-
物理安全 物理位置的选择 : 机房和办公场地应选择具有防震、防风和防雨等能力 ; 应避免设 在建筑物的高层或地下室, 以及用水设备的下层或隔壁 ; 三级要求进行楼层的选 择。 物理访问控制 : 按照基本要求进行人员配备,制定管理制度 ; 同时对机房进行区域 管理, 设置过度区域、 安装门禁 ; 三 级要求加强对区域的管理和重要区域控制力 度。 防盗窃和防破坏 : 按照基本要求进行建设。制定防盗窃防破坏相关管理制度 ; 按照 基本要求进行建设配置光、 电等防盗报警系统 ; 三级根据要求进行光、 电技术防 盗报警系统的配备。 防雷击 : 按照基本要求进行建设 ; 设置防雷保安器 ; 三级根据要求设置防雷保安器, 防止感应雷 防火 : 设置灭火设备和火灾自动报警系统 ; 消防、 耐火、 隔离等措施 ; 三级根据要 求进行消防、 耐火、 隔离等措施 防水和防潮 : 采取措施防止雨水渗透、 机房内水蒸气 ; 安装防水测试仪器 ; 三级根 据要求进行防水检测仪表的安装使用 防静电 : 采用必要的接地防静电 ; 安装防静电地板 ; 三 级根据要求安装防静电地板 温湿度控制 : 配备空调系统 . 电力供应 : 配备稳压器和过电压防护设备 , 配备 UPS 系统 ; 配备稳压器、 UPS 、 冗余 供电系统 ; 三级根据要求设置冗余或并行的电力电缆线路, 建立备用供电系统 电磁防护 : 电源线和通信线缆隔离铺设 ; 接地、 关键设备和磁介质实施电磁屏蔽 ; 三级根据要求进行接地, 关键设备和介质的电磁屏蔽 网络安全 结构安全 : 关键设备选择高端设备, 处理能力具备冗余空间, 合理组网, 绘制详 细网络拓扑图 ; 在二级基础上, 合理规划路由, 避免将重要网段直接连接外部系 统, 在业务终端与业务服务器之间建立安全路径、带宽优先级管理 ; 三级根据要 求在以下方面进行加强设计: 主要网络设备的处理能力满足高峰需求, 业务终 端与业务服务器之间建立安全路径、 重要网段配置 ACL 策略带宽优先级 访问控制 : 防火墙, 制定相应的 ACL 策略 ; 防火墙配置配置包括:端口级的控制粒 度 , 常见应用层协议命令过滤 , 会话控制 , 流量控制 , 连接数控制 , 防地址欺骗等策 略 ; 三级在配置防火墙设备的策略时提出了更高的要求
-
安全审计 : 部署网络安全审计系统 ; 部署网络安全审计系统部署日志服务器进行 审计记录的保存 ; 三级对审计日志保存提出更高要求, 需要采用日志服务器进行 审计记录的保存 边界完整性检查 : 部署终端安全管理系统, 启用非法外联监控以及安全准入功能 ; 部署终端安全管理系统,在进行非法外联和安全准入检测的同时要进行有效阻断 ; 三级相对 2 级要求在检测的同时要进行有效阻断 入侵防范 : 部署入侵检测系统 ; 部署入侵检测系统配置入侵检测系统的日志模块 ; 三级相对 2 级要求配置入侵检测系统的日志模块, 记录攻击源 IP 、 攻击类型、 攻击目的、 攻击时间等相关信息, 并通过一定的方式进行告警 恶意代码防范 : 无要求 ; 部署 UTM 或 AV 、 IPS; 三级系统 要求具备网关处恶意代码 的检测与清除, 并定期升级恶意代码库 网络设备防护 : 配置网络设备自身的身份鉴别与权限控制 ; 对主要网络设备实施 双因素认证手段进身份鉴别 ; 三级对登陆网络设备的身份认证提出了更高要求, 需要实施双因素认证, 设备的管理员等特权用户进行不同权限等级的配置 主机安全 身份鉴别 : 对操作系统和数据库系统配置高强度用户名 / 口令启用登陆失败处理、 传输加密等措施 ; 对主机管理员登录时进行双因素身份鉴别( USBkey+ 密码) ; 三 级要求采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别 访问控制 : 根据基本要求进行主机访问控制的配置 ; 管理员进行分级权限控制,重 要设定访问控制策略进行访问控制 ; 三级根据要求对管理员进行分级权限控制, 对重要信息(文件、 数据库等)进行标记 安全审计 : 部署主机审计系统 ; 部署主机审计系统审计范围扩大到重要客户端;同 时能够生成审计报表 ; 三级要求能将审计范围扩大到重要客户端; 同时能够生成 审计报表 剩余信息保护 : 无要求 ; 通过对操作系统及数据库系统进行安全加固配置,及时清 除剩余信息的存储空间 ; 三级要求对剩余信息进行保护, 通过安全服务方式进行 入侵防范 : 部署网络入侵检测系统部署终端安全管理系统 ; 部署网络入侵检测系 统部署主机入侵检测系统部署终端安全管理系统进行补丁及时分发 ; 三级要求对 重要服务器进行入侵的行为, 对重要程序进行代码审查, 去除漏洞, 配置主机 入侵检测以及终端管理软件进行完整性检测 -
恶意代码防范 : 部署终端防恶意代码软件 ; 部署终端防恶意代码软件 ; 三级要求终 端防恶意代码软件与边界处的网关设备进行异构部署 资源控制 : 部署应用安全管理系统进行资源监控 ; 部署应用安全管理系统进行资 源监控、 检测报警 ; 三级要求通过安全加固, 对重要服务器进行监视, 包括监视 服务器的 CPU 、 硬盘、 内存、 网络等资源的使用情况, 对系统服务相关阈值进行 检测告警 应用安全 身份鉴别 : 根据基本要求配置高强度用户名 / 口令 ; 进行双因素认证或采用 CA 系统 进行身份鉴别 ; 三级根据要求进行双因素认证或采用 CA 系统进行身份鉴别 访问控制 : 根据基本要求提供访问控制功能; 通过安全加固措施制定严格用户权 限策略, 保证账号、 口令等符合安全策略; 三级根据要求根据系统重要资源的标 记以及定义的安全策略进行严格的访问控制 安全审计: 应用系统开发应用审计功能部署数据库审计系统;应用系统开发应用 审计功能部署数据库审计系统; 三级要求不仅生成审计记录, 还要对审计记录数 据进行统计、 查询、 分析及生成审计报表 剩余信息保护: 无要求; 通过对操作系统及数据库系统进行安全加固配置, 及时 清除剩余信息的存储空间; 二级无要求 通信完整性: 采用校验码技术保证通信过程中数据的完整性;采用 PKI 体系中的 完整性校验功能进行完整性检查, 保障通信完整性; 三级要求密码技术 通信保密性:应用系统自身开发数据加密功能,采用 VPN 或 PKI 体系的加密功能; 应用系统自身开发数据加密功能,采用 VPN 或 PKI 体系的加密功能保障通信保密 性; 三级要求对整个报文或会话过程进行加密 抗抵赖 : 无要求; PKI 系统; 2 级无要求 软件容错: 代码审核; 代码审核; 三级根据要求系统具备自动保护功能设计, 故 障后可以恢复 资源控制: 部署应用安全管理系统; 部署应用安全管理系统; 三级要求细化加固 措施, 对并发连接、 资源配额、 系统服务相关阈值、 系统服务优先级等进行限 制和管理 数据安全 -
数据
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
