【正文】 個(gè)人利益和隱私。 等保背景 一個(gè)巴掌拍丌響！ 外因是條件，內(nèi)因才是根本。 ?平均 1個(gè)網(wǎng)站有 26個(gè)漏洞， 7個(gè)高危漏洞。 等保背景 等保背景 ?信息安全責(zé)任丌清 未成立領(lǐng)導(dǎo)機(jī)構(gòu)、未明確責(zé)任、缺乏追責(zé)制度等。 ?監(jiān)測(cè)預(yù)警和應(yīng)急處理能力欠缺 缺乏人員、技術(shù)、系統(tǒng)和預(yù)案、演練，各單位發(fā)現(xiàn)問(wèn)題、處理問(wèn)題能力有待提高。 信息安全等級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。 ?開(kāi)展信息安全等級(jí)保護(hù)工作：有利于同步建設(shè) ；有利于指導(dǎo)和服務(wù)；有利于保障重點(diǎn)；有利于明確責(zé)任 ；有利于企事業(yè)單位保護(hù)商業(yè)秘密和知識(shí)產(chǎn)權(quán)。 重點(diǎn)保護(hù)原則 ：根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過(guò)劃分不同安全保護(hù)等級(jí)的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。 勱態(tài)調(diào)整原則 ：要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。 等保概念 信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)： 第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益； 第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全； 第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害； 第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害； 第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。 評(píng)定內(nèi)容 ?物理安全解讀 基本要求指標(biāo)項(xiàng) 實(shí)施建議 重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。 應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記； 標(biāo)記應(yīng)明確 服務(wù)對(duì)象、 IP 地址、固定資產(chǎn)編號(hào)、物理位置、設(shè)備維護(hù)責(zé)任人 等信息，并粘貼在 明顯的位置 。 應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。 評(píng)定內(nèi)容 ?物理安全解讀 2 基本要求指標(biāo)項(xiàng) 實(shí)施建議 機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開(kāi)。 應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透； 在機(jī)房?jī)?nèi) 做好隔熱層 ，并注意樓層之間的 溫差不要太大 。 一般機(jī)房日常溫度應(yīng)控制在 10～ 28℃ ，濕度30～ 70%。 電源線和通信線纜應(yīng)隔離鋪設(shè) ，避免 互相干擾； 電源線和通信線應(yīng)隔離鋪設(shè)，平行超過(guò) 30米 時(shí)，其鋪設(shè)間隔應(yīng)大于 200毫米 。 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表； 對(duì)數(shù)據(jù)進(jìn)行分析時(shí)，應(yīng)能發(fā)現(xiàn)異常并主動(dòng)告警 ，審計(jì) 報(bào)表應(yīng)能根據(jù)用戶需要修改，相關(guān)信息應(yīng) 能 上 報(bào)到安全管理系統(tǒng) 。 審計(jì)記錄應(yīng)保存至少 半年 以上。 身份鑒別信息應(yīng)具有不易被冒用的 特點(diǎn)，口令 應(yīng)有復(fù)雜度 要求 并定期更換； 用戶口令應(yīng)不少于 12位 ，數(shù)字和字母組成， 至少 3 個(gè)月 更換一次。 評(píng)定內(nèi)容 等級(jí)測(cè)評(píng)內(nèi)容： 身份鑒別 主機(jī)系統(tǒng)安全 (三級(jí) ) 訪問(wèn)控制 安全審計(jì) 剩余信息保護(hù) 入侵防范 惡意代碼防范 資源控制 評(píng)定內(nèi)容 ?主機(jī)安全解讀 基本要求指標(biāo)項(xiàng) 實(shí)施建議 應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別； 對(duì)網(wǎng)絡(luò)管理系統(tǒng)和安全管理系統(tǒng)的管理員登陸 地址 應(yīng)進(jìn)行限制， 禁止在內(nèi)部網(wǎng)絡(luò)中的任何終端 均可 登陸到管理系統(tǒng) ，應(yīng)在管理系統(tǒng)前的防火墻 上做好 訪問(wèn)控制。 應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施； 當(dāng)?shù)卿洿螖?shù)錯(cuò)誤超過(guò) 6次 ，應(yīng)自動(dòng)退出并告警 評(píng)定內(nèi)容 ?主機(jī)安全解讀 2 基本要求指標(biāo)項(xiàng) 實(shí)施建議 應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶，避免共享帳戶的存在。 應(yīng) 能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表； 審計(jì)分析系統(tǒng)應(yīng)具有這些功能，并 對(duì)異常行為 實(shí)時(shí) 告警 。 審計(jì)記錄至少應(yīng)保存 半年 。 應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，并嚴(yán)格限制默認(rèn)帳戶的 訪問(wèn) 權(quán)限； 在應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器前 部署網(wǎng)關(guān)或 授權(quán)管理系統(tǒng) ，對(duì)主體配置訪問(wèn)控制策略。 應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警； 在網(wǎng)絡(luò)管理系統(tǒng)或安全管理系統(tǒng)中， 對(duì)重要 服務(wù)器 運(yùn)行狀況設(shè)定門限值 ，實(shí)時(shí)監(jiān)測(cè)，低于 門限值時(shí) ，應(yīng)及時(shí)告警。 在數(shù)據(jù)存儲(chǔ)前， 增設(shè)安全加密網(wǎng)關(guān)設(shè)備 ，通過(guò) 密碼 技術(shù)對(duì)重要數(shù)據(jù)實(shí)現(xiàn)加密存儲(chǔ)。 應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí) 批量 傳送至備用場(chǎng)地； 對(duì)重要信息系統(tǒng)的數(shù)據(jù)，應(yīng)提供異地?cái)?shù)據(jù)備份 的功能 ，定時(shí)批量或增量備份， 數(shù)據(jù)異地備份 至少每月一 次 。 廣域網(wǎng)和城域網(wǎng)的關(guān)鍵設(shè)備應(yīng)采用 雙電源、雙 引擎 ，通信線路應(yīng)采用 環(huán)型或雙鏈路 等手段， 保證網(wǎng)絡(luò) 的高可用性。 評(píng)定內(nèi)容 等級(jí)測(cè)評(píng)內(nèi)容： 人員錄用 人員安全管理 (三級(jí) ) 人員離崗 人員考核 安全意識(shí)教育和培訓(xùn) 外部人員訪問(wèn)管理 評(píng)定內(nèi)容 等級(jí)測(cè)評(píng)內(nèi)容： 系統(tǒng)定級(jí) 系統(tǒng)建設(shè)管理 (三級(jí) ) 安全方案設(shè)計(jì) 產(chǎn)品采購(gòu)和使用 自行軟件開(kāi)發(fā) 外包軟件開(kāi)發(fā) 工程實(shí)施 測(cè)試驗(yàn)收 系統(tǒng)交付 安全服務(wù)商選擇 系統(tǒng)備案 評(píng)定內(nèi)容 等級(jí)測(cè)評(píng)內(nèi)容： 環(huán)境管理 系統(tǒng)運(yùn)維管理 (三級(jí) ) 資產(chǎn)管理 設(shè)備管理 介質(zhì)管理 運(yùn)行管理和監(jiān)控管理 網(wǎng)絡(luò)安全管理 系統(tǒng)安全管理 惡意代碼防范管理 變更管理 密碼管理 備份和恢復(fù)管理 安全事件處