等保三级技术要求(加分类)

技术测评要求(S3A3G3)等级保护三级技术类测评掌握点(S3A3G3)类别 序号物理 1.位置的选2.择3.物理4.物理访问安全掌握5.6.7.防盗窃和8.防破坏 9.

测评内容机房和办公场地应选择在具有防震、防风和防〔G2〕机房场地应避开设在建筑物的高层或地下室，以及用水设备的下层或隔壁。〔G3〕机房出入口应安排专人值守，掌握、鉴别和记〔G2〕需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围〔G2〕应对机房划分区域进展治理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或〔G3〕重要区域应配置电子门禁系统，掌握、鉴别和〔G3〕应将主要设备放置在机房内〔G2〕应将设备或主要部件进展固定，并设置明显的〔G2〕应将通信线缆铺设在隐蔽处，可铺设在地下或〔G2〕

测评方法访谈，检查。机房场地设计/验收文档。访谈，检查。物理安全负责人，机房值守人员，机房，机房安全治理制度，值守记录，进入机房的登记记录，来访人员进入机房的审批记录。访谈，检查。物理安全负责人，机房维护人员，资产治理员，机房设施，设备管理制度文档，通信线路布线文档，报警设施的安装测试/验收报

结果记录

符合状况Y N等级保护三级技术类测评掌握点(S3A3G3)类别 3.

测评内容〔G2〕应利用光、电等技术设置机房防盗报警系统。〔G3〕应对机房设置监控报警系统〔G3〕机房建筑应设置避雷装置〔G2〕

测评方法告。访谈，检查。

结果记录

符合状况Y N防雷14.击15.16.防火17.18.19.防水20.和防潮 22.

应设置防雷保安器，防止感应雷〔G3〕机房应设置沟通电源地线〔G2〕机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火〔G3〕机房及相关的工作房间和关心房应承受具有耐〔G3〕机房应实行区域隔离防火措施，将重要设备与〔G3〕水管安装，不得穿过机房屋顶和活动地板下。〔G2〕应实行措施防止雨水通过机房窗户、屋顶和墙〔G2〕应实行措施防止机房内水蒸气结露和地下积水〔G2〕应安装对水敏感的检测仪表或元件，对机房进

物理安全负责人，机房维护人员，〔线/验收文档。访谈，检查。物理安全负责人，机房值守人员，房防火设计/验收文档，火灾自动报警系统设计/验收文档。访谈，检查。物理安全负责人，机房维护人员，机房设施等级保护三级技术类测评掌握点(S3A3G3)类别 序号 测评内容行防水检测和报警〔G3〕

测评方法 结果记录

符合状况Y N23.防静电 温湿度控 制26.电力 供给28.29.30.电磁防护 32.

主要设备应承受必要的接地防静电措施〔G2〕机房应承受防静电地板〔G3〕的变化在设备运行所允许的范围之内。〔G2〕应在机房供电线路上配置稳压器和过电压防护〔G2〕应供给短期的备用电力供给，至少满足主要设备在断电状况下的正常运行要求〔G2〕应设置冗余或并行的电力电缆线路为计算机系〔G3〕应建立备用供电系统〔G3〕应承受接地方式防止外界电磁干扰和设备寄生〔G3〕〔G2〕应对关键设备和磁介质实施电磁屏蔽〔G3〕

访谈，检查。物理安全负责人，机房维护人员，机房设施，防静电设计/验收文档。访谈，检查。机房设施/验收文记录。访谈，检查。〔电力供给安全设计/和维护记录。访谈，检查。物理安全负责人，机房维护人员，机房设施，电磁防护设计/验收文档。等级保护三级技术类测评掌握点(S3A3G3)类别 6.构造

测评内容应保证主要网络设备的业务处理力量具备冗余空间，满足业务顶峰期需要〔G2〕应保证网络各个局部的带宽满足业务顶峰期需〔G2〕应在业务终端与业务效劳器之间进展路由掌握建立安全的访问路径〔G3〕应绘制与当前运行状况相符的网络拓扑构造〔G2〕应依据各部门的工作职能、重要性和所涉及信

测评方法 结果记录访谈，检查，测试。网络治理员，边界和网络设备，网

符合状况Y N安全网络并依据便利治理和掌握的原则为各子网、网段网络并依据便利治理和掌握的原则为各子网、网段安全〔G2〕38.应避开将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取牢靠的技术隔离手段〔G3〕39.应依据对业务效劳的重要次序来指定带宽安排优先级别，保证在网络发生拥堵的时候优先保〔G3〕

息的重要程度等因素，划分不同的子网或网段，络拓扑图，网络设计/验收文档。40.访问掌握41.

应在网络边界部署访问掌握设备，启用访问掌握〔G2〕应能依据会话状态信息为数据流供给明确的允许/〔G2〕

访谈，检查，测试。安全治理员，边界网络设备。等级保护三级技术类测评掌握点(S3A3G3)类别 序号 测评内容应对进出网络的信息内容进展过滤，实现对应

测评方法 结果记录

符合状况Y N8.49.安全审计50.51.边界52.完整

、FTP、TELNET、SMTP、POP3〔G3〕应在会话处于非活泼肯定时间或会话完毕后终〔G3〕应限制网络最大流量数及网络连接数〔G3〕重要网段应实行技术手段防止地址哄骗〔G3〕应按用户和系统之间的允许访问规章，打算允许或拒绝用户对受控系统进展资源访问，掌握〔G3〕应限制具有拨号访问权限的用户数量〔G2〕应对网络系统中的网络设备运行状况、网络流量、用户行为等进展日志记录〔G2〕审计记录应包括：大事的日期和时间、用户、大事类型、大事是否成功及其他与审计相关的〔G2〕应能够依据记录数据进展分析，并生成审计报〔G3〕应对审计记录进展保护，避开受到未预期的删〔G3〕应能够对非授权设备私自联到内部网络的行为进展检查，准确定出位置，并对其进展有效阻

访谈，检查，测试。审计员，边界和网络设备。访谈，检查，测试。等级保护三级技术类测评掌握点(S3A3G3)类别 序号性检

〔G3〕

测评内容 测评方法 结果记录

符合状况Y N查入侵〔G3〕

53.54.55.

应能够对内部网络用户私自联到外部网络的行为进展检查，准确定出位置，并对其进展有效〔G3〕强力攻击、木马后门攻击、拒绝效劳攻击、缓IP碎片攻击和网络蠕虫攻击等〔G2〕当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严峻入侵大事〔G3〕

访谈，检查，测试。安全治理员，网络入侵防范设备。恶意56.代码防范57.58.59.网络设备60.防护61.62.

应在网络边界处对恶意代码进展检测和去除。〔G3〕应维护恶意代码库的升级和检测系统的更。〔G3〕应对登录网络设备的用户进展身份鉴别〔G2〕应对网络设备的治理员登录地址进展限制。〔G2〕网络设备用户的标识应唯一〔G2〕主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进展身份鉴别〔G3〕身份鉴别信息应具有不易被冒用的特点，口令

访谈，检查。安全治理员，防恶意代码产品，网络设计/验收文档。访谈，检查，测试。网络治理员，边界和网络设备。等级保护三级技术类测评掌握点(S3A3G3)类别 序号 测评内容应有简单度要求并定期更换〔G2〕应具有登录失败处理功能，可实行完毕会话、

测评方法 结果记录

符合状况Y N6.67.主机身份68.安全鉴别69.70.71.

限制非法登录次数和当网络登录连接超时自动〔G2〕当对网络设备进展远程治理时，应实行必要措施防止鉴别信息在网络传输过程中被窃听。〔G2〕应实现设备特权用户的权限分别〔G3〕应对登录操作系统和数据库系统的用户进展身〔G2〕操作系统和数据库系统治理用户身份标识应具有不易被冒用的特点，口令应有简单度要求并〔G2〕应启用登录失败处理功能，可实行完毕会话、限制非法登录次数和自动退出等措施〔G2〕防止鉴别信息在网络传输过程中被窃听〔G2〕应为操作系统和数据库系统的不同用户安排不同的用户名，确保用户名具有唯一性〔G2〕应承受两种或两种以上组合的鉴别技术对治理〔G3〕

访谈，检查，测试。系统治理员，数据库治理员，效劳器操作系统、数据库，效劳器操作系统文档，数据库治理系统文档。等级保护三级技术类测评掌握点(S3A3G3)类别 72.73.74.访问

测评内容应启用访问掌握功能，依据安全策略掌握用户〔G2〕应依据治理用户的角色安排权限，实现治理用户的权限分别，仅授予治理用户所需的最小权〔G3〕应实现操作系统和数据库系统特权用户的权限〔G2〕

测评方法 结果记录访谈，检查。效劳器操作系统、数据库，效劳器

符合状况Y N掌握8.79.安全80.审计81.82.

应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令〔G2〕应准时删除多余的、过期的帐户，避开共享帐〔G2〕应对重要信息资源设置敏感标记〔G3〕应依据安全策略严格掌握用户对有敏感标记重〔G3〕审计范围应掩盖到效劳器和重要客户端上的每个操作系统用户和数据库用户〔G2〕审计内容应包括重要用户行为、系统资源的特别使用和重要系统命令的使用等系统内重要的〔G3〕审计记录应包括大事的日期、时间、类型、主体标识、客体标识和结果等〔G2〕应能够依据记录数据进展分析，并生成审计报

操作系统文档，数据库治理系统文档。访谈，检查，测试。安全审计员，效劳器操作系统、数据库和重要终端操作系统。等级保护三级技术类测评掌握点(S3A3G3)类别

〔G3〕

测评内容 测评方法 结果记录

符合状况Y N83.84.信息前得到完全去除，无论这些信息是存放在硬盘保护信息前得到完全去除，无论这些信息是存放在硬盘保护〔G3〕〔G3〕86.应确保系统内的文件、名目和数据库记录等资源所在的存储空间，被释放或重安排给其他用户前得到完全去除〔G3〕应能够检测到对重要效劳器进展入侵的行为，

。G3〕应保护审计记录，避开受到未预期的删除、修〔G2〕应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再安排给其他用户

访谈，检查。系统治理员，数据库治理员，效劳器操作系统维护/治理系统维护/操作手册。87.入侵防范88.89.恶意90.代码

能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严峻入侵大事时供给〔G3〕应能够对重要程序的完整性进展检测，并在检测到完整性受到破坏后具有恢复的措施〔G3〕操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级效劳器等方式保持系统补丁准时得到更〔G2〕应安装防恶意代码软件，并准时更防恶意代码软件版本和恶意代码库〔G2〕

访谈，检查。系统治理员，效劳器操作系统。访谈，检查。安全治理员，效劳器，终端，网络等级保护三级技术类测评掌握点(S3A3G3)类别 序号防范4.资源95.掌握96.97.98.应用身份应用身份技术实现用户身份鉴别〔G3〕安全鉴别100.应供给用户身份标识唯一和鉴别信息简单度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用〔G2〕101.应供给登录失败处理功能，可实行完毕会话、

测评内容主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库〔G3〕应支持防恶意代码的统一治理〔G2〕应通过设定终端接入方式、网络地址范围等条〔G2〕应依据安全策略设置登录终端的操作超时锁〔G2〕应对重要效劳器进展监视，包括监视效劳器的CPU、硬盘、内存、网络等资源的使用状况。〔G3〕应限制单个用户对系统资源的最大或最小使用〔G2〕应能够对系统的效劳水平降低到预先规定的最小值进展检测和报警〔G3〕应供给专用的登录掌握模块对登录用户进展身〔G2〕应对同一用户承受两种或两种以上组合的鉴别

测评方法防恶意代码产品。访谈，检查。效劳器操作系统。访谈，检查，测试。/验收文档，操作规程。

结果记录

符合状况Y N等级保护三级技术类测评掌握点(S3A3G3)类别 序号 测评内容限制非法登录次数和自动退出等措施〔G2〕应启用身份鉴别、用户身份标识唯一性检查、

测评方法 结果记录

符合状况Y N05.访问掌握09.安全审计110.111.

用户身份鉴别信息简单度检查以及登录失败处理功能，并依据安全策略配置相关参数〔G2〕应供给访问掌握功能，依据安全策略掌握用户对文件、数据库表等客体的访问〔G2〕访问掌握的掩盖范围应包括与资源访问相关的主体、客体及它们之间的操作〔G2〕应由授权主体配置访问掌握策略，并严格限制默认帐户的访问权限〔G2〕应授予不同帐户为完成各自担当任务所需的最小权限，并在它们之间形成相互制约的关系。〔G2〕应具有对重要信息资源设置敏感标记的功能。〔G3〕应依据安全策略严格掌握用户对有敏感标记重〔G3〕应供给掩盖到每个用户的安全审计功能，对应用系统重要安全大事进展审计〔G2〕应保证无法单独中断审计进程，无法删除、修〔G2〕审计记录的内容至少应包括大事的日期

访谈，检查，测试。应用系统治理员，应用系统。访谈，检查，测试。审计员，应用系统。等级保护三级技术类测评掌握点(S3A3G3)类别 序号 测评内容发起者信息、类型、描述和结果等〔G2〕

测评方法 结果记录

符合状况Y N剩余信息〔G3〕通信完整性

15.

应供给对审计记录数据进展统计、查询、分析及生成审计报表的功能〔G3〕应保证用户鉴别信息所在的存储空间被释放或再安排给其他用户前得到完全去除，无论这些信息是存放在硬盘上还是在内存中〔G3〕应保证系统内的文件、名目和数据库记录等资源所在的存储空间被释放或重安排给其他用〔G3〕应承受密码技术保证通信过程中数据的完整〔G2〕通信保密116.性通信保密116.性117.抗抵赖118.〔G3〕119.软件容错120.应对通信过程中的整个报文或会话过程进展加〔G3〕应具有在恳求的状况下为数据原发者或接收者供给数据原发证据的功能〔G3〕应具有在恳求的状况下为数据原发者或接收者供给数据接收证据的功能〔G3〕应供给数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度

访谈，检查，测试。应用系统治理员，设计/验收文档。访谈，检查，测试。/验收文档。访谈，检查，测试。安全治理员，应用系统，相关证明材料〔证书〕。访谈，检查，测试。安全治理员，应用系统。访谈，检查，测试。应用系统治理员，应用系统。等级保护三级技术类测评掌握点(S3A3G3)类别 序号 测评内容符合系统设定要求〔G2〕121. 应供给自动保护功能，当故障发生时自动保护当前全部状态，保证系统能够进展恢复〔G3〕当应用系统的通信双方中的一方在一段时间内

测评方法 结果记录

符合状况Y N122.123.124.资源125.掌握126.〔G3〕〔G3〕128.应供给效劳优先级设定功能，并在安装后依据安全策略设定访问帐户或恳求进程的优先级，依据优先级安排系统资源〔G3〕数据完整129.应能够检测到系统治理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在访谈，检查。系统治理员，网络治理员，安全管性检测到完整性错误时实行必要的恢复措施 。理员，数据库治理员，应用系统，

未作任何响应，另一方应能够自动完毕会话。〔G2〕应能