1 安全物理環(huán)境 1.1 物理位置選擇
本項(xiàng)要求包括:
a)機(jī)房場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)���;
b)機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的頂層或地下室�,否則應(yīng)加強(qiáng)防水和防潮措施��。
1.2 物理訪問控制
機(jī)房出入口應(yīng)配置電子門禁系統(tǒng),控制��、鑒別和記錄進(jìn)人的人員����。
1.3 防盜竊和防破壞
a)應(yīng)將設(shè)備或主要部件進(jìn)行固定,并設(shè)置明顯的不易除去的標(biāo)識(shí):
b)應(yīng)將通信線纜鋪設(shè)在隱蔽安全處�;
c)應(yīng)設(shè)置機(jī)房 防盜報(bào)警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)���。
1.4 防雷擊
本項(xiàng)要求包括:
u)應(yīng)將各類機(jī)柜�、設(shè)施和設(shè)備等酒過接地系統(tǒng)安全接地:
b) 應(yīng)采取措施防止感應(yīng)雷���,例如設(shè)置防雷保安器或過壓保護(hù)裝置等���。
1.5 防火
本項(xiàng)要求包括:
1)機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng),能夠自動(dòng)檢測(cè)火情����、自動(dòng)報(bào)警,并自動(dòng)滅火�;
b)機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料;
c)應(yīng)對(duì)機(jī)房 劃分區(qū)域進(jìn)行管理�,區(qū)域和區(qū)域之間設(shè)置隔離防火措施。
1.6 防水和防潮
本項(xiàng)要求包括:
a)應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透��;
b)應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透���;
c)應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件�,對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警���。
1.7 防靜電
本項(xiàng)要求包括:
a)應(yīng)采用防靜電地板或地面并采用必要的接地防靜電措施����;
b)應(yīng)采取措施防止靜電的產(chǎn)生���,例如采用靜電消除器���、佩戴防靜電手環(huán)等。
1.8 溫濕度控制
應(yīng)設(shè)置溫濕度自動(dòng)調(diào)節(jié)設(shè)施���,使機(jī)房溫濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)��。
1.9 電力供應(yīng)
本項(xiàng)要求包括:
a)應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備����;
b)應(yīng)提供短期的備用電力供應(yīng),至少滿足設(shè)備在斷電情況下的正常運(yùn)行要求���;
c)應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電�����。
1.10 電磁防護(hù)
本項(xiàng)要求包括:
a)電源線和通信線纜應(yīng)隔離鋪設(shè)�,避免互相干擾���;
b)應(yīng)對(duì)關(guān)鍵設(shè)備實(shí)施電磁屏蔽����。
2 安全通信網(wǎng)絡(luò) 2.1 網(wǎng)絡(luò)架構(gòu)
本項(xiàng)要求包括:
a)應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要�;
b)應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要:
c)應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域�,并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址;
d)應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處�,重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段;
e)應(yīng)提供通信線路��、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計(jì)算設(shè)備的硬件冗余�����,保證系統(tǒng)的可用性。
2.2 通信傳輸
本項(xiàng)要求包括:
a)應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性��;
b)應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性����。
2.3 可信驗(yàn)證
可基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序����、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證,并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)境進(jìn)行動(dòng)態(tài)可信驗(yàn)證�,在檢測(cè)到其可信受到破壞后進(jìn)行報(bào)警,并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心���。
3 安全區(qū)域邊界 3.1 邊界防護(hù)
本項(xiàng)要求包括:
a) 應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信����;
b) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制���;
c) 應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制����;
d)應(yīng)限制無(wú)線網(wǎng)絡(luò)的使用�����,保證無(wú)線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)都網(wǎng)絡(luò)。
3.2 訪問控制
本項(xiàng)要求包括:
a)應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則�,默認(rèn)情況下除允許通信外受控接口拒絕所有通信;
b)應(yīng)刪除多余或無(wú)效的訪問控制規(guī)則�,優(yōu)化訪問控制列表,并保證訪問控制規(guī)則數(shù)量最小化�;
c)應(yīng)對(duì)源地址、目的地址��、源端口����、目的端口和協(xié)議等進(jìn)行檢查,以允許/拒絕數(shù)據(jù)包進(jìn)出�;
d)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力��;
e)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制����。
3.3 入侵防范
本項(xiàng)要求包括:
應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為���;
b)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)�、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為;
c)應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析�,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析;
d)當(dāng)檢測(cè)到攻擊行為時(shí)���,記錄攻擊源IP���、攻擊類型、攻擊目標(biāo)����、攻擊時(shí)間,在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警�。
3.4 惡意代碼和垃圾郵件防范
本項(xiàng)要求包括:
a)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼進(jìn)行檢測(cè)和清除,并維護(hù)惡意代碼防護(hù)機(jī)制的升級(jí)和更新��;
b)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)垃圾郵件進(jìn)行檢測(cè)和防護(hù)�����,并維護(hù)垃圾郵件防護(hù)機(jī)制的升級(jí)和更新�。
3.5 安全審計(jì)
本項(xiàng)要求包括:
a)應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)�,審計(jì)覆蓋到每個(gè)用戶,對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)�����;
b)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶���、事件類型�����、事件是否成功及其他與審計(jì)相關(guān)的信息����;
c)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)�����,定期備份�����,避免受到未預(yù)期的刪除���、修改或覆蓋等;
d)應(yīng)能對(duì)遠(yuǎn)程訪問的用戶行為���、訪問互聯(lián)網(wǎng)的用戶行為等單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析���。
3.6 可信驗(yàn)證
