技術要求項
二級等保
實現方式
網路安全
結構安全與網段劃分
網路裝置的業務處理能力應具備冗餘空間,要滿足業務高峰期需求;
應設計和繪製與當前運**況相符合的網路拓撲結構圖;
應根據機構業務特點,在滿足業務高峰需要的基礎上,合理設計網路寬頻;
應在業務終端與業務伺服器之間進行路由控制,建立安全的訪問路徑;
應根據各個部門的工作職能、重要性、所涉及資訊的重要程度等因素,劃分不同的子網或網段,並按照方便管理和控制的原則為各子網、網段分配位址段;
重要網段應採取網路層位址與資料鏈路層位址繫結措施,防止位址欺騙。
裝置做好雙機冗餘
網路訪問控制
應能根據會話狀態(包括資料報的源位址、目的位址、源埠號、目的埠號、協議、出入的介面、繪畫序列號、發出資訊的主機名的資訊,並應支援位址萬用字元的使用),為資料流提供明確的允許/拒絕訪問的能力
防火牆撥號訪問限制
應在基於安全屬性的允許遠端使用者對系統訪問的規則的基礎上,對系統所有資源允許或拒絕使用者進行訪問,控制粒度為單個使用者;
應限制具有撥號訪問許可權使用者的數量。
vpn網路安全審計
應對網路系統中的網路裝置執行狀況、網路流量、使用者行為等事件進行日誌記錄;
上網行為管理裝置
邊界完整性檢查
應能夠檢測內部網**現的內部使用者未通過准許私自聯到外部的網路行為(即「非法外聯」行為)
ids入侵檢測
網路入侵防範
應在網路邊界處監視以下攻擊行為:埠掃瞄、強力攻擊、木馬後門攻擊、拒絕服務攻擊、緩衝區溢位攻擊、ip碎片攻擊、網路蠕蟲攻擊等入侵事件的發生
ips入侵防禦
惡意**防範
應在網路邊界及核心業務網段處對惡意**進行檢測和清除;
應維護惡意**庫的公升級和檢測系統的更新;
應支援惡意**防範的統一管理。
防毒牆網路裝置防護
應對登入網路裝置的使用者進行身份鑑別;
應對網路裝置的管理員登陸位址進行限制;
網路裝置使用者的標識應唯一;
身份鑑別資訊應具有不易被毛用的特點,例如口令長度、複雜性和定期的更新等;
應具有登入失敗的處理功能,如:結束會話、限制非法登陸次數,當網路登陸連線超時時,自動退出。
維護堡壘機
主機系統安全
身份鑑別
作業系統和資料庫管理系統的身份標識應具有唯一性;
應對作業系統和資料庫管理系統的使用者進行身份標識和鑑別;
作業系統和資料庫管理系統身份鑑別資訊應具有不易被冒用的特點,例如口令長度、複雜性和定期更新等;
應具有登入失敗處理功能,如,結束會話、限制非法登陸次數,當登入連線超時時,自動退出。
vpn自主訪問控制
應依據安全策略控制在主體對客體的訪問;
自主訪問控制的覆蓋範圍應包括與資訊保安直接相關的主體、客體及他們之間的操作;
自主訪問控制的力度應達到主題為使用者級,客體為檔案、資料庫表級;
應由授權主體設定對客體訪問和操作的許可權;
應嚴格限制預設使用者的訪問許可權。
vpn防火牆
強制訪問
無資料庫審計系統
安全審計
安全審計應覆蓋到伺服器上的每個作業系統使用者和資料庫使用者;
安全審計應記錄系統內部重要的安全相關事件,包括重要使用者行為和重要系統命令的使用等;
安全相關事件的記錄應包括日期和時間、型別、主體標識、客體標識、時間的結果等;
審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋等。
資料庫審計系統
系統保護
系統應提供在管理維護狀態中執行的能力,管理維護狀態只能被系統管理員使用。
資料儲存備份
剩餘資訊保護
應保證作業系統和資料庫管理系統使用者的鑑別資訊所在的儲存空間,被釋放或再分配給其他使用者前得到完全清除,無論這些資訊是存放在硬碟還是記憶體中;
應確保系統內的檔案、目錄和資料庫記錄等資源所在的儲存空間,被釋放或重新分配給其他使用者前得到完全清除。
vpn入侵防範
無網管系統,ips入侵防禦系統
惡意**防範
伺服器和重要終端裝置(包括移動裝置)應安裝實時檢測和查殺惡意**的軟體產品;
主機系統防惡意**產品應具有與網路防惡意**產品不同的惡意**庫。
防毒牆,防毒軟體
資源控制
限制單個使用者的會話數量;
應通過設定終端接入方式、網路位址範圍等條件限制終端登入。
vpn應用安全
身份鑑別
應用系統使用者的身份標識具有唯一性;
應對登入使用者進行身份標識和鑑別;
系統使用者身份鑑別資訊應具有不易被冒用的特點,例如口令長度、複雜性和定期更新等;
應具有登入失敗處理功能,如:結束會話、限制非法登陸次數,當登入連線超時時,自動退出。
訪問控制
應依據安全策略控制使用者對客體的訪問;
自主訪問控制的覆蓋範圍應包括與資訊保安直接相關的主題、客體及他們之間的操作;
自主訪問的粒度應達到主體為使用者級,客體為檔案、資料庫表級;
應有授權主體設定使用者對系統功能操作和資料訪問的許可權;
應事先應用系統特權使用者的許可權分離,例如將管理與審計的許可權分配給不同額應用系統使用者;
許可權分離應採用最小授權原則,分別授予不同使用者各自為完成自己承擔任務所需的最小許可權,並在它們之間形成相互制約的關係;
應嚴格限制預設使用者的訪問許可權
防火牆安全審計
安全審計應覆蓋到應用系統的每個使用者;
安全審計應記錄應用系統重要的安全相關事件,包括重要使用者行為和重要系統功能的執行等;
安全相關時間的記錄應包括日期和時間、型別、主體標識、客體標識、事件的結果等;
審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋。
日誌審計系統
剩餘資訊保護
應保證使用者的鑑別資訊所在的儲存空間,被釋放或再分配給其他使用者千得到完全清除,無論這些資訊存在硬碟或記憶體中;
應確保系統內的檔案、目錄和資料庫記錄等資源所在的儲存空間,被釋放或重新分配給其他使用者前得到完全清除。
vpn通訊完整性
通訊雙方應約定單項的校驗碼演算法,計算通訊資料保溫的校驗碼,在進行通訊時,雙方根據校驗碼判斷對方保溫的有效性。
vpn加密
抵賴性無
vpn通訊保密性
當通訊雙方中的一方在一段時間內未作任何響應,另一方應能夠自動結束會話;
在通訊雙方建立連線之前,利用密碼技術進行會話初始化驗證;
在通訊過程中,應對敏感資訊字段進行加密。
vpn軟體容錯
應對通過人機介面輸入或通訊介面輸入的資料進行有效性檢驗;
應對通過人機介面方式進行的操作提供「回退」功能,及允許按照操作的序列進行回退;
在故障發生時,應繼續提供一部分功能,確保能夠實施必要的措施。
vpn資源控制
應限制單個使用者的多重併發會話;
應對應用系統的最大併發會話連線數進行限制;
應對乙個時間段內可能的併發會話連線數進行限制。
vpn**安全
應對應用程式**進行惡意**掃瞄;
應對應用程式**進行安全脆弱性分析
防火牆資料安全
資料完整性
應能夠檢測到系統管理資料、鑑別資訊和使用者資料在傳輸過程中完整性受到破壞;
應能夠檢測到系統管理資料、鑑別資訊和使用者資料在儲存過程中完整性受到破壞。
防火牆資料保密性
網路裝置、作業系統、資料庫管理系統和應用系統的鑑別資訊、敏感的系統管理資料和敏感的使用者資料應採用加密或其他有效措施實現傳輸保密性;
網路裝置、作業系統、資料庫管理系統和應用系統的鑑別資訊、敏感的系統管理資料和敏感的使用者資料應採用加密或其他有效措施實現儲存保密性;
當時用可攜式和移動裝置時,應加密或者採用可移動磁碟儲存敏感資訊。
堡壘機資料備份和恢復
應提供自動機制對重要資訊進行有選擇的資料備份;
應提供恢復重要資訊的功能;
應提供重要網路裝置、通訊線路個拂去其的硬體冗餘。
資料存備份
等級保護2 0二級通用要求測評方法
等級保護2.0二級通用要求測評方法 目錄安全物理環境 1 物理位置選擇 1 測評單元 l2 pes1 01 1 測評單元 l2 pes1 02 1 物理訪問控制 2 測評單元 l2 pes1 03 2 防盜竊和防破壞 2 測評單元 l2 pes1 04 2 測評單元 l2 pes1 05 2 防雷擊...
等級保護二級測評
等級保護測評服務一般是指由第三方測評機構為企業 事業單位開展的等級保護符合性測評。但是,由於提供等級保護測評服務的公司或者測評機構不同,具體的服務內容和服務流程將有所差別。一般來說等級保護測評服務包括以下內容 2 開展等級保護測評後,測評機構需要開具等級保護測評報告,測評的結果有兩種 符合和不符合。...
等級保護學習記錄 等級保護基本要求
發布單位 是由國家市場監督管理總局中國國家標準化委員會發布。與等保1.0 的不同之處?前言部分引出 標準名字的變更 調整分類,分類名字的變更,現更改為如下幾類 調整各個級別安全的級別要求 取消原來 a s g 標註,增加了附錄a 描述等級保護物件的定級結果和安全要求之間的關係。調整附錄a 附錄b順序...