信息系統(tǒng)安全等級(jí)保護(hù)基本要求-二級(jí)

1、等保第二級(jí)要求：技術(shù)要求物理安全物理位置選擇（G2）機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。物理訪問控制（G2）a.機(jī)房出入口應(yīng)安排專人值守，控制、鑒別和記錄進(jìn)入的人員b.需進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍防盜竊和防破壞a.應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi)b.應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記c.應(yīng)將通信線纜鋪設(shè)在隱藏處，可鋪設(shè)在地下或管道中d.應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫或

2、檔案室中e.主機(jī)房應(yīng)安裝必要的防盜報(bào)警設(shè)施防雷擊a.機(jī)房建筑應(yīng)設(shè)置避雷裝置b.機(jī)房應(yīng)設(shè)置交流電源地線防火機(jī)房應(yīng)設(shè)置滅火設(shè)置和火災(zāi)自動(dòng)報(bào)警系統(tǒng)防水和防潮a.水管安裝，不得穿過機(jī)房屋頂和活動(dòng)地板下b.采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透c.采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透防靜電關(guān)鍵設(shè)備應(yīng)采用必要的接地防靜電措施溫濕度控制機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)電力供應(yīng)（A2）a

3、.在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備b.提供短期的備用電力供應(yīng)，至少滿足關(guān)鍵設(shè)備在斷電情況下的正常運(yùn)行要求電磁防護(hù)（S2）電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾網(wǎng)絡(luò)安全結(jié)構(gòu)安全（G2）a.保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備具備冗余空間，滿足業(yè)務(wù)高峰期需要冗余空間，滿足業(yè)務(wù)高峰期需要安全審計(jì)（G2）a.審計(jì)范圍應(yīng)覆蓋到服務(wù)器上每個(gè)審計(jì)范圍應(yīng)覆蓋到服務(wù)器上每個(gè)操作系統(tǒng)用戶操作系統(tǒng)用戶和數(shù)據(jù)庫用戶數(shù)據(jù)庫用戶b.審計(jì)內(nèi)容應(yīng)包括審計(jì)內(nèi)容

4、應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全等系統(tǒng)內(nèi)重要的安全相關(guān)事件相關(guān)事件c.審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等d.應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等入侵防范操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安

5、裝需要的組件和應(yīng)用程序，通過設(shè)置升級(jí)服務(wù)器等方式通過設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。惡意代碼防范（G2）a.應(yīng)安裝防惡意代碼軟件，及時(shí)更新防惡意代碼軟件版本和惡意代碼庫b.支持防惡意代碼軟件的統(tǒng)一管理支持防惡意代碼軟件的統(tǒng)一管理資源控制a.通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄限制終端登錄b.根據(jù)安全策略根據(jù)安全策略設(shè)置登錄終端的操作設(shè)置登錄終端的操作超時(shí)鎖定超時(shí)鎖定c

6、.限制單個(gè)用戶對(duì)系統(tǒng)資源的限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度最大或最小使用限度應(yīng)用安全身份鑒別（S2）a.提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別b.提供用戶身份標(biāo)識(shí)唯一和鑒別信息提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用身份鑒別信息不易被冒用c.應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)

7、和自動(dòng)退出等措施d.啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。訪問控制（S2）a.提供訪問控制功能，依據(jù)依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫表安全策略控制用戶對(duì)文件、數(shù)據(jù)庫表等客體的訪問等客體的訪問b.訪問控制的覆蓋范圍訪問控制的覆蓋范圍包括與包括與資源訪問相關(guān)的資源訪問相關(guān)的主體、客體及它們間的操作主體、客體及它們間

8、的操作c.應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)賬戶的訪問權(quán)限d.應(yīng)授予不同賬戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們這間形成相互制約的關(guān)系應(yīng)授予不同賬戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們這間形成相互制約的關(guān)系安全審計(jì)（G2）a.提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)b.保證無法刪除、修改或覆蓋審計(jì)記錄保證無法刪除、修改或覆蓋審計(jì)