等级保护第四级基本要求内容.docx

1、等级保护第四级基本要求内容等级保护第四级基本要求-技术需部署的安全设施其他建议残留问题1.1.1 物理安全1.1.1.1 物理位置的选择 （G3）本项要求包括：a） 机房和办公场地应选择 在具有防震、防风和防 雨等能力的建筑内；b）机房场地应避免设在建 筑物的咼层或地下室， 以及用水设备的下层或 隔壁。一般选择在建巩物 2-3层，最好在办公 区附近，且不能邻 近洗手间、厨房等。（同B类安全机房 的选址要求。）1.1.1.2 物理访问控制（G3）本项要求包括：a）机房出入口应安排专人 值守并配置电子门禁系 统，控制、鉴别和记录 进入的人员；机房安装电子门禁系统（北京天宇飞翔，深圳 微耕，瑞士 K

2、ABA或德国KABA Gallenschutz ）, 建议采用双向控制。增设保安人员在门 外值守；通过门禁电子记录 或填写出入记录单 的形式记录进出人 员和时间。b）需进入机房的来访人员 应经过申请和审批流 程，并限制和监控其活 动范围；机房内、外部临近入口 区域安装监控摄像头保 证全部范围覆盖。需要有来访人员进 入机房的审批记 录；外来人员进入 机房应当由专人全 程陪同。C）应对机房划分区域进行 管理，区域和区域之间 设置物理隔离装置，在 重要区域前设置交付或 安装等过渡区域；d） 重要区域应配置第二道 电子门禁系统，控制、 鉴别和记录进入的人 员。重要区域物理隔离，并 安装第二道电子门禁系

3、 统（双向）。1.1.1.3 防盗窃和防破坏（G3）本项要求包括：a）应将主要设备放置在机房内；b）应将设备或主要部件进使用机柜并在设备上焊行固定，并设置明显的 不易除去的标记；接铭牌，标明设备型号、 负责保管人员、维护单 位等信息。（设备铭牌 只能被破坏性地去除。）C）应将通信线缆铺设在隐 敝处，可铺设在地下或 管道中；d）应对介质分类标识，存 储在介质库或档案室 中；介质应异地存放。e）应利用光、电等技术设 置机房防盗报警系统；机房重要资产存放处及 附近区域安装光、电防 盗报警系统，如红外或 感应报警系统。f） 应对机房设置监控报警 系统。机房安装视频监控报警 系统。1.1.1.4 防雷击

4、（G3）本项要求包括：a）机房建筑应设置避雷装置；b）应设置防雷保安器，防 止感应雷；安装电源三级防雷器和 信号二级防雷器（美国 克雷太ALLTEQ。C） 机房应设置交流电源地 线。机房设置专用交流电源 地线，接地电阻不应大 于4Q。机房交流工作接 地、安全保护接地、 防雷接地应符合 GB50174-93电子 计算机机房设计规 范要求。1.1.1.5 防火（G3）本项要求包括：a）机房应设置火灾自动消 防系统，能够自动检测 火情、自动报警，并自 动灭火；在机房内安装温感或烟 感探测器，连接到机房 动力环境监控系统中； 安装有管网气体自动灭 火系统。火火方式应采用气 体灭火系统，如C02 FM-

5、200、气溶胶和烟烙尽等。b）机房及相关的工作房间 和辅助房应采用具有耐 火等级的建筑材料；进行机房改造，使用防 火材料装修。c） 机房应米取区域隔离防 火措施，将重要设备与 其他设备隔离开。进行机房改造，重要区 域使用防火玻璃隔断。1.1.1.6 防水和防潮（G3）本项要求包括：a） 水管安装，不得穿过机 房屋顶和活动地板下；b） 应采取措施防止雨水通 过机房窗户、屋顶和墙 壁渗透；C）应采取措施防止机房内 水蒸气结露和地下积水 的转移与渗透；机房顶棚、地面和四周 应做好防水处理，有条 件的话可以在机房顶部 安装防漏水设施，在机 房地面修建地漏、泄水 槽和配置排水设备。机房尽可能选择没 有水

6、管经过的房间 和尽量不靠近建筑 物外侧墙壁的地 方，这样可以节省 做防水系统的大量 投资。d）应安装对水敏感的检测 仪表或元件，对机房进 行防水检测和报警。安装机房动力环境监控 系统（对机房设备的运 行状态、温度、湿度、 洁净度、供电的电压、 电流、频率、配电系统 的开关状态、测漏系统 等进行实时监控并记录 历史数据），其中含漏 水检测装置。1.1.1.7 防静电（G3）本项要求包括：a） 主要设备应采用必要的 接地防静电措施；b） 机房应采用防静电地板；C）应采用静电消除器等装 置，减少静电的产生。采用防静电工作台、静 电消除剂和静电消除器 等。1.1.1.8 温湿度控制（G3）机房应设置温

7、、湿度自动调 节设施，使机房温、湿度的变化 在设备运行所允许的范围之内。安装带湿度调节功能的 精密空调系统，配置温 湿度检测装置，并接入 动力环境监控系统。空 调应依据机房面积和设 备数量安装，尽量保证 设备工作在湿度带湿度控制的空调 价格比较昂贵，且 需要对水管的布置 进行考虑。可以使 用其他方法增加机 房内的湿度，使用 湿度表进行监控。45-60 %之间，夏季温度 控制在23 2 C,冬 季温度控制在 202C,温度变化率不 超过5C /h ,并且不得 结露。（按电子计算 机机房设计规范 A级 要求）1.1.1.9 电力供应（A3）本项要求包括：a）应在机房供电线路上配 置稳压器和过电压防

8、护 设备；配置线路稳压器和电源 保护装置（如金属氧化 物可变电阻、硅雪崩二 极管、气体放电管、滤 波器、电压调整变压器 和浪涌滤波器）。b）应提供短期的备用电力 供应，至少满足主要设 备在断电情况下的正常 运行要求；为机房设备配置 UPSC）应设置冗余或并行的电 力电缆线路为计算机系 统供电；建筑应采用双路供电系 统（连接两个不同区域 的供电站），并根据对 业务恢复时间的要求， 制定备用供电系统的切 换时间。d）应建立备用供电系统。有条件的企业可以配备 柴油发电机保证较长时 间的应急供电。1.1.1.10 电磁防护（S3）本项要求包括：a）应米用接地方式防止外 界电磁干扰和设备寄生 耦合干扰；

9、通过将机架外壳接地的方式可以降低外界的电子干扰。b）电源线和通信线缆应隔 离铺设，避免互相干扰；强、弱电线路尽量 原离，使用交叉走 线，避免平行走线； 使用铁质线槽可以 抵御电磁干扰并有 效保护线缆安全。c） 应对关键区域实施电磁 屏敝。重要设备和磁介质放置 在电磁屏敝装置中，或 对关键区域建屏敝室。1.1.2 网络安全1.121 结构安全（G4本项要求包括：a） 应保证网络设备的业务 处理能力具备冗余空 间，满足业务高峰期需 要；b） 应保证网络各个部分的 带宽满足业务高峰期需 要；C） 应在业务终端与业务服 务器之间进行路由控制 建立安全的访问路径；d） 应绘制与当前运行情况 相符的网络拓

10、扑结构 图；e） 应根据各部门的工作职 能、重要性和所涉及信 息的重要程度等因素， 划分不同的子网或网 段，并按照方便管理和 控制的原则为各子网、 网段分配地址段；f） 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采重要网段与其他网段之 间采用防火墙或网闸进 行隔离。取可靠的技术隔离手段；g）应按照对业务服务的重在多个业务共用的网络有条件的话可以在要次序来指定带宽分配设备上配置QOS主干通信线路上安优先级别，保证在网络装专用的带宽管理发生拥堵的时候优先保 护重要主机。设备。1.122 访问控制（G4网络边界部署安全隔离现有产品无法根据本项要求包括：与信息交换系

11、统（网数据的敏感标记允a）应在网络边界部署访冋闸）。许或拒绝数据通控制设备，启用访冋控制功能；b）应不允许数据带通用协议通过；C）应根据数据的敏感标记允许或拒绝数据通过；d） 应不开放远程拨号访冋 功能。过。1.123 安全审计（G4部署专业的日志审计系本项要求包括：统，并且所有事件源与a） 应对网络系统中的网络审计服务器保持时钟冋设备运行状况、网络流 量、用户行为等进行日 志记录；b） 审计记录应包括：事件 的日期和时间、用户、 事件类型、事件是否成 功及其他与审计相关的 信息；步。c） 应能够根据记录数据进 行分析，并生成审计报 表；d） 应对审计记录进行保 护，避免受到未预期的 删除、修

12、改或覆盖等；e） 应定义审计跟踪极限的阈值，当存储空间接近 极限时，能采取必要的 措施，当存储空间被耗 尽时，终止可审计事件 的发生；f） 应根据信息系统的统一安全策略，实现集中审计，时钟保持与时钟服 务器同步。1.124 边界完整性检查（S4）本项要求包括：a）应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；部署终端安全管理系 统，利用IP/MAC绑定及 ARP阻断功能实现非法 接入控制。b）应能够对内部网络用户 私自联到外部网络的行 为进行检查，准确定出 位置，并对其进行有效 阻断。部署终端安全管理系 统，提供非法外联监控 功能。1.125 入侵防范（G

13、4本项要求包括：a） 应在网络边界处监视以 下攻击行为：端口扫描、 强力攻击、木马后门攻 击、拒绝服务攻击、缓 冲区溢出攻击、IP碎片 攻击和网络蠕虫攻击 等；a）当检测到攻击行为时， 应记录攻击源IP、攻击 类型、攻击目的、攻击 时间，在发生严重入侵 事件时应提供报警及自 动采取相应动作。部署网络入侵防御或网 络入侵检测系统，对进 出边界的网络数据流进 行攻击检测，并提供适 当的日志记录、报警和 自动响应机制。1.126 恶意代码防范（G4）本项要求包括：a）应在网络边界处对恶意代码进行检测和清除；a）应维护恶意代码库的升级和检测系统的更新。在区域边界部署病毒过 滤网关系统。1.127 网络

14、设备防护（G4）本项要求包括：a） 应对登录网络设备的用户进行身份鉴别；b） 应对网络设备的管理员登录地址进行限制；c） 网络设备用户的标识应唯一；d） 主要网络设备应对同一 用户选择两种或两种以 上组合的鉴别技术来进 行身份鉴别；e） 身份鉴别信息应具有不 易被冒用的特点，口令 应有复杂度要求并定期 更换；f） 网络设备用户的身份鉴 别信息至少应有一种是 不可伪造的；g） 应具有登录失败处理功 能，可采取结束会话、 限制非法登录次数和当 网络登录连接超时自动 退出等措施；h） 当对网络设备进行远程 管理时，应采取必要措 施防止鉴别信息在网络 传输过程中被窃听；采用动态电子令牌身份认证系统（如

15、 RSASecurlD），其令牌应当不可伪造。i） 应实现设备特权用户的权限分离。1.1.3主机安全采用操作系统和数据库1.1.3.1身份鉴别（S4）系统安全评估和加固服本项要求包括：务。a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别；b)操作系统和数据库系统 管理用户身份标识应具 有不易被冒用的特点， 口令应有复杂度要求并 定期更换；c)应启用登录失败处理功 能，可采取结束会话、 限制非法登录次数和自 动退出等措施；d)应设置鉴别警示信息，描述未授权访问可能导致的后果；e)当对服务器进行远程管 理时，应采取必要措施， 防止鉴别信息在网络传 输过程中被窃听；f)应为操作系统和数据库

16、系统的不同用户分配不 同的用户名，确保用户 名具有唯一性；g)应采用两种或两种以上采用动态电子令牌身份组合的鉴别技术对管理认证系统（如 RSA用户进行身份鉴别， 并SecurlD），其令牌应当且身份鉴别信息至少有一种是不可伪造的。不可伪造。1.1.3.2 安全标记（S4）应对所有主体和客体设置敏感标记；采用安全操作系统（如 一些国产Linux操作系 统或B1级操作系统）或 在C2级操作系统中安 装内核加固软件（如浪 潮SSR服务器安全加固 系统-适用 Windows）。1.1.3.3 访问控制（S4）本项要求包括：a） 应依据安全策略和所有 主体和客体设置的敏感 标记控制主体对客体的 访问；b

17、） 访问控制的粒度应达到 主体为用户级或进程 级，客体为文件、数据 库表、记录和字段级。c） 应根据管理用户的角色 分配权限，实现管理用 户的权限分离，仅授予 管理用户所需的最小权 限；d） 应实现操作系统和数据 库系统特权用户的权限 分离；e） 应严格限制默认帐户的访问权限，重命名系统采用安全操作系统（如一些国产 Lin ux操作系统或 B1级操 作系统）或在C2级操 作系统中安装内核加 固软件（如浪潮 SSR 服务器安全加固系统-适用 Windows）。默认帐户，修改这些帐 户的默认口令；f） 应及时删除多余的、过 期的帐户，避免共享帐 户的存在。1.1.3.4 可信路径（S4）本项要求包

18、括：a） 在系统对用户进行身份 鉴别时，系统与用户之 间应能够建立一条安全 的信息传输路径。b） 在用户对系统进行访问 时，系统与用户之间应 能够建立一条安全的信 息传输路径。米用高等级安全操作 系统（如一些国产安 全操作系统或国际主 流操作系统厂商提供 的高级安全功能。）1.1.3.5 安全审计（G4本项要求包括：a） 审计范围应覆盖到服务 器和重要客户端上的每 个操作系统用户和数据 库用户；b） 审计内容应包括重要用 户行为、系统资源的异 常使用和重要系统命令 的使用等系统内重要的 安全相关事件；c） 审计记录应包括日期和 时间、类型、主体标识、 客体标识、事件的结果 等；服务器开启日志功

19、 能;重要客户端安装 终端安全管理软件进 行审计。d）应能够根据记录数据进行分析，并生成审计报表；采用专业的日志审计 系统。e）应保护审计进程，避免受到未预期的中断；服务器采用安全操作 系统或安装内核加固 软件，对审计进程进 行守护，防止进程中 断；重要客户端的终 端安全管理代理进程 具有自我保护机制。f） 应保护审计记录，避免 受到未预期的删除、修 改或覆盖等；g） 应能够根据信息系统的采用专业的日志审计 系统。统一安全策略，实现集中审计。1.1.3.6 剩余信息保护（S4）本项要求包括：a） 应保证操作系统和数据 库系统用户的鉴别信息 所在的存储空间，被释 放或再分配给其他用户 前得到完全

20、清除，无论 这些信息是存放在硬盘 上还是在内存中；b） 应确保系统内的文件、目录和数据库记录等资 源所在的存储空间，被 释放或重新分配给其他 用户前得到完全清除。采用安全操作系统（如一些国产 Lin ux 操作系统或 B1级操 作系统）或安装Windows平台的剩余 信息保护软件。（同客 体重用。）1.1.3.7 入侵防范（G4本项要求包括：a）应能够检测到对重要服 务器进行入侵的行为， 能够记录入侵的源IP、 攻击的类型、攻击的目 的、攻击的时间，并在 发生严重入侵事件时提 供报警；采用主机或网络入侵检 测系统。b）应能够对重要程序的完 整性进行检测，并在检 测到完整性受到破坏后 具有恢复的

21、措施；采用安全操作系统或安 装内核加固软件。c）操作系统应遵循最小安 装的原则，仅安装需要 的组件和应用程序，并 通过设置升级服务器等 方式保持系统补丁及时 得到更新。采用操作系统安全评估 和加固服务，并部署补 丁服务器。1.1.3.8 恶意代码防氾（G4）本项要求包括：a） 应安装防恶意代码软 件，并及时更新防恶意 代码软件版本和恶意代 码库；b） 主机防恶意代码产品应 具有与网络防恶意代码 产品不同的恶意代码 库；c） 应支持防恶意代码的统一管理。安装网络版防病毒软 件并与病毒过滤网关 异构。1.1.3.9 资源控制（A4）本项要求包括：a） 应通过设定终端接入方式、网络地址范围等条 件限

22、制终端登录；b） 应根据安全策略设置登 录终端的操作超时锁 疋；采用操作系统安全评估 和加固服务。c）应对重要服务器进行监视，包括监视服务器的CPU硬盘、内存、网络采用操作系统附带或第 三方资源监控软件。等资源的使用情况；d） 应限制单个用户对系统 资源的最大或最小使用 限度；e） 应能够对系统的服务水 平降低到预先规定的最 小值进行检测和报警。1.1.4 应用安全1.141 身份鉴别（S4）本项要求包括：a）应提供专用的登录控制 模块对登录用户进行身 份标识和鉴别；进行应用系统二次开 发。b） 应对同一用户米用两种 或两种以上组合的鉴别 技术实现用户身份鉴 另其中一种是不可伪 造的；c） 应

23、提供用户身份标识唯 一和鉴别信息复杂度检 查功能，保证应用系统 中不存在重复用户身份 标识，身份鉴别信息不 易被冒用；采用数字证书身份认证 系统，证书和私钥存放 在硬件Key中。d） 应提供登录失败处理功 能，可采取结束会话、 限制非法登录次数和自 动退出等措施；e） 应启用身份鉴别、用户 身份标识唯一性检查、 用户身份鉴别信息复杂 度检查以及登录失败处 理功能，并根据安全策 略配置相关参数。进行应用系统二次开 发。1.142 安全标记（S4）应提供为主体和客体设置安全标记的功能并在安装后启用；借助操作系统提供的安全标记功能。1.143 访问控制（S4）本项要求包括：a） 应提供自主访问控制功

24、 能，依据安全策略控制 用户对文件、数据库表 等客体的访问；b） 自主访问控制的覆盖范 围应包括与信息安全直 接相关的主体、客体及 它们之间的操作；C） 应由授权主体配置访问 控制策略，并禁止默认 帐户的访问；d）应授予不冋帐户为完成 各自承担任务所需的最 小权限，并在它们之间 形成相互制约的关系；进行应用系统二次开 发，并结合采用第三 方身份认证和访问控 制系统。e） 应通过比较安全标记来 确定是授予还是拒绝主 体对客体的访问。借助安全操作系统或 内核加固软件提供的 强制访问控制功能实 现。1.144可信路径（S4）应用系统二次开发，本项要求包括：并结合高等级安全操a)在应用系统对用户进行作

25、系统提供的可信路身份鉴别时，应能够建 立一条安全的信息传输 路径。径功能。b)在用户通过应用系统对 资源进行访问时，应用 系统应保证在被访问的 资源与用户之间应能够 建立一条安全的信息传 输路径。1.145安全审计（G4米用网络审计结合日本项要求包括：志审计实现；应用服a)应提供覆盖到每个用户务器采用安全操作系的安全审计功能，对应统或安装内核加固软用系统重要安全事件进件，对审计进程进行行审计；守护，防止进程中断。b)应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；c)审计记录的内容至少应 包括事件的日期、时间、 发起者信息、类型、描 述和结果等；d)应提供对审计记录数据 进行统计、查

26、询、分析 及生成审计报表的功 能;e）应根据系统统一女全策略，提供集中审计接口。1.146 剩余信息保护（S4）本项要求包括：a） 应保证用户的鉴别信息 所在的存储空间被释放 或再分配给其他用户前 得到完全清除，无论这 些信息是存放在硬盘上 还是在内存中；b） 应保证系统内的文件、目录和数据库记录等资 源所在的存储空间被释 放或重新分配给其他用 户前得到完全清除。冋主机安全。1.147通信完整性（S4）应采用密码技术保证通信过程 中数据的完整性。1.148通信保密性（S4）本项要求包括：a） 在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化 验证；b） 应对通信过程中的整个 报文或

27、会话过程进行加 密；C） 应基于硬件化的设备对重要通信过程进行加解 密运算和密钥管理。1.1.4.9 抗抵赖（G4）本项要求包括：a） 应具有在请求的情况下 为数据原发者或接收者 提供数据原发证据的功 能;b） 应具有在请求的情况下 为数据原发者或接收者 提供数据接收证据的功 能。采用SSL或IPSEC技术，结合基于数字证 书的PKI体系，重要 通信加解密采用专用 硬件加密卡。1.1.4.10 软件容错（A4）本项要求包括：a）应提供数据有效性检验功能，保证通过人机接进行应用系统二次开 发。口输入或通过通信接口输入的数据格式或长度符合系统设定要求；b)应提供自动保护功能，当故障发生时自动保护当前所有状态；c)应提供自动恢复功能， 当故障发生时立即自动 启动新的进程，恢复原 来的工作状态。1.1.4.11资源控制（A4）进行应用系统二次开本项要求包括：发或米用第三方应用a)当应用系统中的通信双 方中的一方在一段时间 内未作任何响应，另一 方应能够自动结束会 话；监控系统。b)应能够对系统的最大并 发会话连接数进行限 制;c)应能够对单个帐户的多重并发会话进行限制；d)应能够对一个时间段内可能的并发会话连接数进行限制；e)应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；f） 应能够对系统服务水平 降低到预先规定的最小 值进行检