| | | | | | |
| | | a) 机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员; | | | |
| | c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统。 | | | |
| | a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; | | | |
| | 应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。 | | | |
| | b) 应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求; | | | |
| c) 应设置冗余或并行的电力电缆线路为计算机系统供电; | | | |
| | | | |
| | | | | |
| | | a) 应保证网络设备的业务处理能力满足业务高峰期需要; | | | |
| c) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配 | | | |
| d) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段; | | | |
| d) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段; | | | |
| d) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段; | | | |
| e) 应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用 | | | |
| | | | | |
| | | | |
| | | a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信; | | | |
| | | |
| b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制; | | | |
| c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制; | | | |
| d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络; | | | |
| | a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; | | | |
| e) 应在网络边界通过通信协议转换或通信协议隔离等方式进行数据交换。 | | | |
| | a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为; | | | |
| b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为; | | | |
| | a) 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更 | | | |
| | a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; | | | |
| | | a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; | | | |
| | | |
| | | |
| b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; | | | |
| c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃 | | | |
| d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 | | | |
| | | |
| | b) 应重命名或删除默认账户,修改默认账户的默认口 | | | |
| | | |
| | | | |
| e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则; | | | |
| | a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; | | 设备安全审计措施(网络设备、安全设备、主机设备等) | |
| | | |
| | b) 应关闭不需要的系统服务、默认共享和高危端口; | | | |
| c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制; | | 管理终端管控措施(网络设备、安全设备、主机设备等) | |
| d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求; | | | |
| e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞; | | | |
| | | |
| | | |
| | | |
| | 应采用主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。 | | 操作系统恶意代码防范(网络设备、安全设备、主机设备等) | |
| | a) 应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等; | | | |
| | a) 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等; | | | |
| b) 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。 | | | |
| | | | | |
| b) 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地; | | | |
| c) 应提供重要数据处理系统的热冗余,保证系统的高可用性 | | | |
| d) 应建立异地灾难备份中心,提供业务应用的实时切换。 | | | |
| | a) 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除; | | | |
| b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。 | | | |
| | | | | |
| | | | |
| | | c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测; | | | |
| d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求; | | | |
| f) 应能对网络中发生的各类安全事件进行识别、报警和分析; | | | |
| | | a) 应对安全管理活动中的各类管理内容建立安全管理制度; | | | |
| | | a) 应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权 | | | |
| | | a) 应确保网络安全产品采购和使用符合国家的有关规 | | | |
| b) 应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求; | | | |
| | c) 应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。 | | | 涉及金融、民生、基础设施等重要核心领域的3级及以上系统 |
| | b) 应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。 | | | |
| | | a) 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补; | | | |
| | g) 应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库; | | | |
| h) 应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据; | | | |
| j) 应保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为。 | | | |
| | a) 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补; | | | |
| | a) 应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施; | | | |
| | c) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。 | | | |
| | b) 应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容; | | | |
| c) 应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练; | | | |
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-8-16 09:27
工程师1级