《二级系统安全等级保护基本要求和测评要求.docx》由会员分享,可在线阅读,更多相关《二级系统安全等级保护基本要求和测评要求.docx(12页珍藏版)》请在优知文库上搜索。
1、平安类别第一级基本要求其次级基本要求其次皴测评要求物理位量的选择/a)机房和办公场地应选押在具有防震、防风和防雨等实力的建筑内.a)应访谈物理平安负责人,询问现有机房和放置终端计党机设备的办公场地的环境条件是否能鲂满意信息系统业务需求和平安管理需求,是否具仃基本的防虐、防风和防雨等实力:b)应检杳机序和办公场地是否在具有防震、防风和防雨等实力的建筑内。a制、机房出入应支配专人负责,限鉴别和记录进入的人员a)机房出入应支配专人负责,限制、鉴别和记录进入的人员;b)需进入机房的来访人员应经过申请a)应访谈物理平安负责人,了解部署了哪些限制人员进出机房的爱护措施;b)应检查机房平安管理制度,查看是否
2、有关于机房出入物理访问限制(G)和审批流程,并限制和监控其活动范围.方面的规定:物理平安h)应将主要设备放置在机房内;b)应将主要设备放置在机房内;C)应检杳机房出入口是否有专人值守,是否有值守记录及人员进入机房的登记记录;检查机房是否不存在专人值守之外的其他出入口:d)应检查是否有来访人员进入机房的审批记录,查看审批记录是否包括来访人员的访问葩国。b)应招设备或主要部件进行固b)应招设备或主要部件进行固定,并设质等丢失的爱护措施:Ia)应访谈物理平安负责人,了解实行了哪些防止设备、介定,并设宜明显的不易除去的标记置明显的不易除去的标记:b)应访谈机房维护人员,询问关键设备放置位置是否做到C)
3、应将通信线填铺设在隐藏处,可铺设平安可控,设备或主要部件是否进行了固定和标记,通信在地下或管道中;线缆是否铺设在隐藏处:是否对机房安装的防盗报警设施1)应对介质分类标识,存储在介质库或并定期进行维护检食:档案室中;C)应访谈资产管理员,介质是否进行了分类标识管理,防盗窃和防破坏(G)C)主机房应安装必要的防盗报警设范,介质是否存放在介质库或档案室内进行管理:d)应检查关键设备是否放置在机房内或其它不易被盗窃和破坏的可控范国内:检杳关键设备或设备的主要部件的固定状况,杳看其是否不易被移动或被搬走,是否设置明显的不易除去的标记:e)应检查通信线缆铺设是否在隐藏处:0应检隹机房防盗报警设施是否正常运
4、行,并隹看是否有运行和报警记录;g)应检查介J贞的管理状况,查看介侦是否有正确的分类标识,是否存放在介质库或档案室内.防雷击(G)a)机房建筑应设置避雷装置a)机房建筑应设置避钢装箔:b)机房应设置沟通电源地线。a)应访谈物理平安负责人,询问为防止雷击事务导致重要设备被破坏实行了哪些防护措施,机房建筑是否设置了避雷装置.是否通过验收或国家有关部门的技术检测:询间机房计算机供电系统是否有沟通电源地线;b)应检查机房建筑是否有避雷装置,是否有沟通地线。防火(G)a)机房应设置灭火设备a)机房应设巴灭火设备和火灾自动报警系统,a)应访谈物理平安负责人,询问机房是否设置了灭火设备,是否设置了火灾自动报
5、警系统,是否有人负贵维护该系统的运行,是否制定了有关机房消防的管理制度和消防预案,是否进行J消防培训:b)应访谈机房维护人员,询问是否对火灾自动报警系统定期进行检查和维护:C)应检查机房是否设置了灭火设备,灭火设备摆放位置是否合理,其有效期是否合格:应检查机房火灾白动报警系统是否正常工作,食君是否有运行记录、报警记录、定期检杳和修理记录。a)应对穿过机房墙壁和楼板的水a)水管安装,不得穿过机房屋顶和活a)应访谈物理平安负责人,询问机房是否部署了防水防潮管增加必要的爱护措施:动地板下;措施:假如机房内有上/卜水管安装,是否避开穿过屋顶和b)应实行措施防Ih雨水通过机房b)应实行措施防Ih雨水通过
6、机房窗户、活动地板下,穿过墙壁和楼板的水管是否实行了军粮的爱窗户、屋顶和墙壁渗透屋顶和堵壁渗透:护措施:在湿度较高的地区或季节是否有人负货机房防水C)应实行措施防止机房内水蒸气结I1.防潮事宜,配备除湿装置.;和地下积水的转移与油透.b)应访谈机房维护人员,ifu问机房是否没有出现过漏水和返潮事务:假如机房内有上/下水管安装,是否常常检查其漏水状况:在湿度较高地区或季节是否有人负货机房防水防潮事宜,运用除湿装置除湿;假如出现机房水蒸气结露和地卜.枳水的转移与渗透现象是否刚好实行防范措施:C)应检查穿过主机房墙壁或楼板的管道是否配置套管,管道与套管之间是否实行牢靠的密封措施:d)应检隹机房的窗户
7、、屋顶和墙壁等是否未出现过漏水、渗透和返潮现象,机房及其环境是否不存在明显的漏水和返潮的威逼:假如出现漏水、淡透和返潮现象,则查看是否能够刚好修身解决;e)对湿度较高的地区,应检查机房是否有温度记录,是否有除湿装置并能妨正常运行,是否有防止出现机房地卜枳防水和防潮(G)水的转移与渗透的措施,是否有防水防潮处理记录。防静电(G):/a)关健设备应采纳必要的接地防静电措施.a)应访谈物理平安负贲人,询问关键设备是否采取用必要的防静电措施,机房是否不存在静电问题或因静电引发的平安事务:b)应检查关键设备是否有平安接地.查看机房是否不存在明显的静电现象。运行所允许的范国之内的范围之内。限制(G)求,是
8、否在机房管理制度中规定了温湿度限制的要求,是否有人负货此项工作,是否定期检查和维护机房的温湿度自动调整设施.询问是否没有出现过温湿度影响系统运行的事务;b)应检查温湿度自动调盛设施是否能够正常运行,查看是否有温湿度记录、运行记录和维护记录;查看机房温湿度是否满意计算站场地的技术条件要求.a)应在机房供电线路上配设稳*a)应在机房供电线路上配设稳压器和a)应访谈物理平安负贡人,询问计算机系统供电线路匕器和过电压防护设备过电压防护设备:是否设置稳压器和过电压防护设符:是否设置J短期备电力供应(八)b)应供应短期的备用电力供应,至少满用电源设备,供电时间是否满意系统关键设备最低电力供意关健设冬在断电
9、状况下的正常运行要应需求;求.b)应检查机房,查看计算机系统供电线路上的积压器、过电压防护设备和短期备用电源设是否正常运行:C)应检台是否有稳压器、过电压防护设备以及短期备用电源设备等的检查和维护记录。a)电源线和通信线缜应隔离铺设,流开a)应访谈物理平安负贵人,询问电源线和通信线缆是否隔电磁防护相互干扰.离铺设,是否没有出现过因电磁干扰等问题引发的故障:b)应检查机房布线,查看是否做到电源线和通信线缆隔离。网络结构平平安泰应保证关键网络设备的,应保证关键网络设备的业务处理实卜)应访谈网络管理员,询问关键网络设备的性能以痈而业务处理实力满意基本业务须要:力具备冗余空间,满意业务高峰期须要:业务
10、商峰流量状况:b)应保证接入网络和核心网b)应保证接入网络和核心网络的带宽b)应访谈网络管理员,询问网段划分状况以及划分原则:络的带宽满意基本业务须要:满意业务高峰期须要:询问重要的网段有哪些:机房应设置必要的温、湿度限制设机房应设置*、湿度自动调整设黄,使a)应访谈物理平安负贡人,询问机房是否配备,温湿度施,使机房温、湿度的改变在设备机房温、湿度的改变在设备运行所允许自动调整设施,保证温湿度能锚满意计算机设备运行的要C)应绘制与当前运行状况相C)应绘制与当前运行状况相符的网络C)应访淡网络管理京,询问网络中带宽限制状况以及带宽符的网络拓扑结构图拓扑结构图;安排的原则;粒度至少为用户组早安审计
11、(G)杳d)应依据各部门的工作职能、重要性和d)应检查网络拓扑结构图,查看其与当前运行的实际网络所涉及信息的重要程度等因素,划分不系统是否一样:同的子网或网段,并依据便利管理和限e)应检告网络设计或验收文档,吉看是否有关键网络设制的原则为各子网、网段安排地址段.备业务处理实力、接入网络及核心网络的带宽满意业务高峰期须要的设计或说明:f)应检查网络设计或验收文档,查看是否有依据各部门的工作职能、玳要性和所涉及信息的重:要程度等因素,划分不同的子网或网段,并依据便利管理和限制的原则为各子网和网段卖F地址段的设计或描述。、;/:明络边界部署访问限制设a)应在网络边界部署访问限制法法,启a)应访谈平安
12、管理员,询问网络访问限制措施有哪事沏备,启用访问限制功能:用访问限制功能:问访问限制策略的设计原则是什么;b)应依据访问限制列表对源地b)应能依据会话状态信息为数据流供询问网络访问限制设名具的哪些访问限制功能:询问是否址、Fi的地址、源端口、目的端口应明确的允许/拒绝访问的实力,限制粒允许拨号访问网络:和协议等进行检杳,以允许/拒绝度为网段级b)应检查边界网络设备,查看其是否依据会话状态信息数据包出入:c)应按用户和系统之间的允许访问规对数据流进行限制,限制粒度是否为网段级:C)应通过访问限制列表对系统资财,确定允许或拒绝用户对受控系统进C)应检查边界网络设备,查看其是否限制具有拨号访问权源实
13、现允许或拒绝用户访问,限制行资源访问,限制粒度为单个用户;限的用户数讨:d)应限制具有拨号访问权限的用户数d)应测试边界网络设备,可通过试图访问未授权的资源,12:验证访问限制措施是否能对未授权的访问行为进行限制.限制粒度是否至少为单个用户a)应对网络系统中的网络设备运行状a)应访谈平安审计员,询问边界和关键网络设备是否开启况、网络流量、用户行为等进行日志记审计功能,审计内容包括哪些项:询问审计记录的主要内录;容有哪些:b)审计记录应包括事务的日期和时间、b)应检查边界和关键网络设备,查看其审计策略是否包括用户、事务类型、事务是否胜利及其他网络设备运行状况、网络流量、用户行为等:与审计相关的信
14、息.c)应检查边界和关键网络设备,查看其事务审计记录是否包括:事务的日期和时间、用户、事务类型、事务胜利M况。应能够对内部网络中出现的内部用出应访谈平安管理员,询问是否对内部用户私自连接到外户未通过准许私自联到外部网络的行为部网络的行为:进行检查.b)应检查边界完整性检查设备,查看是否正确设置了对网络内部用户私门连接到外部网络的行为进行有效监控的配置;C)应测试边界完整性检查设备,验证其是否能够仃效发觉“非法外联”的行为.入侵防范a)应在网络边界处监视以下攻击行为Ja)应访谈平安管理员,询问网络入侵防范措施有哪些:端口扫描、强力攻击、木马后门攻击、询问是否有特地设备对网络入侵进行防范:拒绝服务
15、攻击、级冲区溢出攻击、IPffb)应检杳网络入侵防范设备,杳看是否能检测以下攻击行片攻击和网络虫攻击等。为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等:c)应检查网络入侵防范设备,查看其规则库是否为最新:1)应测试网络入侵防范设备,验证其检测。a)应对登录网络设备的用户进行a)应对登录网络设备的用户进行身份a)应访谈网络管理员,询问边界和关键网络设备的防护措身份鉴别:鉴别:施有哪些:询问边界和关键网络设备的登录和验证方式做b)应具有登录失败处理功能,可b)应对网络设备的管理员登录地址进行过何种配置:询问远程管理的设备是否实行措施防止鉴别实行结束会话、限制非法登录次数限制:信息被窃听:和当网络登录连接超时自动退出C)网络设冬用户的标识应唯一Ib)应访谈网络管理员,询问网络设备的口令策略是什么:等措施;d)身份鉴别信息应具有不易被冒用的特C)应检查边界和关键网络设备,查看是否配置了对登录用网络设善防护(G)f)当对网络设备进行远程
免费区 