1、1.1技術(shù)部分技術(shù)部分具體如下表所示（加黑部分為三級(jí)系統(tǒng)比二級(jí)系統(tǒng)增加的基本技術(shù)要求要求）要求類別基本要求（三級(jí)）解決方案物 理 安 全物理位置 的選擇（G3）a）機(jī)房和辦公場(chǎng)地應(yīng)選擇在具 有防震、防風(fēng)和防雨等能力的建 筑內(nèi)；b）機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物 的高層或地下室，以及用水設(shè)備 的下層或隔壁。按照各自級(jí)別的基本要 求進(jìn)行物理位置選址。三級(jí)根據(jù)要求進(jìn)行樓層 的選擇。物理訪問控制（G3）a）機(jī)房出入口應(yīng)安排專人值守， 控制、鑒別和記錄進(jìn)入的人員；b）需進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng) 過申請(qǐng)和審批流程，并限制和監(jiān) 控其活動(dòng)范圍；C）應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理， 區(qū)域和區(qū)域之間設(shè)置物理隔離 裝置，在重要區(qū)

2、域前設(shè)置交付或 安裝等過渡區(qū)域；d）重要區(qū)域應(yīng)配置電子門禁系 統(tǒng)，控制、鑒別和記錄進(jìn)入的人 員。按照基本要求進(jìn)行人員 配備，制定管理制度； 對(duì)進(jìn)出人員采用陪同或 監(jiān)控設(shè)備進(jìn)行限制和監(jiān) 控。三級(jí)根據(jù)要求加強(qiáng)對(duì)區(qū) 域的管理和重要區(qū)域控 制力度。防盜竊和 防破壞（G3）a）應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi)；b）應(yīng)將設(shè)備或主要部件進(jìn)行固 定，并設(shè)置明顯的不易除去的標(biāo) 記；C）應(yīng)將通信線纜鋪設(shè)在隱蔽處， 可鋪設(shè)在地下或管道中；d）應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí)，存儲(chǔ)在介 質(zhì)庫(kù)或檔案室中；e）應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房 防盜報(bào)警系統(tǒng)；f）應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。按照基本要求進(jìn)行建設(shè)。 制定防盜竊防破壞相關(guān) 管理制度。三級(jí)根據(jù)

3、要求進(jìn)行光、電 技術(shù)防盜報(bào)警系統(tǒng)的配 備。防雷擊（G3）a）機(jī)房建筑應(yīng)設(shè)置避雷裝置；b）應(yīng)設(shè)置防雷保安器，防止感應(yīng) 雷；C）機(jī)房應(yīng)設(shè)置交流電源地線。按照基本要求進(jìn)行建設(shè)。 三級(jí)根據(jù)要求設(shè)置防雷 保安器，防止感應(yīng)雷。防火（G3）a）機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系 統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào) 警，并自動(dòng)滅火；b）機(jī)房及相關(guān)的工作房間和輔 助房應(yīng)米用具有耐火等級(jí)的建 筑材料；C）機(jī)房應(yīng)米取區(qū)域隔離防火措 施，將重要設(shè)備與其他設(shè)備隔離 開。按照基本要求進(jìn)行建設(shè)。 三級(jí)根據(jù)要求進(jìn)行消防、 耐火、隔離等措施。防水和防潮（G3）a）水管安裝，不得穿過機(jī)房屋頂 和活動(dòng)地板下；b）應(yīng)采取措施防止雨水通過機(jī) 房窗戶、

4、屋頂和墻壁滲透；c）應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸 氣結(jié)露和地下積水的轉(zhuǎn)移與滲 透；d）應(yīng)安裝對(duì)水敏感的檢測(cè)儀表 或元件，對(duì)機(jī)房進(jìn)行防水檢測(cè)和 報(bào)警。按照基本要求進(jìn)行建設(shè)。 三級(jí)根據(jù)要求進(jìn)行防水 檢測(cè)儀表的安裝使用。防靜電（G3）a）主要設(shè)備應(yīng)采用必要的接地 防靜電措施；b）機(jī)房應(yīng)采用防靜電地板。按照基本要求進(jìn)行建設(shè)。 三級(jí)根據(jù)要求安裝防靜 電地板。溫濕度控制（G3）機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè) 施，使機(jī)房溫、濕度的變化在設(shè) 備運(yùn)行所允許的范圍之內(nèi)。配備空調(diào)系統(tǒng)。電力供應(yīng)（A3）a）應(yīng)在機(jī)房供電線路上配置穩(wěn)壓 器和過電壓防護(hù)設(shè)備；b）應(yīng)提供短期的備用電力供應(yīng)， 至少滿足主要設(shè)備在斷電情況 下的正常運(yùn)

5、行要求；C）應(yīng)設(shè)置冗余或并行的電力電纜 線路為計(jì)算機(jī)系統(tǒng)供電；d）應(yīng)建立備用供電系統(tǒng)。配備穩(wěn)壓器和過電壓防 護(hù)設(shè)備；配備UPS系統(tǒng)。三級(jí)根據(jù)要求設(shè)置冗余 或并行的電力電纜線路， 建立備用供電系統(tǒng)。電力供應(yīng)(A2)a) 在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備；b) 提供短期的備用電力供應(yīng)，至 少滿足主要設(shè)備在斷電情況下 的正常運(yùn)行要求。配備穩(wěn)壓器和過電壓防護(hù)設(shè)備；配備UP喺統(tǒng)。電力供應(yīng)(A1)應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備配備穩(wěn)壓器和過電壓防護(hù)設(shè)備；電磁防護(hù)(S3)a) 應(yīng)米用接地方式防止外界電 磁干擾和設(shè)備寄生耦合干擾；b) 電源線和通信線纜應(yīng)隔離鋪 設(shè)，避免互相干擾；C)應(yīng)

6、對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施 電磁屏蔽。按照基本要求進(jìn)行建設(shè)。 三級(jí)根據(jù)要求進(jìn)行接地， 關(guān)鍵設(shè)備和介質(zhì)的電磁 屏蔽。可米用電磁干擾 器、電磁屏蔽機(jī)柜等手段電磁防護(hù)(S2)無S1級(jí)要求電源線和通信線纜隔離鋪設(shè)，避免互相干擾；按照基本要求進(jìn)行電源 線和通信線纜隔離鋪設(shè)。網(wǎng)絡(luò)安全結(jié)構(gòu)安全(G3)a) 應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處 理能力具備冗余空間，滿足業(yè)務(wù) 高峰期需要；b) 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿 足業(yè)務(wù)高峰期需要；C)應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；d) 應(yīng)繪制與當(dāng)前運(yùn)行情況相符的 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；e) 應(yīng)根據(jù)各部門的工作職能、重 要性和所涉及信息的重要程度根據(jù)咼峰業(yè)務(wù)流

7、量，關(guān)鍵 設(shè)備選擇高端設(shè)備，核心 交換設(shè)備和接入設(shè)備帶 寬能夠支撐業(yè)務(wù)高峰的 數(shù)據(jù)量，并采用雙機(jī)冗余 配置方式。合理組網(wǎng)，繪制詳細(xì)網(wǎng)絡(luò) 拓?fù)鋱D，根據(jù)業(yè)務(wù)、部門、 信息系統(tǒng)類別等合理劃 分子網(wǎng)、VLAN、安全域。三級(jí)根據(jù)要求在以下方 面進(jìn)行加強(qiáng)設(shè)計(jì)：等因素，劃分不同的子網(wǎng)或網(wǎng) 段，并按照方便管理和控制的原 則為各子網(wǎng)、網(wǎng)段分配地址段；f）應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò) 邊界處且直接連接外部信息系 統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采 取可靠的技術(shù)隔離手段；g）應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別，保 證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先 保護(hù)重要主機(jī)。主要網(wǎng)絡(luò)設(shè)備的處理能 力以及各部分帶寬均需 滿足業(yè)務(wù)高

8、峰需要； 合理規(guī)劃路由，在業(yè)務(wù)終 端與業(yè)務(wù)服務(wù)器之間建 立安全路徑；規(guī)劃重要網(wǎng)段，在路由交 換設(shè)備上配置ACL策略 進(jìn)行隔離；網(wǎng)絡(luò)設(shè)備規(guī)劃帶寬優(yōu)先 級(jí)，保證在網(wǎng)絡(luò)發(fā)生擁堵 的時(shí)候優(yōu)先保護(hù)重要主 機(jī)。訪問控制（G3）a）應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制 設(shè)備，啟用訪問控制功能；b）應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù) 據(jù)流提供明確的允許/拒絕訪問 的能力，控制粒度為端口級(jí)；C）應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn) 行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTRFTP TELNET SMTP POP等協(xié)議命令級(jí)的控制；d）應(yīng)在會(huì)話處于非活躍一疋時(shí) 間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；e）應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng) 絡(luò)連接數(shù)；f）重要網(wǎng)段應(yīng)采取技術(shù)手段防 止

9、地址欺騙；g）應(yīng)按用戶和系統(tǒng)之間的允許 訪冋規(guī)則，決定允許或拒絕用戶 對(duì)受控系統(tǒng)進(jìn)行資源訪問，控制 粒度為單個(gè)用戶；h）應(yīng)限制具有撥號(hào)訪問權(quán)限的網(wǎng)絡(luò)邊界部署如：防火墻 等隔離設(shè)備；根據(jù)基本要求對(duì)隔離設(shè) 備以及網(wǎng)絡(luò)設(shè)備等制定 相應(yīng)的ACL策略。包括： 訪問控制粒度、用戶數(shù)量 等。三級(jí)根據(jù)要求在配置防 火墻等隔離設(shè)備的策略 時(shí)要滿足相應(yīng)要求，包 括：端口級(jí)的控制粒度； 常見應(yīng)用層協(xié)議命令過 濾；會(huì)話控制；流量控制； 連接數(shù)控制；防地址欺騙 等。用戶數(shù)量。安全審計(jì)(G3)a) 應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備 運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為 等進(jìn)行日志記錄；b) 審計(jì)記錄應(yīng)包括：事件的日期 和時(shí)間、用戶、事件

10、類型、事件 是否成功及其他與審計(jì)相關(guān)的 信息；c) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；d) 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免 受到未預(yù)期的刪除、修改或覆蓋 等。部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)， 記錄用戶網(wǎng)絡(luò)行為、網(wǎng)絡(luò) 設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量 等，審計(jì)記錄包括事件的 日期和時(shí)間、用戶、事件 類型、事件是否成功及其 他與審計(jì)相關(guān)的信息。 三級(jí)根據(jù)要求加強(qiáng)審計(jì) 功能，具備報(bào)表生成功 能,同時(shí)采用日志服務(wù)器 進(jìn)行審計(jì)記錄的保存，避 免非正常刪除、修改或覆 蓋。邊界完整 性檢查(S3)a) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn) 確定出位置，并對(duì)其進(jìn)行有效阻 斷；b) 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自

11、聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查， 準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效 阻斷。部署終端安全管理系統(tǒng)， 啟用非法外聯(lián)監(jiān)控以及 安全準(zhǔn)入功能進(jìn)行邊界 完整性檢查。三級(jí)根據(jù)要求在檢測(cè)的 同時(shí)要進(jìn)行有效阻斷。邊界完整性檢查(S2)無S1級(jí)別要求應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi) 部用戶未通過準(zhǔn)許私自聯(lián)到外 部網(wǎng)絡(luò)的行為進(jìn)行檢查。部署終端安全管理系統(tǒng)， 啟用非法外聯(lián)監(jiān)控以及 安全準(zhǔn)入功能進(jìn)行邊界 完整性檢查與控制。入侵防范(G3)a) 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻 擊仃為：端口掃扌田、強(qiáng)力攻擊、 木馬后門攻擊、拒絕服務(wù)攻擊、 緩沖區(qū)溢出攻擊、IP碎片攻擊和 網(wǎng)絡(luò)蠕蟲攻擊等；b) 當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻 擊源IP、攻擊類型、

12、攻擊目的、 攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件 時(shí)應(yīng)提供報(bào)警。部署入侵檢測(cè)系統(tǒng)進(jìn)行 入侵行為進(jìn)行檢測(cè)。包 括：端口掃描、強(qiáng)力攻擊、 木馬后門攻擊等各類攻 擊行為。三級(jí)根據(jù)要求配置入侵 檢測(cè)系統(tǒng)的日志模塊，記 錄記錄攻擊源IP、攻擊類 型、攻擊目的、攻擊時(shí)間等相關(guān)信息，并通過一定 的方式進(jìn)行告警。惡意代碼 防范（G3）a）應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼 進(jìn)行檢測(cè)和清除；b）應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和 檢測(cè)系統(tǒng)的更新。三級(jí)系統(tǒng) 在網(wǎng)絡(luò)邊界處 部署utm£AV IPS網(wǎng)關(guān)進(jìn) 行惡意代碼的檢測(cè)與清 除，并定期升級(jí)惡意代碼 庫(kù)。升級(jí)方式根據(jù)與互聯(lián) 網(wǎng)的連接狀態(tài)采取在線 或離線方式。網(wǎng)絡(luò)設(shè)備 防護(hù)（G3）a）

13、應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn) 行身份鑒別；b）應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄 地址進(jìn)行限制；c）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；d）主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶 選擇兩種或兩種以上組合的鑒 別技術(shù)來進(jìn)行身份鑒別；e）身份鑒別信息應(yīng)具有不易被 冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要 求并定期更換；f）應(yīng)具有登錄失敗處理功能，可 采取結(jié)束會(huì)話、限制非法登錄次 數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng) 退出等措施；g）當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理 時(shí)，應(yīng)采取必要措施防止鑒別信 息在網(wǎng)絡(luò)傳輸過程中被竊聽；h）應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限 分離。根據(jù)基本要求配置網(wǎng)絡(luò) 設(shè)備自身的身份鑒別與 權(quán)限控制；包括：登陸地址、標(biāo)識(shí)符、 口令的復(fù)雜度（3種以上 字符、

14、長(zhǎng)度不少于8位）、 失敗處理，傳輸加密等方 面。對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全加 固。三級(jí)根據(jù)要求對(duì)主要網(wǎng) 絡(luò)設(shè)備實(shí)施雙因素認(rèn)證 手段進(jìn)身份鑒別；對(duì)設(shè)備的管理員等特權(quán) 用戶進(jìn)行不同權(quán)限等級(jí) 的配置，實(shí)現(xiàn)權(quán)限分離。主機(jī) 安 全身份鑒別（S3）a）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù) 系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒 另b）操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理 用戶身份標(biāo)識(shí)應(yīng)具有不易被冒 用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求 并定期更換；c）應(yīng)啟用登錄失敗處理功能，可根據(jù)基本要求配置用戶名/ 口令；采用3種以上字符、長(zhǎng)度 不少于8位的口令；啟用登陸失敗處理、傳輸 加密等措施；保證用戶名的唯一性。三級(jí)根據(jù)要求對(duì)主機(jī)管米取結(jié)束會(huì)話、限制非法登錄次 數(shù)

15、和自動(dòng)退出等措施；d）當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)， 應(yīng)采取必要措施，防止鑒別信息 在網(wǎng)絡(luò)傳輸過程中被竊聽；e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng) 的不同用戶分配不同的用戶名， 確保用戶名具有唯一性。f）應(yīng)米用兩種或兩種以上組合 的鑒別技術(shù)對(duì)管理用戶進(jìn)行身 份鑒別。理員登錄時(shí)進(jìn)行雙因素 身份鑒別（USBkey密 碼）。身份鑒別（S2）a）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù) 系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒 另b）操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理 用戶身份標(biāo)識(shí)應(yīng)具有不易被冒 用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求 并定期更換；c）應(yīng)啟用登錄失敗處理功能，可 采取結(jié)束會(huì)話、限制非法登錄次 數(shù)和自動(dòng)退出等措施；d）當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)， 應(yīng)采

16、取必要措施，防止鑒別信息 在網(wǎng)絡(luò)傳輸過程中被竊聽；e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng) 的不同用戶分配不同的用戶名， 確保用戶名具有唯一性。根據(jù)基本要求對(duì)操作系 統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)配置用 戶名/ 口令；采用3種以上字符、長(zhǎng)度 不少于8位的口令； 啟用登陸失敗處理、傳輸 加密等措施；保證用戶名的唯一性。身份鑒別（S1）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別根據(jù)基本要求對(duì)操作系 統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)配置用 戶名/ 口令訪問控制（S3）a）應(yīng)啟用訪冋控制功能，依據(jù)安 全策略控制用戶對(duì)資源的訪問；根據(jù)基本要求進(jìn)行主機(jī) 訪問控制的配置，包括：b）應(yīng)根據(jù)管理用戶的角色分配 權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分 離，僅授

17、予管理用戶所需的最小 權(quán)限；c）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系 統(tǒng)特權(quán)用戶的權(quán)限分離；d）應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問 權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修 改這些帳戶的默認(rèn)口令；e）應(yīng)及時(shí)刪除多余的、過期的帳 戶，避免共享帳戶的存在。f）應(yīng)對(duì)重要信息資源設(shè)置敏感 標(biāo)記；g）應(yīng)依據(jù)安全策略嚴(yán)格控制用 戶對(duì)有敏感標(biāo)記重要信息資源 的操作；功能啟用、特權(quán)用戶權(quán)限 分離、默認(rèn)賬號(hào)和口令的 修改，無用賬號(hào)的清除 等；通過安全加固措施制定 嚴(yán)格用戶權(quán)限策略，保證 賬號(hào)、口令等符合安全策 略；二級(jí)根據(jù)要求對(duì)管理貝 進(jìn)行分級(jí)權(quán)限控制，并根 據(jù)最小權(quán)限原則僅授予 管理用戶所需的最小權(quán) 限。對(duì)重要信息（文件、數(shù)據(jù) 庫(kù)等）進(jìn)行標(biāo)記

18、，并設(shè)疋 訪問控制策略進(jìn)行訪問 控制，實(shí)現(xiàn)強(qiáng)制訪問控 制。訪問控制（S2）a）應(yīng)啟用訪冋控制功能，依據(jù)安 全策略控制用戶對(duì)資源的訪問；b）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系 統(tǒng)特權(quán)用戶的權(quán)限分離；c）應(yīng)限制默認(rèn)帳戶的訪問權(quán)限， 重命名系統(tǒng)默認(rèn)帳戶，修改這些 帳戶的默認(rèn)口令；d）應(yīng)及時(shí)刪除多余的、過期的帳 戶，避免共享帳戶的存在。根據(jù)基本要求進(jìn)行主機(jī) 訪問控制的配置，包括： 功能啟用、特權(quán)用戶權(quán)限 分離、默認(rèn)賬號(hào)和口令的 修改，無用賬號(hào)的清除 等；通過安全加固措施制定 嚴(yán)格用戶權(quán)限策略，保證 賬號(hào)、口令等符合安全策 略；訪問控制（S1）a）應(yīng)啟用訪冋控制功能，依據(jù)安 全策略控制用戶對(duì)資源的訪問；b）應(yīng)限制

19、默認(rèn)帳戶的訪問權(quán)限， 重命名系統(tǒng)默認(rèn)帳戶，修改這些 帳戶的默認(rèn)口令；根據(jù)基本要求進(jìn)行主機(jī) 訪問控制的配置，包括： 功能啟用、默認(rèn)賬號(hào)和口 令的修改，無用賬號(hào)的清 除等；c）應(yīng)及時(shí)刪除多余的、過期的帳 戶，避免共享帳戶的存在。通過安全加固措施制定 嚴(yán)格用戶權(quán)限策略，保證 賬號(hào)、口令等符合安全策 略安全審計(jì)（G3）a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器和 重要客戶端上的每個(gè)操作系統(tǒng) 用戶和數(shù)據(jù)庫(kù)用戶；b）審計(jì)內(nèi)容應(yīng)包括重要用戶行 為、系統(tǒng)資源的異常使用和重要 系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要 的安全相關(guān)事件；c）審計(jì)記錄應(yīng)包括事件的日期、 時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo) 識(shí)和結(jié)果等；d）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分 析，

20、并生成審計(jì)報(bào)表；e）應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未 預(yù)期的中斷；f）應(yīng)保護(hù)審計(jì)記錄，避免受到未 預(yù)期的刪除、修改或覆蓋等。部署主機(jī)審計(jì)系統(tǒng)進(jìn)行 文件操作審計(jì)、外掛設(shè)備 操作審計(jì)、非法外聯(lián)審 計(jì)、IP地址更改審計(jì)、服 務(wù)與進(jìn)程審計(jì)等； 根據(jù)基本要求記錄用戶 行為，資源狀況等，審計(jì) 記錄包括事件的日期、時(shí) 間、類型、主體標(biāo)識(shí)、客 體標(biāo)識(shí)和結(jié)果，并保護(hù)好 審計(jì)結(jié)果。三級(jí)根據(jù)要求將審計(jì)范 圍擴(kuò)大到重要客戶端； 同時(shí)能夠生成審計(jì)報(bào)表。剩余信息 保護(hù)（S3）a）應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)系 統(tǒng)用戶的鑒別信息所在的存儲(chǔ) 空間，被釋放或再分配給其他用 戶前得到完全清除，無論這些信 息是存放在硬盤上還是在內(nèi)存 中；b）

21、應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和 數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ) 空間，被釋放或重新分配給其他 用戶前得到完全清除。通過對(duì)操作系統(tǒng)及數(shù)據(jù) 庫(kù)系統(tǒng)進(jìn)仃安全加固配 置，及時(shí)清除剩余信息的 存儲(chǔ)空間。入侵防范（G3）a）應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器 進(jìn)行入侵的行為，能夠記錄入侵 的源IP、攻擊的類型、攻擊的目 的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重 入侵事件時(shí)提供報(bào)警；b）應(yīng)能夠?qū)χ匾绦虻耐暾?進(jìn)行檢測(cè)，并在檢測(cè)到完整性受部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) 和主機(jī)入侵檢測(cè)系統(tǒng)，記 錄入侵行為并告警； 根據(jù)基本要求通過安全 力卩固措施制加固系統(tǒng)； 部署終端安全管理系統(tǒng) 進(jìn)行補(bǔ)丁及時(shí)分發(fā)。到破壞后具有恢復(fù)的措施；C）操作系統(tǒng)應(yīng)遵循最小安

22、裝的 原則，僅安裝需要的組件和應(yīng)用 程序，并通過設(shè)置升級(jí)服務(wù)器等 方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更 新。三級(jí)根據(jù)要求配置IDS, 檢測(cè)到對(duì)重要服務(wù)器進(jìn) 行入侵的行為，能夠記錄 入侵的源IP、攻擊的類 型、攻擊的目的、攻擊的 時(shí)間，并在發(fā)生嚴(yán)重入侵 事件時(shí)提供報(bào)警。對(duì)重要 程序進(jìn)行代碼審查，去除 漏洞，配置主機(jī)入侵檢測(cè) 以及終端管理軟件進(jìn)行 完整性檢測(cè)。惡意代碼 防范（G3）a）應(yīng)安裝防惡意代碼軟件，并及 時(shí)更新防惡意代碼軟件版本和 惡意代碼庫(kù)；b）主機(jī)防惡意代碼產(chǎn)品應(yīng)具有 與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的 惡意代碼庫(kù)；c）應(yīng)支持防惡意代碼的統(tǒng)一管 理。部署終端防惡意代碼軟 件，及時(shí)進(jìn)行升級(jí)更新； 進(jìn)行漏洞

23、掃描，及時(shí)進(jìn)行 系統(tǒng)補(bǔ)丁更新。三級(jí)根據(jù)要求將終端防 惡意代碼軟件與邊界處 的網(wǎng)關(guān)設(shè)備進(jìn)行異構(gòu)部 署。資源控制（A3）a）應(yīng)通過設(shè)定終端接入方式、網(wǎng) 絡(luò)地址范圍等條件限制終端登 錄；b）應(yīng)根據(jù)安全策略設(shè)置登錄終 端的操作超時(shí)鎖定；C）應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包 括監(jiān)視服務(wù)器的CPU硬盤、內(nèi) 存、網(wǎng)絡(luò)等資源的使用情況；d）應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源 的最大或最小使用限度；e）應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降 低到預(yù)先規(guī)疋的最小值進(jìn)行檢 測(cè)和報(bào)警。根據(jù)基本要求通過安全 加固措施制進(jìn)行限定； 部署應(yīng)用安全管理系統(tǒng)（APM進(jìn)行資源監(jiān)控。 三級(jí)根據(jù)要求通過安全 加固，對(duì)重要服務(wù)器進(jìn)行 監(jiān)視，包括監(jiān)視服務(wù)器的 CPU

24、硬盤、內(nèi)存、網(wǎng)絡(luò) 等資源的使用情況，對(duì)系 統(tǒng)服務(wù)相關(guān)閾值進(jìn)行檢 測(cè)告警。資源控制（A2）無A1級(jí)a）應(yīng)通過設(shè)定終端接入方式、網(wǎng) 絡(luò)地址范圍等條件限制終端登 錄；b）應(yīng)根據(jù)安全策略設(shè)置登錄終根據(jù)基本要求通過安全 加固措施制進(jìn)行限定；部 署應(yīng)用監(jiān)控管理系統(tǒng)進(jìn) 行資源監(jiān)控。別要求端的操作超時(shí)鎖定；C）應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源 的最大或最小使用限度。應(yīng) 用 安 全身份鑒別（S3）a）應(yīng)提供專用的登錄控制模塊 對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒 另b）應(yīng)對(duì)同一用戶米用兩種或兩 種以上組合的鑒別技術(shù)實(shí)現(xiàn)用 戶身份鑒別；c）應(yīng)提供用戶身份標(biāo)識(shí)唯一和 鑒別信息復(fù)雜度檢查功能，保證 應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身

25、份鑒別信息不易被冒 用；d）應(yīng)提供登錄失敗處理功能，可 采取結(jié)束會(huì)話、限制非法登錄次 數(shù)和自動(dòng)退出等措施；e）應(yīng)啟用身份鑒別、用戶身份標(biāo) 識(shí)唯一性檢查、用戶身份鑒別信 息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相 關(guān)參數(shù)。根據(jù)基本要求配置用戶 名/ 口令；采用3種以上字符、長(zhǎng)度 不少于8位的口令； 設(shè)計(jì)登陸失敗處理措施， 采取結(jié)束會(huì)話、限制非法 登錄次數(shù)和自動(dòng)退出等 措施；保證系統(tǒng)用戶名的唯一 性。三級(jí)根據(jù)要求進(jìn)行雙因 素認(rèn)證或采用CAS統(tǒng)進(jìn)行身份鑒 別。身份鑒別（S2）a）應(yīng)提供專用的登錄控制模塊 對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒 另b）應(yīng)提供用戶身份標(biāo)識(shí)唯一和 鑒別信息復(fù)雜度檢查功能，

26、保證 應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒 用；C）應(yīng)提供登錄失敗處理功能，可 采取結(jié)束會(huì)話、限制非法登錄次 數(shù)和自動(dòng)退出等措施；d）應(yīng)啟用身份鑒別、用戶身份標(biāo)根據(jù)基本要求配置用戶名/ 口令；采用3種以上字符、長(zhǎng)度 不少于8位的口令； 設(shè)計(jì)登陸失敗處理措施， 采取結(jié)束會(huì)話、限制非法 登錄次數(shù)和自動(dòng)退出等 措施；保證系統(tǒng)用戶名的唯一 性。識(shí)唯一性檢查、用戶身份鑒別信 息復(fù)雜度檢查以及登錄失敗處 理功能，并根據(jù)安全策略配置相 關(guān)參數(shù)。身份鑒別（S1）a）應(yīng)提供專用的登錄控制模塊 對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒 另b）應(yīng)提供登錄失敗處理功能，可 采取結(jié)束會(huì)話、限制非法登錄次 數(shù)和自動(dòng)退

27、出等措施；C）應(yīng)啟用身份鑒別和登錄失敗 處理功能，并根據(jù)安全策略配置 相關(guān)參數(shù)。根據(jù)基本要求配置用戶名/ 口令；設(shè)計(jì)登陸失敗處理措施， 采取結(jié)束會(huì)話、限制非法 登錄次數(shù)和自動(dòng)退出等 措施；訪問控制（S3）a）應(yīng)提供訪問控制功能，依據(jù)安 全策略控制用戶對(duì)文件、數(shù)據(jù)庫(kù) 表等客體的訪問；b）訪問控制的覆蓋范圍應(yīng)包括 與資源訪問相關(guān)的主體、客體及 它們之間的操作；C）應(yīng)由授權(quán)主體配置訪問控制 策略，并嚴(yán)格限制默認(rèn)帳戶的訪 問權(quán)限；d）應(yīng)授予不同帳戶為完成各自 承擔(dān)任務(wù)所需的最小權(quán)限，并在 它們之間形成相互制約的關(guān)系。e）應(yīng)具有對(duì)重要信息資源設(shè)置 敏感標(biāo)記的功能；f）應(yīng)依據(jù)安全策略嚴(yán)格控制用 戶對(duì)有敏感

28、標(biāo)記重要信息資源 的操作；根據(jù)基本要求進(jìn)行訪冋 控制的配置，包括：權(quán)限 定義、默認(rèn)賬號(hào)的權(quán)限管 理、控制粒度的確定等； 通過安全加固措施制定 嚴(yán)格用戶權(quán)限策略，保證 賬號(hào)、口令等符合安全策 略；通過防火墻制定符合基 本要求的AC策略。三級(jí)根據(jù)要求根據(jù)系統(tǒng) 重要資源的標(biāo)記以及定 義的安全策略進(jìn)行嚴(yán)格 的訪問控制。訪問控制（S2）a）應(yīng)提供訪問控制功能，依據(jù)安 全策略控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問；根據(jù)基本要求進(jìn)行訪冋 控制的配置，包括：權(quán)限 定義、默認(rèn)賬號(hào)的權(quán)限管b）訪問控制的覆蓋范圍應(yīng)包括 與資源訪問相關(guān)的主體、客體及 它們之間的操作；C）應(yīng)由授權(quán)主體配置訪問控制 策略，并嚴(yán)格限制默認(rèn)帳

29、戶的訪 問權(quán)限；d）應(yīng)授予不同帳戶為完成各自 承擔(dān)任務(wù)所需的最小權(quán)限，并在 它們之間形成相互制約的關(guān)系。理、控制粒度的確定等；通過安全加固措施制定 嚴(yán)格用戶權(quán)限策略，保證 賬號(hào)、口令等符合安全策 略；通過防火墻制定符合基本要求的ACL策略。訪問控制（S1）a）應(yīng)提供訪問控制功能控制用 戶組/用戶對(duì)系統(tǒng)功能和用戶數(shù) 據(jù)的訪問；b）應(yīng)由授權(quán)主體配置訪問控制 策略，并嚴(yán)格限制默認(rèn)用戶的訪 問權(quán)限根據(jù)基本要求進(jìn)行訪冋 控制的配置，包括：權(quán)限 定義、默認(rèn)賬號(hào)的權(quán)限管 理、控制粒度的確定等。安全審計(jì)（G3）a）應(yīng)提供覆蓋到每個(gè)用戶的安 全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安 全事件進(jìn)行審計(jì)；b）應(yīng)保證無法單獨(dú)中斷審

30、計(jì)進(jìn) 程，無法刪除、修改或覆蓋審計(jì) 記錄；c）審計(jì)記錄的內(nèi)容至少應(yīng)包括 事件的日期、時(shí)間、發(fā)起者信息、 類型、描述和結(jié)果等；d）應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行 統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào) 表的功能。應(yīng)用系統(tǒng)開發(fā)應(yīng)用審計(jì) 功能，根據(jù)基本要求記錄系統(tǒng) 重要安全事件的日期、時(shí) 間、發(fā)起者信息、類型、 描述和結(jié)果等，并保護(hù)好 審計(jì)結(jié)果。部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)對(duì) 用戶行為、用戶事件及系 統(tǒng)狀態(tài)加以審計(jì)，從而把 握數(shù)據(jù)庫(kù)系統(tǒng)的整體安 全。三級(jí)根據(jù)要求不僅生成 審計(jì)記錄，還要對(duì)審計(jì)記 錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、 分析及生成審計(jì)報(bào)表。剩余信息 保護(hù)（S3）a）應(yīng)保證用戶鑒別信息所在的 存儲(chǔ)空間被釋放或再分配給其 他用戶前

31、得到完全清除，無論這通過對(duì)操作系統(tǒng)及數(shù)據(jù) 庫(kù)系統(tǒng)進(jìn)仃安全加固配 置，及時(shí)清除剩余信息的些信息是存放在硬盤上還是在內(nèi)存中；b）應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和 數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ) 空間被釋放或重新分配給其他 用戶前得到完全清除。存儲(chǔ)空間。通信完整性（S3）應(yīng)米用密碼技術(shù)保證通信過程 中數(shù)據(jù)的完整性。應(yīng)用系統(tǒng)開發(fā)數(shù)據(jù)完整 性校驗(yàn)功能，采用消息摘 要機(jī)制確保完整性校驗(yàn)；米用密碼機(jī)或PKI體系中 的完整性校驗(yàn)功能進(jìn)行 完整性檢查，保障通信完 整性。通信完整性（S2）應(yīng)米用校驗(yàn)碼技術(shù)保證通信過 程中數(shù)據(jù)的完整性。應(yīng)用系統(tǒng)開發(fā)數(shù)據(jù)完整 性校驗(yàn)功能，采用消息摘 要機(jī)制確保完整性校驗(yàn)；米用密碼機(jī)或PKI體系

32、中 的完整性校驗(yàn)功能進(jìn)行 完整性檢查，保障通信完 整性。通信完整性（S1）應(yīng)米用約定通信會(huì)話方式的方法保證通信過程中數(shù)據(jù)的完整性應(yīng)用系統(tǒng)開發(fā)約定通信 會(huì)話方式的方法保證通 信過程中數(shù)據(jù)的完整性。通信保密性（S3）a）在通信雙方建立連接之前，應(yīng) 用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；b）應(yīng)對(duì)通信過程中的 整個(gè)報(bào)文 或會(huì)話過程進(jìn)行加密。應(yīng)用系統(tǒng)自身開發(fā)數(shù)據(jù) 加密功能；米用密碼機(jī)或PKI體系的 加密功能保障通信保密 性。三級(jí)根據(jù)要求需要整個(gè) 報(bào)文或會(huì)話過程進(jìn)行加 密。通信保密性（S2）無S1級(jí)別要求a）在通信雙方建立連接之前，應(yīng) 用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；b）應(yīng)對(duì)通信過程中的敏感信息

33、 字段進(jìn)行加密。應(yīng)用系統(tǒng)自身開發(fā)數(shù)據(jù) 加密功能；米用密碼機(jī)或PKI體系的 加密功能保障通信保密 性。抗抵賴（G3）a）應(yīng)具有在請(qǐng)求的情況下為數(shù) 據(jù)原發(fā)者或接收者提供數(shù)據(jù)原 發(fā)證據(jù)的功能；b）應(yīng)具有在請(qǐng)求的情況下為數(shù) 據(jù)原發(fā)者或接收者提供數(shù)據(jù)接 收證據(jù)的功能。應(yīng)用PKI體系數(shù)字簽名功 能提供抗抵賴功能。軟件容錯(cuò)（A3）a）應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能， 保證通過人機(jī)接口輸入或通過 通信接口輸入的數(shù)據(jù)格式或長(zhǎng) 度符合系統(tǒng)設(shè)定要求；b）應(yīng)提供自動(dòng)保護(hù)功能，當(dāng)故障 發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài)， 保證系統(tǒng)能夠進(jìn)行恢復(fù)。進(jìn)行代碼審核，對(duì)輸入數(shù) 據(jù)進(jìn)行檢查，保證符合規(guī) 疋；三級(jí)根據(jù)要求系統(tǒng)具備 自動(dòng)保護(hù)功能設(shè)計(jì)

34、，故障 后可以恢復(fù)。軟件容錯(cuò)（A2）a）應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求；b）在故障發(fā)生時(shí)，應(yīng)用系統(tǒng)應(yīng)能 夠繼續(xù)提供一部分功能，確保能 夠?qū)嵤┍匾拇胧＿M(jìn)行代碼審核，對(duì)輸入數(shù) 據(jù)進(jìn)行檢查，保證符合規(guī) 定；具備自動(dòng)保護(hù)功能設(shè) 計(jì)，故障后可以恢復(fù)。軟件容錯(cuò)（A1）應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保 證通過人機(jī)接口輸入或通過通 信接口輸入的數(shù)據(jù)格式或長(zhǎng)度 符合系統(tǒng)設(shè)定要求。進(jìn)行代碼審核，對(duì)輸入數(shù) 據(jù)進(jìn)行檢查，保證符合規(guī)定。資源控制（A3）a）當(dāng)應(yīng)用系統(tǒng)的通信雙方中的 一方在一段時(shí)間內(nèi)未作任何響 應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)通過安全加固措施制進(jìn)

35、 行系統(tǒng)資源限定（并發(fā)、 會(huì)話、存儲(chǔ)空間等）；話；b）應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì) 話連接數(shù)進(jìn)行限制；C）應(yīng)能夠?qū)蝹€(gè)帳戶的多重并 發(fā)會(huì)話進(jìn)行限制；d）應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能 的并發(fā)會(huì)話連接數(shù)進(jìn)行限制；e）應(yīng)能夠?qū)σ粋€(gè)訪問帳戶或一 個(gè)請(qǐng)求進(jìn)程占用的資源分配最 大限額和最小限額；f）應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低 到預(yù)先規(guī)疋的最小值進(jìn)行檢測(cè) 和報(bào)警；g）應(yīng)提供服務(wù)優(yōu)先級(jí)設(shè)定功能， 并在安裝后根據(jù)安全策略設(shè)定 訪問帳戶或請(qǐng)求進(jìn)程的優(yōu)先級(jí)， 根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源。部署應(yīng)用安全管理系統(tǒng) 進(jìn)行資源監(jiān)控。三級(jí)根據(jù)要求細(xì)化加固 措施，劉并發(fā)連接、資源 配額、系統(tǒng)服務(wù)相關(guān)閾 值、系統(tǒng)服務(wù)優(yōu)先級(jí)等進(jìn) 行限制和管理。資

36、源控制（A2）無A1級(jí)別要求a）當(dāng)應(yīng)用系統(tǒng)的通信雙方中的 一方在一段時(shí)間內(nèi)未作任何響 應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì) 話；b）應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并 發(fā)會(huì)話連接數(shù)進(jìn)行限制；C）應(yīng)能夠?qū)蝹€(gè)帳戶的多重并 發(fā)會(huì)話進(jìn)行限制。通過安全加固措施制進(jìn) 行系統(tǒng)資源限定（并發(fā)、 會(huì)話、存儲(chǔ)空間等）；部 署應(yīng)用監(jiān)控管理系統(tǒng)進(jìn) 行資源監(jiān)控。數(shù)據(jù)安全與備份恢?jǐn)?shù)據(jù)完整性（S3）a）應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、 鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳 輸過程中完整性受到破壞，并在 檢測(cè)到完整性錯(cuò)誤時(shí)采取必要 的恢復(fù)措施；b）應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、 鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存 儲(chǔ)過程中完整性受到破壞，并在 檢測(cè)到完整性錯(cuò)誤時(shí)采取必要

37、 的恢復(fù)措施。應(yīng)用系統(tǒng)采用數(shù)據(jù)校驗(yàn) 技術(shù)對(duì)數(shù)據(jù)進(jìn)行完整性 檢杳；數(shù)據(jù)受到破壞后通過備 份策略進(jìn)行數(shù)據(jù)恢復(fù)； 利用密碼機(jī)保障數(shù)據(jù)傳 輸過程中的數(shù)據(jù)完整性。三級(jí)根據(jù)要求在傳輸過 程增加對(duì)系統(tǒng)管理數(shù)據(jù) 的檢測(cè)與恢復(fù)，配置存儲(chǔ)系統(tǒng)對(duì)系統(tǒng)管復(fù)理數(shù)據(jù)、鑒別信息和重要 業(yè)務(wù)數(shù)據(jù)存儲(chǔ)過程中的 完整性進(jìn)行檢測(cè)與恢復(fù)數(shù)據(jù)完整性（S2）應(yīng)能夠檢測(cè)到鑒別信息和重要 業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性 受到破壞。應(yīng)用系統(tǒng)采用數(shù)據(jù)校驗(yàn) 技術(shù)對(duì)數(shù)據(jù)進(jìn)行完整性 檢杳；數(shù)據(jù)受到破壞后通過備 份策略進(jìn)行數(shù)據(jù)恢復(fù)； 利用密碼機(jī)保障數(shù)據(jù)傳 輸過程中的數(shù)據(jù)完整性。數(shù)據(jù)完整性（S1）應(yīng)能夠檢測(cè)到重要用戶數(shù)據(jù)在傳輸過程中完整性受到破壞應(yīng)用系統(tǒng)采用

38、數(shù)據(jù)校驗(yàn) 技術(shù)對(duì)數(shù)據(jù)進(jìn)行完整性 檢查，能夠檢查出重要用 戶數(shù)據(jù)的完整性是否被 破壞。數(shù)據(jù)保密性（S3）a）應(yīng)米用加密或其他有效措施 實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和 重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；b）應(yīng)米用加密或其他保護(hù)措施 實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和 重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)保密性。應(yīng)用系統(tǒng)針對(duì)鑒別信息 的存儲(chǔ)開發(fā)加密功能。利用加密機(jī)實(shí)現(xiàn)管理數(shù) 據(jù)、鑒別信息和重要業(yè)務(wù) 數(shù)據(jù)傳輸過程的保密性數(shù)據(jù)保密性（S2）、無S1級(jí)別要求應(yīng)米用加密或其他保護(hù)措施實(shí) 現(xiàn)鑒別信息的存儲(chǔ)保密性。應(yīng)用系統(tǒng)針對(duì)鑒別信息 的存儲(chǔ)開發(fā)加密功能。備份與恢復(fù)（A3）a）應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù) 功能，完全數(shù)據(jù)備份至少每天一 次，備份介質(zhì)場(chǎng)外

39、存放；b）應(yīng)提供異地?cái)?shù)據(jù)備份功能，利 用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批 量傳送至備用場(chǎng)地；C）應(yīng)米用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓 撲結(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)根據(jù)基本要求對(duì)重要數(shù) 據(jù)進(jìn)行疋期備份； 對(duì)核心交換設(shè)備、線路、 主要設(shè)備進(jìn)行冗余設(shè)計(jì)。三級(jí)根據(jù)要求進(jìn)行每天 數(shù)據(jù)備份且介質(zhì)存放與 場(chǎng)外；構(gòu)建網(wǎng)絡(luò)實(shí)現(xiàn)異地備份；故障；d）應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線 路和數(shù)據(jù)處理系統(tǒng)的硬件冗余， 保證系統(tǒng)的高可用性。網(wǎng)絡(luò)結(jié)構(gòu)、主要網(wǎng)絡(luò)設(shè) 備、出口線路及主機(jī)服務(wù) 器等進(jìn)行咼可靠冗余設(shè) 計(jì)。備份與恢復(fù)（A2）a）應(yīng)能夠?qū)χ匾畔⑦M(jìn)行備份和恢復(fù)；b）應(yīng)提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線 路和數(shù)據(jù)處理系統(tǒng)的硬件冗余， 保證系統(tǒng)的可用性。根據(jù)基

40、本要求對(duì)重要信息進(jìn)行疋期備份；對(duì)核心交換設(shè)備、線路、 主要設(shè)備進(jìn)行冗余設(shè)計(jì)。備份與恢復(fù)（A1）應(yīng)能夠?qū)χ匾畔⑦M(jìn)行備份和 恢復(fù)根據(jù)基本要求對(duì)重要信息進(jìn)行疋期備份1.2管理部分管理部分具體如下表所示，均為 G3類要求要求類別基本要求（三級(jí)）解決方案安 全 管 理 制 度管理制度a）應(yīng)制定信息安全工作的總體 方針和安全策略，說明機(jī)構(gòu)安全 工作的總體目標(biāo)、范圍、原則和 安全框架等；b）應(yīng)對(duì)安全管理活動(dòng)中的各類 管理內(nèi)容建立安全管理制度；C）應(yīng)對(duì)要求管理人員或操作人 員執(zhí)行的日常管理操作建立操 作規(guī)程；d）應(yīng)形成由安全策略、管理制 度、操作規(guī)程等構(gòu)成的全面的信 息安全管理制度體系。根據(jù)安全管理制度的基

41、本 要求制定各類管理規(guī)定、管 理辦法和暫行規(guī)定。從安全 策略主文檔中規(guī)定的安全 各個(gè)方面所應(yīng)遵守的原則 方法和指導(dǎo)性策略引出的 具體管理規(guī)定、管理辦法和 實(shí)施辦法，是具有可操作 性，且必須得到有效推行和 實(shí)施的制度。制定嚴(yán)格的制度制定與發(fā) 布流程，方式，范圍等； 定期對(duì)安全管理制度進(jìn)行制定與發(fā)布a）應(yīng)指定或授權(quán)專門的部門或 人員負(fù)責(zé)安全管理制度的制定；b）安全管理制度應(yīng)具有統(tǒng)一的 格式，并進(jìn)行版本控制；C）應(yīng)組織相關(guān)人員對(duì)制定的安 全管理制度進(jìn)行論證和審定；d）安全管理制度應(yīng)通過正式、有效的方式發(fā)布；e）安全管理制度應(yīng)注明發(fā)布范 圍，并對(duì)收發(fā)文進(jìn)行登記。評(píng)審和修訂，修訂不足及進(jìn) 行改進(jìn)。評(píng)審與

42、修訂a）信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定 期組織相關(guān)部門和相關(guān)人員對(duì) 安全管理制度體系的合理性和 適用性進(jìn)行審定；b）應(yīng)定期或不定期對(duì)安全管理 制度進(jìn)行檢查和審定，對(duì)存在不 足或需要改進(jìn)的安全管理制度 進(jìn)行修訂。安 全 管 理 機(jī) 構(gòu)崗位設(shè)置a）應(yīng)設(shè)立信息安全管理工作的 職能部門，設(shè)立安全主管、安全 管理各個(gè)方面的負(fù)責(zé)人崗位，并 定義各負(fù)責(zé)人的職責(zé)；b）應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理 員、安全管理員等崗位，并定義 各個(gè)工作崗位的職責(zé)；c）應(yīng)成立指導(dǎo)和管理信息安全 工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最 高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或 授權(quán)；d）應(yīng)制定文件明確安全管理機(jī) 構(gòu)各個(gè)部門和崗位的職責(zé)、分工 和技能要求。根據(jù)基本

43、要求設(shè)置安全管 理機(jī)構(gòu)的組織形式和運(yùn)作 方式，明確崗位職責(zé)； 設(shè)置安全管理崗位，設(shè)立系 統(tǒng)管理員、網(wǎng)絡(luò)管理員、安 全管理員等崗位，根據(jù)要求 進(jìn)行人員配備，配備專職安 全員；建立授權(quán)與審批制度； 建立內(nèi)外部溝通合作渠道； 定期進(jìn)行全面安全檢查，特 別是系統(tǒng)日常運(yùn)行、系統(tǒng)漏 洞和數(shù)據(jù)備份等。人員配備a）應(yīng)配備一定數(shù)量的系統(tǒng)管理 員、網(wǎng)絡(luò)管理員、安全管理員等；b）應(yīng)配備專職安全管理員，不可 兼任；c）關(guān)鍵事務(wù)崗位應(yīng)配備多人共 同管理。授權(quán)與審批a）應(yīng)根據(jù)各個(gè)部門和崗位的職 責(zé)明確授權(quán)審批事項(xiàng)、審批部門 和批準(zhǔn)人等；b）應(yīng)針對(duì)系統(tǒng)變更、重要操作、 物理訪冋和系統(tǒng)接入等事項(xiàng)建 立審批程序，按照審批程序執(zhí)

44、行 審批過程，對(duì)重要活動(dòng)建立逐級(jí)審批制度；C）應(yīng)定期審查審批事項(xiàng)，及時(shí)更 新需授權(quán)和審批的項(xiàng)目、審批部 門和審批人等信息；d）應(yīng)記錄審批過程并保存審批 文檔。溝通與合作a）應(yīng)加強(qiáng)各類管理人員之間、組 織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通，定 期或不定期召開協(xié)調(diào)會(huì)議，共同 協(xié)作處理信息安全問題；b）應(yīng)加強(qiáng)與兄弟單位、公安機(jī) 關(guān)、電信公司的合作與溝通；c）應(yīng)加強(qiáng)與供應(yīng)商、業(yè)界專家、 專業(yè)的安全公司、安全組織的合 作與溝通；d）應(yīng)建立外聯(lián)單位聯(lián)系列表，包 括外聯(lián)單位名稱、合作內(nèi)容、聯(lián) 系人和聯(lián)系方式等信息；e）應(yīng)聘請(qǐng)信息安全專家作為常 年的安全顧問，指導(dǎo)信息安全建 設(shè)，參與安全規(guī)劃和安

45、全評(píng)審 等。審核與檢查a）安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行 安全檢查，檢查內(nèi)容包括系統(tǒng)日 常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等 情況；b）應(yīng)由內(nèi)部人員或上級(jí)單位定期進(jìn)行全面安全檢查，檢查內(nèi)容 包括現(xiàn)有安全技術(shù)措施的有效 性、安全配置與安全策略的一致 性、安全管理制度的執(zhí)行情況 等；C）應(yīng)制定安全檢查表格實(shí)施安 全檢查，匯總安全檢查數(shù)據(jù)，形 成安全檢查報(bào)告，并對(duì)安全檢查 結(jié)果進(jìn)行通報(bào)；d）應(yīng)制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查 工作，定期按照程序進(jìn)行安全審 核和安全檢查活動(dòng)。人 員 安 全 管 理人員錄用a）應(yīng)指定或授權(quán)專門的部門或 人員負(fù)責(zé)人員錄用；b）應(yīng)嚴(yán)格規(guī)范人員錄用過程，對(duì) 被錄用人的身份、

46、背景、專業(yè)資 格和資質(zhì)等進(jìn)行審查，對(duì)其所具 有的技術(shù)技能進(jìn)行考核；c）應(yīng)簽署保密協(xié)議；d）應(yīng)從內(nèi)部人員中選拔從事關(guān) 鍵崗位的人員，并簽署崗位安全 協(xié)議。根據(jù)基本要求制定人員錄 用，離崗、考核、培訓(xùn)幾個(gè) 方面的規(guī)定，并嚴(yán)格執(zhí)行； 規(guī)定外部人員訪問流程，并 嚴(yán)格執(zhí)行。人員離崗a）應(yīng)嚴(yán)格規(guī)范人員離崗過程，及 時(shí)終止離崗員工的所有訪問權(quán) 限；b）應(yīng)取回各種身份證件、鑰匙、 徽章等以及機(jī)構(gòu)提供的軟硬件 設(shè)備；c）應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)，關(guān)鍵 崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開。人員考核a）應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn) 行安全技能及安全認(rèn)知的考核；b）應(yīng)對(duì)關(guān)鍵岡位的人員進(jìn)行全 面、嚴(yán)格的安全審查和技能

47、考 核；c）應(yīng)對(duì)考核結(jié)果進(jìn)行記錄并保 存。安全意識(shí)教育和培訓(xùn)a）應(yīng)對(duì)各類人員進(jìn)行安全意識(shí) 教育、崗位技能培訓(xùn)和相關(guān)安全 技術(shù)培訓(xùn)；b）應(yīng)對(duì)安全責(zé)任和懲戒措施進(jìn)行書面規(guī)疋并告知相關(guān)人員，對(duì) 違反違背安全策略和規(guī)定的人 員進(jìn)行懲戒；c）應(yīng)對(duì)定期安全教育和培訓(xùn)進(jìn) 行書面規(guī)定，針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，對(duì)信息安全基 礎(chǔ)知識(shí)、岡位操作規(guī)程等進(jìn)行培 訓(xùn)；d）應(yīng)對(duì)安全教育和培訓(xùn)的情況 和結(jié)果進(jìn)行記錄并歸檔保存。外部人員訪問管理a）應(yīng)確保在外部人員訪問受控區(qū)域前先提出書面申請(qǐng)，批準(zhǔn)后 由專人全程陪同或監(jiān)督，并登記 備案；b）對(duì)外部人員允許訪問的區(qū)域、 系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行 書面的規(guī)定，并按照規(guī)定

48、執(zhí)行。系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)a）應(yīng)明確信息系統(tǒng)的邊界和安 全保護(hù)等級(jí)；b）應(yīng)以書面的形式說明確定信 息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的 方法和理由；C）應(yīng)組織相關(guān)部門和有關(guān)安全 技術(shù)專豕對(duì)信息系統(tǒng)疋級(jí)結(jié)果 的合理性和正確性進(jìn)行論證和 審定；d）應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果 經(jīng)過相關(guān)部門的批準(zhǔn)。根據(jù)基本要求制定系統(tǒng)建 設(shè)管理制度，包括：系統(tǒng)定 級(jí)、安全方案設(shè)計(jì)、產(chǎn)品米 購(gòu)和使用、自行軟件開發(fā)、 外包軟件開發(fā)、工程實(shí)施、 測(cè)試驗(yàn)收、系統(tǒng)交付、系統(tǒng) 備案、等級(jí)評(píng)測(cè)、安全服務(wù) 商選擇等方面。從工程實(shí)施 的前、中、后三個(gè)方面，從 初始定級(jí)設(shè)計(jì)到驗(yàn)收評(píng)測(cè) 完整的工程周期角度進(jìn)行 系統(tǒng)建設(shè)管理。安全方案設(shè)計(jì)a）應(yīng)根據(jù)系統(tǒng)

49、的安全保護(hù)等級(jí) 選擇基本安全措施，并依據(jù)風(fēng)險(xiǎn) 分析的結(jié)果補(bǔ)充和調(diào)整安全措 施；b）應(yīng)指定和授權(quán)專門的部門對(duì) 信息系統(tǒng)的安全建設(shè)進(jìn)行總體 規(guī)劃，制定近期和遠(yuǎn)期的安全建 設(shè)工作計(jì)劃；C）應(yīng)根據(jù)信息系統(tǒng)的等級(jí)劃分 情況，統(tǒng)一考慮安全保障體系的 總體安全策略、安全技術(shù)框架、 安全管理策略、總體建設(shè)規(guī)劃和 詳細(xì)設(shè)計(jì)方案，并形成配套文 件；d）應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專豕對(duì)總體安全策略、安全 技術(shù)框架、安全管理策略、總體 建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān) 配套文件的合理性和正確性進(jìn) 行論證和審定，并且經(jīng)過批準(zhǔn) 后，才能正式實(shí)施；e）應(yīng)根據(jù)等級(jí)測(cè)評(píng)、安全評(píng)估的 結(jié)果定期調(diào)整和修訂總體安全 策略、安全技術(shù)框架

50、、安全管理 策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì) 方案等相關(guān)配套文件。產(chǎn)品采購(gòu)和使用a）應(yīng)確保安全產(chǎn)品采購(gòu)和使用 符合國(guó)家的有關(guān)規(guī)定；b）應(yīng)確保密碼產(chǎn)品米購(gòu)和使用 符合國(guó)家密碼主管部門的要求；C）應(yīng)指定或授權(quán)專門的部門負(fù) 責(zé)產(chǎn)品的米購(gòu)；d）應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試， 確定產(chǎn)品的候選范圍，并定期審 定和更新候選產(chǎn)品名單。自行軟件開發(fā)a）應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行 環(huán)境物理分開，開發(fā)人員和測(cè)試 人員分離，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果 受到控制；b）應(yīng)制定軟件開發(fā)管理制度，明 確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則；C）應(yīng)制定代碼編寫安全規(guī)范，要 求開發(fā)人員參照規(guī)范編寫代碼；d）應(yīng)確保提供軟件設(shè)計(jì)的相關(guān) 文檔和使用指南

51、，并由專人負(fù)責(zé) 保管；e）應(yīng)確保對(duì)程序資源庫(kù)的修改、 更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。外包軟件開發(fā)a）應(yīng)根據(jù)開發(fā)需求檢測(cè)軟件質(zhì)量;b）應(yīng)在軟件安裝之前檢測(cè)軟件 包中可能存在的惡意代碼；C）應(yīng)要求開發(fā)單位提供軟件設(shè) 計(jì)的相關(guān)文檔和使用指南； d）應(yīng)要求開發(fā)單位提供軟件源 代碼，并審查軟件中可能存在的 后門。工程實(shí)施a）應(yīng)指定或授權(quán)專門的部門或 人貝負(fù)責(zé)工程實(shí)施過程的官理；b）應(yīng)制定詳細(xì)的工程實(shí)施方案 控制實(shí)施過程，并要求工程實(shí)施 單位能正式地執(zhí)行安全工程過 程；c）應(yīng)制定工程實(shí)施方面的管理 制度，明確說明實(shí)施過程的控制 方法和人員行為準(zhǔn)則。測(cè)試驗(yàn)收a）應(yīng)委托公正的第二方測(cè)試單 位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，

52、并出 具安全性測(cè)試報(bào)告；b）在測(cè)試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方 案或合同要求等制訂測(cè)試驗(yàn)收 方案，在測(cè)試驗(yàn)收過程中應(yīng)詳細(xì) 記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)試 驗(yàn)收?qǐng)?bào)告；C）應(yīng)對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方 法和人員行為準(zhǔn)則進(jìn)行書面規(guī)疋；d）應(yīng)指定或授權(quán)專門的部門負(fù) 責(zé)系統(tǒng)測(cè)試驗(yàn)收的管理，并按照 管理規(guī)定的要求完成系統(tǒng)測(cè)試 驗(yàn)收工作；e）應(yīng)組織相關(guān)部門和相關(guān)人員 對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定， 并簽字確認(rèn)。系統(tǒng)交付a）應(yīng)制定詳細(xì)的系統(tǒng)交付清單， 并根據(jù)交付清單對(duì)所交接的設(shè) 備、軟件和文檔等進(jìn)行清點(diǎn)；b）應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技 術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；C）應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn) 行維護(hù)的文檔

53、；d）應(yīng)對(duì)系統(tǒng)交付的控制方法和 人員行為準(zhǔn)則進(jìn)行書面規(guī)定；e）應(yīng)指定或授權(quán)專門的部門負(fù) 責(zé)系統(tǒng)交付的管理工作，并按照 管理規(guī)定的要求完成系統(tǒng)交付 工作。系統(tǒng)備案a）應(yīng)指定專門的部門或人員負(fù)責(zé)管理系統(tǒng)定級(jí)的相關(guān)材料，并 控制這些材料的使用；b）應(yīng)將系統(tǒng)等級(jí)及相關(guān)材料報(bào) 系統(tǒng)主管部門備案；C）應(yīng)將系統(tǒng)等級(jí)及其他要求的 備案材料報(bào)相應(yīng)公安機(jī)關(guān)備案。等級(jí)測(cè)評(píng)a）在系統(tǒng)運(yùn)行過程中，應(yīng)至少每 年對(duì)系統(tǒng)進(jìn)行一次等級(jí)測(cè)評(píng)，發(fā) 現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改；b）應(yīng)在系統(tǒng)發(fā)生變更時(shí)及時(shí)對(duì) 系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)，發(fā)現(xiàn)級(jí)別發(fā) 生變化的及時(shí)調(diào)整級(jí)別并進(jìn)行 安全改造，發(fā)現(xiàn)不符合相應(yīng)等級(jí) 保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改；C）

54、應(yīng)選擇具有國(guó)家相關(guān)技術(shù)資 質(zhì)和安全資質(zhì)的測(cè)評(píng)單位進(jìn)行 等級(jí)測(cè)評(píng)；d）應(yīng)指定或授權(quán)專門的部門或 人員負(fù)責(zé)等級(jí)測(cè)評(píng)的管理。安全服務(wù)商選擇a）應(yīng)確保安全服務(wù)商的選擇符 合國(guó)豕的有關(guān)規(guī)疋；b）應(yīng)與選定的安全服務(wù)商簽訂 與安全相關(guān)的協(xié)議，明確約定相 關(guān)責(zé)任；C）應(yīng)確保選定的安全服務(wù)商提 供技術(shù)培訓(xùn)和服務(wù)承諾，必要的 與其簽訂服務(wù)合同。系統(tǒng)運(yùn)維管理環(huán)境管理a）應(yīng)指定專門的部門或人員定 期對(duì)機(jī)房供配電、空調(diào)、溫濕度 控制等設(shè)施進(jìn)行維護(hù)管理；b）應(yīng)指定部門負(fù)責(zé)機(jī)房安全，并 配備機(jī)房安全管理人員，對(duì)機(jī)房 的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等 工作進(jìn)行管理；C）應(yīng)建立機(jī)房安全管理制度，對(duì) 有關(guān)機(jī)房物理訪冋，物品帶進(jìn)、 帶出機(jī)房和機(jī)房環(huán)境安全等方 面的管理作出規(guī)定；d）應(yīng)加強(qiáng)對(duì)辦公環(huán)境的保密性 管理，規(guī)范辦公環(huán)境人員行為， 包括工作人員調(diào)離辦公室應(yīng)立 即交還該辦公室鑰匙、不在辦公 區(qū)接待來訪人員、工作人員離開 座位應(yīng)確保終端計(jì)算機(jī)退出登 錄狀態(tài)和桌面上沒有包含敏感 信息的紙檔文件等。根據(jù)基本要