信息系統等級保護第三級基本要求

1、1第三級基本要求1.1技術要求1.1.1物理安全1.1.1.1物理位置的選擇（G3）本項要求包括：a)機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內；b)機房場地應避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁。機房場地應避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁。1.1.1.2物理訪問控制（G3）本項要求包括：a)機房出入口應安排專人值守，控制、鑒別和記錄進入的人員；b)需進入機房的來訪人員應經過申請和審

2、批流程，并限制和監控其活動范圍；c)應對機房劃分區域進行管理，區域和區域之間設置物理隔離裝置，在重要區域前應對機房劃分區域進行管理，區域和區域之間設置物理隔離裝置，在重要區域前設置交付或安裝等過渡區域；設置交付或安裝等過渡區域；d)重要區域應配置電子門禁系統，控制、鑒別和記錄進入的人員。重要區域應配置電子門禁系統，控制、鑒別和記錄進入的人員。1.1.1.3防盜竊和防破壞（G3）本項要求包括：a)應將主要設備放置在機房內；b)應將設備或主

3、要部件進行固定，并設置明顯的不易除去的標記；c)應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中；d)應對介質分類標識，存儲在介質庫或檔案室中；e)應利用光、電等技術設置機房防盜報警系統；應利用光、電等技術設置機房防盜報警系統；f)應對機房設置監控報警系統。應對機房設置監控報警系統。1.1.1.4防雷擊（G3）本項要求包括：a)機房建筑應設置避雷裝置；b)應設置防雷保安器，防止感應雷；應設置防雷保安器，防止感應雷；c)機房應設置交流電源地

4、線。1.1.1.5防火（G3）本項要求包括：a)機房應設置火災自動消防系統，能夠自動檢測火情、自動報警，并自動滅火；機房應設置火災自動消防系統，能夠自動檢測火情、自動報警，并自動滅火；b)機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料；機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料；c)機房應采取區域隔離防火措施，將重要設備與其他設備隔離開。機房應采取區域隔離防火措施，將重要設備與其他設備隔離開。1.1.1.6防水和

5、防潮（G3）本項要求包括：a)水管安裝，不得穿過機房屋頂和活動地板下；b)應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；c)應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透；HTTP、FTP、TEL、SMTP、POP3等協議命令級的控制；等協議命令級的控制；d)應在會話處于非活躍一定時間或會話結束后終止網絡連接；應在會話處于非活躍一定時間或會話結束后終止網絡連接；e)應限制網絡最大流量數及網絡連接數；應限制網絡最大流量數及網絡連接

6、數；f)重要網段應采取技術手段防止地址欺騙；重要網段應采取技術手段防止地址欺騙；g)應按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問，控制粒度為單個用戶；h)應限制具有撥號訪問權限的用戶數量。1.1.2.3安全審計（G3）本項要求包括：a)應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；b)審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；c)應能夠根據記

7、錄數據進行分析，并生成審計報表；應能夠根據記錄數據進行分析，并生成審計報表；d)應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。1.1.2.4邊界完整性檢查（S3）本項要求包括：a)應能夠對非授權設備私自聯到內部網絡的行為進行檢查，準確定出位置，并對其應能夠對非授權設備私自聯到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；進行有效阻斷；b)應能夠對內部網絡用

8、戶私自聯到外部網絡的行為進行檢查，準確定出位置，并對準確定出位置，并對其進行有效阻斷。其進行有效阻斷。1.1.2.5入侵防范（G3）本項要求包括：a)應在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等；b)當檢測到攻擊行為時，記錄攻擊源當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供

9、報警。嚴重入侵事件時應提供報警。1.1.2.6惡意代碼防范（G3）本項要求包括：a)應在網絡邊界處對惡意代碼進行檢測和清除；應在網絡邊界處對惡意代碼進行檢測和清除；b)應維護惡意代碼庫的升級和檢測系統的更新。應維護惡意代碼庫的升級和檢測系統的更新。1.1.2.7網絡設備防護（G3）本項要求包括：a)應對登錄網絡設備的用戶進行身份鑒別；b)應對網絡設備的管理員登錄地址進行限制；c)網絡設備用戶的標識應唯一；d)主要網絡設備應對同一用戶選擇