信息安全等级保护二级测评控制点解读.doc

信息安全等级保护二级测评控制点 一、技术类测评要求 等级保护二级技术类测评控制点(S2A2G2) 类别 序号 测评内容 测评方法 结果记录 符合情况 Y N O 物理安全 物理位置的选择 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 访谈，检查。 物理安全负责人，机房，办公场地，机房场地设计/验收文档。 物理访问控制 机房出入口应安排专人值守，控制、鉴别和记录进入的人员。 访谈，检查。 物理安全负责人，机房值守 人员，机房，机房安全管理制度，值守记录，进入机房的 登记记录，来访人员进入机房的审批记录。 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。 防盗窃和防破坏 应将主要设备放置在机房内。 访谈，检查。 物理安全负责人，机房维护人员，资产管理员，机房设施，设备管理制度文档，通信 线路布线文档，报警设施的安装测试/验收报告。 应将设备或主要部件进行固定，并设置明显的不易除去的标记。 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。 应对介质分类标识，存储在介质库或档案室中。 主机房应安装必要的防盗报警设施。 防雷击 机房建筑应设置避雷装置。 访谈，检查。 物理安全负责人，机房维护人员，机房设施（避雷装置，交流电源地线），建筑防雷设 计/验收文档。 机房应设置交流电源地线。 防火 机房应设置灭火设备和火灾自动报警系统。 访谈，检查。 物理安全负责人，机房值守人员，机房设施，机房安全管理制度，机房防火设计/验收 文档，火灾自动报警系统设计/验收文档。 防水和防潮 水管安装，不得穿过机房屋顶和活动地板下。 访谈，检查。 物理安全负责人，机房维护人员，机房设施（上下水装置，除湿装置），建筑防水和防 潮设计/验收文档。 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 防静电 主要设备应采用必要的接地防静电措施。 访谈，检查。 物理安全负责人，机房维护人员，机房设施，防静电设计/验收文档。 温湿度控制 应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。 访谈，检查。 物理安全负责人，机房维护人员，机房设施，温湿度控制设计/验收文档，温湿度记录、 运行记录和维护记录。 电力供应 应在机房供电线路上配置稳压器和过电压防护设备。 访谈，检查。 物理安全负责人，机房维护人员，机房设施（供电线路，稳压器，过电压防护设备，短 期备用电源设备），电力供应安全设计/验收文档，检查和维护记录。 应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求。 电磁防护 电源线和通信线缆应隔离铺设，避免互相干扰。 访谈，检查。 物理安全负责人，机房维护人员，机房设施，电磁防护设计/验收文档。 网络安全 结构安全 应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。 访谈，检查，测试。 网络管理员，边界和网络设备，网络拓扑图，网络设计/验收文档。 应保证网络各个部分的带宽满足业务高峰期需要。 应绘制与当前运行情况相符的网络拓扑结构图。 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。 访问控制 应在网络边界部署访问控制设备，启用访问控制功能。 访谈，检查，测试。 安全管理员，边界网络设备。 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 应限制具有拨号访问权限的用户数量。 安全审计 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。 访谈，检查，测试。 审计员，边界和网络设备 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 边界完整性检查 应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。 访谈，检查，测试。 安全管理员，边界完整性检查设备 入侵防范 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。 访谈，检查，测试。 安全管理员，网络入侵防范设备 网络设备防护 应对登录