摘選自 GB/T 22239-2008《信息安全技術 信息系統安全等級保護基本要求》，詳細見全文：http://www.cnitpm.com/pm/35048.html

基本要求：物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復

6　第二級基本要求

6.1　技術要求

6.1.1　物理安全

6.1.1.1　物理位置的選擇(G2)

機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內。

6.1.1.2　物理訪問控制(G2)

本項要求包括：
a) 機房出入口應安排專人值守，控制、鑒別和記錄進入的人員；
b) 需進入機房的來訪人員應經過申請和審批流程，并限制和監控其活動范圍。

6.1.1.3　防盜竊和防破壞(G2)

本項要求包括：
a) 應將主要設備放置在機房內；
b) 應將設備或主要部件進行固定，并設置明顯的不易除去的標記；
c) 應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中；
d) 應對介質分類標識，存儲在介質庫或檔案室中；
e) 主機房應安裝必要的防盜報警設施。

6.1.1.4　防雷擊(G2)

本項要求包括：
a) 機房建筑應設置避雷裝置；
b) 機房應設置交流電源地線。

6.1.1.5　防火(G2)

機房應設置滅火設備和火災自動報警系統。

6.1.1.6　防水和防潮(G2)

本項要求包括：
a) 水管安裝，不得穿過機房屋頂和活動地板下；
b) 應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；
c) 應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透。

6.1.1.7　防靜電(G2)

關鍵設備應采用必要的接地防靜電措施。

6.1.1.8　溫濕度控制(G2)

機房應設置溫、濕度自動調節設施，使機房溫、濕度的變化在設備運行所允許的范圍之內。

6.1.1.9　電力供應(A2)

本項要求包括：
a) 應在機房供電線路上配置穩壓器和過電壓防護設備；
b) 應提供短期的備用電力供應，至少滿足關鍵設備在斷電情況下的正常運行要求。

6.1.1.10　電磁防護(S2)

電源線和通信線纜應隔離鋪設，避免互相干擾。

6.1.2　網絡安全

6.1.2.1　結構安全(G2)

本項要求包括：
a) 應保證關鍵網絡設備的業務處理能力具備冗余空間，滿足業務高峰期需要；
b) 應保證接入網絡和核心網絡的帶寬滿足業務高峰期需要；
c) 應繪制與當前運行情況相符的網絡拓撲結構圖；
d) 應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段。

6.1.2.2　訪問控制(G2)

本項要求包括：
a) 應在網絡邊界部署訪問控制設備，啟用訪問控制功能；
b) 應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為網段級。
c) 應按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問，控制粒度為單個用戶；
d) 應限制具有撥號訪問權限的用戶數量。

6.1.2.3　安全審計(G2)

本項要求包括：
a) 應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；
b) 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。

6.1.2.4　邊界完整性檢查(S2)

應能夠對內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為進行檢查。

6.1.2.5　入侵防范(G2)

應在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等。

6.1.2.6　網絡設備防護(G2)

本項要求包括：
a) 應對登錄網絡設備的用戶進行身份鑒別；
b) 應對網絡設備的管理員登錄地址進行限制；
c) 網絡設備用戶的標識應唯一；
d) 身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；
e) 應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施；
f) 當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽。

6.1.3　主機安全

6.1.3.1　身份鑒別(S2)

本項要求包括：
a) 應對登錄操作系統和數據庫系統的用戶進行身份標識和鑒別；
b) 操作系統和數據庫系統管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換；
c) 應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施；
d) 當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽；
e) 應為操作系統和數據庫系統的不同用戶分配不同的用戶名，確保用戶名具有唯一性。

6.1.3.2　訪問控制(S2)

本項要求包括：
a) 應啟用訪問控制功能，依據安全策略控制用戶對資源的訪問；
b) 應實現操作系統和數據庫系統特權用戶的權限分離；
c) 應限制默認帳戶的訪問權限，重命名系統默認帳戶，修改這些帳戶的默認口令；
d) 應及時刪除多余的、過期的帳戶，避免共享帳戶的存在。

6.1.3.3　安全審計(G2)

本項要求包括：
a) 審計范圍應覆蓋到服務器上的每個操作系統用戶和數據庫用戶；
b) 審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件；
c) 審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等；
d) 應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。

6.1.3.4　入侵防范(G2)

操作系統應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統補丁及時得到更新。

6.1.3.5　惡意代碼防范(G2)

本項要求包括：
a) 應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；
b) 應支持防惡意代碼軟件的統一管理。

6.1.3.6　資源控制(A2)

本項要求包括：
a) 應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄；
b) 應根據安全策略設置登錄終端的操作超時鎖定；
c) 應限制單個用戶對系統資源的最大或最小使用限度。

6.1.4　應用安全

6.1.4.1　身份鑒別(S2)

本項要求包括：

a) 應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；
b) 應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統中不存在重復用戶身份標識，身份鑒別信息不易被冒用；
c) 應提供登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施；
d) 應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據安全策略配置相關參數。

6.1.4.2　訪問控制(S2)

本項要求包括：
a) 應提供訪問控制功能，依據安全策略控制用戶對文件、數據庫表等客體的訪問；
b) 訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作；
c) 應由授權主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權限；
d) 應授予不同帳戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系。

6.1.4.3　安全審計(G2)

本項要求包括：
a) 應提供覆蓋到每個用戶的安全審計功能，對應用系統重要安全事件進行審計；
b) 應保證無法刪除、修改或覆蓋審計記錄；
c) 審計記錄的內容至少應包括事件日期、時間、發起者信息、類型、描述和結果等。

6.1.4.4　通信完整性(S2)

應采用校驗碼技術保證通信過程中數據的完整性。

6.1.4.5　通信保密性(S2)

本項要求包括：
a) 在通信雙方建立連接之前，應用系統應利用密碼技術進行會話初始化驗證；
b) 應對通信過程中的敏感信息字段進行加密。

6.1.4.6　軟件容錯(A2)

本項要求包括：
a) 應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統設定要求；
b) 在故障發生時，應用系統應能夠繼續提供一部分功能，確保能夠實施必要的措施。

6.1.4.7　資源控制(A2)

本項要求包括：
a) 當應用系統的通信雙方中的一方在一段時間內未作任何響應，另一方應能夠自動結束會話；
b) 應能夠對應用系統的最大并發會話連接數進行限制；
c) 應能夠對單個帳戶的多重并發會話進行限制。

6.1.5　數據安全及備份恢復

6.1.5.1　數據完整性(S2)

應能夠檢測到鑒別信息和重要業務數據在傳輸過程中完整性受到破壞。

6.1.5.2　數據保密性(S2)

應采用加密或其他保護措施實現鑒別信息的存儲保密性。

6.1.5.3　備份和恢復(A2)

本項要求包括：
a) 應能夠對重要信息進備份和恢復；
b) 應提供關鍵網絡設備、通信線路和數據處理系統的硬件冗余，保證系統的可用性。

總結

以上是生活随笔為你收集整理的笔记-信息系统安全管理-信息系统安全等级保护基本要求的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。