等保测评3级-技术测评要求

技术测评要求(S3A3G3)

等级保护三级技术类测评掌握点(S3A3G3)序类别 测评内容 测评方法 号物 机房和办公场地应选择在理 具有防震防风和防雨等能位 力的建筑内〔G2〕 访谈，检查。物理安全负责人机置 房，办公场地，机房场地设计/验收文的 档。机房场地应避开设在建筑物的高层或地下室，选 以及用水设备的下层或隔壁。〔G3〕物择理 机房出入口应安排专人值安 守掌握鉴别和记录进入物全理 的人员〔G2〕 访谈，检查。需进入机房的来访人员应访问制和监控其活动范围〔G2〕控应对机房划分区域进展管制-

物理安全负责人，机房值守人员，机房，机房安全治理制度，值守记录，进入机房的登记记录，来访人员进入机房的审批记录。--等级保护三级技术类测评掌握点(S3A3G3)序类别 测评内容 测评方法 号设置交付或安装等过渡区〔G3〕重要区域应配置电子门禁〔G3〕应将主要设备放置在机房〔G2〕应将设备或主要部件进展防 固定并设置明显的不易除盗 去的标记〔G2〕窃应将通信线缆铺设在隐蔽和处，可铺设在地下或管道防〔G2〕破 应对介质分类标识存储在坏 介质库或档案室中〔G2〕应利用光电等技术设置机〔G3〕应对机房设置监控报警系

访谈，检查。物理安全负责人，机房维护人员，资产治理员，机房设施，设备治理制度文档，通信线路布线文档，报警设施的安装测试/验收报告。等级保护三级技术类测评掌握点(S3A3G3)序类别 测评内容 测评方法 号〔G3〕机房建筑应设置避雷装置。〔G2〕 访谈，检查。防 物理安全负责人，应设置防雷保安器，防止感机房维护人员，机雷 房设施〔避雷装置，〔G3〕击机房应设置沟通电源地线。〔G2〕机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。〔G3〕防 机房及相关的工作房间和火 关心房应承受具有耐火等〔G3〕机房应实行区域隔离防火〔G3〕

沟通电源地线筑防雷设计/验收文档。访谈，检查。物理安全负责人，机房值守人员，机房设施，机房安全治理制度，机房防火设计/验收文档，火灾自动报警系统设计/验收文档。防 水管安装不得穿过机房屋 访谈，检查。等级保护三级技术类测评掌握点(S3A3G3)序类别 测评内容 测评方法 号水 顶和活动地板下〔G2〕和 应实行措施防止雨水通过防 机房窗户、屋顶和墙壁渗潮 透〔G2〕应实行措施防止机房内水蒸气结露和地下积水的转〔G2〕应安装对水敏感的检测仪〔G3〕主要设备应承受必要的接防〔G2〕静

物理安全负责人，机房维护人员，机房设施〔上下水装置，除湿装置筑防水和防潮设计/验收文档。访谈，检查。机房应采用防静电地板。施，防静电设计/验电 收文档。〔G3〕温 应设置温湿度自动调整设

访谈，检查。湿 施使机房温湿度的变化房维护人员机房设施温湿度掌握设计度 在设备运行所允许的范围 /验收文档温湿度控 之内。〔G2〕

护记录。等级保护三级技术类测评掌握点(S3A3G3)序类别 测评内容 测评方法 号制应在机房供电线路上配置稳压器和过电压防护设备。〔G2〕应供给短期的备用电力供电

访谈，检查。应至少满足主要设备在断房维护人员机房设力 〔供电线路，稳压电状况下的正常运行要求。器，过电压防护设供 备短期备用电源设〔G2〕应应设置冗余或并行的电力电缆线路为计算机系统供〔G3〕应建立备用供电系统〔G3〕应承受接地方式防止外界电 电磁干扰和设备寄生耦合磁 干扰〔G3〕

备，电力供给安全设计/验收文档，检查和维护记录。访谈，检查。防 电源线和通信线缆应隔离 施，电磁防护设计/验收文档。护 铺设避开相互干扰〔G2〕应对关键设备和磁介质实等级保护三级技术类测评掌握点(S3A3G3)序类别 测评内容 测评方法 号〔G3〕应保证主要网络设备的业务处理力量具备冗余空间，满足业务顶峰期需要〔G2〕应保证网络各个局部的带宽满足业务顶峰期需要。〔G2〕应在业务终端与业务效劳 访谈，检查，测试。网结器之间进展路由掌握建立 网络治理员边界和络构〔G3〕安安

应绘制与当前运行状况相 图，网络设计/验收全全符的网络拓扑构造图〔G2〕应依据各部门的工作职能、重要性和所涉及信息的重和掌握的原则为各子网、〔G2〕

文档。等级保护三级技术类测评掌握点(S3A3G3)序号应避开将重要网段部署在网络边界处且直接连接外号应避开将重要网段部署在网络边界处且直接连接外他网段之间实行牢靠的技〔G3〕应依据对业务效劳的重要次序来指定带宽安排优先的时候优先保护重要主机。〔G3〕访应在网络边界部署访问掌握设备，启用访问掌握功〔G2〕问掌握应能依据会话状态信息为数据流供给明确的允许/拒〔G2〕应对进出网络的信息内容访谈，检查，测试。络设备。等级保护三级技术类测评掌握点(S3A3G3)序类别 测评内容 测评方法 号进展过滤，实现对应用层FTPTELNETSMTP、POP3等协议命令级的掌握。〔G3〕应在会话处于非活泼肯定时间或会话完毕后终止网〔G3〕应限制网络最大流量数及〔G3〕重要网段应实行技术手段〔G3〕应按用户和系统之间的允绝用户对受控系统进展资〔G3〕应限制具有拨号访问权限〔G2〕等级保护三级技术类测评掌握点(S3A3G3)序号应对网络系统中的网络设号应对网络系统中的网络设户行为等进展日志记录。〔G2〕安全审大事是否成功及其他与审〔G2〕计应能够依据记录数据进展分析，并生成审计报表。〔G3〕〔G3〕边应能够对非授权设备私自界联到内部网络的行为进展完整〔G3〕访谈，检查，测试。设备。访谈，检查，测试。整性检查设备。等级保护三级技术类测评掌握点(S3A3G3)序号性应能够对内部网络用户私号性应能够对内部网络用户私检自联到外部网络的行为进查〔G3〕应在网络边界处监视以下入侵效劳攻击、缓冲区溢出攻防范击、IP〔G2〕访谈，检查，测试。〔G3〕攻击源IP、攻击类型、攻侵防范设备。严峻入侵大事时应供给报〔G3〕恶应在网络边界处对恶意代访谈，检查。意〔G3〕代应维护恶意代码库的升级等级保护三级技术类测评掌握点(S3A3G3)序类别 测评内容 测评方法 号码 和检测系统的更〔G3〕 防范应对登录网络设备的用户〔G2〕应对网络设备的治理员登〔G2〕网络设备用户的标识应唯网〔G2〕络主要网络设备应对同一用 访谈，检查，测试。设户选择两种或两种以上组 网络治理员边界和备合的鉴别技术来进展身份防〔G3〕护身份鉴别信息应具有不易度要求并定期更换〔G2〕应具有登录失败处理功能，

网络设备。等级保护三级技术类测评掌握点(S3A3G3)序类别 测评内容 测评方法 号登录次数和当网络登录连接超时自动退出等措施。〔G2〕当对网络设备进展远程治理鉴别信息在网络传输过程〔G2〕应实现设备特权用户的权〔G3〕应对登录操作系统和数据库系统的用户进展身份标〔G2〕主身操作系统和数据库系统管机份理用户身份标识应具有不安鉴全别简单度要求并定期更换。〔G2〕应启用登录失败处理功能，

访谈，检查，测试。据库治理系统文档。等级保护三级技术类测评掌握点(S3A3G3)序号登录次数和自动退出等措号登录次数和自动退出等措〔G2〕当对效劳器进展远程治理鉴别信息在网络传输过程〔G2〕应为操作系统和数据库系统的不同用户安排不同的〔G2〕应承受两种或两种以上组合的鉴别技术对治理用户〔G3〕访问控安全策略掌握用户对资源〔G2〕访谈，检查。制应依据治理用户的角色分等级保护三级技术类测评掌握点(S3A3G3)序类别 测评内容 测评方法 号〔G3〕应实现操作系统和数据库系统特权用户的权限分别。〔G2〕应严格限制默认帐户的访〔G2〕帐户，避开共享帐户的存〔G2〕应对重要信息资源设置敏〔G3〕应依据安全策略严格掌握用户对有敏感标记重要信〔G3〕

系统文档。等级保护三级技术类测评掌握点(S3A3G3)序号审计范围应掩盖到效劳器和重要客户端上的每个操号审计范围应掩盖到效劳器和重要客户端上的每个操作系统用户和数据库用户。〔G2〕审计内容应包括重要用户和重要系统命令的使用等安全系统内重要的安全相关事〔G3〕访谈，检查，测试。审审计记录应包括大事的日计重要终端操作系统。〔G2〕应能够依据记录数据进展分析，并生成审计报表。〔G3〕〔G3〕等级保护三级技术类测评掌握点(S3A3G3)序类别 测评内容 测评方法 号〔G2〕应保证操作系统和数据库系统用户的鉴别信息所在剩余配给其他用户前得到完全 访谈，检查。信息在硬盘上还是在内存中。保〔G3〕护

系统维护/操作手〔和数据库记录等资源所在G3〕安排给其他用户前得到完〔G3〕入 应能够检测到对重要效劳侵 器进展入侵的行为能够记防 录入侵的源IP、攻击的类范 型攻击的目的攻击的时

维护/操作手册。访谈，检查。操作系统。等级保护三级技术类测评掌握点(S3A3G3)序类别 测评内容 测评方法 号〔G3〕应能够对重要程序的完整整性受到破坏后具有恢复〔G3〕操作系统应遵循最小安装级效劳器等方式保持系统〔G2〕恶准时更防恶意代码软件意〔G2〕代主机防恶意代码产品应具码有与网络防恶意代码产品防〔G3〕范应支持防恶意代码的统一

访谈，检查。安全治理员，效劳意代码产品。等级保护三级技术类测评掌握点(S3A3G3)序类别 测评内容 测评方法 号〔G2〕应通过设定终端接入方式、网络地址范围等条件限制〔G2〕应依据安全策略设置登录终端的操作超时锁定〔G2〕应对重要效劳器进展监视，资包括监视效劳器的CPU、硬源控〔G3〕应限制单个用户对系统资源的最大或最小使用限度。应限制单个用户对系统资源的最大或最小使用限度。〔G2〕应能够对系统的效劳水平降低到预先规定的最小值〔G3〕应身应供给专用的登录掌握模访谈，检查，测试。用份块对登录用户进展身份标

访谈，检查。效劳器操作系统。等级保护三级技术类测评掌握点(S3A3G3)序类别 测评内容 测评方法 号安鉴〔G2〕用系统，设计/验收全别应对同一用户承受两种或两种以上组合的鉴别技术〔G3〕文档，操作规程。应供给用户身份标识唯一和鉴别信息简单度检查功〔G2〕应供给登录失败处理功能，登录次数和自动退出等措〔G2〕鉴别信息简单度检查以及安全策略配置相关参数。等级保护三级技术类测评掌握点(S3A3G3)序类别 测评内容 测评方法 号〔G2〕安全策略掌握用户对文件、数据库表等客体的访问。〔G2〕访问掌握的掩盖范围应包括与资源访问相关的主体、客体及它们之间的操作。访〔G2〕问

访谈，检查，测试。应由授权主体配置访问控 应用系统治理员应控制〔G2〕应授予不同帐户为完成各自担当任务所需的最小权〔G2〕应具有对重要信息资源设〔G3〕

用系统。等级保护三级技术类测评掌握点(S3A3G3)序号应依据安全策略严格掌握用户对有敏感标记重要信号应依据安全策略严格掌握用户对有敏感标记重要信〔G3〕应供给掩盖到每个用户的重要安全大事进展审计。〔G2〕应保证无法单独中断审计安全〔G2〕访谈，检查，测试。审计审计记录的内容至少应包审计员，应用系统。〔G2〕应供给对审计记录数据进〔G3〕剩应保证用户鉴别信息所在访谈，检查，测试。等级保护三级技术类测评掌握点(S3A3G3)序类别 测评内容 测评方法 号余 的存储空间被释放或再分 应用系统治理员设信 配给其他用户前得到完全息 去除无论这些信息是存放保 在硬盘上还是在内存中。护 〔G3〕〔 G3 和数据库记录等资源所在〕的存储空间被释放或重安排给其他用户前得到完〔G3〕通信应承受密码技术保证通信完过程中数据的完整性〔G2〕整性

计/验收文档。访谈，检查，测试。/验收文档。通信应用系统应利用密码技术安全治理员，应用系保进展会话初始化验证〔G2〕等级保护三级技术类测评掌握点(S3A3G3)序类别 测评内容 测评方法 号密 应对通信过程中的整个报性 文或会话过程进展加密。〔G3〕抗 应具有在恳求的状况下为抵 数据原发者或接收者供给赖 数据原发证据的功能〔G3〕〔 应具有在恳求的状况下为G3 数据原发者或接收者供给〕 数据接收证据的功能〔G3〕应供给数据有效性检验功或通过通信接口输入的数软

〔证书〕。访谈，检查，测试。统。据格式或长度符合系统设 访谈，检查，测试。件〔G2〕容错障发生时自动保护当前所〔G3〕

用系统。等级保护三级技术类测评掌握点(S3A3G3)序号当应用系统的通信双方中的一方在一段时间内未作号当应用系统的通信双方中的一方在一段时间内未作〔G2〕应能够对系统的最大并发会话连接数进展限制〔G2〕应能够对单个帐户的多重资〔G2〕源控制应能够对一个时间段内可能的并发会话连接数进展〔G3〕应能够对一个访问帐户或一个恳求进程占用的资源安排最大限额和最小限额。〔G3〕应能够对系统效劳水平降低到预先规定的最小值进〔G3〕访谈，检查，测试。用系统。等级保护三级技术类测评掌握点(S3A3G3)序类别 测评内容 测评方法 号数据数据安全完及备整份恢复 性

应供给效劳优先级设定功略设定访问帐户或恳求进〔G3〕应能够检测到系统治理数据在传输过程中完整性受 访谈，检查。到破坏并在检测到完整性系统治理员网络管错误时实行必要的恢复措 理员，安全治理员，施〔G3〕 数据库治理员应用应能够检测到系统治理数 系统，设计/验收文据鉴别信息和重要业务数档相关证明性材料据在存储过程中完整性受 〔如证书检验报告错误时实行必要的恢复措