杭州市權(quán)力陽光電子政務(wù)系統(tǒng)_第1頁
杭州市權(quán)力陽光電子政務(wù)系統(tǒng)_第2頁
杭州市權(quán)力陽光電子政務(wù)系統(tǒng)_第3頁
杭州市權(quán)力陽光電子政務(wù)系統(tǒng)_第4頁
杭州市權(quán)力陽光電子政務(wù)系統(tǒng)_第5頁
已閱讀5頁,還剩14頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、 杭州市權(quán)力陽光電子政務(wù)系統(tǒng)安全技術(shù)規(guī)范(草案)總體要求權(quán)力陽光電子政政務(wù)系統(tǒng)的建設(shè)各各方應(yīng)從物理理環(huán)境、網(wǎng)絡(luò)平臺、系統(tǒng)平臺、業(yè)務(wù)應(yīng)用以及及運(yùn)行管理等方面分析并提提高系統(tǒng)的整整體安全保障障能力,總體體要求包括:信息系統(tǒng)的物理理環(huán)境應(yīng)提供供系統(tǒng)正常運(yùn)運(yùn)行的場所,并并保證硬件、通通信鏈路、機(jī)機(jī)房環(huán)境的物物理安全。系統(tǒng)應(yīng)合理劃分分不同的網(wǎng)絡(luò)區(qū)區(qū)域,根據(jù)應(yīng)應(yīng)用需求設(shè)置置合理的訪問問控制策略,強(qiáng)強(qiáng)化網(wǎng)絡(luò)設(shè)備備自身安全配配置;操作系統(tǒng)、數(shù)據(jù)據(jù)庫須進(jìn)行安安全配置。業(yè)業(yè)務(wù)應(yīng)用軟件件應(yīng)根據(jù)安全全需求開發(fā)安安全功能,通通過啟用這些些安全功能,達(dá)達(dá)到保護(hù)應(yīng)用用信息的目的的。系統(tǒng)應(yīng)對網(wǎng)絡(luò)、可可移動存儲介介質(zhì)、光盤等病

2、毒毒可能入侵的的途徑進(jìn)行控控制,并阻斷斷病毒在系統(tǒng)統(tǒng)內(nèi)的傳播。系統(tǒng)中采用的安安全產(chǎn)品必須須選用經(jīng)國家家主管部門許許可、并經(jīng)國家認(rèn)認(rèn)證機(jī)構(gòu)認(rèn)可可的產(chǎn)品。系系統(tǒng)如采用密碼技術(shù)術(shù)及產(chǎn)品對非涉密信息進(jìn)行加加密保護(hù)或安安全認(rèn)證,所所采用的密碼碼技術(shù)或密碼碼產(chǎn)品應(yīng)符合合商用密碼碼管理條例的的要求。系統(tǒng)建設(shè)單位應(yīng)應(yīng)針對系統(tǒng)應(yīng)應(yīng)用狀況建立立安全管理制制度,在統(tǒng)一一的安全策略略下對各類行行為進(jìn)行管理理?;景踩繕?biāo)物理環(huán)境機(jī)房環(huán)境機(jī)房建設(shè)應(yīng)滿足足國家標(biāo)準(zhǔn)GGB/T 22887電電子計算機(jī)場場地通用規(guī)范范、GB/T 93661計算機(jī)機(jī)場地安全要要求的要求求。硬件設(shè)施的物理理安全構(gòu)成信息系統(tǒng)的的采購硬件、自自制硬件

3、及其其組成零部件件應(yīng)符合國家家規(guī)定的質(zhì)量量標(biāo)準(zhǔn)。網(wǎng)絡(luò)平臺網(wǎng)絡(luò)邊界系統(tǒng)應(yīng)根據(jù)安全全需求在與IInternnet以及市電子政政務(wù)外網(wǎng)、資資源專網(wǎng)等其其他網(wǎng)絡(luò)的網(wǎng)網(wǎng)間互連處配配置網(wǎng)關(guān)類設(shè)設(shè)備實(shí)施訪問問控制,并對對通信事件、操操作事件進(jìn)行行審計。網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)根據(jù)應(yīng)用需求在在內(nèi)部網(wǎng)路結(jié)結(jié)構(gòu)中劃分服服務(wù)器區(qū)等獨(dú)獨(dú)立網(wǎng)段或子子網(wǎng),并在相關(guān)網(wǎng)絡(luò)設(shè)備備中配置安全全策略進(jìn)行隔隔離,實(shí)施對對內(nèi)部信息流的的訪問控制。網(wǎng)絡(luò)設(shè)備根據(jù)系統(tǒng)安全策策略和應(yīng)用需需求對防火墻墻、路由器及交換機(jī)等網(wǎng)網(wǎng)絡(luò)設(shè)備實(shí)施施安全配置。防火墻、路由器器及交換機(jī)的自身安全配置置至少應(yīng)包括括下列內(nèi)容:版本更新與與漏洞修補(bǔ)、版版本信息保護(hù)護(hù)、身份鑒別別

4、、鏈接安全全、配置備份份、安全審計計。系統(tǒng)軟件操作系統(tǒng)操作系統(tǒng)應(yīng)根據(jù)據(jù)信息系統(tǒng)安安全策略進(jìn)行行選擇和安全全配置,并定定期進(jìn)行操作作系統(tǒng)的漏洞洞檢測、補(bǔ)丁丁修補(bǔ)。安全全配置的內(nèi)容容包括:身份份鑒別、用戶戶權(quán)限分配、口口令質(zhì)量、鑒鑒別失敗處理理、默認(rèn)服務(wù)務(wù)開放、終端限限制、安全審審計等。數(shù)據(jù)庫數(shù)據(jù)庫應(yīng)該根據(jù)據(jù)信息系統(tǒng)安安全策略進(jìn)行行選擇和安全全配置,并定定期進(jìn)行數(shù)據(jù)據(jù)庫的漏洞檢檢測、補(bǔ)丁修修補(bǔ)。安全配配置的內(nèi)容包包括:身份鑒鑒別、用戶權(quán)權(quán)限分配、口令質(zhì)量、終終端限制、安安全審計、備備份恢復(fù)策略略等。應(yīng)用軟件業(yè)務(wù)應(yīng)用的安全全要求包括業(yè)務(wù)務(wù)應(yīng)用軟件安安全、應(yīng)用信信息保護(hù)和密密碼支持。通用應(yīng)用軟件Web

5、服務(wù)器、郵郵件服務(wù)器等等通用應(yīng)用軟軟件應(yīng)該根據(jù)據(jù)信息系統(tǒng)安安全策略進(jìn)行行選擇和安全全配置,并及及時升級補(bǔ)丁丁包。安全配配置的內(nèi)容包包括:身份鑒鑒別、用戶權(quán)權(quán)限分配、口令質(zhì)量等等。專用應(yīng)用軟件專用應(yīng)用軟件應(yīng)應(yīng)具備身份鑒鑒別、用戶管理、訪訪問控制、運(yùn)運(yùn)行審計等安安全功能,并并定期進(jìn)行版版本維護(hù)及更更新,以保護(hù)護(hù)應(yīng)用信息的的安全。應(yīng)用信息保護(hù)應(yīng)根據(jù)安全策略略在應(yīng)用信息息的生成、處處理、傳輸和和存儲等環(huán)節(jié)節(jié)采取相應(yīng)的保保護(hù)措施。密碼支持當(dāng)系統(tǒng)中采用密密碼技術(shù)實(shí)現(xiàn)現(xiàn)對信息的保保護(hù)時,無論論是在網(wǎng)絡(luò)傳傳輸、業(yè)務(wù)應(yīng)應(yīng)用軟件中,還還是存儲中,都都應(yīng)在密鑰產(chǎn)產(chǎn)生、密鑰分分配、密鑰銷銷毀、密鑰備備份與恢復(fù)等等環(huán)節(jié)

6、具備安安全機(jī)制,保保護(hù)密碼技術(shù)術(shù)的正確使用用。運(yùn)行維護(hù)惡意代碼防范系統(tǒng)應(yīng)建立統(tǒng)一一的惡意代碼碼防范體系,并并在相關(guān)服務(wù)務(wù)器和業(yè)務(wù)終終端上布置惡惡意代碼防范范設(shè)備或軟件件,有效防止止服務(wù)器和業(yè)業(yè)務(wù)終端遭受受病毒、蠕蟲蟲、木馬等惡惡意代碼的感感染及其在網(wǎng)網(wǎng)絡(luò)中的傳播播。數(shù)據(jù)備份系統(tǒng)應(yīng)建立數(shù)據(jù)據(jù)備份制度,實(shí)實(shí)現(xiàn)備份制度度中既定的安安全備份功能能,以便在系系統(tǒng)遭受破壞壞的情況下及及時恢復(fù)應(yīng)用用信息。根據(jù)據(jù)應(yīng)用信息對對業(yè)務(wù)的影響響程度,選擇擇數(shù)據(jù)冷備份份、數(shù)據(jù)熱備備份或系統(tǒng)備備份中的一種種或多種相結(jié)結(jié)合的備份方方式。入侵檢測及防護(hù)護(hù)系統(tǒng)應(yīng)在重要信信息流經(jīng)的網(wǎng)網(wǎng)絡(luò)和存有重重要信息的主主機(jī)上部署入入侵監(jiān)控或

7、入侵防護(hù)系統(tǒng),實(shí)實(shí)時監(jiān)視網(wǎng)絡(luò)絡(luò)信息流和主機(jī)的可疑疑連接、系統(tǒng)統(tǒng)日志、非法法訪問等活動動,對系統(tǒng)中中發(fā)現(xiàn)的異常常行為及時報報警或采取相相應(yīng)的阻斷措施。網(wǎng)絡(luò)管理及安全全審計系統(tǒng)中部署的網(wǎng)網(wǎng)絡(luò)管理及安安全審計系統(tǒng)統(tǒng)應(yīng)實(shí)現(xiàn)對重重要網(wǎng)絡(luò)設(shè)備備、安全設(shè)備備、服務(wù)器及及數(shù)據(jù)庫系統(tǒng)統(tǒng)的故障、負(fù)載及及性能等運(yùn)行狀態(tài)信息息進(jìn)行采集監(jiān)監(jiān)控、監(jiān)控設(shè)設(shè)備配置信息的變變更和安全事事件信息發(fā)生生,設(shè)置合理的的監(jiān)控指標(biāo)閾閾值、合理的的審計規(guī)則和和告警響應(yīng)策策略,并根據(jù)據(jù)實(shí)際需求提提供各類綜合合分析報告。系統(tǒng)冗余在實(shí)時性及可用用性要求較高高的系統(tǒng)中,應(yīng)應(yīng)對關(guān)鍵的網(wǎng)網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)設(shè)備、服務(wù)器器主機(jī)及數(shù)據(jù)據(jù)庫平臺進(jìn)行行冗余備份,并

8、并進(jìn)行合理的的配置,當(dāng)系統(tǒng)的某一節(jié)點(diǎn)發(fā)生故障障時能在有效時時間內(nèi)進(jìn)行切切換分配,保保證網(wǎng)絡(luò)及系系統(tǒng)相關(guān)服務(wù)務(wù)正常運(yùn)行。具體安全要求物理環(huán)境機(jī)房的環(huán)境條件件、照明、接接地、供電、建建筑結(jié)構(gòu)、媒媒體存放條件件、監(jiān)視防護(hù)護(hù)設(shè)備等應(yīng)滿滿足GB/TT 28877電子計算算機(jī)場地通用用規(guī)范4.34.99的要求。機(jī)房的選址、防防火、供配電電、消防設(shè)施施、防水、防防靜電、防雷雷擊應(yīng)滿足GGB/T 93661 計算算機(jī)場地安全全要求48的要求。在防火、防雷擊、防靜電、監(jiān)控設(shè)施等方面時,應(yīng)經(jīng)過相關(guān)專業(yè)機(jī)構(gòu)的檢測。此外,還應(yīng)檢查以下內(nèi)容:提供短期的備用用電力供應(yīng)(如如UPS);機(jī)房留有備用空空間;設(shè)備防盜、防毀毀措

9、施;通訊線路連接、設(shè)設(shè)備標(biāo)簽、布布線合理性;機(jī)房出入口配置置門禁系統(tǒng)以以及監(jiān)控報警警系統(tǒng);機(jī)房出入記錄,記錄內(nèi)容包包括人員姓名、出入日期和時時間,操作內(nèi)內(nèi)容,攜帶物物品等。網(wǎng)絡(luò)平臺網(wǎng)絡(luò)結(jié)構(gòu)在系統(tǒng)內(nèi)部網(wǎng)絡(luò)絡(luò)和外部網(wǎng)絡(luò)絡(luò)間配置訪問問控制設(shè)備或或邏輯隔離設(shè)設(shè)備以實(shí)現(xiàn)網(wǎng)網(wǎng)絡(luò)訪問控制制和網(wǎng)絡(luò)間的的信息交換,對對訪問控制/隔離設(shè)備的的通信事件、操操作事件進(jìn)行行審計。合理設(shè)置訪問控控制/隔離設(shè)設(shè)備的安全配配置,確認(rèn)安安全功能的有有效性。具體體安全要求如如下:根據(jù)系統(tǒng)安全策策略配置訪問問控制規(guī)則,實(shí)實(shí)現(xiàn)對網(wǎng)絡(luò)數(shù)數(shù)據(jù)包的過濾濾及對網(wǎng)絡(luò)訪訪問行為的管管理,并對發(fā)發(fā)生的網(wǎng)絡(luò)攻攻擊或違規(guī)事事件進(jìn)行檢測測和告警;訪問控

10、制/隔離離設(shè)備應(yīng)實(shí)施施用戶權(quán)限的的管理;開啟審計功能,記記錄通過訪問問控制/隔離離設(shè)備的信息息內(nèi)容或活動動;定期查看日志,并并對存儲的日日志進(jìn)行有效效的保護(hù)(如如防止非法修修改、刪除,定定期導(dǎo)出等);對具有文件傳輸輸控制能力的的訪問控制/隔離設(shè)備設(shè)設(shè)置傳輸過濾濾列表。應(yīng)根據(jù)業(yè)務(wù)應(yīng)用用和安全策略略對系統(tǒng)內(nèi)部部服務(wù)器區(qū)域域進(jìn)行邏輯劃劃分或邏輯隔隔離,實(shí)現(xiàn)對對信息流的訪訪問控制和安安全傳輸,在在終端計算機(jī)機(jī)與服務(wù)器之之間進(jìn)行訪問問控制,建立立安全的訪問問路徑。對連接到存有重重要信息的服服務(wù)器,應(yīng)采采取網(wǎng)絡(luò)層地地址或數(shù)據(jù)鏈路層層地址綁定的的措施,防止止地址欺騙。當(dāng)有重要信息通通過公共網(wǎng)絡(luò)絡(luò)進(jìn)行傳輸時時

11、,應(yīng)在傳輸輸線路中配置置加密設(shè)備,以以保證在公共共網(wǎng)絡(luò)上傳輸輸信息的保密密性;禁止內(nèi)內(nèi)部網(wǎng)絡(luò)用戶戶未授權(quán)與外外部網(wǎng)絡(luò)連接接;如提供遠(yuǎn)遠(yuǎn)程撥號或移移動用戶連接接,應(yīng)在系統(tǒng)統(tǒng)入口處配置置鑒別與認(rèn)證證服務(wù)器。禁止非授權(quán)設(shè)備備接入內(nèi)部網(wǎng)網(wǎng)絡(luò),尤其是是服務(wù)器區(qū)域域。路由器應(yīng)根據(jù)系統(tǒng)安全全策略配置相相應(yīng)的路由器器安全配置,具具體要求包括:保持路由器軟件件版本的更新新,修補(bǔ)高風(fēng)風(fēng)險的漏洞;禁止與應(yīng)用無關(guān)關(guān)的網(wǎng)絡(luò)服務(wù)務(wù),關(guān)閉與應(yīng)應(yīng)用無關(guān)的網(wǎng)網(wǎng)絡(luò)接口;對登錄的用戶進(jìn)進(jìn)行身份標(biāo)識識和鑒別,身身份標(biāo)識唯一一,不反饋鑒鑒別信息;修改路由器默認(rèn)認(rèn)用戶的口令令或禁止默認(rèn)認(rèn)用戶訪問,用用戶口令應(yīng)滿滿足長度和復(fù)復(fù)雜性要求,并

12、并對配置口令令進(jìn)行加密保保護(hù);當(dāng)?shù)卿涍B接超時時,應(yīng)自動斷斷開連接,并要求求重新鑒別;對能夠登錄路由由器的遠(yuǎn)程地地址進(jìn)行限制制,關(guān)閉與應(yīng)應(yīng)用無關(guān)的遠(yuǎn)遠(yuǎn)程訪問接口口;對登錄提示信息息進(jìn)行設(shè)置,不不顯示路由器器型號、軟件件、所有者等等信息;對路由配置進(jìn)行行備份,且對對備份文件的的讀取實(shí)施訪訪問控制;開啟路由器日志志功能,對修修改訪問控制制列表、路由由器配置等操操作行為進(jìn)行行審計記錄。交換機(jī)應(yīng)根據(jù)系統(tǒng)安全全策略配置相相應(yīng)的交換機(jī)機(jī)安全配置,具具體要求包括:保持交換機(jī)軟件件版本的更新新,修補(bǔ)高風(fēng)風(fēng)險的漏洞;禁止與應(yīng)用無關(guān)關(guān)的網(wǎng)絡(luò)服務(wù)務(wù),關(guān)閉與應(yīng)用用無關(guān)的網(wǎng)絡(luò)絡(luò)接口;對登錄交換機(jī)的的用戶進(jìn)行身身份標(biāo)識和鑒

13、鑒別,身份標(biāo)標(biāo)識唯一,不不反饋鑒別信信息;修改交換機(jī)默認(rèn)認(rèn)用戶的口令或禁止止默認(rèn)用戶訪訪問,用戶口口令應(yīng)滿足長長度和復(fù)雜性性要求,并對對配置口令進(jìn)進(jìn)行加密保護(hù)護(hù);當(dāng)用戶登錄連接接超時,應(yīng)自自動斷開連接,并要求求重新鑒別;對能夠登錄交換換機(jī)的遠(yuǎn)程地地址進(jìn)行限制制,關(guān)閉與應(yīng)應(yīng)用無關(guān)的遠(yuǎn)遠(yuǎn)程訪問接口口;對登錄提示信息息進(jìn)行設(shè)置,不不顯示交換機(jī)機(jī)的型號、軟軟件、所有者者等信息;對交換機(jī)配置進(jìn)進(jìn)行備份,且且對備份文件件的讀取實(shí)施施訪問控制;開啟交換機(jī)日志志功能,對修修改訪問控制制列表、交換換機(jī)配置等操操作行為進(jìn)行行審計記錄。系統(tǒng)軟件操作系統(tǒng)信息系統(tǒng)應(yīng)根據(jù)據(jù)應(yīng)用需求、安安全需求選擇擇操作系統(tǒng),并并實(shí)施安全

14、配配置。具體要求如下下:定期更新操作系系統(tǒng)版本,修補(bǔ)漏漏洞;關(guān)閉與應(yīng)用無關(guān)關(guān)的服務(wù)、啟啟動腳本或網(wǎng)網(wǎng)絡(luò)功能;對登錄用戶進(jìn)行行身份標(biāo)識和和鑒別;用戶戶的身份標(biāo)識識唯一;身份鑒別如采用用用戶名/口令方式,應(yīng)應(yīng)設(shè)置口令長長度、復(fù)雜性性和更新周期期;修改默認(rèn)用戶的的口令或禁止止默認(rèn)用戶訪訪問,禁止匿匿名訪問或限限制訪問的范范圍;具有登錄失敗處處理功能,當(dāng)當(dāng)?shù)卿浭〈未螖?shù)達(dá)到限制制值時,應(yīng)結(jié)結(jié)束會話、鎖鎖定用戶;實(shí)行特權(quán)用戶的的權(quán)限分離,按按照最小授權(quán)權(quán)原則,分別別授予不同用用戶各自為完完成自身承擔(dān)任務(wù)務(wù)所需的最小小權(quán)限,并在在他們之間形形成相互制約約的關(guān)系;對系統(tǒng)內(nèi)的重要要文件(如啟啟動腳本文件件、口

15、令文件件、服務(wù)配置置文件)、服服務(wù)、環(huán)境變變量、進(jìn)程等等實(shí)施訪問控控制;系統(tǒng)管理員實(shí)施施遠(yuǎn)程登錄時時,應(yīng)使用強(qiáng)強(qiáng)鑒別機(jī)制,且且操作系統(tǒng)應(yīng)應(yīng)記錄詳細(xì)的的登錄信息;通過設(shè)定終端接接入方式、網(wǎng)網(wǎng)絡(luò)地址范圍圍等條件限制制終端的登錄錄;對操作系統(tǒng)的安安全事件進(jìn)行行審計,審計計事件至少包包括:用戶的的添加和刪除除、審計功能能的啟動和關(guān)關(guān)閉、審計策策略的調(diào)整、權(quán)限變更、系統(tǒng)資資源的異常使使用、重要的的系統(tǒng)操作(如如修改文件、目目錄的訪問控控制、更改系系統(tǒng)或服務(wù)的的配置文件)、重重要用戶(如如系統(tǒng)管理員員、系統(tǒng)安全全員、系統(tǒng)審審計員)的各各項操作進(jìn)行行審計;審計記錄應(yīng)包括括日期和時間間、觸發(fā)事件件的主體與客客

16、體、事件的的類型、事件件成功或失敗敗、事件的結(jié)結(jié)果等;審計計記錄應(yīng)受到到保護(hù)避免受受到未預(yù)期的的刪除、修改改或覆蓋;用戶鑒別信息及及與應(yīng)用信息息所在的存儲儲空間,被釋釋放或再分配配給其他用戶戶之前應(yīng)完全全清除;限制單個用戶對對系統(tǒng)資源的的最大使用額額度。數(shù)據(jù)庫信息系統(tǒng)應(yīng)根據(jù)據(jù)應(yīng)用需求、安安全需求選擇擇數(shù)據(jù)庫,并實(shí)實(shí)施安全配置置。具體要求如下下:定期更新數(shù)據(jù)庫庫版本,修補(bǔ)漏漏洞;禁用或刪除數(shù)據(jù)據(jù)庫不需要的的存儲過程;對訪問數(shù)據(jù)庫的的用戶進(jìn)行身身份標(biāo)識和鑒鑒別,身份標(biāo)標(biāo)識唯一;身份鑒別如采用用用戶名/口令方式,應(yīng)應(yīng)設(shè)置口令長長度、復(fù)雜性性和定期更新新周期;當(dāng)?shù)卿涍B接超時時,自動退出出登錄會話并并要

17、求重新鑒鑒別;修改默認(rèn)用戶的的口令或禁止止默認(rèn)用戶訪訪問,防止數(shù)據(jù)庫對對象被Pubblic權(quán)限限用戶訪問;實(shí)行特權(quán)用戶的的權(quán)限分離,按按照最小授權(quán)權(quán)原則,分別別授予不同用用戶各自為完完成自身承擔(dān)任務(wù)務(wù)所需的最小小權(quán)限,并在在他們之間形形成相互制約約的關(guān)系;通過設(shè)定終端接接入方式、網(wǎng)網(wǎng)絡(luò)地址范圍圍等條件限制制終端的登錄錄;對數(shù)據(jù)庫的安全全事件進(jìn)行審審計,審計事事件至少包括括:用戶的添添加和刪除、審審計功能的啟動和和關(guān)閉、審計計策略的調(diào)整整、權(quán)限變更、數(shù)據(jù)字字典訪問、管管理員用戶實(shí)實(shí)施的各項操作、對存儲儲重要信息的的數(shù)據(jù)表的各項項操作;審計記錄應(yīng)包括括:事件發(fā)生生的時間、觸觸發(fā)事件的主主體與客體、

18、事事件的類型、事事件成功或失失敗、事件的的結(jié)果等;審計記錄應(yīng)受到到保護(hù),避免免受到未預(yù)期期的刪除、修修改或覆蓋。如如果審計記錄錄允許授權(quán)用用戶刪除,應(yīng)應(yīng)對刪除操作作予以記錄;當(dāng)審計記錄錄存儲空間接接近極限時,應(yīng)應(yīng)采取必要的的措施,以保保護(hù)所存儲的的記錄;限制單個用戶對對系統(tǒng)資源的的最大使用額額度。應(yīng)用軟件通用應(yīng)用軟件通用應(yīng)用軟件主主要包括郵件件服務(wù)軟件、Web服務(wù)軟件件、中間件等等。本規(guī)范提出了了郵件服務(wù)軟件件、Web服務(wù)軟件件的安全要求。郵件服務(wù)軟件郵件服務(wù)器軟件件應(yīng)根據(jù)系統(tǒng)安全全策略進(jìn)行安裝與配配置,安全要求如如下:定期更新郵件服服務(wù)器軟件,修修補(bǔ)高風(fēng)險漏漏洞;為郵件服務(wù)器軟軟件建立獨(dú)立立

19、的邏輯分區(qū)區(qū),將其與存存放系統(tǒng)文件件的分區(qū)分開開;重新配置smttp、popp等郵件服務(wù)務(wù)的提示信息息,不顯示郵郵件服務(wù)器軟軟件和操作系系統(tǒng)的版本和和類型;啟用smtp認(rèn)認(rèn)證,禁止非非授權(quán)帳戶通通過郵件服務(wù)務(wù)器發(fā)送郵件件;禁止非本地域名名郵件(發(fā)送送者或接收者者非本地的郵郵件)的中轉(zhuǎn)轉(zhuǎn);禁用expn、vvrfy等命命令;禁止非授權(quán)用戶戶查看郵件隊隊列;具備反垃圾郵件件功能。對郵件客戶端,具具體要求如下下:禁止自動郵件瀏瀏覽;禁止自動打開下下一個郵件功功能;禁止自動下載AActiveeX控件、活活動腳本、jjava小程程序;客戶端操作系統(tǒng)統(tǒng)只允許授權(quán)權(quán)用戶對本地地存儲的郵件件客戶端配置置文件進(jìn)行

20、訪訪問。Web服務(wù)軟件件Web服務(wù)軟件件應(yīng)根據(jù)系統(tǒng)安安全策略進(jìn)行行安裝與配置置,安全要求如如下:定期更新Webb服務(wù)軟件的補(bǔ)補(bǔ)丁,修補(bǔ)高高風(fēng)險漏洞;配置Web服務(wù)務(wù)的提示信息息,不顯示W(wǎng)Web服務(wù)軟軟件和操作系系統(tǒng)的版本和和類型;禁止非授權(quán)用戶戶對Web服務(wù)根根目錄的訪問問;禁用或刪除默認(rèn)認(rèn)安裝的一些些應(yīng)用示例;定期更新Webb服務(wù)軟件,修修補(bǔ)高風(fēng)險漏漏洞;啟用Web服務(wù)務(wù)軟件的日志志功能,日志志內(nèi)容應(yīng)包括括:訪問者的的IP地址、訪訪問時間、訪訪問的資源、協(xié)協(xié)議、狀態(tài)等等;Web服務(wù)軟件件安裝目錄應(yīng)應(yīng)與系統(tǒng)文件件安裝在不同同的邏輯分區(qū)區(qū)下;限制對日志的訪訪問權(quán)限;禁止匿名用戶在在服務(wù)器上遠(yuǎn)遠(yuǎn)程

21、運(yùn)行可執(zhí)執(zhí)行文件。專用應(yīng)用軟件專用應(yīng)用軟件應(yīng)應(yīng)具備與業(yè)務(wù)務(wù)信息保護(hù)相相應(yīng)的安全功功能,安全要求如如下:不應(yīng)經(jīng)常發(fā)生由由于軟件錯誤誤而導(dǎo)致的退退出系統(tǒng)或死死機(jī)現(xiàn)象;當(dāng)發(fā)生錯誤時有有出錯提示,并并可以通過手手工或自動方方式從錯誤狀狀態(tài)恢復(fù)到正正常狀態(tài);當(dāng)專用應(yīng)用軟件件退出后,在在本地機(jī)和服服務(wù)器的有關(guān)關(guān)目錄下不留留下任何殘余余文件;具有身份鑒別機(jī)機(jī)制,根據(jù)應(yīng)應(yīng)用需求采取取適當(dāng)?shù)蔫b別別機(jī)制來鑒別別訪問用戶的的身份,用戶戶身份唯一,并保證鑒別機(jī)制不可旁路;如果采用口令鑒鑒別機(jī)制,應(yīng)應(yīng)采用技術(shù)機(jī)制制保證口令的的質(zhì)量強(qiáng)度;如果采用密碼技術(shù)術(shù)的鑒別機(jī)制制,相關(guān)密碼碼技術(shù)應(yīng)符合合國家密碼管管理部門的規(guī)規(guī)定;具

22、備鑒別失敗的的處理機(jī)制。當(dāng)當(dāng)不成功鑒別別嘗試次數(shù)達(dá)達(dá)到限定值時,系統(tǒng)統(tǒng)應(yīng)鎖定用戶戶,并予以記記錄和告警;具備對不同角色色用戶權(quán)限的分配和和管理功能;具備對用戶執(zhí)行行的系統(tǒng)操作作和重要業(yè)務(wù)務(wù)操作的應(yīng)用用審計功能。審計記錄應(yīng)包括日期和時間、觸發(fā)事件的主體與客體、事件的類型、事件成功或失敗、事件的結(jié)果等;審計記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋。應(yīng)用信息保護(hù)應(yīng)用軟件系統(tǒng)在在信息產(chǎn)生、處處理、傳輸和和存儲環(huán)節(jié)應(yīng)應(yīng)具備相應(yīng)的的安全功能。具體包括:在信息的生生成環(huán)節(jié):對信息源進(jìn)行身身份標(biāo)識和鑒鑒別,身份標(biāo)標(biāo)識唯一;如果信息是通過過外部網(wǎng)絡(luò)遠(yuǎn)遠(yuǎn)程錄入,應(yīng)應(yīng)視其重要程程度采取相應(yīng)應(yīng)的數(shù)據(jù)傳輸輸加密機(jī)

23、制;業(yè)務(wù)應(yīng)用軟件應(yīng)應(yīng)對信息生成成的操作進(jìn)行行審計記錄;具備對輸入數(shù)據(jù)據(jù)合法性和合合理性檢驗(yàn)的的機(jī)制。在信息的處處理環(huán)節(jié):對不同角色的用用戶執(zhí)行權(quán)限限管理,防止止未授權(quán)的用用戶進(jìn)入,防防止數(shù)據(jù)被未未授權(quán)查閱、修修改或刪除;對未授權(quán)的的操作嘗試進(jìn)進(jìn)行審計記錄錄;嚴(yán)格限制用戶的的權(quán)限,限制制單一用戶的的多重并發(fā)會會話;制定并執(zhí)行訪問問控制策略,根根據(jù)既定規(guī)則則明確允許或或拒絕主體對對客體的訪問問;具備資源利用策策略,確保當(dāng)當(dāng)重要設(shè)備發(fā)發(fā)生局部故障障時,系統(tǒng)主主要安全功能能能正常運(yùn)行行,或當(dāng)系統(tǒng)統(tǒng)出現(xiàn)某些功功能失敗時能能夠維持運(yùn)行行狀態(tài),并給給出提示信息息。在信息的傳傳輸環(huán)節(jié):應(yīng)用信息、審計計數(shù)據(jù)、用

24、戶戶密鑰、用戶戶口令等安全全屬性數(shù)據(jù)在在業(yè)務(wù)應(yīng)用軟件件和外部網(wǎng)絡(luò)絡(luò)系統(tǒng)之間傳傳輸時采取保保密措施;采取加密或數(shù)字字簽名技術(shù),避避免重要的應(yīng)應(yīng)用信息在網(wǎng)網(wǎng)絡(luò)間傳輸時時遭到篡改、刪刪除、插入或或重放等攻擊擊;確保信息的發(fā)送送者不能否認(rèn)認(rèn)曾經(jīng)發(fā)送過過該信息,即即接收信息的的主體能獲得得證明信息原原發(fā)的證據(jù),該該證據(jù)可由該該主體或第三三方主體驗(yàn)證證;確保信息的接收收者不能否認(rèn)認(rèn)對該信息的的接收,即發(fā)發(fā)送信息的主主體獲得證明明該信息被接接收的證據(jù),該該證據(jù)可由該該主體或第三三方主體驗(yàn)證證。在信息的存存儲環(huán)節(jié):存儲數(shù)據(jù)的保密密性保護(hù):對對存儲在系統(tǒng)統(tǒng)中的應(yīng)用信信息,應(yīng)根據(jù)據(jù)不同數(shù)據(jù)類類型的保密性性要求,進(jìn)

25、行行不同程度的的保護(hù);除具具有權(quán)限的合合法用戶外,其其余任何用戶戶不能獲得該該數(shù)據(jù);存儲數(shù)據(jù)的完整整性保護(hù):對對存儲在系統(tǒng)統(tǒng)中的應(yīng)用信信息進(jìn)行完整整性保護(hù);檢檢測到完整性性錯誤時,應(yīng)應(yīng)采取相應(yīng)的的行動;對于重要的應(yīng)用用信息可以采采取加密方式式存儲;對以以加密方式保保存?zhèn)浞莸模瑧?yīng)應(yīng)同時保存數(shù)數(shù)據(jù)恢復(fù)所需需密鑰的備份份;建立安全備份制制度,以便在在系統(tǒng)遭受破破壞的情況下下及時進(jìn)行恢復(fù);根根據(jù)業(yè)務(wù)需求求制定備份策策略,并按照照策略定期備備份重要的數(shù)數(shù)據(jù)和軟件,定定期對備份數(shù)數(shù)據(jù)進(jìn)行恢復(fù)復(fù)測試,以保保證備份數(shù)據(jù)據(jù)的可用性。備備份內(nèi)容至少少應(yīng)包括:應(yīng)應(yīng)用信息、系系統(tǒng)軟件的配配置文件、關(guān)關(guān)鍵設(shè)備的配配置信息、安安全設(shè)備的配配置規(guī)則與日日志等;備份數(shù)據(jù)必須有有嚴(yán)格的存取取、調(diào)用和更更新的管理規(guī)程。密碼支持系統(tǒng)應(yīng)在密鑰的的產(chǎn)生、分配配、訪問、銷銷毀等環(huán)節(jié)滿滿足以下要求求:基于國家主管部部門認(rèn)可的算算法和密鑰長長度來產(chǎn)生密密鑰;基于國家主管部部門認(rèn)可的分分配方法來分分配密鑰;基于

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論