等级保护第四级基本要求

等级保护第四级基本要求-技术需部署的安全设施其他建议残留问题1.1.1物理安全1.1.1.1物理位置的选择（G3）本项要求包括：a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。一般选择在建筑物2-3层，最好在办公区附近，且不能邻近洗手间、厨房等。（同B类安全机房的选址要求。）1.1.1.2物理访问控制（G3）本项要求包括：a)机房出入口应安排专人值守并配置电子门禁系统，控制、鉴别和记录进入的人员；机房安装电子门禁系统（北京天宇飞翔，深圳微耕，瑞士KABA或德国KABAGallenschutz），建议采用双向控制。增设保安人员在门外值守；通过门禁电子记录或填写出入记录单的形式记录进出人员和时间。b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；机房内、外部临近入口区域安装监控摄像头保证全部范围覆盖。需要有来访人员进入机房的审批记录；外来人员进入机房应当由专人全程陪同。c)应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；d)重要区域应配置第二道电子门禁系统，控制、鉴别和记录进入的人员。重要区域物理隔离，并安装第二道电子门禁系统（双向）。1.1.1.3防盗窃和防破坏（G3）本项要求包括：a)应将主要设备放置在机房内；b)应将设备或主要部件进使用机柜并在设备上焊行固定，并设置明显的不易除去的标记；接铭牌，标明设备型号、负责保管人员、维护单位等信息。（设备铭牌只能被破坏性地去除。）c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；d)应对介质分类标识，存储在介质库或档案室中；介质应异地存放。e)应利用光、电等技术设置机房防盗报警系统；机房重要资产存放处及附近区域安装光、电防盗报警系统，如红外或感应报警系统。f)应对机房设置监控报警系统。机房安装视频监控报警系统。1.1.1.4防雷击（G3）本项要求包括：a)机房建筑应设置避雷装置；b)应设置防雷保安器，防止感应雷；安装电源三级防雷器和信号二级防雷器（美国克雷太ALLTEC）。c)机房应设置交流电源地线。机房设置专用交流电源地线，接地电阻不应大于4Ω。机房交流工作接地、安全保护接地、防雷接地应符合GB50174-93《电子计算机机房设计规范》要求。1.1.1.5防火（G3）本项要求包括：a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；在机房内安装温感或烟感探测器，连接到机房动力环境监控系统中；安装有管网气体自动灭火系统。灭火方式应采用气体灭火系统，如CO2、FM-200、气溶胶和烟烙尽等。b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；进行机房改造，使用防火材料装修。c)机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。进行机房改造，重要区域使用防火玻璃隔断。1.1.1.6防水和防潮（G3）本项要求包括：a)水管安装，不得穿过机房屋顶和活动地板下；b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；机房顶棚、地面和四周应做好防水处理，有条件的话可以在机房顶部安装防漏水设施，在机房地面修建地漏、泄水槽和配置排水设备。机房尽可能选择没有水管经过的房间和尽量不靠近建筑物外侧墙壁的地方，这样可以节省做防水系统的大量投资。d)应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。安装机房动力环境监控系统（对机房设备的运行状态、温度、湿度、洁净度、供电的电压、电流、频率、配电系统的开关状态、测漏系统等进行实时监控并记录历史数据），其中含漏水检测装置。1.1.1.7防静电（G3）本项要求包括：a)主要设备应采用必要的接地防静电措施；b)机房应采用防静电地板；c)应采用静电消除器等装置，减少静电的产生。采用防静电工作台、静电消除剂和静电消除器等。1.1.1.8温湿度控制（G3）机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。安装带湿度调节功能的精密空调系统，配置温湿度检测装置，并接入动力环境监控系统。空调应依据机房面积和设备数量安装，尽量保证设备工作在湿度带湿度控制的空调价格比较昂贵，且需要对水管的布置进行考虑。可以使用其他方法增加机房内的湿度，使用湿度表进行监控。45-60％之间，夏季温度控制在23±2℃，冬季温度控制在20±2℃，温度变化率不超过5℃/h，并且不得结露。（按《电子计算机机房设计规范》A级要求）1.1.1.9电力供应（A3）本项要求包括：a)应在机房供电线路上配置稳压器和过电压防护设备；配置线路稳压器和电源保护装置（如金属氧化物可变电阻、硅雪崩二极管、气体放电管、滤波器、电压调整变压器和浪涌滤波器）。b)应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求；为机房设备配置UPS。c)应设置冗余或并行的电力电缆线路为计算机系统供电；建筑应采用双路供电系统（连接两个不同区域的供电站），并根据对业务恢复时间的要求，制定备用供电系统的切换时间。d)应建立备用供电系统。有条件的企业可以配备柴油发电机保证较长时间的应急供电。1.1.1.10电磁防护（S3）本项要求包括：a)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；通过将机架外壳接地的方式可以降低外界的电子干扰。b)电源线和通信线缆应隔离铺设，避免互相干扰；强、弱电线路尽量原离，使用交叉走线，避免平行走线；使用铁质线槽可以抵御电磁干扰并有效保护线缆安全。c)应对关键区域实施电磁屏蔽。重要设备和磁介质放置在电磁屏蔽装置中，或对关键区域建屏蔽室。1.1.2网络安全1.1.2.1结构安全（G4）本项要求包括：a)应保证网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；b)应保证网络各个部分的带宽满足业务高峰期需要；c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；d)应绘制与当前运行情况相符的网络拓扑结构图；e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采重要网段与其他网段之间采用防火墙或网闸进行隔离。取可靠的技术隔离手段；g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。在多个业务共用的网络设备上配置QOS。有条件的话可以在主干通信线路上安装专用的带宽管理设备。1.1.2.2访问控制（G4）本项要求包括：a)应在网络边界部署访问控制设备，启用访问控制功能；b)应不允许数据带通用协议通过；c)应根据数据的敏感标记允许或拒绝数据通过；d)应不开放远程拨号访问功能。网络边界部署安全隔离与信息交换系统（网闸）。现有产品无法根据数据的敏感标记允许或拒绝数据通过。1.1.2.3安全审计（G4）本项要求包括：a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；部署专业的日志审计系统，并且所有事件源与审计服务器保持时钟同步。c)应能够根据记录数据进行分析，并生成审计报表；d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等；e)应定义审计跟踪极限的阈值，当存储空间接近极限时，能采取必要的措施，当存储空间被耗尽时，终止可审计事件的发生；f)应根据信息系统的统一安全策略，实现集中审计，时钟保持与时钟服务器同步。1.1.2.4边界完整性检查（S4）本项要求包括：a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；部署终端安全管理系统，利用IP/MAC绑定及ARP阻断功能实现非法接入控制。b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。部署终端安全管理系统，提供非法外联监控功能。1.1.2.5入侵防范（G4）本项要求包括：a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；a)当检测到攻击行为时，应记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警及自动采取相应动作。部署网络入侵防御或网络入侵检测系统，对进出边界的网络数据流进行攻击检测，并提供适当的日志记录、报警和自动响应机制。1.1.2.6恶意代码防范（G4）本项要求包括：a)应在网络边界处对恶意代码进行检测和清除；a)应维护恶意代码库的升级和检测系统的更新。在区域边界部署病毒过滤网关系统。1.1.2.7网络设备防护（G4）本项要求包括：a)应对登录网络设备的用户进行身份鉴别；b)应对网络设备的管理员登录地址进行限制；c)网络设备用户的标识应唯一；d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；e)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；f)网络设备用户的身份鉴别信息至少应有一种是不可伪造的；g)应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；h)当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；采用动态电子令牌身份认证系统（如RSASecurID），其令牌应当不可伪造。i)应实现设备特权用户的权限分离。1.1.3主机安全1.1.3.1身份鉴别（S4）本项要求包括：a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别；b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；d)应设置鉴别警示信息，描述未授权访问可能导致的后果；e)当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；f)应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性；采用操作系统和数据库系统安全评估和加固服务。g)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别，并采用动态电子令牌身份认证系统（如RSASecurID），其令牌应当且身份鉴别信息至少有一种是不可伪造的。不可伪造。1.1.3.2安全标记（S4）应对所有主体和客体设置敏感标记；采用安全操作系统（如一些国产Linux操作系统或B1级操作系统）或在C2级操作系统中安装内核加固软件（如浪潮SSR服务器安全加固系统-适用Windows）。1.1.3.3访问控制（S4）本项要求包括：a)应依据安全策略和所有主体和客体设置的敏感标记控制主体对客体的访问；b)访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表、记录和字段级。c)应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；d)应实现操作系统和数据库系统特权用户的权限分离；e)应严格限制默认帐户的采用安全操作系统（如一些国产Linux操作系统或B1级操作系统）或在C2级操作系统中安装内核加固软件（如浪潮SSR服务器安全加固系统-适用Windows）。访问权限，重命名系统默认帐户，修改这些帐户的默认口令；f)应及时删除多余的、过期的帐户，避免共享帐户的存在。1.1.3.4可信路径（S4）本项要求包括：a)在系统对用户进行身份鉴别时，系统与用户之间应能够建立一条安全的信息传输路径。b)在用户对系统进行访问时，系统与用户之间应能够建立一条安全的信息传输路径。采用高等级安全操作系统（如一些国产安全操作系统或国际主流操作系统厂商提供的高级安全功能。）1.1.3.5安全审计（G4）本项要求包括：a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；c)审计