当前位置:首页 >> 互联网 >>

信息安全等级保护三级


1.1.1

应用安全

应用安全测评所对应生成的检查记录表包括:政府网站安全核查记录表。 各个测评单元的具体内容、测评对象和测评方法见表 5.1.4。 表 5.1.4 应用安全测评实施内容表
测评大项 测评项 技术要求 应提供专用的登录控制模块对登录 用户进行身份标识和鉴别 应对同一用户采用两种或两种以上 组合的鉴别技术实现用户身份鉴别 身份鉴别 应提供用户身份标识唯一和鉴别信 息复杂度检查功能, 保证应用系统中 不存在重复用户身份标识, 身份鉴别 信息不易被冒用 应提供登录失败处理功能, 可采取结 束会话、 限制非法登录次数和自动退 出等措施 应提供访问控制功能, 依据安全策略 控制用户对文件、 数据库表等客体的 访问 访问控制 应由授权主体配置访问控制策略, 并 严格限制默认账户的访问权限 应授予不同帐户为完成各自承担任 务所需的最小权限, 并在它们之间形 成相互制约的关系 应提供覆盖到每个用户的安全审计 功能, 对应用系统重要安全事件进行 审计 应保证无法单独中断审计进程, 无法 删除、修改或覆盖审计记录 审计记录的内容至少应包括事件的 日期、时间、发起者信息、类型、描 述和结果等 应提供对审计记录数据进行统计、 查 询、分析及生成审计报表的功能 剩余信息 保护 通信完整 保密性 应保证用户鉴别信息所在的存储空 间被释放或再分配给其他用户前得 到完全清除, 无论这些信息是存放在 硬盘上还是在内存中 1.应采用密码技术保证通信过程中 数据的完整性 测评对象

应用安全

安全审计

1.锦州市区域卫生信息平台

测评大项

测评项

技术要求 2.在通信双方建立连接之前, 应用系 统应利用密码技术进行会话初始化 验证 3.应对通信过程中的整个报文或会 话过程进行加密 1.应具有在请求的情况下为数据原 发者或接收者提供数据原发证据的 功能 2.应具有在请求的情况下为数据原 发者或接收者提供数据接收证据的 功能 应提供数据有效性检验功能, 保证通 过人机接口输入或通过通信接口输 入的数据格式或长度符合系统设定 要求 应提供自动保护功能, 当故障发生时 自动保护当前所有状态, 保证系统能 够进行恢复 当应用系统的通信双方中的一方在 一段时间内未作任何响应, 另一方应 能够自动结束会话 应能够对系统的最大并发会话连接 数进行限制

测评对象

抗抵赖

软件容错

资源控制

1.1.2

数据安全

数据安全涉及的测评对象包括:政府网站的业务数据和系统数据。 数据安全测评所对应生成的检查记录包含在主机系统安全核查记录表和应 用安全核查记录表中。 各个测评单元的具体内容、测评对象和测评方法见表 5.1.5。 表 5.1.5 数据安全测评实施内容表
测评大项 测评项 技术要求 应对登录操作系统和数据库系统的用 户进行身份标识和鉴别 操作系统和数据库系统管理用户身份 标识应具有不易被冒用的特点, 口令应 有复杂度要求并定期更换 应启用登录失败处理功能, 可采取结束 会话、 限制非法登录次数和自动退出等 措施 测评对象

数据安全

身份鉴别

1.锦州市区域卫生信 息平台数据库

测评大项

测评项

技术要求 应启用访问控制功能, 依据安全策略控 制用户对资源的访问 应根据管理用户的角色分配权限, 实现 管理用户的权限分离, 仅授予管理用户 所需的最小权限 应严格限制默认账户的访问权限, 重命 名系统默认账户, 并修改这些账户的默 认口令

测评对象

访问控制

访问控制

应及时删除多余的、 过期的账户, 避免 共享账户的存在 安全审计应覆盖到服务器和重要客户 端上的每个操作系统用户和数据库系 统用户 应保护审计记录, 避免受到未预期的删 除、修改或覆盖等

安全审计

资源控制

应通过设定终端接入方式、 网络地址范 围等条件限制终端登录 应提供数据本地备份与恢复功能, 完全 数据备份至少每天一次, 备份介质场外 存放 应提供异地数据备份功能, 利用通信网 络将关键数据定时批量传送至备用场 地

备份与恢 复


赞助商链接
相关文章:
信息安全等级保护三级测评控制点_图文
信息安全等级保护三级测评控制点_计算机硬件及网络_IT/计算机_专业资料。信息安全等级保护三级测评控制点一、技术类测评要求等级保护三级技术类测评控制点类别 序号 1....
国家信息安全等级保护制度第三级要求
国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1 技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包拪: a) 机房和办公场地应...
安全等级保护3级和2级的区别 - long_图文
安全等级保护3级和2级的区别 - long - 信息安全等级保护二级、三级要求比较 (三级包含了二级的所有要求) 一、 技术要求 技术要求项 二级等保 1) 机房和办公...
三级医院信息安全等级保护要求
三级医院信息安全等级保护要求 - 三级医院信息安全等级保护要求 安全类别 控制项 物理访问控制 防盗窃和防破坏 主要安全措施 机房安排专人负责,来访人员须审批和陪同...
医院信息安全等级保护三级建设思路
医院信息安全等级保护三级建设思路 摘要 随着医院信息化发展的不断深化,医院的信息安全工作显得越为重 要, 近期卫生部要求深化落实国家信息安全等级保护制度,要求原则...
安全等级保护2级和3级等保要求
安全等级保护2级和3级等保要求_计算机硬件及网络_IT/计算机_专业资料。信息安全等级保护二级与三级的区别 二级、三级等级保护要求比较一、 技术要求技术要求项 物理...
信息安全等级保护v1.0
6 办理办理信息系统安全保护等级备案手续时, 应当填写 《信息系统安全等级保护备案表》 , 第三级以上信息系统应当同时提供以下材料: (一)系统拓扑结构及说明; (二...
信息安全等级保护工作实施细则
信息安全等级保护工作实施细则 - 内部明电 发往: 签发: 信息安全等级保护工作实施细则 第一章 总则 第一条 信息安全等级保护制度是国家在国民经济和 社会信息化...
绿化贷获国家信息系统安全等级保护三级认证,附79家p2p名单
绿化贷获国家信息系统安全等级保护三级认证,附79家p2p名单_金融/投资_经管营销_专业资料。绿化贷获国家信息系统安全等级保护三级认证 ...
信息安全等级保护(二级)
信息安全等级保护(二级) 备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。 一、物理安全 1、应具有机房和办公场地的设计/验收...
更多相关标签: