2023年等级保护第二级基本要求

实行建议残留问题

等级保护第二级基

础规定

1.1.1物理安全

1.1.1.1物理位置选择（G2）

本项规定包含：

机房和办公场地应选择在具有防

震、防风和防雨等能力建筑内；

1.1.1.2物理访问控制（G2）

a）本项规定包含：

b）机房出入口应安排专员值守，控

制、判别和记录进入人员；

C）需进入机房来访人员应通过申请

和审批环节，并限制和监控其活

动范围；

d）需进入机房来访人员应通过申请

和审批环节，并限制和监控其活

动范围；

1.1.1.3防偷窃和防破坏（G2）

a）本项规定包含：

b）应将关键设备放置在机房内；

c）应将设备或关键部件进行固定，

并设立显著不易除去标记；

d）

e）应将通信线缆铺设在隐蔽处，可

铺设在地下或管道中；

f）应对介质分类标记，存放在介质

库或档案室中；

g）主机房应安装必需防盗报警设施

1.1.1.4防雷击（G2）

a）本项规定包含：

b）机房建筑应设立避雷装置：

C）机房应设立交流电源地线。

1.1.1.5防火(G2)

本项规定包含：

机房应设立灭火设备和火灾自动

报警系统

1.1.1.6防水和防潮（G2）

a）本项规定包含：

b）水管安装，不得穿过机房屋顶和

活动地板下：

c）应采用力法防止雨水通过机房窗

户、屋顶和墙壁渗透；

d）应采用方法防止机房内水蒸气结

露和地下积水转移和渗透；

1.1.1.7防静电（G2）

本项规定包含：

关键设备应采用必需接地防静电

方法；

1.1.1.8温湿度控制（G2）

机房应设立温、湿度自动调整设施，

使机房温、湿度改变在设备运营所许可范

围之内。

机房应设立温、湿度自动调整设施，

使机房温、湿度改变在设备运营所许可范

围之内。

1.1.1.9电力供应（A2）

a）本项规定包含：

b）应在机房供电线路上配置稳压器

和过电压防护设备；

c）应提供短期备用电力供应，最少

满足关键设备在断电情况下正常

运营规定；

d）

1.1.1.10电磁防护（S2）

本项规定包含：

电源线和通信线缆应隔离铺设，

避免互相干扰；

电源线和通信线缆应隔离铺设，

避免互相干扰；

1.1.2网络安全

1.1.2.1结构安全（G2）

本项规定包含：

a）应保证关键网络设备业务解决能

力具有冗余空间，满足业务高峰

期需要；

b）

c）应保证接入网络和关键网络带宽

满足业务高峰期需要：

d）应绘制和目前运营情况相符网络

拓扑结构图；

e）应依据各部门工作职能、关键性

和所包含信息关键限度等因素，

划分不同样子网或网段，并根据

方便管理和控制标准为各子网、

网段分派地址段；

f）

1.1.2.2访问控制（G2）

a）本项规定包含：

b）应在网络边界部署访问控制设

备，启用访问控制功效；

c）应能依据会话状态信息为数据流

提供明确许可/拒绝访问能力，控

制粒度为网段级；

d）应按用户和系统之间许可访问规

则，决定许可或拒绝用户对受控

系统进行资源访问，控制粒度为

单个用户；

e）应限制具有拨号访问权限用户数

量。

1.1.2.3安全审计（G2）

本项规定包含：

a）应对网络系统中网络设备运营情

况、网络流量、用户行为等进行

日记记录；

b）审计记录应包含：事件日期和时

问、用户、事件类型、事件是否

成功及其它和审计相关信息；

C）

1.1.2.4边界完整性检查（S2）

本项规定包含：

应可以对内部网络用户私自联到外部网络

行为进行检查。

1.1.2.5入侵防范（G2）

本项规定包含：

应在网络边界处监视以下袭击行为：端口

扫描、强力袭击、木马后门袭击、拒绝服

务袭击、缓冲区溢出袭击、1P碎片袭击和

网络蠕虫袭击等。

应在网络边界处监视以下袭击行为：端口

扫描、强力袭击、木马后门袭击、拒绝服

务袭击、缓冲区溢出袭击、IP碎片袭击和

网络蠕虫袭击等。

1.1.2.6网络设备防护（G2）

本项规定包含：

a）应对登录网络设备用户进行身份

判别：

b）应对网络设备管理员登录地址进

行限制；

c）网络设备用户标记应唯一；

d）身份判别信息应具有不易被冒用

特点，口令应有复杂度规定并定

期更换；

e）应具有登录失败解决功效，可采

用结束会话、限制非法登录次数

和当网络登录连接超时自动退出

等方法；

f）当对网络设备进行远程管理时，

应采用必需方法防止判别信息在

网络传输过程中被窃听：

g）当对网络设备进行远程管理时，

应采用必需方法防止判别信息在

网络传输过程中被窃听：

1.1.3主机安全

1.1.3.1身份判别（S2）

本项规定包含：

a）应对登录操作系统和数据库系统

用户进行身份标记和判别；

b）操作系统和数据库系统管理用户

身份标记应具有不易被冒用特

点，口令应有复:杂度规定并定期

更换；

c）应启用登录失败解决功效，可采

用结束会话、限制非法登录次数

和自动退出等方法；

d）当对服务器进行远程管理时，应

采用必需方法，防止判别信息在

网络传输过程中被窃听；

e）应为操作系统和数据库系统不同

样用户分派不同样用户名，保证

用户名具有唯一性。

f）应为操作系统和数据库系统不同

样用户分派不同样用户名，保证

用户名具有唯一性。

1.1.3.2访问控制（S2）

a）本项规定包含：

b）应启用访问控制功效，依据安全

策略控制用户对资源访问：

。）应实现操作系统和数据库系统特

权用户权限分离；

d）应严格限制默认帐户访问权限，

重命名系统默认帐户，修改这些

帐户默认口令；

应立即删除多余、过期帐户，避

免共享帐户存在3

1.1.3.3安全审计(G2)

本项规定包含：

a）审计范围应覆盖到服务器每个操

作系统用户和数据库用户：

b）审计内容应包含关键用户行为、

系统资源异常使用和关键系统命

令使用等系统内关键安全相关事

件；

c）审计记录应包含事件日期、时间、

类型、主体标记、客体标记和结

果等；

d）应保护审计记录，避免受到未预

期删除、修改或覆盖等。

e）

1.1.3.4入侵防范（G2；

本项规定包含：

a）操作系统应遵照最小安装标准，

仅安装需要组件和应用程序，并

通过设立升级服务器等方法保持

系统补丁立即得到更新.

b）

1.1.3.5恶意代码防范（G2）

a）本项规定包含：

b）应安装防恶意代码软件，并立即

更新防恶意代码软件版本和恶意

代码库；

c）应支持防恶意代码统一管理。

1.1.3.6资源控制（A2；

本项规定包含：

a）应通过设定终端接入方法、网络

地址范围等条件限制终端登录；

b）应依据安全策略设立登录终端操

作超时锁定；

c）应限制单个用户对系统资源最大

或最小使用限度；

d）

1.1.4应用安全

1.1.4.1身份判别（S2）

本项规定包含：

a）应提供专用登录控制模块对登录

用户进行身份标记和判别：

b）应提供用户身份标记唯一和判别

信息复杂度检查功效，保证应用

系统中不存在反复用户身份标

记，身份判别信息不易被冒用；

c）

01）应提供登录失败解决功效，可采

用结束会话、限制非法登录次数

和自动退出等方法；

e）应启用身份判别、用户身份标记

唯一性检查、用户身份判别信息

复杂度检查和登录失败解决功

效，并依据安全策略配置相关参

数。

f）应启用身份判别、用户身份标记

唯一性检查、用户身份判别信息

复杂度检查和登录失败解决功

效，并依据安全策略配置相关参

数。

1.1.4.2访问控制（S2）

本项规定包含：

a）应提供访问控制功效，依据安全

策略控制用户对文献、数据库表

等客体访问；

b）访问控制覆盖范围应包含和资源

访问相关主体、客体及它们之间

操作；

c）应由授权主体配置访问控制策

略，并严格限制默认帐户访问权

限；

d）应授予不同样帐户为完毕各自承

担任务所需最小权限，并在它们

之间形成互相制约关系。

e）应授予不同样帐户为完毕各自承

担任务所需最小权限，并在它们

之间形成互相制约关系。

1.1.4.3安全审计（G2）

本项规定包含：

a）应提供覆盖到每个用户安全审计

功效，相应用系统关键安全事件

进行审计；

b）应保证无法删除、修改或覆盖审

计记录；

C）审计记录内容最少应包含事件日

期、时间、建议者信息、类型、

描述和结果等；

1.1.4.4软件容错（A2）

a）本项规定包含：

b）应提供数据有效性检查功效，保

证通过人机接口输入或通过通信

接口输入数据格式或长度符合系

统设定规定；

c）应提供自动保护功效，当故障发

生时自动保护目前所有状态，保

证系统可以进行恢复。

d）应提供自动保护功效，当故障发

生时自动保护目前所有状态，保

证系统可以进行恢复。

1.1.4.5资源控制（A2；

a）本项规定包含：

b）当应用系统通信双方中一方在一

段时间内未作任何响应，另一方

应可以自动结束会话；

c）应可以对系统最大并发会话连接

数进行限制；

d）应可以对单个帐户多重并发会话

进行限制；

1.1.5数据安全及备份恢复

1.1.5.1数据完整性（S2）

本项规定包含：

应可以检测到判别信息和关键业务数据在

传输过程中完整性受到破坏。

1.1.5.2数据保密性（S2）

本项规定包含：

应采用加密或其它保护方法实现判别信息

存放保密性。

1.1.5.3备份和恢复（A2）

本项规定包含：

a）应可以对关键信息进行备份和恢

复

b)应提供关键网络设备、通信线路

和数据解决系统硬件冗余，保证

系统可用性。；

C)

1.2管理规定

1.2.1安全管理制度

1.2.1.1管理制度（G2）

a）本项规定包含：

b）应制订信息安全工作总体方针和

安全策略，说明机构安全工作总

体目的、范围、标准和安全框架

等：

c）应对安全管理活动中关键管理内

容建立安全管理制度；

d）应对规定管理人员或操作人员实

行平常管理操作建立操作规程；

1.2.1.2制订和公布（G2）

a）本项规定包含：

b）应指定或授权专门部门或人员负

责安全管理制度制订；

c）应组织相关人员对制订安全管理

制度进行论证和审定；

d）应将安全管理制度以谋合方法公

布到相关人员中。

1.2,1.3评审和修订（G2）

本项规定包含：

应定期对安全管理制度进行评审，对踩在

局限性或需求改善安全管理制度进行修

改。

应定期对安全管理制度进行评审，对踩在

局限性或需求改善安全管理制度进行修

改。

1.2.2安全管理机构

1.2.2.1岗位设立（G2；

a）本项规定包含：

1.2.2.2应设立安全主管、安全管理各

方面负责人岗位，并定义各负责人职责。

1.2.2.3应设立系统管理员、网络管理

员、安全管理员等岗位，并定义各个工作

岗位职责；

1.2.2.4人员配置（G2）

a）本项规定包含：

b）应配置一定数量系统管理员、网

络管理员、安全管理员等；

c）安全管理员不能兼任网络管理

员、系统管理员、数据库管理员

等；

1.2.2.5授权和审批（G2）

a）本项规定包含：

b）应依据各个部门和岗位职责明确

授权审批部门及批准人、对系统

投入运营、网络系统接入和关键

资源访问等关键活动进行审批；

1.2.2.6应针对关键活动建立审批环

节.并由批准人签字拟定；

1.2.2.7沟通和合作（G2）

a）本项规定包含：

b）应加强各类管理人员之间、组织

内部机构之间和信息安全职能部

门内部合作和沟通；

c）应加强和弟兄单位、公安机关、

电信公司合作和沟通。

1.2,2.8审核和检查（G2）

本项规定包含：

安全管理员应负责定期进行安全检查，检

杳内容包含系统平常运营、系统漏洞和数

据备份等情况；

安全管理员应负责定期进行安全检查，检

杳内容包含系统平常运营、系统漏洞和数

据备份等情况；

1.2.3人员安全管理

1.2.3.1人员录用（G2）

a）本项规定包含：

b）应指定或授权专门部门或人员负

责人员录用；

c）应规范人员录用过程，对被录用

人身份、背景、专业资格等进行

审查，对其所具有技术技能进行

考评；

d）应和从事关键岗位人员签署保密

协议

1.2.3.2人员离岗（G2）

a）本项规定包含：

b）应规范人员离岗过程，立即终止

离岗职工所有访问权限；

c）应取回多种身份证件、钥匙、徽

章等和机构提供软硬件设备：

d）应办理严格调离手续。

1.2.3.3人员考评（G2）

本项规定包含：

应定期对各个岗位人员进行安全技能及安

全认知考评；

1.2.3.4安全意识教育和培训（G2）

a）本项规定包含：

b）应对各类人员进行安全意识教

育、岗位技能培训和相关安全技

术培训；

c）应告知相关人员，对违反违反安

全策略和规定人员进行惩戒：

1.2.3.5应制订安全教育和培训计划，

对信息安全基础知识、岗位操作规程等进

行培训；

1.2.3.6外部人员访问管理（G2）

a）本项规定包含：

应保证在外部人员访问受控区域

前得到授权或审批，批准后由专

员全程陪同或监督，并登记备案

1.2.4系统建设管理

1.2.4.1系统定级（G2）

a）本项规定包含：

b）应明确信息系统边界和安全保护

等级；

c）应以书面形式说明拟定信息系统

为某个安全保护等级方法和理

由；

d）应保证信息系统定级结果通过相

关部门批准。

1.2.4.2安全方案设计（G2）

a）本项规定包含：

b）应依据系统安全保护等级选择基

础安全方法，并依据风险分析结

果补充和调整安全方法；

c）应以书面形式描述对系统安全保

护规定、策略和方法等内容，形

成系统安全方案3

d）应对安全方案进行细化，形成能

知道安全系统建设、安全产品采

购和使用品体设计方案

e）应组织相关部门和相关安全技术

专家对安全设计方案合理性和对

的性及进行论证和审定，并且通

过批准后，才干正式实行。

f）应组织相关部门和相关安全技术

专家对安全设计方案合理性和对

的性及进行论证和审定，并且通

过批准后，才干正式实行。

1.2.4.3产品采购和使用（G2）

a）本项规定包含：

b）应保证安全产品采购和使用符合

国家相关规定；

c）应保证密码产品采购和使用符合

国家密码主管部门规定；

d）应指定或授权专门部门负责产品

采购；

1.2.4.4自行软件开发（G2）

a）本项规定包含：

b）应保证开发环境和实际运营环境

物理分开

C）应制订软件开发管理制度，明确

说明开发过程控制方法和人员行

为准则；

1.2.4.5应保证提供软件设计相关文档

和使用指南，并由专员负责保管。

1.2.4.6外包软件开发（G2）

a）本项规定包含：

b）应依据开发需求检测软件质量；

c）应保证提供软件设计相关文档和

使用指南。

d）应在软件安装之前检测软件包中

也许存在恶意代码；

1.2.4.7应规定开发单位提供软件源代

码，并审查软件中也许存在后门。

1.2.4.8工程实行（G2）

a）本项规定包含：

b）应指定或授权专门部门或人员负

责工程实行过程管理；

c）应制订具体工程实行方案控制实

行过程；

1.2.4.9测实验收（G2）

a）本项规定包含：

b）应对系统进行安全件测实蛤收：

c）在测实验收前应依据设计方案或

协议规定等制订测实验收方案，

在测实验收过程中应具体记录测

实验收结果，并形成测实验收报

告：

1.2.4.10应组织相关部门和相关人员

对系统测实验收报告进行审定，并签字拟

定。

1.2.4.11系统交付（G2）

a）本项规定包含：

b）应制订系统交付清单，并依据交

付清单对所交接设备、软件和文

档等进行清点；

c）应对负责系统运营维护技术人员

进行相应技能培训；

d）应保证提供系统建设过程中文档

和指导用户进行系统运营维护文

档；

1.2.4.12安全服务商选择（G2）

本项规定包含：

a）应保证安全服务商选择符合国家

相关规定；

b）应和选定安全服务商签署和安全

相关协议，明确约定相关责任；

C）

d）应保证选定安全服务商提供技术

培训和服务承诺，必需和其签署

服务协议。

。）

1.2.5系统运维管理

1.2.5.1环境管理（G2）

a）本项规定包含：

b）应指定专门部门或人员定期对机

房供配电、空调、温湿度控制等

设施进行维护管理；

c）应配置机房安全管理人员，对机

房出入、服务器开机或关机等工

作进行管理；

d）应建立机房安全管理制度，对相

关机房物理访问，物品带进、带

出机房和机房环境安全等方面管

理作出规定；

1.2.5.2应加强对办公环境保密性管

理，规范办公环境人员行为，包含工作人

员调离办公室应立即交还该办公室钥匙、

不在办公区接待来访人员等。

1.2.5.3资产管理（G2）

a）本项规定包含：

b）应编制并保存和信息系统相关资

产清单，包含资产责任部门、关

键限度和所处位置等内容；

1.2.5.4应建立资产安全管理制度，规

定信息系统资产管理负责人员或责任部

门，并规范资产管理和使用行为；

1.2.5.5介质管理（G2；

a）本项规定包含：

b）应保证介质存放在安全环境中，

对各类介质进行控制和保护，并

实行存放环境专员管理；

c）应对介质归档和查询等进行登记

记录，并依据存档介质目录清单

定期盘点；

d）应对需要送出维修或销毁介质，

一方面清除其中敏感数据，防止

信息非法泄露。

e）应依据所承载数据和软件关键限

度对介质进行分类和标记管理。

1.2.5.6设备管理（G2；

a）本项规定包含：

b）应对信息系统相关多种设备（包

含备份和冗余设备）、线路等指

定专门部门或人员定期进行维护

管理；

C）应建立基于申报、审批和专员负

责设备安全管理制度，对信息系

统多种软硬件设备选型、采购、

发放和领用等过程进行规范化管

理；

d）应对终端计算机、工作站、便携

机、系统和网络等设备操作和使

用进行规范化管理，按操作规程

实现关键设备（包含备份和冗余

设备）启动/停上、加电/断电等

操作；

e）应保证信息解决设备必需通过审

批才干带离机房或办公地点。

1.2.5.7网络安全管理

本项规定包含：

a）应指定人员对网络进行管理，负

责运营日记、网络监控记录平常

维护和报警信息分析和解决工作

b）应建立网络安全管理制度，对网

络安全配置、日记保存时间、安

全策略、升级和打补丁、口令更

新周期等方面做出规定；

c）应依据厂家提供软件升级版本对

网络设备进行更新，并在更新前

对现相关键文献进行备份；

d）应定期对网络系统进行漏洞扫

描，对发现网络系统安全漏洞进

行立即修补；

e）应对网络设备配置文献进行定期

备份

f）应保证所有和外部系统连接均得

到授权和批准。

1.2.5.8系统安全管理（G2）

本项规定包含：

a）应依据业务需求和系统安全分析

拟定系统访问控制策略；

b）应定期进行漏洞扫描，对发现系

统安全漏洞立即进行修补：

c）

d）应安装系统最新补丁程序，在安

装系统补丁前，一方面在测试环

境中测试通过，并对关键文献进

行备份后，方可实行系统补丁程

序安装；

e）

f）应建立系统安全管理制度，对系

统安全策略、安全配置、日记管

理和平常操作环节等方面作出具

体规定；

g）应依据操作手册对系统进行维

护，具体记录操作日记，包含关

键平常操作、运营维护记录、参

数设立和修改等内容，严禁进行

未经授权操作；

h）应定期对运营日记和审计数据及

进行分析，方便立即发现异常行

为。

i）应定期对运营日记和审计数据及

进行分析，方便立即发现异常行

为。

1.2.5.9恶意代码防范管理（G2）

a）本项规定包含：

b）应提高所有用户防病毒意识，立

即告知防病毒软件版本，在读取

移动存放设备上数据和网络上接

受文献或邮件之前，优异行病毒

检查，对外来计算机或存放设备

接入网络系统之前也应进行病毒

检查；

c）应指定专员对网络和主机进行恶

意代码检测并保存检测记录；

d）应对防恶意代码软件授权使用、

恶意代码库升级、定期报告等作

出明确规定；

1.2.5.10密码管理（G2）

应使用符合国家密码管理规定密码技