等级保护三级(等保三级)基本要求

1、等级保护第三级基本要求实施建议残留问题1.1.1物理安全选择物理位置(G3)牙齿要求包括：a)机房和办公室应在具有防尘、防风、防止郑智薰等能力的建筑物内选择。b)机房安装在建筑物高层或地下室、用水设备下层或隔壁渡边杏。一般选择在建筑2-3层。(与b类安全室相同的位置要求。)，以获取详细信息物理访问控制(G3)牙齿要求包括：a)机房出入口要安排控制、识别和记录出入的人。b)必须进入机房的访客必须经过申请和批准过程，限制和监控活动范围。c)必须管理机房分区，在区域和区域之间安装物理隔离装置，并在重要区域前安装切换区域(例如送货或安装)。d)重要地区需要配置电子门禁系统，

2、以控制、认证和记录进来的人。安装重要地区物理隔离和电子门禁系统(北京市天宇飞行、深圳市微耕作、瑞士卡瓦或德国卡瓦加伦施茨)防盗和防破坏(G3)牙齿要求包括：a)主要设备应部署在机房。b)固定设备或主要部件，设置不能轻易拆卸的明显标记。使用机柜，在设备上焊接铭牌，显示设备型号、保管人、维护单位等信息。(设备铭牌只能销毁。)，以获取详细信息c)通信电缆应放置在地下或管道内部的藏身处。d)媒体分类id必须保存在媒体库或存档文件中。e)要利用光、传记等技术安装机房防盗报警系统。机房安装光电防盗报警系统。f)必须在电脑室安装监控报警系统。在机房安装视频监控报警系统。防闪电(G

3、3)牙齿要求包括：a)机房建筑要安装避雷装置。b)为了防雷，必须安装防雷装置。安装电源供应设备第三次防雷装置和信号第二次防雷装置(美国克里特ALLTEC)。c)机房应安装交流电源接地线。防火(G3)牙齿要求包括：a)机房应安装火灾探测、自动报警、自动灭火的自动消防系统。安装了管网气体自动灭火系统。b)机房和相关工作室和辅助室具有耐火等级的建筑材料进行机房改造，利用防火材料装修。c)机房应采取区域隔离防火措施，将重要设备与其他设备隔离。进行机房改造，重要地区使用防火玻璃隔板。防水和防潮(G3)牙齿要求包括：a)安装水管、机房屋顶和活动地板下；b)必须采取措施防止雨水通

4、过机房窗户、屋顶、墙壁渗透。c)必须采取措施，防止机房内水汽结露和地下水的迁移和渗透。d)安装对水敏感的传感器或部件，并在机房进行防水检测和报警。安装包含泄漏检测装置的机房电源环境监测系统(机房设备的运行状态、温度、湿度、清洁度、供电电压、电流、频率、配电系统的开关状态、泄漏检测系统等的实时监测和历史数据记录)。防静电(G3)牙齿要求包括：a)主要设备应采取必要的接地防静电措施。b)机房需要使用防静电地板。温度和湿度控制(G3)机房应设置温度、湿度自动调节设施，使机房温度、湿度的变化在设备运行允许的范围内。安装精密空调系统，配置温湿度检测装置，访问电力环境监测系统。

5、供电(A3)牙齿要求包括：a)在机房供电线路上，必须配置稳压器和过电压保护设备。配置线路电压调节器和电源保护装置，例如金属氧化物可变电阻、硅雪崩二极管、气体放电管、过滤器、电压曹征变压器和浪涌过滤器。b)至少在停电时，提供满足主要设备正常运行要求的短期备用电源。在基本设备上配置UPS。c)冗馀或并行电源线必须设置为电脑系统供电。d)应建立大气供电系统。提供备用供电系统，并根据业务恢复时间的要求设置备用供电系统的切换时间。0电磁防护(S3)牙齿要求包括：a)为了防止外部电磁干扰和设备寄生耦合干扰，应使用接地方式。b)电源线和通信电缆应隔离并安装，以避免徐璐干扰。c)必

6、须在核心设备和磁介质中实施电磁屏蔽。采用屏蔽柜。1.1.2网络安全结构安全(G3)牙齿要求包括：a)主要网络设备的业务处理能力中存在冗馀空间，必须保证满足业务高峰时间。b)确保网络各部分的带宽满足业务爆炸要求。c)必须在业务终端和业务服务器之间进行路由控制，以建立安全的访问路径。d)必须绘制与当前操作一致的网络拓扑图。e)根据每个部门的业务功能、重要性、相关信息的重要性等，徐璐划分不同的子网或网络段，并根据易于管理和控制的原则为每个子网、网络段分配地址段。f)应避免将重要的网络段放置在边界上并直接连接到外部网络，并在重要的资讯系统段和其他段之间采用可靠的技术隔离手段。重要的网络段

7、与其他网络段隔离，使用防火墙或网关。g)带宽分配优先级级别必须按业务服务的重要顺序指定，以便在出现网络拥塞的情况下优先保护重要主机。在多个业务共享的网络设备上配置QOS。存取控制(G3)牙齿要求包括：a)必须在网络边界部署访问控制设备以启用访问控制功能。b)根据会话状态信息，必须在通信端口级别控制明确允许/拒绝访问数据流的能力。c)需要筛选网络内外的信息内容，以控制协议命令级别，如应用层HTTP、FTP、telnet、SMTP、POP3等。d)会话处于非活动状态，或会话终止后，必须终止网络连接。e)必须限制最大网络通信量和网络连接数。f)重要网络段应采取技术措施防止地址欺骗。g)

8、根据用户与系统之间的允许访问规则，必须允许或拒绝用户资源访问受管理的系统，并细分为单独的用户。h)必须限制具有拨号连线访问权限的用户数。在网络边界放置防火墙。安全审计(G3)牙齿要求包括：a)必须记录网络系统的网络设备状态、网络通信量、用户操作等。b)审核记录必须包含事件日期和时间、用户、事件类型、事件是否成功以及其他与审核相关的信息。c)能够根据历史数据进行分析和生成审核报告。d)必须保护审核记录，以免意外删除、修改或复盖。部署专业日志审核系统。检查边界完整性(S3)牙齿要求包括：a)未经许可的设备必须能够检查与内部网络个人连接的行为，准确确定位置，有效地切断。部

9、署终端安全管理系统，使用IP/MAC绑定和ARP阻止功能进行非法访问控制。b)内部网络用户必须能够检查与外部网络隐秘连接的行为，准确确定位置，并有效地阻止它们。部署终端安全管理系统，提供非法宣传监控功能。入侵防护(G3)牙齿要求包括：a)通信端口扫描、强攻击、特洛伊木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等攻击行为应在网络边界进行监视。b)如果检测到攻击行为，则应记录攻击源IP、攻击类型、攻击目的、攻击时间，并在发生严重入侵事件时提供警报。入侵检测系统部署。预防恶意代码(G3)牙齿要求包括：a)恶意代码应在网络边界检测并删除。b)需要维

10、护恶意代码库的升级和检测系统更新。部署病毒过滤器网关系统。网络设备保护(G3)牙齿要求包括：a)必须认证登录网络设备的用户。b)必须限制网络设备的管理员登录地址。c)网络设备用户的id必须唯一。d)主要网络设备要求同一用户选择两种或多种身份验证技术进行身份验证。e)认证信息应具有不容易使用的特性，密码应具有复杂的要求，定期更换。f)必须具有登录失败处理功能，以便采取终止会话、限制非法登录数、自动终止网络登录连接超时等措施。g)远程管理网络设备时，应采取必要的措施，防止在网络传输过程中窃听认证信息。使用动态电子令牌身份验证系统(如RSA SecurID)。h)必须实现设备权限用户的

11、权限分离。1.1.3主机安全认证(S3)牙齿要求包括：a)必须确定和认证登录操作系统和数据库系统的用户。b)操作系统和数据库系统管理用户ID必须具有不容易使用的特性，密码必须具有复杂的要求和定期更换的要求。c)必须启用登录失败处理功能，可以终止会话、限制非法登录次数并执行自动终止。d)在远程管理服务器时，应采取必要的措施，防止在网络传输过程中窃听身份验证信息。e)必须为操作系统和数据库系统上的不同用户指定不同的用户名，以确保用户名唯一。使用操作系统和数据库系统安全评估和加固服务。f)必须结合两种或多种身份验证技术对管理用户进行身份验证。使用动态电子令牌身份验证系统(如RSA Se

12、curID)。存取控制(S3)牙齿要求包括：a)必须启用访问控制功能，以便根据安全策略控制用户对资源的访问。b)根据管理用户的角色分配权限，应分离管理用户的权限，仅授予管理用户所需的最低权限。c)必须实现操作系统和数据库系统权限用户的权限分离。d)必须严格限制对主帐户的访问，重命名系统默认帐户，并修改这些帐户的默认密码。e)必须立即删除重复和过期的帐户，以防止孔刘帐户的存在。f)必须设置对重要信息资源敏感的标记。g)用户对重要信息资源的操作必须严格按照安全策略进行控制。部分国产Linux操作系统或B1级操作系统等安全操作系统，或C2级操作系统安装内核增强软件，如wave SSR服

13、务器安全增强系统-Windows。安全审计(G3)牙齿要求包括：a)审核范围应适用于服务器和重要客户端上的每个操作系统用户和数据库用户。b)审计内容应包括系统内重要的安全相关事件，如重要的用户行为、系统资源的异常使用、重要系统命令的使用等。c)审计历史记录必须包含事件的日期、时间、类型、主体id、对象id和结果。服务器打开日志功能。重要客户端安装终端安全管理软件审计。d)能够根据历史数据进行分析和生成审核报告。采用专门的日志审计系统。e)审计过程应受到保护，以免意外中断。服务器安全操作系统或安装内核强化软件、审核流程保护、流程中断防止重要客户端终端安全管理代理流程有自己的保护机制

14、。f)审核记录必须受到保护，以免意外删除、修改或复盖。采用专门的日志审计系统。保护其馀信息(S3)牙齿要求包括：a)无论操作系统和数据库系统用户身份验证信息所在的存储空间是存储在硬盘还是内存中，都必须在释放或重新分配给其他用户之前完全清除。b)确保系统内具有资源(如档案、目录、数据库唱片等)的存储空间在释放或重新分配给其他用户之前完全清理。安装了安全操作系统(例如某些国产Linux操作系统或B1级操作系统)或Windows平台的其馀信息保护软件。(与物件重复使用。)，以获取详细信息入侵防护(G3)牙齿要求包括：a)能够检测重要的服务器入侵，记录入侵的源IP、攻击类型

15、、攻击的目的、攻击的时间，并在发生严重的入侵事件时提供警报。使用主机或网络入侵检测系统。b)必须能够执行关键过程的完整性测试，并在检测完整性破坏后采取恢复措施。使用安全操作系统或安装内核增强软件c)根据操作系统最低安装原则，应仅安装所需的组件和应用程序，并通过设置升级服务器等及时更新系统补丁程序。采用操作系统安全评估和加强服务，部署补丁服务器。预防恶意代码(G3)牙齿要求包括：a)安装防恶意软件软件和更新防恶意软件软件版本和恶意代码库b)主机防恶意软件产品应具有与网络防恶意软件产品不同的恶意代码库。c)必须支持防恶意软件代码的统一管理。网络版本防病毒软件安装和病毒筛选网关异构。1

16、.1.3.7资源管理(A3)牙齿要求包括：a)应通过设置终端连接方法、网络地址范围等条件来限制终端登录。b)根据安全策略，必须设置登录终端操作的超时锁定。采用操作系统安全评估和加固服务。c)关键服务器监控，包括服务器CPU、硬盘、内存、网络等资源使用情况的监控d)必须限制单个用户的系统资源的最大或最小使用限制。e)系统的服务级别必须降低到预定的最小值，以便检测和警告。使用操作系统附带或第三方资源监控软件1.1.4应用程序节目安全性认证(S3)牙齿要求包括：a)必须提供专用登录控制模块，以识别和认证登录的用户。进行应用系统的二次开发。b)同一用户必须使用使用两种或多种组合的身份验证技术实现用户身份验证。c)提供