实例介绍
【实例简介】
信息安全等级保护(三级系统)测评权重赋值表,请于系统等级匹配使用!
网络安全 安全审计 d)应对审计记录进行休护,避免受到未 0.5 预期的删除、修改或覆盖等 a)应能够对非授权设备私自联到内部网 网络安全边界完整性检查络的行为进行检查,准确定出位置,并 对其进行有效阻断; b)应能够对内部网络用户私自联到外部 网络安全边界完整性检耷网络的行为进行检查,准确定出位置, 并对其进行有效阻断。 a)应在网终边界处监视以下攻击行为: 网络安全 入侵防范 耑口扫描、强力攻击、木马后门攻击 拒绝服务攻击、缓冲区溢出攻击、|P碎 片攻击和网络蠕虫攻击等 b)当检测到攻击行为时,记录攻击源P 55 网络安全 入侵防范 、攻击类型、攻击目的、攻击时间,在 0.5 发生严重入侵事件时应提供报警 网络安全 恶意代码防范/)应在网络边界处对恶意代码进行检测 和清除: 57 网络安全 恶意代码防范 b)应维护恶意代码库的升级和检测系统 0.5 的更新 网络安全 网络设备防护1a)应对脊录网络设备的用户进行身份鉴 0.5 别 59 网络安全 网络设备防护/b)应对网络设备的管理员登录地址进 0.5 限制 60网络安全网络设备防护c)网终设备用户的标识应唯一 0.5 d)主要网络设备应对同一用户选择两种 61网络安全网络设备防护|或两种以上组合的鉴别技术来进行身份 鉴别 网络安全 网络设备防护|e)身份鉴别信息应具有不易被冒用的特 点,口令应有复杂度要求并定期更换 f)应具有登录失败处理功能,可采取结 网络安全网络设备防护|束会话、限制非法登录次数和当网络登 0.5 录连接超时自动退出等措施 g)当对网络设备进行远程管理时,应采 网络安全 冈络设备防护取必要措施防止鉴别信息在网络传输过 0.5 程屮被窃听 65 网络安全 网络设备防护h)应实现设备特权户的权限分离。 0.5 66 主机安全 身份鉴别 a)应对登录操作系统和数据厍系统的用 0.5 户进行身份标识和鉴别 b)操作系统和数据库系统管理用户身份 67主机安全 身份鉴别 鉴别信息应具有不易被冒用的特点,口 令应有复杂度要求并定期更换 c)应启用滑录失败处理功能,可采取结 68 主机安全 身份鉴别 束会话、限制非法脊录次数和白动退出 0.5 d)当对服务器进行远程管理时,应采取 69 主机安全 身份鉴别 必要措施,防止鉴別信息在网终传输过 程中被窃听; 主机安全 身份鉴别 e)为操作系统和数据库的不同用尸分配 0.5 不同的用户名,确保用户名具有唯 主机安全 身份鉴别 f)应采用两种或两种以上组合的鉴別 技术对管理用户进行身份鉴別。 72 主机安全 访问控制 a)应启用访问控制功能,依据安个策略 0.5 控制用户对资源的访问 b)应根据管理用户的角色分配权限,实 主机安全 访问控制 现管理用户的权限分离,仅授予管理用 0.5 户所需的最小权限 74 主机安全 访问控制c)应实现操作系统和数据库系统特权用 户的权限分离 d)应严格限制默认账户的访权限,重 75主机安全 访问控制 命名系统默认账户,并修改这些账户的 0.5 默认口令 主机安全 访问控制 e)应及时删除多余的、过期的账户,避 0.5 免共享账户的存在 77 主机安全 访间控制。f)应对重要信息资源设置敏感标记:1 78 主机安仝 汸问控制 g〕应依据安全策略严格控制用户对有 敏感标记重要信息资源的操作。 主机安全 安全审计 a)安全审计应覆盖到服务器和重要客户 端上的每个操作系统用户和数据库用 b)审计内容应包括重要用户行为、系统 80主机安全 安全审计 资源的异常使用和重要系统命令的使用 0.5 等系统内重要的安全相关事件 主机安全 安全审计 C)审计记录应包括事件的日期、时间 0.5 类型、主体标识、客体标识和结果等 82 主机安全 安全审计 d)应能够根据记录数据进行分析,并 生成审让报表 83主机安全 安全审计 e)应保护审计进程,避免受到未预期 0.5 的中断 84 主机安全 安全审计 f)应侏护审计记录,避免受到未预期 的删除、修改或覆盖等 0.5 a)应能够检测到对重要服务器进行入侵 85 主机安全 入侵防范 的行为,能够记录入侵的源|P、攻击的 0.5 类型、攻击的目的、攻击的时间,并在 发生严重入侵事件时提供报警 b)应能够对重要程序完整性进行检 86 主机安全 入侵防范 测,并在检测到完整性受到破坏后具有 恢复的措施 c)操作系统遵循最小安装的原则,仅安 87 主机安全 入侵防范 装需要的组件和应用程序,并通过设置 升级服务器等方式保持系统补」及时得 0.5 到更新 88 主机安全 恶意代码防范)应安装防恶意代码软件,并及时更新 防恶意代码软件版本和恶意代码厍: 主机安全 恶意代码防范|b)主机防恶意代码产品应具有与网络防 恶意代码产品不同的恶意代码库; 0.5 90主机安全恶意代码防范c)应支持恶意代码防范的统一管理。 0.5 a)应保证操作系统和数据库管理系统 91 主机安全 剩余信息保护用户的鉴别信息所的存储空间,被释 0.5 放或再分配给其他用户前得到完全清 狳,尢论这些信息是存放在使盘上还是 b)应确保系统内的文件、目录和数据 92主机安全剩余信息保护库记录等资源所在的存储空间,被释放 0.2 或重新分配给其他用户前得到完全清除 93 主机安全 资源控制 a)应通过没定终端接入方式、网络地址 0.5 苞围等条件限制终端登录 主机安仝 资源控制 b)应根据安全策略设置登录终端的操作 超时锁定 0.5 C)应对重要服务器进行监视,包括监 95 主机安全 資源控制 视服务器的CPU、硬盘、内存、网终等0.5 资源的使用情况 96 主机安全 瓷源控制 d)应限制单个用户对系统资源的最大或 0.2 最小使用限度 97 主机安全 资源控制 e)应能够对系统的服务水平降低到预 0.2 先规定的最小值进行检测和报警 应用安全 身份鉴别 a)应提供专用的脊录控制模块对脊录 0.5 用户进行身份标识和鉴别; 应用安全 身份鉴别 b)应对同一用户采用两种或两种以上 组合的鉴别技术实现用户身份鉴别 C)应提供用户身份标识唯和鉴别信 100应用安全 身份鉴别 息复杂度检査功能,保证应用系统中不 存在重复用户身份标识,身份鉴别信息 不易破冒用; d)应提供登录失败处理功能,可采取 101应用安全 身份鉴别 结束会话、限制非法登录次数和自动退 0.5 出等措施: e)应启用身份鉴别、用户身份标识唯 102 应用安全 身份鉴别 性检查、用户身份鉴别信息复杂度检 查以及登录失败处理功能,并根据安全 0.5 策咯配置相关参数 a)应提供访问控制功能,依据安全策 103应用安仝 访问控制 略控制用户对文件、数据库表等客体的 0.5 访问 104 应用安全 访问控制 b)访问控制的覆盖范围应包括与资源 0.5 访问相关的主体、客体及它们之间的操 105 应用安仝 汸问控制 ℃)应由授权主伓配置访问控制策略, 0.5 并严格限制默认咪户的访问权限 d)应授予不同帐户为完成各自承担任 应用安全 访问控制 务所需的最小权限,并在它们之问形成 相互制约的关系。 107应用安全 访问控制 c)应具有对重要信息资源设置敏感标 记的功能 108应用安全 访问控制 f)应依据安全策略严格控制用户对有 敏感标记重要信息资源的操作; 109 应用安全 安全审计 a)应提供覆盖到每个用户的安仝审 1 功能,对应用系统重要安全事件进行审 110 应用安全 安全审计 b)应保证无法单独中断审计进程,无 0.5 法删除、修改或覆盖审计记录 c)审计记录的内容至少应包括事件的 应用安全 安全审计 日期、时间、发起者信息、类型、描述 0.5 和结果等 2|应用安全 安仝审计 d)应提供对审计记录数据进行统计、 查询、分析及生成审计报表的功能。 a)应保证用户鉴别信息所在的存储空 l13 应用安全 间被释放或再分配给其他用广前得到完 剩余信息保护全清除,无论这些信息是存放在硬盘上 0.5 还是在内存中 b)应休证系统内的文件、目录和数据 114应用安全剩余信息保护|库记录等资源所在的存储空间被释放或 0.2 重新分配给其他用户前得到完全清除。 115 应用安全 通信完整性 a)应用密码技术休证通信过程中数 0.2 据的完整性。 116 应用安全 通信保密性 a)在通信双方建立连接之前,应用系 0.5 统应利用密码技术进行会话初始化验 117 应用安仝 通信休密性 b)应对通信过程中的整个报文或会话 过程进行加密。 118应用安全 抗抵赖 a)应具有在请求的情况下为数据原发 0.5 者或接收者提供数据原发让据的功能 l19 应用安全 抗抵赖 b)应具有在请求的情况下为数据原发 0.5 者或接收者提供数据接收证据的功能 a)应提供数据有效性检验功能,保证 120 应用安全 软件容错 通过人机接口输入或通过通信接口输入 的数据格式或长度符合系统设定要求 b)应提供自动侏护功能,当故障发生 121应用安全 软件容错 时自动保扩当前所有状态,保证系统能 0.5 够进行恢复 a)当应用系统的通信双方中的一方在 122应用安全 资源控制 段时间内未作任何响应,另一方应能 0.5 够自动结束会话; 123 应用安全 资源控制 b)应能够对系统的最大并发会话连接 0.2 数进行限制; 124 应用安全 资源控制 c)应能够对单个帐户的多重并发会话 0.2 进行限制; 125 应用安全 瓷源控制 d)应能够对个时间段内可能的并发 0.2 会话连接数进行限制 126 应用安全 资源控制 e)应能够对一个访问帐户或一个请求 0.5 进程占用的资源分配最大狠额和最小限 127应用安全 瓷源控制 f)应能够对系统服务水平降低到预先 0.2 规定的最小值进行检测和报警 g)应提供服务优先级设定功能,并在 128 应用安全 资源控制 安装后根据安全策略设定访问帐户或请 0.5 求进程的优先级,根据优先级分配系统 a)应能够检测到系统管理数据、鉴别 129 数据安全及 备份恢复 数据完整性 信息和重要业务数据在传输过程中亢整 0.2 性受到破坏,并在检测到完整性错误时 米取必要的恢复措施 b)应能够检测到系统管理数据、鉴别 130 数据安全及 数据完整性信息和重要业务数据在存储过程中完整 0.5 备份恢复 性受到破坏,并在检测到完整性错误时 采取必要的恢复措施。 数据安全及 a)应采用加密或其他有效措施实现系 131 备份恢复 数据保密性统管理数据、鉴别信息和重要业务数据 传输保密性; 132 数据安全及 b)应采用加密或其他保护措施实现系 备份恢复 数据保密性|统管理数据、鉴别信息和重要业务数据 存储保密性。 133数据安全及 )应提供本地数据备份与恢复功能, 备份和恢复完全数据备份至少每天一次,备份介质 0.5 备份恢复 场外存放 数据安全及 b)应提供异地数据备份功能,利用通 134 0.5 备份恢复 备份和恢复信网络将关键数据定吋批量传送至备用 场地 135数据安个及 c)应采用冗余技术设计网络拓扑结 备份恢复 备份和恢复 构,避兔关键节点存在单点故障 136数据安全及 d)应提供主要网络设备、通信线路和 备份恢复 备份和恢复数据处理系统的硬件冗余,保证系统的 高可用性。 安全管理制 a)应制定信息安全工作的总体方针和 137 度 管理制度 安全簧略,说明机构安全工作的总体目 0.5 标、范围、原则和安全框架等 138 安全管理制 b)应对安全管理活动中的各类管理内 0.5 度 管理制度 容建立安全管哩制度。 139 安全管理制 管理制度 C)应对安全管理人员或操作人员执行 0.5 的日常管理操作建立操作规程 安全管理制 d)应形成由安仝政策、管理制度、操 l40 度 管理制度作规程等构成的全面的信息安全管理制 度休系。 141安全管理制 制定和发布 a)应指定或授权专门的部门或人员负 0.5 度 责安全管理制度的制定。 142安个管理制 度 制定和发布 b)安仝管理制度应具有统一的格式, 0.2 并进行版本控制 143 安全管理制 c)应组织相关人员对制定的安全管理 0.5 度 制定和发布 进行论证和审定 144 安全管理制 度 制定和发布 d)安全管理制度应通过正式、有效的 方式发布。 145安全管理制制定和发布 e)安全管理制度应注明发布范围,并 0.2 对收发文进行登记 146安全管理制 a)信息安全领导小组应负责定期组织 0.2 度 评审和修订相关部门和相关人员对安全管理制度体 系的合理性和适用性进行审定。 147安全管理制 b)应定期或不定期对安全管理制度进 度 评审和修订行检查和审定,对存在不足或需要收进 0.2 的安全管理制度进行修订 a)应设立信息安全管理工作的职能部 148 安全管理机 构 岗位设置 ,设立安全主管、安个管理各个方面1 的负责人岗位,并定义各负责人的职责 149安全管理机 b)应设立系统管理员、网络管理员、 岗位设置 安全管理员等岗位,并定义各个工作岗 0.5 构 位的职责 150安个管理机 c)应成立指导和管理信息安全⊥作的 岗位设置 委员会或领导小组,其最高领导由单位 0.5 构 主管领导委任或授权。 151 安全管理机 岗位设置 d)应制定文件明确安仝管理机构各个 0.5 构 部门和岗位的职责、分工和技能要求 152安全管理机 人员配备 a)应配备一定数量的系统管理员、网 管理员、安全管理员等 153 人员配备 0.5 154 人员配备 多共诃 0.5 155 安全管哩机 授权和审批 a)应根据各个部门和岗位的职责明确 构 授权审批事项、审批部门和批准人等 0.2 b)应针对系统变更、重婁操作、物理 156 安全管理札 构 授权和审批访间和系统接入等事项建立审批程序, 0.5 按照审批程序执行审批过程,对重要活 动建立逐级审批制度 157安全管理机 c)应定期审查审批事项,及时更新需 授权利审批授权和审批的项目、审批部门和审批人 0.2 构 等信息 158 授权和审批d)应记录审批过程并保存审批文档。02 a)应加强各类管理人员之间、组织内 159 安全管理机 构 沟通和合作 部机构之间以及信忘安全职能部门内部 0.5 的合作与沟通,定期或不定期召开协调 会议,共同协作处理信息安全问题。 b)应加强与兄弟单位、公安机关、电 160 安全管理机 构 沟通和合作 信公司的合作与沟通。 0.2 161安全管理机 沟通和合作 c)应加强与供应商、业界专家、专业 0.2 的安仝公司、安仝组织的合作与沟通 安全管理机 d)应建立外联单位联系列表,包括外 沟通和合作|联单位名称、合作内容、联系人和联系 0.2 构 方式等信息。 e)应聘请信息安仝专家作为常年的安 163安全管理机沟通和合作个顾问,指导信息安个建设,参与安全 0.2 构 规划和安全评审等。 安全管哩机 a)安全管理员应负责定期进行安全检 164 构 审核和检查查,检查容包括系统日常运行、系统 漏洞和数据备份等情况 b)应由内部人员或上级单位定期进行 165安全管理机审核利检查面安全检查,检查内容包括现有安全 0.5 构 技术措施的有效性、安全配置与安全策 略的一致性、安仝管理制度的执行情况 c)应制定安全检查表格实施安全检 166安个管理机审核和检查查,汇总安全检查数据,形成安全检查05 构 报生,并对安全检查结果进行通报 d)应制定安全审核和安全检查制度规 167 安全管理机 审核和检查范安全审核和安全检查工作,定期按照 0. 构 程序进行安全审核和安全检查活动 168 人员安全管 理 人员录用 a)应指定或授权专门的部门或人员负 0.5 责人员录用。 人员安全管 b)应严格规范人员录用过程,对被录 理 人员录用 用人的身份、背景、专业资格和资质等 进行审查,对其所具有的技术技能进 170 人员录用 c)应签署保密协议 171 人员安全管 理 人员录用 d)应从内部人员中选拔从事关键岗位 0.5 的人员,并签署岗位安全协议 172人员安全管 人员离岗 3)应严格规范人员离闵过程,及时终 0.5 理 止即将离岗员工的所有访问权限 173 人员安全管 b)应取回各种身份证件、钥匙、徽章 0.5 理 人员离岗 等以及机构提供的软硬件设备 1x4人员交全管 )应办理严格的调离手续,关键岗位 人员离岗 人员离岗须承诺调离后的保密义务后方 0.2 理 可离开 175 人员安全 a)应定期对各个岗位的人员进行安全 0.5 理 人员考核 技能及安全认知的考核。 176 人员安全管 人员考核 b)应对关键岗位的人员进行仝面、产 格的安全审查和技能考核 177 人员考核c)应对考核结果进行记录并保存。05 1人凤安金管安全底识教育和路训|2)度对各类人员走行交全意识教的 人员安全管 b)应对安全责任和惩戒措施进行书面 安全意识教育和培训规定并告知相关人员,对违反违背安全 0.5 理 箎略和规定的人员进行惩戒 c)应对安全教育和培训进行书面规 180人员安全管安全意识教育和培训划,对信息安全基础知识、岗位操作规 定,针对不同岗位制定不同的培训计 理 稈等进行培训。 181 人员安全管 0.5 理 安全意识教育和培训d)应对安全教育和培训的情况和结果 进行记录并归档保存。 a)应确保在外部人员访问机房等重要 182 人员安全管 外部人员访问管理区域前先提出书面申请,批准后由专人 0.5 理 仝程陪同或监督,并脊记备案 人员安仝管 b)对外部人员允许访问的区域、系统 183 外部人员访问管理、设备、信息等内容应进行面的规 0.2 定,并按照规定执行 184系统建设管 a)应明确信总系统的边界和安全保护 0.5 理 系统定级 等级 185系统建设管 系统定级 b)应以书面的形式说明确定信息系统 0.2 为某个安全保护等级的方法和理由 186 系统建设管 C)应组织相关部门和有关安全技术专 理 系统定级 家对信息系统定级结果的合理性和正确 0.2 性进行论证和审定。 187 系统建设 系统定级 d)应确保信息系统的定级结果经过相 0.2 关部门的批准 a)应根据系统的安全级别选择基本安 8系统建设管 安全方案设计全措施,并依据风险分析的结果补充和 0.5 整安全措施 b)应指定和授权专门的部门对信息系 189系统建设管安全方案设计统的安全建设进行总体规划,制定近期 理 和远期的安全建设工作计划。 C)应根据信息系统的等级划分情况, 190系统建设管 安全方案设训 统一考虑安全保障体系的总体安全策咯 理 安全技术框架、安全管理策略、总体 建设规划和详细设计方案,并形成配套 d)应组织相关部门和有关安全技术专 家对总体安全策略、安全技术框架、安 191系统建设管安全方案设计全管理策略、总体建设规划、详细设计 0.5 理 方案等相关配套文件的合理性和正确性 进行论证和审定,并且经过批准后,才 老正式实施。 e)应根据等级测评、安全评估的结果 192系统建设管安全方案设计定期调整和修订总体安个策略、安个技 术框架、安全管理策略、总休建设规划 0.5 理 详细设计方案等相关配套文件 193系统建设管产品采购和使用a)应确保安全产品的采购和使用符合 0.2 国家的有关规定 194 系统建设管 产品采购和使b)应确保密产品的采购和使用符合 0.2 理 国家密码主管部门的要求 195 系统建设管 0.2 理 产品采购和使用c)应指定或授权专门的部门负责产品 采购。 d)应预先对产品进行选型测试,确定 196 系统建设管 理 产品采购和使用|产品的候选范围,并定期审定和更新侯 0.5 选产品名单 a〕应确保开发环境与实际运行环境物 197系统建设管 理 自行软件开发理分开,开发人员和测试人员分离,测 试数据和测试结果受到控制。 198系统建没管 自行软件开发 b)应制定软件开发管理制度,明确说 0.5 理 明开发过程的控制方法和人员行为准则 199 系统建设管 C)应制定代码编写安全规范,要求开 自行软件开发 0.5 理 发人员参照规范编写代码。 200 系统建设管 理 自行软件开发 d)应确休提供软件设计的相关文档和 0.5 使用指南,并由专人负责休管 201系统建设管 理 自行软件开发e)应确保对程序资源库的修收、更新 发布进行授权和批准 202以外包软件开发a)应根据开发需求检测软件质量。1 203 系统建设 理 外包软件开发b)应在软件安装之前检测软件包中可 能存在的恶意代码。 204 系统建设管 外包软件开发 C)应要求开发单位提供软件设计的相 0.5 关文档和使用指南 205 系统建设管 外包软件开发d)应要求丌发单位提供软件源代码, 0.5 理 并审查软件中可能存在的后 206 系统建设管 ⊥程实施 a)应指定或授权专门的部门或人员负 0.2 责工程实施过程的管理。 207 系统建设管 b)应制定详细的工程实施方案控制实 工程实施 施过程,并要求工程实施单位能正式地 0.5 理 执行安全工程过程。 C)应制定工程实施方面的管理制度, 208 系统建设管 理 工程实施明确说明实施过程的控制方法和人员行 0.2 为准则。 209系统建设管 a)应委托公正的第三方测试单位对系 0.5 理 测试验收 统进行安全性测试,并出具安全性洌试 报 b)应在测试验收前根据设计方案或合 210 系统建设管 测试验收 同要求等制订测试验收方案,测试验收 0.2 理 过程中详细记录测试验收结果,形成测 试验收报告。 211 系统建没管 测试验收 c)应对系统测试验收的控制方法和人 0.2 员行为准则进行书面规定 212系统建没管 d)应指定或授权专门的部门负责系统 理 测试验收 测试验收的管理,并按照管理制度的要 0.2 求完成系统测试验收工作。 23系统建没管测试验收 e)应组织相关部门和相关人员对系统 0.2 测试验收报眚进行审定,并签字确认 214 系统建设管 a)应制定详细的系统交付清单,并根 系统交付 据交付清单对所交接的设备、软件和文 0.2 理 档等进行清点。 215系统建设管 系统交付 b)应对负责系统运行维护的技术人员 0.5 进行相应的技能培训 【实例截图】
【核心代码】
信息安全等级保护(三级系统)测评权重赋值表,请于系统等级匹配使用!
网络安全 安全审计 d)应对审计记录进行休护,避免受到未 0.5 预期的删除、修改或覆盖等 a)应能够对非授权设备私自联到内部网 网络安全边界完整性检查络的行为进行检查,准确定出位置,并 对其进行有效阻断; b)应能够对内部网络用户私自联到外部 网络安全边界完整性检耷网络的行为进行检查,准确定出位置, 并对其进行有效阻断。 a)应在网终边界处监视以下攻击行为: 网络安全 入侵防范 耑口扫描、强力攻击、木马后门攻击 拒绝服务攻击、缓冲区溢出攻击、|P碎 片攻击和网络蠕虫攻击等 b)当检测到攻击行为时,记录攻击源P 55 网络安全 入侵防范 、攻击类型、攻击目的、攻击时间,在 0.5 发生严重入侵事件时应提供报警 网络安全 恶意代码防范/)应在网络边界处对恶意代码进行检测 和清除: 57 网络安全 恶意代码防范 b)应维护恶意代码库的升级和检测系统 0.5 的更新 网络安全 网络设备防护1a)应对脊录网络设备的用户进行身份鉴 0.5 别 59 网络安全 网络设备防护/b)应对网络设备的管理员登录地址进 0.5 限制 60网络安全网络设备防护c)网终设备用户的标识应唯一 0.5 d)主要网络设备应对同一用户选择两种 61网络安全网络设备防护|或两种以上组合的鉴别技术来进行身份 鉴别 网络安全 网络设备防护|e)身份鉴别信息应具有不易被冒用的特 点,口令应有复杂度要求并定期更换 f)应具有登录失败处理功能,可采取结 网络安全网络设备防护|束会话、限制非法登录次数和当网络登 0.5 录连接超时自动退出等措施 g)当对网络设备进行远程管理时,应采 网络安全 冈络设备防护取必要措施防止鉴别信息在网络传输过 0.5 程屮被窃听 65 网络安全 网络设备防护h)应实现设备特权户的权限分离。 0.5 66 主机安全 身份鉴别 a)应对登录操作系统和数据厍系统的用 0.5 户进行身份标识和鉴别 b)操作系统和数据库系统管理用户身份 67主机安全 身份鉴别 鉴别信息应具有不易被冒用的特点,口 令应有复杂度要求并定期更换 c)应启用滑录失败处理功能,可采取结 68 主机安全 身份鉴别 束会话、限制非法脊录次数和白动退出 0.5 d)当对服务器进行远程管理时,应采取 69 主机安全 身份鉴别 必要措施,防止鉴別信息在网终传输过 程中被窃听; 主机安全 身份鉴别 e)为操作系统和数据库的不同用尸分配 0.5 不同的用户名,确保用户名具有唯 主机安全 身份鉴别 f)应采用两种或两种以上组合的鉴別 技术对管理用户进行身份鉴別。 72 主机安全 访问控制 a)应启用访问控制功能,依据安个策略 0.5 控制用户对资源的访问 b)应根据管理用户的角色分配权限,实 主机安全 访问控制 现管理用户的权限分离,仅授予管理用 0.5 户所需的最小权限 74 主机安全 访问控制c)应实现操作系统和数据库系统特权用 户的权限分离 d)应严格限制默认账户的访权限,重 75主机安全 访问控制 命名系统默认账户,并修改这些账户的 0.5 默认口令 主机安全 访问控制 e)应及时删除多余的、过期的账户,避 0.5 免共享账户的存在 77 主机安全 访间控制。f)应对重要信息资源设置敏感标记:1 78 主机安仝 汸问控制 g〕应依据安全策略严格控制用户对有 敏感标记重要信息资源的操作。 主机安全 安全审计 a)安全审计应覆盖到服务器和重要客户 端上的每个操作系统用户和数据库用 b)审计内容应包括重要用户行为、系统 80主机安全 安全审计 资源的异常使用和重要系统命令的使用 0.5 等系统内重要的安全相关事件 主机安全 安全审计 C)审计记录应包括事件的日期、时间 0.5 类型、主体标识、客体标识和结果等 82 主机安全 安全审计 d)应能够根据记录数据进行分析,并 生成审让报表 83主机安全 安全审计 e)应保护审计进程,避免受到未预期 0.5 的中断 84 主机安全 安全审计 f)应侏护审计记录,避免受到未预期 的删除、修改或覆盖等 0.5 a)应能够检测到对重要服务器进行入侵 85 主机安全 入侵防范 的行为,能够记录入侵的源|P、攻击的 0.5 类型、攻击的目的、攻击的时间,并在 发生严重入侵事件时提供报警 b)应能够对重要程序完整性进行检 86 主机安全 入侵防范 测,并在检测到完整性受到破坏后具有 恢复的措施 c)操作系统遵循最小安装的原则,仅安 87 主机安全 入侵防范 装需要的组件和应用程序,并通过设置 升级服务器等方式保持系统补」及时得 0.5 到更新 88 主机安全 恶意代码防范)应安装防恶意代码软件,并及时更新 防恶意代码软件版本和恶意代码厍: 主机安全 恶意代码防范|b)主机防恶意代码产品应具有与网络防 恶意代码产品不同的恶意代码库; 0.5 90主机安全恶意代码防范c)应支持恶意代码防范的统一管理。 0.5 a)应保证操作系统和数据库管理系统 91 主机安全 剩余信息保护用户的鉴别信息所的存储空间,被释 0.5 放或再分配给其他用户前得到完全清 狳,尢论这些信息是存放在使盘上还是 b)应确保系统内的文件、目录和数据 92主机安全剩余信息保护库记录等资源所在的存储空间,被释放 0.2 或重新分配给其他用户前得到完全清除 93 主机安全 资源控制 a)应通过没定终端接入方式、网络地址 0.5 苞围等条件限制终端登录 主机安仝 资源控制 b)应根据安全策略设置登录终端的操作 超时锁定 0.5 C)应对重要服务器进行监视,包括监 95 主机安全 資源控制 视服务器的CPU、硬盘、内存、网终等0.5 资源的使用情况 96 主机安全 瓷源控制 d)应限制单个用户对系统资源的最大或 0.2 最小使用限度 97 主机安全 资源控制 e)应能够对系统的服务水平降低到预 0.2 先规定的最小值进行检测和报警 应用安全 身份鉴别 a)应提供专用的脊录控制模块对脊录 0.5 用户进行身份标识和鉴别; 应用安全 身份鉴别 b)应对同一用户采用两种或两种以上 组合的鉴别技术实现用户身份鉴别 C)应提供用户身份标识唯和鉴别信 100应用安全 身份鉴别 息复杂度检査功能,保证应用系统中不 存在重复用户身份标识,身份鉴别信息 不易破冒用; d)应提供登录失败处理功能,可采取 101应用安全 身份鉴别 结束会话、限制非法登录次数和自动退 0.5 出等措施: e)应启用身份鉴别、用户身份标识唯 102 应用安全 身份鉴别 性检查、用户身份鉴别信息复杂度检 查以及登录失败处理功能,并根据安全 0.5 策咯配置相关参数 a)应提供访问控制功能,依据安全策 103应用安仝 访问控制 略控制用户对文件、数据库表等客体的 0.5 访问 104 应用安全 访问控制 b)访问控制的覆盖范围应包括与资源 0.5 访问相关的主体、客体及它们之间的操 105 应用安仝 汸问控制 ℃)应由授权主伓配置访问控制策略, 0.5 并严格限制默认咪户的访问权限 d)应授予不同帐户为完成各自承担任 应用安全 访问控制 务所需的最小权限,并在它们之问形成 相互制约的关系。 107应用安全 访问控制 c)应具有对重要信息资源设置敏感标 记的功能 108应用安全 访问控制 f)应依据安全策略严格控制用户对有 敏感标记重要信息资源的操作; 109 应用安全 安全审计 a)应提供覆盖到每个用户的安仝审 1 功能,对应用系统重要安全事件进行审 110 应用安全 安全审计 b)应保证无法单独中断审计进程,无 0.5 法删除、修改或覆盖审计记录 c)审计记录的内容至少应包括事件的 应用安全 安全审计 日期、时间、发起者信息、类型、描述 0.5 和结果等 2|应用安全 安仝审计 d)应提供对审计记录数据进行统计、 查询、分析及生成审计报表的功能。 a)应保证用户鉴别信息所在的存储空 l13 应用安全 间被释放或再分配给其他用广前得到完 剩余信息保护全清除,无论这些信息是存放在硬盘上 0.5 还是在内存中 b)应休证系统内的文件、目录和数据 114应用安全剩余信息保护|库记录等资源所在的存储空间被释放或 0.2 重新分配给其他用户前得到完全清除。 115 应用安全 通信完整性 a)应用密码技术休证通信过程中数 0.2 据的完整性。 116 应用安全 通信保密性 a)在通信双方建立连接之前,应用系 0.5 统应利用密码技术进行会话初始化验 117 应用安仝 通信休密性 b)应对通信过程中的整个报文或会话 过程进行加密。 118应用安全 抗抵赖 a)应具有在请求的情况下为数据原发 0.5 者或接收者提供数据原发让据的功能 l19 应用安全 抗抵赖 b)应具有在请求的情况下为数据原发 0.5 者或接收者提供数据接收证据的功能 a)应提供数据有效性检验功能,保证 120 应用安全 软件容错 通过人机接口输入或通过通信接口输入 的数据格式或长度符合系统设定要求 b)应提供自动侏护功能,当故障发生 121应用安全 软件容错 时自动保扩当前所有状态,保证系统能 0.5 够进行恢复 a)当应用系统的通信双方中的一方在 122应用安全 资源控制 段时间内未作任何响应,另一方应能 0.5 够自动结束会话; 123 应用安全 资源控制 b)应能够对系统的最大并发会话连接 0.2 数进行限制; 124 应用安全 资源控制 c)应能够对单个帐户的多重并发会话 0.2 进行限制; 125 应用安全 瓷源控制 d)应能够对个时间段内可能的并发 0.2 会话连接数进行限制 126 应用安全 资源控制 e)应能够对一个访问帐户或一个请求 0.5 进程占用的资源分配最大狠额和最小限 127应用安全 瓷源控制 f)应能够对系统服务水平降低到预先 0.2 规定的最小值进行检测和报警 g)应提供服务优先级设定功能,并在 128 应用安全 资源控制 安装后根据安全策略设定访问帐户或请 0.5 求进程的优先级,根据优先级分配系统 a)应能够检测到系统管理数据、鉴别 129 数据安全及 备份恢复 数据完整性 信息和重要业务数据在传输过程中亢整 0.2 性受到破坏,并在检测到完整性错误时 米取必要的恢复措施 b)应能够检测到系统管理数据、鉴别 130 数据安全及 数据完整性信息和重要业务数据在存储过程中完整 0.5 备份恢复 性受到破坏,并在检测到完整性错误时 采取必要的恢复措施。 数据安全及 a)应采用加密或其他有效措施实现系 131 备份恢复 数据保密性统管理数据、鉴别信息和重要业务数据 传输保密性; 132 数据安全及 b)应采用加密或其他保护措施实现系 备份恢复 数据保密性|统管理数据、鉴别信息和重要业务数据 存储保密性。 133数据安全及 )应提供本地数据备份与恢复功能, 备份和恢复完全数据备份至少每天一次,备份介质 0.5 备份恢复 场外存放 数据安全及 b)应提供异地数据备份功能,利用通 134 0.5 备份恢复 备份和恢复信网络将关键数据定吋批量传送至备用 场地 135数据安个及 c)应采用冗余技术设计网络拓扑结 备份恢复 备份和恢复 构,避兔关键节点存在单点故障 136数据安全及 d)应提供主要网络设备、通信线路和 备份恢复 备份和恢复数据处理系统的硬件冗余,保证系统的 高可用性。 安全管理制 a)应制定信息安全工作的总体方针和 137 度 管理制度 安全簧略,说明机构安全工作的总体目 0.5 标、范围、原则和安全框架等 138 安全管理制 b)应对安全管理活动中的各类管理内 0.5 度 管理制度 容建立安全管哩制度。 139 安全管理制 管理制度 C)应对安全管理人员或操作人员执行 0.5 的日常管理操作建立操作规程 安全管理制 d)应形成由安仝政策、管理制度、操 l40 度 管理制度作规程等构成的全面的信息安全管理制 度休系。 141安全管理制 制定和发布 a)应指定或授权专门的部门或人员负 0.5 度 责安全管理制度的制定。 142安个管理制 度 制定和发布 b)安仝管理制度应具有统一的格式, 0.2 并进行版本控制 143 安全管理制 c)应组织相关人员对制定的安全管理 0.5 度 制定和发布 进行论证和审定 144 安全管理制 度 制定和发布 d)安全管理制度应通过正式、有效的 方式发布。 145安全管理制制定和发布 e)安全管理制度应注明发布范围,并 0.2 对收发文进行登记 146安全管理制 a)信息安全领导小组应负责定期组织 0.2 度 评审和修订相关部门和相关人员对安全管理制度体 系的合理性和适用性进行审定。 147安全管理制 b)应定期或不定期对安全管理制度进 度 评审和修订行检查和审定,对存在不足或需要收进 0.2 的安全管理制度进行修订 a)应设立信息安全管理工作的职能部 148 安全管理机 构 岗位设置 ,设立安全主管、安个管理各个方面1 的负责人岗位,并定义各负责人的职责 149安全管理机 b)应设立系统管理员、网络管理员、 岗位设置 安全管理员等岗位,并定义各个工作岗 0.5 构 位的职责 150安个管理机 c)应成立指导和管理信息安全⊥作的 岗位设置 委员会或领导小组,其最高领导由单位 0.5 构 主管领导委任或授权。 151 安全管理机 岗位设置 d)应制定文件明确安仝管理机构各个 0.5 构 部门和岗位的职责、分工和技能要求 152安全管理机 人员配备 a)应配备一定数量的系统管理员、网 管理员、安全管理员等 153 人员配备 0.5 154 人员配备 多共诃 0.5 155 安全管哩机 授权和审批 a)应根据各个部门和岗位的职责明确 构 授权审批事项、审批部门和批准人等 0.2 b)应针对系统变更、重婁操作、物理 156 安全管理札 构 授权和审批访间和系统接入等事项建立审批程序, 0.5 按照审批程序执行审批过程,对重要活 动建立逐级审批制度 157安全管理机 c)应定期审查审批事项,及时更新需 授权利审批授权和审批的项目、审批部门和审批人 0.2 构 等信息 158 授权和审批d)应记录审批过程并保存审批文档。02 a)应加强各类管理人员之间、组织内 159 安全管理机 构 沟通和合作 部机构之间以及信忘安全职能部门内部 0.5 的合作与沟通,定期或不定期召开协调 会议,共同协作处理信息安全问题。 b)应加强与兄弟单位、公安机关、电 160 安全管理机 构 沟通和合作 信公司的合作与沟通。 0.2 161安全管理机 沟通和合作 c)应加强与供应商、业界专家、专业 0.2 的安仝公司、安仝组织的合作与沟通 安全管理机 d)应建立外联单位联系列表,包括外 沟通和合作|联单位名称、合作内容、联系人和联系 0.2 构 方式等信息。 e)应聘请信息安仝专家作为常年的安 163安全管理机沟通和合作个顾问,指导信息安个建设,参与安全 0.2 构 规划和安全评审等。 安全管哩机 a)安全管理员应负责定期进行安全检 164 构 审核和检查查,检查容包括系统日常运行、系统 漏洞和数据备份等情况 b)应由内部人员或上级单位定期进行 165安全管理机审核利检查面安全检查,检查内容包括现有安全 0.5 构 技术措施的有效性、安全配置与安全策 略的一致性、安仝管理制度的执行情况 c)应制定安全检查表格实施安全检 166安个管理机审核和检查查,汇总安全检查数据,形成安全检查05 构 报生,并对安全检查结果进行通报 d)应制定安全审核和安全检查制度规 167 安全管理机 审核和检查范安全审核和安全检查工作,定期按照 0. 构 程序进行安全审核和安全检查活动 168 人员安全管 理 人员录用 a)应指定或授权专门的部门或人员负 0.5 责人员录用。 人员安全管 b)应严格规范人员录用过程,对被录 理 人员录用 用人的身份、背景、专业资格和资质等 进行审查,对其所具有的技术技能进 170 人员录用 c)应签署保密协议 171 人员安全管 理 人员录用 d)应从内部人员中选拔从事关键岗位 0.5 的人员,并签署岗位安全协议 172人员安全管 人员离岗 3)应严格规范人员离闵过程,及时终 0.5 理 止即将离岗员工的所有访问权限 173 人员安全管 b)应取回各种身份证件、钥匙、徽章 0.5 理 人员离岗 等以及机构提供的软硬件设备 1x4人员交全管 )应办理严格的调离手续,关键岗位 人员离岗 人员离岗须承诺调离后的保密义务后方 0.2 理 可离开 175 人员安全 a)应定期对各个岗位的人员进行安全 0.5 理 人员考核 技能及安全认知的考核。 176 人员安全管 人员考核 b)应对关键岗位的人员进行仝面、产 格的安全审查和技能考核 177 人员考核c)应对考核结果进行记录并保存。05 1人凤安金管安全底识教育和路训|2)度对各类人员走行交全意识教的 人员安全管 b)应对安全责任和惩戒措施进行书面 安全意识教育和培训规定并告知相关人员,对违反违背安全 0.5 理 箎略和规定的人员进行惩戒 c)应对安全教育和培训进行书面规 180人员安全管安全意识教育和培训划,对信息安全基础知识、岗位操作规 定,针对不同岗位制定不同的培训计 理 稈等进行培训。 181 人员安全管 0.5 理 安全意识教育和培训d)应对安全教育和培训的情况和结果 进行记录并归档保存。 a)应确保在外部人员访问机房等重要 182 人员安全管 外部人员访问管理区域前先提出书面申请,批准后由专人 0.5 理 仝程陪同或监督,并脊记备案 人员安仝管 b)对外部人员允许访问的区域、系统 183 外部人员访问管理、设备、信息等内容应进行面的规 0.2 定,并按照规定执行 184系统建设管 a)应明确信总系统的边界和安全保护 0.5 理 系统定级 等级 185系统建设管 系统定级 b)应以书面的形式说明确定信息系统 0.2 为某个安全保护等级的方法和理由 186 系统建设管 C)应组织相关部门和有关安全技术专 理 系统定级 家对信息系统定级结果的合理性和正确 0.2 性进行论证和审定。 187 系统建设 系统定级 d)应确保信息系统的定级结果经过相 0.2 关部门的批准 a)应根据系统的安全级别选择基本安 8系统建设管 安全方案设计全措施,并依据风险分析的结果补充和 0.5 整安全措施 b)应指定和授权专门的部门对信息系 189系统建设管安全方案设计统的安全建设进行总体规划,制定近期 理 和远期的安全建设工作计划。 C)应根据信息系统的等级划分情况, 190系统建设管 安全方案设训 统一考虑安全保障体系的总体安全策咯 理 安全技术框架、安全管理策略、总体 建设规划和详细设计方案,并形成配套 d)应组织相关部门和有关安全技术专 家对总体安全策略、安全技术框架、安 191系统建设管安全方案设计全管理策略、总体建设规划、详细设计 0.5 理 方案等相关配套文件的合理性和正确性 进行论证和审定,并且经过批准后,才 老正式实施。 e)应根据等级测评、安全评估的结果 192系统建设管安全方案设计定期调整和修订总体安个策略、安个技 术框架、安全管理策略、总休建设规划 0.5 理 详细设计方案等相关配套文件 193系统建设管产品采购和使用a)应确保安全产品的采购和使用符合 0.2 国家的有关规定 194 系统建设管 产品采购和使b)应确保密产品的采购和使用符合 0.2 理 国家密码主管部门的要求 195 系统建设管 0.2 理 产品采购和使用c)应指定或授权专门的部门负责产品 采购。 d)应预先对产品进行选型测试,确定 196 系统建设管 理 产品采购和使用|产品的候选范围,并定期审定和更新侯 0.5 选产品名单 a〕应确保开发环境与实际运行环境物 197系统建设管 理 自行软件开发理分开,开发人员和测试人员分离,测 试数据和测试结果受到控制。 198系统建没管 自行软件开发 b)应制定软件开发管理制度,明确说 0.5 理 明开发过程的控制方法和人员行为准则 199 系统建设管 C)应制定代码编写安全规范,要求开 自行软件开发 0.5 理 发人员参照规范编写代码。 200 系统建设管 理 自行软件开发 d)应确休提供软件设计的相关文档和 0.5 使用指南,并由专人负责休管 201系统建设管 理 自行软件开发e)应确保对程序资源库的修收、更新 发布进行授权和批准 202以外包软件开发a)应根据开发需求检测软件质量。1 203 系统建设 理 外包软件开发b)应在软件安装之前检测软件包中可 能存在的恶意代码。 204 系统建设管 外包软件开发 C)应要求开发单位提供软件设计的相 0.5 关文档和使用指南 205 系统建设管 外包软件开发d)应要求丌发单位提供软件源代码, 0.5 理 并审查软件中可能存在的后 206 系统建设管 ⊥程实施 a)应指定或授权专门的部门或人员负 0.2 责工程实施过程的管理。 207 系统建设管 b)应制定详细的工程实施方案控制实 工程实施 施过程,并要求工程实施单位能正式地 0.5 理 执行安全工程过程。 C)应制定工程实施方面的管理制度, 208 系统建设管 理 工程实施明确说明实施过程的控制方法和人员行 0.2 为准则。 209系统建设管 a)应委托公正的第三方测试单位对系 0.5 理 测试验收 统进行安全性测试,并出具安全性洌试 报 b)应在测试验收前根据设计方案或合 210 系统建设管 测试验收 同要求等制订测试验收方案,测试验收 0.2 理 过程中详细记录测试验收结果,形成测 试验收报告。 211 系统建没管 测试验收 c)应对系统测试验收的控制方法和人 0.2 员行为准则进行书面规定 212系统建没管 d)应指定或授权专门的部门负责系统 理 测试验收 测试验收的管理,并按照管理制度的要 0.2 求完成系统测试验收工作。 23系统建没管测试验收 e)应组织相关部门和相关人员对系统 0.2 测试验收报眚进行审定,并签字确认 214 系统建设管 a)应制定详细的系统交付清单,并根 系统交付 据交付清单对所交接的设备、软件和文 0.2 理 档等进行清点。 215系统建设管 系统交付 b)应对负责系统运行维护的技术人员 0.5 进行相应的技能培训 【实例截图】
【核心代码】
标签:
好例子网口号:伸出你的我的手 — 分享!
小贴士
感谢您为本站写下的评论,您的评论对其它用户来说具有重要的参考价值,所以请认真填写。
- 类似“顶”、“沙发”之类没有营养的文字,对勤劳贡献的楼主来说是令人沮丧的反馈信息。
- 相信您也不想看到一排文字/表情墙,所以请不要反馈意义不大的重复字符,也请尽量不要纯表情的回复。
- 提问之前请再仔细看一遍楼主的说明,或许是您遗漏了。
- 请勿到处挖坑绊人、招贴广告。既占空间让人厌烦,又没人会搭理,于人于己都无利。
关于好例子网
本站旨在为广大IT学习爱好者提供一个非营利性互相学习交流分享平台。本站所有资源都可以被免费获取学习研究。本站资源来自网友分享,对搜索内容的合法性不具有预见性、识别性、控制性,仅供学习研究,请务必在下载后24小时内给予删除,不得用于其他任何用途,否则后果自负。基于互联网的特殊性,平台无法对用户传输的作品、信息、内容的权属或合法性、安全性、合规性、真实性、科学性、完整权、有效性等进行实质审查;无论平台是否已进行审查,用户均应自行承担因其传输的作品、信息、内容而可能或已经产生的侵权或权属纠纷等法律责任。本站所有资源不代表本站的观点或立场,基于网友分享,根据中国法律《信息网络传播权保护条例》第二十二与二十三条之规定,若资源存在侵权或相关问题请联系本站客服人员,点此联系我们。关于更多版权及免责申明参见 版权及免责申明
网友评论
我要评论