搜索
物理位置的选择(G3)三级要求避免在建筑的高层或地下室、以及靠近用水设备避免机房设在高层或地下室二级仅要求防震、防风和防雨机房建设时考虑物理访问控制(G3)三级要求区域划分及隔离,并要求配置电子门禁系统电子门禁系统二级仅要求对进出人员进行管理和记录机房日常管理防盗窃和防破坏(G3)三级要求安装监控报警系统监控系统二级仅要求设备固定、标识,及必要报警设施机房日常管理防雷击(G3)三级要求安装设备防止感应雷防雷保安器二级仅要求安装避雷装置及交流接地避雷针,电力线路接地防火(G3)三级要求建筑材料防火及区域防火隔离自动灭火装置,机房建设时考虑二级仅要求设置灭火设备和火灾报警系统灭火器防水和防潮(G3)三级要求对机房进行防水检测和报警漏水检测设施二级仅要求防水设计机房建设时考虑防静电(G3)三级要求采用防静电地板防静电地板二级仅要求必要的接地防静电机房日常管理温湿度控制(G3)三级要求同二级同二级要求二级要求温湿度检测并控制精密空调、温湿度检测设施电力供应(A3)三级要求电路冗余及建立备用供电系统主供电线路冗余、UPS电源二级仅要求供电稳定及保护UPS电源电磁防护(S3)三级要求对关键设备进行电磁屏蔽机房建设时考虑二级仅要求电力线路和通信线路隔离铺设机房建设时考虑结构安全(G3)三级要求采用可靠的技术手段隔离重要网段与外部信息系统,并对带宽按优先级进行分配网闸(信息交换与隔离系统)二级仅要求关键网络设备、带宽具备冗余,并绘制网络拓扑结构图,划分网段网络日常管理访问控制(G3)三级要求加强访问控制,并对网络信息内容进行过滤,同时对重要网段防止地址欺骗防火墙规则设置二级仅要求对网络边界进行访问控制防火墙设备安全审计(G3)三级要求对日志记录进行审计,并对审计记录进行保护上网行为管理设备规则设置二级仅要求对网络设备运行状况、网络流量、用户行为等进行日志记录上网行为管理设备边界完整性检查(S3)三级要求对内部用户联接外部网络进行检查、定位,并必要时进行有效阻断。对外部用户非法联接内部网络进行检查、定位,并必要时进行有效阻断。上网行为管理设备规则设置二级仅要求内部用户联接外部网络进行检查上网行为管理设备入侵防范(G3)三级要求对网络边界处的攻击行为进行记录并报警入侵防御设备(设备非模块)二级仅要求在网络边界处进行攻击行为监视防火墙设备所带入侵防御模块恶意代码防范(G3)三级要求在网络边界处对恶意代码进行检测和清除。防病毒网关设备二级未要求网络边界处进行恶意代码防范未要求物理安全网络安全第二级要求第三级要求技术要求要求项网络设备防护(G3)三级要求对主要网络设备用户使用至少两种技术进行身份鉴别,并对特权用户权限分离。堡垒主机(运维网关、安全管理平台)类设备二级仅要求对网络设备的用户进行身份鉴别,并对网络设备的登录及管理进行控制。网络日常管理身份鉴别(S3)三级要求对不同主机用户进行区分识别终端安全类产品二级仅要求对主机的用户进行身份鉴别,并对主机的登录及管理进行控制。终端日常管理访问控制(S3)三级要求对重要信息资源的操作进行记录并审计堡垒主机(运维网关、安全管理平台)类设备二级仅要求对主机资源的访问进行控制,并权限分离(重要服务器)终端日常管理安全审计(G3)三级要求对审计记录分析,生成审计报表,并防止审计进程的未预期中断终端安全类产品二级仅要求对主机用户的行为、系统资源使用、重要系统命令等记录进行审计,并避免审计记录的破坏终端安全类产品剩余信息保护(S3)三级要求对主机硬盘及内存上的剩余信息进行保护终端安全类产品二级未要求主机剩余信息保护未要求入侵防范(G3)三级要求对入侵行为进行记录并报警终端安全类产品二级仅要求对主机操作系统的漏洞进行补丁更新终端安全类产品、漏洞扫描设备恶意代码防范(G3)三级要求主机恶意代码防范软件与边界恶意代码防范产品使用不同的恶意代码库(差异互补的原则)杀毒软件与防病毒网关使用不同制造商产品二级仅要求主机安装恶意代码防范软件,并支持软件的统一管理企业版杀毒软件资源控制(A3)三级要求对重要服务器的资源使用进行监视,对系统服务水平进行监控和报警堡垒主机(运维网关、安全管理平台)类设备二级仅要求对主机的接入及资源消耗进行监测和管理终端日常管理身份鉴别(S3)三级要求使用至少两种技术来鉴别用户身份堡垒主机(运维网关、安全管理平台)类设备二级仅要求对主机登录用户的身份表示和鉴别,并对鉴别出的非法用户进行管控应用程序开发考虑网络安全主机安全应用安全访问控制(S3)三级要求对重要信息资源的操作进行记录堡垒主机(运维网关、安全管理平台)类设备二级仅要求对用户访问进行控制应用程序开发考虑安全审计(G3)三级要求对审计记录分析,生成审计报表,并防止审计进程的未预期中断数据库审计、综合审计类产品二级仅要求对应用系统的重要安全事件进行审计,并保证审计记录不被破坏应用程序开发考虑剩余信息保护(S3)三级要求对应用系统的剩余信息进行保护应用程序开发考虑二级未要求应用系统的剩余信息保护未要求通信完整性(S3)三级要求同二级同二级要求二级要求技术保证通信过程中数据的完整性应用程序通信保障,外部网络用户连接应用系统的考虑使用VPN加密通道技术通信保密性(S3)三级要求同二级同二级要求二级要求技术保证通信过程中数据的保密性应用程序通信保障,外部网络用户连接应用系统的考虑使用VPN加密通道技术抗抵赖(G3)二级要求能对应用系统的用户操作证据的功能堡垒主机(运维网关、安全管理平台)类设备二级未要求应用系统的抗抵赖性未要求软件容错(A3)三级要求应用系统提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复设备、系统灾备冗余二级仅要求应用系统提供数据有效性检验功能,并在故障发生时,应用系统应能够继续提供一部分功能,应用程序开发考虑资源控制(A3)三级要求对应用系统的资源使用进行优先级分配系统资源服务器虚拟化技术等二级仅要求应用系统的会话和资源使用进行控制应用程序开发考虑数据完整性(S3)三级要求测到重要数据传输过程、存储中完整性受到破坏时能采取恢复措施系统灾备二级仅要求检测到重要数据传输过程中完整性受到破坏系统建设时考虑数据保密性(S3)三级要求采用加密或其他保护措施实现鉴别信息的传输、存储保密性系统灾备二级仅要求采用加密或其他保护措施实现鉴别信息的存储保密性系统建设时考虑备份和恢复(A3)三级要求提供异地数据备份功能,并采用冗余技术设计网络拓扑结构核心网络设备、重要业务网络、重要服务器等灾备冗余二级仅要求对重要信息进备份恢复,并提供关键网络设备、通信线路、数据处理系统的荣誉重要数据库等定期备份管理制度(G3)三级要求建立信息安全管理制度体系二级仅要求建立信息安全管理制度制定和发布(G3)三级要求将制定的信息安全制度通过正式的发布二级仅要求将制定的信息安全管理制度发布给相关人员评审和修订(G3)三级要求信息安全领导小组定期组织人员对制度体系进行审定,并对不足之处进行修订二级仅要求在制度存在不足时进行修订岗位设置(G3)三级要求成立信息安全领导小组,并明确各成员岗位职责二级仅要求明确信息安全管理人员岗位、职责,并设立设立系统管理员、网络管理员、安全管理员等岗位安全管理制度安全管理机构应用安全数据安全及备份恢复管理要求人员配备(G3)三级要求配备专职安全管理员,且关键事务岗位配备多人共同管理二级仅要求安全管理员不得兼任网络管理员、系统管理员、数据库管理员等授权和审批(G3)三级要求对审批的过程记录并保存审批文档二级仅要求建立审批制度及审批流程沟通和合作(G3)三级要求加强专业人员、单位及外联单位的合作与沟通、并聘请专职的安全顾问二级仅要求加强内部及兄弟单位、公安机关、电信公司的合作与沟通审核和检查(G3)三级要求组织定期进行安全检查并形成安全报告二级仅要求安全管理员进行定期的安全检查人员录用(G3)三级要求关键岗位人员应从内部人员选拔二级仅要求对人员录用进行审查,并与关键岗位人员签署保密协议人员离岗(G3)三级要求关键岗位人员离岗前要承诺保密义务二级仅要求人员离岗后收回各种业务关联证件、工具及设备人员考核(G3)三级要求对考核记录进行保存二级仅要求定期对岗位人员进行考核安全意识教育和培训(G3)三级要求对培训记录进行保存二级仅要求定期对岗位人员进行培训外部人员访问管理(G3)三级要求对外部人员允许访问的区域、系统、设备、信息等进行书面规定,并执行二级仅要求对外部人员访问需审批,专人陪同并登记系统定级(G3)三级要求组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定二级仅要求对信息系统定级并进过相关部门的批准安全管理机构人员安全管理系统建设管理安全方案设计(G3)三级要求定期进行等级测评和安全评估二级仅要求形成系统的安全方案,并对方案进行论证、审批后正式实施产品采购和使用(G3)三级要求定期对产品进行选型测试二级仅要求指定专门部门负责产品的采购自行软件开发(G3)三级要求制定软件编写安全规范,并对程序资源库的修改、更新、发布进行审批二级仅要求对自行软件开发的单位制定软件开发管理制度,并提供相关文档由专人保管外包软件开发(G3)三级要求同二级二级要求外包单位提供设计文档并提供源代码,同时在软件安装之前检测软件包中可能存在的恶意代码工程实施(G3)三级要求制定工程实施方面的管理制度二级仅要求在工程实施中制定详细的工程实施方案,控制工程实施过程测试验收(G3)三级要求指定专门部门负责系统测试验收的管理二级仅要求制定系统的验收方案并形成验收报告系统交付(G3)三级要求指定专门部门负责系统交付的管理工作二级仅要求系统交付时要制定系统交付清单并清点,要对技术人员培训并提供系统相关文档系统备案(G3)三级要求对信息系统的等级进行备案工作二级未对系统备案做强制要求等级测评(G3)三级要求对信息系统进行等级测评工作,并由指定的测评单位进行测评二级未对信息系统的等级测评工作做强制要求安全服务商选择(G3)三级要求同二级二级要求选定安全服务商,并与服务商签订服务协议系统建设管理环境管理(G3)三级要求由专门部门负责机房安全并对机房设施管理、人员出入、安全管理进行控制二级仅要求对机房设施管理、人员出入、安全管理进行控制资产管理(G3)三级要求对资产的重要程度进行分类和表示,进行规范化管理二级仅要求编制与信息系统相关的资产清单,并规定资产管理制度介质管理(G3)三级要求对介质进行定期清点管理,并对重要数据介质进行备份二级仅要求数据存储等介质进行分类,归档、查询、维修、销毁等进行记录,并保护其中的敏感数据设备管理(G3)三级要求制定专门的设备管理制度并执行二级仅要求对设备的维护、采购、领用、操作等进行规范化管理监控管理和安全管理中心(G3)三级要求对机房设备运行情况、用户行为等进行监控管理并记录,同时定期对记录进行分析,并建立安全管理中心,对安全相关事项进行集中管理二级未对监控管理和安全管理中心作出要求网络安全管理(G3)三级要求对非法接入设备及内部人员非法外联网络进行管控二级仅要求制定网络安全管理制度,指定人员管理、定期维护网络,并对软硬件设备进行更新维护,定期备份网络设备的配置文件系统运维管理系统安全管理(G3)三级要求划分系统管理员,指定专人对系统进行管理二级仅要求建立系统安全管理制度,对确定系统的访问策略,并定期对系统的运行日志及审计数据进行分析恶意代码防范管理(G3)三级要求对恶意代码防范情况进行定期的审计和分析并形成书面的报告二级仅要求指定专人对系统的恶意代码防范进行管理密码管理(G3)三级要求建立密码使用管理制度二级仅要求使用符合国家密码管理规定的密码技术和产品变更管理(G3)三级要求建立变更管理制度,并对变更过程进行控制、记录并审计二级仅要求制度系统变更时的变更方案,并对变更方案进行审批备份与恢复管理(G3)三级要求对数据备份和恢复过程进行记录并保存,并定期执行恢复程序二级仅要求定期备份重要的数据安全事件处置(G3)三级要求在安全事件报告和响应处理过程中,所有文件可记录均应妥善保存二级仅制定安全事件报告和处置管