信息系統(tǒng)安全等級保護制度研究及試點項目技術總結報告v1

第頁信息系統(tǒng)安全等級保護制度研究及試點技術總結報告

項目概述信息安全等級保護制度研究與試點—省級電力公司信息系統(tǒng)安全等級保護制度研究與試點項目是XXXX、XXXX共同承擔的XXXX縱向科學技術項目。研究電網企業(yè)信息系統(tǒng)安全等級保護相關標準、指南體系，并且通過試點工作進行驗證、完善，為在XXXX貫徹、落實國家信息系統(tǒng)安全等級保護制度、開展等級保護工作創(chuàng)造基礎。針對電網企業(yè)信息系統(tǒng)的業(yè)務、技術、管理特性，研究業(yè)務應用系統(tǒng)需要實現的安全功能，提出應用系統(tǒng)通用安全技術要求及相應的測評方法與手段，完成XXXX總部典型應用系統(tǒng)的安全性評測。結合密碼技術、集中安全監(jiān)控與管理技術在公司系統(tǒng)中的推廣應用，研究XXXX密碼卡通用技術要求與檢測標準、信息安全綜合管理與監(jiān)控平臺技術標準，結合具體項目，完成密碼卡產品的檢測工作。項目目標建立信息系統(tǒng)安全等級保護的管理規(guī)范和技術標準，推進信息系統(tǒng)規(guī)范化建設，合理投入、分級防護，保障信息系統(tǒng)安全，促進電力信息化建設和發(fā)展指導設計、開發(fā)安全的應用系統(tǒng)，完善應用系統(tǒng)建設標準體系，規(guī)范信息系統(tǒng)的開發(fā)、驗收與測試，從源頭提供業(yè)務系統(tǒng)的安全防護水平。指導XXXX信息系統(tǒng)開展安全保護措施實施工作。研究內容信息系統(tǒng)安全等級保護制度研究與試點以《計算機信息系統(tǒng)安全防護等級劃分準則GB17859-1999》等相關國家標準為基準，遵循行業(yè)、XXXX相關制度要求，研究電網企業(yè)信息系統(tǒng)安全等級保護相關標準、指南體系，并且通過試點工作進行驗證、完善，為貫徹、落實國家信息系統(tǒng)安全等級保護制度、開展等級保護工作創(chuàng)造基礎。應用系統(tǒng)通用安全要求與評測參考國家、國際信息安全評測標準，針對XXXX信息系統(tǒng)的業(yè)務、技術、管理特性，研究公司應用系統(tǒng)通用安全技術要求及相應的評測方法與手段，完成公司總部財務信息系統(tǒng)、電子公文系統(tǒng)和營銷系統(tǒng)的安全及性能測評。安全產品技術規(guī)范研究制定XXXX信息系統(tǒng)應用的密碼卡技術功能要求，定義統(tǒng)一的應用程序接口API，規(guī)范密碼設備的使用，規(guī)范密碼應用軟件的開發(fā)。研究電網信息系統(tǒng)密碼卡的檢測規(guī)范，包括密碼卡檢測基本方法、流程和檢測內容。研究公司信息安全綜合管理與監(jiān)控平臺的技術要求與功能規(guī)范。技術路線廣泛調研調研了電信、金融、政府等重要信息系統(tǒng)的信息安全等級保護的工作思路、應用實施現狀。了解了XXXX及各網省公司信息安全體系的建設現狀、對實施信息安全等級保護制度的需求，調研了國內主流信息安全服務商在信息安全等級保護制度方面的解決方案、最新產品等情況。深入研究跟蹤、參與國家等級保護相關標準、指南的研究、討論起草工作。充分領會國家實行等級保護制度的意義和實質，結合電網企業(yè)安全等級保護工作的實際情況，廣泛探討相關的技術標準、指南文檔體系。主要包括《XXXX信息系統(tǒng)安全保護等級定級指南》、《XXXX信息系統(tǒng)安全保護等級定級報告》試點檢驗對于XXXX安全等級保護制度相關的標準、指南等，首先在XXXX總部、福建公司、安徽公司和陜西公司進行試點，及時對試點過程中發(fā)現的問題進行修訂。完善提高根據試點實施的經驗，以及收集、整理的對送審稿的意見，并結合公安部和其他行業(yè)安全等級保護的最新情況，修改、完善XXXX信息系統(tǒng)等級保護相關規(guī)范、標準、指南，形成具備作為公司標準條件的報批稿。等級保護制度研究定級指南定級原則XXXX信息系統(tǒng)安全等級保護定級工作依據是當影響程度和信息安全性這兩個基本安全屬性遭到破壞時，對電網公司履行其業(yè)務職能、機構財產、人員造成的影響程度來確定，并同時考慮以下原則：重點保護、兼顧一般的原則；安全保護等級最大化原則；按類歸并、相對獨立的原則。對信息系統(tǒng)進行了分類由于XXXX的信息系統(tǒng)涉及業(yè)務范圍廣，應用面寬，為了體現重要業(yè)務應用重點保護，有效控制信息安全建設成本，優(yōu)化信息安全資源配置的等級保護工作原則，應對信息系統(tǒng)進行合理劃分。從管理、業(yè)務、物理位置和運行環(huán)境等方面綜合分析，對信息系統(tǒng)進行劃分。從管理機構角度劃分。不同管理機構（總部、網省、地市公司）管理控制下的信息系統(tǒng)應分開作為不同的定級對象。從業(yè)務類型角度劃分。根據不同業(yè)務應用的“相對獨立”性，劃分出信息系統(tǒng)的不同部分作為不同的定級對象。信息系統(tǒng)內的“相對獨立”部分，通常具有相同的業(yè)務處理模式、處理類似的業(yè)務信息等特點，安全需求相近，可以保證遵循相同的安全策略。從相同的物理位置或相似的運行環(huán)境劃分。可根據信息系統(tǒng)所處的物理位置或所處的運行環(huán)境，劃分出信息系統(tǒng)的不同部分作為不同的定級對象。信息系統(tǒng)內具有相同物理位置或相似運行環(huán)境的部分意味著系統(tǒng)所面臨的威脅相似，有利于采取統(tǒng)一的安全保護。根據上述定級對象基本特征和信息系統(tǒng)劃分方法，結合XXXX“SG186”工程的定義，將XXXX信息系統(tǒng)劃分為一體化企業(yè)級信息集成平臺和財務管理、營銷管理、安全生產管理、協同辦公、人力資源管理、物資管理、項目管理、綜合管理、企業(yè)經營管理系統(tǒng)（ERP）等業(yè)務系統(tǒng)。提出定級要素信息系統(tǒng)的重要性由以下要素決定：信息系統(tǒng)的影響深度，即信息系統(tǒng)遭到破壞后對企業(yè)社會價值的影響程度；信息系統(tǒng)的影響廣度，即信息系統(tǒng)遭到破壞后影響范圍的大?。恍畔⒌陌踩裕C密性、完整性、可用性）。形成賦值標準信息系統(tǒng)的影響深度決定影響深度等級的因素信息系統(tǒng)類型（因素A）因素A賦值造成的外部影響（因素B）因素B賦值系統(tǒng)可容忍的中斷時間（因素C）因素C賦值電網非控制業(yè)務系統(tǒng)或管理信息系統(tǒng)1無1天級1電網實時控制業(yè)務系統(tǒng)2企業(yè)聲譽受到影響2小時級2經濟建設、社會穩(wěn)定受到影響3分鐘級3國家安全利益受到影響4秒級4信息系統(tǒng)的影響廣度決定影響廣度等級的因素信息系統(tǒng)服務范圍（因素A）因素A賦值信息系統(tǒng)服務對象（因素B）因素B賦值信息系統(tǒng)因無法提供服務或無法提供有效服務會對縣級、地市級范圍內造成損害，或對本單位造成損害。1信息系統(tǒng)服務對象涵蓋內部單個專業(yè)員工1信息系統(tǒng)因無法提供服務或無法提供有效服務會對網省（直轄市）級范圍內造成損害。2信息系統(tǒng)服務對象涵蓋內部多專業(yè)員工2信息系統(tǒng)因無法提供服務或無法提供有效服務會對XXXX范圍內造成損害。3信息系統(tǒng)服務對象為社會群體3信息的安全性機密性要求賦值機密性定級舉例不屬于國家秘密和商業(yè)秘密信息系統(tǒng)數據，其機密性被破壞，對公司自身利益造成一定損害1其它不屬于商業(yè)秘密的信息屬于商業(yè)秘密二級的信息系統(tǒng)數據，其機密性被破壞，對公司自身利益造成嚴重損害2尚未公布的會計決算及財務預算信息，尚未公布的電力銷售情況，經營活動分析等信息屬于商業(yè)秘密一級或涉及人事、組織、紀檢等工作的事項的信息系統(tǒng)數據，其機密性被破壞，對公司自身利益造成非常嚴重損害3公司資產重組及資本運作的有關信息，公司電網技術改造計劃，人事、組織、紀檢等工作有關信息信息系統(tǒng)數據，其機密性被破壞，對公司自身利益造成非常嚴重損害信息系統(tǒng)的數據機密性被破壞，對社會公共利益、經濟建設造成損害4完整性要求賦值完整性定級舉例信息系統(tǒng)的數據完整性被破壞，對公司自身利益造成一定損害1未經授權的修改或破壞僅對公司某一部門造成一定影響信息系統(tǒng)的數據完整性被破壞，對公司自身利益造成嚴重損害2未經授權的修改或破壞對公司某一部門的關鍵義務造成影響，但容易彌補信息系統(tǒng)的數據完整性被破壞，對公共利益、經濟建設造成損害3未經授權的修改或破壞對公眾利益造成影響信息系統(tǒng)的數據完整性被破壞，對國家安全利益造成損害4未經授權的修改或破壞可能導致嚴重的業(yè)務中斷，對國家、社會造成重大的影響可用性要求賦值可用性定級舉例信息系統(tǒng)的數據可用性被破壞，對公司自身利益造成一定損害1協同辦公、人力資源、物資管理、項目管理、綜合管理等信息信息系統(tǒng)的數據可用性被破壞，對公司自身利益造成嚴重損害2營銷管理、財務資金管理等信息信息系統(tǒng)的數據可用性被破壞，對公共利益、經濟建設造成損害3電力生產控制信息信息系統(tǒng)的數據可用性被破壞，對國家安全利益造成損害4確定定級方法信息系統(tǒng)安全等級的確定首先要對信息系統(tǒng)的安全保護等級要素進行賦值，然后分別得出系統(tǒng)的影響等級和信息的安全性等級，最后綜合確定出信息系統(tǒng)的安全保護等級。形成安全等級保護指導等級表類別定級對象系統(tǒng)級別總部網省地市電力二次系統(tǒng)能量管理系統(tǒng)（具有SCADA、AGC、AVC等控制功能）443變電站自動化系統(tǒng)(含開關站、換流站、集控站)220kV及以上變電站為3級，以下為2級；集控站為3級；火電機組控制系統(tǒng)DCS（含輔機控制系統(tǒng)）單機容量300MW以上為3級，以下為2級水電廠監(jiān)控系統(tǒng)總裝機1000MW以上為3級，以下為2級電能量計量系統(tǒng)332廣域相量測量系統(tǒng)（WAMS）33無電網動態(tài)預警系統(tǒng)33無調度交易計劃系統(tǒng)33無水調自動化系統(tǒng)222調度管理系統(tǒng)（OMS）332雷電監(jiān)測系統(tǒng)222電力調度數據網絡（SGDnet）332通信設備網管系統(tǒng)332通信資源管理系統(tǒng)332綜合數據通信網絡(SGTnet)222管理信息系統(tǒng)內部門戶（網站）系統(tǒng)222對外門戶（網站）系統(tǒng)222財務（資金）管理系統(tǒng)332營銷管理系統(tǒng)222電力負荷管理系統(tǒng)無33電力市場交易系統(tǒng)33無生產管理信息系統(tǒng)222辦公自動化（OA）系統(tǒng)322人力資源管理系統(tǒng)222物資管理系統(tǒng)222項目管理系統(tǒng)222ERP系統(tǒng)222郵件系統(tǒng)222公司廣域網（SGInet）222技術要求參考、依據標準等級保護技術要求研究中參考、依據了以下國家標準：GB17859－1999：《計算機信息系統(tǒng)安全保護等級劃分準則》

GB/T20269-2006信息安全技術

信息系統(tǒng)安全管理要求GB/T20270-2006信息安全技術

網絡基礎安全技術要求GB/T20271-2006信息安全技術

信息系統(tǒng)通用安全技術要求GB/T20272-2006信息安全技術

操作系統(tǒng)安全技術要求GB/T20273-2006信息安全技術

數據庫管理系統(tǒng)安全技術要求GB/T20275-2006信息安全技術

入侵檢測系統(tǒng)技術要求和測試評價方法GB/T20278-2006信息安全技術

網絡脆弱性掃描產品技術要求GB/T20279-2006信息安全技術

網絡和終端設備隔離部件安全技術要求GB/T18018-2007信息安全技術路由器安全技術要求信息安全技術信息系統(tǒng)安全等級保護基本要求（報批稿）技術要求概述不同等級的安全保護能力不同等級的信息系統(tǒng)應具備的基本安全保護能力如下：第一級安全保護能力：應能夠防護系統(tǒng)免受來自個人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的關鍵資源損害，在系統(tǒng)遭到損害后，能夠恢復部分功能。第二級安全保護能力：應能夠防護系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的重要資源損害，能夠發(fā)現重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時間內恢復部分功能。第三級安全保護能力：應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自外部有組織的團體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災難、以及其他相當危害程度的威脅所造成的主要資源損害，能夠發(fā)現安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復絕大部分功能。第四級安全保護能力：應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴重的自然災難、以及其他相當危害程度的威脅所造成的資源損害，能夠發(fā)現安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠迅速恢復所有功能。第五級安全保護能力：（略）。基本技術要求和基本管理要求信息系統(tǒng)安全等級保護應依據信息系統(tǒng)的安全保護等級情況保證它們具有相應等級的基本安全保護能力，不同安全保護等級的信息系統(tǒng)要求具有不同的安全保護能力。基本安全要求是針對不同安全保護等級信息系統(tǒng)應該具有的基本安全保護能力提出的安全要求，根據實現方式的不同，基本安全要求分為基本技術要求和基本管理要求兩大類。技術類安全要求與信息系統(tǒng)提供的技術安全機制有關，主要通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實現；管理類安全要求與信息系統(tǒng)中各種角色參與的活動有關，主要通過控制各種角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現?；炯夹g要求從物理安全、網絡安全、主機安全、應用安全和數據安全幾個層面提出；基本管理要求從安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理幾個方面提出，基本技術要求和基本管理要求是確保信息系統(tǒng)安全不可分割的兩個部分。基本安全要求從各個層面或方面提出了系統(tǒng)的每個組件應該滿足的安全要求，信息系統(tǒng)具有的整體安全保護能力通過不同組件實現基本安全要求來保證。除了保證系統(tǒng)的每個組件滿足基本安全要求外，還要考慮組件之間的相互關系，來保證信息系統(tǒng)的整體安全保護能力。關于信息系統(tǒng)整體安全保護能力的說明見附錄A。對于涉及國家秘密的信息系統(tǒng)，應按照國家保密工作部門的相關規(guī)定和標準進行保護。對于涉及密碼的使用和管理，應按照國家密碼管理的相關規(guī)定和標準實施。基本技術要求的三種類型根據保護側重點的不同，技術類安全要求進一步細分為：保護數據在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權的修改的信息安全類要求（簡記為S）；保護系統(tǒng)連續(xù)正常的運行，免受對系統(tǒng)的未授權修改、破壞而導致系統(tǒng)不可用的服務保證類要求（簡記為A）；通用安全保護類要求（簡記為G）。技術要求統(tǒng)計等級保護技術要求包括物理安全、網絡安全、主機系統(tǒng)安全、應用安全、數據安全及備份恢復五個方面的評估內容。各方面在不同等級中的內容和數量統(tǒng)計如下：物理安全要求項要求點數量一級二級三級四級物理位置的選擇0122物理訪問控制1244防盜竊和防破壞2566防雷擊1233防火1233防水和防潮2455防靜電0123溫濕度控制1111電力供應1244電磁防護0133總計9213334網絡安全要求項要求點數量一級二級三級四級網絡結構安全3477網絡訪問控制3484網絡安全審計0246邊界完整性檢查0122網絡入侵防范0123惡意代碼防范0022網絡設備保護3689總計9183333主機安全要求項要求點數量一級二級三級四級主機系統(tǒng)的身份鑒別291113主機的安全標識0001主機系統(tǒng)的訪問控制681412主機系統(tǒng)的可信路徑0002主機系統(tǒng)的安全審計081214主機系統(tǒng)的剩余信息保護0044入侵防范1244惡意代碼防范1233主機系統(tǒng)的資源控制0355總計10325358應用安全要求項要求點數量一級二級三級四級應用的身份鑒別2344應用的安全標記0001應用的訪問控制3576應用的可信路徑0002應用的安全審計0356應用的剩余信息保護0022應用的通信完整性1111應用的通信保密性0223抗抵賴0022軟件容錯1223應用的資源控制0377總計7193237評估指南及試點系統(tǒng)評估參考、依據標準等級保護評估指南研究中參考、依據了以下國家標準：GB/T20008-2005信息安全技術操作系統(tǒng)安全評估準則GB/T20009-2005信息安全技術數據庫管理系統(tǒng)安全評估準則GB/T20010-2005信息安全技術包過濾防火墻評估準則GB/T20011-2005信息安全技術路由器安全評估準則GB/T20275-2006信息安全技術

入侵檢測系統(tǒng)技術要求和測試評價方法GB/T20277-2006信息安全技術

網絡和終端設備隔離部件測試評價方法GB/T20280-2006信息安全技術

網絡脆弱性掃描產品測試評價方法GB/T20281-2006信息安全技術

防火墻技術要求和測試評價方法GB/T18018-2007信息安全技術路由器安全技術要求信息系統(tǒng)安全等級保護測評準則（送審稿）信息系統(tǒng)安全等級保護實施指南（送審稿）評估方法安全等級保護評估的目的安全等級保護評估是根據安全等級保護的管理規(guī)定和技術標準要求，針對已經實施了安全等級保護的信息系統(tǒng)進行的符合性評估活動，以確保信息系統(tǒng)的安全保護措施符合相應等級的基本安全要求。評估的手段信息系統(tǒng)安全等級保護評估的手段包括訪談、查看（檢查）、測試。訪談是指評估人員通過與信息系統(tǒng)有關人員（個人/群體）進行交流、討論等活動，獲取證據以證明信息系統(tǒng)安全等級保護措施是否有效的一種方法。檢查是指評估人員通過觀察、查看等活動，獲取證據以證明信息系統(tǒng)安全等級保護措施是否有效的一種方法。檢查的對象主要是被評估信息系統(tǒng)的物理環(huán)境、相關文檔、代碼等。測試是指評估人員使用預定的方法或工具，獲取證據以證明信息系統(tǒng)安全等級保護措施是否有效的一種方法。測試包括，人工審計、人工操作測試、工具測試、滲透測試。評估的深度、廣度評估強度是在評估過程中，實施評估的工作強度，體現為評估工作的實際投入程度，評估強度包括評估的廣度和深度。信息安全等級保護要求不同安全等級的信息系統(tǒng)應具有不同的安全保護能力，滿足相應安全等級的保護要求。評估不同安全等級的信息系統(tǒng)是否達具有相應安全等級的安全保護能力，是否滿足相應安全等級的保護要求，需要實施與其安全等級相適應的評估內容。安全等級高的系統(tǒng)，評估的深度和廣度都會更高。評估的廣度越大，評估實施包含的評估項就越多；評估的深度越深，就越需要在細節(jié)上展開。測評的廣度和深度落實到訪談、檢查和測試等三種基本測評方式上，其含義有所不同，體現出測評實施過程中訪談、檢查和測試的投入程度不同。可以通過測評廣度和深度來描述訪談、檢查和測試三種測評方式的測評強度。訪談的深度體現在訪談過程的嚴格和詳細程度，可以分為三種：簡要的、充分的、較全面的和全面的。簡要訪談只包含通用和高級的問題；充分訪談包含通用和高級的問題以及一些較為詳細的問題；較全面訪談包含通用和高級的問題以及一些有難度和探索性的問題；全面訪談包含通用和高級的問題以及較多有難度和探索性的問題。訪談的廣度體現在訪談人員的構成和數量上。訪談覆蓋不同類型的人員和同一類人的數量多少，體現出訪談的廣度不同。檢查的深度體現在檢查過程的嚴格和詳細程度，可以分為三種：簡要的、充分的和全面的。簡要檢查主要是對功能級上的文檔、機制和活動，使用簡要的評審、觀察或檢查以及檢查列表和其他相似手段的簡短測評；充分檢查有詳細的分析、觀察和研究，除了功能級上的文檔、機制和活動外，還適當需要一些總體/概要設計信息；較全面檢查有詳細、徹底分析、觀察和研究，除了功能級上的文檔、機制和活動外，還需要總體/概要和一些詳細設計以及實現上的相關信息；全面檢查有詳細、徹底分析、觀察和研究，除了功能級上的文檔、機制和活動外，還需要總體/概要和詳細設計以及實現上的相關信息。檢查的廣度體現在檢查對象的種類（文檔、機制等）和數量上。檢查覆蓋不同類型的對象和同一類對象的數量多少，體現出對象的廣度不同。測試的深度體現在執(zhí)行的測試類型上：功能/性能測試和滲透測試。功能/性能測試只涉及機制的功能規(guī)范、高級設計和操作規(guī)程；滲透測試涉及機制的所有可用文檔，并試圖智取進入信息系統(tǒng)。測試的廣度體現在被測試的機制種類和數量上。測試覆蓋不同類型的機制以及同一類機制的數量多少，體現出對象的廣度不同。等級保護評估流程等級保護評估包括：準備階段、評估實施階段、模擬環(huán)境評估階段（如果需要）和結果分析階段。下圖為等級保護評估的流程圖：系統(tǒng)系統(tǒng)調研準備階段評估實施階段系統(tǒng)定級分析選擇評估項、制定評估方案模擬環(huán)境評估階段（如果需要）模擬環(huán)境下的應用系統(tǒng)安全評估結果分析結果分析階段物理環(huán)境評估系統(tǒng)邊界安全評估系統(tǒng)通信安全評估內部計算環(huán)境評估了解被評估系統(tǒng)的基本情況，收集系統(tǒng)設計、開發(fā)、建設、運行等相關文檔分析被評估系統(tǒng)的定級細節(jié)，了解各項定級要素的具體賦值根據對系統(tǒng)定級的分析，選擇需要實施的評估項，制定評估實施方案如果需要，搭建模擬的系統(tǒng)環(huán)境，對一些不適合在生產環(huán)境在進行的評估內容放在模擬環(huán)境中實施根據評估結果分析、判斷被評估系統(tǒng)是否符合相應安全等級的技術安全要求對被評估系統(tǒng)的物理環(huán)境方面的安全保護情況進行評估對被評估系統(tǒng)的邊界上的安全保護情況進行評估對被評估系統(tǒng)的通信方面的安全保護情況進行評估對被評估系統(tǒng)的內部計算環(huán)境方面的安全保護情況進行評估評估內容等級保護評估在技術層面包括物理安全、網絡安全、主機系統(tǒng)安全、應用安全、數據安全及備份恢復五個方面的評估內容。各方面在不同等級中的評估內容和數量統(tǒng)計如下：物理安全評估項評估點數量一級二級三級四級物理位置的選擇0122物理訪問控制1244防盜竊和防破壞2566防雷擊1233防火1233防水和防潮2455防靜電0123溫濕度控制1111電力供應1244電磁防護0133總計9213334網絡安全評估項評估點數量一級二級三級四級網絡結構安全3477網絡訪問控制3484網絡安全審計0246邊界完整性檢查0122網絡入侵防范0123惡意代碼防范0022網絡設備保護3689總計9183333主機安全評估項評估點數量一級二級三級四級主機系統(tǒng)的身份鑒別291113主機的安全標識0001主機系統(tǒng)的訪問控制681412主機系統(tǒng)的可信路徑0002主機系統(tǒng)的安全審計081214主機系統(tǒng)的剩余信息保護0044入侵防范1244惡意代碼防范1233主機系統(tǒng)的資源控制0355總計10325358應用安全評估項評估點數量一級二級三級四級應用的身份鑒別2344應用的安全標記0001應用的訪問控制3576應用的可信路徑0002應用的安全審計0356應用的剩余信息保護0022應用的通信完整性1111應用的通信保密性0223抗抵賴0022軟件容錯1223應用的資源控制0377總計7193237數據安全及備份恢復評估項評估點數量一級二級三級四級數據完整性1123數據保密性0123備份和恢復1145總計23811評估結果總結依據對二級系統(tǒng)安全等級保護要求和評估指南，XXXX信息安全實驗室對福建省電力公司數據中心在等級保護建設前后分別進行了等級保護評估。二次評估的結束結果總結如下表：第一次評估結果類別技術要求符合性物理安全物理位置的選擇a）機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內。符合物理訪問控制a)

機房出入口應安排專人值守，控制、鑒別和記錄進入的人員；符合b)

需進入機房的來訪人員應經過申請和審批流程，并限制和監(jiān)控其活動范圍。部分符合防盜竊和防破壞a)

應將主要設備放置在機房內；符合b)

應將設備或主要部件進行固定，并設置明顯的不易除去的標記；符合c)

應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中；符合d)

應對介質分類標識，存儲在介質庫或檔案室中；符合e)

主機房應安裝必要的防盜報警設施。符合防雷擊a)

機房建筑應設置避雷裝置；符合b)

機房應設置交流電源地線。符合防火a）機房應設置滅火設備和火災自動報警系統(tǒng)。符合防水和防潮a)

水管安裝，不得穿過機房屋頂和活動地板下；不符合b)

應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；符合c)

應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透。符合防靜電a）關鍵設備應采用必要的接地防靜電措施。符合溫濕度控制a）機房應設置溫、濕度自動調節(jié)設施，使機房溫、濕度的變化在設備運行所允許的范圍之內。符合電力供應a)

應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備；符合b)

應提供短期的備用電力供應，至少滿足關鍵設備在斷電情況下的正常運行要求。符合電磁防護a）電源線和通信線纜應隔離鋪設，避免互相干擾。符合網絡安全結構安全a)

應保證關鍵網絡設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要；符合b)

應保證接入網絡和核心網絡的帶寬滿足業(yè)務高峰期需要；符合c)

應繪制與當前運行情況相符的網絡拓撲結構圖；符合d)

應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段。符合訪問控制a)

應在網絡邊界部署訪問控制設備，啟用訪問控制功能；符合b)

應能根據會話狀態(tài)信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為網段級。符合c)

應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；不符合d)

應限制具有撥號訪問權限的用戶數量。不適用安全審計a)

應對網絡系統(tǒng)中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；符合b)

審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。符合邊界完整性檢查a）應能夠對內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為進行檢查。不符合入侵防范a）應在網絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等。符合網絡設備防護a)

應對登錄網絡設備的用戶進行身份鑒別；符合b)

應對網絡設備的管理員登錄地址進行限制；部分符合c)

網絡設備用戶的標識應唯一；符合d)

身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；符合e)

應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施；符合f)

當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽。符合主機安全身份鑒別a)

應對登錄操作系統(tǒng)和數據庫系統(tǒng)的用戶進行身份標識和鑒別；部分符合b)

操作系統(tǒng)和數據庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換；部分符合c)

應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施；部分符合d)

當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽；部分符合e)

應為操作系統(tǒng)和數據庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。符合訪問控制a)

應啟用訪問控制功能，依據安全策略控制用戶對資源的訪問；符合b)

應實現操作系統(tǒng)和數據庫系統(tǒng)特權用戶的權限分離；部分符合c)

應限制默認帳戶的訪問權限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令；部分符合d)

應及時刪除多余的、過期的帳戶，避免共享帳戶的存在。部分符合安全審計a)

審計范圍應覆蓋到服務器上的每個操作系統(tǒng)用戶和數據庫用戶；部分符合b)

審計內容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要的安全相關事件；部分符合c)

審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等；部分符合d)

應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。部分符合入侵防范a）操作系統(tǒng)應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新。部分符合惡意代碼防范a)

應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；部分符合b)

應支持防惡意代碼軟件的統(tǒng)一管理。符合資源控制a)

應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄；不符合b)

應根據安全策略設置登錄終端的操作超時鎖定；不符合c)

應限制單個用戶對系統(tǒng)資源的最大或最小使用限度。不符合應用安全身份鑒別a)

應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；符合b)

應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統(tǒng)中不存在重復用戶身份標識，身份鑒別信息不易被冒用；部分符合c)

應提供登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施；不符合d)

應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據安全策略配置相關參數。部分符合訪問控制a)

應提供訪問控制功能，依據安全策略控制用戶對文件、數據庫表等客體的訪問；部分符合b)

訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作；符合c)

應由授權主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權限；符合d)

應授予不同帳戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系。符合安全審計a)

應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全事件進行審計；不符合b)

應保證無法刪除、修改或覆蓋審計記錄；不符合c)

審計記錄的內容至少應包括事件日期、時間、發(fā)起者信息、類型、描述和結果等。不符合通信完整性a）應采用校驗碼技術保證通信過程中數據的完整性。不符合通信保密性a)

在通信雙方建立連接之前，應用系統(tǒng)應利用密碼技術進行會話初始化驗證；部分符合b)

應對通信過程中的敏感信息字段進行加密。符合軟件容錯a)

應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統(tǒng)設定要求；符合b)

在故障發(fā)生時，應用系統(tǒng)應能夠繼續(xù)提供一部分功能，確保能夠實施必要的措施。符合資源控制a)

當應用系統(tǒng)的通信雙方中的一方在一段時間內未作任何響應，另一方應能夠自動結束會話；符合b)

應能夠對應用系統(tǒng)的最大并發(fā)會話連接數進行限制；符合c)

應能夠對單個帳戶的多重并發(fā)會話進行限制；符合數據安全及備份恢復數據完整性a）應能夠檢測到鑒別信息和重要業(yè)務數據在傳輸過程中完整性受到破壞。不符合數據保密性a）應采用加密或其他保護措施實現鑒別信息的存儲保密性。部分符合備份和恢復a)

應能夠對重要信息進行備份和恢復；符合b)

應提供數據處理系統(tǒng)的硬件冗余，保證系統(tǒng)的可用性。部分符合第二次評估結果類別技術要求符合性物理安全物理位置的選擇a）機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內。符合物理訪問控制a)

機房出入口應安排專人值守，控制、鑒別和記錄進入的人員；符合b)

需進入機房的來訪人員應經過申請和審批流程，并限制和監(jiān)控其活動范圍。符合防盜竊和防破壞a)

應將主要設備放置在機房內；符合b)

應將設備或主要部件進行固定，并設置明顯的不易除去的標記；符合c)

應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中；符合d)

應對介質分類標識，存儲在介質庫或檔案室中；符合e)

主機房應安裝必要的防盜報警設施。符合防雷擊a)

機房建筑應設置避雷裝置；符合b)

機房應設置交流電源地線。符合防火a）機房應設置滅火設備和火災自動報警系統(tǒng)。符合防水和防潮a)

水管安裝，不得穿過機房屋頂和活動地板下；不符合b)

應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；符合c)

應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透。符合防靜電a）關鍵設備應采用必要的接地防靜電措施。符合溫濕度控制a）機房應設置溫、濕度自動調節(jié)設施，使機房溫、濕度的變化在設備運行所允許的范圍之內。符合電力供應a)

應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備；符合b)

應提供短期的備用電力供應，至少滿足關鍵設備在斷電情況下的正常運行要求。符合電磁防護a）電源線和通信線纜應隔離鋪設，避免互相干擾。符合網絡安全結構安全a)

應保證關鍵網絡設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要；符合b)

應保證接入網絡和核心網絡的帶寬滿足業(yè)務高峰期需要；符合c)

應繪制與當前運行情況相符的網絡拓撲結構圖；符合d)

應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段。符合訪問控制a)

應在網絡邊界部署訪問控制設備，啟用訪問控制功能；符合b)

應能根據會話狀態(tài)信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為網段級。部分符合c)

應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；部分符合d)

應限制具有撥號訪問權限的用戶數量。不適應安全審計a)

應對網絡系統(tǒng)中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；符合b)

審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。符合邊界完整性檢查a）應能夠對內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為進行檢查。不符合入侵防范a）應在網絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等。符合網絡設備防護a)

應對登錄網絡設備的用戶進行身份鑒別；符合b)

應對網絡設備的管理員登錄地址進行限制；部分符合c)

網絡設備用戶的標識應唯一；符合d)

身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；符合e)

應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施；部分符合f)

當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽。部分符合主機安全身份鑒別a)

應對登錄操作系統(tǒng)和數據庫系統(tǒng)的用戶進行身份標識和鑒別；符合b)

操作系統(tǒng)和數據庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換；部分符合c)

應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施；部分符合d)

當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽；部分符合e)

應為操作系統(tǒng)和數據庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。符合訪問控制a)

應啟用訪問控制功能，依據安全策略控制用戶對資源的訪問；部分符合b)

應實現操作系統(tǒng)和數據庫系統(tǒng)特權用戶的權限分離；符合c)

應限制默認帳戶的訪問權限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令；符合d)

應及時刪除多余的、過期的帳戶，避免共享帳戶的存在。符合安全審計a)

審計范圍應覆蓋到服務器上的每個操作系統(tǒng)用戶和數據庫用戶；部分符合b)

審計內容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要的安全相關事件；部分符合c)

審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等；部分符合d)

應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。部分符合入侵防范a）操作系統(tǒng)應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新。部分符合惡意代碼防范a)

應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；符合b)

應支持防惡意代碼軟件的統(tǒng)一管理。符合資源控制a)

應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄；不符合b)

應根據安全策略設置登錄終端的操作超時鎖定；不符合c)

應限制單個用戶對系統(tǒng)資源的最大或最小使用限度。不符合應用安全身份鑒別a)

應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；符合b)

應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統(tǒng)中不存在重復用戶身份標識，身份鑒別信息不易被冒用；符合c)

應提供登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施；符合d)

應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據安全策略配置相關參數。部分符合訪問控制a)

應提供訪問控制功能，依據安全策略控制用戶對文件、數據庫表等客體的訪問；不符合b)

訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作；符合c)

應由授權主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權限；符合d)

應授予不同帳戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系。部分符合安全審計a)

應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全事件進行審計；部分符合b)

應保證無法刪除、修改或覆蓋審計記錄；部分符合c)

審計記錄的內容至少應包括事件日期、時間、發(fā)起者信息、類型、描述和結果等。符合通信完整性a）應采用校驗碼技術保證通信過程中數據的完整性。符合通信保密性a)

在通信雙方建立連接之前，應用系統(tǒng)應利用密碼技術進行會話初始化驗證；符合b)

應對通信過程中的敏感信息字段進行加密。符合軟件容錯a)

應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統(tǒng)設定要求；符合b)

在故障發(fā)生時，應用系統(tǒng)應能夠繼續(xù)提供一部分功能，確保能夠實施必要的措施。符合資源控制a)

當應用系統(tǒng)的通信雙方中的一方在一段時間內未作任何響應，另一方應能夠自動結束會話；符合b)

應能夠對應用系統(tǒng)的最大并發(fā)會話連接數進行限制；符合c)

應能夠對單個帳戶的多重并發(fā)會話進行限制；不符合數據安全及備份恢復數據完整性a）應能夠檢測到鑒別信息和重要業(yè)務數據在傳輸過程中完整性受到破壞。符合數據保密性a）應采用加密或其他保護措施實現鑒別信息的存儲保密性。符合備份和恢復a)

應能夠對重要信息進行備份和恢復；符合b)

應提供數據處理系統(tǒng)的硬件冗余，保證系統(tǒng)的可用性。部分符合實施指南參考、依據文件實施指南研究中參考、引用了以下國家標準、文件和企業(yè)標準：《信息安全等級保護管理辦法》公通字[2007]43號《電力行業(yè)信息安全等級保護實施辦法（征求意見稿）》《電力行業(yè)信息系統(tǒng)安全等級保護定級工作指導意見》《信息安全技術信息系統(tǒng)安全等級保護實施指南（報批稿）》《XXXX信息系統(tǒng)安全保護等級定級指南》《XXXX信息系統(tǒng)安全等級保護技術要求》《XXXX信息系統(tǒng)安全等級保護管理要求》《XXXX信息系統(tǒng)安全等級保護評估指南》《XXXX信息化“SG186”工程安全防護總體方案》實施指南概述實施的基本原則等級保護的核心是對信息系統(tǒng)分等級、按標準進行建設、管理。等級保護在實施過程中應遵循以下基本原則：1)自主保護原則由各主管部門和運行使用單位按照國家、公司相關法規(guī)和標準，自主確定信息系統(tǒng)的安全等級，自行組織實施安全保護。2)三同步原則信息系統(tǒng)在新建、改建、擴建時應當保證安全等級保護同步規(guī)劃、同步建設、同步投入運行。3)重點保護原則根據XXXX信息系統(tǒng)的重要程度、業(yè)務特點，通過劃分不同安全等級的信息系統(tǒng)，實現不同強度的安全保護，集中資源優(yōu)先保護涉及核心業(yè)務或關鍵信息資產的信息系統(tǒng)。4)適當調整原則要跟蹤信息系統(tǒng)的變化情況，調整安全保護措施。因為信息系統(tǒng)的應用類型、范圍等條件的變化及其他原因，安全等級需要變更的，應當根據等級保護的管理規(guī)范和技術標準的要求，重新確定信息系統(tǒng)的安全等級，根據信息系統(tǒng)安全等級的調整情況，重新實施安全保護。角色和職責等級保護工作中的主要角色包括信息安全主管部門、信息系統(tǒng)運行使用單位、信息系統(tǒng)開發(fā)建設單位、信息系統(tǒng)評估/評測單位、技術支持單位或專家組等。等級保護實施過程中各類角色的職責如下：1)信息化管理部門各單位信息化主管部門應當依照本辦法及相關標準規(guī)范，督促、檢查和指導本單位、下屬單位的信息系統(tǒng)運行使用單位的信息安全等級保護工作。對下屬單位確定的信息系統(tǒng)安全等級進行審批。2)信息系統(tǒng)運行使用單位負責依照信息安全等級保護的管理規(guī)范和技術標準，確定其信息系統(tǒng)的安全保護等級，有主管部門的，應當報其主管部門審核批準；根據已經確定的安全保護等級，到公安機關辦理備案手續(xù)；按照國家信息安全等級保護管理規(guī)范和技術標準，進行信息系統(tǒng)安全保護的規(guī)劃設計；使用符合國家有關規(guī)定，滿足信息系統(tǒng)安全保護等級需求的信息技術產品和信息安全產品，開展信息系統(tǒng)安全建設或者改建工作；制定、落實各項安全管理制度，定期對信息系統(tǒng)的安全狀況、安全保護制度及措施的落實情況進行自查，選擇符合國家相關規(guī)定的等級測評機構，定期進行等級測評；制定不同等級信息安全事件的響應、處置預案，對信息系統(tǒng)的信息安全事件分等級進行應急處置。3）信息系統(tǒng)開發(fā)建設單位信息系統(tǒng)開發(fā)建設單位的主要責任是根據已經確定的安全等級，按照等級保護的管理規(guī)范和技術標準，進行信息系統(tǒng)的規(guī)劃設計、實施建設，落實安全技術措施。4)安全評估/評測單位安全評估/評測單位的主要責任是根據信息系統(tǒng)運行使用單位的委托，協助信息系統(tǒng)運行使用單位，對未實施等級保護建設的系統(tǒng)進行安全評估，發(fā)現存在的安全威脅、安全弱點。按照等級保護的管理規(guī)范和技術標準，對已經完成等級保護建設的信息系統(tǒng)進行等級化評估。5)技術支持單位和專家技術支持單位和專家的主要責任是根據信息系統(tǒng)運行使用單位的委托，按照等級保護的管理規(guī)范和技術標準，協助信息系統(tǒng)運行、使用單位完成等級保護的相關工作，可能包括確定其信息系統(tǒng)的安全等級、進行安全需求分析、進行信息系統(tǒng)的規(guī)劃設計、實施建設等。等級保護實施基本流程對信息系統(tǒng)實施等級保護的過程劃分為七個階段，即系統(tǒng)定級階段、安全評估階段、安全設計階段、安全實施建設階段、安全等級評估階段、安全運行維護階段、系統(tǒng)終止階段。等級保護實施過程貫穿信息系統(tǒng)的整個生命周期。系統(tǒng)定級系統(tǒng)定級安全設計安全實施建設施安全運行維護系統(tǒng)終止安全等級評估施不符合安全評估重大變更局部調整1)系統(tǒng)定級階段系統(tǒng)定級階段通過對信息系統(tǒng)調查和分析，進行信息系統(tǒng)劃分，確定包括的相對獨立的信息系統(tǒng)的個數，選擇合適的信息系統(tǒng)安全等級定級方法，科學、準確地確定每個信息系統(tǒng)的安全等級。2）安全評估階段系統(tǒng)評估階段通過使用信息安全風險評估的方式對已建信息系統(tǒng)的安全現狀、面臨的威脅、存在的脆弱性、已有的安全保護措施進行全面、科學的評估。為安全需求分析、安全設計提供依據。3)安全設計階段安全規(guī)劃設計階段通過安全需求分析判斷信息系統(tǒng)的安全保護現狀與XXXX等級保護基本要求之間的差距，確定安全需求，然后根據信息系統(tǒng)的劃分情況、信息系統(tǒng)定級情況、信息系統(tǒng)承載業(yè)務情況和安全需求等，設計合理的、滿足等級保護要求的總體安全方案，并制定出安全實施規(guī)劃等，以指導后續(xù)的信息系統(tǒng)安全建設工程實施。通常情況下，安全設計階段包括安全需求分析、安全設計等幾個主要活動。4)安全實施階段安全實施階段通過安全方案詳細設計、安全產品的采購、安全控制的開發(fā)、安全控制集成，具體落實到信息系統(tǒng)中去，其最終的成果是提交滿足用戶安全需求的信息系統(tǒng)以及配套的安全管理體系。通常情況下，安全實施階段包括安全保護實現方案設計、安全保護實施建設方案設計、安全建設等幾個主要活動。5)安全等級評估階段安全等級評估階段是在信息系統(tǒng)實施了安全等級保護建設后，通過評估的方式檢驗信息系統(tǒng)是否達到了相應等級所必需的安全防護能力。如果不具備，則需要進一步的整改。6）安全運行維護階段安全運行維護包括安全運行維護機構、機制的建立，環(huán)境、資產、設備、介質的管理，網絡、系統(tǒng)的管理，密碼、密鑰的管理，運行、變更的管理，安全狀態(tài)監(jiān)控和安全事件處置，安全審計和安全檢查等內容。在安全運行與維護階段，信息系統(tǒng)因需求變化等原因導致局部調整，而系統(tǒng)的安全保護等級并未改變，應從安全運行與維護階段進入安全設計與實施階段，重新設計、調整和實施安全措施，確保滿足等級保護的要求；但信息系統(tǒng)發(fā)生重大變更導致系統(tǒng)安全保護等級變化時，應從安全運行與維護階段進入信息系統(tǒng)定級階段，重新開始一輪信息安全等級保護的實施過程。7）系統(tǒng)終止階段信息系統(tǒng)終止階段是等級保護實施過程中的最后環(huán)節(jié)。當信息系統(tǒng)被轉移、終止或廢棄時，正確處理系統(tǒng)內的敏感信息對于確保機構信息資產的安全是至關重要的。在信息系統(tǒng)生命周期中，有些系統(tǒng)并不是真正意義上的廢棄，而是改進技術或轉變業(yè)務到新的信息系統(tǒng)，對于這些信息系統(tǒng)在終止處理過程中應確保信息轉移、設備遷移和介質銷毀等方面的安全。本標準在信息系統(tǒng)終止階段關注信息轉移、暫存和清除，設備遷移或廢棄，存儲介質的清除或銷毀等活動。應用安全與評測研究部分參考、依據標準應用安全與評測研究中依據、參考了以下國家標準：GB/T18336-2001信息技術安全技術信息技術安全性評估指南GB/T17544-1998信息技術軟件包質量要求和測試評測方法測評流程應用軟件安全性測評的完整工作流程分為系統(tǒng)調研、測試規(guī)劃、測試實施、測評報告、安全整改和驗證測評六個階段。在具體實施過程中，根據被測系統(tǒng)測評的特定目的或一次測評的結果，有可能省略其中某個階段。完整的流程圖如下：測評工作啟動階段測評工作啟動階段1．測評調研階段2．測試規(guī)劃階段3．測試實施階段4．測評報告階段5．安全整改階段6．整改驗證階段成立工作組，形成《工作計劃》形成《調研報告》形成《測試方案》形成《測試記錄》形成《測評報告》、《整改要求》形成《整改方案》，并進行評審形成《驗證測評報告》圖4-1應用軟件安全性測評流程圖準備和系統(tǒng)調研此階段的主要工作是前期協調和資料收集，包括：明確參與測評各方的工作職責和關系，對測評工作目標達成共識；通過全面的系統(tǒng)調研，掌握待測系統(tǒng)在安全性上的相關需求及實現程度；確定測評的總體工作框架。調研結束后，形成工作計劃和調研報告，指導測試開展。測試規(guī)劃針對前期的調研結果，規(guī)劃測試的細節(jié)項目和操作方法，形成指導測試實施的測試大綱和測試方案。測試實施測評方和系統(tǒng)廠商共同搭建、確認測試環(huán)境，實施現場測試工作，收集、記錄、確認測試數據，形成記錄文件并簽字。測評報告整理、分析測試數據，形成測評報告，經過審核、批準后提出測評委托方，并根據要求提出適當的整改建議。安全整改如果有必要，應由系統(tǒng)廠商針對系統(tǒng)測評結論中發(fā)現的安全缺陷，提出相應的整改方案。經過測評委托方和測評實施方的評審后，實施安全整改。驗證測試或二次測評在系統(tǒng)完成安全整改之后，再次對系統(tǒng)相關問題的完善情況進行驗證測試。注：如果系統(tǒng)的基礎架構需要進行較大改動，或者整改會影響到已經通過測試的部分指標，可按照完整的測評流程進行二次測評。測評內容應用軟件安全性測評的內容主要是按照國家和XXXX相關安全標準，并結合應用業(yè)務的具體安全需求制定的，通常包含以下測試項目：安全審計應用系統(tǒng)的安全審計包括識別、記錄、存儲和分析那些與安全相關活動的信息。檢查審計記錄結果可用來判斷發(fā)生的安全相關活動以及對活動負責的用戶。具體測評項目如下：安全審計自動應答安全審計數據產生安全審計分析安全審計查閱安全審計事件選擇安全審計事件存儲通信通信安全既要確保發(fā)起者不能否認發(fā)送過信息，又能確保接收者不能否認收到過信息。具體測評項目如下：原發(fā)抗抵賴接收抗抵賴密碼支持應用系統(tǒng)可以利用密碼功能來滿足一些高級安全目的，應用系統(tǒng)同時需要解決密鑰管理和密鑰使用的問題。具體測評項目如下：密鑰管理密鑰運算用戶數據保護應用系統(tǒng)需要保護內部輸入、輸出和存儲期間的用戶數據，以及和用戶直接相關的安全屬性。具體測評項目如下：訪問控制功能數據鑒別應用系統(tǒng)內部傳送殘余信息保護存儲數據的完整性TOE間用戶數據傳送的保密性保護TOE間用戶數據傳送的完整性保護標識和鑒別應用系統(tǒng)需要通過標識和鑒別確保用戶與正確的安全屬性相關聯（如身份、組、角色、安全或完整性等級）。具體測評項目如下：鑒別失敗用戶屬性定義秘密的規(guī)范用戶鑒別用戶標識用戶_主體綁定安全管理應用系統(tǒng)需要管理安全屬性、安全數據和功能、可說明不同的管理角色及其相互作用。具體測評項目如下：TSF功能的管理安全屬性的管理TSF數據的管理安全管理角色安全框架保護應用系統(tǒng)需要提供安全框架機制的完整性保護和管理，也需要保護安全框架數據的完整性。具體測評項目如下：TOE內TSF數據的傳送重放檢測時間戳應用系統(tǒng)訪問應用系統(tǒng)需要具有控制建立用戶會話的功能。具體測評項目如下：可選屬性范圍限定多重并發(fā)會話限定會話鎖定TOE會話建立攻擊測試利用攻擊技術和自動化的測試工具，發(fā)現系統(tǒng)的安全漏洞，并檢驗安全機制的強度。具體測評項目如下：機密信息竊取越權操作SQL注入權限繼承混亂檢測溢出測試運行環(huán)境安全評估特定情況下，對應用系統(tǒng)的安全測評還應包括對其基礎運行環(huán)境狀況的綜合評估。主要包括以下評估內容：網絡結構評估主機安全評估通用應用平臺安全評估安全措施評估測試方法應用軟件安全性測試過程中，一般單獨使用或組合使用以下方式來執(zhí)行測試用例，獲取測試數據：表4.1軟件安全性測試方法序號方法名稱方法描述1操作驗證在系統(tǒng)的界面和工具中，執(zhí)行、驗證和確認系統(tǒng)實現的安全功能。2人工查看人工查看系統(tǒng)中與安全相關的配置工具和配置信息。3工具查看使用特定的測試工具對后臺數據庫、配置文件內容、加密數據等相關安全內容進行確認或驗證。4代碼檢查人工查看系統(tǒng)源代碼，驗證是否具備相應的安全功能和安全機制，以及實現是否完善。5攻擊測試利用攻擊工具或通過人工操作的方式攻擊系統(tǒng)，驗證相關安全機制是否可靠。安全缺陷分布情況經統(tǒng)計，在被測的22個應用系統(tǒng)中，共發(fā)現了35個典型的高風險安全缺陷和82個典型的中風險安全缺陷。詳細情況見下表：序號系統(tǒng)名稱高風險缺陷中風險缺陷低風險缺陷1遠光財務系統(tǒng)9252電子公文傳輸系統(tǒng)9693供電企業(yè)MIS5964客戶服務管理信息系統(tǒng)31065電力營銷管理信息系統(tǒng)2576電力客戶服務系統(tǒng)3477營銷數據中心系統(tǒng)3878電力營銷管理系統(tǒng)1599電力營銷管理信息系統(tǒng)18610電力營銷系統(tǒng)36611管理營銷信息系統(tǒng)4661295598客戶服務系統(tǒng)25613營銷管理信息系統(tǒng)47614營銷技術支持系統(tǒng)2761595598客戶服務系統(tǒng)35716電力營銷技術支持系統(tǒng)17817電力營銷技術支持系統(tǒng)1251895598客戶服務系統(tǒng)V3.025519SAPR/3Enterprise02220用電現場服務管理系統(tǒng)38521PowerStar用電管理主站系統(tǒng)26422湖南電力負荷管理系統(tǒng)196總計55141134財務系統(tǒng)安全缺陷詳述數據安全性通過測試發(fā)現，系統(tǒng)中所有用戶的口令（包括管理員和審批員的口令）在網絡傳輸過程中都沒有經過有效的加密保護。測試證明能夠從網絡上截取并破解用戶口令。通過測試發(fā)現，系統(tǒng)中所有業(yè)務數據的存儲沒有進行加密保護，也沒有采取完整性檢測。測試證明能夠直接登錄后臺數據庫查看、刪除、修改業(yè)務數據。操作安全性通過測試發(fā)現，在用戶執(zhí)行的操作時，服務器端沒有進行權限驗證，也沒有驗證用戶執(zhí)行操作時是否在線，甚至也沒有驗證執(zhí)行操作的用戶是否存在。測試證明在不登錄系統(tǒng)的情況下，直接運行執(zhí)行某一操作的腳本，能夠重現用戶的操作。在審計記錄中也不能追蹤到執(zhí)行操作者的真實身份，因為入侵者可以隨意冒充其他用戶，或者使用一個根本不存在的用戶身份。通信安全性通過測試發(fā)現，系統(tǒng)中沒有提供會話管理的工具，系統(tǒng)也沒有實現會話管理的功能，從而造成服務器端無法有效維護客戶端用戶的狀態(tài)。通過測試發(fā)現，網絡中傳輸的所有業(yè)務數據都沒有經過加密，只是采用了通用的流壓縮和編碼技術，其保護強度不足。系統(tǒng)安全性通過測試發(fā)現，系統(tǒng)中雖然設有密碼策略的限制機制，但沒有提供給系統(tǒng)管理員對密碼策略的管理手段，只有靠開發(fā)商在實施過程中修改數據庫相關表項，不利于用戶對系統(tǒng)的使用和維護。通過測試發(fā)現，在數據庫中的用戶信息表內，存在“超級系統(tǒng)管理員”、“超級系統(tǒng)審批員”、“超級系統(tǒng)查詢人”，由于是廠家實施中使用的超級用戶，無法在系統(tǒng)中監(jiān)測到。考慮到這幾個用戶具有特殊權限，在開發(fā)商實施完成后必須確實清除掉，否則會給系統(tǒng)留下后門。通過測試發(fā)現，系統(tǒng)中設有對用戶登錄失敗進行鎖定的管理策略，但是沒有對系統(tǒng)管理員開放，而由開發(fā)商在數據庫中指定，用戶難以在系統(tǒng)投用后按情況需求來更改。另外，測試中還發(fā)現，在設定連續(xù)登錄失敗的時間間隔時存在有問題，初步考慮可能是由客戶端本地緩存文件引起的，最終導致功能實現與策略設定不符合。審計安全性通過測試發(fā)現，系統(tǒng)沒有提供給系統(tǒng)管理員專門的審計查詢工具、管理工具、分析工具，所有審計線索的記錄都存儲在數據庫的表中或服務器本地文件中，因此對FMIS系統(tǒng)的管理員來說是不可見的，更無法管理。電子公文傳輸系統(tǒng)安全缺陷詳述公文子系統(tǒng)操作權限驗證不安全：通過測試發(fā)現，普通用戶可以越權執(zhí)行管理操作，管理員也可以越權執(zhí)行業(yè)務操作。（危害性：高）用戶口令的傳輸不安全：公文系統(tǒng)的用戶遠程登錄時，用戶名和口令采用明文傳輸，未做任何保護，測試表明可以截獲該口令。（危害性：高）業(yè)務數據的傳輸不安全：所有業(yè)務數據在傳輸過程中都經過了對稱加密，但所有節(jié)點使用的對稱密鑰為同一個。（危害性：高）密鑰管理漏洞：所有節(jié)點加密卡使用的對稱密鑰相同，并且初始化后不能再更換，由于密鑰生存周期長極易泄漏，而且一旦一個節(jié)點密鑰泄漏，將導致整個系統(tǒng)的加密機制失效。（危害性：高）缺少登錄保護措施：通過測試發(fā)現，系統(tǒng)不具備用戶登錄失敗鎖定的機制。（危害性：中）缺少密碼保護措施：通過測試發(fā)現，系統(tǒng)沒有對用戶口令的復雜度、使用時間、歷史個數等進行默認限制或提供可管理的工具。（危害性：中）業(yè)務數據的存儲未做保護：所有業(yè)務數據沒有劃分安全保護的類別，全部明文存儲在Domino數據庫中。（危害性：中）系統(tǒng)數據的保護不足：程序文件、配置文件、可執(zhí)行代碼等都沒有進行完整性保護。（危害性：低）審計機制不完全：通過測試發(fā)現，系統(tǒng)審計功能中只對成功的業(yè)務操作進行了日志記錄，沒有對系統(tǒng)時間、失敗事件、審計事件進行記錄，也沒有提供審計管理的完整工具，對審計日志信息也沒有提供備份工具、完整性校驗等保護措施。（危害性：低）不能夠自定義安全配置：系統(tǒng)沒有提供給使用者相應的配置工具，以至用戶不能改變系統(tǒng)的默認安全狀態(tài)。（危害性：低）加密卡通用性不強：目前公文傳輸系統(tǒng)秘書機上全部使用了30所的加密卡，其余廠家的加密卡是否可用不確定。（危害性：低）公章子系統(tǒng)操作權限驗證不安全：通過測試發(fā)現，普通用戶可以越權執(zhí)行管理操作，管理員也可以越權執(zhí)行業(yè)務操作。（危害性：高）用戶口令的傳輸不安全：系統(tǒng)用戶在遠程登錄時，用戶名和口令采用明文傳輸，未做任何保護，測試表明可以截獲該口令。（危害性：高）數據庫用戶權限設置不合理：公章系統(tǒng)登錄數據庫使用的兩個用戶，全部設置為數據庫管理員角色，沒有進行嚴格的權限設置，存在很大安全隱患。（危害性：高）非對稱密鑰的產生不安全：服務端的公章系統(tǒng)和客戶端的閱讀器共同存儲了一對固定不變的公私鑰，用于加密對稱密鑰（此對稱密鑰用于加密驗證公章的數據），由于該密鑰是寫死的并且對所有系統(tǒng)都是一樣的，對程序的開發(fā)人員也沒有辦法保密，是破解整個系統(tǒng)安全機制的后門。（危害性：高）上級公章系統(tǒng)向下級發(fā)放公章時，下級系統(tǒng)的驗證不嚴格，如XXXX級公章系統(tǒng)發(fā)放給華北系統(tǒng)的公章，拿到東北系統(tǒng)中也能夠使用。（危害性：高）缺少登錄保護措施：通過測試發(fā)現，系統(tǒng)不具備用戶登錄失敗鎖定的機制，不能對用戶登錄的客戶端IP地址、登錄時間進行限制和管理。（危害性：中）缺少密碼保護措施：通過測試發(fā)現，系統(tǒng)沒有對用戶口令的復雜度、使用時間、歷史個數等進行默認限制或提供可管理的工具。（危害性：中）缺少用戶監(jiān)控機制：通過測試發(fā)現，系統(tǒng)系統(tǒng)管理員不能夠監(jiān)視用戶的在線狀態(tài)，也沒有相應的控制工具。（危害性：中）管理員不能更改用戶口令，一旦用戶遺忘口令只能夠刪除后再重新創(chuàng)建。（危害性：低）數據庫用戶名和口令不能更改：由于公章系統(tǒng)將訪問數據庫的用戶名和口令寫死在程序中，使得實際使用用戶無法更改，不利于對數據庫安全的維護。（危害性：低）次要數據的存儲未做保護：公章的附帶信息數據和用于打印驗證的單位標識都明文存儲在數據庫。（危害性：低）系統(tǒng)數據的保護不足：程序文件、配置文件、可執(zhí)行代碼等都沒有進行完整性保護。（危害性：低）不能夠自定義安全配置：系統(tǒng)沒有提供給使用者相應的配置工具，以至用戶不能改變系統(tǒng)的默認安全狀態(tài)。（危害性：低）營銷系統(tǒng)安全缺陷詳述安全缺陷列表經統(tǒng)計整合，本次測試發(fā)現的所有高風險、中風險和低風險安全缺陷列表如下：出現頻率高風險缺陷列表中風險缺陷列表低風險缺陷列表高安全審計機制缺失SQL注入漏洞低授權繞過漏洞未授權繞過漏洞數據庫認證信息傳輸缺陷安全審計機制缺陷系統(tǒng)認證信息傳輸缺陷時間源選擇缺陷外部傳輸數據保護缺陷鑒別失敗機制缺失殘余信息保護缺陷口令限制機制缺失安全角色限制機制缺陷重鑒別機制缺失緩沖區(qū)溢出漏洞內部傳輸數據保護缺陷安全策略撤銷功能缺失會話控制機制缺失抗抵賴機制缺失承擔角色機制缺失口令限制機制缺陷口令生成機制缺失低數據庫認證信息遠程獲取漏洞數據庫認證信息使用缺陷前置機認證缺陷SQL語句自動執(zhí)行缺陷密碼機制缺陷數據庫認證信息存儲缺陷系統(tǒng)認證信息存儲缺陷授權混亂漏洞查詢功能越權漏洞內存機密信息泄露漏洞訪問控制機制缺陷用戶口令泄露漏洞安全審計管理缺陷密碼機制缺陷外部傳輸數據保護缺陷高風險安全缺陷安全審計機制缺失缺陷描述該系統(tǒng)的安全審計機制嚴重缺失，導致管理員等授權用戶無法有效的對系統(tǒng)進行安全管理，一旦發(fā)生違規(guī)操作或攻擊事件將難以發(fā)現，也難以追查取證。缺陷產生原因該系統(tǒng)僅在后臺數據庫中對部分有限的用戶操作進行了記錄，但沒有提供給授權用戶任何獨立的審計模塊或工具，以便授權用戶能夠方便的讀取審計信息和管理審計策略，導致安全審計機制不可用。缺陷利用條件無缺陷利用方式攻擊者可以在系統(tǒng)中執(zhí)行非法操作，而不會被審計記錄。SQL注入漏洞缺陷描述該系統(tǒng)存在SQL注入漏洞，攻擊者可能利用此缺陷任意查詢數據庫，獲取客戶機密信息；更可能任意修改數據庫信息，達到拒絕服務或其他非法目的。缺陷產生原因該系統(tǒng)的服務器端對SQL語句中使用的特殊字符“；”“--”和and、or等未做過濾。缺陷利用條件需要可登錄服務器的主機網絡。明確的數據庫表結構，可從本地可執(zhí)行文件、dll以及網絡截獲的數據包中獲得。最低需要一個普通操作權限的用戶帳戶、口令。需要一定的攻擊技術。缺陷利用方式通過提交的特殊查詢條件，使得原單條SQL操作語句變?yōu)槎鄺lSQL操作，從而非法的執(zhí)行數據庫添加、刪除、聯合查詢等功能，甚至是drop數據庫表文件。低授權繞過漏洞缺陷描述該漏洞導致攻擊者可以通過構造數據包，繞過權限控制機制，進行非授權操作。缺陷產生原因應用服務器端沒有對客戶端的權限（操作請求）進行合法性驗證。缺陷利用條件需要可登錄服務器的主機網絡。至少需要一個普通權限的帳戶、口令。需要一定的攻擊技術。缺陷利用方式通過界面爆破工具或構造數據包的方式，繞過客戶端的控制機制，越權執(zhí)行非授權操作。數據庫認證信息傳輸缺陷缺陷描述該系統(tǒng)對數據庫帳戶、口令等機密信息的傳輸保護不足，導致攻擊者可以從網絡傳輸的數據中獲取該類機密信息，并利用它對數據庫進行非授權的操作。缺陷產生原因該系統(tǒng)在網絡中明文傳輸數據庫帳戶、口令信息。缺陷利用條件可截獲傳輸數據的網絡。需要一定的攻擊技術。缺陷利用方式攻擊者可利用此缺陷竊聽該系統(tǒng)數據庫的用戶名、口令信息，從而登錄后臺數據庫，執(zhí)行任意非法操作。數據庫認證信息遠程獲取漏洞缺陷描述該系統(tǒng)對數據庫帳戶、口令的存儲和訪問方式存在漏洞，導致攻擊者可以遠程獲取該類機密信息，并利用它對數據庫進行非授權的操作。缺陷產生原因采用的無任何控制措施的web頁面方式存放數據庫帳戶、口令，不需要認證就可下載該web頁面。缺陷利用條件可訪問服務器的網絡條件。需要一定的攻擊技術。缺陷利用方式遠程獲取數據庫帳戶、口令，并連接數據庫執(zhí)行任意非法操作。未授權繞過漏洞缺陷描述在客戶端未登錄的情況下，可通過特殊手段進入系統(tǒng)，實施任意操作。缺陷產生原因應用服務器端沒有對客戶端的權限（操作請求）進行合法性驗證。缺陷利用條件可訪問服務器的網絡條件。對業(yè)務系統(tǒng)數據庫結構有一定的了解。缺陷利用方式惡意的攻擊者可能利用此缺陷，自行設計運作流程，與后臺服務器聯系，執(zhí)行任意操作。數據庫認證信息使用缺陷缺陷描述該系統(tǒng)對數據庫口令等機密信息的使用方式不當，導致攻擊者可以獲取該類機密信息，并利用它對數據庫進行非授權的操作。缺陷產生原因該系統(tǒng)屬于C/S二層結構，客戶端程序需要獲取連接數據庫的帳號和口令，導致任意客戶端在不經認證的情況下都可獲取數據庫連接配置信息，并在內存中呈現明文的數據庫帳號和口令數據。缺陷利用條件需要可登錄服務器的主機網絡和客戶端程序。需要一定的攻擊技術。缺陷利用方式攻擊者可利用此缺陷從內存中獲取該系統(tǒng)數據庫的用戶名、口令信息，從而登錄后臺數據庫，執(zhí)行任意非法操作。SQL語句自動執(zhí)行缺陷缺陷描述該系統(tǒng)會自動執(zhí)行客戶端配置文件中的SQL語句，可能被攻擊者利用，執(zhí)行任意非法數據庫。缺陷產生原因該系統(tǒng)客戶端CTFiles目錄中存儲了包含明文SQL語句的配置文件，并且會根據一定規(guī)則自動執(zhí)行該文件中的指令（不進行合法性驗證）。缺陷利用條件需要一定的攻擊技術。缺陷利用方式攻擊者可以不經授權的更改或替換配置文件中的SQL指令，通過系統(tǒng)自動執(zhí)行非法的數據庫操作。安全產品技術規(guī)范研究部分密碼卡通用技術規(guī)范依據、參考標準密碼卡通用技術規(guī)范的研究參考、依據了以下國家、國際相關標準：《PCI密碼卡技術規(guī)范（試行）》國家密碼管理委員會辦公室2004年6月GB/T15277－1994《信息處理64bit分組密碼算法的工作方式》GB/T9813－2000《微型計算機通用規(guī)范》GB/T6988.1，6988.2，6988.3－1997《電氣技術用文件的編制》ISO/IEC7816-3－1997《SmartCardStandard:Part3:Electronicsignalsandtransmissionprotocols》標準概述密碼卡的功能要求在本規(guī)范中，密碼卡的功能包括兩類，分別是基本功能和擴展功能：基本功能，包括：a.密碼運算功能；b.三級密鑰結構（保護密鑰、公開密鑰與私有密鑰、對稱密鑰密碼算法的工作密鑰）的支持功能；c.物理隨機數生成和檢驗功能；d.卡內敏感數據信息的保護功能；e.密鑰管理功能等。擴展功能，是在基本功能的基礎上，根據應用需要進行合理的擴充和增添的功能，包括a.對密碼卡的訪問控制功能，如必須通過口令驗證才能使用密碼運算功能；b.除了必須配備的對稱和非對稱密碼算法、摘要算法之外的其他密碼運算功能等。1）密碼運算功能密碼卡必須包含對稱密鑰密碼算法、非對稱密鑰密碼算法和數據摘要算法，在適當的驅動條件下完成相應的密碼運算。根據實際需要，密碼卡可以配置其他密碼算法。2）密碼卡的密鑰結構密碼卡必須至少支持三級密鑰結構：保護密鑰PK、公開密鑰EK與私有密鑰DK、工作密鑰WK，以支持基于密碼卡的設備或應用系統(tǒng)實現端到端的數據保護、一次一密以及相應的密鑰管理等。3）物理隨機數生成和檢驗功能密碼卡內部必須配置物理噪聲源芯片，提供隨機數序列的生成。密碼卡必須對物理噪聲源產生的隨機數進行統(tǒng)計檢驗，以保證隨機數的質量。隨機數檢驗的質量標準參照國家密碼管理局的有關規(guī)定。4）密鑰管理功能密碼卡必須具有IC卡接口，IC卡的類型為智能卡。密碼卡與智能IC卡聯合進行密鑰管理。IC卡可以作為公開密鑰EK、私有密鑰DK、用戶簽名信息、證書信息或其他敏感數據信息的載體。密碼卡借助IC卡完成密鑰的導入和導出功能。導入導出密鑰的方案必須經過國家密碼管理局的批準。密碼卡與IC卡聯合完成身份認證功能。只有經過身份認證后，方可使用密碼卡提供的三級密鑰結構。5）工作密鑰存儲功能密碼卡必須根據系統(tǒng)需要提供一定數量的工作密鑰存儲區(qū)域，并提供有關工作密鑰的添加、銷毀和更改等功能。6）設備標志信息存儲功能密碼卡應具有唯一的設備標志信息，以區(qū)分不同廠家、不同型號、不同批次生產的密碼卡。密碼卡的硬件要求1）PCI接口要求符合PCI2.0規(guī)范；并隨著規(guī)范的不斷擴展盡量符合以后的擴展規(guī)范?？偩€寬度可采用32/64位數據總線；采用存儲器方式或I/O端口方式進行訪問?；趚86及其兼容平臺的密碼卡，總線排序方式采用LittleEndian模式；基于PowerPC及其兼容平臺的密碼卡，總線排序方式采用BigEndian模式。數據通信可采用查詢方式或中斷通信方式。采用DMA傳輸方式或其他方式。密碼卡可以工作于單一的“＋5V”電壓、單一“＋3.3V”電壓或兩種混合電壓環(huán)境。在上述任何一種情形下，密碼卡的功耗不得大于25W。2）USB接口要求符合USB2.0規(guī)范;并隨著規(guī)范的不斷擴展盡量符合以后的擴展規(guī)范。符合USB2.0規(guī)范的Hi-Speed要求，為25Mbps~400Mbps，最大480Mbps。采用USB2.0中定義的四種數據傳輸方式：控制傳輸、同步傳輸、中斷傳輸、批量傳輸中的任意一種。密碼卡可以采用USB的數據線供電，供電電壓為+5V，或者可以采用自供電方式。在采用USB數據線供電時功耗不得大于2.5W，對于自供電方式的密碼卡，功耗不得大于25W。3）環(huán)境要求密碼卡的工作環(huán)境必須符合GB/T9813－2000《微型計算機通用規(guī)范》中關于“氣候環(huán)境適應性”二級的規(guī)定要求。4）可靠性要求 密碼卡的可靠性指標采用平均無故障工作時間（MTBF）來衡量。密碼卡的平均無故障工作時間由組成密碼卡的各個部件的可靠性決定。密碼卡的軟件要求1）底層軟件底層軟件采用模塊化設計，以保證不同版本之間模塊的向后兼容性。運用密碼技術，在底層軟件中對關鍵代碼、密鑰和關鍵數據進行加密保護的軟件，稱為保護算法軟件。保護算法代碼必須安全存儲。由物理噪聲源產生的隨機序列應至少通過幾項基本的隨機性（如0和1的平衡性、連長特性等）檢驗，以確保其等概性和不可預測性。通過檢驗的隨機序列才可用作隨機密鑰。底層軟件應通過技術措施，防止用戶的非法調用，防止系統(tǒng)“死機”。為了保證使用同樣密碼算法的不同型號的密碼卡之間的加解密互通，必須定義數據的收發(fā)順序。2）驅動程序驅動程序應透明傳輸應用軟件和密碼卡緩存區(qū)之間的數據，不得截獲、解析應用軟件的數據結構。應提供安裝/卸載程序