机房2级和3级等保要求
二级、三级等级保护要求比较一、技术要求
技术要求项二级等保三级等保
物理
安全
物理
位置
的选
择1)机房和办公场地应选择
在具有防震、防风和防雨
等能力的建筑内。
1)机房和办公场地应选择在具有防震、防
风和防雨等能力的建筑内;
2)机房场地应避免设在建筑物的高层或地
下室,以及用水设备的下层或隔壁;
3)机房场地应当避开强电场、强磁场、强
震动源、强噪声源、重度环境污染、易
发生火灾、水灾、易遭受雷击的地区。
物理访问控制1)机房出入口应有专人值
守,鉴别进入的人员身份
并登记在案;
2)应批准进入机房的来访
人员,限制和监控其活动
范围。
1)机房出入口应有专人值守,鉴别进入的
人员身份并登记在案;
2)应批准进入机房的来访人员,限制和监
控其活动范围;
3)应对机房划分区域进行管理,区域和区
域之间设置物理隔离装置,在重要区域
前设置交付或安装等过度区域;
4)应对重要区域配置电子门禁系统,鉴别
和记录进入的人员身份并监控其活动。
防盗窃和防破坏1)应将主要设备放置在物
理受限的范围内;
2)应对设备或主要部件进
行固定,并设置明显的不
易除去的标记;
3)应将通信线缆铺设在隐
蔽处,如铺设在地下或管
道中等;
4)应对介质分类标识,存储
在介质库或档案室中;
5)应安装必要的防盗报警
设施,以防进入机房的盗
窃和破坏行为。
1)应将主要设备放置在物理受限的范围
内;
2)应对设备或主要部件进行固定,并设置
明显的无法除去的标记;
3)应将通信线缆铺设在隐蔽处,如铺设在
地下或管道中等;
4)应对介质分类标识,存储在介质库或档
案室中;
5)设备或存储介质携带出工作环境时,应
受到监控和内容加密;
6)应利用光、电等技术设置机房的防盗报
警系统,以防进入机房的盗窃和破坏行
为;
7)应对机房设置监控报警系统。
防雷击1)机房建筑应设置避雷装
置;
2)应设置交流电源地线。
1)机房建筑应设置避雷装置;
2)应设置防雷保安器,防止感应雷;
3)应设置交流电源地线。
防火1)应设置灭火设备和火灾
自动报警系统,并保持灭
火设备和火灾自动报警
系统的良好状态。1)应设置火灾自动消防系统,自动检测火情、自动报警,并自动灭火;
2)机房及相关的工作房间和辅助房,其建筑材料应具有耐火等级;
3)机房采取区域隔离防火措施,将重要设备与其他设备隔离开。
防水和防潮1)水管安装,不得穿过屋顶
和活动地板下;
2)应对穿过墙壁和楼板的
水管增加必要的保护措
施,如设置套管;
3)应采取措施防止雨水通
过屋顶和墙壁渗透;
4)应采取措施防止室内水
蒸气结露和地下积水的
转移与渗透。
1)水管安装,不得穿过屋顶和活动地板下;
2)应对穿过墙壁和楼板的水管增加必要的
保护措施,如设置套管;
3)应采取措施防止雨水通过屋顶和墙壁渗
透;
4)应采取措施防止室内水蒸气结露和地下
积水的转移与渗透。
防静电1)应采用必要的接地等防
静电措施
1)应采用必要的接地等防静电措施;
2)应采用防静电地板。
温湿度控制1)应设置温、湿度自动调节
设施,使机房温、湿度的
变化在设备运行所允许
的范围之内。
1)应设置恒温恒湿系统,使机房温、湿度
的变化在设备运行所允许的范围之内。
电力供应1)计算机系统供电应与其
他供电分开;
2)应设置稳压器和过电压
防护设备;
3)应提供短期的备用电力
供应(如UPS设备)。
1)计算机系统供电应与其他供电分开;
2)应设置稳压器和过电压防护设备;
3)应提供短期的备用电力供应(如UPS设
备);
4)应设置冗余或并行的电力电缆线路;
5)应建立备用供电系统(如备用发电机),
以备常用供电系统停电时启用。
电磁防护1)应采用接地方式防止外
界电磁干扰和设备寄生
耦合干扰;
2)电源线和通信线缆应隔
离,避免互相干扰。
1)应采用接地方式防止外界电磁干扰和设
备寄生耦合干扰;
2)电源线和通信线缆应隔离,避免互相干
扰;
3)对重要设备和磁介质实施电磁屏蔽。
网络安全结构
安全
与网
段划
分
1)网络设备的业务处理能
力应具备冗余空间,要求
满足业务高峰期需要;
2)应设计和绘制与当前运
行情况相符的网络拓扑
结构图;
3)应根据机构业务的特点,
在满足业务高峰期需要
的基础上,合理设计网络
带宽;
4)应在业务终端与业务服
务器之间进行路由控制,
建立安全的访问路径;
5)应根据各部门的工作职
能、重要性、所涉及信息
的重要程度等因素,划分
不同的子网或网段,并按
照方便管理和控制的原
则为各子网、网段分配地
址段;
6)重要网段应采取网络层
地址与数据链路层地址
绑定措施,防止地址欺
骗。
1)网络设备的业务处理能力应具备冗余空
间,要求满足业务高峰期需要;
2)应设计和绘制与当前运行情况相符的网
络拓扑结构图;
3)应根据机构业务的特点,在满足业务高
峰期需要的基础上,合理设计网络带宽;
4)应在业务终端与业务服务器之间进行路
由控制建立安全的访问路径;
5)应根据各部门的工作职能、重要性、所
涉及信息的重要程度等因素,划分不同
的子网或网段,并按照方便管理和控制
的原则为各子网、网段分配地址段;
6)重要网段应采取网络层地址与数据链路
层地址绑定措施,防止地址欺骗;
7)应按照对业务服务的重要次序来指定带
宽分配优先级别,保证在网络发生拥堵
的时候优先保护重要业务数据主机。
网络
访问
控制
1)应能根据会话状态信息
(包括数据包的源地址、
目的地址、源端口号、目
的端口号、协议、出入的
1)应能根据会话状态信息(包括数据包的
源地址、目的地址、源端口号、目的端
口号、协议、出入的接口、会话序列号、
发出信息的主机名等信息,并应支持地
接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力。
址通配符的使用),为数据流提供明确的
允许/拒绝访问的能力;
2)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、
SMTP、POP3等协议命令级的控制;3)应依据安全策略允许或者拒绝便携式和移动式设备的网络接入;
4)应在会话处于非活跃一定时间或会话结束后终止网络连接;
5)应限制网络最大流量数及网络连接数。
拨号访问控制1)应在基于安全属性的允
许远程用户对系统访问
的规则的基础上,对系统
所有资源允许或拒绝用
户进行访问,控制粒度为
单个用户;
2)应限制具有拨号访问权
限的用户数量。
1)应在基于安全属性的允许远程用户对系
统访问的规则的基础上,对系统所有资
源允许或拒绝用户进行访问,控制粒度
为单个用户;
2)应限制具有拨号访问权限的用户数量;
3)应按用户和系统之间的允许访问规则,
决定允许用户对受控系统进行资源访
问。
网络安全审计1)应对网络系统中的网络
设备运行状况、网络流
量、用户行为等事件进行
日志记录;
2)对于每一个事件,其审计
记录应包括:事件的日期
和时间、用户、事件类型、
事件是否成功,及其他与
审计相关的信息。
1)应对网络系统中的网络设备运行状况、
网络流量、用户行为等进行全面的监测、
记录;
2)对于每一个事件,其审计记录应包括:
事件的日期和时间、用户、事件类型、
事件是否成功,及其他与审计相关的信
息;
3)安全审计应可以根据记录数据进行分
析,并生成审计报表;
4)安全审计应可以对特定事件,提供指定
方式的实时报警;
5)审计记录应受到保护避免受到未预期的
删除、修改或覆盖等。
边界完整性检查1)应能够检测内部网络中
出现的内部用户未通过
准许私自联到外部网络
的行为(即“非法外联”行
为)。
1)应能够检测内部网络中出现的内部用户
未通过准许私自联到外部网络的行为
(即“非法外联”行为);
2)应能够对非授权设备私自联到网络的行
为进行检查,并准确定出位置,对其进
行有效阻断;
3)应能够对内部网络用户私自联到外部网
络的行为进行检测后准确定出位置,并
对其进行有效阻断。
网络入侵防范1)应在网络边界处监视以
下攻击行为:端口扫描、
强力攻击、木马后门攻
击、拒绝服务攻击、缓冲
区溢出攻击、IP碎片攻
击、网络蠕虫攻击等入侵
事件的发生。
1)应在网络边界处应监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、
拒绝服务攻击、缓冲区溢出攻击、IP碎
片攻击、网络蠕虫攻击等入侵事件的发
生;
2)当检测到入侵事件时,应记录入侵的源
IP、攻击的类型、攻击的目的、攻击的
时间,并在发生严重入侵事件时提供报
警。
恶意代码防范1)应在网络边界及核心业
务网段处对恶意代码进
行检测和清除;
2)应维护恶意代码库的升
级和检测系统的更新;
3)应支持恶意代码防范的
统一管理。
1)应在网络边界及核心业务网段处对恶意
代码进行检测和清除;
2)应维护恶意代码库的升级和检测系统的
更新;
3)应支持恶意代码防范的统一管理。
网络设备防护1)应对登录网络设备的用
户进行身份鉴别;
2)应对网络设备的管理员
登录地址进行限制;
3)网络设备用户的标识应
1)应对登录网络设备的用户进行身份鉴
别;
2)应对网络上的对等实体进行身份鉴别;
3)应对网络设备的管理员登录地址进行限
唯一;
4)身份鉴别信息应具有不易被冒用的特点,例如口
令长度、复杂性和定期的
更新等;
5)应具有登录失败处理功能,如:结束会话、限制
非法登录次数,当网络登
录连接超时,自动退出。
制;
4)网络设备用户的标识应唯一;
5)身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更
新等;
6)应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
7)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当网络登录连
接超时,自动退出;
8)应实现设备特权用户的权限分离,例如将管理与审计的权限分配给不同的网络
设备用户。
主机系统安全身份
鉴别
1)操作系统和数据库管理
系统用户的身份标识应
具有唯一性;
2)应对登录操作系统和数
据库管理系统的用户进
行身份标识和鉴别;
3)操作系统和数据库管理
系统身份鉴别信息应具
有不易被冒用的特点,例
如口令长度、复杂性和定
期的更新等;
4)应具有登录失败处理功
能,如:结束会话、限制
非法登录次数,当登录连
接超时,自动退出。
1)操作系统和数据库管理系统用户的身份
标识应具有唯一性;
2)应对登录操作系统和数据库管理系统的
用户进行身份标识和鉴别;
3)应对同一用户采用两种或两种以上组合
的鉴别技术实现用户身份鉴别;
4)操作系统和数据库管理系统用户的身份
鉴别信息应具有不易被冒用的特点,例
如口令长度、复杂性和定期的更新等;
5)应具有登录失败处理功能,如:结束会
话、限制非法登录次数,当登录连接超
时,自动退出;
6)应具有鉴别警示功能;
7)重要的主机系统应对与之相连的服务器
或终端设备进行身份标识和鉴别。
自主1)应依据安全策略控制主1)应依据安全策略控制主体对客体的访
访问控制
体对客体的访问;
2)自主访问控制的覆盖范
围应包括与信息安全直
接相关的主体、客体及它
们之间的操作;
3)自主访问控制的粒度应
达到主体为用户级,客体
为文件、数据库表级;
4)应由授权主体设置对客
体访问和操作的权限;
5)应严格限制默认用户的
访问权限。
问;
2)自主访问控制的覆盖范围应包括与信息
安全直接相关的主体、客体及它们之间
的操作;
3)自主访问控制的粒度应达到主体为用户
级,客体为文件、数据库表级;
4)应由授权主体设置对客体访问和操作的
权限;
5)权限分离应采用最小授权原则,分别授
予不同用户各自为完成自己承担任务所
需的最小权限,并在他们之间形成相互
制约的关系;
6)应实现操作系统和数据库管理系统特权
用户的权限分离;
7)应严格限制默认用户的访问权限。
强制访问控制无1)应对重要信息资源和访问重要信息资源
的所有主体设置敏感标记;
2)强制访问控制的覆盖范围应包括与重要
信息资源直接相关的所有主体、客体及
它们之间的操作;
3)强制访问控制的粒度应达到主体为用户
级,客体为文件、数据库表级。
安全审计1)安全审计应覆盖到服务
器上的每个操作系统用
户和数据库用户;
2)安全审计应记录系统内
重要的安全相关事件,包
括重要用户行为和重要
系统命令的使用等;
3)安全相关事件的记录应
1)安全审计应覆盖到服务器和客户端上的
每个操作系统用户和数据库用户;
2)安全审计应记录系统内重要的安全相关
事件,包括重要用户行为、系统资源的
异常使用和重要系统命令的使用;
3)安全相关事件的记录应包括日期和时
包括日期和时间、类型、
主体标识、客体标识、事
件的结果等;
4)审计记录应受到保护避免受到未预期的删除、修
改或覆盖等。
间、类型、主体标识、客体标识、事件
的结果等;
4)安全审计应可以根据记录数据进行分析,并生成审计报表;
5)安全审计应可以对特定事件,提供指定方式的实时报警;
6)审计进程应受到保护避免受到未预期的中断;
7)审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
系统保护1)系统应提供在管理维护
状态中运行的能力,管理
维护状态只能被系统管
理员使用。
1)系统因故障或其他原因中断后,应能够
以手动或自动方式恢复运行。
剩余信息保护1)应保证操作系统和数据
库管理系统用户的鉴别
信息所在的存储空间,被
释放或再分配给其他用
户前得到完全清除,无论
这些信息是存放在硬盘
上还是在内存中;
2)应确保系统内的文件、目
录和数据库记录等资源
所在的存储空间,被释放
或重新分配给其他用户
前得到完全清除。
1)应保证操作系统和数据库管理系统用户
的鉴别信息所在的存储空间,被释放或
再分配给其他用户前得到完全清除,无
论这些信息是存放在硬盘上还是在内存
中;
2)应确保系统内的文件、目录和数据库记
录等资源所在的存储空间,被释放或重
新分配给其他用户前得到完全清除。
入侵防范无1)应进行主机运行监视,包括监视主机的
CPU、硬盘、内存、网络等资源的使用情
况;
2)应设定资源报警域值,以便在资源使用
超过规定数值时发出报警;
3)应进行特定进程监控,限制操作人员运行非法进程;
4)应进行主机账户监控,限制对重要账户的添加和更改;
5)应检测各种已知的入侵行为,记录入侵的源IP、攻击的类型、攻击的目的、攻
击的时间,并在发生严重入侵事件时提
供报警;
6)应能够检测重要程序完整性受到破坏,并在检测到完整性错误时采取必要的恢
复措施。
恶意代码防范1)服务器和重要终端设备
(包括移动设备)应安装
实时检测和查杀恶意代
码的软件产品;
2)主机系统防恶意代码产
品应具有与网络防恶意
代码产品不同的恶意代
码库;
1)服务器和终端设备(包括移动设备)均
应安装实时检测和查杀恶意代码的软件
产品;
2)主机系统防恶意代码产品应具有与网络
防恶意代码产品不同的恶意代码库;
3)应支持恶意代码防范的统一管理。
资源控制1)应限制单个用户的会话
数量;
2)应通过设定终端接入方
式、网络地址范围等条件
限制终端登录。
1)应限制单个用户的多重并发会话;
2)应对最大并发会话连接数进行限制;
3)应对一个时间段内可能的并发会话连接
数进行限制;
4)应通过设定终端接入方式、网络地址范
围等条件限制终端登录;
5)应根据安全策略设置登录终端的操作超
时锁定和鉴别失败锁定,并规定解锁或
终止方式;
6)应禁止同一用户账号在同一时间内并发
登录;
7)应限制单个用户对系统资源的最大或最小使用限度;
8)当系统的服务水平降低到预先规定的最小值时,应能检测和报警;
9)应根据安全策略设定主体的服务优先级,根据优先级分配系统资源,保证优
先级低的主体处理能力不会影响到优先
级高的主体的处理能力。
应用安全身份
鉴别
1)应用系统用户的身份标
识应具有唯一性;
2)应对登录的用户进行身
份标识和鉴别;
3)系统用户身份鉴别信息
应具有不易被冒用的特
点,例如口令长度、复杂
性和定期的更新等;
4)应具有登录失败处理功
能,如:结束会话、限制
非法登录次数,当登录连
接超时,自动退出。
1)系统用户的身份标识应具有唯一性;
2)应对登录的用户进行身份标识和鉴别;
3)系统用户的身份鉴别信息应具有不易被
冒用的特点,例如口令长度、复杂性和
定期的更新等;
4)应对同一用户采用两种或两种以上组合
的鉴别技术实现用户身份鉴别;
5)应具有登录失败处理功能,如:结束会
话、限制非法登录次数,当登录连接超
时,自动退出;
6)应具有鉴别警示功能;
7)应用系统应及时清除存储空间中动态使
用的鉴别信息。
访问
控制
1)应依据安全策略控制用
户对客体的访问;
2)自主访问控制的覆盖范
围应包括与信息安全直
接相关的主体、客体及它
们之间的操作;
3)自主访问控制的粒度应
达到主体为用户级,客体
为文件、数据库表级;
4)应由授权主体设置用户
1)应依据安全策略控制用户对客体的访
问;
2)自主访问控制的覆盖范围应包括与信息
安全直接相关的主体、客体及它们之间
的操作;
3)自主访问控制的粒度应达到主体为用户
级,客体为文件、数据库表级;
4)应由授权主体设置用户对系统功能操作
对系统功能操作和对数
据访问的权限;
5)应实现应用系统特权用户的权限分离,例如将管
理与审计的权限分配给
不同的应用系统用户;6)权限分离应采用最小授权原则,分别授予不同用
户各自为完成自己承担
任务所需的最小权限,并
在它们之间形成相互制
约的关系;
7)应严格限制默认用户的访问权限。
和对数据访问的权限;
5)应实现应用系统特权用户的权限分离,例如将管理与审计的权限分配给不同的
应用系统用户;
6)权限分离应采用最小授权原则,分别授予不同用户各自为完成自己承担任务所
需的最小权限,并在它们之间形成相互
制约的关系;
7)应严格限制默认用户的访问权限。
安全审计1)安全审计应覆盖到应用
系统的每个用户;
2)安全审计应记录应用系
统重要的安全相关事件,
包括重要用户行为和重
要系统功能的执行等;
3)安全相关事件的记录应
包括日期和时间、类型、
主体标识、客体标识、事
件的结果等;
4)审计记录应受到保护避
免受到未预期的删除、修
改或覆盖等。
1)安全审计应覆盖到应用系统的每个用
户;
2)安全审计应记录应用系统重要的安全相
关事件,包括重要用户行为、系统资源
的异常使用和重要系统功能的执行等;
3)安全相关事件的记录应包括日期和时
间、类型、主体标识、客体标识、事件
的结果等;
4)安全审计应可以根据记录数据进行分
析,并生成审计报表;
5)安全审计应可以对特定事件,提供指定
方式的实时报警;
6)审计进程应受到保护避免受到未预期的
中断;
7)审计记录应受到保护避免受到未预期的
删除、修改或覆盖等。
剩余1)应保证用户的鉴别信息1)应保证用户的鉴别信息所在的存储空
信息保护
所在的存储空间,被释放
或再分配给其他用户前
得到完全清除,无论这些
信息是存放在硬盘上还
是在内存中;
2)应确保系统内的文件、目
录和数据库记录等资源
所在的存储空间,被释放
或重新分配给其他用户
前得到完全清除。
间,被释放或再分配给其他用户前得到
完全清除,无论这些信息是存放在硬盘
上还是在内存中;
2)应确保系统内的文件、目录和数据库记
录等资源所在的存储空间,被释放或重
新分配给其他用户前得到完全清除。
通信完整性1)通信双方应约定单向的
校验码算法,计算通信数
据报文的校验码,在进行
通信时,双方根据校验码
判断对方报文的有效性。
1)通信双方应约定密码算法,计算通信数
据报文的报文验证码,在进行通信时,
双方根据校验码判断对方报文的有效
性。
抗抵赖无1)应具有在请求的情况下为数据原发者或
接收者提供数据原发证据的功能;
2)应具有在请求的情况下为数据原发者或
接收者提供数据接收证据的功能。
通信保密性1)当通信双方中的一方在
一段时间内未作任何响
应,另一方应能够自动结
束会话;
2)在通信双方建立连接之
前,利用密码技术进行会
话初始化验证;
3)在通信过程中,应对敏感
信息字段进行加密。
1)当通信双方中的一方在一段时间内未作
任何响应,另一方应能够自动结束会话;
2)在通信双方建立连接之前,利用密码技
术进行会话初始化验证;
3)在通信过程中,应对整个报文或会话过
程进行加密;
4)应选用符合国家有关部门要求的密码算
法。
软件容错1)应对通过人机接口输入
或通过通信接口输入的
数据进行有效性检验;
2)应对通过人机接口方式
1)应对通过人机接口输入或通过通信接口
输入的数据进行有效性检验;
2)应对通过人机接口方式进行的操作提供
“回退”功能,即允许按照操作的序列
进行的操作提供“回退”
功能,即允许按照操作的
序列进行回退;
3)在故障发生时,应继续提供一部分功能,确保能够
实施必要的措施。
进行回退;
3)应有状态监测能力,当故障发生时,能实时检测到故障状态并报警;
4)应有自动保护能力,当故障发生时,自动保护当前所有状态。
资源控制1)应限制单个用户的多重
并发会话;
2)应对应用系统的最大并
发会话连接数进行限制;
3)应对一个时间段内可能
的并发会话连接数进行
限制。
1)应限制单个用户的多重并发会话;
2)应对应用系统的最大并发会话连接数进
行限制;
3)应对一个时间段内可能的并发会话连接
数进行限制;
4)应根据安全策略设置登录终端的操作超
时锁定和鉴别失败锁定,并规定解锁或
终止方式;
5)应禁止同一用户账号在同一时间内并发
登录;
6)应对一个访问用户或一个请求进程占用
的资源分配最大限额和最小限额;
7)应根据安全属性(用户身份、访问地址、
时间范围等)允许或拒绝用户建立会话
连接;
8)当系统的服务水平降低到预先规定的最
小值时,应能检测和报警;
9)应根据安全策略设定主体的服务优先
级,根据优先级分配系统资源,保证优
先级低的主体处理能力不会影响到优先
级高的主体的处理能力。
代码安全1)应对应用程序代码进行
恶意代码扫描;
2)应对应用程序代码进行
1)应制定应用程序代码编写安全规范,要
求开发人员参照规范编写代码;
2)应对应用程序代码进行代码复审,识别
安全脆弱性分析。可能存在的恶意代码;
3)应对应用程序代码进行安全脆弱性分
析;
4)应对应用程序代码进行穿透性测试。
数据安全数据
完整
性
1)应能够检测到系统管理
数据、鉴别信息和用户数
据在传输过程中完整性
受到破坏;
2)应能够检测到系统管理
数据、鉴别信息和用户数
据在存储过程中完整性
受到破坏。
1)应能够检测到系统管理数据、鉴别信息
和用户数据在传输过程中完整性受到破
坏,并在检测到完整性错误时采取必要
的恢复措施;
2)应能够检测到系统管理数据、鉴别信息
和用户数据在存储过程中完整性受到破
坏,并在检测到完整性错误时采取必要
的恢复措施;
3)应能够检测到重要程序的完整性受到破
坏,并在检测到完整性错误时采取必要
的恢复措施。
数据
保密
性
1)网络设备、操作系统、数
据库管理系统和应用系
统的鉴别信息、敏感的系
统管理数据和敏感的用
户数据应采用加密或其
他有效措施实现传输保
密性;
2)网络设备、操作系统、数
据库管理系统和应用系
统的鉴别信息、敏感的系
统管理数据和敏感的用
户数据应采用加密或其
他保护措施实现存储保
密性;
3)当使用便携式和移动式
设备时,应加密或者采用
1)网络设备、操作系统、数据库管理系统
和应用系统的鉴别信息、敏感的系统管
理数据和敏感的用户数据应采用加密或
其他有效措施实现传输保密性;
2)网络设备、操作系统、数据库管理系统
和应用系统的鉴别信息、敏感的系统管
理数据和敏感的用户数据应采用加密或
其他保护措施实现存储保密性;
3)当使用便携式和移动式设备时,应加密
或者采用可移动磁盘存储敏感信息;
4)用于特定业务通信的通信信道应符合相
关的国家规定。
可移动磁盘存储敏感信息。
数据备份和恢复1)应提供自动机制对重要
信息进行有选择的数据
备份;
2)应提供恢复重要信息的
功能;
3)应提供重要网络设备、通
信线路和服务器的硬件
冗余
1)应提供自动机制对重要信息进行本地和
异地备份;
2)应提供恢复重要信息的功能;
3)应提供重要网络设备、通信线路和服务
器的硬件冗余;
4)应提供重要业务系统的本地系统级热备
份。
二、管理要求
管理要求项二级等保三级等保
安全管理机构岗位
设置
1)应设立信息安全管理工
作的职能部门,设立安全
主管人、安全管理各个方
面的负责人岗位,定义各
负责人的职责;
2)应设立系统管理人员、网
络管理人员、安全管理人
员岗位,定义各个工作岗
位的职责;
3)应制定文件明确安全管
理机构各个部门和岗位
的职责、分工和技能要
求。
1)应设立信息安全管理工作的职能部门,
设立安全主管人、安全管理各个方面的
负责人岗位,定义各负责人的职责;
2)应设立系统管理人员、网络管理人员、
安全管理人员岗位,定义各个工作岗位
的职责;
3)应成立指导和管理信息安全工作的委员
会或领导小组,其最高领导应由单位主
管领导委任或授权;
4)应制定文件明确安全管理机构各个部门
和岗位的职责、分工和技能要求。
人员
配备
1)应配备一定数量的系统
管理人员、网络管理人
员、安全管理人员等;
2)安全管理人员不能兼任
网络管理员、系统管理
员、数据库管理员等。
1)应配备一定数量的系统管理人员、网络
管理人员、安全管理人员等;
2)应配备专职安全管理人员,不可兼任;
3)关键岗位应定期轮岗。
授权
和审
1)应授权审批部门及批准
人,对关键活动进行审
1)应授权审批部门及批准人,对关键活动
进行审批;
批批;
2)应列表说明须审批的事
项、审批部门和可批准
人。2)应列表说明须审批的事项、审批部门和可批准人;
3)应建立各审批事项的审批程序,按照审批程序执行审批过程;
4)应建立关键活动的双重审批制度;
5)不再适用的权限应及时取消授权;
6)应定期审查、更新需授权和审批的项目;7)应记录授权过程并保存授权文档。
沟通和合作1)应加强各类管理人员和
组织内部机构之间的合
作与沟通,定期或不定期
召开协调会议,共同协助
处理信息安全问题;
2)信息安全职能部门应定
期或不定期召集相关部
门和人员召开安全工作
会议,协调安全工作的实
施;
3)应加强与兄弟单位、公安
机关、电信公司的合作与
沟通,以便在发生安全事
件时能够得到及时的支
持。
1)应加强各类管理人员和组织内部机构之
间的合作与沟通,定期或不定期召开协
调会议,共同协助处理信息安全问题;
2)信息安全职能部门应定期或不定期召集
相关部门和人员召开安全工作会议,协
调安全工作的实施;
3)信息安全领导小组或者安全管理委员会
定期召开例会,对信息安全工作进行指
导、决策;
4)应加强与兄弟单位、公安机关、电信公
司的合作与沟通,以便在发生安全事件
时能够得到及时的支持;
5)应加强与供应商、业界专家、专业的安
全公司、安全组织的合作与沟通,获取
信息安全的最新发展动态,当发生紧急
事件的时候能够及时得到支持和帮助;
6)应文件说明外联单位、合作内容和联系
方式;
7)聘请信息安全专家,作为常年的安全顾
问,指导信息安全建设,参与安全规划
和安全评审等。
审核和检查1)应由安全管理人员定期
进行安全检查,检查内容
包括用户账号情况、系统
漏洞情况、系统审计情况
1)应由安全管理人员定期进行安全检查,
检查内容包括用户账号情况、系统漏洞
情况、系统审计情况等;
2)应由安全管理部门组织相关人员定期进
等。行全面安全检查,检查内容包括现有安
全技术措施的有效性、安全配置与安全
策略的一致性、安全管理制度的执行情
况等;
3)应由安全管理部门组织相关人员定期分
析、评审异常行为的审计记录,发现可
疑行为,形成审计分析报告,并采取必
要的应对措施;
4)应制定安全检查表格实施安全检查,汇
总安全检查数据,形成安全检查报告,
并对安全检查结果进行通报;
5)应制定安全审核和安全检查制度规范安
全审核和安全检查工作,定期按照程序
进行安全审核和安全检查活动。
安全管理制度管理
制度
1)应制定信息安全工作的
总体方针、政策性文件和
安全策略等,说明机构安
全工作的总体目标、范
围、方针、原则、责任等;
2)应对安全管理活动中重
要的管理内容建立安全
管理制度,以规范安全管
理活动,约束人员的行为
方式;
3)应对要求管理人员或操
作人员执行的重要管理
操作,建立操作规程,以
规范操作行为,防止操作
失误。
1)应制定信息安全工作的总体方针、政策
性文件和安全策略等,说明机构安全工
作的总体目标、范围、方针、原则、责
任等;
2)应对安全管理活动中的各类管理内容建
立安全管理制度,以规范安全管理活动,
约束人员的行为方式;
3)应对要求管理人员或操作人员执行的日
常管理操作,建立操作规程,以规范操
作行为,防止操作失误;
4)应形成由安全政策、安全策略、管理制
度、操作规程等构成的全面的信息安全
管理制度体系;
5)应由安全管理职能部门定期组织相关部
门和相关人员对安全管理制度体系的合
理性和适用性进行审定。
制定
和发
布
1)应在信息安全职能部门
的总体负责下,组织相关
人员制定;
1)应在信息安全领导小组的负责下,组织
相关人员制定;
2)应保证安全管理制度具有统一的格式风
2)应保证安全管理制度具有统一的格式风格,并进
行版本控制;
3)应组织相关人员对制定的安全管理进行论证和
审定;
4)安全管理制度应经过管理层签发后按照一定的
程序以文件形式发布。
格,并进行版本控制;
3)应组织相关人员对制定的安全管理进行论证和审定;
4)安全管理制度应经过管理层签发后按照一定的程序以文件形式发布;
5)安全管理制度应注明发布范围,并对收发文进行登记。
评审和修订1)应定期对安全管理制度
进行评审和修订,对存在
不足或需要改进的安全
管理制度进行修订。
1)应定期对安全管理制度进行评审和修
订,对存在不足或需要改进的安全管理
制度进行修订;
2)当发生重大安全事故、出现新的安全漏
洞以及技术基础结构发生变更时,应对
安全管理制度进行检查、审定和修订;
3)每个制度文档应有相应负责人或负责部
门,负责对明确需要修订的制度文档的
维护。
人员安全管理人员
录用
1)应保证被录用人具备基
本的专业技术水平和安
全管理知识;
2)应对被录用人的身份、背
景、专业资格和资质等进
行审查;
3)应对被录用人所具备的
技术技能进行考核;
4)应对被录用人说明其角
色和职责;
5)应签署保密协议。
1)应保证被录用人具备基本的专业技术水
平和安全管理知识;
2)应对被录用人的身份、背景、专业资格
和资质等进行审查;
3)应对被录用人所具备的技术技能进行考
核;
4)应对被录用人说明其角色和职责;
5)应签署保密协议;
6)从事关键岗位的人员应从内部人员选
拔,并定期进行信用审查;
7)从事关键岗位的人员应签署岗位安全协
议。
人员
离岗
1)应立即终止由于各种原
因即将离岗的员工的所
有访问权限;
1)应立即终止由于各种原因即将离岗的员
工的所有访问权限;
2)应取回各种身份证件、钥匙、徽章等以
2)应取回各种身份证件、钥匙、徽章等以及机构提供
的软硬件设备;
3)应经机构人事部门办理严格的调离手续,并承诺
调离后的保密义务后方
可离开。
及机构提供的软硬件设备;
3)应经机构人事部门办理严格的调离手续,并承诺调离后的保密义务后方可离
开。
人员考核1)应定期对各个岗位的人
员进行安全技能及安全
认知的考核;
2)应对关键岗位的人员进
行全面、严格的安全审
查;
3)应对违背安全策略和规
定的人员进行惩戒
1)应对所有人员进行全面、严格的安全审
查;
2)应定期对各个岗位的人员进行安全技能
及安全认知的考核;
3)应对考核结果进行记录并保存;
4)应对违背安全策略和规定的人员进行惩
戒。
安全意识教育和培训1)应对各类人员进行安全
意识教育;
2)应告知人员相关的安全
责任和惩戒措施;
3)应制定安全教育和培训
计划,对信息安全基础知
识、岗位操作规程等进行
培训;
4)应对安全教育和培训的
情况和结果进行记录并
归档保存。
1)应对各类人员进行安全意识教育;
2)应告知人员相关的安全责任和惩戒措
施;
3)应制定安全教育和培训计划,对信息安
全基础知识、岗位操作规程等进行培训;
4)应针对不同岗位制定不同培训计划;
5)应对安全教育和培训的情况和结果进行
记录并归档保存。
第三方人员访问管理1)第三方人员应在访问前
与机构签署安全责任合
同书或保密协议;
2)对重要区域的访问,必须
经过有关负责人的批准,
并由专人陪同或监督下
进行,并记录备案。
1)第三方人员应在访问前与机构签署安全
责任合同书或保密协议;
2)对重要区域的访问,须提出书面申请,
批准后由专人全程陪同或监督,并记录
备案;
3)对第三方人员允许访问的区域、系统、
设备、信息等内容应进行书面的规定,
并按照规定执行。
系统建设管理系统
定级
1)应明确信息系统划分的
方法;
2)应确定信息系统的安全
等级;
3)应以书面的形式定义确
定了安全等级的信息系
统的属性,包括使命、业
务、网络、硬件、软件、
数据、边界、人员等;
4)应确保信息系统的定级
结果经过相关部门的批
准。
1)应明确信息系统划分的方法;
2)应确定信息系统的安全等级;
3)应以书面的形式定义确定了安全等级的
信息系统的属性,包括使命、业务、网
络、硬件、软件、数据、边界、人员等;
4)应以书面的形式说明确定一个信息系统
为某个安全等级的方法和理由;
5)应组织相关部门和有关安全技术专家对
信息系统的定级结果的合理性和正确性
进行论证和审定;
6)应确保信息系统的定级结果经过相关部
门的批准。
安全
方案
设计
1)应根据系统的安全级别
选择基本安全措施,依据
风险分析的结果补充和
调整安全措施;
2)应以书面的形式描述对
系统的安全保护要求和
策略、安全措施等内容,
形成系统的安全方案;
3)应对安全方案进行细化,
形成能指导安全系统建
设和安全产品采购的详
细设计方案;
4)应组织相关部门和有关
安全技术专家对安全设
计方案的合理性和正确
性进行论证和审定;
5)应确保安全设计方案必
须经过批准,才能正式实
施。
1)应根据系统的安全级别选择基本安全措
施,依据风险分析的结果补充和调整安
全措施;
2)应指定和授权专门的部门对信息系统的
安全建设进行总体规划,制定近期和远
期的安全建设工作计划;
3)应根据信息系统的等级划分情况,统一
考虑安全保障体系的总体安全策略、安
全技术框架、安全管理策略、总体建设
规划和详细设计方案,并形成配套文件;
4)应组织相关部门和有关安全技术专家对
总体安全策略、安全技术框架、安全管
理策略、总体建设规划、详细设计方案
等相关配套文件的合理性和正确性进行
论证和审定;
5)应确保总体安全策略、安全技术框架、
安全管理策略、总体建设规划、详细设
计方案等文件必须经过批准,才能正式
实施;
6)应根据安全测评、安全评估的结果定期
机房等保三级要求
1.1 技术要求 (4) 1.1.1 物理安全 (4) 1.1.1.1 物理位置的选择(G3) (4) 1.1.1.2 物理访问控制(G3) (4) 1.1.1.3 防盗窃和防破坏(G3) (4) 1.1.1.4 防雷击(G3) (4) 1.1.1.5 防火(G3) (4) 1.1.1.6 防水和防潮(G3) (5) 1.1.2 结构安全(G3) (5) 1.1.2.2 访问控制(G3) (5) 1.1.2.4 边界完整性检查(S3) (5) 1.1.2.5 入侵防范(G3) (5) 1.1.2.6 恶意代码防范(G3) (6) 1.1.2.7 网络设备防护(G3) (6) 1.1.3 主机安全 (6) 1.1.3.1 身份鉴别(S3) (6) 1.1.3.2 访问控制(S3) (6) 1.1.3.3 安全审计(G3) (6) 1.1.3.4 剩余信息保护(S3) (7) 1.1.4 应用安全 (7) 1.1.4.1 身份鉴别(S3) (7) 1.1.4.2 访问控制(S3) (7) 1.1.4.5 通信完整性(S3) (7) 1.1.4.6 通信保密性(S3) (7)
1.1.5 数据安全及备份恢复 (8) 1.1.5.1 数据完整性(S3) (8) 1.1.5.2 数据保密性(S3) (8) 1.1.5.3 备份和恢复(A3) (8) 1.2 管理要求 (9) 1.2.1 安全管理制度 (9) 1.2.1.1 管理制度(G3) (9) 1.2.1.2 制定和发布(G3) (9) 1.2.2.2 人员配备(G3) (9) 1.2.2.3 授权和审批(G3) (9) 1.2.2.4 沟通和合作(G3) (9) 1.2.2.5 审核和检查(G3) (10) 1.2.3 人员安全管理 (10) 1.2.3.1 人员录用(G3) (10) 1.2.3.2 人员离岗(G3) (10) 1.2.3.3 人员考核(G3) (10) 1.2.3.4 安全意识教育和培训(G3) (10) 1.2.3.5 外部人员访问管理(G3) (11) 1.2.4 系统建设管理 (11) 1.2.4.1 系统定级(G3) (11) 1.2.4.2 安全方案设计(G3) (11) 1.2.4.3 产品采购和使用(G3) (11)
安全等级保护2级和3级等保要求-蓝色为区别2.
二级、三级等级保护要求比较一、技术要求 技术要求项二级等保三级等保 物理 安全 物理 位置 的选 择1)机房和办公场地应选择 在具有防震、防风和防雨 等能力的建筑内。 1)机房和办公场地应选择在具有防震、防 风和防雨等能力的建筑内; 2)机房场地应避免设在建筑物的高层或地 下室,以及用水设备的下层或隔壁; 3)机房场地应当避开强电场、强磁场、强 震动源、强噪声源、重度环境污染、易 发生火灾、水灾、易遭受雷击的地区。 物理访问控制1)机房出入口应有专人值 守,鉴别进入的人员身份 并登记在案; 2)应批准进入机房的来访 人员,限制和监控其活动 范围。 1)机房出入口应有专人值守,鉴别进入的 人员身份并登记在案; 2)应批准进入机房的来访人员,限制和监 控其活动范围; 3)应对机房划分区域进行管理,区域和区 域之间设置物理隔离装置,在重要区域 前设置交付或安装等过度区域; 4)应对重要区域配置电子门禁系统,鉴别 和记录进入的人员身份并监控其活动。 防盗窃和防破坏1)应将主要设备放置在物 理受限的范围内; 2)应对设备或主要部件进 行固定,并设置明显的不 易除去的标记; 3)应将通信线缆铺设在隐 蔽处,如铺设在地下或管 道中等; 4)应对介质分类标识,存储 在介质库或档案室中; 5)应安装必要的防盗报警 设施,以防进入机房的盗 窃和破坏行为。 1)应将主要设备放置在物理受限的范围 内; 2)应对设备或主要部件进行固定,并设置 明显的无法除去的标记; 3)应将通信线缆铺设在隐蔽处,如铺设在 地下或管道中等; 4)应对介质分类标识,存储在介质库或档 案室中; 5)设备或存储介质携带出工作环境时,应 受到监控和内容加密; 6)应利用光、电等技术设置机房的防盗报 警系统,以防进入机房的盗窃和破坏行 为;
二级等保机房建设项目
5.1 概述 非常感谢xx能够给我们这次机会,使我们有幸为xx安全等保机房改造项目提供设计说明。我们将通过业界最佳性能的多厂家产品,设计经过实践验证的、高性能的机房解决方案。 经过对据等保机房建设要求的深刻理解,本次机房建设遵从信息安全等级保护二级的要求和规范进行详细设计,本方案采用的新材料、设备、工艺和技术,其目的是为了更好地保证机房的温度、湿度、洁净度、照度、防静电、防干扰、防震动、防雷电、及时监控等,能充分满足计算机设备的安全可靠地运行,延长计算机系统使用寿命的要求,同时又要给系统管理员创造一个舒适、典雅的环境。因此,在设计上要求充分考虑设备布局、功能划分、整体效果、装饰风格,体现现代机房的特点和风貌。 5.2 机房设计原则 xx安全等保机房改造的设计必须满足当前各项业务需求应用,又面向未来快速增长的发展需求,因此必须是高质量的、灵活的、开放的。我们在进行xx 安全等保机房改造设计时,遵循以下设计原则: 实用性和先进性 采用先进成熟的技术和设备,满足当前xx安全网站的业务要求,兼顾未来的业务要求,尽可能采用先进技术、设备和材料,以适应高速的数据传输需要,使整个系统在一段时间内保持技术的先进性,并具有良好的发展潜力,以适应未来业务的发展和技术上升的需要。 安全可靠性 为保证各项业务的应用,网络必须具有高可靠性,决不能出现单点故障。要对xx安全等保机房改造的布局、结构设计、设备选型、日常维护等各方面进行高可靠性的设计和建设。在关键设备采用硬件备份、冗余等可靠性技术基础上,采用相关的软件技术提供较强的管理机制、控制手段和事故监控与安全保密等技
术措施提高电脑机房的安全可靠性。 灵活性和扩展性 xx安全等保机房改造项目必须具有良好的灵活性和可扩展性,能够根据业务不断深入发展的需要,扩大设备容量和提高办公化质量的功能。 标准化 xx安全等保机房改造系统的结构设计,基于国标标准和国家颁布的有关标准,包括各种建设、机房设计标准,电力电气保障标准,坚持统一规范的原则,从而为未来的业务的发展,设备增容奠定基础。 经济性/投资保护 应以较高的性能价格比构建机房改造,使资金的产出投入比达到最大值。能以较低的成本、较少的投入来维持系统运转,提供高效能与高效益。尽可能保留并延长已有系统的投资,充分利用以往在资金与技术方面的投入。 可管理性 由于xx安全等保机房改造项目具有一定的复杂性,随着业务的不断发展,管理的任务必定会日益繁重。所选用的设备应具有智能化,可管理的功能,可以迅速确定故障,提高的运行性能、可靠性,简化机房管理人员的维护工作,从而为xx安全等保机房改造安全、可靠的运行提供最有力的保障。 在这份项目设计说明中,我们希望与xx安全网站项目部多多交流,利用我们对机房改造的实施经验和观点,以便在短期内完成机房改造的建设工作。我们的设计原则是着重于高扩充性,高可靠性。 5.3机房功能区划分 依据与客户沟通的结果,结合信息安全等级保护二级要求建设不同功能区实现物理隔离的要求,本次机房规划功能区如下: 机房总面积XX平方米,划分成2个功能区:网络机房区和动力控制区。 1、网络机房区面积约XXm2,用于摆放网络服务器机柜、及计算机网络设备 等。 2、动力控制区面积XX m2,,用于摆放电源配电柜、UPS机头、空调等设备。
机房等保三级要求
物理位置的选择(G3).................................................. 错误!未定义书签。 物理访问控制(G3).................................................... 错误!未定义书签。 防盗窃和防破坏(G3).................................................. 错误!未定义书签。 防雷击(G3).......................................................... 错误!未定义书签。 防火(G3)............................................................ 错误!未定义书签。 防水和防潮(G3)...................................................... 错误!未定义书签。结构安全(G3).............................................................. 错误!未定义书签。 访问控制(G3)........................................................ 错误!未定义书签。 边界完整性检查(S3).................................................. 错误!未定义书签。 入侵防范(G3)........................................................ 错误!未定义书签。 恶意代码防范(G3).................................................... 错误!未定义书签。 网络设备防护(G3).................................................... 错误!未定义书签。 主机安全.................................................................. 错误!未定义书签。 身份鉴别(S3)........................................................ 错误!未定义书签。 访问控制(S3)........................................................ 错误!未定义书签。 安全审计(G3)........................................................ 错误!未定义书签。 剩余信息保护(S3).................................................... 错误!未定义书签。 应用安全.................................................................. 错误!未定义书签。 身份鉴别(S3)........................................................ 错误!未定义书签。 访问控制(S3)........................................................ 错误!未定义书签。 通信完整性(S3)...................................................... 错误!未定义书签。 通信保密性(S3)...................................................... 错误!未定义书签。 抗抵赖(G3).......................................................... 错误!未定义书签。 软件容错(A3)........................................................ 错误!未定义书签。 资源控制(A3)........................................................ 错误!未定义书签。 数据安全及备份恢复........................................................ 错误!未定义书签。 数据完整性(S3)...................................................... 错误!未定义书签。
机房等级与等保
2.机房建设标准 电子信息机房 GB50174-2008标准 机房各技术参数标准表 项目 技术要求 备注 B 级 C 级 A 级 环境要求 主机房温度(开 23 ℃±1℃18~28 °C 机时) 主机房相对湿度 45%~ 55%35~75%不得结露(开机时) 主机房温度(停 5℃~35 ℃ 机时) 主机房相对湿度 40%~ 70%20%~ 80%(停机时) 主机房和辅助区 温度变化率(开、<5 ℃/h< 10℃/h 停机时) 辅助区温度、相 18~28 °C、35~75%不得结露 对湿度(开机时) 辅助区温度、相 5~35 °C、 20~80% 对湿度(停机时) 不间断电源系统 15~25 °C 电池室温度 每升空气中 应满足电子 每升空气中大 含尘浓度(静态大于 0.5 μm 的尘 于 0.5 μm 的尘粒数信息设备的下测试)粒数应少于 应少于 18000粒要求 18000 粒 建筑与结构 主机房活荷载标 根据机柜的 8~ 108~10摆放密度确8~10 准值( kN/m2 ) 定荷载值
主机房吊挂荷载 1.2 1.2 1.2—( kN/m2 ) 不间断电源系统 室活荷载标准值8~108~ 108~10—(kN/m2 ) 可根据根据 电池室活荷载标 161616电池待机时 准值( kN/m2 )间调整荷载 标准 钢瓶间活荷载标 888—准值( kN/m2 ) 主机房外墙设采 不宜设置窗户不宜设置窗户——光窗 防静电活动地板不宜小于不宜小于作为空调静 高度400mm400mm压箱时防静电活动地板不宜小于不宜小于仅作为电缆高度250mm250mm布线使用时屋面的防水等级ⅠⅠⅡ— 空气调节 主机房和辅 助区设置空应可— 气调节系统 不间断电源 系统电池室 宜可—设置空调降 温系统 主机房保持 应可—正压 机房专用空 N+X 冗余 (X=1~N+1 冗余 N)主机房中每个区域主机房中每N— 调 冗余X台个区域冗余 X 台 主机房设置不应不宜允许、但不建议—
机房等保三级要求
1.1 技术要求4 欧阳歌谷(2021.02.01) 1.1.1 物理平安4 1.1.1.1 物理位置的选择(G3)4 1.1.1.2 物理拜访控制(G3)4 1.1.1.3 防偷盗和防破坏(G3)5 1.1.1.4 防雷击(G3)5 1.1.1.5 防火(G3)5 1.1.1.6 防水和防潮(G3)6 1.1.2 结构平安(G3)6 1.1. 2.2 拜访控制(G3)7 1.1. 2.4 鸿沟完整性检查(S3)7 1.1. 2.5 入侵防备(G3)7 1.1. 2.6 歹意代码防备(G3)8 1.1. 2.7 网络设备防护(G3)8 1.1.3 主机平安8 1.1.3.1 身份鉴别(S3)8 1.1.3.2 拜访控制(S3)9 1.1.3.3 平安审计(G3)9 1.1.3.4 剩余信息呵护(S3)10 1.1.4 应用平安10
1.1.4.1 身份鉴别(S3)10 1.1.4.2 拜访控制(S3)11 1.1.4.5 通信完整性(S3)11 1.1.4.6 通信保密性(S3)12 1.1.4.7 抗承认(G3)12 1.1.4.8 软件容错(A3)12 1.1.4.9 资源控制(A3)12 1.1.5 数据平安及备份恢复13 1.1.5.1 数据完整性(S3)13 1.1.5.2 数据保密性(S3)13 1.1.5.3 备份和恢复(A3)14 1.2 管理要求14 1.2.1 平安管理制度14 1.2.1.1 管理制度(G3)14 1.2.1.2 制定和宣布(G3)15 1.2.2.2 人员配备(G3)15 1.2.2.3 授权和审批(G3)15 1.2.2.4 沟通和合作(G3)16 1.2.2.5 审核和检查(G3)16 1.2.3 人员平安管理17 1.2.3.1 人员录用(G3)17 1.2.3.2 人员离岗(G3)17
医院机房改造及等保
中心医院机房改造及等保 招标方案 1、现有机房整体概述 中心医院,现有数据中心,建筑面积64平米,其中玻璃隔断内,32平米,作为设备机房,其余32平米,目前为仓库。设备机房内,有家用柜式空调1台、挂式空调1台、UPS电池柜2个、设备机柜3个、配线柜1个。 目前数据中心平面布局图: 2、机房改造方案 针对医院实际情况,结合《河南省数字化医院评审标准》,根据评审内容,进行逐项改造。 2.1 机房面积要求及分区要求 评审标准: “机房面积(床位<500张,面积>=60m2;床位<1000张,面积>=80m2;床位<2000张,面积>=100m2;床位>=2000张,面积>=140m2),编制床位与机房实际面
积相符(3分)” “分区合理:至少具备设备间、电池间、维修间、办公区(3分)” 调整后的机房平面图: 情况目前机房玻璃隔断外侧房间内的货物,在此处新增模块化机房,1个控制柜,4个设备柜,其中控制柜内含:精密行间空调、UPS、电池、配电、监控。模块化机房建设完成后,将玻璃隔断内,现有设备机柜内的设备,搬迁至新建成的设备柜内,玻璃隔断内的机柜腾空,原有电池及UPS弃用,拆除电池线,保留电池,将玻璃隔断内,作为电池间。 此次调整后机房面积概述: 2.2 防静电地板、防雷接地 评审标准: “具有防静电地板(2分)、具有防雷接地设施(2分)” 考虑原有机房防静电地板老旧,已有部分损坏,且属于旧式包边地板,美观度不好,故整个机房,全部新铺防静电地板。 地板下方做静电泄流网、防雷等电位铜排。
2.3 防生物侵害 评审标准: “防生物侵害设施:具有入口防护、电源和信号线的线路防护等措施(2分)” 窗户、孔洞封堵:将机房现有窗户、孔洞,按照机房建设标准化要求,进行封堵,防止有害生物进入。 入口防护:入口加生物防护装置。 电源和信号线的线路防护,机房内部,对现有电源线、光纤、网线、信号线,增加波纹管、缠绕管,以达到防生物侵害的目的。 2.4 气体灭火设施 评审标准: “机房具有气体灭火设施(2分)” 机房体积:252立方米,使用七氟丙烷气体灭火装置,配备报警主机、灭火控制器、感烟探测器、感温探测器、声光报警器、联网卡、泄压装置。
机房等保三级要求
1.1 技术要求 (3) 1.1.1 物理安全 (3) 1.1.1.1 物理位置的选择(G3) (3) 1.1.1.2 物理访问控制(G3) (3) 1.1.1.3 防盗窃和防破坏(G3) (3) 1.1.1.4 防雷击(G3) (4) 1.1.1.5 防火(G3) (4) 1.1.1.6 防水和防潮(G3) (4) 1.1.2 结构安全(G3) (4) 1.1.2.2 访问控制(G3) (5) 1.1.2.4 边界完整性检查(S3) (5) 1.1.2.5 入侵防(G3) (5) 1.1.2.6 恶意代码防(G3) (5) 1.1.2.7 网络设备防护(G3) (6) 1.1.3 主机安全 (6) 1.1.3.1 身份鉴别(S3) (6) 1.1.3.2 访问控制(S3) (6) 1.1.3.3 安全审计(G3) (7) 1.1.3.4 剩余信息保护(S3) (7) 1.1.4 应用安全 (8) 1.1.4.1 身份鉴别(S3) (8) 1.1.4.2 访问控制(S3) (8) 1.1.4.5 通信完整性(S3) (8) 1.1.4.6 通信性(S3) (8) 1.1.4.7 抗抵赖(G3) (9) 1.1.4.8 软件容错(A3) (9) 1.1.4.9 资源控制(A3) (9) 1.1.5 数据安全及备份恢复 (9) 1.1.5.1 数据完整性(S3) (9) 1.1.5.2 数据性(S3) (10) 1.1.5.3 备份和恢复(A3) (10) 1.2 管理要求 (10) 1.2.1 安全管理制度 (10) 1.2.1.1 管理制度(G3) (10) 1.2.1.2 制定和发布(G3) (11) 1.2.2.2 人员配备(G3) (11) 1.2.2.3 授权和审批(G3) (11) 1.2.2.4 沟通和合作(G3) (11) 1.2.2.5 审核和检查(G3) (12) 1.2.3 人员安全管理 (12) 1.2.3.1 人员录用(G3) (12) 1.2.3.2 人员离岗(G3) (12) 1.2.3.3 人员考核(G3) (13) 1.2.3.4 安全意识教育和培训(G3) (13) 1.2.3.5 外部人员访问管理(G3) (13) 1.2.4 系统建设管理 (13)
等级保护机房构建
等级保护机房构建 本文针对目前严峻的网络安全形势,介绍了信息安全等级保护机房建设内容,按照《信息系统安全等级保护基本要求》等规范,从物理位置、网络平台搭建、技术安全策略等一一落实,为等级保护工作提供参考。等级保护是我国的信息安全基本国策,强制执行,是信息安全工作的主要抓手之一。同时,也是信息安全从业人员必须了解掌握的知识领域。 1.概述 当前,互联网高速发展,网络信息技术已经嵌入到各行各业乃至人们的日常生活中。针对基础信息网络和重要信息系统的攻击持续上升,网络违法犯罪日益猖獗,信息安全形势严峻,维护网络信息安全刻不容缓。 2004年,公安部等四部委会签了《关于信息安全等级保护工作的实施意见》,将信息系统安全保护等级分为五级,即:自主保护级、指导保护级、监督保护级、强制保护级和专控保护级。 《中华人民共和国网络安全法》2017年6月1日起施行,对保障网络安全,促进经济社会信息化健康发展做出了明确要求,网络安全上规定实行等级保护制度。等级保护是我国信息安全基本策略,强制执行。 2.等保机房规划 2.1 建设目标 为贯彻落实等级保护制度,提高信息安全保障水平,汕头联通在上级有关单位大力支持下,依托网络资源与技术能力,规划建设符合信息安全等级保护二级标准的安全机房,为粤东地区企事业单位提供一站式网站托管服务。 2.2 主要设计依据 《信息系统安全等级保护基本要求》(GB/T22239-2008) 《电子计算机机房设计规范》(GB50174-93) 《低压配电设计规范》(GB50054-95) 《通信机房静电防护通则》(YD/T754-95) 《环境电磁卫生标准》(GB9175-88) 《电磁辐射防护规定》(GB8702-88) 《七氟丙烷(HFC-227ea)洁净气体灭火系统设计规范》(DBJ15-23-1999) 《通风与空调工程施工及验收规范》(GB50243-97) 2.3 机房选址 汕头联通等保机房选址高新区杰思信息大厦二楼IDC机房。该机房有较强的防震、防风和防雨能力,隔壁以及上层无用水设备。机房配备七氟丙烷气体灭火系统,铺设防静电架空地板,配置艾默生等机房专用空调5台,具备2路市电及柴油发电机。同时,杰思机房配套了电子门禁系统,24小时值守,执行严格的通信局房管理制度。 杰思IDC机房满足信息安全等级保护二、三级系统对于物理安全建设的各项要求。 2.4 机房建设方案 依据“分期建设,按需扩展”原则,汕头联通“等保云平台”一期建设配置3个标准19英寸机柜,安装网络安全设备和服务器,后期按技术进展与市场需求逐级扩充业务机柜。 1号机柜:网络机柜,主要承载“等保云平台”专用网络核心网络设备及安全设备。 2号机柜:服务器机柜,主要承载“等保云平台”核心业务域服务器。 3号机柜:服务器机柜,主要承载“等保云平台”托管服务域1台中转服务器、安全托管服务器及云安全主机业务。 3.方案实施 3.1 网络构建 “等保云平台”设计为全千兆专用网络,网络结构由2台核心路由器(1主1备)、2台防火墙(1主1备)、2台三层交换机(1主1备)、1台入侵检测设备、2台汇聚交换机构成,承载汕头联通等保机房各应用系统正常运行。 该专用网络采用核心层冗余结构,在核心层设备全部正常运行的情况下能实现数据均衡,提高冗余设备可用性。核心层任意单一网络设备离线均不影响网络正常通讯,确保专用网络高可靠性。 网络结构: 图1 “等保云平台”网络拓扑图 3.2 网络安全建设 依据《信息系统安全等级保护基本要求》,网络安全建设需满足基本要求:结构安全、边界完整性、访问控制、安全审计、入侵防范及恶意代码防范。 汕头联通“等保云平台”专用网络划分不同的子网、网段,建立安全域,重要网段与其他网段之间采取访问控制及防火墙等技术隔离手段,以重要次序指定带宽分配优先级别,保证在网络拥堵时优先保护重要信息系统,满足结构安全要求。 专用网络对非授权设备私自连接到内部网络的行为进行检查,准确定位,并有效阻断;对内部用户私自连接到外部网络的行为进行检查,准确定位,并有效阻断,满足边界完整性要求。 网络边界部署防火墙、访问控制设备,提供明确的允许/拒绝访问能力,控制粒度为端口级。对进出网络的信息内容进行过滤,对应用层
新机房建设等保要求.doc
一、技术要求 技术要求项二级等保三级等保 物理1)机房和办公场地应选择1)机房和办公场地应选择在具有防震、防在具有防震、防风和防雨风和防雨等能力的建筑内; 安全 物理 等能力的建筑内。2)机房场地应避免设在建筑物的高层或地位置 下室,以及用水设备的下层或隔壁; 的选 3)机房场地应当避开强电场、强磁场、强择 震动源、强噪声源、重度环境污染、易 发生火灾、水灾、易遭受雷击的地区。 物理1)机房出入口应有专人值1)机房出入口应有专人值守,鉴别进入的 访问守,鉴别进入的人员身份人员身份并登记在案; 控制并登记在案;2)应批准进入机房的来访人员,限制和监2)应批准进入机房的来访控其活动范围; 人员,限制和监控其活动3)应对机房划分区域进行管理,区域和区 范围。域之间设置物理隔离装置,在重要区域 前设置交付或安装等过度区域; 4)应对重要区域配置电子门禁系统,鉴别 和记录进入的人员身份并监控其活动。 防盗1)应将主要设备放置在物1)应将主要设备放置在物理受限的范围 窃和理受限的范围内;内; 防破2)应对设备或主要部件进2)应对设备或主要部件进行固定,并设置 坏行固定,并设置明显的不明显的无法除去的标记; 易除去的标记;3)应将通信线缆铺设在隐蔽处,如铺设在3)应将通信线缆铺设在隐地下或管道中等; 蔽处,如铺设在地下或管4)应对介质分类标识,存储在介质库或档 道中等;案室中; 4)应对介质分类标识,存储5)设备或存储介质携带出工作环境时,应在介质库或档案室中;受到监控和内容加密; 5)应安装必要的防盗报警6)应利用光、电等技术设置机房的防盗报设施,以防进入机房的盗警系统,以防进入机房的盗窃和破坏行 窃和破坏行为。为; 7)应对机房设置监控报警系统。 防雷1)机房建筑应设置避雷装1)机房建筑应设置避雷装置; 击置;2)应设置防雷保安器,防止感应雷;
机房等保三级技术要求(加分类)
技术测评要求 (S3A3G3)等级保护三级技术类测评控制点(S3A3G3) 类别序号 物理 1. 位置 的选 2. 择 3. 物理 4.物理访问 安全控制 5. 6. 7. 防盗 窃和8. 防破 坏 9. 测评内容 机房和办公场地应选择在具有防震、防风和防 雨等能力的建筑内。( G2) 机房场地应避免设在建筑物的高层或地下室, 以及用水设备的下层或隔壁。( G3) 机房出入口应安排专人值守,控制、鉴别和记 录进入的人员。( G2) 需进入机房的来访人员应经过申请和审批流 程,并限制和监控其活动范围。( G2) 应对机房划分区域进行管理,区域和区域之间 设置物理隔离装置,在重要区域前设置交付或 安装等过渡区域。( G3) 重要区域应配置电子门禁系统,控制、鉴别和 记录进入的人员。( G3) 应将主要设备放置在机房内。( G2) 应将设备或主要部件进行固定,并设置明显的 不易除去的标记。( G2) 应将通信线缆铺设在隐蔽处,可铺设在地下或 管道中。( G2) 符合情况 测评方法结果记录 Y N 访谈,检查。 物理安全负责人,机房,办公场地, 机房场地设计/ 验收文档。 访谈,检查。 物理安全负责人,机房值守人 员,机房,机房安全管理制度, 值守记录,进入机房的登记记 录,来访人员进入机房的审批记 录。 访谈,检查。 物理安全负责人,机房维护人员, 资产管理员,机房设施,设备管 理制度文档,通信线路布线文 档,报警设施的安装测试/ 验收报
等级保护三级技术类测评控制点(S3A3G3) 类别 防雷 击 防火 防水 和防 潮 序号测评内容 10. 应对介质分类标识,存储在介质库或档案室中。 ( G2) 11. 应利用光、电等技术设置机房防盗报警系统。 ( G3) 12.应对机房设置监控报警系统。( G3) 13.机房建筑应设置避雷装置。( G2) 14.应设置防雷保安器,防止感应雷。(G3) 15.机房应设置交流电源地线。( G2) 机房应设置火灾自动消防系统,能够自动检测 16. 火情、自动报警,并自动灭火。( G3) 机房及相关的工作房间和辅助房应采用具有耐 17. 火等级的建筑材料。( G3) 机房应采取区域隔离防火措施,将重要设备与 18. 其他设备隔离开。( G3) 水管安装,不得穿过机房屋顶和活动地板下。 19. (G2) 应采取措施防止雨水通过机房窗户、屋顶和墙 20. 壁渗透。( G2) 应采取措施防止机房内水蒸气结露和地下积水 21. 的转移与渗透。( G2) 22.应安装对水敏感的检测仪表或元件,对机房进 符合情况 测评方法结果记录 Y N 告。 访谈,检查。 物理安全负责人,机房维护人员, 机房设施(避雷装置,交流电源地 线),建筑防雷设计 / 验收文档。 访谈,检查。 物理安全负责人,机房值守人员, 机房设施,机房安全管理制度,机 房防火设计 / 验收文档,火灾自 动报警系统设计/ 验收文档。 访谈,检查。 物理安全负责人,机房维护人员, 机房设施(上下水装置,除湿装置), 建筑防水和防潮设计 / 验收文 档。
机房等保三级要求之欧阳家百创编
1.1 技术要求4 欧阳家百(2021.03.07) 1.1.1 物理平安4 1.1.1.1 物理位置的选择(G3)4 1.1.1.2 物理拜访控制(G3)4 1.1.1.3 防偷盗和防破坏(G3)5 1.1.1.4 防雷击(G3)5 1.1.1.5 防火(G3)5 1.1.1.6 防水和防潮(G3)6 1.1.2 结构平安(G3)6 1.1. 2.2 拜访控制(G3)6 1.1. 2.4 鸿沟完整性检查(S3)7 1.1. 2.5 入侵防备(G3)7 1.1. 2.6 歹意代码防备(G3)7 1.1. 2.7 网络设备防护(G3)8 1.1.3 主机平安8 1.1.3.1 身份鉴别(S3)8 1.1.3.2 拜访控制(S3)9 1.1.3.3 平安审计(G3)9 1.1.3.4 剩余信息呵护(S3)10 1.1.4 应用平安10 1.1.4.1 身份鉴别(S3)10
1.1.4.2 拜访控制(S3)11 1.1.4.5 通信完整性(S3)11 1.1.4.6 通信保密性(S3)11 1.1.4.7 抗承认(G3)11 1.1.4.8 软件容错(A3)12 1.1.4.9 资源控制(A3)12 1.1.5 数据平安及备份恢复13 1.1.5.1 数据完整性(S3)13 1.1.5.2 数据保密性(S3)13 1.1.5.3 备份和恢复(A3)13 1.2 管理要求14 1.2.1 平安管理制度14 1.2.1.1 管理制度(G3)14 1.2.1.2 制定和宣布(G3)14 1.2.2.2 人员配备(G3)14 1.2.2.3 授权和审批(G3)15 1.2.2.4 沟通和合作(G3)15 1.2.2.5 审核和检查(G3)16 1.2.3 人员平安管理16 1.2.3.1 人员录用(G3)16 1.2.3.2 人员离岗(G3)17 1.2.3.3 人员考核(G3)17 1.2.3.4 平安意识教育和培训(G3)17
机房等保三级技术要求(加分类)
机房等保三级技术要求(加分
技术测评要求(S3A3G3) 等级保护二级技术类测评控制点(S3A3G3) 类别 序 号测评内容测评方法结果记录 符合情 况 Y N 物理安全物 理 位 置 的 选 择 1. 机房和办公场地应选择在具 有防震、防风和防雨等能力 的建筑内。 (G2 访谈,检查。 物理房场地公场人验 机房场地设计/验2. 机房场地应避免设在建筑物 的高层或地下室, 以及用水设备的下层或隔 壁。(G3 物 3.机房出入口应安排专人物理安全检查人,
等级保护三级技术类测评控制点(S3A3G3)类别测评内容 理访问控制 值守,控制、鉴别和记录进 入的人员。(G2)需进入 机房的来访人员应经过申请 和审批流程,并限制和监控 其活动范围。(G2) 应对机房划分区域进行 5.管理,区域和区域之间设置 物理隔离装置,在 结果记录 符合情 况 Y N 测评方法
等级保护二级技术类测评控制点(S3A3G3) 类别 序 号 测评内容测评方法结果记录 符合情 况 Y N 重要区域前设置父付或安装 等过渡区域。(G3 6.重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。(G3 防盗窃和7. 应将主要设备放置在机房 内。(G2 。 人 ^ 房 制 * 杳 盲 鸽 报 检 人 甲 ‘ 谈 文 访 8. 应将设备或主要部件进行固 定,并设置明显的
等级保护二级技术类测评控制点(S3A3G3) 类别 序 号测评内容测评方法结果记录 符合情 况 Y N 防破坏 不易除去的标记。(G2)施的安报测试 /验9. 应将通信线缆铺设在隐蔽 处,可铺设在地下或管道 中。(G2) 10.应对介质分类标识,存储在 介质库或档案室中。(G2) 11. 应利用光、电等技术设置机 房防盗报警系统。
机房等保三级要求
技术要求...................................................................... 错误!未定义书签。 物理安全.................................................................. 错误!未定义书签。 物理位置的选择(G3).................................................. 错误!未定义书签。 物理访问控制(G3).................................................... 错误!未定义书签。 防盗窃和防破坏(G3).................................................. 错误!未定义书签。 防雷击(G3).......................................................... 错误!未定义书签。 防火(G3)............................................................ 错误!未定义书签。 防水和防潮(G3)...................................................... 错误!未定义书签。结构安全(G3).............................................................. 错误!未定义书签。 访问控制(G3)........................................................ 错误!未定义书签。 边界完整性检查(S3).................................................. 错误!未定义书签。 、 入侵防范(G3)........................................................ 错误!未定义书签。 恶意代码防范(G3).................................................... 错误!未定义书签。 网络设备防护(G3).................................................... 错误!未定义书签。 主机安全.................................................................. 错误!未定义书签。 身份鉴别(S3)........................................................ 错误!未定义书签。 访问控制(S3)........................................................ 错误!未定义书签。 安全审计(G3)........................................................ 错误!未定义书签。 剩余信息保护(S3).................................................... 错误!未定义书签。 应用安全.................................................................. 错误!未定义书签。 身份鉴别(S3)........................................................ 错误!未定义书签。 访问控制(S3)........................................................ 错误!未定义书签。 ? 通信完整性(S3)...................................................... 错误!未定义书签。 通信保密性(S3)...................................................... 错误!未定义书签。 抗抵赖(G3).......................................................... 错误!未定义书签。 软件容错(A3)........................................................ 错误!未定义书签。 资源控制(A3)........................................................ 错误!未定义书签。 数据安全及备份恢复........................................................ 错误!未定义书签。 数据完整性(S3)...................................................... 错误!未定义书签。 数据保密性(S3)...................................................... 错误!未定义书签。 备份和恢复(A3)...................................................... 错误!未定义书签。 管理要求.................................................................. 错误!未定义书签。 安全管理制度.............................................................. 错误!未定义书签。 ; 管理制度(G3)........................................................ 错误!未定义书签。 制定和发布(G3)...................................................... 错误!未定义书签。 人员配备(G3)........................................................ 错误!未定义书签。 授权和审批(G3)...................................................... 错误!未定义书签。 沟通和合作(G3)...................................................... 错误!未定义书签。 审核和检查(G3)...................................................... 错误!未定义书签。 人员安全管理.............................................................. 错误!未定义书签。 人员录用(G3)........................................................ 错误!未定义书签。 人员离岗(G3)........................................................ 错误!未定义书签。 人员考核(G3)........................................................ 错误!未定义书签。 安全意识教育和培训(G3).............................................. 错误!未定义书签。 " 外部人员访问管理(G3)................................................ 错误!未定义书签。 系统建设管理.............................................................. 错误!未定义书签。
等保测评2级和3级和4级
1.第二级安全要求 1.1 安全通要求 1.1.1 安全物理环境 1.1.1.1 物理位置 a)机房场地应选择在具有防震、防风、和防雨能力的建筑内; b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 1.1.1.2 物理访问控制 机房出入口应该安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。 机房出入口应设置电子门禁系统、控制、鉴别和记录进入的人员。 重要区域应配置第二道电子门禁系统,控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏 a)应将主要设备或主要部件进行固定,并设置明显的不易除去的标识; b)应将通信线缆铺设在隐蔽安全处。 c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。 1.1.1.4 防雷击 a)应将各类机柜、设施和设备等通过接地系统安全接地。 b)应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。 1.1.1.5 防火 a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。 c)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。 1.1.1.6 防水和防潮 a)应采取措施防止雨水通过窗户、屋顶和墙壁渗透; b)应采取措施防止机房内水蒸气结露和地下积水的转移和渗透。 c)应安装对水敏感检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电 a)应采用防静电地板或地面采用必要的接地防静电措施。 b)应采取措施防止静电的产生,例如采用静电消除器、佩戴静电手环等。
1.1.1.8 温湿度控制 应设置温湿度自动调节设施,使机房温湿度变化在设备运行所允许的范围。 1.1.1.9 电力供应 a)应在机房供电线路上配置稳压器和过电压防护设备; b)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。 c)应设置冗余或并行的电力线缆线路为计算机系统供电。 d)应提供应急供电设施 1.1.1.10 电磁保护 a)电源线和通信线缆应隔离铺设,避免相互干扰。 b)应对关键设备或关键区域实施电磁屏蔽 1.1.2 安全通信网络 1.1. 2.1 网络架构 本项基本要求: a)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址; b)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 c)应保证网络设备的业务处理能力满足业务高峰期需要; d)应保证网络各个部分带宽满足业务高峰期需要; e)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。 f)应按照业务服务的重要程度分配带宽,优先保障重要业务。 1.1. 2.2 通信传输 a)应采用校验技术保证通信过程中数据的完整性。 b)应采用密码技术保证通信过种中数据的保密性。 c) 应在通信前基千密码技术对通信的双方进行验证或认证; d) 应基于硬件密码模块对重要通信过程进行密码运算和密钥管理。 1.1. 2.3 可信验证 可基于可信根对通信设备的系统引导程序、重要配置参数和通信应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送到安全管理中心。 可基于可信根对通信设备的系统引导程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送到安全管理中心。 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行