信息系统安全等级保护基本要求-二级.docxVIP

等保第二级要求： 技术要求 物理安全 物理位置选择（ G2 ） 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 物理访问控制（ G2 ） 机房出入口应安排专人值守，控制、鉴别和记录进入的人员 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围 防盗窃和防破坏 应将主要设备放置在机房内 应将设备或主要部件进行固定，并设置明显的不易除去的标记 应将通信线缆铺设在隐藏处，可铺设在地下或管道中 应对介质分类标识，存储在介质库或档案室中 主机房应安装必要的防盗报警设施 防雷击 机房建筑应设置避雷装置 机房应设置交流电源地线 防火 机房应设置灭火设置和火灾自动报警系统 防水和防潮 a. 水管安装，不得穿过机房 屋顶和活动地板下 b. 采取措施防止 雨水通过 机房窗户、屋顶和墙壁渗透 c. 采取措施防止机房内 水蒸气结露 和 地下积水的转移 与渗透 防静电 关键设备应采用必要的接地防静电措施 温湿度控制 机房应设置 温、湿度 自动调节设施， 使机房 温、湿度的变化在设备 运行所允许的范围之内 电力供应（ A2 ） 在机房供电线路上配置稳压器和过电压防护设备 提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求 电磁防护（ S2） 电源线和通信线缆应隔离铺设，避免互相干扰 网络安全 结构安全（ G2） a. 保证关键网络设备的业务处理能力 具备 冗余空间，满足业务高峰期需要 b. 保证接入网络和核心网络的带宽 满足业务高峰期需要 c. 绘制与当前运行情况相符的 网络拓扑结构图 d. 根据各部门的 工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。 访问控制 a. 在网络边界部署 访问控制设备，启用访问控制功能 b. 根据会话状态信息 为数据流提供明确的 允许 /拒绝 访问的能力，控制粒度为网段级 。 c. 应按用户和系统之间的允许访问规则，决定允许或拒绝 用户对受控系统进行资源访问，控制粒度为 单个用户 。 应限制具有拨号访问权限的用户数量 安全审计 对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录 审计记录应包括 事件的 日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 边界完整性检查（ S2） 能够对内部网络中出现的内部用户 未通过准许 私自联到外部网络的 行为进行检查 。 入侵防范 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、 IP 碎片攻击和网络蠕虫攻击等 。 网络设备防护 对登录网络设备的用户进行身份鉴别 对网络设备的管理员 登录地址进行限制 网络设备用户的标识 应唯一 身份鉴别信息 应具有不易被冒用的特点，口令应有复杂度要求并定期更换 具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措 施 当对网络设备进行远程管理时，采取必要措施防止鉴别信息在传输过程中被窃听 主机安全 身份鉴别（ S2） 对登录操作系统和数据库系统的用户进行身份标识和鉴别 操作系统 和 数据库系统管理 用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施 当对服务器进行远程管理时，采取必要措施，防止鉴别信息在传输过程中被窃听 为操作系统和数据库系统的不同用户，分配不同用户名，确保用户名唯一性 访问控制（ S2） 启用访问控制功能，依据安全策略控制用户对资源的访问 应实现操作系统和数据库系统特权用户的权限分离 c. 限制默认账户的访问权限，重命名系统默认账户，修改 这些账户的默认口令 及时删除多余的、过期的账户，避免共享账户的存在安全审计（ G2） a. 审计范围应覆盖到服务器上每个 操作系统用户 和 数据库用户 b. 审计内容应包括 重要用户行为、系统资源的异常使用和 重要系统命令的使用 相关事件  等系统内重要的安全 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等 应保护审计记录，避免受到未预期的删除、修改或覆盖等 入侵防范 操作系统应遵循最小安装的原则， 仅安装需要的组件和应用程序， 通过设置升级服务器等方式 保持系统补丁及时得到更新。 恶意代码防范（ G2 ） a. 应安装 防恶意代码软件，及时更新防恶意代码软件版本和恶意代码库 支持防恶意代码软件的统一管理 资源控制 a. 通过设定终端接入方式、网络地址范围等条件 b. 根据安全策略 设置登录终端的操作 超时锁定 c. 限制单个用户对系统资源的 最大或最小使用限度  限制终端登录 应用安全 身份鉴别（ S2） a. 提供专用的登录控制模块对登录用