安全保障體系

1、安全保障體系1 容災(zāi)備份系統(tǒng)1.1 系統(tǒng)概述1.1.1 容災(zāi)概念容災(zāi)是一個范疇比較廣泛的概念，廣義上可以把所有與業(yè)務(wù)連續(xù)性相關(guān)的內(nèi)容都納入容災(zāi)。容災(zāi)是一個系統(tǒng)工程，它包括支持用戶業(yè)務(wù)的方方面面。而容災(zāi)對于IT 環(huán)境而言，就是提供一個能防止用戶業(yè)務(wù)系統(tǒng)遭受各種災(zāi)難影響與破壞計(jì)算機(jī)系統(tǒng)和業(yè)務(wù)數(shù)據(jù)。容災(zāi)還表現(xiàn)為一種未雨綢繆的主動性，而不是在災(zāi)難發(fā)生后的“亡羊補(bǔ)牢”。從狹義的角度，我們平常所談?wù)摰娜轂?zāi)是指，除了生產(chǎn)站點(diǎn)以外，用戶另外建立的冗余站點(diǎn)，當(dāng)災(zāi)難發(fā)生，生產(chǎn)站點(diǎn)受到破壞時，冗余站點(diǎn)可以接管用戶正常的業(yè)務(wù)，達(dá)到業(yè)務(wù)不間斷的目的。為了達(dá)到更高的可用性，許多用戶甚至建立多個冗余站點(diǎn)以保證業(yè)務(wù)系統(tǒng)的安全

2、性。從技術(shù)上看，衡量容災(zāi)系統(tǒng)主要有兩個主要指標(biāo)：RP(O RecoveryPoint Object )和 RTO(Recovery Time Object ),其中 RPOR表了 當(dāng)災(zāi)難發(fā)生時允許丟失的數(shù)據(jù)量，而RTCWU代表了系統(tǒng)恢復(fù)的時間。RPOW RTC®小，系統(tǒng)的可用性就越高，當(dāng)然用戶需要的投資也越大。1.1.2 容災(zāi)與備份的關(guān)系備份是指用戶為應(yīng)用系統(tǒng)產(chǎn)生的重要數(shù)據(jù)（或者原有的重要數(shù)據(jù)信息）制作一份或者多份拷貝，以增強(qiáng)數(shù)據(jù)的安全性。因此，備份與容災(zāi)所關(guān)注的對象有所不同，備份關(guān)心數(shù)據(jù)的安全，容災(zāi)關(guān)心業(yè)務(wù)應(yīng)用的安全，我們可以把備份稱作是“數(shù)據(jù)保護(hù)”， 而容災(zāi)稱作“業(yè)務(wù)應(yīng)用保護(hù)”。

3、 備份最多表現(xiàn)為通過備份軟件使用磁帶機(jī)或者磁帶庫將數(shù)據(jù)進(jìn)行拷貝，也有用戶使用磁盤、光盤作為存儲介質(zhì)；容災(zāi)則表現(xiàn)為通過高可用方案將兩個站點(diǎn)連接起來。備份與容災(zāi)是存儲領(lǐng)域兩個極其重要的部分，二者有著緊密的聯(lián)系。首先，在備份與容災(zāi)中都有數(shù)據(jù)保護(hù)工作，備份大多采用磁帶方式， 性能低， 成本低， 數(shù)據(jù)通常被壓縮后以獨(dú)有的數(shù)據(jù)格式進(jìn)行存儲；容災(zāi)采用磁盤作為存儲介質(zhì)作為數(shù)據(jù)載體的方式進(jìn)行數(shù)據(jù)保護(hù)，數(shù)據(jù)隨時在線，性能高，成本高。其次，備份是存儲領(lǐng)域的一個基礎(chǔ)，在一個完整的容災(zāi)方案中必然包括備份的部分；同時備份還是容災(zāi)方案的有效補(bǔ)充，因?yàn)槿轂?zāi)方案中的數(shù)據(jù)始終在線，因此存儲有完全被破壞的可能，而備份提供了額外的一

4、條防線，在線數(shù)據(jù)丟失的情況下還可以從備份數(shù)據(jù)中恢復(fù)。1.1.3 容災(zāi)的等級大體上講，容災(zāi)可以分為3 個級別：數(shù)據(jù)級別、應(yīng)用級別以及業(yè)務(wù)級別。數(shù)據(jù)級別容災(zāi)的關(guān)注點(diǎn)在于數(shù)據(jù)，即災(zāi)難發(fā)生后可以確保用戶原有的數(shù)據(jù)不會丟失或者遭到破壞。數(shù)據(jù)級容災(zāi)較為基礎(chǔ)。其中，較低級別的數(shù)據(jù)容災(zāi)方案僅需利用磁帶庫和管理軟件就能實(shí)現(xiàn)數(shù)據(jù)異地備份， 達(dá)到容災(zāi)的功效；而較高級的數(shù)據(jù)容災(zāi)方案則是依靠數(shù)據(jù)復(fù)制工具，例如卷復(fù)制軟件，或者存儲系統(tǒng)的硬件控制器，實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)程復(fù)制。 數(shù)據(jù)級別容災(zāi)是保障數(shù)據(jù)可用的最后底線，當(dāng)數(shù)據(jù)丟失時能夠保證應(yīng)用系統(tǒng)可以重新得到所有數(shù)據(jù)。從這種意義上講，數(shù)據(jù)備份屬于該級別容災(zāi)，用戶把重要的數(shù)據(jù)存放在磁帶

5、上，如果考慮到高級別的安全性還可以把磁帶運(yùn)送到遠(yuǎn)距離的地方保存，當(dāng)災(zāi)難發(fā)生后，從磁帶中獲取數(shù)據(jù)。該級別災(zāi)難恢復(fù)時間較長，仍然存在風(fēng)險(xiǎn)，盡管用戶原有數(shù)據(jù)沒有丟失，但是應(yīng)用會被中斷，用戶業(yè)務(wù)也被迫停止。因此虛擬磁帶庫的出現(xiàn)可以解決磁帶備份速度慢和磁帶保存困難的問題，是取代磁帶的最佳產(chǎn)品。應(yīng)用級容災(zāi)是在數(shù)據(jù)級容災(zāi)的基礎(chǔ)上，再把執(zhí)行應(yīng)用處理能力復(fù)制一份，也就是說，在備份站點(diǎn)同樣構(gòu)建一套應(yīng)用系統(tǒng)。應(yīng)用級容災(zāi)系統(tǒng)能提供不間斷的應(yīng)用服務(wù)，讓用戶應(yīng)用的服務(wù)請求能夠透明地繼續(xù)運(yùn)行，而感受不到災(zāi)難的發(fā)生，保證信息系統(tǒng)提供的服務(wù)完整、可靠、安全。數(shù)據(jù)級容災(zāi)和應(yīng)用級容災(zāi)都是在IT 范疇之內(nèi)，然而對于正常業(yè)務(wù)而言，僅I

6、T 系統(tǒng)的保障還是不夠的。有些用戶需要構(gòu)建最高級別的業(yè)務(wù)級別容災(zāi)。業(yè)務(wù)級容災(zāi)的大部分內(nèi)容是非IT 系統(tǒng)， 比如電話、辦公地點(diǎn)等。當(dāng)一場大的災(zāi)難發(fā)生時，用戶原有的辦公場所都會受到破壞，用戶除了需要原有的數(shù)據(jù)、原有的應(yīng)用系統(tǒng)，更需要工作人員在一個備份的工作場所能夠正常地開展業(yè)務(wù)。1.2 建設(shè)必要性隨著XX工程數(shù)字化建設(shè)的不斷深入，較為嚴(yán)重的信息系統(tǒng)故障（主要是：服務(wù)器故障和網(wǎng)絡(luò)故障兩大類。）勢必會影響到系統(tǒng)全局的可用性和穩(wěn)定性，而 XX工程由于其覆蓋面廣、受眾多，業(yè)務(wù)的高可用性與連續(xù)性就顯的尤為重要。建立一套行之有效的容災(zāi)備份系統(tǒng)十分必要。同時，在整個XX工程應(yīng)用網(wǎng)絡(luò)系統(tǒng)中，由于數(shù)據(jù)量大而復(fù)雜，數(shù)

7、據(jù)出錯或丟失是在所難免的，如果沒有事先對數(shù)據(jù)進(jìn)行備份，要想恢復(fù)數(shù)據(jù)不僅難度大而且很十分不可靠，有時甚至根本不可能進(jìn)行恢復(fù)。如果定期對重要數(shù)據(jù)進(jìn)行備份，那么在系統(tǒng)出現(xiàn)故障時，仍然能保證重要數(shù)據(jù)準(zhǔn)確無誤。另外，隨著XX工程的逐步發(fā)展，新業(yè)務(wù)需求的不斷擴(kuò)展，現(xiàn)有業(yè)務(wù)系統(tǒng)的相關(guān)數(shù)據(jù)信息的安全性和可靠性也需要在原有基礎(chǔ)上得到進(jìn)一步擴(kuò)充及改進(jìn)，以保證在災(zāi)難情況發(fā)生時，相關(guān)業(yè)務(wù)也能正常運(yùn)行。因此，在此方案中，我們將總體目標(biāo)定為實(shí)現(xiàn)對 XXX現(xiàn)有業(yè)務(wù)系統(tǒng)中核心數(shù)據(jù)和核心應(yīng)用系統(tǒng)的容災(zāi)備份， 并確保災(zāi)難情況下業(yè)務(wù)數(shù) 據(jù)的高可恢復(fù)性和高可用性，從而保證相關(guān)的應(yīng)用系統(tǒng)不中斷， 并且 在災(zāi)難發(fā)生后能夠得到及時恢復(fù)。1

8、.3 建設(shè)目標(biāo)本次容災(zāi)備份系統(tǒng)的建設(shè)目標(biāo)是：技術(shù)先進(jìn)、可擴(kuò)充、高可靠、高可用、可管理。工技術(shù)先進(jìn)性：系統(tǒng)設(shè)計(jì)應(yīng)采用當(dāng)前先進(jìn)而成熟的技術(shù)，不僅 可以滿足本期工程的需求，也應(yīng)把握未來的發(fā)展方向。,可擴(kuò)充性：在系統(tǒng)設(shè)計(jì)時應(yīng)充分考慮可擴(kuò)充性，從而確保新 功能、新業(yè)務(wù)的增加在原有的系統(tǒng)平臺上擴(kuò)展和實(shí)現(xiàn)。士高可靠性：存儲平臺具有高可靠性，支持服務(wù)器平臺的高可用性集群技術(shù)；具備先進(jìn)的容災(zāi)的設(shè)計(jì)；充分保證系統(tǒng)的高 擴(kuò)展能力和高容錯能力，具有通道負(fù)載自動均衡能力和存儲 系統(tǒng)性能調(diào)節(jié)能力，提供極為充分的可靠性各項(xiàng)指標(biāo)設(shè)計(jì)。工高可用性：在不停機(jī)情況下，實(shí)現(xiàn)不停機(jī)擴(kuò)容、維護(hù)、升級等服務(wù)，提高性能以滿足新的業(yè)務(wù)需求。具

9、備 7X24X365連續(xù)工作的能力，系統(tǒng)的可用性應(yīng)大于 99.999 %。在軟件支 持下可以實(shí)現(xiàn)應(yīng)用級容災(zāi)。工可管理性：要求配置實(shí)時性能監(jiān)測管理軟件?？蓪浞葑鳂I(yè)、 磁盤空間、卷磁盤錯誤、系統(tǒng)事件、系統(tǒng)中各進(jìn)程對系統(tǒng)資 源占用等性能和操作數(shù)據(jù)等服務(wù)器性能進(jìn)行實(shí)時監(jiān)控和管, 保護(hù)投資：新的系統(tǒng)投入使用對前期的設(shè)備有可再次利用的 設(shè)計(jì)思路，保證前期的投入和設(shè)備的持續(xù)性運(yùn)營。其次是新 系統(tǒng)的整體設(shè)計(jì)要考慮經(jīng)濟(jì)有效，充分利用現(xiàn)有設(shè)備和即將 時候的設(shè)備，使得投入與產(chǎn)出最大化。1.4 建設(shè)內(nèi)容整個系統(tǒng)的建設(shè)內(nèi)容分為三個部分，可以按照資金、技術(shù)、環(huán)境 的具體情況分三個步驟來實(shí)現(xiàn)備份容災(zāi)系統(tǒng)的建設(shè)。災(zāi)備存儲2

10、 認(rèn)證安全服務(wù)體系2.1 系統(tǒng)概述2.1.1 功能簡介認(rèn)證安全服務(wù)體系是指數(shù)字證書（即網(wǎng)絡(luò)中的個人虛擬身份證）的發(fā)放和管理。是面向應(yīng)用的 CA系統(tǒng)，為應(yīng)用提供基礎(chǔ)的證書管理 服務(wù)。面向應(yīng)用的CA系統(tǒng)的主要目的是為這些用戶在網(wǎng)絡(luò)上進(jìn)行業(yè) 務(wù)活動時，對應(yīng)用提供更安全的保障。系統(tǒng)有一個穩(wěn)定的核心，一個良好的結(jié)構(gòu)。提供多種接口，可以方便地?cái)U(kuò)展規(guī)模和功能。具有手工、批量、在線、離線等多種證書申請方式、 支持 IC 卡、USBkey、 文件等多種證書保存介質(zhì)，支持人工、WEB目錄服務(wù)器、郵件等多種證書發(fā)布方式、支持多種密鑰生成方式等。系統(tǒng)由CA服務(wù)器、目錄服務(wù)器、數(shù)據(jù)庫服務(wù)器、硬件密碼機(jī)、操作終端組成。C

11、A 服務(wù)器負(fù)責(zé)證書的申請、簽發(fā)、作廢和管理。數(shù)據(jù)庫服務(wù)器負(fù)責(zé)存放CA的數(shù)據(jù)、請求數(shù)據(jù)、證書和黑名單數(shù)據(jù)。操作終端提供證書申請的管理和日常操作，目錄服務(wù)器用于發(fā)布證書和黑名單。證書系統(tǒng)功能包括證書管理系統(tǒng)初始化、證書服務(wù)功能、證書管理功能、證書發(fā)布功能。CA服務(wù)器加密機(jī)操作終端數(shù)據(jù)庫服務(wù)器加密卡9。1II防火墻（j。目錄服務(wù)器p防火墻II路由器互聯(lián)網(wǎng) 內(nèi)部網(wǎng)4-J典型的企業(yè)證書管理系垃2.1.2應(yīng)用領(lǐng)域本系統(tǒng)所發(fā)放的數(shù)字證書用于各種應(yīng)用系統(tǒng)的身份認(rèn)證、操作的電子簽名、數(shù)據(jù)的加密。2.2建設(shè)必要性認(rèn)證安全服務(wù)體系建設(shè)是總體建設(shè)的一項(xiàng)關(guān)鍵內(nèi)容，為全區(qū)人力 資源社會保障各業(yè)務(wù)系統(tǒng)提供應(yīng)用安全支撐，包括

12、身份認(rèn)證、數(shù)據(jù)加 密解密、基于數(shù)字簽名驗(yàn)簽的防抵賴等基本證書應(yīng)用安全功能， 以及 電子簽章和時間戳等增強(qiáng)證書應(yīng)用安全功能。2.3建設(shè)內(nèi)容人力資源社會保障認(rèn)證安全服務(wù)體系應(yīng)包含電子認(rèn)證系統(tǒng)基礎(chǔ) 層、證書業(yè)務(wù)管理層、證書應(yīng)用支撐層、相關(guān)政策法規(guī)和標(biāo)準(zhǔn)規(guī)范, 總體結(jié)構(gòu)如圖所示。人力資源社會保障業(yè)務(wù)應(yīng)用系統(tǒng)證書應(yīng)用支撐層一一企1101必能電子簽章網(wǎng)絡(luò)安全協(xié)議時間戳身份認(rèn)證數(shù)字簽名驗(yàn)簽加密解密政策法規(guī)基礎(chǔ)安全接口高級應(yīng)用接口證書業(yè)務(wù)管理層證書生命周期管理系統(tǒng)運(yùn)行管理證書服務(wù)統(tǒng)一監(jiān)管平臺標(biāo)準(zhǔn)規(guī)范電子認(rèn)證系統(tǒng)基礎(chǔ)層:證書認(rèn)證設(shè)施：證書簽發(fā)管理系統(tǒng)證書注冊管理系統(tǒng)""證書查驗(yàn)服務(wù)系統(tǒng)密碼管

13、理設(shè)施密鑰管理系統(tǒng)密碼服務(wù)系統(tǒng)電子認(rèn)證系統(tǒng)基礎(chǔ)層包括密鑰管理系統(tǒng)、密碼服務(wù)系統(tǒng)、證書簽發(fā)管理系統(tǒng)、證書注冊管理系統(tǒng)和證書查驗(yàn)服務(wù)系統(tǒng)等。證書業(yè)務(wù)管理層包括證書生命周期管理、系統(tǒng)運(yùn)行管理、證書服務(wù)統(tǒng)一監(jiān)管平臺等。證書應(yīng)用支撐層包括基礎(chǔ)安全接口和高級應(yīng)用接口, 為應(yīng)用系統(tǒng)提供身份認(rèn)證、數(shù)據(jù)加密解密、數(shù)字簽名驗(yàn)簽、電子簽章、網(wǎng)絡(luò)安全協(xié)議和時間戳等應(yīng)用安全支撐功能。3 網(wǎng)絡(luò)冗余鏈路建設(shè)3.1 系統(tǒng)概述網(wǎng)絡(luò)的冗余部署包含了三個環(huán)節(jié)，分別是：設(shè)備級冗余，鏈路級冗余和網(wǎng)關(guān)級冗余。（ 1）設(shè)備級的冗余技術(shù)分為電源冗余和管理板卡冗余，由于設(shè)備成本上的限制，這兩種技術(shù)都被應(yīng)用在中高端產(chǎn)品上。（ 2）鏈路級冗余往往

14、存在多條二層和三層鏈路，使用鏈路級冗余技術(shù)可以實(shí)現(xiàn)多條鏈路之間的備份，流量分擔(dān)和環(huán)路避免。（ 3）前面談到的冗余技術(shù)保證了網(wǎng)絡(luò)級別的冗余，同樣對于使用網(wǎng)絡(luò)的終端用戶來講，也需要一種機(jī)制來保證其與網(wǎng)絡(luò)的可靠連接，這就是網(wǎng)關(guān)級冗余技術(shù)。3.2 建設(shè)必要性隨著Internet的發(fā)展，XX工程從簡單的信息承載平臺轉(zhuǎn)變成一個公共服務(wù)提供平臺。作為終端用戶，希望能時時刻刻保持與網(wǎng)絡(luò)的聯(lián)系，因此健壯，高效和可靠成為 XX工程網(wǎng)絡(luò)發(fā)展的重要目標(biāo)，而要保證網(wǎng)絡(luò)的可靠性，就需要使用到冗余技術(shù)。高冗余網(wǎng)絡(luò)要給我們帶來的體驗(yàn)，就是在網(wǎng)絡(luò)設(shè)備、鏈路發(fā)生中斷或者變化的時候，用戶幾乎感覺不到。為了達(dá)成這一目標(biāo)，需要在XX工

15、程網(wǎng)絡(luò)的各個環(huán)節(jié)上實(shí)施冗余，包括網(wǎng)絡(luò)設(shè)備，鏈路和廣域網(wǎng)出口，用戶側(cè)等等。3.3 建設(shè)內(nèi)容形成自治區(qū)、盟市、本次網(wǎng)絡(luò)的冗余建設(shè)主要是鏈路級冗余建設(shè)，旗縣區(qū)三級網(wǎng)絡(luò)雙鏈路保障。4 安全管理制度建設(shè)4.1 認(rèn)證系統(tǒng)安全管理制度4.1.1 身份鑒別a) 應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別;b) 應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別 ;c) 應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能, 保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識, 身份鑒別信息不易被冒用;d) 應(yīng)提供登錄失敗處理功能, 可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施;e) 應(yīng)啟用身份鑒別、用戶身

16、份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能, 并根據(jù)安全策略配置相關(guān)參數(shù)。4.1.2 訪問控制a) 應(yīng)提供訪問控制功能, 依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問;b) 訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作;c) 應(yīng)由授權(quán)主體配置訪問控制策略, 并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限 ;d) 應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限, 并在它們之間形成相互制約的關(guān)系。e) 應(yīng)具有對重要信息資源設(shè)置敏感標(biāo)記的功能;f) 應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作 ;4.1.3 安全審計(jì)a) 應(yīng)提供覆蓋到每個用戶的安全審計(jì)功能,

17、 對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì);b) 應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程, 無法刪除、修改或覆蓋審計(jì)記錄;c) 審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、 發(fā)起者信息、類型、描述和結(jié)果等;d) 應(yīng)提供對審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能。4.1.4 剩余信息保護(hù)a) 應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除, 無論這些信息是存放在硬盤上還是在內(nèi)存中;b) 應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。4.1.5 通信完整性應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。4.1.6 通信保密性a) 在通信雙方

18、建立連接之前, 應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會話初始化驗(yàn)證;b) 應(yīng)對通信過程中的整個報(bào)文或會話過程進(jìn)行加密。4.1.7 抗抵賴a) 應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能;b) 應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。4.1.8 軟件容錯a) 應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能, 保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求;b) 應(yīng)提供自動保護(hù)功能, 當(dāng)故障發(fā)生時自動保護(hù)當(dāng)前所有狀態(tài)保證系統(tǒng)能夠進(jìn)行恢復(fù)。4.1.9 資源控制a) 當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)另一方應(yīng)能夠自動結(jié)束會話;b) 應(yīng)能夠?qū)ο到y(tǒng)的最

19、大并發(fā)會話連接數(shù)進(jìn)行限制;c) 應(yīng)能夠?qū)蝹€帳戶的多重并發(fā)會話進(jìn)行限制;d) 應(yīng)能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進(jìn)行限制;e) 應(yīng)能夠?qū)σ粋€訪問帳戶或一個請求進(jìn)程占用的資源分配最大限額和最小限額;f) 應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報(bào)警 ;g) 應(yīng)提供服務(wù)優(yōu)先級設(shè)定功能, 并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請求進(jìn)程的優(yōu)先級, 根據(jù)優(yōu)先級分配系統(tǒng)資源。4.2 信息系統(tǒng)安全管理制度4.2.1 身份鑒別a) 應(yīng)對登錄各信息系統(tǒng)(特別是操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng))的用戶進(jìn)行身份標(biāo)識和鑒別;b) 各信息系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點(diǎn), 口令應(yīng)有復(fù)雜度要求并定期更換;c

20、) 應(yīng)啟用登錄失敗處理功能, 可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施;d) 當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時, 應(yīng)采取必要措施, 防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽;e) 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名,確保用戶名具有唯一性。f) 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行身份鑒別。4.2.2 訪問控制a) 應(yīng)啟用訪問控制功能, 依據(jù)安全策略控制用戶對資源的訪問;b) 應(yīng)根據(jù)管理用戶的角色分配權(quán)限, 實(shí)現(xiàn)管理用戶的權(quán)限分離,僅授予管理用戶所需的最小權(quán)限;c) 應(yīng)實(shí)現(xiàn)各信息系統(tǒng)(如，操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng))特權(quán)用戶的權(quán)限分離;d) 應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限, 重命名

21、系統(tǒng)默認(rèn)帳戶, 修改這些帳戶的默認(rèn)口令;e) 應(yīng)及時刪除多余的、過期的帳戶, 避免共享帳戶的存在。f) 應(yīng)對重要信息資源設(shè)置敏感標(biāo)記;g) 應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作 ;4.2.3 安全審計(jì)a) 審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶b) 審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件;c) 審計(jì)記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等;d) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析, 并生成審計(jì)報(bào)表;e) 應(yīng)保護(hù)審計(jì)進(jìn)程, 避免受到未預(yù)期的中斷;f) 應(yīng)保護(hù)審計(jì)記錄, 避免受到未預(yù)期

22、的刪除、修改或覆蓋等。4.2.4 剩余信息保護(hù)a) 應(yīng)保證各系統(tǒng)(如，操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng))用戶的鑒別信息所在的存儲空間, 被釋放或再分配給其他用戶前得到完全清除, 無論這些信息是存放在硬盤上還是在內(nèi)存中;b) 應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間 , 被釋放或重新分配給其他用戶前得到完全清除。4.2.5 入侵防范a) 應(yīng)能夠檢測到對重要服務(wù)器進(jìn)行入侵的行為, 能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴(yán)重入侵 事件時提供報(bào)警;b) 應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測, 并在檢測到完整性受到破壞后具有恢復(fù)的措施;c) 操作系統(tǒng)應(yīng)遵循最小安裝的原則, 僅

23、安裝需要的組件和應(yīng)用程序 , 并通過設(shè)置升級服務(wù)器等方持系統(tǒng)補(bǔ)丁及時得到更新。4.2.6 惡意代碼防范a) 應(yīng)安裝防惡意代碼軟件, 并及時更新防惡意代碼軟件版本和惡意代碼庫;b) 主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫 ;c) 應(yīng)支持防惡意代碼的統(tǒng)一管理。4.2.7 資源控制a) 應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄;b) 應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定;c)應(yīng)對重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU硬盤、內(nèi) 存、網(wǎng)絡(luò)等資源的使用情況;d) 應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度;e) 應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行

24、檢測 和報(bào)警。4.3 災(zāi)備系統(tǒng)安全管理制度4.3.1 數(shù)據(jù)完整性a) 應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞, 并在檢測到完整性錯誤時采取必要的恢復(fù)措施 ;b) 應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中完整性受到破壞, 并在檢測到完整性錯誤時采取必要的恢復(fù)措施。4.3.2 數(shù)據(jù)保密性a) 應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性;b) 應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲保密性。4.3.3 備份和恢復(fù)a) 應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能, 完全數(shù)據(jù)備份至少每天一次 , 備份介

25、質(zhì)場外存放;b) 應(yīng)提供異地?cái)?shù)據(jù)備份功能, 利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地;c) 應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu), 避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障 ;d) 應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余保證系統(tǒng)的高可用性。5 信息安全等級保護(hù)5.1 物理安全5.1.1 物理位置的選擇(G3)本項(xiàng)要求包括:a) 機(jī)房和辦公場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi) ;b) 機(jī)房場地應(yīng)避免設(shè)在建筑物的高層或地下室, 以及用水設(shè)備的下層或隔壁。5.1.2 物理訪問控制(G3)本項(xiàng)要求包括:a) 機(jī)房出入口應(yīng)安排專人值守, 控制、鑒別和記錄進(jìn)入的人員;b) 需進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過

26、申請和審批流程, 并限制和監(jiān)控其活動范圍;c) 應(yīng)對機(jī)房劃分區(qū)域進(jìn)行管理, 區(qū)域和區(qū)域之間設(shè)置物理隔離裝置 , 在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域;d) 重要區(qū)域應(yīng)配置電子門禁系統(tǒng), 控制、鑒別和記錄進(jìn)入的人5.1.3 防盜竊和防破壞(G3)本項(xiàng)要求包括:a) 應(yīng)將主要設(shè)備放置在機(jī)房內(nèi);b) 應(yīng)將設(shè)備或主要部件進(jìn)行固定, 并設(shè)置明顯的不易除去的標(biāo)記;c) 應(yīng)將通信線纜鋪設(shè)在隱蔽處, 可鋪設(shè)在地下或管道中;d) 應(yīng)對介質(zhì)分類標(biāo)識, 存儲在介質(zhì)庫或檔案室中;e) 應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng);f) 應(yīng)對機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。5.1.4 防雷擊 (G3)本項(xiàng)要求包括:a) 機(jī)房建筑應(yīng)設(shè)置

27、避雷裝置;b) 應(yīng)設(shè)置防雷保安器, 防止感應(yīng)雷;c) 機(jī)房應(yīng)設(shè)置交流電源地線。5.1.5 防火 (G3)本項(xiàng)要求包括:a) 機(jī)房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng), 能夠自動檢測火情、自動報(bào)警 ,并自動滅火;b) 機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級的建筑材料 ;c) 機(jī)房應(yīng)采取區(qū)域隔離防火措施, 將重要設(shè)備與其他設(shè)備隔離開。5.1.6 防水和防潮(G3)本項(xiàng)要求包括:a) 水管安裝 , 不得穿過機(jī)房屋頂和活動地板下;b) 應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透;c) 應(yīng)采取措施防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透;d) 應(yīng)安裝對水敏感的檢測儀表或元件, 對機(jī)房進(jìn)行防水檢測和報(bào)警。

28、5.1.7 防靜電 (G3)本項(xiàng)要求包括:a) 主要設(shè)備應(yīng)采用必要的接地防靜電措施;b) 機(jī)房應(yīng)采用防靜電地板。5.1.8 溫濕度控制(G3)機(jī)房應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施, 使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。5.1.9 電力供應(yīng)(A3)本項(xiàng)要求包括:a) 應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備;b) 應(yīng)提供短期的備用電力供應(yīng), 至少滿足主要設(shè)備在斷電情況下的正常運(yùn)行要求;c) 應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電;d) 應(yīng)建立備用供電系統(tǒng)。5.1.10 電磁防護(hù)(S3)本項(xiàng)要求包括:a) 應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾;b) 電源線和通信線纜應(yīng)

29、隔離鋪設(shè), 避免互相干擾;c) 應(yīng)對關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。5.2 網(wǎng)絡(luò)安全5.2.1 結(jié)構(gòu)安全(G3)本項(xiàng)要求包括:a) 應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間, 滿足業(yè)務(wù)高峰期需要;b) 應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要;c) 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑 ;d) 應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖;e) 應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素 , 劃分不同的子網(wǎng)或網(wǎng)段, 并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段;f) 應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng) , 重要網(wǎng)段與其他網(wǎng)段之間采

30、取可靠的技術(shù)隔離手段;g) 應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別, 保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護(hù)重要主機(jī)。5.2.2 訪問控制(G3)本項(xiàng)要求包括:a) 應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備, 啟用訪問控制功能;b) 應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力 , 控制粒度為端口級;c) 應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾, 實(shí)現(xiàn)對應(yīng)用層HTTP、 FTP、TELNET SMTP POP套協(xié)議命令級的控制;d) 應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接;e) 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù);f) 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙;g) 應(yīng)按用戶和系統(tǒng)之間的允許

31、訪問規(guī)則, 決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問, 控制粒度為單個用戶;h) 應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量。5.2.3 安全審計(jì)(G3)本項(xiàng)要求包括:a) 應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄;b) 審計(jì)記錄應(yīng)包括: 事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息;c) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析, 并生成審計(jì)報(bào)表;d) 應(yīng)對審計(jì)記錄進(jìn)行保護(hù), 避免受到未預(yù)期的刪除、修改或覆蓋 等。5.2.4 邊界完整性檢查(S3)本項(xiàng)要求包括:a) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查, 準(zhǔn)確定出位置, 并對其進(jìn)行有效阻斷;b) 應(yīng)能夠

32、對內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置, 并對其進(jìn)行有效阻斷。5.2.5 入侵防范(G3)本項(xiàng)要求包括:a) 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為: 端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等;b)當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間 , 在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報(bào)警。5.2.6 惡意代碼防范(G3)本項(xiàng)要求包括:a) 應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行檢測和清除;b) 應(yīng)維護(hù)惡意代碼庫的升級和檢測系統(tǒng)的更新。5.2.7 網(wǎng)絡(luò)設(shè)備防護(hù)(G3)本項(xiàng)要求包括:a) 應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別;b) 應(yīng)

33、對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制;c) 網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一;d) 主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別;e) 身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn), 口令應(yīng)有復(fù)雜度要求并定期更換;f) 應(yīng)具有登錄失敗處理功能, 可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等措施;g) 當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時, 應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽;h) 應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。5.3 系統(tǒng)安全5.3.1 系統(tǒng)定級(G3)本項(xiàng)要求包括:a) 應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級;b) 應(yīng)以書面的形式說明確定信息系統(tǒng)為某個安全保護(hù)等級的方

34、法和理由 ;c) 應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進(jìn)行論證和審定;d) 應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)。5.3.2 安全方案設(shè)計(jì)(G3)本項(xiàng)要求包括:a) 應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級選擇基本安全措施, 并依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施;b) 應(yīng)指定和授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃 , 制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃;c) 應(yīng)根據(jù)信息系統(tǒng)的等級劃分情況, 統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案 , 并形成配套文件;d) 應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框

35、架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定, 并且經(jīng)過批準(zhǔn)后, 才能正式實(shí)施 ;e) 應(yīng)根據(jù)等級測評、安全評估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件。5.3.3 產(chǎn)品采購和使用(G3)本項(xiàng)要求包括:a) 應(yīng)確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定;b) 應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求;c) 應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購;d) 應(yīng)預(yù)先對產(chǎn)品進(jìn)行選型測試, 確定產(chǎn)品的候選范圍, 并定期審定和更新候選產(chǎn)品名單。5.3.4 自行軟件開發(fā)(G3)本項(xiàng)要求包括:a) 應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開, 開發(fā)人員和測試人員分離 , 測試數(shù)據(jù)和測試結(jié)果受到控制;人員行為準(zhǔn)則;c) 應(yīng)制定代碼編寫安全規(guī)范, 要求開發(fā)人員參照規(guī)范編寫代碼d) 應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南, 并由