信息安全等級保護四級防護技術要求

信息安全等級保護〔四級〕具體技術要求我國信息安全等級保護與涉密信息系統(tǒng)分級保護關系等級保護分級保護保護對象不同非涉密信息系統(tǒng)涉密信息系統(tǒng)治理體系不同公安機關國家保密工作部門標準體系不同級別劃分不同國家標準〔GB、GB/T〕第一級：自主保護級國家保密標準〔BMB，強制執(zhí)行〕其次級：指導保護級第三級：監(jiān)視保護級隱秘級第四級：強制保護級機密級第五級：專控保護級絕密級涉密信息系統(tǒng)分級保護與信息安全等級保護制度相連接家等級保護的第三、四、五級要求一、網(wǎng)絡安全網(wǎng)絡安全審計12、對于每一個大事，其審計記錄應包括：大事的日期和時間、用戶、大事類型、大事是否成功，及其他與審計相關的信息；34567、審計員應能夠定義審計跟蹤極限的閾值，當存儲空間接近極限時，能實行必要的措施〔如報警并導出，當存儲空間被耗盡時，終止可審計大事的發(fā)生；89邊界完整性檢查1、應能夠檢測內(nèi)部網(wǎng)絡中消滅的內(nèi)部用戶未通過準許私自聯(lián)到外部網(wǎng)絡的行為〔即“非法外聯(lián)”行為；23進展有效阻斷；4〔網(wǎng)絡設備標記，指定路由信息標記。網(wǎng)絡入侵防范1、在網(wǎng)絡邊界處應監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕效勞攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡蠕蟲攻擊等入侵大事的發(fā)生；2、當檢測到入侵大事時，應記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間〔E-mail〕及自動實行相應動作。惡意代碼防范123網(wǎng)絡設備防護1234567、網(wǎng)絡設備用戶的身份鑒別信息至少有一種應是不行偽造的，例如以公私鑰對、生物特征等作為身份鑒別信息；8自動退出；9用戶。二、主機系統(tǒng)安全身份鑒別1234度、簡單性和定期更等；5私鑰對、生物特征等作為身份鑒別信息；6、應具有登錄失敗處理功能，如完畢會話、限制非法登錄次數(shù)，當?shù)卿涍B接超時，自動退出；78自主訪問掌握12作；3/456最小權限，并在他們之間形成相互制約的關系；7強制訪問掌握12之間的操作；3/可信路徑1、在用戶進展初始登錄和/或鑒別時，系統(tǒng)應在它與用戶之間建立一條安全的信息傳輸通路。安全審計12、安全審計應記錄系統(tǒng)內(nèi)重要的安全相關大事，包括重要用戶行為、系統(tǒng)資源的特別使用和重要系統(tǒng)命令的使用；3、安全相關大事的記錄應包括日期和時間、類型、主體標識、客體標識、客體敏感標記、大事的結(jié)果等；45678910、 系統(tǒng)設備時鐘應與時鐘效勞器時鐘保持同步。系統(tǒng)保護12行為時，系統(tǒng)應能準時報警或者中斷執(zhí)行行為。剩余信息保護1給其他用戶前得到完全去除，無論這些信息是存放在硬盤上還是在內(nèi)存中；2、應確保系統(tǒng)內(nèi)的文件、名目和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重安排給其他用戶前得到完全去除。入侵防范1CPU2345、應檢測各種的入侵行為，記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴峻入侵大事時供給報警；67施。惡意代碼防范1〔包括移動設備均應安裝實時檢測和查殺惡意代碼的軟件產(chǎn)品；23資源掌握12345、應依據(jù)安全策略設置登錄終端的操作超時鎖定和鑒別失敗鎖定，并規(guī)定解鎖或終止方式；6789、應依據(jù)安全策略設定主體的效勞優(yōu)先級，依據(jù)優(yōu)先級安排系統(tǒng)資源，保證優(yōu)先級低的主體處理力量不會影響到優(yōu)先級高的主體的處理力量。三、應用安全身份鑒別1234、系統(tǒng)用戶的身份鑒別信息應具有不易被冒用的特點，例如口令長度、簡單性和定期的更等；5、系統(tǒng)用戶的身份鑒別信息至少有一種應是不行偽造的，例如以公私鑰對、生物特征等作為身份鑒別信息；6、應具有登錄失敗處理功能，如完畢會話、限制非法登錄次數(shù)，當?shù)卿涍B接超時自動退出；78訪問掌握12作；345系統(tǒng)用戶；6最小權限，并在它們之間形成相互制約的關系；7或者規(guī)律上分別；89訪問。安全審計12、安全審計應記錄應用系統(tǒng)重要的安全相關大事，包括重要用戶行為、系統(tǒng)資源的特別使用和重要系統(tǒng)功能的執(zhí)行等；3、安全相關大事的記錄應包括日期和時間、類型、主體標識、客體標識、客體敏感標記、大事的結(jié)果等；456789、審計員應能夠定義審計跟蹤極限的閾值，當存儲空間接近極限時，能實行必要的措施〔如報警并導出，當存儲空間被耗盡時，終止可審計大事的發(fā)生；10、 安全審計應依據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計。剩余信息保護1，無論這些信息是存放在硬盤上還是在內(nèi)存中；2、應確保系統(tǒng)內(nèi)的文件、名目和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重安排給其他用戶前得到完全去除。通信完整性1、通信雙方應商定密碼算法，計算通信數(shù)據(jù)報文的報文驗證碼，在進展通信時，雙方依據(jù)校驗碼推斷對方報文的有效性。通信保密性12345抗抵賴1、應具有在懇求的狀況下為數(shù)據(jù)原發(fā)者或接收者供給數(shù)據(jù)原發(fā)證據(jù)的功能；2、應具有在懇求的狀況下為數(shù)據(jù)原發(fā)者或接收者供給數(shù)據(jù)接收證據(jù)的功能。軟件容錯12、應對通過人機接口方式進展的操作供給“回退”功能，即允許依據(jù)操作的序列進展回退；345資源掌握1234方式；567、應依據(jù)安全屬性〔用戶身份、訪問地址、時間范圍等〕允許或拒絕用戶建立會話連接；89代碼安全12345四、數(shù)據(jù)安全數(shù)據(jù)完整性1、應能夠檢測到系統(tǒng)治理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時實行必要的恢復措施；2、應能夠檢測到系統(tǒng)治理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時實行必要的恢復措施；3施；4的攻擊，破壞數(shù)據(jù)的完整性。數(shù)據(jù)保密性1、網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應用系統(tǒng)的鑒別信息、敏感的系統(tǒng)治理數(shù)據(jù)和敏感的用戶數(shù)據(jù)應承受加密或其他有效措施實現(xiàn)傳輸保密性；2、網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應用系統(tǒng)的鑒別