第三级信息系统测评项权重赋值表 （此表可不提供被测评单位） 下表给出第三级（ S3A3G3）信息系统安全等级保护基本要求对应的测评项 权重，其他等级信息系统测评项权重赋值表另行发布。 序 号层面控制点 要求项测评项 权重 1物理安全物理位置的选择a）机房和办公场地应选择在具有防震、 防风和防雨等能力的建筑内；0.2 2物理安全物理位置的选择b）机房场地应避免设在建筑物的高层或 地下室，以及用水设备的下层或隔壁。0.5 3物理安全物理访问控制a）机房出入口应有专人值守，控制、鉴 别和记录进入的人员。0.5 4物理安全物理访问控制b）需进入机房的来访人员应经过申请和 审批流程，并限制和监控其活动范围。0.5 5物理安全物理访问控制c）应对机房划分区域进行管理，区域和 区域之间设置物理隔离装置，在重要区 域前设置交付或安装等过渡区域。0.5 6物理安全物理访问控制d）重要区域应配置电子门禁系统，控 制、鉴别和记录进入的人员。1 7物理安全防盗窃和防破坏a）应将主要设备放置在机房内。 0.2 8物理安全防盗窃和防破坏b）应将设备或主要部件进行固定，并设 置明显的不易除去的标记。0.2 9物理安全防盗窃和防破坏c）应将通信线缆铺设在隐蔽处，可铺设 在地下或管道中。0.2 10物理安全防盗窃和防破坏d）应对介质分类标识，存储在介质库或 档案室中。0.2 11物理安全防盗窃和防破坏e）应利用光、电等技术设置机房的防盗 报警系统。0.5 12物理安全防盗窃和防破坏f）应对机房设置监控报警系统。 0.5 13物理安全防雷击a）机房建筑应设置避雷装置。 0.2 14物理安全防雷击b）应设置防雷保安器，防止感应雷。 0.5 15物理安全防雷击c）机房应设置交流电源地线。 0.2 16物理安全防火a）机房应设置火灾自动消防系统，自动 0.5序 号层面控制点 要求项测评项 权重 检测火情、自动报警，并自动灭火。 17物理安全防火b）机房及相关的工作房间和辅助房应采 用具有耐火等级的建筑材料。0.2 18物理安全防火c）机房应采取区域隔离防火措施，将重 要设备与其他设备隔离开。0.2 19物理安全防水和防潮a）水管安装，不得穿过机房屋顶和活动 地板下。0.2 20物理安全防水和防潮b）应采取措施防止雨水通过机房窗户、 屋顶和墙壁渗透。0.2 21物理安全防水和防潮c）应采取措施防止机房内水蒸气结露和 地下积水的转移与渗透。0.2 22物理安全防水和防潮d）应安装对水敏感的检测仪表或元件， 对机房进行防水检测和报警。0.5 23物理安全防静电a）主要设备应采用必要的接地防静电措 施。0.2 24物理安全防静电b）机房应采用防静电地板。 0.5 25物理安全温湿度控制a）机房应设置温、湿度自动调节设施， 使机房温、湿度的变化在设备运行所允 许的范围之内。0.2 26物理安全电力供应a）应在机房供电线路上设置稳压器和过 电压防护设备。0.5 27物理安全电力供应b）应提供短期的备用电力供应，至少满 足主要设备在断电情 况下的正常运行要 求。0.5 28物理安全电力供应c）应设置冗余或并行的电力电缆线路 为 计算机系统供电。1 29物理安全电力供应d）应建立备用供电系统。 1 30物理安全电磁防护a）应采用接地方式防止外界电磁干扰和 设备寄生耦合干扰 。0.5 31物理安全电磁防护b）电源线和通信线缆应隔离铺设，避免 互相干扰。0.5 32物理安全电磁防护c）应对关键设备和磁介质实施电磁屏 蔽。1 33网络安全结构安全a) 应保证主要网络设备的业务处理能力 具备冗余空间，满足业务高峰期需要；1 34网络安全结构安全b) 应保证网络各个 部分的带宽满足业务 高峰期需要；0.5 35网络安全结构安全c) 应在业务终端 与业务服务 器之间进行 路由控制建立安全的访问路径；1 36网络安全结构安全d) 应绘制与当前运行情况相符的网络拓0.5序 号层面控制点 要求项测评项 权重 扑结构图； 37网络安全结构安全e) 应根据各部门的工作职能、重要性和 所涉及信息的重要程度等 因素，划分不 同的子网或网段，并按照方便 管理和控 制的原则为各 子网、网段分配地址段；1 38网络安全结构安全f) 应避免将重要网段部署在网络边界 处 且直接连接外部信息系统，重要 网段与 其他网段之间采取可靠的技术隔离手 段；0.5 39网络安全结构安全g) 应按照对业务服务 的重要次序来指定 带宽分配优先级别，保证在网络发生拥 堵的时候优先 保护重要主机。0.5 40网络安全访问控制a) 应在网络边界 部署访问控制设备，启 用访问控制功能；0.5 41网络安全访问控制b) 应能根据会话状态 信息为数据流提供 明确的允许/拒绝访问的能力，控制 粒度 为端口级；1 42网络安全访问控制c) 应对进出网络的信息内容进行过滤， 实 现 对 应 用 层 HTTP、FTP、TELNET、SMTP、POP 3等协议命令 级的控制；1 43网络安全访问控制d) 应在会话处于非活跃一定时间或会话 结束后终止网络连接；0.5 44网络安全访问控制e) 应限制网络最大 流量数及网络连接 数；0.5 45网络安全访问控制f) 重要网段应采取技术手段防止地址欺 骗；0.5 46网络安全访问控制g) 应按用户和系统之间的允许访问 规 则，决定允许或拒绝用户对受控系统进 行资源访问，控制粒度为单个用户；0.5 47网络安全访问控制h) 应限制具有拨号访问权限的用户 数 量。0.5 48网络安全安全审计a) 应对网络系统中的网络设备运行状 况、网络流量、用户行为等进行日志记 录；1 49网络安全安全审计b) 审计记录应包括：事 件的日期和时 间、用户、事件类型、事件是否成功 及 其他与审计相关的信息；0.5 50网络安全安全审计c) 应能够根据记录数据进行分析，并生 成审计报表；1序 号层面控制点 要求项测评项 权重 51网络安全安全审计d) 应对审计记录进行保护，避免 受到未 预期的删除、修改或覆盖等。0.5 52网络安全边界完整性 检查a) 应能够对非授权设备私自联到内部网 络的行为进行检查，准确定出位置，并 对其进行有效阻断；1 53网络安全边界完整性 检查b) 应能够对内部网络用户私自联到外部 网络的行为进行检查，准确定出位置， 并对其进行有效阻断。1 54网络安全入侵防范a) 应在网络边界 处监视以下攻击行为： 端口扫描、强力攻击、木马后门攻击、 拒绝服务攻 击、缓冲区溢出攻击、IP碎 片攻击和网络蠕虫攻 击等；1 55网络安全入侵防范b) 当检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目的、攻击时间， 在发生严重入侵事件时应提供报警。0.5 56网络安全恶意代码 防范a) 应在网络边界 处对恶意代码 进行检测 和清除；1 57网络安全恶意代码 防范b) 应维护恶意代码 库的升级和检测系统 的更新。0.5 58网络安全网络设备防护a) 应对登录网络设备的用户进行身份鉴 别；0.5 59网络安全网络设备防护b) 应对网络设备的管理员登录地址进行 限制；0.5 60网络安全网络设备防护c) 网络设备用户的标识应 唯一；0.5 61网络安全网络设备防护d) 主要网络设备应对同一用户选择两种 或两种以上组合的鉴别技术来进行 身份 鉴别；1 62网络安全网络设备防护e) 身份鉴别信息应具有不易 被冒用的特 点，口令应有复杂度要求并定期更换；1 63网络安全网络设备防护f) 应具有登录失败处理功能，可采取结 束会话、限制非法登录次数和当网络登 录连接超时自动退出等措施；0.5 64网络安全网络设备防护g) 当对网络设备进行远程管理时，应采 取必要措施防止鉴别信息在 网络传输 过 程中被窃听；0.5 65网络安全网络设备防护h) 应实现设备特权用户的权限分离。 0.5 66主机安全身份鉴别a) 应对登录操作系统和数据库系统的用 户进行身份标识和鉴别；0.5 67主机安全身份鉴别b) 操作系统和数据库系统管理用户身份 鉴别信息应具有不易 被冒用的特点，口1序 号层面控制点 要求项测评项 权重 令应有复杂度要求并定期更换； 68主机安全身份鉴别c) 应启用登录失败处理功能，可采取结 束会话、限制非法登录次数和自动退出 等措施；0.5 69主机安全身份鉴别d) 当对服务器进行远程管理时，应采取 必要措施，防止鉴别信息在 网络传输 过 程中被窃听；1 70主机安全身份鉴别e) 为操作系统和数据库的不同用户分配 不同的用户名，确保用户名具有唯一 性；0.5 71主机安全身份鉴别f）应采用两种或两种以上组合的鉴别技 术对管理用户进行 身份鉴别。1 72主机安全访问控制a) 应启用访问控制功能，依据安全策略 控制用户对资源的访问；0.5 73主机安全访问控制b) 应根据管理用户的角色分配权限，实 现管理用户的权限分离， 仅授予管理用 户所需的最小权限；0.5 74主机安全访问控制c) 应实现操作系统和数据库系统特权用 户的权限分离；1 75主机安全访问控制d) 应严格限制默认账户的访问权限，重 命名系统默认账户，并修改这些账 户的 默认口令；0.5 76主机安全访问控制e) 应及时删除多余的、过期的账户，避 免共享账户的存在；0.5 77主机安全访问控制f）应对重要信息资源设置敏感标记； 1 78主机安全访问控制g）应依据安全策略严格 控制用户对有敏 感标记重要信息资源的操作。1 79主机安全安全审计a) 安全审计应覆盖到服务 器和重要客户 端上的每个操作系统用户和数据库用 户；1 80主机安全安全审计b) 审计内容应包括重要用户行为、系统 资源的异常使用和重要