国家二级与行业二级比较.docx

行业标准主要是对国家标准的某些款项进行细化，表现在标准里边是（红色为行业标准补充部分）：6.1　技术要求6.1.1　物理安全6.1.1.1.物理位置的选择（G2）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。1）应具有机房或机房所在建筑物符合当地抗震要求的相关证明；2）机房外墙壁应没有对外的窗户。否则，应采用双层固定窗，并作密封、防水处理。6.1.1.2.物理访问控制（G2）本项要求包括：a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员；1）机房出入应当安排专人负责管理，人员进出记录应至少保存3个月；2）没有门禁系统的机房应当安排专人在机房出入口控制、鉴别和记录人员的进出；3）有门禁系统的机房，应当采用监控设备将机房人员进出情况传输到值班点，对外来人员出入机房进行控制、鉴别和记录。b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。1）来访人员进入机房，应有审批流程，记录带进带出的设备、进出时间、工作内容，并有专人陪同其在限定的范围内工作；2）机房出入口应有视频监控，监控记录至少保存3个月。6.1.1.3.防盗窃和防破坏（G2）b)应将设备或主要部件进行固定，并设置明显的不易除去的标记；1）主要设备应当安装、固定在机柜内或机架上；2）主要设备、机柜、机架应有明显且不易除去的标识，如粘贴标签或铭牌。c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；通信线缆可铺设在管道或线槽、线架中。6.1.1.4.防雷击（G2）本项要求包括：a)机房建筑应设置避雷装置；机房或机房所在大楼，应设计并安装防雷击措施，防雷措施应至少包括避雷针或避雷器等。6.1.1.5.防火（G2）机房应设置灭火设备和火灾自动报警系统。机房的火灾自动报警系统应向当地公安消防部门备案。6.1.1.6.防水和防潮（G2）本项要求包括：a)水管安装，不得穿过机房屋顶和活动地板下；1）与机房设备无关的水管不得穿过机房屋顶和活动地板下；2）机房屋顶和活动地板下铺有水管的，应采取有效防护措施。6.1.1.8.温湿度控制（G2）机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。1）开机时机房温度应控制在22℃-24℃；2）开机时机房相对湿度应控制在40%-55%。6.1.1.9.电力供应（A2）本项要求包括：b)应提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求。1）机房应配备UPS；2）机房应自备或租用发电机；3）在配备备用供电系统的情况下，UPS实际运行供电时间不少于发电机启用时间的2倍；4）备用供电系统供电时间应不小于一个完整交易日6.1.1.10.电磁防护（S2）电源线和通信线缆应隔离铺设，避免互相干扰。电源线和通信线缆应铺设在不同的桥架或管道，避免互相干扰。6.1.2.网络安全6.1.2.1.结构安全（G2）本项要求包括：a)应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；关键网络设备的业务处理能力至少为历史峰值的3倍。 c)应绘制与当前运行情况相符的网络拓扑结构图；应绘制完整的网络拓扑结构图，有相应的网络配置表，包含设备IP地址等主要信息，与当前运行情况相符，并及时更新。6.1.2.2.访问控制（G2）本项要求包括：b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。网络边界访问控制设备应设定过滤规则集。规则集应涵盖对所有出入边界的数据包的处理方式，对于没有明确定义的数据包，应缺省拒绝。d)应限制具有拨号访问权限的用户数量。原则上不应通过互联网对重要信息系统进行远程维护和管理。6.1.2.4.边界完整性检查（S2）应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。能够检查网络用户终端采用双网卡跨接外部网络，或采用电话拨号、ADSL拨号、手机、无线上网卡等无线拨号方式连接其他外部网络。6.1.2.6.网络设备防护（G2）本项要求包括：a)应对登录网络设备的用户进行身份鉴别；应删除默认用户或修改默认用户的口令，根据管理需要开设用户，不得使用缺省口令、空口令、弱口令。d)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；1）口令应符合以下条件：数字、字母、符号混排，无规律的方式；2）管理员用户口令的长度至少为12位；3）管理员用户口令至少每季度更换1次，更新的口令至少5次内不能重复；4）如果设备口令长度不支持12位或其他复杂度要求，口令应使用所支持的最长长度并适当缩小更换周期6.1.3.主机安全6.1.3.1.身份鉴别（S2）本项要求包括：b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；1）口令应符合以下条件：数字、字母、符号混排，无规律的方式；2）口令