《国家信息安全等级保护制度第三级要求》.pdf

精品文章

《国家信息安全等级保护制度第三级要求》

防雷击（g3）本项要求包括。a）机房建筑应设置避雷装

置;b）应设置防雷保安器，防止感应雷;c）机房应设置交流电源地线。

防火（g3）本项要求包括。a）机房应设置火灾自动消防

系统，能够自动检测火情、自动报警，并自动灭火;b）机房及相关的

工作房间和辅助房应采用具有耐火等级的建筑材料;c）机房应采取区

域隔离防火措施，将重要设备与其他设备隔离开。

防水和防潮（g3）本项要求包括。a）水管安装，不得穿

过机房屋顶和活动地板下;b）应采取措施防止雨水通过机房窗户、屋

顶和墙壁渗透;c）应采取措施防止机房内水蒸气结露和地下积水的转

移与渗透;d）应安装对水敏感的检测仪表或元件，对机房进行防水检

测和报警。

防静电（g3）本项要求包括。a）主要设备应采用必要的

接地防静电措施;b）机房应采用防静电地板。

温湿度控制（g3）机房应设置温、湿度自动调节设施，使

机房温、湿度的变化在设备运行所允许的范围之内。

电力供应（a3）本项要求包括：chisc.国内第一医疗信息

化网站，为业内人士提供最强大的交流共享平台

访问控制（g3）本项要求包括。a）应在网络边界部署访

问控制设备，启用访问控制功能;b）应能根据会话状态信息为数据流

提供明确的允许/拒绝访问的能力，控制粒度为端口级;c）应对进出网

络的信息内容进行过滤，实现对应用层、ftp、tel、smtp、pop3等协

精品文章

议命令级的控制;d）应在会话处于非活跃一定时间或会话结束后终止

网络连接;e）应限制网络最大流量数及网络连接数;f）重要网段应采

取技术手段防止地址欺骗;g）应按用户和系统之间的允许访问规则，

决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用

户;h）应限制具有拨号访问权限的用户数量。

安全审计（g3）本项要求包括：a）应对网络系统中的网

络设备运行状况、网络流量、用户行为等进行日志记录;b）审计记录

应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他

与审计相关的信息;c）应能够根据记录数据进行分析，并生成审计报

表;d）应对审计记录进行保护，避免受到未预期的删除、修改或覆盖

等。

边界完整性检查（s3）本项要求包括：a）应能够对非授

权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进

行有效阻断;b）应能够对内部网络用户私自联到外部网络的行为进行

检查，准确定出位chisc.国内第一医疗信息化网站，为业内人士提供

最强大的交流共享平台

本项要求包括。a）应对登录操作系统和数据库系统的用户进行

身份标识和鉴别;b）操作系统和数据库系统管理用户身份标识应具有

不易被冒用的特点，口令应有复杂度要求并定期更换;c）应启用登录

失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措

施;d）当对服务器进行远程管理时，应采取必要措施，防止鉴别信息

在网络传输过程中被窃听;e）应为操作系统和数据库系统的不同用户

精品文章

分配不同的用户名，确保用户名具有唯一性。

f）应采用两种或两种以上组合的鉴别技术对管理用户进行身份

鉴别。

访问控制（s3）本项要求包括：a）应启用访问控制功能，

依据安全策略控制用户对资源的访问;b）应根据管理用户的角色分配

权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限;c）

应实现操作系统和数据库系统特权用户的权限分离;d）应严格限制默

认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口

令;e）应及时删除多余的、过期的帐户，避免共享帐户的存在。f）应

对重要信息资源设置敏感标记;g）应依据安全策略严格控制用户对有

敏感标记重要信息资源的操作;安全审计（g3）本项要求包括：

a）审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和

数据库用户;b）审计内容应包括重要用户行为、系统资源的异常使用

和重要系统命令的使用等系统内重要的安全相关事件;chisc.国内第一

医疗信息化网站，为业内人士提供最强大的交流共享平台

a）应通过设定终端