等级保护第四级基本要求.doc

等级保护第四级基本要求-技术 需部署的安全设施 其他建议 残留问题 物理安全 物理位置的选择（G3） 本项要求包括： 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内； 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。 一般选择在建筑物2-3层 物理访问控制（G3） 本项要求包括： 机房出入口应安排专人值守并配置电子门禁系统，控制、鉴别和记录进入的人员； 机房安装电子门禁系统（北京天宇飞翔，深圳微耕，瑞士KABA德国KABA Gallenschutz增设保安人员在门外值守通过门禁电子记录或填写出入记录单的形式记录进出人员和时间 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围； 机房内外部临近入口区域安装摄像头保证全部范围覆盖外来人员进入机房应当由专人全程陪同重要资产存放区域红外或感应报警系统。机房交流，接地电阻不应大于4Ω交流工作接地、安全保护接地、防雷接地符合GB5017493《电子计算机机房设计规范》在机房内安装温感或烟感探测器，连接到中灭火方式气体灭火系统，如CO2、FM-200、气溶胶和烟烙尽 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透； 机房顶棚、地面和四周应做好防水处理在机房顶部安装防漏水设施，在机房地面修建地漏、泄水槽和配置排水设备尽可能选择没有水管经过的房间和尽量不靠近建筑物外侧墙壁的地方对机房设备的运行状态、温度、湿度、洁净度、供电的电压、电流、频率、配电系统的开关状态、测漏系统等进行实时监控并记录历史数据防静电工作台、静电消除剂和空调应依据机房面积和设备数量安装，尽量保证设备工作在湿度4560％之间夏季温度控制在23 ±2 ，冬季温度控制在20±2，温度变化率不超过5/h， 并且不得结露。带湿度控制的空调价格比较昂贵，且需要对水管的布置进行考虑。可以使用其他方法增加机房内的湿度，使用湿度表进行监控。有条件的企业可以配备发电机保证较长时间的应急供电。通过将机架外壳接地的方式可以降低外界的电子干扰强、弱电线路尽量原，使用交叉走线，避免平行线；使用铁质线槽可以抵御电磁干扰并有效保护线缆安全 应对关键区域实施电磁屏蔽。 重要设备和磁介质 结构安全（G4） 本项要求包括： 应保证网络设备的业务处理能力具备冗余空间，满足业务高峰期需要； 应保证网络各个部分的带宽满足业务高峰期需要； 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径； 应绘制与当前运行情况相符的网络拓扑结构图； 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段； 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段； 重要网段与其他网段之间采用防火墙或网闸进行隔离。 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。 在多个业务共用的网络设备上配置QOS。 有条件的话可以在主干通信线路上安装专用的带宽管理设备 本项要求包括： 应在网络边界部署访问控制设备，启用访问控制功能； 应不允许数据带通用协议通过； 应根据数据的敏感标记允许或拒绝数据通过； 应不开放远程拨号访问功能。 网络边界部署安全隔离与信息交换系统（网闸）。 现有产品无法根据数据的敏感标记允许或拒绝数据通过。 安全审计（G4） 本项要求包括： 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录； 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； 应能够根据记录数据进行分析，并生成审计报表； 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等； 应定义审计跟踪极限的阈值，当存储空间接近极限时，能采取必要的措施，当存储空间被耗尽时，终止可审计事件的发生； 应根据信息系统的统一安全策略，实现集中审计，时钟保持与时钟服务器同步。 部署专业的日志审计系统，并且所有事件源与审计服务器保持时钟同步。 边界完整性检查（S4） 本项要求包括： 应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断； 部署终端安全管理系统，利用IP/MAC绑定及ARP阻断功能实现非法接入控制。 应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。 部署终端安全管理系统，提供非法外联监控功能。 入侵防范（G4） 本项要求包括： 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等； 当检测到攻击行为时，应记录攻击源IP、攻击类型、攻击目的、攻击时