二级等保标准

1、二级等保标准二级等级保护要求技术要求技木要求项二级等保实现方式物理安全物理位置的选择1）机房和办公场所应选择在拥有防震、防风和防雨等能力的建筑内。机房建设物理访1）控制2）机房进出口应有专人值守，鉴识进入的人员身份弁登记在案；问 应同意进入机房的来访人员，限制和监控其活动范围。门禁管理系统防偷窃和防破坏1）应将主要设备搁置在物理受限的范围内；2）应付设备或主要零件进行固定，弁设置显然的不易除掉的标志；3）应将通讯线缆铺设在隐蔽处，如铺设在地下或管道中等；4）应付介质分类表记，储存在介质库或档案室中；5）应安装必需的防盗报警设备，以防进入机房的偷窃和损坏行为。机房建设防雷击1）机房建筑应设置避雷

2、装置；2）应设置沟通电源地线。防雷系统防.火1）应设置灭火设备和火灾自动报警系统，弁保持灭火设备和火灾自动报警系统的优秀状态。消防系统防水和防潮1）水管安装，不得穿过屋顶和活动地板下；2）应付穿过墙壁和楼板的水管增添必需的保护举措，如设置套管；3）应采纳举措防备雨水经过屋顶和墙壁浸透；4）应采纳举措防备室内水蒸气结露和地下积水的转移与浸透。机房建设防静电1）应采纳必需的接地等防静电举措静电地板温湿度控制1）应设置温、湿度自动调理设备，使机房温、湿度的变化在设备运转 所同意的范围以内。机房动力环境监控系统电力供应1）计算机系统供电应与其余供电分开；2）应设置稳压器和过电压防备设备；3）应供给短期

3、的备用E1力供给（如UPS设备）。UPS电磁防护1）应采纳接地方式防备外界电磁扰乱和设备寄生耦合扰乱；2）电源线和通讯线缆应隔绝，防止相互扰乱。防电磁排插， 防电磁机柜网络构造安1）网络设备的业务办理能力应具备冗余空间，要求知足业务顶峰期需设备做好双机冗余二级等保标准精选文库技木要求项二级等保实现方式安全全与网 段区分要；2）应设计和绘制与目前运转状况符合的网络拓扑构造图；3）应依据机构业务的特色，在知足业务顶峰期需要的基础上，合理设计网络带宽；4）应在业务终端与业务服务器之间进行路由控制，成立安全的接见路径；5）应依据各部门的，作职能、重要性、所波及信息的重要程度等要素，区分不一样的子网或网

4、段，弁依照方便管理和控制的原则为各子网、网段分派地点段；6）重要网段应采纳网络层地点与数据链路层地点绑定举措，防备地点欺诈。网络访问控制1）应能依据会话状态信息（包含数据包的源地点、目的地点、 源端口号、目的端口号、协议、进出的接口、会话序列号、发出信息的主机名等信息，弁应支持地点通配符的使用），为数据流供给明确的同意/拒绝接见的能力。防火墙拨号访问控制1）应在鉴于安全属性的同意远程用户对系统接见的规则的基础上，对系统全部资源同意或拒绝用户进行接见，控制粒度为单个用户；2）应限制拥启拨号接见权限的用户数目。VPN网络安全审计1）应付网络系统中的网络设备运转状况、网络流量、 用户行为等事件进行日

5、记记录；2）关于每一个事件，具审计记录应包含：事件的日期和时间、用户、 事件种类、事件能否成功，及其余与审计有关的信息。上网行为管理设备界限完整性检查1）应可以检测内部网络中出现的内部用户未经过允许擅自联到外面 网络的行为（即“非法外联”行为）。IDS入侵检测网络入侵防备1）应在网络界限处监督以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫 攻击等入侵事件的发生。IPS入侵防守歹意代码防备1）应在网络界限及核心业务网段处对歹意代码进行检测和消除；2）应保护歹意代码库的升级和检测系统的更新；3）应支二寺歹意代码防备的T管理。防毒墙网络设备防备1

6、）应付登录网络设备的用户进行身份鉴识；2） 应付XX络设备的管理吊登录地占讲彳不限制保护碉堡机二级等保标准精选文库技木要求项二级等保实现方式3）网络设备用户的表记应独一；4）身份鉴识信息应拥有不易被冒用的特色，比如口令长度、 复杂性和按期的更新等；5）应拥有登录失败办理功能，如：结束会话、限制非法登录次数，当网络登录连结超时，自动退出。系统安全身份鉴别1）操作系统和数据库管理系统用户的身份表记应拥有独一性；2）应付登录操作系统和数据库管理系统的用户进行身份表记和鉴识；3）操作系统和数据库管理系统身份鉴识信息应拥有不易被冒用的特点，比如口令长度、复杂性和按期的更新等；4）应拥有登录失败办理功能，

7、如：结束会话、限制非法登录次数，当 登录连结超时，自动退出。VPN自主访问控制1）应依照安全策略控制主体对客体的接见；2）自主接见控制的覆盖范围应包含与信息安全直接有关的主体、客体及它们之间的操作；3）自主接见控制的粒度应达到主体为用户级，客体为文件、 数据库表级；4）应由受权主体设置对客体接见和操作的权限；5）应严格限制默认用户的接见权限。VPN防火墙强迫访问控制无数据库审计系统安全审计1）安全审计应覆盖到服务器上的每个操作系统用户和数据库用户；2）安全审计应记录系统内重要的安全有关事件，包含重要用户行型唯要系统命令的使用等；3）安全有关事件的记录应包含日期和时间、种类、主体表记、客体标识、

8、事件的结果等；数据库审计系统系统保4）审计记录应遇到保护防止遇到未预期的删除、改正或覆盖等。1）系统应供给在管理保护状态中运转的能力，管理保护状态只好被系数据存贮备份，护节余信息保护统管理员使用。1）应保证操作系统和数据库管理系统用户的鉴识信息所在的储存空间，被开释或再分派给其余用户前获得完整消除，不论这些信息是寄存在硬盘上仍是在内存中；2）应保证系统内的文件、目录和数据库记录等资源所在的储存空间，VPN被开释或从头分派给其余用户前获得完整消除。二级等保标准精选文库技木要求项二级等保实现方式入侵防范无网管系统，IPS入侵防御系统歹意代码防备1）服务器和重要终端设备（包含挪动设备）应安装及时检测

9、和查杀恶意代码的软件产品；2）主机系统防歹意代码产品应拥有与网络防歹意代码产品不一样的恶意代码库；防毒墙，杀毒软件资源控制1）应限制单个用户的会话数目；2）应经过设定终端接入方式、网络地点范围等条件限制终端登录。VPN应用安全身份鉴别1）应用系统用户的身份表记应拥启独一性；2）应付登录的用户进行身份表记和鉴识；3）系统用户身份鉴识信息应拥有不易被冒用的特色，比如口令长度、 复杂性和按期的更新等；4）应拥有登录失败办理功能，如：结束会话、限制非法登录次数，当 登录连结超时，自动退出。接见控制1）应依照安全策略控制用户对客体的接见；2）自主接见控制的覆盖范围应包含与信息安全直接有关的主体、客体及它

10、们之间的操作；3）自主接见控制的粒度应达到主体为用户级，客体为文件、 数据库表级；4）应由受权主体设置用户对系统功能操作和对数据接见的权限；5）应实现应用系统特权用户的权限分别，比如将管理与审计的权限分配给不一样的应用系统用户；6）权限分别应采纳最小受权原则，分别授与不一样用户各自为达成自己肩负任务所需的最小权限，弁在它们之间形成相互限制的关系；7）应严格限制默认用户的接见权限。防火墙安全审计1）安全审计应覆盖到应用系统的每个用户；2）安全审计应记录应用系统重要的安全有关事件，包含重要用户行为和重要系统功能的履行等；3）安全有关事件的记录应包含日期和时间、种类、主体表记、客体标识、事件的结果等

11、；4）审计记录应遇到保护防止遇到未预期的删除、改正或覆盖等。日记审计系统节余信息保护1）应保证用户的鉴识信息所在的储存空间，被开释或再分派给其余用户前获得完整消除，不论这些信息是寄存在硬盘上仍是在内存中；VPN4二级等保标准精选文库技木要求项二级等保实现方式2）应保证系统内的文件、目录和数据库记录等资源所在的储存空间， 被开释或从头分派给其余用户前获得完整消除。通讯完整性1）通讯两方应商定单向的校验码算法，计算通讯数据报文的校验码， 在进行通讯时，两方依据校验码判断对方报文的有效性。VPN加密抗狡辩无VPN通讯保密性1）当通讯两方中的一方在一段时间内未作任何响应，另一方应口以自动结束会话；2）

12、在通讯两方成立连结以前，利用密码技术进行会话初始化考证；3）在通讯过程中，应付敏感信息字段进行加密。VPN软件容错1）应付经过人机接口输入或经过通讯接口输入的数据进行有效性检验；2）应付经过人机接口方式进行的操作供给“回退”功能，即同意依照操作的序列进行回退；VPN资源控制3）在故障发生时， 应持续供给一部分功能，保证可以实行必需的举措。1）应限制单个用户的多重并发会话；2）应付应用系统的最大弁发会话连结数进行限制；VPN代码安3）应付一个时间段内可能的开发会话连结数进行限制。1）应付应用程序代码进行歹意代码扫描；防火墙数据安全全数据完 整性2） 应付应用程序代用进仃安全柔弱性剖析。1）应可以检测到系统管理数据、鉴识信息和用户数据在传输过程中完整性遇到损坏；2）应可以检测到系统管理数据、鉴识信息和用户数据在储存过程中完防火墙数据保密性整性遇到损坏。1）网络设备、操作系统、数据库管理系统和应用系统的鉴识信息、敏感的系统管理数据和敏感的用户数据应采纳加密或其余有效举措实现传输保密性；2）网络设备、操作