7.1　安全通用要求

7.1　安全通用要求

7.1.1　安全物理環境

7.1.1.1　物理位置選擇

本項要求包括：
a) 機房場地應選擇在具有防震、防風和防雨等能力的建筑內；

7.1.1.2　物理訪問控制

機房出入口應安排專人值守或配置電子門禁系統，控制、鑒別和記錄進入的人員。

7.1.1.3　防盜竊和防破壞

本項要求包括：
a) 應將設備或主要部件進行固定，并設置明顯的不易除去的標識；

7.1.1.4　防雷擊

應將各類機柜、設施和設備等通過接地系統安全接地。

7.1.1.5　防火

本項要求包括：
a) 機房應設置火災自動消防系統，能夠自動檢測火情、自動報警，并自動滅火；

7.1.1.6　防水和防潮

本項要求包括：
a) 應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；

7.1.1.7　防靜電

應采用防靜電地板或地面并采用必要的接地防靜電措施。

7.1.1.8　溫濕度控制

應設置溫濕度自動調節設施，使機房溫濕度的變化在設備運行所允許的范圍之內。

7.1.1.9　電力供應

本項要求包括：
a) 應在機房供電線路上配置穩壓器和過電壓防護設備；

7.1.1.10　電磁防護

電源線和通信線纜應隔離鋪設，避免互相干擾。

7.1.2　安全通信網絡

7.1.2.1　網絡架構

本項要求包括：
a) 應劃分不同的網絡區域，并按照方便管理和控制的原則為各網絡區域分配地址；

7.1.2.2　通信傳輸

應采用校驗技術保證通信過程中數據的完整性。

7.1.2.3　可信驗證

可基于可信根對通信設備的系統引導程序、系統程序、重要配置參數和通信應用程序等進行可信驗證，并在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至安全管理中心。

7.1.3　安全區域邊界

7.1.3.1　邊界防護

應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信。

7.1.3.2　訪問控制

本項要求包括：
a) 應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則，默認情況下除允許通信外受控接口拒絕所有通信；
b) 應刪除多余或無效的訪問控制規則，優化訪問控制列表，并保證訪問控制規則數量最小化；
c) 應對源地址、目的地址、源端口、目的端口和協議等進行檢查，以允許/拒絕數據包進出；

7.1.3.3　入侵防范

應在關鍵網絡節點處監視網絡攻擊行為。

7.1.3.4　惡意代碼防范

應在關鍵網絡節點處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制的升級和更新。

7.1.3.5　安全審計

本項要求包括：
a) 應在網絡邊界、重要網絡節點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；
b) 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；

7.1.3.6　可信驗證

可基于可信根對邊界設備的系統引導程序、系統程序、重要配置參數和邊界防護應用程序等進行可信驗證，并在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至安全管理中心。

7.1.4　安全計算環境

7.1.4.1　身份鑒別

本項要求包括：
a) 應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換；
b) 應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施；

7.1.4.2　訪問控制

本項要求包括：
a) 應對登錄的用戶分配賬戶和權限；
b) 應重命名或刪除默認賬戶，修改默認賬戶的默認口令；
c) 應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；

7.1.4.3　安全審計

本項要求包括：
a) 應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；
b) 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；

7.1.4.4　入侵防范

本項要求包括：
a) 應遵循最小安裝的原則，僅安裝需要的組件和應用程序；
b) 應關閉不需要的系統服務、默認共享和高危端口；
c) 應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制；
d) 應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內容符合系統設定要求；

7.1.4.5　惡意代碼防范

應安裝防惡意代碼軟件或配置具有相應功能的軟件，并定期進行升級和更新防惡意代碼庫。

7.1.4.6　可信驗證

可基于可信根對計算設備的系統引導程序、系統程序、重要配置參數和應用程序等進行可信驗證，并在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至安全管理中心。

7.1.4.7　數據完整性

應采用校驗技術保證重要數據在傳輸過程中的完整性。

7.1.4.8　數據備份恢復

本項要求包括：
a) 應提供重要數據的本地數據備份與恢復功能；

7.1.4.9　剩余信息保護

應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除。

7.1.4.10　個人信息保護

本項要求包括：
a) 應僅采集和保存業務必需的用戶個人信息；

7.1.5　安全管理中心

7.1.5.1　系統管理

本項要求包括：
a) 應對系統管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行系統管理操作，并對這些操作進行審計；

7.1.5.2　審計管理

本項要求包括：
a) 應對審計管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全審計操作，并對這些操作進行審計；

7.1.6　安全管理制度

7.1.6.1　安全策略

應制定網絡安全工作的總體方針和安全策略，闡明機構安全工作的總體目標、范圍、原則和安全框架等。

7.1.6.2　管理制度

本項要求包括：
a) 應對安全管理活動中的主要管理內容建立安全管理制度；

7.1.6.3　制定和發布

本項要求包括：
a) 應指定或授權專門的部門或人員負責安全管理制度的制定；

7.1.6.4　評審和修訂

應定期對安全管理制度的合理性和適用性進行論證和審定，對存在不足或需要改進的安全管理制度進行修訂。

7.1.7　安全管理機構

7.1.7.1　崗位設置

本項要求包括：
a) 應設立網絡安全管理工作的職能部門，設立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責；

7.1.7.2　人員配備

應配備一定數量的系統管理員、審計管理員和安全管理員等。

7.1.7.3　授權和審批

本項要求包括：
a) 應根據各個部門和崗位的職責明確授權審批事項、審批部門和批準人等；

7.1.7.4　溝通和合作

本項要求包括：
a) 應加強各類管理人員、組織內部機構和網絡安全管理部門之間的合作與溝通，定期召開協調會議，共同協作處理網絡安全問題；
b) 應加強與網絡安全職能部門、各類供應商、業界專家及安全組織的合作與溝通；

7.1.7.5　審核和檢查

應定期進行常規安全檢查，檢查內容包括系統日常運行、系統漏洞和數據備份等情況。

7.1.8　安全管理人員

7.1.8.1　人員錄用

本項要求包括：
a) 應指定或授權專門的部門或人員負責人員錄用；

7.1.8.2　人員離崗

應及時終止離崗人員的所有訪問權限，取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備。

7.1.8.3　安全意識教育和培訓

應對各類人員進行安全意識教育和崗位技能培訓，并告知相關的安全責任和懲戒措施。

7.1.8.4　外部人員訪問管理

本項要求包括：
a) 應在外部人員物理訪問受控區域前先提出書面申請，批準后由專人全程陪同，并登記備案；
b) 應在外部人員接入受控網絡訪問系統前先提出書面申請，批準后由專人開設賬戶、分配權限，并登記備案；

7.1.9　安全建設管理

7.1.9.1　定級和備案

本項要求包括：
a) 應以書面的形式說明保護對象的安全保護等級及確定等級的方法和理由；
b) 應組織相關部門和有關安全技術專家對定級結果的合理性和正確性進行論證和審定；
c) 應保證定級結果經過相關部門的批準；

7.1.9.2　安全方案設計

本項要求包括：
a) 應根據安全保護等級選擇基本安全措施，依據風險分析的結果補充和調整安全措施；
b) 應根據保護對象的安全保護等級進行安全方案設計；

7.1.9.3　產品采購和使用

本項要求包括：
a) 應確保網絡安全產品采購和使用符合國家的有關規定；

7.1.9.4　自行軟件開發

本項要求包括：
a) 應將開發環境與實際運行環境物理分開，測試數據和測試結果受到控制；

7.1.9.5　外包軟件開發

本項要求包括：
a) 應在軟件交付前檢測其中可能存在的惡意代碼；

7.1.9.6　工程實施

本項要求包括：
a) 應指定或授權專門的部門或人員負責工程實施過程的管理；

7.1.9.7　測試驗收

本項要求包括：
a) 應制訂測試驗收方案，并依據測試驗收方案實施測試驗收，形成測試驗收報告；

7.1.9.8　系統交付

本項要求包括：
a) 應制定交付清單，并根據交付清單對所交接的設備、軟件和文檔等進行清點；
b) 應對負責運行維護的技術人員進行相應的技能培訓；

7.1.9.9　等級測評

本項要求包括：
a) 應定期進行等級測評，發現不符合相應等級保護標準要求的及時整改；
b) 應在發生重大變更或級別發生變化時進行等級測評；

7.1.9.10　服務供應商選擇

本項要求包括：
a) 應確保服務供應商的選擇符合國家的有關規定；

7.1.10　安全運維管理

7.1.10.1　環境管理

本項要求包括：
a) 應指定專門的部門或人員負責機房安全，對機房出入進行管理，定期對機房供配電、空調、溫濕度控制、消防等設施進行維護管理；
b) 應對機房的安全管理做出規定，包括物理訪問、物品進出和環境安全等；

7.1.10.2　資產管理

應編制并保存與保護對象相關的資產清單，包括資產責任部門、重要程度和所處位置等內容。

7.1.10.3　介質管理

本項要求包括：
a) 應將介質存放在安全的環境中，對各類介質進行控制和保護，實行存儲環境專人管理，并根據存檔介質的目錄清單定期盤點；

7.1.10.4　設備維護管理

本項要求包括：
a) 應對各種設備（包括備份和冗余設備）、線路等指定專門的部門或人員定期進行維護管理；

7.1.10.5　漏洞和風險管理

應采取必要的措施識別安全漏洞和隱患，對發現的安全漏洞和隱患及時進行修補或評估可能的影響后進行修補。

7.1.10.6　網絡和系統安全管理

本項要求包括：
a) 應劃分不同的管理員角色進行網絡和系統的運維管理，明確各個角色的責任和權限；
b) 應指定專門的部門或人員進行賬戶管理，對申請賬戶、建立賬戶、刪除賬戶等進行控制；
c) 應建立網絡和系統安全管理制度，對安全策略、賬戶管理、配置管理、日志管理、日常操作、升級與打補丁、口令更新周期等方面作出規定；
d) 應制定重要設備的配置和操作手冊，依據手冊對設備進行安全配置和優化配置等；

7.1.10.7　惡意代碼防范管理

本項要求包括：
a) 應提高所有用戶的防惡意代碼意識，對外來計算機或存儲設備接入系統前進行惡意代碼檢查等；
b) 應對惡意代碼防范要求做出規定，包括防惡意代碼軟件的授權使用、惡意代碼庫升級、惡意代碼的定期查殺等；

7.1.10.8　配置管理

應記錄和保存基本配置信息，包括網絡拓撲結構、各個設備安裝的軟件組件、軟件組件的版本和補丁信息、各個設備或軟件組件的配置參數等。

7.1.10.9　密碼管理

本項要求包括：
a) 應遵循密碼相關國家標準和行業標準；

7.1.10.10　變更管理

應明確變更需求，變更前根據變更需求制定變更方案，變更方案經過評審、審批后方可實施。

7.1.10.11　備份與恢復管理

本項要求包括：
a) 應識別需要定期備份的重要業務信息、系統數據及軟件系統等；
b) 應規定備份信息的備份方式、備份頻度、存儲介質、保存期等；

7.1.10.12　安全事件處置

本項要求包括：
a) 應及時向安全管理部門報告所發現的安全弱點和可疑事件；
b) 應制定安全事件報告和處置管理制度，明確不同安全事件的報告、處置和響應流程，規定安全事件的現場處理、事件報告和后期恢復的管理職責等；

7.1.10.13　應急預案管理

本項要求包括：
a) 應制定重要事件的應急預案，包括應急處理流程、系統恢復流程等內容；

7.1.10.14　外包運維管理

本項要求包括：
a) 應確保外包運維服務商的選擇符合國家的有關規定；