PDF《2 规范性引用文件》

2 网络安全 5. 1. 2.

1 结构安全(G1) a) 关键网络设备的业务处理能力应满足基本业务需要? b) 接入网络和核心网络的带宽应满足基本业务需要? c) 应绘制与当前运行情况相符的网络拓扑结构图? 5. 1. 2.

2 访问控制(G1) a) 应在网络边界设置访问控制设备?启用访问控制功能? b) 应根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查?以允许或拒绝 相关数据包出入? c) 应通过访问控制列表允许或拒绝用户访问系统资源?控制粒度至少为用户组? 5. 1. 2.

3 网络设备防护(G1) a) 应对登录网络设备的用户进行身份鉴别? b) 应具有登录失败处理功能?可采取结束会话、限制非法登录次数和网络登录连接超时自动退出 等措施? c) 对网络设备进行远程管理时?应采取措施防止用户鉴别信息在网络传输过程中被窃听? 5. 1.

3 主机安全 5. 1. 3.

1 身份鉴别(S1) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别?

3 YZ / T 0152―2016 5. 1. 3.

2 访问控制(S1) a) 应启用访问控制功能?依据安全策略控制用户对系统资源的访问? b) 应限制默认账户的访问权限?重新命名系统默认账户?修改这些账户的默认口令? c) 应及时删除多余的、过期的账户?避免共享账户的存在? 5. 1. 3.

3 入侵防范(G1) 操作系统应遵循最小安装的原则?仅安装需要的组件和应用程序?并及时更新系统补丁? 5. 1. 3.

4 恶意代码防范(G1) 应安装防恶意代码软件?并及时更新防恶意代码软件版本和恶意代码库? 5. 1.

4 应用安全 5. 1. 4.

1 身份鉴别(S1) a) 应具有专用的登录控制模块对登录用户进行身份标识和鉴别? b) 应具有登录失败处理功能?可采取结束会话、限制非法登录次数和自动退出等措施? c) 应启用身份鉴别和登录失败处理功能?并根据安全策略配置相关参数? 5. 1. 4.

2 访问控制(S1) a) 应具有访问控制功能?控制用户组/ 用户访问系统功能和用户数据? b) 应由授权主体配置访问控制策略?并严格限制默认用户的访问权限? 5. 1. 4.

3 通信完整性(S1) 应约定通信会话方式?保证通信过程中数据的完整性? 5. 1. 4.

4 软件容错(A1) 应具有数据有效性检验功能?通过人机接口输入或通过通信接口输入的数据格式或长度应符合系统 设定要求? 5. 1.

5 数据安全及备份恢复 5. 1. 5.

1 数据完整性(S1) 应能够检测到重要用户数据的完整性在传输过程中受到破坏? 5. 1. 5.

2 备份和恢复(A1) 应能够对重要信息进行备份和恢复? 5.

2 管理要求 5. 2.

1 安全管理制度 5. 2. 1.

1 管理制度(G1) 应建立日常管理活动中常用的安全管理制度? 5. 2. 1.

2 制定和发布(G1) a) 应指定或授权专门的人员负责安全管理制度的制定? b) 应将安全管理制度以纸质或电子版等方式发布到相关人员手中? 5. 2.

2 安全管理机构 5. 2. 2.

1 岗位设置(G1) 应设立系统管理员、网络管理员、安全管理员等岗位?并明确各个岗位的职责? 5. 2. 2.

2 人员配备(G1) 应配备一定数量的系统管理员、网络管理员、安全管理员等?

4 YZ / T 0152―2016 5. 2. 2.

3 授权和审批(G1) 应根据各个部门和岗位的职责明确授权审批部门及批准人?对系统投入运行、网络系统接入和重要 资源的访问等关键活动进行审批? 5. 2. 2.

4 沟通和合作(G1) 应加强与同业单位、公安机关、安全机关、运营商等的合作与沟通? 5. 2.