等级保护第四级基本要求

1、文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持等级保护第四级基本要求-技术需部署的安全设施其他建议残留问题1.1.1 物理安全物理位置的选择 （G3）本项要求包括：a） 机房和办公场地应选择 在具有防震、防风和防 雨等能力的建筑内；b）机房场地应避免设在建 筑物的高层或地下室， 以及用水设备的下层或 隔壁。一般选择在建筑物 2-3层，最好在办公 区附近，且不能邻 近洗手间、厨房等。（同B类安全机房 的选址要求。）1.1.1.2 物理访问控制（G3）本项要求包括：a）机房出入口应安排专人 值守并配置电子门禁系 统，控制、鉴别和记录 进入的人员；机房安装电子门禁系统 （北京大宇飞翔，

2、深圳微耕，瑞士 KABA德国 KABA Gallenschutz ）, 建议采用双向控制。增设保安人员在门 外值守；通过门禁电子记录 或填写出入记录单 的形式记录进出人 员和时间。b）需进入机房的来访人员应经过申请和审批流 程，并限制和监控其活 动范围；机房内、外部临近入口 区域安装监控摄像头保 证全部范围覆盖。需要后来访人员进 入机房的审批记 录；外来人员进入 机房应当由专人全 程陪同。c）应对机房划分区域进行 管理，区域和区域之间 设置物理隔离装置，在 重要区域前设直交付或 安装等过渡区域；d） 重要区域应配置第一道 电子门禁系统，控制、 鉴别和记录进入的人 员。重要区域物理隔离，并 安装

3、第二道电子门禁系 统（双向）。1.1,1.3防盗窃和防破坏（G3）本项要求包括：a）应将主要设备放置在机 房内；b）应将设备或主要部件进使用机柜并在设备上焊1文档来源为：从网络收集整理,word版本可编辑.文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持行固定，并设置明显的 不易除去的标记；接铭牌，标明设备型号、 负责保管人员、维护单 位等信息。（设备铭牌 只能被破坏性地去除。）c）应将通信线缆铺设在隐 敝处，引铺设在地卜或 管道中；d）应对介质分类标识，存 储在介质库或档案室 中；介质应异地存放。e）应利用光、电等技术设 置机房防盗报警系统；机房重要资产存放处及 附近区域安装光、

4、电防 盗报警系统，如红外或 感应报警系统。f） 应对机房设置监控报警 系统。机房安装视频监控报警 系统。1.1.1.4 防雷击（G3）本项要求包括：a）机房建筑应设置避雷装置；b）应设置防雷保安器，防 止感应雷；安装电源三级防雷器和 信号二级防雷器（美国 克雷太ALLTEQ 。c） 机房应设置交流电源地 线。机房设置专用交流电源 地线，接地电阻不应大 于4Q。机房交流工作接 地、安全保护接地、 防雷接地应符合 GB50174-93电子 计算机机房设计规 范要求。1.1.1.5防火（G3）本项要求包括：a）机房应设置火灾自动消 防系统，能够自动检测 火情、自动报警，并自 动灭火；在机房内安装温感

5、或烟 感探测器，连接到机房 动力环境监控系统中； 安装有管网气体自动灭 火系统。火火方式应米用气体灭火系统，如CO2 FM-200、气溶胶和烟烙尽等。b）机房及相关的工作房间 和辅助房应采用具有耐 火等级的建筑材料；进行机房改造，使用防 火材料装修。2文档来源为：从网络收集整理,word版本可编辑.文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持c） 机房应米取区域隔离防 火措施，将重要设备与 其他设备隔离开。进行机房改造，重要区 域使用防火玻璃隔断。1.1.1.6防水和防潮（G3）本项要求包括：a）水管安装，不得穿过机 房屋顶和活动地板下；b）应采取措施防止雨水通 过机房窗户、屋

6、顶和墙 壁渗透；c）应采取措施防止机房内 水蒸气结露和地下积水 的转移与渗透；机房顶棚、地面和四周 应做好防水处理，有条 件的话可以在机房顶部 安装防漏水设施，在机 房地面修建地漏、泄水 槽和配置排水设备。机房尽可能选择没 有水管经过的房间 和尽量不靠近建筑 物外侧墙壁的地 方，这样可以节省 做防水系统的大量 投资。d）应安装对水敏感的检测 仪表或元件，对机房进 行防水检测和报警。安装机房动力环境监控 系统（对机房设备的运 行状态、温度、湿度、 洁净度、供电的电压、 电流、频率、配电系统 的开关状态、测漏系统 等进行实时监控并记录 历史数据），其中含漏 水检测装置。1.1.1.7 防静电（G3

7、）本项要求包括：a）主要设备应采用必要的 接地防静电措施；b）机房应采用防静电地 板；c）应采用静电消除器等装 置，减少静电的产生。采用防静电工作台、静 电消除剂和静电消除器 等。1.1.1.8温湿度控制（G3）机房应设置温、湿度自动调 节设施，使机房温、湿度的变化 在设备运行所允许的范围之内。安装带湿度调节功能的精密空调系统，配置温 湿度检测装置，并接入 动力环境监控系统。空调应依据机房面积和设 备数量安装，尽量保证设备工作在湿度带湿度控制的空调 价格比较昂贵，且 需要对水管的布置 进行考虑。可以使 用其他方法增加机 房内的湿度，使用 湿度表进行监控。3文档来源为：从网络收集整理,word版

8、本可编辑.文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持45-60 %之间，夏季温度 控制在23 2 C,冬 季温度控制在 202C,温度变化率不 超过5C/h ,并且不得 结露。（按电子计算 机机房设计规范 A级 要求）1.1.1.9电力供应（A3）本项要求包括：a）应在机房供电线路上配 置稳压器和过电压防护 设备；配置线路稳压器和电源 保护装置（如金属氧化 物可艾电阻、硅雪崩二 极管、气体放电管、滤 波器、电压调整变压器 和浪涌滤波器）。b）应提供短期的备用电力 供应，至少满足主要设 备在断电情况下的正常 运行要求；为机房设备配置 UPSc） 应设置几余或并行的电 力电缆线路

9、为计算机系 统供电；建筑应采用双路供电系 统（连接两个小同区域 的供电站），并根据对 业务恢复时间的要求， 制定备用供电系统的切 换时间。d）应建立备用供电系统。有条件的企业可以配备 柴油发电机保证较长时 间的应急供电。1.1.1.10电磁防护（S3）本项要求包括：a）应采用接地方式防止外 界电磁干扰和设备寄生 耦合干扰；通过将机架外壳接 地的方式可以降低 外界的电子干扰。b）电源线和通信线缆应隔离铺设，避免互相干扰；强、弱电线路尽量 原离，使用交叉走 线，避免平行走线； 使用铁质线槽可以 抵御电磁干扰并有 效保护线缆安全。4文档来源为：从网络收集整理,word版本可编辑.文档来源为：从网络收

10、集整理,word版本可编辑.欢迎下载支持c） 应对关键区域实施电磁 屏蔽。重要设备和磁介质放置 在电磁屏蔽装置中，或 对关键区域建屏敝室。1.1.2网络安全结构（G4本项要求包括：a） 应保证网络设备的业务 处理能力具备冗余空 间，满足业务高峰期需 要；b）应保证网络各个部分的 带宽满足业务高峰期需要；c）应在业务终端与业务服务器之间进行路由控制 建立安全的访问路径；d）应绘制与当前运行情况 相符的网络拓扑结构 图；e）应根据各部门的工作职 能、重要性和所涉及信 息的重要程度等因素， 划分不同的子网或网 段，并按照方便管理和 控制的原则为各子网、 网段分配地址段；f） 应避免将重要网段部署 在

11、网络边界处且直接连接外部信息系统，重要 网段与其他网段之间采重要网段与其他网段之 间采用防火墙或网闸进 仃隔离。5文档来源为：从网络收集整理,word版本可编辑.文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持取可靠的技术隔离手段；g）应按照对业务服务的重 要次序来指定带宽分配 优先级别，保证在网络 发生拥堵的时候优先保 护重要主机。在多个业务共用的网络 设备上配置QOS有条件的话可以在 主干通信线路上安 装专用的带宽管理 设备。1.1.2.2访问控制（G4）本项要求包括：a）应在网络边界部署访问 控制设备，启用访问控 制功能；b）应不允许数据带通用协 议通过；c）应根据数据的敏感

12、标记 允许或拒绝数据通过；d） 应不开放远程拨号访问 功能。网络边界部署安全隔离与信息交换系统（网 闸）。现有产品无法根据数据的敏感标记允许或拒绝数据通过。1.1.2.3 安全用（G4本项要求包括：应对网络系统中的网络 设备运行状况、网络流量、用户行为等进行日 志记录；审计记录应包括：事件 的日期和时间、用户、事件类型、事件是否成 功及其他与审计相关的 信息;部署专业的日志审计系 统，并且所有事件源与 审计服务器保持时钟同 步。6文档来源为：从网络收集整理,word版本可编辑.文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持c）应能够根据记录数据进 行分析，并生成审计报 表；d）

13、应对审计记录进行保 护，避免受到未预期的 删除、修改或覆盖等；e）应定义审计跟踪极限的 阈值，当存储空间接近 极限时，能采取必要的 措施，当存储空间被耗 尽时，终止可审计事件 的发生；f） 应根据信息系统的统一 安全策略，实现集中审 计，时钟保持与时钟服 务器同步。1.1,2.4边界完整性检查 （S4）本项要求包括：a）应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位 置，并对其进行有效阻断；部署终端安全管理系 统，利用IP/MAC绑定 及ARP阻断功能实现 非法接入控制。b）应能够对内部网络用户 私自联到外部网络的行 为进行检查，准确定出 位置，并对其进行有效 阻断。部署终端安全

14、管理系 统，提供非法外联监控 功能。7文档来源为：从网络收集整理,word版本可编辑.文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持1.1.2.5 入侵防范（G4本项要求包括：a） 应在网络边界处监视以 下攻击行为：端口扫描、 强力攻击、木马后门攻 击、拒绝服务攻击、缓冲区溢出攻击、IP碎片 攻击和网络蠕虫攻击 等；a）当检测到攻击行为时，应记录攻击源IP、攻击 类型、攻击目的、攻击 时间，在发生严重入侵 事件时应提供报警及自 动采取相应动作。部署网络入侵防御或网 络入侵检测系统，对进 出边界的网络数据流进 行攻击检测，并提供适 当的日志记录、报警和 自动响应机制。1.1,2.6

15、恶：K码吹（G4）本项要求包括：a）应在网络边界处对恶意代码进行检测和清除；a）应维护恶意代码库的升级和检测系统的更新。在区域边界部署病毒过滤网关系统。1.1,2,7网络设备防护（G4）本项要求包括：a）应对登录网络设备的用 户进行身份鉴别；b）应对网络设备的管理员 登录地址进行限制；c） 网络设备用户的标识应唯一；8文档来源为：从网络收集整理,word版本可编辑.文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持d） 主要网络设备应对同一 用户选择两种或两种以 上组合的鉴别技术来进 行身份鉴别；e）身份鉴别信息应具后不 易被冒用的特点，口令 应后复杂度要求并7E期 更换；f） 网络

16、设备用户的身份鉴 别信息至少应什-种是 /、可伪造的；g）应具有登录失败处理功 能，可采取结束会话、 限制非法登录次数和当 网络登录连接超时自动 退出等措施；h）当对网络设备进行远程 管理时，应采取必要措 施防止鉴别信息在网络 传输过程中被窃听；采用动态电子令牌身份认证系统（如RSASecurlD）,其令牌应当/、可伪造。i）应实现设备特权用户的权限分离。9文档来源为：从网络收集整理,word版本可编辑.文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持1.1.3主机安全身份鉴别（S4）本项要求包括：a）应对登录操作系统和数 据库系统的用户进行身 份标识和鉴别；b）操作系统和数据库系

17、统 管理用户身份标识应具 后不易被冒用的特点，口令应有复杂度要求并 定期更换；c） 应启用登录失败处理功 能，可采取结束会话、 限制非法登录次数和自 动退出等措施；d）应设置鉴别警示信息， 描述未授权访问可能导 致的后果；e）当对服务器进行远程管 理时，应采取必要措施， 防止鉴别信息在网络传 输过程中被窃听；f）应为操作系统和数据库系统的/、同用户分配不 同的用户名，确保用户 名具有唯一性；采用操作系统和数据库 系统安全评估和加固服 务。g） 应米用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别，并采用动态电子令牌身份认证系统（如RSASecurlD）,其令牌应当10文档来源为：从网络收集

18、整理,word版本可编辑文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持且身份鉴别信息至少有一种是/、可伪造的。不口伪造。1.1.3.2安全标记（S4）应对所有主体和客体设置敏感标记；采用安全操作系统（如一些国产Linux操作系统或B1级操作系统）或在C2级操作系统中安装内核加固软件（如 浪潮SSR服务器安全加 固系统-适用Windows）。1.1.3.3访问控制（S4）本项要求包括：a）应依据安全策略和所有主体和客体设置的敏感 标记控制主体对客体的 访问；b） 访问控制的粒度应达到 主体为用户级或进程 级，客体为文件、数据 库表、记录和字段级。c）应根据管理用户的角色 分配权限，

19、实现管理用 户的权限分离，仅授予 管理用户所需的最小权 限；d）应实现操作系统和数据 库系统特权用户的权限 分离；e）应严格限制默认帐户的采用安全操作系统（如一些国产Linux操作系统或B1级操 作系统）或在 C2级 操作系统中安装内核 加固软件（如浪潮SSR服务器安全加固 系统-适用Windows ）。11文档来源为：从网络收集整理,word版本可编辑文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持访问权限，重命名系统 默认帐户，修改这些帐 户的默认口令；f） 应及时删除多余的、过 期的帐户，避免共享帐户的存在。.1.3.4可信路径（S4）本项要求包括：a）在系统对用户进行身份

20、鉴别时，系统与用户之 间应能够建立一条安全 的信息传输路径。b）在用户对系统进行访问 时，系统与用户之间应 能够建立一条安全的信 息传输路径。米用高等级安全操作 系统（如一些国产女 全操作系统或国际主 流操作系统厂商提供 的高级安全功能。）112文档来源为：从网络收集整理,word版本可编辑文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持1.1.3.5安全审计（G4）本项要求包括：a） 审计范围应覆盖到服务器和重要客户端上的每 个操作系统用户和数据库用户；b）审计内谷应包括重要用户行为、系统资源的异 常使用和重要系统命令 的使用等系统内重要的 安全相关事件；c） 审计记录应包括日期

21、和 时间、类型、主体标识、客体标识、事件的结果 等；服务器开启日志功 能；重要客户端安装 终端安全管理软件进 行审计。d）应能够根据记录数据进行分析，并生成审计报表；米用专业的日志审计系统。e）应保护审计进程，避免受到未预期的中断；服务器采用安全操作 系统或安装内核加固 软件，对审计进程进 行守护，防止进程中 断；重要客户端的终 端安全管理代理进程 具有自我保护机制。f） 应保护审计记录，避免受到未预期的删除、修改或覆盖等；g）应能够根据信息系统的采用专业的日志审计系统。13文档来源为：从网络收集整理,word版本可编辑文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持统一安全策略,

22、实现集中审计。1.1.3.6 剩余信息保护（S4）本项要求包括：a）应保证操作系统和数据 库系统用户的鉴别信息 所在的存储空间，被释 放或再分配给其他用户 前得到完全清除，无论 这些信息是存放在硬盘 上还是在内存中；b）应确保系统内的文件、目录和数据库记录等资 源所在的存储空间，被 释放或重新分配给其他 用户前得到完全清除。采用安全操作系统（如一些国产Linux操作系统或B1级操 作系统）或安装Windows平台的剩余信息保护软件。（同客 体重用。）1.1,3,7 入侵防范（G4本项要求包括：a）应能够检测到对重要服 务器进行入侵的行为， 能够记录入侵的源IP、 攻击的类型、攻击的目 的、攻击

23、的时间，开在 发生严重入侵事件时提 供报警；采用主机或网络入侵检 测系统。b）应能够对重要程序的完 整性进行检测，并在检 测到完整性受到破坏后 具有恢复的措施；米用安全操作系统或安 装内核加固软件。14文档来源为：从网络收集整理,word版本可编辑文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持c）操作系统应遵循最小安 装的原则，仅安装需要 的组件和应用程序，并 通过设置升级服务器等 方式保持系统补丁及时 得到更新。采用操作系统安全评估 和加固服务，并部署补 丁服务器。1.1,3.8恶息代码防氾（G4）本项要求包括：a）应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库

24、；b）主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；c）应支持防恶意代码的统f理。安装网络版防病毒软 件并与病毒过滤网关 异构。1.1.3.9资源控制（A4）本项要求包括：a）应通过设定终端接入方式、网络地址范围等条件限制终端登录；b）应根据安全策略设置登录终端的操作超时锁 定；采用操作系统安全评估 和加固服务。c）应对重要服务器进行监视，包括监视服务器的CPU硬盘、1内存、网络米用操作系统附带或第 三方资源监控软件。15文档来源为：从网络收集整理,word版本可编辑文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持等资源的使用情况；d）应限制单个用户对系统 资源的最

25、大或最小使用 限度；e）应能够对系统的服务水 平降低到预先规定的最 小值进行检测和报警。1.1.4 应用安全1.1,4,1身份鉴别（S4）本项要求包括：a）应提供专用的登录控制 模块对登录用户进行身 份标识和鉴别；进行应用系统二次开 发。b） 应对同一用户米用两种 或两种以上组合的鉴别 技术实现用户身份鉴 另L其中一种是/、可伪 造的；c）应提供用户身份标识唯 一和鉴别信息复杂度检 查功能，保证应用系统 中不存在重复用户身份 标识，身份鉴别信息不 易被冒用；采用数字证书身份认证 系统，证书和私钥存放 在硬件Key中。d）应提供登录失败处理功 能，可采取结束会话、 限制非法登录次数和自 动退出等

26、措施；e）应启用身份鉴别、用户 身份标识唯一性检查、 用户身份鉴别信息复杂 度检查以及登录失败处 理功能，并根据安全策 略配置相关参数。进行应用系统二次开 发。16文档来源为：从网络收集整理,word版本可编辑文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持1.1.4.2安全标记（S4）应提供为主体和客体设置安 全标记的功能并在安装后启 用；借助操作系统提供的安全标记功能。1.1.4.3访问控制（S4）本项要求包括：a）应提供自主访问控制功 能，依据安全策略控制 用户对文件、数据库表 等客体的访问；b）自主访问控制的覆盖范 围应包括与信息安全直 接相关的主体、客体及 它们之间的操作

27、；c） 应由授权主体配置访问 控制策略，并禁止默认 帐户的访问；d）应授予不向帐户为完成 各自承担任务所需的最 小权限，并在它们之间 形成相互制约的关系；进行应用系统二次开 发，并结合采用第三 方身份认证和访问控 制系统。e） 应通过比较安全标记来 确止7授予还TE拒绝主 体对客体的访问。借助安全操作系统或 内核加固软件提供的 强制访问控制功能实 现。17文档来源为：从网络收集整理,word版本可编辑文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持1.1.4.4可信路径（S4）本项要求包括：a）在应用系统对用户进行 身份鉴别时，应能够建 立一条安全的信息传输 路径。b） 在用户通过

28、应用系统对 资源进行访问时，应用 系统应保证在被访问的 资源与用户之间应能够 建立一条安全的信息传 输路径。应用系统二次开发，并结合高等级安全操 作系统提供的可信路 径功能。1.1.4.5 安全用（G4本项要求包括：a）应提供覆盖到每个用户 的安全审计功能，对应 用系统重要安全事件进 行审计；应保证无法单独中断审 计进程，无法删除、修 改或覆盖审计记录；审计记录的内谷至少应 包括事件的日期、时间、发起者信息、类型、描 述和结果等；d）应提供对审计记录数据 进行统计、查询、分析 及生成审计报表的功 能；米用网络审计结合日 志审计实现；应用服 务器采用安全操作系 统或安装内核加固软 件，对审计进程

29、进行 守护，防止进程中断。18文档来源为：从网络收集整理,word版本可编辑文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持e）应根据系统统一安全策略，提供集中审计接口。1.1,4.6剩余信息保护（S4）本项要求包括：a）应保证用户的鉴别信息 所在的存储空间被释放 或再分配给其他用户前 得到完全清除，无论这 些信息是存放在硬盘上 还是在内存中；b）应保证系统内的文件、目录和数据库记录等资 源所在的存储空间被释 放或重新分配给其他用 户前得到完全清除。向主机安全。19文档来源为：从网络收集整理,word版本可编辑文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持通信完整性（

30、S4）应采用密码技术保证通信过程中数据的完整性。通信保密性（S4）本项要求包括：a）在通信双方建立连接之 前，应用系统应利用密 码技术进行会话初始化 验证；b）应对通信过程中的整个 报文或会话过程进行加 密；c）应基于硬件化的设备对重要通信过程进行加解密运算和密钥管理。1.1.4.9抗抵赖（G4）本项要求包括：a）应具有在请求的情况下 为数据原发者或接收者 提供数据原发证据的功 能；b）应具有在请求的情况下 为数据原发者或接收者 提供数据接收证据的功 台匕 目匕。采用SSL或IPSEC技 术，结合基于数字证 书的PKI体系，重要 通信加解密采用专用 硬件加密卡。1.1.4.10软件容错（A4）

31、本项要求包括：a）应提供数据有效性检验功能，保证通过人机接进行应用系统二次开发。20文档来源为：从网络收集整理,word版本可编辑文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持口输入或通过通信接口 输入的数据格式或长度 符合系统设定要求； b）应提供自动保护功能，当故障发生时自动保护 当前所有状态；c）应提供自动恢复功能，当故障发生时立即自动 启动新的进程，恢复原 来的工作状态。1.1.4,11资源控制（A4）本项要求包括：a）当应用系统中的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；b）应能够对系统的最大并发会话连接数进行限制；c）应能够对单个帐户的多重并发会话进行限制；d）应能够对一个时间段内可能的并发会话连接数进行限制；e）应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；进行应用系统二次开 发或采用第三方应用 监控系统。21文档来源为：从网络收集整理,word版本可编辑文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持f） 应能够对系统服务水平 降低到预先规定的最小 值进行检测和报警；g）应提供服务优先级设定 功能，并在安