等保技术要求

《等保技术要求》由会员分享，可在线阅读，更多相关《等保技术要求（20页珍藏版）》请在装配图网上搜索。

1、细心整理技术测评要求(S1A1G1)等级爱惜一级技术类测评限制点(S1A1G1)类别序号测 评 内 容测评方法结果记录符合状况YNO物理平安物理访问限制1.机房出入应支配专人负责，限制、鉴别和记录进入人员。访谈，检查。物理平安负责人，机房值守 人员，机房，机房平安管理制度，值守记录，进入机房 登记记录，来访人员进入机房审批记录。防盗窃和防破坏2.应将主要设备放置在机房内。访谈，检查。物理平安负责人，机房维护人员，资产管理员，机房设施，设备管理制度文档，通信 线路布线文档，报警设施安装测试/验收报告。3.应将设备或主要部件进展固定，并设置明显不易除去标记。防雷击4.机房建筑应设置避雷装置。访谈，

2、检查。物理平安负责人，机房维护人员，机房设施避雷装置，沟通电源地线，建筑防雷设 计/验收文档。防火5.机房应设置灭火设备。访谈，检查。物理平安负责人，机房值守人员，机房设施，机房平安管理制度，机房防火设计/验收 文档，火灾自动报警系统设计/验收文档。防水和防潮6.应对穿过机房墙壁和楼板水管增加必要爱惜措施；访谈，检查。物理平安负责人，机房维护人员，机房设施上下水装置，除湿装置，建筑防水和防 潮设计/验收文档。7.应接受措施防止雨水通过机房窗户、屋顶和墙壁渗透。防静电8.主要设备应接受必要接地防静电措施。访谈，检查。物理平安负责人，机房维护人员，机房设施，防静电设计/验收文档。温湿度限制9.应设

3、置温、湿度自动调整设施，使机房温、湿度变更在设备运行所允许范围之内。访谈，检查。物理平安负责人，机房维护人员，机房设施，温湿度限制设计/验收文档，温湿度记录、 运行记录和维护记录。电力供应10.应在机房供电线路上配置稳压器和过电压防护设备。访谈，检查。物理平安负责人，机房维护人员，机房设施供电线路，稳压器，过电压防护设备，短 期备用电源设备，电力供应平安设计/验收文档，检查和维护记录。网络平安构造平安11.应保证主要网络设备业务处理实力具备冗余空间，满足业务顶峰期须要。访谈，检查，测试。网络管理员，边界和网络设备，网络拓扑图，网络设计/验收文档。12.应保证网络各个局部带宽满足业务顶峰期须要。

4、13.应绘制与当前运行状况相符网络拓扑构造图。14.应依据各部门工作职能、重要性和所涉及信息重要程度等因素，划分不同子网或网段，并遵照便利管理和限制原那么为各子网、网段支配地址段。访问限制15.应在网络边界部署访问限制设备，启用访问限制功能。访谈，检查，测试。平安管理员，边界网络设备。16.应能依据会话状态信息为数据流供应明确允许/拒绝访问实力，限制粒度为端口级。17.应限制具有拨号访问权限用户数量。平安审计18.应对网络系统中网络设备运行状况、网络流量、用户行为等进展日志记录。访谈，检查，测试。审计员，边界和网络设备。19.审计记录应包括：事务日期和时间、用户、事务类型、事务是否成功及其他与

5、审计相关信息。边界完整性检查20.应能够对内部网络中出现内部用户未通过准许私自联到外部网络行为进展检查。访谈，检查，测试。平安管理员，边界完整性检查设备。入侵防范21.应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝效劳攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。访谈，检查，测试。平安管理员，网络入侵防范设备。网络设备防护22.应对登录网络设备用户进展身份鉴别。访谈，检查，测试。网络管理员，边界和网络设备。23.应对网络设备管理员登录地址进展限制。24.网络设备用户标识应唯一。25.身份鉴别信息应具有不易被冒用特点，口令应有困难度要求并定期更换。26.应具有登录失

6、败处理功能，可接受完毕会话、限制非法登录次数和当网络登录连接超时自动退出等措施。27.当对网络设备进展远程管理时，应接受必要措施防止鉴别信息在网络传输过程中被窃听。主机平安身份鉴别28.应对登录操作系统和数据库系统用户进展身份标识和鉴别。访谈，检查，测试。系统管理员，数据库管理员，效劳器操作系统、数据库，效劳器操作系统文档，数据库管理系统文档。29.操作系统和数据库系统管理用户身份标识应具有不易被冒用特点，口令应有困难度要求并定期更换。30.应启用登录失败处理功能，可接受完毕会话、限制非法登录次数和自动退出等措施。31.当对效劳器进展远程管理时，应接受必要措施，防止鉴别信息在网络传输过程中被窃

7、听。32.应为操作系统和数据库系统不同用户支配不同用户名，确保用户名具有唯一性。访问限制33.应启用访问限制功能，依据平安策略限制用户对资源访问。访谈，检查。效劳器操作系统、数据库，效劳器操作系统文档，数据库管理系统文档。34.应实现操作系统和数据库系统特权用户权限分别。35.应严格限制默认帐户访问权限，重命名系统默认帐户，修改这些帐户默认口令。36.应刚好删除多余、过期帐户，幸免共享帐户存在。平安审计37.审计范围应覆盖到效劳器和重要客户端上每个操作系统用户和数据库用户。访谈，检查，测试。平安审计员，效劳器操作系统、数据库和重要终端操作系统。38.审计记录应包括事务日期、时间、类型、主体标识

8、、客体标识和结果等。39.应爱惜审计记录，幸免受到未预期删除、修改或覆盖等。入侵防范40.操作系统应遵循最小安装原那么，仅安装须要组件和应用程序，并通过设置升级效劳器等方式保持系统补丁刚好得到更新。访谈，检查。系统管理员，效劳器操作系统。恶意代码防范41.应安装防恶意代码软件，并刚好更新防恶意代码软件版本和恶意代码库。访谈，检查。平安管理员，效劳器，终端，网络防恶意代码产品。42.应支持防恶意代码统一管理。资源限制43.应通过设定终端接入方式、网络地址范围等条件限制终端登录。访谈，检查。效劳器操作系统。44.应依据平安策略设置登录终端操作超时锁定。45.应限制单个用户对系统资源最大或最小运用限

9、度。应用平安身份鉴别46.应供应专用登录限制模块对登录用户进展身份标识和鉴别。访谈，检查，测试。应用系统管理员，应用系统，设计/验收文档，操作规程。47.应供应用户身份标识唯一和鉴别信息困难度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用。48.应供应登录失败处理功能，可接受完毕会话、限制非法登录次数和自动退出等措施。49.应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息困难度检查以及登录失败处理功能，并依据平安策略配置相关参数。访问限制50.应供应访问限制功能，依据平安策略限制用户对文件、数据库表等客体访问。访谈，检查，测试。应用系统管理员，应用系统。51.访

10、问限制覆盖范围应包括与资源访问相关主体、客体及它们之间操作。52.应由授权主体配置访问限制策略，并严格限制默认帐户访问权限。53.应授予不同帐户为完成各自担当任务所需最小权限，并在它们之间形成相互制约关系。平安审计54.应供应覆盖到每个用户平安审计功能，对应用系统重要平安事务进展审计。访谈，检查，测试。审计员，应用系统。55.应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录。56.审计记录内容至少应包括事务日期、时间、发起者信息、类型、描述和结果等。通信完整性57.应接受密码技术保证通信过程中数据完整性。访谈，检查，测试。平安管理员，应用系统，设计/验收文档。通信保密性58.在通信双方

11、建立连接之前，应用系统应利用密码技术进展会话初始化验证。访谈，检查，测试。平安管理员，应用系统，相关证明材料证书。软件容错59.应供应数据有效性检验功能，保证通过人机接口输入或通过通信接口输入数据格式或长度符合系统设定要求。访谈，检查，测试。应用系统管理员，应用系统。资源限制60.当应用系统通信双方中一方在一段时间内未作任何响应，另一方应能够自动完毕会话。访谈，检查，测试。应用系统管理员，应用系统。61.应能够对系统最大并发会话连接数进展限制。62.应能够对单个帐户多重并发会话进展限制。数据平安及备份复原数据完整性63.应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。访谈，检查。系统管理员，网络管理员，平安管理员，数据库管理员，应用系统，设计/验收文档，相关证明性材料如证书、检验报告等。数据保密性64.应接受加密或其他爱惜措施实现鉴别信息存储保密性。访谈，检查，测试。系统管理员，网络管理员，平安管理员，数据库管理员，应用系统，设计/验收文档，相关证明性材料如证书、检验报告等备份和复原65.应供应主要网络设备、通信线路和数据处理系统硬件冗余，保证系统高可用性。访谈，检查，测试。系统管理员，网络管理员，数据库管理员，平安管理员，主机操作系统，网络设备操作系统，数据库管理系统，应用系统，设计/验收文档，网络拓扑构造。