DB43∕T 244.2-2017 建設(shè)項(xiàng)目涉及國家安全的系統(tǒng)規(guī)范 第2部分：計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)規(guī)范　　

ICS91.010.01P00DB43DB43/T244.2—2017代替DB43/T244.2-2013建設(shè)項(xiàng)目涉及國家安全的系統(tǒng)規(guī)范第2部分計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)規(guī)范CodeofconstructionitemconcernedthesafeofnativePart2Codeforcomputernetworksystem2017-03-31發(fā)布2017-05-31實(shí)施湖南省質(zhì)量技術(shù)監(jiān)督局發(fā)布I 2規(guī)范性引用文件 4計(jì)算機(jī)信息系統(tǒng)安全模型 7計(jì)算機(jī)信息系統(tǒng)安全評估 本標(biāo)準(zhǔn)按GB/T1.1—2009給出的規(guī)則——第6部分：電子巡查系統(tǒng)規(guī)范公司、湖南中韜信息科技有限公司、長沙市恒和科技儀器有劍佳、鐘聲、黃凌果、寧靜、馮藝、劉建剛、宋維、黃輝強(qiáng)、劉張健建設(shè)項(xiàng)目涉及國家安全的系統(tǒng)規(guī)范第2部分計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)規(guī)范本部分規(guī)定了建設(shè)項(xiàng)目涉及國家安全事項(xiàng)的廳堂擴(kuò)聲系統(tǒng)的術(shù)語和定義、系統(tǒng)技術(shù)要求及系統(tǒng)驗(yàn)h）省內(nèi)各地、市、縣級重要基礎(chǔ)設(shè)施、基礎(chǔ)網(wǎng)絡(luò)管理控制場所n）賓館飯店、寫字樓、商住樓、別墅區(qū)、度假村o）機(jī)場、車站、港口、碼頭、軌道交通等公共交p）根據(jù)國家相關(guān)法律法規(guī)規(guī)定及國家安全行政主管部門通過網(wǎng)絡(luò)相互連接、采用相同安全策略并且不考慮物理位置的計(jì)算設(shè)備在一個(gè)信息系統(tǒng)、系統(tǒng)安全程序、內(nèi)在控制或執(zhí)行中可以被利用系統(tǒng)所有者為系統(tǒng)運(yùn)轉(zhuǎn)而規(guī)定的若干安全規(guī)則、過 b）專有信息；機(jī)場、車站、港口、碼頭、軌道交通等公共交通樞紐建設(shè)項(xiàng)集中居住場所）建設(shè)項(xiàng)目；軍事禁區(qū)、軍事管理（單位）區(qū)的周邊建設(shè)項(xiàng)目；涉密軍工企業(yè)、涉軍科研院所的周邊建設(shè)項(xiàng)目；國家級重點(diǎn)實(shí)驗(yàn)室、重要涉密科研機(jī)構(gòu)的周邊建設(shè)項(xiàng)目；省級重點(diǎn)實(shí)驗(yàn)室、重要科研機(jī)構(gòu)建設(shè)項(xiàng)目；國家、省級重要基礎(chǔ)設(shè)施、基礎(chǔ)網(wǎng)絡(luò)管理及控制場所的周邊建設(shè)項(xiàng)目；省內(nèi)各地、市、縣級重要基礎(chǔ)設(shè)施、基礎(chǔ)網(wǎng)絡(luò)管理控制場所建設(shè)項(xiàng)目；銀行、保險(xiǎn)、證券等金融機(jī)構(gòu)建設(shè)項(xiàng)目；發(fā)電、輸電、變電及配電的管理及控制場所；電信樞紐、無（有）黨政辦公場所及周邊建設(shè)項(xiàng)目；涉密軍工企業(yè)、涉軍科研院所建設(shè)項(xiàng)目；國家級重點(diǎn)實(shí)驗(yàn)室、重要涉密科研機(jī)構(gòu)建設(shè)項(xiàng)目；國家、省級重要基礎(chǔ)設(shè)施、基礎(chǔ)網(wǎng)絡(luò)管理及控制場所建設(shè)項(xiàng)目；各級氣象、郵政、地理測繪等涉密敏感信息集中管理場所建設(shè)項(xiàng)目；各級廣播、電視、省級及以上新聞機(jī)5在安全域內(nèi)部，安全模型至少應(yīng)由安全防護(hù)、安全檢測、應(yīng)安全方案。本規(guī)范建議采用如圖1所示的安全模型。人5.1風(fēng)險(xiǎn)分析b)通過對影響計(jì)算機(jī)信息系統(tǒng)安全運(yùn)行的諸多因素的了解和分析，明確系統(tǒng)存在的風(fēng)險(xiǎn)，找c)對常見的風(fēng)險(xiǎn)(如：后門/陷阱門、拒絕使用、輻射、盜用、偽造、假冒、邏輯炸彈、破壞活動、超級處理、偷竊行為、搭線竊聽以及計(jì)算機(jī)病毒等)進(jìn)行分析，確定每類風(fēng)險(xiǎn)的程度；d)系統(tǒng)設(shè)計(jì)前和運(yùn)行前應(yīng)進(jìn)行靜態(tài)風(fēng)險(xiǎn)分析，以發(fā)f)系統(tǒng)運(yùn)行后應(yīng)進(jìn)行綜合性風(fēng)險(xiǎn)分析，并提供相應(yīng)的系統(tǒng)脆弱性分析報(bào)告；5.2系統(tǒng)安全性檢測分析b)數(shù)據(jù)庫管理系統(tǒng)安全性檢測分析，應(yīng)對支持計(jì)算機(jī)信息系統(tǒng)運(yùn)行的數(shù)據(jù)庫管理系統(tǒng)進(jìn)行安全性 庫管理系統(tǒng)特定的安全脆弱性，分析其存在的缺點(diǎn)和漏洞，提▲▲▲▲▲▲▲▲▲▲▲▲▲2）避開易產(chǎn)生粉塵、有毒氣體、腐蝕性氣體、鹽霧腐蝕6）避免在建筑物的高層、地下室以及用水設(shè)備的下層或隔壁。2）避開易產(chǎn)生粉塵、有毒氣體、腐蝕性氣體、鹽霧腐蝕等2）沒有指定管理人員的明確準(zhǔn)許，任何記錄介質(zhì)、文件材料及各種被保護(hù)品均不準(zhǔn)帶出4）獲準(zhǔn)進(jìn)入機(jī)房的來訪人員，其活動范圍應(yīng)受到限制，并有接待不同標(biāo)記的證章、重要部位的出入口設(shè)置電1）機(jī)房供電系統(tǒng)應(yīng)將動力、照明用電與1）機(jī)房供電系統(tǒng)應(yīng)將動力、照明用電與2）建立備用的供電系統(tǒng)，以備常用供電1）機(jī)房供電系統(tǒng)應(yīng)將動力、照明用電與2）建立備用的供電系統(tǒng)，以備常用供電3）采用不間斷供電電源，防止電壓波動、電器干擾、斷電等對2）機(jī)房地板從地板表面到接地系統(tǒng)的阻值，應(yīng)保證防人身3）機(jī)房中使用的各種家具，工作臺、柜等，應(yīng)選4）在機(jī)房中使用靜電消除劑和靜電消除器等，以進(jìn)一步減少2）人員服裝采用不易產(chǎn)生靜電的衣料，工作鞋3）機(jī)房地板從地板表面到接地系統(tǒng)的阻值，應(yīng)保證防4）機(jī)房中使用的各種家具，工作臺、柜等，應(yīng)選擇產(chǎn)生靜電6）在機(jī)房中使用靜電消除劑和靜電消除器等，以進(jìn)一6）對磁帶、磁盤等磁介質(zhì)的保管存放，應(yīng)注意電磁感應(yīng)的影響，如,,。部件應(yīng)有明顯的無法除去的標(biāo)記，以防更換和部件應(yīng)有明顯的無法除去的標(biāo)記，以防更換和3）機(jī)房外部的網(wǎng)絡(luò)設(shè)備，應(yīng)采取加固防護(hù)等措施部件應(yīng)有明顯的無法除去的標(biāo)記，以防更換和2）應(yīng)提供可靠的運(yùn)行支持，并有一定的故障容錯(cuò)2）應(yīng)該刪除和銷毀的有用數(shù)據(jù)，應(yīng)有一定措施，防止被非法拷貝。2）系統(tǒng)中有很高使用價(jià)值或很高機(jī)密程度的重要數(shù)據(jù)，應(yīng)采用加密3）應(yīng)該刪除和銷毀的有用數(shù)據(jù)，應(yīng)有一定措4）應(yīng)該刪除和銷毀的重要數(shù)據(jù)，應(yīng)采取有效措施，防止應(yīng)采取有效措施，如建立介質(zhì)庫、異地存放等，防止被盜、被毀和發(fā)4）應(yīng)該刪除和銷毀的有用數(shù)據(jù)，應(yīng)有一定措施，防止被5）應(yīng)該刪除和銷毀的重要數(shù)據(jù)和關(guān)鍵數(shù)據(jù)，應(yīng)采取有效措6）重要數(shù)據(jù)的銷毀和處理，要有嚴(yán)格的管理和審批手續(xù)，而對于關(guān)鍵數(shù)邊界設(shè)備包括防火墻、代理服務(wù)器、路由器、交代理服務(wù)器的安全技術(shù)要求按GB/T17900的要求執(zhí)行。交換機(jī)的安全技術(shù)要求按GA/T684的要求執(zhí)行。有人員實(shí)施的操作等可審計(jì)事件以及其它與系統(tǒng)安全有關(guān)的事件或?qū)ｉT定義的可審計(jì)事3）對于身份鑒別事件，審計(jì)記錄應(yīng)包含請求的析。安全審計(jì)分析包括：潛在侵害分析，基于異常檢測的描述，簡單攻存儲受保護(hù)的審計(jì)蹤跡、確保審計(jì)數(shù)據(jù)的可用性a）密鑰產(chǎn)生，要求安全功能根據(jù)有關(guān)標(biāo)準(zhǔn)的特定的算法和密鑰長b）密鑰分配，要求安全功能根據(jù)有關(guān)標(biāo)準(zhǔn)的特定的分配方法來分c）密鑰訪問，要求安全功能根據(jù)有關(guān)標(biāo)準(zhǔn)的特定d）密鑰銷毀，要求安全功能根據(jù)有關(guān)標(biāo)準(zhǔn)的特定的銷毀方法來銷毀密鑰。運(yùn)算功能的正確性和不同級別的密碼運(yùn)算的不同強(qiáng)度。典型的密碼運(yùn)算包括：數(shù)據(jù)加密和/或解密，數(shù)安全技術(shù)要求按GA/T388的要求執(zhí)行?，F(xiàn)數(shù)據(jù)庫的安全保護(hù)。數(shù)據(jù)庫安全技術(shù)要求按GA/T389的要求執(zhí)行。不可否認(rèn)性的鑒別。認(rèn)證鑒別系統(tǒng)安全技術(shù)要求接收信息的主體在數(shù)據(jù)交換期間能獲得證明信息原發(fā)的證據(jù)，而且該證據(jù)可由該主體或第三方主體驗(yàn)。a）SSL1：存儲數(shù)據(jù)的完整性檢測、數(shù)據(jù)交換入侵檢測系統(tǒng)（IDS）是對防火墻的必要補(bǔ)充，作為重要的網(wǎng)絡(luò)安全工具，可以對系統(tǒng)b）SSL2：定期對計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性進(jìn)行分析，并根據(jù)分析結(jié)果標(biāo)的注意力，增加入侵攻擊代價(jià)，盡可能多地收集攻擊信息，以識別和跟蹤入流程圖。a）用戶自我信息備份，由用戶自身有選擇息系統(tǒng)，設(shè)置主機(jī)系統(tǒng)的異地備份，對于重要的數(shù)據(jù)a)包含系統(tǒng)安全目標(biāo)和安全范圍、系統(tǒng)設(shè)施和操作等內(nèi)容的 全資質(zhì)的要求也做出相應(yīng)規(guī)定，不同的級別項(xiàng)目應(yīng)建立管理崗、安全崗、審計(jì)崗的三員權(quán)限制約機(jī)制，b）安全管理機(jī)構(gòu)的建立，及其職責(zé)的確定和人員的e）定期對計(jì)算機(jī)信息系統(tǒng)的所有用戶進(jìn)行檢查b）對安全區(qū)域活動的實(shí)時(shí)監(jiān)視。全管理制度、測試和脆弱性評估制度、系統(tǒng)信息安全備a）針對系統(tǒng)內(nèi)置角色，操作系統(tǒng)安全管理主要包括：網(wǎng)絡(luò)連接檢查評估制度、網(wǎng)絡(luò)使用授權(quán)制k）針對網(wǎng)絡(luò)之間的連接，可審計(jì)的安全措施的實(shí)施，物理或邏輯網(wǎng)絡(luò)隔離的o）針對網(wǎng)絡(luò)連接、網(wǎng)絡(luò)安全措施、網(wǎng)絡(luò)a）針對安全措施的使用情況，嚴(yán)格審計(jì)制度、b）應(yīng)用系統(tǒng)開發(fā)人員與審計(jì)工作的隔離，操作系統(tǒng)管理人員與應(yīng)用系統(tǒng)安全管理工作的c）針對不同等級的應(yīng)用系統(tǒng)，不同的備份計(jì)劃和應(yīng)急計(jì)劃的制病毒防護(hù)、第三方訪問安全管理、應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃管理、變更a）針對生命周期各個(gè)階段的安全管理工作，相應(yīng)目a）系統(tǒng)各類人員安全意識，安全教育和培訓(xùn)計(jì)b）在系統(tǒng)所有終端有效防范病毒或惡意代碼引入的b）針對關(guān)鍵應(yīng)用系統(tǒng)和支持系統(tǒng)的應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃的制定、b）應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃做到重點(diǎn)突出、有效執(zhí)行的員員c）針對所有計(jì)劃和制度執(zhí)行情況的定期b）被測評單位應(yīng)該配合測評單位，并提供資料、文檔、數(shù)據(jù)、場地等準(zhǔn)備c）評估過程應(yīng)該包括約談、文檔審查、配置審查評估結(jié)果應(yīng)該包括評估記錄、問題匯總、風(fēng)險(xiǎn)分析