、数字证书认证和访问控制等安全防护措施;(新增)e应该采用严格的接入控制措施,保证业务系统接入的可信性。经过授权的节点允许接入电力调度数据网,进行广域网通信;(新增)f应限制具有拨号、VPN等访问权限的用户数量。(增强)
1123安全审计(G2)
本项要求包括:a应在生产控制大区应部署专用审计系统,或启用设备或系统审计功能,应对网络系统中
f的网络设备运行状况、网络流量、用户行为等进行日志记录;(增强)b审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
1124边界完整性检查(S2)
应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。
1125入侵防范(G2)
应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
1126网络设备防护(G2)
本项要求包括:a应对登录网络设备的用户进行身份鉴别;b应对网络设备的管理员登录地址进行限制;c网络设备标识应唯一;同一网络设备的用户标识应唯一;禁止多个人员共用一个账号;(增强)d身份鉴别信息应不易被冒用,口令复杂度应满足要求并定期更换。应修改默认用户和口令,不得使用缺省口令,口令长度不得小于8位,要求是字母和数字或特殊字符的混合并不得与用户名相同,口令应定期更换,并加密存储;(增强)e应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;f当对网络设备进行远程管理时,采取必要措施防止鉴别信息在网络传输过程中被窃听;g应封闭不需要的网络端口,关闭不需要的网络服务。如需使用SNMP服务,应采用安全性增强版本;并应设定复杂的Commu
ity控制字段,不使用Public、Private等默认字段。(新增)
f113主机安全
1131身份鉴别(S2)
本项要求包括:a应对登录操作系统和数据库系统的用户进行身份标识和鉴别;b操作系统和数据库系统管理用户身份鉴别信息应不易被冒用,口令复杂度应满足要求并定期更换。口令长度不得小于8位,且为字母、数字或特殊字符的混合组合,用户名和口令禁止相同;(增强)c启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。限制同一用户连续失败登录次数;(增强)d当对服务器进行远程管理时,采取必要措施,防止鉴别信息在网络传输过程中被窃听;e应为操作系统和数据库系统的不同用户分配不同的用r