信息系统安全等级保护基本要求二级三级等级保护要求比较

1、信息系统安全等级保护基本要求二级.三级等级保护要求比较 一、技术要求 技术要求项 二级謝呆 三级等保 物理 物理 位置 得选 择 1）机房与办公场地应选择 在具有防震、防风与防雨 等能力得建筑内。 1）机房与办公场地应选择在具有防震、防 风与防雨等能力得建筑內； 2）机房场地应避免设在建筑物得咼层或地 下室，以及用水设备得下层或隔壁； 3 ）机房场地应当避开强电场、强磁场、强 震动源、强噪声源、重度环境污染、易 发生火灾、水灾、易遭受雷击得地区。 物理 访问 控制 1）机房出入口应有专人值 守,鉴别进入得人员身份 并登记在案； 2）应批准进入机房得来访 人员，限制与监控具活动 范围。 1）机房

2、出入口应有专人值守，鉴别进入得 人员身份并登记在案； 2 ）应批准进入机房得来访人员，限制与监 控其活动范围； 3 ）应对机房划分区域进行管理，区域与区域 之间设置物理隔离装置，在重要区域前设 置交付或安装等过度区域； 4 ）应对重要区域配置电子门禁系统,鉴别与 记录进入得人员身份并监控其活动。 防盗 窃与 防破 坏 1）应将主要设备放置在物 理受限得范围内； 2）应对设备或主要部件进 行固走，并设置明显得不 易除去得标记； 3）应将通信线缆铺设在隐 蔽处，如铺设在地下或管 道中等； 4）翊介质分类翩，存储 在介质库或档案室中； 5）应安装必要得防盗报警 设施，以防进入机房得盗 窃与破坏行为。

3、 1 ）应将主要设备放置在物理受限得范围 内； 2 ）应对设备或主要部件进行固走，并设置明 显得无法除去得标记； 3）应将通信线缆铺设在隐蔽处如铺设在地 下或管道中等； 4 ）应对介质分类标识,存储在介质库或档 案室中； 5）设备或存储介质携带出工作坏境时，应受 到监控与内容加密； 6）应利用光、电等技术设置机房得防盗报 警系统，以防进入机房得盗窃与破坏行 为； 7）应对机房设置监控报警系统。 技术要求项 二级般 三级等保 防雷 击 1）机房建筑应设置避雷装 ; 2）应设置交流电源地线。 1）机房建筑应设置避雷装置； 2）应设置防雷保安器,防止感应雷； 3 ）应设置处流电源地线。 防火 1）应

4、设置灭火设备与火灾 自动报警系统，并保持灭 火设备与火灾自动报警 系统得良好状态。 1）应设置火灾自动消防系统，自动检测火 情、自动报警,并自动灭火； 2 ）机房及相关得工作房间与辅助房,其建筑 材料应具有耐火等级; 3 ）机房采取区域隔离防火措施，将重要设 备与其她设备隔离开。 防水 与防 潮 1）水管安装,不得穿过屋顶 与活动地板下； 2）应对穿过墙壁与楼板得 水管增加必要得保护措 施，如设置套管； 3）应采取措施防止雨水通 过屋顶与墙壁渗透； 4）应采取措施防止室内水 蒸气结露与地下积水得 转移与渗透。 1）水管安装，不得穿过屋顶与活动地板下； 2 ）应对穿过墙壁与楼板得水管增加必要得

5、彳呆护措施，如设置套管； 3）应采取措施防止雨水通过屋顶与墙壁渗 透； 4）应采取措施防止室内水蒸气结露与地下 积水得转移与渗透。 防静 电 1）应采用必要得接地等防 静电措施 1）应采用必要得接地等防静电措施； 2）应采用防静电地板。 温湿 度控 制 1）应设置温、湿度自动调节 设施，使机房温、湿度得 变化在设备运行所允许 得范围之内。 1）应设置恒温恒湿系统，使机房温、湿度得 变化在设备运行所允许得范围之内。 电力 供应 1）计算机系统供电应与其 她供电分开； 2）应设置稳压器与过电压 财户设备； 3）应提供短期得备用电力 供应（如UPS设备）。 1）计算机系统供电应与其她供电分开； 2）

6、应设置稳压器与过电压防护设备； 3）应提供短期得备用电力供应（如UPS设 备）； 4）应设置冗余或并行得电力电缆线路； 5 ）应建立备用供电系统（如备用发电机），以 备常用供电系统停电时启用。 电磁 1）应采用接地方式防止外 1）应采用接地方式防止外界电磁干扰与设 技术要求项 二级般 三级等保 防护 界电磁干扰与设备寄生 耦合干扰； 2）电源线与通信线缆应隔 离，避免互相干扰。 备寄生耦合干扰； 2）电源线与通信线缆应隔离，避免互相干 扰； 3）对重要设备与磁介质实施电磁屏蔽。 网络 结构 安全 与网 段划 分 1）网络设备得业勢处理能 力应具备冗余空间，要求 满足业务高峰期需要； 2）应设计

7、与绘制与当前运 行情况相符得网络拓扑 结构图； 3）应根据机构业务得特点， 在满足业务高峰期需要 得基础上,合理设计网络 带盍； 4）应在业务终端与业务服 务器之间进行路由控制， 建立安全得访问路径； 5）应根据各部门得工作职 能、重要性、所涉及信息 得重要程度等因素，划分 不同得子网或网段，并按 照方便管理与控制得原 则为各子网、网段分配地 址段； 6）重要网段应采取网络层 地址与数据链路层地址 绑走措施，防止地址欺 骗。 1）网络设备得业勢处理能力应具备冗余空 间,要求满足业务高峰期需要； 2 ）应设计与绘制与当前运行情况相符得网 络拓扑结构图； 3 ）应根据机构业勢得特点,在满足业务高

8、峰期需要得基础上,合理设计网络带竞； 4 ）应在业务终端与业务服务器之间进行路 由控制建立安全得访问路径； 5）应根据各部门得工作职能、重要性、所 涉及信息得重要程度等因素，划分不同得 子网或网段并按照方便管理与控制得原 则为各子网、网段分配地址段； 6）重要网段应采取网络层地址与数据链路 层地址绑走措施舫止地址欺骗； 7 ）应按照对业务服务得重要次序来指定带 克分配优先级别，保证在网络发生拥堵得 时候优先保护重要业务数据主机。 网络 访问 控制 1）应能根据会话状态信息 （包括数据包得源地址、 目得地址、源端口号、 得端口号、协议、出入得 接口、会话序列号、发出 1）应能根据会话状态信息（包

9、括数据包得 源地址、目得地址、源端口号、目得端 口号、协议、出入得接口、会话序列号、 发出信息得主机名等信息,并应支持地址 通配符得使用），为数据流提供明确得允 技术要求项 二级般 三级等保 信息得主机名等信息，并 应支持地址通配符得使 用），为数据流提供明确 得允许/拒绝访问得能 力。 许/拒绝访问得能力； 2 ）应对进出网络得信息内容逬行过滤,实现 对应用层、SMTP、POP3等协议命令 级得控制； 3）应依据安全策略允许或者拒绝便携式与 移动式设备得网络接入； 4 ）应在会话处于非活跃一定时间或会话结 束后终止网络连接； 5）应限制网络最大流臺数及网络连接数。 拨号 访问 控制 1）应在

10、基于安全属性得允 许远程用户对系统访问 得规则得基础上,对系统 所有资源允许或拒绝用 户进行访问，控制粒度为 单个用户； 2）应限制具有拨号访问权 限得用户数量。 1）应在基于安全属性得允许远程用户对系 统访问得规则得基础上，对系统所有资 源允许或拒绝用户进行访问，控制粒度 为单个用户； 2 ）应限制具有拨号访问权限得用户数星； 3 ）应按用户与系统之间得允许访问规则，决 走允许用户对受控系统进行资源访问。 网络 安全 审计 1）应对网络系统中得网络 设备运行状况、网络流 呈、用户行为等事件进行 日志记录； 2）对于每一个事件,其审计 记录应包括：事件得日期 与时间、用户、事件类型、 事件就是

11、否成功，及其她 与审计相关得信息。 1）应对网络系统中得网络设备运行状况、 网络流臺、用户行为等进行全面得监测、 记录； 2 ）对于每一个事件，其审计记录应包括： 事件得日期弓时间、用户、事件类型、 事件就是否成功，及其她与审计相关得信 3）安全审计应可以根据记录数据进行分 析，并生成审计报表； 技术要求项 二级般 三级等保 4 ）安全审计应可以对特走事件，提供指走 方式得实时报警； 5 ）审计记录应受到保护避免受到未预期得 删除、修改或覆盖等。 边界 完整 性检 查 1）应能够检测内部网络中 出现得内部用户未通过 准许私自联到外部网络 得行为（即非法外联 行为）。 1）应能够检测内部网络中出

12、现得内部用户 未通过准许私自联到外部网络得行为 （即非法外联行为）； 2 ）应能够对非授权设备私自联到网络得行 为逬行检查，并准确走出位置，对其进 行有效阻断； 3 ）应能够对内部网络用户私自联到外部网 络得行为进行检测后准确走出位置，并对 其进行有效阻断。 网络 入侵 防范 1）应在网络边界处监视以 下攻击行为:端口扫描、 强力攻击、木马后门攻 击、拒绝服勢攻击、缓冲 区溢出攻击、IP碎片攻 击、网络蠕虫攻击等入侵 事件得发生。 1）应在网络边界处应监视以下攻击行为:端 口扫描、强力攻击、木马后门攻击、拒 绝服勢攻击、缓冲区溢出攻击、IP碎片 攻击、网络蠕虫攻击等入侵事件得发生； 2 ）当检

13、测到入侵事件时，应记录入侵得源I P、攻击得类型、攻击得目得、攻击得时 间，并在发生严重入侵事件时提供报警。 恶意 代码 防范 1）应在网络边界及核心业 务网段处对恶意代码进 行检贝衍清除； 1）应在网络边界及核心业务网段处对恶忌 代码进行检测与清除； 技术要求项 二级般 三级等保 2）应维护恶意代码库得升 级与检测系统得更新； 3）应支持恶意代码防范得 统一輕 2 ）应维护恶意代码库得升级与检测系统得 更新； 3）应支持恶意代码防范得统一管理。 网络 设备 防护 1）应对登录网络设备得用 户进行身份鉴别； 2）应对网络设备得管理员 登录地址进行限制； 3）网络设备用户得标识应 唯一； 4）身

14、份鉴别信息应具有不 易被冒用得特点,例如口 令长度、复杂性与走期得 更新等； 5）应具有登录失败处理功 能，如：结束会话、限制 非法登录次数，当网络登 录连接超时，自动退出。 1）应对登录网络设备得用户进行身份鉴别； 2 ）应对网络上得对等实体进行身份鉴别； 3 ）应对网络设备得管理员登录地址迸行限 制； 4）网络设备用户得标识应唯一； 5 ）身份鉴别信息应具有不易被冒用得特点， 例如口令长度、复杂性与走期得更新等； 6）应对同一用户选择两种或两种以上组合 得鉴别技术来进行身份鉴别； 7 ）应具有登录失败处理功能，如:结束会话、 限制非法登录次数，当网络登录连接超 时，自动退出； 8 ）应实现

15、设备特权用户得权限分离，例如将 管理与审计得权限分配给不同得网络设 备用户。 主机 系统 身份 鉴别 1）操作系统与数据库管理 系统用户得身份标识应 具有唯V； 2）应对登录操作系统与数 据库管理系统得用户进 1）操作系统与数据库管理糸统用户得身份 标识应具有唯一性； 2 ）应对登录操作系统与数据库管理系统得 技术要求项 二级等保 行身份标识与鉴别； 3）操作系统与数据库管理 系统身份鉴别信息应具 有不易被冒用得特点，例 如口令长度、复杂性与定 期得更新等； 4）应具有登录失败处理功 能，如:结束会话、限制非 法登录次数，当登录连接 超时，自动退出。 自主 访问 控制 1）应依据安全策略控制主

16、 体对客体得访问； 2）自主访问控制得覆盖范 围应包括与信息安全直 接相关得主体、客体及它 们之间得操作； 3）自主访问控制得粒度应 达到主体为用户级，客体 得操作; 3 ）自主访问控制得粒度应达到主体为用户 为文件、 级客体为文件、 库表级； 4）应由授权主体设置对客 体访问与操作得权限； 5）应严格限制默认用户得 访问权限。 4 ）应由授权主体设置对客体访问与操作得 权限； 三级等保 用户进行身份标识与鉴别； 3）应对同一用户采用两种或两种以上组合 得鉴别技术实现用户身份鉴别； 4 ）操作系统与数据库管理系统用户得身份 鉴别信息应具有不易被冒用得特点，例 如口令长度、复杂性与走期得更新等；

17、 5 ）应具有登录失败处理功能，如:结束会话、 限制非法登录次数，当登录连接超时，自 动退出； 6）应具有鉴别警示功能； 7 ）重要得主机系统应对与之相连得服务器 或终端设备进行身份标识与鉴别。 1）应依据安全策略控制主体对客体得访问; 2 ）自主访问控制得覆盖范围应包括与信息 安全直接相关得主体、客体及它们之间 5 ）权限分离应采用最小授权原则，分别授予 不同用户各自为完成自己承担任务所需 技术要求项 二级等保 三级等保 得最小权限,并在她们之间形成相互制约 得关系； 6）应实现操作系统与数据库管理系统特权 用户得权限分离; 强制 访问 控制 7 ）应严格限制默认用户得访问权限。 1）应对重

18、要信息资源与访问重要信息资源 得所有主体设置敏感标记； 2 ）强制访问控制得覆盖范围应包括与重要 信息资源直接相关得所有主体、客体及 它们之间彳导操作; 3 ）强制访问控制得粒度应达到主体为用户 级,客体为文件、 库表级。 安全 审计 1）安全审计应覆盖到服务 器上得每个操作系统用 户与数据 库用户; 2）安全审计应记录系统内 重要得安全相关事件，包 括重要用户行为与重要 系统命令得使用等； 3）安全相关事件得记录应 包括日期与时间、类型、 主体标识、客体标识、事 件得结果等； 4）审计记录应受到保护避 免受到未预期得删除、修 改或覆盖等。 1 ）安全审计应覆盖到服务器与客户端上得 每个操作系

19、统用户与数据库用户； 2）安全审计应记录系统内重要得安全相关 事件,包括重要用户行为、系统资源得异 常使用与重要系统命令得使用； 3）安全相关事件得记录应包括日期与时 间、类型、主体标识、客体标识、事彳牛 得结果等； 安全审计应可以根据记录i 技术要求项 二级般 三级等保 并生成审计报表； 5 ）安全审计应可以对特走事件，提供指走方 式得实时报警； 6 ）审计进程应受到保护避免受到未预期得 中断； 7 ）审计记录应受到保护避免受到未预期得 删除、修改或覆盖等。 系统 保护 1）系统应提供在管理维护 状态中运行得能力，管理 维护状态只能被系统管 理员使用。 1）系统因故障或其她原因中断后，应能够

20、 以手动或自动方式恢复运行。 剩余 信息 保护 1）应保证操作系统与数据 库管理系统用户得鉴别 信息所在得存储空间，被 释放或再分配给其她用 户前得到完全清除，无论 这些信息就是存放在硬 盘上还就是在内存中； 2 ）应确保系统内得文件、目 录与数据库记录等资源 所在得存储空间，被释放 或重新分配给其她用户 前得到完全清除。 1）应保证操作糸统与数据库管理糸统用户 得鉴别信息所在得存储空间，被释放或 再分配给其她用户前得到完全清除，无论 这些信息就是存放在硬盘上还就是在内 存中； 2）应确保系统内得文件、目录与数据库记 录等资源所在彳歸储空间,被释放或重新 分配给其她用户刖得到完全清除。 入侵

21、防范 无 1）应进行主机运行监视，包括监视主机得 CPU、硬盘、内存、网络等资源得使用 情况； 2）应设定资源报警域值，以便在资源使用超 技术要求项 二级般 三级等保 过规定数值时发出报警； 3 ）应进行特定进程监控，限制操作人员运行 非法进程； 4 ）应进行主机账户监控，限制对重要账户得 添加与更改； 5 ）应检测各种已知得入侵行为，记录入侵 得源IP、攻击得类型、攻击得目得、攻 击得时间，并在发生严重入侵事件时提供 报警; 6 ）应能够检测重要程序完整性受到破坏，并 在检测到完整性错误时采取必要得恢复 措施。 恶意 代码 防范 1）服务器与重要终端设备 （包括移动设备）应安装实 时检测与查

22、杀恶意代码 得软件产品； 2）主机系统防恶意代码产 品应具有与网络防恶意 代码产品不同得恶意代 码库； 1）服务器与终端设备（包括移动设备）均应 安装实时检测与查杀恶意代码得软件产 品； 2 ）主机系统防恶忌代码产品应具有与网络 防恶意代码产品不同得恶忌代码库； 3）应支持恶意代码防范得统一管理。 资源 控制 1）应限制单个用户得会话 数呈； 2）应通过设定终端接入方 式、网络地址范围等条件 限制终端橐 1）应限制单个用户得多重并发会话； 2）应对最大并发会话连接数进行限制； 3 ）应对一个时间段内可能得并发会话连接 数进行限制； 技术要求项 二级般 三级等保 4）应通过设走终端接入方式、网络

23、地址范 围等条件限制终端登录； 5 ）应根据安全策略设胃晉录终端得操作超 时锁走与鉴别失败锁定，并规走解锁或 终止方式； 6）应禁止同一用户账号在同一时间内并发 登录； 7 ）应限制单个用户对系统资源得最大或最 小使用限度； 8 ）当系统得服务水平降低到预先规定得最 小值时，应能检测与报警； 9 ）应根据安全策略设定主体得服务优先级， 根据优先级分配系统资源,保证优先级低 得主体处理能力不会影响到优先级高得 主体得处理能力。 应用 身份 鉴别 1）应用系统用户得身份标 舷具有唯一性 2）应对登录得用户进行身 份标识与鉴S!l； 3）系统用户身份鉴别信息 应具有不易被冒用得特 点，例如口令长度、

24、复杂 性与定期得更新等； 4）应具有登录失败处理功 能，如：结束会话、限制 非法登录次数，当登录连 接超时自动退出。 1）系统用户得身份标识应具有唯一性； 2 ）应对登录得用户进行身份标识与鉴别； 3 ）系统用户得身份鉴别信息应具有不易被 冒用得特点，例如口令长度、复杂性与 走期得更新等； 4）应对同一用户采用两种或两种以上组合 得鉴别技术实现用户身份鉴别； 5 ）应具有登录失败处理功能，如:结束会话、 技术要求项 二级等保 三级等保 限制非法登录次数，当登录连接超时，自 动退出； 6）应具有鉴别警示功能； 7 ）应用系统应及时清除存储空间中动态使 用得鉴别信息。 访问 控制 1）应依据安全策

25、略控制用 户对客体得访问； 2）自主访问控制得覆盖范 围应包括与信息安全直 接相关得主体、客体及它 1）应依据安全策略控制用户对客体得访问; 2 ）自主访问控制得覆盖范围应包括与信息 安全直接相关得主体、客体及它们之间 们之间得操作; 彳頤乍; 3）自主访问控制得粒度应 达到主体为用户级，客体 3 ）自主访问控制得粒度应达到主体为用户 为文件、 4）应由授权主体设置用户 对系统功能操作与对数 据访问得权限; 5 ）应实现应用系统特权用 户得权限分离，例如将管 理与审计得权限分配给 级,客体为文件. 库表级; 4 ）应由授权主体设置用户对系统功能操作 与对数据访问得权限； 5 ）应实现应用系统特

26、权用户得权限分离，例 如将管理与审计得权限分配给不同得应 不同得应用系统用户； 6）权限分离应采用最小授 权原则，分别授予不同用 户各自为完成自己承担 任务所需得最小权限，并 在它们之间形成相互制 约得关系； 7）应严格限制默认用户得 访问权限。 用系统用户； 6 ）权限分离应采用最小授权原则，分别授予 不同用户各自为完成自己承担任务所需 得最小权限,并在它们之间形成相互制约 得关系； 7 ）应严格限制默认用户得访问权限。 安全1）安全审计应覆盖到应用1）安全审计应覆盖到应用系统得每个用 审计系统得每个用户； 技术要求项 二级般 三级等保 2）安全审计应记录应用系 统重要得安全相关事件， 包括

27、重要用户行为与重 要系纟砌舔执行等； 3）安全相关事件得记录应 包括日期与时间、类型、 主体标识、客体标识、事 件导结果等； 4）审计记录应受到保护避 免受到未预期得删除、修 改或覆盖等。 户； 2 ）安全审计应记录应用系统重要得安全相 关事件，包括重要用户行为、系统资源 得异常使用弓重要系统功能得抑亍等； 3）安全相关事件得记录应包括日期与时 间、类型、主体标识、客体标识、事件 得结果等； 4）安全审计应可以根据记录数据进行分 析，并生成审计报表； 5 ）安全审计应可以对特走事件，提供指走方 式得实时报警； 6 ）审计进程应受到保护避免受到未预期得 中断； 7 ）审计记录应受到保护避免受到未

28、预期得 删除、修改或覆盖等。 剩余 信息 保护 1）应保证用户得鉴别信息 所在得存储空间,被释放 或再分配给其她用户前 得到完全清除，无论这些 佶息就是存放在硬盘上 还就是在内存中； 2 ）应确保系统内得文件、目 录与数据库记录等资源 所在得存储空间，被释放 或重新分配给其她用户 前得到完全清除。 1）应保证用户得鉴别信息所在得存储空间， 被释放或再分配给其她用户刖得到完全 清除,无论这些信息就是存放在硬盘上还 就是在内存中； 2）应确保系统内得文件、目录与数据库记 录等资源所在得存储空间，被释放或重 新分配给具她用户前得到完全清除。 技术要求项 二级般 三级等保 通信 完整 性 1）通信双方

29、应约走单向得 校验码算法，计算通信数 据报文得校验码,在进行 通信时，双方根据校验码 判断对方报文得有效性。 1）通信双方应约走密码算法,计算通信数据 报文得报文验证码,在逬行通信时，双方 根据校验码判断对方报文得有效性。 抗抵 赖 无 1）应具有在请求得情况下为数据原发者或 接收者提供数据原发证据得功能； 2 ）应具有在请求得情况下为数据原发者或 接收者提供数据接收证据得功能。 通信 保密 性 1）当通信双方中得一方在 段时间内未作任何响 应,另一方应能够自动结 束会话； 2）在通信双方建立连接之 前,利用密码技术进行会 话初始隔正； 3）在通信过程中，应对敏感 信息字段进行加密。 1）当通

30、信双方中得一方在一段时间内未作 任佢I响应,另一方应能够自动结束会话； 2 ）在通信双方建立连接之前,利用密码技术 进行会话初始化验证； 3 ）在通信过程中，应对整个报文或会话过程 进行加密； 4）应选用符合国家有关部门要求得密码算 法。 软件 容错 1）应对通过人机接口输入 或通过通信接口输入得 数据进行有效性检验 2）应对通过人机接口方式 进行得操作提供回 退功能,即允许按照操 作得序列逬行回退； 3）在故障发生时，应继续提 供一部分功能，确保能够 实施必要得措施。 1）应对通过人机接口输入或通过通信接口 输入得数据进行有效性检验； 2 ）应对通过人机接口方式进行得操作提供 回退功能，即允

31、许按照操作得序列逬 行回退； 3）应有状态监测能力,当故障发生时，能实 技术要求项 二级般 三级等保 时检测到故障状态并报警； 4）应有自动保护能力,当故障发生时，自动 彳呆护当前所有状态。 资源 控制 1）应限制单个用户得多重 并发知； 2）应对应用系统得最大并 发会话连接数进行限制； 3）应对一个时间段内可能 得并发会话连接数逬行 限制。 1）应限制单个用户得多重并发会话； 2 ）应对应用系统得最大并发会话连接数进 行限制； 3 ）应对一个时间段内可能得并发会话连接 数进行限制； 4 ）应根据安全策略设胃晉录终端得操作超 时锁走与鉴别失败锁定，并规定解锁或 终止方式； 5）应禁止同一用户账

32、号在同一时间内并发 登录； 6 ）应对一个访问用户或一个请求进程占用 得资源分配最大限额与最小限额； 7 ）应根据安全属性（用户身份、访问地址、 时间范围等）允许或拒绝用户建立会话 连接； 8 ）当系统得服务水平降低到预先规定得最 小值时，应能检测与报警； 9 ）应根据安全策略设定主体得服务优先级， 根据优先级分配系统资源,保证优先级 低得主体处理能力不会影响到优先级高 技术要求项 二级般 三级等保 得主体得处理能力。 代码 安全 1）应对应用程序代码进行 恶意代码扫描； 2）应对应用程序代码逬行 安全脆弱性分析。 1）应制定应用程序代码编写安全规范，要求 开发人员参照规范编写代码； 2 ）应

33、对应用程序代码进行代码复审,识别可 能存在得恶意代码； 3 ）应对应用程序代码进行安全脆弱性分析； 4）应对应用程序代码进行穿透性测试。 数据 完整 性 1）应能够检测到系统管理 数据、鉴别信息与用户数 据在传输过程中完整性 受到破坏； 2）应能够检测到系统管理 数据、鉴别信息与用户数 据在存储过程中完整性 受到破坏。 1）应能够检测到系统管理数据、鉴别信息 与用户数据在传输过程中元整性受到破 坏，并在检测到完整性错误时采取必要得 恢复措施； 2）应能够检测到系统管理数据、鉴别信息 与用户数据在存储过程中完整性受到破 坏,并在检测到完整性错误时采取必要 得恢复措施； 3 ）应能够检测到重要程序

34、得完整性受到破 坏,并在检测到完整性错误时采取必要 得恢复措施。 数据 保密 性 1）网络设备、操作系统、数 据库管理系统与应用系 统得鉴别信息、敏感得系 统管理数据与敏感得用 户数据应采用加密或其 她有效措施实现传输保 1）网络设备、操作系统、数据库管理系统 与应用系统得鉴别信息、敏感得系统管 理数据与敏感得用户数据应采用加密或 技术要求项 二级般 三级等保 密性； 2 ）网络设备、操作系统、数 据库管理系统与应用系 统得鉴别信息、敏感得系 统管理数据与敏感得用 户数据应采用加密或其 她保护措施实现存储保 密性 3）当使用便携式与移动式 设备时，应加密或者采用 可移动磁盘存储敏感信 息 其她

35、有效措施实现传输保密性； 2 ）网络设备、操作系统、数据库管理系统 与应用系统得鉴别信息、敏感得系统管 理数据与敏感得用户数据应采用加密或 其她保护措施实现存储保密性； 3 ）当使用便携式与移动式设备时，应加密或 者采用可移动磁盘存储敏感信息； 4 ）用于持疋业勢通信得通信信道应符合相 关得国家规走。 数据 备份 与恢 复 1）应提供自动机制对重要 信息进行有选择得数据 备份； 2）应提供恢复重要佶息得 功能； 3）应提供重要网络设备、通 信线路与服务器得硬件 冗余 1 ）应提供自动机制对重要信息进行本地与 异地备份； 2）应提供恢复重要信息得功能； 3）应提供重要网络设备、通信线路与服务 器

36、得硬件冗余； 4 ）应提供重要业务系统得本地系统级热备 份。 二、管理要求 管理要求顷 二级無呆 三级等保 安全 机构 冈位 设置 1）应设立信息安全管理工 作得职能部门，设立安全 主管人、安全管理各个方 面得负责人岗位,走义各 负责人得职责； 2）应设立系统管理人员、网 络管理人员、安全管理人 员岗位，定义各个工作岗 1）应设立信息安全管理工作得职能部门，设 立安全主管人、安全管理各个方面得负 责人岗位，走义各负责人得职责； 2）应设立系统管理人员、网络管理人员、 安全管理人员岗位，定义各个工作岗位 得职责； 3 ）应成立指导与管理信息安全工作得委员 会或领导小组，其最高领导应由单位主管 管

37、理要求项 二级般 三级等保 位得职责； 3）应制走文件明确安全管 理机构各个部门与岗位 得职责、分工与技能要 求。 领惡任遞权； 4 ）应制走文件明确安全管理机构各个部门 与岗位得职责、分工与技能要求。 人员 配备 1）应配备一走数量得系统 管理人员、网络管理人 员、安全管理人员等； 2）安全管理人员不能兼任 网络管理员、系统管理 员、数据库管理员等。 1）应配备一走数臺得系统管理人员、网络 管理人员、安全管理人员等； 2 ）应配备专职安全管理人员，不可兼任； 3）关键岗位应走期轮岗。 授权 与审 批 1）应授权审批部门及批准 人，对关键活动进行审批； 2）应列表说明须审批得事 项、审批部门与

38、可批准 人。 1）应授权审批部门及批准人对关键活动逬 行审批； 2）应列表说明须审批得事项、审批部门与 可批准人； 3）应建立各申批事项得申批程序，按照审批 程序执行审批过程； 4）应建立关键活动得双重审批制度； 5）不再适用得权限应及时取消授权； 6）应走期审查、更新需授权与审批得项目； 7）应记录授权过程并保存授权文档。 沟通 与合 作 1）应加强各类管理人员与 组织内部机构之间得合 作与沟通,走期或不走期 召开协调会议，共同协助 处理信息安全问题； 2）信息安全职能部门应走 期或不走期召集相关部 门与人员召开安全工作 会议，协调安全工作得实 施； 3）应加强与兄弟单位、公安 机关、电信公

39、司得合作与 1）应加强各类管理人员与组织内部机构之 间得合作与沟通，走期或不走期召开协调 会议，共同协助处理信息安全问题； 2 ）信息安全职能部门应走期或不定期召集 相关部门与人员召开安全工作会议胁调 安全工作得实施； 3 ）信息安全领导小组或者安全管理委员会 走期召开例会，对信息安全工作进行指 导、决策； 4）应加强与兄弟单位、公安机关、电信公 司得合作弓沟通，以便在发生安全事件时 能够得到及时得支持； 管理要求项 二级般 三级等保 沟通，以便在发生安全事 件时能够得到及时得支 持。 5）应加强与供应商、业界专家、专业得安 全公司、安全组织得合作与沟通,获取信 息安全得最新发展动态，当发生紧

40、急事件 得时候能够及时得到支持与帮助； 6）应文件说明外联单位、合作内容与联系 方式； 7 ）聘请信息安全专家，作为常年得安全顾 问，指导信息安全建设，参与安全规划与 安全评审等。 审核 与检 查 1）应由安全管理人员走期 进行安全检查，检查内容 包括用户账号情况、系统 漏洞情况、系统审计情况 等。 1）应由安全管理人员定期逬行安全检杳，检 查内容包括用户账号情况、系统漏洞情 况、系统审计情况等； 2 ）应由安全管理部门组织相关人员走期进 行全面安全检查，检查内容包括现有安全 技术措施得有效性、安全配置与安全策 略得一致性、安全管理制度得执行情况 等； 3 ）应由安全管理部门组织相关人员定期分

41、 析、评审异常行为得审计记录，发现可疑 行为，形成审计分析报告，并采取必要得 应对措施； 4 ）应制定安全检查表格实施安全检查，汇总 安全检查数据，形成安全检查报告，并对 安全检查结果逬行通报； 5 ）应制走安全审核与安全检查制度规范安 全审核与安全检查工作，走期按照程序逬 行安全审核与安全检查活动。 安全 制度 管理 制度 1）应制走信息安全工作得 总体方针、政策性文件与 安全策略等，说明机构安 全工作得总体目标、范 围、方针、原则、责任等； 2）应对安全管理活动中重 1）应制走信息安全工作得总体方针、政策 性文件与安全策略等，说明机构安全工作 得总体目标、范围、方针、原则、责任 等； 2

42、）应对安全管理活动中得各类管理内容建 立安全管理制度，以规范安全管理活动， 管理要求项 二级般 三级等保 要得管理内容建立安全 管理制度,以规范安全管 理活动，约束人员得行为 方式； 3）应对要求管理人员或操 作人员执行得重要管理 操作,建立操作规程，以规 范操作行为，防止操作失 误。 约束人员得行为方式； 3 ）应对要求管理人员或操作人员执行得日 常管理操作,建立操作规程，以规范操作 行为舫止操作失误； 4）应形成由安全政策、安全策略、管理制 度、操作规程等构成得全面得信息安全 管理制度体系； 5 ）应由安全管理职能部门定期组织相关部 门与相关人员对安全管理制度体系得合 理性与适用性进行审走

43、。 制定 与发 布 1）应在信息安全职能部门 得总体负责下，组织相关 人员制走； 2）应保证安全管理制度具 有统一得格式风格，并进 行版本控制； 3）应组织相关人员对制走 得安全管理进行论证与 申疋， 4）安全管理制度应经过管 理层签发后按照一走得 程序以文件形式发布。 1）应在信息安全领导小组得负责下,组织相 关人员制定； 2 ）应保证安全管理制度具有统一得格式风 格，并进行版本控制； 3 ）应组织相关人员对制走得安全管理迸行 论证与申疋； 4 ）安全管理制度应经过管理层签发后按照 走得程序以文件形式发布； 5 ）安全管理制度应注明发布范围，并对收发 文进行登记。 评审 与修 订 1）应疋期

44、对安全管理制度 进行评审与修订,对存在 不足或需要改逬得安全 管理制度逬行修订。 1 ）应走期对安全管理制度逬行评申与修订， 对存在不足或需要改进得安全管理制度 进行修订； 2）当发生重大安全事故、出现新得安全漏 洞以及技术基础结构发生变更时,应对安 全管理制度进行检查、审定与修订； 3 ）每个制度文档应有相应负责人或负责部 门，负责对明确需要修订得制度文档得维 护。 人员 安全 人员 录用 1）应保证被录用人具备基 本得专业技术水平与安 1）应保证被录用人具备基本得专业技术水 平与安全管理知识； 管理要求项 二级般 三级等保 全管理知识； 2）应对被录用人得身份、背 景、专业资格与资质等进

45、行申查； 3）应对被录用人所具备得 技术技能进行考核； 4）应对被录用人说明其角 色与职责； 5）应签署保密协议。 2 ）应对被录用人得身份、背景、专业资格 与资质等逬行审查； 3 ）应对被录用人所具备得技术技能进行考 核； 4）应对被录用人说明具角色与职责； 5）应签署保密协议； 6 ）从事关键岗位得人员应从内部人员选拔， 并走期逬行 言用审查； 7）从事关键岗位得人员应签署岗位安全协 议。 人员 离岗 1）应立即终止由于各种原 因即将离岗得员工得所 有访问权B艮 2）应取回各种身份证件、钥 匙、徽章等以及机构提供 得软硬件设备； 3）应经机构人事部门办理 严格得调离手续，并承诺 调离后得保

46、密义务后方 口离卄。 1）应立即终止由于各种原因即将离岗得员 工得所有访问权限； 2 ）应取回各种身份证件、钥匙、徽章等以 及机构提供得软硬件设备； 3 ）应经机构人事部门办理严格得调离手 续,并承诺调离后得保密义务后方可离 开。 人员 考核 1）应疋期对各个冈位得人 员进行安全技能及安全 认知得考核； 2）应对关键岗位得人员进 行全面、严格得安全审 查； 3）应对违背安全策略与规 走得人员逬行惩戒 1）应对所有人员逬行全面、严格得安全审 查； 2 ）应疋期对各个岗位得人员进行安全技能 及安全认知得考核； 3）应对考核结果进行记录并保存； 4 ）应对违背安全策略与规定得人员进行惩 戒。 安全

47、意识 教育 与培 训 1）应对各类人员进行安全 意识教育； 2）应告知人员相关得安全 责任与惩瞬施； 3）应制走安全教育与培训 1）应对各类人员迸行安全意识教育； 2）应告知人员相关得安全责任与惩戒措 施； 3 ）应制走安全教育与培训计划，对信息安全 基础知识、岗位操作规程等逬行培训； 管理要求项 二级般 三级等保 计划，对信息安全基础知 识、岗位操作规程等进行 培训； 4）应对安全教育与培训得 情况与结果进行记录并 归档保存。 4 ）应针对不同岗位制走不同培训计划； 5 ）应对安全教育与培训得情况与结果进行 记录并归档保存。 第三 方人 员访 问管 理 1）第二方人员应在访问刖 与机构签署安

48、全责任合 同书或保密协议； 2）对重要区域得访问，必须 经过有关负责人得批准, 并由专人陪同或监督下 进行,并记录备案。 1）第二方人员应在访问刖与机构签署安全 责任合同书或保密协议； 2 ）对重要区域得访问,须提出书面申请，批 准后由专人全程陪同或监督，并记录备 案； 3）对第二方人员允许访问得区域、糸统、 设备、信息等内容应迸行书面得规定，并 按照规定执行。 系统 建设 系统 定级 1）应明确信息系统划分得 方法； 2）应确走信息系统得安全 等级； 3）应以书面得形式走义确 走了安全等级得信息糸 统得属性，包括使命、业 务、网络、硬件、软件、 数据、边界、人员等； 4）应确保信息系统得定级

49、 结果经过相关部门得批 准。 1）应明确信息系统划分得方法； 2）应确定信息系统得安全等级； 3）应以书面得形式走义确定了安全等级得 信息系统得属性，包括使命、业勢、网络、 硬件、软件、数据、边界、人员等； 4 ）应以书面得形式说明确走一个信息系统 为某个安全等级得方法与理由； 5 ）应组织相关部门与有关安全技术专家对 信息系统得走级结果得合理性与正确性 进行论证与审走； 6 ）应确保信息系统得走级结果经过相关部 门得批准。 安全 方案 设计 1）应根据系统得安全级别 选择基本安全措施，依据 风险分析得结果补充与 调整安全措施； 2）应以书面得形式描述对 系统得安全保护要求与 策略、安全措施等

50、内容， 1）应根据系统得安全级别选择基本安全措 施,依据风险分析得结果补充与调整安 全措施； 2 ）应指走与授权专门得部门对信息系统得 安全建设进行总体规划，制走近期与远期 得安全建设工作计划； 3 ）应根据信息系统得等级划分情况，统一 管理要求项 二级般 三级等保 形成系统得安全方案； 3）应对安全方案进行细化， 形成能指导安全系统建 设与安全产品采购得详 细设计方案； 4）应组织相关部门与有关 安全技术专家对安全设 计方案得合理性与正确 性进行论证与审定； 5）应确保安全设计方案必 须经过批准，才能正式实 施。 考虑安全保障体系得总体安全策略、安 全技术框架、安全管理策略、总体建设 规划与

51、详细设计方案，并形成配套文件； 4 ）应组织相关部门与有关安全技术专家对 总体安全策略、安全技术框架、安全管 理策略、总体建设规划、详细设计方案 等相关配套文件得合理性与正确性进行 论证与审走； 5）应确保总体安全策略、安全技术框架、 安全管理策略、总体建设规划、详细设 计方案等文件必须经过批准才能正式实 施； 6）应根据安全测评、安全评估得结果定期 调整与修订总体安全策略、安全技术框 架、安全管理策略、总体建设规划、详 细设计方案等相关配套文件。 产品 采购 1）应确保安全产品得使用 符合国家得有关规走； 2）应确保密码产品得使用 符合国家密码主管部门 得要求； 3）应指走或授权专门得部 门

52、负责产品得采购。 1）应确保安全产品得使用符合国家得有关 规走； 2）应确保密码产品得使用符合国家密码主 管部门得要求； 3 ）应指定或授权专门得部门负责产品得采 购； 4 ）应制定产品采购方面得管理制度明确说 明采购过程得控制方法与人员行为准则； 5 ）应预先对产品进行选型测试，确走产品 得候选范围，并走期审走与更新候选产 品名单。 自行 软件 开发 1）应确保开发环境与实际 运行环境物理分开； 2）应确保提供软件设计得 相关文档与使用指南； 3）应确保系统开发文档由 专人负责保管，系统开发 1）应确保开发环境与实际运行环境物理分 开； 2 ）应确保系统开发文档由专人负责保管，系 统开发文档

53、得使用受到控制； 3 ）应制走开发方面得管理制度明确说明开 发过程得控制方法与人员行为准则； 管理要求项 二级般 三级等保 文档得使用受到控制。 4 ）应确保开发人员与测试人员得分离，测试 数据与测试结果受到控制； 5 ）应确保提供软件设计得相关文档与使用 指南； 6）应确保对程序资源库得修改、更新、发 布进行授权与批准。 外包 软件 开发 1）应与软件开发单位签订 协议，明确知识产权得归 属与安全方面彳超求； 2）应根据协议得要求检测 软件腿； 3）应在软件安装之前检测 软件包中可能存在得恶 意代码； 4）应确保提供软件设计得 相关文档与使用指南。 1）应与软件开发单位签订协议，明确知识 产

54、权得归属与安全方面得要求； 2）应根据协议得要求检测软件质呈； 3 ）应在软件安装之前检测软件包中可能存 在得恶意代码； 4 ）应要求开发单位提供技术培训与服务承 诺； 5 ）应要求开发单位提供软件设计得相关文 档与使用指南。 工程 实施 1）应与工程实施单位签订 与安全相关得协议，约束 工程实施单位得行为； 2）应指走或授权专门得人 员或部门负责工程实施 过程得管圖 3）应制走详细得工程实施 方案控制实施过程。 1）应与工程实施单位签订与安全相关得协 议,约束工程实施单位得行为； 2 ）应指走或授权专门得人员或部门负责工 程实施过程得管理； 3 ）应制走详细得工程实施方案控制实施过 程并要求

55、工程实施单位能正式地执行安 全工程过程； 4 ）应制定工程实施方面得管理制度,明确说 明实施过程得控制方法与人员行为准 则。 测试 验收 1）应对系统进行安全性测 试验收； 2）应在测试验收前根据设 计方亲或合同要求等制 订测试验收方案,测试验 收过程中详细记录测试 验收结果,形成测试验收 1）应对系统进行安全性测试验收； 2 ）应在测试验收刖根据设计方案或合同要 求等制订测试验收方案，测试验收过程中 详细记录测试验收结果形成测试验收报 土. 3 ）应委托公正得第二方测试单位对糸统逬 行测试,并出具测试报告； 管理要求项 二级般 三级等保 报告； 3）应组织相关部门与相关 人员对系统测试验收报

56、 告进行申走，没有疑问后 由双方签字。 4 ）应制走系统测试验收方面得管理制度明 确说明系统测试验收得控制方法与人员 行为准则； 5 ）应指走或授权专门得部门负责系统测试 验收得管理,并按照管理制度得要求完成 系统测试验收工作； 6 ）应组织相关部门与相关人员对系统测试 验收报告进行审走,没有疑问后由双方签 字。 系统 交付 1）应明确系统得交接手续， 并按照交接手续完成交 接工作； 2）应由系统建设方完成对 委托建设方得运维技术 人员得培训； 3）应由系统建设方提交系 统建设过程中得文档与 指导用户进行系统运行 鉀得文档； 4）应由系统建设方进行服 务承诺，并提交服务承诺 书,确保对系统运行

57、维护 得支持。 1）应明确系统得交接手续，并按照交接手续 完成交接工作； 2 ）应由系统建设方完成对委托建设方得运 维技术人员得培训； 3）应由系统建设方提交系统建设过程中得 文档与指导用户进行系统运行维护得文 档； 4 ）应由系统建设方进行服务承诺，并提交 服务承诺书，确保对系统运行维护得支 持； 5 ）应制走系统交付方面得管理制度明确说 明系统交付得控制方法与人员行为准则； 6 ）应指走或授权专门得部门负责系统交付 得管理工作,并按照管理制度得要求完成 系统交付工作。 系统 备案 无 1）应将系统疋级、系统属性等材料指走专 门得人员或部门负责管理，并控制这些 材料得使用； 2 ）应将系统等

58、级与系统属性等资料报系统 主管部门备案； 3）应将系统等级、系统属性、等级划分理 由及具她要求得备案材料报相应公安机 关备氯 安全 无 1）应在糸统投入运行刖进行安全测评，测评 管理要求项 二级般 三级等保 测评 后符合相应等级保护标准要求得才能投 入使用； 2 ）应在糸统运行过程中走期对糸统逬行安 全测评，发现不符合相应等级保护标准要 求得及时整改； 3 ）应在糸统发生变更时及时对糸统逬行安 全测评，发现级别发生变化得及时调整级 别并进行安全改造;发现不符合相应等级 彳影标准要求得及时整改； 4）应选择具有国家相关技术资质与安全资 质得测评单位进行安全测评； 5 ）应与测评单位签订与安全相关

59、得协议，约 束测评单位得行为； 6 ）应指走或授权专门得人员或部门负责安 全测评得管理。 安全 服勢 商选 择 1）应确保安全服务商得选 择符合国家得有关规定。 1）应确保安全服勢商得选择符合国家得有 关规定。 系统 环境 管理 1）应对机房供配电、空调、 温湿度控制等设施指走 专人或专门得部门走期 进行维护1; 2）应配备机房安全管理人 员,对机房得岀入、服务 器得开机或关机等工作 进行WS； 3）应建立机房安全管理制 度，对有关机房物理访问， 物品带逬、带出机房与机 房坏境安全等方面得管 理作出规走； 4）应对机房来访人员实行 1）应对机房供配电、空调、温湿度控制等 设施指走专人或专门得部

60、门定期进行维 护管理； 2）应配备机房安全管理人员，对机房得出 入、服勢器得开机或关机等工作进行管 理； 3 ）应建立机房安全管理制度,对有关机房物 理访问，物品带进、带出机房与机房环境 安全等方面得管理作出规走； 4 ）加强对办公环境得保密性管理包括如工 作人员调离办公室应立即交还该办公室 钥匙与不在办公区接待来访人员等； 5 ）应有指走得部门负责机房安全，并配置电 子门禁系统，对机房来访人员实行登记 管理要求项 二级般 三级等保 登记、备案管理,同时限 制来访人员得活动范围; 5）加强对办公环境得保密 性管理，包括如工作人员 调离办公至应AZ即乂还 记录与电子记录双重备亲管理； 6 ）应对