YZ_T 0152-2016邮政业信息系统安全等级保护基本要求.pdf

ICS 35.240. 01A 90YZ备案号：50662—2015中华人民共和国邮政行业标准YZ/T 0152—2016邮政业信息系统安全等级保护基本要求Basic requirements of classified protection for postal industry information system2016-11-02发布2017-02-01实施国家邮政局发布 YZ/T 0152—2016目次前言442引言443范围4452规范性引用文件445术语和定义445邮政业信息系统安全保护能力4454.1安全保护能力4454.2基本安全要求的四种类型446第一级基本要求5. 1技术要求4475.2管理要求，4486第二级基本要求，4516.1技术要求·4516.2管理要求·455第三级基本要求4597.1技术要求，7. 2管理要求465第四级基本要求4738.1技术要求4738.2管理要求.480第五级基本要求487附录A(规范性附录)基本要求的选择和使用488参考文献489441 YZ/T 0152—20166第二级基本要求6.1技术要求6.1.1物理安全物理位置的选择(G2)a)机房和办公场地应选择在备防震、防风和防雨等能力的建筑内：b)应具有机房或机房所在建筑物符合当地抗震要求的相关证明。物理访间控制(G2)a)机房出人口应安排专人负责管理。对没有配置电子门禁系统的机房，应有专人值守，对所有进出机房的人员进行控制、鉴别和记录，人员进出记录应至少保存30天；对配有电子门禁系统的机房，门禁系统的日志记录应至少保留30天；b)应采用监控设备将机房人员进出情况传输到值班点，监控记录应至少保留30天；e)来访人员应经申请和审批后方可进人机房，并限制和监控其活动范围。防盗窃和防破坏（G2）应将主要设备放置在机房内或其他不易被盗窃和破坏的可控范围内：b)应将设备或主要部件进行固定，并设置明显的不易除去的标记，如粘贴标签或铭牌等；e)应将通信线缆铺设在地下或管道中等隐蔽处，强弱电应隔高铺设并进行统一标识；(p应对介质进行分类标识和分类存放，存储在介质库或档案室中；e)主机房应安装必要的防盗报警装置，当发现异常现象时，可自动报警并保存报警记录。6.1.1,4防雷击(G2)a)机房建筑应设置避雷装置，防雷击措施至少应包括安装避雷针或避雷器；b)机房应设置交流电源地线。防火(G2)机房应配置灭火设备和火灾自动报警系统。当发现火灾隐患时，火灾自动报警系统可自动报警并保存报警记录。防水和防潮（G2）a)水管的安装不宜穿过机房屋顶和活动地板下。如不可避免，应采取有效防护措施；b)应采取措施防止用水通过机房窗户、屋项和墙壁渗透；c)应采取措施防止机房内水蒸气结露和地下积水，如在机房地面修建地漏、泄水槽等。防静电(G2)a)关键设备应采取必要的接地防静电措施；b)主机房和辅助区内的工作台面应采用导静电或静电耗散材料。温湿度控制(G2)机房应设置温湿度自动调节设施，使机房温、湿度的变化控制在设备运行所要求的范围之内。设备开机时，机房温度应控制在18~26℃，相对湿度应控制在30%~50%。电力供应(A2)a)应在机房供电线路上配置稳压器和过电压防护设备：b)应具有短期的备用电力供应，至少满足关键设备在断电情况下正常运行2h以上。0电磁防护(S2)电源线和通信线缆宜隔离铺设，铺辅设在不同的桥架或管道中，并使用交叉走线避免并排销设；如不可避免，应采取相应的屏蔽措施。451 YZ/T 0152—20166.1.2网络安全结构安全(G2)a)关键网络设备的业务处理能力应具备余空间，满足业务高峰期需要，近一年的CPU负载均值应小于60%；b)接人网络和核心网络的带宽应满足业务高峰期需要，其占用均值均应低于60%；c)应绘制与当前运行情况相符的网络拓扑结构图，拓扑结构图应包含网络设备名称、线路带宽类型、物理连线标识、设备端口名称、设备管理IP、接口IP和各区域IP地址段等：d)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。访间控制（G2)a)应在网络边界设置访间控制设备，启用访问控制功能；b)应能根据会话状态信息，允许或拒绝网络数据流的访间，控制粒度为网段级；(3应根据用户和系统之间的访间规则，决定允许或拒绝用户对受控系统进行资源访间，控制粒度为单个用户；应限制具有拨号访间权限的用户数量。安全审计(G2)a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；b) 审计记录应包括：事件的日期和时间、用户信息、事件类型、事件是否成功及其他与审计相关的信息。边界完整性检查(S2)应能够对内部网络中出现的内部用户未经准许私自联到外部网络的行为进行检查，