5.5. 1网络 安全系统宜从物理层安全、网络层安全、系统层安全、应用层安全等四个方面

进行检测，以保证信息的保密性、真实性、完整性、可控性和可用性等信息安全性能符合设

计要求。

一、主控项目

5.5.2计算机信息系统安全 专用产品必须具有公安部计算机管理监察部门审批颁发的“计算机信息系统安全专用产品销售许可证”;特殊行业有其他规定时,还应遵守行业的相关规定.

5.5.3如果与因特网连接,智能建筑网络安全系统必须安装防火墙和防病毒系统。

5.5. 4网络层安全的安全性检测应符合以下要求:

1防攻击:信息网络应能抵御来自防火墙以外的网络攻击,使用流行的攻击手段进行模

拟攻击,不能攻破判为合格;

2因特网访问控制:信息网络应根据需求控制内部终端机的因特网连接请求和内容,使

用终端机用不同身份访问因特网的不同资源,符合设计要求判为合格;

3信息网络与控制网络的安全隔离:测试方法应按本规范第5.3.2条的要求,保证做到未经授权,从信息网络不能进人控制网络;符合此要求者判为合格;

5.3.2连通性 检测方法可采用相关测试命令进行测试，或根据设计要求使用网络测试仪测

试网络的连通性。

4防病毒系统的有效性:将含有当前已知流行病毒的文件(病毒样本)通过文件传输、邮件附件、网上邻居等方式向各点传播,各点的防病毒软件应能正确地检测到该含病毒文件,

并执行杀毒操作;符合本要求者判为合格; .

5入侵检测系统的有效性:如果安装了入侵检测系统,使用流行的攻击手段进行模拟攻击(如DoS拒绝服务攻击),这些攻击应被入侵检测系统发现和阻断;符合此要求者判为合格;

6内容过滤系统的有效性:如果安装了内容过滤系统,则尝试访问若干受限网址或者访问受限内容,这些尝试应该被阻断，然后,访问若干未受限的网址或者内容,应该可以正常访问；符合此要求者为合格。

5.5.5 系统层安全应满足以下要求:

1操作系统应选用经过实践检验的具有--定安全强度的操作系统;

2使用安全性较高的文件系统;

3严格管理操作系统的用户帐号,要求用户必须使用满足安全要求的口令;

4服务器应只提供必须的服务,其他无关的服务应关闭,对可能存在漏洞的服务或操作

系统,应更换或者升级相应的补丁程序;扫描服务器,无漏洞者为合格;

5认真设置并正确利用审计系统,对--些非法的侵入尝试必须有记录;模拟非法尝试,审计日志中有正确记录者判为合格。

5.5.6应用层安 全应符合下列要求:

1身份认证:用户口令应该加密传输,或者禁止在网络上传输;严格管理用户帐号,要求

用户必须使用满足安全要求的口令;

2访问控制:必须在身份认证的基础上根据用户及资源对象实施访问控制;用户能正确

访问其获得授权的对象资源，同时不能访问未获得授权的资源,符合此要求者判为合格。

二、一般项目

5.5.7物理层安全应符合 下列要求:

1中心机房的电源与接地及环境要求应符合本规范第11章、第12章的规定;

2对于涉及国家秘密的党政机关、企事业单位的信息网络工程,应按《涉密信息设备使

用现场的电磁泄漏发射保护要求》BMB5、 《涉 及国家秘密的计算机信息系统保密技术要求》

BMZ1和《涉及国家秘密的计算机信息系统安全保密评测指南》BMZ3等国家现行标准的相关

规定进行检测和验收。

5.5.8 应用层安全应符合下列要求:

1完整性: 数据在存储、使用和网络传输过程中,不得被篡改、破坏;

2保密性:数据在存储、使用和网络传输过程中,不应被非法用户获得;

3安全审计:对应用 系统的访问应有必要的审计记录。