| 序號(hào) | 建議功能或模塊 | 建議方案或產(chǎn)品 | 重要程度 | 主要依據(jù) | 備注 |
| 安全層面 | 三級(jí)分項(xiàng) | 三級(jí)測(cè)評(píng)指標(biāo) | 權(quán)重 |
| 1 | 邊界防火墻與區(qū)域防火墻
(帶寬管理模塊) |
| 非常重要 | 網(wǎng)絡(luò)安全 | 訪問(wèn)控制(G3) | a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備,啟用訪問(wèn)控制功能�; | 0.5 |
|
| b)應(yīng)能根據(jù)會(huì)話(huà)狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力,控制粒度為端口級(jí)�; | 1 |
|
| 網(wǎng)絡(luò)安全 | 結(jié)構(gòu)安全(G3) | f)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng),重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段�; | 0.5 |
|
| g)應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別,保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)����。 | 0.5 |
|
| 2 | ***防護(hù)系統(tǒng) |
| 非常重要 | 網(wǎng)絡(luò)安全 | ***防范(G3) | a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下***行為:端口掃描、強(qiáng)力***�����、***后門(mén)***����、拒絕服務(wù)***、緩沖區(qū)溢出***���、IP碎片***和網(wǎng)絡(luò)蠕蟲(chóng)***等 | 1 |
|
| b)當(dāng)檢測(cè)到***行為時(shí),記錄***源IP����、***類(lèi)型、***目的、***時(shí)間等��,在發(fā)生嚴(yán)重***事件時(shí)應(yīng)提供報(bào)警�����,及時(shí)進(jìn)行處置��。(落實(shí)) | 0.5 |
|
| 網(wǎng)絡(luò)安全 | 訪問(wèn)控制(G3) | c)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾����,實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP�����、TELNET����、SMTP、POP3等協(xié)議命令級(jí)的控制�����; | 1 |
|
| 3 | 防病毒網(wǎng)關(guān) |
| 重要 | 網(wǎng)絡(luò)安全 | 惡意代碼防范(G3) | a)應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除 | 1 |
|
| b)應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新�。 | 0.5 |
|
| 4 | WEB應(yīng)用防火墻
(或防篡改) |
| 重要 | 數(shù)據(jù)管理安全 | 數(shù)據(jù)完整性(S3) | a)應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)����、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞�����,并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施����; | 0.2 | 協(xié)議校驗(yàn)、防篡改等功能 |
| 應(yīng)用安全 | 軟件容錯(cuò)(A3) | a)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能����,保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求; | 1 | 部分老舊應(yīng)用無(wú)相關(guān)校驗(yàn)功能��,可由WEB應(yīng)用防火墻對(duì)應(yīng)用請(qǐng)求進(jìn)行合法性過(guò)濾 |
| 5 | 終端管理軟件
(補(bǔ)丁分發(fā)系統(tǒng)) |
| 重要 | 網(wǎng)絡(luò)安全 | 邊界完整性檢查(S3) | b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶(hù)私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查�,準(zhǔn)確定出位置,并對(duì)其進(jìn)行有效阻斷�。 | 1 | 通過(guò)終端管理軟件限制終端多網(wǎng)卡情況 |
| 主機(jī)安全 | ***防范(G3) | c)操作系統(tǒng)應(yīng)遵循最小安裝的原則,僅安裝需要的組件和應(yīng)用程序��,并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新�����。 | 0.5 | 可通過(guò)終端管理軟件統(tǒng)一分發(fā)補(bǔ)丁 |
| 6 | 企業(yè)版殺毒軟件 |
| 非常重要 | 主機(jī)安全 | 惡意代碼防范(G3) | a)應(yīng)安裝防惡意代碼軟件��,并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)���; | 1 |
|
| b)主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫(kù)�; | 0.5 |
|
| c)應(yīng)支持防惡意代碼的統(tǒng)一管理�����。 | 0.5 |
|
| 7 | 網(wǎng)絡(luò)準(zhǔn)入系統(tǒng) |
| 重要 | 網(wǎng)絡(luò)安全 | 邊界完整性檢查(S3) | a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查�,準(zhǔn)確定出位置,并對(duì)其進(jìn)行有效阻斷�; | 1 |
|
| 8 | 日志審計(jì)系統(tǒng) |
| 非常重要 | 網(wǎng)絡(luò)安全 | 安全審計(jì)(G3) | a)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量�、用戶(hù)行為等進(jìn)行日志記錄; | 1 |
|
| b)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間���、用戶(hù)�����、事件類(lèi)型�、事件是否成功及其他與審計(jì)相關(guān)的信息�。 | 0.5 |
|
| c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析��,并生成審計(jì)報(bào)表��; | 1 |
|
| d)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)����,避免受到未預(yù)期的刪除���、修改或覆蓋等 | 0.5 |
|
| 主機(jī)安全 | 安全審計(jì)(G3) | e)應(yīng)保護(hù)審計(jì)進(jìn)程�,避免受到未預(yù)期的中斷��; | 0.5 |
|
| 9 | 數(shù)據(jù)庫(kù)審計(jì) |
| 重要 | 主機(jī)安全 | 安全審計(jì)(G3) | a)審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶(hù)端上的每個(gè)操作系統(tǒng)用戶(hù)和數(shù)據(jù)庫(kù)用戶(hù)�����; | 1 |
|
| 10 | 運(yùn)維審計(jì)系統(tǒng)(堡壘機(jī)) |
| 重要 | 網(wǎng)絡(luò)安全 | 網(wǎng)絡(luò)設(shè)備防護(hù)(G3) | d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶(hù)選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別�; | 1 | 部分網(wǎng)絡(luò)設(shè)備不支持雙因子認(rèn)證、口令復(fù)雜度策略與更換策略����,需要第三方運(yùn)維管理工具實(shí)現(xiàn)。 |
| e)身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)�����,口令應(yīng)有復(fù)雜度要求并定期更換; | 1 |
| 主機(jī)安全 | 訪問(wèn)控制(S3) | b)應(yīng)根據(jù)管理用戶(hù)的角色分配權(quán)限�,實(shí)現(xiàn)管理用戶(hù)的權(quán)限分離,僅授予管理用戶(hù)所需的最小權(quán)限����; | 0.5 |
|
| 11 | 網(wǎng)絡(luò)管理系統(tǒng) |
| 重要 | 主機(jī)安全 | 資源控制(A3) | c)應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視��,包括監(jiān)視服務(wù)器的CPU����、硬盤(pán)、內(nèi)存��、網(wǎng)絡(luò)等資源的使用情況����; | 0.5 | 通過(guò)SNMP等協(xié)議統(tǒng)一監(jiān)控各層面設(shè)備資源的系統(tǒng) |
| e)應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。 | 0.2 |
|
| 12 | 異地備份方案 |
| 重要 | 數(shù)據(jù)管理安全 | 備份和恢復(fù)(A3) | a)應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能����,完全數(shù)據(jù)備份至少每天一次,備份介質(zhì)場(chǎng)外存放���; | 0.5 |
|
| b)應(yīng)提供異地實(shí)時(shí)備份功能�,利用通信網(wǎng)絡(luò)將數(shù)據(jù)實(shí)時(shí)備份至災(zāi)難備份中心 | 0.5 |
|
重慶分公司
重慶分公司
