14等級保護基本要求詳細表格

1、信息系統安全等級保護基本要求 信息系統安全等級保護基本要求一、技術要求 一、技術要求：標記說明：保護數據在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權的修改的信息安全類要求（簡記為S）；保護系統連續正常的運行，免 受對系統的未授權修改、破壞而導致系統不可用的服務保證類要求（簡記為A）；通用安全保護類要求（簡記為G）基本要求 基本要求 第一級 第一級 第二級 第二級 第三級 第三級 第四級 第四級物理位置的選擇 物理位置的選擇（G）

2、/a）機房和辦公場地應選擇在 具有防震、防風和防雨等能力 的建筑內a）b） 機房場地應避免設在建筑物 的高層或地下室，以及用水設備 的下層或隔壁a) b)物理 物理 安全物理訪問控制 物理訪問控制（G）a）機房出入應安排專人負責， 控制、鑒別和記錄進入的人員a）b） 需進入機房的來訪人員應經 過申請和審批流程，并限制和 監控其活動范圍a） b）c） 應對機房劃分區域進行管 理，區域和區域之間設置物理 隔 離裝置，在重要區域前設置

3、交付 或安裝等過渡區域；d） 重要區域應配置電子門禁系 統，控制、鑒別和記錄進入的 人 員a） 機房出入口應安排專人值守 并配置電子門禁系統 配置電子門禁系統，控制、 鑒別和記錄進入的人員b）c）d） 重要區域應配置第二道電子 應配置第二道電子 門禁系統 門禁系統，控制、鑒別和記錄 進入的人員防盜竊和防破壞 防盜竊和防破壞（G）a） 應將主要設備放置在機房 內；b） 應將設備或主要部件進行固 定，并設置明顯的不易除去的 標記

4、a） b）c） 應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中；d） 應對介質分類標識，存儲在 介質庫或檔案室中；e） 主機房應安裝必要的防盜報 警設施a） b） c） d）e） 應利用光、電等技術設置機 應利用光、電等技術設置機房防盜報警系統；f） 應對機房設置監控報警系統a) b) c) d) e) f)d）應建立備用供電系統電磁防護 電磁防護（S） /b）電源線和通信線纜應隔離 鋪設，避免互相干擾a） 應米用接地方式防止外界電 磁

5、干擾和設備寄生耦合干擾；b）c） 應對關鍵設備和磁介質實施 電磁屏蔽a） b）c） 應對關鍵區域實施電磁屏蔽結構安全 結構安全（G）a） 應保證關鍵網絡設備的業 務處理能力滿足基本業務需要；b） 應保證接入網絡和核心網 絡的帶寬滿足基本業務需要； d）應繪制與當前運行情況相 符 的網絡拓撲結構圖a） 應保證關鍵網絡設備的業務 處理能力具備冗余空間，滿足 具備冗余空間，滿足 業務高峰期需要 業務高峰期需要；b） 應保證接入網絡和核心網絡

6、 的帶寬滿足業務高峰期需要 滿足業務高峰期需要；d）e） 應根據各部門的工作職能、 重要性和所涉及信息的重要程 度等因素，劃分不同的子網或 網段，并按照方便管理和控制 的原則為各子網、網段分配地 址段a） 應保證主要網絡設備 主要網絡設備的業務 處理能力具備冗余空間，滿足業 務高峰期需要；b） 應保證網絡各個部分的帶寬 網絡各個部分的帶寬 滿足業務高峰期需要；c） 應在業務終端與業務服務器 之間進行路由控制建立安全的 訪問

7、路徑 d） e）f ）應避免將重要網段部署在網 絡邊界處且直接連接外部信息 系統，重要網段與其他網段之 間 米取可靠的技術隔離手段； g）應按照對業務服務的重要次 序來指定帶寬分配優先級別， 保 證在網絡發生擁堵的時候優 先 保護重要主機a） 應保證網絡設備 網絡設備的業務處理 能力具備冗余空間，滿足業務 高峰期需要 b） c） d） e） f） g）網絡 網絡 安全訪問控制 訪問控制（G）a） 應在網絡邊界部署訪問控制 設備，啟

8、用訪問控制功能；b） 應根據訪問控制列表對源地 址、目的地址、源端口、目的 端口和協議等進行檢查，以允 許/拒絕數據包出入；g）應通過訪問控制列表對系統 資源實現允許或拒絕用戶訪 問 ，控制粒度至少為用戶組a）b） 應能根據會話狀態信息為數 會話狀態信息為數 據流提供明確的允許 據流提供明確的允許/拒絕訪問 拒絕訪問 的能力，控制粒度為網段級 的能力，控制粒度為網段級。g） 應按用戶和系統之間的允許 用戶和系統之間的允許 訪問規

9、則，決定允許或拒絕用 訪問規則，決定允許或拒絕用 戶對受控系統進行資源訪問， 戶對受控系統進行資源訪問， 控制粒度為單個用戶 控制粒度為單個用戶；h） 應限制具有撥號訪問權限的a）b） 應能根據會話狀態信息為數 據流提供明確的允許/拒絕訪問 的能力，控制粒度為端口級 控制粒度為端口級；c） 應對進出網絡的信息內容進 行過濾，實現對應用層HTTP、 FTP、TELNET、SMTP、POP3 等協議命令級的控制；d） 應在會話處