信息安全等級三級保護測評指標根據GB/T28448-2012《信息安全技術信息系統安全等級保護測評要求》，安全保護等級、業務信息安全保護等級、系統服務安全保護等級，所有選取《基本要求》，中相對應系統級別的指標.測評指標如下表所示：具體測評指標如下物理安全技術要求要求分項三級系統指標物理安全物理自置的a）機房和辦公場地底選擇在具有防徑，防風和防雨等能力的建筑內；技術要求要求分項三級系統指標選擇（G3）b/機房場地應避免設住建筑物的高層或地下空，以及用水設備的下層或隆壁。利亞方向抨制（G3）a）機房出入口應安排專人值常，押制.鑒別和記錄迸入的人b）需進入機房的來訪人孤府經過申請和審批謾程.總限制和監拄R活動范同C；'應對機房劃分區域進行管理，區域和區域之間設,置物理孺離裝置.莊重要區域的設置交村或安奘等過渡區域；d）重要區域應配置電子門禁系統，控制、塞別刑記錄進入的人血匚防盜竊和防破壞（G3）a）應將主要設缶成置在機房內：b）應將責備或主要部件進行固定，并設置明顯的不易除去的標記提C）應將通信線纜鋪設在隱蔽處，可鈿他在鼬下或管道中；曲應對介質分類標詡，存儲在介質扉或檔案室中；e）應利,用光，電等技術設置機房陰謊報警系統；

防雷擊S3）自）機房建筑應設置避雷裝置；b）應設置防雷保寞器.防止感應雷：也機房應設置交流電源地線.防火（G3）a）機完應設置火災H動消防系統,能夠自動檢測火情、自動出警,打H動火火士h）機房.及相關的工作房間和輔助房應采用具有耐火等級的建筑忖料*e）機房應采取區域廂商防火措施，將重要設備與丈他設備端離開.防水和防潮（G3）口）水管安裝，不得穿過機房屋頂和活動地板下；b）成果取指施防止雨水通過機房窗戶、屋頂和墻生漆透?0應呆取措施防止機房內水蒸氣結露和地F視水的轉移與滲透；d）應安裝對水城推的楂加儀表或元卡，對機房進行防水檢測和報警.防辭電fG3）aj主要設餐應采用必要的接地防靜電措施：技術要求要求分項三虢系統指標b）機房應果用防靜電地板.溫濕度控制（■⑺機房應設置溫，濕度白動調節設施.使機房溫、溫度的變砧在設幕運行所允許的范圍之內.電力供應cm口）應在機房供電線蹈卜.配置稔壓普和過電玨防護設備：L）應提供短物的的用電力供應.至少滿足主修設備在斷中.情退卜的正常運行要求:也應設置冗余或并行的電力電豌戰躋為打算機系統供電；d）應建立備用供電系統口電磁防接a）應采用糧地方式防止外界電倍F就和設密寄生耦件干擾：b）電源線和通信戰纜府隔寓輔段，夠免互相干擾t也應對關鍵設備和磁介質實施電磁屏藪;■

1.2.2網絡安全技術要求要求分項三鍛系統指標網絡安全㈠結構安全（C3）d）應快征主要網帑設笛的業務處理施力且落冗余空巨.清足業務高坪期需要；h）應保證網格備個部分的帶寬滿足業莠高崢期需要；e）應在業務終端與業務服務器之間進行路由拄制建立我全的訪問路徑；打應繪制與當前運行情況相符的網絡拓科結構圖；9）應根據多部門的工作職能，重要性和所涉及拮忌的重要程度等因素，劃分不IR的干網或網段，?井按照方便管理和控制的原則為咎于網、網段分里地址段：門應避免將重要網段部署企陷絡邊界處E直接連接外部歸恩系統,亙要網段與R他網段之間梟取可有的技術隔離手段：tf）應按照對業務服務的重要次序來指定帶寬分比優先皺別，保證在網絡發生拙堵的時候優先保護事驍主機◎網絡安全訪問控制（G3）a）應在網絡邊界部署詁問控制設備，啟用訪問控制功能；b）應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為揣口級：C）應對進出網絡的信息內容進行過濾，實現對應用層HTTP、FTP、TELNET.SMTP、POP3等協議命令級的控制：d）應在會話處于非活躍一定時間或會話結束后終止網絡連接；e）應限制網絡最大流量數及刖絡連接數：0重要網段應采取技術手段防止地址欺褊；g）應按用戶和二 二間的允許訪問規則，注定允許或拒絕用戶財受控系統進行資源訪問，控制粒度為單個用戶；h）應限制具有撥號訪問權限的用戶數量，安全審計（G3）a）應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；b）審：1衛正向包括：事件的口期和時間、用戶、事件類型、事件是苫成功及共他與審計相關的信息；c）應能夠根據記錄數據進行分析，并生成審計報表：d）應對審計記錄進行保護.避免受到人飛期的雙由,修改或覆蓋等.網絡安全（=）邊界完整性檢杳（S3）a）應危夠對非授權設備私自聯到內部網絡的行為進行構杳，準確定出位置，并對其進行有效阻斷：b）應能夠對內部網絡用戶私自聯到外部網絡的行為進行檢有，準確定出位置,并對其進行有效阻斷,入侵防范（G3）a）應在網絡邊界處監視以卜攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等：b）當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。惡意代碼防范（G3）a）應在網絡邊界處對惡意代碼進行檢測和清除：b）應維護惡壹代碼庫的升級和檢測系統的更新.網絡安全（四）網絡設備防護（G3）a）應對登錄網絡設備的用戶進行身份鑒別；b）應對網絡設備的管理員登錄地址進行限制；技術饕求要求分項三級系統指標C）網絡沒備用戶的標識應唯一二d）主要網絡設備應對同一用戶選擇兩種或兩種以上蛆合的鑒別技術來進行身份零利士G身鉗鑒別信息應具有不易被冒用的特點一口令應有復雜度要求并定期更據f）應具有登錄失題處理功能,可策取結束會詰、限制非法嚴錄枚出和E網絡登錄連接超時百動退出等措施：K）當對網絡設備進行遠程管理時，應栗取必要措施防止鑒別信息在網絡傳輸過程中被竊聽：母應實現設定特杈用戶的杈限分離.

1.2.3主機安全技術要求要求分項三艘系統指標主機安全（一）身帝鑒別（S3）a）應對登錄操作案銃和數據庫系統的用戶1U行身價標識和鑒別：b）操作系統和教據庫系統管理用廣身份標識應具右不易被冒用的幃點.n4應有更雜度要求并定期更換t3應啟用登錄失敗處庠功能，可雙取結束會話、限制非法登錄次徼和自動退出等指旅:山”i對服務器進行遠程管理時，應采取必要措施，防止接別信息在同絡傳輸過程中被窗聽：4底為操作系統和?數據庫系統的不同用戶分配不同的用戶名.磁保用戶將具有唯一性.￡'）應果用兩-神或物種漢土坦合的鑒別技術對管理用戶進行身借鑒別，訪問控制R應啟用訪問攆制功能.依據安全策略控剌用戶對資源的訪問rb）應根據管理用戶的角色分配權限，支現管理用戶的權限分離，僅授予管理用戶所簫的最小權限：己應實現操作案蛻和數據庫系統特區用戶的稅限分離上d）應嚴格限制默認帳戶的訪問權限，垂命客系統默江帳戶r修改這些帳戶的默認口令：技術要康要求分珈二級系統指標e）應及時刪除多余的、過期的帳戶，避免共享器戶的存在；力應對重要信息資源設置敏感標記、始應依據安全策略嚴格控制用戶而有抽球標記重要信息資源的操作.安全審討[G3）通審計范圍應瞪福到服務黯租宙笈客戶端上的每個操作系統用戶和涉據庫用戶;b）審計內容應包括亙要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件；c）審沖記錄向包括事件的口期.時間.類型.主體標識.客體標識和結果等1d）應能算根據記錄數據進行分析，并生成審計報表；e）應保護審計進程，避免受到未頓期峋中斷；力應保護審計氾錄，避免受到未預期的刪除、修改成隙蓋等.

主機安全護<S3)自）應保口假作系統和數搟庫系統用戶的鑒別信息所在的存群空問*被擇放城再分配給兀他目尸前得到完全清除.無論這些信嵬是存放在硬盤上還是在內存中；M應前保系統內的文件、目錄卻故據庫記錄禺資源所在的存情空舊.玻釋放或亙新分配給其他用戶前得到完全清除.入侵防范（G3>G應能餌松池到時重耍垠畀器進行入屋的行為，晚夠記錄入侵的源IP、攻擊的類型.攻擊的目的.攻擊的時「也并在發生嚴重入侵事件時提供報警二2應能唯對重要"卡的完整性進行檢測?并在檢翻到完整性受到破壞后具有恢復的措施t6操作系統應遵幫最小安裝的原則?僅安裝需曜的組件和應用程序，井跑過衣置,升級服務器萼方式保持系統補丁及時得到更新.惡意代碼防范（G3）a）應安裝防惡意代碼和件，棄及時更新防惡意代碼收件版本和惡意代碼瘴；b）主機防惡意代碼產乩應且有將網翁防悲意代碼產品不同的惡意代碼庫：d應支持防惡意代碼的統一管理「資源控制G應通過設定絡瑞接入方式、網絡地址菸用等條件限制終端登錄T(A3)b）應痘相安全策略設置登錄輿端的操作超時鉞定；c）應對重要服務帶進行喳視.包括監視服務器的fT1硬盤、內存、網絡等贄源的使用情況：d）應限制單個用戶對泵統資源的最大或最小使用限度；也應能夠對系統的服務水平降低到預先規定的最小但進行檢測和報警.

應用安全技術要求要求分項三鍛系統指標應用安全（―）身份量別（S3）G應提供專用的登錄掉制模塊對登錄用戶進行身份標識和饕制；L）應對同一用戶聚用曲種或曲神以上綱合的鑒別拄術實現用戶身份鑒剛;6位提供用戶身份標蟲唯一和鑒別信息復雜度檢查功能,保證應用系跣中不存在范良用戶身錯標識，身桁程利信息不易被冒用卡小應提供齊錄先敗處理功能.可梁叔結束會詁.限制*法登錄次數和自動退出等措施；e）應啟用身份鑒別、用戶身粉標識唯一性檢查、用戶身份鑒別信息復雜度檢查以康存錄失敗處理功德，井根據安全策晤配售相關參數。訪間控制（S3）a）應提供訪問拄制功能,儂據安全策略控制用戶對文件、數據庫表等客體的訪汕t）訪問拄制的覆蓋范圍底包括與黃源訪問相關的主體.客體及它們之間的操作EC）應由授權主體配直詁問校制策略.并嚴格限制默認帳戶的訪問極限、d）應授予不同枇戶為完成善自承擔任務所需的最小權限，并在它們之間艱成相互制約的關系te）應具有對章安信息資源設置敏感標記的功能、門應依據安全葡略聲格抻制用戶對有敏感標記事理信息貫源的操作.安全審計（⑶G應提供膜蓋到每個用戶的安全審計功能一對嗨用系統重要安全事件進疔市計；b）應像證無法單獨中斷審上進程，無法刪除、修班或芾能審計記錄：c）審十記錄的內容至少應包括事件的口期、時間、發起界信息、類型、描述和結果等；日應提供對審計記錄數據進行統if,查詢、分析及生成審計報表的功能.

技術要求蹙求分項三級系統指標和結果等.出血提供對審計記錄數據進行統計、皆而、分析及生成申汁報表的功能.應用安全(■)剩余信息保護(S3)G應保證用戶鑒別信息所任的存幡空間被擇放或再分配維R他用戶前得到完全清除，無詫這些信息是存放在硬盥上還是在內存中；H應保證系線內的文件、目錄和數據庫記家苗惜源所也的存儲中間被擇放或重新分配給族他用戶前得到完全清除.通信完整性(S3)應果用密碼技術保證迪信過程中效據的完整性。通信保密性(S3)公在通信雙方建立連接上前，應用系統應利用密碼技術進行會話初始化驗證士b)應對通信過程中的整個報文或會話過程進行加密.抗抵國LG3)a)應具有在請求的情況下為數據原發者或接收者提供數據原發證據的功能.b)向只有在請求的情況F為數據原發弱或接收力提供數據覆收證據的功能.軟件容錯CA3)4同根趺物據有致性檢驗功選.保證通過人機援口輸入期油過通信港口輸入的數據格式或長度符合系統設定要求?b)應提供自動保護功能,當曲障發生時自動保護當前所有狀態,保證系統能夠進行帙復.資源控制CA3)0當應用泵錢的暹格戲方中的一方也一網時間內未作工何聃應+另一方應融的白動結束會話:b)應能夠對系統的最大并發會話走接數進疔限制；C)應能期對單個掘戶的多重并發案話進行限制；d)應能夠對一個時間段內可能的并發會話比接數進行限制;fc)菱能夠時f訪問WE戶或一件請求進程占用的貴噌分配最大限額卸最小限額tD府能帔對系統維蘇水平降技到預先規定的最小值段行檢測和屎警；力應提供服務優先端過圭功選.并至安裝后根據安全策喉謾走訪問咪戶蛀詰求進程的優先級，根據優先線分配系統資源.

數據安全及備份恢復技術要求要求分項三鍛系統指標數據安全及茁傍恢復一）數據完推性<S3>用應噩弊檢測到系統管一理魏據、等別信總和市要;業務數掂在佐輸過程中完整性受到破耳.并在檢潮到完檢結錯誤時呆取必要的恢莫措施］b）應能端椅測到系統管理數據、鑒別信息和盅要業務數搪在存儲過程中完整性受到破壞.井布檢測到完整性錯誤時果敢必要的恢豆措施“?數據保需性（S3）a）煤用加用或其他有效措旅實現矗統管理效據、鑒別伯息和重要業務數據傳輸保密性:醐應采用加褂或其他保護指施實現礴管理數據、鑒別信息和垂要業務數據存播保密性W數據安全及備階恢豆。備份和恢復冷應提供本地儆據卷份與慨完功馳.完全觸據每份至少每天一次，荒份介域場外存放fb）應提供異地效據茁份功能.利用通喈網絡將美鍵效品定時批量傳送至備用場地；c）應汛用冗余技術設計網絡拓撲結構，避免關鍵節點存在單點故障：心應提供主耍網格般名、通信線路和數據處理系統的控件冗余.保證系統的高可用性.安全管理制度管理制改CG3）a）應制定信息安全工作的總體方針利安全策略，說明機構安全工作的總體日標、范祠.原則和安全拒梨等！b）應對安全管理活動中的外奏著理內容建立安全管理制度；c）應對翌求管理人員或操作人員執行的日常管理操作建立操作快程；》應形成由安全策略.苦理制度,、操作規程等構成的全面的信息宏全首印制度體系.制定和愛布1⑶a）應指定或授權專門的部門或人m偵責安全管理剛度的制定：b）安全管理制度應具有境一的格式，并進行版本控制；c.）應組織相關人城對制定的安全追埋制度進行論證和審定；tl）安全管璉制度應逋過石式、有效的方式發布：

M安全管理制度應注明發布范圍，?并對收發支進行登記口評審和修訂(G3)a)信息安全領導小組應出責定期組織和關部門和相關人員前宜全管理制度體系的合理性和適用性進行由定；bj應定期或不定期對安全管理制度遂行槍/和審定,對存在不肥或需要改進的安全管理制度進行修訂.安全管理機構技術要求要求分項三艘系統指標支全管理機構LJ崗位設置（G3>口）應設立信息安全管理匚作的職能部門，設立安全主管、安全管珥各個方面的負交人崗位，井定義各負貴人的職貢rb）應設立系統管理地、網絡管睥員.安全管理員等崗樣-并定上各個工作局位的職費二琦應成立指導利管理信息安全工作的委員會或領導小阻，其最高領導由單位主管領導委任或授權1d）應制定文件明確安全管理機構3個部門和崗位的職責、分工和技能要求.人員配備（G3）a）應配備一痘散信的系銃苫理員、網絡管理員、安全管理員等：b）應配備專職安全管理員，不可兼任；0關逑事芬崗位應配備擊人共同管理4(G3)/成根據各個部「1和崗位的睨責1洱需授反審批事工.審批部門和批瞪A.等士b）應計對系統變更,成發操作、物珥訪問和系統揍A等事用電立審批.程序,按照審批程序執h審批過程.對更要活動建立.逐級審批制度；C）應定期市苴審批事聞，及時更新用授權和審批的項目.市橫郃門和審批人等信息；d）應記星審批過程并保存審批文檔.安生管理機構。溝通和合作（G3）翦應加強界類管理人員之間，組織內部機構之間以及信息安全昭能部門內部的合作與溝通，定期或不定期召開加調會議，共同協作處理后息安全何題tb）應加強與兄弟單位、公安機關、電信公司的合作與溝通；已）應加強與一供應的、業界專京、專業的安全公司、玄全阻織的告作與溝通；前癇建立外戰單位低系列表?包括科改單證名稱，合作內容、聯系人和聯系

方式等信息：Q應腭請信息支全專家作為常年的安全啦向，指導信息安全建避，等與安全規劃和一直全評審等.由核和檢杏(G3)a)安全行理火應負責定期進行安全檢查，檢查內容包括系統日常運行、系統漏洞利數據備粉等情況，*IO應由內部人員或上級電立定期進行全面安全檢查,檢查內容包括現芍安全肢術措施的有效性、安全配苴與安全策略的一致性、安全通理制度的執行情況等?也應制定安全楂直表格實施安全檢查，能總安全松魚數據，形成安全楂直報告『并對安金檢查結果進行通報：d)向制定安至審核和安全檢吉制度規范安全審核和安全槍查T作，定期按照程序進行安全審校和安全檢查活動*人員安全管理技術要求要求分項三鍛系統指標人員安全管理人員錄用（G3）總）應指定或授權專門的泡門或人員貨市人員錄用；b）應嚴格規能人所錄用過程，對被錄用人的身份」;景，專業資格即資質等進行中直，對其所具有的技術技能進行考核；呼應笠署保容協議：小應從內部人啦中選拔從事關髓悔位的人員，井簽署唐位安全協議.人艮離崗（G3）a）應嚴播規范人員闋崗過■程，及時終止圖崗員工的所有訪問權限：b）應取回各斗身份證件、鑰匙、徽戢等以及機構提供的軟硬件設釜*0應力癢嚴格的調圈手續，美遺崗位人歸離崗須被諾調幽后的區常丈翁方萬可離開.人員考核（G3）時應定期對各個茴仿的人員進行安全技能沒安全認知的考核：b）應對美鋌崗位的人垃進行全面、嚴格的安全審杳和技能考校；C）應對考核結果進行記錄并保存.安全意識救育和培訓Q應對各類人員進行安全意設救群、嵐忖空能培訓和相關安全技術始訓；b?應對安全貴任初懲戒拮施遂行書面規■痘并告知相關人員，對生反迷濘安全技術要求要求分項三毓系銃指標(G3)策喀和規定的人員進行懲戒：由應對定期安全教育和培訓進行書面規定.針對不同崗位制定不同的培1十劃.對信息宓全基礎知識、崗位操作規程等進行培訓；d）應對安全教自和培訓的情況和結果進行記錄并歸檔保存n人員安全皆理。外部人員訪何管理（.皎血）應施愜住外部人員訪問處捽區域前先提出書面申請.批準后由專人全程於同或監督,并登記備窕：bj對外部人員允許訪問的區域、系統，設備，信息等內容應進行書面的規定，若按照規定執行.

系統建設管理技術要求要求分項三艘系統指標系統建設管理1一）系統定皴（G3）a）應明確信息系統的邊界和安全保護等級；L）應以書面的形式說明確定信息系統為某個安全保護等級的方法和理由1G應組以相關部門卬有關安全技水專家對信息系統定演結果的合理性和正確性進行論證和審定工d）應確保指忌系統的定繳結果經過相關部門的批準.安全方案設計CG3）G應棍期系統的安全保護等級選擇堪本安全措施.并依據風險分析的結果補充和濯黎安全措施：b）應指定和授權專門的部門對信息系統的安全建設進行總體旎劃*制定近期和遠期的安全建設工作id劃,琦應旭據信息系統的等被劃分情況，統一考慮安全保障體系的電體安全策略.宜全技術框架、安全管理蔡咯，總體建設覘劃和洋郎說計方案.并膨成配套文件t小應組細相關部門和有關安全拉術專家對總體安全策略、安全技術恥架、安全管理策啥、總體建迎規劃.詳細迎沖方案等相美配套文件的合理性和正確性進行論證和審定，并且經過批準后.才能正苴實施；G應根娓等現泡評.安全評估的結果靠期調整和修訂總體安全董略.安全技術框架.安全管理策略、總體建設規劃、洋班設計方案等相關配套文件.產品來購和a）應確保安全產品采購和使用符合國家的有關規定；使用（G3）b）應酊保客碼產品采購和使用符合國東密螞主管部門的要求；C）應指定或授校專門的那門貨資產品的量峋；d）應預先對產品進行選型測lit確定產品的候選范由，井定期審定和更新候選產品女單.

自行軟件開發（G3）a）.應確保開發環境與丈際運行環境物理分開，開發人技剃冽試人員分離，側斌數據和測戒結果處到投制；b）應制定軟件開發管理制度，明確饒明開發過程的捽制方法和人員力為準則：C）廂制定代碼編寫安全規范，要求開發人員參照規范編寫代碼』d）應硝保提供軟件設計的相美文檔和使用指南，井由專人兒直保管,G應確保對程序贊源庫的修改“更新、發布進行授權和批準,外包軟件開發CG3）力應根據開發需求檢測軟件質量tb）應在軟件安裝之前檢剛軟件包中可能存在的超意代碼；C）應要求開發單位根供軟件設計的相關空檔和使用指南Ld）應要求開發單位提供軟件源代碼,并審查軟件中可般存在的后門.工程實施（G3）G應指定或授權專門的部門或人員負責工都實施過程的管理；b）應制定詳沏的工程鑾施方案擰制實施過程.并要求T.程實施亙住能正式地執行安全工程過程：c）應制定工.程實施方面的管理制度，明確說明實施過程的控制方法和人員行為掂則.系統建設管理0J測試騙收（G3）a）應委托公正的第三方測試單位對系統進行次生性測試.并出具安全性測試報告tb）在澗試驗收前應根據設計方案或合同要求等制LT測試驗收方案，在測試騙收過程=應詳細記錄測試驗收結果，并形出測試驗收報告.r.J應討系統測試驗收的校制方法和人員行為相則進行書而規定：J）應指定或授權專門的部門用競親統測就驗收的管理.井掖用恬理劃定的要求完成系統涮試驗收工作；G應組細相關部門和利美人員對系統博試驗收報杵進行審定.并寫寧麻江』系統交付（G3>力應制定詳細的系統交村潔單，并根據交付清單對所交接的設備，軟件和文檔等進行清點；b）應對他責系統運行雉護的技術人員進行相應的技能用■訓；c）皮時保衽供系統建設過程中的文檔和指導用戶遂行系統卮行維護的文瞥td）應對系統交村的控制方法和人員行為推則進行書面規定’G應指定或授權專門的部門負責系統交付的管珥工作，■并按照詈理規定的職求完成系統交付工作*

系統建設管理（三）系統備案（G3）出應指定理門的部門或人員人貴管理系統定緞的利關材料”并控制這些材料的使用,b）應將泵統等掾及粕關村制?報系統主管部門備案；e）應將系統等級及苴他要求的多案材料報相應公安機關抬案.等級蒯評（G3）8）在系統運行過程中，應至少每年對系統進行一次等稅測評,發現不符合相應等線保護標準要求的及時整改t匕）府山系統發牛變身化及防時系統進什等級測評十發現級別發牛變化的及時調整綴別并進行安全改造，發現不符合相應等般保護標準要索的況時整改tc）應堰揮具有國窖相關技術資質和交全資質的測評單位進行等堀測怦口d）應指定或相快專門的部門或人世負責等級測評的管理「安全服各商選擇［63）山應璐愜安全眼勢商的選擇符合國原的有關規定tb）庇9選定的安全服務商簽訂。一安全加美的協度.明確約定相關責任『0應確保選建的安全服務痛提俄技術陽制和服務承諾：總要的與其第訂腺務含同.1.2.9系統運維管理毀te）皮根據數據爸份的需要對某些介質丈療異地存玷，存儲地的環境要求和笆技術要求要求分項三級察統指標理方法應與本地相同t工）應對重要介質中的數據和軟件采取加密存礴，并根身所承載數據和軟件的重要程度對介質進行分類和標識管理.設濟管理（G3>編應對信息.系統相關的泮種設釜（包括備分和兀余設備八線路普指定專門的部門或人員定期進行維護管建：L）應建立其丁中報、審批和專人負責的設備安全管理制度.對信值系統的杵種軟硬件設備的選型、采購.發放和領用等過程進行規范化首理；d應建立配裳設地、軟硬件維護方面的管理制度，對其維林進行有效的管理.包括明確雎護人員的責土.帆外戰修和服務的審批.維修4程的監督抻制等?由應對終端計算機、工作站、便攜機，索統和網絡等設備的操作和使用進行規范化管理.按操作規程實現主衽設備（包括備份和冗余設翳）的后動，停止、加電/斷電等操作：C）應確保信息處理設備必須經過審批才能帶離機房或辦公地點.系統運維音理〔三J監控管理和交全管理中心（⑶價應對通信線路.主機.網串設備和應用軟件的運行狀況.網絡流量、用戶行為等進行監JN孫報警，形成記旗井妥善保存；h）應組織相美人員定期對器涮和報警記錄進行分析、評審，發現可疑行為,形成分析報告.并采取必要的應對措施rc）應建立安全管理中心，對設備狀態，惡隹代制、補丁訃然、安全審計等安全相美事項進行集中譽理.網絡安全管理（G3）&）應指定專人時網絡進行管理，負責運行日志、網絡監控記錄的日常維護和報警信息分析和處理工柞tb）應建立網絡安全管理制度，對網絡安全配宣，日志保存時間、安全策略，升緞與打補「、口今更新周期等方面作出規定；c）應根據廠家提供的軟件升級版本對網絡戰備進行更新，并在更卦前對現有的重要支件進行部份：d）應定期對阿港系統進行漏用掃描.對發現的網帑系統安全漏洞進行及時的

修補；4而實現設芾的最小困務配置.并對配電交件進行定期高線備份：f）應保證所有與外部系統的連接均得到授權和批準i瑁應依據安全策略允許或者拒納便攜苴和移動式設備的網絡接入；h）應定期檢直違反現定撥號上帆或庶他違反網絡安全第略的懺為.系統安全管理CG3）a）應根據業務蓋求和系統安全分析蹴定系統的訪問控制策略；切應定期進行漏洞掃描.對發現的系統安全漏洞及時進行修補；c）應安裝泵統的最新補丁程序，在安裝殺統補丁前，首先在測試環境中測試通過，并對事要文件進行缶份后，方可實施系統補「程印的安裝；d）應建立需統安全管理制度，對廉維安全第略、安全配置、日志管理和日常操作流程等方而作出具體規定；el應指定為人對蔡鐵進行管理，創分系統菅理員痢也，明確各?1h角色的現限.責任和風險，梭限設定應當遵循最小授權廨則:0應依據操作手冊對系統進行維護，樣孤記錄操作日志，包括重要的日常探作、運行驛護記錄、參數的設置和修改等內容，甲親進行未經授權的操作，g）應定期對運行日志和甲H■效據進行分析.以便及時發現異常行為.惡意氏碼防范管理CGD4應提高所有用戶的防病而意識，及時告知防病毒軟件版本.在讀取移動存儲設備上一的數掂以及網絡匕接收交件或曲件之前，先進行病毒楂杳，對外來il算機或存儲設冬接入網絡系統之前也應,進行病再檢直?b）應指定專人對網絡和主機遵行惡意代碼檢測并保存檢測記錄；c）應對防惡意代碼軟件曲授權使用、惡宜箕碼庫升級、,定期T膽等小上明詞規定；由應定期檢隹信息系統內各種同總的強窟代叫庫的升級情況并進行記錄,對士HL防病毒產品，防病揖網關和部件防病毒網關上起獲的危噲病再成惡意也碼進懺及時分析處理,并用應書面的報表利息結匯報.系跣心堆密碼管