信息安全等级保护测评技术要求逐项详解0X0 等级保护测评技术部分详细条目三级要求部分我会以粗体标出,其余为二级要求部分
完全理解这部分需要以下基础:(以下作为网络安全基础建议在大学时期或工作 1 年内学习掌握)1:对机房建设有一定了解,熟悉一些机房建设标准
2:熟悉 2-3 个速通厂家网络设备配置,以及 2-3 安全厂家网络设备配置
(典型速通厂家:H3C,思科,华为,迅捷
典型安全厂家:绿盟,启明星辰,深信服,网神)3:熟悉至少 2 种操作系统基线配置,centos(redhat)、debian、freebsd、solaris、windowsserver(通常情况 WINDOWS 较多,多多少少还是有 linux 类)4:懂的应用抓包 burpsuite 或 wireshark(英文弱鸡可以用科来网络分析系统)之类工具以及基本使用
5:了解一些主流软件开发语言以及中间件(apacheiisnginx)数据库(mssqlmysqloracle)等0X1 物理安全技术要求:PS:这部分内容一般不是整改的重点,很多东西固定你没法整改,只能提建议,客户斟酌选择
物理位置的选择基本要求解读备注a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;目前机房是否具备防震,防风和防雨是否在建筑内一般都合格,机房玻璃应完整无破损
b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁
字面意思,机房位置不建议超过 5层,这就是普遍云计算数据中心等,楼房一般不会太高的原因,怕震
三级要求物理访问控制基本要求解读备注a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员字面意思,进出机房有专人值守,识别如指纹密码识别等,进出机房需登记,一般为纸质记录一般都合格,很多单位缺失可能是文档记录和门禁建议补充
b)需进入机房的来访人员应经过申请和审批流程,并限制和监
