GB/T22239-2019 信息安全技術 網絡安全等級保護基本要求6.1 安全通用要求
6.1 安全通用要求
6.1.1 安全物理環境
6.1.1.1 物理訪問控制
機房出入口應安排專人值守或配置電子門禁系統,控制、鑒別和記錄進入的人員。
6.1.1.2 防盜竊和防破壞
應將設備或主要部件進行固定,并設置明顯的不易除去的標識。
6.1.1.3 防雷擊
應將各類機柜、設施和設備等通過接地系統安全接地。
6.1.1.4 防火
機房應設置滅火設備。
6.1.1.5 防水和防潮
應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透。
6.1.1.6 溫濕度控制
應設置必要的溫濕度調節設施,使機房溫濕度的變化在設備運行所允許的范圍之內。
6.1.1.7 電力供應
應在機房供電線路上配置穩壓器和過電壓防護設備。
6.1.2 安全通信網絡
6.1.2.1 通信傳輸
應采用校驗技術保證通信過程中數據的完整性。
6.1.2.2 可信驗證
可基于可信根對通信設備的系統引導程序、系統程序等進行可信驗證,并在檢測到其可信性受到破壞后進行報警。
6.1.3 安全區域邊界
6.1.3.1 邊界防護
應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信。
6.1.3.2 訪問控制
本項要求包括:
a) 應在網絡邊界根據訪問控制策略設置訪問控制規則,默認情況下除允許通信外受控接口拒絕所有通信;
b) 應刪除多余或無效的訪問控制規則,優化訪問控制列表,并保證訪問控制規則數量最小化;
6.1.3.3 可信驗證
可基于可信根對邊界設備的系統引導程序、系統程序等進行可信驗證,并在檢測到其可信性受到破壞后進行報警。
6.1.4 安全計算環境
6.1.4.1 身份鑒別
本項要求包括:
a) 應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換;
6.1.4.2 訪問控制
本項要求包括:
a) 應對登錄的用戶分配賬戶和權限;
b) 應重命名或刪除默認賬戶,修改默認賬戶的默認口令;
6.1.4.3 入侵防范
本項要求包括:
a) 應遵循最小安裝的原則,僅安裝需要的組件和應用程序;
6.1.4.4 惡意代碼防范
應安裝防惡意代碼軟件或配置具有相應功能的軟件,并定期進行升級和更新防惡意代碼庫。
6.1.4.5 可信驗證
可基于可信根對計算設備的系統引導程序、系統程序等進行可信驗證,并在檢測到其可信性受到破壞后進行報警。
6.1.4.6 數據完整性
應采用校驗技術保證重要數據在傳輸過程中的完整性。
6.1.4.7 數據備份恢復
應提供重要數據的本地數據備份與恢復功能。
6.1.5 安全管理制度
6.1.5.1 管理制度
應建立日常管理活動中常用的安全管理制度。
6.1.6 安全管理機構
6.1.6.1 崗位設置
應設立系統管理員等崗位,并定義各個工作崗位的職責。
6.1.6.2 人員配備
應配備一定數量的系統管理員。
6.1.6.3 授權和審批
應根據各個部門和崗位的職責明確授權審批事項、審批部門和批準人等。
6.1.7 安全管理人員
6.1.7.1 人員錄用
應指定或授權專門的部門或人員負責人員錄用。
6.1.7.2 人員離崗
應及時終止離崗人員的所有訪問權限,取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備。
6.1.7.3 安全意識教育和培訓
應對各類人員進行安全意識教育和崗位技能培訓,并告知相關的安全責任和懲戒措施。
6.1.7.4 外部人員訪問管理
應保證在外部人員訪問受控區域前得到授權或審批。
6.1.8 安全建設管理
6.1.8.1 定級和備案
應以書面的形式說明保護對象的安全保護等級及確定等級的方法和理由。
6.1.8.2 安全方案設計
應根據安全保護等級選擇基本安全措施,依據風險分析的結果補充和調整安全措施。
6.1.8.3 產品采購和使用
應確保網絡安全產品采購和使用符合國家的有關規定。
6.1.8.4 工程實施
應指定或授權專門的部門或人員負責工程實施過程的管理。
6.1.8.5 測試驗收
應進行安全性測試驗收。
6.1.8.6 系統交付
本項要求包括:
a) 應制定交付清單,并根據交付清單對所交接的設備、軟件和文檔等進行清點;
6.1.8.7 服務供應商選擇
本項要求包括:
a) 應確保服務供應商的選擇符合國家的有關規定;
6.1.9 安全運維管理
6.1.9.1 環境管理
本項要求包括:
a) 應指定專門的部門或人員負責機房安全,對機房出入進行管理,定期對機房供配電、空調、溫濕度控制、消防等設施進行維護管理;
6.1.9.2 介質管理
應將介質存放在安全的環境中,對各類介質進行控制和保護,實行存儲環境專人管理,并根據存檔介質的目錄清單定期盤點。
6.1.9.3 設備維護管理
應對各種設備(包括備份和冗余設備)、線路等指定專門的部門或人員定期進行維護管理。
6.1.9.4 漏洞和風險管理
應采取必要的措施識別安全漏洞和隱患,對發現的安全漏洞和隱患及時進行修補或評估可能的影響后進行修補。
6.1.9.5 網絡和系統安全管理
本項要求包括:
a) 應劃分不同的管理員角色進行網絡和系統的運維管理,明確各個角色的責任和權限;
6.1.9.6 惡意代碼防范管理
本項要求包括:
a) 應提高所有用戶的防惡意代碼意識,對外來計算機或存儲設備接入系統前進行惡意代碼檢查等;
6.1.9.7 備份與恢復管理
本項要求包括:
a) 應識別需要定期備份的重要業務信息、系統數據及軟件系統等;
6.1.9.8 安全事件處置
本項要求包括:
a) 應及時向安全管理部門報告所發現的安全弱點和可疑事件;
推薦文章: