信息安全等級保護四級防護技術(shù)要求

信息安全等級保護四級防護技術(shù)要求信息安全等級保護四級防護技術(shù)要求信息安全等級保護四級防護技術(shù)要求信息安全等級保護四級防護技術(shù)要求編制僅供參考審核批準生效日期地址：電話：傳真:郵編:信息安全等級保護（四級）具體技術(shù)要求我國信息安全等級保護與涉密信息系統(tǒng)分級保護關系等級保護分級保護保護對象不同非涉密信息系統(tǒng)涉密信息系統(tǒng)管理體系不同公安機關國家保密工作部門標準體系不同國家標準（GB、GB/T）國家保密標準（BMB，強制執(zhí)行）級別劃分不同第一級：自主保護級第二級：指導保護級第三級：監(jiān)督保護級秘密級第四級：強制保護級機密級第五級：?？乇Ｗo級絕密級涉密信息系統(tǒng)分級保護與信息安全等級保護制度相銜接，三個等級的防護水平不低于國家等級保護的第三、四、五級要求網(wǎng)絡安全網(wǎng)絡安全審計對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行全面的監(jiān)測、記錄；對于每一個事件，其審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功，及其他與審計相關的信息；安全審計應可以根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；安全審計應可以對特定事件，提供指定方式的實時報警；審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋等；安全審計應能跟蹤監(jiān)測到可能的安全侵害事件，并終止違規(guī)進程；審計員應能夠定義審計跟蹤極限的閾值，當存儲空間接近極限時，能采取必要的措施（如報警并導出），當存儲空間被耗盡時，終止可審計事件的發(fā)生；安全審計應根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計；網(wǎng)絡設備時鐘應與時鐘服務器時鐘保持同步。邊界完整性檢查應能夠檢測內(nèi)部網(wǎng)絡中出現(xiàn)的內(nèi)部用戶未通過準許私自聯(lián)到外部網(wǎng)絡的行為（即“非法外聯(lián)”行為）；應能夠?qū)Ψ鞘跈?quán)設備私自聯(lián)到網(wǎng)絡的行為進行檢查，并準確定位、有效阻斷；應能夠?qū)?nèi)部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查后準確定出位置，并對其進行有效阻斷；應能夠根據(jù)信息流控制策略和信息流的敏感標記，阻止重要信息的流出。（網(wǎng)絡設備標記，指定路由信息標記）。網(wǎng)絡入侵防范在網(wǎng)絡邊界處應監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡蠕蟲攻擊等入侵事件的發(fā)生；當檢測到入侵事件時，應記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間等，并發(fā)出安全警告（如可采取屏幕實時提示、E-mail告警、聲音告警等幾種方式）及自動采取相應動作。惡意代碼防范應在網(wǎng)絡邊界及核心業(yè)務網(wǎng)段處對惡意代碼進行檢測和清除；應維護惡意代碼庫的升級和檢測系統(tǒng)的更新；應支持惡意代碼防范的統(tǒng)一管理。網(wǎng)絡設備防護應對登錄網(wǎng)絡設備的用戶進行身份鑒別；應對網(wǎng)絡上的對等實體進行身份鑒別；應對網(wǎng)絡設備的管理員登錄地址進行限制；網(wǎng)絡設備用戶的標識應唯一；身份鑒別信息應具有不易被冒用的特點，例如口令長度、復雜性和定期的更新等；應對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；網(wǎng)絡設備用戶的身份鑒別信息至少有一種應是不可偽造的，例如以公私鑰對、生物特征等作為身份鑒別信息；應具有登錄失敗處理功能，如結(jié)束會話、限制非法登錄次數(shù)，當網(wǎng)絡登錄連接超時，自動退出；應實現(xiàn)設備特權(quán)用戶的權(quán)限分離，例如將管理與審計的權(quán)限分配給不同的網(wǎng)絡設備用戶。主機系統(tǒng)安全身份鑒別操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的身份標識應具有唯一性；應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別；應對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別；操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的身份鑒別信息應具有不易被冒用的特點，例如口令長度、復雜性和定期更新等；操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的身份鑒別信息至少有一種應是不可偽造的，例如以公私鑰對、生物特征等作為身份鑒別信息；應具有登錄失敗處理功能，如結(jié)束會話、限制非法登錄次數(shù)，當?shù)卿涍B接超時，自動退出；應具有鑒別警示功能；重要的主機系統(tǒng)應對與之相連的服務器或終端設備進行身份標識和鑒別。自主訪問控制應依據(jù)安全策略控制用戶對客體的訪問；自主訪問控制的覆蓋范圍應包括與信息安全直接相關的主體、客體及它們之間的操作；自主訪問控制的粒度應達到主體為用戶級，客體為文件、數(shù)據(jù)庫表/記錄、字段級；應由授權(quán)主體設置對客體訪問和操作的權(quán)限；應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；權(quán)限分離應采用最小授權(quán)原則，分別授予不同用戶各自為完成自己承擔任務所需的最小權(quán)限，并在他們之間形成相互制約的關系；應禁止默認用戶訪問。強制訪問控制應對重要信息資源和訪問重要信息資源的所有主體設置敏感標記；強制訪問控制的覆蓋范圍應包括與重要信息資源直接相關的所有主體、客體及它們之間的操作；強制訪問控制的粒度應達到主體為用戶級，客體為文件、數(shù)據(jù)庫表/記錄、字段級?？尚怕窂皆谟脩暨M行初始登錄和/或鑒別時，系統(tǒng)應在它與用戶之間建立一條安全的信息傳輸通路。安全審計安全審計應覆蓋到服務器和客戶端上的所有用戶；安全審計應記錄系統(tǒng)內(nèi)重要的安全相關事件，包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用；安全相關事件的記錄應包括日期和時間、類型、主體標識、客體標識、客體敏感標記、事件的結(jié)果等；安全審計應可以根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；安全審計應可以對特定事件，提供指定方式的實時報警；審計進程應受到保護避免受到未預期的中斷；審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋等；安全審計應能跟蹤監(jiān)測到可能的安全侵害事件，并終止違規(guī)進程；安全審計應根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計；系統(tǒng)設備時鐘應與時鐘服務器時鐘保持同步。系統(tǒng)保護系統(tǒng)因故障或其他原因中斷后，應能夠以手動或自動方式恢復運行；應對被保護存儲單元的訪問和操作權(quán)限加以控制，當發(fā)生對存儲單元的未授權(quán)執(zhí)行行為時，系統(tǒng)應能及時報警或者中斷執(zhí)行行為。剩余信息保護應保證操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；應確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。入侵防范應進行主機運行監(jiān)視，包括監(jiān)視主機的CPU、硬盤、內(nèi)存、網(wǎng)絡等資源的使用情況；應設定資源報警域值，以便在資源使用超過規(guī)定數(shù)值時發(fā)出報警；應進行特定進程監(jiān)控，限制操作人員運行非法進程；應進行主機賬戶監(jiān)控，限制對重要賬戶的添加和更改；應檢測各種已知的入侵行為，記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警；主機系統(tǒng)應根據(jù)安全策略阻止某些指定的入侵事件；應能夠檢測重要程序完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施。惡意代碼防范服務器和終端設備（包括移動設備）均應安裝實時檢測和查殺惡意代碼的軟件產(chǎn)品；主機系統(tǒng)防惡意代碼產(chǎn)品應具有與網(wǎng)絡防惡意代碼產(chǎn)品不同的惡意代碼庫；應支持惡意代碼防范的統(tǒng)一管理。資源控制應限制單個用戶的多重并發(fā)會話；應對最大并發(fā)會話連接數(shù)進行限制；應對一個時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制；應通過設定終端接入方式、網(wǎng)絡地址范圍等條件限制終端登錄；應根據(jù)安全策略設置登錄終端的操作超時鎖定和鑒別失敗鎖定，并規(guī)定解鎖或終止方式；應禁止同一用戶賬號在同一時間內(nèi)并發(fā)登錄；應限制單個用戶對系統(tǒng)資源的最大或最小使用限度；當系統(tǒng)的服務水平降低到預先規(guī)定的最小值時，應能檢測和報警；應根據(jù)安全策略設定主體的服務優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源，保證優(yōu)先級低的主體處理能力不會影響到優(yōu)先級高的主體的處理能力。應用安全身份鑒別系統(tǒng)用戶的身份標識應具有唯一性；應對登錄的用戶進行身份標識和鑒別；應對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別；系統(tǒng)用戶的身份鑒別信息應具有不易被冒用的特點，例如口令長度、復雜性和定期的更新等；系統(tǒng)用戶的身份鑒別信息至少有一種應是不可偽造的，例如以公私鑰對、生物特征等作為身份鑒別信息；應具有登錄失敗處理功能，如結(jié)束會話、限制非法登錄次數(shù)，當?shù)卿涍B接超時自動退出；應具有鑒別警示功能；應用系統(tǒng)應及時清除存儲空間中動態(tài)使用的鑒別信息。訪問控制應依據(jù)安全策略控制用戶對客體的訪問；自主訪問控制的覆蓋范圍應包括與信息安全直接相關的主體、客體及它們之間的操作；自主訪問控制的粒度應達到主體為用戶級，客體為文件、數(shù)據(jù)庫表級；應由授權(quán)主體設置用戶對系統(tǒng)功能操作和對數(shù)據(jù)訪問的權(quán)限；應實現(xiàn)應用系統(tǒng)特權(quán)用戶的權(quán)限分離，例如將管理與審計的權(quán)限分配給不同的應用系統(tǒng)用戶；權(quán)限分離應采用最小授權(quán)原則，分別授予不同用戶各自為完成自己承擔任務所需的最小權(quán)限，并在它們之間形成相互制約的關系；應用系統(tǒng)的設計應采用二層以上結(jié)構(gòu)，將提供數(shù)據(jù)顯示功能與數(shù)據(jù)處理功能在物理或者邏輯上分離；應禁止默認用戶訪問；主體和客體具有安全標記，通過比較安全標簽來確定是授予還是拒絕主體對客體的訪問。安全審計安全審計應覆蓋到應用系統(tǒng)的每個用戶；安全審計應記錄應用系統(tǒng)重要的安全相關事件，包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)功能的執(zhí)行等；安全相關事件的記錄應包括日期和時間、類型、主體標識、客體標識、客體敏感標記、事件的結(jié)果等；安全審計應可以根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；安全審計應可以對特定事件，提供指定方式的實時報警；審計進程應受到保護避免受到未預期的中斷；審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋等；安全審計應能跟蹤監(jiān)測到可能的安全侵害事件，并終止違規(guī)進程；審計員應能夠定義審計跟蹤極限的閾值，當存儲空間接近極限時，能采取必要的措施（如報警并導出），當存儲空間被耗盡時，終止可審計事件的發(fā)生；安全審計應根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計。剩余信息保護應保證用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；應確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。通信完整性通信雙方應約定密碼算法，計算通信數(shù)據(jù)報文的報文驗證碼，在進行通信時，雙方根據(jù)校驗碼判斷對方報文的有效性。通信保密性當通信雙方中的一方在一段時間內(nèi)未作任何響應，另一方應能夠自動結(jié)束會話；在通信雙方建立連接之前，利用密碼技術(shù)進行會話初始化驗證；在通信過程中，應對整個報文或會話過程進行加密；應選用符合國家有關部門要求的密碼算法；應基于硬件化的設備，產(chǎn)生密鑰，進行加解密運算?？沟仲噾哂性谡埱蟮那闆r下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；應具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。軟件容錯應對通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)進行有效性檢驗；應對通過人機接口方式進行的操作提供“回退”功能，即允許按照操作的序列進行回退；應有狀態(tài)監(jiān)測能力，當故障發(fā)生時，能實時檢測到故障狀態(tài)并報警；應有自動保護能力，當故障發(fā)生時，自動保護當前所有狀態(tài)；應有自動恢復能力，當故障發(fā)生時，立即啟動新的進程，恢復原來的工作狀態(tài)。資源控制應限制單個用戶的多重并發(fā)會話；應對最大并發(fā)會話連接數(shù)進行限制；應對一個時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制；應根據(jù)安全策略設置登錄終端的操作超時鎖定和鑒別失敗鎖定，并規(guī)定解鎖或終止方式；應禁止同一用戶賬號在同一時間內(nèi)并發(fā)登錄；應對一個訪問用戶或一個請求進程占用的資源分配最大限額和最小限額；應根據(jù)安全屬性（用戶身份、訪問地址、時間范圍等）允許或拒絕用戶建立會話連接；當系統(tǒng)的服務水平降低到預先規(guī)定的最小值時，應能檢測和報警；應確定訪問用戶或請求進程的優(yōu)先級，對全部資源采用優(yōu)先服務機制。代碼安全應制定應用程序代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼；應對應用程序代碼進行代碼復審，識別可能存在的惡意代碼；應對應用程序代碼進行安全脆弱性分析；應對應用程序代碼進行穿透性測試；應對應用程序代碼進行嚴格的代碼復審，識別可能存在的隱蔽信道。數(shù)據(jù)安全數(shù)據(jù)完整性應能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施；應能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施；應能夠檢測重要系統(tǒng)完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施；應為重要通信提供專用通信協(xié)議或安全通信協(xié)議服務，避免來自基于通用通信協(xié)議的攻擊，破壞數(shù)據(jù)的完整性。數(shù)據(jù)保密性網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應用系統(tǒng)的鑒別信息、敏感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)應采用加密或其他有效措施實現(xiàn)傳輸保密性；網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)