安全保障體系.doc

安全保障體系1 容災(zāi)備份系統(tǒng)1.1 系統(tǒng)概述1.1.1 容災(zāi)概念容災(zāi)是一個(gè)范疇比較廣泛的概念，廣義上可以把所有與業(yè)務(wù)連續(xù)性相關(guān)的內(nèi)容都納入容災(zāi)。容災(zāi)是一個(gè)系統(tǒng)工程，它包括支持用戶業(yè)務(wù)的方方面面。而容災(zāi)對(duì)于IT環(huán)境而言，就是提供一個(gè)能防止用戶業(yè)務(wù)系統(tǒng)遭受各種災(zāi)難影響與破壞計(jì)算機(jī)系統(tǒng)和業(yè)務(wù)數(shù)據(jù)。容災(zāi)還表現(xiàn)為一種未雨綢繆的主動(dòng)性，而不是在災(zāi)難發(fā)生后的“亡羊補(bǔ)牢”。從狹義的角度，我們平常所談?wù)摰娜轂?zāi)是指，除了生產(chǎn)站點(diǎn)以外，用戶另外建立的冗余站點(diǎn)，當(dāng)災(zāi)難發(fā)生，生產(chǎn)站點(diǎn)受到破壞時(shí)，冗余站點(diǎn)可以接管用戶正常的業(yè)務(wù)，達(dá)到業(yè)務(wù)不間斷的目的。為了達(dá)到更高的可用性，許多用戶甚至建立多個(gè)冗余站點(diǎn)以保證業(yè)務(wù)系統(tǒng)的安全性。從技術(shù)上看，衡量容災(zāi)系統(tǒng)主要有兩個(gè)主要指標(biāo)：RPO（Recovery Point Object）和RTO（Recovery Time Object），其中RPO代表了當(dāng)災(zāi)難發(fā)生時(shí)允許丟失的數(shù)據(jù)量，而RTO則代表了系統(tǒng)恢復(fù)的時(shí)間。RPO與RTO越小，系統(tǒng)的可用性就越高，當(dāng)然用戶需要的投資也越大。1.1.2 容災(zāi)與備份的關(guān)系備份是指用戶為應(yīng)用系統(tǒng)產(chǎn)生的重要數(shù)據(jù)（或者原有的重要數(shù)據(jù)信息）制作一份或者多份拷貝，以增強(qiáng)數(shù)據(jù)的安全性。因此，備份與容災(zāi)所關(guān)注的對(duì)象有所不同，備份關(guān)心數(shù)據(jù)的安全，容災(zāi)關(guān)心業(yè)務(wù)應(yīng)用的安全，我們可以把備份稱作是“數(shù)據(jù)保護(hù)”，而容災(zāi)稱作“業(yè)務(wù)應(yīng)用保護(hù)”。備份最多表現(xiàn)為通過備份軟件使用磁帶機(jī)或者磁帶庫將數(shù)據(jù)進(jìn)行拷貝，也有用戶使用磁盤、光盤作為存儲(chǔ)介質(zhì)；容災(zāi)則表現(xiàn)為通過高可用方案將兩個(gè)站點(diǎn)連接起來。備份與容災(zāi)是存儲(chǔ)領(lǐng)域兩個(gè)極其重要的部分，二者有著緊密的聯(lián)系。首先，在備份與容災(zāi)中都有數(shù)據(jù)保護(hù)工作，備份大多采用磁帶方式，性能低，成本低，數(shù)據(jù)通常被壓縮后以獨(dú)有的數(shù)據(jù)格式進(jìn)行存儲(chǔ)；容災(zāi)采用磁盤作為存儲(chǔ)介質(zhì)作為數(shù)據(jù)載體的方式進(jìn)行數(shù)據(jù)保護(hù)，數(shù)據(jù)隨時(shí)在線，性能高，成本高。其次，備份是存儲(chǔ)領(lǐng)域的一個(gè)基礎(chǔ)，在一個(gè)完整的容災(zāi)方案中必然包括備份的部分；同時(shí)備份還是容災(zāi)方案的有效補(bǔ)充，因?yàn)槿轂?zāi)方案中的數(shù)據(jù)始終在線，因此存儲(chǔ)有完全被破壞的可能，而備份提供了額外的一條防線，在線數(shù)據(jù)丟失的情況下還可以從備份數(shù)據(jù)中恢復(fù)。 1.1.3 容災(zāi)的等級(jí) 大體上講，容災(zāi)可以分為3個(gè)級(jí)別：數(shù)據(jù)級(jí)別、應(yīng)用級(jí)別以及業(yè)務(wù)級(jí)別。 數(shù)據(jù)級(jí)別容災(zāi)的關(guān)注點(diǎn)在于數(shù)據(jù)，即災(zāi)難發(fā)生后可以確保用戶原有的數(shù)據(jù)不會(huì)丟失或者遭到破壞。數(shù)據(jù)級(jí)容災(zāi)較為基礎(chǔ)。其中，較低級(jí)別的數(shù)據(jù)容災(zāi)方案僅需利用磁帶庫和管理軟件就能實(shí)現(xiàn)數(shù)據(jù)異地備份，達(dá)到容災(zāi)的功效；而較高級(jí)的數(shù)據(jù)容災(zāi)方案則是依靠數(shù)據(jù)復(fù)制工具，例如卷復(fù)制軟件，或者存儲(chǔ)系統(tǒng)的硬件控制器，實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)程復(fù)制。數(shù)據(jù)級(jí)別容災(zāi)是保障數(shù)據(jù)可用的最后底線，當(dāng)數(shù)據(jù)丟失時(shí)能夠保證應(yīng)用系統(tǒng)可以重新得到所有數(shù)據(jù)。從這種意義上講，數(shù)據(jù)備份屬于該級(jí)別容災(zāi)，用戶把重要的數(shù)據(jù)存放在磁帶上，如果考慮到高級(jí)別的安全性還可以把磁帶運(yùn)送到遠(yuǎn)距離的地方保存，當(dāng)災(zāi)難發(fā)生后，從磁帶中獲取數(shù)據(jù)。該級(jí)別災(zāi)難恢復(fù)時(shí)間較長，仍然存在風(fēng)險(xiǎn)，盡管用戶原有數(shù)據(jù)沒有丟失，但是應(yīng)用會(huì)被中斷，用戶業(yè)務(wù)也被迫停止。因此虛擬磁帶庫的出現(xiàn)可以解決磁帶備份速度慢和磁帶保存困難的問題，是取代磁帶的最佳產(chǎn)品。應(yīng)用級(jí)容災(zāi)是在數(shù)據(jù)級(jí)容災(zāi)的基礎(chǔ)上，再把執(zhí)行應(yīng)用處理能力復(fù)制一份，也就是說，在備份站點(diǎn)同樣構(gòu)建一套應(yīng)用系統(tǒng)。應(yīng)用級(jí)容災(zāi)系統(tǒng)能提供不間斷的應(yīng)用服務(wù)，讓用戶應(yīng)用的服務(wù)請(qǐng)求能夠透明地繼續(xù)運(yùn)行，而感受不到災(zāi)難的發(fā)生，保證信息系統(tǒng)提供的服務(wù)完整、可靠、安全。數(shù)據(jù)級(jí)容災(zāi)和應(yīng)用級(jí)容災(zāi)都是在IT范疇之內(nèi)，然而對(duì)于正常業(yè)務(wù)而言，僅IT系統(tǒng)的保障還是不夠的。有些用戶需要構(gòu)建最高級(jí)別的業(yè)務(wù)級(jí)別容災(zāi)。業(yè)務(wù)級(jí)容災(zāi)的大部分內(nèi)容是非IT系統(tǒng)，比如電話、辦公地點(diǎn)等。當(dāng)一場大的災(zāi)難發(fā)生時(shí)，用戶原有的辦公場所都會(huì)受到破壞，用戶除了需要原有的數(shù)據(jù)、原有的應(yīng)用系統(tǒng)，更需要工作人員在一個(gè)備份的工作場所能夠正常地開展業(yè)務(wù)。1.2 建設(shè)必要性隨著XX工程數(shù)字化建設(shè)的不斷深入，較為嚴(yán)重的信息系統(tǒng)故障（主要是：服務(wù)器故障和網(wǎng)絡(luò)故障兩大類。）勢(shì)必會(huì)影響到系統(tǒng)全局的可用性和穩(wěn)定性，而XX工程由于其覆蓋面廣、受眾多，業(yè)務(wù)的高可用性與連續(xù)性就顯的尤為重要。建立一套行之有效的容災(zāi)備份系統(tǒng)十分必要。同時(shí)，在整個(gè)XX工程應(yīng)用網(wǎng)絡(luò)系統(tǒng)中，由于數(shù)據(jù)量大而復(fù)雜，數(shù)據(jù)出錯(cuò)或丟失是在所難免的，如果沒有事先對(duì)數(shù)據(jù)進(jìn)行備份，要想恢復(fù)數(shù)據(jù)不僅難度大而且很十分不可靠，有時(shí)甚至根本不可能進(jìn)行恢復(fù)。如果定期對(duì)重要數(shù)據(jù)進(jìn)行備份，那么在系統(tǒng)出現(xiàn)故障時(shí)，仍然能保證重要數(shù)據(jù)準(zhǔn)確無誤。另外，隨著XX工程的逐步發(fā)展，新業(yè)務(wù)需求的不斷擴(kuò)展，現(xiàn)有業(yè)務(wù)系統(tǒng)的相關(guān)數(shù)據(jù)信息的安全性和可靠性也需要在原有基礎(chǔ)上得到進(jìn)一步擴(kuò)充及改進(jìn)，以保證在災(zāi)難情況發(fā)生時(shí)，相關(guān)業(yè)務(wù)也能正常運(yùn)行。因此，在此方案中，我們將總體目標(biāo)定為實(shí)現(xiàn)對(duì)XXX現(xiàn)有業(yè)務(wù)系統(tǒng)中核心數(shù)據(jù)和核心應(yīng)用系統(tǒng)的容災(zāi)備份，并確保災(zāi)難情況下業(yè)務(wù)數(shù)據(jù)的高可恢復(fù)性和高可用性，從而保證相關(guān)的應(yīng)用系統(tǒng)不中斷，并且在災(zāi)難發(fā)生后能夠得到及時(shí)恢復(fù)。1.3 建設(shè)目標(biāo)本次容災(zāi)備份系統(tǒng)的建設(shè)目標(biāo)是：技術(shù)先進(jìn)、可擴(kuò)充、高可靠、高可用、可管理。l 技術(shù)先進(jìn)性：系統(tǒng)設(shè)計(jì)應(yīng)采用當(dāng)前先進(jìn)而成熟的技術(shù)，不僅可以滿足本期工程的需求，也應(yīng)把握未來的發(fā)展方向。l 可擴(kuò)充性：在系統(tǒng)設(shè)計(jì)時(shí)應(yīng)充分考慮可擴(kuò)充性，從而確保新功能、新業(yè)務(wù)的增加在原有的系統(tǒng)平臺(tái)上擴(kuò)展和實(shí)現(xiàn)。l 高可靠性：存儲(chǔ)平臺(tái)具有高可靠性，支持服務(wù)器平臺(tái)的高可用性集群技術(shù)；具備先進(jìn)的容災(zāi)的設(shè)計(jì)；充分保證系統(tǒng)的高擴(kuò)展能力和高容錯(cuò)能力，具有通道負(fù)載自動(dòng)均衡能力和存儲(chǔ)系統(tǒng)性能調(diào)節(jié)能力，提供極為充分的可靠性各項(xiàng)指標(biāo)設(shè)計(jì)。l 高可用性：在不停機(jī)情況下，實(shí)現(xiàn)不停機(jī)擴(kuò)容、維護(hù)、升級(jí)等服務(wù)，提高性能以滿足新的業(yè)務(wù)需求。具備724365連續(xù)工作的能力，系統(tǒng)的可用性應(yīng)大于 99.999 。在軟件支持下可以實(shí)現(xiàn)應(yīng)用級(jí)容災(zāi)。l 可管理性：要求配置實(shí)時(shí)性能監(jiān)測(cè)管理軟件?？蓪?duì)備份作業(yè)、磁盤空間、卷磁盤錯(cuò)誤、系統(tǒng)事件、系統(tǒng)中各進(jìn)程對(duì)系統(tǒng)資源占用等性能和操作數(shù)據(jù)等服務(wù)器性能進(jìn)行實(shí)時(shí)監(jiān)控和管理。l 保護(hù)投資：新的系統(tǒng)投入使用對(duì)前期的設(shè)備有可再次利用的設(shè)計(jì)思路，保證前期的投入和設(shè)備的持續(xù)性運(yùn)營。其次是新系統(tǒng)的整體設(shè)計(jì)要考慮經(jīng)濟(jì)有效，充分利用現(xiàn)有設(shè)備和即將時(shí)候的設(shè)備，使得投入與產(chǎn)出最大化。1.4 建設(shè)內(nèi)容整個(gè)系統(tǒng)的建設(shè)內(nèi)容分為三個(gè)部分，可以按照資金、技術(shù)、環(huán)境的具體情況分三個(gè)步驟來實(shí)現(xiàn)備份容災(zāi)系統(tǒng)的建設(shè)。2 認(rèn)證安全服務(wù)體系2.1 系統(tǒng)概述2.1.1 功能簡介認(rèn)證安全服務(wù)體系是指數(shù)字證書（即網(wǎng)絡(luò)中的個(gè)人虛擬身份證）的發(fā)放和管理。是面向應(yīng)用的CA系統(tǒng)，為應(yīng)用提供基礎(chǔ)的證書管理服務(wù)。面向應(yīng)用的CA系統(tǒng)的主要目的是為這些用戶在網(wǎng)絡(luò)上進(jìn)行業(yè)務(wù)活動(dòng)時(shí)，對(duì)應(yīng)用提供更安全的保障。系統(tǒng)有一個(gè)穩(wěn)定的核心，一個(gè)良好的結(jié)構(gòu)。提供多種接口，可以方便地?cái)U(kuò)展規(guī)模和功能。具有手工、批量、在線、離線等多種證書申請(qǐng)方式、支持IC卡、USB key、文件等多種證書保存介質(zhì)，支持人工、WEB、目錄服務(wù)器、郵件等多種證書發(fā)布方式、支持多種密鑰生成方式等。系統(tǒng)由CA服務(wù)器、目錄服務(wù)器、數(shù)據(jù)庫服務(wù)器、硬件密碼機(jī)、操作終端組成。CA服務(wù)器負(fù)責(zé)證書的申請(qǐng)、簽發(fā)、作廢和管理。數(shù)據(jù)庫服務(wù)器負(fù)責(zé)存放CA的數(shù)據(jù)、請(qǐng)求數(shù)據(jù)、證書和黑名單數(shù)據(jù)。操作終端提供證書申請(qǐng)的管理和日常操作，目錄服務(wù)器用于發(fā)布證書和黑名單。證書系統(tǒng)功能包括證書管理系統(tǒng)初始化、證書服務(wù)功能、證書管理功能、證書發(fā)布功能。2.1.2 應(yīng)用領(lǐng)域本系統(tǒng)所發(fā)放的數(shù)字證書用于各種應(yīng)用系統(tǒng)的身份認(rèn)證、操作的電子簽名、數(shù)據(jù)的加密。2.2 建設(shè)必要性認(rèn)證安全服務(wù)體系建設(shè)是總體建設(shè)的一項(xiàng)關(guān)鍵內(nèi)容，為全區(qū)人力資源社會(huì)保障各業(yè)務(wù)系統(tǒng)提供應(yīng)用安全支撐，包括身份認(rèn)證、數(shù)據(jù)加密解密、基于數(shù)字簽名驗(yàn)簽的防抵賴等基本證書應(yīng)用安全功能，以及電子簽章和時(shí)間戳等增強(qiáng)證書應(yīng)用安全功能。2.3 建設(shè)內(nèi)容人力資源社會(huì)保障認(rèn)證安全服務(wù)體系應(yīng)包含電子認(rèn)證系統(tǒng)基礎(chǔ)層、證書業(yè)務(wù)管理層、證書應(yīng)用支撐層、相關(guān)政策法規(guī)和標(biāo)準(zhǔn)規(guī)范，總體結(jié)構(gòu)如圖所示。 電子認(rèn)證系統(tǒng)基礎(chǔ)層包括密鑰管理系統(tǒng)、密碼服務(wù)系統(tǒng)、證書簽發(fā)管理系統(tǒng)、證書注冊(cè)管理系統(tǒng)和證書查驗(yàn)服務(wù)系統(tǒng)等。證書業(yè)務(wù)管理層包括證書生命周期管理、系統(tǒng)運(yùn)行管理、證書服務(wù)統(tǒng)一監(jiān)管平臺(tái)等。證書應(yīng)用支撐層包括基礎(chǔ)安全接口和高級(jí)應(yīng)用接口,為應(yīng)用系統(tǒng)提供身份認(rèn)證、數(shù)據(jù)加密解密、數(shù)字簽名驗(yàn)簽、電子簽章、網(wǎng)絡(luò)安全協(xié)議和時(shí)間戳等應(yīng)用安全支撐功能。3 網(wǎng)絡(luò)冗余鏈路建設(shè)3.1 系統(tǒng)概述網(wǎng)絡(luò)的冗余部署包含了三個(gè)環(huán)節(jié)，分別是：設(shè)備級(jí)冗余，鏈路級(jí)冗余和網(wǎng)關(guān)級(jí)冗余。（1）設(shè)備級(jí)的冗余技術(shù)分為電源冗余和管理板卡冗余，由于設(shè)備成本上的限制，這兩種技術(shù)都被應(yīng)用在中高端產(chǎn)品上。（2）鏈路級(jí)冗余往往存在多條二層和三層鏈路，使用鏈路級(jí)冗余技術(shù)可以實(shí)現(xiàn)多條鏈路之間的備份，流量分擔(dān)和環(huán)路避免。（3）前面談到的冗余技術(shù)保證了網(wǎng)絡(luò)級(jí)別的冗余，同樣對(duì)于使用網(wǎng)絡(luò)的終端用戶來講，也需要一種機(jī)制來保證其與網(wǎng)絡(luò)的可靠連接，這就是網(wǎng)關(guān)級(jí)冗余技術(shù)。3.2 建設(shè)必要性隨著Internet的發(fā)展，XX工程從簡單的信息承載平臺(tái)轉(zhuǎn)變成一個(gè)公共服務(wù)提供平臺(tái)。作為終端用戶，希望能時(shí)時(shí)刻刻保持與網(wǎng)絡(luò)的聯(lián)系，因此健壯，高效和可靠成為XX工程網(wǎng)絡(luò)發(fā)展的重要目標(biāo)，而要保證網(wǎng)絡(luò)的可靠性，就需要使用到冗余技術(shù)。高冗余網(wǎng)絡(luò)要給我們帶來的體驗(yàn)，就是在網(wǎng)絡(luò)設(shè)備、鏈路發(fā)生中斷或者變化的時(shí)候，用戶幾乎感覺不到。 為了達(dá)成這一目標(biāo)，需要在XX工程網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)上實(shí)施冗余，包括網(wǎng)絡(luò)設(shè)備，鏈路和廣域網(wǎng)出口，用戶側(cè)等等。3.3 建設(shè)內(nèi)容本次網(wǎng)絡(luò)的冗余建設(shè)主要是鏈路級(jí)冗余建設(shè)，形成自治區(qū)、盟市、旗縣區(qū)三級(jí)網(wǎng)絡(luò)雙鏈路保障。4 安全管理制度建設(shè)4.1 認(rèn)證系統(tǒng)安全管理制度4.1.1 身份鑒別a) 應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別;b) 應(yīng)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別;c) 應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能,保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí),身份鑒別信息不易被冒用;d) 應(yīng)提供登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施;e) 應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能,并根據(jù)安全策略配置相關(guān)參數(shù)。4.1.2 訪問控制a) 應(yīng)提供訪問控制功能,依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫表等客體的訪問;b) 訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作;c) 應(yīng)由授權(quán)主體配置訪問控制策略,并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限;d) 應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系。e) 應(yīng)具有對(duì)重要信息資源設(shè)置敏感標(biāo)記的功能;f) 應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作;4.1.3 安全審計(jì)a) 應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能,對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì);b) 應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程,無法刪除、修改或覆蓋審計(jì)記錄;c) 審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等;d) 應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能。4.1.4 剩余信息保護(hù)a) 應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除,無論這些信息是存放在硬盤上還是在內(nèi)存中;b) 應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除。4.1.5 通信完整性應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。4.1.6 通信保密性a) 在通信雙方建立連接之前,應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證;b) 應(yīng)對(duì)通信過程中的整個(gè)報(bào)文或會(huì)話過程進(jìn)行加密。4.1.7 抗抵賴a) 應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能;b) 應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。4.1.8 軟件容錯(cuò)a) 應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能,保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求;b) 應(yīng)提供自動(dòng)保護(hù)功能,當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài),保證系統(tǒng)能夠進(jìn)行恢復(fù)。4.1.9 資源控制a) 當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng),另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話;b) 應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制;c) 應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制;d) 應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制;e) 應(yīng)能夠?qū)σ粋€(gè)訪問帳戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額;f) 應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警;g) 應(yīng)提供服務(wù)優(yōu)先級(jí)設(shè)定功能,并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請(qǐng)求進(jìn)程的優(yōu)先級(jí),根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源。4.2 信息系統(tǒng)安全管理制度4.2.1 身份鑒別a) 應(yīng)對(duì)登錄各信息系統(tǒng)（特別是操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)）的用戶進(jìn)行身份標(biāo)識(shí)和鑒別;b) 各信息系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有復(fù)雜度要求并定期更換;c) 應(yīng)啟用登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施;d) 當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí),應(yīng)采取必要措施,防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽;e) 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名,確保用戶名具有唯一性。f) 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。4.2.2 訪問控制a) 應(yīng)啟用訪問控制功能,依據(jù)安全策略控制用戶對(duì)資源的訪問;b) 應(yīng)根據(jù)管理用戶的角色分配權(quán)限,實(shí)現(xiàn)管理用戶的權(quán)限分離,僅授予管理用戶所需的最小權(quán)限;c) 應(yīng)實(shí)現(xiàn)各信息系統(tǒng)（如，操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)）特權(quán)用戶的權(quán)限分離;d) 應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限,重命名系統(tǒng)默認(rèn)帳戶,修改這些帳戶的默認(rèn)口令;e) 應(yīng)及時(shí)刪除多余的、過期的帳戶,避免共享帳戶的存在。f) 應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記;g) 應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作;4.2.3 安全審計(jì)a) 審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶;b) 審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件;c) 審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等;d) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計(jì)報(bào)表;e) 應(yīng)保護(hù)審計(jì)進(jìn)程,避免受到未預(yù)期的中斷;f) 應(yīng)保護(hù)審計(jì)記錄,避免受到未預(yù)期的刪除、修改或覆蓋等。4.2.4 剩余信息保護(hù)a) 應(yīng)保證各系統(tǒng)（如，操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)）用戶的鑒別信息所在的存儲(chǔ)空間,被釋放或再分配給其他用戶前得到完全清除,無論這些信息是存放在硬盤上還是在內(nèi)存中;b) 應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間,被釋放或重新分配給其他用戶前得到完全清除。4.2.5 入侵防范a) 應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為,能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間,并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警;b) 應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測(cè),并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措施;c) 操作系統(tǒng)應(yīng)遵循最小安裝的原則,僅安裝需要的組件和應(yīng)用程序,并通過設(shè)置升級(jí)服務(wù)器等方持系統(tǒng)補(bǔ)丁及時(shí)得到更新。4.2.6 惡意代碼防范a) 應(yīng)安裝防惡意代碼軟件,并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫;b) 主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫;c) 應(yīng)支持防惡意代碼的統(tǒng)一管理。4.2.7 資源控制a) 應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄;b) 應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定;c) 應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視,包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況;d) 應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度;e) 應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。4.3 災(zāi)備系統(tǒng)安全管理制度 4.3.1 數(shù)據(jù)完整性a) 應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞,并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施;b) 應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過程中完整性受到破壞,并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。4.3.2 數(shù)據(jù)保密性a) 應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性;b) 應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)保密性。4.3.3 備份和恢復(fù)a) 應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能,完全數(shù)據(jù)備份至少每天一次,備份介質(zhì)場外存放;b) 應(yīng)提供異地?cái)?shù)據(jù)備份功能,利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場地;c) 應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障;d) 應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余,保證系統(tǒng)的高可用性。5 信息安全等級(jí)保護(hù)5.1 物理安全5.1.1 物理位置的選擇(G3)本項(xiàng)要求包括:a) 機(jī)房和辦公場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi);b) 機(jī)房場地應(yīng)避免設(shè)在建筑物的高層或地下室,以及用水設(shè)備的下層或隔壁。5.1.2 物理訪問控制(G3)本項(xiàng)要求包括:a) 機(jī)房出入口應(yīng)安排專人值守,控制、鑒別和記錄進(jìn)入的人員;b) 需進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請(qǐng)和審批流程,并限制和監(jiān)控其活動(dòng)范圍;c) 應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理,區(qū)域和區(qū)域之間設(shè)置物理隔離裝置,在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域;d) 重要區(qū)域應(yīng)配置電子門禁系統(tǒng),控制、鑒別和記錄進(jìn)入的人員。5.1.3 防盜竊和防破壞(G3)本項(xiàng)要求包括:a) 應(yīng)將主要設(shè)備放置在機(jī)房內(nèi);b) 應(yīng)將設(shè)備或主要部件進(jìn)行固定,并設(shè)置明顯的不易除去的標(biāo)記;c) 應(yīng)將通信線纜鋪設(shè)在隱蔽處,可鋪設(shè)在地下或管道中;d) 應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí),存儲(chǔ)在介質(zhì)庫或檔案室中;e) 應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng);f) 應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。5.1.4 防雷擊(G3)本項(xiàng)要求包括:a) 機(jī)房建筑應(yīng)設(shè)置避雷裝置;b) 應(yīng)設(shè)置防雷保安器,防止感應(yīng)雷;c) 機(jī)房應(yīng)設(shè)置交流電源地線。5.1.5 防火(G3)本項(xiàng)要求包括:a) 機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng),能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警,并自動(dòng)滅火;b) 機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料;c) 機(jī)房應(yīng)采取區(qū)域隔離防火措施,將重要設(shè)備與其他設(shè)備隔離開。5.1.6 防水和防潮(G3)本項(xiàng)要求包括:a) 水管安裝,不得穿過機(jī)房屋頂和活動(dòng)地板下;b) 應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透;c) 應(yīng)采取措施防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透;d) 應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件,對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警。5.1.7 防靜電(G3)本項(xiàng)要求包括:a) 主要設(shè)備應(yīng)采用必要的接地防靜電措施;b) 機(jī)房應(yīng)采用防靜電地板。5.1.8 溫濕度控制(G3)機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施,使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。5.1.9 電力供應(yīng)(A3)本項(xiàng)要求包括:a) 應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備;b) 應(yīng)提供短期的備用電力供應(yīng),至少滿足主要設(shè)備在斷電情況下的正常運(yùn)行要求;c) 應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電;d) 應(yīng)建立備用供電系統(tǒng)。5.1.10 電磁防護(hù)(S3)本項(xiàng)要求包括:a) 應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾;b) 電源線和通信線纜應(yīng)隔離鋪設(shè),避免互相干擾;c) 應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。5.2 網(wǎng)絡(luò)安全5.2.1 結(jié)構(gòu)安全(G3)本項(xiàng)要求包括:a) 應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間,滿足業(yè)務(wù)高峰期需要;b) 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要;c) 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑;d) 應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖;e) 應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的子網(wǎng)或網(wǎng)段,并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段;f) 應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng),重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段;g) 應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別,保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。5.2.2 訪問控制(G3)本項(xiàng)要求包括:a) 應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,啟用訪問控制功能;b) 應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,控制粒度為端口級(jí);c) 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾,實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制;d) 應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接;e) 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù);f) 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙;g) 應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則,決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問,控制粒度為單個(gè)用戶;h) 應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量。5.2.3 安全審計(jì)(G3)本項(xiàng)要求包括:a) 應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄;b) 審計(jì)記錄應(yīng)包括:事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息;c) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計(jì)報(bào)表;d) 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù),避免受到未預(yù)期的刪除、修改或覆蓋等。5.2.4 邊界完整性檢查(S3)本項(xiàng)要求包括:a) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置,并對(duì)其進(jìn)行有效阻斷;b) 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置,并對(duì)其進(jìn)行有效阻斷。5.2.5 入侵防范(G3)本項(xiàng)要求包括:a) 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為:端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等;b) 當(dāng)檢測(cè)到攻擊行為時(shí),記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間,在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。5.2.6 惡意代碼防范(G3)本項(xiàng)要求包括:a) 應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除;b) 應(yīng)維護(hù)惡意代碼庫的升級(jí)和檢測(cè)系統(tǒng)的更新。5.2.7 網(wǎng)絡(luò)設(shè)備防護(hù)(G3)本項(xiàng)要求包括:a) 應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別;b) 應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制;c) 網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一;d) 主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別;e) 身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有復(fù)雜度要求并定期更換;f) 應(yīng)具有登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施;g) 當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí),應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽;h) 應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。5.3 系統(tǒng)安全5.3.1 系統(tǒng)定級(jí)(G3)本項(xiàng)要求包括:a) 應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí);b) 應(yīng)以書面的形式說明確定信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由;c) 應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)信息系統(tǒng)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定;d) 應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)。5.3.2 安全方案設(shè)計(jì)(G3)本項(xiàng)要求包括:a) 應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施,并依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施;b) 應(yīng)指定和授權(quán)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃,制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃;c) 應(yīng)根據(jù)信息系統(tǒng)的等級(jí)劃分情況,統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案,并形成配套文件;d) 應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定,并且經(jīng)過批準(zhǔn)后,才能正式實(shí)施;e) 應(yīng)根據(jù)等級(jí)測(cè)評(píng)、安全評(píng)估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件。5.3.3 產(chǎn)品采購和使用(G3)本項(xiàng)要求包括:a) 應(yīng)確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定;b) 應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求;c) 應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購;d) 應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試,確定產(chǎn)品的候選范圍,并定期審定和更新候選產(chǎn)品名單。5.3.4 自行軟件開發(fā)(G3)本項(xiàng)要求包括:a) 應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開,開發(fā)人員和測(cè)試人員分離,測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制;b) 應(yīng)制定軟件開發(fā)管理制度,明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則;c) 應(yīng)制定代碼編寫安全規(guī)范,要求開發(fā)人員參照規(guī)范編寫代碼;d) 應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南,并由專人負(fù)責(zé)保管;e) 應(yīng)確保對(duì)程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。5.3.5 外包軟件開發(fā)(G3)本