2022年机房级与级等保要求.docx-淘文阁

资源描述

《2022年机房级与级等保要求.docx》由会员分享，可在线阅读，更多相关《2022年机房级与级等保要求.docx（54页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、精选学习资料 - - - - - - - - - 二级、三级等级爱护要求比较一、技术要求技术要求项二级等保三级等保物理1）机房和办公场地应挑选1）机房和办公场地应挑选在具有防震、防安全物理在具有防震、防风和防风和防雨等才能的建筑内；雨等才能的建筑内；2）机房场地应防止设在建筑物的高层或地位置下室,以及用水设备的下层或隔壁；的选3）机房场地应当躲开强电场、强磁场、强择震惊源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区；物理1）机房出入口应有专人值1）机房出入口应有专人值守,鉴别进入的拜访守,鉴别进入的人员身人员身份并登记在案；掌握份并登记在案；2）应批准进入机房的

2、来访人员,限制和监2）应批准进入机房的来访控其活动范畴；人员,限制和监控其活3）应对机房划分区域进行治理,区域和区动范畴；域之间设置物理隔离装置,在重要区域前设置交付或安装等过度区域；4）应对重要区域配置电子门禁系统,鉴别和记录进入的人员身份并监控其活动；防盗1）应将主要设备放置在物1）应将主要设备放置在物理受限的范畴窃和理受限的范畴内；内；防破2）应对设备或主要部件进2）应对设备或主要部件进行固定,并设置坏行固定,并设置明显的明显的无法除去的标记；不易除去的标记；3）应将通信线缆铺设在隐藏处,如铺设在3）应将通信线缆铺设在隐地下或管道中等；蔽处,如铺设在地下或4）应对介质

3、分类标识,储备在介质库或档管道中等；案室中；4）应对介质分类标识,存储在介质库或档案室5）设备或储备介质携带出工作环境时,应受到监控和内容加密；中；6）应利用光、电等技术设置机房的防盗报5）应安装必要的防盗报警警系统,以防进入机房的盗窃和破坏行名师归纳总结设施,以防进入机房的为；第 1 页,共 31 页- - - - - - -精选学习资料 - - - - - - - - - 技术要求项二级等保三级等保防雷盗窃和破坏行为；7）应对机房设置监控报警系统；1）机房建筑应设置避雷装1）机房建筑应设置避雷装置；击置；2）应设置防雷保安器,防止感应雷；2）应设置沟

4、通电源地线；3）应设置沟通电源地线；防火1）应设置灭火设备和火灾3）应设置火灾自动消防系统,自动检测火自动报警系统,并保持灭火设备和火灾自动报情、自动报警,并自动灭火；4）机房及相关的工作房间和帮助房,其建警系统的良好状态；筑材料应具有耐火等级；5）机房实行区域隔离防火措施,将重要设备与其他设备隔离开；防水1）水管安装,不得穿过屋1）水管安装,不得穿过屋顶和活动地板和防顶和活动地板下；下；潮2）应对穿过墙壁和楼板的2）应对穿过墙壁和楼板的水管增加必要的水管增加必要的爱护措爱护措施,如设置套管；施,如设置套管；3）应实行措施防止雨水通过屋顶和墙壁渗3）应实行措施防止雨水

5、通透；过屋顶和墙壁渗透；4）应实行措施防止室内水蒸气结露和地下4）应实行措施防止室内水积水的转移与渗透；蒸气结露和地下积水的转移与渗透；防静1）应采纳必要的接地等防1）应采纳必要的接地等防静电措施；电静电措施2）应采纳防静电地板；温湿1）应设置温、湿度自动调1）应设置恒温恒湿系统,使机房温、湿度度控节设施,使机房温、湿的变化在设备运行所答应的范畴之内；制度的变化在设备运行所答应的范畴之内；电力1）运算机系统供电应与其1）运算机系统供电应与其他供电分开；UPS 设供应他供电分开；2）应设置稳压器和过电压防护设备；2）应设置稳压器和过电压3）应供应短期的备用电力供应（如防护

6、设备；备）；3）应供应短期的备用电力供应（如 UPS 设备）；4）应设置冗余或并行的电力电缆线路；5）应建立备用供电系统（如备用发电机）,以备常用供电系统停电时启用；名师归纳总结 - - - - - - -第 2 页,共 31 页精选学习资料 - - - - - - - - - 技术要求项二级等保三级等保1）应采纳接地方式防止外1）应采纳接地方式防止外界电磁干扰和设网络电磁界电磁干扰和设备寄生备寄生耦合干扰；耦合干扰；2）电源线和通信线缆应隔离,防止相互干防护2）电源线和通信线缆应隔扰；结构离,防止相互干扰；3）对重要设备和磁介质实施电磁屏蔽；1

7、）网络设备的业务处理能1）网络设备的业务处理才能应具备冗余空安全安全力应具备冗余空间,要间,要求满意业务高峰期需要；与网求满足业务高峰期需2）应设计和绘制与当前运行情形相符的网段划要；络拓扑结构图；分2）应设计和绘制与当前运3）应依据机构业务的特点,在满意业务高行情形相符的网络拓扑峰期需要的基础上,合理设计网络带结构图；宽；3）应根据机构业务的特点,在满意业务高峰期需要的基础上,合理设4）应在业务终端与业务服务器之间进行路由掌握建立安全的拜访路径；5）应依据各部门的工作职能、重要性、所计网络带宽；涉及信息的重要程度等因素,划分不同4）应在业

8、务终端与业务服务器之间进行路由控制,建立安全的拜访路的子网或网段,并依据便利治理和掌握的原就为各子网、网段安排地址段；6）重要网段应实行网络层地址与数据链路径；层地址绑定措施,防止地址欺诈；5）应依据各部门的工作职能、重要性、所涉及信息的重要程度等因素,7）应依据对业务服务的重要次序来指定带宽安排优先级别,保证在网络发生拥堵的时候优先爱护重要业务数据主机；划分不同的子网或网段,并依据便利治理和掌握的原就为各子网、网段安排地址段；6）重要网段应实行网络层地址与数据链路层地址绑定措施,防止地址欺骗；名师归纳总结网络1）应能依据会话状态信

9、息1）应能依据会话状态信息（包括数据包的第 3 页,共 31 页拜访（包括数据包的源地源地址、目的地址、源端口号、目的端- - - - - - -精选学习资料 - - - - - - - - - 技术要求项二级等保三级等保掌握址、目的地址、源端口口号、协议、出入的接口、会话序列号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持号、发出信息的主机名等信息,并应支持地址通配符的使用）,为数据流供应明确的答应 /拒绝拜访的才能；2）应对进出网络的信息内容进行过滤,实地址通配符的使用）,现对应用层HTTP 、 FTP、 TELN

10、ET 、为数据流供应明确的允SMTP 、POP3 等协议命令级的掌握；许/拒绝拜访的才能；3）应依据安全策略答应或者拒绝便携式和移动式设备的网络接入；4）应在会话处于非活跃肯定时间或会话结束后终止网络连接；5）应限制网络最大流量数及网络连接数；拨号1）应在基于安全属性的允1）应在基于安全属性的答应远程用户对系拜访许远程用户对系统拜访统拜访的规章的基础上,对系统全部资掌握的规章的基础上,对系源答应或拒绝用户进行拜访,掌握粒度统全部资源答应或拒绝为单个用户；用户进行拜访,掌握粒2）应限制具有拨号拜访权限的用户数量；度为单个用户；3）应按用户和系统之间的答应拜访规章,2）应限制具

11、有拨号拜访权打算答应用户对受控系统进行资源访网络限的用户数量；问；1）应对网络系统中的网络1）应对网络系统中的网络设备运行状况、安全设备运行状况、网络流网络流量、用户行为等进行全面的监审计量、用户行为等大事进测、记录；行日志记录；2）对于每一个大事,其审计记录应包括：2）对于每一个大事,其审计记录应包括：大事的大事的日期和时间、用户、大事类型、大事是否胜利,及其他与审计相关的信日期和时间、用户、事息；件类型、事件是否成功,及其他与审计相关3）安全审计应可以依据记录数据进行分析,并生成审计报表；的信息；4）安全审计应可以对特定大事,供应指定方式的实时报警；5）

12、审计记录应受到爱护防止受到未预期的删除、修改或掩盖等；名师归纳总结 - - - - - - -第 4 页,共 31 页精选学习资料 - - - - - - - - - 技术要求项二级等保三级等保边界1）应能够检测内部网络中”1）应能够检测内部网络中显现的内部用户完整显现的内部用户未通过未通过准许私自联到外部网络的行为性检准许私自联到外部网络（即“ 非法外联” 行为）；查的行为（即“ 非法外联2）应能够对非授权设备私自联到网络的行行为）；为进行检查,并精确定出位置,对其进行有效阻断；3）应能够对内部网络用户私自联到外部网络的行为进行检测后精确定出位置,并对其进行有效阻断；网络1）

13、应在网络边界处监视以1）应在网络边界处应监视以下攻击行为：IP 碎入侵下攻击行为：端口扫端口扫描、强力攻击、木马后门攻击、防范描、强力攻击、木马后拒绝服务攻击、缓冲区溢出攻击、门攻击、拒绝服务攻片攻击、网络蠕虫攻击等入侵大事的发击、缓冲区溢出攻击、生；IP 碎片攻击、网络蠕虫攻击等入侵事件的发2）当检测到入侵大事时,应记录入侵的源 IP 、攻击的类型、攻击的目的、攻击的生；时间,并在发生严峻入侵大事时供应报警；恶意2）应在网络边界及核心业2）应在网络边界及核心业务网段处对恶意代码务网段处对恶意代码进代码进行检测和清除；防范行检测和清除；

14、3）应爱护恶意代码库的升级和检测系统的3）应爱护恶意代码库的升更新；级和检测系统的更新；4）应支持恶意代码防范的统一治理；4）应支持恶意代码防范的统一治理；网络1）应对登录网络设备的用1）应对登录网络设备的用户进行身份鉴设备户进行身份鉴别；别；防护2）应对网络设备的治理员2）应对网络上的对等实体进行身份鉴别；登录地址进行限制；3）应对网络设备的治理员登录地址进行限3）网络设备用户的标识应制；唯独；4）网络设备用户的标识应唯独；4）身份鉴别信息应具有不易被冒用的特点,例如5）身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更名师归纳总结 - - -

15、 - - - -第 5 页,共 31 页精选学习资料 - - - - - - - - - 技术要求项二级等保三级等保口令长度、复杂性和定新等；期的更新等；6）应对同一用户挑选两种或两种以上组合5）应具有登录失败处理功能,如：终止会话、限制非法登录次数,当网的鉴别技术来进行身份鉴别；7）应具有登录失败处理功能,如：终止会话、限制非法登录次数,当网络登录连络登录连接超时,自动接超时,自动退出；退出；8）应实现设备特权用户的权限分别,例如将治理与审计的权限安排给不同的网络设备用户；主机身份1）操作系统和数据库治理2）操作系统和数据库治理系统用户的身份系统鉴别系统用户的身份标识应标

16、识应具有唯独性；安全具有唯独性；3）应对登录操作系统和数据库治理系统的2）应对登录操作系统和数据库治理系统的用户进用户进行身份标识和鉴别；4）应对同一用户采纳两种或两种以上组合行身份标识和鉴别；的鉴别技术实现用户身份鉴别；3）操作系统和数据库治理系统身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性5）操作系统和数据库治理系统用户的身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等；6）应具有登录失败处理功能,如：终止会和定期的更新等；话、限制非法登录次数,当登录连接超4）应具有登录失败处理功时,自动退出；能,如：终止会话、限制非法登录次数

17、,当登录连接超时 , 自动退出；7）应具有鉴别警示功能；8）重要的主机系统应对与之相连的服务器或终端设备进行身份标识和鉴别；自主1）应依据安全策略掌握主1）应依据安全策略掌握主体对客体的访拜访体对客体的拜访；问；掌握2）自主拜访掌握的掩盖范2）自主拜访掌握的掩盖范畴应包括与信息围应包括与信息安全直安全直接相关的主体、客体及它们之间接相关的主体、客体及的操作；它们之间的操作；3）自主拜访掌握的粒度应达到主体为用户3）自主拜访掌握的粒度应达到主体为用户级,客级,客体为文件、数据库表级；4）应由授权主体设置对客体拜访和操作的名师归纳总结 - - - - - -

18、 -第 6 页,共 31 页精选学习资料 - - - - - - - - - 技术要求项二级等保三级等保体为文件、数据库表权限；级；5）权限分别应采纳最小授权原就,分别授4）应由授权主体设置对客体拜访和操作的权限；予不同用户各自为完成自己承担任务所需的最小权限,并在他们之间形成相互5）应严格限制默认用户的制约的关系；拜访权限；6）应实现操作系统和数据库治理系统特权用户的权限分别；7）应严格限制默认用户的拜访权限；强制无1）应对重要信息资源和拜访重要信息资源拜访的全部主体设置敏锐标记；掌握2）强制拜访掌握的掩盖范畴应包括与重要信息资源直接相关的全部主体、客

19、体及它们之间的操作；3）强制拜访掌握的粒度应达到主体为用户级,客体为文件、数据库表级；安全1）安全审计应掩盖到服务1）安全审计应掩盖到服务器和客户端上的审计器上的每个操作系统用每个操作系统用户和数据库用户；户和数据库用户；2）安全审计应记录系统内重要的安全相关2）安全审计应记录系统内重要的安全相关大事,包括重要用户行为和重要系统命令的使用等；大事,包括重要用户行为、系统资源的反常使用和重要系统命令的使用；3）安全相关大事的记录应包括日期和时间、类型、主体标识、客体标识、大事3）安全相关大事的记录应的结果等；包括日期和时间、类型、主体标识、客体标4）安

20、全审计应可以依据记录数据进行分析,并生成审计报表；识、大事的结果等；5）安全审计应可以对特定大事,供应指定4）审计记录应受到爱护避方式的实时报警；免受到未预期的删除、6）审计进程应受到爱护防止受到未预期的修改或掩盖等；中断；7）审计记录应受到爱护防止受到未预期的删除、修改或掩盖等；名师归纳总结系统1）系统应供应在治理爱护2）系统因故障或其他缘由中断后,应能够第 7 页,共 31 页爱护状态中运行的才能,管以手动或自动方式复原运行；- - - - - - -精选学习资料 - - - - - - - - - 技术要求项二级等保三级等保理爱护状态只能被系统治理员使用；剩余1）应

21、保证操作系统和数据8）应保证操作系统和数据库治理系统用户信息库治理系统用户的鉴别的鉴别信息所在的储备空间,被释放或爱护信息所在的储备空间,再安排给其他用户前得到完全清除,无被释放或再安排给其他论这些信息是存放在硬盘上仍是在内存用户前得到完全清除,中；无论这些信息是存放在硬盘上仍是在内存中；2）应确保系统内的文件、目录和数据库记录等资源所在的储备空间,被释放或重新安排给其他用户前得到完全清除；9）应确保系统内的文件、目录和数据库记录等资源所在的储备空间,被释放或重新安排给其他用户前得到完全清除；入侵无1）应进行主机运行监视,包括监视主机的防范CPU、硬盘、内存、网络等资源的使

22、用情形；2）应设定资源报警域值,以便在资源使用超过规定数值时发出报警；3）应进行特定进程监控,限制操作人员运行非法进程；4）应进行主机账户监控,限制对重要账户的添加和更换；5）应检测各种已知的入侵行为,记录入侵的源 IP 、攻击的类型、攻击的目的、攻击的时间,并在发生严峻入侵大事时提供报警；6）应能够检测重要程序完整性受到破坏,并在检测到完整性错误时实行必要的恢复措施；名师归纳总结恶意1）服务器和重要终端设备1）服务器和终端设备（包括移动设备）均第 8 页,共 31 页代码（包括移动设备）应安应安装实时检测和查杀恶意代码的软件防范装实时检测和查杀恶意产品；- -

23、- - - - -精选学习资料 - - - - - - - - - 技术要求项二级等保三级等保代码的软件产品；2）主机系统防恶意代码产品应具有与网络2）主机系统防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；防恶意代码产品不同的恶意代码库；3）应支持恶意代码防范的统一治理；资源1）应限制单个用户的会话2）应限制单个用户的多重并发会话；掌握数量；3）应对最大并发会话连接数进行限制；2）应通过设定终端接入方4）应对一个时间段内可能的并发会话连接式、网络地址范畴等条数进行限制；件限制终端登录；5）应通过设定终端接入方式、网络地址范围等条件限制终端登录；6）应依

24、据安全策略设置登录终端的操作超时锁定和鉴别失败锁定,并规定解锁或终止方式；7）应禁止同一用户账号在同一时间内并发登录；8）应限制单个用户对系统资源的最大或最小使用限度；9）当系统的服务水平降低到预先规定的最小值时,应能检测和报警；10）应依据安全策略设定主体的服务优先级,依据优先级安排系统资源,保证优先级低的主体处理才能不会影响到优先级高的主体的处理才能；应用身份1）应用系统用户的身份标1）系统用户的身份标识应具有唯独性；安全鉴别识应具有唯独性；2）应对登录的用户进行身份标识和鉴别；2）应对登录的用户进行身3）系统用户的身份鉴别信息应具有不易被份标识和鉴别；冒用

25、的特点,例如口令长度、复杂性和3）系统用户身份鉴别信息定期的更新等；应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等；4）应具有登录失败处理功4）应对同一用户采纳两种或两种以上组合的鉴别技术实现用户身份鉴别；5）应具有登录失败处理功能,如：终止会话、限制非法登录次数,当登录连接超名师归纳总结 - - - - - - -第 9 页,共 31 页精选学习资料 - - - - - - - - - 技术要求项二级等保三级等保能,如：终止会话、限时,自动退出；制非法登录次数,当登录连接超时 , 自动退6）应具有鉴别警示功能；7）应用系统应准时清除储备空间中

26、动态使拜访出；用的鉴别信息；1）应依据安全策略掌握用1）应依据安全策略掌握用户对客体的访掌握户对客体的拜访；问；2）自主拜访掌握的掩盖范围应包括与信息安全直2）自主拜访掌握的掩盖范畴应包括与信息安全直接相关的主体、客体及它们之间接相关的主体、客体及的操作；它们之间的操作；3）自主拜访掌握的粒度应达到主体为用户3）自主拜访掌握的粒度应达到主体为用户级,客体为文件、数据库表级,客体为文件、数据库表级；4）应由授权主体设置用户对系统功能操作和对数据拜访的权限；级；5）应实现应用系统特权用户的权限分别,4）应由授权主体设置用户例如将治理与审计的权限安排给不

27、同的对系统功能操作和对数应用系统用户；据拜访的权限；6）权限分别应采纳最小授权原就,分别授5）应实现应用系统特权用户的权限分别,例如将予不同用户各自为完成自己承担任务所需的最小权限,并在它们之间形成相互治理与审计的权限安排制约的关系；给不同的应用系统用户；6）权限分别应采纳最小授权原就,分别授予不同用户各自为完成自己承担任务所需的最小权限,并在它们之间形成相互制约的关系；7）应严格限制默认用户的拜访权限；7）应严格限制默认用户的拜访权限；安全1）安全审计应掩盖到应用1）安全审计应掩盖到应用系统的每个用审计系统的每个用户；户；2）

28、安全审计应记录应用系2）安全审计应记录应用系统重要的安全相名师归纳总结 - - - - - - -第 10 页,共 31 页精选学习资料 - - - - - - - - - 技术要求项二级等保三级等保统重要的安全相关事件,包括重要用户行为和重要系统功能的执行关大事,包括重要用户行为、系统资源的反常使用和重要系统功能的执行等；3）安全相关大事的记录应包括日期和时等；间、类型、主体标识、客体标识、大事3）安全相关大事的记录应的结果等；包括日期和时间、类型、主体标识、客体标4）安全审计应可以依据记录数据进行分析,并生成审计报表；识、大事的结果等；

29、5）安全审计应可以对特定大事,供应指定4）审计记录应受到爱护避方式的实时报警；免受到未预期的删除、6）审计进程应受到爱护防止受到未预期的修改或掩盖等；中断；7）审计记录应受到爱护防止受到未预期的删除、修改或掩盖等；剩余1）应保证用户的鉴别信息1）应保证用户的鉴别信息所在的储备空信息所在的储备空间,被释间,被释放或再安排给其他用户前得到爱护放或再安排给其他用户完全清除,无论这些信息是存放在硬盘前得到完全清除,无论上仍是在内存中；这些信息是存放在硬盘2）应确保系统内的文件、目录和数据库记上仍是在内存中；录等资源所在的储备空间,被释放或重2）应确保系统内的文件、目录和数据库记录等资

30、源所在的储备空间,被释放或重新安排给其他用户前得到完全清除；新安排给其他用户前得到完全清除；通信1）通信双方应商定单向的1）通信双方应商定密码算法,运算通信数完整校验码算法,运算通信据报文的报文验证码,在进行通信时,性数据报文的校验码,在双方依据校验码判定对方报文的有效进行通信时,双方依据性；校验码判定对方报文的有效性；抗抵无1）应具有在恳求的情形下为数据原发者或赖接收者供应数据原发证据的功能；2）应具有在恳求的情形下为数据原发者或名师归纳总结 - - - - - - -第 11 页,共 31 页精选学习资料 - - - - - - - - - 技术要求项二级等保三级等保接收者供

31、应数据接收证据的功能；通信1）当通信双方中的一方在1）当通信双方中的一方在一段时间内未作保密一段时间内未作任何响任何响应,另一方应能够自动终止会性应,另一方应能够自动话；终止会话；2）在通信双方建立连接之前,利用密码技2）在通信双方建立连接之前,利用密码技术进行术进行会话初始化验证；3）在通信过程中,应对整个报文或会话过会话初始化验证；程进行加密；3）在通信过程中,应对敏4）应选用符合国家有关部门要求的密码算软件感信息字段进行加密；法；1）应对通过人机接口输入6）应对通过人机接口输入或通过通信接口容错或通过通信接口输入的输入的数据进行有效性检验；数据进行有效性检验；2）应

32、对通过人机接口方式7）应对通过人机接口方式进行的操作供应“ 回退” 功能,即答应依据操作的序列进行的操作供应“ 回退 ”进行回退；功能,即答应依据操作8）应有状态监测才能,当故障发生时,能的序列进行回退；实时检测到故障状态并报警；3）在故障发生时,应连续供应一部分功能,确保能够实施必要的措施；9）应有自动爱护才能,当故障发生时,自动爱护当前全部状态；资源1）应限制单个用户的多重4）应限制单个用户的多重并发会话；掌握并发会话；5）应对应用系统的最大并发会话连接2）应对应用系统的最大并数进行限制；发会话连接数进行限6）应对一个时间段内可能的并发会话制；连接数进

33、行限制；3）应对一个时间段内可能7）应依据安全策略设置登录终端的操的并发会话连接数进行作超时锁定和鉴别失败锁定,并规限制；定解锁或终止方式；8）应禁止同一用户账号在同一时间内并发登录；9）应对一个拜访用户或一个恳求进程占用的资源安排最大限额和最小限额；名师归纳总结 - - - - - - -第 12 页,共 31 页精选学习资料 - - - - - - - - - 技术要求项二级等保三级等保10）应依据安全属性（用户身份、拜访地址、时间范畴等）答应或拒绝用户建立会话连接；11）当系统的服务水平降低到预先规定的最小值时,应能检测和报警；12）应依据安全策略设定主体的服务优先级

34、,依据优先级安排系统资源,保证优先级低的主体处理才能不会影响到优先级高的主体的处理能力；代码8）应对应用程序代码进行1）应制定应用程序代码编写安全规范,要安全恶意代码扫描；求开发人员参照规范编写代码；9）应对应用程序代码进行2）应对应用程序代码进行代码复审,识别安全脆弱性分析；可能存在的恶意代码；3）应对应用程序代码进行安全脆弱性分析；4）应对应用程序代码进行穿透性测试；数据数据1）应能够检测到系统治理6）应能够检测到系统治理数据、鉴别信息安全完整数据、鉴别信息和用户和用户数据在传输过程中完整性受到破性数据在传输过程中完整坏, 并在检测到完整性错误时实行必要性受到破坏；的

35、复原措施；2）应能够检测到系统治理数据、鉴别信息和用户数据在储备过程中完整7）应能够检测到系统治理数据、鉴别信息和用户数据在储备过程中完整性受到破坏, 并在检测到完整性错误时实行必要性受到破坏；的复原措施；8）应能够检测到重要程序的完整性受到破坏,并在检测到完整性错误时实行必要的复原措施；数据5）网络设备、操作系统、1）网络设备、操作系统、数据库治理系统保密数据库治理系统和应用和应用系统的鉴别信息、敏锐的系统管性系统的鉴别信息、敏锐理数据和敏锐的用户数据应采纳加密或的系统治理数据和敏锐的用户数据应采纳加密其他有效措施实现传输保密性；2）网络设备、操作系统、数据库治理系统

36、名师归纳总结 - - - - - - -第 13 页,共 31 页精选学习资料 - - - - - - - - - 技术要求项二级等保三级等保或其他有效措施实现传和应用系统的鉴别信息、敏锐的系统管输保密性；理数据和敏锐的用户数据应采纳加密或6）网络设备、操作系统、数据库治理系统和应用系统的鉴别信息、敏锐的系统治理数据和敏锐其他爱护措施实现储备保密性；3）当使用便携式和移动式设备时,应加密或者采纳可移动磁盘储备敏锐信息；4）用于特定业务通信的通信信道应符合相的用户数据应采纳加密关的国家规定；或其他爱护措施实现存储保密性；7）当使用便携式和移动式设备时,应加密或者采用可移动磁

37、盘储备敏锐信息；数据4）应供应自动机制对重要1）应供应自动机制对重要信息进行本地和备份信息进行有挑选的数据异地备份；和恢备份；2）应供应复原重要信息的功能；复5）应供应复原重要信息的3）应供应重要网络设备、通信线路和服务功能；器的硬件冗余；6）应供应重要网络设备、4）应供应重要业务系统的本地系统级热备通信线路和服务器的硬份；件冗余二、治理要求治理要求项二级等保三级等保安全岗位5）应设立信息安全治理工1）应设立信息安全治理工作的职能部门,治理设置作的职能部门,设立安设立安全主管人、安全治理各个方面的机构全主管人、安全治理各负责人岗位,定义各负责人的职责；个方面的负责人岗位

38、,定义各负责人的职责；2）应设立系统治理人员、网络治理人员、安全治理人员岗位,定义各个工作岗位6）应设立系统治理人员、的职责；网络治理人员、安全管理人员岗位,定义各个3）应成立指导和治理信息安全工作的委员会或领导小组,其最高领导应由单位主工作岗位的职责；管领导委任或授权；7）应制定文件明确安全管4）应制定文件明确安全治理机构各个部门名师归纳总结 - - - - - - -第 14 页,共 31 页精选学习资料 - - - - - - - - - 治理要求项二级等保三级等保理机构各个部门和岗位的职责、分工和技能要求；和岗位的职责、分工和技能要求；人员1）应配备肯定数量的系统1

39、）应配备肯定数量的系统治理人员、网络配备治理人员、网络治理人治理人员、安全治理人员等；员、安全治理人员等；2）安全治理人员不能兼任网络治理员、系统治理员、数据库治理员等；2）应配备专职安全治理人员,不行兼任；3）关键岗位应定期轮岗；授权5）应授权审批部门及批准1）应授权审批部门及批准人,对关键活动和审人,对关键活动进行审进行审批；批批；2）应列表说明须审批的事项、审批部门和6）应列表说明须审批的事可批准人；项、审批部门和可批准3）应建立各审批事项的审批程序,依据审人；批程序执行审批过程；4）应建立关键活动的双重审批制度；5）不再适用的权限应准时取消授权；6）应定期审

40、查、更新需授权和审批的工程；7）应记录授权过程并储存授权文档；沟通7）应加强各类治理人员和1）应加强各类治理人员和组织内部机构之和合组织内部机构之间的合间的合作与沟通,定期或不定期召开协作作与沟通,定期或不定调会议,共同帮助处理信息安全问题；期召开和谐会议,共同协助处理信息安全问2）信息安全职能部门应定期或不定期召集相关部门和人员召开安全工作会议,协题；调安全工作的实施；8）信息安全职能部门应定期或不定期召集相关部3）信息安全领导小组或者安全治理委员会定期召开例会,对信息安全工作进行指门和人员召开安全工作导、决策；会议,和谐安全工作的4）应加强与兄弟单位、公安机关、电信公实施；司的合作与沟通,以便在发生安全大事9）应加强与兄弟单位、公安机关、电信公司的合时能够得到准时的支持；5）应加强与供应商、业界专家、专业的安名师归纳总

展开阅读全文