三级标准评价

1、等级保护三级信息系统等级保护实施现状评价标准等级保护三级信息系统等级保护实施现状评价标准2008年12月- 58 -目 录0.概述10.1引言10.2规范引用10.3适用范围10.4评分规则10.5填写说明11.技术要求11.1.物理安全11.2.网络安全81.3.主机安全131.4.应用安全201.5.数据安全及备份恢复252.管理要求282.1.安全管理制度282.2.安全管理机构302.3.人员安全管理342.4.系统建设管理372.5.系统运维管理440.概述0.1适用范围本标准适用于对定为等级保护三级的信息系统的等级保护实施现状的调研和评价。0.2规范性引用文件下列文件中的条款通过本

2、标准的引用而成为本标准的条款。GB/T 5271.8 信息技术 词汇 第8部分：安全 信息安全技术信息系统安全等级保护基本要求国家标准报批稿信息安全技术信息系统安全等级保护测评要求国家标准报批稿0.3术语和定义GB/T 5271.8、信息安全技术信息系统安全等级保护基本要求国家标准报批稿和信息安全技术信息系统安全等级保护测评要求国家标准报批稿所确立的以及下列术语和定义适用于本标准。信息安全技术信息系统安全等级保护基本要求以下简称基本要求。信息安全技术信息系统安全等级保护测评要求以下简称测评要求。0.4评分规则层面类控制项基本要求内容问题数量选择项数量权值（分数）0712451001技术要求34

3、118501.1物理安全103561.1.1 物理位置的选择 物理访问控制1411.1.3 防盗窃和防破坏防雷击防火1411.1.6防水和防潮防静电温湿度控制1211.1.9电力供应0电磁防护130.31.2网络安全722101.2.1结构安全访问控制1421.2.3安全审计边界完整性检查1111.2.5入侵防范1211.2.6恶意代码防范1211.2.7网络设备防护1611.3主机安全731141.3.1身份鉴别访

4、问控制安全审计剩余信息保护1411.3.5入侵防范恶意代码防范1321.3.7资源控制1521.4应用安全922141.4.1身份鉴别1331.4.2访问控制1421.4.3安全审计1321.4.4剩余信息保护1211.4.5通信完整性1111.4.6通信保密性1221.4.7抗抵赖1111.4.8软件容错1211.4.9资源控制1411.5数据安全及备份恢复1861.5.1备份和恢复1862管理要求37127502.1安全管理制度3972.1.1管理制度1332.1.2制定和发布1422.1.3评审和修订1222.2安全管理机构51

5、872.2.1岗位设置1512.2.2人员配备1312.2.3授权和审批1322.2.4沟通和合作1412.2.5审核和检查1322.3人员安全管理51572.3.1人员录用1412.3.2人员离岗1312.3.3人员考核1222.3.4安全意识教育和培训1422.3.5外部人员访问管理1212.4系统建设管理1136132.4.1系统定级1322.4.2安全方案设计1422.4.3产品采购和使用1412.4.4自行软件开发外包软件开发1212.4.6工程实施1312.4.7测试验收1412.4.8系统交付1512.4.9系统备案0等级测评131.52.

6、4.11安全服务商选择121.52.5系统运维管理1349162.5.1环境管理1312.5.2资产管理1222.5.3介质管理1412.5.4设备管理1312.5.5监控管理和安全管理中心1322.5.6网络安全管理1822.5.7系统安全管理恶意代码防范管理密码管理0变更管理1备份与恢复管理1412.5.12安全事件处置1312.5.13应急预案管理1520.5填写说明本标准共设计71个问题，每个问题分为A、B、C、D等选项，每个选项依据其重要性赋予不同的分值，所有选项均不符合时该问题可不填写。用户需根据本单位

7、实际情况进行填写，每选择一个选项即得相应的分数。1.技术要求该层面权值(50分)1.1.物理安全该类权值(6分)1.1.1.您单位在机房和办公场地所在的位置选择方面，符合以下哪些安全要求？( )该控制项权值(0.4分)A.机房在具有防震、防风和防雨的建筑物内；该选择项权值(0.1分)参考来源：该选择项参考等级保护基本要求-(物理位置的选择)三级要求部分：a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；B.办公场地在具有防震、防风和防雨等能力的建筑物内；该选择项权值(0.1分)参考来源：该选择项参考等级保护基本要求-(物理位置的选择)三级要求部分：a)机房和办公场地应选择在具有防震

8、、防风和防雨等能力的建筑内；C.机房场地未选择在建筑物的顶层、一层或地下室；该选择项权值(0.1分)参考来源：该选择项参考等级保护基本要求-(物理位置的选择)三级要求部分：b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。D.机房场地未选择在用水设备的下层或隔壁。该选择项权值(0.1分)参考来源：该选择项参考等级保护基本要求-(物理位置的选择)三级要求部分：b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。1.1.2.您单位在物理访问控制方面，符合以下哪些安全要求？( )该控制项权值(1分)A.机房管理制度中有关于机房出入方面的规定，并对机房值守人员和进

9、出机房人员进行记录；该选择项权值(0.2分)参考来源：该选择项参考等级保护基本要求-(物理访问控制)三级要求部分：a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员；B.机房所有出入口均由专人负责值守或设置有监控摄像装置，不存在控制之外的出入口；该选择项权值(0.2分)参考来源：该选择项参考等级保护基本要求-(物理访问控制)三级要求部分：a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员；C.来访人员进入机房时需要经过申请和审批，审批通过后在专人陪同下进入机房；该选择项权值(0.3分)参考来源：该选择项参考等级保护基本要求-(物理访问控制)三级要求部分：b)需进入机房的来访人员应经

10、过申请和审批流程，并限制和监控其活动范围；D.根据业务和安全管理需要对机房划分了安全区域，并对不同区域间进行物理隔离，在重要区域使用电子门禁系统。该选择项权值(0.3分)参考来源：该选择项参考等级保护基本要求-(物理访问控制)三级要求部分：c)应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；d)重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。1.1.3.您单位在防盗窃和防破坏方面，符合以下哪些安全要求？( )该控制项权值(0.7分)A.主要设备放置在机房或其它不易被盗窃和破坏的场所；该选择项权值(0.1分)参考来源：该选择项参考等级保护基

11、本要求-(防盗窃和防破坏)三级要求部分：a)应将主要设备放置在机房内；B.主要设备或设备的主要部件都进行了固定并设置有明显、不易除去的标记；该选择项权值(0.1分)参考来源：该选择项参考等级保护基本要求-(防盗窃和防破坏)三级要求部分：b)应将设备或主要部件进行固定，并设置明显的不易除去的标记；C.所有的通信线缆铺均铺设在地下或管道等隐蔽处；该选择项权值(0.1分)参考来源：该选择项参考等级保护基本要求-(防盗窃和防破坏)三级要求部分：c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；D.介质分类标识存放在介质库或档案室中；该选择项权值(0.1分)参考来源：该选择项参考等级保护基本要求-(防

12、盗窃和防破坏)三级要求部分：d)应对介质分类标识，存储在介质库或档案室中；E.机房部署有防盗报警系统，在盗窃、破坏等行为发生时能及时提供报警，且报警信息有详细记录；该选择项权值(0.1分)参考来源：该选择项参考等级保护基本要求-(防盗窃和防破坏)三级要求部分：e)应利用光、电等技术设置机房防盗报警系统；F.机房部署有设备监控报警系统，当机房关键资产发生故障时能及时报警，并有详细的运行记录、监控记录和报警记录；该选择项权值(0.1分)参考来源：该选择项参考等级保护基本要求-(防盗窃和防破坏)三级要求部分：f)应对机房设置监控报警系统。G.定期维护、检查机房中的防盗报警系统及监控报警系统，并有维护

13、检查记录。该选择项权值(0.1分)1.1.4.您单位在防雷击方面，符合以下哪些安全要求？( )该控制项权值(0.2分)A.机房所在建筑设置有避雷装置并部署有交流电源地线；该选择项权值(0.1分)参考来源：该选择项参考等级保护基本要求-(防雷击)三级要求部分：a)机房建筑应设置避雷装置；c)机房应设置交流电源地线。B.机房安装有防雷保安器等装置，能够防止感应雷电破坏计算机信息系统。该选择项权值(0.1分)参考来源：该选择项参考等级保护基本要求-(防雷击)三级要求部分：b)应设置防雷保安器，防止感应雷；1.1.5.您单位在防火方面，符合以下哪些安全要求？( )该控制项权值(1分)A.机房部署了能够

14、自动检测火情、自动报警和自动灭火的消防系统；该选择项权值(0.3分)参考来源：该选择项参考等级保护基本要求-(防火)三级要求部分：a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；B.制定了有关机房消防的管理制度和消防预案，定期巡检和维护消防系统，并有详细的运行记录、报警记录、定期检查以及维修记录；该选择项权值(0.2分)C.机房及相关的工作房间和辅助房间装修时采用了耐火的建筑材料；该选择项权值(0.3分)参考来源：该选择项参考等级保护基本要求-(防火)三级要求部分：b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；D.机房采取区域隔离防火措施将重要设备与其它

15、设备进行隔离。该选择项权值(0.2分)参考来源：该选择项参考等级保护基本要求-(防火)三级要求部分：c)机房应采取区域隔离防火措施，将重要设备与其它设备隔离开。1.1.6.您单位在防水和防潮方面，符合以下哪些安全要求？( )该控制项权值(0.3分)A.机房屋顶和活动地板下未铺设水管，机房的窗户、屋顶、墙壁均采取了防水措施；该选择项权值(0.1分)参考来源：该选择项参考等级保护基本要求-(防水和防潮)三级要求部分：a)水管安装，不得穿过机房屋顶和活动地板下；b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；B.机房采取了防潮、防漏、除湿措施，并有防水防潮处理记录和除湿装置运行记录；该选择项权值

16、(0.1分)参考来源：该选择项参考等级保护基本要求-(防水和防潮)三级要求部分：c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；C.安装有对水敏感的检测仪表或元件，对机房进行防水检测和报警，有专人负责该设备的运行、管理工作。该选择项权值(0.1分)参考来源：该选择项参考等级保护基本要求-(防水和防潮)三级要求部分：d)应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。1.1.7.您单位在防静电方面，符合以下哪些安全要求？( )该控制项权值(0.3分)A.主要设备采用了接地的方式防止静电；该选择项权值(0.1分)参考来源：该选择项参考等级保护基本要求-(防静电)三级要求部分：a

17、)主要设备应采用必要的接地防静电措施；B.机房在装修时使用防静电地板；该选择项权值(0.1分)参考来源：该选择项参考等级保护基本要求-(防静电)三级要求部分：b)机房应采用防静电地板。C.机房采用了防静电工作台、静电消除剂和/或静电消除器等防静电措施。该选择项权值(0.1分)参考来源：该选择项参考等级保护基本要求-(防静电)三级要求部分：a)主要设备应采用必要的接地防静电措施；1.1.8.您单位在温湿度控制方面，符合以下哪些安全要求？( )该控制项权值(1分)A.机房采用机房专用空调自动调节机房温、湿度，保证机房温、湿度在设备运行所允许的范围之内；该选择项权值(0.7分)参考来源：该选择项参考

18、等级保护基本要求-(温湿度控制)三级要求部分：机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。B.制定有关于机房专用空调的定期巡检制度，并对巡检结果有详细记录。该选择项权值(0.3分)参考来源：该选择项参考等级保护基本要求-(温湿度控制)三级要求部分：机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。1.1.9.您单位在电力供应方面，符合以下哪些安全要求？( )该控制项权值(0.8分)A.机房部署有稳压器、过电压防护设备以及短期备用电源设备保障机房设备的稳定运行；该选择项权值(0.3分)参考来源：该选择项参考等级保护基本要求-(电力

19、供应)三级要求部分：a)应在机房供电线路上配置稳压器和过电压防护设备；b)应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求；B.定期对稳压器、过电压防护设备、短期备用电源设备以及备用供电系统等电源设备进行检查和维护，并有详细的检查和维护记录；该选择项权值(0.3分)C.采用冗余或并行的电力电缆线路保障计算机系统的供电；该选择项权值(0.2分)参考来源：该选择项参考等级保护基本要求-(电力供应)三级要求部分：c)应设置冗余或并行的电力电缆线路为计算机系统供电；1.1.10.您单位在电磁防护方面，符合以下哪些安全要求？( )该控制项权值(0.3分)A.机房内设备外壳采用安全接地

20、的方式防止外界电磁干扰和设备寄生耦合干扰；该选择项权值(0.1分)参考来源：该选择项参考等级保护基本要求-(电磁防护)三级要求部分：a)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；B.机房布线时对电源线和通信线缆实施金属外壳包裹的隔离方式；该选择项权值(0.1分)参考来源：该选择项参考等级保护基本要求-(电磁防护)三级要求部分：b)电源线和通信线缆应隔离铺设，避免互相干扰；C.关键设备磁介质存放在具有电磁屏蔽功能的容器中进行电磁屏蔽。该选择项权值(0.1分)参考来源：该选择项参考等级保护基本要求-(电磁防护)三级要求部分：c)应对关键设备和磁介质实施电磁屏蔽。1.2.网络安全该类权值(1

21、0分)1.2.1.您单位在网络结构安全方面，符合以下哪些安全要求？( )该控制项权值(2.5分)A.绘制有与当前运行情况相符的网络拓扑图，并有专人负责保管和及时更新；该选择项权值(0.5分)参考来源：该选择项参考等级保护基本要求-(结构安全)三级要求部分：d)应绘制与当前运行情况相符的网络拓扑结构图；B.目前网络设备的业务处理能力具备冗余空间，能满足业务高峰期需要；该选择项权值(0.5分)参考来源：该选择项参考等级保护基本要求-(结构安全)三级要求部分：a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；C.网络接入链路带宽能够满足高峰期需要；该选择项权值(0.5分)参考来源

22、：该选择项参考等级保护基本要求-(结构安全)三级要求部分：b)应保证网络各个部分的带宽满足业务高峰期需要；D.当前网络系统的部署方案包含有安全区域规划和区域间访问策略，网络系统的安全建设方案通过了专家的评审；该选择项权值(0.5分)参考来源：该选择项参考等级保护基本要求-(结构安全)三级要求部分：c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其它网段之间采取可靠的技术隔离

23、手段；E.关键网络节点配置有带宽管理策略，能根据业务服务的优先级分配带宽。该选择项权值(0.5分)参考来源：该选择项参考等级保护基本要求-(结构安全)三级要求部分：g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。1.2.2.您单位在网络访问控制方面，符合以下哪些安全要求？( )该控制项权值(2分)A.外部网络接入边界都部署有专用的访问控制设备（如防火墙、UTM等），并对内外网间的访问配置有严格的控制策略；该选择项权值(0.5分)参考来源：该选择项参考等级保护基本要求-(访问控制)三级要求部分：a)应在网络边界部署访问控制设备，启用访问控制功能；b

24、)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；d)应在会话处于非活跃一定时间或会话结束后终止网络连接；e)应限制网络最大流量数及网络连接数；g)应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；B.重要服务器区与其它区域间部署有专用的访问控制设备（如防火墙、UTM等），并对区域间的访问配置有严格的控制策略；该选择项权值(0.5分)参考来源：该选择项参考等级保护基本要求-(访问控制)三级要求部分：a)

25、应在网络边界部署访问控制设备，启用访问控制功能；b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；d)应在会话处于非活跃一定时间或会话结束后终止网络连接；e)应限制网络最大流量数及网络连接数；g)应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；C.重要的服务器和重要的办公终端部署有防地址欺骗措施，如IP和MAC地址绑定技术；该选择项权值(0.5分)参考来源：该选择项参考等级保护基本要求-(访问控制)

26、三级要求部分：f)重要网段应采取技术手段防止地址欺骗；D.部署有专门负责远程用户的接入设备，实现对远程接入用户的访问资源及接入用户数量进行严格控制。该选择项权值(0.5分)参考来源：该选择项参考等级保护基本要求-(访问控制)三级要求部分：h)应限制具有拨号访问权限的用户数量。1.2.3.您单位网络设备在安全审计方面，符合以下哪些安全要求？( )该控制项权值(1.5分)A.对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录，记录包括事件的日期和时间、用户、事件类型、事件是否成功及其它与审计相关的信息；该选择项权值(0.7分)参考来源：该选择项参考等级保护基本要求-(安全审计)三级要

27、求部分：a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其它与审计相关的信息；B.采用由北京市认可的专用审计软件，该软件可根据记录数据生成审计报表，并可对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。该选择项权值(0.8分)参考来源：该选择项参考等级保护基本要求-(安全审计)三级要求部分：c)应能够根据记录数据进行分析，并生成审计报表；d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。1.2.4.您单位在边界完整性检查方面，符合以下哪些安全要求？( )该控制项权值(1分)A.部署有非

28、法外联监控系统，能够对非法连接到内网和非法连接到外网的行为进行监控，并能有效的阻断非法外联设备。该选择项权值(1分)参考来源：该选择项参考等级保护基本要求-(边界完整性检查)三级要求部分：a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。1.2.5.您单位在网络入侵防范方面，符合以下哪些安全要求？( )该控制项权值(1分)A.部署有网络入侵检测设备检测端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等攻击行为，在检测到攻击行为

29、时，记录攻击源IP、攻击类型、攻击目的和攻击时间，并在检测到严重入侵事件时进行报警；该选择项权值(0.5分)参考来源：该选择项参考等级保护基本要求-(入侵防范)三级要求部分：a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；b)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。B.网络入侵检测设备的规则库定期升级，确保其规则库为最新版本。该选择项权值(0.5分)1.2.6.您单位在恶意代码防范方面，符合以下哪些安全要求？( )该控制项权值(1分)A.关键网络边界处部署

30、实时检测和查杀恶意代码的防病毒网关能对恶意代码进行检测和清除；该选择项权值(0.5分)参考来源：该选择项参考等级保护基本要求-(恶意代码防范)三级要求部分：a)应在网络边界处对恶意代码进行检测和清除；B.防病毒网关的恶意代码库能够定期升级，确保其规则库为最新版本。该选择项权值(0.5分)参考来源：该选择项参考等级保护基本要求-(恶意代码防范)三级要求部分：b)应维护恶意代码库的升级和检测系统的更新。1.2.7.您单位在网络设备防护方面，符合以下哪些安全要求？( )该控制项权值(1分)A.网络设备对登录用户采取身份鉴别机制，不同用户具有不同的用户名，用户的身份鉴别信息不易被冒用并定期更换；该选择

31、项权值(0.2分)参考来源：该选择项参考等级保护基本要求-(网络设备防护)三级要求部分：a)应对登录网络设备的用户进行身份鉴别；c)网络设备用户的标识应唯一；e)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；B.关键网络设备对登录用户的网络地址进行严格限制；该选择项权值(0.2分)参考来源：该选择项参考等级保护基本要求-(网络设备防护)三级要求部分：b)应对网络设备的管理员登录地址进行限制；C.网络设备选择两种或两种以上组合的鉴别技术（如用户名/口令、挑战应答、动态口令、物理设备、生物识别技术和数字证书等）实现用户身份鉴别；该选择项权值(0.1分)参考来源：该选择项参考等级

32、保护基本要求-(网络设备防护)三级要求部分：d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；D.网络设备具有登录失败处理功能，可通过结束会话、限制非法登录次数和登录连接超时自动退出等措施限制非法登录；该选择项权值(0.2分)参考来源：该选择项参考等级保护基本要求-(网络设备防护)三级要求部分：f)应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；E.网络设备采用加密的管理方式（如ssh、https），避免鉴别信息在网络传输过程中被窃听；该选择项权值(0.2分)参考来源：该选择项参考等级保护基本要求-(网络设备防护)三级要求部

33、分：g)当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；F.对网络设备中特权用户的进行分离，采用最小授权原则对特权用户的分配权限。该选择项权值(0.1分)参考来源：该选择项参考等级保护基本要求-(网络设备防护)三级要求部分：h)应实现设备特权用户的权限分离。1.3.主机安全该类权值(14分)1.3.1.您单位服务器操作系统和数据库软件在身份鉴别方面，符合以下哪些安全要求？( )该控制项权值(2.1分)A.服务器操作系统和数据库软件未设置远程管理方式；或当服务器操作系统和数据库软件允许被远程管理时，系统采取了加密措施保障用户身份鉴别信息传输的安全；该选择项权值(0.

34、6分)参考来源：该选择项参考等级保护基本要求-(身份鉴别)三级要求部分：d)当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；B.主要服务器操作系统和数据库软件管理员帐户是唯一的，不同的用户具有不同的用户名；该选择项权值(0.3分)参考来源：该选择项参考等级保护基本要求-(身份鉴别)三级要求部分：e)应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。C.主要服务器操作系统和数据库软件的登录帐户采取了身份鉴别措施（如用户名和口令等），身份鉴别信息具有不易被冒用的特点（用户的登录口令包含数字、大小写字母或特殊字符、长度不低于8位的特点）；该选择项

35、权值(0.3分)参考来源：该选择项参考等级保护基本要求-(身份鉴别)三级要求部分：a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别；D.主要服务器操作系统和数据库软件的登录帐户鉴别信息具有定期更换机制，并按照规定的鉴别信息更换周期进行定期更新；该选择项权值(0.3分)参考来源：该选择项参考等级保护基本要求-(身份鉴别)三级要求部分：b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；E.主要服务器操作系统和数据库软件对用户采用两个或两个以上的身份鉴别技术（如用户名/口令、挑战应答、动态口令、物理设备、生物识别技术和数字证书等）；该选择项权值(0

36、.3分)参考来源：该选择项参考等级保护基本要求-(身份鉴别)三级要求部分：f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。F.服务器操作系统和数据库软件启用了用户登录失败鉴别和处理功能，对非法登录次数、登录连接超时时间进行了限制。该选择项权值(0.3分)参考来源：该选择项参考等级保护基本要求-(身份鉴别)三级要求部分：c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；1.3.2.您单位服务器操作系统和数据库软件在访问控制方面，符合以下哪些安全要求？( )该控制项权值(2.5分)A.主要服务器操作系统进行了专门的系统加固，包含严格限制重要文件的访问权限、

37、禁用不需要的服务、删除系统共享路径、禁用或者严格限制匿名/默认用户的访问权限、删除系统中多余的、过期的以及共享的帐户；该选择项权值(0.5分)参考来源：该选择项参考等级保护基本要求-(访问控制)三级要求部分：a)应启用访问控制功能，依据安全策略控制用户对资源的访问；d)应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；e)应及时删除多余的、过期的帐户，避免共享帐户的存在。B.主要数据库软件进行了专门的系统加固，包含严格限制重要数据的访问权限、禁用或者严格限制匿名/默认用户的访问权限、删除系统中多余的、过期的以及共享的帐户；该选择项权值(0.5分)参考来源：该选择项参考等

38、级保护基本要求-(访问控制)三级要求部分：a)应启用访问控制功能，依据安全策略控制用户对资源的访问；d)应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；e)应及时删除多余的、过期的帐户，避免共享帐户的存在。C.根据用户对资源的访问情况设置安全策略，对主要服务器操作系统和数据库软件用户权限进行严格的访问控制；该选择项权值(0.5分)参考来源：该选择项参考等级保护基本要求-(访问控制)三级要求部分：a)应启用访问控制功能，依据安全策略控制用户对资源的访问；D.对主要服务器操作系统和数据库软件的特权用户权限进行分离，并采用最小授权原则对特权用户的权限进行严格限制(如系统管理

39、员只能对系统进行维护，安全管理员只能进行策略配置和安全设置，安全审计员只能维护审计信息等)；该选择项权值(0.5分)参考来源：该选择项参考等级保护基本要求-(访问控制)三级要求部分：b)应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；c)应实现操作系统和数据库系统特权用户的权限分离；E.对主要服务器操作系统和主要数据库软件中重要信息资源设置了敏感标记，并严格控制对该资源的访问。该选择项权值(0.5分)参考来源：该选择项参考等级保护基本要求-(访问控制)三级要求部分：f)应对重要信息资源设置敏感标记；g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作

40、；1.3.3.您单位服务器操作系统和数据库软件在安全审计方面，符合以下哪些安全要求？( )该控制项权值(3.2分)A.能够对主要服务器和重要终端操作系统内重要的安全相关事件进行记录，记录内容包含每个用户行为、系统资源的异常使用、重要系统命令的使用以及事件的日期、时间、类型、主客体和结果等信息；该选择项权值(0.8分)参考来源：该选择项参考等级保护基本要求-(安全审计)三级要求部分：a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；c)审计记录应包括事件的日期、时间、类型、主体

41、标识、客体标识和结果等；B.能够对主要数据库软件内重要的安全相关事件进行记录，记录内容包含每个用户行为、系统资源的异常使用、重要系统命令的使用以及事件的日期、时间、类型、主客体和结果等信息；该选择项权值(0.8分)参考来源：该选择项参考等级保护基本要求-(安全审计)三级要求部分：a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；C.部署由北京市认可的日志审计软件对主要服务器和重要终端操作系统日志进行审计，能

42、自动生成审计报表，避免日志计记录受到未预期的删除、修改或覆盖，避免审计进程受到未预期的中断；该选择项权值(0.8分)参考来源：该选择项参考等级保护基本要求-(安全审计)三级要求部分：d)应能够根据记录数据进行分析，并生成审计报表；e)应保护审计进程，避免受到未预期的中断；f)应保护审计记录，避免受到未预期的删除、修改或覆盖等。D.部署由北京市认可的日志审计软件对主要数据库软件日志进行审计，能自动生成审计报表，避免日志计记录受到未预期的删除、修改或覆盖，避免审计进程受到未预期的中断。该选择项权值(0.8分)参考来源：该选择项参考等级保护基本要求-(安全审计)三级要求部分：d)应能够根据记录数据进

43、行分析，并生成审计报表；e)应保护审计进程，避免受到未预期的中断；f)应保护审计记录，避免受到未预期的删除、修改或覆盖等。1.3.4.您单位服务器操作系统和数据库软件在剩余信息保护方面，符合以下哪些安全要求？( )该控制项权值(1分)A.操作系统用户的鉴别信息在用户退出登录时能够得到完全清除；该选择项权值(0.2分)参考来源：该选择项参考等级保护基本要求-(剩余信息保护)三级要求部分：a)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其它用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；B.操作系统内的文件、目录所在的存储空间被释放或重新分配给其它用户前能够

44、得到完全清除；该选择项权值(0.3分)参考来源：该选择项参考等级保护基本要求-(剩余信息保护)三级要求部分：b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其它用户前得到完全清除。C.数据库用户的鉴别信息在用户退出登录时能够得到完全清除；该选择项权值(0.2分)参考来源：该选择项参考等级保护基本要求-(剩余信息保护)三级要求部分：a)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其它用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；D.数据库软件中数据库记录所在的存储空间被释放或重新分配给其它用户前能够得到完全清除。该选择项权

45、值(0.3分)参考来源：该选择项参考等级保护基本要求-(剩余信息保护)三级要求部分：b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其它用户前得到完全清除。1.3.5.您单位服务器操作系统和数据库软件在入侵防范方面，符合以下哪些安全要求？( )该控制项权值(1.2分)A.部署有入侵防范系统，对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；该选择项权值(0.3分)参考来源：该选择项参考等级保护基本要求-(入侵防范)三级要求部分：b)应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；B.入侵防范系统能检测对重要服务器的

46、入侵行为，记录攻击者的源IP、攻击类型、攻击目标、攻击时间等，在发生严重入侵事件时提供报警（如声音、短信和EMAIL等）；该选择项权值(0.3分)参考来源：该选择项参考等级保护基本要求-(入侵防范)三级要求部分：a)应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；C.部署专门的升级服务器为主要服务器操作系统提供补丁升级服务；该选择项权值(0.3分)参考来源：该选择项参考等级保护基本要求-(入侵防范)三级要求部分：c)操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及

47、时得到更新。D.主要服务器操作系统和主要数据库软件安装时遵循最小安装原则仅安装需要的组件和应用程序并及时安装升级补丁。该选择项权值(0.3分)参考来源：该选择项参考等级保护基本要求-(入侵防范)三级要求部分：c)操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。1.3.6.您单位服务器操作系统和数据库软件在恶意代码防范方面，符合以下哪些安全要求？( )该控制项权值(2分)A.主要服务器安装了实时检测和查杀恶意代码的防病毒软件产品，该软件可及时更新数据库；该选择项权值(1分)参考来源：该选择项参考等级保护基本要求-(恶意代码防范)三级要

48、求部分：a)应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；B.防病毒软件服务器端和客户端采用统一的管理方式；该选择项权值(0.5分)参考来源：该选择项参考等级保护基本要求-(恶意代码防范)三级要求部分：c)应支持防恶意代码的统一管理。C.网络防病毒网关与主机防病毒软件使用不同的恶意代码库。该选择项权值(0.5分)参考来源：该选择项参考等级保护基本要求-(恶意代码防范)三级要求部分：b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；1.3.7.您单位服务器操作系统和数据库软件在资源控制方面，符合以下哪些安全要求？( )该控制项权值(2分)A.重要服务器操作系统根

49、据安全策略限制终端登录（如根据限制终端的接入方式和网络地址范围等条件进行限制）；该选择项权值(0.4分)参考来源：该选择项参考等级保护基本要求-(资源控制)三级要求部分：a)应通过设定终端接入方式、网络地址范围等条件限制终端登录；B.重要服务器操作系统针对单个用户设置了使用系统资源的最大或最小限度；该选择项权值(0.4分)参考来源：该选择项参考等级保护基本要求-(资源控制)三级要求部分：d)应限制单个用户对系统资源的最大或最小使用限度；C.重要服务器操作系统在服务水平降低到预先规定的最小值时能够报警；该选择项权值(0.4分)参考来源：该选择项参考等级保护基本要求-(资源控制)三级要求部分：e)

50、应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。D.对重要服务器操作系统的CPU、硬盘、内存和网络等资源的使用情况进行监控，并在发现异常时进行报警；该选择项权值(0.4分)参考来源：该选择项参考等级保护基本要求-(资源控制)三级要求部分：c)应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；E.登录终端开启操作超时锁定的功能。该选择项权值(0.4分)参考来源：该选择项参考等级保护基本要求-(资源控制)三级要求部分：b)应根据安全策略设置登录终端的操作超时锁定；1.4.应用安全该类权值(14分)1.4.1.您单位应用系统在身份鉴别方面，符合以下哪些安全

51、要求？( )该控制项权值(3分)A.应用系统设计有专用的登录控制模块，实现对登录用户的身份标识和鉴别，并具有用户身份标识唯一性检查和用户鉴别信息复杂度检查等功能；该选择项权值(1分)参考来源：该选择项参考等级保护基本要求-(身份鉴别)三级要求部分：a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别；c)应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；e)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。B.应用系统启用了用户登录失败鉴别和处理功能，对非法登录次数

52、、登录连接超时时间进行了限制；该选择项权值(1分)参考来源：该选择项参考等级保护基本要求-(身份鉴别)三级要求部分：d)应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；C.应用系统对同一用户采用两种或两种以上组合的鉴别技术（如用户名/口令、挑战应答、动态口令、物理设备、生物识别技术和数字证书等）实现用户身份鉴别。该选择项权值(1分)参考来源：该选择项参考等级保护基本要求-(身份鉴别)三级要求部分：b)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别；1.4.2.您单位应用系统在访问控制方面，符合以下哪些安全要求？( )该控制项权值(2分)A.应用系统设计访问控制功能，能够严格控制用户对文件、数据库表等客体的访问，控制覆盖包含主体（用户）、客体（文件、数据库表等）及它们之间的操