等级保护差距分析.docxVIP

具体事项 详细要求 系统现状 备注 技 术 要 求 物 理 安 全 物理位置 的选择 （G2） 机房和办公场地应选择在具有防震、防 风和防雨等能力的建筑内。 物理访问 控 制 （G1/G2） 3）应安排专人负责，控制、鉴别和记录 进入的人员； b）需进入机房的来访人员应经过申请 和审批流程，并限制和监控其活动范 围. 防盗窃和 防破坏 （G1/G2） a）应将主要设备放置在机房内； b）应将设备或主要部件进行固定，并 设置明显的不易除去的标记。 c）应将通信线缆铺设在隐蔽处，可铺 设在地下或管道中； d）应对介质分类标识，存储在介质库 或档案室中； e）主机房应安装必要的防盗报警设 施。 防雷击 (G1/G2) a）机房建筑应设置避雷装置。 b）机房应设置交流电源地线。 防 火 (G1/G2) R机房应设置灭火设备。 b）火灾自动报警系统 防水和防 潮（G1/G2） a）水管安装，不得穿过机房屋顶和活 动地板下； b）应对穿过机房墙壁和楼板的水管增 加必要的保护措施； b）应采取措施防止雨水通过机房窗 户、屋顶和墙壁渗透。 电 静2) G 防— 关键设备应采用必要的接地防静电措 施 温湿度控 制（G1/G2） a）机房应设置必要的温、湿度控制设 施，使机房温、湿度的变化在设备运行 所允许的范围之内。 b）机房应设置温、湿度自动调节设施， 电力供应 （A1/A2） a）应在机房供电线路上配置稳压器和 过电压防护设备。 b）应提供短期的备用电力供应，至少 满足关键设备在断电情况下的正常运 行要求。 电磁防护 （S2） 电源线和通信线缆应隔离铺设，避免互 相干扰。  网 络 安 全 结构安全 （G1/G2） a）应保证关键网络设备的业务处理能 力满足基本业务需要； b）具备冗余空间，满足业务高峰期需 要； C）应保证接入网络和核心网络的带宽 d）带宽满足业务高蜂期需要 e）应绘制与当前运行情况相符的网络 拓扑结构图； f）应根据各部门的工作职能、重要性 和所涉及信息的重要程度等因素，划分 不同的子网或网段，并按照方便管理和 控制的原则为各子网、网段分配地址 段。 访问控制 （G1/G2） a）应在网络边界部署访问控制设备， 启用访问控制功能； b）应能根据会话状态信息为数据流提 供明确的允许/拒绝访问的能力，控制 粒度为网段级。 C）应根据访问控制列表对源地址、目 的地址、源端口、目的端口和协议等进 行检查，以允许/拒绝数据包出入； d）应通过访问控制列表对系统资源实 现允许或拒绝用户访问，控制粒度至少 为用户组。 e）应按用户和系统之间的允许访问规 则，决定允许或拒绝用户对受控系统进 行资源访问，控制粒度为单个用户 f）应限制具有拨号访问权限的用户数 量。 安全审计 （G2） a）应对网络系统中的网络设备运行状 况、网络流量、用户行为等进行日志记 录； b）审计记录应包括事件的日期和时 间、用户、事件类型、事件是否成功及 其他与审计相关的信息。 边界完整 性检查 （S2） 应能够对内部网络中出现的内部用户 未通过准许私自联到外部网络的行为 进行检查。 入侵防范 （G2） 应在网络边界处监视以下攻击行为：端 口扫描、强力攻击、木马后门攻击、拒 绝服务攻击、缓冲区溢出攻击、IP碎片 攻击和网络蠕虫攻击等。 网络设备 防 护 a）应对登录网络设备的用户进行身份 鉴别；  (G1/G2) b）应对网络设备的管理员登录地址进 行限制； c）网络设备用户的标识应唯一； d）身份鉴别信息应具有不易被冒用的 特点，口令应有复杂度要求并定期更 换； e）应具有登录失败处理功能，可采取结 束会话、限制非法登录次数和当网络登 录连接超时自动退出等措施； f）当对网络设备进行远程管理时，应采 取必要措施防止鉴别信息在网络传输 过程中被窃听。 主 机 安 全 身份鉴别 （S1/S2） a）应对登录操作系统和数据库系统的 用户进行身份标识和鉴别； b）操作系统和数据库系统管理用户身 份标识应具有不易被冒用的特点，口令 应有复杂度要求并定期更换； c）应启用登录失败处理功能，可采取结 束会话、限制非法登录次数和自动退出 等措施； d）当对服务器进行远程管理时，应采取 必要措施，防止鉴别信息在网络传输过 程中被窃听； e）应为操作系统和数据库系统的不同 用户分配不同的用户名，确保用户名具 有唯一性。 访问控制 （S1/S2） a）应启用访问控制功能，依据安全策略 控制用户对资源的访问； b）应实现操作系统和数据库系统特权 用户的权限分离； C）应限制默认帐户的访问权限，重命名 系统默认帐户，修改这些帐户的默认口 令； d）应及时删除多余的、过期的帐户，避 免共享帐户的存在。 安全审计 （G2） a）审计范围应覆盖到服务器上的每个 操作系统用户和数据库用户；