1、二三級防護要求精品資料1.1.1.1三級防護要求:防護層面要求選擇差異性需求物理安全物理位置的選擇（G3）機房建設（應按照3級機房標準或達到 GB9361-1988計算機場地安全要求中的 A 類機房的指標進行建設）物理訪問控制（G3）防盜竊和防破壞（G3）防雷擊（G3）防火（G3）防水和防潮（G3）防靜電（G3）溫濕度控制（G3）電力供應（A3）電磁防護（S3）網絡安全結構安全（G3）應實現網絡層面的加固，確保網絡能夠更好地 支撐應用系統的運行訪問控制（G3）利用訪問控制措施實現基于網絡IP地址、協 議、端口的強訪問控制，并支持針對用戶的訪 問控制安全審計（G3）應實現對網絡設備的運行狀況日志

2、審計、流量 審計等，應實現對日志信息的集中記錄邊界完整性檢查（S3）應防范非法的內聯和外聯入侵防范（G3）應實現有效的網絡入侵防范惡意代碼防范（G3）應對蠕蟲類惡意代碼進行過濾防護網絡設備防護（G3）網絡設備應米取加固措施主機安全身份鑒別（S3）操作系統和數據庫應米取加固技術訪問控制（S3）操作系統和數據庫應進行加固安全審計（G3）應對關鍵的服務器配置日志審計措施，剩余信息保護（S3）應通過對服務器的核心加固，防范客體重用， 實現剩余信息保護入侵防范（G3）通過操作系統加固來實現部分入侵防范惡意代碼防范（G3）實現基于主機的防病毒資源控制（A3）實現對主機資源的限制和保護防護層面要求選擇差異性

3、需求應用安全身份鑒別（S3）應實現高強度的身份認證技術訪問控制（S3）應實現針對應用系統的授權和嚴格的訪問控制安全審計（G3）應對應用系統實現有效安全審計，并防范審計 記錄被非法修改和刪除剩余信息保護（S3）應用系統應當對緩存信息和臨時信息進行有效 保護，在注銷當前用戶時應當進行有效清除通信完整性（S3）應米用SSL協議來實現通信數據的完整性保護通信保密性（S3）應采用SSL協議來實現通信數據的保密性保護抗抵賴（G3）應在應用系統中設計實現防范操作抵賴行為軟件容錯（A3）應用軟件對錯誤的輸入有控制資源控制（A3）應針對應用服務器進行連接數的限制數據安全數據完整性（S3）應當保障業務數據在存儲和

4、傳輸過程中的保密 性數據保密性（S3）應當保障業務數據在存儲和傳輸過程中的完整 性備份和恢復（A2）米用雙機熱備措施，關鍵網絡設備、通信線路 和數據處理系統應有冗余設計1.1.1.2二級系統防護要求防護層面要求選擇差異性需求物理安全:物理位置的選擇（G2）機房建設（按照2級機房標準或達到 GB9361-1988計算機場地安全要求中 的B類機房的指標進行建設）物理訪問控制（G2）防盜竊和防破壞（G2）防雷擊（G2）防火（G2）防水和防潮（G2）防靜電（G2）溫濕度控制（G2）電力供應（A2）電磁防護（S2）網絡安全結構安全（G2）應實現網絡層面的加固，確保網絡能夠更 好地支撐應用系統的運行防護層

5、面要求選擇差異性需求訪問控制（G2）利用防火墻實現基于網絡IP地址、協 議、端口的強訪問控制，并支持針對用戶 的訪問控制安全審計（G2）應對網絡的運行狀態進行審計，并米取審 計平臺對記錄進行單獨保存邊界完整性檢查（S2）應限制私自外聯的行為入侵防范（G2）應實現有效的網絡入侵防范惡意代碼防范（G2）應在網絡邊界處對蠕蟲類惡意代碼進行過 濾網絡設備防護（G2）網絡設備加固主機安全身份鑒別（S2）應進行服務器加固、數據庫加固，實現高 強度的口令加固訪問控制（S2）應進行服務器加固、數據庫加固，對登錄 人員進行訪問控制安全審計（G2）應對關鍵的服務器配置日志審計措施，入侵防范（G2）實現主機入侵防護惡意代碼防范（G2）實現基于主機的防病毒資源控制（A2）應對服務器訪問數量進行限制應用安全身份鑒別（S2）軟件實現身份認證訪問控制（S2）軟件實現訪問控制安全審計（G2）應在應用軟件中實現安全審計通信完整性（S2）應在應用軟件中對重要數據進行完整性檢 驗通信保密性（S2）應在應用軟件中對重要數據機密性傳輸保 護軟件容錯（A2）應在應用軟件中對輸入信息進行控制資源控制（A2）應實現對應用系統的連接控制數據安