1 安全物理環(huán)境 1.1 物理位置選擇
本項要求包括:
a)機房場地應選擇在具有防震�����、防風和防雨等能力的建筑內(nèi)�;
b)機房場地應避免設在建筑物的頂層或地下室���,否則應加強防水和防潮措施����。
1.2 物理訪問控制
機房出入口應配置電子門禁系統(tǒng)���,控制�、鑒別和記錄進人的人員��。
1.3 防盜竊和防破壞
a)應將設備或主要部件進行固定���,并設置明顯的不易除去的標識:
b)應將通信線纜鋪設在隱蔽安全處��;
c)應設置機房 防盜報警系統(tǒng)或設置有專人值守的視頻監(jiān)控系統(tǒng)�。
1.4 防雷擊
本項要求包括:
u)應將各類機柜、設施和設備等酒過接地系統(tǒng)安全接地:
b) 應采取措施防止感應雷��,例如設置防雷保安器或過壓保護裝置等����。
1.5 防火
本項要求包括:
1)機房應設置火災自動消防系統(tǒng),能夠自動檢測火情�、自動報警,并自動滅火���;
b)機房及相關(guān)的工作房間和輔助房應采用具有耐火等級的建筑材料�����;
c)應對機房 劃分區(qū)域進行管理��,區(qū)域和區(qū)域之間設置隔離防火措施����。
1.6 防水和防潮
本項要求包括:
a)應采取措施防止雨水通過機房窗戶��、屋頂和墻壁滲透;
b)應采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透����;
c)應安裝對水敏感的檢測儀表或元件,對機房進行防水檢測和報警�����。
1.7 防靜電
本項要求包括:
a)應采用防靜電地板或地面并采用必要的接地防靜電措施���;
b)應采取措施防止靜電的產(chǎn)生,例如采用靜電消除器�����、佩戴防靜電手環(huán)等�。
1.8 溫濕度控制
應設置溫濕度自動調(diào)節(jié)設施,使機房溫濕度的變化在設備運行所允許的范圍之內(nèi)����。
1.9 電力供應
本項要求包括:
a)應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備;
b)應提供短期的備用電力供應��,至少滿足設備在斷電情況下的正常運行要求�����;
c)應設置冗余或并行的電力電纜線路為計算機系統(tǒng)供電。
1.10 電磁防護
本項要求包括:
a)電源線和通信線纜應隔離鋪設�����,避免互相干擾�;
b)應對關(guān)鍵設備實施電磁屏蔽。
2 安全通信網(wǎng)絡 2.1 網(wǎng)絡架構(gòu)
本項要求包括:
a)應保證網(wǎng)絡設備的業(yè)務處理能力滿足業(yè)務高峰期需要�����;
b)應保證網(wǎng)絡各個部分的帶寬滿足業(yè)務高峰期需要:
c)應劃分不同的網(wǎng)絡區(qū)域��,并按照方便管理和控制的原則為各網(wǎng)絡區(qū)域分配地址�����;
d)應避免將重要網(wǎng)絡區(qū)域部署在邊界處�����,重要網(wǎng)絡區(qū)域與其他網(wǎng)絡區(qū)域之間應采取可靠的技術(shù)隔離手段���;
e)應提供通信線路���、關(guān)鍵網(wǎng)絡設備和關(guān)鍵計算設備的硬件冗余����,保證系統(tǒng)的可用性����。
2.2 通信傳輸
本項要求包括:
a)應采用校驗技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性;
b)應采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性�。
2.3 可信驗證
可基于可信根對通信設備的系統(tǒng)引導程序、系統(tǒng)程序��、重要配置參數(shù)和通信應用程序等進行可信驗證���,并在應用程序的關(guān)鍵執(zhí)行環(huán)境進行動態(tài)可信驗證,在檢測到其可信受到破壞后進行報警���,并將驗證結(jié)果形成審計記錄送至安全管理中心�。
3 安全區(qū)域邊界 3.1 邊界防護
本項要求包括:
a) 應保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設備提供的受控接口進行通信����;
b) 應能夠?qū)Ψ鞘跈?quán)設備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行檢查或限制;
c) 應能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡的行為進行檢查或限制����;
d)應限制無線網(wǎng)絡的使用��,保證無線網(wǎng)絡通過受控的邊界設備接入內(nèi)都網(wǎng)絡�����。
3.2 訪問控制
本項要求包括:
a)應在網(wǎng)絡邊界或區(qū)域之間根據(jù)訪問控制策略設置訪問控制規(guī)則����,默認情況下除允許通信外受控接口拒絕所有通信�;
b)應刪除多余或無效的訪問控制規(guī)則,優(yōu)化訪問控制列表�����,并保證訪問控制規(guī)則數(shù)量最小化���;
c)應對源地址���、目的地址、源端口����、目的端口和協(xié)議等進行檢查�,以允許/拒絕數(shù)據(jù)包進出�����;
d)應能根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力�;
e)應對進出網(wǎng)絡的數(shù)據(jù)流實現(xiàn)基于應用協(xié)議和應用內(nèi)容的訪問控制。
3.3 入侵防范
本項要求包括:
應在關(guān)鍵網(wǎng)絡節(jié)點處檢測���、防止或限制從外部發(fā)起的網(wǎng)絡攻擊行為��;
b)應在關(guān)鍵網(wǎng)絡節(jié)點處檢測��、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡攻擊行為��;
c)應采取技術(shù)措施對網(wǎng)絡行為進行分析��,實現(xiàn)對網(wǎng)絡攻擊特別是新型網(wǎng)絡攻擊行為的分析;
d)當檢測到攻擊行為時�����,記錄攻擊源IP���、攻擊類型�、攻擊目標、攻擊時間����,在發(fā)生嚴重入侵事件時應提供報警。
3.4 惡意代碼和垃圾郵件防范
本項要求包括:
a)應在關(guān)鍵網(wǎng)絡節(jié)點處對惡意代碼進行檢測和清除�,并維護惡意代碼防護機制的升級和更新;
b)應在關(guān)鍵網(wǎng)絡節(jié)點處對垃圾郵件進行檢測和防護����,并維護垃圾郵件防護機制的升級和更新。
3.5 安全審計
本項要求包括:
a)應在網(wǎng)絡邊界����、重要網(wǎng)絡節(jié)點進行安全審計,審計覆蓋到每個用戶����,對重要的用戶行為和重要安全事件進行審計;
b)審計記錄應包括事件的日期和時間�����、用戶��、事件類型、事件是否成功及其他與審計相關(guān)的信息��;
c)應對審計記錄進行保護��,定期備份����,避免受到未預期的刪除、修改或覆蓋等���;
d)應能對遠程訪問的用戶行為�、訪問互聯(lián)網(wǎng)的用戶行為等單獨進行行為審計和數(shù)據(jù)分析��。
3.6 可信驗證
