DOC《目次》

应根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包出入;

应通过访问控制列表对系统资源实现允许或拒绝用户访问,控制粒度至少为用户组. 网络设备防护(G1) 本项要求包括: 应对登录网络设备的用户进行身份鉴别;

应删除默认用户或修改默认用户的口令,根据管理需要开设用户,不得使用缺省口令、空口令、弱口令. 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;

当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听. 主机安全 身份鉴别(S1) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别. 访问控制(S1) 本项要求包括: 应启用访问控制功能,依据安全策略控制用户对资源的访问;

应限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令;

系统无法修改访问权限的特殊默认账户,可不修改访问权限;

系统无法重命名的特殊默认账户,可不重命名. 应及时删除多余的、过期的账户,避免共享账户的存在. 入侵防范(G1) 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并保持系统补丁及时得到更新. 持续跟踪厂商提供的系统升级更新情况,应在经过充分的测试评估后对必要的系统补丁进行及时更新. 恶意代码防范(G1) 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库. 原则上所有主机应安装防恶意代码软件,不支持的主机操作系统除外;

未安装防恶意代码软件的主机,应采取有效措施进行恶意代码防范. 应用安全 身份鉴别(S1) 本项要求包括: a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别;

b) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;

c) 应启用身份鉴别和登录失败处理功能,并根据安全策略配置相关参数. 访问控制(S1) 本项要求包括: a) 应提供访问控制功能控制用户组/用户对系统功能和用户数据的访问;

b) 应由授权主体配置访问控制策略,并严格限制默认用户的访问权限. 通信完整性(S1) 应采用约定通信会话方式的方法保证通信过程中数据的完整性. 软件容错(A1) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求. 数据安全及备份恢复 数据完整性(S1) 应能够检测到重要用户数据在传输过程中完整性受到破坏. 备份和恢复(A1) 应能够对重要信息进行备份和恢复. 管理要求 安全管理制度 管理制度(G1) 应建立日常管理活动中常用的安全管理制度. 制定和发布(G1) 本项要求包括: a) 应指定或授权专门的人员负责安全管理制度的制定;

b) 应将安全管理制度以某种方式发布到相关人员手中. 安全管理机构 岗位设置(G1) 应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责. 人员配备(G1) 应配备一定数量的系统管理员、网络管理员、安全管理员等. 授权和审批(G1) 应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批. 重要审批授权记录应留档备查. 沟通和合作(G1) 应加强与兄弟单位、公安机关、电信公司的合作与沟通. 应加强与兄弟单位、公安机关、通信运营商、供电部门、银行等单位和部门的合作与沟通. 人员安全管理 人员录用(G1) 本项要求包括: 应指定或授权专门的部门或人员负责人员录用;