等保三级基线要求判分标准v1.0

安全层面控制点要求项0分标准5分标准物理安全物理位置的选择a）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；1）机房出现以下一种或多种情况：a.雨水渗透痕迹。b.风导致的较严重尘土。c.屋顶、墙体、门窗或地面等破损开裂。1）机房和办公场地场所在建筑物具有建筑物抗震设防审批文档。2）机房和办公场地未出现以下情况：a.雨水渗透痕迹。b.风导致的较严重尘土。c.屋顶、墙体、门窗或地面等破损开裂。物理安全物理位置的选择b）机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。1）机房部署在以下位置：a.建筑物的高层。b.地下室。c.用水设备的下层或隔壁。2）机房未采取防水和防潮措施。1）机房未部署在以下位置：a.建筑物的高层。b.地下室。c.用水设备的下层或隔壁。2）机房已采取防水和防潮措施。物理安全物理访问控制a）机房出入口应有专人值守，控制、鉴别和记录进入的人员。1）机房存在无人值守的出入口。1）机房所有出入口都有专人值守。2）对所有进入机房的人员进行鉴别和记录，并保存记录。物理安全物理访问控制b）需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。1）来访人员无需申请审批即可进入机房。2）进入机房后未采取专人陪同或视频监控等手段限制和监控来访人的行为。1）来访人员需进行申请审批后才能进入机房，且保存申请审批记录。2）申请审批记录应至少明确来访人员的姓名、时间、来访目的。3）应专人陪同来访人员进入机房，对其行为进行限制和监控。物理安全物理访问控制c）应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域。1）机房无物理隔离装置。1）机房已划分区域。2）机房各区域间设置了有效的物理隔离装置。3）机房重要区域前已设置交付或安装等过渡区域。物理安全物理访问控制d）重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。1）机房重要区域未配置电子门禁系统。1）机房重要区域配置的电子门禁系统。2）电子门禁系统正常工作，可对进入人员进行控制、鉴别和记录。3）电子门禁系统有运行和维护记录。物理安全防盗窃和防破坏a）应将主要设备放置在机房内。1）主要设备存在未放置在机房内的情况。1）主要设备均放置在机房。物理安全防盗窃和防破坏b）应将设备或主要部件进行固定，并设置明显的不易除去的标记。1）设备或主要部件未上架或上架未固定。2）设备或主要部件无标签。1）设备或主要部件均已上架并固定。2）设备或主要部件均有标签。物理安全防盗窃和防破坏c）应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。1）通信线缆未在地下、桥架或管道中。1）通信线缆均铺设在地下或管道中等隐蔽处。物理安全防盗窃和防破坏d）应对介质分类标识，存储在介质库或档案室中。1）介质未分类。2）介质未标识。3）介质存储无固定场所。1）介质进行了合理分类。2）介质进行了明确标识。3）介质存储在介质库或档案室等专用场所内。物理安全防盗窃和防破坏e）应利用光、电等技术设置机房的防盗报警系统。1）机房无防盗报警系统。1）机房配置了防盗报警系统。2）防盗报警系统正常工作，可利用光、电等技术进行报警，并保存报警记录。3）防盗报警系统有运行和维护记录。物理安全防盗窃和防破坏f）应对机房设置监控报警系统。1）机房无监控系统。1）机房配置了监控报警系统。2）监控报警系统正常工作，可进行监控和报警，并保存监控报警记录。3）监控报警系统有运行和维护记录。物理安全防雷击a）机房建筑应设置避雷装置。1）机房建筑未设置避雷装置。1）机房建筑设置避雷装置。2）避雷装置有通过验收或国家有关部门的技术检测。物理安全防雷击b）应设置防雷保安器，防止感应雷。1）机房未设置防雷保安器。1）机房设备有设置防雷保安器。2）防雷保安器通过具有防雷检测资质的检测部门的测试。物理安全防雷击c）机房应设置交流电源地线。1）机房未设置交流电源地线。1）机房有设置交流电源地线。2）交流电源接地检测结果符合要求。物理安全防火a）机房应设置火灾自动消防系统，自动检测火情、自动报警，并自动灭火。1）机房无火灾消防系统。1）机房设置自动检测火情、自动报警、自动灭火的自动消防系统。2)自动消防系统经消防检测部门检测合格，自动消防系统在有效期内，处于正常运行状态。3）自动消防系统有运行记录、定期检查和维护记录。物理安全防火b）机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。1）机房及相关的工作房间和辅助房没有采用具有耐火等级的建筑材料。1）机房及相关的工作房间和辅助房采用具有耐火等级的建筑材料。2）耐火等级建筑材料有相关合格证或验收文档物理安全防火c）机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。1）重要设备所在区间与其他区域没有防火隔离设施。1）重要设备所在区间与其他区域设有防火隔离设施。物理安全防水和防潮a）水管安装，不得穿过机房屋顶和活动地板下。1）机房屋顶或活动地板下面有水管。2）机房无防水保护措施。1）机房屋顶屋顶和活动地板下无水管穿过。2）机房采取了防水保护措施。物理安全防水和防潮b）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。1）机房出现以下一种或多种情况：a.机房窗户、屋顶或墙壁有雨水渗透痕迹。b.屋顶、外墙体、窗户有明显破损。1）机房不存在以下情况：a.机房窗户、屋顶或墙壁有雨水渗透痕迹。b.屋顶、外墙体、窗户有明显破损。2）机房采取了防止雨水渗透的保护措施。物理安全防水和防潮c）应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。1）机房出现以下一种或多种情况：a.机房内出现水蒸气结露。b.机房内出现积水转移和渗透。1）机房不存在以下情况：a.机房内出现水蒸气结露。b.机房内出现积水。2）机房采取了防止水蒸气结露的保护措施。3）机房采取了防止积水转移和渗透的保护措施物理安全防水和防潮d）应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。1）机房没有水敏感的检测仪表或元件。1）机房安装了水敏感的检测仪表或元件。2）水敏感的检测仪表或元件正常工作，可进行防水检测和报警，并保存检测盒报警记录。3）水敏感的检测仪表或元件有运行和维护记录物理安全防静电a）主要设备应采用必要的接地防静电措施。1）机房没有接地防静电措施。1）机房有接地防静电措施。物理安全防静电b）机房应采用防静电地板。1）机房没有采用防静电地板。1）机房采用防静电地板。2）机房不存在静电现象。物理安全温湿度控制a）机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。1）机房没有配置温、湿度自动调节设施。1）机房配备了温、湿度自动调节设施。2）温、湿度自动调节设施正常工作，可保证机房内的温、湿度达到运行要求。3）温、湿度自动调节设施有运行和维护记录。物理安全电力供应a）应在机房供电线路上设置稳压器和过电压防护设备。1）机房没有设置稳压器。2）机房没有过电压防护设备。1）机房配备了稳压器和过电压防护设备。2）稳压器和过电压防护设备正常工作。3）稳压器和过电压防护设备有运行和维护记录物理安全电力供应b）应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求。1）机房没有UPS。1）机房配备了UPS。2）UPS正常工作，可满足主要设备断电情况下的正常运行要求。3）UPS有运行和维护记录。物理安全电力供应c）应设置冗余或并行的电力电缆线路为计算机系统供电。1）机房内未设置冗余或并行的电力电缆线路。1）机房配备了冗余或并行的电力电缆线路。2）冗余或并行的电力电缆线路均可正常为计算机系统供电。物理安全电力供应d）应建立备用供电系统。1）未配备发电机作为备用供电系统。1）配备了发电机作为备用供电系统。2）备用供电系统正常工作，可在电力供应故障的情况下对机房及设备等供电。3）备用供电系统有运行和维护记录。物理安全电磁防护a）应采用接地方式防止外界电磁干扰和设备寄生耦合干扰。1）机房中的机架或机柜没有进行接地。1）机房中全部机架或机柜均进行了有效的接地。物理安全电磁防护b）电源线和通信线缆应隔离铺设，避免互相干扰。1）机房电源线和通信线缆在同槽内进行铺设。1）机房电源线和通信线缆未在同槽内进行铺设。物理安全电磁防护c）应对关键设备和磁介质实施电磁屏蔽。1）核心数据库服务器、关键磁介质未放置在屏蔽机房或电子屏蔽容器内。1）核心数据库服务器、关键磁介质放置在屏蔽机房或电子屏蔽容器内。网络安全结构安全a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；1）在测评期间，多次查到主要网络设备CPU负载峰值长期超过90%1）主要网络设备近一年内的CPU负载峰值均低于60%网络安全结构安全b)应保证网络各个部分的带宽满足业务高峰期需要；1）核心网络带宽在业务高峰期占用均超过90%1）接入网络和核心网络带宽在业务高峰期占用低于60%。网络安全结构安全c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；1）未在业务终端与业务服务器端进行任何路由控制1）业务终端和业务服务器分别放置在不同的子网采用静态路由的方式进行路由控制建立安全的访问路径。网络安全结构安全d)应绘制与当前运行情况相符的网络拓扑结构图；1）未绘制网络拓扑图1）绘制的网络拓扑图与当前运行情况的网络拓扑结构图完全一致。网络安全结构安全e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；1）查看网络拓扑图和设备区域划分情况，未根据需要划分不同的子网或网段1）根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段；2）按照方便管理和控制的原则为各子网、网段分配地址段,生产网、互联网、办公网各网段之间实现有效控制策略。网络安全结构安全f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；1）将数据库等重要网段部署在网络边界处且直接连接外部信息系统；2）重要网段与其他网段没有可靠的隔离措施1）重要网段不直连外网，且处于恰当的网络区域；2）重要网段与其他网段之间根据业务需求采取网闸、防火墙、ACL或划分VLAN等隔离手段进行隔离。网络安全结构安全g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。1）未采取网络QoS或专用带宽管理设备等措施保护重要服务和主机1）对所有业务确定重要性、优先级，制定业务相关带宽分配原则及相应的带宽控制策略；2）根据安全需求，采取网络QoS或专用带宽管理设备等措施保护重要服务和主机。网络安全访问控制a)应在网络边界部署访问控制设备，启用访问控制功能；1）网络边界处未部署访问控制设备或者已部署访问控制设备但未启用访问控制功能1）网络边界处部署访问控制设备如防火墙，并启用访问控制功能。网络安全访问控制b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；1）网络边界处部署的访问控制设备未实现端口级的访问控制1）设备配置了严格的访问控制策略，根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。网络安全访问控制c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；1）网络边界处部署的访问控制设备未实现应用级协议命令级的访问控制功能1）设备通过访问控制策略对进出网络的信息内容进行过滤，实现对应用层协议命令级的控制。网络安全访问控制d)应在会话处于非活跃一定时间或会话结束后终止网络连接；1）未能根据业务需要对会话终止时间进行合理限制1）明确定义会话非活跃终止时间，超过此时间自动结束会话。网络安全访问控制e)应限制网络最大流量数及网络连接数；1）未能根据业务需要对网络流量及网络连接数进行限制1）对网络最大流量和网络连接数有明确的限制。网络安全访问控制f)重要网段应采取技术手段防止地址欺骗；1）未对重要网段采取防地址欺骗措施1）对重要网段采取有效的手段