2024網(wǎng)絡(luò)護(hù)安全等級(jí)保二級(jí)系統(tǒng)基要求規(guī)范本

參考文 依據(jù)《金融行業(yè)網(wǎng)絡(luò)安全等級(jí)護(hù)實(shí)施指引第2部分：基本要求》（JR/T0071.2—2020），結(jié)合本行實(shí)際，制定本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)規(guī)范了網(wǎng)絡(luò)安全保障框架和網(wǎng)絡(luò)安全等級(jí)保護(hù)二級(jí)系統(tǒng)的安全要求，適用于指導(dǎo)本行實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)工作。GB/T31168—2014信息安全技術(shù)云計(jì)算服務(wù)安全能力要求JR/T0071.2—2020金融行業(yè)網(wǎng)絡(luò)安全等級(jí)護(hù)實(shí)施指引第2定級(jí)系統(tǒng)classified注1注2：改寫GB/T25070—2019，定義3.2安全保護(hù)能力securityprotection[GB/T22239—2019，3.2]由安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和（或）安全管理中心構(gòu)成的對(duì)定級(jí)系統(tǒng)進(jìn)行安全保護(hù)的環(huán)境。[GB/T25070—2019，安全計(jì)算環(huán)境securitycomputing[GB/T25070—2019，3.4]安全區(qū)域邊界securityarea[GB/T25070—2019，安全通信網(wǎng)絡(luò)securitycommunication[GB/T25070—2019，3.6]安全管理中心securitymanagement[GB/T25070—2019，對(duì)相同或不同等級(jí)的定級(jí)系統(tǒng)之間互聯(lián)的安全策略及安全互聯(lián)部件上的安全機(jī)制實(shí)施統(tǒng)一管理的平臺(tái)或區(qū)域。[GB/T25070—2019，定級(jí)系統(tǒng)互聯(lián)classifiedsystem通過網(wǎng)絡(luò)訪問可擴(kuò)展的、靈活的物理或虛擬共享資源池，并按需自助獲取和管理資源的模式。注：資源實(shí)例包括服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)、軟件、應(yīng)用和存儲(chǔ)設(shè)備等。[GB/T31167—2014，定義3.1]cloud[GB/T32400—2015，3.2.8][GB/T31167—2014，3.3][GB/T31168—2014，3.4]cloudcomputing[GB/T22239—2019，3.6]community式服務(wù)模式。virtual通過各種虛擬化技術(shù)，為用戶提供的與原有物理服務(wù)器相同的操作系統(tǒng)和應(yīng)用程序運(yùn)行環(huán)境的統(tǒng)注：resource[GB/T22239—2019sensitive個(gè)人金融信息personalfinancial注：個(gè)人金融信息包括賬戶信息、鑒別信息、金融交易信息、個(gè)人身份信息、財(cái)產(chǎn)信息、借貸信息及其他反映特定個(gè)人某些情況的信息。personalfinancialinformationmobilemobile無線接入設(shè)備wirelessaccess無線接入網(wǎng)關(guān)wirelessaccess移動(dòng)應(yīng)用軟件mobilemobiledevicemanagement將感知節(jié)點(diǎn)設(shè)備（含RFID）網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備gateway將感知節(jié)點(diǎn)設(shè)備所采集的數(shù)據(jù)傳輸?shù)綌?shù)據(jù)處理中心的關(guān)鍵出口，連接傳統(tǒng)信息網(wǎng)絡(luò)（有線網(wǎng)、移動(dòng)網(wǎng)等）和傳感網(wǎng)的設(shè)備。注：簡單的感知層網(wǎng)關(guān)只是對(duì)感知數(shù)據(jù)的轉(zhuǎn)發(fā)（因電力充足），而智能的感知層網(wǎng)關(guān)可以包括對(duì)數(shù)據(jù)感知節(jié)點(diǎn)設(shè)備sensor物聯(lián)網(wǎng)系統(tǒng)的最終端設(shè)備或器件，能夠通過有線、無線方式發(fā)起或終結(jié)通信，采集物理信息和/注：感知節(jié)點(diǎn)設(shè)備也叫感知終端設(shè)備（endsensor）、終端感知節(jié)點(diǎn)設(shè)備（endsensornode）sensorlayer動(dòng)態(tài)口令one-time-password（OTP）；dynamic合interfaceAP：無線訪問接入點(diǎn)（WirelessAccessAPI：應(yīng)用程序編程接口（ApplicationProgrammingInterface）DDoS：分布式拒絕服務(wù)攻擊（DistributedDenialofDoS：拒絕服務(wù)（DenialofService）IP：互聯(lián)網(wǎng)協(xié)議（InternetProtocol）RFID：射頻識(shí)別（RadioFrequencyIdentification）SQL：結(jié)構(gòu)化查詢語言（StructuredQueryLanguage）WPS：WiFi保護(hù)設(shè)置（WiFiProtectedSetup）XSS：跨站腳本攻擊（Cross-Site等級(jí)保護(hù)對(duì)象是指網(wǎng)絡(luò)安全等級(jí)保護(hù)工作中的對(duì)象，通常是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備絡(luò)、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺(tái)/資源、物聯(lián)網(wǎng)和采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等。等級(jí)保護(hù)對(duì)象根據(jù)民、法人和其他組織的合法權(quán)益的危害程度等，由低到高被劃分為五個(gè)安全保護(hù)等級(jí)。等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)確定方法見GB/T22240—2020能。第二級(jí)安全保護(hù)能力：應(yīng)能夠防護(hù)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻第四級(jí)安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)免受來自國家級(jí)別的、敵對(duì)組織的、擁有豐富資時(shí)發(fā)現(xiàn)、監(jiān)測(cè)發(fā)現(xiàn)攻擊行為和安全事件，在自身遭到損害后，能夠迅速恢復(fù)所有功能。由于業(yè)務(wù)目標(biāo)的不同、使用技術(shù)的不同、應(yīng)用場(chǎng)景的不同等因素，不同的等級(jí)保護(hù)對(duì)象會(huì)以不同的形態(tài)出現(xiàn)，表現(xiàn)形式可能稱之為基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)（包含采用移動(dòng)互聯(lián)等技術(shù)的系統(tǒng)）、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)平臺(tái)/系統(tǒng)、物聯(lián)網(wǎng)系統(tǒng)等。形態(tài)不同的等級(jí)保護(hù)對(duì)象面臨的威脅有所不同，安全保護(hù)需求也求分為安全通用要求和安全擴(kuò)展要求。安全通用要求針對(duì)共性化保護(hù)需求提出，等級(jí)保護(hù)對(duì)象無論以何種形式出現(xiàn)，應(yīng)根據(jù)安全保護(hù)等級(jí)實(shí)現(xiàn)相應(yīng)級(jí)別的安全通用要求；安全擴(kuò)展要求針對(duì)個(gè)性化保護(hù)需求提出，需要根據(jù)安全保護(hù)等級(jí)和使用的特定技術(shù)或特定的應(yīng)用場(chǎng)景選擇性實(shí)現(xiàn)安全擴(kuò)展要求。安全通用要求和安全擴(kuò)展要求共同構(gòu)成了對(duì)等級(jí)保護(hù)對(duì)象的安全要求。定的基礎(chǔ)上對(duì)等級(jí)保護(hù)要求進(jìn)行補(bǔ)充和完善，F(xiàn)2表示二級(jí)增強(qiáng)性安全要求，F(xiàn)3表示三級(jí)增強(qiáng)性安全要求，F(xiàn)4表示四級(jí)增強(qiáng)性安全要求。障總體框架，如圖1所示。金融行業(yè)網(wǎng)絡(luò)安全保障總體框架包含兩項(xiàng)要求和兩個(gè)體系，遵循技管交互、綜合保障的原則。兩項(xiàng)要求指由技術(shù)要求和管理要求綜合形成的保障要求，技術(shù)要求涉及安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心五方面要求；管理要求涉及安全管理制度、安全管理機(jī)兩個(gè)體系指由技術(shù)體系和管理體系綜合形成的保障體系。技術(shù)體系以“一個(gè)中心，三重防護(hù)”為核心進(jìn)四個(gè)過程進(jìn)行科學(xué)化的管理，通過循環(huán)改進(jìn)的思路形成“生命環(huán)”的管理方法。技管交互指技術(shù)要求與管理要求的交融以及技術(shù)體系與管理體系的互補(bǔ)，從安全保障要求和安全保障綜合保障指該框架通過對(duì)保障要求和保障方法的綜合考慮，通過技術(shù)與管理的有效結(jié)合，在遵循國家金融行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求結(jié)合GB/T25070—2019中的安全域模型，將“安全域縱深防護(hù)”“多層次立體防御”和“網(wǎng)絡(luò)安全等級(jí)保護(hù)”等安全防護(hù)思想相結(jié)合，建立金融行業(yè)網(wǎng)絡(luò)安全保障技術(shù)體系模型。依據(jù)金融行業(yè)的組織結(jié)構(gòu)、網(wǎng)絡(luò)架構(gòu)將每個(gè)機(jī)構(gòu)作為一個(gè)整體保護(hù)對(duì)象，設(shè)計(jì)金融機(jī)構(gòu)網(wǎng)絡(luò)安全保障框架，如圖2所示，總部和各個(gè)分支機(jī)構(gòu)都是獨(dú)立的安全域，每個(gè)安全域又細(xì)分安全計(jì)算環(huán)境域、安通過劃分安全域的方法，將金融行業(yè)等級(jí)保護(hù)對(duì)象按照業(yè)務(wù)流程及特點(diǎn)、重要程度和不同層面劃分為的關(guān)鍵資產(chǎn)，分析所存在的安全隱患和面臨的安全風(fēng)險(xiǎn)，然后給出相應(yīng)的保護(hù)措施，從而建立縱深防御體系，實(shí)現(xiàn)深度防護(hù)的目標(biāo)。安全計(jì)算環(huán)境包含保障終端安全、服務(wù)器操作系統(tǒng)安全、網(wǎng)絡(luò)設(shè)備安全、數(shù)據(jù)庫安全、上層應(yīng)用系統(tǒng)安全以及應(yīng)用業(yè)務(wù)處理全過程的安全等。通過在操作系統(tǒng)核心層設(shè)置以訪問控制為主體的系統(tǒng)安全機(jī)制，免遭惡意破壞提供支撐和保障。安全區(qū)域邊界指通過對(duì)進(jìn)入和流出應(yīng)用環(huán)境的信息流進(jìn)行安全檢查和訪問控制，確保不會(huì)有違背系統(tǒng)安全策略的信息流經(jīng)過邊界。不同定級(jí)對(duì)象之間存在業(yè)務(wù)互聯(lián)和數(shù)據(jù)互聯(lián)，但是不同定級(jí)對(duì)象間存在安全級(jí)別、安全風(fēng)險(xiǎn)不同的情況，安全區(qū)域邊界必須確保不同等級(jí)對(duì)象之間的可信互聯(lián)，必須基于較高級(jí)別對(duì)象或安全域的安全防護(hù)要求設(shè)置可信互聯(lián)安全策略，通過對(duì)不同等級(jí)對(duì)象之間的可信互聯(lián)進(jìn)行嚴(yán)格約束，會(huì)被竊聽、篡改和破壞。安全支撐設(shè)施對(duì)計(jì)算環(huán)境、區(qū)域邊界和通信網(wǎng)絡(luò)實(shí)施統(tǒng)一的安全策略管理，確保系統(tǒng)配置完整可信，用戶操作權(quán)限嚴(yán)格劃分和審計(jì)全程追蹤，從功能上可細(xì)分為系統(tǒng)管理、安全管理、審計(jì)管理以及物理支撐設(shè)施管理等，各管理員職責(zé)和權(quán)利明確，相互制約?？椉軜?gòu)和各項(xiàng)安全管理制度，配備相應(yīng)的安全管理人員。其次通過對(duì)制度的執(zhí)行，提高網(wǎng)絡(luò)安全保障能3所示。可對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，并根據(jù)各區(qū)域特點(diǎn)提出相應(yīng)的訪問控制要求。施實(shí)行全面監(jiān)控，視頻監(jiān)控記錄和門禁系統(tǒng)出入記錄至少保存3個(gè)月。防機(jī)房內(nèi)部通道設(shè)置、裝修裝飾材料、設(shè)備線纜等應(yīng)滿足消防要求，并對(duì)機(jī)房進(jìn)行消防驗(yàn)收。機(jī)房重要區(qū)域、重要設(shè)備應(yīng)提供UPS供電。段可基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)應(yīng)對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/應(yīng)能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)垃圾郵件進(jìn)行檢測(cè)和防護(hù)，并維護(hù)垃圾郵件防護(hù)機(jī)制的升級(jí)和更新?？苫诳尚鸥鶎?duì)邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，靜態(tài)口令應(yīng)在8字、符號(hào)等混合組成并定期更換。應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶或預(yù)設(shè)賬戶的默認(rèn)口令。用權(quán)限等。6個(gè)月。求應(yīng)能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。所有安全計(jì)算環(huán)境設(shè)備應(yīng)全部專用化，不得進(jìn)行與業(yè)務(wù)不相關(guān)的操作?？苫诳尚鸥鶎?duì)計(jì)算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心。應(yīng)采用校驗(yàn)技術(shù)保證重要數(shù)據(jù)在傳輸和存儲(chǔ)過程中的完整性。應(yīng)采用加密或其他保護(hù)措施保證鑒別信息在傳輸和存儲(chǔ)過程中的保密性。應(yīng)保證操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)用戶鑒別信息所在的存儲(chǔ)空間被釋放或重新分配前得到完全清除，無論這些信息是存放在硬盤上還是內(nèi)存中。（F2）體的同意。（F2）應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個(gè)人金融信息。關(guān)操作權(quán)限，應(yīng)禁止未授權(quán)訪問和非法使用用戶個(gè)人金融信息。金融機(jī)構(gòu)應(yīng)依據(jù)JR/T0171—2020整個(gè)過程進(jìn)行管理與控制，并對(duì)個(gè)人金融信息生命周期過程進(jìn)行安全檢查與評(píng)估。ATM設(shè)備、自助終端設(shè)備、紙面（如受理終端打印出的支付交易憑條等交易憑證）等界面展示的個(gè)人金融信息，應(yīng)采取字段屏蔽（或截詞）等處理措施，降低個(gè)人金融信息在展示環(huán)節(jié)的泄露風(fēng)險(xiǎn)。（F2）能力，并事先征得個(gè)人金融信息主體明示同意，共享、轉(zhuǎn)讓經(jīng)去標(biāo)識(shí)化處理的個(gè)人金融信息，且確保數(shù)據(jù)（F2）融信息，賬號(hào)、卡號(hào)、協(xié)議號(hào)、支付指令等測(cè)試確需除外。應(yīng)每月對(duì)設(shè)備的配置文件進(jìn)行備份，發(fā)生變動(dòng)時(shí)應(yīng)及時(shí)備份。應(yīng)定期對(duì)設(shè)備運(yùn)行狀況進(jìn)行監(jiān)測(cè)。應(yīng)定期檢驗(yàn)設(shè)備的軟件版本信息，并留存記錄。應(yīng)提供數(shù)據(jù)備份與恢復(fù)功能，增量數(shù)據(jù)備份至少每天一次。等理制度。應(yīng)定期對(duì)安全管理制度的合理性和適用性進(jìn)行論證和審定，對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。責(zé)本單位和轄內(nèi)的網(wǎng)絡(luò)安全管理。門的網(wǎng)絡(luò)安全管理工作。安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人等，對(duì)系統(tǒng)投入運(yùn)行、系統(tǒng)變（如敏感數(shù)據(jù)等資源）的訪問等關(guān)鍵活動(dòng)應(yīng)執(zhí)行審批過程。（F2）技部門備案，金融機(jī)構(gòu)總部網(wǎng)絡(luò)安全管理人員在總部科技部門備案。工作。備應(yīng)制定安全教育和培訓(xùn)計(jì)劃。每年應(yīng)至少對(duì)網(wǎng)絡(luò)安全管理人員進(jìn)行一次網(wǎng)絡(luò)安全培訓(xùn)。操作，不得復(fù)制和泄露金融機(jī)構(gòu)的任何信息。各機(jī)構(gòu)購置掃描、檢測(cè)類網(wǎng)絡(luò)安全產(chǎn)品應(yīng)報(bào)本機(jī)構(gòu)科技主管部門批準(zhǔn)、備案。掃描、檢測(cè)類網(wǎng)絡(luò)安全產(chǎn)品應(yīng)僅限于本機(jī)構(gòu)網(wǎng)絡(luò)安全管理人員或經(jīng)主管領(lǐng)導(dǎo)授權(quán)的技術(shù)人員使用。（F2）應(yīng)急措施并按規(guī)定程序報(bào)告。應(yīng)定期對(duì)各類網(wǎng)絡(luò)安全產(chǎn)品產(chǎn)生的日志和報(bào)表進(jìn)行備份存檔。固定資產(chǎn)報(bào)廢審批程序處理。中使用。應(yīng)確保開發(fā)人員和測(cè)試人員分離，開發(fā)人員不能兼任系統(tǒng)管理員或業(yè)務(wù)操作人員，確保測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制。（F2）在的惡意代碼進(jìn)行檢測(cè)。應(yīng)在軟件交付前檢測(cè)其中可能存在的惡意代碼。b)南應(yīng)要求外包服務(wù)商保留操作痕跡、記錄完整的日志，相關(guān)內(nèi)容和保存期限應(yīng)滿足事件分析、安全取證、獨(dú)立審計(jì)和監(jiān)督檢查需要。（F2）應(yīng)禁止外包服務(wù)商轉(zhuǎn)包并嚴(yán)格控制分包，保證外包服務(wù)水平。應(yīng)定期對(duì)外包服務(wù)活動(dòng)和外包服務(wù)商的服務(wù)能力進(jìn)行審核和評(píng)估。試驗(yàn)收結(jié)果，形成測(cè)試驗(yàn)收?qǐng)?bào)告。對(duì)于在生產(chǎn)系統(tǒng)上進(jìn)行的測(cè)試工作，應(yīng)先進(jìn)行風(fēng)險(xiǎn)分析和告知，同時(shí)制定詳細(xì)的系統(tǒng)測(cè)試方案、數(shù)據(jù)備份與系統(tǒng)恢復(fù)措施、應(yīng)急處置措施后，經(jīng)主管領(lǐng)導(dǎo)審批后開展測(cè)試工作，以確保生產(chǎn)系統(tǒng)的安全。（F2）安全技術(shù)措施和核心安全功能設(shè)計(jì)對(duì)外公開。應(yīng)評(píng)估服務(wù)供應(yīng)商的資質(zhì)、經(jīng)營行為、業(yè)績、服務(wù)體系和服務(wù)品質(zhì)等要素。務(wù)機(jī)房布線應(yīng)做到跳線整齊，跳線與配線架統(tǒng)一編號(hào)，標(biāo)記清晰。進(jìn)出機(jī)房人員應(yīng)經(jīng)主管部門審批同意后，由機(jī)房管理員陪同進(jìn)入。機(jī)房管理員應(yīng)經(jīng)過相關(guān)培訓(xùn)，掌握機(jī)房各類設(shè)備的操作要領(lǐng)。應(yīng)定期對(duì)機(jī)房設(shè)施進(jìn)行維修保養(yǎng)，加強(qiáng)對(duì)易損、易失效設(shè)備或部件的維護(hù)保養(yǎng)。機(jī)房出入口和內(nèi)部應(yīng)安裝7*24小時(shí)錄像監(jiān)控設(shè)施，錄像至少保存3個(gè)月。機(jī)房應(yīng)設(shè)置弱電井或橋架，并留有可擴(kuò)展空間。所有數(shù)據(jù)備份介質(zhì)應(yīng)防磁、防潮、防塵、防高溫、防擠壓存放。將文檔轉(zhuǎn)借、復(fù)制或?qū)ν夤_，如是電子文檔則應(yīng)進(jìn)行電子化審批流轉(zhuǎn)登記管理。對(duì)載有敏感信息存儲(chǔ)介質(zhì)的銷毀，應(yīng)報(bào)有關(guān)部門備案，由科技部門進(jìn)行信息消除、消磁或物理粉碎等銷毀處理，并做好相應(yīng)的銷毀記錄；信息消除處理僅限于存儲(chǔ)介質(zhì)仍將在金融機(jī)構(gòu)內(nèi)部使用的情況，否則應(yīng)進(jìn)行信息的不可恢復(fù)性銷毀。（F2）應(yīng)制定移動(dòng)存儲(chǔ)介質(zhì)使用規(guī)范，并定期核查移動(dòng)存儲(chǔ)介質(zhì)的使用情況。應(yīng)定期對(duì)主要備份業(yè)務(wù)數(shù)據(jù)進(jìn)行恢復(fù)驗(yàn)證，根據(jù)介質(zhì)使用期限及時(shí)轉(zhuǎn)儲(chǔ)數(shù)據(jù)。應(yīng)對(duì)各種設(shè)備（包括備份和冗余設(shè)備）新購置的設(shè)備應(yīng)經(jīng)過驗(yàn)收，驗(yàn)收合格后方能投入使用。應(yīng)制定設(shè)備管理規(guī)范，落實(shí)設(shè)備使用者的安全保護(hù)責(zé)任。性銷毀處理；信息消除處理僅限于廢止設(shè)備仍將在金融機(jī)構(gòu)內(nèi)部使用的情況，否則應(yīng)進(jìn)行信息的不可恢復(fù)性銷毀。（F2）議，與密碼設(shè)備配套使用的設(shè)備送修前應(yīng)請(qǐng)生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息。（F2）應(yīng)制定規(guī)范化的故障處理流程，建立詳細(xì)的故障日志（處理結(jié)果和處理人員等內(nèi)容）。響后進(jìn)行修補(bǔ)。應(yīng)詳細(xì)記錄運(yùn)維操作日志，包括日常巡檢工作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容。應(yīng)對(duì)網(wǎng)絡(luò)環(huán)境運(yùn)行狀態(tài)進(jìn)行巡檢，保留記錄，并由操作人員和復(fù)核人員確認(rèn)。構(gòu)科技主管部門核準(zhǔn)，任何機(jī)構(gòu)不得自行與外部機(jī)構(gòu)實(shí)施網(wǎng)間互聯(lián)。進(jìn)行遠(yuǎn)程訪問的，應(yīng)由訪問發(fā)起機(jī)構(gòu)科技部門核準(zhǔn)，提請(qǐng)被訪問機(jī)構(gòu)科技部門（崗）開啟遠(yuǎn)程訪問服務(wù)，并采取單列賬戶、最小權(quán)限分配、及時(shí)關(guān)閉遠(yuǎn)程訪問服務(wù)等安全防護(hù)措施。（F2）描，檢測(cè)、掃描結(jié)果屬敏感信息，未經(jīng)授權(quán)不得對(duì)外公開，未經(jīng)科技主管部門授權(quán)，任何外部機(jī)構(gòu)與人員不得檢測(cè)或掃描機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)。（F2）統(tǒng)數(shù)據(jù)庫進(jìn)行技術(shù)維護(hù)性操作的，應(yīng)征得業(yè)務(wù)部門審批，并詳細(xì)記錄維護(hù)信息過程。每年應(yīng)至少進(jìn)行一次漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)。等應(yīng)對(duì)惡意代碼防范要求作出規(guī)定，包括防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級(jí)、惡意代碼的定期查殺等?？蛻舳藨?yīng)統(tǒng)一安裝病毒防治軟件，設(shè)置用戶口令和屏幕保護(hù)口令等安全防護(hù)措施，確保及時(shí)更新病毒特征碼并安裝必要的補(bǔ)丁程序。（F2）補(bǔ)丁信息、各個(gè)設(shè)備或軟件組件的配置參數(shù)等。密鑰管理人員應(yīng)是本機(jī)構(gòu)在編的正式員工。系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、業(yè)務(wù)操作人員均應(yīng)設(shè)置口令密碼，并定期更換，口令密碼的強(qiáng)度應(yīng)滿足不同安全性要求。（F2）應(yīng)支持各類環(huán)境中密碼設(shè)備使用、管理權(quán)限分離。施蹤。質(zhì)。應(yīng)建立災(zāi)難恢復(fù)計(jì)劃，定期開展災(zāi)難恢復(fù)培訓(xùn)，并根據(jù)實(shí)際情況進(jìn)行災(zāi)難恢復(fù)演練。其他部門或者個(gè)人不得隨意接受新聞媒體采訪或?qū)ν獍l(fā)表個(gè)人看法。應(yīng)急資源，明確具體應(yīng)急處置聯(lián)絡(luò)人，并將具體聯(lián)系方式上報(bào)本行業(yè)網(wǎng)絡(luò)安全監(jiān)管部門。應(yīng)定期對(duì)原有的應(yīng)急預(yù)案重新評(píng)估，修訂完善。析、安全取證、獨(dú)立審計(jì)和監(jiān)督檢查需要。應(yīng)制定數(shù)據(jù)中心外包服務(wù)應(yīng)急計(jì)劃，應(yīng)對(duì)外包服務(wù)商破產(chǎn)、不可抗力或其他潛在問題導(dǎo)致服務(wù)中斷或服務(wù)水平下降的情形，支持?jǐn)?shù)據(jù)中心連續(xù)、可靠運(yùn)行。（F2）7.2.4.3

應(yīng)確保云服務(wù)客戶數(shù)據(jù)、用戶個(gè)人信息等存儲(chǔ)于中國境內(nèi)，如需出境應(yīng)遵循國家相關(guān)規(guī)定。應(yīng)確保只有在云服務(wù)客戶授權(quán)