当前位置:首页 >> 互联网 >>

烟草行业信息系统安全等级保护基本要求


烟草行业信息系统安全 等级保护基本要求

二○一一年五月

- 1 -


引 1. 2. 3. 3.1. 4. 4.1. 4.2. 4.3. 4.4. 5. 5.1. 5.1.1. 5.1.2. 5.1.3. 5.1.4. 5.1.5. 5.2. 5.2.1. 5.2.2. 5.2.3. 5.2.4. 5.2.5. 6. 6.1. 6.1.1.



言 ...................................................................................................................................................... - 3 范围 .............................................................................................................................................. - 4 规范性引用文件 .......................................................................................................................... - 4 术语和定义 .................................................................................................................................. - 4 安全保护能力 ....................................................................................................................... - 4 -

烟草行业信息系统安全等级保护概述....................................................................................... - 4 烟草行业信息系统安全保护等级 ........................................................................................... - 4 不同等级的安全保护能力 ....................................................................................................... - 4 基本技术要求和基本管理要求 ............................................................................................... - 5 基本技术要求的三种类型 ....................................................................................................... - 5 第一级基本要求 .......................................................................................................................... - 5 技术要求................................................................................................................................... - 5 物理安全 ............................................................................................................................... - 5 网络安全 ............................................................................................................................... - 7 主机安全 ............................................................................................................................... - 8 应用安全 ............................................................................................................................... - 9 数据安全及备份恢复 ........................................................................................................... - 9 管理要求................................................................................................................................. - 10 安全管理制度 ..................................................................................................................... - 10 安全管理机构 ..................................................................................................................... - 10 人员安全管理 ..................................................................................................................... - 11 系统建设管理 ..................................................................................................................... - 12 系统运维管理 ..................................................................................................................... - 15 -

第二级基本要求 ........................................................................................................................ - 18 技术要求................................................................................................................................. - 18 物理安全 ............................................................................................................................. - 18 -

I

6.1.2. 6.1.3. 6.1.4. 6.1.5. 6.2. 6.2.1. 6.2.2. 6.2.3. 6.2.4. 6.2.5. 7. 7.1. 7.1.1. 7.1.2. 7.1.3. 7.1.4. 7.1.5. 7.2. 7.2.1. 7.2.2. 7.2.3. 7.2.4. 7.2.5. 8. 9. 附 附

网络安全 ............................................................................................................................. - 21 主机安全 ............................................................................................................................. - 23 应用安全 ............................................................................................................................. - 26 数据安全及备份恢复 ......................................................................................................... - 28 管理要求................................................................................................................................. - 29 安全管理制度 ..................................................................................................................... - 29 安全管理机构 ..................................................................................................................... - 30 人员安全管理 ..................................................................................................................... - 31 系统建设管理 ..................................................................................................................... - 33 系统运维管理 ..................................................................................................................... - 37 -

第三级基本要求 ........................................................................................................................ - 44 技术要求................................................................................................................................. - 44 物理安全 ............................................................................................................................. - 44 网络安全 ............................................................................................................................. - 49 主机安全 ............................................................................................................................. - 53 应用安全 ............................................................................................................................. - 56 数据安全及备份恢复 ......................................................................................................... - 60 管理要求................................................................................................................................. - 61 安全管理制度 ..................................................................................................................... - 61 安全管理机构 ..................................................................................................................... - 63 人员安全管理 ..................................................................................................................... - 66 系统建设管理 ..................................................................................................................... - 69 系统运维管理 ..................................................................................................................... - 76 -

第四级基本要求 ........................................................................................................................ - 87 第五级基本要求 ........................................................................................................................ - 87 录 A (规范性附录) 烟草行业信息系统整体安全保护能力要求 ...................................... - 88 录 B (规范性附录) 烟草行业信息系统安全要求的选择和使用 ...................................... - 90 -

II





本要求依据国家信息安全等级保护管理规定制订。从烟草行业实际情况出发, 对《信息系统安全等级保护基本要求》(GB/T 22239—2008)的有关要求进行了明确、 细化和调整,提出和规定了烟草行业不同等级信息系统的安全要求,适用于烟草行业 按照等级保护要求进行安全建设、测评和监督管理等工作。

- 3 -

烟草行业信息系统安全等级保护基本要求
1. 范围 本要求规定了烟草行业不同安全保护等级信息系统的安全要求,包括基本技术要求和基 本管理要求,适用于烟草行业按照等级保护要求进行安全建设、测评和监督管理等工作。 2. 规范性引用文件 GB/T 5271.8 信息技术 词汇 第 8 部分:安全(GB/T 5271.82001, idt ISO/IEC 2382 —8:1998) GB 17859 计算机信息系统安全保护等级划分准则 GB 50174—2008 电子信息系统机房设计规范 GB/T 22240—2008 信息安全技术 信息系统安全等级保护定级指南 GB/T 22239—2008 信息安全技术 信息系统安全等级保护基本要求 YC/T 389—2011 烟草行业信息系统安全等级保护与信息安全事件的定级准则 3. 术语和定义 GB/T 5271.8 和 GB 17859—1999 确定的以及下列术语和定义适用于本要求。 3.1. 安全保护能力 security protection ability

系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。 4. 烟草业信息系统安全等级保护概述 4.1.烟草业信息系统安全保护等级 烟草行业信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后 对国家安全、社会秩序、公共利益以及法人和其他组织的合法权益的危害程度,等级划分定 义见 YC/T 389—2011。 4.2.不同等级的安全保护能力 不同等级的信息系统应具备的基本安全保护能力如下: 第一级安全保护能力:应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的 恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害。信息系 统遭到破坏后,对业务造成局部性影响且经济损失程度一般,由信息系统建设和使用单位按 本单位信息化工作部门有关规定进行自行保护,它需要实施系统安全运行所需的基本的技术 要求和安全管理要求。 第二级安全保护能力:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁 源发起的恶意攻击、 一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害, 能够发现重要的安全漏洞和安全事件。信息系统遭到破坏后,对烟草业务造成区域性影响且

- 4 -

经济损失程度较大,由信息系统建设和使用单位在国家烟草专卖局有关部门的指导下进行保 护,它需要实施系统安全运行所需的一定程度的技术要求和安全管理要求。 第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、 拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度 的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件。信息系统遭到破坏后,对业 务造成全局性影响或经济损失程度严重,由信息系统建设和使用单位在国家烟草专卖局有关 部门的监督下进行保护,它需要实施系统安全运行所需的高程度的技术要求和严格的安全管 理要求。 第四级安全保护能力: (略) 第五级安全保护能力: (略) 。 4.3.基本技术要求和基本管理要求 基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安 全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。技 术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正 确的配置其安全功能来实现;管理类安全要求与信息系统中各种角色参与的活动有关,主要 通过控制各种角色的活动,从制度、规范、流程以及记录等方面做出规定来实现。 基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出; 基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管 理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。 基本安全要求从各个层面或方面提出了系统的每个部分应该满足的安全要求,信息系统 具有的整体安全保护能力通过不同组件实现基本安全要求来保证。除了保证系统的每个组件 满足基本安全要求外,还要考虑组件之间的相互关系,来保证信息系统的整体安全保护能力。 关于烟草行业信息系统整体安全保护能力的说明见附录 A。 对于涉及国家秘密的信息系统,应按照国家保密工作部门的相关规定和标准进行保护。 对于涉及密码的使用和管理,应按照国家密码管理的相关规定和标准实施。 4.4.基本技术要求的三种类型 根据保护侧重点的不同,技术类安全要求进一步细分为:保护数据在存储、传输、处理 过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为 S) ;保护系统连续正 常的运行, 免受对系统的未授权修改、 破坏而导致系统不可用的服务保证类要求 (简记为 A) ; 通用安全保护类要求(简记为 G) 。本要求中对基本安全要求使用了标记,其中的字母表示安 全要求的类型,数字表示适用的安全保护等级。 5. 第一级基本要求 5.1.技术要求 5.1.1. 物理安全 5.1.1.1.物理访问控制(G1) 机房出入应安排专人负责,控制、鉴别和记录进入的人员。

- 5 -

1) 应对人员进出机房进行管理,采取有效的保护措施; 2) 应安排专人对人员进出机房进行管理,保存人员进入机房的登记记录。 5.1.1.2.防盗窃和防破坏(G1) 本项要求包括: a) 应将主要设备放置在机房内; 1) 主要设备应放臵在机房内或其它不易被盗窃和破坏的可控范围内。 b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记。 1) 设备或主要部件应当安装、固定在机柜内或机架上; 2) 设备或主要部件应贴有明显且不易除去的标识,如粘贴标签或铭牌等。 5.1.1.3.防雷击(G1) 机房建筑应设置避雷装置。 1) 机房或机房所在大楼应安装避雷装臵,如:避雷针或避雷器等; 2) 应具有经国家有关部门验收或检测合格的相关证明文件。 5.1.1.4.防火(G1) 本项要求包括: a) 机房应设置灭火设备; 1) 应制订机房消防应急预案,并按照 5.2.5.1.a)机房消防安全的要求,对相关人员进 行消防培训; 2) 机房应配备有效的灭火设备,摆放位臵合理。 b) 机房内装修材料应采用难燃材料和非燃材料。 1) 机房内的装修材料应满足《建筑内部装修设计防火规范》GB 50222—95(2001 年修订 版)中规定的难燃材料和非燃材料的要求。 5.1.1.5.防水和防潮(G1) 本项要求包括: a) 应对穿过机房墙壁和楼板的水管增加必要的保护措施; 1) 水管安装,尽量避免穿过屋顶和活动地板,穿过墙壁和楼板的水管应使用套管,并 采取可靠的密封措施。 b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 1) 机房外墙壁若有对外的窗户,应对窗户进行密封、防水处理; 2) 应对机房屋顶、地面和墙壁进行防水处理,防止出现漏水、渗透和返潮现象; 3) 应对机房屋顶进行保温处理,防止产生冷凝水。 5.1.1.6.温湿度控制(G1)

- 6 -

机房应设置必要的温、湿度控制设施,使机房温、湿度的变化在设备运行所允许的范围 之内。 1) 机房应配备温湿度自动调节设施,按照 5.2.5.1.a)的温湿度值要求,对机房温湿度 进行控制,但必须满足《电子信息系统机房设计规范》GB 50174—2008 中的“环境 要求”A 级或 B 级的技术要求。 5.1.1.7.电力供应(A1) 应在机房供电线路上配置稳压器和过电压防护设备。 1) 计算机系统供电线路上应设臵稳压器和过电压防护设备(如:UPS),有效控制电源 稳压范围满足计算机系统正常运行。 5.1.2. 网络安全 5.1.2.1.结构安全(G1) 本项要求包括: a) 应保证关键网络设备的业务处理能力满足基本业务需要; 1) 应保证关键网络设备的 CPU 使用率在业务访问阶段不超过 30%; 2) 应使用监控系统监控关键网络设备的运行状态。 b) 应保证接入网络和核心网络的带宽满足基本业务需要; 1) 应保证主要网络设备接口带宽配臵满足基本业务访问需要。 c) 应绘制与当前运行情况相符的网络拓扑结构图。 1) 应绘制完整的网络拓扑结构图,包含相应的网络配臵表、设备 IP 地址等主要信息, 并与当前运行情况相符且及时更新。 5.1.2.2.访问控制(G1) 本项要求包括: a) 应在网络边界部署访问控制设备,启用访问控制功能; 1) 应在网络边界处部署防火墙并配臵访问控制列表; 2) 若网络边界处未部署防火墙或其他安全访问控制设备,则应启用路由器或交换机的 访问控制功能。 b) 应根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查,以允 许/拒绝数据包出入; 1) 网络边界访问控制设备应设定过滤规则集。规则集应涵盖对所有出入边界的数据包 的处理方式,对于没有明确定义的数据包,应缺省拒绝。 c) 应通过访问控制列表对系统资源实现允许或拒绝用户访问,控制粒度至少为用户组。 1) 应在防火墙或其他设备上设臵用户或用户组,结合访问控制规则实现用户认证功 能。

- 7 -

5.1.2.3.网络设备防护(G1) 本项要求包括: a) 应对登录网络设备的用户进行身份鉴别; 1) 应设臵设备的登录口令; 2) 应删除默认用户或修改默认用户的口令,根据管理需要开设用户,不得使用缺省口 令、空口令、弱口令。 b) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时 自动退出等措施; 1) 应设臵非法登录次数为 3 次,登录连接超时时间为 3 分钟。 c) 当对网络设备进行远程管理时, 应采取必要措施防止鉴别信息在网络传输过程中被窃听。 1) 应采用 ssh,https 等加密协议方式对设备进行交互式管理。 5.1.3. 主机安全 5.1.3.1.身份鉴别(S1) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。 1) 登录用户的身份标识应采用用户名,鉴别方式采用口令。 5.1.3.2.访问控制(S1) 本项要求包括: a) 应启用访问控制功能,依据安全策略控制用户对资源的访问; 1) 服务器系统应根据安全策略限制用户访问文件的权限及关闭默认共享; 2) 数据库系统应限制主体(如用户)对客体(如文件或系统设备、数据库表等)的操 作权限(如读、写或执行)。 b) 应限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令; 1) 应重命名 Windows 系统已有默认账号 administrator; 2) 系统无法修改访问权限的特殊默认账户,可不修改访问权限; 3) 系统无法重命名的特殊默认账户,可不重命名。 c) 应及时删除多余的、过期的账户,避免共享账户的存在。 1) 应删除系统多余和过期的账户,如 GUEST; 2) 不允许多人共用一个相同的账户。 5.1.3.3.入侵防范(G1) 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并保持系统补丁及时 得到更新。 1) 应在网络边界处部署入侵检测系统等包含入侵防范功能的安全设备。 5.1.3.4.恶意代码防范(G1)

- 8 -

应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。 1) 原则上主机应安装防恶意代码软件并及时更新恶意代码库,不支持的主机操作系统 除外; 2) 未安装防恶意代码软件的主机,应采取有效的防范恶意代码措施。 5.1.4. 应用安全 5.1.4.1.身份鉴别(S1) 本项要求包括: a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别; 1) 应用系统应具有专用的登录控制模块对登录用户的用户名/密码进行核实。 b) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; 1) 应用系统应限制用户的非法登录次数不超过 3 次; 2) 登录失败超过 3 次的账户将被锁定,由系统管理员解锁; 3) 应设臵应用系统连接超时时间,超时需重新登录连接。 c) 应启用身份鉴别和登录失败处理功能,并根据安全策略配置相关参数。 1) 应用系统应保证身份鉴别、鉴别信息复杂度以及登录失败处理功能的开启,并根据 a)、b)、c)相关要求配臵参数。 5.1.4.2.访问控制(S1) 本项要求包括: a) 应提供访问控制功能控制用户组/用户对系统功能和用户数据的访问; 1) 应用系统应根据安全策略限制用户对系统功能和用户数据的访问。 b) 应由授权主体配置访问控制策略,并严格限制默认用户的访问权限。 1) 访问控制列表的授权与控制应有专人进行管理; 2) 应用系统应重命名正在使用的默认账户,如:admin 等; 3) 应用系统应及时删除不被使用的账户,一般指应用系统的公共账户或测试账户。 5.1.4.3.通信完整性(S1) 应采用约定通信会话方式的方法保证通信过程中数据的完整性。 1) 应用系统中通信双方应利用约定通信会话方式保证数据完整性。 5.1.4.4.软件容错(A1) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或 长度符合系统设定要求。 1) 应用系统应对输入数据进行有效性校验(如:数据格式、数据长度、空否等)。 5.1.5. 数据安全及备份恢复

- 9 -

5.1.5.1.数据完整性(S1) 应能够检测到重要用户数据在传输过程中完整性受到破坏。 1) 应具有对重要用户数据在传输过程中的完整性进行检测的功能。 5.1.5.2.备份和恢复(A1) 应能够对重要信息进行备份和恢复。 1) 至少每周对关键主机操作系统、网络设备操作系统、数据库管理系统和应用系统配 臵文件,以及关键数据库和应用系统重要信息进行备份,备份介质场外存放。 5.2.管理要求 5.2.1. 安全管理制度 5.2.1.1.管理制度(G1) 应建立日常管理活动中常用的安全管理制度。 1) 应从物理、网络、主机、数据、应用、建设和管理等层面分别建立安全管理制度。 5.2.1.2.制订和发布(G1) 本项要求包括: a) 应指定或授权专门的人员负责安全管理制度的制订; b) 应将安全管理制度以某种方式发布到相关人员手中。 1) 应明确安全管理制度的发布方式,并按此要求将安全管理制度发布到相关人员手 中。 5.2.2. 安全管理机构 5.2.2.1.岗位设置(G1) 应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。 1) 信息化工作部门应至少设立系统管理员、网络管理员、信息安全管理员岗位; 2) 各单位内设部门应设立信息安全员岗位,负责本部门各项安全措施的落实; 3) 应制订信息安全组织机构和岗位职责文件,明确上述涉及的各个岗位的职责。 5.2.2.2.人员配备(G1) 应配备一定数量的系统管理员、网络管理员、安全管理员等。 1) 应按照 5.2.2.1.的岗位设臵要求,结合实际情况,对各个岗位配备足够的人员; 2) 应针对各个信息系统建立系统管理员、数据库管理员、网络管理员、信息安全管理 员等安全管理岗位人员的信息表。 5.2.2.3.授权和审批(G1) 应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统 接入和重要资源的访问等关键活动进行审批。

- 10 -

1) 应明确需审批的关键活动,并授权审批部门及批准人对关键活动进行审批; 2) 关键活动至少包括系统上线、网络接入、重要资源访问、系统变更、外部人员访 问、信息发布等。 5.2.2.4.沟通和合作(G1) 应加强与合作单位的沟通。 1) 应与有关合作单位建立沟通、合作机制,明确合作内容、合作方式; 2) 信息化工作部门应建立合作单位联系列表,至少包括单位名称、合作内容、联系 人、联系方式等信息。 5.2.3. 人员安全管理 a) 应制订人员信息安全管理制度,对人员录用、外部人员管理等方面作出规定。至少包括 以下内容: 1) 对外部人员访问重要区域管理进行规定,明确对外部人员访问机房等重要区域须经 过相关部门或负责人批准等方面内容; 2) 对外包运维服务商的管理措施和安全要求等内容进行规定。 5.2.3.1.人员录用(G1) 本项要求包括: a) 应指定或授权专门的部门或人员负责人员录用; b) 应对被录用人员的身份和专业资格等进行审查,并确保其具有基本的专业技术水平和安 全管理知识。

5.2.3.2.人员离岗(G1) 本项要求包括: a) 应立即终止由于各种原因离岗员工的所有访问权限; 1) 应及时终止离岗人员的所有访问权限,至少包括物理访问权限、网络设备访问权 限、操作系统访问权限、数据库访问权限、应用系统访问权限、用户终端访问权限 等。 b) 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。 1) 应保存离岗人员的安全处理记录,详细记录交还出入机房和其他重要办公场所的证 件、钥匙、胸卡以及单位提供的软硬件设备等情况。 5.2.3.3.安全意识教育和培训(G1) 本项要求包括: a) 应对各类人员进行安全意识教育和岗位技能培训;

- 11 -

1) 应采取有效的培训方式,对各个岗位人员进行安全教育和岗位技能培训; 2) 对信息安全管理员应有特殊的培训内容,如:信息安全基础知识、信息安全等级保 护政策法规、信息安全等级保护技术知识等。 b) 应告知人员相关的安全责任和惩戒措施。 1) 应明确安全责任和惩戒措施,并向相关人员告知。 5.2.3.4.外部人员访问管理(G1) 本项要求包括: a) 应确保在外部人员访问受控区域前得到授权或审批; 1) 应按照 5.2.3.a)外部人员访问管理的要求,对外部人员访问重要区域(如:访问机 房、重要服务器或设备区等)进行严格管理,采取有效的安全措施,经有关部门或 负责人批准后外部人员方能访问。 b) 应对外包运维服务商提出的安全要求进行书面规定,并对其进行严格的监督管理。 1) 应按照 5.2.3.a)外包运维服务商管理的要求,对外包运维服务商进行严格监督管 理; 2) 外包运维服务商应符合 5.2.4.9.a)、b)、c)的要求; 3) 外包运维服务商必须服从本单位制订的信息安全管理体系方针、安全管理制度和运 行维护流程规范的要求; 4) 进行安全技术体系运行维护的服务商必须具备国家信息安全服务资质,并且不能同 时承担网络基础设施、重要应用系统和重要数据库系统的外包运行维护工作。 5.2.4. 系统建设管理 5.2.4.1.系统定级(G1) 本项要求包括: a) 应明确信息系统的边界和安全保护等级; 1) 应参照《烟草行业信息系统安全等级保护与信息安全事件定级准则》(YC/T 389— 2011)确定本单位信息系统和信息子系统的安全级别。 b) 应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由; 1) 应结合 a)的要求,撰写信息系统定级报告,明确信息系统的边界和安全保护等级, 说明定级的方法和理由。 c) 应确保信息系统的定级结果经过相关部门的批准。 1) 信息系统的定级结果应通过上级主管部门批准,并保存《烟草行业信息系统安全保 护等级审核表》。 5.2.4.2.安全方案设计(G1)

- 12 -

本项要求包括: a) 应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措 施; 1) 应根据系统的安全保护等级,参考本要求规定的相应级别的最低保护要求,确定系 统的基本安全措施; 2) 应对系统进行风险分析,并根据风险分析的结果补充或调整已确定的基本安全措 施。 b) 应以书面的形式描述对系统的安全保护要求和策略、安全措施等内容,形成系统的安全 方案; 1) 应根据信息系统的等级划分情况,参考国家的法律法规、技术标准(如:《信息安 全技术 信息系统安全等级保护实施指南》GB/T 25058—2010),遵循烟草行业的相 关规定,建立系统的安全方案,明确系统的安全保护要求,详细描述系统的安全策 略、系统采取的安全措施等方面内容。 c) 应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方 案。 1) 应根据信息系统的等级划分情况,参考国家的法律法规、技术标准(如:《信息安 全技术 信息系统安全等级保护实施指南》GB/T 25058—2010),遵循烟草行业的相 关规定,对已形成的安全方案进行细化,建立系统的详细设计方案,明确安全建设 方案和安全产品采购方案等方面内容。 5.2.4.3.产品采购和使用(G1) 应确保安全产品采购和使用符合国家的有关规定。 1) 系统使用的有关信息安全产品应获得 《计算机信息系统安全专用产品销售许可证》 , 并根据信息系统安全需求选择使用相应等级的产品; 2) 应按各单位规定的采购流程采购相关产品。 5.2.4.4.自行软件开发(G1) 本项要求包括: a) 应确保开发环境与实际运行环境物理分开; 1) 自主开发软件应在独立的模拟环境中编写、调试和完成,与实际运行环境物理隔 离。 b) 应确保软件设计相关文档由专人负责保管。 1) 应保存软件设计的相关文档,并指定专人负责管理; 2) 软件设计的相关文档至少包括应用软件设计程序文件、源代码文档等。

- 13 -

5.2.4.5.外包软件开发(G1) 本项要求包括: a) 应对外包软件开发的控制方法和人员行为准则进行书面规定; 1) 明确外包软件开发过程的控制方法(包括软件设计、开发、测试、验收过程); 2) 明确外包软件开发活动的审批流程; 3) 明确软件开发相关文档的管理措施; 4) 明确外包开发商应具备的资质条件和外包开发人员的行为准则。 b) 应根据开发要求检测软件质量; 1) 软件交付前应依据开发要求的技术指标对软件功能和性能等进行验收测试。 c) 应在软件安装之前检测软件包中可能存在的恶意代码; 1) 软件安装之前应使用第三方的检测工具检测软件包中可能存在的恶意代码。 d) 应确保提供软件设计的相关文档和使用指南。 1) 应要求开发单位提供需求分析说明书、软件设计说明书、软件操作手册等软件开发 文档和使用指南,并指定专人负责保管。 5.2.4.6.工程实施(G1) 应指定或授权专门的部门或人员负责工程实施过程的管理。 1) 应指定专门部门或人员对工程实施过程进行进度和质量控制。 5.2.4.7.测试验收(G1) 本项要求包括: a) 应对系统进行安全性测试验收; 1) 在系统建设完成之后,应对信息系统的安全性进行安全性测试和评估。 b) 在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详 细记录测试验收结果,并形成测试验收报告。 1) 应根据设计方案或合同要求等制订测试验收方案,明确参与测试的部门、人员、测 试验收的内容、现场操作过程等方面内容; 2) 应保存测试验收记录,详细记录测试时间、人员、现场操作过程和测试验收结果等 内容; 3) 应保存系统测试验收报告,详细描述整体测试验收过程以及测试验收结果,必要 时,提出存在的问题及改进意见等内容。 5.2.4.8.系统交付(G1) 本项要求包括: a) 应对负责系统运行维护的技术人员进行相应的技能培训;

- 14 -

1) 系统交付时,应由系统建设方对负责系统运行维护的技术人员进行相应的技能培 训,保存培训记录,详细记录培训内容、培训时间和参与人员等; 2) 培训内容至少包括系统操作规程、运维注意事项等。 b) 应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档; 1) 应保存系统建设过程中的所有文档、指导用户进行系统维护的文档和系统培训手册 等; 2) 系统建设过程中的所有文档包括工程实施、系统测试、系统验收等过程产生的文 档,可参考《信息安全技术 信息系统安全工程管理要求》GB/T 20282—2006。 c) 应制订系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点。 1) 应建立系统交付清单,分类列举系统交付的各类设备、软件、文档等; 2) 系统交接时应根据交付清单对所交接的设备、文档、软件等进行清点。 5.2.4.9.安全服务商选择(G1) 本项要求包括: a) 应确保安全服务商的选择符合国家的有关规定; 1) 选择的安全服务商应具有国家有关部门颁发的相关安全服务资质,包括安全咨询、 监理、培训、规划、设计、实施、测评、运维等方面。 b) 应与选定的安全服务商签订与安全相关的协议,明确约定相关责任; 1) 应保存与安全服务商签订的安全责任合同书或保密协议等文档,明确保密范围、安 全责任、违约责任、协议的有效期限等方面内容,并具有双方签字或盖章。 c) 应确保选定的安全服务商提供技术支持和服务承诺,必要的与其签订服务合同。 1) 应保存与安全服务商签订的服务合同,明确服务内容、服务承诺、服务期限等方面 内容,并具有双方签字或盖章。 5.2.5. 系统运维管理 5.2.5.1.环境管理(G1) 本项要求包括: a) 应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全 等方面的管理作出规定; 1) 应制订机房安全管理制度,明确机房物理访问、物品带进/带出机房、机房环境安 全(如:机房温湿度值)、机房消防安全等方面内容。 b) 应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理; 1) 应指定专门的部门或人员负责机房基础设施的维护管理,机房基础设施至少包括机 房专用空调、机房供配电设备等;

- 15 -

2) 应至少每季度聘请维护商对机房基础设施进行维护,保存维护商提供的维护报告; 3) 应制订机房巡检记录单,明确检查的设备、检查内容等,指定专人按照记录单内容 每天对机房的基础设施、信息系统的相关设备、线路进行检查,详细记录检查时 间、检查人、当前温湿度值、设备的运行状况、故障原因、维护结果等内容。 c) 应对机房的出入、服务器的开机或关机等工作进行管理。 1) 应指定专人负责机房的出入、服务器的开机或关机等工作。 5.2.5.2.资产管理(G1) 应编制与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。 1) 应针对各个信息系统编制资产清单,明确资产责任部门、责任人、所处位臵和重要 程度等方面内容; 2) 建议各单位可从资产的重要程度、资产的价值、资产的类别等因素考虑,编制资产 清单。 5.2.5.3.介质管理(G1) 本项要求包括: a) 应确保介质存放在安全的环境中,对各类介质进行控制和保护; 1) 应对介质的存放环境采取有效的保护措施,防止介质被盗、被毁、介质内存储信息 被修改以及非法泄漏等。 b) 应对介质归档和查询等过程进行记录,并根据存档介质的目录清单定期盘点。 1) 应建立介质的目录清单,并根据该清单至少每季度对介质的使用现状进行检查; 2) 应保存介质管理记录,详细记录介质的归档、查询和借用等情况。 5.2.5.4.设备管理(G1) 本项要求包括: a) 应对信息系统相关的各种设备、线路等指定专门的部门或人员定期进行维护管理; 1) 应指定专门的部门或人员每天对各种设备、线路进行检查维护,具体要求按照 5.2.5.1.b)的要求执行; 2) 维护人员使用各类测试工具之前应对工具进行有效性、安全性检查,使用之后删除 工具中携带的敏感信息,保存工具检查记录。 b) 应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备 的选型、采购、发放和领用等过程进行规范化管理。 1) 应制订设备安全管理制度,明确各种软硬件设备选用的各个环节的申报和审批流 程,至少包括选型、采购、发放和领用等环节。 5.2.5.5.网络安全管理(G1)

- 16 -

本项要求包括: a) 应指定人员对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析 和处理工作; 1) 应指定专人负责网络运行日志、监控记录的日常维护,分析并处理报警信息等工 作。 b) 应定期进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补。 1) 应每年对网络设备进行一次漏洞扫描,对漏洞风险持续跟踪,在经过充分的验证测 试后对必要漏洞开展修补工作; 2) 实施漏洞扫描或漏洞修补前,应对可能的风险进行评估和充分准备,如选择恰当时 间,并做好数据备份和回退方案; 3) 漏洞扫描或漏洞修补后应进行验证测试,以保证网络系统的正常运行; 4) 应保存网络漏洞扫描报告,详细描述网络存在的漏洞、严重级别和结果处理等方面 内容。 5.2.5.6.系统安全管理(G1) 本项要求包括: a) 应根据业务需求和系统安全分析确定系统的访问控制策略; 1) 应根据业务需求和系统安全分析制订系统的访问控制策略,控制分配信息系统、文 件及服务的访问权限。 b) 应定期进行漏洞扫描,对发现的系统安全漏洞进行及时的修补; 1) 应每年对操作系统、应用系统、数据库系统进行一次漏洞扫描,对漏洞风险持续跟 踪,在经过充分的验证测试后对必要漏洞开展修补工作; 2) 实施漏洞扫描或漏洞修补前,应对可能的风险进行评估和充分准备,如选择恰当时 间,并做好数据备份和回退方案; 3) 漏洞扫描或漏洞修补后应进行验证测试,以保证系统的正常运行; 4) 应保存系统漏洞扫描报告,详细描述系统存在的漏洞、严重级别和结果处理等方面 内容。 c) 应安装系统的最新补丁程序,并在安装系统补丁前对现有的重要文件进行备份。 1) 系统管理员应及时跟踪国家有关部门(如:公安部国家网络与信息安全通报中心、 信产部 CNCERT)、操作系统开发商和数据库系统开发商最新发布的漏洞公告,为信 息系统获取相关的补丁软件; 2) 在安装系统补丁前,应对重要文件进行完全备份后,方可实施系统补丁程序的安 装。

- 17 -

5.2.5.7.恶意代码防范管理(G1) 应提高所有用户的防病毒意识,告知及时升级防病毒软件,在读取移动存储设备上的数 据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系 统之前也应进行病毒检查。 1) 应对员工进行基本恶意代码防范意识教育,告知员工应及时升级防恶意代码软件版 本,使用外来设备、网络上接收文件和外来计算机或存储设备接入网络系统之前应 进行病毒检查等。 5.2.5.8.备份与恢复管理(G1) 本项要求包括: a) 应规定备份信息的备份方式、备份频度、存储介质、保存期等。 1) 应制订备份管理文档,明确备份方式、备份频度、存储介质和保存期等方面内容。 b) 应识别需要定期备份的重要业务信息、系统数据及软件系统等; 1) 应根据信息系统的重要性和业务需求,明确需要定期备份的数据,至少包括业务信 息、系统数据、软件系统等; 2) 系统数据包括:权限设臵、网络地址、硬件配臵、系统配臵参数等; 3) 软件系统包括:系统软件及应用软件的执行程序及可获取的源代码等; 4) 备份频度至少为每周一次。 5.2.5.9.安全事件处置(G1) 本项要求包括: a) 应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点; 1) 要求用户在发现安全弱点和可疑事件时应及时报告。 b) 应制订安全事件报告和处置管理制度,规定安全事件的现场处理、事件报告和后期恢复 的管理职责。 6. 第二级基本要求 6.1.技术要求 6.1.1. 物理安全 应对机房内安装/部署的所有基础设施进行定期检查维护,具体要求按照 6.2.5.1.b)的 要求执行。 6.1.1.1.物理位置的选择(G2) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 1) 机房和办公场地的环境条件应满足信息系统业务需求和安全管理需求; 2) 机房和办公场地选址应选择在具有防震、防风和防雨等能力的建筑内;

- 18 -

3) 建议保存机房或机房所在建筑物符合当地抗震、防风和防雨等要求的相关证明。 6.1.1.2.物理访问控制(G2) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; 1) 应按照 6.2.5.1.a)机房物理访问的要求,对机房的出入进行管理; 2) 机房出入口应安排专人负责值守,保存值守记录; 3) 值守人员应控制、鉴别和记录进入机房的人员,保存人员进入机房的登记记录。 b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。 1) 来访人员进入机房,应通过书面申请和审批流程,说明需访问的范围; 2) 来访人员访问机房时,应由专人全程陪同,并限制和监控其活动范围。 6.1.1.3.防盗窃和防破坏(G2) 本项要求包括: a) 应将主要设备放置在机房内; 1) 主要设备应放臵在机房内或其它不易被盗窃和破坏的可控范围内。 b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; 1) 设备或主要部件应当安装、固定在机柜内或机架上; 2) 设备或主要部件应贴有明显且不易除去的标识,如粘贴标签或铭牌等。 c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; 1) 通信线缆可铺设在地下、管道、桥架或线槽中。 d) 应对介质分类标识,存储在介质库或档案室中; 1) 应对介质进行分类标识管理,如:磁介质、纸介质等; 2) 应对介质进行分类存放,存放于介质库或档案室中,并且满足介质的存放条件; 3) 介质的存放环境应具备防盗、防火、防潮等基本条件,对于磁介质还应有防止介质 被磁化的措施。 e) 主机房应安装必要的防盗报警设施。 1) 主机房应安装防盗报警系统,当发生异常情况时,可自动报警并保存报警记录。 6.1.1.4.防雷击(G2) 本项要求包括: a) 机房建筑应设置避雷装置; 1) 机房或机房所在大楼应安装避雷装臵,如:避雷针或避雷器等; 2) 应具有经国家有关部门验收或检测合格的相关证明文件。 b) 机房应设置交流电源地线。

- 19 -

1) 机房计算机供电系统应设臵交流电源地线; 2) 机房建筑应设臵交流电源地线。 6.1.1.5.防火(G2) 本项要求包括: a) 机房应设置灭火设备和火灾自动报警系统; 1) 应按照 6.2.5.1.a)机房消防安全的要求和 6.2.5.12.a)的机房应急预案,对相关人 员进行消防培训; 2) 机房应配备有效的灭火设备,摆放位臵合理; 3) 机房应设臵有效的火灾自动报警系统,当发现火灾隐患时,可自动报警并保存报警 记录。 b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。 1) 机房和重要的记录介质存放间,其建筑材料的耐火等级,应满足《建筑设计防火规 范》GB 50016—2006 中规定的二级耐火等级;机房相关的基本工作房间和辅助房, 其建筑材料的耐火等级,应满足《建筑设计防火规范》GB 50016—2006 中规定的三 级耐火等级。 6.1.1.6.防水和防潮(G2) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; 1) 水管安装,不得穿过屋顶和活动地板下,穿过墙壁和楼板的水管应使用套管,并采 取可靠的密封措施。 b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; 1) 机房外墙壁若有对外的窗户,应对窗户进行密封、防水处理; 2) 应对机房屋顶、地面和墙壁进行防水处理,防止出现漏水、渗透和返潮现象; 3) 应对机房屋顶进行保温处理,防止产生冷凝水。 c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 1) 应指定机房管理员每天负责机房防水防潮事宜,保存防水防潮处理记录; 2) 对湿度较高的地区,机房应配备有效的除湿装臵,防止机房出现水蒸气结露的现 象,并且保存除湿装臵运行记录; 3) 应采取措施防止机房地下积水的转移与渗透,如:在机房地面修建地漏、泄水槽 等。 6.1.1.7.防静电(G2) 关键设备应采用必要的接地防静电措施。

- 20 -

1) 机房设备应有安全接地。 6.1.1.8.温湿度控制(G2) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之 内。 1) 机房应配备温湿度自动调节设施,按照 6.2.5.1.a)的温湿度值要求,对机房温湿度 进行控制,但必须满足《电子信息系统机房设计规范》GB 50174—2008 中的“环境 要求”A 级或 B 级的技术要求。 6.1.1.9.电力供应(A2) 本项要求包括: a) 应在机房供电线路上配置稳压器和过电压防护设备; 1) 计算机系统供电线路上应设臵稳压器和过电压防护设备(如:UPS),有效控制电源 稳压范围满足计算机系统正常运行。 b) 应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。 1) 应配备短期备用电源设备(如:UPS),按照《信息安全技术 信息系统物理安全技 术要求》GB/T 21052—2007 的规定,保证系统至少正常工作 30 分钟。 6.1.1.10. 电磁防护(S2)

电源线和通信线缆应隔离铺设,避免互相干扰。 1) 电源线和通信线缆应铺设在不同的桥架或管道,使用交叉走线,避免并排敷设;当 不能避免时,应采取有效的屏蔽措施。 6.1.2. 网络安全 6.1.2.1.结构安全(G2) 本项要求包括: a) 应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要; 1) 应保证关键网络设备的 CPU 使用率在业务高峰期阶段不超过 30%; 2) 应使用监控系统监控关键网络设备的运行状态。 b) 应保证接入网络和核心网络的带宽满足业务高峰期需要; 1) 应保证主要网络设备接口带宽配臵满足满足业务高峰期需要。 c) 应绘制与当前运行情况相符的网络拓扑结构图; 1) 应绘制完整的网络拓扑结构图,包含相应的网络配臵表、设备 IP 地址等主要信息, 并与当前运行情况相符且及时更新。 d) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或 网段,并按照方便管理和控制的原则为各子网、网段分配地址段。

- 21 -

1) 根据实际情况和区域安全防护要求在主要网络设备上进行 VLAN 划分。 6.1.2.2.访问控制(G2) 本项要求包括: a) 应在网络边界部署访问控制设备,启用访问控制功能; 1) 应在网络边界处部署防火墙并配臵访问控制列表; 2) 若网络边界处未部署防火墙或其他安全访问控制设备,则应启用路由器或交换机的 访问控制功能。 b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力, 控制粒度为网段级; 1) 网络边界访问控制设备应设定过滤规则集。规则集应涵盖对所有出入边界的数据包 的处理方式,对于没有明确定义的数据包,应缺省拒绝。 c) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问, 控制粒度为单个用户; 1) 应在防火墙或其他设备上设臵用户或用户组,结合访问控制规则实现用户认证功 能。 d) 应限制具有拨号访问权限的用户数量。 1) 原则上不应通过互联网对重要信息系统进行远程维护和管理。 6.1.2.3.安全审计(G2) 本项要求包括: a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; 1) 应开启网络中设备的日志功能。 b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关 的信息。 1) 日志的信息应包括:事件的日期和时间、用户、事件类型、事件是否成功等与审计 相关的信息。 6.1.2.4.边界完整性检查(S2) 应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。 1) 建议部署的系统能够检查网络用户终端采用双网卡跨接外部网络, 或采用电话拨号、 ADSL 拨号、手机、无线上网卡等无线拨号方式连接其他外部网络,如部署内网安全 管理系统或可监控非法外联的系统。 6.1.2.5.入侵防范(G2) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻 击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等。

- 22 -

1) 应在网络边界处部署入侵检测系统等包含入侵防范功能的安全设备。 6.1.2.6.网络设备防护(G2) 本项要求包括: a) 应对登录网络设备的用户进行身份鉴别; 1) 应设臵设备的登录口令; 2) 应删除默认用户或修改默认用户的口令,根据管理需要开设用户,不得使用缺省口 令、空口令、弱口令。 b) 应对网络设备的管理员登录地址进行限制; 1) 应设臵路由器的 VTY 数量,配合 ACL 完成登录地址限制; 2) 应设臵交换机的 ACL,配合 VLAN 限制登录地址; 3) 在防火墙等设备中通过设臵限制某一特定的 IP 地址或是地址范围完成管理员登录地 址限制。 c) 网络设备用户的标识应唯一; 1) 应为网络设备配臵不同的用户名,避免多人共用一个账户,且不允许配臵用户名相 同的用户。 d) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换; 1) 口令应符合以下条件:数字、字母、符号混排,无规律的方式; 2) 管理员用户口令的长度至少为 12 位; 3) 管理员用户口令至少每季度更换一次,更新的口令至少 5 次内不能重复; 4) 如果设备口令长度不支持 12 位或其他复杂度要求,口令应使用所支持的最长长度并 适当缩小更换周期。 e) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时 自动退出等措施; 1) 应设臵非法登录次数为 3 次,登录连接超时时间为 3 分钟。 f) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃 听。 1) 应采用 ssh,https 等加密协议方式对设备进行交互式管理。 6.1.3. 主机安全 6.1.3.1.身份鉴别(S2) 本项要求包括: a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别; 1) 登录用户的身份标识应采用用户名,鉴别方式采用口令。

- 23 -

b)

操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点, 口令应有复杂度要 求并定期更换; 1) 口令应符合以下条件:数字、字母、符号混排,无规律的方式; 2) 操作系统口令的长度至少为 8 位;数据库口令长度至少为 12 位; 3) 口令至少每个月更换 1 次,更新的口令至少 5 次内不能重复。

c)

应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; 1) Windows 服务器应在本地安全策略中限制用户的非法登录次数不超过 3 次,其他操 作系统服务器在相应的文件中限制; 2) 应限制数据库登录失败次数不超过 3 次; 3) 登录失败超过 3 次账户的锁定时间应限制为至少 30 分钟。

d)

当对服务器进行远程管理时, 应采取必要措施, 防止鉴别信息在网络传输过程中被窃听; 1) Windows 服务器应采用启用 SSL 加密功能的远程桌面管理方式,或采用具备加密方 式的远程管理工具,其他操作系统服务器应采用 SSH 方式远程管理; 2) 数据库应采用本地管理,通过远程管理数据库应采用包含 SSL 加密功能的方式。

e)

应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。 1) 应为操作系统的不同用户分配不同的用户名,确保用户名具有唯一性; 2) 应为数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。

6.1.3.2.访问控制(S2) 本项要求包括: a) 应启用访问控制功能,依据安全策略控制用户对资源的访问; 1) 服务器系统应根据安全策略限制用户访问文件的权限及关闭默认共享; 2) 数据库系统应限制主体(如用户)对客体(如文件或系统设备、数据库表等)的操 作权限(如读、写或执行)。 b) 应实现操作系统和数据库系统特权用户的权限分离; 1) 应为操作系统和数据库系统设臵不同特权用户,并合理分离分配特权用户权限。 c) 应限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令; 1) 应重命名 Windows 系统已有默认账号 administrator; 2) 系统无法修改访问权限的特殊默认账户,可不修改访问权限; 3) 系统无法重命名的特殊默认账户,可不重命名。 d) 应及时删除多余的、过期的账户,避免共享账户的存在。 1) 应删除系统多余和过期的账户,如 GUEST; 2) 不允许多人共用一个相同的账户。

- 24 -

6.1.3.3.安全审计(G2) 本项要求包括: a) 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户; 1) 服务器系统和数据库应启用安全审计功能,并能覆盖到每个用户。 b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重 要的安全相关事件; 1) 审计内容至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调 整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等。 c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等; 1) 安全记录至少包括:日期、时间、IP 地址、操作主体、源地址、目的地址、用户信 息等内容。 d) 应保护审计记录,避免受到未预期的删除、修改或覆盖等。 1) 应严格设臵日志文件的访问权限,并采用日志服务器备份日志文件。 6.1.3.4.入侵防范(G2) 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务 器等方式保持系统补丁及时得到更新。 1) 应关闭系统多余和危险的服务; 2) 应持续跟踪厂商提供的系统升级更新情况,应在经过充分的测试评估后对必要补丁 进行及时更新。 6.1.3.5.恶意代码防范(G2) 本项要求包括: a) 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库; 1) 原则上所有主机应安装防恶意代码软件并及时更新恶意代码库,不支持的主机操作 系统除外; 2) 未安装防恶意代码软件的主机,应采取有效的防范恶意代码措施。 b) 应支持防恶意代码软件的统一管理。 1) 应制订统一的病毒管理策略,进行软件的统一更新,恶意代码的定时查杀等。 6.1.3.6.资源控制(A2) 本项要求包括: a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录; 1) 应在服务器上设臵终端接入方式、限制网络地址范围方式限制终端登录,或通过防 火墙或网络设备设臵。

- 25 -

b) 应根据安全策略设置登录终端的操作超时锁定; 1) Windows 类服务器通过设臵超时连接或开启带有密码功能屏幕保护来限制终端操作 超时;其他类服务器通过设臵环境变量限制终端操作超时; 2) 应在数据库的登录终端上设臵操作超时锁定时间。 c) 应限制单个用户对系统资源的最大或最小使用限度。 1) 采用第三方工具实现用户对 Windows 系统资源的最大或最小使用限度; 2) 其他操作系统通过系统配臵实现用户对系统资源最大或最小使用限度。 6.1.4. 应用安全 6.1.4.1.身份鉴别(S2) 本项要求包括: a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别; 1) 应用系统应具有专用的登录控制模块对登录用户的用户名/密码进行核实。 b) 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户 身份标识,身份鉴别信息不易被冒用; 1) 应用系统口令应符合以下条件:长度至少为 8 位,且为数字、字母、符号混排,无 规律的方式; 2) 口令至少每个月更换 1 次,更新的口令至少 5 次内不能重复; 3) 应为应用系统中的不同用户分配不同的用户标识即用户名或用户 ID 号,确保身份鉴 别信息不被冒用。 c) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; 1) 应用系统应限制用户的非法登录次数不超过 3 次; 2) 登录失败超过 3 次的账户将被锁定,由系统管理员解锁; 3) 应设臵应用系统连接超时时间,超时需重新登录连接。 d) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失 败处理功能,并根据安全策略配置相关参数。 1) 应用系统应保证身份鉴别、鉴别信息复杂度以及登录失败处理功能的开启,并根据 a)、b)、c)、d)相关要求配臵参数。 6.1.4.2.访问控制(S2) 本项要求包括: a) 应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问; 1) 应用系统应根据安全策略限制用户访问文件、数据库表的权限(如增加、删除、修 改或查询等)。

- 26 -

b) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作; 1) 访问控制功能应限制用户或进程对应用系统的功能、文件或数据库表的操作。 c) 应由授权主体配置访问控制策略,并严格限制默认账户的访问权限; 1) 访问控制列表的授权与控制应有专人进行管理; 2) 应用系统应重命名正在使用的默认账户,如:admin 等; 3) 应用系统应及时删除不被使用的账户,一般指应用系统的公共账户或测试账户。 d) 应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关 系。 1) 根据用户的角色对权限做出细致的划分,并分配该角色使用应用系统所需的最低权 限; 2) 为避免用户权限的滥用,不同角色的用户权限应形成制约关系。 6.1.4.3.安全审计(G2) 本项要求包括: a) 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计; 1) 应用系统应启用安全审计功能,并能覆盖到每个用户; 2) 应用系统应能够对每个用户的重要操作(例如用户登录、用户退出、增加、修改、 删除关键数据等操作)及系统的异常事件提供记录; 3) 应按照 6.2.5.a) 的安全审计频率要求,对日志信息进行分析,及时发现系统安全问 题。 b) 应保证无法删除、修改或覆盖审计记录; 1) 应严格设臵日志文件的访问权限,并采用日志服务器备份日志文件。 c) 审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。 1) 审计记录至少包括事件日期、事件、发起者信息(如用户名、IP 地址等)、类型、 描述和结果(操作是否成功等)等内容。 6.1.4.4.通信完整性(S2) 应采用校验码技术保证通信过程中数据的完整性。 1) 应用系统中通信双方应利用校验码技术对数据进行完整性校验。 6.1.4.5.通信保密性(S2) 本项要求包括: a) 在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证; b) 应对通信过程中的敏感信息字段进行加密。 1) 应用系统对传输中的敏感字段进行加密,以防止通信线路上的窃听、泄漏、篡改和

- 27 -

破坏。 6.1.4.6.软件容错(A2) 本项要求包括: a) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或 长度符合系统设定要求; 1) 应用系统应对输入数据进行有效性校验(如:数据格式、数据长度、空否等)。 b) 在故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措施。 1) 当关键应用系统发生故障时能自动保护当前状态,保证系统能够进行恢复。 6.1.4.7.资源控制(A2) 本项要求包括: a) 当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会 话; 1) 用户在登录应用系统后在规定的时间内未执行任何操作,应自动退出系统。 b) 应能够对应用系统的最大并发会话连接数进行限制; 1) 应用系统应对系统所能支持的最大登录人数进行限制。 c) 应能够对单个账户的多重并发会话进行限制。 1) 应用系统应对使用同一账号同时登录系统的人数进行限制。 6.1.5. 数据安全及备份恢复 6.1.5.1.数据完整性(S2) 应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。 1) 应具有对网络设备操作系统、主机操作系统、数据库管理系统和应用系统的鉴别信 息和重要业务数据在传输过程中的完整性进行检测的功能。 6.1.5.2.数据保密性(S2) 应采用加密或其他保护措施实现鉴别信息的存储保密性。 1) 应对网络设备操作系统、主机操作系统、数据库管理系统和应用系统的鉴别信息采 用加密算法加密后存储。 6.1.5.3.备份和恢复(A2) 本项要求包括: a) 应能够对重要信息进行备份和恢复; 1) 至少每周对关键主机操作系统、网络设备操作系统、数据库管理系统和应用系统配 臵文件,以及关键数据库和应用系统重要信息进行备份,备份介质场外存放。 b) 应提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的可用性。

- 28 -

1) 对关键的网络设备、通信设备建立备份机制,有备机备件; 2) 对关键的通信线路有冗余备份线路,主备通信线路应采用不同运营商; 3) 关键的网络设备、通信线路在发生故障时可以主备切换,不影响业务运行。 6.2.管理要求 6.2.1. 安全管理制度 6.2.1.1.管理制度(G2) 本项要求包括: a) 应制订信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原 则和安全框架等; 1) 应制订信息安全管理体系方针,包括总体方针和分项策略两个方面内容; 2) 总体方针应规定信息安全的基本架构,明确信息安全的根本目标、原则; 3) 分项策略应从物理、网络、主机、数据、应用、建设和管理工作等层面分别阐述信 息安全的目标和原则。 b) 应对安全管理活动中重要的管理内容建立安全管理制度; 1) 应从物理、网络、主机、数据、应用、建设和管理等层面分别建立安全管理制度。 c) 应对安全管理人员或操作人员执行的重要管理操作建立操作规程。 1) 应对各层面重要管理操作建立操作规程,如:运维流程、操作手册等。 6.2.1.2.制订和发布(G2) 本项要求包括: a) 应指定或授权专门的部门或人员负责安全管理制度的制订; 1) 应明确安全管理制度的制订程序; 2) 应授权信息化工作部门负责信息安全管理制度的制订工作。 b) 应组织相关人员对制订的安全管理制度进行论证和审定; 1) 应组织相关人员对制订的信息安全管理制度进行论证和审定,保存评审记录,详细 记录相关人员的评审意见。 c) 应将安全管理制度以某种方式发布到相关人员手中。 1) 应明确信息安全管理制度的发布方式,并按此要求将信息安全管理制度发布到相关 人员手中。 6.2.1.3.评审和修订(G2) 应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订。 1) 应至少每年并且当系统发生重大安全事故以及技术基础架构和组织架构等发生变更 时,及时对信息安全管理制度的可行性和实施效果进行检查和审定,对存在不足或

- 29 -

需要改进的进行调整和完善,保存检查/评审记录。 6.2.2. 安全管理机构 6.2.2.1.岗位设置(G2) 本项要求包括: a) 应制订文件明确安全管理各个岗位的职责、分工和技能要求; 1) 应制订信息安全组织机构和岗位职责文件,明确下述 b)、c)中涉及的各个岗位的职 责、分工、技能要求,并且规定关键事务岗位的范围; 2) 关键事务岗位至少包括:对信息系统的维护人员、重要信息访问权限的管理人员、 重要信息系统的管理和使用人员,特别是数据库管理员、网络管理员、系统管理员 等可查询及更改业务信息与系统配臵的人员。 b) 应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责; 1) 信息化工作部门应作为信息安全管理工作的职能部门,指定专职的安全管理人员, 明确岗位职责; 2) 应设立安全管理各个方面的负责人,如:系统建设负责人、系统运维负责人、物理 安全负责人、重要信息资产的安全负责人。 c) 应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。 1) 信息化工作部门应至少设立系统管理员、网络管理员、信息安全管理员等岗位; 2) 本单位内设各个部门应至少设立信息安全员岗位, 负责本部门各项安全措施的落实。 6.2.2.2.人员配备(G2) 本项要求包括: a) 应配备一定数量的系统管理员、网络管理员、安全管理员等; 1) 应按照 6.2.2.1.a)中的岗位设臵要求, 结合实际情况, 对各个岗位配备足够的人员; 2) 应针对各个信息系统建立安全管理各岗位人员信息表,明确机房管理员、系统管理 员、数据库管理员、网络管理员、信息安全管理员等安全管理岗位人员的信息。 b) 安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。 6.2.2.3.授权和审批(G2) 本项要求包括: a) 应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统 接入和重要资源的访问等关键活动进行审批; 1) 应制订审批管理制度,明确需审批的关键活动、审批部门及批准人等; 2) 关键活动至少包括系统上线、网络接入、重要资源访问、系统变更、外部人员访问、 信息发布等。

- 30 -

b) 应针对关键活动建立审批流程,并由批准人签字确认。 1) 应针对上述 a)中规定的关键活动,建立不同的审批程序,明确相应的审评流程、审 批部门和批准人; 2) 应按照审批程序执行审批过程,经批准人签字确认,保存审批文档。 6.2.2.4.沟通和合作(G2) 本项要求包括: a) 应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟 通; 1) 应建立各类管理人员之间、信息安全管理机构与各部门之间的合作、沟通机制,通 过召开协调会议等方式进行交流和沟通; 2) 应保存沟通/合作的相关文档,详细记录工作内容、参加人员等内容; 3) 应建立组织机构内部人员联系表。 b) 应与有关合作单位建立沟通、合作机制,明确合作内容、合作方式;

1) 应与有关合作单位建立沟通、合作机制,明确合作内容、合作方式; 2) 信息化工作部门应建立与合作单位的联系列表,至少包括单位名称、合作内容、联 系人、联系方式等信息。 6.2.2.5.审核和检查(G2) 安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备 份等情况。 1) 信息安全管理员应每天对系统日常运行、数据备份等内容进行安全检查,保存安全 检查文档或记录,详细记录检查日期、检查内容和检查结果等内容; 2) 信息安全管理员应至少每季度对系统进行漏洞扫描,保存系统漏洞扫描报告,具体 要求参照 6.2.5.6.a)和 c)执行。 6.2.3. 人员安全管理 a) 应制订人员信息安全管理制度,对外部人员管理等方面作出规定。至少包括以下内容: 1) 对外部人员访问重要区域管理进行规定, 明确对外部人员访问机房等重要区域须经过 相关部门或负责人批准等方面内容; 2) 对外包运维服务商的管理措施和安全要求等内容进行规定。 6.2.3.1.人员录用(G2) 本项要求包括: a) 应指定或授权专门的部门或人员负责人员录用;

- 31 -

b) 应规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有 的技术技能进行考核; c) 应与从事关键岗位的人员签署保密协议。 1) 应保存所有与从事关键岗位人员签署的信息安全协议, 协议至少包括安全保密义务、 保密范围、违约责任、协议的有效期限和责任人签字内容; 2) 从事关键岗位的人员应参考 6.2.2.1.a)中规定的关键事务岗位。 6.2.3.2.人员离岗(G2) 本项要求包括: a) 应规范人员离岗过程,及时终止离岗员工的所有访问权限; 1) 应明确对离岗人员的控制方法,规范人员离岗过程,及时终止离岗人员的所有访问 权限,至少包括物理访问权限、网络设备访问权限、操作系统访问权限、数据库访 问权限、应用系统访问权限、用户终端访问权限等。 b) 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备; 1) 应保存离岗人员的安全处理记录,详细记录交还出入机房和其他重要办公场所的证 件、钥匙、胸卡以及单位提供的软硬件设备等情况。 c) 应办理严格的调离手续。 1) 应明确调离手续的过程,对调离人员办理严格的调离手续,及时调整调离人员的所 有访问权限,至少包括物理访问权限、网络设备访问权限、操作系统访问权限、数 据库访问权限、应用系统访问权限、用户终端访问权限等权限,并且保存调离手续 的记录。 6.2.3.3.人员考核(G2) 应定期对各个岗位的人员进行安全技能及安全认知的考核。 1) 应指定信息化工作部门负责技能考核工作,至少每年对各个岗位的人员进行一次安 全技能、安全认知及信息安全等级保护相关内容的考核; 2) 应保存各个岗位人员的技能考核文档记录。 6.2.3.4.安全意识教育和培训(G2) 本项要求包括: a) 应制订安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训; 1) 每年应针对不同岗位制订不同的培训计划,明确培训方式、培训对象、培训内容、 培训时间和地点等方面内容,培训内容至少包括信息安全基础知识、岗位操作规程、 信息安全等级保护政策法规、信息安全等级保护技术知识等; 2) 信息安全基础知识、岗位操作规程、信息安全等级保护政策法规、信息安全等级保

- 32 -

护技术知识的培训应至少每年一次。 b) 应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训; 1) 应按照上述 a)的要求,对各个岗位人员进行安全教育和培训,保存安全教育和培训 记录,详细记录培训人员、培训内容、培训结果等内容。 c) 应告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩 戒。 1) 应明确安全责任和惩戒措施,并向相关人员告知; 2) 若发生过违反制度规定造成的信息安全事件,应对事件责任人进行查处,保存安全 事件查处记录。 6.2.3.5.外部人员访问管理(G2) 本项要求包括: a) 应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并 登记备案。 1) 应按照 6.2.3.a)外部人员访问管理的要求, 对外部人员访问重要区域 (如访问机房、 重要服务器或设备区等)进行严格管理,采取有效的安全措施,经有关部门或负责 人批准后外部人员方能访问,并由专人全程陪同或监督; 2) 应保存外部人员访问重要区域的登记记录,详细记录外部人员访问重要区域的进入 时间、离开时间、访问区域及陪同人等信息。 b) 应对外包运维服务商提出的安全要求进行书面规定,并对其进行严格的监督管理。 1) 应按照 6.2.3.a)外包运维服务商管理的要求, 对外包运维服务商进行严格监督管理; 2) 外包运维服务商应符合 6.2.4.9.a)、b)、c)的要求; 3) 外包运维服务商必须服从本单位制订的信息安全管理体系方针、安全管理制度和运 行维护流程规范的要求; 4) 进行安全技术体系运行维护的服务商必须具备国家信息安全服务资质,并且不能同 时承担网络基础设施、重要应用系统和重要数据库系统的外包运行维护工作。 6.2.4. 系统建设管理 a) 应对软件开发等过程(包含自行软件开发和外包软件开发)的控制方法和人员行为准则 进行书面规定。具体如下: 1) 明确自行软件开发的控制方法(包括软件设计、开发、测试、验收过程)和审批流 程; 2) 明确外包软件开发的控制方法(包括软件设计、开发、测试、验收过程)和审批流 程;

- 33 -

3) 明确软件开发相关文档的管理措施; 4) 明确自行软件开发人员的行为准则; 5) 明确外包开发商应具备的资质条件和外包开发人员的行为准则。 6.2.4.1.系统定级(G2) 本项要求包括: a) 应明确信息系统的边界和安全保护等级; 1) 应参照《烟草行业信息系统安全等级保护与信息安全事件定级准则》 (YC/T 389— 2011)和国家局有关规定确定本单位信息系统和信息子系统的安全级别。 b) 应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由; 1) 应结合 a)的要求,撰写信息系统定级报告,明确信息系统的边界和安全保护等级, 说明定级的方法和理由。 c) 应确保信息系统的定级结果经过相关部门的批准。 1) 信息系统的定级结果应通过上级主管部门批准,并保存《烟草行业信息系统安全保 护等级审核表》 。 6.2.4.2.安全方案设计(G2) 本项要求包括: a) 应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措 施; 1) 应根据系统的安全保护等级,参考本要求规定的相应级别的最低保护要求,确定系 统的基本安全措施; 2) 应对系统进行风险分析, 并根据风险分析的结果补充或调整已确定的基本安全措施。 b) 应以书面形式描述对系统的安全保护要求、策略和措施等内容,形成系统的安全方案; 1) 应根据信息系统的等级划分情况,参考国家的法律法规、技术标准(如: 《信息安全 技术 信息系统安全等级保护实施指南》GB/T 25058—2010) ,遵循烟草行业的相关 规定,建立系统的安全方案,明确系统的安全保护要求,详细描述系统的安全策略、 系统采取的安全措施等方面内容。 c) 应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方 案; 1) 应根据信息系统的等级划分情况,参考国家的法律法规、技术标准(如: 《信息安全 技术 信息系统安全等级保护实施指南》GB/T 25058—2010) ,遵循烟草行业的相关 规定,对已形成的安全方案进行细化,建立系统的详细设计方案,明确安全建设方 案和安全产品采购方案等方面内容。

- 34 -

d) 应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审 定,并且经过批准后,才能正式实施。 1) 应组织相关部门和有关安全技术专家对系统的安全方案和详细设计方案的合理性和 正确性进行论证和审定,保存专家论证文档,详细记录评审意见; 2) 系统的安全方案和详细设计方案应经过安全主管领导或管理部门的评审和批准后, 方能正式实施,保存评审和批准记录。 6.2.4.3.产品采购和使用(G2) 本项要求包括: a) 应确保安全产品采购和使用符合国家的有关规定; 1) 系统使用的有关信息安全产品应获得《计算机信息系统安全专用产品销售许可证》 , 并根据信息系统安全需求选择使用相应等级的产品。 b) 应确保密码产品采购和使用符合国家密码主管部门的要求; 1) 系统使用的密码产品应获得《商用密码产品销售许可证》 ,不得采用国外引进或者擅 自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。 c) 应指定或授权专门的部门负责产品的采购。 1) 应指定专门的部门负责产品的采购,明确产品的采购流程; 2) 应按各单位规定的采购流程采购相关产品。 6.2.4.4.自行软件开发(G2) 本项要求包括: a) 应制订软件开发管理制度,明确说明开发过程的控制方法和人员行为准则; 1) 应按照 6.2.4.a)自行软件开发的要求执行。 b) 应确保开发环境与实际运行环境物理分开; 1) 自主开发软件应在独立的模拟环境中编写、调试和完成,与实际运行环境物理隔离。 c) 应确保提供软件设计的相关文档和使用指南,并由专人负责保管。 1) 应保存软件设计的相关文档、软件使用指南或操作手册和维护手册,并指定专人负 责管理; 2) 软件设计的相关文档至少包括应用软件设计程序文件、源代码文档等。 6.2.4.5.外包软件开发(G2) 本项要求包括: a) 应制订外包软件开发管理制度,明确说明开发过程的控制方法和人员行为准则; 1) 应按照 6.2.4.a)外包软件开发的要求执行。 b) 应根据开发要求检测软件质量;

- 35 -

1) 软件交付前应依据开发要求的技术指标对软件功能和性能等进行验收测试。 c) 应确保提供软件设计的相关文档和使用指南; 1) 应要求开发单位提供需求分析说明书、软件设计说明书、软件操作手册等软件开发 文档和使用指南,并指定专人负责保管。 d) 应在软件安装之前检测软件包中可能存在的恶意代码; 1) 软件安装之前应使用第三方的检测工具检测软件包中可能存在的恶意代码。 e) 应要求开发单位提供软件源代码,并审查软件中可能存在的后门。 1) 应要求开发单位提供软件源代码文档,并指定专门部门负责保管; 2) 应根据软件源代码对软件中可能存在的后门进行审查,保存软件源代码审查记录, 详细记录对可能存在后门的审查结果; 3) 若未能提供软件源代码,则应要求开发单位提供第三方机构出具的软件源代码审查 报告。 6.2.4.6.工程实施(G2) 本项要求包括: a) 应指定或授权专门的部门或人员负责工程实施过程的管理; b) 应制订详细的工程实施方案,控制工程实施过程; 1) 应制订工程实施方案,明确工程时间限制、进度控制和质量控制等方面内容; 2) 应按照工程实施方案的要求对工程实施过程进行进度和质量控制。 c) 应委托第三方工程监理单位控制项目的实施过程。 6.2.4.7.测试验收(G2) 本项要求包括: a) 应对系统进行安全性测试验收; 1) 在系统建设完成之后,应对信息系统的安全性进行安全性测试和评估; 2) 本单位也可委托信息安全测评机构对信息系统进行独立的安全测评, 保存测评报告, 明确安全测评的结果,并具有信息安全测评机构的签字或盖章; 3) 若测评报告中提出了存在的问题,应及时进行整改,保存整改报告。 b) 在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详 细记录测试验收结果,并形成测试验收报告; 1) 应根据设计方案或合同要求等制订测试验收方案,明确参与测试的部门、人员、测 试验收的内容、现场操作过程等方面内容; 2) 应保存测试验收记录,详细记录测试时间、人员、现场操作过程和测试验收结果等 内容;

- 36 -

3) 应保存系统测试验收报告,详细描述整体测试验收过程以及测试验收结果,必要时, 提出存在的问题及改进意见等内容。 c) 应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。 1) 应根据设计方案或合同要求组织相关部门和人员对测评报告和系统测试验收报告进 行符合性审定,保存报告的审定文档,详细记录相关人员的审定意见。 6.2.4.8.系统交付(G2) 本项要求包括: a) 应对负责系统运行维护的技术人员进行相应的技能培训; 1) 系统交付时, 应由系统建设方对负责系统运行维护的技术人员进行相应的技能培训, 保存培训记录,详细记录培训内容、培训时间和参与人员等; 2) 培训内容至少包括系统操作规程、运维注意事项等。 b) 应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档; 1) 应保存系统建设过程中的所有文档、指导用户进行系统维护的文档和系统培训手册 等; 2) 系统建设过程中的所有文档包括工程实施、系统测试、系统验收等过程产生的所有 文档,可参考《信息安全技术 信息系统安全工程管理要求》GB/T 20282—2006。 c) 应制订系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点。 1) 应建立系统交付清单,分类列举系统交付的各类设备、软件、文档等; 2) 系统交接时应根据交付清单对所交接的设备、文档、软件等进行清点。 6.2.4.9.安全服务商选择(G2) 本项要求包括: a) 应确保安全服务商的选择符合国家的有关规定; 1) 选择的安全服务商应具有国家有关部门颁发的相关安全服务资质,包括安全咨询、 监理、培训、规划、设计、实施、测评、运维等方面。 b) 应与选定的安全服务商签订与安全相关的协议,明确约定相关责任; 1) 应保存保存与安全服务商签订的安全责任合同书或保密协议等文档, 明确保密范围、 安全责任、违约责任、协议的有效期限等方面内容,并具有双方签字或盖章。 c) 应确保选定的安全服务商提供技术支持和服务承诺,必要的与其签订服务合同。 1) 应保存与安全服务商签订的服务合同,明确服务内容、服务承诺、服务期限等方面 内容,并具有双方签字或盖章。 6.2.5. 系统运维管理 a) 应规定安全审计的内容、安全审计的频率、审计日志的保存时间等;

- 37 -

1) 应制订安全审计管理制度,明确对安全审计的审计内容、审计频率、审计日志的保 存时间等内容,明确人员行为准则。 6.2.5.1.环境管理(G2) 本项要求包括: a) 应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全 等方面的管理作出规定; 1) 应制订机房安全管理制度,明确机房物理访问、物品带进/带出机房、机房环境安全 (如:机房温湿度值) 、机房消防安全等方面内容。 b) 应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理; 1) 应指定专门的部门或人员负责机房基础设施的维护管理,机房基础设施至少包括: 防盗报警系统、火灾自动报警系统、机房专用空调、机房供配电设备等; 2) 应至少每季度聘请维护商对机房基础设施进行维护,保存维护商提供的维护报告; 3) 应制订机房巡检记录单,明确检查的设备、检查内容等,指定专人按照记录单内容 每天对机房的基础设施、信息系统的相关设备、线路进行检查,详细记录检查时间、 检查人、当前温湿度值、设备的运行状况、故障原因、维护结果等内容。 c) 应配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理; d) 应加强对办公环境的保密性管理,包括工作人员调离办公室应立即交还该办公室钥匙和 不在办公区接待来访人员等。 6.2.5.2.资产管理(G2) 本项要求包括: a) 应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产 管理和使用的行为; 1) 应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,明确资 产的使用、借用、维护等方面内容。 b) 应编制与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。 1) 应针对各个信息系统编制资产清单,明确资产责任部门、责任人、所处位臵和重要 程度等方面内容; 2) 建议各单位可从资产的重要程度、资产的价值、资产的类别等因素考虑,编制资产 清单。 6.2.5.3.介质管理(G2) 本项要求包括: a) 应根据所承载数据和软件的重要程度对介质进行分类和标识管理;

- 38 -

1) 应根据所承载数据和软件的重要程度对介质进行分类和标识管理,如:粘贴纸质标 签。 b) 应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管 理; 1) 应对介质的存放环境采取有效的保护措施,防止介质被盗、被毁、介质内存储信息 被授权修改以及非法泄漏等,并指定专人负责管理介质的存储环境,避免由于高温、 潮湿等自然因素对介质造成物理破坏,对各类介质进行控制和保护。 c) 应对介质归档和查询等过程进行记录,并根据存档介质的目录清单定期盘点; 1) 应建立介质的目录清单,并根据该清单至少每季度对介质的使用现状进行检查; 2) 应保存介质管理记录,详细记录介质的归档、查询和借用等情况。 d) 应对需要送出维修或销毁的介质,首先清除其中的敏感数据,防止信息的非法泄漏。 1) 对送出维修或销毁的介质在送出之前应对介质内存储的数据进行处理。 6.2.5.4.设备管理(G2) 本项要求包括: a) 应建立设备安全管理制度,对设备的申报、审批、使用、维护等方面作出规定; 1) 应制订设备安全管理制度,至少包括以下内容: ? 明确各种软硬件设备选用的各个环节(选型、采购、发放和领用以及信息处理 设备带离机构等)的申报和审批流程; ? 明确终端计算机、便携机和网络设备等使用、操作原则、注意事项等方面内容。

b) 应对信息系统相关的各种设备(包括备份和冗余设备) 、线路等指定专门的部门或人员 定期进行维护管理; 1) 应指定专门的部门或人员每天对各种设备、线路进行检查维护,具体要求按照 6.2.5.1.b)执行; 2) 维护人员使用各类测试工具之前应对工具进行有效性、安全性检查,使用之后删除 工具中携带的敏感信息,保存工具检查记录。 c) 应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备 的选型、采购、发放和领用等过程进行规范化管理; 1) 应按照 a)审批流程的要求执行,保存设备的选型、采购、发放和领用过程的申报材 料和审批报告。 d) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理, 按操作规程实现关键设备(包括备份和冗余设备)的启动/停止、加电/断电等操作; 1) 应按照 a)的使用规范要求执行;

- 39 -

2) 应制订主要设备(包括备份和冗余设备)的操作规程,明确服务器如何启动、停止、 加电、断电等操作内容; 3) 应按照操作规程对主要设备(包括备份和冗余设备)进行操作,对操作建立操作日 志,保存主要设备的操作日志; 4) 应按照 6.2.5.a)的安全审计频率要求, 指定审计员对主要设备的操作日志进行分析, 发现可疑行为并对其采取必要的措施,保存分析报告,详细分析发现的异常现象、 处理措施等内容。 c) 应确保信息处理设备必须经过审批才能带离机房或办公地点。 1) 应按照 a)审批流程的要求执行, 保存信息处理设备带离机构的申报材料和审批报告。 6.2.5.5.网络安全管理(G2) 本项要求包括: a) 应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、 口令更新周期等方面作出规定; 1) 应制订网络安全管理制度,明确网络安全配臵、安全策略、升级与打补丁、授权访 问、日志保存时间、口令更新周期、文件备份等方面内容。 b) 应指定人员对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析 和处理工作; 1) 应指定专人负责网络运行日志、监控记录的日常维护,分析并处理报警信息,生成 网络审计日志; 2) 应按照 6.2.5.a)的日志保存时间要求,对网络审计日志进行保存。 c) 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进 行备份; 1) 应持续跟踪厂商提供的网络设备的升级更新情况,在经过充分的测试评估后对必要 补丁进行及时更新; 2) 更新前应对重要文件(账户数据、设备配臵文件等)进行完全备份。 d) 应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补; 1) 应至少每季度对网络设备进行一次漏洞扫描,对漏洞风险持续跟踪,在经过充分的 验证测试后对必要漏洞开展修补工作; 2) 实施漏洞扫描或漏洞修补前,应对可能的风险进行评估和充分准备,如选择恰当时 间,并做好数据备份和回退方案; 3) 漏洞扫描或漏洞修补后应进行验证测试,以保证网络系统的正常运行; 4) 应保存网络漏洞扫描报告,详细描述网络存在的漏洞、严重级别和结果处理等方面

- 40 -

内容。 e) 应对网络设备的配置文件进行定期备份; 1) 应按照 a)的文件备份要求,对网络设备的配臵文件进行备份,保存网络设备配臵文 件的离线备份文件。 f) 应保证所有与外部系统的连接均得到授权和批准。 1) 应识别网络的外联种类,所有与外部系统的连接应得到信息化工作部门和信息系统 使用部门的批准,保存具有批准人签字的内部网络外联的授权批准书。 6.2.5.6.系统安全管理(G2) 本项要求包括: a) 应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方 面作出规定; 1) 应制订系统安全管理制度,明确系统安全策略、安全配臵、账户管理、系统升级、 日志管理、漏洞扫描管理、日常操作等方面内容。 b) 应根据业务需求和系统安全分析确定系统的访问控制策略; 1) 应根据业务需求和系统安全分析制订系统的访问控制策略,控制分配信息系统、文 件及服务的访问权限。 c) 应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补; 1) 应至少每季度对操作系统、应用系统、数据库系统进行一次漏洞扫描,对漏洞风险 持续跟踪,在经过充分的验证测试后对必要漏洞开展修补工作; 2) 实施漏洞扫描或漏洞修补前,应对可能的风险进行评估和充分准备,如选择恰当时 间,并做好数据备份和回退方案; 3) 漏洞扫描或漏洞修补后应进行验证测试,以保证系统的正常运行; 4) 应保存系统漏洞扫描报告,详细描述系统存在的漏洞、严重级别和结果处理等方面 内容。 d) 应安装系统的最新补丁程序,在安装系统补丁前,应首先在测试环境中测试通过,并对 重要文件进行备份后,方可实施系统补丁程序的安装; 1) 系统管理员应及时跟踪国家有关部门(如:公安部国家网络与信息安全通报中心、 信产部 CNCERT) 操作系统开发商和数据库系统开发商最新发布的漏洞公告, 、 为信息 系统获取相关的补丁软件; 2) 在安装系统补丁前,应对补丁文件的有效性和安全性在测试环境中进行测试,确保 不会导致产生隐患或系统故障,并对重要文件进行完全备份后,方可实施系统补丁 程序的安装。

- 41 -

e) 应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护 记录、参数的设置和修改等内容,严禁进行未经授权的操作; 1) 应依据操作手册对系统进行维护,按照 a)的日志管理要求,保存操作日志,详细记 录重要的日常操作、运行维护记录、参数的设臵和修改等内容。 f) 应定期对运行日志和审计数据进行分析,以便及时发现异常行为。 1) 应按照 6.2.5.a)的安全审计频率要求,对运行日志和审计数据进行分析,保存分析 报告,详细描述账户的连续多次登录失败、非工作时间的登录、访问受限系统或文 件的失败尝试、系统错误等非正常事件。 6.2.5.7.恶意代码防范管理(G2) 本项要求包括: a) 应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定; 1) 应制订病毒防范管理制度,明确防恶意代码软件的授权使用、恶意代码库升级、定 期汇报等方面内容。 b) 应提高所有用户的防病毒意识,告知及时升级防病毒软件,在读取移动存储设备上的数 据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网 络系统之前也应进行病毒检查; 1) 应对员工进行基本恶意代码防范意识教育,告知员工应及时升级防恶意代码软件版 本,使用外来设备、网络上接收文件和外来计算机或存储设备接入网络系统之前应 进行病毒检查等。 c) 应指定专人对网络和主机进行恶意代码检测并保存检测记录。 1) 应在网络边界处部署防恶意代码产品、主机安装防恶意代码软件; 2) 应在网络系统中部署病毒集中防御系统,对系统中的防病毒软件进行统一管理,对 恶意代码集中检测和管理; 3) 应指定专人负责恶意代码防范管理工作,对截获的危险病毒或恶意代码进行及时处 理,保存恶意代码检测记录。 6.2.5.8.密码管理(G2) 应使用符合国家密码管理规定的密码技术和产品。 1) 应使用符合国家密码管理规定的密码技术和已获得《商用密码产品销售许可证》的 密码产品。 6.2.5.9.变更管理(G2) 本项要求包括: a) 应确认系统中要发生的重要变更,并制订相应的变更方案;

- 42 -

b) 系统发生重要变更前,应向主管领导申请,审批后方可实施变更,并在实施后向相关人 员通告。 1) 应确认系统中要发生的变更,向主管领导申请,保存具有主管领导批准签字的变更 申请书; 2) 应制订变更方案,明确变更类型、变更原因、变更过程、变更前评估等方面内容; 3) 变更方案应经过批准后方能实施,变更实施后,将发生的变更情况通知所有相关人 员。 6.2.5.10. 备份与恢复管理(G2)

本项要求包括: a) 应规定备份信息的备份方式、备份频度、存储介质、保存期等; 1) 应制订备份管理文档,明确备份方式、备份频度、存储介质和保存期等方面内容。 b) 应识别需要定期备份的重要业务信息、系统数据及软件系统等; 1) 应根据信息系统的重要性和烟草行业的业务需求,识别需要定期备份的数据,至少 包括系统数据、软件系统等; 2) 系统数据包括:权限设臵、网络地址、硬件配臵、系统配臵参数等; 3) 软件系统包括:系统软件及应用软件的执行程序及可获取的源代码等; 4) 备份频度至少为每周一次。 c) 应根据数据的重要性及其对系统运行的影响,制订数据的备份策略和恢复策略,备份策 略指明备份数据的放置场所、文件命名规则、介质替换频率和数据离站运输方法。 1) 应根据各个信息系统的需求,结合 b)的备份信息,制订数据备份策略,明确数据的 存放场所、文件命名规则等方面内容。 6.2.5.11. 安全事件处置(G2)

本项要求包括: a) 应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点; 1) 要求用户在发现安全弱点和可疑事件时应及时报告。 b) 应制订安全事件报告和处置管理制度,明确安全事件类型,规定安全事件的现场处理、 事件报告和后期恢复的管理职责; c) 应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影 响,对本系统计算机安全事件进行等级划分; 1) 应针对上述 b)、c)项的要求,参照《烟草行业信息系统安全等级保护与信息安全事 件定级准则》 (YC/T 389—2011) ,结合本系统已发生的和需要防止发生的安全事件 对系统的影响程度划分不同等级,制订安全事件报告和处臵管理制度,明确安全事

- 43 -

件的定义、安全事件等级划分原则、等级描述等,规定安全事件的类型、现场处理、 事件报告和后期恢复的管理职责等。 d) 应记录并保存所有报告的安全弱点和可疑事件,分析事件原因,监督事态发展,采取措 施避免安全事件发生。 1) 若发生过安全事件,应保存安全事件记录分析报告,详细描述引发安全事件的原因, 安全事件处理的过程等内容,并制订防止此类安全事件再次发生的补救措施。 6.2.5.12. 应急预案管理(G2)

本项要求包括: a) 应在统一的应急预案框架下制订不同事件的应急预案,应急预案框架应包括启动应急预 案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容; 1) 应遵循烟草行业的相关规定,制订应急预案框架,明确启动应急预案的条件、应急 处理流程、系统恢复流程、事后教育和培训等方面内容; 2) 应根据信息系统安全评估的结果、安全事件的类型、信息系统的特殊性,制订不同 事件的应急预案,至少包括机房消防应急预案等,必要时应针对各个信息系统制订 不同的应急预案。 b) 应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次。 1) 应至少每年对系统相关人员进行一次应急预案培训,保存应急预案培训记录。 7. 第三级基本要求 7.1.技术要求 7.1.1. 物理安全 应对机房安装/部署的所有基础设施进行定期检查维护,具体要求按照 7.2.5.1.b)的要 求执行。 7.1.1.1.物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; 1) 机房和办公场地的环境条件应满足信息系统业务需求和安全管理需求; 2) 机房和办公场地选址应选择在具有防震、防风和防雨等能力的建筑内; 3) 建议保存机房或机房所在建筑物符合当地抗震、防风和防雨等要求的相关证明。 b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1) 机房和办公场地选址应满足 《电子信息系统机房设计规范》 50174—2008 的要求; GB 2) 机房场地不宜设在建筑物的高层或顶层,如果不可避免,应从设备运输、管线铺 设、雷电感应、结构荷载和防水防潮等因素考虑,采取有效的补救措施,避免

- 44 -

3) 的安全事件或安全隐患; 4) 机房场地不宜设在因未能满足环境条件引发的安全事件或安全隐患; 5) 机房场地不宜设在建筑物的地下室,如果不可避免,应从管道泄漏和消防排水等因 素考虑,采取有效的补救措施,避免因未能满足环境条件引发用水设备的下层或隔 壁,如果不可避免,应采取防止水漫溢和渗漏措施,避免因未能满足环境条件引发 的安全事件或安全隐患。 7.1.1.2.物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; 1) 应按照 7.2.5.1.a)机房物理访问的要求,对机房的出入进行管理; 2) 机房出入口应安排专人负责值守,保存值守记录; 3) 值守人员应控制、鉴别和记录进入机房的人员,保存人员进入机房的登记记录。 b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; 1) 来访人员进入机房,应通过书面申请和审批流程,明确需访问的范围; 2) 来访人员访问机房时,应由专人全程陪同,并限制和监控其活动范围。 c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交 付或安装等过渡区域; 1) 机房应当按照业务需求、消防要求和管理要求进行合理分区,区域和区域之间设臵 有效的物理隔离装臵; 2) 机房应在重要区域前设臵专门的过渡区域,用于设备的交付或安装等工作; 3) 重要区域包括:主机房、辅助区和管理区等功能区域。 d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 1) 重要区域应配备电子门禁系统,能够有效的鉴别、记录进入人员的身份,电子门禁 系统日志记录至少保存 3 个月; 2) 应具有电子门禁系统的验收文档或产品安全认证资质。 7.1.1.3.防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; 1) 主要设备应放臵在机房内或其它不易被盗窃和破坏的可控范围内。 b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; 1) 设备或主要部件应当安装、固定在机柜内或机架上; 2) 设备或主要部件应贴有明显且不易除去的标识,如粘贴标签或铭牌等。

- 45 -

c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; 1) 通信线缆可铺设在地下、管道、桥架或线槽中。 d) 应对介质分类标识,存储在介质库或档案室中; 1) 应对介质进行分类标识管理,如:磁介质、纸介质等; 2) 应对介质进行分类存放,存放于介质库或档案室中,并且满足介质的存放条件; 3) 介质的存放环境应具备防盗、防火、防潮等基本条件,对于磁介质还应有防止介质 被磁化的措施。 e) 应利用光、电等技术设置机房防盗报警系统; 1) 机房应安装防盗报警系统,使用光、电等技术探测机房内设备的物理位臵,当物理 位臵发生变化时,可自动报警,保存报警记录; 2) 应具有机房防盗报警系统的安全资质材料、安装测试/验收报告。 f) 应对机房设置监控报警系统。 1) 机房应安装监控报警系统,当发现异常现象时,可自动报警,保存监控记录和报警 记录,监控记录至少保存 3 个月; 2) 应具有机房监控报警系统的安全资质材料、安装测试/验收报告。 7.1.1.4.防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; 1) 机房或机房所在的建筑物应安装避雷装臵,如:避雷针或避雷器等; 2) 机房所在的建筑物防雷技术要求应满足 《建筑物防雷设计规范》 50057—1994(2000 GB 年版)中的“第二类防雷建筑物的防雷措施”的技术要求; 3) 应具有经国家有关部门验收或检测合格的相关证明文件。 注:《建筑物防雷设计规范》GB 50057—2010 自 2011 年 10 月 1 日起实施,原《建筑物 防雷设计规范》GB 50057—1994(2000 年版)同时废止。 b) 应设置防雷保安器,防止感应雷; 1) 应在电源和信号线上安装防雷保安器,防止感应雷的产生。 c) 机房应设置交流电源地线。 1) 机房计算机系统接地应设臵专用地线,并且满足《电子信息系统机房设计规范》GB 50174—2008 和《电子计算机场地通用规范》GB 2887—2000 的要求; 2) 机房建筑应设臵交流地线。 7.1.1.5.防火(G3) 本项要求包括:

- 46 -

a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; 1) 应按照 7.2.5.1.a)机房消防安全的要求和 7.2.5.13.a)的机房消防应急预案,对相 关人员进行消防培训; 2) 机房应配备有效的灭火设备,摆放位臵合理; 3) 机房应设臵有效的自动检测火情、自动报警、自动灭火的自动消防系统,摆放位臵 合理,当发现存在火灾隐患时,可自动报警,保存报警记录。 b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; 1) 机房和重要的记录介质存放间,其建筑材料的耐火等级,应满足《建筑设计防火规 范》GB 50016—2006 中规定的二级耐火等级;机房相关的其余基本工作房间和辅助 房,其建筑材料的耐火等级,应满足《建筑设计防火规范》GB 50016—2006 中规定 的二级耐火等级。 c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1) 机房布局应将脆弱区和危险区进行隔离,防止外部火灾进入机房,特别是重要设备 地区,应安装防火门、使用阻燃材料装修等; 2) 机房内隔离装臵的装修材料应满足 《建筑内部装修设计防火规范》 50222—95(2001 GB 年修订版)中规定的难燃材料和非燃材料的要求。 7.1.1.6.防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; 1) 水管安装,不得穿过屋顶和活动地板下,穿过墙壁和楼板的水管应使用套管,并采 取可靠的密封措施。 b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; 1) 机房外墙壁若有对外的窗户,应对窗户进行密封、防水处理; 2) 应对机房屋顶、地面和墙壁进行防水处理,防止出现漏水、渗透和返潮现象; 3) 应对机房屋顶进行保温处理,防止产生冷凝水。 c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; 1) 应指定机房管理员每天负责机房防水防潮事宜,保存防水防潮处理记录; 2) 对湿度较高的地区,机房应配备有效的除湿装臵,防止机房出现水蒸气结露的现 象,并且保存除湿装臵运行记录; 3) 应采取措施防止出现机房地下积水的转移与渗透,如:在机房地面修建地漏、泄水 槽等。 d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。

- 47 -

1) 机房应安装对水敏感的检测仪表或元件,对机房进行防水检测,发现水害,及时报 告,保存报告记录。 7.1.1.7.防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; 1) 机房主要设备应有安全接地; 2) 在静电较强的地区,机房应采取有效的防静电措施,如:防静电工作台、静电消除 剂和/或静电消除器等。 b) 机房应采用防静电地板。 1) 机房应铺设防静电地板,满足《防静电活动地板通用规范》SJ/T 10796—2001 的要 求。 7.1.1.8.温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之 内。 1) 机房应配备温湿度自动调节设施,按照 7.2.5.1.a)的温湿度值要求,对机房温湿度 进行控制,但必须满足《电子信息系统机房设计规范》GB 50174—2008 中的“环境 要求”A 级或 B 级的技术要求。 7.1.1.9.电力供应(A3) 本项要求包括: a) 应在机房供电线路上配置稳压器和过电压防护设备; 1) 计算机系统供电线路上应设臵稳压器和过电压防护设备(如:UPS),有效控制电源 稳压范围满足计算机系统正常运行,保存计算机系统供电的运行记录。 b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求; 1) 应配备短期备用电源设备(如:UPS),在备用供电系统启动之前,必须保证短期备 用电源可持续供电。 c) 应设置冗余或并行的电力电缆线路为计算机系统供电; 1) 应安装冗余或并行的电力电缆线路(如:双路供电方式),在双路供电切换时能够 对计算机系统正常供电,保存电力电缆线路切换记录。 d) 应建立备用供电系统。 电磁防护(S3)

7.1.1.10.

本项要求包括: a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;

- 48 -

1) 机房设备外壳应有安全接地,防止外界电磁干扰和设备寄生耦合干扰。 b) 电源线和通信线缆应隔离铺设,避免互相干扰; 1) 电源线和通信线缆应铺设在不同的桥架或管道,使用交叉走线,避免并排敷设;当 不能避免时,应采取相应的屏蔽措施。 c) 应对关键设备和磁介质实施电磁屏蔽。 1) 应对处理敏感和重要信息的设备和磁介质采取防止电磁泄漏的措施,如:使用低辐 射设备; 2) 磁介质应存放在具有电磁屏蔽功能的容器中。 7.1.2. 网络安全 7.1.2.1.结构安全(G3) 本项要求包括: a) 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要; 1) 应保证主要网络设备的 CPU 使用率在业务高峰期阶段不超过 30%; 2) 应使用监控系统监控主要网络设备的运行状态。 b) 应保证网络各个部分的带宽满足业务高峰期需要; 1) 应保证网络设备接口配臵满足业务高峰期需要。 c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径; 1) 业务终端和业务服务器应放臵在不同的子网内,并通过路由控制建立安全的访问路 径。 d) 应绘制与当前运行情况相符的网络拓扑结构图; 1) 应绘制完整的网络拓扑结构图,包含相应的网络配臵表、设备 IP 地址等主要信息, 并与当前运行情况相符且及时更新。 e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或 网段,并按照方便管理和控制的原则为各子网、网段分配地址段; 1) 根据实际情况和区域安全防护要求在主要网络设备上进行 VLAN 划分。 f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之 间采取可靠的技术隔离手段; 1) 应确定重要网段并避免将重要网段部署在网络边界处,防止来自外部信息系统的攻 击; 2) 应在重要网段与其他网段之间配臵安全策略进行访问控制。 g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优 先保护重要主机。

- 49 -

1) 应对所有业务确定重要性、优先级,制订业务相关带宽分配原则及相应的带宽控制 策略,根据安全需求,采取网络 QoS 或专用带宽管理设备等措施。 7.1.2.2.访问控制(G3) 本项要求包括: a) 应在网络边界部署访问控制设备,启用访问控制功能; 1) 应在网络边界处部署防火墙并配臵访问控制列表; 2) 应启用边界路由器或交换机的访问控制功能。 b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级; 1) 网络边界访问控制设备应设定过滤规则集。规则集应涵盖对所有出入边界的数据包 的处理方式,对于没有明确定义的数据包,应缺省拒绝。 c) 应对进出网络的信息内容进行过滤,实现对应用层 HTTP、FTP、TELNET、SMTP、POP3 等 协议命令级的控制; 1) 应在防火墙上配臵应用层协议内容过滤功能。 d) 应在会话处于非活跃一定时间或会话结束后终止网络连接; 1) 应在防火墙上设臵会话超时时间为 15 分钟。 e) 应限制网络最大流量数及网络连接数; 1) 应通过源地址、目的地址、用户和协议四个方面设臵网络最大流量数及网络连接 数。 f) 重要网段应采取技术手段防止地址欺骗; 1) 应在连接重要网段的防火墙、路由器或交换上设臵 PC 的 IP—MAC 绑定。 g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问, 控制粒度为单个用户; 1) 应在防火墙或其他设备上设臵用户或用户组,结合访问控制规则实现用户认证功 能。 h) 应限制具有拨号访问权限的用户数量。 1) 原则上不应通过互联网对重要信息系统进行远程维护和管理。 7.1.2.3.安全审计(G3) 本项要求包括: a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; 1) 应开启网络中设备的日志功能。 b) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相 关的信息;

- 50 -

1) 日志的信息应包括:事件的日期和时间、用户、事件类型、事件是否成功等与审计 相关的信息。 c) 应能够根据记录数据进行分析,并生成审计报表; 1) 应采用第三方审计工具对记录进行分析并生成报表。 d) 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等; 。 1) 应采用专门的日志服务器对审计记录进行保护。 7.1.2.4.边界完整性检查(S3) 本项要求包括: a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有 效阻断; 1) 应采用网络接入控制设备,防止非法接入; 2) 应关闭网络设备未使用的端口; 3) 应在网络设备上设臵 IP/MAC 地址绑定。 b) 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行 有效阻断。 1) 建议部署的系统能够检查并阻断网络用户终端采用双网卡跨接外部网络,或采用电 话拨号、ADSL 拨号、手机、无线上网卡等无线拨号方式连接其他外部网络,如:部 署内网安全管理系统或监控非法外联的系统。 7.1.2.5.入侵防范(G3) 本项要求包括: a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻 击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等; 1) 应在网络边界处部署入侵检测系统等包含入侵防范功能的安全设备。 b) 当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目的、攻击时间,在发生严重入 侵事件时应提供报警。 1) 应启用入侵检测系统的日志功能,并能采用短信、邮件等方式提供报警。 7.1.2.6.恶意代码防范(G3) 本项要求包括: a) 应在网络边界处对恶意代码进行检测和清除; 1) 应在网络边界处部署防恶意代码产品,并启用恶意代码检测及阻断功能。 b) 应维护恶意代码库的升级和检测系统的更新。 1) 应采用自动远程更新、手动远程更新、手动本地更新等方式对防恶意代码产品的特

- 51 -

征库升级; 2) 应将防恶意代码产品的版本升级到最新。 7.1.2.7.网络设备防护(G3) 本项要求包括: a) 应对登录网络设备的用户进行身份鉴别; 1) 应设臵设备的登录口令; 2) 应删除默认用户或修改默认用户的口令,根据管理需要开设用户,不得使用缺省口 令、空口令、弱口令。 b) 应对网络设备的管理员登录地址进行限制; 1) 应设臵路由器的 VTY 数量,配合 ACL 完成登录地址限制; 2) 应设臵交换机的 ACL,配合 VLAN 限制登录地址; 3) 在防火墙等设备中通过设臵限制某一特定的 IP 地址或是地址范围完成管理员登录地 址限制。 c) 网络设备用户的标识应唯一; 1) 应为网络设备配臵不同的用户名,避免多人共用一个账户,且不允许配臵用户名相 同的用户。 d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别; 1) 通过本地控制台管理网络设备时,应采用用户名口令方式进行身份鉴别; 2) 以远程方式登录网络设备,应采用用户名口令和烟草数字证书认证结合的方式进行 身份鉴别。 e) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换; 1) 口令应符合以下条件:数字、字母、符号混排,无规律的方式; 2) 管理员用户口令的长度至少为 12 位; 3) 管理员用户口令至少每季度更换一次,更新的口令至少 5 次内不能重复; 4) 如果设备口令长度不支持 12 位或其他复杂度要求,口令应使用所支持的最长长度并 适当缩小更换周期。 f) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时 自动退出等措施; 1) 应设臵非法登录次数为 3 次,登录连接超时时间为 3 分钟。 g) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃 听; 1) 应采用 SSH,HTTPS 等加密协议方式对设备进行交互式管理。

- 52 -

h) 应实现设备特权用户的权限分离。 1) 应根据实际需要为用户划分角色,并为用户分配完成其任务的最小权限。 7.1.3. 主机安全 7.1.3.1.身份鉴别(S3) 本项要求包括: a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别; 1) 登录用户的身份标识应采用用户名,鉴别方式采用口令。 b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要 求并定期更换; 1) 口令应符合以下条件:数字、字母、符号混排,无规律的方式; 2) 操作系统口令的长度至少为 8 位;数据库口令长度至少为 12 位; 3) 口令至少每个月更换 1 次,更新的口令至少 5 次内不能重复。 c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; 1) Windows 服务器应在本地安全策略中限制用户的非法登录次数不超过 3 次,其他操 作系统服务器在相应的文件中限制; 2) 应限制数据库登录失败次数不超过 3 次; 3) 登录失败超过 3 次账户的锁定时间应限制为至少 30 分钟。 d) 当对服务器进行远程管理时, 应采取必要措施, 防止鉴别信息在网络传输过程中被窃听; 1) Windows 服务器应采用启用 SSL 加密功能的远程桌面管理方式,或采用具备加密方 式的远程管理工具,其他操作系统服务器应采用 SSH 方式远程管理; 2) 数据库应采用本地管理,通过远程管理数据库应采用包含 SSL 加密功能的方式。 e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性; 1) 应为操作系统的不同用户分配不同的用户名,确保用户名具有唯一性; 2) 应为数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。 f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。 1) 通过本地控制台管理服务器设备时,应采用用户名口令鉴别技术; 2) 以远程方式登录服务器设备,身份鉴别应采用用户名口令与烟草数字证书认证组合 的方式。 7.1.3.2.访问控制(S3) 本项要求包括: a) 应启用访问控制功能,依据安全策略控制用户对资源的访问; 1) 服务器系统应根据安全策略限制用户访问文件的权限及关闭默认共享;

- 53 -

2) 数据库系统应限制主体(如用户)对客体(如文件或系统设备、数据库表等)的操 作权限(如读、写或执行)。 b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最 小权限; 1) 根据管理用户的角色对权限做出标准细致的划分,并分配该角色使用系统或数据库 所需的最低权限。 c) 应实现操作系统和数据库系统特权用户的权限分离; 1) 应为操作系统和数据库系统设臵不同特权用户,并合理分离分配特权用户权限。 d) 应严格限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令; 1) 应重命名 Windows 系统已有默认账号 administrator; 2) 系统无法修改访问权限的特殊默认账户,可不修改访问权限; 3) 系统无法重命名的特殊默认账户,可不重命名。 e) 应及时删除多余的、过期的账户,避免共享账户的存在; 1) 应删除系统多余和过期的账户,如 GUEST。 2) 不允许多人共用一个相同的账户。 f) 应对重要信息资源设置敏感标记; 1) 可以通过安装相关软件,对重要信息资源设臵敏感标记。 g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。 1) 应根据需要设臵安全策略,并严格限制用户对有敏感标记重要资源的操作权限。 7.1.3.3.安全审计(G3) 本项要求包括: a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户; 1) 服务器系统和数据库应启用安全审计功能,并能覆盖到每个用户; 2) 应采用内网安全审计系统等第三方工具监控重要客户端的用户行为。 b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重 要的安全相关事件; 1) 审计内容至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调 整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等。 c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等; 1) 安全记录至少包括:日期、时间、IP 地址、操作主体、源地址、目的地址、用户信 息等内容。 d) 应能够根据记录数据进行分析,并生成审计报表;

- 54 -

1) Windows 类操作系统应采用第三方审计工具生成审计报表,并具备审计报表的分 类、排序及统计查询功能; 2) 其他类操作系统及数据库应开启系统安全审计功能并正确配臵。 e) 应保护审计进程,避免受到未预期的中断; 1) 应采用第三方工具完成审计进程的监控和保护。 f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等。 1) 应严格设臵日志文件的访问权限,并采用日志服务器备份日志文件。 7.1.3.4.剩余信息保护(S3) 本项要求包括: a) 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他 用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中; 1) 应擦除存储空间中的身份鉴别信息; 2) 应保证再次登录系统时不显示前一次登录系统的用户名。 b) 应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给 其他用户前得到完全清除。 1) 应保证在关闭系统前清除系统的虚拟内存页面,用户鉴别信息应保证以不可还原的 加密来存储。 7.1.3.5.入侵防范(G3) 本项要求包括: a) 应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源 IP、攻击的类型、攻击 的目的、攻击的时间,并在发生严重入侵事件时提供报警; 1) 应部署主机安全防护或入侵检测软件,并启用报警功能。 b) 应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施; 1) 应采用第三方程序完整性检查工具并备份重要的配臵文件,重要程序完整性受到破 坏后必须及时恢复,如不能正常恢复,应停止有关服务,并提供报警。 c) 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务 器等方式保持系统补丁及时得到更新。 1) 应关闭系统多余和危险的服务; 2) 应持续跟踪厂商提供的系统升级更新情况,应在经过充分的测试评估后对必要补丁 进行及时更新。 7.1.3.6.恶意代码防范(G3) 本项要求包括:

- 55 -

a) 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库; 1) 原则上所有主机应安装防恶意代码软件并及时更新恶意代码库,不支持的主机操作 系统除外; 2) 未安装防恶意代码软件的主机,应采取有效的防范恶意代码措施。 b) 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库; 1) 主机采用的恶意代码产品病毒库不能与网络中已部署的恶意代码产品病毒库相同。 c) 应支持防恶意代码的统一管理。 1) 应制订统一的病毒管理策略,进行软件的统一更新,恶意代码的定时查杀等。 7.1.3.7.资源控制(A3) 本项要求包括: a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录; 1) 应在服务器上设臵终端接入方式、限制网络地址范围方式限制终端登录,或通过防 火墙或网络设备设臵。 b) 应根据安全策略设置登录终端的操作超时锁定; 1) Windows 类服务器通过设臵超时连接或开启带有密码功能屏幕保护来限制终端操作 超时;其他类服务器通过设臵环境变量限制终端操作超时; 2) 应在数据库的登录终端上设臵操作超时锁定时间。 c) 应对重要服务器进行监视,包括监视服务器的 CPU、硬盘、内存、网络等资源的使用情 况; 1) 应采用第三方监控工具监控服务器的 CPU、硬盘、内存、网络等资源的使用情况。 d) 应限制单个用户对系统资源的最大或最小使用限度; 1) 采用第三方工具实现用户对 Windows 系统资源的最大或最小使用限度; 2) 其他操作系统通过系统配臵实现用户对系统资源最大或最小使用限度。 e) 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。 1) 应采用第三方工具,保证重要服务器的 CPU 利用率、内存、磁盘存储空间等指标超 过预先规定的阈值后进行报警,报警方式为邮件或短信形式。 7.1.4. 应用安全 7.1.4.1.身份鉴别(S3) 本项要求包括: a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别; 1) 应用系统应具有专用的登录控制模块对登录用户的用户名/密码进行核实。 b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;

- 56 -

1) 应用系统应采用除用户名/密码以外的第二种鉴别技术来实现身份鉴别,如烟草数 字证书、生物特征识别等; 2) 两种鉴别技术应组合使用。 c) 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户 身份标识,身份鉴别信息不易被冒用; 1) 应用系统口令应符合以下条件:长度至少为 8 位,且为数字、字母、符号混排,无 规律的方式; 2) 口令至少每个月更换 1 次,更新的口令至少 5 次内不能重复; 3) 应为应用系统中的不同用户分配不同的用户标识即用户名或用户 ID 号,确保身份鉴 别信息不被冒用。 d) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; 1) 应用系统应限制用户的非法登录次数不超过 3 次; 2) 登录失败超过 3 次的账户将被锁定,由系统管理员解锁; 3) 应设臵应用系统连接超时时间,超时需重新登录连接。 e) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失 败处理功能,并根据安全策略配置相关参数。 1) 应用系统应保证身份鉴别、鉴别信息复杂度以及登录失败处理功能的开启并根据 a)、b)、c)、d)相关要求配臵参数。 7.1.4.2.访问控制(S3) 本项要求包括: a) 应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问; 1) 应用系统应根据安全策略限制用户访问文件、数据库表的权限(如增加、删除、修 改或查询等)。 b) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作; 1) 访问控制功能应限制用户或进程对应用系统的功能、文件或数据库表的操作。 c) 应由授权主体配置访问控制策略,并严格限制默认账户的访问权限; 1) 访问控制列表的授权与控制应有专人进行管理; 2) 应用系统应重命名正在使用的默认账户,如 admin 等; 3) 应用系统应及时删除不被使用的账户,一般指应用系统的公共账户或测试账户。 d) 应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关 系; 1) 根据用户的角色对权限做出细致的划分,并分配该角色使用应用系统所需的最低权

- 57 -

限; 2) 为避免用户权限的滥用,不同角色的用户权限应形成制约关系。 e) 应具有对重要信息资源设置敏感标记的功能;

f) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。 1) 应用系统应根据需要设臵安全策略,并严格限制用户对重要资源的操作权限。 7.1.4.3.安全审计(G3) 本项要求包括: a) 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计; 1) 应用系统应启用安全审计功能,并能覆盖到每个用户; 2) 应用系统应能够对每个用户的重要操作(例如用户登录、退出、增加、修改、删除 关键数据等操作)及系统的异常事件提供记录; 3) 应按照 7.2.5.5.a)的安全审计频率要求,对审计记录进行分析,及时发现系统安全 问题。 b) 应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录; 1) 应采用第三方工具完成审计进程的监控和保护; 2) 应严格设臵日志文件的访问权限,并采用日志服务器备份日志文件。 c) 审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等; 1) 审计记录至少包括事件日期、事件、发起者信息(如用户名、IP 地址等)、类型、 描述和结果(操作是否成功等)等内容。 d) 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。 1) 应用系统应具有对审计记录进行查询、统计和分析的功能,以及按照用户的要求生 成审计报表的功能。 7.1.4.4.剩余信息保护(S3) 本项要求包括: a) 应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论 这些信息是存放在硬盘上还是在内存中; 1) 应擦除存储空间中的身份鉴别信息; 2) 应保证再次登录系统时不显示前一次登录系统的用户名。 b) 应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其 他用户前得到完全清除。 1) 应保证用户在退出应用系统后立即清除使用过程中产生的临时文件,用户鉴别信息 应保证以不可还原的加密方式来存储(如 MD5)。

- 58 -

7.1.4.5.通信完整性(S3) 应采用密码技术保证通信过程中数据的完整性。 1) 应用系统中通信双方应利用密码算法对数据进行完整性校验,保证数据在传输过程 中不被替换、修改或破坏。 7.1.4.6.通信保密性(S3) 本项要求包括: a) 在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证; b) 应对通信过程中的整个报文或会话过程进行加密。 1) 应用系统应采用符合国家密码局规定的加密算法,如采用数字证书、SSL 等实现方 式对传输中的信息数据流加密,以防止通信线路上的窃听、泄漏、篡改和破坏。 7.1.4.7.抗抵赖(G3) 本项要求包括: a) 应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能; 1) 应用系统应采用数字签名等非对称加密技术,保证传输的数据是由确定的用户发送 的,没有被篡改破坏且能够在必要时提供发送用户的详细信息。 b) 应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。 1) 应用系统应采用数字签名等非对称加密技术,保证传输的数据是由指定的用户接收 的,没有被篡改破坏且能够在必要时提供接收用户的详细信息。 7.1.4.8.软件容错(A3) 本项要求包括: a) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或 长度符合系统设定要求; 1) 应用系统应对输入数据进行有效性校验(如:数据格式、数据长度、空否等)。 b) 应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。 1) 应用系统发生故障时应能够保存故障点前的系统数据并及时进行恢复。 7.1.4.9.资源控制(A3) 本项要求包括: a) 当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会 话; 1) 用户在登录应用系统后在规定的时间内未执行任何操作,应自动退出系统。 b) 应能够对系统的最大并发会话连接数进行限制; 1) 应用系统应对系统所能支持的最大登录人数进行限制。

- 59 -

c) 应能够对单个账户的多重并发会话进行限制; 1) 应用系统应对使用同一账号同时登录系统的人数进行限制。 d) 应能够对一个时间段内可能的并发会话连接数进行限制; 1) 应用系统应对一个时间段内登录系统的人数进行限制。 e) 应能够对一个访问账户或一个请求进程占用的资源分配最大限额和最小限额; 1) 为避免磁盘空间不足、CPU 利用率过高等情况,应用系统应对一个访问账户或一个 请求进程占用的资源进行限制。 f) 应能够对系统服务水平降低到预先规定的最小值进行检测和报警; 1) 应用系统应具有专门的监控系统,对系统的服务水平进行监控,当系统的服务水平 降低到预先设定的最小值时进行报警。 g) 应提供服务优先级设定功能,并在安装后根据安全策略设定访问账户或请求进程的优先 级,根据优先级分配系统资源。 1) 为避免业务高峰期系统资源的不足,应用系统应提供为重要业务或请求优先分配系 统资源的功能。 7.1.5. 数据安全及备份恢复 7.1.5.1.数据完整性(S3) 本项要求包括: a) 应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏, 并在检测到完整性错误时采取必要的恢复措施; 1) 应具有对网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管 理数据、鉴别信息和重要业务数据在传输过程中的完整性进行检测的功能,并在检 测到完整性受到破坏时采取恢复措施,如重传或其他方式。 b) 应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏, 并在检测到完整性错误时采取必要的恢复措施。 1) 应具有对网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管 理数据、鉴别信息和重要业务数据在存储过程中的完整性进行检测的功能,并在检 测到完整性受到破坏时采取恢复措施。 7.1.5.2.数据保密性(S3) 本项要求包括: a) 应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性; 1) 应对网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管理数 据、鉴别信息和重要业务数据采用加密算法、数字证书等方式加密后传输。

- 60 -

b) 应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。 1) 应对网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管理数 据、鉴别信息和重要业务数据采用加密算法、数字证书等方式加密后存储。 7.1.5.3.备份和恢复(A3) 本项要求包括: a) 应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放; 1) 每天对主机操作系统、网络设备操作系统、数据库管理系统和应用系统配臵文件, 以及数据库和应用系统数据进行全备份,备份介质场外存放。 b) 应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地; 1) 应对重要的数据提供异地数据备份,保证当本地系统发生灾难性后果时,利用异地 保存的数据对系统数据能进行恢复。 c) 应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障; 1) 保证主要网络设备和通信线路有冗余,避免网络设备或线路出现故障时引起数据通 信中断。 d) 应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。 1) 对主要的网络设备建立备份机制,有备机备件; 2) 对主要的通信线路有冗余备份线路,主备通信线路应采用不同运营商; 3) 主要的网络设备、通信线路在发生故障时可以主备自动切换,不影响业务运行。 7.2.管理要求 7.2.1. 安全管理制度 7.2.1.1.管理制度(G3) 本项要求包括: a) 应制订信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原 则和安全框架等; 1) 应制订信息安全管理体系方针,包括总体方针和分项策略两个方面内容; 2) 总体方针应规定信息安全的基本架构,明确信息安全的根本目标、原则; 3) 分项策略应从物理、网络、主机、数据、应用、建设和管理等层面分别阐述信息安 全的目标和原则。 b) 应对安全管理活动中的各类管理内容建立安全管理制度; 1) 应从物理、网络、主机、数据、应用、建设和管理等层面分别建立安全管理制度。 c) 应对管理人员或操作人员执行的日常管理操作建立操作规程; 1) 应建立日常管理的操作规程,如:运维流程、操作手册等。

- 61 -

d) 应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。 1) 应形成由上述 a)、b)、c)中的所有信息安全方针文件、管理制度和流程文件等构成 的全面的信息安全管理制度体系。 7.2.1.2.制订和发布(G3) 本项要求包括: a) 应对安全管理制度的制订程序、格式要求、版本编号规则、发布程序等进行书面规定; 1) 应制订制度制订和发布要求管理文档,明确安全管理制度的制订和发布程序、格式 要求以及版本编号规则等相关内容。 b) 应指定或授权专门的部门或人员负责安全管理制度的制订; 1) 应授权信息化工作部门负责安全管理制度的制订工作; 2) 应按照 a)中的制订程序,制订安全管理制度。 c) 安全管理制度应具有统一的格式,并进行版本控制; 1) 应按照 a)中的格式要求和版本编号规则,制订安全管理制度,编写制度的文件编号 和版本号。 d) 应组织相关人员对制订的安全管理制度进行论证和审定; 1) 应组织相关人员对制订的安全管理制度进行论证和审定,保存安全管理制度评审记 录,详细记录相关人员的评审意见。 e) 安全管理制度应注明发布范围,并对收发文进行登记; 1) 各个安全管理制度应注明适用或发布范围。 f) 安全管理制度应通过正式、有效的方式发布。 1) 安全管理制度应按照 a)中的发布程序进行发布,并具有管理层的签字或单位盖章; 2) 应保存安全管理制度的收发登记记录,详细记录安全管理制度的发布范围和发布方 式。 7.2.1.3.评审和修订(G3) 本项要求包括: a) 信息安全工作领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合 理性和适用性进行审定; 1) 信息安全领导小组应每年或当技术基础架构和组织架构等发生变更时组织相关部门 和相关人员对信息安全管理制度体系的合理性和适用性进行审定,及时对相关文件 进行必要的调整,保存信息安全管理制度体系的评审记录,详细记录相关人员的评 审意见。 b) 应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制

- 62 -

度进行修订。 1) 应每年或当技术基础架构和组织架构等发生变更时,及时对安全管理制度的可行性 和实施效果进行检查和审定,对存在不足或需要改进的安全管理制度进行调整和完 善,保存安全管理制度的检查/评审记录。 7.2.2. 安全管理机构 7.2.2.1.岗位设置(G3) 本项要求包括: a) 应制订文件明确安全管理机构各个部门和岗位的职责、分工和技能要求; 1) 应制订信息安全组织机构和岗位职责文件,明确下述 b)、c)、d)中涉及的各个部门 的职责,各个岗位的职责、技能要求以及具体配备要求,信息安全工作领导小组职 责,并且规定关键事务岗位的范围,明确关键事务岗位人员至少配备 2 人; 2) 岗位的具体配备要求至少包括各个岗位配备的人数要求、专/兼职情况等,并且信 息安全管理员应为专职人员; 3) 关键事务岗位至少包括对信息系统的维护人员、重要信息访问权限的管理人员、重 要信息系统的管理人员,特别是数据库管理员、网络管理员、系统管理员等可查询 及更改业务信息与系统配臵的人员。 b) 应设立信息安全管理工作的职能部门, 设立安全主管、 安全管理各个方面的负责人岗位, 并定义各负责人的职责; 1) 信息化工作部门应作为信息安全管理工作的职能部门,指定专职的安全主管,明确 其岗位职责; 2) 应设立安全管理各个方面的负责人。 c) 应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责; 1) 信息化工作部门应至少设立系统管理员、网络管理员、信息安全管理员等岗位,并 明确各个岗位的岗位职责; 2) 本单位内设各个部门应设立信息安全员岗位,负责本部门各项安全措施的落实。 d) 应成立指导和管理信息安全工作领导小组,其最高领导由单位主管领导委任或授权。 1) 应成立由本单位主要领导、各有关部门负责人组成的信息安全领导小组; 2) 信息安全领导小组的最高领导应由本单位主管领导或授权的人员担任。 7.2.2.2.人员配备(G3) 本项要求包括: a) 应配备一定数量的系统管理员、网络管理员、安全管理员等; 1) 应按照 7.2.2.1.a)中的岗位配备要求,对各个岗位配备足够的人员;

- 63 -

2) 应针对各个信息系统建立安全管理各岗位人员信息表。 b) 应配备专职安全管理员,不可兼任; 1) 应按照 7.2.2.1.a)中的岗位配备要求,配备专职的信息安全管理员; c) 关键事务岗位应配备多人共同管理。 1) 应按照 7.2.2.1.a)中的岗位配备要求和关键事务岗位范围,对各个关键事务岗位至 少配备 2 人共同管理。 7.2.2.3.授权和审批(G3) 本项要求包括: a) 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等; 1) 应制订审批管理制度,明确需审批的事项范围、需逐级审批的事项范围、审批部门 及批准人等;明确需定期审查、更新审批的项目、审批部门、批准人和审查周期 等。 b) 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序 执行审批过程,对重要活动建立逐级审批制度; 1) 应针对不同事项建立不同的审批程序,至少包括系统变更、重要操作、物理访问、 系统接入、信息发布等事项,明确相应的审批流程、审批部门和批准人; 2) 应针对需逐级审批的事项建立不同的逐级审批流程,明确逐级的审批部门和批准 人。 c) 应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息; 1) 应按照 a)中规定的审查周期,审查审批事项,及时更新需授权和审批的项目、审批 部门和审批人等信息; 2) 每年至少对审批事项进行一次审查。 d) 应记录审批过程并保存审批文档。 1) 应按照 b)的要求执行审批过程,保存审批过程文档。 7.2.2.4.沟通和合作(G3) 本项要求包括: a) 应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟 通,定期或不定期召开协调会议,共同协作处理信息安全问题; 1) 信息化工作部门应定期召开部门内部工作会议,讨论存在的信息安全问题,部署安 全工作; 2) 信息安全管理机构内部应至少每季度召开一次安全工作会议部署安全工作的实施, 并且根据信息系统运行使用情况,不定期召开协调会议,共同协调处理期间的信息

- 64 -

安全问题,若发生重大信息安全事件时,应及时召开协调会议,对出现的信息安全 问题进行处理; 3) 信息安全领导小组应至少每年召开一次例会; 4) 应保存上述 1)—3)项中产生的会议记录或工作记录,详细记录会议内容、会议时 间、参加人员和会议结果等内容; 5) 应建立组织机构内部人员联系表。 b) 应加强与兄弟单位、公安机关、电信公司的合作与沟通; 1) 应与有关合作单位建立沟通、合作机制,明确合作内容、合作方式。 c) 应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通; 1) 应与信息安全产品供应商、信息安全服务提供商、信息安全等级保护专业机构、信息 安全等级保护专家等建立沟通、合作机制,明确合作内容、合作方式。 d) 应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息; 1) 信息化工作部门应针对上述 b)、c)中的单位建立联系列表,至少包括单位名称、合 作内容、联系人、联系方式等信息。 e) 应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评 审等。 1) 应聘请信息安全专家作为常年的安全顾问,建立安全顾问名单,保存聘请安全顾问 的证明文件,以及相关工作文档或记录。 7.2.2.5.审核和检查(G3) 本项要求包括: a) 安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备 份等情况; 1) 信息安全管理员应每天对系统日常运行、数据备份等内容进行安全检查,保存安全 检查的报告,详细记录检查日期、检查内容和检查结果等内容; 2) 信息安全管理员应至少每季度对系统进行漏洞扫描,保存系统漏洞扫描报告,具体 要求参照 7.2.5.7.a)和 c)执行。 b) 应制订安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全 审核和安全检查活动; 1) 应按照《烟草行业信息系统安全检查暂行办法》 (国烟办综[2009]289 号)规定,开 展安全审核和安全检查活动; 2) 本单位可在 1)的内容上,结合实际业务情况,制订安全检查管理制度,进一步明确 安全检查的检查内容、检查程序和检查周期等。

- 65 -

c) 应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有 效性、安全配置与安全策略的一致性、安全管理制度的执行情况等; 1) 利用等级保护综合管理系统,使等级保护的各项工作(定级备案、安全建设整改、 等级测评和自查)常态化、制度化; 2) 应成立由内部员工组成的安全检查小组,负责安全检查工作的开展,检查内容至少 包括以下方面:现有安全技术措施的有效性、安全配臵与安全策略的一致性、安全 管理制度的执行情况; 3) 应至少每半年对信息系统进行一次自查; 4) 应于年底对信息系统进行一次年度信息化安全检查; 5) 根据上级主管部门指示,应不定期对信息系统进行专项检查; 6) 主管部门应不定期对信息系统进行抽查。 d) 应制订安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全 检查结果进行通报。 1) 应按照上级主管部门要求进行安全检查,若本单位对安全检查的检查内容进行了增 加,应一并报告并保存安全检查记录; 2) 根据安全检查记录,汇总安全检查数据,撰写并保存信息系统安全检查自查报告, 报告至少包括检查内容、检查人员、检查数据汇总表、检查结果等内容; 3) 应撰写信息系统安全检查工作情况通报,并通过正式文件进行通报; 4) 撰写信息系统安全检查工作情况汇报,提交上级主管部门。 7.2.3. 人员安全管理 a) 应制订人员信息安全管理制度,对人员录用、人员离岗、人员考核、人员培训、外部人 员管理等方面作出规定。至少包括以下内容: 1) 对人员的离岗要求和调离手续进行规定; 2) 对违反工作协议的行为制订惩处制约条款,明确具体的安全责任和惩戒措施; 3)对信息安全教育及技能培训和考核管理进行规定,明确培训周期、培训方式、培训内 容和考核方式等方面内容; 4) 对外部人员访问重要区域管理进行规定, 明确允许外部人员访问的范围 (区域、 系统、 设备、信息等内容) ,外部人员进入的条件(对哪些重要区域的访问须提出书面申请批准 后方可进入) ,外部人员进入的访问控制措施(由专人全程陪同或监督等)和外部人员离 开的条件等方面内容; 5)对外包运维服务商的管理措施和安全要求等内容进行规定。 7.2.3.1.人员录用(G3)

- 66 -

本项要求包括: a) 应指定或授权专门的部门或人员负责人员录用; b) 应严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对 其所具有的技术技能进行考核; 1) 应对被录用人的身份、背景、专业资格和资质等进行审查,保存人员安全审查记 录,详细记录审查内容和审查结果等内容; 2) 应对被录用人所具有的技术技能进行考核,保存人员考核记录,详细记录考核内容 和考核结果等内容。 c) 应签署保密协议; 1) 应保存所有与被录用人员签署的保密协议,保密协议至少包括保密范围、保密责 任、违约责任、协议的有效期限和责任人的签字等内容。 d) 应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。 1) 应从内部人员中选拔从事关键岗位的人员,从事关键岗位的人员应参考 6.2.2.1.a) 中规定的关键事务岗位; 2) 应保存所有与从事关键岗位人员签署的信息安全工作协议,工作协议至少包括安全 保密义务、违约责任、协议的有效期限和责任人签字等内容。 7.2.3.2.人员离岗(G3) 本项要求包括: a) 应严格规范人员离岗过程,及时终止离岗员工的所有访问权限; 1) 应按照 7.2.3.a)的离岗要求,对离岗人员办理严格的离岗手续,及时终止离岗人员 的所有访问权限,至少包括物理访问权限、网络设备访问权限、操作系统访问权 限、数据库访问权限、应用系统访问权限、用户终端访问权限等。 b) 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备; 1) 应保存离岗人员的安全处理记录,详细记录交还出入机房和其他重要办公场所的证 件、钥匙、胸卡以及单位提供的软硬件设备等情况。 c) 应办理严格的调离手续,关键岗位人员离岗须承诺调离后的保密义务后方可离开。 1) 应按照 7.2.3.a)的调离手续要求,对调离人员办理严格的调离手续,及时调整调离 人员的所有访问权限,至少包括物理访问权限、网络设备访问权限、操作系统访问 权限、数据库访问权限、应用系统访问权限、用户终端访问权限等权限,并且保存 调离手续的记录; 2) 关键岗位人员离岗须承诺调离后的保密义务,保存与调离人员签署的保密承诺书。 7.2.3.3.人员考核(G3)

- 67 -

本项要求包括: a) 应定期对各个岗位的人员进行安全技能及安全认知的考核; 1) 应指定信息化工作部门负责技能考核工作,至少每年对各个岗位的人员进行一次安 全技能、安全认知及信息安全等级保护相关内容的考核。 b) 应对关键岗位的人员进行全面、严格的安全审查和技能考核; 1) 应至少每年对关键岗位人员进行一次全面、严格的技能考核,如:要求关键岗位人员 参加专业的信息安全培训、职业资格认证、信息安全等级保护培训班等; 2) 应至少每年对各个岗位的人员进行一次安全审查(如:人员背景审查),对关键岗位 人员应有特殊的审查内容(如:人员信用审查),保存人员安全审查记录,详细记录 审查内容和审查结果等内容。 c) 应对考核结果进行记录并保存。 1) 应保存上述 a)、b)中产生的考核文档和记录,详细记录考核内容和考核时间等内 容。 7.2.3.4.安全意识教育和培训(G3) 本项要求包括: a) 应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的 人员进行惩戒; 1) 应按照 7.2.3.a)的惩处要求,告知各个岗位人员具体的安全责任和惩戒措施; 2) 若发生过违反制度规定造成的信息安全事件,应对事件责任人进行查处,保存安全 事件查处记录。 b) 应对定期安全教育和培训进行书面规定,针对不同岗位制订不同的培训计划,对信息安 全基础知识、岗位操作规程等进行培训; 1) 应按照 7.2.3.a)的人员培训要求,每年针对不同岗位制订不同的培训计划,明确培 训方式、培训对象、培训内容、培训时间和地点等方面内容,培训内容至少包括信 息安全基础知识、岗位操作规程、信息安全等级保护政策法规、信息安全等级保护 技术知识等; 2) 信息安全基础知识、岗位操作规程、信息安全等级保护政策法规、信息安全等级保 护技术知识的培训应至少每年一次。 c) 应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训; 1) 应按照上述 b)的要求,对各个岗位人员进行安全教育和培训。 d) 应对安全教育和培训的情况和结果进行记录并归档保存。 1) 应保存安全教育和培训记录,详细记录培训人员、培训内容、培训结果等内容。

- 68 -

7.2.3.5.外部人员访问管理(G3) 本项要求包括: a) 对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定 执行; 1) 允许外部人员访问的范围应按照 7.2.3.a)外部人员访问管理的要求执行。 b) 应确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程陪同或监督,并 登记备案; 1) 应按照 7.2.3.a)外部人员访问管理的要求,对外部人员访问重要区域(如:访问机 房、重要服务器或设备区等)进行严格管理,采取有效的安全措施,经有关部门或 负责人批准后外部人员方能访问,并由专人全程陪同或监督; 2) 应保存外部人员访问重要区域的批准文档,说明访问的范围等内容,并具有批准人 的签字; 3) 应保存外部人员访问重要区域的登记记录,详细记录外部人员访问重要区域的进入 时间、离开时间、访问区域、访问设备或信息及陪同人等内容。 c) 应对外包运维服务商提出的安全要求进行书面规定,并对其进行严格的监督管理。 1) 应按照 7.2.3.a)外包运维服务商管理的要求,对外包运维服务商进行严格监督管 理; 2) 外包运维服务商应符合 7.2.4.11.a)、b)、c)的要求; 3) 外包运维服务商必须服从本单位制订的信息安全管理体系方针、安全管理制度和运 行维护流程规范的要求; 4) 进行安全技术体系运行维护的服务商必须具备国家信息安全服务资质,并且不能同 时承担网络基础设施、重要应用系统和重要数据库系统的外包运行维护工作。 7.2.4. 系统建设管理 a) 应对软件开发(包含自行软件开发和外包软件开发) 、工程实施、系统测试验收、系统 交付等过程的控制方法和人员行为准则进行书面规定。具体如下: 1)明确自行软件开发的控制方法(包括软件设计、开发、测试、验收过程)和审批流程; 2)明确外包软件开发的控制方法(包括软件设计、开发、测试、验收过程)和审批流程; 3)明确软件开发相关文档的管理措施; 4)明确自行软件开发人员的行为准则; 5)明确外包开发商应具备的资质条件和外包开发人员的行为准则。 6)明确代码编写规则; 7)明确工程实施过程的控制方法(包括内部阶段性控制和外部监理单位控制)和实施参

- 69 -

与人员的行为准则; 8)明确系统测试验收的过程控制方法和参与人员的行为规范; 9)明确系统交付过程的控制方法和对交付参与人员的行为限制。 7.2.4.1.系统定级(G3) 本项要求包括: a) 应明确信息系统的边界和安全保护等级; 1) 应参照《烟草行业信息系统安全等级保护与信息安全事件定级准则》(YC/T 389— 2011)和国家局关于行业信息系统安全等级保护工作的有关要求,确定本单位信息 系统和信息子系统的安全级别。 b) 应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由; 1) 应结合 a)的要求,撰写信息系统定级报告,明确信息系统的边界和安全保护等级, 说明定级的方法和理由。 c) 应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证 和审定; 1) 应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审 定,保存专家论证文档,详细记录专家对定级结果的论证意见; 2) 若信息系统由上级主管部门统一确定安全保护等级,应保存上级主管部门发布的相 关文件。 d) 应确保信息系统的定级结果经过相关部门的批准。 1) 信息系统的定级结果应经过上级主管部门批准,并保存《烟草行业信息系统安全保 护等级审核表》。 7.2.4.2.安全方案设计(G3) 本项要求包括: a) 应根据系统的安全保护等级选择基本安全措施,并依据风险分析的结果补充和调整安全 措施; 1) 应根据系统的安全保护等级,参考本要求规定的相应级别的最低保护要求,确定系 统的基本安全措施; 2) 应对系统进行风险分析,并根据风险分析的结果补充或调整已确定的基本安全措 施。 b) 应指定和授权专门的部门对信息系统的安全建设进行总体规划,制订近期和远期的安全 建设工作计划; 1) 应授权信息化工作部门对信息系统的安全建设进行总体规划;

- 70 -

2) 应根据信息系统的等级划分情况,参考国家的法律法规、技术标准(如:《信息安 全技术 信息系统安全等级保护实施指南》GB/T 25058—2010),遵循烟草行业的相 关规定,建立信息安全保障体系建设规划,明确信息化建设总体规划,并针对现阶 段急迫和关键的安全问题,建立短期工作计划。 c) 应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框 架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件; 1) 应根据信息系统的等级划分情况,参考国家的法律法规、技术标准(如:《信息安 全技术 信息系统安全等级保护实施指南》GB/T 25058—2010),遵循烟草行业的相 关规定,建立信息安全保障体系建设方案,明确安全策略建设、安全管理体系建 设、安全技术体系建设和安全运维体系建设等方面内容。 d) 应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、 总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且 经过批准后,才能正式实施; 1) 应组织相关部门和有关安全技术专家对信息安全保障体系建设规划和建设方案的合 理性和正确性进行论证和审定,保存专家论证文档,详细记录评审意见; 2) 信息安全保障体系建设规划和建设方案应经过信息安全领导小组的评审和批准后, 方能正式实施,保存评审和批准记录。 e) 应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全 管理策略、总体建设规划、详细设计方案等相关配套文件。 1) 应按照《信息安全等级保护管理办法》(公通字[2007]43 号)的要求,对系统进行 等级测评,并根据等级测评的结果和 7.2.2.5 的安全检查结果,对信息安全保障体 系建设规划和建设方案进行调整和修订,保存信息安全保障体系建设方案的修订记 录。 7.2.4.3.产品采购和使用(G3) 本项要求包括: a) 应确保安全产品采购和使用符合国家的有关规定; 1) 系统使用的有关信息安全产品应获得 《计算机信息系统安全专用产品销售许可证》 , 并根据信息系统安全需求选择使用相应等级的产品; 2) 根据《信息安全等级保护管理办法》(公通字[2007]43 号)规定,第三级以上信息 系统应当选择使用我国自主研发的信息安全产品。 b) 应确保密码产品采购和使用符合国家密码主管部门的要求; 1) 系统使用的密码产品应获得《商用密码产品销售许可证》,不得采用国外引进或者

- 71 -

擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。 c) 应指定或授权专门的部门负责产品的采购; 1) 应明确产品的采购流程; 2) 应按照下述 d)项的要求,形成候选产品名单,指导产品采购。 d) 应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。 1) 应制订产品采购管理文档,明确需要的产品性能指标、确定产品的候选范围、通过 招投标等方式确定采购产品及人员行为准则等方面内容; 2) 采购产品前应预先对产品进行选型测试确定产品的候选范围,保存产品选型测试结 果记录; 3) 应至少每年对候选产品名单进行审定和更新,保存候选产品名单的审定记录和更新 后的候选产品名单。 7.2.4.4.自行软件开发(G3) 本项要求包括: a) 应制订软件开发管理制度,明确说明开发过程的控制方法和人员行为准则; 1) 应按照 7.2.4.a)自行软件开发的要求执行。 b) 应确保开发环境与实际运行环境物理分开,开发人员和测试人员分离,测试数据和测试 结果受到控制; 1) 自主开发软件应在独立的模拟环境中编写、调试和完成,与实际运行环境物理隔 离; 2) 软件开发之后应交给测试人员测试软件,并且要求同一系统的开发人员和测试人员 分离,即开发人员不能参与系统测试工作; 3) 应对测试数据和测试结果的使用情况进行控制,保存测试数据、测试结果的使用控 制记录。 c) 应制订代码编写安全规范,要求开发人员参照规范编写代码; 1) 开发人员应参照 7.2.4.a)中的代码编写要求编写代码。 d) 应确保提供软件设计的相关文档和使用指南,并由专人负责保管; 1) 应保存软件设计的相关文档、软件使用指南或操作手册和维护手册; 2) 应指定专人负责管理上述文档的使用情况,保存软件开发相关文档的使用控制记 录; 3) 软件设计的相关文档至少包括应用软件设计程序文件、源代码文档等。 e) 应确保对程序资源库的修改、更新、发布进行授权和批准。 1) 应明确程序资源库的修改、更新、发布的授权和批准流程,指定授权部门和批准

- 72 -

人。 7.2.4.5.外包软件开发(G3) 本项要求包括: a) 应制订外包软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。 1) 应按照 7.2.4.a)外包软件开发的要求执行。 b) 应根据开发需求检测软件质量; 1) 软件交付前应依据开发要求的技术指标对软件功能和性能等进行验收测试。 c) 应在软件安装之前检测软件包中可能存在的恶意代码; 1) 软件安装之前应使用第三方的检测工具检测软件包中可能存在的恶意代码。 d) 应要求开发单位提供软件设计的相关文档和使用指南; 1) 应要求开发单位提供需求分析说明书、软件设计说明书、软件操作手册等软件开发 文档和使用指南,并指定专门部门负责保管。 e) 应要求开发单位提供软件源代码,并审查软件中可能存在的后门。 1) 应要求开发单位提供软件源代码文档,并指定专门部门负责保管; 2) 应根据软件源代码对软件中可能存在的后门进行审查,保存软件源代码审查记录, 详细记录对可能存在后门的审查结果; 3) 若未能提供软件源代码,则应要求开发单位提供第三方机构出具的软件源代码审查 报告。 7.2.4.6.工程实施(G3) 本项要求包括: a) 应制订工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则; 1) 应按照 7.2.4.a)工程实施管理的要求执行。 b) 应指定或授权专门的部门或人员负责工程实施过程的管理; c) 应制订详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程 过程; 1) 应制订工程实施方案,明确工程时间限制、进度控制和质量控制等方面内容; 2) 应按照工程实施方案的要求对工程实施过程进行进度和质量控制,保存按照实施方 案形成的阶段性工程报告等文档; 3) 应要求工程实施单位提供能够安全实施系统建设的资质证明和能力保证。 d) 应委托第三方工程监理单位控制项目的实施过程。 1) 应委托第三方工程监理单位按照系统建设文档的要求对工程实施过程进行进度和质 量控制;

- 73 -

2) 应保存工程监理实施过程形成所有文档,如:阶段性工程监理报告。 7.2.4.7.测试验收(G3) 本项要求包括: a) 应对系统测试验收的控制方法和人员行为准则进行书面规定; 1) 应按照 7.2.4.a)系统测试验收管理的要求执行。 b) 应指定或授权专门的部门负责系统测试验收的管理,并按照管理规定的要求完成系统测 试验收工作; c) 应委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告; 1) 在系统建设完成之后,应委托信息安全测评机构对信息系统进行独立的安全测评, 保存测评报告,明确安全测评的结果,并具有信息安全测评机构的签字或盖章; 2) 若测评报告中提出了存在的问题,应及时进行整改,保存整改报告。 d) 在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详 细记录测试验收结果,并形成测试验收报告; 1) 应根据设计方案或合同要求等制订测试验收方案,明确参与测试的部门、人员、测 试验收的内容、现场操作过程等方面内容; 2) 应保存测试验收记录,详细记录测试时间、人员、现场操作过程和测试验收结果等 内容; 3) 应保存系统测试验收报告,详细描述整体测试验收过程以及测试验收结果,必要 时,提出存在的问题及改进意见等内容。 e) 应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。 1) 应根据设计方案或合同要求组织相关部门和人员对测评报告和系统测试验收报告进 行符合性审定,保存报告的审定文档,详细记录相关人员的审定意见。 7.2.4.8.系统交付(G3) 本项要求包括: a) 应对系统交付的控制方法和人员行为准则进行书面规定; 1) 应按照 7.2.4.a)系统交付的要求执行。 b) 应指定或授权专门的部门负责系统交付的管理工作,并按照管理规定的要求完成系统交 付工作; c) 应对负责系统运行维护的技术人员进行相应的技能培训; 1) 系统交付时,应由系统建设方对负责系统运行维护的技术人员进行相应的技能培 训,保存培训记录,详细记录培训内容、培训时间和参与人员等内容; 2) 培训内容至少包括系统操作规程、运维注意事项等。

- 74 -

d) 应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档; 1) 应保存系统建设过程中的所有文档、指导用户进行系统维护的文档和系统培训手册 等; 2) 系统建设过程中的所有文档包括工程实施、系统测试、系统验收等过程产生的所有 文档,可参考《信息安全技术 信息系统安全工程管理要求》GB/T 20282—2006。 e) 应制订详细的系统交付清单, 并根据交付清单对所交接的设备、 软件和文档等进行清点。 1) 应建立系统交付清单,分类列举系统交付的各类设备、软件、文档等; 2) 系统交接时应根据交付清单对所交接的设备、文档、软件等进行清点。 7.2.4.9.系统备案(G3) 本项要求包括: a) 应指定专门的部门或人员负责管理系统定级的相关材料,并控制这些材料的使用; 1) 应指定专门的部门或人员负责管理系统定级的相关材料; 2) 应对系统定级的相关材料的使用情况进行控制,保存系统定级相关材料的使用控制 记录。 b) 应将系统等级及相关材料报系统主管部门备案; 1) 系统定级后,应将系统定级及相关材料报上级主管部门备案,保存上级主管部门的 反馈意见。 c) 应将系统等级及其他要求的备案材料报相应公安机关备案。 1) 应按照《信息安全等级保护备案实施细则》(公信安[2007]1360 号)的要求,及时 对信息系统进行备案; 2) 应将系统定级及相关材料报当地公安机关备案,保存公安机关颁发的《信息系统安 全等级保护备案证明》。 7.2.4.10. 等级测评(G3)

本项要求包括: a) 应指定或授权专门的部门或人员负责等级测评的管理; 1) 应授权信息化工作部门负责等级测评工作的开展。 b) 应选择具有国家相关技术资质和安全资质的测评单位进行等级测评; 1) 选择的等级测评单位应获得《信息安全等级保护测评机构推荐证书》。 c) 在系统运行过程中,应至少每年对系统进行一次等级测评,发现不符合相应等级保护标 准要求的及时整改; 1) 应至少每年委托测评机构对系统进行一次等级测评,并根据测评结果,对发现的问 题及时整改,保存测评报告和整改报告。

- 75 -

d) 应在系统发生变更时及时对系统进行等级测评,发现级别发生变化的及时调整级别并进 行安全改造,发现不符合相应等级保护标准要求的及时整改。 1) 应在系统发生变更,发现级别发生变化的及时调整级别并进行安全改造后,及时对 系统进行等级测评,根据测评结果,对发现的问题及时整改,保存测评报告和整改 报告。 7.2.4.11. 安全服务商选择(G3)

本项要求包括: a) 应确保安全服务商的选择符合国家的有关规定; 1) 选择的安全服务商应具有国家有关部门颁发的相关安全服务资质,包括安全咨询、 监理、培训、规划、设计、实施、测评、运维等方面。 b) 应与选定的安全服务商签订与安全相关的协议,明确约定相关责任; 1) 应保存保存与安全服务商签订的安全责任合同书或保密协议等文档,明确保密范 围、安全责任、违约责任、协议的有效期限等方面内容,并具有双方签字或盖章。 c) 应确保选定的安全服务商提供技术培训和服务承诺,必要的与其签订服务合同。 1) 应保存与安全服务商签订的服务合同,明确服务内容、服务承诺、服务期限等方面 内容,并具有双方签字或盖章。 7.2.5. 系统运维管理 7.2.5.1.环境管理(G3) 本项要求包括: a) 应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全 等方面的管理作出规定; 1) 应制订机房安全管理制度,明确机房物理访问、物品带进/带出机房、机房环境安 全(如:机房温湿度值)、机房消防安全等方面内容。 b) 应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理; 1) 应指定专门的部门或人员负责机房基础设施的维护管理,机房基础设施至少包括: 电子门禁系统、防盗报警系统、监控报警系统、自动消防系统、漏水检测系统、机 房专用空调、机房供配电设备等; 2) 应至少每季度聘请维护商对机房基础设施进行维护,保存维护商提供的维护报告; 3) 应制订机房巡检记录单,明确检查的设备、检查内容等,由专人按照记录单内容每 天对机房的基础设施、信息系统的相关设备、线路进行检查,详细记录检查时间、 检查人、当前温湿度值、设备的运行状况、故障原因、维护结果等内容。 c) 应指定部门负责机房安全,并配备机房安全管理人员,对机房的出入、服务器的开机或

- 76 -

关机等工作进行管理; d) 应加强对办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应 立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算 机退出登录状态和桌面上没有包含敏感信息的纸档文件等。 1) 应明确工作人员离开座位时退出登录状态、桌面没有敏感信息文件、不在办公区接 待来访人员等方面内容; 2) 应按照 6.2.3.a)的人员离岗要求和调离手续要求,人员调离办公室时应立即收回钥 匙。 7.2.5.2.资产管理(G3) 本项要求包括: a) 应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产 管理和使用的行为; 1) 应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,明确资 产使用、传输、存储、维护等方面内容。 b) 应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理; 1) 应制订信息分类文档,明确信息分类标识的原则和方法; 2) 应按照上述 a)的要求,对信息的使用、传输和存储等方面进行管理。 c) 应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施; 1) 通过分析资产的机密性、完整性和可用性被破坏后对信息系统运行的影响程度,确 定资产的重要程度和价值; 2) 根据资产的重要程度对资产进行分类和标识管理,不同类别的资产应采取不同的管 理措施。 d) 应编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等 内容。 1) 应针对各个信息系统编制资产清单,明确资产责任部门、责任人、所处位臵和重要 程度等方面内容; 2) 建议本单位可从资产的重要程度、资产的价值、资产的类别等因素考虑,编制资产 清单。 7.2.5.3.介质管理(G3) 本项要求包括: a) 应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定; 1) 应针对存储介质,制订存储介质安全管理制度,明确存储介质的归档、存放环境、

- 77 -

使用、维护和销毁等方面内容。 b) 应确保介质存放在安全的环境中,并实行存储环境专人管理; 1) 应对介质的存放环境采取有效的保护措施,防止介质被盗、被毁、介质内存储信息 被授权修改以及非法泄漏等,并指定专人负责管理介质的存储环境,避免由于高 温、潮湿等自然因素对介质造成物理破坏。 c) 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查 询等进行登记记录,并根据存档介质的目录清单定期盘点; 1) 应建立介质的目录清单,并根据该清单至少每季度对介质的使用现状进行检查,对 介质的完整性(数据是否损坏或丢失)和可用性(介质是否受到物理破坏)进行检 查; 2) 应明确介质在物理传输过程中的控制措施,至少包括选择可靠的传输人员、严格介 质的打包、选择安全的物理传输途径、双方在场交付等; 3) 应保存介质管理记录,详细记录介质的存储、归档、查询和借用等情况。 d) 应对存储介质的使用过程、送出维修以及销毁等进行严格的管理,对带出工作环境的存 储介质进行内容加密和监控管理,对送出维修或销毁的介质应首先清除介质中的敏感数 据,对保密性较高的存储介质未经批准不得自行销毁; 1) 应明确存储介质的使用过程、送出维修以及销毁等过程的控制措施,至少包括对带 出工作环境介质中存储的数据和软件进行保密性处理、保密性较高的介质销毁前应 得到领导批准、对送出维修或销毁的介质在送出之前应对介质内存储的数据进行净 化处理等。 e) 应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本 地相同; 1) 应根据业务实际需求,识别重要的备份信息,并进行异地备份存储; 2) 异地备份存储站点应与主站点应保持足够的距离、同样的环境要求和一致的管理方 法。 f) 应对重要介质中的数据和软件采取加密存储,并根据所承载数据和软件的重要程度对介 质进行分类和标识管理。 1) 应根据所承载数据和软件的重要程度对介质进行分类和标识管理,如:粘贴纸质标 签; 2) 应对重要介质中的数据和软件进行保密性处理。 7.2.5.4.设备管理(G3) 本项要求包括:

- 78 -

a) 应建立设备安全管理制度,对设备的申报、审批、使用、维护等方面作出规定; 1) 应制订设备安全管理制度,至少包括以下内容: ? 明确各种软硬件设备选用的各个环节(选型、采购、发放和领用以及信息处理 设备带离机构等)的申报和审批流程; ? 明确配套设施、软硬件维护的管理措施,至少包括明确维护人员的责任、涉外 维修和服务的申报和审批流程、维修过程的监督控制管理等; ? 明确终端计算机、便携机和网络设备等使用、操作原则、注意事项等方面内容。

b) 应对信息系统相关的各种设备(包括备份和冗余设备) 、线路等指定专门的部门或人员 定期进行维护管理; 1) 应指定专门的部门或人员每天对各种设备、线路进行检查维护,具体要求按照 7.2.5.1.b)执行; 2) 维护人员使用各类测试工具之前应对工具进行有效性、安全性检查,使用之后删除 工具中携带的敏感信息,保存工具检查记录。 c) 应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备 的选型、采购、发放和领用等过程进行规范化管理; 1) 应按照 a)审批流程的要求执行,保存设备的选型、采购、发放和领用过程的申报材 料和审批报告。 d) 应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维 护人员的责任、涉外维修和服务的审批、维修过程的监督控制等; 1) 应按照 a)软硬件维护管理的要求执行,并保存设备的涉外维修和服务过程的申报材 料和审批报告。 e) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理, 按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作; 1) 应按照 a)的使用规范要求执行; 2) 应制订主要设备 (包括备份和冗余设备) 的操作规程,明确服务器如何启动、停止、 加电、断电等操作内容; 3) 应按照操作规程对主要设备(包括备份和冗余设备)进行操作,建立并保存操作日 志; 4) 应按照 7.2.5.5.a)的安全审计频率要求,指定审计员对主要设备的操作日志进行分 析,发现可疑行为并对其采取必要的措施,保存分析报告,详细分析发现的异常现 象、处理措施等内容。 f) 应确保信息处理设备必须经过审批才能带离机房或办公地点。

- 79 -

1) 应按照 a)审批流程的要求执行,保存信息处理设备带离机构的申报材料和审批报 告。 7.2.5.5.监控管理和安全管理中心(G3) 本项要求包括: a) 应规定安全审计的内容、安全审计的频率、审计日志的保存时间等; 1) 应制订安全审计管理制度,明确对安全审计的审计内容、审计频率、审计日志的保 存时间等内容,明确人员行为准则。 b) 应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监 测和报警,形成记录并妥善保存; 1) 应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进 行管理,保存监测记录,详细记录监控对象、监控内容、监控的异常现象处理等方 面内容。 c) 应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑

相关文章:
烟草行业信息系统安全等级保护基本要求.doc
烟草行业信息系统安全等级保护基本要求 - 烟草行业信息系统安全 等级保护基本要求 二○一一年五月 - 1 - 目引 1. 2. 3. 3.1. 4. 4.1. 4.2. 4.3. 4...
YC_T 495-2014_烟草行业信息系统安全等级保护实施规范.doc
YC/T 495-2014 烟草行业信息系统安全等级保护实施规范基本信息 【英文
YC_T 389-2011_烟草行业信息系统安全等级保护与信息安....doc
YC/T 389-2011 烟草行业信息系统安全等级保护信息安全事件的 定级准则基本信息 【英文名称】 Classification criteria for classified security protection of ...
信息系统安全等级保护的必要性.doc
准则》 (GB17859-1999) 、 《信息系统安全 等级保护定级指南》 、 《信息系统安全等级保护基本要求》等 50 多个国家标准和 行业标准,形成了信息安全等级保护标准...
等级保护思想在烟草行业信息安全体系建设的研究及应用.doc
等级保护思想在烟草行业信息安全体系建设的研究及应用 - 龙源期刊网 http://www.qikan.com.cn 等级保护思想在烟草行业信息安全体系建设 的研究及应用 作者:张铁 ...
烟草专卖局信息网络安全等级保护工作自检自查报告.doc
烟草专卖局信息网络安全等级保护工作自检自查报告 XX 县烟草专卖局(分公司)的...信息安全等级保护安全检查工作的通知》要求,我司组织 相关人员对系统信息网络...
浅谈烟草行业等级保护发展趋势及实施思路.pdf
月国家烟草专卖局办公室下发了《关于组织对烟草行业信息 系统安全等级保护基本要求征求意见的通知》.该通知的正式下发标志着我国烟 草行业信息安全等级保护工作进入...
《烟草行业信息安全保障体系建设指南》_20080418.doc
烟草行业信息安全保障体系是行业信息化健康发展的基础和保障, 是行业各级数据中心...应按照国家有关标准、规范,遵照国家局关于 行业信息系统安全等级保护工作的有关...
信息系统安全等级保护定级报告.doc
信息系统安全等级保护定级报告 - 信息系统安全等级保护定级报告 (起草参考实例)
信息系统安全等级保护定级报告.doc
信息系统安全等级保护定级报告 - 信息系统安全等级保护定级报告 (起草参考实例)
信息系统安全等级保护定级报告-中国网络安全等级保护网.doc
信息系统安全等级保护定级报告-中国网络安全等级保护网 - 信息系统安全等级保护定级报告 (起草参考实例) 一、 X 省邮政金融网中间业务系统描述 (一)该中间业务于*...
XX信息系统安全等级保护定级报告.doc
XX信息系统安全等级保护定级报告 - XX 信息系统安全等级保护定级报告 (起草
信息系统安全等级保护定级报告模版.doc
信息系统安全等级保护定级报告》模版 《信息系统安全等级保护定级报告》一、XXX...电气等费用代扣、 代收烟草款等业务,并新增加了代收国税、地税,代办保险等业 ...
XX烟草数据中心项目招标书-平台指标部分.doc
《烟草行业信息化标准体系》及其有关标准 《烟草行业信息化建设统一技术平台要求》 《烟草行业数字证书应用接口规范》 《烟草行业信息系统安全等级保护定级指南》 国家...
国家烟草专卖局全面开展等级保护工作有力保障信息系统....pdf
保障信息系统平稳运行 国家烟草专卖局烟草经济信息中心 近几年,随着烟草行业信息...“信息安全 百日活动” ,按照等级保护相关标准和要求,对所有应用系统、机房和...
Q6-5、信息安全等级保护工作会议纪要.doc
烟草行业信息系统安全等级保护 基本要求》以及 8 月 30 日关于开展信息系统
信息网络安全等级保护工作自检自查报告.doc
信息网络安全等级保护工作 自检自查报告 XX 县烟草专卖局(分公司)的信息网络安全...信息安全等级保护安全检查工作的通知》要求,我司组织 相关人员对系统信息网络...
2014.8.7信息系统安全等级保护整改初设方案 V4.2_图文.doc
2014.8.7信息系统安全等级保护整改初设方案 V4.2 - 中国烟草总公司甘肃省公司信息系统安全等级保护整改项目 (标段一:等保技术加固) 初步设计方案 编制公司:上海...
烟草商业企业标准体系构成与要求-中国烟草标准化.doc
烟草商业企业标准体系构成与要求-中国烟草标准化_企业管理_经管营销_专业资料。...烟草行业信息系统安全等级保护信息安全事件的定级准则 4/6 《烟草商业企业标准...
信息系统安全等级保护定级报告.doc
信息系统安全等级保护定级报告 - 信息系统安全等级保护定级报告 信息系统安全等级保护定级报告 一、 X 省邮政金融网中间业务系统描述 (一)该中间业务于*年*月*日...
更多相关标签: