1、國家信息安全等級保護制度(二級)一、技術要求1、物理安全1.1 物理位置的選擇 機房和辦公場地應選擇在具有防震、防風和防 雨等能力的建筑內；1.2 物理訪問控制(1)機房出入口應有專人值守，鑒別進入的人員身份并登記在案；(2)應批準進入機房的來訪人員，限制和監控其活動范圍。1.3 防盜竊和防破壞(1)應將主要設備放置在物理受限的范圍內；(2)應對設備或主要部件進行固定，并設置明顯的不易除去的標 記；5 (3)應將通信線纜鋪設在隱蔽處，如鋪設在地下或管道中等；(4)應對介質分類標識，存儲在介質庫或檔案室中；(5)應安裝必要的防盜報警設施，以防進入機房的盜竊和破壞行 為。1.4 防雷擊(1)機房建

2、筑應設置避雷裝置；(2)應設置交流電源地線。1.5 防火應設置滅火設備和火災自動報警系統，并保持滅火設備和火災自動 報警系統的良好狀態。1.6 防水和防潮(1)水管安裝，不得穿過屋頂和活動地板下；(2)應對穿過墻壁和樓板的水管增加必要的保護措施，如設置套 管；(3)應采取措施防止雨水通過屋頂和墻壁滲透；(4)應采取措施防止室內水蒸氣結露和地下積水的轉移與滲透。1.7 防靜電應采用必要的接地等防靜電措施1.8 溫濕度控制 應設置溫、濕度自動調節設施，使機房溫、濕度的變化在設備運行所允許的范圍之內。1.9 電力供應(1)計算機系統供電應與其他供電分開；(2)應設置穩壓器和過電壓防護設備；(3)應提

3、供短期的備用電力供應(如UPS設備)。1. 10電磁防護(1)應采用接地方式防止外界電磁干擾和設備寄生耦合干擾；(2)電源線和通信線纜應隔離，避免互相干擾。2、網絡安全2.1結構安全與網段劃分(1)網絡設備的業務處理能力應具備冗余空間，要求滿足業務高峰期需要;(2)應設計和繪制與當前運行情況相符的網絡拓撲結構圖(3)應根據機構業務的特點，在滿足業務高峰期需要的基礎上，合理 設計網絡帶寬；(4)應在業務終端與業務服務器之間進行路由控制，建立安全的訪問 路徑；(5)應根據各部門的工作職能、重要性、所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網 段分配地址段

4、；(6)重要網段應采取網絡層地址與數據鏈路層地址綁定措施，防止地 址欺騙。2. 2訪問控制(1)應能根據會話狀態信息(包括數據包的源地址、目的地址、源端口號、目的端口號、協議、出入的接口、會話序列號、發出信息的主機名等信息,并應支持地址通配符的使用)，為數據流提供明確的允許/ 絕訪問的能力。(2)應在基于安全屬性的允許遠程用戶對系統訪問的規則的基礎 上，對系統所有資源允許或拒絕用戶進行訪問，控制粒度為單個用戶；(3)應限制具有撥號訪問權限的用戶數量。2. 3安全審計(1)應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等事件進行日志記錄;(2)對于每一個事件，其審計記錄應包括：事件的日期和

5、時間、用戶、事件類型、事件是否成功，及其他與審計相關的信息2. 4邊界完整性檢查應能夠檢測內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為(即“非法外聯”行為)。2. 5入侵防范應在網絡邊界處監視以下攻擊行為：端口掃描、強力 攻擊、木馬后門 攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻 擊、網絡蠕蟲攻擊等入 侵事件的發生。2. 6惡意代碼防范(1)應在網絡邊界及核心業務網段處對惡意代碼進行檢測和清除;(2)應維護惡意代碼庫的升級和檢測系統的更新；(3)應支持惡意代碼防范的統一管理。2. 7網絡設備防護(1)應對登錄網絡設備的用戶進行身份鑒別；(2)應對網絡設備的管理員登錄地址進行限制

6、;(4)(3)網絡設備用戶的標識應唯一；身份鑒別信息應具有不易被冒用的特點，例如口令長度、復雜 性和定期的更新等;(5)應具有登錄失敗處理功能，如：結束會話、限制非法登錄次 數，當網絡登錄連接超時，自動退出。3、主機安全 3.1身份鑒別(1)操作系統和數據庫管理系統用戶的身份標識應具有唯一性；(2)應對登錄操作系統和數據庫管理系統的用戶進行身份標識和鑒(3)別;操作系統和數據庫管理系統身份鑒別信息應具有不易被冒用的 特點，例如口令長度、復雜性和定期的更新等;(4)應具有登錄失敗處理功能，如：結束會話、限制非法登錄次數，當登錄連接超時，自動退出。3. 2訪問控制(1)應依據安全策略控制主體對客體

7、的訪問;(2)自主訪問控制的覆蓋范圍應包括與信息安全直接相關的主體、客體及它們之間的操作;(3)自主訪問控制的粒度應達到主體為用戶級，客體為文件、數據 庫表級；(4)應由授權主體設置對客體訪問和操作的權限；(5)應嚴格限制默認用戶的訪問權限。3. 3安全審計(1)安全審計應覆蓋到服務器上的每個操作系統用戶和數據庫用戶；(2)安全審計應記錄系統內重要的安全相關事件，包括重要用戶行 為和重要系統命令的使用等；(3)安全相關事件的記錄應包括日期和時間、類型、主體標識、客體標識、事件的結果等；(4)審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋等。4. 4剩余信息保護(1)應保證操作系統和數據庫管

8、理系統用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除,無論這些信息是存放在硬盤上還是在內存中；(2)應確保系統內的文件、目錄和數據庫記錄等資源所在的存儲空 間，被釋放或重新分配給其他用戶前得到完全清除。3. 5系統保護系統應提供在管理維護狀態中運行的能力，管理維護 狀態只能被系統管理員使用。3. 6惡意代碼防范(1)服務器和重要終端設備(包括移動設備)應安裝實時檢測和查 殺惡意代碼的軟件產品；(2)主機系統防惡意代碼產品應具有與網絡防惡意代碼產品不同的 惡意代碼庫；3. 7資源控制(1)應限制單個用戶的會話數量；(2)應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄

9、。4、應用安全4.1身份鑒別(1)應用系統用戶的身份標識應具有唯一性;(2)應對登錄的用戶進行身份標識和鑒別;(3)系統用戶身份鑒別信息應具有不易被冒用的特點，例如口令長度、復雜性和定期的更新等;(4)應具有登錄失敗處理功能，如：結束會話、限制非法登錄次 數，當登錄連接超時，自動退出。4. 2訪問控制(1)應依據安全策略控制用戶對客體的訪問;(2)自主訪問控制的覆蓋范圍應包括與信息安全直接相關的主體、客體及它們之間的操作；(3)自主訪問控制的粒度應達到主體為用戶級，客體為文件、數據庫 表級；(4)應由授權主體設置用戶對系統功能操作和對數據訪問的權限；(5)應實現應用系統特權用戶的權限分離，例如

10、將管理與審計的權限 分配給不同的應用系統用戶；(6)權限分離應采用最小授權原則，分別授予不同用戶各自為完成自 己承擔任務所需的最小權限，并在它們之間形成相互制約的關系；(7)應嚴格限制默認用戶的訪問權限。4. 3安全審計(1)安全審計應覆蓋到應用系統的每個用戶；(2)安全審計應記錄應用系統重要的安全相關事件，包括重要用戶行 為和重要系統功能的執行等；(3)安全相關事件的記錄應包括日期和時間' 類型、主體標識、客體 標識、事件的結果等；(4)審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋等。4. 4剩余信息保護(1)應保證用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完

11、全清除，無論這些信息是存放在硬盤上還是在內存中； (2)應確保系統內的文件、目錄和數據庫記錄等資源所在的存儲空 間，被釋放或重新分配給其他用戶前得到完全清除。5. 5通信完整性通信雙方應約定單向的校驗碼算法，計算通信數據 報文的校驗碼，在進行通信時，雙方根據校驗碼判斷對方報文的有效 性。6. 6通信保密性(1)當通信雙方中的一方在一段時間內未作任何響應，另一方應能 夠自動結束會話；(2)在通信雙方建立連接之前，利用密碼技術進行會話初始化驗證;(3)在通信過程中,應對敏感信息字段進行加密4. 7軟件容錯(1)應對通過人機接口輸入或通過通信接口輸入的數據進行有效性 檢驗；(2)應對通過人機接口方式

12、進行的操作提供“回退”功能，即允許 按照操作的序列進行回退；(3)在故障發生時，應繼續提供一部分功能，確保能夠實施必要的 措施。4. 8資源控制(1)應限制單個用戶的多重并發會話；(2)應對應用系統的最大并發會話連接數進行限制；(3)應對一個時間段內可能的并發會話連接數進行限制。4. 9代碼安全(1)應對應用程序代碼進行惡意代碼掃描；(2)應對應用程序代碼進行安全脆弱性分析。5、數據安全及備份恢復 5.1數據完整性(1)應能夠檢測到系統管理數據、鑒別信息和用戶數據在傳輸過程中完整性受到破壞;(2)應能夠檢測到系統管理數據、鑒別信息和用戶數據在存儲過程中完整性受到破壞。5. 2數據保密性(1)網

13、絡設備、操作系統、數據庫管理系統和應用系統的鑒別信敏感的系統管理數據和敏感的用戶數據應采用加密或其他有效措施實現傳輸保密性；(2)當使用便攜式和移動式設備時，應加密或者采用可移動磁盤存儲敏感信息。5. 3備份和恢復(1)應提供自動機制對重要信息進行有選擇的數據備份;(2)應提供恢復重要信息的功能(3)應提供重要網絡設備、通信線路和服務器的硬件冗余二、管理要求1、安全管理機構1.1 崗位設置(1)應設立信息安全管理工作的職能部門,設立安全主管人、安全管理各個方面的負責人崗位，定義各負責人的職責；(2)應設立系統管理人員、網絡管理人員、安全管理人員崗位，定義 各個工作崗位的職責；(3)應制定文件明

14、確安全管理機構各個部門和崗位的職責、分工和技能要求。1.2 人員配置(1)應配備一定數量的系統管理人員、網絡管理人員、安全管理人員 等；(2)安全管理人員不能兼任網絡管理員、系統管理員、數據庫管理員 等。1.3 授權和審批(1)應授權審批部門及批準人，對關鍵活動進行審批；(2)應列表說明須審批的事項、審批部門和可批準人。1.4 溝通和合作(1)應加強各類管理人員和組織內部機構之間的合作與溝通，定期或不定期召開協調會議，共同協助處理信息安全問題;(2)信息安全職能部門應定期或不定期召集相關部門和人員召開安全工作會議，協調安全工作的實施；(3)應加強與兄弟單位、公安機關、電信公司的合作與溝通，以便

15、 在發生安全事件時能夠得到及時的支持。1.5 審核和檢查 應由安全管理人員定期進行安全檢查，檢查內容包 括用戶賬號情況、系統漏洞情況、系統審計情況等。2、安全管理制度2. 1管理制度(1)應制定信息安全工作的總體方針、政策性文件和安全策略等,說明機構安全工作的總體目標、范圍、方針、原則、責任等；(2)應對安全管理活動中重要的管理內容建立安全管理制度，以規 范安全管理活動，約束人員的行為方式；(3)應對要求管理人員或操作人員執行的重要管理操作，建立操作 規程，以規范操作行為，防止操作失誤。3. 2制定和發布(1)應在信息安全職能部門的總體負責下，組織相關人員制定;(2)應保證安全管理制度具有統一

16、的格式風格，并進行版本控制；(3)應組織相關人員對制定的安全管理進行論證和審定；(4)安全管理制度應經過管理層簽發后按照一定的程序以文件形式發布。2. 3評審和修訂應定期對安全管理制度進行評審和修訂，對存在不足或需要改進的 安全管理制度進行修訂。3、人員安全管理3. 1人員錄用(1)應保證被錄用人具備基本的專業技術水平和安全管理知識；(2)應對被錄用人的身份、背景、專業資格和資質等進行審查；(3)應對被錄用人所具備的技術技能進行考核；(4)應對被錄用人說明其角色和職責；(5)應簽署保密協議。4. 2人員離崗(1)應立即終止由于各種原因即將離崗的員工的所有訪問權限；(2)應取回各種身份證件、鑰匙

17、、徽章等以及機構提供的軟硬件設 備；5 (3)應經機構人事部門辦理嚴格的調離手續，并承諾調離后的保密 義務后方可離開。3. 3人員考核(1)應定期對各個崗位的人員進行安全技能及安全認知的考核;(2)應對關鍵崗位的人員進行全面、嚴格的安全審查；(3)應對違背安全策略和規定的人員進行懲戒3. 4安全意識教育和培訓(1)應對各類人員進行安全意識教育;(2)應告知人員相關的安全責任和懲戒措施;(3)應制定安全教育和培訓計劃，對信息安全基礎知識、崗位操作規程等進行培訓；(4)應對安全教育和培訓的情況和結果進行記錄并歸檔保存。3. 5第三方人員訪問管理(1)第三方人員應在訪問前與機構簽署安全責任合同書或保

18、密協議;(2)對重要區域的訪問，必須經過有關負責人的批準，并由專人陪同或監督下進行，并記錄備案。4、系統建設管理 4.1系統定級(1)應明確信息系統劃分的方法;(2)應確定信息系統的安全等級;(3)應以書面的形式定義確定了安全等級的信息系統的屬性，包括使命、業務、網絡、硬件、軟件、數據、邊界、人員等;(4)應確保信息系統的定級結果經過相關部門的批準。4. 2安全方案設計(1)應根據系統的安全級別選擇基本安全措施，依據風險分析的結 果補充和調整安全措施；(2)應以書面的形式描述對系統的安全保護要求和策略、安全措施 等內容，形成系統的安全方案；(3)應對安全方案進行細化，形成能指導安全系統建設和安

19、全產品 采購的詳細設計方案；(4)應組織相關部門和有關安全技術專家對安全設計方案的合理性 和正確性進行論證和審定；(5)應確保安全設計方案必須經過批準，才能正式實施。4. 3產品采購(1)應確保安全產品的使用符合國家的有關規定；(2)應確保密碼產品的使用符合國家密碼主管部門的要求；(3)應指定或授權專門的部門負責產品的采購。4. 4自行軟件開發(1)應確保開發環境與實際運行環境物理分開；(2)應確保提供軟件設計的相關文檔和使用指南；(3)應確保系統開發文檔由專人負責保管，系統開發文檔的使用受 到控制。4. 5外包軟件開發(1)應與軟件開發單位簽訂協議，明確知識產權的歸屬和安全方面 的要求；(2

20、)應根據協議的要求檢測軟件質量；(3)應在軟件安裝之前檢測軟件包中可能存在的惡意代碼；(4)應確保提供軟件設計的相關文檔和使用指南。4. 6工程實施(1)應與工程實施單位簽訂與安全相關的協議，約束工程實施單位 的行為；(2)應指定或授權專門的人員或部門負責工程實施過程的管理；(3)應制定詳細的工程實施方案控制實施過程。4. 7測試驗收(1)應對系統進行安全性測試驗收；(2)應在測試驗收前根據設計方案或合同要求等制訂測試驗收方 案，測試驗收過程中詳細記錄測試驗收結果，形成測試驗收報告；(3)應組織相關部門和相關人員對系統測試驗收報告進行審定，沒 有疑問后由雙方簽字。4. 8系統交付1. )應明確

21、系統的交接手續，并按照交接手續完成交接工作；2. )應由系統建設方完成對委托建設方的運維技術人員的培訓；3. )應由系統建設方提交系統建設過程中的文檔和指導用戶進行系 統運行維護的文檔；4. )應由系統建設方進行服務承諾，并提交服務承諾書，確保對系 統運行維護的支持。5. 9安全服務商選擇應確保安全服務商的選擇符合國家的有關規定。5、系統運維管理6. 1環境管理(1)應對機房供配電、空調、溫濕度控制等設施指定專人或專門的部門定期進行維護管理；(2)應配備機房安全管理人員，對機房的出入、服務器的開機或關 機等工作進行管理；(3)應建立機房安全管理制度，對有關機房物理訪問，物品帶進、 帶出機房和機

22、房環境安全等方面的管理作出規定；(4)應對機房來訪人員實行登記、備案管理，同時限制來訪人員的 活動范圍；(5)應加強對辦公環境的保密性管理，包括如工作人員調離辦公室 應立即交還該辦公室鑰匙和不在辦公區接待來訪人員等。5. 2資產管理(1)應建立資產安全管理制度，規定信息系統資產管理的責任人員或責任部門;(2)應編制并保存與信息系統相關的資產、資產所屬關系、安全級別和所處位置等信息的資產清單；(3)應根據資產的重要程度對資產進行定性賦值和標識管理,根據資 產的價值選擇相應的管理措施。5. 3介質管理(1)應確保介質存放在安全的環境中，并對各類介質進行控制和保護,以防止被盜、被毀、被未授權的修改以

23、及信息的非法泄漏;(2)應有介質的存儲、歸檔、登記和查詢記錄，并根據備份及存檔介 質的目錄清單定期盤點；(3)對于需要送出維修或銷毀的介質，應首先清除介質中的敏感數據,防止信息的非法泄漏;(4)應根據所承載數據和軟件的重要程度對介質進行分類和標識管 理，并實行存儲環境專人管理。6. 4設備管理(1)應對信息系統相關的各種設施、設備、線路等指定專人或專門的部門定期進行維護管理;(2)應對信息系統的各種軟硬件設備的選型、采購、發放或領用等過程建立基于申報、審批和專人負責的管理規定；(3)應對終端計算機、工作站、便攜機、系統和網絡等設備的操作和 使用進行規范化管理；(4)應對帶離機房或辦公地點的信息

24、處理設備進行控制；(5)應按操作規程實現服務器的啟動/停止、加電/斷電等操 作，加強對服務器操作的日志文件管理和監控管理，應按安全策略的要 求對網絡及設備進行配置，并對其定期進行檢查。7. 5監控管理應了解服務器的CPU、內存、進程、磁盤使用情況。8. 6網絡安全管理(1)應指定專人對網絡進行管理，負責運行日志、網絡監控記錄的日常維護和報警信息分析和處理工作;(2)應建立網絡安全管理制度，對網絡安全配置和日志等方面作出規 定；(3)應根據廠家提供的軟件升級版本對網絡設備進行更新，并在更新 前對現有的重要文件進行備份；(4)應進行網絡系統漏洞掃描,對發現的網絡系統安全漏洞進行及時的修補;(5)應

25、保證所有與外部系統的連接均應得到授權和批準;(6)應對網絡設備的安全策略、授權訪問、最小服務、升級與打補丁、維護記錄、日志等方面做出具體要求;(7)應規定網絡審計日志的保存時間以便為可能的安全事件調查提供支持。5. 7系統安全管理(1)應指定專人對系統進行管理，刪除或者禁用不使用的系統缺省 賬戶；(2)應制度系統安全管理制度，對系統安全配置' 系統賬戶以及審 計日志等方面作出規定；(3)應定期安裝系統的最新補丁程序，并根據廠家提供的可能危害 計算機的漏洞進行及時修補，并在安裝系統補丁前對現有的重要文件進 行備份;(4)應根據業務需求和系統安全分析確定系統的訪問控制策略，系統訪問控制策略

26、用于控制分配信息系統、文件及服務的訪問權限;(5)應對系統賬戶進行分類管理，權限設定應當遵循最小授權要求；(6)應對系統的安全策略、授權訪問、最小服務、升級與打補丁、 維護記錄、日志等方面做出具體要求；(7)應規定系統審計日志的保存時間以便為可能的安全事件調查提供支持；(8)應進行系統漏洞掃描，對發現的系統安全漏洞進行及時的修 補。5. 8惡意代碼防范管理(1)應提高所用用戶的防病毒意識，告知及時升級防病毒軟件；(2)應在讀取移動存儲設備(如軟盤、移動硬盤、光盤)上的數據以及網絡上接收文件或郵件之前，先進行病毒檢查，對外來計算機或存儲 設備接入網絡系統之前也要進行病毒檢查;(3)應指定專人對網絡和主機的進行惡意代碼檢測并保存檢測記錄；