等保2.0安全通用要求表.pdf

### 等保2.0安全通用要求解析 #### 一、安全物理环境 等保2.0标准针对第三级安全物理环境提出了具体要求，主要包括以下几个方面： 1. **物理位置选择**： - 机房场地应选择在具备防震、防风和防雨能力的建筑内。 - 机房不宜设于建筑物顶层或地下室，如无法避免，则需强化防水和防潮措施。 2. **物理访问控制**： - 机房出入口需配置电子门禁系统，确保能够有效控制、鉴别和记录进入人员的身份。 3. **防盗窃和防破坏**： - 设备及其主要部件应固定，并标示不易除去的标识。 - 通信线缆需铺设于隐蔽且安全的位置。 - 设置防盗报警系统或配备专人值守的视频监控系统。 4. **防雷击**： - 各类机柜、设施及设备需通过接地系统安全接地。 - 采取措施预防感应雷，如安装防雷保安器或过压保护装置等。 5. **防火**： - 机房应安装火灾自动消防系统，实现自动检测火情、报警及灭火功能。 - 机房及相关工作房间和辅助房需采用耐火等级材料建造。 - 对机房进行区域划分，并设置隔离防火措施。 6. **防水和防潮**： - 需采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 - 采取措施避免机房内水蒸气结露和地下积水的转移与渗透。 - 安装水敏感检测仪表或元件，实现防水检测和报警功能。 7. **防静电**： - 采用防静电地板或地面，并采取必要的接地防静电措施。 - 采取措施减少静电的产生，如使用静电消除器、佩戴防静电手环等。 8. **温湿度控制**： - 配置温湿度自动调节设施，确保机房温湿度变化符合设备运行需求。 9. **电力供应**： - 在供电线路上配置稳压器和过电压防护设备。 - 提供短期备用电力供应，确保断电时设备仍可正常运行。 - 设置冗余或并行电力电缆线路为计算机系统供电。 10. **电磁防护**： - 电源线和通信线缆应隔离铺设，避免互相干扰。 - 关键设备需实施电磁屏蔽。 #### 二、安全通信网络 等保2.0标准对于安全通信网络的要求如下： 1. **网络架构**： - 确保网络设备的业务处理能力满足业务高峰期的需求。 - 确保网络各部分带宽能满足业务高峰期需求。 - 合理划分网络区域，并按照便于管理和控制的原则为各网络区域分配地址。 - 重要网络区域不应部署在网络边界处，应采取可靠的技术隔离手段。 - 提供通信线路、关键网络设备和计算机设备的硬件冗余，保障系统的可用性。 2. **通信传输**： - 使用校验码技术或密码技术确保通信过程中数据的完整性。 - 使用密码技术保证通信过程中数据的保密性。 #### 三、安全区域边界 1. **边界防护**： - 确保跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 - 能够检测并限制非授权设备私自连接到内部网络的行为。 - 能够检测并限制内部用户未经授权连接外部网络的行为。 - 限制无线网络的使用，确保无线网络通过受控边界设备接入内部网络。 2. **访问控制**： - 根据访问控制策略设置访问控制规则，默认情况下，除允许通信外，受控接口应拒绝所有通信。 - 删除多余或无效的访问控制规则，优化访问控制列表，确保访问控制规则数量最小化。 - 对源地址、目的地址、源端口、目的端口和协议等进行检查，允许/拒绝数据包进出。 - 能够根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。 - 实现基于应用协议和应用内容的访问控制。 3. **入侵防范**： - 在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 - 在关键网络节点处检测和限制从内部发起的网络攻击行为。 - 采取技术措施对网络行为进行分析，实现对网络攻击尤其是新型网络攻击的检测和分析。 - 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间，并在发生严重入侵事件时提供报警。 4. **恶意代码和垃圾邮件防范**： - 在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新。 - 在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。 5. **安全审计**： - 在网络边界和重要网络节点进行安全审计，确保审计覆盖到每个用户，对重要用户行为和重要安全事件进行审计。 - 审计记录应包含事件日期和时间、用户、事件类型、事件是否成功以及其他与审计相关的信息。 - 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等操作。 以上内容是等保2.0中关于安全物理环境、安全通信网络以及安全区域边界的详细要求。这些规定旨在提升信息系统的安全性，确保信息系统能够在面临各种威胁时仍然保持稳定运行。