等保技术要求.docVIP

技术测评要求(S1A1G1) 等级保护一级技术类测评控制点(S1A1G1) 类别 序号 测 评 内 容 测评方法 结果记录 符合情况 Y N O 物理安全 物理访问控制 机房出入应安排专人负责，控制、鉴别和记录进入的人员。 访谈，检查。 物理安全负责人，机房值守 人员，机房，机房安全管理制度，值守记录，进入机房的 登记记录，来访人员进入机房的审批记录。 防盗窃和防破坏 应将主要设备放置在机房内。 访谈，检查。 物理安全负责人，机房维护人员，资产管理员，机房设施，设备管理制度文档，通信 线路布线文档，报警设施的安装测试/验收报告。 应将设备或主要部件进行固定，并设置明显的不易除去的标记。 防雷击 机房建筑应设置避雷装置。 访谈，检查。 物理安全负责人，机房维护人员，机房设施（避雷装置，交流电源地线），建筑防雷设 计/验收文档。 防火 机房应设置灭火设备。 访谈，检查。 物理安全负责人，机房值守人员，机房设施，机房安全管理制度，机房防火设计/验收 文档，火灾自动报警系统设计/验收文档。 防水和防潮 应对穿过机房墙壁和楼板的水管增加必要的保护措施； 访谈，检查。 物理安全负责人，机房维护人员，机房设施（上下水装置，除湿装置），建筑防水和防 潮设计/验收文档。 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 防静电 主要设备应采用必要的接地防静电措施。 访谈，检查。 物理安全负责人，机房维护人员，机房设施，防静电设计/验收文档。 温湿度控制 应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。 访谈，检查。 物理安全负责人，机房维护人员，机房设施，温湿度控制设计/验收文档，温湿度记录、 运行记录和维护记录。 电力供应 应在机房供电线路上配置稳压器和过电压防护设备。 访谈，检查。 物理安全负责人，机房维护人员，机房设施（供电线路，稳压器，过电压防护设备，短 期备用电源设备），电力供应安全设计/验收文档，检查和维护记录。 网络安全 结构安全 应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。 访谈，检查，测试。 网络管理员，边界和网络设备，网络拓扑图，网络设计/验收文档。 应保证网络各个部分的带宽满足业务高峰期需要。 应绘制与当前运行情况相符的网络拓扑结构图。 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。 访问控制 应在网络边界部署访问控制设备，启用访问控制功能。 访谈，检查，测试。 安全管理员，边界网络设备。 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 应限制具有拨号访问权限的用户数量。 安全审计 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。 访谈，检查，测试。 审计员，边界和网络设备。 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 边界完整性检查 应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。 访谈，检查，测试。 安全管理员，边界完整性检查设备。 入侵防范 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。 访谈，检查，测试。 安全管理员，网络入侵防范设备。 网络设备防护 应对登录网络设备的用户进行身份鉴别。 访谈，检查，测试。 网络管理员，边界和网络设备。 应对网络设备的管理员登录地址进行限制。 网络设备用户的标识应唯一。 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换。 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。 主机安全 身份鉴别 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。 访谈，检查，测试。 系统管理员，数据库管理员，服务器操作系统、数据库，服务器操作系统文档，数据库管理系统文档。 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换。 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。 访问控制 应启用访问控制功能，依据安全策略控制用户对资源的访问。 访谈，检查。 服务器操作系统、数据库，服务器操作系统文档，数据库管理系统文档。 应实现操作系统和数据库系统特权用户的权限分离。 应严格限制默认帐户的访问权限，重命名系统默认帐