| 信息安全整改技術(shù)標(biāo)準(zhǔn) |
1��、GB/T 17859-1999 《信息安全技術(shù) 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》 |
| 2�、GB/T 22239-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》 |
| 3��、GB/T 22240-2020 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》 |
| 4�����、GB/T 28448-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求》 |
| 5、GB/T 28449-2018 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評過程指南》 |
| 6����、GB/T 20984-2007 《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》 |
| 7、GB/T 25070-2019 《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》 |
| 信息安全等級保護(hù)整改技術(shù)要求 |
1��、安全物理環(huán)境 |
信息安全等級保護(hù)整改管理類要求 |
1����、安全管理制度 |
| 2�、安全通信網(wǎng)絡(luò) |
2�����、安全管理機(jī)構(gòu) |
| 3、安全區(qū)域邊界 |
3����、安全管理人員 |
| 4、安全計算環(huán)境 |
4、安全建設(shè)管理 |
| 5����、安全管理中心 |
5、安全運(yùn)維管理 |
| 信息安全等級保護(hù)整改三級系統(tǒng)應(yīng)用整改 |
三級等保要求(應(yīng)用系統(tǒng)) 陸陸信息科技編寫 |
| 1��、密碼復(fù)雜度策略:要求密碼長度8位以上,由大��、小寫字母+數(shù)字+特殊字符至少三種組成;密碼定期更換策略�,不大于90天�。(此項(xiàng)為高危風(fēng)險項(xiàng)) |
| 2�����、登錄失敗處理和超時登錄策略:連續(xù)登錄失?����。?-5次)鎖定賬戶��、鎖定 時間(5-15分鐘)、(10-30分鐘)內(nèi)無操作自動退出登錄��。(此項(xiàng)為高危風(fēng)險項(xiàng)) |
| 3、應(yīng)采用HTTPS��、SSH等加密協(xié)議傳輸�,禁用http、telnet等明方式傳輸��。(此項(xiàng)為高危風(fēng)險項(xiàng))
|
| 4����、應(yīng)采用口令�����、密碼技術(shù)��、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別,且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)�����;
(此項(xiàng)為高危風(fēng)險項(xiàng))
(登錄時除用戶名+密碼以外還需一種加密技術(shù)的雙因素登錄方式��。若無法實(shí)現(xiàn),可開通短信驗(yàn)證或通過開通了雙因素登錄功能的堡壘機(jī)登錄�����,如開啟令牌�、短信等認(rèn)證方式)
|
| 5、需要給系統(tǒng)配備三個賬戶����,系統(tǒng)管理員�����、安全管理員��、審計管理員����,并配置不同的管理權(quán)限��。(審計管理員獨(dú)有日志管理權(quán)限)���。
|
| 6����、應(yīng)用中的默認(rèn)賬戶變更或刪除�,并修改默認(rèn)密碼��,無法變更的修改密碼即可���。(此項(xiàng)為高危風(fēng)險項(xiàng)) |
| 7���、不同管理員用不同的賬戶登錄應(yīng)用,多余的����,不用的賬戶刪除����; |
| 8���、應(yīng)由授權(quán)主體配置訪問控制策略,訪問控制策略規(guī)定主體對客體的訪問規(guī)則���;(系統(tǒng)管理員負(fù)責(zé)配置訪問控制策略,配置訪問控制規(guī)則����,嚴(yán)禁越權(quán)訪問,非管理用戶不能訪問域權(quán)限管理相關(guān)的功能);(此項(xiàng)為高危風(fēng)險項(xiàng)) |
| 9����、開啟應(yīng)用的日志功能,如網(wǎng)絡(luò)中部署了日志審計設(shè)備�����,將日志關(guān)聯(lián)到日志審計。(此項(xiàng)為高危風(fēng)險項(xiàng)) |
| 10�����、日志內(nèi)容應(yīng)包括事件的日期和時間、用戶�����、事件類型����、事件是否成功等信息�。 |
| 11���、僅審計管理員具有查看、處理審計日志的權(quán)限�,審計日志定期備份(日志服務(wù)器或手動)���,添加日志導(dǎo)出功能,日志留存時間大于6個月(網(wǎng)絡(luò)安全閥)。(此項(xiàng)為高危風(fēng)險項(xiàng)) |
| 12���、應(yīng)對審計進(jìn)程進(jìn)行保護(hù)���,防止未經(jīng)授權(quán)的中斷�;(僅審計管理員具有中斷審計進(jìn)程的權(quán)限)
|
| 13、應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞�����,并在經(jīng)過充分測試評估后,及時修補(bǔ)漏洞����;(此項(xiàng)為高危風(fēng)險項(xiàng))(及時更新補(bǔ)丁����,升級版本��,定期通過漏洞掃描設(shè)備進(jìn)行漏洞掃描�����,并對發(fā)現(xiàn)的漏洞進(jìn)行修補(bǔ)) |
| 14、應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性�,包括但不限于鑒別數(shù)據(jù)���、重要業(yè)務(wù)數(shù)據(jù)���、重要審計數(shù)據(jù)��、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等��, (應(yīng)用需采用加密傳輸協(xié)議)�;(此項(xiàng)為高危風(fēng)險項(xiàng)) |
| 15、應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的完整性����,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)���、重要審計數(shù)據(jù)����、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等�����; |
| 16��、數(shù)據(jù)輸入界面提供有效性校驗(yàn)功能,可對無效或非法數(shù)據(jù)�����、字符長度和有效性進(jìn)行校驗(yàn)���。(例:輸入或查詢長度或格式不正確的手機(jī)號會進(jìn)行提示)(此項(xiàng)為高危風(fēng)險項(xiàng)) |
| 17���、不可自動保存和顯示歷史賬號和口令,在用戶退出后及時清空cookie和會話session�����。(登錄界面不能保留賬戶名和密碼���、退出后按回退鍵無法回退到退出前的界面��,需重新登錄)(此項(xiàng)為高危風(fēng)險項(xiàng)) |
| 信息安全等級保護(hù)整改硬件機(jī)房整改要求 |
1���、物理位置選擇 機(jī)房場地應(yīng)選擇在具有防震���、防風(fēng)和防雨等能力的建筑內(nèi); 建議�����,應(yīng)將該機(jī)房設(shè)置在符合要求的專用機(jī)房,至少具備防震����、防風(fēng)和防雨等能力的建筑內(nèi)���,并且要求有相關(guān)的設(shè)計文件和驗(yàn)收文檔�����;
機(jī)房場地應(yīng)避免設(shè)在建筑物的頂層或地下室,否則應(yīng)加強(qiáng)防水和防潮措施�����; 建議���,應(yīng)將機(jī)房設(shè)置在建筑物的中間樓層�,如設(shè)置在頂層或地下室應(yīng)將強(qiáng)防水防潮措施; |
| 2���、 物理訪問控制 機(jī)房出入口應(yīng)配置電子門禁系統(tǒng)��,控制���、鑒別和記錄進(jìn)入的人員; 建議�,機(jī)房各出入口配置電子門禁系統(tǒng)����,要求具備控制、鑒別和記錄進(jìn)入的人員信息����; |
| 3��、 防盜竊和防破壞 應(yīng)將設(shè)備或主要部件進(jìn)行固定�����,并設(shè)置明顯的不易除去的標(biāo)識���; 建議����,該機(jī)房內(nèi)的所有設(shè)施、設(shè)備和主要部件安全加固��,并且設(shè)置明顯不易去除的標(biāo)識�;
應(yīng)將通信線纜鋪設(shè)在隱蔽安全處��; 建議���,該機(jī)房內(nèi)所有類別的線纜(通信線纜、強(qiáng)電���、弱電等)分別鋪設(shè)于不同的橋架或線槽內(nèi),并要求做到隱蔽安全�;
應(yīng)設(shè)置機(jī)房防盜報警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)����; 建議1.該機(jī)房應(yīng)設(shè)置防盜報警系統(tǒng)要求覆蓋機(jī)房出入口及重要區(qū)域(如核心區(qū)����、生產(chǎn)區(qū)、網(wǎng)絡(luò)區(qū)���、電磁屏蔽間等);建議2.設(shè)置專人值守的視頻監(jiān)控系統(tǒng)��。要求設(shè)置安防監(jiān)控室�,配備專人對機(jī)房進(jìn)行7*24小時實(shí)時監(jiān)控值守����。機(jī)房出入口��、區(qū)域出入口�����、通道等均應(yīng)部署視頻監(jiān)控設(shè)備,保證機(jī)房監(jiān)控全覆蓋���、機(jī)房所有區(qū)域無死角,以監(jiān)控個人對敏感區(qū)域的物理訪問�����。
|
| 4���、防雷擊 應(yīng)將各類機(jī)柜��、設(shè)施和設(shè)備等通過接地系統(tǒng)安全接地���; 建議機(jī)房內(nèi)設(shè)置防雷接地系統(tǒng)(可以直接連接到建筑物的保護(hù)地)安裝接地匯流排將機(jī)房內(nèi)各機(jī)柜、UPS電池柜����、配電柜��、空調(diào)�、防靜電地板支架等進(jìn)行了有效的安全接地����;
應(yīng)采取措施防止感應(yīng)雷�����,例如設(shè)置防雷保安器或過壓保護(hù)裝置; 機(jī)房設(shè)置防感應(yīng)雷措施���,如在供電系統(tǒng)或電源線路安裝浪涌保護(hù)器等����;新建防雷裝置要求具有驗(yàn)收文檔/核查報告等,并且要求每年核查防雷裝置是否通過驗(yàn)收或國家有關(guān)部門的技術(shù)檢測��。
序號 控制點(diǎn) 檢測項(xiàng) 整改意見
|
| 5�、防火 機(jī)房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng)�,能夠自動檢測火情��、自動報警��,并自動滅火; 建議該機(jī)房安裝火災(zāi)自動消防系統(tǒng)�����,要求覆蓋機(jī)房所有區(qū)域���,包括核心區(qū)�����、生產(chǎn)區(qū)�����、輔助區(qū)等����。機(jī)房內(nèi)�、基本工作房間內(nèi)����、防靜電地板下��、吊頂里��、主要空調(diào)管道中及易燃物附近部位設(shè)置煙感����、溫感等多種方式自動檢測火情裝置�����。
機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級的建筑材�����; 建議該機(jī)房的所有相關(guān)房間和輔助間對易燃或耐火等級不足的建筑材料進(jìn)行整改��,要求耐火等級符合消防要求,且具備由公安消防支隊蓋章的消防驗(yàn)收材料����。
應(yīng)對機(jī)房劃分區(qū)域進(jìn)行管理����,區(qū)域和區(qū)域之間設(shè)置隔離防火措����; 建議將該機(jī)房劃分不同的消防分區(qū)且使用隔離防火措施,如使用單層銫鉀防火玻璃�����、鋼制防火門或防火隔墻將各區(qū)域分隔開����。要求消防分區(qū)密閉,以防止火勢和煙霧蔓延��,各消防分區(qū)密閉應(yīng)包括吊頂上方和防靜電地板下方等�����。
|
| 6�、防水和防潮 應(yīng)采取措施防止雨水通過機(jī)房窗戶����、屋頂和墻壁滲透����; 建議該機(jī)房將窗戶密封,墻壁和屋頂做防水處理�;
應(yīng)采取措施防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透��; 建議該機(jī)房采取措施防止水蒸氣結(jié)露和地下積水轉(zhuǎn)移滲透等���;例如安裝有相應(yīng)功能的設(shè)備等���;
應(yīng)安裝對水敏感的檢測儀表或元件��,對機(jī)房進(jìn)行防水檢測和報警; 建議該機(jī)房裝對水敏感的檢測儀表或元件��,要求有對機(jī)房進(jìn)行防水檢測和報警功能���; |
| 7���、防靜電 應(yīng)采用防靜電地板或地面并采用必要的接地防靜電措施����; 建議該機(jī)房使用防靜電地板��,并將地板支架和機(jī)房設(shè)施����、設(shè)備等均做接地處理�����;
應(yīng)采取措施防止靜電的產(chǎn)生,例如采用靜電消除器���、佩戴防靜電手環(huán)等; 建議該機(jī)房安裝靜電消除器或者使用防靜電手環(huán)等設(shè)備���; |
| 8�、溫濕度控制 應(yīng)設(shè)置溫濕度自動調(diào)節(jié)設(shè)施,使機(jī)房溫濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)�; 建議該機(jī)房使用溫濕度自動調(diào)節(jié)設(shè)施,使機(jī)房溫濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)�; |
| 9、 電力供應(yīng) 應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備����; 建議該機(jī)房供電線路上配置穩(wěn)壓器和過壓保護(hù)裝置��,要求穩(wěn)壓器和過電壓防護(hù)設(shè)備應(yīng)能夠控制電源穩(wěn)壓范圍滿足計算機(jī)系統(tǒng)運(yùn)行正常��;
應(yīng)提供短期的備用電力供應(yīng)�,至少滿足設(shè)備在斷電情況下的正常運(yùn)行要求�; 建議:1.該機(jī)房配備UPS系統(tǒng)�,要求UPS后備時間能滿足主要設(shè)備在斷電情況下的正常運(yùn)行要求�。2.使用備用發(fā)電機(jī)或使用第三方提供的備用供電服務(wù)����。 |
| 10、電力供應(yīng) 應(yīng)設(shè)置冗余或并行的電力電纜線路為計算機(jī)系統(tǒng)供電�����; 建議:1.該機(jī)房設(shè)置冗余或并行的電力電纜線路為計算機(jī)系統(tǒng)供電�����;2.該機(jī)房應(yīng)采用UPS雙回路供電�����,如另增加一路市電和安裝發(fā)電機(jī)等; |
| 11����、電磁防護(hù) 電源線和通信線纜應(yīng)隔離鋪設(shè)���,避免互相干擾; 建議�,應(yīng)將通信線纜和強(qiáng)電線纜均通過橋架方式上走線�����,網(wǎng)線�����、光纖���、強(qiáng)電、使用不同橋架走線�,強(qiáng)電橋架和網(wǎng)線橋架應(yīng)相隔一定距離����,橋架交叉時應(yīng)以垂直角度交叉����,防止電磁干擾;
應(yīng)對關(guān)鍵設(shè)備實(shí)施電磁屏蔽�����; 建議該機(jī)房使用電磁屏蔽機(jī)柜或建造電磁屏蔽間等��;
|
等保咨詢熱線:15084670000,15846603791
