1、2019版新標(biāo)準(zhǔn)網(wǎng)絡(luò)安全第二級(jí)等保基本要求1.1安全通用要求1.1.1安全物理環(huán)境基本要求控制項(xiàng)控制措施建設(shè)需求物理位置選擇1機(jī)房場(chǎng)地應(yīng)選擇在具有防震、防 風(fēng)和防雨等能力的建筑內(nèi)；2機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的頂 層或地下室，否則應(yīng)加強(qiáng)防水和 防潮措施。物理訪問(wèn)控制1機(jī)房出入口應(yīng)配置電子口禁系 統(tǒng)，控制、鑒別和記錄進(jìn)入的人 員；電子門(mén)禁系統(tǒng)防盜竊和防破壞1應(yīng)將設(shè)備或主要部件進(jìn)行固定， 并設(shè)置明顯的不易除去的標(biāo)記；2應(yīng)將通信線纜鋪設(shè)在隱蔽安全 處；防雷擊1應(yīng)將各類(lèi)機(jī)柜、設(shè)施和設(shè)備等通 過(guò)接地系統(tǒng)安全接地；防火1機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)， 能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并 自動(dòng)滅火；火災(zāi)自動(dòng)消防系統(tǒng)

2、2機(jī)房及相關(guān)的工作房間和輔助房 應(yīng)采用具后耐火等級(jí)的建筑材 料；防水和防潮1應(yīng)采取措施防止雨水通過(guò)機(jī)房窗 戶、屋頂和墻壁滲透；2應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié) 露和地下積水的轉(zhuǎn)移與滲透；防靜電1應(yīng)安裝防靜電地板或地面并采用 必要的接地防靜電措施；防靜電地板溫濕度控制1應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使 機(jī)房溫、濕度的變化在設(shè)備運(yùn)行 所允許的范圍之內(nèi)。機(jī)房空調(diào)/精密空 調(diào)電力供應(yīng)1應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器 和過(guò)電壓防護(hù)設(shè)備；穩(wěn)壓器、UPS2應(yīng)提供短期的備用電力供應(yīng)，至 少滿足主要設(shè)備在斷電情況卜的 正常運(yùn)行要求；電磁防護(hù)1電源線和通信線纜應(yīng)隔離鋪設(shè)， 避免互相干擾；1.1.2安全通信網(wǎng)絡(luò)基本要求控

3、制項(xiàng)控制措施建設(shè)需求網(wǎng)絡(luò)架構(gòu)1應(yīng)劃分/、同的網(wǎng)絡(luò)區(qū)域，并按照 方便管理和控制的原則為各網(wǎng)絡(luò) 區(qū)域分配地址根據(jù)服務(wù)器功能 區(qū)的作用，劃分了VLAN核心交換機(jī)/核心 路由器/防火墻等2應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在網(wǎng) 絡(luò)邊界處，重要網(wǎng)絡(luò)區(qū)域與其他 網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù) 隔離手段通過(guò)劃分/、同區(qū) 域并防火隔離措 施通信傳輸1應(yīng)采用校驗(yàn)技術(shù)保證通信過(guò)程中 數(shù)據(jù)的完整性使用校驗(yàn)技術(shù)保 障數(shù)據(jù)的完整性 及保密性VPN設(shè)備可信驗(yàn)證1可基于可信根對(duì)通信設(shè)備的系統(tǒng) 引導(dǎo)程序、系統(tǒng)程序、重要配置參 數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn) 證，并在檢測(cè)到具可信性受到破 壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形 成審計(jì)記錄送至安全管理

4、中心安全區(qū)域邊界基本要求控制項(xiàng)控制措施建設(shè)需求邊界防護(hù)1應(yīng)保證跨越邊界的訪問(wèn)和數(shù)據(jù)流 通過(guò)邊界設(shè)備提供的受控接口進(jìn) 行通信；端口級(jí)訪問(wèn)控制防火墻、網(wǎng)閘、路 由器和交換機(jī)訪問(wèn)控制1應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪 問(wèn)控制策略設(shè)置訪問(wèn)控制規(guī)則， 默認(rèn)情況卜除允許通信外受控接 口拒絕所有通信；邊界訪問(wèn)控制策 略防火墻、網(wǎng)閘、路 由器和交換機(jī)2應(yīng)刪除多余或無(wú)效的訪問(wèn)控制規(guī) 則，優(yōu)化訪問(wèn)控制列表，并保證訪 問(wèn)控制規(guī)則數(shù)量最小化；應(yīng)用配置項(xiàng)3應(yīng)對(duì)源地址、目的地址、源端口、 目的端口和協(xié)議等進(jìn)行檢查，以 允許/拒絕數(shù)據(jù)包進(jìn)出；應(yīng)用配置項(xiàng)4應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流 提供明確的允許/拒絕訪問(wèn)的能 力；對(duì)進(jìn)出網(wǎng)絡(luò)

5、的數(shù) 據(jù)流實(shí)現(xiàn)基十應(yīng) 用協(xié)議和應(yīng)用內(nèi) 容的訪問(wèn)控制入侵加E1應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處監(jiān)視網(wǎng)絡(luò)攻 擊仃為；關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)雙 向（外部發(fā)起攻擊 和內(nèi)部發(fā)起攻擊 行為）網(wǎng)絡(luò)攻擊行 為檢測(cè)、防止或限 制防火墻、IPS IDS惡意代碼和垃圾郵件防范1應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼 進(jìn)行檢測(cè)和消除，并維護(hù)惡意代 碼防護(hù)機(jī)制的升級(jí)和更新；防御網(wǎng)絡(luò)惡意代 碼防火墻（開(kāi)啟防病 毒模塊）防毒墻 網(wǎng)關(guān)安全審計(jì)1應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn) 行安全審計(jì)，審計(jì)覆蓋到每個(gè)用 戶，對(duì)重要的用戶行為和重要安 全事件進(jìn)行審計(jì)；（路由器、交換機(jī) 和防火墻等設(shè)備） 啟用日志功能日志審計(jì)系統(tǒng)、堡 壘機(jī)、上網(wǎng)行為管 理、防火墻、VPN2審計(jì)記錄

6、應(yīng)包括事件的日期和時(shí) 問(wèn)、用戶、事件類(lèi)型、事件是否成應(yīng)用配置項(xiàng)功及其他與審計(jì)相關(guān)的信息；3應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備 份，避免受到未預(yù)期的刪除、修改或覆蓋等；應(yīng)用配置項(xiàng)可信驗(yàn)證1可基于可信根對(duì)通信設(shè)備的系統(tǒng) 引導(dǎo)程序、系統(tǒng)程序、重要配置參 數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn) 證，并在檢測(cè)到具可信性受到破 壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形 成審計(jì)記錄送至安全管理中心安全計(jì)算環(huán)境基本要求控制項(xiàng)控制措施建設(shè)需求身份鑒別1應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和 鑒別，身份標(biāo)識(shí)具有唯一性，身份 鑒別信息具有復(fù)雜度要求并定期 更換；設(shè)備設(shè)置登錄認(rèn) 證功能VPN運(yùn)維堡壘主 機(jī)2應(yīng)具有登錄失敗處理功能，應(yīng)配 置并啟用結(jié)束會(huì)話、

7、限制非法登 錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退 出等相關(guān)措施；主機(jī)啟用設(shè)備自 身策略：密碼策 略、用戶管理、登 錄失敗處理功能， 啟用結(jié)束會(huì)話、限 制非法登錄次數(shù) 和當(dāng)?shù)卿涍B接超 時(shí)自動(dòng)退出等相 關(guān)措施3當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要 措施，防止鑒別信息在網(wǎng)絡(luò)傳輸 過(guò)程中被竊聽(tīng)；遠(yuǎn)程管理時(shí)，使用SSH HTTP劭口密訪問(wèn)控制1應(yīng)對(duì)登錄的用戶分配賬號(hào)和權(quán) 限；主機(jī)配置項(xiàng)：登錄 的用戶賬戶和權(quán) 限合理分配防火墻，運(yùn)維堡壘主機(jī)2應(yīng)重命名或刪除默認(rèn)帳戶修改默 認(rèn)帳戶的默認(rèn)口令；重命名或刪除默 認(rèn)賬戶，修改默認(rèn) 賬戶的默認(rèn)口令3應(yīng)及時(shí)刪除或停用多余的、過(guò)期 的帳戶，避免共享帳戶的存在；及時(shí)刪除或停用 多余的、過(guò)

8、期的賬 戶，避免共享賬戶 的存在4應(yīng)授予管理用戶所需的最小權(quán) 限，實(shí)現(xiàn)管理用戶的權(quán)限分離；管理用戶的權(quán)限 分離安全審計(jì)1應(yīng)啟用安全審計(jì)功能，審計(jì)覆蓋 到每個(gè)用戶，對(duì)重要的用戶行為 和重要安全事件進(jìn)行審計(jì)；啟用網(wǎng)絡(luò)設(shè)備、安 全設(shè)備、服務(wù)器等 日志功能，并設(shè)置 獨(dú)立審計(jì)員賬號(hào) 進(jìn)行安全審計(jì)防火墻、日志審計(jì) 系統(tǒng)、網(wǎng)絡(luò)安全審 計(jì)、數(shù)據(jù)庫(kù)審計(jì)2審計(jì)記錄應(yīng)包括事件的日期和時(shí) 問(wèn)、用戶、事件類(lèi)型、事件是否成 功及其他與審計(jì)相關(guān)的信息；應(yīng)用配置項(xiàng)3應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備 份，避免受到未預(yù)期的刪除、修改 或覆蓋等；對(duì)審計(jì)記錄進(jìn)行 保護(hù)入侵防范1應(yīng)遵循最小安裝的原則，僅安裝 需要的組件和應(yīng)用程序；僅安裝需

9、要的組 件和應(yīng)用程序漏洞掃描系統(tǒng)、入 侵檢測(cè)系統(tǒng)、 EDR網(wǎng)絡(luò)防抗附 系統(tǒng)2應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn) 共享和高危端口 ；關(guān)閉/、需要的系 統(tǒng)服務(wù)、默認(rèn)共享 和高危端口3應(yīng)通過(guò)設(shè)定終端接入方式或網(wǎng)絡(luò) 地址范圍對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行管理的 管理終端進(jìn)行限制；應(yīng)用配置項(xiàng)4應(yīng)提供數(shù)據(jù)肩效性檢驗(yàn)功能，保 證通過(guò)人機(jī)接口輸入或通過(guò)通信 接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要 求；系統(tǒng)配置項(xiàng)（如登 錄對(duì)輸入框輸入 的內(nèi)容進(jìn)行長(zhǎng)度、 位數(shù)及復(fù)雜度驗(yàn) 證等）5應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞， 并在經(jīng)過(guò)充分測(cè)試評(píng)估后，及時(shí) 修補(bǔ)漏洞；惡意代碼防范1應(yīng)安裝防惡意代碼軟件或配置具 有相應(yīng)功能的軟件，并定期進(jìn)行 升級(jí)和更新防惡意代碼庫(kù)。

10、安裝殺毒軟件并 及時(shí)更新庫(kù)EDR網(wǎng)絡(luò)防抗附 系統(tǒng)可信驗(yàn)證1可基于可信根對(duì)計(jì)算設(shè)備的系統(tǒng) 引導(dǎo)程序、系統(tǒng)程序、重要配置參 數(shù)和應(yīng)用程序等進(jìn)行可信驗(yàn)證， 并在檢測(cè)到其可信性受到破壞后 進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審 計(jì)記錄送至安全管理中心數(shù)據(jù)完整性1應(yīng)米用校驗(yàn)技術(shù)保證重要數(shù)據(jù)在 傳輸過(guò)程中的完整性；米用校驗(yàn)技術(shù)或 者加密通道通信VPN數(shù)據(jù)備份恢復(fù)1應(yīng)提供重要數(shù)據(jù)的本地備份與恢 復(fù)功能；數(shù)據(jù)備份軟件、容 災(zāi)備份系統(tǒng)2應(yīng)提供異地實(shí)時(shí)備份功能，利用 通信網(wǎng)絡(luò)將重要數(shù)據(jù)定時(shí)批量備 份至備份場(chǎng)地；應(yīng)用配置項(xiàng)剩余信息保護(hù)1應(yīng)保證鑒別信息所在的存儲(chǔ)空 間，被釋放或重新分配前得到完 全清除；應(yīng)用配置項(xiàng)個(gè)人信息保護(hù)1

11、應(yīng)僅采集和保存業(yè)務(wù)必需的用戶 個(gè)人信息；上網(wǎng)行為管理2應(yīng)禁止未授權(quán)訪問(wèn)和非法使用用 戶個(gè)人信息應(yīng)用配置項(xiàng)安全管理中心基本要求控制項(xiàng)控制措施建設(shè)需求系統(tǒng)管理1應(yīng)對(duì)系統(tǒng)管理員進(jìn)行身份鑒別， 只允許其通過(guò)特定的命令或操作 界面進(jìn)行系統(tǒng)管理操作，并對(duì)這 些操作進(jìn)行審計(jì)；運(yùn)維堡壘機(jī)、網(wǎng)管 系統(tǒng)、網(wǎng)絡(luò)安全管 理平臺(tái)等2應(yīng)通過(guò)系統(tǒng)管理員對(duì)系統(tǒng)的資源 和運(yùn)行進(jìn)行配置、控制和管理，包 括用戶身份、系統(tǒng)資源配置、系統(tǒng) 加載和啟動(dòng)、系統(tǒng)運(yùn)行的異常處 理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等。應(yīng)用配置項(xiàng)審計(jì)管理1應(yīng)對(duì)審計(jì)管理員進(jìn)行身份鑒別， 只允許其通過(guò)特定的命令或操作數(shù)據(jù)庫(kù)審計(jì)、日志 審計(jì)、運(yùn)維堡壘機(jī)界面進(jìn)行安全審計(jì)操作，并對(duì)

12、這 些操作進(jìn)行審計(jì)；2應(yīng)通過(guò)審計(jì)管理員對(duì)審計(jì)記錄進(jìn) 行分析，并根據(jù)分析結(jié)果進(jìn)行處 理，包括根據(jù)安全審計(jì)策略對(duì)審 計(jì)記錄進(jìn)行存儲(chǔ)、管理和查詢等。應(yīng)用配置項(xiàng)安全管理制度廳P基本要求控制項(xiàng)是否滿足已有措施需求安全策略a應(yīng)制定網(wǎng)絡(luò)安全工作的總 體方針和安全策略，闡明機(jī) 構(gòu)安全工作的總體目標(biāo)、范 圍、原則和安全框架等。滿足已建立，不 斷完善管理制度a應(yīng)對(duì)安全管理活動(dòng)中的各 類(lèi)管理內(nèi)容建立安全管理 制度；滿足已建立，不 斷完善b應(yīng)對(duì)要求管理人員或操作 人員執(zhí)行的日常管理操作 建立操作規(guī)程；滿足已建立，不 斷完善制定和發(fā)布a應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén) 或人員負(fù)責(zé)安全管理制度 的制定；滿足已建立，不 斷完善b安全

13、管理制度應(yīng)通過(guò)正式、 有效的方式發(fā)布，并進(jìn)行版 本控制;滿足已建立，不 斷完善評(píng)審和修訂a應(yīng)定期對(duì)安全管理制度的 合理性和適用性進(jìn)行論證 和審止，對(duì)存在不足或需要 改進(jìn)的安全管理制度進(jìn)行 修訂。滿足已建立，不 斷完善安全管理機(jī)構(gòu)廳P基本要求控制項(xiàng)是否滿足已有措施需求崗位設(shè)置a應(yīng)設(shè)立網(wǎng)絡(luò)安全管理工作 的職能部門(mén)，設(shè)立安全主 管、安全管理各個(gè)方面的負(fù) 責(zé)人崗位，并定義各負(fù)責(zé)人 的職責(zé)；滿足已建立b應(yīng)設(shè)立系統(tǒng)管理員、審計(jì)管 理員和安全管理員等崗位， 并定義部門(mén)及各個(gè)工作崗 位的職責(zé)。滿足已建立人員配備a應(yīng)配備f數(shù)量的系統(tǒng)管 理員、審計(jì)管理員、安全管 理員等；滿足基本配備 相關(guān)職責(zé) 管理員授權(quán)和審批a

14、應(yīng)根據(jù)各個(gè)部門(mén)和崗位的 職責(zé)明確授權(quán)審批事項(xiàng)、審 批部門(mén)和批準(zhǔn)人等；基本滿足有審批，有 流程，但缺 乏明確規(guī) 定需要明確規(guī) 定b應(yīng)針對(duì)系統(tǒng)及更、重要操 作、物理訪問(wèn)和系統(tǒng)接入等 事項(xiàng)建立審批程序，按照審 批程序執(zhí)行審批過(guò)程，對(duì)重 要活動(dòng)建立逐級(jí)審批制度；基本滿足有審批，有 流程，但缺 乏明確規(guī) 定需要明確規(guī) 定溝通和合作a應(yīng)加強(qiáng)各類(lèi)管理人員之間、 組織內(nèi)部機(jī)構(gòu)之間以及網(wǎng) 絡(luò)安全職能部門(mén)內(nèi)部的合 作與溝通，定期召開(kāi)協(xié)調(diào)會(huì) 議，共同協(xié)作處理網(wǎng)絡(luò)安全 問(wèn)題；滿足日常會(huì)議、 專(zhuān)項(xiàng)會(huì)議 進(jìn)行溝通b應(yīng)加強(qiáng)與網(wǎng)絡(luò)安全職能部 門(mén)、各類(lèi)供應(yīng)商、業(yè)界專(zhuān)家 及安全組織的合作與溝通；滿足經(jīng)常溝通、 合作c應(yīng)建立外聯(lián)單

15、位聯(lián)系列表， 包括外聯(lián)單位名稱(chēng)、合作內(nèi) 容、聯(lián)系人和聯(lián)系方式等信 息。滿足已建立審核和檢查a應(yīng)定期進(jìn)行常規(guī)安全檢查， 檢查內(nèi)容包括系統(tǒng)日常運(yùn) 行、系統(tǒng)漏洞和數(shù)據(jù)備份等 情況；基本滿足定期進(jìn)行 安全檢查需要完善， 人員安全管理規(guī)定編 制包括此部 分建設(shè)內(nèi)容。安全管理人員廳P基本要求控制項(xiàng)是否滿足已有措施需求人員錄用a應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén) 或人員負(fù)責(zé)人員錄用；滿足專(zhuān)門(mén)機(jī)構(gòu)b應(yīng)對(duì)被錄用人的身份、安全 背景、專(zhuān)業(yè)資格和資質(zhì)等進(jìn) 行審查；滿足專(zhuān)門(mén)機(jī)構(gòu)人員離崗a應(yīng)及時(shí)終止離崗員工的所 有訪問(wèn)權(quán)限，取回各種身份 證件、鑰匙、徽章等以及機(jī) 構(gòu)提供的軟硬件設(shè)備；滿足專(zhuān)門(mén)機(jī)構(gòu)安全意識(shí)教育和培訓(xùn)a應(yīng)對(duì)各類(lèi)人員進(jìn)行

16、安全意 識(shí)教育和崗位技能培訓(xùn)，并 告知相關(guān)的安全責(zé)任和懲 戒措施；基本滿足定期組織 安全培訓(xùn)外部人員訪問(wèn)管理a應(yīng)確保在外部人員物理訪 問(wèn)受控區(qū)域前先提出書(shū)面 申請(qǐng)，批準(zhǔn)后由專(zhuān)人全程陪 同，并登記備案；基本滿足需要明確 相應(yīng)規(guī)章 制度和備 案制度完善外部訪 問(wèn)管理b應(yīng)在外部人員接入受控網(wǎng) 絡(luò)訪問(wèn)系統(tǒng)前提出書(shū)面中 請(qǐng)，批準(zhǔn)后由專(zhuān)人開(kāi)設(shè)賬 戶、分配權(quán)限，并登記備案；基本滿足需要明確 相應(yīng)規(guī)章 制度和備 案制度完善外部訪 問(wèn)管理c外部人員離場(chǎng)后應(yīng)及時(shí)清 除其所有訪問(wèn)權(quán)限；基本滿足安全建設(shè)管理廳P基本要求控制項(xiàng)是否滿足已有措施需求定級(jí)和備案a應(yīng)以書(shū)面的形式說(shuō)明確定 保護(hù)對(duì)象的安全保護(hù)等級(jí) 及確定等級(jí)的方

17、法和理由；基本滿足結(jié)合建設(shè) 指南自主 定級(jí)應(yīng)組織相關(guān)部門(mén)和有關(guān)按 群技術(shù)專(zhuān)家對(duì)定級(jí)結(jié)果的 合理性和止確性進(jìn)行論證 和審；滿足組織專(zhuān)家 評(píng)審b應(yīng)保證定級(jí)結(jié)果經(jīng)過(guò)相關(guān) 部門(mén)的批準(zhǔn)；滿足按照基本 要求操作c應(yīng)將備案材料報(bào)主管部門(mén) 相應(yīng)公安機(jī)關(guān)備案。滿足按照基本 要求操作女全力某設(shè)計(jì)a應(yīng)根據(jù)安全保護(hù)等級(jí)選擇 基本安全措施，并依據(jù)風(fēng)險(xiǎn) 分析的結(jié)果補(bǔ)充和調(diào)整安 全措施；部分滿足制定中針對(duì)本次系 統(tǒng)建設(shè)內(nèi)容， 補(bǔ)充完善完 安全系統(tǒng)措 施。b應(yīng)根據(jù)保護(hù)對(duì)象的安全保 護(hù)等級(jí)進(jìn)行安全方案設(shè)計(jì)；部分滿足制定中針對(duì)本次系 統(tǒng)建設(shè)內(nèi)容， 補(bǔ)充完善安 全系統(tǒng)措施。c應(yīng)組織相關(guān)部門(mén)和有關(guān)安 全技術(shù)專(zhuān)家對(duì)安全方案的 合理性和

18、止確性進(jìn)行論證 和審定，并且經(jīng)過(guò)批準(zhǔn)后， 才能正式實(shí)施。不滿足制定中針對(duì)本次系 統(tǒng)建設(shè)內(nèi)容， 補(bǔ)充完善安 全系統(tǒng)措施。產(chǎn)品采購(gòu)和使用a應(yīng)確保安全產(chǎn)品采購(gòu)和使 用符合國(guó)家的肩關(guān)規(guī)定；滿足政府米購(gòu)b應(yīng)確保密碼廠品米購(gòu)和使 用符合國(guó)家密碼主管部門(mén) 的要求；滿足政府米購(gòu)自行軟件開(kāi)發(fā)a應(yīng)將開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行 環(huán)境物理分開(kāi)，測(cè)試數(shù)據(jù)和 測(cè)試結(jié)果受到控制；滿足仍需完善b應(yīng)保證在軟件開(kāi)發(fā)過(guò)程中滿足仍需完善對(duì)安全性進(jìn)行測(cè)試，在軟件 安裝前對(duì)可能存在的惡意 代碼進(jìn)行檢測(cè)；外包軟件開(kāi)發(fā)a應(yīng)在軟件交付前檢測(cè)軟件 包中可能存在的惡意代碼；基本滿足仍需加強(qiáng)b應(yīng)保證開(kāi)發(fā)單位提供軟件 設(shè)計(jì)的相關(guān)文檔和使用指 南；基本滿足仍需

19、加強(qiáng)工程實(shí)施a應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén) 或人員負(fù)責(zé)工程實(shí)施過(guò)程 的管理；滿足有專(zhuān)門(mén) 機(jī)構(gòu)負(fù)責(zé)b應(yīng)制定安全工程實(shí)施方案 控制實(shí)施過(guò)程；不滿足制定中在信息系統(tǒng) 項(xiàng)目實(shí)施前 制定。測(cè)試驗(yàn)收a應(yīng)制定測(cè)試驗(yàn)收方案，并依 據(jù)測(cè)試驗(yàn)收方案實(shí)施測(cè)試 驗(yàn)收，形成測(cè)試驗(yàn)收se告；滿足b應(yīng)進(jìn)行上線前的安全性測(cè) 試，并出具安全測(cè)試se告。滿足系統(tǒng)交付a應(yīng)制定交付清單，并根據(jù)交 付清單對(duì)所交接的設(shè)備、軟 件和文檔等進(jìn)行清點(diǎn)；滿足b應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的 技術(shù)人員進(jìn)行相應(yīng)的技能 培訓(xùn)；滿足c應(yīng)提供建設(shè)過(guò)程中文檔和 運(yùn)行維護(hù)義檔。滿足等級(jí)測(cè)評(píng)a應(yīng)定期進(jìn)行登記測(cè)評(píng)，發(fā)現(xiàn) 不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn) 要求的及時(shí)整改；基本滿足需要完善

20、 定期測(cè)評(píng) 制度b應(yīng)在發(fā)生重大變更或級(jí)別 發(fā)生變化時(shí)進(jìn)行等級(jí)測(cè)評(píng)；基本滿足需要加強(qiáng) 定期測(cè)評(píng) 意識(shí)c應(yīng)確保測(cè)評(píng)機(jī)構(gòu)的選擇符 合國(guó)家后關(guān)規(guī)止。滿足安全服務(wù)商選擇a應(yīng)確保服務(wù)商的選擇符合 國(guó)家的肩關(guān)規(guī)定；滿足b應(yīng)與選定的安全服務(wù)商簽 訂與相關(guān)協(xié)議，明確整個(gè)服 務(wù)供應(yīng)鏈各方需履行的網(wǎng) 絡(luò)安全相關(guān)義務(wù)；滿足安全運(yùn)維管理廳P基本要求控制項(xiàng)是否滿足已有措施需求環(huán)境管理a應(yīng)指定專(zhuān)門(mén)的部門(mén)或人員負(fù) 責(zé)機(jī)房安全，對(duì)機(jī)房出入進(jìn) 行管理，定期對(duì)機(jī)房供配電、 空調(diào)、溫濕度控制、消防等設(shè) 施進(jìn)行維護(hù)管理；滿足機(jī)房管 理辦法b應(yīng)建立機(jī)房安全管理制度， 對(duì)有關(guān)機(jī)房物理訪問(wèn)，物品 帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境 安全等方面的管理作

21、出規(guī) 定；滿足機(jī)房管 理辦法c應(yīng)在不重要區(qū)域接待來(lái)訪人 員，不隨意放置含有敏感信 息的紙檔文件和移動(dòng)介質(zhì) 等。滿足機(jī)房管 理辦法資產(chǎn)管理a應(yīng)編制并保存與保護(hù)對(duì)象相 關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé) 任部門(mén)、重要程度和所處位 置等內(nèi)容；滿足有資產(chǎn)管 理清單介質(zhì)管理a應(yīng)確保介質(zhì)存放在安全的環(huán) 境中，對(duì)各類(lèi)介質(zhì)進(jìn)行控制 和保護(hù)，并實(shí)行存儲(chǔ)環(huán)境專(zhuān) 人管理，并根據(jù)存檔介質(zhì)的目 錄清單定期盤(pán)點(diǎn)；滿足有專(zhuān)門(mén)存 放地點(diǎn)b應(yīng)對(duì)介質(zhì)在物理傳輸過(guò)程中 的人員選擇、打包、交付等情 況進(jìn)行控制，并對(duì)介質(zhì)的歸 檔和查詢等進(jìn)行登記記錄?；緷M足需要加強(qiáng) 介質(zhì)傳輸 過(guò)程中的 管理意識(shí)設(shè)備維護(hù)管理a應(yīng)對(duì)各種設(shè)備（包括備份和 冗余設(shè)備）

22、、線路等指定專(zhuān)門(mén) 的部門(mén)或人員定期進(jìn)行維護(hù) 管理；滿足有專(zhuān)人負(fù) 責(zé)b應(yīng)建立配套設(shè)施、軟硬件維 護(hù)力卸的管理制度，對(duì)其維 護(hù)進(jìn)行后效的管理，包括明 確維護(hù)人員的責(zé)任、維修和 服務(wù)的審批、維修過(guò)程的監(jiān) 督控制等；滿足機(jī)房管 理辦法漏洞和風(fēng)險(xiǎn)管理a應(yīng)采取必要的措施識(shí)別安全 漏洞和隱患，對(duì)發(fā)現(xiàn)的安全 漏洞和隱患及時(shí)進(jìn)行修補(bǔ)或 評(píng)估可能的影響后進(jìn)行修 補(bǔ)；滿足網(wǎng)絡(luò)和系統(tǒng)安全管理a應(yīng)劃分/、同的管理員角色進(jìn) 行網(wǎng)絡(luò)和系統(tǒng)的運(yùn)維管理， 明確各個(gè)角色的責(zé)任和權(quán) 限；滿足已有相應(yīng) 權(quán)限管控b應(yīng)指定專(zhuān)門(mén)的部門(mén)或人員進(jìn) 行賬戶管理，對(duì)申請(qǐng)賬戶、建 立賬戶、刪除賬戶等進(jìn)行控 制；滿足已指定專(zhuān) 人負(fù)責(zé)c應(yīng)建立網(wǎng)絡(luò)和系統(tǒng)

23、安全管理 制度，對(duì)安全策略、賬戶管 理、配置管理、日志管理、升 級(jí)與打補(bǔ)丁、 口令更新周期 等方面作出規(guī)定；滿足有專(zhuān)人負(fù) 責(zé)d應(yīng)制定重要設(shè)備的配置和操 作手冊(cè)，依據(jù)手冊(cè)對(duì)設(shè)備進(jìn) 行安全配置和優(yōu)化配置等；滿足有安全操 作手冊(cè)e應(yīng)詳細(xì)記錄運(yùn)維操作日志， 包括日常巡檢工作、運(yùn)行維 護(hù)記錄、參數(shù)的設(shè)置和修改 等內(nèi)容；滿足有詳細(xì)運(yùn) 維記錄惡意代碼防范管理a應(yīng)提高所有用戶的防惡意代 碼意識(shí)，對(duì)外來(lái)計(jì)算機(jī)或存 儲(chǔ)設(shè)備接入系統(tǒng)之前進(jìn)行惡不滿足網(wǎng)絡(luò)病 毒檢測(cè)及 安全漏洞需增加此部 分內(nèi)容。意代碼檢查等；檢測(cè)管理 辦法b應(yīng)對(duì)惡意代碼防范要求做出 規(guī)定，包括防惡意代碼軟件 的授權(quán)使用、惡意代碼升級(jí)、 惡意代碼的定期

24、查殺等；不滿足網(wǎng)絡(luò)病 毒檢測(cè)及 安全漏洞 檢測(cè)管理 辦法需增加此部 分內(nèi)容。c應(yīng)定期驗(yàn)證防范惡意代碼攻 擊的技術(shù)措施的有效性。不滿足網(wǎng)絡(luò)病 毒檢測(cè)及 安全漏洞 檢測(cè)管理 辦法需增加此部 分內(nèi)容。配置管理a應(yīng)記錄和保存基本配置信 息，包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、各個(gè) 設(shè)備安裝的軟件組件、軟件 組件的版本和補(bǔ)丁信息、各 個(gè)設(shè)備或軟件組件的配置參 數(shù)等；滿足密碼管埋a應(yīng)遵循密碼相關(guān)國(guó)家標(biāo)準(zhǔn)和 行業(yè)標(biāo)準(zhǔn)；遵循b應(yīng)使用符合國(guó)家密碼管埋規(guī) 止的醬碼技術(shù)和廠品。不rfn要變更管理a應(yīng)明確變更需求，變更前根 據(jù)變更需求制定義更力菜, 變更方案經(jīng)過(guò)評(píng)審、審批后 方可實(shí)施；滿足備份與恢復(fù)管理a應(yīng)識(shí)別需要定期備份的重要 業(yè)務(wù)

25、信息、系統(tǒng)數(shù)據(jù)及軟件 系統(tǒng)等；滿足已有備份 策略及備 份設(shè)備b應(yīng)規(guī)定備份信息的備份方 式、備份頻度、存儲(chǔ)介質(zhì)、保 存期等；滿足已有備份 策略及備 份設(shè)備c應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù) 對(duì)系統(tǒng)運(yùn)行的影響，制定數(shù) 據(jù)的備份策略和恢復(fù)策略、 備份程序和恢復(fù)程序等?；緷M足現(xiàn)有應(yīng)急 響應(yīng)制度 中，控制手 段基本符 合要求，還 需進(jìn)一步按等保要 求逐條補(bǔ) 足和修改安全事件處置a應(yīng)及時(shí)向安全管理部門(mén)報(bào)告 所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事 件；滿足現(xiàn)有制度 中已規(guī)范 該項(xiàng)要求b應(yīng)制定安全事件報(bào)告和處置 管理制度，明確/、同安全事 件的報(bào)告、處置和響應(yīng)流程， 規(guī)定安全 事件的現(xiàn)場(chǎng)處理、 事件告和后期恢復(fù)的管理 職責(zé)等；滿

26、足現(xiàn)有制度 中已規(guī)范 該項(xiàng)要求c應(yīng)在安全事件才艮告和響應(yīng)處 理過(guò)程中，分析和鑒定事件 產(chǎn)生的原因，收集證據(jù)，記錄 處理過(guò)程，總結(jié)經(jīng)驗(yàn)教訓(xùn)；滿足現(xiàn)有制度 中已規(guī)范 該項(xiàng)要求應(yīng)急預(yù)案管理a應(yīng)制定重要事件的應(yīng)急預(yù) 案，包括應(yīng)急處理流程、系統(tǒng) 恢復(fù)流程等內(nèi)容；基本滿足已有應(yīng)急b應(yīng)定期對(duì)系統(tǒng)相關(guān)的人員進(jìn) 行應(yīng)急預(yù)案培訓(xùn)，并進(jìn)行應(yīng) 急預(yù)案的演練；基本滿足在現(xiàn)有制 度中的監(jiān) 督管理部 分有相應(yīng) 要求，但還 需完善補(bǔ) 足外包運(yùn)維管理a應(yīng)確保外包運(yùn)維服務(wù)商的選 擇符合國(guó)家的肩關(guān)規(guī)定；滿足b應(yīng)與選定的外包運(yùn)維服務(wù)商 簽訂相關(guān)的協(xié)議，明確約定 外包運(yùn)維的范圍、工作內(nèi)容；滿足云計(jì)算安全擴(kuò)展要求安全物理環(huán)境1、基礎(chǔ)設(shè)施

27、位置應(yīng)保證云計(jì)算基礎(chǔ)設(shè)施位于中國(guó)境內(nèi)。安全通信網(wǎng)絡(luò)1、網(wǎng)絡(luò)架構(gòu)a）應(yīng)保證云計(jì)算平臺(tái)不承載高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng)；b）應(yīng)實(shí)現(xiàn)不同云服務(wù)客戶虛擬網(wǎng)絡(luò)之間的隔離；c）應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求提供通信傳輸、邊界防護(hù)、入侵 防范等安全機(jī)制的能力；安全區(qū)域邊界1、訪問(wèn)控制a）應(yīng)在虛擬化網(wǎng)絡(luò)邊界部署訪問(wèn)控制機(jī)制，并設(shè)置訪問(wèn)控制規(guī)則；b）應(yīng)在不同等級(jí)的網(wǎng)絡(luò)區(qū)域邊界部署訪問(wèn)控制機(jī)制，設(shè)置訪問(wèn)控制 規(guī)則。2、入侵防范a）應(yīng)能檢測(cè)到云服務(wù)客戶發(fā)起的網(wǎng)絡(luò)攻擊行為，并能記錄攻擊類(lèi)型、攻擊時(shí)間、攻擊流量等；b）應(yīng)能檢測(cè)到對(duì)虛擬網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)攻擊行為，并能記錄攻擊類(lèi)型、攻擊時(shí)間、攻擊流量等；c）應(yīng)能檢測(cè)到虛擬

28、機(jī)與宿主機(jī)、虛擬機(jī)與虛擬機(jī)之間的異常流量；3、安全審計(jì)a）應(yīng)對(duì)云服務(wù)商和云服務(wù)客戶在遠(yuǎn)程管理時(shí)執(zhí)行的特權(quán)命令進(jìn)行審 計(jì)，至少包括虛擬機(jī)刪除、虛擬機(jī)重啟；b）應(yīng)保證云服務(wù)商對(duì)云服務(wù)客戶系統(tǒng)和數(shù)據(jù)的操作可被云服務(wù)客戶 審計(jì)。安全計(jì)算環(huán)境1、訪問(wèn)控制a）應(yīng)保證當(dāng)虛擬機(jī)遷移時(shí)，訪問(wèn)控制策略隨其遷移；b）應(yīng)允許云服務(wù)客戶設(shè)置不同虛擬機(jī)之間的訪問(wèn)控制策略。2、鏡像和快照保護(hù)a）應(yīng)針對(duì)重要業(yè)務(wù)系統(tǒng)提供加固的操作系統(tǒng)鏡像或操作系統(tǒng)安全加 固服務(wù)；b）應(yīng)提供虛擬機(jī)鏡像、快照完整性校驗(yàn)功能，防止虛擬機(jī)鏡像被惡意篡改；3、數(shù)據(jù)完整性和保密性a）應(yīng)確保云服務(wù)客戶數(shù)據(jù)、用戶個(gè)人信息等存儲(chǔ)于中國(guó)境內(nèi)，如需 出境應(yīng)遵循國(guó)家

29、相關(guān)規(guī)定；b）應(yīng)確保只有在云服務(wù)客戶授權(quán)下，云服務(wù)商或第二方才具有云服 務(wù)客戶數(shù)據(jù)的管理權(quán)限；c）應(yīng)使用校驗(yàn)碼或密碼技術(shù)確保虛擬機(jī)遷移過(guò)程中重要數(shù)據(jù)的完整性，并在檢測(cè)到完整性受到破壞時(shí)采取必要的恢復(fù)措施； 4、數(shù)據(jù)備份與恢復(fù)a）云服務(wù)客戶應(yīng)在本地保存其業(yè)務(wù)數(shù)據(jù)的備份；b）應(yīng)提供查詢?cè)品?wù)客戶數(shù)據(jù)及備份存儲(chǔ)位置的能力；5、剩余信息保護(hù)a）應(yīng)保證虛擬機(jī)所使用的內(nèi)存和存儲(chǔ)空間回收時(shí)得到完全清除；b）云服務(wù)客戶刪除業(yè)務(wù)應(yīng)用數(shù)據(jù)時(shí)，云計(jì)算平臺(tái)應(yīng)將云存儲(chǔ)中所有 副本刪除。安全建設(shè)管理1、云服務(wù)商選擇a）應(yīng)選擇安全合規(guī)的云服務(wù)商，其所提供的云計(jì)算平臺(tái)應(yīng)為其所承載的業(yè)務(wù)應(yīng)用系統(tǒng)提供相應(yīng) 等級(jí)的安全保護(hù)能力；b

30、）應(yīng)在服務(wù)水平協(xié)議中規(guī)定云服務(wù)的各項(xiàng)服務(wù)內(nèi)容和具體技術(shù)指標(biāo)；c）應(yīng)在服務(wù)水平協(xié)議中規(guī)定云服務(wù)商的權(quán)限與責(zé)任，包括管理范圍、職責(zé)劃分、訪問(wèn)授權(quán)、隱私保 護(hù)、行為準(zhǔn)則、違約責(zé)任等；d）應(yīng)在服務(wù)水平協(xié)議中規(guī)定服務(wù)合約到期時(shí)，完整提供云服務(wù)客戶數(shù)據(jù)，并承諾相關(guān)數(shù)據(jù)在云計(jì) 算平臺(tái)上清除；2、供應(yīng)鏈管理a）應(yīng)確保供應(yīng)商的選擇符合國(guó)家有關(guān)規(guī)定；b）將供應(yīng)鏈安全事件信息或安全威脅信息及時(shí)傳達(dá)到云服務(wù)客戶；安全運(yùn)維管理1、云計(jì)算環(huán)境管理云計(jì)算平臺(tái)的運(yùn)維地點(diǎn)應(yīng)位于中國(guó)境內(nèi)，境外對(duì)境內(nèi)云計(jì)算平臺(tái)實(shí)施 運(yùn)維操作應(yīng)遵循國(guó)家相關(guān)規(guī)定。移動(dòng)互聯(lián)網(wǎng)安全擴(kuò)展要求安全物理環(huán)境1、無(wú)線接入點(diǎn)的物理位置應(yīng)為無(wú)線接入設(shè)備的安裝選擇合理

31、位置，避免過(guò)度覆蓋和電磁干擾。安全區(qū)域邊界1、邊界防護(hù)應(yīng)保證有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)邊界之間的訪問(wèn)和數(shù)據(jù)流通過(guò)無(wú)線接入 網(wǎng)關(guān)設(shè)備。2、訪問(wèn)控制無(wú)線接入設(shè)備應(yīng)開(kāi)啟接入認(rèn)證功能，并支持采用認(rèn)證服務(wù)器認(rèn)證或國(guó) 家密碼管理機(jī)構(gòu)批準(zhǔn)的密碼模塊進(jìn)行認(rèn)證。3、入侵防范a）應(yīng)能夠檢測(cè)到非授權(quán)無(wú)線接人設(shè)備和非授權(quán)移動(dòng)終端的接人行為；b）應(yīng)能夠檢測(cè)到針對(duì)無(wú)線接入設(shè)備的網(wǎng)絡(luò)掃描、DDoS攻擊、密鑰破解、中間人攻擊和欺騙攻擊等行為；c）應(yīng)能夠檢測(cè)到無(wú)線接入設(shè)備的 SSID廣播、WPS等高風(fēng)險(xiǎn)功能的 開(kāi)啟狀態(tài)；d）應(yīng)禁用無(wú)線接入設(shè)備和無(wú)線接入網(wǎng)關(guān)存在風(fēng)險(xiǎn)的功能，如： SSID 廣播、WEPU證等；e）應(yīng)禁止多個(gè)AP使用同一個(gè)

32、認(rèn)證密鑰；安全計(jì)算環(huán)境1、移動(dòng)應(yīng)用管控a）應(yīng)具有選擇應(yīng)用軟件安裝、運(yùn)行的功能；b）應(yīng)只允許指定證書(shū)簽名的應(yīng)用軟件安裝和運(yùn)行；安全建設(shè)管理1、移動(dòng)應(yīng)用軟件采購(gòu)a）應(yīng)保證移動(dòng)終端安裝、運(yùn)行的應(yīng)用軟件來(lái)自可靠分發(fā)渠道或使用可靠證書(shū)簽名；b）應(yīng)保證移動(dòng)終端安裝、運(yùn)行的應(yīng)用軟件由指定的開(kāi)發(fā)者開(kāi)發(fā)。2、移動(dòng)應(yīng)用軟件開(kāi)發(fā)a）應(yīng)對(duì)移動(dòng)業(yè)務(wù)應(yīng)用軟件開(kāi)發(fā)者進(jìn)行資格審查；b）應(yīng)保證開(kāi)發(fā)移動(dòng)業(yè)務(wù)應(yīng)用軟件的簽名證書(shū)合法性。物聯(lián)網(wǎng)安全擴(kuò)展要求安全物理環(huán)境1、感知節(jié)點(diǎn)設(shè)備物理防護(hù)a）感知節(jié)點(diǎn)設(shè)備所處的物理環(huán)境應(yīng)不對(duì)感知節(jié)點(diǎn)設(shè)備造成物理破壞, 如擠壓、強(qiáng)振動(dòng)；b）感知節(jié)點(diǎn)設(shè)備在工作狀態(tài)所處物理環(huán)境應(yīng)能正確反映環(huán)境狀態(tài)（如溫濕度傳感器不能安裝在陽(yáng)光直射區(qū)域）；安全區(qū)域邊界1、接入控制應(yīng)保證只有授權(quán)的感知節(jié)點(diǎn)可以接入。2、入侵防范a）應(yīng)能夠限制與感知節(jié)點(diǎn)通信的目標(biāo)地址，以避免對(duì)陌生地址的攻 擊行為；b）應(yīng)能夠限制與網(wǎng)關(guān)節(jié)點(diǎn)通信的目標(biāo)地址，以避免對(duì)陌生