類別

序號

服務內容

網(wǎng)絡安全

結構安全

1

應保證主要網(wǎng)絡設備的業(yè)務理能力具備冗千空間，滿足業(yè)務高峰期需要。

2

應保證網(wǎng)絡各個部分的帶寬滿足業(yè)務高峰期需要。

3

應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑。

4

應繪制與當前運行情況相符的網(wǎng)絡拓撲結構圖。

5

應根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。

6

應避免將重要網(wǎng)段部署在網(wǎng)絡邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術隔離手段。

7

應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡發(fā)生擁堵的時候優(yōu)先保護重要主機。

訪問控制

8

應在網(wǎng)絡邊界部署訪問控制設備，啟用訪問控制功能。

9

應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級。

10

應對進出網(wǎng)絡的信息內容進行過濾，實現(xiàn)對應用層HTTP、FTP。TELNET。SMTP POP3 等協(xié)議命令級的控制。

11

應在會話處于非活躍一定時間或會話結束后終止網(wǎng)絡連接。

12

應限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)。

13

重要網(wǎng)段應采取技術手段防止地址欺騙。

14

應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶。

15

應限制具有撥號訪問權限的用戶數(shù)量。

安全審計

16

應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄。

17

審計記錄應包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。

18

應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表。

19

應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。

邊界完整性檢查

20

應能夠對非授權設備私自聯(lián)到內部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。

21

應能夠對內部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。

入侵防范(G3 )

22

應在網(wǎng)絡邊界處監(jiān)視以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊等。

23

當檢測到敗擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警。

惡意代碼防范

24

應在網(wǎng)絡邊界處對惡意代碼進行檢測和清除。

25

應維護惡意代碼庫的升級和檢測系統(tǒng)的更新。

網(wǎng)絡設備防護

26

應對登錄網(wǎng)絡設備的用戶進行身份鑒別。

27

應對網(wǎng)絡設備的管理員登錄地址進行限制。

28

網(wǎng)絡設備用戶的標識應唯一。

29

主要網(wǎng)絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別。

30

身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換。

31

應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和當網(wǎng)絡登錄連接超時自動退出等措施。

32

當對網(wǎng)絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。

33

應實現(xiàn)設備特權用戶的權限分離。

主機安全

身份鑒別

34

應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別。

35

操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換。

36

應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施。

37

當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。

38

應為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分不同的用戶名，確保用戶名具有唯一性。

39

應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。

通信完整性

40

應采用密碼技術保證通信過程中數(shù)據(jù)的完整性。

通信保密性

41

在通信雙方建立連接之前，應用系統(tǒng)應利用密碼技術進行會話初始化驗證。

42

應對通信過程中的整個報文或會話過程進行加密。

抗抵賴(G3 )

43

應具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能。

44

應具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。

軟件容錯

45

應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設定要求。

46

應提供自動保護功能，當故障發(fā)生時自動保護當前所有狀態(tài)，保證系統(tǒng)能夠進行恢復。

數(shù)據(jù)安全

數(shù)據(jù)完整性

47

應能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施。