系统单元安全等级的三要素.pdfVIP

系统单元安全等级的三要素

物理安全

物理位置的选择:机房和办公场地应选择具有防震、防风

和防雨等能力;应避免设在建筑物的高层或地下室，以及

用水设备的下层或隔壁;三级要求进行楼层的选

择。

物理访问控制:按照基本要求进行人员配备，制定管理制

度;同时对机房进行区域管理，设置过度区域、安装门禁;

三级要求加强对区域的管理和重要区域控制力

度。

防盗窃和防破坏:按照基本要求进行建设。制定防盗窃防

破坏相关管理制度;按照基本要求进行建设配置光、电等

防盗报警系统;三级根据要求进行光、电技术防盗报警系

统的配备。

防雷击:按照基本要求进行建设;设置防雷保安器;三级根

据要求设置防雷保安器，防止感应雷

防火:设置灭火设备和火灾自动报警系统;消防、耐火、隔

离等措施;三级根据要求进行消防、耐火、隔离等措

施

防水和防潮:采取措施防止雨水渗透、机房内水蒸气;安装

防水测试仪器;三级根据要求进行防水检测仪表的安装使

用

防静电:采用必要的接地防静电;安装防静电地板;三级根

据要求安装防静电地板

温湿度控制:配备空调系统.

电力供应:配备稳压器和过电压防护设备,配备UPS系统;

配备稳压器、UPS、冗余供电系统;三级根据要求设置冗

余或并行的电力电缆线路，建立备用供电系

统电磁防护:电源线和通信线缆隔离铺设;接地、

关键设备和磁介质实施电磁屏蔽;三级根据要求进行接

地，关键设备和介质的电磁屏蔽

网络安全

结构安全:关键设备选择高端设备，处理能力具备冗余空

间，合理组网，绘制详细网络拓扑图;在二级基础上，合

理规划路由，避免将重要网段直接连接外部系统，在业

务终端与业务服务器之间建立安全路径、带宽优先级管

理;三级根据要求在以下方面进行加强设计：主要网络设

备的处理能力满足高峰需求，业务终端与业务服务器之

间建立安全路径、重要网段配置ACL策略带宽优先

级

访问控制:防火墙，制定相应的ACL策略;防火墙配置配

置包括：端口级的控制粒度,常见应用层协议命令过滤,

会话控制,流量控制,连接数控制,防地址欺骗等策略;三级

在配置防火墙设备的策略时提出了更高的要求

安全审计:部署网络安全审计系统;部署网络安全审计系

统部署日志服务器进行审计记录的保存;三级对审计日志

保存提出更高要求，需要采用日志服务器进行审计记录

的保存

边界完整性检查:部署终端安全管理系统，启用非法外联

监控以及安全准入功能;部署终端安全管理系统，在进行

非法外联和安全准入检测的同时要进行有效阻断;三级相

对2级要求在检测的同时要进行有效阻断

入侵防范:部署入侵检测系统;部署入侵检测系统配置入

侵检测系统的日志模块;三级相对2级要求配置入侵检测

系统的日志模块，记录攻击源IP、攻击类型、攻击目的、

攻击时间等相关信息，并通过一定的方式进行告

警

恶意代码防范:无要求;部署UTM或AV、IPS;三级系统要

求具备网关处恶意代码的检测与清除，并定期升级恶意

代码库

网络设备防护:配置网络设备自身的身份鉴别与权限控制;

对主要网络设备实施双因素认证手段进身份鉴别;三级对

登陆网络设备的身份认证提出了更高要求，需要实施双

因素认证，设备的管理员等特权用户进行不同权限等级

的配置

主机安全

身份鉴别:对操作系统和数据库系统配置高强度用户名/

口令启用登陆失败处理、传输加密等措施;对主机管理员

登录时进行双因素身份鉴别（USBkey+密码）;三级要求

采用两种或两种以上组合的鉴别技术对管理用户进行身

份鉴别

访问控制:根据基本要求进行主机访问控制的配置;管理

员进行分级权限控制，重要设定访问控制策略进行访问

控制;三级根据要求对管理员进行分级权限控制，对重要

信息（文件、数据库等）进行标记

安全审计:部署主机审计系统;部署主机审计系统审计范

围扩大到重要客户端；同时能够生成审计报表;三级要求

能将审计范围扩大到重要客户端；同时能够生成审计报

表

剩余信息保护:无要求;通过对操作系统及数据库系统进

行安全加固配置，及时清除剩余信息的存储空间;三级要

求对剩余信息进行保护，通过安全服务方式进行

入侵防范:部署网络入侵检测系统部署终端安全管理系统;

部署网络入侵检测系统部署主机入侵检测系统部署终端

安全管理系统进行补丁及时分发;三级要求对重要服务器

进行入侵的行为，对重要程序进行代码审查，去