等級保護第二級基本要求

1、等級保護第二級基本要求實施建議殘留問題1.1.1 物理安全1.1.1.1物理位置的選擇（G2本項要求包括：機房和辦公場地應(yīng)選擇在具 有防震、防風(fēng)和防雨等能力 的建筑內(nèi)；1.1.1.2物理訪問控制（G2本項要求包括：a）機房出入口應(yīng)安排專人值 守，控制、鑒別和記錄進入 的人員；b）需進入機房的來訪人員應(yīng)經(jīng) 過申請和審批流程，并限制 和監(jiān)控其活動范圍；1.1.1.3防盜竊和防破壞（G2）本項要求包括：a）應(yīng)將主要設(shè)備放置在機房 內(nèi)；b）應(yīng)將設(shè)備或主要部件進行固 定，并設(shè)置明顯的不易除去 的標(biāo)記；c）應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；d）應(yīng)對介質(zhì)分類標(biāo)識，存儲在 介質(zhì)庫或檔案室中；e）

2、主機房應(yīng)安裝必要的防盜報 警設(shè)施1.1.1.4 防雷擊（G2本項要求包括：a）機房建筑應(yīng)設(shè)置避雷裝置；b）機房應(yīng)設(shè)置交流電源地線。1.1.1.5 防火（G2）本項要求包括：機房應(yīng)設(shè)置火火設(shè)備和火災(zāi) 自動報警系統(tǒng)1.1.1.6防水和防潮（G2）本項要求包括：a）水管安裝，不得穿過機房屋 頂和活動地板下；b）應(yīng)采取措施防止雨水通過機 房窗戶、屋頂和墻壁滲透；c）應(yīng)采取措施防止機房內(nèi)水蒸 氣結(jié)露和地下積水的轉(zhuǎn)移與 滲透；1.1.1.7 防靜電（G2本項要求包括：關(guān)鍵設(shè)備應(yīng)采用必要的接地防靜電措施；1.1.1.8溫濕度控制（G2）機房應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè) 施，使機房溫、濕度的變化在設(shè)備運 行所允許

3、的范圍之內(nèi)。1.1.1.9電力供應(yīng)（A2）本項要求包括：a）應(yīng)在機房供電線路上配置穩(wěn) 壓器和過電壓防護設(shè)備；b）應(yīng)提供短期的備用電力供 應(yīng)，至少滿足關(guān)鍵設(shè)備在斷 電情況卜的止常運行要求；1.1.1.10 電磁防護（S2）本項要求包括：電源線和通信線纜應(yīng)隔離鋪 設(shè)，避免互相干擾；1.1.2網(wǎng)絡(luò)安全1.1.2.1結(jié)構(gòu)安全（G2）本項要求包括：a）應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù) 處理能力具備冗余空間，滿 足業(yè)務(wù)高峰期需要；b）應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò) 帶寬滿足業(yè)務(wù)高峰期需要；c）應(yīng)繪制與當(dāng)前運行情況相符 的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖；d）應(yīng)根據(jù)各部門的工作職能、 重要性和所涉及信息的重要 程度等因素，劃分/、同的子

4、網(wǎng)或網(wǎng)段，并按照方便管理 和控制的原則為各子網(wǎng)、網(wǎng) 段分配地址段；1.1.2.2訪問控制（G2本項要求包括：a）應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制 設(shè)備，啟用訪問控制功能；b）應(yīng)能根據(jù)會話狀態(tài)信息為數(shù) 據(jù)流提供明確的允許 /拒絕 訪問的能力，控制粒度為網(wǎng) 段級；c）應(yīng)按用戶和系統(tǒng)之間的允許 訪問規(guī)則，決定允許或拒絕 用戶對受控系統(tǒng)進行資源訪 問，控制粒度為單個用戶；d）應(yīng)限制具有撥號訪問權(quán)限的 用戶數(shù)量。1.1.2.3 安全審計（G2）本項要求包括：a）應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備 運行狀況、網(wǎng)絡(luò)流量、用戶 行為等進行日志記錄；b）審計記錄應(yīng)包括：事件的日 期和時間、用戶、事件類型、 事件是否成功及其他與審

5、計 相關(guān)的信息；1.1.2.4 邊界完整性檢查（S2）本項要求包括：應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外 部網(wǎng)絡(luò)的行為進行檢查。1.1.2.5 入侵防范（G2）本項要求包括：應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為： 端口掃描、強力攻擊、木馬后門攻擊、 拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。1.1.2.6網(wǎng)絡(luò)設(shè)備防護（G2）本項要求包括：a）應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進 行身份鑒別；b）應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄 地址進行限制；c）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；d）身份鑒別信息應(yīng)具有不易被 冒用的特點，口令應(yīng)肩復(fù)雜 度要求并定期更換；e）應(yīng)具有登錄失敗處理功能， 可采取結(jié)束會話、限制非法 登錄次

6、數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接 超時自動退出等措施；f）當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠程管理 時，應(yīng)采取必要措施防止鑒 別信息在網(wǎng)絡(luò)傳輸過程中被 竊聽；1.1.3主機安全1.1,3.1 身份鑒別（S2）本項要求包括：a）應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫 系統(tǒng)的用戶進行身份標(biāo)識和 鑒別；b）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理 用戶身份標(biāo)識應(yīng)具后/、易被 冒用的特點，口令應(yīng)肩復(fù)雜 度要求并定期更換；c）應(yīng)啟用登錄失敗處理功能， 可采取結(jié)束會話、限制非法 登錄次數(shù)和自動退出等措 施；d）當(dāng)對服務(wù)器進行遠程管理 時，應(yīng)采取必要措施，防止 鑒別信息在網(wǎng)絡(luò)傳輸過程中 被竊聽；e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng) 的不同用戶分配不同的用戶 名，確保用戶名具

7、有唯一性。1.1.3.2訪問控制（S2）本項要求包括：a）應(yīng)啟用訪問控制功能，依據(jù) 安全策略控制用戶對資源的 訪問；b）應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系 統(tǒng)特權(quán)用戶的權(quán)限分離；c）應(yīng)嚴格限制默認帳戶的訪問 權(quán)限，重命名系統(tǒng)默認帳戶， 修改這些帳戶的默認口令；d）應(yīng)及時刪除多余的、過期的 帳戶，避免共享帳戶的存在。1.1.3.3 安全審計（G2）本項要求包括：a）審計范圍應(yīng)覆蓋到服務(wù)器的 每個操作系統(tǒng)用戶和數(shù)據(jù)庫 用戶；b）審計內(nèi)容應(yīng)包括重要用戶行 為、系統(tǒng)資源的異常使用和 重要系統(tǒng)命令的使用等系統(tǒng) 內(nèi)重要的安全相關(guān)事件；c）審計記錄應(yīng)包括事件的日 期、時間、類型、主體標(biāo)識、 客體標(biāo)識和結(jié)果等；d）應(yīng)保

8、護審計記錄，避免受到 未預(yù)期的刪除、修改或覆蓋 等。1.1.3.4 入侵防范（G2本項要求包括：a）操作系統(tǒng)應(yīng)遵循最小安裝的 原則，僅安裝需要的組件和 應(yīng)用程序，并通過設(shè)置升級 服務(wù)器等方式保持系統(tǒng)補丁 及時得到更新。1.1.3.5惡意代碼碇 （G2本項要求包括：a）應(yīng)安裝防惡意代碼軟件，并 及時更新防惡意代碼軟件版 本和惡意代碼庫；b）應(yīng)支持防惡意代碼的統(tǒng)一管 理。1.1.3.6 資源控制（A2）本項要求包括：a）應(yīng)通過設(shè)定終端接入方式、 網(wǎng)絡(luò)地址范圍等條件限制終 端登錄；b）應(yīng)根據(jù)安全策略設(shè)置登錄終 端的操作超時鎖定；c）應(yīng)限制單個用戶對系統(tǒng)資源 的最大或最小使用限度；1.1.4應(yīng)用安全1

9、.1.4.1 身份鑒別（S2）本項要求包括：a）應(yīng)提供專用的登錄控制模塊對登錄用戶進行身份標(biāo)識和 鑒別；b）應(yīng)提供用戶身份標(biāo)識唯一和 鑒別信息復(fù)雜度檢查功能， 保證應(yīng)用系統(tǒng)中/、存在重復(fù) 用戶身份標(biāo)識，身份鑒別信 息不易被冒用；c）應(yīng)提供登錄失敗處理功能， 可采取結(jié)束會話、限制非法 登錄次數(shù)和自動退出等措 施；d）應(yīng)啟用身份鑒別、用戶身份 標(biāo)識唯一性檢查、用戶身份 鑒別信息復(fù)雜度檢查以及登 錄失敗處理功能，并根據(jù)安 全策略配置相關(guān)參數(shù)。1.1.4.2 訪問控制（S2）本項要求包括：a）應(yīng)提供訪問控制功能，依據(jù) 安全策略控制用戶對文件、 數(shù)據(jù)庫表等客體的訪問；b）訪問控制的覆蠱范圍應(yīng)包括 與資源

10、訪問相關(guān)的主體、客 體及它們之間的操作；c）應(yīng)由授權(quán)主體配置訪問控制 策略，并嚴格限制默認帳戶的訪問權(quán)限；d）應(yīng)授予不同帳戶為完成各自 承擔(dān)任務(wù)所需的最小權(quán)限， 并在它們之間形成制約 的關(guān)系。1.1.4.3 安全審計（G2本項要求包拈：a）應(yīng)提供覆蓋到每個用戶的安 全審計功能，對應(yīng)用系統(tǒng)重 要安全事件進行審計；b）應(yīng)保證無法刪除、修改或覆 蓋審計記錄；c）審計記錄的內(nèi)容至少應(yīng)包括 事件的日期、時間、發(fā)起者 信息、類型、描述和結(jié)果等；1.1.4.4軟件容錯（A2）本項要求包括：a）應(yīng)提供數(shù)據(jù)有效性檢驗功 能，保證通過人機接口輸入 或通過通信接口輸入的數(shù)據(jù) 格式或長度符合系統(tǒng)設(shè)定要求；b）應(yīng)提供自

11、動保護功能，當(dāng)故 障發(fā)生時自動保護當(dāng)前所有 狀態(tài)，保證系統(tǒng)能夠進行恢 復(fù)。1.1.4.5資源控制（A2）本項要求包括：a）當(dāng)應(yīng)用系統(tǒng)的通信雙方中的 一方在一段時間內(nèi)未作任何 響應(yīng)，另一方應(yīng)能夠自動結(jié) 束會話；b）應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會 話連接數(shù)進行限制；c）應(yīng)能夠?qū)蝹€帳戶的多重并 發(fā)會話進行限制；1.1.5數(shù)據(jù)安全及備份恢復(fù)1.1.5.1數(shù)據(jù)完整性（S2）本項要求包括：應(yīng)能夠檢測到鑒別信息和重要業(yè)務(wù) 數(shù)據(jù)在傳輸過程中完整性受到破壞。1.1.5.2數(shù)據(jù)保密性（S2）本項要求包括：應(yīng)米用加密或其他保護措施實現(xiàn)鑒 別信息存儲保密性。1.1.5.3備份和恢復(fù)（A2）本項要求包拈：a）應(yīng)能夠?qū)χ匾?/p>

12、息進行備份 和恢復(fù)b）應(yīng)提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信 線路和數(shù)據(jù)處理系統(tǒng)的硬件 冗余，保證系統(tǒng)的可用性。；1.2管理要求安全管理制度管理制度（G2）本項要求包括：a）應(yīng)制定信息安全工作的總體 方針和安全策略，說明機構(gòu) 安全工作的總體目標(biāo)、范圍、 原則和安全框架等；b）應(yīng)對安全管理活動中重要的 管理內(nèi)容建立安全管理制 度；c）應(yīng)對要求管理人員或操作人 員執(zhí)行的日常管理操作建立 操作規(guī)程；制定和發(fā)布（G2本項要求包括：a）應(yīng)指定或授權(quán)專門的部門或 人員負責(zé)安全管理制度的制 定；b）應(yīng)組織相關(guān)人員對制定的安 全管理制度進行論證和審 定；c）應(yīng)將安全管理制度以謀合方 式發(fā)布到相關(guān)人員中。評審和修訂（G2）本

13、項要求包括：應(yīng)定期對安全管理制度進行評審，對 踩在不足或需求改進的安全管理制 度進行修改。1.2.2 安全管理機構(gòu)崗位設(shè)置（G2）本項要求包括：a）應(yīng)設(shè)立安全主管、安全管理 各方面的負責(zé)人崗位，并定 義各負責(zé)人的職責(zé)。b）應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管 理員、安全管理員等崗位， 并定義各個工作崗位的職 責(zé)；人員配備（G2）本項要求包括：a）應(yīng)配備一定數(shù)量的系統(tǒng)管理 員、網(wǎng)絡(luò)管理員、安全管理 員等；b）安全管理員不能兼任網(wǎng)絡(luò)管 理員、系統(tǒng)管理員、數(shù)據(jù)庫 管理員等；授權(quán)和審批（G2）本項要求包括：a）應(yīng)根據(jù)各個部門和崗位的職 責(zé)明確授權(quán)審批部門及批準 人、對系統(tǒng)投入運行、網(wǎng)絡(luò) 系統(tǒng)接入和重要資源的訪問等

14、關(guān)鍵活動進行審批；b）應(yīng)針對關(guān)鍵活動建立審批流 程，并由批準人簽字確認；溝通和合作（G2）本項要求包括：a）應(yīng)加強各類管理人員之間、 組織內(nèi)部機構(gòu)之間以及信息 安全職能部門內(nèi)部的合作與 溝通；b）應(yīng)加強與兄弟單位、公安機 關(guān)、電信公司的合作與溝通。審核和檢查（G2）本項要求包括：安全管理員應(yīng)負責(zé)定期進行安全檢 查，檢查內(nèi)容包括系統(tǒng)日常運行、系 統(tǒng)漏洞和數(shù)據(jù)備份等情況；1.2.3人員安全管理人員錄用（G2）本項要求包括：a）應(yīng)指定或授權(quán)專門的部門或 人員負責(zé)人員錄用；b）應(yīng)規(guī)范人員錄用過程，對被 錄用人的身份、背景、專業(yè) 資格等進行審查，對其所具 有的技術(shù)技能進行考核；c）應(yīng)與從事關(guān)鍵崗位的人員

15、簽 署保密協(xié)議人員離崗（G2）本項要求包括：a）應(yīng)規(guī)范人員離崗過程，及時 終止離崗員工的所有訪問權(quán) 限；b）應(yīng)取回各種身份證件、鑰匙、 徽章等以及機構(gòu)提供的軟硬 件設(shè)備；c）應(yīng)辦理嚴格的調(diào)離手續(xù)。人員考核（G2）本項要求包括：應(yīng)定期對各個崗位的人員進行安全 技能及安全認知的考核；安全意識教育和培訓(xùn)（G2）本項要求包括：a）應(yīng)對各類人員進行安全意識 教育、崗位技能培訓(xùn)和相關(guān) 安全技術(shù)培訓(xùn)；b）應(yīng)告知相關(guān)人員，對違反違 背安全策略和規(guī)定的人員進 行懲戒；c）應(yīng)制定安全教育和培訓(xùn)計 戈對信息安全基礎(chǔ)知識、 崗位操作規(guī)程等進行培訓(xùn)；外部人員訪問管理（G2）本項要求包括：a）應(yīng)確保在外部人員訪問受控 區(qū)

16、域前得到授權(quán)或?qū)徟?，?準后由專人全程陪同或監(jiān) 督，并登記備案1.2.4 系統(tǒng)建設(shè)管理1.2.4.1系統(tǒng)定級（G2本項要求包括：a）應(yīng)明確信息系統(tǒng)的邊界和安 全保護等級；b）應(yīng)以書面的形式說明確定信 息系統(tǒng)為某個安全保護等級 的方法和理由；c）應(yīng)確保信息系統(tǒng)的定級結(jié)果 經(jīng)過相關(guān)部門的批準。1.2.4.2安全方案設(shè)計（G2）1.2.4.2本項要求包括：a）應(yīng)根據(jù)系統(tǒng)的安全保護等級 選擇基本安全措施，并依據(jù) 風(fēng)險分析的結(jié)果補充和調(diào)整 安全措施；b）應(yīng)以書面形式描述對系統(tǒng)的 安全保護要求、策略和措施 等內(nèi)容，形成系統(tǒng)安全方案。c）應(yīng)對安全方案進行細化，形 成能知道安全系統(tǒng)建設(shè)、安 全產(chǎn)品采購和使用的

17、詳細設(shè) 計方案d）應(yīng)組織相關(guān)部門和有關(guān)安全 技術(shù)專家對安全設(shè)計方案的 合理性和正確性及進行論證 和審定，并且經(jīng)過批準后， 才能正式實施。1.2.4.3產(chǎn)品采購和使用（G2）本項要求包括：a）應(yīng)確保安全產(chǎn)品采購和使用 符合國家的有關(guān)規(guī)定；b）應(yīng)確保密碼產(chǎn)品采購和使用 符合國家密碼主管部門的要 求；c）應(yīng)指定或授權(quán)專門的部門負 責(zé)產(chǎn)品的米購；自行軟件開發(fā)（G2）本項要求包括：a）應(yīng)確保開發(fā)環(huán)境與實際運行 環(huán)境物理分開b）應(yīng)制定軟件開發(fā)管理制度， 明確說明開發(fā)過程的控制方 法和人員行為準則；c）應(yīng)確保提供軟件設(shè)計的相關(guān) 文檔和使用指南，并由專人 負責(zé)保管。外包軟件開發(fā)（G2本項要求包括：a）應(yīng)根據(jù)開

18、發(fā)需求檢測軟件質(zhì) 量；b）應(yīng)確保提供軟件設(shè)計的相關(guān) 文檔和使用指南。c）應(yīng)在軟件安裝之前檢測軟件 包中可能存在的惡意代碼；d）應(yīng)要求開發(fā)單位提供軟件源 代碼，并審查軟件中可能存 在的后門。工程實施（G2本項要求包括：a）應(yīng)指定或授權(quán)專門的部門或 人員負責(zé)工程實施過程的管 理；b）應(yīng)制定詳細的工程實施方案 控制實施過程；測試驗收（G2本項要求包括：a）應(yīng)對系統(tǒng)進行安全性測試驗 收；b）在測試驗收前應(yīng)根據(jù)設(shè)計方 案或合同要求等制訂測試驗 收方案，在測試驗收過程中 應(yīng)詳細記錄測試驗收結(jié)果， 并形成測試驗收報告；c）應(yīng)組織相關(guān)部門和相關(guān)人員 對系統(tǒng)測試驗收報告進行審 定，并簽字確認。系統(tǒng)交付（G2）本

19、項要求包括：a）應(yīng)制定系統(tǒng)交付清單，并根 據(jù)交付清單對所交接的設(shè) 備、軟件和文檔等進行清點；b）應(yīng)對負責(zé)系統(tǒng)運行維護的技 術(shù)人員進行相應(yīng)的技能培 訓(xùn)；c）應(yīng)確保提供系統(tǒng)建設(shè)過程中 的文檔和指導(dǎo)用戶進行系統(tǒng) 運行維護的文檔；1.2.4.9安全服務(wù)商選擇（G2）本項要求包括：a）應(yīng)確保安全服務(wù)商的選擇符 合國豕的后關(guān)規(guī)止；b）應(yīng)與選定的安全服務(wù)商簽訂 與安全相關(guān)的協(xié)議，明確約 定相關(guān)責(zé)任；c）應(yīng)確保選定的安全服務(wù)商提 供技術(shù)培訓(xùn)和服務(wù)承諾，必 要的與其簽訂服務(wù)合同。1.2.5系統(tǒng)運維管理1.2.5.1環(huán)境管理（G2）本項要求包括：a）應(yīng)指定專門的部門或人員定 期對機房供配電、空調(diào)、溫 濕度控制等設(shè)

20、施進行維護管 理；b）應(yīng)配備機房安全管理人員，對機房的出入、服務(wù)器的開 機或關(guān)機等工作進行管理；c）應(yīng)建立機房安全管理制度， 對有關(guān)機房物理訪問，物品 帶進、帶出機房和機房環(huán)境 安全等方面的管理作出規(guī) 定；d）應(yīng)加強對辦公環(huán)境的保密性 管理，規(guī)范辦公環(huán)境人員行 為，包括工作人員調(diào)離辦公 室應(yīng)立即交還該辦公室鑰 匙、不在辦公區(qū)接待來訪人 員等。資產(chǎn)管理（G2本項要求包括：a）應(yīng)編制并保存與信息系統(tǒng)相 關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé) 任部門、重要程度和所處位 置等內(nèi)容；b）應(yīng)建立資產(chǎn)安全管理制度， 規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé) 任人員或責(zé)任部門，并規(guī)范 資產(chǎn)管理和使用的行為；介質(zhì)管理（G2）本項要求包括：a

21、）應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進行控制 和保護，并實行存儲環(huán)境專 人管理；b）應(yīng)對介質(zhì)歸檔和查詢等進行 登記記錄，并根據(jù)存檔介質(zhì) 的目錄清單定期盤點；c）應(yīng)對需要送出維修或銷毀的 介質(zhì)，首先清除其中敏感數(shù) 據(jù)，防止信息的非法泄露。d）應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的 重要程度對介質(zhì)進行分類和 標(biāo)識管理。1.2.5.4設(shè)備管理（G2本項要求包括：a）應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè) 備（包括備份和冗余設(shè)備）、 線路等指定專門的部門或人 員定期進行維護管理；b）應(yīng)建立基于中報、審批和專 人負責(zé)的設(shè)備安全管理制 度，對信息系統(tǒng)的各種軟硬 件設(shè)備的選型、采購、發(fā)放 和領(lǐng)用等過程進行規(guī)范化管 理；c）應(yīng)對終

22、端計算機、工作站、 便攜機、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進行規(guī)范化管 理，按操作規(guī)程實現(xiàn)主要設(shè) 備（包括備份和冗余設(shè)備） 的啟動/停止、加電/斷電等 操作；d）應(yīng)確保信息處理設(shè)備必須經(jīng) 過審批才方9帶離機房或辦公 地點。1.2,5.5網(wǎng)絡(luò)安全管理本項要求包括：a）應(yīng)指定人員對網(wǎng)絡(luò)進行管 理，負責(zé)運行日志、網(wǎng)絡(luò)監(jiān) 控記錄的日常維護和報警信 息分析和處理工作b）應(yīng)建立網(wǎng)絡(luò)安全管理制度， 對網(wǎng)絡(luò)安全配置、日志保存 時間、安全策略、升級與打 補丁、口令更新周期等方面 做出規(guī)定；c）應(yīng)根據(jù)廠家提供的軟件升級 版本對網(wǎng)絡(luò)設(shè)備進行更新， 并在更新前對現(xiàn)有重要文件 進行備份；d）應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進行漏洞 掃描

23、，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安 全漏洞進行及時的修補；e）應(yīng)對網(wǎng)絡(luò)設(shè)備的配置文件進 行定期備份f）應(yīng)保證所有與外部系統(tǒng)的連 接均得到授權(quán)和批準。1.2.5.6系共全管理（G2）本項要求包括：a）應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全 分析確定系統(tǒng)的訪問控制策 略；b）應(yīng)定期進仃漏洞掃描，對發(fā) 現(xiàn)的系統(tǒng)安全漏洞及時進行 修補；c）應(yīng)安裝系統(tǒng)的最新補丁程 序，在安裝系統(tǒng)補丁前，首 先在測試環(huán)境中測試通過， 并對重要文件進行備份后， 方可實施系統(tǒng)補丁程序的安 裝；d）應(yīng)建立系統(tǒng)安全管理制度， 對系統(tǒng)安全策略、安全配置、 日志管理和日常操作流程等 方面作出具體規(guī)定；e）應(yīng)依據(jù)操作手冊對系統(tǒng)進行 維護，詳細記錄操作日志， 包括重要的日常操作、運行 維護記錄、參數(shù)設(shè)置和修改等內(nèi)容，嚴禁進行未經(jīng)授權(quán) 的操作；f）應(yīng)定期對運行日志和審計數(shù) 據(jù)及進行分析，以便及時發(fā) 現(xiàn)異常行為。1.2.5.7惡意代碼防范管理（G2）本項要求包括：a）應(yīng)提高所有用戶的防病在意 識，及時告知防病毒軟件版 本，在讀取移動存儲設(shè)備上 的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件 或郵件之前，先進行病母檢