等级保护2.0安全真题要求 .pdfVIP

等级保护2.0安全通用要求

一、物理安全

1.物理访问控制：应按照严格的访问控制策略进行物理访问，对进出数据中

心的人员、车辆、物资进行管控，对数据中心出入口、重要区域和设备设

施进行视频监控。

2.物理安全审计：应记录并审计进入数据中心的人员活动，对数据中心出入

口、重要区域和设备设施的物理活动进行审计。

3.防盗窃和防破坏：应保护数据中心及其设备设施免受盗窃和破坏。

4.防雷击：应按照标准要求进行防雷击保护。

5.防火：应按照标准要求进行防火保护。

6.防水和防潮：应按照标准要求进行防水和防潮保护。

7.防静电：应按照标准要求进行防静电保护。

8.温湿度控制：应按照标准要求进行温湿度控制，保证设备设施的正常运行。

9.电力控制：应按照标准要求进行电力控制，保证电力供应稳定可靠。

二、网络安全

1.网络安全域划分：应合理划分网络安全域，根据业务需求设置不同的安全

级别，保证网络安全管理的有效性和可操作性。

2.网络访问控制：应采用多种方式进行网络访问控制，包括物理地址绑定、

MAC地址过滤、IP/MAC/端口/URL过滤等，实现对网络访问的精细化控

制。

3.网络入侵检测和防御：应设置网络入侵检测和防御系统，及时发现并阻止

网络攻击行为。

4.网络设备安全：应保证网络设备的安全性，包括对设备进行必要的安全配

置和管理，及时更新安全补丁等。

5.网络安全审计：应对网络安全事件进行审计记录，及时发现并处理网络安

全问题。

三、主机安全

1.身份鉴别：应对主机系统进行身份鉴别，保证只有授权用户可以访问主机

系统。

2.访问控制：应采用多种方式进行主机访问控制，包括文件和目录的权限控

制、应用程序访问控制等，保证主机系统的安全性。

3.安全审计：应对主机系统的操作进行审计记录，及时发现并处理主机系统

的不安全因素。

4.数据完整性保护：应采用技术和管理措施保证主机数据的完整性，防止数

据被篡改或破坏。

5.恶意代码防范：应采用多种方式防范恶意代码的攻击，包括安装杀毒软件、

定期升级病毒库等。

6.操作系统安全：应保证操作系统的安全性，包括及时更新系统补丁、关闭

不必要的端口和服务等。

7.应用软件安全：应保证应用软件的安全性，包括对应用软件进行必要的安

全配置和管理、防止恶意代码注入等。

8.日志记录：应对主机系统的操作进行日志记录，以便于跟踪和分析安全事

件。

四、应用安全

1.身份鉴别：应对应用系统进行身份鉴别，保证只有授权用户可以访问应用

系统。

2.访问控制：应采用多种方式进行应用系统访问控制，包括基于角色的访问

控制、会话管理、URL过滤等，保证应用系统的安全性。

3.安全审计：应对应用系统的操作进行审计记录，及时发现并处理应用系统

的不安全因素。

4.数据完整性保护：应采用技术和管理措施保证应用数据的完整性，防止数

据被篡改或破坏。

5.输入输出验证：应对输入数据进行验证和过滤，确保输入数据的正确性和

安全性；同时应对输出数据进行检查和过滤，防止恶意代码的传播和攻击。