【正文】 安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件。 外部人員訪問(wèn)管理（G3）a) 應(yīng)確保在外部人員訪問(wèn)受控區(qū)域前先提出書(shū)面申請(qǐng)，批準(zhǔn)后由專人全程陪同或監(jiān)督，并登記備案；b) 對(duì)外部人員允許訪問(wèn)的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行書(shū)面的規(guī)定，并按照規(guī)定執(zhí)行。（細(xì)化） 人員考核（G3）a) 應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核；b) 應(yīng)對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核；c) 應(yīng)對(duì)考核結(jié)果進(jìn)行記錄并保存。 人員安全管理 人員錄用（G3）本項(xiàng)要求包括：a) 應(yīng)指定或授權(quán)專門(mén)的部門(mén)或人員負(fù)責(zé)人員錄用；b) 應(yīng)嚴(yán)格規(guī)范人員錄用過(guò)程，對(duì)被錄用人員的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查，對(duì)其所具有的技術(shù)技能進(jìn)行考核；c) 應(yīng)與安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員等關(guān)鍵崗位的人員簽署保密協(xié)議；（細(xì)化）d) 應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議。（新增） 溝通和合作（G3）本項(xiàng)要求包括：a) 應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門(mén)內(nèi)部的合作與溝通，定期或不定期召開(kāi)協(xié)調(diào)會(huì)議，共同協(xié)作處理信息安全問(wèn)題；b) 應(yīng)加強(qiáng)與行業(yè)信息安全監(jiān)管部門(mén)、公安機(jī)關(guān)、通信運(yùn)營(yíng)商、銀行及相關(guān)單位和部門(mén)的合作與溝通；（細(xì)化）c) 應(yīng)加強(qiáng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通；d) 應(yīng)建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息；e) 應(yīng)聘請(qǐng)信息安全專家作為常年的安全顧問(wèn)，指導(dǎo)信息安全建設(shè)，參與安全規(guī)劃和安全評(píng)審等。 資金保障（G3）本項(xiàng)要求包括：a) 應(yīng)保障落實(shí)電力二次系統(tǒng)安全建設(shè)、運(yùn)維及等級(jí)保護(hù)測(cè)評(píng)資金等；（新增）b) 系統(tǒng)建設(shè)資金籌措方案和年度系統(tǒng)維護(hù)經(jīng)費(fèi)應(yīng)包括信息安全保障資金項(xiàng)目。（增強(qiáng)） 安全管理機(jī)構(gòu) 崗位設(shè)置（G3）本項(xiàng)要求包括：a) 應(yīng)明確由主管安全生產(chǎn)的領(lǐng)導(dǎo)作為電力二次系統(tǒng)安全防護(hù)的主要責(zé)任人，成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；（增強(qiáng)）b) 應(yīng)設(shè)立信息安全管理工作的職能部門(mén)，設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)；c) 應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責(zé)；d) 應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門(mén)和崗位的職責(zé)、分工和技能要求。 制定和發(fā)布（G3）本項(xiàng)要求包括：a) 應(yīng)指定或授權(quán)專門(mén)的部門(mén)或人員負(fù)責(zé)安全管理制度的制定；b) 安全管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制；c) 應(yīng)組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定；d) 安全管理制度應(yīng)通過(guò)正式、有效的方式發(fā)布；e) 安全管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。 備份和恢復(fù)（A3）本項(xiàng)要求包括:a) 應(yīng)提供數(shù)據(jù)本地備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場(chǎng)外存放；b) 應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地；c) 應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。 數(shù)據(jù)安全 數(shù)據(jù)完整性（S3）a) 應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施；b) 應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過(guò)程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。 軟件容錯(cuò)（A3）本項(xiàng)要求包括:a) 應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求；b) 應(yīng)提供自動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。 通信保密性（S3）本項(xiàng)要求包括:a) 在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；b) 應(yīng)對(duì)通信過(guò)程中的整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密。 剩余信息保護(hù)（S3）本項(xiàng)要求包括:a) 應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤(pán)上還是在內(nèi)存中；b) 應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除。 訪問(wèn)控制（S3）本項(xiàng)要求包括：a) 應(yīng)提供訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問(wèn)；b) 訪問(wèn)控制的覆蓋范圍應(yīng)包括與資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作；c) 應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限；d) 應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系；e) 應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記，系統(tǒng)不支持設(shè)置敏感標(biāo)記的，應(yīng)采用專用安全設(shè)備生成敏感標(biāo)記，用以支持強(qiáng)制訪問(wèn)控制機(jī)制；f) 應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作。（新增） 應(yīng)用安全 身份鑒別（S3）本項(xiàng)要求包括：a) 應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別；b) 應(yīng)用系統(tǒng)用戶身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度應(yīng)滿足要求并定期更換。（增強(qiáng)） 惡意代碼防范（G3）本項(xiàng)要求包括：a) 應(yīng)在本機(jī)安裝防惡意代碼軟件或獨(dú)立部署惡意代碼防護(hù)設(shè)備，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)；（增強(qiáng)）b) 應(yīng)支持防惡意代碼的統(tǒng)一管理；c) 主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫(kù)。 剩余信息保護(hù)（S3）本項(xiàng)要求包括:a) 應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤(pán)上還是在內(nèi)存中；b) 應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間，被釋放或重新分配給其他用戶前得到完全清除。 訪問(wèn)控制（S3）本項(xiàng)要求包括：a) 應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問(wèn)；b) 應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；c) 應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離；d) 應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；e) 應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶，避免共享帳戶的存在；f) 應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記，系統(tǒng)不支持設(shè)置敏感標(biāo)記的，應(yīng)采用專用安全設(shè)備生成敏感標(biāo)記，用以支持強(qiáng)制訪問(wèn)控制機(jī)制；（落實(shí)）g) 應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作?？诹铋L(zhǎng)度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶名和口令禁止相同；（增強(qiáng)）c) 啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施。如需使用SNMP服務(wù)，應(yīng)采用安全性增強(qiáng)版本；并應(yīng)設(shè)定復(fù)雜的Community控制字段，不使用Public、Private等默認(rèn)字段。 網(wǎng)絡(luò)設(shè)備防護(hù)（G3）本項(xiàng)要求包括：a) 應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；b) 應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；c) 網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)應(yīng)唯一；同一網(wǎng)絡(luò)設(shè)備的用戶標(biāo)識(shí)應(yīng)唯一；禁止多個(gè)人員共用一個(gè)賬號(hào)；（增強(qiáng)）d) 身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度應(yīng)滿足要求并定期更換。 入侵防范（G3）本項(xiàng)要求包括：a) 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等；b) 當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。 安全審計(jì)（G3）本項(xiàng)要求包括：a) 應(yīng)在生產(chǎn)控制大區(qū)應(yīng)部署專用審計(jì)系統(tǒng)，或啟用設(shè)備或系統(tǒng)審計(jì)功能，應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；（增強(qiáng)）b) 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；c) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表，網(wǎng)絡(luò)設(shè)備不支持的應(yīng)采用第三方工具生成審計(jì)報(bào)表；（增強(qiáng)）