等保測評3級-技術測評要求

技術測評要求(S3A3G3)

等級保護三級技術類測評掌握點(S3A3G3)序類別 測評內(nèi)容 測評方法 號物 機房和辦公場地應選擇在理 具有防震防風和防雨等能位 力的建筑內(nèi)〔G2〕 訪談，檢查。物理安全負責人機置 房，辦公場地，機房場地設計/驗收文的 檔。機房場地應避開設在建筑物的高層或地下室，選 以及用水設備的下層或隔壁?！睪3〕物擇理 機房出入口應安排專人值安 守掌握鑒別和記錄進入物全理 的人員〔G2〕 訪談，檢查。需進入機房的來訪人員應訪問制和監(jiān)控其活動范圍〔G2〕控應對機房劃分區(qū)域進展管制-

物理安全負責人，機房值守人員，機房，機房安全治理制度，值守記錄，進入機房的登記記錄，來訪人員進入機房的審批記錄。--等級保護三級技術類測評掌握點(S3A3G3)序類別 測評內(nèi)容 測評方法 號設置交付或安裝等過渡區(qū)〔G3〕重要區(qū)域應配置電子門禁〔G3〕應將主要設備放置在機房〔G2〕應將設備或主要部件進展防 固定并設置明顯的不易除盜 去的標記〔G2〕竊應將通信線纜鋪設在隱蔽和處，可鋪設在地下或管道防〔G2〕破 應對介質(zhì)分類標識存儲在壞 介質(zhì)庫或檔案室中〔G2〕應利用光電等技術設置機〔G3〕應對機房設置監(jiān)控報警系

訪談，檢查。物理安全負責人，機房維護人員，資產(chǎn)治理員，機房設施，設備治理制度文檔，通信線路布線文檔，報警設施的安裝測試/驗收報告。等級保護三級技術類測評掌握點(S3A3G3)序類別 測評內(nèi)容 測評方法 號〔G3〕機房建筑應設置避雷裝置?！睪2〕 訪談，檢查。防 物理安全負責人，應設置防雷保安器，防止感機房維護人員，機雷 房設施〔避雷裝置，〔G3〕擊機房應設置溝通電源地線?！睪2〕機房應設置火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火?！睪3〕防 機房及相關的工作房間和火 關心房應承受具有耐火等〔G3〕機房應實行區(qū)域隔離防火〔G3〕

溝通電源地線筑防雷設計/驗收文檔。訪談，檢查。物理安全負責人，機房值守人員，機房設施，機房安全治理制度，機房防火設計/驗收文檔，火災自動報警系統(tǒng)設計/驗收文檔。防 水管安裝不得穿過機房屋 訪談，檢查。等級保護三級技術類測評掌握點(S3A3G3)序類別 測評內(nèi)容 測評方法 號水 頂和活動地板下〔G2〕和 應實行措施防止雨水通過防 機房窗戶、屋頂和墻壁滲潮 透〔G2〕應實行措施防止機房內(nèi)水蒸氣結露和地下積水的轉(zhuǎn)〔G2〕應安裝對水敏感的檢測儀〔G3〕主要設備應承受必要的接防〔G2〕靜

物理安全負責人，機房維護人員，機房設施〔上下水裝置，除濕裝置筑防水和防潮設計/驗收文檔。訪談，檢查。機房應采用防靜電地板。施，防靜電設計/驗電 收文檔?！睪3〕溫 應設置溫濕度自動調(diào)整設

訪談，檢查。濕 施使機房溫濕度的變化房維護人員機房設施溫濕度掌握設計度 在設備運行所允許的范圍 /驗收文檔溫濕度控 之內(nèi)?！睪2〕

護記錄。等級保護三級技術類測評掌握點(S3A3G3)序類別 測評內(nèi)容 測評方法 號制應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備?！睪2〕應供給短期的備用電力供電

訪談，檢查。應至少滿足主要設備在斷房維護人員機房設力 〔供電線路，穩(wěn)壓電狀況下的正常運行要求。器，過電壓防護設供 備短期備用電源設〔G2〕應應設置冗余或并行的電力電纜線路為計算機系統(tǒng)供〔G3〕應建立備用供電系統(tǒng)〔G3〕應承受接地方式防止外界電 電磁干擾和設備寄生耦合磁 干擾〔G3〕

備，電力供給安全設計/驗收文檔，檢查和維護記錄。訪談，檢查。防 電源線和通信線纜應隔離 施，電磁防護設計/驗收文檔。護 鋪設避開相互干擾〔G2〕應對關鍵設備和磁介質(zhì)實等級保護三級技術類測評掌握點(S3A3G3)序類別 測評內(nèi)容 測評方法 號〔G3〕應保證主要網(wǎng)絡設備的業(yè)務處理力量具備冗余空間，滿足業(yè)務頂峰期需要〔G2〕應保證網(wǎng)絡各個局部的帶寬滿足業(yè)務頂峰期需要?！睪2〕應在業(yè)務終端與業(yè)務效勞 訪談，檢查，測試。網(wǎng)結器之間進展路由掌握建立 網(wǎng)絡治理員邊界和絡構〔G3〕安安

應繪制與當前運行狀況相 圖，網(wǎng)絡設計/驗收全全符的網(wǎng)絡拓撲構造圖〔G2〕應依據(jù)各部門的工作職能、重要性和所涉及信息的重和掌握的原則為各子網(wǎng)、〔G2〕

文檔。等級保護三級技術類測評掌握點(S3A3G3)序號應避開將重要網(wǎng)段部署在網(wǎng)絡邊界處且直接連接外號應避開將重要網(wǎng)段部署在網(wǎng)絡邊界處且直接連接外他網(wǎng)段之間實行牢靠的技〔G3〕應依據(jù)對業(yè)務效勞的重要次序來指定帶寬安排優(yōu)先的時候優(yōu)先保護重要主機?！睪3〕訪應在網(wǎng)絡邊界部署訪問掌握設備，啟用訪問掌握功〔G2〕問掌握應能依據(jù)會話狀態(tài)信息為數(shù)據(jù)流供給明確的允許/拒〔G2〕應對進出網(wǎng)絡的信息內(nèi)容訪談，檢查，測試。絡設備。等級保護三級技術類測評掌握點(S3A3G3)序類別 測評內(nèi)容 測評方法 號進展過濾，實現(xiàn)對應用層FTPTELNETSMTP、POP3等協(xié)議命令級的掌握?！睪3〕應在會話處于非活潑肯定時間或會話完畢后終止網(wǎng)〔G3〕應限制網(wǎng)絡最大流量數(shù)及〔G3〕重要網(wǎng)段應實行技術手段〔G3〕應按用戶和系統(tǒng)之間的允絕用戶對受控系統(tǒng)進展資〔G3〕應限制具有撥號訪問權限〔G2〕等級保護三級技術類測評掌握點(S3A3G3)序號應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設號應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設戶行為等進展日志記錄?！睪2〕安全審大事是否成功及其他與審〔G2〕計應能夠依據(jù)記錄數(shù)據(jù)進展分析，并生成審計報表?！睪3〕〔G3〕邊應能夠?qū)Ψ鞘跈嘣O備私自界聯(lián)到內(nèi)部網(wǎng)絡的行為進展完整〔G3〕訪談，檢查，測試。設備。訪談，檢查，測試。整性檢查設備。等級保護三級技術類測評掌握點(S3A3G3)序號性應能夠?qū)?nèi)部網(wǎng)絡用戶私號性應能夠?qū)?nèi)部網(wǎng)絡用戶私檢自聯(lián)到外部網(wǎng)絡的行為進查〔G3〕應在網(wǎng)絡邊界處監(jiān)視以下入侵效勞攻擊、緩沖區(qū)溢出攻防范擊、IP〔G2〕訪談，檢查，測試?！睪3〕攻擊源IP、攻擊類型、攻侵防范設備。嚴峻入侵大事時應供給報〔G3〕惡應在網(wǎng)絡邊界處對惡意代訪談，檢查。意〔G3〕代應維護惡意代碼庫的升級等級保護三級技術類測評掌握點(S3A3G3)序類別 測評內(nèi)容 測評方法 號碼 和檢測系統(tǒng)的更〔G3〕 防范應對登錄網(wǎng)絡設備的用戶〔G2〕應對網(wǎng)絡設備的治理員登〔G2〕網(wǎng)絡設備用戶的標識應唯網(wǎng)〔G2〕絡主要網(wǎng)絡設備應對同一用 訪談，檢查，測試。設戶選擇兩種或兩種以上組 網(wǎng)絡治理員邊界和備合的鑒別技術來進展身份防〔G3〕護身份鑒別信息應具有不易度要求并定期更換〔G2〕應具有登錄失敗處理功能，

網(wǎng)絡設備。等級保護三級技術類測評掌握點(S3A3G3)序類別 測評內(nèi)容 測評方法 號登錄次數(shù)和當網(wǎng)絡登錄連接超時自動退出等措施。〔G2〕當對網(wǎng)絡設備進展遠程治理鑒別信息在網(wǎng)絡傳輸過程〔G2〕應實現(xiàn)設備特權用戶的權〔G3〕應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進展身份標〔G2〕主身操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管機份理用戶身份標識應具有不安鑒全別簡單度要求并定期更換。〔G2〕應啟用登錄失敗處理功能，

訪談，檢查，測試。據(jù)庫治理系統(tǒng)文檔。等級保護三級技術類測評掌握點(S3A3G3)序號登錄次數(shù)和自動退出等措號登錄次數(shù)和自動退出等措〔G2〕當對效勞器進展遠程治理鑒別信息在網(wǎng)絡傳輸過程〔G2〕應為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶安排不同的〔G2〕應承受兩種或兩種以上組合的鑒別技術對治理用戶〔G3〕訪問控安全策略掌握用戶對資源〔G2〕訪談，檢查。制應依據(jù)治理用戶的角色分等級保護三級技術類測評掌握點(S3A3G3)序類別 測評內(nèi)容 測評方法 號〔G3〕應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶的權限分別?！睪2〕應嚴格限制默認帳戶的訪〔G2〕帳戶，避開共享帳戶的存〔G2〕應對重要信息資源設置敏〔G3〕應依據(jù)安全策略嚴格掌握用戶對有敏感標記重要信〔G3〕

系統(tǒng)文檔。等級保護三級技術類測評掌握點(S3A3G3)序號審計范圍應掩蓋到效勞器和重要客戶端上的每個操號審計范圍應掩蓋到效勞器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶。〔G2〕審計內(nèi)容應包括重要用戶和重要系統(tǒng)命令的使用等安全系統(tǒng)內(nèi)重要的安全相關事〔G3〕訪談，檢查，測試。審審計記錄應包括大事的日計重要終端操作系統(tǒng)?！睪2〕應能夠依據(jù)記錄數(shù)據(jù)進展分析，并生成審計報表?！睪3〕〔G3〕等級保護三級技術類測評掌握點(S3A3G3)序類別 測評內(nèi)容 測評方法 號〔G2〕應保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在剩余配給其他用戶前得到完全 訪談，檢查。信息在硬盤上還是在內(nèi)存中。?！睪3〕護

系統(tǒng)維護/操作手〔和數(shù)據(jù)庫記錄等資源所在G3〕安排給其他用戶前得到完〔G3〕入 應能夠檢測到對重要效勞侵 器進展入侵的行為能夠記防 錄入侵的源IP、攻擊的類范 型攻擊的目的攻擊的時

維護/操作手冊。訪談，檢查。操作系統(tǒng)。等級保護三級技術類測評掌握點(S3A3G3)序類別 測評內(nèi)容 測評方法 號〔G3〕應能夠?qū)χ匾绦虻耐暾允艿狡茐暮缶哂谢謴汀睪3〕操作系統(tǒng)應遵循最小安裝級效勞器等方式保持系統(tǒng)〔G2〕惡準時更防惡意代碼軟件意〔G2〕代主機防惡意代碼產(chǎn)品應具碼有與網(wǎng)絡防惡意代碼產(chǎn)品防〔G3〕范應支持防惡意代碼的統(tǒng)一

訪談，檢查。安全治理員，效勞意代碼產(chǎn)品。等級保護三級技術類測評掌握點(S3A3G3)序類別 測評內(nèi)容 測評方法 號〔G2〕應通過設定終端接入方式、網(wǎng)絡地址范圍等條件限制〔G2〕應依據(jù)安全策略設置登錄終端的操作超時鎖定〔G2〕應對重要效勞器進展監(jiān)視，資包括監(jiān)視效勞器的CPU、硬源控〔G3〕應限制單個用戶對系統(tǒng)資源的最大或最小使用限度。應限制單個用戶對系統(tǒng)資源的最大或最小使用限度?！睪2〕應能夠?qū)ο到y(tǒng)的效勞水平降低到預先規(guī)定的最小值〔G3〕應身應供給專用的登錄掌握模訪談，檢查，測試。用份塊對登錄用戶進展身份標

訪談，檢查。效勞器操作系統(tǒng)。等級保護三級技術類測評掌握點(S3A3G3)序類別 測評內(nèi)容 測評方法 號安鑒〔G2〕用系統(tǒng)，設計/驗收全別應對同一用戶承受兩種或兩種以上組合的鑒別技術〔G3〕文檔，操作規(guī)程。應供給用戶身份標識唯一和鑒別信息簡單度檢查功〔G2〕應供給登錄失敗處理功能，登錄次數(shù)和自動退出等措〔G2〕鑒別信息簡單度檢查以及安全策略配置相關參數(shù)。等級保護三級技術類測評掌握點(S3A3G3)序類別 測評內(nèi)容 測評方法 號〔G2〕安全策略掌握用戶對文件、數(shù)據(jù)庫表等客體的訪問。〔G2〕訪問掌握的掩蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作。訪〔G2〕問

訪談，檢查，測試。應由授權主體配置訪問控 應用系統(tǒng)治理員應控制〔G2〕應授予不同帳戶為完成各自擔當任務所需的最小權〔G2〕應具有對重要信息資源設〔G3〕

用系統(tǒng)。等級保護三級技術類測評掌握點(S3A3G3)序號應依據(jù)安全策略嚴格掌握用戶對有敏感標記重要信號應依據(jù)安全策略嚴格掌握用戶對有敏感標記重要信〔G3〕應供給掩蓋到每個用戶的重要安全大事進展審計。〔G2〕應保證無法單獨中斷審計安全〔G2〕訪談，檢查，測試。審計審計記錄的內(nèi)容至少應包審計員，應用系統(tǒng)?！睪2〕應供給對審計記錄數(shù)據(jù)進〔G3〕剩應保證用戶鑒別信息所在訪談，檢查，測試。等級保護三級技術類測評掌握點(S3A3G3)序類別 測評內(nèi)容 測評方法 號余 的存儲空間被釋放或再分 應用系統(tǒng)治理員設信 配給其他用戶前得到完全息 去除無論這些信息是存放保 在硬盤上還是在內(nèi)存中。護 〔G3〕〔 G3 和數(shù)據(jù)庫記錄等資源所在〕的存儲空間被釋放或重安排給其他用戶前得到完〔G3〕通信應承受密碼技術保證通信完過程中數(shù)據(jù)的完整性〔G2〕整性

計/驗收文檔。訪談，檢查，測試。/驗收文檔。通信應用系統(tǒng)應利用密碼技術安全治理員，應用系保進展會話初始化驗證〔G2〕等級保護三級技術類測評掌握點(S3A3G3)序類別 測評內(nèi)容 測評方法 號密 應對通信過程中的整個報性 文或會話過程進展加密?！睪3〕抗 應具有在懇求的狀況下為抵 數(shù)據(jù)原發(fā)者或接收者供給賴 數(shù)據(jù)原發(fā)證據(jù)的功能〔G3〕〔 應具有在懇求的狀況下為G3 數(shù)據(jù)原發(fā)者或接收者供給〕 數(shù)據(jù)接收證據(jù)的功能〔G3〕應供給數(shù)據(jù)有效性檢驗功或通過通信接口輸入的數(shù)軟

〔證書〕。訪談，檢查，測試。統(tǒng)。據(jù)格式或長度符合系統(tǒng)設 訪談，檢查，測試。件〔G2〕容錯障發(fā)生時自動保護當前所〔G3〕

用系統(tǒng)。等級保護三級技術類測評掌握點(S3A3G3)序號當應用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作號當應用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作〔G2〕應能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進展限制〔G2〕應能夠?qū)蝹€帳戶的多重資〔G2〕源控制應能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進展〔G3〕應能夠?qū)σ粋€訪問帳戶或一個懇求進程占用的資源安排最大限額和最小限額?！睪3〕應能夠?qū)ο到y(tǒng)效勞水平降低到預先規(guī)定的最小值進〔G3〕訪談，檢查，測試。用系統(tǒng)。等級保護三級技術類測評掌握點(S3A3G3)序類別 測評內(nèi)容 測評方法 號數(shù)據(jù)數(shù)據(jù)安全完及備整份恢復 性

應供給效勞優(yōu)先級設定功略設定訪問帳戶或懇求進〔G3〕應能夠檢測到系統(tǒng)治理數(shù)據(jù)在傳輸過程中完整性受 訪談，檢查。到破壞并在檢測到完整性系統(tǒng)治理員網(wǎng)絡管錯誤時實行必要的恢復措 理員，安全治理員，施〔G3〕 數(shù)據(jù)庫治理員應用應能夠檢測到系統(tǒng)治理數(shù) 系統(tǒng)，設計/驗收文據(jù)鑒別信息和重要業(yè)務數(shù)檔相關證明性材料據(jù)在存儲過程中完整性受 〔如證書檢驗報告錯誤時實行必要的恢復措