信息系統(tǒng)安全等級保護研讀課件

信息系統(tǒng)安全等級保護研讀服從真理，就能征服一切事物信息系統(tǒng)安全等級保護研讀信息系統(tǒng)安全等級保護研讀服從真理，就能征服一切事物信息系統(tǒng)安全等級保護基本要求標準研讀目錄物理安全網絡安全主機安全應用安全數(shù)據安全及備份恢復安全管理制度安全管理機構人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理【Abstract】MolecularBiologyisadisciplinefullofexperiments.Theexperimentofmolecularbiologyisatypicalcoursecombiningtheorywithpractice.Inthispaper，toimprovetheteachingqualityofmolecularbiologyexperimentsandtoincreasestudents’creativityandactivelearningability，theinnovatingexperimentalteachingsystemofmolecularbiologywasperformedbyemployingbasalexperiments，establishingintegratedexperiments，applyinginnovationexperiment.分子生物學是在分子水平上研究蛋白質、核酸等生物大分子形態(tài)、結構及其規(guī)律性和相互關系的科學。分子生物學是一門實踐性很強的科學，它不但是人們認識生命的有利工具，而且滲透到醫(yī)學、農業(yè)、工業(yè)等科學的各個領域[1]。在分子生物學教學中，實驗教學占有舉足輕重的地位，是學生理解和掌握分子生物學基本原理的重要環(huán)節(jié)。它不僅是培養(yǎng)學生掌握基本理論、基本知識和基本技能的重要手段，而且對培養(yǎng)學生的創(chuàng)新能力和科學作風都是十分重要的。相對其他學科的實驗而言，分子生物學實驗復雜而貫通，技術性很強，是理論和實踐相結合的典型課程[2]。在分子生物學本科實驗教學中，如何深化改革，構建科學合理、切實可行的實驗教學創(chuàng)新體系，充分有效地提高學生的實踐能力和創(chuàng)新能力，對培養(yǎng)21世紀生命科學發(fā)展所需的高素質人才是十分必要的。近年來，根據創(chuàng)新人才培養(yǎng)的需要，我院結合生物技術專業(yè)的特點，對實驗教學進行了模塊式教學模式的改革，本文僅以生物化學與分子生物實驗教學模塊中的分子生物學實驗教學模式進行了探索，建立并完善“基礎性實驗―綜合性實驗―創(chuàng)新設計性實驗”的多層次和多模塊化的實驗體系?；A性實驗共32學時，利用4-5周的時間集中進行實驗教學，避免實驗課教學占用太多的教學周數(shù)；綜合性實驗16學時；創(chuàng)新設計性實驗20學時，在生物化學與分子生物實驗教學模塊的統(tǒng)領下，遵循著“理論-實踐-理論-綜合實踐”的教學、認知的螺旋式上升規(guī)律。改革目的是改變學生的學習結構，激發(fā)學生學習的主動性，使其在整個課程學習過程中，將建立完善的學科知識體系、培養(yǎng)思維和學習能力、提高創(chuàng)新精神和綜合素質三大目標融為一體。這一模式經分子生物學課程實驗實踐，取得了很好地教學效果。1堅持基礎性實驗，強化實驗技能基礎性實驗，是在指定時間內由教師直接講授、指導的相對獨立內容的實驗。通過實驗操作，使學生掌握分子生物學基本實驗技能，培養(yǎng)學生基本的科研動手能力。1.1建立課堂理論講授與實驗教學分離的體系分子生物學是實踐性很強的學科，要使學生切實掌握該學科的各種能力，必須打破傳統(tǒng)的實驗課附屬于理論課教學的教學模式，適當增加實驗教學課時。當前，大多數(shù)學校分子生物學實驗課教學受學時、時間安排等方面的影響，沒有更多的課時安排基礎性實驗，而我們在堅持實踐認知的原則下，學院改革實驗教學體系，保證合理安排學時，強化基礎性實驗，該課程安排在沒有開設基礎理論課前的大學二年級上學期，課時為32學時，利用4-5周的時間集中進行實驗教學。1.2優(yōu)化實驗內容體系實驗內容的選擇是實驗教學環(huán)節(jié)的基礎，我們通過對原有實驗課程的整合，實現(xiàn)實驗教學內容體系的整體優(yōu)化，并且獨立設課。在基礎性實驗中，我們圍繞基因工程的流程“分離、切割、連接、轉化、篩選”的過程[3]，設計了以綠色熒光蛋白（GFP）基因為研究對象，進行質粒DNA的提取、酶切與定量分析，PCR擴增目的基因及其產物的回收，DNA重組（綠色熒光蛋白基因亞克隆到質粒載體pET28a），大腸桿菌（DH5α）感受態(tài)細胞的制備與轉化，轉化子的篩選與鑒定。這些實驗內容緊密相關，涉及到基因克隆的整個過程。因此，在實驗過程中向學生強調實驗的連貫性和整體性，使大家認識到前一實驗內容是后一實驗內容的基礎，前一實驗的結果為后一實驗提供實驗材料，充分認識到每個實驗的重要性，為創(chuàng)新設計性實驗打好基礎。參考教材是我們自行編寫的“分子生物學實驗指導”。1.3基礎性實驗授課方式基礎性實驗的授課方式是“授之以魚”，即以每一個實驗為單位，實驗與實驗之間相對獨立。教師在教學大綱規(guī)定的實驗學時內直接講授的基礎性實驗，該授課方式能突出實驗技術本身的特點，旨在使學生掌握本課程的基本要求、實驗技能、實驗方法和儀器的規(guī)范操作。實驗過程中，要求同學們認真觀察實驗現(xiàn)象，做好實驗數(shù)據記錄與保存工作，培養(yǎng)同學們嚴謹?shù)目茖W態(tài)度和實事求是的精神。并且，重視思維訓練，養(yǎng)成學生細心觀察、周密思考的習慣，為今后進行科研活動打下良好的基礎。此外，由于分子生物學是從分子水平來研究生命現(xiàn)象。充分利用現(xiàn)代網絡資源，借鑒有關原理的Flash動畫，以PPT方式將預實驗過程中的步驟拍成照片展示給學生，例如PCR的原理，通過Flash動畫方式展示給學生，講解時既形象又生動，使實驗全過程變得具體化、形象化，從而化難為易起到事半功倍的效果。2完善綜合性實驗，提高學生綜合動手能力綜合性實驗是指實驗內容涉及本課程的綜合知識或與本課程相關課程知識的實驗，綜合性實驗不僅是課程內實驗內容的綜合，而且是相關課程內容的綜合。內容一般涉及一門課程的多個知識點或系列課程多個知識點，或組合多項單元實驗。實驗內容的復合性是綜合性實驗的重要特征，旨在培養(yǎng)學生知識的綜合能力和綜合知識的應用能力[4]。該課程安排在大學二年級下學期，課時為16學時，集中時間授課。2.1綜合性實驗的內容在基礎性實驗過程中，綠色熒光蛋白基因主要是亞克隆到質粒載體上，并實現(xiàn)了基因的克隆與擴增。綜合性實驗是在教師的講授、指導下，從大腸桿菌（DH5α）中提取重組的pET28a-gfp，核酸電泳檢測，轉化大腸桿菌（BL21），誘導表達，蛋白電泳檢測。其中涉及到綜合運用分子生物學基礎的DNA提取技術、瓊脂糖凝膠電泳技術、微生物培養(yǎng)、外源DNA的導入、重組體的篩選、原核表達條件優(yōu)化、SDS電泳檢測技術等。綠色熒光蛋白基因的選擇是便于直觀地觀察表達效果。2.2改進綜合性實驗成績考核方式基礎性實驗成績主要以學生的實驗報告完成情況和數(shù)據處理等來評定。而綜合性實驗是按照平時成績與綜合性實驗分析報告各占50%來考核。平時成績考評包括包括實驗技能、實驗態(tài)度（如出勤、紀律等）、實驗室常識等的掌握。綜合性實驗分析報告是指綜合分析整個實驗的成功與失敗的經驗教訓，注重學生的創(chuàng)新性思維及獨立分析問題、解決問題能力的提高。3開設創(chuàng)新設計性實驗，鍛煉學生科研思維創(chuàng)新設計性實驗是打破以課堂為中心、教師為中心的實驗教學模式。由教師指導學生進行科研課題的設計，由學生自由組合、自選題目，在教師指導下選擇性地進行創(chuàng)新設計實驗，最終撰寫成實驗論文，啟發(fā)學生如何完成一個科研工作。激發(fā)出學生探索生命奧秘的熱情，拓寬視野，增長知識，有利于學生創(chuàng)新能力與綜合素質的培養(yǎng)[5]。創(chuàng)新設計性實驗共20學時，在大四上學期開設。3.1建立完善的開放實驗平臺學院的生物技術中心實驗室，在正常工作日對研究生和本科生全天開放。因此，利用這個實驗平臺，對于創(chuàng)新設計性實驗采用開放教學模式，實現(xiàn)學生主體的教學模式。使學生不受實驗室、實驗學時和實驗項目的限制，完成從實驗方案設計到實驗測試、實驗論文編寫等全過程，提高學生分析問題和解決問題的能力。3.2靈活多樣的創(chuàng)新設計性實驗教學形式第一，成立創(chuàng)新設計性實驗“導師組”。由“導師組”立足從基因到蛋白的過程擬就若干個實驗題目或方向，由學生以小組（2-3人）為單位、選取實驗項目。然后自行查閱文獻，寫出實驗方案。實驗方案確定后，交由“導師組”進行嚴格的審查。審查實驗方案的可行性和安全性，以及實驗室條件是否能滿足其要求等。在老師幫助下完善實驗方案，然后學生自行備齊所需設備和試劑，由學生獨立完成實驗。要求學生在創(chuàng)新設計性實驗的過程中，利用基礎性實驗所學到的實驗技能自主完成基因克隆與表達的整個過程。第二，以科研促進實驗教學?？蒲姓n題可以是老師現(xiàn)有科研課題的延伸，也可以是學生通過其他途徑所獲得的信息或者是自己的設想?？蒲姓n題與實驗教學緊密結合，能使學生們及時了解最新科研動態(tài)，了解最新科研成果，提高學生對科研的興趣。使學生參與到科研中，能發(fā)揮學生的主觀能動性，掌握實驗技巧以及本實驗以外的其它知識技能。鍛煉學生的實踐能力、激發(fā)學生探索的興趣、培養(yǎng)學生的創(chuàng)新精神。第三，以實驗論文形式考核成績。生命科學的學生在學校學習期間應當學會撰寫科研論文。傳統(tǒng)實驗課中的實驗大多屬于驗證性實驗，實驗報告中體現(xiàn)學生獨特見解的論述較少。而在創(chuàng)新設計性實驗的完成過程中凝聚了學生自己的準備、分析、思考、實驗等創(chuàng)新能力。要求學生完成實驗后以實驗論文形式報告結果，在實驗論文的撰寫過程中能對實驗過程、思維方式等再認識提高。通過這些基本技能的訓練，使學生全面掌握好現(xiàn)代分子生物學技術，為即將開展的本科畢業(yè)實習及將來從事科研工作打下良好的基礎。4結束語順應教學改革形勢的需要，我們學院根據自己的實際情況進行相應的教學內容和教學模式的改革，提出了分子生物學基礎性實驗、綜合性實驗、創(chuàng)新設計性實驗教學模式的改革，這種實驗教學模式既能充分利用實驗室的空間和資源，又能充分調動和激發(fā)學生學習的主動性和積極性，進一步提高學生實際動手操作技能，對培養(yǎng)具有創(chuàng)新能力、高素質綜合型人才起到了積極的作用?！緸榱擞有畔⒒鐣逃岢龅姆N種挑戰(zhàn)，在20世紀90年代就誕生了一種新的教學模式――多媒體網絡教學。多媒體網絡教學是通過網絡系統(tǒng)與計算機的結合，把教師對教學的設計思想與多媒體技術以及人―機交互統(tǒng)籌考慮，通過校園網將教室、實驗室等連在一起，將教學信息開放化，使教師和學生在網上進行教學和交流，從而使教育形式不再有地域和空間的限制的一種多樣化、開放式的教學模式。網絡教學為學生提供了豐富的信息資料，讓學生通過瀏覽資料，加深對課文的理解，形成新的觀點，增加了課堂容量，以異步教學的方式最大限度地尊重學生學習的差異性。在這種教學模式中，教學的4個要素的地位發(fā)生較大的變化，學生成為學習的主體，是知識的主動建構者，而教師只是教學過程的組織者、指導者、幫助者和促進者。教材是學生主動建構意義的對象，而媒體則是一種認知的工具，這種模式與現(xiàn)代社會對人才的培養(yǎng)目標相適應，真正體現(xiàn)了信息化時代的特點。筆者在教學中曾多次嘗試，由起初多媒體課堂的新奇到后來信息技術整合課的愉悅，筆者認為網絡教學帶給教育者的力量是不竭的。1網絡教學讓學生興趣盎然在教學中，教師與學生面對同一教材，卻有不同的思考，所以鮮紅的素材要靠師生共同利用，共同收集，更要靠自己去挖掘，去嫁接，去整合。利用信息課堂去整合，極大地引發(fā)了學生的興趣，所以學生越來越喜歡上語文課。其中最主要的原因就是他們對現(xiàn)代技術手段應用下的語文課產生好奇。其次，直觀的聲音、動畫等效果吸引著他們，激發(fā)了求知欲。這也很自然就促使他們融入語文教學之中來。2網絡教學讓教師輕松自如“興趣是最好的老師。”要想讓學生語文閱讀能力得到提高，首先就要培養(yǎng)學生的閱讀興趣。這就要求教師合理創(chuàng)設情境，利用多種教學手段來激發(fā)學生學習的興趣。網絡環(huán)境下的語文閱讀教學，教師要明確學生閱讀的內容、方向，并給出指導性意見。同時，語文學習總是與一定的社會文化背景即“情景”相聯(lián)系的。如寫自然的成語、句子、散文、詩歌的文本、圖片、視頻等資料發(fā)布到每個學生的計算機上，學生邊看邊聽，有關自然的資料呈現(xiàn)在他們的眼前，使他們對自然有直觀、生動的感受，激起學生對自然的知識進一步探索的欲望。借助信息技術，教師覺得講語文課輕松多了。因為有了課件，有了信息，教師的思路更清楚了，課堂容量更大了，效率自然也就更高了。再比如在作文課上，寫前輔導，筆者借助網絡收集同類話題，讓學生比較；再借用大屏幕展示給學生針對話題的優(yōu)美范文，供他們賞析、評價，探討“美文美在哪兒”；之后再進入寫作。筆者發(fā)現(xiàn)他們自如多了，咬筆桿的少了，限時完成的多了。寫后講評，借助多媒體就更便捷了，可以分類后把學生的優(yōu)美片段或問題片段都展示出來，供欣賞或修改。甚至還可以在網上動態(tài)參與，學生可以在筆者的網站上跟帖，暢所欲言，各抒己見；也可以在筆者的博客里面發(fā)表見解，共同修改。沒有了面對面的尷尬，有的學生更愿意發(fā)表看法了，更大膽地說出自己獨特的思路。無形中課堂已經延伸到了課外，而大家卻渾然不覺，少了幾分倦怠和壓力，多了幾分興趣和真誠。3網絡教學讓師生悉心交流學生對搜集到的素材在進行多角度地觀察、理解、整合的過程中，必然會遇到各類具體的細節(jié)問題，而教師的指導不可能也沒必要面面俱到，那么網絡學習為師生交流互動提供了更廣闊深遠的空間。如在進行綜合性學習“感受自然”的閱讀教學中，學生根據前期網絡搜集到的有關“自然”的信息，可以3～4人組成固定的學習小組，開展分組討論，共同探討諸如“寫自然的成語、句子、散文以及詩歌”等話題。在這一教學過程中，學生通過協(xié)作學習，共同交流、研討，對搜集到的信息做進一步充實、完善，加深對“感受自然”主題的認識。學生對所閱讀的內容有了更進一步的理解后，閱讀課的教學活動也接近尾聲，但并不等于結束。教師還要善于利用網絡環(huán)境誘發(fā)學生更為強烈的、自主的表達欲望和閱讀欲望，引領他們走向更為廣闊的學習空間。交互性、選擇性的網絡環(huán)境給師生提供了超越時間、空間進行實時或非實時開放交流的平臺。在“感受自然”閱讀教學中，學生形成比較成熟的認識后，教師可要求他們就本課話題進行綜合概括，總結自己的觀點，并以文字的形式將結論在網上發(fā)布，供師生評價。這樣學生從封閉的學習狀態(tài)中走出來，學習內容變得豐富多彩，參與更加及時方便，交流顯得開放透徹、大大地解放并激發(fā)了學生的閱讀想象力、思維力和創(chuàng)造力，促進師生交流。4網絡教學也讓人有幾分擔憂互聯(lián)網以其無所不容的氣度包含了所有能想到的信息，可以說，在互聯(lián)網中，只有你想不到的，沒有互聯(lián)網上沒有的。當然，這一方面為語文教學提供了豐富的信息，為學生提供了大量的閱讀對象，學生可以根據自己的興趣愛好有選擇地進行閱讀，有利于學生個性和特長的培養(yǎng)與發(fā)揮，可以真正實現(xiàn)學生的自主閱讀，拓寬“大語文”教育的天地。但是從另一個角度看，信息的豐富對教學來說又不是好事。巨量的信息旁逸斜出，很容易分散學生的注意力，容易使學生養(yǎng)成浮躁的心態(tài)。而且大量不健康信息的存在不僅要影響到學生的學習效果，更對學生的身心發(fā)展造成不利的影響，這是讓人最無所適從的。另一方面的影響來源于網絡用語。據一晚報刊載，一位語文教師在學生的作文中看到這樣的句子：“7456，TMD！大蝦、菜鳥一塊兒到偶的烘焙雞上亂灌水，這些水桶真是BT！哥們兒用不著PMP，到底誰是好漢，光棍節(jié)過招?！笨吹竭@樣的話你會有什么感想？你一定會大吃一驚：這是什么話？他想說什么？這就是網絡用語，一種伴隨著互聯(lián)網的普及，逐漸在網絡空間中形成的一種自成體系的語言，它被越來越多的中國網民所使用著，并大有廣泛普及之勢頭。它對語言文字的規(guī)范化表達形成沖擊，對學生良好的讀寫習慣的養(yǎng)成造成的影響也是不容忽視的。筆者認為首先應加大宣傳力度，對學生進行教育，讓學生明白自己應該做什么，哪些語言表達方式才是自己應該掌握的。另外，在網絡環(huán)境下用多媒體手段進行中學語文學習，教師和學生，尤其是教師的角色發(fā)生很大的變化。若掌控不利，學生和教師直接對話相對減少，教師的個人魅力相對減弱，這無疑會降低學生學習語文的情感動力。像其他領域一樣，在教學活動中新技術、新思維的引進必然也會帶來新的問題，教學也在嘗試――解決的過程中進步。總之，21世紀是信息化的時代，而網絡是信息化社會的重要物質基礎，人類的活動將在很大程度上依賴于網絡，新世紀的教育也離不開網絡。網絡環(huán)境下的多媒體初中語文教學相對于傳統(tǒng)的初中語文教學具有無可比擬的優(yōu)越性。在現(xiàn)今的多媒體技術和網絡信息技術的支持下，它為學生創(chuàng)造了個性化學習的空間，為教師改變枯燥、沉悶的傳統(tǒng)課堂教學模式提供了條件，因此教師的教學效率會得到提高，學生的學習效果能得到改善。但還需要對這種新的教學方式作進一步的研究，解決出現(xiàn)的各種新問題，使新的技術手段在語文教學中盡可能發(fā)揮最大的作用。筆者堅信，在這條路上更能拓寬學生語文學習的空間，更能讓學生自主選擇學習的內容。它更會使語文課堂容量更大，色彩更豐富，生動性更強，效率更高。面對網絡教學為語文教學開啟的這扇神秘大門，筆者會繼續(xù)自己的腳步，繼續(xù)走進這扇門，去訪問更深更廣的空間！信息系統(tǒng)安全等級保護基本要求標準研讀目錄物理安全網絡安全主機安全應用安全數(shù)據安全及備份恢復安全管理制度安全管理機構人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理物理位置的選擇（G3）標準要求a）機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內；b) 機房場地應避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁。標準理解機房或機房所在建筑物應由物業(yè)提供的本建筑物符合當?shù)乜拐鹨蟮南嚓P證明。機房主墻壁沒有對外的窗戶，否則，窗戶應做密封、防水處理。機房場地不宜設在建筑物頂層，如果不可避免，應采取有效防水措施。機房場地設在建筑物地下室的，應采取有效的防水措施；機房場地設在高層建筑物高區(qū)的，應對設備采取有效固定措施如果機房周圍有用水設備，應當有防護滲水和疏導措施。物理訪問控制（G3）標準要求a) 機房出入口應安排專人值守，控制、鑒別和記錄進入的人員；b) 需進入機房的來訪人員應經過申請和審批流程，并限制和監(jiān)控其活動范圍；c) 應對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設置物理隔離裝置，在重要區(qū)域前設置交付或安裝等過渡區(qū)域；d) 重要區(qū)域應配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。標準理解（1）有專門的機房值班人員，或采取監(jiān)控設備將機房出入情況傳輸?shù)綄ｉT的樓宇值班點；（2）通過記錄表或監(jiān)控錄像記錄機房出入情況。（3）機房的設備區(qū)域和輔助工作區(qū)域應當進行分區(qū)管理，并采取物理隔斷方式。（4）機房設施的交付或安裝應在輔助區(qū)域內進行。（5）查看門禁裝置及記錄防盜竊和防破壞（G3）標準要求a) 應將主要設備放置在機房內；b) 應將設備或主要部件進行固定，并設置明顯的不易除去的標記；c) 應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中；d) 應對介質分類標識，存儲在介質庫或檔案室中；e) 應利用光、電等技術設置機房防盜報警系統(tǒng)；f) 應對機房設置監(jiān)控報警系統(tǒng)。標準理解（1）主要設備、機柜、機架等應有明顯不易除去的標識，如以標簽或銘牌等方式；（2）主要設備必須安裝、固定在機柜內或機架上。（3）通信線纜可鋪設在地下、管道或線槽中。（4）參見介質管理的有關要求。（5）在機房的出入口采取紅外、接觸式感應等設備進行防盜。（6）應至少對機房的出入口、操作臺等區(qū)域進行攝像監(jiān)控；（7）監(jiān)控記錄至少保存一個月。防雷擊（G3）標準要求機房建筑應設置避雷裝置；應設置防雷保安器，防止感應雷；機房應設置交流電源地線。標準理解（1）機房或機房所在大樓，應根據建筑設計要求，設計并安裝防雷擊措施，防雷措施包括但不限于避雷針、避雷器，以及電路設計；（2）避雷系統(tǒng)必須經過國家主管部門的技術檢測并合格；（3）每年一次對防雷裝置進行檢測；防火（G3）標準要求機房應設置火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火；機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料；機房應采取區(qū)域隔離防火措施，將重要設備與其他設備隔離開。標準理解（1）機房的火災自動消防系統(tǒng)具備自動報警和滅火功能，并通過當?shù)毓蚕啦块T的驗收；（2）機房的設備區(qū)域應采取氣體滅火裝置；（3）機房設備區(qū)域與其他區(qū)域的隔離材料必須達到防火等級二級；（4）保存消防系統(tǒng)的各類技術資料，并有專人對消防系統(tǒng)進行維護（5）每年至少一次對消防設備的使用、維護人員進行培訓。防水和防潮（G3）標準要求水管安裝，不得穿過機房屋頂和活動地板下；應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透；應安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報警。標準理解（1）提供建筑防水和防潮設計/驗收文檔，檢查實際建設是否與機房防水防潮的實際情況一致；（2）機房裝修時必須有上下墻體保溫層，以防止隔層結露；（3）及時檢查機房是否存在屋頂和墻壁等出現(xiàn)過漏水、滲透和返潮現(xiàn)象；（4）布置漏水監(jiān)控裝置。防靜電（G3）標準要求主要設備應采用必要的接地防靜電措施；機房應采用防靜電地板。標準理解（1）提供對機房環(huán)境靜電的檢測報告或證書；（2）對進入機房設備區(qū)域，必須采取防塵措施，以防止灰塵的引入導致產生靜電；（3）在設備集中的區(qū)域，采取防靜電工作臺、靜電消除劑和靜電消除器等措施以防止靜電的產生。溫濕度控制（G3）標準要求機房應設置溫、濕度自動調節(jié)設施，使機房溫、濕度的變化在設備運行所允許的范圍之內。標準理解（1）采取精密空調方式保持機房的恒溫恒濕；（2）根據各地實際情況，應安裝除濕、加濕設備以保持機房溫在22（正負3）度范圍內，濕度保持在45％～65％之間。電力供應（A3）標準要求應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備；應提供短期的備用電力供應，至少滿足主要設備在斷電情況下的正常運行要求；應設置冗余或并行的電力電纜線路為計算機系統(tǒng)供電；應建立備用供電系統(tǒng)。標準理解（1）機房必須配備UPS，機房供電和照明必須分開不同的配電柜；（2）采用雙路供電，或配備、租用發(fā)電機；應急供電設備的供電能力應保障業(yè)務不間斷所需要的UPS及空調供電；（3）如果不具備后備供電設施，UPS供電時間不得小于4小時；（4）具備后備供電設施的，UPS供電時間不少于1小時；（5）每季度對UPS進行一次檢測，并形成檢測記錄。電磁防護（S3）標準要求應采用接地方式防止外界電磁干擾和設備寄生耦合干擾；電源線和通信線纜應隔離鋪設，避免互相干擾；應對關鍵設備和磁介質實施電磁屏蔽。標準理解（1）機房或機房所在的大樓必須有接地措施，并且接地電阻必須小于1歐姆；（2）接地電阻的接地效果應經過專業(yè)技術機構的檢測；（3）強、弱電線路必須走不同的橋架或管道；（4）如果機房附近存在強電磁場，如無線基站、電力變壓器等，應采取屏蔽室方式。

目錄（按第三級要求）物理安全網絡安全主機安全應用安全數(shù)據安全及備份恢復安全管理制度安全管理機構人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理結構安全（G3）1標準要求應保證主要網絡設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要；應保證網絡各個部分的帶寬滿足業(yè)務高峰期需要；應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑；應繪制與當前運行情況相符的網絡拓撲結構圖；應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段；標準理解（1）主要網絡設備的業(yè)務處理能力至少為歷史峰值的1.5--2.0倍；（2）帶寬利用率超過80%的最大持續(xù)小于5分鐘，一日內累計時間不超過10分鐘；（3）邊界和主要網絡設備應配置路由控制策略，如策略路由、ACL等，建立安全的訪問路徑。(4）應繪制完整的網絡拓撲結構圖，粒度到設備級，包含IP地址、設備主要信息，與當前運行情況相符，并有相應的配置表；并及時更新（5）應有IP/VLAN/MPLS地址分配方案文檔；結構安全（G3）2標準要求應避免將重要網段部署在網絡邊界處且直接連接外部信息系統(tǒng)，重要網段與其他網段之間采取可靠的技術隔離手段；應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別，保證在網絡發(fā)生擁堵的時候優(yōu)先保護重要主機。標準理解（1）確定組織的網絡邊界，根據邊界劃分安全域，針對安全域采取合適的安全隔離措施，形成安全策略文檔，隔離方式視安全需求可采取物理隔離或防火墻、VLAN、VPN等邏輯隔離措施。（2）對業(yè)務網和內部辦公網實施物理或邏輯隔離；（3）對所有業(yè)務確定重要性、優(yōu)先級，制定業(yè)務相關帶寬分配原則及相應的帶寬控制策略，根據安全需求，采取網絡QoS或專用帶寬管理設備等措施。訪問控制（G3）1標準要求應在網絡邊界部署訪問控制設備，啟用訪問控制功能；應能根據會話狀態(tài)信息為數(shù)據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；應對進出網絡的信息內容進行過濾，實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；應在會話處于非活躍一定時間或會話結束后終止網絡連接；標準理解（1）網絡邊界應部署防火墻/路由器ACL，應能根據會話狀態(tài)信息設定過濾規(guī)則集，規(guī)則集應涵蓋對所有出入邊界的數(shù)據包的處理方法，對于沒有明確定義的數(shù)據包，應缺省拒絕，需要拒絕的協(xié)議應顯式的拒絕并開啟日志記錄；（2）控制粒度為端口級。（3）過濾規(guī)則應易于理解，易于編輯修改；（4）應進行一致性檢測，防止規(guī)則沖突；（5）使用HTTP、FTP、TELNET、SMTP、POP3等服務，則必須部署內容審計產品訪問控制（G3）2標準要求應限制網絡最大流量數(shù)及網絡連接數(shù)；重要網段應采取技術手段防止地址欺騙；應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；應限制具有撥號訪問權限的用戶數(shù)量。標準理解（6）管理終端連接網絡設備，當會話處于非活躍時間超過5分鐘或會話結束后終止網絡連接；（7）關閉閑置的網絡端口；（8）重要網絡用端口與mac地址綁定方式防止地址欺騙；（9）對不同用戶建立一個授權訪問列表，控制粒度為單個用戶；（10）禁止使用撥號或互聯(lián)網對網絡設備進行管理和維護；（11）撥號訪問服務器限制用戶數(shù)量和權限。安全審計（G3）標準要求應對網絡系統(tǒng)中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；應能夠根據記錄數(shù)據進行分析，并生成審計報表；應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。標準理解（1）關閉閑置的網絡端口；（2）重要網絡用端口與mac地址綁定方式防止地址欺騙；（3）對不同用戶建立一個授權訪問列表，控制粒度為單個用戶；（4）禁止使用撥號或互聯(lián)網對網絡設備進行管理和維護；（5）撥號訪問服務器限制用戶數(shù)量和權限。邊界完整性檢查（S3）標準要求應能夠對非授權設備私自聯(lián)到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；應能夠對內部網絡用戶私自聯(lián)到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。標準理解（1）應有設備接入授權控制管理過程。（2）限制或禁止內部人員使用電話撥號、adsl撥號、手機、pda等連接到外部網絡。入侵防范（G3）標準要求應在網絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等；當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警。標準理解（1）在網絡邊界部署入侵檢測系統(tǒng)；(2)入侵檢測系統(tǒng)根據安全策略配置規(guī)則。惡意代碼防范（G3）標準要求應在網絡邊界處對惡意代碼進行檢測和清除；應維護惡意代碼庫的升級和檢測系統(tǒng)的更新。標準理解（1）在不嚴重影響網絡性能的情況下，應在網絡邊界部署惡意代碼檢測系統(tǒng)。（2）惡意代碼檢測系統(tǒng)的版本為最新。網絡設備防護（G3）－－1標準要求應對登錄網絡設備的用戶進行身份鑒別；應對網絡設備的管理員登錄地址進行限制；網絡設備用戶的標識應唯一；主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；標準理解（1）應刪除或修改默認用戶及密碼，根據管理需要開設用戶，不得使用缺省口令、空口令、弱口令。（2）口令應符合以下條件：避免使用字典詞匯、姓名、電話號碼、日期、公司名稱等；、包括至少一個小寫字母、大寫字母、數(shù)字、特殊符號；所有口令的長度至少為8位；避免連續(xù)使用4位數(shù)字或同樣大小寫的字母；口令至少每季度更換一次；新舊口令更換必須替換6個以上字符；網絡設備防護（G3）－－2標準要求應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和當網絡登錄連接超時自動退出等措施；當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽；應實現(xiàn)設備特權用戶的權限分離。標準理解（1）網絡設備應開啟登錄失敗處理功能,失敗后可結束會話；（2）允許的不成功登錄嘗試的次數(shù)至多位5次；（3）應配置最近一次會話活動之后保持5分鐘的激活期，超時自動退出；（4）應采取加密傳輸或光纖傳輸（5）應根據管理用戶的角色分配權限，實現(xiàn)系統(tǒng)管理、安全管理和審計管理用戶的權限分離，僅授予用戶所需的最小權限；目錄（按第三級要求）物理安全網絡安全主機安全應用安全數(shù)據安全及備份恢復安全管理制度安全管理機構人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理身份鑒別（S3）－－1標準要求應對登錄操作系統(tǒng)和數(shù)據庫系統(tǒng)的用戶進行身份標識和鑒別；操作系統(tǒng)和數(shù)據庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換；應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施；標準理解（1）操作系統(tǒng)和數(shù)據庫系統(tǒng)管理用戶的口令復雜度應滿足8位以上，由數(shù)字、字母大小寫以及特殊字符組合，并至少每3個月更換；（2）操作系統(tǒng)應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)（10次）、帳戶鎖定（30分鐘自動解鎖或由系統(tǒng)管理員手工解鎖）等措施；（3）數(shù)據庫應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)（10次）、自動退出等措施；身份鑒別（S3）－－2標準要求當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽；應為操作系統(tǒng)和數(shù)據庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。標準理解（1）當對服務器進行遠程管理時，應采取會話加密或光纖傳輸?shù)却胧?，防止鑒別信息在網絡傳輸過程中被竊聽；（2）應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別，不適用于非開放環(huán)境式平臺主機。訪問控制（S3）標準要求應啟用訪問控制功能，依據安全策略控制用戶對資源的訪問；應根據管理用戶的角色分配權限，實現(xiàn)管理用戶的權限分離，僅授予管理用戶所需的最小權限；應實現(xiàn)操作系統(tǒng)和數(shù)據庫系統(tǒng)特權用戶的權限分離；應嚴格限制默認帳戶的訪問權限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令；應及時刪除多余的、過期的帳戶，避免共享帳戶的存在。應對重要信息資源設置敏感標記應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作標準理解（1）應根據管理用戶的角色分配權限，實現(xiàn)系統(tǒng)管理、安全管理和審計管理用戶的權限分離，僅授予用戶所需的最小權限；（2）強制訪問控制機制在現(xiàn)有的系統(tǒng)中無法實現(xiàn)。安全審計（G3）標準要求審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據庫用戶；審計內容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要的安全相關事件；審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等；應能夠根據記錄數(shù)據進行分析，并生成審計報表；應保護審計進程，避免受到未預期的中斷；應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。標準理解（1）采用“大集中”方式管理的系統(tǒng)，審計范圍應覆蓋到服務器端的每個用戶；（2）審計內容至少包括：用戶的添加和刪除、審計功能的啟動和關閉、審計策略的調整、權限變更、系統(tǒng)資源的異常使用、重要的系統(tǒng)操作（如修改文件、目錄的訪問控制、更改系統(tǒng)或服務的配置文件）、重要用戶（如系統(tǒng)管理員、系統(tǒng)安全員、系統(tǒng)審計員）的各項操作；（3）審計記錄應包括事件的日期和時間、觸發(fā)事件的主體與客體、事件的類型、事件成功或失敗、事件的結果等；（4）應保護審計記錄，應至少保存6個月以上，避免受到未預期的刪除、修改或覆蓋等。剩余信息保護（S3）標準要求應保證操作系統(tǒng)和數(shù)據庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中；應確保系統(tǒng)內的文件、目錄和數(shù)據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。標準理解（1）應保證操作系統(tǒng)和數(shù)據庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到有效刪除，無論這些信息是存放在硬盤上還是在內存中；（2）當主機轉為其他用途、需要維修或廢棄時，應實現(xiàn)完全清除。（3）應確保系統(tǒng)內的文件、目錄和數(shù)據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到有效刪除。（4）當主機轉為其他用途、需要維修或廢棄時，應實現(xiàn)完全清除。入侵防范（G3）標準要求應能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警；應能夠對重要程序的完整性進行檢測，并在檢測到完整性受到破壞后具有恢復的措施；操作系統(tǒng)應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新。標準理解（1）針對主機的入侵行為監(jiān)測可通過網絡級或主機級入侵監(jiān)測系統(tǒng)等方式實現(xiàn)；（2）應能夠在程序啟動時對重要程序的完整性進行檢測，并在檢測到完整性受到破壞后具有恢復的措施；如不能正?；謴?，應停止有關服務，并提供報警；實施前提是確保更新后，對系統(tǒng)和應用的正常使用不會造成影響非開放式系統(tǒng)可僅更新必要系統(tǒng)補丁。惡意代碼防范（G3）標準要求應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫；應支持防惡意代碼的統(tǒng)一管理。標準理解（1）是否安裝網絡版的防惡意代碼軟件。資源控制（A3）

標準要求應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄；應根據安全策略設置登錄終端的操作超時鎖定；應對重要服務器進行監(jiān)視，包括監(jiān)視服務器的CPU、硬盤、內存、網絡等資源的使用情況；應限制單個用戶對系統(tǒng)資源的最大或最小使用限度；應能夠對系統(tǒng)的服務水平降低到預先規(guī)定的最小值進行檢測和報警。標準理解（1）終端通過交互式登錄方式進入服務器的，超時鎖定時間應設定在5分鐘以內；（2）應限制單個用戶對系統(tǒng)資源（主要是硬盤空間、會話數(shù)量）的最大使用限度；目錄（按第三級要求）物理安全網絡安全主機安全應用安全數(shù)據安全及備份恢復安全管理制度安全管理機構人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理身份鑒別（S3）－－1標準要求應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；應對同一用戶采用兩種或兩種以上組合的鑒別技術實現(xiàn)用戶身份鑒別；應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統(tǒng)中不存在重復用戶身份標識，身份鑒別信息不易被冒用；應提供登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施；應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據安全策略配置相關參數(shù)。標準理解（1）應用系統(tǒng)應提供登錄失敗處理功能，當用戶連續(xù)五次嘗試登錄失敗后，可采取結束會話和自動退出等措施，防止用戶多次反復猜測密碼；（2）對開發(fā)的應用系統(tǒng)，在口令復雜度模塊設計時應設計密碼強度等檢測機制。（3）對原有系統(tǒng)，應在不影響業(yè)務正常運行的前提下，改進密碼強度等檢測機制。訪問控制（S3）－－1應提供訪問控制功能，依據安全策略控制用戶對文件、數(shù)據庫表等客體的訪問；訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作；應由授權主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權限；標準理解（1）應用系統(tǒng)應具有明確的安全訪問策略文檔，表明不同類型的用戶對各種文件和數(shù)據具有訪問權限，并實現(xiàn)安全策略中的訪問控制功能；（2）應合理設置訪問應用系統(tǒng)功能的授權體系，只有權限管理員才能生成、修改、刪除用戶的訪問控制權限；（3）嚴格限制系統(tǒng)的默認帳戶的訪問權限，修改系統(tǒng)初始化帳戶或嚴格限制其權限；訪問控制（S3）－－1應授予不同帳戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系。應具有對重要信息資源設置敏感標記的功能；應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作；標準理解（1）應實現(xiàn)交易業(yè)務運作與技術支持之間的相互隔離，運維人員、業(yè)務人員、開發(fā)人員之間職責不得相互交叉；（2）應實現(xiàn)前臺業(yè)務操作、中臺業(yè)務管理以及后臺業(yè)務支持三者之間的隔離；安全審計（G3）標準要求應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全事件進行審計；應保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄；審計記錄的內容至少應包括事件的日期、時間、發(fā)起者信息、類型、描述和結果等；應提供對審計記錄數(shù)據進行統(tǒng)計、查詢、分析及生成審計報表的功能。標準理解（1）應用系統(tǒng)應能夠對每個業(yè)務用戶的關鍵操作提供記錄，例如增加用戶、修改用戶權限、刪除數(shù)據、修改數(shù)據等操作；（2）審計進程應作為應用系統(tǒng)整體進程中的一部分，并不能單獨中斷審計進程；剩余信息保護（S3）標準要求應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中；應保證系統(tǒng)內的文件、目錄和數(shù)據庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。標準理解（1）在會話結束后，應及時清除用戶身份認證信息。（2）“用戶鑒別信息”指用戶身份認證信息，一般有帳戶名、密碼、cookie等；（3）“完全清除”指使用專用的磁盤空間擦寫工具和內存釋放工具，保證在使用后的信息不被未授權人員獲得。通信完整性（S3）標準要求應采用密碼技術保證通信過程中數(shù)據的完整性。標準理解（1）是否采用密碼技術實現(xiàn)加密傳輸（2）對于部分簡單的系統(tǒng)，非正式的加密算法也可以認可。通信保密性（S3）標準要求在通信雙方建立連接之前，應用系統(tǒng)應利用密碼技術進行會話初始化驗證；應對通信過程中的整個報文或會話過程進行加密。標準理解（1）與外部組織機構建立通信連接之前，應用系統(tǒng)應利用密碼技術進行會話初始化驗證；（2）遠程通信時，應對整個報文或會話過程進行加密。抗抵賴（G3）

標準要求應具有在請求的情況下為數(shù)據原發(fā)者或接收者提供數(shù)據原發(fā)證據的功能；應具有在請求的情況下為數(shù)據原發(fā)者或接收者提供數(shù)據接收證據的功能。標準理解（1）應采用數(shù)字簽名技術實現(xiàn)發(fā)起者操作抗抵賴的功能；（2）應采用數(shù)字簽名技術實現(xiàn)接收者操作抗抵賴的功能；軟件容錯（A3）

標準要求應提供數(shù)據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據格式或長度符合系統(tǒng)設定要求；應提供自動保護功能，當故障發(fā)生時自動保護當前所有狀態(tài)，保證系統(tǒng)能夠進行恢復。標準理解（1）應用系統(tǒng)應該具有發(fā)生故障后的自我恢復功能，并保持最后一次成功操作的信息。（2）有效性檢測內容至少包括輸入數(shù)據格式、數(shù)值大小、數(shù)據類型、數(shù)據長度等；資源控制（A3）

標準要求當應用系統(tǒng)的通信雙方中的一方在一段時間內未作任何響應，另一方應能夠自動結束會話；應能夠對系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制；應能夠對單個帳戶的多重并發(fā)會話進行限制；應能夠對一個時間段內可能的并發(fā)會話連接數(shù)進行限制；應能夠對一個訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額；應能夠對系統(tǒng)服務水平降低到預先規(guī)定的最小值進行檢測和報警；應提供服務優(yōu)先級設定功能，并在安裝后根據安全策略設定訪問帳戶或請求進程的優(yōu)先級，根據優(yōu)先級分配系統(tǒng)資源。標準理解（1）用戶在登錄應用系統(tǒng)后在規(guī)定的時間內未執(zhí)行任何操作，則自動退出系統(tǒng)，并提示用戶“操作超時”；（2）系統(tǒng)上線前，應測試并設置應用系統(tǒng)的最大并發(fā)會話連接數(shù)。（3）不允許單個帳戶同時登錄。（4）可以不限定最小限額；（5）應用系統(tǒng)具有對可能導致占用大量資源的操作進行限制的功能；（6）應用系統(tǒng)的服務水平涉及到多個指標和專項測試，需要明確指標項；（7）應用系統(tǒng)的服務水平涉及到多個指標和專項測試，需要明確指標項。目錄（按第三級要求）物理安全網絡安全主機安全應用安全數(shù)據安全及備份恢復安全管理制度安全管理機構人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理數(shù)據完整性（S3）標準要求應能夠檢測到系統(tǒng)管理數(shù)據、鑒別信息和重要業(yè)務數(shù)據在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施；應能夠檢測到系統(tǒng)管理數(shù)據、鑒別信息和重要業(yè)務數(shù)據在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施。標準理解（1）應能夠檢測到鑒別信息和重要業(yè)務數(shù)據在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施；系統(tǒng)管理數(shù)據除外；（2）三項數(shù)據的存儲備份數(shù)據都需保證完整性。（3）在線數(shù)據中鑒別信息的存儲需要完整性保護。（4）在不嚴重影響主機性能的前提下，可以采用基于主機的完整性校驗軟件實現(xiàn)對運行環(huán)境中服務器磁盤中系統(tǒng)管理數(shù)據的完整性校驗（5）可以采用生產環(huán)境的系統(tǒng)管理數(shù)據與備份數(shù)據的HASH比對方式，去校驗備份數(shù)據的完整性。（6）鑒別信息在數(shù)據庫存儲時要求存放HASH值。數(shù)據保密性（S3）

標準要求應采用加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據、鑒別信息和重要業(yè)務數(shù)據傳輸保密性；應采用加密或其他保護措施實現(xiàn)系統(tǒng)管理數(shù)據、鑒別信息和重要業(yè)務數(shù)據存儲保密性。標準理解（1）通過公共網絡傳遞信息，應采取加密方式。內部遠程傳輸系統(tǒng)管理數(shù)據，也應采取加密方式。（2）系統(tǒng)管理數(shù)據和重要業(yè)務數(shù)據的備份數(shù)據以及鑒別信息應加密存儲。備份和恢復（A3）

標準要求應提供本地數(shù)據備份與恢復功能，完全數(shù)據備份至少每天一次，備份介質場外存放；應提供異地數(shù)據備份功能，利用通信網絡將關鍵數(shù)據定時批量傳送至備用場地；應采用冗余技術設計網絡拓撲結構，避免關鍵節(jié)點存在單點故障；應提供主要網絡設備、通信線路和數(shù)據處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。標準理解（1）交易業(yè)務的關鍵數(shù)據必須每日備份。（2）利用通信網絡將關鍵數(shù)據至少每天一次批量傳送至備用場地。（3）對網絡設備、通訊設備建立備份機制，有備機備件。（4）對重要的通訊線路有冗余備份線路（5）通信備份線路在發(fā)生故障時可以及時切換，不影響交易。目錄（按第三級要求）物理安全網絡安全主機安全應用安全數(shù)據安全及備份恢復安全管理制度安全管理機構人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理管理制度（G3）

標準要求應制定信息安全工作的總體方針和安全策略，說明機構安全工作的總體目標、范圍、原則和安全框架等；應對安全管理活動中的各類管理內容建立安全管理制度；應對要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；應形成由安全策略、管理制度、操作規(guī)程等構成的全面的信息安全管理制度體系。標準理解（1）建立一套全面的管理體系，體系是由制度來支撐的（2）具有重要管理操作的操作規(guī)程，如系統(tǒng)維護手冊和用戶操作規(guī)程等崗位設置（G3）

標準要求應設立信息安全管理工作的職能部門，設立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責；應設立系統(tǒng)管理員、網絡管理員、安全管理員等崗位，并定義各個工作崗位的職責；應成立指導和管理信息安全工作的委員會或領導小組，其最高領導由單位主管領導委任或授權；應制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求。標準理解（1）制定崗位責任書，明確每個人的責任（2）領導小組具有日常管理工作執(zhí)行情況的文件或工作記錄（3）相關人員是否具備相應的任職資格系統(tǒng)定級（G3）

標準要求應明確信息系統(tǒng)的邊界和安全保護等級；應以書面的形式說明確定信息系統(tǒng)為某個安全保護等級的方法和理由；應組織相關部門和有關安全技術專家對信息系統(tǒng)定級結果的合理性和正確性進行論證和審定；應確保信息系統(tǒng)的定級結果經過相關部門的批準。標準理解（1）根據系統(tǒng)信息安全級別和安全服務級別來確定最終的系統(tǒng)級別（2）對定級報告進行評審安全方案設計（G3）

標準要求應根據系統(tǒng)的安全保護等級選擇基本安全措施，并依據風險分析的結果補充和調整安全措施；應指定和授權專門的部門對信息系統(tǒng)的安全建設進行總體規(guī)劃，制定近期和遠期的安全建設工作計劃；應根據信息系統(tǒng)的等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃和詳細設計方案，并形成配套文件；應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件的合理性和正確性進行論證和審定，并且經過批準后，才能正式實施；應根據等級測評、安全評估的結果定期調整和修訂總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件。標準理解（1）整體解決方案，而不是解決某個點的問題（2）需要外部專家進行評審，評審后才可實施（3）定期調整，而不是一勞永逸安全產品采購和選型（G3）

標準要求應確保安全產品采購和使用符合國家的有關規(guī)定；應確保密碼產品采購和使用符合國家密碼主管部門的要求；應指定或授權專門的部門負責產品的采購；應預先對產品進行選型測試，確定產品的候選范圍，并定期審定和更新候選產品名單。標準理解（1）優(yōu)先選擇國產品牌（2）建立產品選型庫，并定期審定和更新系統(tǒng)備案（G3）

標準要求應指定專門的部門或人員負責管理系統(tǒng)定級的相關材料，并控制這些材料的使用；應將系統(tǒng)等級及相關材料報系統(tǒng)主管部門備案；應將系統(tǒng)等級及其他要求的備案材料報相應公安機關備案。標準理解（1）備案材料專人負責（2）到主管單位進行備案（3）到當?shù)毓膊块T進行備案等級測評（G3）

標準要求在系統(tǒng)運行過程中，應至少每年對系統(tǒng)進行一次等級測評，發(fā)現(xiàn)不符合相應等級保護標準要求的及時整改；應在系統(tǒng)發(fā)生變更時及時對系統(tǒng)進行等級測評，發(fā)現(xiàn)級別發(fā)生變化的及時調整級別并進行安全改造，發(fā)現(xiàn)不符合相應等級保護標準要求的及時整改；應選擇具有國家相關技術資質和安全資質的測評單位進行等級測評；應指定或授權專門的部門或人員負責等級測評的管理。標準理解（1）至少每年測試一次（2）系統(tǒng)變更時要重新測評（3）選擇有資質的測評單位監(jiān)控管理和安全管理中心（G3）

標準要求應對通信線路