1、二級等保標準二級等級保護要求技術要求技木要求項二級等保實現方式物理安全物理位置的選擇1）機房和辦公場所應選擇在擁有防震、防風和防雨等能力的建筑內。機房建設物理訪1）控制2）機房進出口應有專人值守，鑒識進入的人員身份弁登記在案；問 應同意進入機房的來訪人員，限制和監控其活動范圍。門禁管理系統防偷竊和防破壞1）應將主要設備擱置在物理受限的范圍內；2）應付設備或主要零件進行固定，弁設置顯然的不易除掉的標志；3）應將通訊線纜鋪設在隱蔽處，如鋪設在地下或管道中等；4）應付介質分類表記，儲存在介質庫或檔案室中；5）應安裝必需的防盜報警設備，以防進入機房的偷竊和損壞行為。機房建設防雷擊1）機房建筑應設置避雷

2、裝置；2）應設置溝通電源地線。防雷系統防.火1）應設置滅火設備和火災自動報警系統，弁保持滅火設備和火災自動報警系統的優秀狀態。消防系統防水和防潮1）水管安裝，不得穿過屋頂和活動地板下；2）應付穿過墻壁和樓板的水管增添必需的保護舉措，如設置套管；3）應采納舉措防備雨水經過屋頂和墻壁浸透；4）應采納舉措防備室內水蒸氣結露和地下積水的轉移與浸透。機房建設防靜電1）應采納必需的接地等防靜電舉措靜電地板溫濕度控制1）應設置溫、濕度自動調理設備，使機房溫、濕度的變化在設備運轉 所同意的范圍以內。機房動力環境監控系統電力供應1）計算機系統供電應與其余供電分開；2）應設置穩壓器和過電壓防備設備；3）應供給短期

3、的備用E1力供給（如UPS設備）。UPS電磁防護1）應采納接地方式防備外界電磁擾亂和設備寄生耦合擾亂；2）電源線和通訊線纜應隔絕，防止相互擾亂。防電磁排插， 防電磁機柜網絡構造安1）網絡設備的業務辦理能力應具備冗余空間，要求知足業務頂峰期需設備做好雙機冗余二級等保標準精選文庫技木要求項二級等保實現方式安全全與網 段區分要；2）應設計和繪制與目前運轉狀況符合的網絡拓撲構造圖；3）應依據機構業務的特色，在知足業務頂峰期需要的基礎上，合理設計網絡帶寬；4）應在業務終端與業務服務器之間進行路由控制，成立安全的接見路徑；5）應依據各部門的，作職能、重要性、所波及信息的重要程度等要素，區分不一樣的子網或網

4、段，弁依照方便管理和控制的原則為各子網、網段分派地點段；6）重要網段應采納網絡層地點與數據鏈路層地點綁定舉措，防備地點欺詐。網絡訪問控制1）應能依據會話狀態信息（包含數據包的源地點、目的地點、 源端口號、目的端口號、協議、進出的接口、會話序列號、發出信息的主機名等信息，弁應支持地點通配符的使用），為數據流供給明確的同意/拒絕接見的能力。防火墻撥號訪問控制1）應在鑒于安全屬性的同意遠程用戶對系統接見的規則的基礎上，對系統全部資源同意或拒絕用戶進行接見，控制粒度為單個用戶；2）應限制擁啟撥號接見權限的用戶數目。VPN網絡安全審計1）應付網絡系統中的網絡設備運轉狀況、網絡流量、 用戶行為等事件進行日

5、記記錄；2）關于每一個事件，具審計記錄應包含：事件的日期和時間、用戶、 事件種類、事件能否成功，及其余與審計有關的信息。上網行為管理設備界限完整性檢查1）應可以檢測內部網絡中出現的內部用戶未經過允許擅自聯到外面 網絡的行為（即“非法外聯”行為）。IDS入侵檢測網絡入侵防備1）應在網絡界限處監督以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊、網絡蠕蟲 攻擊等入侵事件的發生。IPS入侵防守歹意代碼防備1）應在網絡界限及核心業務網段處對歹意代碼進行檢測和消除；2）應保護歹意代碼庫的升級和檢測系統的更新；3）應支二寺歹意代碼防備的T管理。防毒墻網絡設備防備1

6、）應付登錄網絡設備的用戶進行身份鑒識；2） 應付XX絡設備的管理吊登錄地占講彳不限制保護碉堡機二級等保標準精選文庫技木要求項二級等保實現方式3）網絡設備用戶的表記應獨一；4）身份鑒識信息應擁有不易被冒用的特色，比如口令長度、 復雜性和按期的更新等；5）應擁有登錄失敗辦理功能，如：結束會話、限制非法登錄次數，當網絡登錄連結超時，自動退出。系統安全身份鑒別1）操作系統和數據庫管理系統用戶的身份表記應擁有獨一性；2）應付登錄操作系統和數據庫管理系統的用戶進行身份表記和鑒識；3）操作系統和數據庫管理系統身份鑒識信息應擁有不易被冒用的特點，比如口令長度、復雜性和按期的更新等；4）應擁有登錄失敗辦理功能，

7、如：結束會話、限制非法登錄次數，當 登錄連結超時，自動退出。VPN自主訪問控制1）應依照安全策略控制主體對客體的接見；2）自主接見控制的覆蓋范圍應包含與信息安全直接有關的主體、客體及它們之間的操作；3）自主接見控制的粒度應達到主體為用戶級，客體為文件、 數據庫表級；4）應由受權主體設置對客體接見和操作的權限；5）應嚴格限制默認用戶的接見權限。VPN防火墻強迫訪問控制無數據庫審計系統安全審計1）安全審計應覆蓋到服務器上的每個操作系統用戶和數據庫用戶；2）安全審計應記錄系統內重要的安全有關事件，包含重要用戶行型唯要系統命令的使用等；3）安全有關事件的記錄應包含日期和時間、種類、主體表記、客體標識、

8、事件的結果等；數據庫審計系統系統保4）審計記錄應遇到保護防止遇到未預期的刪除、改正或覆蓋等。1）系統應供給在管理保護狀態中運轉的能力，管理保護狀態只好被系數據存貯備份，護節余信息保護統管理員使用。1）應保證操作系統和數據庫管理系統用戶的鑒識信息所在的儲存空間，被開釋或再分派給其余用戶前獲得完整消除，不論這些信息是寄存在硬盤上仍是在內存中；2）應保證系統內的文件、目錄和數據庫記錄等資源所在的儲存空間，VPN被開釋或從頭分派給其余用戶前獲得完整消除。二級等保標準精選文庫技木要求項二級等保實現方式入侵防范無網管系統，IPS入侵防御系統歹意代碼防備1）服務器和重要終端設備（包含挪動設備）應安裝及時檢測

9、和查殺惡意代碼的軟件產品；2）主機系統防歹意代碼產品應擁有與網絡防歹意代碼產品不一樣的惡意代碼庫；防毒墻，殺毒軟件資源控制1）應限制單個用戶的會話數目；2）應經過設定終端接入方式、網絡地點范圍等條件限制終端登錄。VPN應用安全身份鑒別1）應用系統用戶的身份表記應擁啟獨一性；2）應付登錄的用戶進行身份表記和鑒識；3）系統用戶身份鑒識信息應擁有不易被冒用的特色，比如口令長度、 復雜性和按期的更新等；4）應擁有登錄失敗辦理功能，如：結束會話、限制非法登錄次數，當 登錄連結超時，自動退出。接見控制1）應依照安全策略控制用戶對客體的接見；2）自主接見控制的覆蓋范圍應包含與信息安全直接有關的主體、客體及它

10、們之間的操作；3）自主接見控制的粒度應達到主體為用戶級，客體為文件、 數據庫表級；4）應由受權主體設置用戶對系統功能操作和對數據接見的權限；5）應實現應用系統特權用戶的權限分別，比如將管理與審計的權限分配給不一樣的應用系統用戶；6）權限分別應采納最小受權原則，分別授與不一樣用戶各自為達成自己肩負任務所需的最小權限，弁在它們之間形成相互限制的關系；7）應嚴格限制默認用戶的接見權限。防火墻安全審計1）安全審計應覆蓋到應用系統的每個用戶；2）安全審計應記錄應用系統重要的安全有關事件，包含重要用戶行為和重要系統功能的履行等；3）安全有關事件的記錄應包含日期和時間、種類、主體表記、客體標識、事件的結果等

11、；4）審計記錄應遇到保護防止遇到未預期的刪除、改正或覆蓋等。日記審計系統節余信息保護1）應保證用戶的鑒識信息所在的儲存空間，被開釋或再分派給其余用戶前獲得完整消除，不論這些信息是寄存在硬盤上仍是在內存中；VPN4二級等保標準精選文庫技木要求項二級等保實現方式2）應保證系統內的文件、目錄和數據庫記錄等資源所在的儲存空間， 被開釋或從頭分派給其余用戶前獲得完整消除。通訊完整性1）通訊兩方應商定單向的校驗碼算法，計算通訊數據報文的校驗碼， 在進行通訊時，兩方依據校驗碼判斷對方報文的有效性。VPN加密抗狡辯無VPN通訊保密性1）當通訊兩方中的一方在一段時間內未作任何響應，另一方應口以自動結束會話；2）

12、在通訊兩方成立連結以前，利用密碼技術進行會話初始化考證；3）在通訊過程中，應付敏感信息字段進行加密。VPN軟件容錯1）應付經過人機接口輸入或經過通訊接口輸入的數據進行有效性檢驗；2）應付經過人機接口方式進行的操作供給“回退”功能，即同意依照操作的序列進行回退；VPN資源控制3）在故障發生時， 應持續供給一部分功能，保證可以實行必需的舉措。1）應限制單個用戶的多重并發會話；2）應付應用系統的最大弁發會話連結數進行限制；VPN代碼安3）應付一個時間段內可能的開發會話連結數進行限制。1）應付應用程序代碼進行歹意代碼掃描；防火墻數據安全全數據完 整性2） 應付應用程序代用進仃安全柔弱性剖析。1）應可以檢測到系統管理數據、鑒識信息和用戶數據在傳輸過程中完整性遇到損壞；2）應可以檢測到系統管理數據、鑒識信息和用戶數據在儲存過程中完防火墻數據保密性整性遇到損壞。1）網絡設備、操作系統、數據庫管理系統和應用系統的鑒識信息、敏感的系統管理數據和敏感的用戶數據應采納加密或其余有效舉措實現傳輸保密性；2）網絡設備、操作