等保要求安全实施方案
2. 物理访问控制
a) 机房出入口有专人值守,控制、鉴别和记录进入的人员;
b) 进入机房的来访人员需要经过申请和审批流程,并限制和监控其活动范围。 3. 防盗窃和防破坏
a) 主要设备放置均在机房内;
b) 设备或主要部件进行固定,并设置明显的不易除去的标记;
c) 通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 对介质分类标识,存储在介质库或档案室中; e) 主机房安装防盗报警设施。如监控器、门禁等; 4. 防雷击
a) 机房建筑设置避雷装置; b) 机房设置交流电源地线。 5. 防火
机房应配置着灭火设备和火灾自动报警系统。
2
[文档标题 ]
6. 防水和防潮
a) 水管安装,不穿过机房屋顶和活动地板下;
b) 在机房窗户、屋顶和墙壁采取了防止雨水渗透的措施; c) 采取对应的措施防止机房内水蒸气结露和地下积水的转移与渗透。 7. 防静电
关键设备采用接地的方式来防止静电的产生。 8. 温湿度控制
机房内安装了温湿度监测和设备并安装温湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 9. 电力供应
a) 机房供电线路上配置稳压器和过电压防护设备; b) 提供短期的备用电力供应,并能够满足关键设备在断电情况下的正常运行。 10. 电磁防护
电源线和通信线缆应隔离铺设,避免互相干扰。
3
等保要求安全实施方案
三、 网络安全 1. 结构安全
a) 关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
b) 接入网络和核心网络的带宽满足业务高峰期需要; c) 绘制与当前运行情况相符的网络拓扑结构图; d) 根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。 2. 访问控制
a) 在网络边界部署访问控制设备,启用访问控制功能; b) 根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。
c) 按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户; d) 限制具有拨号访问权限的用户数量。 3. 安全审计
a) 对网络系统中的网络设备运行状况、网络流量、用户
4
[文档标题 ]
行为等进行日志记录;
b) 审计记录包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 4. 边界完整性检查
能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。 5. 入侵防范
在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。 6. 网络设备防护
a) 对登录网络设备的用户进行身份鉴别; b) 对网络设备的管理员登录地址进行限制; c) 网络设备用户的标识唯一;
d) 身份鉴别信息具有不易被冒用的特点,口令应有复杂度要求并定期更换;
e) 具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
5
等保要求安全实施方案
f) 当对网络设备进行远程管理时,采取必要措施防止鉴别信息在网络传输过程中被窃听。 7. 网络措施:
网络结构:服务器采用10GE组网,每个刀片出2个10GE网口,两网口绑定主备确保链路冗余可靠性。业务、管理平面分别通过两网卡聚合确保链路冗余,存储平面通过多路径确保链路冗余。
在接入交换机划分VLAN,将管理、业务、存储三个平面逻辑隔离,为简化组网并提高组网可靠性,建议接入交换机采用堆叠方式。
访问控制:在网络边界部署防火墙,如华为统一网关等,将防火墙的功能开启访问控制功能并以区分网段的形式进行控制,根据用户和系统之间的访问规则,采取TSM联动对用户实施控制,并且控制用户的数量。
边界完整性检查:
通过统一网关的用户与认证功能管理上网用户和接入用户。
安全审计:
6