文档介绍：信息系统安全等级保护基本要求-表格
信息系统安全等级保护基本要求
一、技术要求:
标记说明:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行，免
受对系统的未授的带宽满足基本业务需要; 的带宽满足业务高峰期需要; 满足业务高峰期需要; d) d) d) 应绘制与当前运行情况相c) 应在业务终端与业务服务器e) e) 应根据各部门的工作职能、符的网络拓扑结构图 之间进行路由控制建立安全的f) 重要性和所涉及信息的重要程访问路径 g) 度等因素，划分不同的子网或d) 结构安全(G) e) 网段，并按照方便管理和控制
f )应避免将重要网段部署在网的原则为各子网、网段分配地
络边界处且直接连接外部信息址段
系统，重要网段与其他网段之间网络
采取可靠的技术隔离手段; 安全
g) 应按照对业务服务的重要次
序来指定带宽分配优先级别，保
证在网络发生拥堵的时候优先
保护重要主机
a) a) a) a) 应在网络边界部署访问控制
b) 应能根据会话状态信息为数b) 应能根据会话状态信息为数b) 应不允许数据带通用协议通设备，启用访问控制功能;
据流提供明确的允许/拒绝访问据流提供明确的允许/拒绝访问过; b) 应根据访问控制列表对源地
的能力，控制粒度为网段级。 的能力，控制粒度为端口级; c) 应根据数据的敏感标记允许址、目的地址、源端口、目的访问控制(G) g) 应按用户和系统之间的允许c) 应对进出网络的信息内容进或拒绝数据通过; 端口和协议等进行检查，以允
访问规则，决定允许或拒绝用行过滤，实现对应用层HTTP、h) 应不开放远程拨号访问功能 许/拒绝数据包出入;
户对受控系统进行资源访问，FTP、TELNET、SMTP、POP3g) 应通过访问控制列表对系统
控制粒度为单个用户; 等协议命令级的控制; 资源实现允许或拒绝用户访
问，控制粒度至少为用户组 h) 应限制具有拨号访问权限的d) 应在会话处于非活跃一定时
用户数量 间或会话结束后终止网络连接;
e) 应限制网络最大流量数及网
络连接数;
f) 重要网段应采取技术手段防
止地址欺骗
g)
h)
a) a) a) 应对网络系统中的网络设备
b) b) 运行状况、网络流量、用户行c) c) 应能够根据记录数据进行分为等进行日志记录; d) 析，并生成审计报表; b) 审计记录应包括事件的日期e) 应定义审计跟踪极限的阈d) 应对审计记录进行保护，避和时间、用户、事件类型、事值，当存储空间接近极限时，免受到未预期的删除、修改或覆件是否成功及其他与审计相关安全审计(G) / 能采取必要的措施，当存储空盖等 的信息 间被耗尽时，终止可审计事件
的发生;
f) 应根据信息系统的统一安全
策略，实现集中审计，时钟保
持与时钟服务器同步
a) b) 应能够对内部网络中出现的a) 应能够对非授权设备私自联
b) 内部用户未通过准许私自联到到内部网络的行为进行检查，准
外部网络的行为进行检查 确定出位置，并对其进行有效阻
断; 边界完整性检查/ b) 应能够对内部网络用户私自(S)
联到外部网络的行为进行检查，
准确定出位置，并对其进行有
效阻断
a) a) a) 应在网络边界处监视以下
b) 当检测到攻击行为时，记录b) 当检测到攻击行为时，应记攻击行为:端口扫描、强力攻
攻击源IP、攻击类型、攻击目录攻击源IP、攻击类型、攻击/ 入侵防范(G) 击、木马***攻击、拒绝服务
的、攻击时间，在发生严重入侵目的、攻击时间，在发生严重攻击、缓冲区溢出攻击、IP碎
事件时应提供报警 入侵事件时应提供报警及自动片攻击和网络蠕虫攻击等
采取相应动作
a) a) 应在网络边界处对恶意代码
b) 进行检测和清除; / / 恶意代码防范(G) b) 应维护恶意代码库的升级和
检测系统的更新
a) a) a) a) 应对登录网络设备的用户进
b) b) b) 应对网络设备的管理员登录行身份鉴别; c) c) 地址进行限制; f )应具有登录失败处理功能，d) d) 主要网络设备应对同一用户c) 网络设备用户的标识应唯可采取结束会话、限制非法登e) 选择两种或两种以上组合的鉴一; 录次数和当网络登录连接超时f) 网络设备防护(G) 别技术来进行身份鉴别 d) 自动退出等措施; g) e) e) 身份鉴别信息应具有不易被g) 当对网络设备进行远程管理h) f) 冒用的特点，口令应有复杂度时，应采取必要措施防止鉴别i ) 网络设备用户的身份鉴别信g) 要求并定期更换; 信息在网络传输过程中被窃听 息至少应有一种