1、等级保护第二级基础规定实行建议残留问题1.1.1 物理安全1.1.1.1 物理位置选择(G2)本项规定包含:机房和办公场地应选择在具有防震、防风和防雨等能力建筑内;1.1.1.2 物理访问控制(G2)本项规定包含:a) 机房出入口应安排专员值守,控制、判别和记录进入人员;b) 需进入机房来访人员应通过申请和审批环节,并限制和监控其活动范围;1.1.1.3 防偷窃和防破坏(G2)本项规定包含:a) 应将关键设备放置在机房内;b) 应将设备或关键部件进行固定,并设立显著不易除去标记;c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d) 应对介质分类标记,存放在介质库或档案室中;e) 主机房应
2、安装必需防盗报警设施1.1.1.4 防雷击(G2)本项规定包含:a) 机房建筑应设立避雷装置;b) 机房应设立交流电源地线。1.1.1.5 防火(G2)本项规定包含:机房应设立灭火设备和火灾自动报警系统1.1.1.6 防水和防潮(G2)本项规定包含:a) 水管安装,不得穿过机房屋顶和活动地板下;b) 应采用方法防止雨水通过机房窗户、屋顶和墙壁渗透;c) 应采用方法防止机房内水蒸气结露和地下积水转移和渗透;1.1.1.7 防静电(G2)本项规定包含:关键设备应采用必需接地防静电方法; 1.1.1.8 温湿度控制(G2)机房应设立温、湿度自动调整设施,使机房温、湿度改变在设备运营所许可范围之内。1
3、.1.1.9 电力供应(A2)本项规定包含:a) 应在机房供电线路上配置稳压器和过电压防护设备;b) 应提供短期备用电力供应,最少满足关键设备在断电情况下正常运营规定;1.1.1.10 电磁防护(S2)本项规定包含:电源线和通信线缆应隔离铺设,避免互相干扰;1.1.2 网络安全1.1.2.1 结构安全(G2)本项规定包含:a) 应保证关键网络设备业务解决能力具有冗余空间,满足业务高峰期需要;b) 应保证接入网络和关键网络带宽满足业务高峰期需要;c) 应绘制和目前运营情况相符网络拓扑结构图;d) 应依据各部门工作职能、关键性和所包含信息关键限度等因素,划分不同样子网或网段,并根据方便管理和控制标
4、准为各子网、网段分派地址段;1.1.2.2 访问控制(G2)本项规定包含:a) 应在网络边界部署访问控制设备,启用访问控制功效;b) 应能依据会话状态信息为数据流提供明确许可/拒绝访问能力,控制粒度为网段级;c) 应按用户和系统之间许可访问规则,决定许可或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;d) 应限制具有拨号访问权限用户数量。1.1.2.3 安全审计(G2)本项规定包含:a) 应对网络系统中网络设备运营情况、网络流量、用户行为等进行日记记录;b) 审计记录应包含:事件日期和时间、用户、事件类型、事件是否成功及其它和审计相关信息;1.1.2.4 边界完整性检查(S2)本项规定包
5、含:应可以对内部网络用户私自联到外部网络行为进行检查。1.1.2.5 入侵防范(G2)本项规定包含:应在网络边界处监视以下袭击行为:端口扫描、强力袭击、木马后门袭击、拒绝服务袭击、缓冲区溢出袭击、IP碎片袭击和网络蠕虫袭击等。1.1.2.6 网络设备防护(G2)本项规定包含:a) 应对登录网络设备用户进行身份判别;b) 应对网络设备管理员登录地址进行限制;c) 网络设备用户标记应唯一;d) 身份判别信息应具有不易被冒用特点,口令应有复杂度规定并定期更换;e) 应具有登录失败解决功效,可采用结束会话、限制非法登录次数和当网络登录连接超时自动退出等方法;f) 当对网络设备进行远程管理时,应采用必需
6、方法防止判别信息在网络传输过程中被窃听;1.1.3 主机安全1.1.3.1 身份判别(S2)本项规定包含:a) 应对登录操作系统和数据库系统用户进行身份标记和判别;b) 操作系统和数据库系统管理用户身份标记应具有不易被冒用特点,口令应有复杂度规定并定期更换;c) 应启用登录失败解决功效,可采用结束会话、限制非法登录次数和自动退出等方法;d) 当对服务器进行远程管理时,应采用必需方法,防止判别信息在网络传输过程中被窃听;e) 应为操作系统和数据库系统不同样用户分派不同样用户名,保证用户名具有唯一性。1.1.3.2 访问控制(S2)本项规定包含:a) 应启用访问控制功效,依据安全策略控制用户对资源
7、访问;b) 应实现操作系统和数据库系统特权用户权限分离;c) 应严格限制默认帐户访问权限,重命名系统默认帐户,修改这些帐户默认口令;d) 应立即删除多余、过期帐户,避免共享帐户存在。1.1.3.3 安全审计(G2)本项规定包含:a) 审计范围应覆盖到服务器每个操作系统用户和数据库用户;b) 审计内容应包含关键用户行为、系统资源异常使用和关键系统命令使用等系统内关键安全相关事件;c) 审计记录应包含事件日期、时间、类型、主体标记、客体标记和结果等; d) 应保护审计记录,避免受到未预期删除、修改或覆盖等。1.1.3.4 入侵防范(G2)本项规定包含:a) 操作系统应遵照最小安装标准,仅安装需要组
8、件和应用程序,并通过设立升级服务器等方法保持系统补丁立即得到更新。1.1.3.5 恶意代码防范(G2)本项规定包含:a) 应安装防恶意代码软件,并立即更新防恶意代码软件版本和恶意代码库;b) 应支持防恶意代码统一管理。1.1.3.6 资源控制(A2)本项规定包含:a) 应通过设定终端接入方法、网络地址范围等条件限制终端登录;b) 应依据安全策略设立登录终端操作超时锁定;c) 应限制单个用户对系统资源最大或最小使用限度;d)1.1.4 应用安全1.1.4.1 身份判别(S2)本项规定包含:a) 应提供专用登录控制模块对登录用户进行身份标记和判别; b) 应提供用户身份标记唯一和判别信息复杂度检查
9、功效,保证应用系统中不存在反复用户身份标记,身份判别信息不易被冒用;c) 应提供登录失败解决功效,可采用结束会话、限制非法登录次数和自动退出等方法;d) 应启用身份判别、用户身份标记唯一性检查、用户身份判别信息复杂度检查和登录失败解决功效,并依据安全策略配置相关参数。1.1.4.2 访问控制(S2)本项规定包含:a) 应提供访问控制功效,依据安全策略控制用户对文献、数据库表等客体访问;b) 访问控制覆盖范围应包含和资源访问相关主体、客体及它们之间操作;c) 应由授权主体配置访问控制策略,并严格限制默认帐户访问权限;d) 应授予不同样帐户为完毕各自承担任务所需最小权限,并在它们之间形成互相制约关
10、系。1.1.4.3 安全审计(G2)本项规定包含:a) 应提供覆盖到每个用户安全审计功效,相应用系统关键安全事件进行审计;b) 应保证无法删除、修改或覆盖审计记录;c) 审计记录内容最少应包含事件日期、时间、建议者信息、类型、描述和结果等;1.1.4.4 软件容错(A2)本项规定包含:a) 应提供数据有效性检查功效,保证通过人机接口输入或通过通信接口输入数据格式或长度符合系统设定规定;b) 应提供自动保护功效,当故障发生时自动保护目前所有状态,保证系统可以进行恢复。1.1.4.5 资源控制(A2)本项规定包含:a) 当应用系统通信双方中一方在一段时间内未作任何响应,另一方应可以自动结束会话;b
11、) 应可以对系统最大并发会话连接数进行限制;c) 应可以对单个帐户多重并发会话进行限制;1.1.5 数据安全及备份恢复1.1.5.1 数据完整性(S2)本项规定包含:应可以检测到判别信息和关键业务数据在传输过程中完整性受到破坏。1.1.5.2 数据保密性(S2)本项规定包含:应采用加密或其它保护方法实现判别信息存放保密性。1.1.5.3 备份和恢复(A2)本项规定包含:a) 应可以对关键信息进行备份和恢复b) 应提供关键网络设备、通信线路和数据解决系统硬件冗余,保证系统可用性。;1.2 管理规定1.2.1 安全管理制度1.2.1.1 管理制度(G2)本项规定包含:a) 应制订信息安全工作总体方
12、针和安全策略,说明机构安全工作总体目的、范围、标准和安全框架等;b) 应对安全管理活动中关键管理内容建立安全管理制度;c) 应对规定管理人员或操作人员实行平常管理操作建立操作规程; 1.2.1.2 制订和公布(G2)本项规定包含:a) 应指定或授权专门部门或人员负责安全管理制度制订;b) 应组织相关人员对制订安全管理制度进行论证和审定;c) 应将安全管理制度以谋合方法公布到相关人员中。 1.2.1.3 评审和修订(G2)本项规定包含:应定期对安全管理制度进行评审,对踩在局限性或 需求改善安全管理制度进行修改。1.2.2 安全管理机构1.2.2.1 岗位设立(G2)本项规定包含:a) 应设立安全
13、主管、安全管理各方面负责人岗位,并定义各负责人职责。b) 应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位职责; 1.2.2.2 人员配置(G2)本项规定包含:a) 应配置一定数量系统管理员、网络管理员、安全管理员等;b) 安全管理员不能兼任网络管理员、系统管理员、数据库管理员等; 1.2.2.3 授权和审批(G2)本项规定包含:a) 应依据各个部门和岗位职责明确授权审批部门及批准人、对系统投入运营、网络系统接入和关键资源访问等关键活动进行审批;b) 应针对关键活动建立审批环节,并由批准人签字拟定;1.2.2.4 沟通和合作(G2)本项规定包含:a) 应加强各类管理人员之间、
14、组织内部机构之间和信息安全职能部门内部合作和沟通; b) 应加强和弟兄单位、公安机关、电信公司合作和沟通。1.2.2.5 审核和检查(G2)本项规定包含:安全管理员应负责定期进行安全检查,检查内容包含系统平常运营、系统漏洞和数据备份等情况;1.2.3 人员安全管理1.2.3.1 人员录用(G2)本项规定包含:a) 应指定或授权专门部门或人员负责人员录用;b) 应规范人员录用过程,对被录用人身份、背景、专业资格等进行审查,对其所具有技术技能进行考评;c) 应和从事关键岗位人员签署保密协议1.2.3.2 人员离岗(G2)本项规定包含:a) 应规范人员离岗过程,立即终止离岗职工所有访问权限;b) 应
15、取回多种身份证件、钥匙、徽章等和机构提供软硬件设备;c) 应办理严格调离手续。1.2.3.3 人员考评(G2)本项规定包含:应定期对各个岗位人员进行安全技能及安全认知考评;1.2.3.4 安全意识教育和培训(G2)本项规定包含:a) 应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;b) 应告知相关人员,对违反违反安全策略和规定人员进行惩戒; c) 应制订安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训; 1.2.3.5 外部人员访问管理(G2)本项规定包含:a) 应保证在外部人员访问受控区域前得到授权或审批,批准后由专员全程陪同或监督,并登记备案1.2.4 系统建设
16、管理1.2.4.1 系统定级(G2)本项规定包含:a) 应明确信息系统边界和安全保护等级; b) 应以书面形式说明拟定信息系统为某个安全保护等级方法和理由;c) 应保证信息系统定级结果通过相关部门批准。1.2.4.2 安全方案设计(G2) 本项规定包含:a) 应依据系统安全保护等级选择基础安全方法,并依据风险分析结果补充和调整安全方法;b) 应以书面形式描述对系统安全保护规定、策略和方法等内容,形成系统安全方案。c) 应对安全方案进行细化,形成能知道安全系统建设、安全产品采购和使用品体设计方案d) 应组织相关部门和相关安全技术专家对安全设计方案合理性和对的性及进行论证和审定,并且通过批准后,才
17、干正式实行。1.2.4.3 产品采购和使用(G2)本项规定包含:a) 应保证安全产品采购和使用符合国家相关规定;b) 应保证密码产品采购和使用符合国家密码主管部门规定;c) 应指定或授权专门部门负责产品采购; 1.2.4.4 自行软件开发(G2)本项规定包含:a) 应保证开发环境和实际运营环境物理分开b) 应制订软件开发管理制度,明确说明开发过程控制方法和人员行为准则;c) 应保证提供软件设计相关文档和使用指南,并由专员负责保管。1.2.4.5 外包软件开发(G2)本项规定包含:a) 应依据开发需求检测软件质量;b) 应保证提供软件设计相关文档和使用指南。c) 应在软件安装之前检测软件包中也许
18、存在恶意代码; d) 应规定开发单位提供软件源代码,并审查软件中也许存在后门。1.2.4.6 工程实行(G2)本项规定包含:a) 应指定或授权专门部门或人员负责工程实行过程管理;b) 应制订具体工程实行方案控制实行过程; 1.2.4.7 测实验收(G2)本项规定包含:a) 应对系统进行安全性测实验收;b) 在测实验收前应依据设计方案或协议规定等制订测实验收方案,在测实验收过程中应具体记录测实验收结果,并形成测实验收报告;c) 应组织相关部门和相关人员对系统测实验收报告进行审定,并签字拟定。1.2.4.8 系统交付(G2)本项规定包含:a) 应制订系统交付清单,并依据交付清单对所交接设备、软件和
19、文档等进行清点;b) 应对负责系统运营维护技术人员进行相应技能培训;c) 应保证提供系统建设过程中文档和指导用户进行系统运营维护文档;1.2.4.9 安全服务商选择(G2)本项规定包含:a) 应保证安全服务商选择符合国家相关规定;b) 应和选定安全服务商签署和安全相关协议,明确约定相关责任;c) 应保证选定安全服务商提供技术培训和服务承诺,必需和其签署服务协议。1.2.5 系统运维管理1.2.5.1 环境管理(G2)本项规定包含:a) 应指定专门部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;b) 应配置机房安全管理人员,对机房出入、服务器开机或关机等工作进行管理;c) 应建立
20、机房安全管理制度,对相关机房物理访问,物品带进、带出机房和机房环境安全等方面管理作出规定;d) 应加强对办公环境保密性管理,规范办公环境人员行为,包含工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员等。1.2.5.2 资产管理(G2)本项规定包含:a) 应编制并保存和信息系统相关资产清单,包含资产责任部门、关键限度和所处位置等内容;b) 应建立资产安全管理制度,规定信息系统资产管理负责人员或责任部门,并规范资产管理和使用行为;1.2.5.3 介质管理(G2)本项规定包含:a) 应保证介质存放在安全环境中,对各类介质进行控制和保护,并实行存放环境专员管理;b) 应对介质归档和查询
21、等进行登记记录,并依据存档介质目录清单定期盘点; c) 应对需要送出维修或销毁介质,一方面清除其中敏感数据,防止信息非法泄露。d) 应依据所承载数据和软件关键限度对介质进行分类和标记管理。1.2.5.4 设备管理(G2)本项规定包含:a) 应对信息系统相关多种设备(包含备份和冗余设备)、线路等指定专门部门或人员定期进行维护管理;b) 应建立基于申报、审批和专员负责设备安全管理制度,对信息系统多种软硬件设备选型、采购、发放和领用等过程进行规范化管理; c) 应对终端计算机、工作站、便携机、系统和网络等设备操作和使用进行规范化管理,按操作规程实现关键设备(包含备份和冗余设备)启动/停止、加电/断电
22、等操作;d) 应保证信息解决设备必需通过审批才干带离机房或办公地点。 1.2.5.5 网络安全管理本项规定包含:a) 应指定人员对网络进行管理,负责运营日记、网络监控记录平常维护和报警信息分析和解决工作b) 应建立网络安全管理制度,对网络安全配置、日记保存时间、安全策略、升级和打补丁、口令更新周期等方面做出规定;c) 应依据厂家提供软件升级版本对网络设备进行更新,并在更新前对现相关键文献进行备份;d) 应定期对网络系统进行漏洞扫描,对发现网络系统安全漏洞进行立即修补;e) 应对网络设备配置文献进行定期备份f) 应保证所有和外部系统连接均得到授权和批准。1.2.5.6 系统安全管理(G2)本项规
23、定包含:a) 应依据业务需求和系统安全分析拟定系统访问控制策略;b) 应定期进行漏洞扫描,对发现系统安全漏洞立即进行修补;c) 应安装系统最新补丁程序,在安装系统补丁前,一方面在测试环境中测试通过,并对关键文献进行备份后,方可实行系统补丁程序安装;d) 应建立系统安全管理制度,对系统安全策略、安全配置、日记管理和平常操作环节等方面作出具体规定;e) 应依据操作手册对系统进行维护,具体记录操作日记,包含关键平常操作、运营维护记录、参数设立和修改等内容,严禁进行未经授权操作;f) 应定期对运营日记和审计数据及进行分析,方便立即发现异常行为。1.2.5.7 恶意代码防范管理(G2)本项规定包含:a)
24、 应提高所有用户防病毒意识,立即告知防病毒软件版本,在读取移动存放设备上数据和网络上接受文献或邮件之前,优异行病毒检查,对外来计算机或存放设备接入网络系统之前也应进行病毒检查;b) 应指定专员对网络和主机进行恶意代码检测并保存检测记录;c) 应对防恶意代码软件授权使用、恶意代码库升级、定期报告等作出明确规定; 1.2.5.8 密码管理(G2)应使用符合国家密码管理规定密码技术和产品。1.2.5.9 变更管理(G2)本项规定包含:a) 应拟定系统中要发生变更,并制订变更方案;b) 系统发生变更前,应向主管领导申请,审批后方可实行变更,并在实行后将变更情况向相关人员通告;1.2.5.10 备份和恢
25、复管理(G2)本项规定包含:a) 应辨认需要定期备份关键业务信息、系统数据及软件系统等;b) 应规定备份信息备份方法、备份频度、存放介质和保存期等进行规范;c) 应依据数据关键性和数据对系统运营影响,制订数据备份策略和恢复策略,备份策略须指明备份数据放置场合、文献命名规则、介质替换频率和将数据离站运送方法;1.2.5.11 安全事件解决(G2)本项规定包含:a) 应报告所发现安全弱点和可疑事件,但任何情况下用户均不应尝实验证弱点;b) 应制订安全事件报告和解决管理制度,明确安全事件类型,规定安全事件现场解决、事件报告和后期恢复管理职责;c) 应依据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生影响,对本系记录算机安全事件进行等级d) 应记录并保存所有报告安全弱点和可疑事件,分析事件因素,监督事态发展,采用方法避免安全事件发生。1.2.5.12 应急预案管理(G2)本项规定包含:a) 应在统一应急预案框架下制订不同样事件应急预案,应急预案框架应包含启动应急预案条件、应急解决环节、系统恢复环节、事后教育和培训等内容;b) 应对系统相关人员进行应急预案培训,应急预案培训应最少每十二个月举行一次;
浙ICP备2021020529号-1 | 浙B2-20240490 
