“一级信息系统安全保护”的基本要求.doc

第一级基本要求 安全保护基本要求 （摘自《信息系统安全等级保护基本要求》（GB/T 22239-2008），供一级系统各单位参考。） 一．技术要求 1．物理安全 1．1物理访问控制（G1） 机房出入应安排专人负责，控制、鉴别和记录进入的人员。 1．2防盗窃和防破坏（G1） 本项要求包括： 应将主要设备放置在机房内； 应将设备或主要部件进行固定，并设置明显的不易除去的标记。 1．3防雷击（G1） 机房建筑应设置避雷装置。 1．4防火（G1） 机房应设置灭火设备。 1．5防水和防潮（G1） 本项要求包括： 应对穿过机房墙壁和楼板的水管增加必要的保护措施； 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 1．6温湿度控制（G1） 机房应设置必要的温、湿度控制设施，使机房温、湿度的变化在设备运行所允许的范围之内。 1．7电力供应（A1） 应在机房供电线路上配置稳压器和过电压防护设备。 2．网络安全 2．1结构安全（G1） 本项要求包括： 应保证关键网络设备的业务处理能力满足基本业务需要； 应保证接入网络和核心网络的带宽满足基本业务需要； 应绘制与当前运行情况相符的网络拓扑结构图。 2．2访问控制（G1） 本项要求包括： 应在网络边界部署访问控制设备，启用访问控制功能； 应根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包出入； 应通过访问控制列表对系统资源实现允许或拒绝用户访问，控制粒度至少为用户组。 网络设备防护（G1） 本项要求包括： 应对登录网络设备的用户进行身份鉴别； 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施； 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。 3．主机安全 3．1身份鉴别（S1） 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。 3．2访问控制（S1） 本项要求包括： 应启用访问控制功能，依据安全策略控制用户对资源的访问； 应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令； 应及时删除多余的、过期的帐户，避免共享帐户的存在。 3．3入侵防范（G1） 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并保持系统补丁及时得到更新。 3．4恶意代码防范（G1） 应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库。 4．应用安全 4．1身份鉴别（S1） 本项要求包括： 应提供专用的登录控制模块对登录用户进行身份标识和鉴别； 应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； 应启用身份鉴别和登录失败处理功能，并根据安全策略配置相关参数。 4．2访问控制（S1） 本项要求包括： 应提供访问控制功能控制用户组/用户对系统功能和用户数据的访问； 应由授权主体配置访问控制策略，并严格限制默认用户的访问权限。 4．3通信完整性（S1） 应采用约定通信会话方式的方法保证通信过程中数据的完整性。 4．4软件容错（A1） 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。 5．数据安全及备份恢复 5．1数据完整性（S1） 应能够检测到重要用户数据在传输过程中完整性受到破坏。 5．2备份和恢复（A1） 应能够对重要信息进行备份和恢复。 二．管理要求 1．安全管理制度 1．1管理制度（G1） 应建立日常管理活动中常用的安全管理制度。 1．2制定和发布（G1） 本项要求包括： 应指定或授权专门的人员负责安全管理制度的制定； 应将安全管理制度以某种方式发布到相关人员手中。 2．安全管理机构 2．1岗位设置（G1） 应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责。 2．2人员配备（G1） 应配备一定数量的系统管理员、网络管理员、安全管理员等。 2．3授权和审批（G1） 应根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批。 2．4沟通和合作（G1） 应加强与兄弟单位、公安机关、电信公司的合作与沟通。 3．人员管理 本项要求包括： 应指定或授权专门的部门或人员负责人员录用； 应对被录用人员的身份和专业资格等进行审查，并确保其具有基本的专业技术水平和安全管理知识。 3．2人员离岗（G1） 本项要求包括： 应立即终止由于各种原因离岗员工的所有访问权限； 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。 3．3安全意识教育和培训（G1） 本项要求包括： 应对各类人员进行安全意识教育和岗位技能培训； 应告知人员相关的安全责任和惩戒措施。 3．4外部人员访问管理（G1） 应确保在外部人员访问受控区域前得到授权或审批。 4．