力供應（A3）本項要求包括：a) 應在機房供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備；b) 應提供短期的備用電力供應，至少滿足主要設(shè)備在斷電情況下的正常運行要求；c) 應設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電；d) 應建立備用供電系統(tǒng)?！?防火（G3）本項要求包括：a) 機房應設(shè)置火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火；b) 機房及相關(guān)的工作房間和輔助房應采用具有耐火等級的建筑材料；c) 機房應采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。7　 第三級基本要求　 技術(shù)要求　 物理安全　 物理位置的選擇（G3）本項要求包括：a) 機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內(nèi)；b) 機房場地應避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁?！?變更管理（G2）本項要求包括：a) 應確認系統(tǒng)中要發(fā)生的重要變更，并制定相應的變更方案；b) 系統(tǒng)發(fā)生重要變更前，應向主管領(lǐng)導申請，審批后方可實施變更，并在實施后向相關(guān)人員通告。 　 網(wǎng)絡安全管理（G2）本項要求包括：a) 應指定人員對網(wǎng)絡進行管理，負責運行日志、網(wǎng)絡監(jiān)控記錄的日常維護和報警信息分析和處理工作；b) 應建立網(wǎng)絡安全管理制度，對網(wǎng)絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規(guī)定；c) 應根據(jù)廠家提供的軟件升級版本對網(wǎng)絡設(shè)備進行更新，并在更新前對現(xiàn)有的重要文件進行備份；d) 應定期對網(wǎng)絡系統(tǒng)進行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡系統(tǒng)安全漏洞進行及時的修補；e) 應對網(wǎng)絡設(shè)備的配置文件進行定期備份；f) 應保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準?！?系統(tǒng)運維管理　 環(huán)境管理（G2）本項要求包括：a) 應指定專門的部門或人員定期對機房供配電、空調(diào)、溫濕度控制等設(shè)施進行維護管理；b) 應配備機房安全管理人員，對機房的出入、服務器的開機或關(guān)機等工作進行管理；c) 應建立機房安全管理制度，對有關(guān)機房物理訪問，物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定；d) 應加強對辦公環(huán)境的保密性管理，包括工作人員調(diào)離辦公室應立即交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等?！?工程實施（G2）本項要求包括：a) 應指定或授權(quán)專門的部門或人員負責工程實施過程的管理；b) 應制定詳細的工程實施方案，控制工程實施過程?！?安全方案設(shè)計（G2）本項要求包括：a) 應根據(jù)系統(tǒng)的安全保護等級選擇基本安全措施，依據(jù)風險分析的結(jié)果補充和調(diào)整安全措施；b) 應以書面形式描述對系統(tǒng)的安全保護要求、策略和措施等內(nèi)容，形成系統(tǒng)的安全方案；c) 應對安全方案進行細化，形成能指導安全系統(tǒng)建設(shè)、安全產(chǎn)品采購和使用的詳細設(shè)計方案；d) 應組織相關(guān)部門和有關(guān)安全技術(shù)專家對安全設(shè)計方案的合理性和正確性進行論證和審定，并且經(jīng)過批準后，才能正式實施。　 人員考核（G2）應定期對各個崗位的人員進行安全技能及安全認知的考核?！?溝通和合作（G2）本項要求包括：a) 應加強各類管理人員之間、組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通；b) 應加強與兄弟單位、公安機關(guān)、電信公司的合作與溝通?！?評審和修訂（G2）應定期對安全管理制度進行評審，對存在不足或需要改進的安全管理制度進行修訂?！?數(shù)據(jù)保密性（S2）應采用加密或其他保護措施實現(xiàn)鑒別信息的存儲保密性?！?通信保密性（S2）本項要求包括：a) 在通信雙方建立連接之前，應用系統(tǒng)應利用密碼技術(shù)進行會話初始化驗證；b) 應對通信過程中的敏感信息字段進行加密?！?應用安全　 身份鑒別（S2）本項要求包括：a) 應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；b) 應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統(tǒng)中不存在重復用戶身份標識，身份鑒別信息不易被冒用；c) 應提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；d) 應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)?！?安全審計（G2）本項要求包括：a) 審計范圍應覆蓋到服務器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；b) 審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；c) 審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等；d) 應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等?！?入侵防范（G2）應在網(wǎng)絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊等?！?訪問控制（G2）本項要求包括：a) 應在網(wǎng)絡邊界部署訪問控制設(shè)備，啟用訪問控制功能；b) 應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為網(wǎng)段級?！?溫濕度控制（G2）機房應設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機房溫、濕度的變化在設(shè)備運行所允許的范圍之內(nèi)。　 防雷擊（G2）本項要求包括：a) 機房建筑應設(shè)置避雷裝置；b) 機房應設(shè)置交流電源地線?！?安全事件處置（G1）本項要求包括：a) 應報告所發(fā)現(xiàn)的安全弱點和可疑事件，但任何情況下用戶均不應嘗試驗證弱點；b) 應制定安全事件報告和處置管理制度，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復的管理職責?！?網(wǎng)絡安全管理（G1）本項要求包括：a) 應指定人員對網(wǎng)絡進行管理，負責運行日志、網(wǎng)絡監(jiān)控記錄的日常維護和報警信息分析和處理工作；b) 應定期進行網(wǎng)絡系統(tǒng)漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡系統(tǒng)安全漏洞進行及時的修補?！?系統(tǒng)運維管理　 環(huán)境管理（G1）本項要求包括：a) 應指定專門的部門或人員定期對機房供配電、空調(diào)、溫濕度控制等設(shè)施進行維護管理；b) 應對機房的出入、服務器的開機或關(guān)機等工作進行管理；c) 應建立機房安全管理制度，對有關(guān)機房物理訪問，物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定?！?工程實施（G1）應指定或授權(quán)專門的部門或人員負責工程實施過程的管理?！?安全方案設(shè)計（G1）本項要求包括：a) 應根據(jù)系統(tǒng)的安全保護等級選擇基本安全措施，依據(jù)風險分析的結(jié)果補充和調(diào)整安全措施；b) 應以書面的形式描述對系統(tǒng)的安全保護要求和策略、安全措施等內(nèi)容，形成系統(tǒng)的安全方案；c) 應對安全方案進行細化，形成能指導安全系統(tǒng)建設(shè)、安全產(chǎn)品采購和使用的詳細設(shè)計方案。　 人員離崗（G1）本項要求包括：a) 應立即終止由于各種原因離崗員工的所有訪問權(quán)限；b) 應取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備?！?人員配備（G1）應配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等?！?備份和恢復（A1）應能夠?qū)χ匾畔⑦M行備份和恢復?！?訪問控制（S1）本項要求包括：a) 應提供訪問控制功能控制用戶組/用戶對系統(tǒng)功能和用戶數(shù)據(jù)的訪問；b) 應由授權(quán)主體配置訪問控制策略，并嚴格限制默認用戶的訪問權(quán)限?！?訪問控制（S1）本項要求包括：a) 應啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；b) 應限制默認帳戶的訪問權(quán)限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令；c) 應及時刪除多余的、過期的帳戶，避免共享帳戶的存在?！?網(wǎng)絡安全　 結(jié)構(gòu)安全（G1）本項要求包括：a) 應保證關(guān)鍵網(wǎng)絡設(shè)備的業(yè)務處理能力滿足基本業(yè)務需要；b) 應保證接入網(wǎng)絡和核心網(wǎng)絡的帶寬滿足基本業(yè)務需要； c) 應繪制與當前運行情況相符的網(wǎng)絡拓撲結(jié)構(gòu)圖。　 防火（G1）機房應設(shè)置滅火設(shè)備。關(guān)于各類安全要求的選擇和使用見附錄B。對于涉及國家秘密的信息系統(tǒng)，應按照國家保密工作部門的相關(guān)規(guī)定和標準進行保護?；炯夹g(shù)要求從物理安全、網(wǎng)絡安全、主機安