1、等級保護第二級根本要求實施建議殘留問題1.1.1物理平安1.1.1.1物理位置的選擇G2本項要*包括：機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內；1.1.1.2物理訪問控制G2本項要*包括：a機房出入口應安排專人值守，控 制、鑒別和記錄進入的人員；b需進入機房的來訪人員應經(jīng)過申 請和審批流程，并限制和監(jiān)控其 活動范圍；1.1.1.3防盜竊和防破壞G2本項要*包括：a應將主要設備放置在機房內；b應將設備或主要部件進行固定，并設置明顯的不易除去的標記；c應將通信線纜鋪設在隱蔽處，可 鋪設在地下或管道中；d應對介質分類標識，存儲在介質庫或檔案室中；e主機房應安裝必要的防盜報警設 施1.

2、1.1.4防雷擊G2本項要*包括：a機房建筑應設置避雷裝置；b機房應設置交流電源地線。1.1.1.5防火G2本項要*包括：機房應設置滅火設備和火災自動報警系統(tǒng)1.1.1.6防水和防潮G2本項要*包括：a水管安裝，不得穿過機房屋頂和 活動地板下；b應采取措施防止雨水通過機房窗 戶、屋頂和墻壁滲透；c應采取措施防止機房內水蒸氣結 露和地下積水的轉移與滲透；1.1.1.7防靜電G2本項要*包括：關鍵設備應采用必要的接地防靜電措施；1.1.1.8溫濕度控制G2機房應設置溫、濕度自動調節(jié)設施， 使機房溫、濕度的變化在設備運行所允許 的范圍之內。1.1.1.9電力供給A2本項要*包括：a應在機房供電線路上

3、配置穩(wěn)壓器和過電壓防護設備；b應提供短期的備用電力供給，至 少滿足關鍵設備在斷電情況下的 正常運行要求；1.1.1.10電磁防護S2本項要*包括：電源線和通信線纜應隔離鋪設，防止互相干擾；1.1.2網(wǎng)絡平安1.1.2.1結構平安G2本項要*包括：a應保證關鍵網(wǎng)絡設備的業(yè)務處理 能力具備冗余空間，滿足業(yè)務高 峰期需要；b應保證接入網(wǎng)絡和核心網(wǎng)絡帶寬滿足業(yè)務頂峰期需要；c應繪制與當前運行情況相符的網(wǎng)絡拓撲結構圖；d應根據(jù)各部門的工作職能、重要 性和所涉及信息的重要程度等因 素，劃分不同的子網(wǎng)或網(wǎng)段，并 按照方便管理和控制的原那么為各 子網(wǎng)、網(wǎng)段分配地址段：1.1.2.2訪問控制G2本項要*包括：a

4、應在網(wǎng) 絡邊界部署訪1可控制設 備，啟用訪1可控制功能；b應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許 /拒絕訪問的能 力，控制粒度為網(wǎng)段級；c應按用戶和系統(tǒng)之間的允許訪問 規(guī)那么，決定允許或拒絕用戶對受 控系統(tǒng)進行資源訪問，控制粒度 為單個用戶；d應限制具有撥號訪問權限的用戶 數(shù)量。1.1.2.3平安審計G2本項要*包括：a應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行 狀況、網(wǎng)絡流量、用戶行為等進 行日志記錄；b審計記錄應包括：事件的日期和 時間、用戶、事件類型、事件是 否成功 及其他與審計相關的信 息；1.1.2.4邊界完整性檢查S2本項要*包括：應能夠對內部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡 的行為進行檢查。1.1

5、.2.5入侵防范G2本項要*包括：應在網(wǎng)絡邊界處監(jiān)視以下攻擊行為：端口 掃描、強力攻擊、木馬后門攻擊、拒絕服 務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊等。1.1.2.6網(wǎng)絡設備防護G2本項要求包括：a應對登錄網(wǎng)絡設備的用戶進行身 份鑒別；b應對網(wǎng)絡設備的管理員登錄地址進行限制；c網(wǎng)絡設備用戶的標識應唯一；d身份鑒別信息應具有不易被冒用 的特點，口令應有復雜度要求并 定期更換；e應具有登錄失敗處理功能，可采 取結束會話、限制非法登錄次數(shù) 和當網(wǎng)絡登錄連接超時自動退出 等措施；f當對網(wǎng)絡設備進行遠程管理時， 應采取必要措施防止鑒別信息在 網(wǎng)絡傳輸過程中被竊聽；1.1.3主機平安1.1.3

6、.1身份鑒別(S2)本項要*包括：a應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng) 的用戶進行身份標識和鑒別；b操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶 身份標識應具有不易被冒用的特 點，口令應有復雜度要求并定期 更換；c應啟用登錄失敗處理功能，可采 取結束會話、限制非法登錄次數(shù) 和自動退出等措施；d當對效勞器進行遠程管理時，應 采取必要措施，防止鑒別信息在 網(wǎng)絡傳輸過程中被竊聽；e應為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不 同用戶分配不同的用戶名，確保 用戶名具有唯一性。1.1.3.2訪問控制S2本項要*包括：a應啟用訪1可控制功能，依據(jù)平安 策略控制用戶對資源的訪問；b應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特 權用戶的權限別離；c應嚴格 限制默

7、認帳戶的訪問權 限，重命名系統(tǒng)默認帳戶，修改 這些帳戶的默認口令；d應及時刪除多余的、過期的帳戶， 防止共享帳戶的存在。1.1.3.3平安審計G2本項要*包括：a審計范圍應覆蓋到效勞器的每個 操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；b審計內谷應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要的平安 相關事件；c審計記錄應包括事件的日期、時 間、類型、主體標識、客體標識 和結果等；d應保護審計記錄，防止受到未預 期的刪除、修改或覆蓋等。1.1.3.4入侵防范G2本項要求包括：a操作系 統(tǒng)應遵循最小安裝的原 貝U,僅安裝需要的組件和應用程 序，并通過設置升級效勞器等方 式保持系統(tǒng)補丁及時得到

8、更新。1.1.3.5惡意代碼防范G2本項要*包括：a應安裝防惡意代碼軟件，并及時 更新防惡意代碼軟件版本和惡意 代碼庫；b應支持防惡意代碼的統(tǒng)一管理。1.1.3.6資源控制A2本項要*包括：a應通過設定終端接入方式、網(wǎng)絡地址范圍等條件限制終端登錄；b應根據(jù)平安策略設置登錄終端的操作超時鎖定；c應限制單個用戶對系統(tǒng)資源的最大或最小使用限度；d1.1.4應用平安1.1.4.1身份鑒別S2本項要求包括：a應提供專用的登錄控制模塊對登 錄用戶進行身份標識和鑒別；b應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用 系統(tǒng)中小存在重復用戶身份標 識，身份鑒別信息不易被冒用；c應提供登錄失敗處理功能，

9、可采 取結束會話、限制非法登錄次數(shù) 和自動退出等措施；d應啟用身份鑒別、用戶身份標識 唯一性檢查、用戶身份鑒別信息 復雜度檢查以及登錄失敗處理功 能，并根據(jù)平安策略配置相關參 數(shù)。1.1.4.2訪問控制S2本項要*包括：a應提供訪問控制功能，依據(jù)平安策略控制用戶對文件、數(shù)據(jù)庫表 等客體的訪問；b訪問控制的覆蓋范圍應包括與資 源訪問相關的主體、客體及它們 之間的操作；c應由授權主體配置訪問控制策 略，并嚴格限制默認帳戶的訪問 權限；d應授予不問帳戶為完成各自承當 任務所需的最小權限，并在它們 之間形成相互制約的關系。1.1.4.3平安審計G2本項要求包括：a應提供覆蓋到每個用戶的平安審 計功能，

10、對應用系統(tǒng)重要平安事 件進行審計；b應保證無法刪除、修改或覆蓋審 計記錄；c審計記錄的內容至少應包括事件 的日期、時間、發(fā)起者信息、類 型、描述和結果等；1.1.4.4軟件容錯A2本項要*包括：a應提供數(shù)據(jù)有效性檢驗功能，保 證通過人機接口輸入或通過通信 接口輸入的數(shù)據(jù)格式或長度符合 系統(tǒng)設定要求；b應提供自動保護功能，當故障發(fā) 生時自動保護當前所有狀態(tài)，保 證系統(tǒng)能夠進行恢復。1.1.4.5資源控制A2本項要*包括：a當應用系統(tǒng)的通信雙方中的一方 在一段時間內未作任何響應，另 一方應能夠自動結束會話；b應能夠對系統(tǒng)的最大并發(fā)會話連 接數(shù)進行限制；c應能夠對單個帳戶的多重并發(fā)會 話進行限制；1

11、.1.5數(shù)據(jù)平安及備份恢復1.1.5.1數(shù)據(jù)完整性S2本項要求包括：應能夠檢測到鑒別信息和重要業(yè)務數(shù)據(jù)在 傳輸過程中完整性受到破壞。1.1.5.2數(shù)據(jù)保密性S2本項要求包括：應米用加密或其他保護措施實現(xiàn)鑒別信息 存儲保密性。1.1.5.3備份和恢復A2本項要*包括：a應能夠對重要信息進行備份和恢復b應提供關鍵網(wǎng)絡設備、通信線路 和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保 證系統(tǒng)的可用性。；1.2管理要求平安管理制度1.2.1.1管理制度G2本項要求包括：a應制定信息平安工作的總體方針 和平安策略，說明機構平安工作 的總體目標、范圍、原那么和平安 框架等；b應對平安管理活動中重要的管理 內容建立平安管理制度；

12、c應對要求管理人員或操作人員執(zhí) 行的日 常管理操作建立操作規(guī) 程；1.2.1.2制定和發(fā)布G2本項要求包括：a應指定或授權專門的部門或人員 負責平安管理制度的制定；b應組織相關人員對制定的平安管 理制度進行論證和審定；c應將平安管理制度以謀合方式發(fā) 布到相關人員中。1.2.1.3評審和修訂G2本項要求包括：應定期對平安管理制度進行評審，對踩在 缺乏或需求改良的平安管理制度進行修 改。1.2.1平安管理機構1.2.2.1崗位設置G2本項要求包括：a應設立平安主管、平安管理各方 面的負責人崗位，并定義各負責 人的職責。b應設立系統(tǒng)管理員、網(wǎng)絡管理員、 平安管理員等崗位，并定義各個 工作崗位的職責；

13、1.2.2.2人員配備G2本項要求包括：a應配備一定數(shù)量的系統(tǒng)管理員、 網(wǎng)絡管理員、平安管理員等；b平安管 理員不能兼任網(wǎng)絡管理 員、系統(tǒng)管理員、數(shù)據(jù)庫管理員 等；1.2.2.3授權和審批G2本項要求包括：a應根據(jù)各個部門和崗位的職責明 確授權審批部門及批準人、對系 統(tǒng)投入運行、網(wǎng)絡系統(tǒng)接入和重 要資源的訪問等關鍵活動進行審 批；b應針對關鍵活動建立審批流程， 并由批準人簽字確認；1.2.2.4溝通和合作G2本項要求包括：a應加強各類管理人員之間、組織 內部機構之間以及信息平安職能 部門內部的合作與溝通；b應加強與兄弟單位、公安機關、 電信公司的合作與溝通。1.2.2.5審核和檢查G2本項要求

14、包括：平安管理員應負責定期進行平安檢查，檢 查內容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù) 據(jù)備份等情況；1.2.3人員平安管理1.2.21.2.3.1人員錄用G2本項要*包括：a應指定或授權專門的部門或人員負責人員錄用；b應標準人員錄用過程，對被錄用 人的身份、背景、專業(yè)資格等進 行審查，對其所具有的技術技能 進口方核；c應與從事關鍵崗位的人員簽署保 密協(xié)議1.2.3.2人員離崗G2本項要*包括：a應標準人員離崗過程，及時終止 離崗員工的所有訪問權限；b應取回各種身份證件、鑰匙、徽 章等以 及機構提供的軟硬件設 備；c應辦理嚴格的調離手續(xù)。1.2.3.3人員考核G2本項要*包括：應定期對各個崗位的人員

15、進行平安技能及 平安認知的考核；1.2.3.4平安意識教育和培訓G2本項要*包括：a應對各 類人員進行平安意識教 育、崗位技能培訓和相關平安技 術培訓；b應告知相關人員，對違反違背安 全策略和規(guī)定的人員進行懲戒；c應制定平安教育和培訓方案，對 信息平安根底知識、崗位操作規(guī) 程等進行培訓；1.2.3.5外部人員訪問管理G2本項要*包括：a應確保在外部人員訪問受控區(qū)域 前得到授權或審批，批準后由專 人全程陪同或監(jiān)督，并登記備案1.2.4系統(tǒng)建設管理1.2.4.1系統(tǒng)定級G2本項要*包括：a應明確信息系統(tǒng)的邊界和平安保 護等級；b應以書面的形式說明確定信息系 統(tǒng)為某個平安保護等級的方法和 理由；c應

16、確保信息系統(tǒng)的定級結果經(jīng)過 相關部門的批準。1.2.4.2平安方案設計G2本項要*包括：a應根據(jù)系統(tǒng)的平安保護等級選擇 根本平安措施，并依據(jù)風險分析 的結果補充和調整平安措施；b應以書面形式描述對系統(tǒng)的平安 保護要求、策略和措施等內容， 形成系統(tǒng)平安方案。c應對平安方案進行細化，形成能 知道平安系統(tǒng)建設、平安產品采 購和使用的詳細設計方案d應組織相關部門和有關平安技術 專家對平安設計方案的合理性和 正確性及進行論證和審定，并且 經(jīng)過批準后，才能正式實施。1.2.4.3產品采購和使用G2本項要*包括：a應確保平安產品采購和使用符合國家的有關規(guī)定；b應確保密碼廣品米購和使用符合 國家密碼主管部門的

17、要求；c應指定或授權專門的部門負責產品的采購；1.2.4.4自行軟件開發(fā)G2本項要*包括：a應確保開發(fā)環(huán)境與實際運行環(huán)境物理分開b應制定軟件開發(fā)管理制度，明確 說明開發(fā)過程的控制方法和人員 行為準那么；c應確保提供軟件設計的相關文檔 和使用指南，并由專人負責保管。1.2.4.5外包軟件開發(fā)G2本項要求包括：a應根據(jù)開發(fā)需求檢測軟件質量；b應確保提供軟件設計的相關文檔 和使用指南。c應在軟件安裝之前檢測軟件包中 可能存在的惡意代碼；d應要求 開發(fā)單位提供軟件源代 碼，并審查軟件中可能存在的后 門。1.2.4.6工程實施G2本項要求包括：a應指定或授權專門的部門或人員 負責工程實施過程的管理；b應

18、制定詳細的工程實施方案控制 實施過程；1.2.4.7測試驗收G2本項要求包括：a應對系統(tǒng)進行平安性測試驗收；b在測試驗收前應根據(jù)設計方案或 合同要求等制訂測試驗收方案， 在測試驗收過程中應詳細記錄測 試驗收結果，并形成測試驗收報 告；c應組織相關部門和相關人員對系 統(tǒng)測試驗收報告進行審定，并簽 字確認。1.2.4.8系統(tǒng)交付G2本項要求包括：a應制定系統(tǒng)交付清單，并根據(jù)交 付清單對所交接的設備、軟件和 文檔等進行清點；b應對負責系統(tǒng)運行維護的技術人員進行相應的技能培訓；c應確保提供系統(tǒng)建設過程中的文 檔和指導用戶進行系統(tǒng)運行維護 的文檔；1.2.4.9平安效勞商選擇G2本項要求包括：a應確保平

19、安效勞商的選擇符合國家的有關規(guī)定；b應與選定的平安效勞商簽訂與安 全相關的協(xié)議，明確約定相關責 任；c應確保選定的平安效勞商提供技 術培訓和效勞承諾，必要的與其 簽訂效勞合同。1.2.5系統(tǒng)運維管理1.2.5.1環(huán)境管理G2本項要*包括：a應指定專門的部門或人員定期對 機房供配電、空調、溫濕度控制 等設施進行維護管理；b應配備機房平安管理人員，對機 房的出入、效勞器的開機或關機 等工作進行管理；c應建立機房平安管理制度，對有 關機房物理訪問，物品帶進、帶 出機房和機房環(huán)境平安等方面的 管理作出規(guī)定；d應加強 對辦公環(huán)境的保密性管 理，標準辦公環(huán)境人員行為，包 括工作人員調離辦公室應立即交 還該

20、辦公室鑰匙、不在辦公區(qū)接 待來訪人貝等。1.2.5.2資產管理G2本項要*包括：a應編制并保存與信息系統(tǒng)相關的 資產清單，包括資產責任部門、 重要程度和所處位置等內容；b應建立資產平安管理制度，規(guī)定信息系統(tǒng)資產管理的責任人員或 責任部門，并標準資產管理和使 用的行為；1.2.5.3介質管理G2本項要*包括：a應確保 介質存放在平安的環(huán)境 中，對各類介質進行控制和保護， 并實行存儲環(huán)境專人管理；b應對介質歸檔和查詢等進行登記 記錄，并根據(jù)存檔介質的目錄清 單定期盤點；c應對需 要送出維 修或銷毀的介 質，首先去除其中敏感數(shù)據(jù)，防 止信息的非法泄露。d應根據(jù)所承載數(shù)據(jù)和軟件的重要 程度對 介質進行

21、分類和標識管 理。1.2.5.4設備管理G2本項要*包括：a應對信息系統(tǒng)相關的各種設備包括備份和冗余設備、線路等指定專門的部門或人員定期進 行維護管理；b應建立基于申報、審批和專人負 責的設備平安管理制度，對信息 系統(tǒng)的各種軟硬件設備的選型、 采購、發(fā)放和領用等過程進行規(guī) 范化管理；c應對終端計算機、工作站、便攜 機、系統(tǒng)和網(wǎng)絡等設備的操作和 使用進行標準化管理，按操作規(guī) 程實現(xiàn)主要設備包括備份和冗余設備的啟動/停止、加電/斷 電等操作；d應確保信息處理設備必須經(jīng)過審 批才能幣離機房或辦公地點。1.2.5.5網(wǎng)絡平安管理本項要*包括：a應指定人員對網(wǎng)絡進行管理，負 責運行日志、網(wǎng)絡監(jiān)控記錄的日

22、 常維護和報警信息分析和處理工 作b應建立網(wǎng)絡平安管理制度，對網(wǎng) 絡平安配置、日志保存時間、安 全策略、升級與打補丁、口令更 新周期等方面做出規(guī)定；c應根據(jù)廠家提供的軟件升級版本對網(wǎng)絡設備進行更新，并在更新前對現(xiàn)有重要文件進行備份；d應定期 對網(wǎng)絡系統(tǒng)進行漏洞掃 描，對發(fā)現(xiàn)的網(wǎng)絡系統(tǒng)平安漏洞 進行及時的修補；e應對網(wǎng)絡設備的配置文件進行定 期備份f應保證所有與外部系統(tǒng)的連接均 得到授權和批準。1.2.5.6系統(tǒng)平安管理G2本項要*包括：a應根據(jù)業(yè)務需求和系統(tǒng)平安分析 確定系統(tǒng)的訪問控制策略；b應定期進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)平安漏洞及時進行修補；c應安裝系統(tǒng)的最新補丁程序，在 安裝系統(tǒng)補丁前，首先在測試環(huán) 境中測試通過，并對重要文件進 行備份后，方可實施系統(tǒng)補丁程 序的安裝；d應建立系統(tǒng)平安管理制度，對系 統(tǒng)平安策略、平安配置、日志管 理和日常操作流程等方面作出具 體規(guī)定；e應依據(jù) 操作手冊對系統(tǒng)進行維 護，詳細記錄操作日志，包括重 要的日常操作、運行維護記錄、 參數(shù)設置和修改等內谷，嚴禁進 行未經(jīng)授權的操作；f應定期對運行日志和審計數(shù)據(jù)及 進行分析，以便及時發(fā)現(xiàn)異常行 為。1.2.5.7惡意代碼防范管理G2本項要*包括：a應提高所有用戶的防病毒意識， 及時告知防病毒軟件版本，在讀 取移動存儲設備上的數(shù)據(jù)以及網(wǎng) 絡上接收文件或郵件之前，先進 行病毒