信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)指標(biāo)(二級(jí)與三級(jí))

1、1.信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)指標(biāo)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)指標(biāo)等級(jí)保護(hù)的測(cè)評(píng)技術(shù)指標(biāo)至少覆蓋各系統(tǒng)等保二級(jí)、等級(jí)保三級(jí)的全部指標(biāo)1.1.1.1.等級(jí)保護(hù)二級(jí)測(cè)評(píng)基本指標(biāo)等級(jí)保護(hù)二級(jí)測(cè)評(píng)基本指標(biāo)分類分類子類子類基本要求基本要求物理位置的選擇（G2）機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)機(jī)房出入口應(yīng)安排專人值守，控制、鑒別和記錄進(jìn)入的人員物理訪問控制（G2）需進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍應(yīng)將主要設(shè)備

2、放置在機(jī)房?jī)?nèi)應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或檔案室中防盜竊和防破壞（G2）主機(jī)房應(yīng)安裝必要的防盜報(bào)警設(shè)施機(jī)房建筑應(yīng)設(shè)置避雷裝置防雷擊（G2）機(jī)房應(yīng)設(shè)置交流電源地線防火（G2）機(jī)房應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動(dòng)報(bào)警系統(tǒng)。水管安裝，不得穿過機(jī)房屋頂和活動(dòng)地板下應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透防水和防潮（G2）應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣

3、結(jié)露和地下積水的轉(zhuǎn)移與滲透防靜電（G2）關(guān)鍵設(shè)備應(yīng)采用必要的接地防靜電措施溫濕度控制（G2）機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備電力供應(yīng)（A2）應(yīng)提供短期的備用電力供應(yīng)，至少滿足關(guān)鍵設(shè)備在斷電情況下的正常運(yùn)行要求物理安全電磁防護(hù)（S2）電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要應(yīng)保證接入網(wǎng)絡(luò)

4、和核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期需要應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖結(jié)構(gòu)安全（G2）應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段網(wǎng)絡(luò)安全訪問控制（G2）應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能分類分類子類子類基本要求基本要求審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件審計(jì)記錄應(yīng)包括事件的日期

5、、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等入侵防范（G2）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)惡意代碼防范（G2）應(yīng)支持防惡意代碼軟件的統(tǒng)一管理應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定資源控制（A2）應(yīng)限

6、制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施身份鑒別（S2）應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)應(yīng)提供訪問控制功能，依據(jù)安全策略控制用

7、戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限訪問控制（S2）應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)應(yīng)保證無法刪除、修改或覆蓋審計(jì)記錄安全審計(jì)（G2）審計(jì)記錄的內(nèi)容至少應(yīng)包括事件日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等通信完