国家标准检查应答-等保2.pdfVIP

国家标准检查应答-等保2.0安全通用要

求(三级)

第三级安全通用要求包括机房物理安全、防盗窃和防破坏、

防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应

和电磁防护等方面。以下为具体要求：

机房场地应选择具有防震、防风和防雨等能力的建筑内，

避免设在建筑物的顶层或地下室，并加强防水和防潮措施。机

房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。

设备或主要部件应进行固定，并设立明显的不易除去的标

识。通信线缆应铺设在隐蔽安全处，机房应设置防盗报警系统

或视频监控系统。

机房应设置火灾自动消防系统，采用耐火等级的建筑材料，

对机房划分区域进行管理，设置隔离防火措施。应采取措施防

止雨水和水蒸气结露转移和渗透，并安装对水敏感的检测仪表

或元件，对机房进行防水检测和报警。

防静电地板或地面和必要的接地防静电措施应采用，防止

静电的产生，如采用静电消除器和防静电手环等。应设置温湿

度自动调节设施，使机房温湿度的变化在设备运行所允许的范

围内。

在机房供电线路上配置稳压器和电力供应过电压防护设备，

提供短期的备用电力供应，至少满足设备在断电情况下的正常

运行要求，并设置冗余或并行的电力电缆线路为计算机系统供

电。

电源线和通信线缆应隔离铺设，避免互相干扰，对关键设

备应实施电磁屏蔽。网络设备的业务处理能力和带宽应满足业

务高峰期需要。

总之，第三级安全通用要求是保障机房和设备安全的基本

要求，必须严格执行。

建议部署：边界防火墙或网络设备进行ACL策略访问控

制。

b)应对网络边界或区域之间的通信流量进行实时监控，并

记录审计信息；

可通过安全管理系统对

网络流量进行实时监控

和审计记录。

建议部署：安全管理系统对网络流量进行实时监控和审计

记录。

c)应对网络边界或区域之间的通信流量进行安全审计，及

时发现和处置安全事件；

可通过安全管理系统对

网络流量进行安全审计

和及时处理安全事件。

建议部署：安全管理系统对网络流量进行安全审计和及时

处理安全事件。

d)应定期对网络边界或区域之间的访问控制策略进行评估

和调整；

建议定期对网络边界

或区域之间的访问控制

策略进行评估和调整。

访问控制，优化访问控制列表并最小化访问控制规则的数

量。可以使用安全策略梳理网关等安全设备进行边界安全防火

墙的访问控制策略梳理。

对源地址、目的地址、源端口、目的端口和协议等进行检

查，以允许或拒绝数据包进出。可以使用边界防火墙或网络设

备进行访问策略控制。

应能根据会话状态信息为进出数据流提供明确的允许或拒

绝访问的能力。可以使用边界防火墙七层网络设备进行访问策

略控制。

应对进出网络的数据流实现基于应用协议和应用内容的访

问控制。可以使用边界防火墙设备的IPS及AV模块对外进行

应用识别功能，识别应用协议并对应用的内容进行过滤，进行

访问控制。

在关键网络节点处应检测、防止或限制威胁进行检测与阻

断，包括外部发起的网络攻击行为和内部发起的网络攻击行为。

需要深信服产品配合检测不经过防火墙的东西流量。可以使用

边界防火墙设备的IPS及AV模块对外部威胁进行检测与阻断，

同时需要深信服的信息安全管理平台及威胁检测探针配合。应

采取技术措施对网络行为进行分析，实现对网络攻击特别是新

型网络攻击行为的分析。当检测到攻击行为时，应记录攻击源

IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时

应提供报警。

在关键网络节点处应对恶意代码进行检测和清除，并维护

恶意代码防护机制的升级和更新。可以通过边界防火墙设备的

IPS和AV防御功能进行网络中的防恶意代码防范。同时，应

对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级

和更新。建议新增邮件安全网关设备进行防护。

身份鉴别。

建议采用双因素身份鉴别技术，如口令和指纹识别等，以

提高身份鉴别的安全性。同时，通过堡垒机实现双因素身份鉴

别，可以有效防止非法登录和信息泄露等安全问题。

注：已删除明显有问题的段落，小幅度改写每段话以提高

语言表达的清晰度和准