第5章(第4节P6—物理安全-网络安全-等级保护技术要求与防护措施对照表).doc

3、等级保护技术要求与防护措施对照表根据安全域的等级保护技术要求，采取防护措施如下表所示：安全域/等级技术要求防护措施省地税网络/三级物理安全：1、物理位置的选择2、物理访问控制3、防盗窃和防破坏4、防雷击5、防火6、防水和防潮7、防静电8、温湿度控制9、电力供应10、电磁防护省局机房设计严格按规范标准设计：1、选择安全的地点，避开经常发生雷击、暴雨、盗窃、水灾、火灾、地震、海啸等的地点。2、安装必要的设备以便达到:合适的温度、湿度；能够防尘、防静电；能够防水、防火、防雷电。3、供电系统采用不间断电源。4、机房应采取适当的出入控制措施：有专门管理出入的人员、出入登记。5、采用电子门禁系统。6、区域保护和灾难保护。网络安全：1、结构安全与网段划分2、网络访问控制3、拨号访问控制4、网络安全审计5、边界完整性检查6、网络入侵防范7、恶意代码防范8、网络设备防护1、采用防火墙、网络入侵检测系统、病毒防治、拨号上网检测系统等安全技术保护安全域的边界。2、采用漏洞扫描等安全检测技术定期对安全域的安全性进行检查。3、配置安全管理平台管理代理点，对网络安全事件进行审计。4、采用VPN技术实现安全域之间的远程安全传输。主机系统安全：1、身份鉴别2、自主访问控制3、安全审计4、系统保护5、剩余信息保护6、恶意代码防范7、资源控制8、强制访问控制9、入侵防范1、采用主机入侵检测系统、病毒防治、操作系统内核加固等安全技术保护主机和操作系统安全。2、采用主机漏洞扫描等安全检测技术定期对安全域的主机安全性进行检查。3、配置安全管理平台管理代理点，对主机安全事件进行审计。4、充分利用操作系统自带的安全机制。应用安全：1、身份鉴别：2、访问控制3、安全审计4、剩余信息保护5、通信完整性6、通信保密性7、软件容错8、资源控制9、代码安全通过部署在总局、省局的证书认证系统、权限管理系统、安全应用支撑平台为应用系统安全提供身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、资源控制、代码安全等服务。系统软件选型考虑系统的可靠性，在关键部分采用双机热备份系统和磁盘镜像技术，保证系统的不间断运行和在线故障修复，在线系统升级。另外在南海建立异地容灾备份系统。数据安全：1、数据完整性2、数据保密性3、数据备份和恢复通过部署在总局、省局的证书认证系统、安全应用支撑平台为应用系统安全提供数据完整性、数据保密性服务。通过省局采用的磁带机备份和恢复数据。地市局以下国地税网络/二级物理安全：1、物理位置的选择2、物理访问控制3、防盗窃和防破坏4、防雷击5、防火6、防水和防潮7、防静电8、温湿度控制9、电力供应10、电磁防护地市局以下机房设计严格按规范标准设计：1、选择安全的地点，避开经常发生雷击、暴雨、盗窃、水灾、火灾、地震、海啸等的地点。2、安装必要的设备以便达到:合适的温度、湿度；能够防尘、防静电；能够防水、防火、防雷电。3、供电系统采用不间断电源。4、机房应采取适当的出入控制措施：有专门管理出入的人员、出入登记。5、采用电子门禁系统。6、区域保护和灾难保护。网络安全：1、结构安全与网段划分2、网络访问控制3、拨号访问控制4、网络安全审计5、边界完整性检查6、网络入侵防范7、恶意代码防范8、网络设备防护1、采用防火墙、网络入侵检测系统、病毒防治、拨号上网检测系统等安全技术保护安全域的边界。2、采用漏洞扫描等安全检测技术定期对安全域的安全性进行检查。3、配置安全管理平台管理代理点，对网络安全事件进行审计。4、采用VPN技术实现安全域之间的远程安全传输。主机系统安全：1、身份鉴别2、自主访问控制3、安全审计4、系统保护5、剩余信息保护6、恶意代码防范7、资源控制1、采用主机入侵检测系统、病毒防治、操作系统内核加固等安全技术保护主机和操作系统安全。2、采用主机漏洞扫描等安全检测技术定期对安全域的主机安全性进行检查。3、配置安全管理平台管理代理点，对主机安全事件进行审计。4、充分利用操作系统自带的安全机制。应用安全：1、身份鉴别：2、访问控制3、安全审计4、剩余信息保护5、通信完整性6、通信保密性7、软件容错8、资源控制9、代码安全通过部署在总局、省局的证书认证系统、权限管理系统、安全应用支撑平台为应用系统安全提供身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、资源控制、代码安全等服务。