二级等保标准.docx

二级等级爱护要求、技术要求技术要求项二锻等保实现方式物理平安物理位置的选择1）机房和办公场地应选择在具有防熊、防风和防雨等实力的建筑内.机房建设物理访何限制D机房出入11应有专人（ft守.3别进入的人员身份并登记在案：2）应批准进入机房的来访人员,限制和监控其活动葩用.CJ禁管理系统防盗病和防破坏D应将主要设在放汽在物理受限的范围内：2）应对设备或主要部件i三行固定，并设芮明显的不易除去的标记：3）应将通侑线缆铺设在陷藏处,如铺设在地下或管道中等：4）应对介质分类标识,存储在介成库或档案室中：5）应安装必要的防盗报警设施,以防进入机用的盗窃和破坏行为.机房建设防把击1）机房建筑应设置避雪装置：2）应设置沟通电源地域.防雷系统防火D应设田火火设备和火灾自动报警系统，并保持火火设法和火灾自动报警系统的良好状态.消防系统防水和防潮D水管安装，不得穿过屋顶和活动地板下；2）应对穿过墙壁和楼板的水的增加必要的爱护措施，如设置套管：3）应实行措施防止雨水通过W顶和墙壁港透：4）应实行措施防止室内水蒸气结露和地下积水的转移与濯透.机房建设防静电1）应采纳必要的接地等防静电措施静电地板温湿度限制D应设置温、湿度自动谓整设施，使机房温、湿度的改变在设备运行所允许的范阳之内.机房动力环境监控系统电力供应1）计匏机系统供电应与其他供电分开：2）应设置稳压潴和过电压防护设备：3）应供应短期的备用电力供应（如UPS设备）.UPS电破防护1）应采纳接地方式防止外界电感干扰和谀备寄生稿合干扰：2）电源线和通信线缆应附禽,遍开相互干扰.防电微排插,防电磁机柜网络结构平D网络设品的业务处理实力应具备冗余空间，要求满意业务裔峰期须设备做好双机冗余技术要求项二锻等保实现方式平安安与网段划分要；2）应设计和绘制与当前运行状况相符的网络拓扑结构图；3）应依匏机构业务的特点，在满意业务高峰期须要的基础上，合理设计网络特宽;4）应在业务终端与业务服务器之间进行路由限制，建立平安的访问路径；5）应依据各部门的工作职能、Hi要性、所涉及信息的Hi要程度等因素，划分不同的f网或网段,并依据便利管埋和限制的原则为各子网、网段安排地址段：6）重要网段应实行网络层地址与数据链路层地址梆定措施,防止地址欺Sh网络访何限制1）应能依据会话状态信息（包括数据包的源地址、目的地址、源的”号、口的端口号、办议、出入的接口、会话序列号、发出信息的主机名等信息.并应支持地址通配符的运用）,为数据流供应明确的允许/拒绝访问的实力.防火墙拨号访何限制I）应在基于平安属性的允许远程用户对系统访问的规则的基础上，对系统全部资源允许或拒绝用户进行访问限制粒度为附个用户：2）应限制具有拨号访问权限的用户数愤。VPN网络平安审计D应对网络系统中的网络设备运行状况、同络流麻、用户行为等事务进行H志记录：2）对于每一个事务，其审计记录应包括:事务的日期和时间、用户、事务类型、事务是否胜利，及其他与审计相关的信息.上网行为管理设备边界完整也恰S1）2能够检测内部刈洛中出现的内部用户未通过准许私自联到外部网络的行为（即“非法外联”行为IDS入侵检测网珞入侵防范1）应在网络边界处监视以下攻击行为I端口扫描、张力攻击.木马后门攻击、拒绝服务攻击、镇冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事务的发生。IPS入侵防卫恶意代碍防范1）应在网络边界及核心业务河段处对恶意代码进行检测和消除：2）应维护静意代利库的升级和检测系统的更斯：3）应支持恶意代码防范的统一管理。防毒墙网络设备防护1）应对登录网络设备的用户进行身份鉴别：2）应对网络设备的管理员量录地址进行限制：维护堡&机技术要求项二锻等保实现方式3）网络设备用户的标识应唯一4）身份睡别信息应具有不易被冒用的特点，例如口令长度、困难性和定期的更新等：5）应具有登录失败处理功能.如：结束会话、限制非法登录次数,当网络登录连接超时，自动退出。主机系统平安身份别1）操作系统和数据库管埋系统用户的身份胡识应具有唯一性：2）应对登录操作系统和数据库管理系统的用户进行身份标识和鉴别：3）操作系统和数据库管理系统身份鉴别信息应具有不易被日用的特点，例如口令长度、困难性和定期的更新等；4）应具有转录失败处理功能，如：结束会话、限制非法笠录次数，当笠录连接超时，自动退出。1、2、自主访何限制1）应依据平安策略限制主体对客体的访问：2）自主访问限制的覆/范困应包括与信息平安干脆相关的主体、客体及它外之间的愫作；3）自主访问限制的粒度应达到主体为用户级，客体为文件、数据摩表4）应由授权主体设电对客体访问和操作的权限：5）应严格限制!tt认用户的访问权限。YPN防火墙强制访何限制无数据库审计系统平安审计1）平安审计应减盖到服务器上的每个操作系统用户和数据库用户：2）平安审计应记录系统内通要的平安相关事务,包括更要用户行为和奥要系统吩咐的运用等：3）平安相关事务的记录应包括日期和时间、类型、主体标识、客体标识、事务的结果等：4）审计记录应受到爱护避开受到未预期的删除、修1.或置击等，数据库审计系统系统爱护1）系统应供应在管理维护状态中运行的实力，管理维护状态只能被系统管理员运用.数据亦能需份.剜余信息爱护1）JS保证攥作系统和数据库管理系统用户的鉴别信息所在的存储空间.被择放或再安排给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中；2）应确保系统内的文件、书目和数据库记录等资源所在的存储空间，被择放或.£新安排给其他用户前得到完全消除。VPN技术要求项二锻等保实现方式入侵防范无网管系统,IPS入f防卫系统恶意代码防范1）股务器和重要终端设备（包括移动设备应安装实时检测和查杀恶总代码的软件产品：2）主机系统防恶意代码产品应具有与网络防恶造代码产品不同的恶意代码库：防毒墙,杀毒软件资源限制1）应限制单个用户的会话数取：2）应通过设定终端接入方式、网络地址莅困簪条件限制终端登录。VPN应用平安身份鉴别1）应用系统用户的身份标识R具有唯一性：2）应对登录的用户进行身份标识和鉴别：3）系统用户身份赛别信息应具有不同极自用的特点,例如口令长度、困观性和定期的更新等；4）应具有登录失败处理功能.如：结束会话、限制非法登录次数，当登录连接超时,自动退出.1、权限明确2、建议统一身份认证、VPN、短信号录等方式3、6位以上字母、数字、字符混合搭配4.SESSION时效明确.超时自动退出访问限制1）应依据平安策略限制用户对客体的访问：2）自主访问限制的湿盅范围应包括与信息平安干脆相关的主体、客体及它的之间的操作：3）自主访问限制的粒度应达到主体为用户级，客体为文件、数据库表级；4）应由授权主体设置用户对系统功能操作和对数据访问的权限：5）应实现应用系统特权用户的权限分别.例如将管理与审计的权限安排给不同的应用系统用户：6）权限分别应采纳最小授权原则,分别授予不同用户各自为完成自己担当任务所需的以小权限，并在它们之间形成相互制约的关系：7）应严格限制默认用户的访问权限。防火墙平安审计D平安审计应网盖到应用系统的每个用户：2）平安审计应记录应用系统我要的平安相关M务，包括应要用户行为和正要系统功能的执行等：3）平安相关事务的记录应包括日期和时间、类型、主体标识、客体标识、事务的结果等：4）审计记录应受到爱护避开受到未预期的则除、修改或湿彘等.日志审计系统愫作11忐技术要求项二锻等保实现方式剩余信息爱护D应保证用户的赛别信息所在的存储空间，被徉放或再安排给其他用户前得到完全清除，无论这些信息是存放在硬以上还是在内存中；2）应确保系统内的文件、书目和数据库记录等费源所在的存储空间.被择放或重新安排给其他用户前得到完全消除.VPN通信完整性D通信双方应妁定单向的校蛤码驿法，计豫通信数据报文的校蛤码，在进行迪伯时,双方依据校验码推断对方报文的有效性.VPN加密抗抵粮无YPN通信保密性1）当通信双方中的一方在一段时间内未作任何响应，另方应能纾自动结束会话：2）在通侑双方建立连接之前，利用密码技术进行会话初始化验证：3）在通信过程中应对敏感信息字段进行加密.VPN软件容错D应对通过人机接口输入或通过通信接口输入的数据进行有效性检验：2）应对通过人机接口方式进行的操作供应“回退r功能,即允许依据操作的序列进行回退：3）在故障发生时,应接薪供应一部分功能,检保能够实施必要的措施.VPN资源限制1）应限制单个用户的多重并发会话：2）应对应用系统的最大并发会话连接数进行限制：3）应对一个时间段内可能的并发会话连接数进行限制.VPN代码平安1）应对应用程序代码进行恶意代码扫描：2）应对应用程序代眄进行平安脆或性分析.防火墙数据平安数据完整性D应能够检测到系统管理数据、第别信息和用户数据在传ft过程中完整性受到破坏：2）应能修检测到系统管理数据、鉴别信息和用户数据在存储过程中完整性受到破坏.防火墙数据保密性D同络设备、操作系统、数据麻管理系统和应用系统的鉴别伯息、敏感的系统管理数据和微感的用户数据应采纳加密或其他有效措施实现传输保密性：2）网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏礴的系统管理数据和敢礴的用户数据应采纳加密或其他爱护措施实现存储保密性：3）当运用便携式和移动式设备时，应加密或若果纳可移动破盘存储敏感信息.堡垒机技术要求项二锻等保实现方式数据备I）应供应白动机制对重要信息进行有选择的数据备份：数据存储备份份和妞2）应供应复原正要信息的功能；原3）应供应曳要网络设备、通信找路和眼芬器的硬件冗余