一级测评要求指标
一.技术安全大类
1.安全的物理环境
物理访问控制:
机房出入口应安排专人值守或配置电子门禁系统,控制,鉴别和记录进入的人员。
防盗窃和破坏:
应将设备或主要部件进行固定,并设置明显的不易除去的标识。
防雷击:
应将各类机柜,设施和设备等通过基地系统安全接地。
防火:
机房应该设置灭火设备。
防水和防潮:
应采取措施防止雨水通过机房窗户,屋顶和墙壁渗透。
温湿度控制:
应设置必要的温湿度调节设施,使机房温湿度的变化在设备运行所允许的范围之内。
电力供应:
应在机房供电线路上配置稳压器和过电压防护设备。
2.安全的通信网络
通信传输:
应采用检验技术保证通信过程中数据的完整性。
可信验证:
可给予可信根对通信设备的系统引导程序,系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。
3.安全的计算环境
身份鉴别:
1.应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份辨别信息具有复杂度要求并定期更换。
2.应具有登陆失败处理功能,应配置并启用结束会话,限制非法登录次数和挡登录连接超时自动退出等相关措施。
访问控制:
1.应对登录的用户分配账户和权限
2.应重命名或删除默认账户,修改默认账户的默认口令。
3.应及时删除或停用多余的,过期的账户,避免共享账户的存在。
入侵防范:
1.应遵循最小安装的原则,仅安装需要的组件和应用程序。
2.应关闭不需要的系统服务,默认共享和高危端口。
恶意代码防范:
应安装放恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。
可信验证:
可基于可信根对计算机设备的系统引导程序,系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。
数据完整性:
应采用检验技术保证重要数据在传输过程中的完整性。
数据备份恢复:
应提供重要数据的本地数据备份与恢复功能。
4.安全的区域边界
边界防护:
应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
访问控制:1.应在网络边界根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。
2.应删除多余或无效的访问控制规则,优化访问控制列表,并保证控制规则数量最小化。
3.应对源地址,目的地址,源端口,目的端口和协议等进行检查,以允许/拒绝数据包进出。
可信验证:
可基于可信根对边界设备的系统引导程序,系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。
5.安全管理中心
无
二.管理安全大类
1.安全管理制度
管理制度:应建立日常管理活动中常用的安全管理制度。
2.安全管理机构
岗位设置:应设立系统管理员等岗位,并定义各个工作岗位的职责。
人员配备:应配备一定数量的系统管理员。
授权和审批:应根据各个部门和岗位的职责明确授权审批事项,审批部门和批准人等。
3.安全管理人员
人员录用:
应指定或授权专门的部门或人员负责人员录用。
人员离岗:
应及时终止离岗人员的所有访问权限,取回各种身份证件,钥匙,徽章等以及机构提供的软硬件设备。
安全意识教育和培训:
应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。
外部人员访问管理:
应保证在外部人员访问受控区域前得到授权或审批。
4.安全建设管理
定级和备案:
应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由。
安全方案设计:
应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施。
产品采购和使用:
应确保网络安全产品和使用符合国家的有关规定。
工程实施:
应指定或授权专门的部门或人员负责工程实施过程的管理。
测试验收:
应进行安全性测试验收。
系统交付:
1.应制定交付清单,并根据交付清单对所交接的设备,软件和文档等进行清点。
2.应对应负责运维维护的技术人员进行相应的技能培训。
服务供应商管理:
1.应确保服务供应商的选择符合国家的有关规定。
2.应与选型的服务供应商签订与安全相关的协议,明确约定相关责任。
5.安全运维管理
环境管理:
1.应指定专门的部门或者人员负责机房安全,对机房进出人进行管理,定期对机房供配电,空调,温湿度控制,消防等设施进行维护管理。
2.应对机房的安全管理做出规定,包括物理访问,物品进出和环境安全等方面。
介质管理:
应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储介质专人管理,并根据存档介质的目录清单定期盘点。
设备维护管理:
应对各种设备(包括备份和冗余设备),线路等指定专门的部门的部门或人员定期进行维护管理。
漏洞和风险管理:
应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。
网络和系统安全管理:
1.应划分不同的管理员角色进行网络和系统运维管理,明确各个角色的责任和权限。
2.应指定专门的部门或人员进行账户管理,对申请账户,建立账户,删除账户等进行控制。
恶意代码防范管理:
1.应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查等。
2.应对恶意代码防范要求做出规定,包括恶意代码软件的授权使用,恶意代码库升级,恶意代码的定期查杀等。
备份与恢复管理:
1.应识别需要定期备份的重要业务信息,系统数据及软件系统等。
2.应规定备份信息的备份方式,备份频度,存储介质,保存期等。
安全事件处置:
1.应及时向安全管理部门报告所发现的安全弱点和可疑事件。
2.应明确安全事件的报告和处置流程,规定安全事件的现场处理,实践报告和后期恢复的管理制度。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
