14等級保護(hù)基本要求詳細(xì)表格

1、信息系統(tǒng)安全等級保護(hù)基本要求 信息系統(tǒng)安全等級保護(hù)基本要求一、技術(shù)要求 一、技術(shù)要求：標(biāo)記說明：保護(hù)數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改的信息安全類要求（簡記為S）；保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行，免 受對系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的服務(wù)保證類要求（簡記為A）；通用安全保護(hù)類要求（簡記為G）基本要求 基本要求 第一級 第一級 第二級 第二級 第三級 第三級 第四級 第四級物理位置的選擇 物理位置的選擇（G）

2、/a）機(jī)房和辦公場地應(yīng)選擇在 具有防震、防風(fēng)和防雨等能力 的建筑內(nèi)a）b） 機(jī)房場地應(yīng)避免設(shè)在建筑物 的高層或地下室，以及用水設(shè)備 的下層或隔壁a) b)物理 物理 安全物理訪問控制 物理訪問控制（G）a）機(jī)房出入應(yīng)安排專人負(fù)責(zé)， 控制、鑒別和記錄進(jìn)入的人員a）b） 需進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng) 過申請和審批流程，并限制和 監(jiān)控其活動范圍a） b）c） 應(yīng)對機(jī)房劃分區(qū)域進(jìn)行管 理，區(qū)域和區(qū)域之間設(shè)置物理 隔 離裝置，在重要區(qū)域前設(shè)置

3、交付 或安裝等過渡區(qū)域；d） 重要區(qū)域應(yīng)配置電子門禁系 統(tǒng)，控制、鑒別和記錄進(jìn)入的 人 員a） 機(jī)房出入口應(yīng)安排專人值守 并配置電子門禁系統(tǒng) 配置電子門禁系統(tǒng)，控制、 鑒別和記錄進(jìn)入的人員b）c）d） 重要區(qū)域應(yīng)配置第二道電子 應(yīng)配置第二道電子 門禁系統(tǒng) 門禁系統(tǒng)，控制、鑒別和記錄 進(jìn)入的人員防盜竊和防破壞 防盜竊和防破壞（G）a） 應(yīng)將主要設(shè)備放置在機(jī)房 內(nèi)；b） 應(yīng)將設(shè)備或主要部件進(jìn)行固 定，并設(shè)置明顯的不易除去的 標(biāo)記

4、a） b）c） 應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；d） 應(yīng)對介質(zhì)分類標(biāo)識，存儲在 介質(zhì)庫或檔案室中；e） 主機(jī)房應(yīng)安裝必要的防盜報 警設(shè)施a） b） c） d）e） 應(yīng)利用光、電等技術(shù)設(shè)置機(jī) 應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報警系統(tǒng)；f） 應(yīng)對機(jī)房設(shè)置監(jiān)控報警系統(tǒng)a) b) c) d) e) f)d）應(yīng)建立備用供電系統(tǒng)電磁防護(hù) 電磁防護(hù)（S） /b）電源線和通信線纜應(yīng)隔離 鋪設(shè)，避免互相干擾a） 應(yīng)米用接地方式防止外界電 磁

5、干擾和設(shè)備寄生耦合干擾；b）c） 應(yīng)對關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施 電磁屏蔽a） b）c） 應(yīng)對關(guān)鍵區(qū)域?qū)嵤╇姶牌帘谓Y(jié)構(gòu)安全 結(jié)構(gòu)安全（G）a） 應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè) 務(wù)處理能力滿足基本業(yè)務(wù)需要；b） 應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng) 絡(luò)的帶寬滿足基本業(yè)務(wù)需要； d）應(yīng)繪制與當(dāng)前運(yùn)行情況相 符 的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖a） 應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù) 處理能力具備冗余空間，滿足 具備冗余空間，滿足 業(yè)務(wù)高峰期需要 業(yè)務(wù)高峰期需要；b） 應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)

6、 的帶寬滿足業(yè)務(wù)高峰期需要 滿足業(yè)務(wù)高峰期需要；d）e） 應(yīng)根據(jù)各部門的工作職能、 重要性和所涉及信息的重要程 度等因素，劃分不同的子網(wǎng)或 網(wǎng)段，并按照方便管理和控制 的原則為各子網(wǎng)、網(wǎng)段分配地 址段a） 應(yīng)保證主要網(wǎng)絡(luò)設(shè)備 主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù) 處理能力具備冗余空間，滿足業(yè) 務(wù)高峰期需要；b） 應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬 網(wǎng)絡(luò)各個部分的帶寬 滿足業(yè)務(wù)高峰期需要；c） 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器 之間進(jìn)行路由控制建立安全的 訪問

7、路徑 d） e）f ）應(yīng)避免將重要網(wǎng)段部署在網(wǎng) 絡(luò)邊界處且直接連接外部信息 系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之 間 米取可靠的技術(shù)隔離手段； g）應(yīng)按照對業(yè)務(wù)服務(wù)的重要次 序來指定帶寬分配優(yōu)先級別， 保 證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu) 先 保護(hù)重要主機(jī)a） 應(yīng)保證網(wǎng)絡(luò)設(shè)備 網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理 能力具備冗余空間，滿足業(yè)務(wù) 高峰期需要 b） c） d） e） f） g）網(wǎng)絡(luò) 網(wǎng)絡(luò) 安全訪問控制 訪問控制（G）a） 應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制 設(shè)備，啟

8、用訪問控制功能；b） 應(yīng)根據(jù)訪問控制列表對源地 址、目的地址、源端口、目的 端口和協(xié)議等進(jìn)行檢查，以允 許/拒絕數(shù)據(jù)包出入；g）應(yīng)通過訪問控制列表對系統(tǒng) 資源實(shí)現(xiàn)允許或拒絕用戶訪 問 ，控制粒度至少為用戶組a）b） 應(yīng)能根據(jù)會話狀態(tài)信息為數(shù) 會話狀態(tài)信息為數(shù) 據(jù)流提供明確的允許 據(jù)流提供明確的允許/拒絕訪問 拒絕訪問 的能力，控制粒度為網(wǎng)段級 的能力，控制粒度為網(wǎng)段級。g） 應(yīng)按用戶和系統(tǒng)之間的允許 用戶和系統(tǒng)之間的允許 訪問規(guī)

9、則，決定允許或拒絕用 訪問規(guī)則，決定允許或拒絕用 戶對受控系統(tǒng)進(jìn)行資源訪問， 戶對受控系統(tǒng)進(jìn)行資源訪問， 控制粒度為單個用戶 控制粒度為單個用戶；h） 應(yīng)限制具有撥號訪問權(quán)限的a）b） 應(yīng)能根據(jù)會話狀態(tài)信息為數(shù) 據(jù)流提供明確的允許/拒絕訪問 的能力，控制粒度為端口級 控制粒度為端口級；c） 應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn) 行過濾，實(shí)現(xiàn)對應(yīng)用層HTTP、 FTP、TELNET、SMTP、POP3 等協(xié)議命令級的控制；d） 應(yīng)在會話處