新机房建设等保要求

1、新机房建设等保要求技术要求技术 要求 项保 等 二保 等 三物理安全物理位S的选择办选防防的 和应有和力 房地具！|能如 机场在皿等筑 公择震雨建-1应防建设地备开强、发遭 地、的免或设避、源曰R易 场震力 避层水；当场声、。 公防能应高用壁应磁噪染灾区 办有等地的及隔地强强污水地 和具雨 场物以或场、境、的 房在防；房筑，层房塚淙环亦击 机择和内机建室下机电动度火雷 选风筑在下的强震重生受 12 3物理访问控制入人进身在进来制活 出专别员记准的限其 房有川人登批房凤控fflo 机应十的并；应机人监范 口值入份案入访和动1 2专的齢的监域区离前过 有入i 房和区和隔域等 应进登机制；分域理区装

2、 口别并入限围划K-物要安 入鉴分进，范房，3重或 出，碧准员动rn理设在付； 房守身批人活对管间，交域 机值员；应访其应行之SS区 人人案来控进域装设度 1 2 3技术 要求 项级等保三级等保4) 应对重要区域配置 电子门禁系统，鉴别和记录进入的人员身 份并监控其活动。防盗窃和防破坏1) 应将主要 设备放置在 物理受限的 范围内；2) 应对设备 或主要部件 进行固定，并 设置明显的 不易除去的 标记；3) 应将通信 线缆铺设在 隐蔽处，如铺 设在地下或 管道中等；4) 应对介质 分类标识，存 储在介质库 或档案室中；5) 应安装必 要的防盗报 警设施，以防 进入机房的 盗窃和破坏 行为。1)

3、 应将主要设备放置 在物理受限的范围 内；2) 应对设备或主要部 件进行固定，并设置 明显的无法除去的标 记；3) 应将通信线缆铺设 在隐蔽处，如铺设在 地下或管道中等；4) 应对介质分类标 识，存储在介质库或 档案室中；5) 设备或存储介质携 带出工作环境时，应 受到监控和内容加 密；6) 应利用光、电等技 术设置机房的防盗报 警系统，以防进入机 房的盗窃和破坏行 为；7) 应对机房设置监控 报警系统。防 雷1) 机房建筑 应设置避雷1) 机房建筑应设置避 雷装置：技术 要求 项保 等保 等 三n装2安 保： 雷fr 防、KV 置FM 设和 应一2交。/-地 ;源 宀电 应流 感交 一鸵 防

4、设 ，应。 器线3防火灭火警持和报良 S和报陈备动的 设备动并设自统权 应设自匏火灾系归 火灾系灭火警好-1消火自作建等离设朋 动测并工其火隔要K 自检,的，耐域>备 灾动警关房有区将设 火自报相助具取，也 沆，动；展辅应采施対 设统自火房和料房措萝 应系、灭机间材；机火与。 防情动房筑级防备开 12 3防水和防潮屋地过板加护S措水和措 戢过动穿楼增保设取雨顶秀；取 W牙活；对和管的如；采止屋沆采 水得和T;应壁水要紙管应防过®、冋 不顶板墙的必措套施通墙1 2 3 4穿few楼的套雨渗室下。 得地和更S止壁止地透 不动壁必设防墙防和渗 ，活墙加如施和施露与 谍和逋增,潴顶潴结

5、移 安行穿管施取屋取气转 管b 对水措采过采蒸的 水屋；应的护；应通；应水水 过下板保管水透内积 1 2 3 4技术 要求 项保 等保 等 三n内霧 室结 止台 防荥一 施水露水渗 "积与 气下移 八地转。 水和的透防静电必等 用地阪 采接时 应的静 要防-1地哋 接电 的；静 要施防 必措用 用电O 采静采 应防应。 寧板1 2温湿度控制调机的备许。 昭动使渡设允讷 址自蔦在所毗 B:度渤涼化行范 湿节>房变运眇-1系度所 券湿行O 恒、运内 温温备之 恒房设围 浇机在范 设使化的 应，变许 统的允-1电力供应系与分稳电；短电如。 机应电蓋过躺供用剖 算电供设和H提备应设 计

6、供他；应器防应m供Ds 统其开压压期力UU 1 2 3应过用説行系停 电；和备PP并；电机统 供开器；的2 或路供电系 统分压备期如余线用发电 系电稳设短< 冗缆备用供。 机供S护供应s.a电亠山备用MO 算他设防提供设力建如常启 计其应E应力Mla-应时 与电电备的统以电 1 2 3 4 5电磁该上 用防 采式 应方>-1-1技术 要求级等保三级等保项防外界电磁干备寄生耦合干扰；一护扰和设备寄2）电源线和通信线缆生耦合干扰；应隔离，避免互相干2）电源线和扰；通信线缆应3）对重要设备和磁介隔离，避免互质实施电磁屏蔽。相干扰。网1）网络设备1）网络设备的业务处络的业务处理理能力应具备

7、冗余空安能力应具备间，要求满足业务高全冗余空间，要峰期需要；求满足业务2）应设计和绘制与当高峰期需要；前运行情况相符的网2）应设计和络拓扑结构图；绘制与当前3）应根据机构业务的运行情况相特点，在满足业务高符的网络拓峰期需要的基础上，扑结构图；合理设计网络带宽；3）应根据机4） 应在业务终端与业构业务的特务服务器之间进行路点在满足业由控制建立安全的访务高峰期需问路径；要的基础上，5）应根据各部门的工合理设计网作职能、重要性、所络带宽；涉及信息的重要程度4） 应在业务等因素，划分不同的终端与业务子网或网段，并按照|服务器之间方便管理和控制的原进行路由控则为各子网、网段分制，建立安全配地址段；的访问

8、路径：6） 重要网段应采取网技术 要求 项级等保三级等保5）应根据各 部门的工作 职能、重要 性、所涉及信 息的重要程 度等因素，划 分不同的子 网或网段，并 按照方便管 理和控制的 原则为各子 网、网段分配 地址段；6）重要网段 应采取网络 层地址与数 据链路层地 址绑定措施， 防止地址欺 骗。络层地址与数据链路 层地址绑定措施，防 止地址欺骗；7）应按照对业务服务 的重要次序来指定带 宽分配优先级别，保 证在网络发生拥堵的 时候优先保护重要业 务数据主机。网络访问控制1）应能根据 会话状态信 息（包括数据 包的源地址、 目的地址、源 端口号、目的 端口号、协 议、出入的接 口、会话序歹列

9、号、发出信息 的主机名等1）应能根据会话状态 信息（包括数据包的 源地址、目的地址、 源端口号、目的端口 号、协议、出入的接 口、会话序列号、发 出信息的主机名等信 息，并应支持地址通 配符的使用），为数据 流提供明确的允许 / 拒绝访问的能力：技术 要求 项级等保三级等保信息，并应支 持地址通配2）应对进出网络的信 息内谷进行过滤，头 现对应用层HTTP、FTP 、 TELNET 、SMTP、POP3等协议 命令级的控制；3）应依据安全策略允 许或者拒绝便携式和 移动式设备的网络接 入;、4）应在会话处于非活 跃一疋时间或会话结 束后终止网络连接；5）应限制网络最大流 量数及网络连接数。符的

10、使用）， 为数据流提 供明确的允 许/拒绝访问 的能力。拨号访问控制1）应在基于 安全属性的 允许远程用 户对系统访 问的规则的 基础上，对系 统所有资源 允许或拒绝 用户进行访 问，控制粒度 为单个用户；2）应限制具 有拨号访问 权限的用户 数量。1）应在基于安全属性 的允许远程用户对系 统访问的规则的基础 上，对系统所有资源 允许或拒绝用户进行 访问，控制粒度为单 个用户；2）应限制具有拨号访 问权限的用户数量；3）应按用户和系统之 间的允许访问规则，技术 要求 项二级等保三级等保决定允许用户对受控 系统进行资源访问。网 络 安1) 应对网络 系统中的网 络设备运行1)应对网络系统中的网络

11、设备运行状况、全 审 计状况、网络流 量、用户行为 等事件进行网络流量、用户行为等进行全面的监测、日志记录；2) 对于每一记录；个事件，其审 计记录应包 括：事件的日2)对于每一个事件，其审计记录应包括：期和时间、用 户、事件类 型、事件是否事件的日期和时间、用户、事件类型、事个成功，及其他 与审计相关 的信息。件是否成功，及其他与审计相关的信息；3)安全审计应可以根据记录数据进行分析，并生成审计报表；4)安全审计应可以对特定事件，提供指定方式的实时报警；5)审计记录应受到保 护避免受到未预期的 删除、修改或覆盖等。技术 要求 项保 等 二保 等 三边界检络 够网 能部 应內M-1-1工元整性

12、检查内通自网即厂 -的未私部汕嚎 现户许外沙O。 内出用准到附m划 测中部过联络肖行 ? 户到即7)般行确行 络网后对 用联劝淑的准进 阴部测并。 部自为行授络并其 部外检，断 内私行”非网，对 内到行置阻 的许的联r到查 ，；ra进位效 现准络外够联检W断够自为出有 出过网法能自行位阻能私行定行 中通部非应私迪出效应户的确迪 络未外“ 备为宀心存 用络准真2 3网络入侵防范络视行扫攻门服冲 网监击口力后绝缓 在处攻端强旦拒贰 应界下：、木乱攻 边以为描击攻务-1应：乱绝溢 盹门攻拒服 用下推门乱 在以扫后攻 应视口马务 监端木服 -1技术 要求 项保 等 二保 等 三、攻 w 溢区IP&qu

13、ot;虫侵。 M入出 W等！ 切击件 :击攻事侵 件源攻时入。 入 事的、的重警 等 侵侵型击严报 击；JA入侯攻生供 攻生B录的、发提 虫发测记击的在时 蠕的检、M1攻目幷件 络件当，、的，事 网募 时F击间侵2恶意代码防范络心处码和恶的测；恶范。 网核段代测护库检脇持防沦 在及网意检；维码和毗支码f 应界务恶行除应代级统应代统 边业对进清意升系意的 1 2 3核意nr库的 防 及恶币 码统 码 界对测 代系 代。 边处检 意测 意310 络段亍 恶检 恶管 网网O护和 持一 在务n维级；支统 应必码；应升新应的 心代除 的更 范 1 2 3网络设录的身 登备行 对设进 应络户 网用-1对户

14、应-1技术要求项份鉴别；2）应对网络 设备的管理 员登录地址 进行限制；3）网络设备 用户的标识 应唯一；4）、身份鉴别 信息应具有 不易被冒用 的特点，例如 口令长度、复 杂性和定期 的更新等；5）应具有登 录失败处理 功能，女口：结 束会话、限制 非法登录次 数，当网络登 录连接超时， 自动退出。别；2）应对网络上的对等 实体进行身份鉴别；3）应对网络设备的管 理员登录地址进行限 制；4）网络设备用户的标 识应唯一；5）身份鉴别信息应具 有不易被冒用的特 点，例如口令长度、 复杂性和定期的更新 等；6）应对同一用户选择 两种或两种以上组合 的鉴别技术来进行身 份鉴别；7）应具有登录失败处

15、理功能，如：结束会 话、限制非法登录次技术 要求 项二级等保三级等保数，当网络登录连接超时，自动退出；8）应实现设备特权用 户的权限分离，例如 将管理与审计的权限 分配给不同的网络设 备用户。主机系统安全身份鉴别1）操作系统 和数据库管 理系统用户 的身份标识 应具有唯一 性；2）应对登录 操作系统和 数据库管理 系统的用户 进行身份标 识和鉴别；3）操作系统 和数据库管 理系统身份 鉴别信息应 具有不易被 冒用的特点， 例如口令长 度、复杂性和1）操作系统和数据库 管理系统用户的身份 标识应具有唯一性；2）应对登录操作系统 和数据库管理系统的 用户进行身份标识和 鉴别；3）应对同一用户米用

16、两种或两种以上组合 的鉴别技术实现用户 身份鉴别；4）操作系统和数据库 管理系统用户的身份技术 要求 项二级等保三级等保定期的更新等；鉴别信息应具有不易4） 应具有登 录失败处理 功能，女口：结 束会话、限制 非法登录次 数，当登录连 接超时，自动 退出。被冒用的特点，例如 口令长度、复杂性和 定期的更新等；5）应具有登录失败处 理功能，如：结束会 话、限制非法登录次 数，当登录连接超时， 自动退出；6）应具有鉴别警示功 能；7）重要的主机系统应 对与之相连的服务器 或终端设备进行身份 标识和鉴别。自主访问控制1）应依据安 全策略控制 主体对客体 的访问；2）自主访问 控制的覆盖 范围应包括

17、与信息安全 直接相关的 主体、客体及1）应依据安全策略控 制主体对客体的访 问；2）自主访问控制的覆 盖范围应包括与信息 安全直接相关的主技术 要求 项二级等保三级等保它们之间的 操作；体、客体及它们之间7/1、1 13）自主访冋 控制的粒度 应达到主体 为用户级，客 体为文件、数 据库表级；4）应由授权 主体设置对 客体访问和 操作的权限；5）应严格限 制默认用户 的访问权限。的操作；3）自主访问控制的粒 度应达到主体为用户 级，客体为文件、数 据库表级；4）应由授权主体设置 对客体访问和操作的 权限；5）权限分离应采用最 小授权原则，分别授 予不同用户各自为完 成自己承担任务所需 的最小权

18、限，并在他 们之间形成相互制约 的关系；6）应实现操作系统和 数据库管理系统特权 用户的权限分离；7）应严格限制默认用技术 要求 项保 等 二保 等 三nO强制访问控制无源源感 覆要的它 粒户数 资r敏 的童关及 的用、 息息置 帝与相体；帝为件 信信设 控括接客作控体文 要要体 问包直、操问主为。 重重主 访应源体的访到体级 对问有；制围资主间制达客表 应访所记强范息有之强应，库 和的标 盖信所们 度级据 1 2 3安全审计计服每统据计统 审到的系数审系 全盖上作和已全录 安覆器操户用安记 应务个用库、冋 1 2到 盖 覆 应 计 审 全 安 -1 ? 户 用 库 据 数系 录 记 应 计

19、审 全 安2U统安 系的 录要 董 应内一g二 内 统技术 要求 项二级等保三级等保全相关事件， 包括重要用事件，包括重要用户ci j 口rn户行为和重行为、系统资源的异要系统命令 的使用等；3)安全相关 事件的记录 应包括日期常使用和重要系统命令的使用；3)安全相关事件的记和时间、类 型、主体标 识、客体标录应包括日期和时间、类型、主体标识、识、事件的结 果等；4) 审计记录客体标识、事件的结果等；应受到保护 避免受至U未 预期的删除、4)安全审计应可以根据记录数据进行分修改或覆盖 等。析，并生成审计报表；5)安全审计应可以对特定事件，提供指定方式的实时报警；6)审计进程应受到保护避免受到未

20、预期的中断；7)审计记录应受到保护避免受到未预期的技术 要求 项二级等保三级等保删除、修改或覆盖等。系统保护1）系统应提 供在管理维 护状态中运 行的能力，管 理维护状态 只能被系统 管理员使用。1）系统因故障或其他 原因中断后，应能够 以手动或自动方式恢 复运行。余信心保护1） 应保证操 作系统和数 据库管理系 统用户的鉴 别信息所在 的存储空间， 被释放或再 分配给其他 用户前得到 完全清除，无1）应保证操作系统和 数据库管理系统用户 的鉴别信息所在的存 储空间，被释放或再 分配给其他用户前得 到完全清除，无论这论这些信息 是存放在硬 盘上还是在 内存中；2）应确保系 统内的文件、 目录和

21、数据 库记录等资 源所在的存 储空间，被释 放或重新分 配给其他用 户前得到完些信息是存放在硬盘 上还是在内存中；2）应确保系统内的文 件、目录和数据库记 录等资源所在的存储 空间，被释放或重新 分配给其他用户前得 到完全清除。技术二级等保三级等保要求项1 全清除1）应进行主机运行监 视，包括监视主机的 CPU硬盘、内存、网 络等资源的使用情 况；2）应设定资源报警域 值，以便在资源使用 超过规定数值时发出 报警；3）应进行特定进程监 控，限制操作人员运 行非法进程；4）应进行主机账户监 控，限制对重要账户 的添加和更改；5）应检测各种已知的 入侵行为，记录入侵 的源IP、攻击的类型、 攻击的

22、目的、攻击的技术 要求 项保 等 二保 等 三间 时対 程，错复 f要坏性恢 提 重破整时 时 測到垸嗖 侵；应寿的BrBO 入警 序并误措6恶意代码防范和设动装和代产统码有恶品意 器端移、妄测意件系代具防产恶 务终点应检恶软机意应络码的荤 服要迤#)时杀的；主恶品网代同码 重备设实查码品防产与意不代1 2备均查产 代络同 防 设和件 意网不 码 端备测软 恶与品；代。 终设检的 防有产库意理 和动时码 统具码码恶管 器移实代 系应代代持一 务括装意 机品意意支统 服包安恶；主产恶恶应的 应杀品 码防的范 1 2 3资源控单会 制的 限户M;应用数 个话-1-1技术 要求 项二级等保三级等保制

23、2） 应通过设 定终端接入2）应对最大并发会话方式、网络地 址范围等条 件限制终端 登录。连接数进行限制；3）应对一个时间段内 可能的并发会话连接 数进行限制；4）应通过设定终端接 入方式、网络地址范 围等条件限制终端登 录；5）应根据安全策略设 置登录终端的操作超 时锁定和鉴别失败锁 定，并规定解锁或终 止方式；6）应禁止同一用户账 号在同一时间内并发 登录；7）应限制单个用户对 系统资源的最大或最 小使用限度；技术 要求 项二级等保三级等保8）当系统的服务水平降低到预先规定的最 小值时，应能检测和报警；9）应根据安全策略设 定主体的服务优先 级，根据优先级分配 系统资源，保证优先 级低的主

24、体处理能力 不会影响到优先级高 的主体的处理能力。应用安全身份鉴别1）应用系统 用户的身份 标识应具有 唯一性；2）应对登录 的用户进行 身份标识和 鉴别；3）系统用户 身份鉴别信 息应具有不 易被冒用的 特点，例如口 令长度、复杂 性和定期的 更新等；4）应具有登 录失贝败处理1）系统用户的身份标 识应具有唯一性；2）应对登录的用户进 行身份标识和鉴别；3）系统用户的身份鉴 别信息应具有不易被 冒用的特点，例如口 令长度、复杂性和定 期的更新等；4）应对同一用户米用 两种或两种以上组合技术 要求 项级等保三级等保功能，如：结 束会话、限制的鉴别技术实现用户非法登录次 数，当登录连 接超时，自

25、动 退出。身份鉴别；5）应具有登录失败处 理功能，如：结束会 话、限制非法登录次 数，当登录连接超时， 自动退出；6）应具有鉴别警示功 能;7）应用系统应及时清 除存储空间中动态使 用的鉴别信息。访问控制1）应依据安 全策略控制 用户对客体 的访问；2）自主访问 控制的覆盖 范围应包括 与信息安全 直接相关的 主体、客体及 它们之间的 操作；3）自主访问 控制的粒度1）应依据安全策略控 制用户对客体的访 问；2）自主访问控制的覆 盖范围应包括与信息 安全直接相关的主 体、客体及它们之间 的操作；3）自主访问控制的粒技术 要求 项二级等保三级等保应达到主体 为用户级客度应达到主体为用户体为文件、

26、数 据库表级；4）应由授权 主体设置用 户对系统功 能操作和对 数据访问的 权限；5）应实现应 用系统特权 用户的权限 分离，例如将 管理与审计 的权限分配 给不同的应 用系统用户；6）权限分离 应采用最小 授权原则，分 别授予不同 用户各自为 完成自己承 担任务所需 的最小权限， 并在它们之 间形成相互 制约的关系；7）应严格限 制默认用户级，客体为文件、数 据库表级；4）应由授权主体设置 用户对系统功能操作 和对数据访问的权 限；5）应实现应用系统特 权用户的权限分离， 例如将管理与审计的 权限分配给不同的应 用系统用户；6）权限分离应采用最 小授权原则，分别授 予不同用户各自为完 成自己

27、承担任务所需 的最小权限，并在它 们之间形成相互制约 的关系；7）应严格限制默认用的访问权限。户的访问权限。1）安全审计 应覆盖到应 用系统的每 个用户；2）、安全审计 应记录应用 系统重要的 安全相关事 件，包括重要 用户行为和 重要系统功 能的执行等；3）安全相关 事件的记录 应包括日期 和时间、类 型、主体标 识、客体标 识、事件的结 果等；4）审计记录应受到保护避免受到未1）安全审计应覆盖到应用系统的每个用户；2） 安全审计应记录应用系统重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统功能的执行等；3）安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件

28、的结果等；4）安全审计应可以根据记录数据进行分析并生成审计报表；5） 安全审计应可以对特定事件，提供指定预期的删除、 修改或覆盖 等。技术 要求 项二级等保三级等保方式的实时报警；6）审计进程应受到保护避免受到未预期的中断；7）审计记录应受到保 护避免受到未预期的 删除、修改或覆盖等。剩余信心保护1）应保证用 户的鉴别信 息所在的存 储空间，被释 放或再分配 给其他用户 前得到完全 清除，无论这 些信息是存 放在硬盘上 还是在内存 中；2）应确保系 统内的文件、 目录和数据 库记录等资 源所在的存 储空间，被释 放或重新分 配给其他用 户前得到完 全清除。1）应保证用户的鉴别 信息所在的存储空

29、 间，被释放或再分配 给其他用户前得到完 全清除，无论这些信 息是存放在硬盘上还 是在内存中；2）应确保系统内的文 件、目录和数据库记 录等资源所在的存储 空间，被释放或重新 分配给其他用户前得 到完全清除。技术 要求 项保 等 二保 等 三通信完整性方向算信的进双验方效 双单码通文在t校对有 信定验阳报艮詐据断的 通约校4据釘圃根判文。 应的法数校行方码报性-1第数罚，断。 定信验时判性 约通文言码效 应算报通验有 方计妁行校的 双，o进据文 信法、T在根报 M算报，方方 码据码双对-1抗抵赖无、J gM;、J 15 gMO 生居止匕匕生居止匕匕 厶冃 Z 厶冃 韦数提功韦数提功 具为希：的

30、具为希：的 应下收据应下收据 况接证 况接证 1 2通信保密炷双方间何方动双 信一时任一自乱信 通的段作另够知如 当中一未、M?厶冃束在 方在内响应结1 2一作应；连 的未方话垃 冲内一会從 功间另殊功 一 一 - ，幺 k 希段应动希 通一响自通 当*-何够祀 、不任能 7 7 1 2技术 要求 项二级等保三级等保方建立连接 之前，利用密接之前，利用密码技码技术进行 会话初始化 验证；3） 在通信过 程中，应对敏 感信息子段 进行加密。术进行会话初始化验 证；3）在通信过程中，应 对整个报文或会话过 程进行加密；4）应选用符合国家有 关部门要求的密码算 法。软件容错1）应对通过 人机接口输

31、入或通过通 信接口输入 的数据进行 有效性检验；2）应对通过 人机接口方 式进行的操 作提供“回 退”功能，即 允许按照操 作的序列进 行回退；3）在故障发 生时'应继续 提供一部分1）应对通过人机接口 输入或通过通信接口 输入的数据进行有效 性检验；2）应对通过人机接口 方式进行的操作提供“回退”功能，即允 许按照操作的序列进 行回退；3）应有状态监测能 力，当故障发生时，技术 要求 项二级等保三级等保功能，确保能 够实施必要能实时检测到故障状的措施。态并报警；4）应有自动保护能 力，当故障发生时， 自动保护当前所有状 态。资源控制1）应限制单 个用户的多 重并发会话；2）应对应用

32、系统的最大 并发会话连 接数进行限 制；3）应对一个 时间段内可 能的并发会 话连接数进 行限制。1）应限制单个用户的 多重并发会话；2）应对应用系统的最 大并发会话连接数进 行限制；3）应对一个时间段内 可能的并发会话连接 数进行限制；4）应根据安全策略设 置登录终端的操作超 时锁定和鉴别失败锁 定，并规定解锁或终 止方式；5）应禁止同一用户账 号在同一时间内并发技术二级等保三级等保要求项登录；6）应对一个访问用户 或一个请求进程占用 的资源分配最大限额和最小限额；7）应根据安全属性（用户身份、访问地 址、时间范围等）允 许或拒绝用户建立会 话连接；8）当系统的服务水平 降低到预先规定的最

33、小值时，应能检测和报警；9）应根据安全策略设 定主体的服务优先 级，根据优先级分配 系统资源，保证优先 级低的主体处理能力 不会影响到优先级高 的主体的处理能力。码1）程序代应用1）应制定应用程序代技术 要求 项保 等 二保 等 三n安仝码 _ 恶描 行扫要 规 全 安 写 编 码用进弱 应码脆 ;对代全爪 描应序安知 -程行性2范 码别tV码" 码 规 代识意 代性 代。 照 序，恶 序弱 序试 參 程审的 程脆 程测 员；用复在 用全 用性 开写应行能；应行；应行 求编 进可码 进析 进 2 3 4数据安全数据完整性检管别户输整；检管别户储整 够统鉴用传完W够统鉴用存完 能系鳳和

34、在中1到能系鳳和在中 应到«息据程受应到«息据程 测理信数过性测理信数过 1 2统，k过O整的 统 系信输:i比要 系 到别传受JB必 到 I鉴在性濒取I 检、据整:a采；检 够据数S琏时施够 靠数户九并误措靠 应理用中，错复应 管和程坏性恢1 2技术要求项性受到破坏。数 据 保 密 性1）网络设备、 操作系统、数 据库管理系 统和应用系 统的鉴别信 息、敏感的系 统管理数据 和敏感的用 户数据应采 用加密或其 他有效措施 实现传输保 密性；管理数据、鉴别信息 和用户数据在存储过 程中完整性受到破 坏，并在检测到完整 性错误时采取必要的 恢复措施；3）应能够检测到重要 程序

35、的完整性受到破 坏，并在检测到完整 性错误时采取必要的 恢复措施。1）网络设备、操作系 统、数据库管理系统 和应用系统的鉴别信 息、敏感的系统管理 数据和敏感的用户数 据应采用加密或其他 有效措施实现传输保 密性；2）网络设备、操作系技术 要求 项二级等保三级等保操作系统、数 据库管理系统、数据库管理系统统和应用系 统的鉴别信 息、敏感的系 统管理数据 和敏感的用 户数据应采 用加密或其 他保护措施 实现存储保 密性；3）当使用便 携式和移动 式设备时，应 加密或者采 用可移动磁 盘存储敏感 信息。和应用系统的鉴别信 息、敏感的系统管理 数据和敏感的用户数 据应采用加密或其他 保护措施实现存储

36、保 密性；3）当使用便携式和移 动式设备时，应加密 或者米用可移动磁盘 存储敏感信息；4）用于特疋业务通信 的通信信道应符合相 关的国家规定。数据备份和恢复1）应提供自 动机制对重 要信息进行 有选择的数 据备份；2）应提供恢 复重要信息 的功能；3）应提供重 要网络设备、 通信线路和1）应提供自动机制对 重要信息进行本地和 异地备份；2）应提供恢复重要信 息的功能；3）应提供重要网络设 备、通信线路和服务技术要求项服务器的硬 件冗余器的硬件冗余；4）应提供重要业务系 统的本地系统级热备 份。管理要求管 要 项 安 全 管 理 机 构理 求二级等保三级等保岗位设S1）应设立信 息安全管理 工作

37、的职能 部门，设立安 全主管人、安 全管理各个 方面的负责 人岗位，定义 各负责人的 职责；2）应设立系 统管理人员、 网络管理人 员、安全管理 人员岗位，定 义各个工作 岗位的职责；3）应制定文 件明确安全 管理机构各 个部门和岗 位的职责、分1）应设立信息安全管 理工作的职能部门， 设立安全主管人、安 全管理各个方面的负 责人岗位，定义各负 责人的职责；2）应设立系统管理人 员、网络管理人员、 安全管理人员岗位， 定义各个工作岗位的 职责；3）应成立指导和管理 信息安全工作的委员 会或领导小组，其最 高领导应由单位主管 领导委任或授权；4）应制定文件明确安 全管理机构各个部门 和岗位的职责

38、、分工 和技能要求。保 等保 等 三要厶冃 技和。 工求人员配备系、人理理兼理理管 备的層理管管能管管窄 配量IA管全轼全不络统崩筑 歆安凳衆系数帖 定统网员人人任员员理1 2的络理管；轮 量网管全任期 数、仝受兼定 定员芬职叶应 一人、专不位 备理员；备，岗 配管人等配员键 应统理员应人关。 系管人理岗 1 2 3授权和审批审批键审说的部准 权及贰行表批迪批 授门川进列审审可 应部人动；应须环和。 批准活批明事门人1 2及动批和项审山的应新仁 门活审门事照扌动限更白 部键须部扑按审活；权；、扑 扑关盼批审，行>度的M-查审 审对；说审；各序丸 关制用授审和 权，批表、人立程兔立批适消期

39、姑 授人审列项准建批序 建审再取定M 应准行应事批应审程；应重不时应授； 批进的可的批程双及需目 1 2 3 4 5 6管理 要求 项级等保三级等保7）应记录授权过程并 保存授权文档。1） 应加强各i）应加强各类管理人T类管理人员员和组织内部机构之和组织内部间的合作与沟通，疋机构之间的期或不定期召开协调合作与沟通，会议，共同协助处理定期或不定信息安全问题；期召开协调2）信息安全职能部门会议，共同协应定期或不定期召集助处理信息相关部门和人员召开安全问题；安全工作会议，协调2） 信息安全安全工作的实施；职能部门应3）信息安全领导小组定期或不定或者安全管理委员会期召集相关定期召开例会，对信部门和人员

40、息安全工作进仃指召开安全工导、决策；作会议，协调4）应加强与兄弟单安全工作的位、公安机关、电信实施；公司的合作与沟通，3） 应加强与以便在发生安全事件兄弟单位、公时能够得到及时的支安机关、电信持；公司的合作5）应加强与供应商、与沟通，以便业界专家、专业的安在发生安全全公司、安全组织的事件时能够合作与沟通，获取信得到及时的息安全的最新发展动支持。态，当发生紧急事件 的时候能够及时得到管理 要求 项级等保三级等保支持和帮助;6） 应文件说明外联单位、合作内容和联系 方式；7）聘请信息安全专 家，作为常年的安全 顾冋，扌曰导信息安全 建设，参与安全规划 和安全评审等。审核和检查1） 应由安全 管理人

41、员定 期进行安全 检查，检查内 容包括用户 账号情况、系 统漏洞情况、 系统审计情 况等。1）应由安全管理人员 定期进行安全检查， 检查内容包括用户账 号情况、系统漏洞情 况、系统审计情况等；2）应由安全管理部门 组织相关人员定期进 行全面安全检查，检 查内容包括现有安全 技术措施的有效性、 安全配置与安全策略 的一致性、安全管理 制度的执行情况等；3）应由安全管理部门 组织相关人员定期分 析、评审异常行为的 审计记录，发现可疑 行为，形成审计分析 报告，并采取必要的 应对措施；4）应制定安全检查表 格实施安全检杳，汇保 等保 等 三n形并 咼告 数抿 总成并行和安工进检 ，进核范查序全 告果

42、诵规检程安 报结全度全照和 一查安制安按核 检检定查和期审。 亠全；制检核定全动 安安报应全审，安活 成对通安全作行查5安全管理制度管理制度1) 应制定信 息安全工作 的总体方针、 政策性文件 和安全策略 等，说明机构 安全工作的 总体目标、范 围、方针、原 则、责任等;2) 应对安全 管理活动中 重要的管理 内容建立安 全管理制度， 以规范安全 管理活动，约 束人员的行 为方式；3) 应对要求 管理人员或-X策藏工財寧啣建以，为口皿日操作吴企理构全 全政临全范任活容，动J 人的立操知全管等安 安、全安、责理内度活行 理行建范仞安、程息 塢针安构标、嚐理制理的詹执，规剿由略规信 信方和机目则全

43、管理管员 求员作以止成策作的 定体肓明体原陵类管全一慢人操 妣加全操面 制总U4说总、对各全安:A对作理程邛形安、全 应的文，的针应的、妄+氾束；应操管规为应、度的 作性等作方 中立规约式或常作行 策制成 1 2 3 4管理 要求 项级等保三级等保操作人员执管理制度体系；行的重要管5)应由安全管理职能理操作，建立部门定期组织相关部操作规程，以门和相关人员对安全规范操作行管理制度体系的合理为，防止操作性和适用性进行审失误。定。1) 应在信息1)应在信息安全领导II安全职能部小组的负责下，组织门的总体负相关人员制定；责下，组织相2)应保证安全管理制关人员制定；度具有统一的格式风2)应保证安格

44、9;并进行版本控制；|全管理制度3)应组织相关人员对具有统一的制定的安全管理进行格式风格，并论证和审定；进行版本控4) 安全管理制度应经制；过管理层签发后按照3)应组织相一定的程序以文件形关人员对制式发布；定的安全管5)安全管理制度应;注理进行论证明发布范围，并对收1攵和审定；4) 安全管理发文进行登记。制度应经过 管理层签发 后按照一定 的程序以文 件形式发布。评1) 应定期对1) 应定期对安全管理审安全管理制制度进行评审和修保 等保 等 三n和修审存 评对 度利需制 或理 尼管修订存需安度 -或的制 订足进理织 修不改管创在要全迪-曹漏构安让为部要维 亠全令结对H;应=责卄的 管安安础应进

45、订档负确档 亠；大的基，度修文或明文 安订重新术时制和度人对度 的修连现技更O定涮责责制 一行发出及变*审个负负的 改进当、以生管、每应，订。 要度故洞发全查相门修护 2 3人员安全管理人员录用被备业和知录资等录备能录其 证具专平理被描哑质F;被具技究被明 保人的水管对帖专资離对所术和对说 应用本术全；应人景和行应人技行应人 录基技安识用背格进用的进用 1 2 3 4M歓；需W辺胁仲 用技剜人财审人朋人；珈位人笛位 录业理用专行用能 用责密岗部进 岗 裱专管录、进录技 录职保键内期键 证的全被景等被术 被和署关人定 关 保本安对背质对技对色签事加并；事 应基和应、资应的；应角应从应，查从 备平

46、份和备核其 员拔审 1 2 3 4 5 6 7保 等保 等 三n;俣 色、11 角)S协 全 安 位 岗 署应c 员诙一协 密/) 议人员离岗终种离的权各、等提件构办调承的后 即各将工问回1E#章构硬机门的并后务匕 立于即员访取沁徽机软；经部格郭离义！| 应由因的有；应射番及的#;应事严¥!调密可 止原岗所限种钥以供设 人理离诺保方 12 3略员；淀以件翳的厂 于的限份等硬部彥后可 由岗权身章软事调离方 止离问种徽血人的调后 JP即荀m番卿 机承" 立因所取钥构；经屮并" 应原的应、机备应理，密。 种工件及设办续保开 1 2 3人员考核对的安安考键员严 期位行及的

47、关人J 定岗进能知对的红 应个员技认；应位行 各人全全核岗赴 1 2一 丁 ffr 、IZ匕匕 一 丁 各 厶冃 ;ZV1 田 进全岗技核进策 员安个全考果全 人的各安的结；安 有格对行知核存背 所严期进认琴保违 对、定员全对并对 应®>应人、爰应粪应 全查的及记7 1 2 3 4保 等保 等 三n审 全 安 的格W-惩 行 进 员 人 的 定规c 和戒背和员 违略人戈 对策的；！ ;应全定他 一安规进3)7/安全意识教育和培训类安；人安惩安培信础操进全训结录。 各行娟知的和 定和对基位等 安培和记曲 对进賠告关任1施制育处全岗程1;对和况行滋 应员意应相责措应教计安识规培应育

48、情进归 人全 员全戒全训息知作行教的果沖 12 3 4行的対和安操；制培行 进关戒育息位训位；和进。 员；相惩教信岗培岗划育果存 人育员和全对、行同计教结保 谈教人任较，识进际训诠和档 略识询刊定划知等对培陵况归 对意告清制计础程针同对情并 应仝应全；M-训基规应不应的粪 、爰安施培全作起训记 1 2 3 4 5第三方人员访人问签任保 方访构责或 三在机全书 第应与安同如 员前署合密-1在安密O申 应署保域面 员签或区椀 三与合重腹 第前任対3 问责议问 1 2管理 要求 项级等保三级等保冋对重要区批准后由专人全程陪管域的访问，必同或监督，并记录备理须经过有关17H 1 L 1=1)丿 1/

49、案；负责人的批3）对第三方人员允许准，并由专人访问的区域、系统、陪同或监督设备、信息等内谷应下进行，并记进行书面的规定，并录备案。按照规定执行。系系1）应明确信1）应明确信息系统划统统息系统划分分的方法；建疋的方法；2）应确定信息系统的设级2） 应确定信安全等级；管息系统的安3）应以书面的形式定理全等级；义确定了安全等级的3） 应以书面信息系统的属性，包的形式定义括使命、业务、网络、确定了安全硬件、软件、数据、等级的信息边界、人员等；系统的属性，4）应以书面的形式说包括使命、业明确定一个信息系统务、网络、硬为某个安全等级的方件、软件、数法和理由；据、边界、人5）应组织相关部门和员等；有关安全技术专家对4）应确保信信息系统的疋级结果息系统的疋的合理性和正确性进级结果经过行论证和审定；|相关部门的6）应确保信息系统的批准。定级结果经过相关部 门的批准。安1） 应根据系1）应根据系统的安全管理 要求 项级等保