除,无论这些信息是存放在保护 给其他用户前得到完全清除,硬盘上还是在内存中;
无论这些信息是存放在硬盘
2) 应确保系统内的文件、目录和数据库记录等资源所在的上还是在内存中; 存储空间,被释放或重新分配给其他用户前得到完全清2) 应确保系统内的文件、目录和
除。 数据库记录等资源所在的存 储空间,被释放或重新分配给 其他用户前得到完全清除。
通信1) 通信双方应约定单向的校验1) 通信双方应约定密码算法,计算通信数据报文的报文验
技术要求项 二级等保 三级等保
完整码算法,计算通信数据报文的证码,在进行通信时,双方根据校验码判断对方报文的性 校验码,在进行通信时,双方有效性。
根据校验码判断对方报文的 有效性。
抗抵无 1) 应具有在请求的情况下为数据原发者或接收者提供数赖 据原发证据的功能;
2) 应具有在请求的情况下为数据原发者或接收者提供数 据接收证据的功能。
通信1) 当通信双方中的一方在一段1) 当通信双方中的一方在一段时间内未作任何响应,另一保密时间内未作任何响应,另一方方应能够自动结束会话;
性 应能够自动结束会话; 2) 在通信双方建立连接之前,利用密码技术进行会话初始
2) 在通信双方建立连接之前,利 化验证; 用密码技术进行会话初始化
3) 在通信过程中,应对整个报文或会话过程进行加密; 验证;
4) 应选用符合国家有关部门要求的密码算法。 3) 在通信过程中,应对敏感信息
字段进行加密。
软件1) 应对通过人机接口输入或通1) 应对通过人机接口输入或通过通信接口输入的数据进容错 过通信接口输入的数据进行行有效性检验;
有效性检验; 2) 应对通过人机接口方式进行的操作提供“回退”功能, 2) 应对通过人机接口方式进行
即允许按照操作的序列进行回退; 的操作提供“回退”功能,即允 3) 应有状态监测能力,当故障发生时,能实时检测到故障许按照操作的序列进行回退;
状态并报警; 3) 在故障发生时,应继续提供一
部分功能,确保能够实施必要4) 应有自动保护能力,当故障发生时,自动保护当前所有
的措施。 状态。
资源1) 应限制单个用户的多重并发1) 应限制单个用户的多重并发会话; 控制 会话; 2) 应对应用系统的最大并发会话连接数进行限制;
2) 应对应用系统的最大并发会3) 应对一个时间段内可能的并发会话连接数进行限制;
话连接数进行限制; 4) 应根据安全策略设置登录终端的操作超时锁定和鉴别3) 应对一个时间段内可能的并
失败锁定,并规定解锁或终止方式; 发会话连接数进行限制。
5) 应禁止同一用户账号在同一时间内并发登录; 6) 应对一个访问用户或一个请求进程占用的资源分配最 大限额和最小限额;
技术要求项 二级等保 三级等保
7) 应根据安全属性(用户身份、访问地址、时间范围等) 允许或拒绝用户建立会话连接;
8) 当系统的服务水平降低到预先规定的最小值时,应能检 测和报警;
9) 应根据安全策略设定主体的服务优先级,根据优先级分 配系统资源,保证优先级低的主体处理能力不会影响到 优先级高的主体的处理能力。
代码1) 应对应用程序代码进行恶意1) 应制定应用程序代码编写安全规范,要求开发人员参照安全 代码扫描; 规范编写代码;
2) 应对应用程序代码进行安全2) 应对应用程序代码进行代码复审,识别可能存在的恶意
脆弱性分析。 代码;
3) 应对应用程序代码进行安全脆弱性分析; 4) 应对应用程序代码进行穿透性测试。
数据数据1) 应能够检测到系统管理数据、1) 应能够检测到系统管理数据、鉴别信息和用户数据在传
安全 完整鉴别信息和用户数据在传输输过程中完整性受到破坏,并在检测到完整性错误时采性 过程中完整性受到破坏; 取必要的恢复措施;
2) 应能够检测到系统管理数据、
2) 应能够检测到系统管理数据、鉴别信息和用户数据在存鉴别信息和用户数据在存储
储过程中完整性受到破坏,并在检测到完整性错误时采过程中完整性受到破坏。
取必要的恢复措施;
3) 应能够检测到重要程序的完整性受到破坏,并在检测到
完整性错误时采取必要的恢复措施。 数据1) 网络设备、操作系统、数据库1) 网络设备、操作系统、数据库管理系统和应用系统的鉴保密管理系统和应用系统的鉴别别信息、敏感的系统管理数据和敏感的用户数据应采用性 信息、敏感的系统管理数据和加密或其他有效措施实现传输保密性;
敏感的用户数据应采用加密
2) 网络设备、操作系统、数据库管理系统和应用系统的鉴或其他有效措施实现传输保
别信息、敏感的系统管理数据和敏感的用户数据应采用密性;
加密或其他保护措施实现存储保密性; 2) 网络设备、操作系统、数据库 管理系统和应用系统的鉴别3) 当使用便携式和移动式设备时,应加密或者采用可移动
信息、敏感的系统管理数据和磁盘存储敏感信息;
敏感的用户数据应采用加密4) 用于特定业务通信的通信信道应符合相关的国家规定。
或其他保护措施实现存储保 技术要求项 二级等保 三级等保 密性;
3) 当使用便携式和移动式设备
时,应加密或者采用可移动磁 盘存储敏感信息。
数据1) 应提供自动机制对重要信息1) 应提供自动机制对重要信息进行本地和异地备份;
备份进行有选择的数据备份; 2) 应提供恢复重要信息的功能;
和恢2) 应提供恢复重要信息的功能; 3) 应提供重要网络设备、通信线路和服务器的硬件冗余;
复 3) 应提供重要网络设备、通信线
4) 应提供重要业务系统的本地系统级热备份。 路和服务器的硬件冗余 二、 管理要求
管理要求项 二级等保 三级等保
安全岗位1) 应设立信息安全管理工作的职能部门,设1) 应设立信息安全管理工作的职能部门,设
管理设置 立安全主管人、安全管理各个方面的负责立安全主管人、安全管理各个方面的负责
机构 人岗位,定义各负责人的职责; 人岗位,定义各负责人的职责; 2) 应设立系统管理人员、网络管理人员、安2) 应设立系统管理人员、网络管理人员、安
全管理人员岗位,定义各个工作岗位的职全管理人员岗位,定义各个工作岗位的职
责; 责;
3) 应制定文件明确安全管理机构各个部门和3) 应成立指导和管理信息安全工作的委员会
岗位的职责、分工和技能要求。 或领导小组,其最高领导应由单位主管领