等级保护2.0测评指导书

等级保护2.0测评指导书

目录

一、安全物理环境理导书..................................................5

二、安全通信网络涌评指导书...................................................10

三、安全区强界沟评指导书.......................................................................................................16

四、安全计防境渊评指导书.......................................................................................................28

4.1网络设备测评指导书........................................................28

4.2LINUX测评指导书.............................................................................................................75

4.3WINDOWS测评指导书............................................................................................88

4.4ORACLE测评指导书..........................................................................................................101

4.5MYSQL测评指导书..........................................................................................................108

4.6终端设备测评指导书.......................................................118

4.7应用系统测评指导书.......................................................126

五、安全・理中心加评指导书......................................................................................................135

六、安全・理科度混评指导书....................................................139

七、安全管理机构测评指导书......................................................................................................143

A安全管理人员测评指导书......................................................................................................151

九、安全建设曾超渊评指导书......................................................................................................156

十、安全运维管理渊评指导书......................................................................................................170

十一'云计算安全扩展要求测评指导书184

十二、移动互联安全扩展要求测评指导书204

十三、物联网安全扩展要求测评指导书209

十四、工业控制系统安全扩展要求测评指导书219

一、安全物理环境测评指导书

控制点安全要求要求解读测评方法预期结果或主要证据

D核查是否有建筑物抗宸

设防审批文档

D机房具有验收文档

2）核杳是否有雨水港漏的

2）天花板、窗台下无水渗漏的

痕迹

a）机房场地应选择在具现象

3）核查是否有可灵活开启

有防蔻、防风和防雨等机房场地所垄的建筑物要具有防熊、防风和防雨等的能力3）机房无窗户,有窗户且做了

的窗户，若有窗户，是否做

能力的建筑内防护措施

物理位了封闭、上锁等防护措施

4）现场观泅屋顶、墙体、门窗

置选择4）核查屋顶、墙体、门窗和

和地面等无开裂的情况

地面等是否有破损开裂的

情况

b）机房场地应避免设在D核杳机房是否在顶层或

机房场地要就免设置在建筑物的顶层或地下室。如果因为某D非建筑物顶层或地下空

建筑物的顶层或地下地下室

些原因无法烧免时，设置在建筑物顶层或地下室的机房需要2）在顶层式地下室的,做了严

室，否则应加强防水和2）若是，核杳机房是否采

加强防水和环潮措施格的防水防潮措施

防潮措施，取了防水和防潮措能

D核荏出入口是酉配置电

子门禁系统

为防止非授权人员进入机房，需要安装电子门禁系统对机房1）机房出入口是配备电子门

机房出入口应配置电子2）核查电子门禁系统是否

物理访及机房内区域的出入人员实施访问控制,避免由于非授权人禁

门禁系统，控制、鉴别和开启并正常运行

问控制员的擅自进入，造成系统运行中断、设备丢失或损坏、数据被2）电子门禁系统工作正常，可

记录进入的人员3）核查电子门禁系统是否

窃取或舞改,并可利用系统实现对人员进入情况的记录对道出人员遂行鉴别

可以鉴别、记录进入的人

员信息

D机房内攵备均放置在机柜

1）核查机房内设备或主要

a）应将设备或主要部件或机架，井已固定

对于安放在机房内用于保障系统正常运行的设备或主要落件部件是否固定

进行固定,并设黄明显2）设备或主要部件均设置r

需要进行固定，并设置明显的不易除去的标记用于识别2）核杏机房内设备或主要

的不易除去的标识不易除去的标识、标志,如使

部件上是否设置了明显且

用拈贴方式则不能有翘起

不易除去的标记

防is窃

b）应将通信线缆铺设在核吏机房内通信线缆是否机房通信找缆铺设在线槽或

和防破机房内通信或缆需要铺设在能蔽安全处.防止线缆受损

隐.故安全处铺设在隐蔽安全处桥架里

坏

D核查是否配置防酒报警

1）机房内配置了防了报警系

系统或专人值守的视频监

C）应设祖机房防盗报警统或专人值守的视版监控系

机房需要安装防盗报警系统，或在安笠视频监控系统的同时控系统

系统或设置有专人值守统

安挂专人进行值守，防止盗窃和恶意破坏行为的发生2）核查防盗报警系统或视

的视频监控系统2）现场观测时监控系统正常

频监控系统是否开处并正

工作

常运行

核杳机房内机柜、设能和

a）应将各类机板、设丽在机房内对机柜、各类设施和设笛采取接地措施，防止目击机房内所有机柜、设施和设招

设缶等是否进行接地处

防雷击和设备等通过接地系统对电子设备产生等均己采取了接地的控制措

理，划常黄绿色相间的电

安全接地损占砥

线为接地用线

D核直机房内是否设置防D机房内.殳置了防总应市措

b）应采取措施防止团感应帘措施施,如设置了防雷感应器、防

在机房内安装防帘保安祸或过压保护等装田.，防止感应召对

应雷，例如设置防雷保2）核查防帘装置是否通过浪涌插座等

电子设翁产生损害

安器或过压保护装置等验收或国家有关部门的技2）防价装置通过了画家有关

术检测部门的技术检测

1）核杳机房内是否设就火

灾自动消防系统

2）核查火灾自动消防系统D机房内.殳假火灾自动消防

a）机房应设置火灾自动机房内需要设置火灾自动消防系统，可在发生火灾时进行自

是否可以自动检测火情、系统

消防系统，能够自动检动检测、报警和灭火，如采用自动气体消防系统、自动嗓淋

自动报警并自动灭火2）现场观物时火灾自动消防

测火情、自动报警，并自消防系统等

3）核查火灾自动消防系统系统工作正常

动灭火

是否通过验收或国家有关

防火部门的技术检测

b）机房及相关的工作房核杳机房验收文档是否明机房所有材料为耐火材料，如

机房内需要采用具有耐火等级的建筑材料，防止火灾的发生

间和辅助房应采用具有确所用建筑材料的耐火等使用墙体、防火玻瑜等,但使

和火势蔓延

耐火等级的建筑材料级用金属栅栏的不能算符作

1）核查是否进行了区域划1）机房进行了区域划分，如过

C）应对机房划分区域进

机房内需要进行区域划分并设置隔窗防火措施，防止水灾发分渡区、主机房

行管理，区域和区域之

生后火势硬诞2）核查各区域间是否采取2）区域间部罟了防火隔施装

间设置隔盅防火措瓶

了防火隔离措施置

机房采取了防雨水渗透的措

a）应采取措施防止雨水

防水和机房内需要采取防渗漏措施,防止窗户、屋顶和墙壁存在水核变窗户、屋顶和墙壁是碓，如封锁了皆户并采取了防

通过机房窗户、屋顶和

防潮・渗透情况否采取了防渗漏的措施水、屋顶和墙壁均采取了防雨

墙壁渗透

水渗透的措施

D机房内配舒了专用的怙宙

D核查是否采取了防止水

b）应采取措施防止机房空调来防上水蒸气结漏的控

机房内需要采取防结露和排水措施,防止水蒸气结露和地面蒸气结露的措施

内水蒸气结露和地卜积制措施

产生枳水2）核查是否采取了排水措

水的转移与溶透2）机房内部署了润水检测装

碓,防止地面产生枳水

置，可以对漏水进行监控报警

1）核杳是否安装了对水域

C）应安装对水敏感的检1）机房内部署了温水检测装

机房内需要布设对水敏城的检测装置，时淡水、漏水情况进感的检测装置

测仪表或元件，对机房%.如漏水检测绳等

行检测和报警2）核查防水检测和报警装

进行防水检测和报警2》检测和报警工作正常

置是否开启并正常运行

D核查是否安装了防静电

a）应采用防静电地板或1）机房部考了防龄电地板

机国内需要安装防酹电地板或在地面采取必要的接地措施，地板

地面并采用必要的接地2）机房采用了接地的防静电

防止静电的产生2）核查是否采用了防带电

防峥电措施措施

接地措施

防静电

b）应采取措旅防上沛电

的产生,例如采用静电机房内制要配备静电消除器E佩戴防静电手环等消除静电的核查机房内是否配茶/铮

机房配备了防静电设备

消除曙、做城防睁电手设备.电消除设备.

环等，

D核查机房内是否配备了

应设置温、湿度白动调机房内需要安装温、湿度自动调节装SL如空调、除湿机、D机房内配备了专用的精格

专用空调

湿制度节设幽.使机房温、湿度通风机等,使机房内海、湿度的变化在适宜设备运行所允许空调

2）核查机房内•温湿度是否

控制的变化在设备运行所允的范用之内.通常机房内适宜的温度范困是18、274c,汽气2）机房内部湿度设置在20-

在设备运行所允许的范围

许的范围之内湿度范用是35~75%25,湿度为：40V60%

之内

a）应在机房供电线路1:核查供电线路上是否配置D机房的4•算机系统供电线

电力供机房供电线路上需要安装电流稳压器和电压过我保护装四，

配置检乐器和过电压防了稳压器和过电压防护设珞上设置了稳压器和过电压

应防止电力波动对电子设备造成损咨

护设备备防护设备

2》现场观测时您压器和过，也

压防护设的可正常工作

D核杳是否配备不间断电

b）应提供短期的符用电1）机房配番了UPS后符电源

机房供电焉要配备不间断电源（UPS）或备用供电系统,如备用源（UPS）等备用供电系统

力供应，至少满足设省系统

发电机或使用第三方提供的备用供电服务，防止电力中断对2）核杳不间断电源（UPS）

在断电情况下的正常运2）UPS能够满足短期断电时

设得运转和系统运行造成损害等备用供电系统的运行切

行要求的供电要求

换记录和检修维护记录

C）应设置冗余或并行的核查是否设置了冗余或并

机房供电需要使用冗余或并行的电力电缆线路,防止电刀中为机房配小了冗余的供电线

电力电缆线路为计算机行的电力电缆线路为计算

断对设备运转和系统运行造成损害路,如市电双路接入

系统供电机系统供电

a）电源线和通信我统应机房内电源线缆和通信线缆

机房内电源浅和通信线线福变隔离铺设在不同的管道或桥架核杳机房内电源线线和通

隔离铺设，避免互相干隔离铺设，如通过线槽或桥架

内，防止电破辎射和干扰对设备运转和系统运行产生的影响信线缆是否隔离铺设

犹进行了隔离

电械防

为关梯设落采取了电磁屏蔽

护机房内关键设备需要安放在电磁屏蔽机柜内或电隧屏蔽区域

b）应对关键设备实施电核查机房内是否为关犍设措施，如配备了屏蔽机柜或屏

内,防止电碗辐

磁屏蔽备配备了电域屏蔽装置薮机房.关键设备

射和干扰对火备运转和系统运行产生的影响

如加密机

二、安全通信网络测评指导书

控

市1安全要求要求解读测评方法预期结果或土婴证擀

点

1)设宿CPU和内存使用率峰值不大J70%,通过命令核直

D应访谈网络管理员业务高峰时期相关使用情况：

为何时,核查边界设备和主要网络设<Huawei>displaycpu-usage

备的处理能力是否满足业务高峰期CPUUsageStat.Cycle:60(Second)

需要，询问采用何种手段对主要网络CPUUsage:3%Max:45%.

设备的运行状态进行监控.CPUUsageStal.Time:2018-05-2616:58:16

以华为交换机为例，输入命令CPUutilizationforfiveseconds:15%:one

“displaycpu-usage","displayminute:15%:fiveminutes:15%

memory-usage”查看相关配置.一般<Huawei>displayme«or)—usage

来说•在业务高峰期主要网络设番的CPUutilizationforfiveseconds:15%:one

CPU内存地大使用率不宜超过70%.minute:15%:fiveminutes:15%

网为了保证主要网络攻备具备足也可以通过拣合网管系统杳看主要SystemTotalMemoryIs:75312648bytes

络a）应保证网络设备的够处理能力，应定期检介设备网络设备的CPU、内存的使用情况TotalMemoryUsedIs:45037704bytes

架业务处理能力满足业资源占用情况,确保设备的业2）应访谈或核查是否因设备处理能MemoryUsingPercentageIs:59%

构务商峰期需要务处理能力具备冗余空间。力不足而出现过宕机情况，可核直综2)未出现宕机情况,网管平台未出现宕机告警口志,设备

台网管系统告警口志或设法运厅时运行时间较长：

间等，或者访谀是否因设法处理能力<Huawei>displayversion

不足而进行设备升级，HuaweiVersatileRoutingPlatformSoftware

以华为设备为例，输入命令"displayVRP(R)software,Version5130(AR1200

version",杳看设备在镂时长,如设V200R003COO

备在线时间在近期有重启可询问原Copyright(C)2011-2012HUAWEITECHCo.,LTD

因HuaweiAR1220Routeruptimeis0week,0day,0

3）应核查设备在一段时间内的性能hour,1minute

峰值，结合设备自身的承载性能.分UPU0(Master):uptimeis0week,0day,0hour,I

析是否能鲂满足业务处理能力minute

3)业务离蜂流域不超过取名处理能力船70%

D任各个关键点部署流fit监拄系统，俄的监测网络中的

实时流册，部署流量控制设备，在关铤H点设备品置QoS