房樂
2
CISAW
CISP-PTE
房樂2
CISAW
CISP-PTE
網絡與通信安全
| 類別 | 安全要求 |
|---|---|
| 網絡架構 | 應劃分不同的網絡區域,并按照方便管理和控制的原則為各網絡區域分配地址。 |
| 訪問控制 | 應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則,默認情況下除允許通信外受控接口拒絕所有通信。 應能根據會話狀態信息為進出數據流提供明確的允許/拒絕訪問的能力,控制粒度為端口級。 |
| 通信傳輸 | 應采用校驗碼技術或加解密技術保證通信過程中數據的完整性。 |
| 邊界防護 | 應保證跨越邊界的訪問和數據流通過邊界防護設備提供的受控接口進行通信。 |
| 入侵防范 | 應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為。當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發生嚴重入侵事件時應提供報警。 |
| 安全審計 | 應在網絡邊界、重要網絡節點進行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計。 |
設備與計算安全
| 類別 | 安全要求 |
|---|---|
| 身份鑒別 | 應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性。 |
| 訪問控制 | 應根據管理用戶的角色建立不同賬戶并分配權限,僅授予管理用戶所需的最小權限,實現管理用戶的權限分離。 |
| 安全審計 | 應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計。 |
| 入侵防范 | 應能夠檢測到對重要節點進行入侵的行為,并在發生嚴重入侵事件時提供報警。 |
| 惡意代碼防范 | 應采用免受惡意代碼攻擊的技術措施或采用可信計算技術建立從系統到應用的信任鏈,實現系統運行過程中重要程序或文件完整性檢測,并在檢測到破壞后進行恢復。 |
應用和數據安全
| 類別 | 安全要求 |
|---|---|
| 身份鑒別 | 應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,鑒別信息具有復雜度要求。 |
| 訪問控制 | 應授予不同帳戶為完成各自承擔任務所需的最小權限,并在它們之間形成相互制約的關系。 |
| 安全審計 | 應提供安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計。 |
| 數據完整性 | 應采用校驗碼技術或加解密技術保證重要數據在傳輸過程中的完整性和保密性。 |
| 數據備份恢復 | 應提供異地實時備份功能,利用通信網絡將重要數據實時備份至備份場地。 |
安全管理策略
| 類別 | 安全要求 |
|---|---|
| 安全策略和管理制度 | 應形成由安全策略、管理制度、操作規程、記錄表單等構成的全面的信息安全管理制度體系。 |
| 安全管理機構和人員 | 應成立指導和管理信息安全工作的委員會或領導小組,其最高領導由單位主管領導委任或授權。 |
| 安全建設管理 | 應根據保護對象的安全保護等級及與其他級別保護對象的關系進行安全整體規劃和安全方案設計,并形成配套文件。 |
| 安全運維管理 | 應采取必要的措施識別安全漏洞和隱患,對發現的安全漏洞和隱患及時進行修補或評估可能的影響后進行修補。 |
推薦文章
