【正文】 通過部署下一代防火墻以及安全審計等多種安全防護產(chǎn)品，增強了不同區(qū)域間業(yè)務用戶訪問控制能力，提升了該單位邊界抵御內(nèi)部攻擊行為的能力。 從多個層面初步建立了完善的審計機制安全審計是等級保護中十分強調(diào)和關(guān)注的安全機制，針對該單位審計能力不足的問題，項目建設(shè)中通過分析業(yè)務的關(guān)鍵路徑和操作行為習慣，設(shè)計并部署了網(wǎng)絡(luò)審計、數(shù)據(jù)庫審計等多種探測引擎，針對用戶不同層面，不同視角的業(yè)務操作進行審計跟蹤，從而國家等級保護部門和上級主管部門對該單位業(yè)務的安全監(jiān)管要求，以及組織內(nèi)部責任追溯的業(yè)務訴求。 實現(xiàn)該單位對敏感個人隱私信息的有效保護依據(jù)等級保護關(guān)于身份鑒別、可信數(shù)字電文的有關(guān)要求，實現(xiàn)對該單位業(yè)務系統(tǒng)敏感信息機密性、完整性的全面保護，保障了統(tǒng)計上報數(shù)據(jù)中關(guān)于個人及組織的合法利益。 明確人員安全管理職責，提高了系統(tǒng)安全運維安全管理水平本次建設(shè)該單位在等級保護技術(shù)體系建設(shè)的同時，還配合大量的咨詢、服務的配合與支撐，提高該單位業(yè)務系統(tǒng)安全運維的效率和管理水平。（2級無此項）（S3）a)應能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷；（2級無此項）b)應能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷。（2級無此項）（G3）（2級無此項）a)應在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除； b)應維護惡意代碼庫的升級和檢測系統(tǒng)的更新。（G3）a)應對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄； b)審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；c)應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；（2級無此項）d)應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。（2級無此項）第二章 主機安全操作系統(tǒng)測評和數(shù)據(jù)庫系統(tǒng)測評 （S3）a)應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別；b)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換；c)應啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施； d)當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；e)應為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。（2級無此項）（S3）a)應啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；b)應根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；（2級無此項）c)應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；d)應嚴格限制默認帳戶的訪問權(quán)限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令； e)應及時刪除多余的、過期的帳戶，避免共享帳戶的存在。（S3）（僅操作系統(tǒng)）（2級無此項）a)應保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；b)應確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。（G3）（僅操作系統(tǒng)）a)應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫； b)主機防惡意代碼產(chǎn)品應具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫；（2級無此項）c)應支持防惡意代碼的統(tǒng)一管理。（2級無此項）第三章 應用安全測評（S3）a)應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；b)應對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別；（2級無此項）c)應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統(tǒng)中不存在重復用戶身份標識，身份鑒別信息不易被冒用；d)應提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施； e)應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。e)應具有對重要信息資源設(shè)置敏感標記的功能；（2級無此項）f)應依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作；（2級無此項）（G3）a)應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全事件進行審計； b)應保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄；c)審計記錄的內(nèi)容至少應包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等； d)應提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。（S3）應采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。（2級為敏感信息字段）（G3）（2級無此項）a)應具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能； b)應具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。（在故障發(fā)生時，應用系統(tǒng)應能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧ˋ3）a)當應用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應，另一方應能夠自動結(jié)束會話；b)應能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進行限制； c)應能夠?qū)蝹€帳戶的多重并發(fā)會話進行限制；d)應能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制；（2級無此項）e)應能夠?qū)σ粋€訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額；（2級無此項）f)應能夠?qū)ο到y(tǒng)服務水平降低到預先規(guī)定的最小值進行檢測和報警；（2級無此項）g)應提供服務