信息安全等級(jí)保護(hù)整改技術(shù)要求:
1、安全物理環(huán)境 2�����、安全通信網(wǎng)絡(luò)?3����、安全區(qū)域邊界?4�����、安全計(jì)算環(huán)境?5�����、安全管理中心
?
信息安全等級(jí)保護(hù)整改管理類要求:
1����、安全管理制度??2、安全管理機(jī)構(gòu)??3����、安全管理人員?4�、安全建設(shè)管理?5�����、安全運(yùn)維管理
?
信息安全等級(jí)保護(hù)整改三級(jí)系統(tǒng)應(yīng)用整改:
1���、密碼復(fù)雜度策略:要求密碼長(zhǎng)度8位以上�,由大��、小寫字母+數(shù)字+特殊字符至少三種組成����;密碼定期更換策略��,不大于90天�。(此項(xiàng)為高危風(fēng)險(xiǎn)項(xiàng))
2、登錄失敗處理和超時(shí)登錄策略:連續(xù)登錄失?����。?-5次)鎖定賬戶�����、鎖定 時(shí)間(5-15分鐘)、(10-30分鐘)內(nèi)無(wú)操作自動(dòng)退出登錄�。(此項(xiàng)為高危風(fēng)險(xiǎn)項(xiàng))
3、應(yīng)采用HTTPS���、SSH等加密協(xié)議傳輸���,禁用http、telnet等明方式傳輸����。(此項(xiàng)為高危風(fēng)險(xiǎn)項(xiàng))
4、應(yīng)采用口令�、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別���,且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來(lái)實(shí)現(xiàn)���; (此項(xiàng)為高危風(fēng)險(xiǎn)項(xiàng)) (登錄時(shí)除用戶名+密碼以外還需一種加密技術(shù)的雙因素登錄方式。若無(wú)法實(shí)現(xiàn)��,可開(kāi)通短信驗(yàn)證或通過(guò)開(kāi)通了雙因素登錄功能的堡壘機(jī)登錄,如開(kāi)啟令牌、短信等認(rèn)證方式)
5����、需要給系統(tǒng)配備三個(gè)賬戶����,系統(tǒng)管理員��、安全管理員��、審計(jì)管理員����,并配置不同的管理權(quán)限���。(審計(jì)管理員獨(dú)有日志管理權(quán)限)��。
6���、應(yīng)用中的默認(rèn)賬戶變更或刪除�,并修改默認(rèn)密碼,無(wú)法變更的修改密碼即可�。(此項(xiàng)為高危風(fēng)險(xiǎn)項(xiàng))
7、不同管理員用不同的賬戶登錄應(yīng)用����,多余的�����,不用的賬戶刪除��;
8���、應(yīng)由授權(quán)主體配置訪問(wèn)控制策略,訪問(wèn)控制策略規(guī)定主體對(duì)客體的訪問(wèn)規(guī)則�;(系統(tǒng)管理員負(fù)責(zé)配置訪問(wèn)控制策略,配置訪問(wèn)控制規(guī)則��,嚴(yán)禁越權(quán)訪問(wèn)��,非管理用戶不能訪問(wèn)域權(quán)限管理相關(guān)的功能)��;(此項(xiàng)為高危風(fēng)險(xiǎn)項(xiàng))
9����、開(kāi)啟應(yīng)用的日志功能,如網(wǎng)絡(luò)中部署了日志審計(jì)設(shè)備���,將日志關(guān)聯(lián)到日志審計(jì)�。(此項(xiàng)為高危風(fēng)險(xiǎn)項(xiàng))
10、日志內(nèi)容應(yīng)包括事件的日期和時(shí)間���、用戶��、事件類型���、事件是否成功等信息。
11���、僅審計(jì)管理員具有查看���、處理審計(jì)日志的權(quán)限,審計(jì)日志定期備份(日志服務(wù)器或手動(dòng))��,添加日志導(dǎo)出功能�,日志留存時(shí)間大于6個(gè)月(網(wǎng)絡(luò)安全閥)。(此項(xiàng)為高危風(fēng)險(xiǎn)項(xiàng))
12����、應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)�,防止未經(jīng)授權(quán)的中斷;(僅審計(jì)管理員具有中斷審計(jì)進(jìn)程的權(quán)限)
13�、應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞,并在經(jīng)過(guò)充分測(cè)試評(píng)估后,及時(shí)修補(bǔ)漏洞�;(此項(xiàng)為高危風(fēng)險(xiǎn)項(xiàng))(及時(shí)更新補(bǔ)丁,升級(jí)版本���,定期通過(guò)漏洞掃描設(shè)備進(jìn)行漏洞掃描����,并對(duì)發(fā)現(xiàn)的漏洞進(jìn)行修補(bǔ))
14�、應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程中的完整性,包括但不限于鑒別數(shù)據(jù)��、重要業(yè)務(wù)數(shù)據(jù)����、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)���、重要視頻數(shù)據(jù)和重要個(gè)人信息等����, (應(yīng)用需采用加密傳輸協(xié)議)�;(此項(xiàng)為高危風(fēng)險(xiǎn)項(xiàng))
15、應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的完整性��,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)����、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)��、重要視頻數(shù)據(jù)和重要個(gè)人信息等����;
16、數(shù)據(jù)輸入界面提供有效性校驗(yàn)功能����,可對(duì)無(wú)效或非法數(shù)據(jù)、字符長(zhǎng)度和有效性進(jìn)行校驗(yàn)��。(例:輸入或查詢長(zhǎng)度或格式不正確的手機(jī)號(hào)會(huì)進(jìn)行提示)(此項(xiàng)為高危風(fēng)險(xiǎn)項(xiàng))
17�����、不可自動(dòng)保存和顯示歷史賬號(hào)和口令�����,在用戶退出后及時(shí)清空cookie和會(huì)話session��。(登錄界面不能保留賬戶名和密碼�、退出后按回退鍵無(wú)法回退到退出前的界面,需重新登錄)(此項(xiàng)為高危風(fēng)險(xiǎn)項(xiàng))
?
信息安全等級(jí)保護(hù)整改硬件機(jī)房整改要求:
1�、物理位置選擇:機(jī)房場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)�; 建議,應(yīng)將該機(jī)房設(shè)置在符合要求的專用機(jī)房���,至少具備防震���、防風(fēng)和防雨等能力的建筑內(nèi),并且要求有相關(guān)的設(shè)計(jì)文件和驗(yàn)收文檔����; 機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的頂層或地下室,否則應(yīng)加強(qiáng)防水和防潮措施���; 建議����,應(yīng)將機(jī)房設(shè)置在建筑物的中間樓層�����,如設(shè)置在頂層或地下室應(yīng)將強(qiáng)防水防潮措施;
2���、 物理訪問(wèn)控制:機(jī)房出入口應(yīng)配置電子門禁系統(tǒng)���,控制、鑒別和記錄進(jìn)入的人員����; 建議,機(jī)房各出入口配置電子門禁系統(tǒng)���,要求具備控制���、鑒別和記錄進(jìn)入的人員信息;
3�、 防盜竊和防破壞:應(yīng)將設(shè)備或主要部件進(jìn)行固定,并設(shè)置明顯的不易除去的標(biāo)識(shí)����; 建議,該機(jī)房?jī)?nèi)的所有設(shè)施�、設(shè)備和主要部件安全加固,并且設(shè)置明顯不易去除的標(biāo)識(shí)����; 應(yīng)將通信線纜鋪設(shè)在隱蔽安全處�����; 建議,該機(jī)房?jī)?nèi)所有類別的線纜(通信線纜�����、強(qiáng)電�����、弱電等)分別鋪設(shè)于不同的橋架或線槽內(nèi)�,并要求做到隱蔽安全; 應(yīng)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)��; 建議1.該機(jī)房應(yīng)設(shè)置防盜報(bào)警系統(tǒng)要求覆蓋機(jī)房出入口及重要區(qū)域(如核心區(qū)����、生產(chǎn)區(qū)、網(wǎng)絡(luò)區(qū)���、電磁屏蔽間等)��;建議2.設(shè)置專人值守的視頻監(jiān)控系統(tǒng)��。要求設(shè)置安防監(jiān)控室�����,配備專人對(duì)機(jī)房進(jìn)行7*24小時(shí)實(shí)時(shí)監(jiān)控值守��。機(jī)房出入口���、區(qū)域出入口����、通道等均應(yīng)部署視頻監(jiān)控設(shè)備��,保證機(jī)房監(jiān)控全覆蓋�、機(jī)房所有區(qū)域無(wú)死角,以監(jiān)控個(gè)人對(duì)敏感區(qū)域的物理訪問(wèn)�����。
4����、防雷擊:應(yīng)將各類機(jī)柜��、設(shè)施和設(shè)備等通過(guò)接地系統(tǒng)安全接地���; 建議機(jī)房?jī)?nèi)設(shè)置防雷接地系統(tǒng)(可以直接連接到建筑物的保護(hù)地)安裝接地匯流排將機(jī)房?jī)?nèi)各機(jī)柜、UPS電池柜��、配電柜����、空調(diào)��、防靜電地板支架等進(jìn)行了有效的安全接地�; 應(yīng)采取措施防止感應(yīng)雷,例如設(shè)置防雷保安器或過(guò)壓保護(hù)裝置��; 機(jī)房設(shè)置防感應(yīng)雷措施����,如在供電系統(tǒng)或電源線路安裝浪涌保護(hù)器等;新建防雷裝置要求具有驗(yàn)收文檔/核查報(bào)告等���,并且要求每年核查防雷裝置是否通過(guò)驗(yàn)收或國(guó)家有關(guān)部門的技術(shù)檢測(cè)�。 序號(hào) 控制點(diǎn) 檢測(cè)項(xiàng) 整改意見(jiàn)
5、防火:機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)�����,能夠自動(dòng)檢測(cè)火情���、自動(dòng)報(bào)警�����,并自動(dòng)滅火��; 建議該機(jī)房安裝火災(zāi)自動(dòng)消防系統(tǒng)��,要求覆蓋機(jī)房所有區(qū)域���,包括核心區(qū)、生產(chǎn)區(qū)���、輔助區(qū)等�。機(jī)房?jī)?nèi)����、基本工作房間內(nèi)��、防靜電地板下����、吊頂里���、主要空調(diào)管道中及易燃物附近部位設(shè)置煙感�、溫感等多種方式自動(dòng)檢測(cè)火情裝置���。 機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材���; 建議該機(jī)房的所有相關(guān)房間和輔助間對(duì)易燃或耐火等級(jí)不足的建筑材料進(jìn)行整改,要求耐火等級(jí)符合消防要求��,且具備由公安消防支隊(duì)蓋章的消防驗(yàn)收材料�。 應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理����,區(qū)域和區(qū)域之間設(shè)置隔離防火措; 建議將該機(jī)房劃分不同的消防分區(qū)且使用隔離防火措施�����,如使用單層銫鉀防火玻璃、鋼制防火門或防火隔墻將各區(qū)域分隔開(kāi)�。要求消防分區(qū)密閉,以防止火勢(shì)和煙霧蔓延��,各消防分區(qū)密閉應(yīng)包括吊頂上方和防靜電地板下方等�����。
6�����、防水和防潮:應(yīng)采取措施防止雨水通過(guò)機(jī)房窗戶����、屋頂和墻壁滲透; 建議該機(jī)房將窗戶密封��,墻壁和屋頂做防水處理����; 應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透; 建議該機(jī)房采取措施防止水蒸氣結(jié)露和地下積水轉(zhuǎn)移滲透等�;例如安裝有相應(yīng)功能的設(shè)備等; 應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件����,對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警���; 建議該機(jī)房裝對(duì)水敏感的檢測(cè)儀表或元件,要求有對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警功能����;
7、防靜電:應(yīng)采用防靜電地板或地面并采用必要的接地防靜電措施����; 建議該機(jī)房使用防靜電地板,并將地板支架和機(jī)房設(shè)施�、設(shè)備等均做接地處理; 應(yīng)采取措施防止靜電的產(chǎn)生�����,例如采用靜電消除器�、佩戴防靜電手環(huán)等����; 建議該機(jī)房安裝靜電消除器或者使用防靜電手環(huán)等設(shè)備;
8��、溫濕度控制:應(yīng)設(shè)置溫濕度自動(dòng)調(diào)節(jié)設(shè)施,使機(jī)房溫濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)����; 建議該機(jī)房使用溫濕度自動(dòng)調(diào)節(jié)設(shè)施,使機(jī)房溫濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)���;
9��、 電力供應(yīng):應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備����; 建議該機(jī)房供電線路上配置穩(wěn)壓器和過(guò)壓保護(hù)裝置����,要求穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備應(yīng)能夠控制電源穩(wěn)壓范圍滿足計(jì)算機(jī)系統(tǒng)運(yùn)行正常; 應(yīng)提供短期的備用電力供應(yīng)�����,至少滿足設(shè)備在斷電情況下的正常運(yùn)行要求��; 建議:1.該機(jī)房配備UPS系統(tǒng)���,要求UPS后備時(shí)間能滿足主要設(shè)備在斷電情況下的正常運(yùn)行要求��。2.使用備用發(fā)電機(jī)或使用第三方提供的備用供電服務(wù)����。
10、電力供應(yīng):應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電����; 建議:1.該機(jī)房設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電;2.該機(jī)房應(yīng)采用UPS雙回路供電���,如另增加一路市電和安裝發(fā)電機(jī)等�����;
11���、電磁防護(hù):電源線和通信線纜應(yīng)隔離鋪設(shè),避免互相干擾����; 建議,應(yīng)將通信線纜和強(qiáng)電線纜均通過(guò)橋架方式上走線�,網(wǎng)線���、光纖�����、強(qiáng)電����、使用不同橋架走線,強(qiáng)電橋架和網(wǎng)線橋架應(yīng)相隔一定距離���,橋架交叉時(shí)應(yīng)以垂直角度交叉���,防止電磁干擾; 應(yīng)對(duì)關(guān)鍵設(shè)備實(shí)施電磁屏蔽��; 建議該機(jī)房使用電磁屏蔽機(jī)柜或建造電磁屏蔽間等����;
?
?
等保咨詢熱線:15084670000,15124562202
