信息系統安全等級保護基本要求
1 范圍
本標準規定了不同安全保護等級信息系統的基本保護要求�����,包括基本技術要求和基本管理要求�����,適用于指導分等級的信息系統的安全建設和監督管理�。
2 規范性引用文件
下列文件中的條款通過在本標準的引用而成為本標準的條款�。凡是注日期的引用文件��,其隨后所有的修改單(不包括勘誤的內容)或修訂版均不適用于本標準��,然而�,鼓勵根據本標準達成協議的各方研究是否使用這些文件的最新版本����。凡是不注明日期的引用文件���,其最新版本適用于本標準���。
GB/T 5271.8 信息技術 詞匯 第8部分:安全
GB17859-1999 計算機信息系統安全保護等級劃分準則
GB/T AAAA-AAAA 信息安全技術 信息系統安全等級保護定級指南
3 術語和定義
GB/T 5271.8和GB 17859-1999確立的以及下列術語和定義適用于本標準��。
3.1
安全保護能力 security protection ability
系統能夠抵御威脅���、發現安全事件以及在系統遭到損害后能夠恢復先前狀態等的程度��。
4 信息系統安全等級保護概述
4.1 信息系統安全保護等級
信息系統根據其在國家安全�����、經濟建設���、社會生活中的重要程度���,遭到破壞后對國家安全��、社會秩序�、公共利益以及公民�����、法人和其他組織的合法權益的危害程度等��,由低到高劃分為五級��,五級定義見GB/T AAAA-AAAA��。
4.2 不同等級的安全保護能力
不同等級的信息系統應具備的基本安全保護能力如下:
第一級安全保護能力:應能夠防護系統免受來自個人的�、擁有很少資源的威脅源發起的惡意攻擊����、一般的自然災難����、以及其他相當危害程度的威脅所造成的關鍵資源損害���,在系統遭到損害后���,能夠恢復部分功能��。
第二級安全保護能力:應能夠防護系統免受來自外部小型組織的����、擁有少量資源的威脅源發起的惡意攻擊�����、一般的自然災難�����、以及其他相當危害程度的威脅所造成的重要資源損害���,能夠發現重要的安全漏洞和安全事件���,在系統遭到損害后����,能夠在一段時間內恢復部分功能����。
第三級安全保護能力:應能夠在統一安全策略下防護系統免受來自外部有組織的團體��、擁有較為豐富資源的威脅源發起的惡意攻擊�����、較為嚴重的自然災難�����、以及其他相當危害程度的威脅所造成的主要資源損害�����,能夠發現安全漏洞和安全事件����,在系統遭到損害后�����,能夠較快恢復絕大部分功能��。
第四級安全保護能力:應能夠在統一安全策略下防護系統免受來自國家級別的���、敵對組織的����、擁有豐富資源的威脅源發起的惡意攻擊�����、嚴重的自然災難�、以及其他相當危害程度的威脅所造成的資源損害����,能夠發現安全漏洞和安全事件�,在系統遭到損害后��,能夠迅速恢復所有功能�。
第五級安全保護能力:(略)���。
4.3 基本技術要求和基本管理要求
信息系統安全等級保護應依據信息系統的安全保護等級情況保證它們具有相應等級的基本安全保護能力����,不同安全保護等級的信息系統要求具有不同的安全保護能力�����。
基本安全要求是針對不同安全保護等級信息系統應該具有的基本安全保護能力提出的安全要求�,根據實現方式的不同���,基本安全要求分為基本技術要求和基本管理要求兩大類��。技術類安全要求與信息系統提供的技術安全機制有關����,主要通過在信息系統中部署軟硬件并正確的配置其安全功能來實現���;管理類安全要求與信息系統中各種角色參與的活動有關����,主要通過控制各種角色的活動�,從政策���、制度��、規范�、流程以及記錄等方面做出規定來實現�����。
基本技術要求從物理安全���、網絡安全���、主機安全����、應用安全和數據安全幾個層面提出����;基本管理要求從安全管理制度���、安全管理機構��、人員安全管理�、系統建設管理和系統運維管理幾個方面提出���,基本技術要求和基本管理要求是確保信息系統安全不可分割的兩個部分���。
基本安全要求從各個層面或方面提出了系統的每個組件應該滿足的安全要求��,信息系統具有的整體安全保護能力通過不同組件實現基本安全要求來保證��。除了保證系統的每個組件滿足基本安全要求外�,還要考慮組件之間的相互關系����,來保證信息系統的整體安全保護能力�����。關于信息系統整體安全保護能力的說明見附錄A�。
對于涉及國家秘密的信息系統�,應按照國家保密工作部門的相關規定和標準進行保護�����。對于涉及密碼的使用和管理���,應按照國家密碼管理的相關規定和標準實施���。
4.4 基本技術要求的三種類型
根據保護側重點的不同���,技術類安全要求進一步細分為:保護數據在存儲����、傳輸���、處理過程中不被泄漏����、破壞和免受未授權的修改的信息安全類要求(簡記為S)�;保護系統連續正常的運行�����,免受對系統的未授權修改����、破壞而導致系統不可用的服務保證類要求(簡記為A)��;通用安全保護類要求(簡記為G)�����。
本標準中對基本安全要求使用了標記�����,其中的字母表示安全要求的類型�,數字表示適用的安全保護等級���。
5 第一級基本要求
5.1 技術要求
5.1.1 物理安全
5.1.1.1 物理訪問控制(G1)
機房出入應安排專人負責��,控制��、鑒別和記錄進入的人員���。
5.1.1.2 防盜竊和防破壞(G1)
本項要求包括:
a) 應將主要設備放置在機房內�;
b) 應將設備或主要部件進行固定�����,并設置明顯的不易除去的標記�����。
5.1.1.3 防雷擊(G1)
機房建筑應設置避雷裝置�����。
5.1.1.4 防火(G1)
機房應設置滅火設備���。
5.1.1.5 防水和防潮(G1)
本項要求包括:
a) 應對穿過機房墻壁和樓板的水管增加必要的保護措施�����;
b) 應采取措施防止雨水通過機房窗戶����、屋頂和墻壁滲透���。
5.1.1.6 溫濕度控制(G1)
機房應設置必要的溫�����、濕度控制設施���,使機房溫���、濕度的變化在設備運行所允許的范圍之內�。
5.1.1.7 電力供應(A1)
應在機房供電線路上配置穩壓器和過電壓防護設備����。
5.1.2 網絡安全
5.1.2.1 結構安全(G1)
本項要求包括:
a) 應保證關鍵網絡設備的業務處理能力滿足基本業務需要���;
b) 應保證接入網絡和核心網絡的帶寬滿足基本業務需要���;
c) 應繪制與當前運行情況相符的網絡拓撲結構圖���。
5.1.2.2 訪問控制(G1)
本項要求包括:
a) 應在網絡邊界部署訪問控制設備����,啟用訪問控制功能��;
b) 應根據訪問控制列表對源地址����、目的地址����、源端口���、目的端口和協議等進行檢查�����,以允許/拒絕數據包出入�����;
c) 應通過訪問控制列表對系統資源實現允許或拒絕用戶訪問��,控制粒度至少為用戶組��。
5.1.2.3 網絡設備防護(G1)
本項要求包括:
a) 應對登錄網絡設備的用戶進行身份鑒別�����;
b) 應具有登錄失敗處理功能����,可采取結束會話����、限制非法登錄次數和當網絡登錄連接超時自動退出等措施����;
c) 當對網絡設備進行遠程管理時�,應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽�。
5.1.3 主機安全
5.1.3.1 身份鑒別(S1)
應對登錄操作系統和數據庫系統的用戶進行身份標識和鑒別�����。
5.1.3.2 訪問控制(S1)
本項要求包括:
a) 應啟用訪問控制功能�����,依據安全策略控制用戶對資源的訪問�����;
b) 應限制默認帳戶的訪問權限�����,重命名系統默認帳戶��,修改這些帳戶的默認口令���;
c) 應及時刪除多余的��、過期的帳戶�����,避免共享帳戶的存在�。
5.1.3.3 入侵防范(G1)
操作系統應遵循最小安裝的原則�����,僅安裝需要的組件和應用程序�����,并保持系統補丁及時得到更新���。
5.1.3.4 惡意代碼防范(G1)
應安裝防惡意代碼軟件��,并及時更新防惡意代碼軟件版本和惡意代碼庫����。
5.1.4 應用安全
5.1.4.1 身份鑒別(S1)
本項要求包括:
a) 應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別�����;
b) 應提供登錄失敗處理功能����,可采取結束會話����、限制非法登錄次數和自動退出等措施�;
c) 應啟用身份鑒別和登錄失敗處理功能����,并根據安全策略配置相關參數�。
5.1.4.2 訪問控制(S1)
本項要求包括:
a) 應提供訪問控制功能控制用戶組/用戶對系統功能和用戶數據的訪問�;
b) 應由授權主體配置訪問控制策略����,并嚴格限制默認用戶的訪問權限��。
5.1.4.3 通信完整性(S1)
應采用約定通信會話方式的方法保證通信過程中數據的完整性���。
5.1.4.4 軟件容錯(A1)
應提供數據有效性檢驗功能�����,保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統設定要求��。
5.1.5 數據安全及備份恢復
5.1.5.1 數據完整性(S1)
應能夠檢測到重要用戶數據在傳輸過程中完整性受到破壞����。
5.1.5.2 備份和恢復(A1)
應能夠對重要信息進行備份和恢復�����。
5.2 管理要求
5.2.1 安全管理制度
5.2.1.1 管理制度(G1)
應建立日常管理活動中常用的安全管理制度����。
5.2.1.2 制定和發布(G1)
本項要求包括:
a) 應指定或授權專門的人員負責安全管理制度的制定�����;
b) 應將安全管理制度以某種方式發布到相關人員手中�����。
5.2.2 安全管理機構
5.2.2.1 崗位設置(G1)
應設立系統管理員����、網絡管理員�����、安全管理員等崗位��,并定義各個工作崗位的職責��。
5.2.2.2 人員配備(G1)
應配備一定數量的系統管理員����、網絡管理員�����、安全管理員等��。
5.2.2.3 授權和審批(G1)
應根據各個部門和崗位的職責明確授權審批部門及批準人�����,對系統投入運行����、網絡系統接入和重要資源的訪問等關鍵活動進行審批��。
5.2.2.4 溝通和合作(G1)
應加強與兄弟單位����、公安機關���、電信公司的合作與溝通���。
5.2.3 人員安全管理
5.2.3.1 人員錄用(G1)
本項要求包括:
a) 應指定或授權專門的部門或人員負責人員錄用���;
b) 應對被錄用人員的身份和專業資格等進行審查���,并確保其具有基本的專業技術水平和安全管理知識��。
5.2.3.2 人員離崗(G1)
本項要求包括:
a) 應立即終止由于各種原因離崗員工的所有訪問權限���;
b) 應取回各種身份證件����、鑰匙����、徽章等以及機構提供的軟硬件設備����。
5.2.3.3 安全意識教育和培訓(G1)
本項要求包括:
a) 應對各類人員進行安全意識教育和崗位技能培訓��;
b) 應告知人員相關的安全責任和懲戒措施�����。
5.2.3.4 外部人員訪問管理(G1)
應確保在外部人員訪問受控區域前得到授權或審批��。
5.2.4 系統建設管理
5.2.4.1 系統定級(G1)
本項要求包括:
a) 應明確信息系統的邊界和安全保護等級����;
b) 應以書面的形式說明信息系統確定為某個安全保護等級的方法和理由���;
c) 應確保信息系統的定級結果經過相關部門的批準�����。
5.2.4.2 安全方案設計(G1)
本項要求包括:
a) 應根據系統的安全保護等級選擇基本安全措施����,依據風險分析的結果補充和調整安全措施�;
b) 應以書面的形式描述對系統的安全保護要求和策略��、安全措施等內容�����,形成系統的安全方案����;
c) 應對安全方案進行細化���,形成能指導安全系統建設��、安全產品采購和使用的詳細設計方案�。
5.2.4.3 產品采購和使用(G1)
應確保安全產品采購和使用符合國家的有關規定���。
5.2.4.4 自行軟件開發(G1)
本項要求包括:
a) 應確保開發環境與實際運行環境物理分開�����;
b) 應確保軟件設計相關文檔由專人負責保管�。
5.2.4.5 外包軟件開發(G1)
本項要求包括:
a) 應根據開發要求檢測軟件質量����;
b) 應在軟件安裝之前檢測軟件包中可能存在的惡意代碼���;
c) 應確保提供軟件設計的相關文檔和使用指南��。
5.2.4.6 工程實施(G1)
應指定或授權專門的部門或人員負責工程實施過程的管理�����。
5.2.4.7 測試驗收(G1)
本項要求包括:
a) 應對系統進行安全性測試驗收��;
b) 在測試驗收前應根據設計方案或合同要求等制訂測試驗收方案����,在測試驗收過程中應詳細記錄測試驗收結果�,并形成測試驗收報告�����。
5.2.4.8 系統交付(G1)
本項要求包括:
a) 應制定系統交付清單�����,并根據交付清單對所交接的設備�����、軟件和文檔等進行清點��;
b) 應對負責系統運行維護的技術人員進行相應的技能培訓�����;
c) 應確保提供系統建設過程中的文檔和指導用戶進行系統運行維護的文檔�。
5.2.4.9 安全服務商選擇(G1)
本項要求包括:
a) 應確保安全服務商的選擇符合國家的有關規定�����;
b) 應與選定的安全服務商簽訂與安全相關的協議�,明確約定相關責任����。
5.2.5 系統運維管理
5.2.5.1 環境管理(G1)
本項要求包括:
a) 應指定專門的部門或人員定期對機房供配電�、空調����、溫濕度控制等設施進行維護管理��;
b) 應對機房的出入�����、服務器的開機或關機等工作進行管理�;
c) 應建立機房安全管理制度�,對有關機房物理訪問�,物品帶進��、帶出機房和機房環境安全等方面的管理作出規定�。
5.2.5.2 資產管理(G1)
應編制與信息系統相關的資產清單��,包括資產責任部門�、重要程度和所處位置等內容����。
5.2.5.3 介質管理(G1)
本項要求包括:
a) 應確保介質存放在安全的環境中���,對各類介質進行控制和保護�����;
b) 應對介質歸檔和查詢等過程進行記錄�,并根據存檔介質的目錄清單定期盤點��。
5.2.5.4 設備管理(G1)
本項要求包括:
a) 應對信息系統相關的各種設備���、線路等指定專門的部門或人員定期進行維護管理����;
b) 應建立基于申報�����、審批和專人負責的設備安全管理制度�����,對信息系統的各種軟硬件設備的選型�����、采購��、發放和領用等過程進行規范化管理�。
5.2.5.5 網絡安全管理(G1)
本項要求包括:
a) 應指定人員對網絡進行管理����,負責運行日志����、網絡監控記錄的日常維護和報警信息分析和處理工作��;
b) 應定期進行網絡系統漏洞掃描�,對發現的網絡系統安全漏洞進行及時的修補���。
5.2.5.6 系統安全管理(G1)
本項要求包括:
a) 應根據業務需求和系統安全分析確定系統的訪問控制策略����;
b) 應定期進行漏洞掃描���,對發現的系統安全漏洞進行及時的修補�;
c) 應安裝系統的最新補丁程序�,并在安裝系統補丁前對現有的重要文件進行備份���。
5.2.5.7 惡意代碼防范管理(G1)
應提高所有用戶的防病毒意識�����,告知及時升級防病毒軟件��,在讀取移動存儲設備上的數據以及網絡上接收文件或郵件之前��,先進行病毒檢查��,對外來計算機或存儲設備接入網絡系統之前也應進行病毒檢查�����。
5.2.5.8 備份與恢復管理(G1)
本項要求包括:
a) 應識別需要定期備份的重要業務信息�、系統數據及軟件系統等�����;
b) 應規定備份信息的備份方式�����、備份頻度���、存儲介質�����、保存期等�����。
5.2.5.9 安全事件處置(G1)
本項要求包括:
a) 應報告所發現的安全弱點和可疑事件��,但任何情況下用戶均不應嘗試驗證弱點��;
b) 應制定安全事件報告和處置管理制度���,規定安全事件的現場處理���、事件報告和后期恢復的管理職責���。
6 第二級基本要求
6.1 技術要求
6.1.1 物理安全
6.1.1.1 物理位置的選擇(G2)
機房和辦公場地應選擇在具有防震���、防風和防雨等能力的建筑內���。
6.1.1.2 物理訪問控制(G2)
本項要求包括:
a) 機房出入口應安排專人值守��,控制�、鑒別和記錄進入的人員�;
b) 需進入機房的來訪人員應經過申請和審批流程�����,并限制和監控其活動范圍����。
6.1.1.3 防盜竊和防破壞(G2)
本項要求包括:
a) 應將主要設備放置在機房內����;
b) 應將設備或主要部件進行固定�����,并設置明顯的不易除去的標記��;
c) 應將通信線纜鋪設在隱蔽處��,可鋪設在地下或管道中���;
d) 應對介質分類標識���,存儲在介質庫或檔案室中���;
e) 主機房應安裝必要的防盜報警設施�。
6.1.1.4 防雷擊(G2)
本項要求包括:
a) 機房建筑應設置避雷裝置���;
b) 機房應設置交流電源地線�。
6.1.1.5 防火(G2)
機房應設置滅火設備和火災自動報警系統�����。
6.1.1.6 防水和防潮(G2)
本項要求包括:
a) 水管安裝����,不得穿過機房屋頂和活動地板下�����;
b) 應采取措施防止雨水通過機房窗戶����、屋頂和墻壁滲透����;
c) 應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透���。
6.1.1.7 防靜電(G2)
關鍵設備應采用必要的接地防靜電措施����。
6.1.1.8 溫濕度控制(G2)
機房應設置溫�、濕度自動調節設施�����,使機房溫�、濕度的變化在設備運行所允許的范圍之內���。
6.1.1.9 電力供應(A2)
本項要求包括:
a) 應在機房供電線路上配置穩壓器和過電壓防護設備�����;
b) 應提供短期的備用電力供應��,至少滿足關鍵設備在斷電情況下的正常運行要求�����。
6.1.1.10 電磁防護(S2)
電源線和通信線纜應隔離鋪設���,避免互相干擾���。
6.1.2 網絡安全
6.1.2.1 結構安全(G2)
本項要求包括:
a) 應保證關鍵網絡設備的業務處理能力具備冗余空間����,滿足業務高峰期需要���;
b) 應保證接入網絡和核心網絡的帶寬滿足業務高峰期需要�����;
c) 應繪制與當前運行情況相符的網絡拓撲結構圖���;
d) 應根據各部門的工作職能��、重要性和所涉及信息的重要程度等因素����,劃分不同的子網或網段�����,并按照方便管理和控制的原則為各子網����、網段分配地址段����。
6.1.2.2 訪問控制(G2)
本項要求包括:
a) 應在網絡邊界部署訪問控制設備���,啟用訪問控制功能����;
b) 應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力����,控制粒度為網段級���。
c) 應按用戶和系統之間的允許訪問規則���,決定允許或拒絕用戶對受控系統進行資源訪問��,控制粒度為單個用戶��;
d) 應限制具有撥號訪問權限的用戶數量��。
6.1.2.3 安全審計(G2)
本項要求包括:
a) 應對網絡系統中的網絡設備運行狀況��、網絡流量����、用戶行為等進行日志記錄���;
b) 審計記錄應包括事件的日期和時間���、用戶��、事件類型����、事件是否成功及其他與審計相關的信息���。
6.1.2.4 邊界完整性檢查(S2)
應能夠對內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為進行檢查����。
6.1.2.5 入侵防范(G2)
應在網絡邊界處監視以下攻擊行為:端口掃描���、強力攻擊���、木馬后門攻擊��、拒絕服務攻擊���、緩沖區溢出攻擊�����、IP碎片攻擊和網絡蠕蟲攻擊等���。
6.1.2.6 網絡設備防護(G2)
本項要求包括:
a) 應對登錄網絡設備的用戶進行身份鑒別��;
b) 應對網絡設備的管理員登錄地址進行限制�;
c) 網絡設備用戶的標識應唯一�����;
d) 身份鑒別信息應具有不易被冒用的特點����,口令應有復雜度要求并定期更換��;
e) 應具有登錄失敗處理功能��,可采取結束會話�����、限制非法登錄次數和當網絡登錄連接超時自動退出等措施��;
f) 當對網絡設備進行遠程管理時�����,應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽����。
6.1.3 主機安全
6.1.3.1 身份鑒別(S2)
本項要求包括:
a) 應對登錄操作系統和數據庫系統的用戶進行身份標識和鑒別����;
b) 操作系統和數據庫系統管理用戶身份標識應具有不易被冒用的特點�����,口令應有復雜度要求并定期更換����;
c) 應啟用登錄失敗處理功能�����,可采取結束會話�����、限制非法登錄次數和自動退出等措施��;
d) 當對服務器進行遠程管理時�,應采取必要措施���,防止鑒別信息在網絡傳輸過程中被竊聽�����;
e) 應為操作系統和數據庫系統的不同用戶分配不同的用戶名���,確保用戶名具有唯一性��。
6.1.3.2 訪問控制(S2)
本項要求包括:
a) 應啟用訪問控制功能���,依據安全策略控制用戶對資源的訪問�����;
b) 應實現操作系統和數據庫系統特權用戶的權限分離��;
c) 應限制默認帳戶的訪問權限��,重命名系統默認帳戶��,修改這些帳戶的默認口令�;
d) 應及時刪除多余的�����、過期的帳戶�,避免共享帳戶的存在����。
6.1.3.3 安全審計(G2)
本項要求包括:
a) 審計范圍應覆蓋到服務器上的每個操作系統用戶和數據庫用戶�����;
b) 審計內容應包括重要用戶行為���、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件��;
c) 審計記錄應包括事件的日期����、時間�、類型�����、主體標識�����、客體標識和結果等�����;
d) 應保護審計記錄���,避免受到未預期的刪除����、修改或覆蓋等��。
6.1.3.4 入侵防范(G2)
操作系統應遵循最小安裝的原則��,僅安裝需要的組件和應用程序���,并通過設置升級服務器等方式保持系統補丁及時得到更新����。
6.1.3.5 惡意代碼防范(G2)
本項要求包括:
a) 應安裝防惡意代碼軟件��,并及時更新防惡意代碼軟件版本和惡意代碼庫�;
b) 應支持防惡意代碼軟件的統一管理�����。
6.1.3.6 資源控制(A2)
本項要求包括:
a) 應通過設定終端接入方式�、網絡地址范圍等條件限制終端登錄����;
b) 應根據安全策略設置登錄終端的操作超時鎖定�����;
c) 應限制單個用戶對系統資源的最大或最小使用限度�����。
6.1.4 應用安全
6.1.4.1 身份鑒別(S2)
本項要求包括:
a) 應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別�;
b) 應提供用戶身份標識唯一和鑒別信息復雜度檢查功能�����,保證應用系統中不存在重復用戶身份標識�����,身份鑒別信息不易被冒用�����;
c) 應提供登錄失敗處理功能��,可采取結束會話�����、限制非法登錄次數和自動退出等措施��;
d) 應啟用身份鑒別��、用戶身份標識唯一性檢查����、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能��,并根據安全策略配置相關參數���。
6.1.4.2 訪問控制(S2)
本項要求包括:
a) 應提供訪問控制功能�,依據安全策略控制用戶對文件��、數據庫表等客體的訪問����;
b) 訪問控制的覆蓋范圍應包括與資源訪問相關的主體�����、客體及它們之間的操作����;
c) 應由授權主體配置訪問控制策略����,并嚴格限制默認帳戶的訪問權限���;
d) 應授予不同帳戶為完成各自承擔任務所需的最小權限�����,并在它們之間形成相互制約的關系���。
6.1.4.3 安全審計(G2)
本項要求包括:
a) 應提供覆蓋到每個用戶的安全審計功能����,對應用系統重要安全事件進行審計���;
b) 應保證無法刪除���、修改或覆蓋審計記錄���;
c) 審計記錄的內容至少應包括事件日期����、時間�、發起者信息���、類型���、描述和結果等�。
6.1.4.4 通信完整性(S2)
應采用校驗碼技術保證通信過程中數據的完整性��。
6.1.4.5 通信保密性(S2)
本項要求包括:
a) 在通信雙方建立連接之前����,應用系統應利用密碼技術進行會話初始化驗證���;
b) 應對通信過程中的敏感信息字段進行加密���。
6.1.4.6 軟件容錯(A2)
本項要求包括:
a) 應提供數據有效性檢驗功能����,保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統設定要求�;
b) 在故障發生時���,應用系統應能夠繼續提供一部分功能��,確保能夠實施必要的措施��。
6.1.4.7 資源控制(A2)
本項要求包括:
a) 當應用系統的通信雙方中的一方在一段時間內未作任何響應�����,另一方應能夠自動結束會話�����;
b) 應能夠對應用系統的最大并發會話連接數進行限制���;
c) 應能夠對單個帳戶的多重并發會話進行限制�。
6.1.5 數據安全及備份恢復
6.1.5.1 數據完整性(S2)
應能夠檢測到鑒別信息和重要業務數據在傳輸過程中完整性受到破壞��。
6.1.5.2 數據保密性(S2)
應采用加密或其他保護措施實現鑒別信息的存儲保密性����。
6.1.5.3 備份和恢復(A2)
本項要求包括:
a) 應能夠對重要信息進行備份和恢復�;
b) 應提供關鍵網絡設備���、通信線路和數據處理系統的硬件冗余���,保證系統的可用性�����。
6.2 管理要求
6.2.1 安全管理制度
6.2.1.1 管理制度(G2)
本項要求包括:
a) 應制定信息安全工作的總體方針和安全策略��,說明機構安全工作的總體目標��、范圍����、原則和安全框架等��;
b) 應對安全管理活動中重要的管理內容建立安全管理制度���;
c) 應對安全管理人員或操作人員執行的重要管理操作建立操作規程�����。
6.2.1.2 制定和發布(G2)
本項要求包括:
a) 應指定或授權專門的部門或人員負責安全管理制度的制定�����;
b) 應組織相關人員對制定的安全管理制度進行論證和審定��;
c) 應將安全管理制度以某種方式發布到相關人員手中�。
6.2.1.3 評審和修訂(G2)
應定期對安全管理制度進行評審��,對存在不足或需要改進的安全管理制度進行修訂����。
6.2.2 安全管理機構
6.2.2.1 崗位設置(G2)
本項要求包括:
a) 應設立安全主管���、安全管理各個方面的負責人崗位�,并定義各負責人的職責�;
b) 應設立系統管理員�、網絡管理員����、安全管理員等崗位�����,并定義各個工作崗位的職責�����。
6.2.2.2 人員配備(G2)
本項要求包括:
a) 應配備一定數量的系統管理員�、網絡管理員����、安全管理員等���;
b) 安全管理員不能兼任網絡管理員���、系統管理員��、數據庫管理員等���。
6.2.2.3 授權和審批(G2)
本項要求包括:
a) 應根據各個部門和崗位的職責明確授權審批部門及批準人���,對系統投入運行����、網絡系統接入和重要資源的訪問等關鍵活動進行審批�����;
b) 應針對關鍵活動建立審批流程���,并由批準人簽字確認����。
6.2.2.4 溝通和合作(G2)
本項要求包括:
a) 應加強各類管理人員之間����、組織內部機構之間以及信息安全職能部門內部的合作與溝通�;
b) 應加強與兄弟單位����、公安機關���、電信公司的合作與溝通�。
6.2.2.5 審核和檢查(G2)
安全管理員應負責定期進行安全檢查��,檢查內容包括系統日常運行����、系統漏洞和數據備份等情況����。
6.2.3 人員安全管理
6.2.3.1 人員錄用(G2)
本項要求包括:
a) 應指定或授權專門的部門或人員負責人員錄用�����;
b) 應規范人員錄用過程����,對被錄用人員的身份���、背景和專業資格等進行審查�����,對其所具有的技術技能進行考核���;
c) 應與從事關鍵崗位的人員簽署保密協議�。
6.2.3.2 人員離崗(G2)
本項要求包括:
a) 應規范人員離崗過程�,及時終止離崗員工的所有訪問權限�����;
b) 應取回各種身份證件���、鑰匙�����、徽章等以及機構提供的軟硬件設備��;
c) 應辦理嚴格的調離手續�����。
6.2.3.3 人員考核(G2)
應定期對各個崗位的人員進行安全技能及安全認知的考核�����。
6.2.3.4 安全意識教育和培訓(G2)
本項要求包括:
a) 應對各類人員進行安全意識教育���、崗位技能培訓和相關安全技術培訓�����;
b) 應告知人員相關的安全責任和懲戒措施�,并對違反違背安全策略和規定的人員進行懲戒�;
c) 應制定安全教育和培訓計劃���,對信息安全基礎知識����、崗位操作規程等進行培訓�����。
6.2.3.5 外部人員訪問管理(G2)
應確保在外部人員訪問受控區域前得到授權或審批���,批準后由專人全程陪同或監督����,并登記備案�。
6.2.4 系統建設管理
6.2.4.1 系統定級(G2)
本項要求包括:
a) 應明確信息系統的邊界和安全保護等級�����;
b) 應以書面的形式說明信息系統確定為某個安全保護等級的方法和理由�����;
c) 應確保信息系統的定級結果經過相關部門的批準�����。
6.2.4.2 安全方案設計(G2)
本項要求包括:
a) 應根據系統的安全保護等級選擇基本安全措施��,依據風險分析的結果補充和調整安全措施�;
b) 應以書面形式描述對系統的安全保護要求����、策略和措施等內容�,形成系統的安全方案����;
c) 應對安全方案進行細化�,形成能指導安全系統建設�����、安全產品采購和使用的詳細設計方案��;
d) 應組織相關部門和有關安全技術專家對安全設計方案的合理性和正確性進行論證和審定�����,并且經過批準后�,才能正式實施�����。
6.2.4.3 產品采購和使用(G2)
本項要求包括:
a) 應確保安全產品采購和使用符合國家的有關規定�����;
b) 應確保密碼產品采購和使用符合國家密碼主管部門的要求�����;
c) 應指定或授權專門的部門負責產品的采購�����。
6.2.4.4 自行軟件開發(G2)
本項要求包括:
a) 應確保開發環境與實際運行環境物理分開�;
b) 應制定軟件開發管理制度�����,明確說明開發過程的控制方法和人員行為準則�����;
c) 應確保提供軟件設計的相關文檔和使用指南����,并由專人負責保管����。
6.2.4.5 外包軟件開發(G2)
本項要求包括:
a) 應根據開發要求檢測軟件質量��;
b) 應確保提供軟件設計的相關文檔和使用指南��;
c) 應在軟件安裝之前檢測軟件包中可能存在的惡意代碼�;
d) 應要求開發單位提供軟件源代碼�����,并審查軟件中可能存在的后門����。
6.2.4.6 工程實施(G2)
本項要求包括:
a) 應指定或授權專門的部門或人員負責工程實施過程的管理��;
b) 應制定詳細的工程實施方案���,控制工程實施過程���。
6.2.4.7 測試驗收(G2)
本項要求包括:
a) 應對系統進行安全性測試驗收��;
b) 在測試驗收前應根據設計方案或合同要求等制訂測試驗收方案�,在測試驗收過程中應詳細記錄測試驗收結果����,并形成測試驗收報告�����;
c) 應組織相關部門和相關人員對系統測試驗收報告進行審定�,并簽字確認�����。
6.2.4.8 系統交付(G2)
本項要求包括:
a) 應制定系統交付清單��,并根據交付清單對所交接的設備����、軟件和文檔等進行清點�����;
b) 應對負責系統運行維護的技術人員進行相應的技能培訓�;
c) 應確保提供系統建設過程中的文檔和指導用戶進行系統運行維護的文檔���。
6.2.4.9 安全服務商選擇(G2)
本項要求包括:
a) 應確保安全服務商的選擇符合國家的有關規定��;
b) 應與選定的安全服務商簽訂與安全相關的協議��,明確約定相關責任�����;
c) 應確保選定的安全服務商提供技術支持和服務承諾��,必要的與其簽訂服務合同��。
6.2.5 系統運維管理
6.2.5.1 環境管理(G2)
本項要求包括:
a) 應指定專門的部門或人員定期對機房供配電����、空調�、溫濕度控制等設施進行維護管理�;
b) 應配備機房安全管理人員�����,對機房的出入���、服務器的開機或關機等工作進行管理���;
c) 應建立機房安全管理制度�����,對有關機房物理訪問�,物品帶進����、帶出機房和機房環境安全等方面的管理作出規定��;
d) 應加強對辦公環境的保密性管理�����,包括工作人員調離辦公室應立即交還該辦公室鑰匙和不在辦公區接待來訪人員等�。
6.2.5.2 資產管理(G2)
本項要求包括:
a) 應編制與信息系統相關的資產清單�����,包括資產責任部門��、重要程度和所處位置等內容���;
b) 應建立資產安全管理制度��,規定信息系統資產管理的責任人員或責任部門�,并規范資產管理和使用的行為�����。
6.2.5.3 介質管理(G2)
本項要求包括:
a) 應確保介質存放在安全的環境中���,對各類介質進行控制和保護����,并實行存儲環境專人管理�;
b) 應對介質歸檔和查詢等過程進行記錄��,并根據存檔介質的目錄清單定期盤點�����;
c) 應對需要送出維修或銷毀的介質�,首先清除其中的敏感數據��,防止信息的非法泄漏�����;
d) 應根據所承載數據和軟件的重要程度對介質進行分類和標識管理��。
6.2.5.4 設備管理(G2)
本項要求包括:
a) 應對信息系統相關的各種設備(包括備份和冗余設備)����、線路等指定專門的部門或人員定期進行維護管理��;
b) 應建立基于申報��、審批和專人負責的設備安全管理制度����,對信息系統的各種軟硬件設備的選型��、采購���、發放和領用等過程進行規范化管理��;
c) 應對終端計算機�����、工作站�、便攜機��、系統和網絡等設備的操作和使用進行規范化管理�,按操作規程實現關鍵設備(包括備份和冗余設備)的啟動/停止����、加電/斷電等操作����;
d) 應確保信息處理設備必須經過審批才能帶離機房或辦公地點�����。
6.2.5.5 網絡安全管理(G2)
本項要求包括:
a) 應指定人員對網絡進行管理��,負責運行日志����、網絡監控記錄的日常維護和報警信息分析和處理工作�;
b) 應建立網絡安全管理制度��,對網絡安全配置��、日志保存時間�����、安全策略���、升級與打補丁����、口令更新周期等方面作出規定���;
c) 應根據廠家提供的軟件升級版本對網絡設備進行更新��,并在更新前對現有的重要文件進行備份�;
d) 應定期對網絡系統進行漏洞掃描����,對發現的網絡系統安全漏洞進行及時的修補����;
e) 應對網絡設備的配置文件進行定期備份�����;
f) 應保證所有與外部系統的連接均得到授權和批準��。
6.2.5.6 系統安全管理(G2)
本項要求包括:
a) 應根據業務需求和系統安全分析確定系統的訪問控制策略�����;
b) 應定期進行漏洞掃描��,對發現的系統安全漏洞及時進行修補���;
c) 應安裝系統的最新補丁程序���,在安裝系統補丁前��,應首先在測試環境中測試通過��,并對重要文件進行備份后��,方可實施系統補丁程序的安裝�����;
d) 應建立系統安全管理制度��,對系統安全策略�、安全配置��、日志管理和日常操作流程等方面作出規定����;
e) 應依據操作手冊對系統進行維護�,詳細記錄操作日志���,包括重要的日常操作�、運行維護記錄���、參數的設置和修改等內容����,嚴禁進行未經授權的操作���;
f) 應定期對運行日志和審計數據進行分析�����,以便及時發現異常行為����。
6.2.5.7 惡意代碼防范管理(G2)
本項要求包括:
a) 應提高所有用戶的防病毒意識��,告知及時升級防病毒軟件�,在讀取移動存儲設備上的數據以及網絡上接收文件或郵件之前�,先進行病毒檢查���,對外來計算機或存儲設備接入網絡系統之前也應進行病毒檢查�;
b) 應指定專人對網絡和主機進行惡意代碼檢測并保存檢測記錄�����;
c) 應對防惡意代碼軟件的授權使用����、惡意代碼庫升級����、定期匯報等作出明確規定����。
6.2.5.8 密碼管理(G2)
應使用符合國家密碼管理規定的密碼技術和產品��。
6.2.5.9 變更管理(G2)
本項要求包括:
a) 應確認系統中要發生的重要變更�,并制定相應的變更方案��;
b) 系統發生重要變更前��,應向主管領導申請���,審批后方可實施變更����,并在實施后向相關人員通告����。
6.2.5.10 備份與恢復管理(G2)
本項要求包括:
a) 應識別需要定期備份的重要業務信息�����、系統數據及軟件系統等�����;
b) 應規定備份信息的備份方式���、備份頻度�、存儲介質�、保存期等���;
c) 應根據數據的重要性及其對系統運行的影響�����,制定數據的備份策略和恢復策略�,備份策略指明備份數據的放置場所�����、文件命名規則�����、介質替換頻率和數據離站運輸方法���。
6.2.5.11 安全事件處置(G2)
本項要求包括:
a) 應報告所發現的安全弱點和可疑事件���,但任何情況下用戶均不應嘗試驗證弱點��;
b) 應制定安全事件報告和處置管理制度��,明確安全事件類型�,規定安全事件的現場處理�����、事件報告和后期恢復的管理職責����;
c) 應根據國家相關管理部門對計算機安全事件等級劃分方法和安全事件對本系統產生的影響�,對本系統計算機安全事件進行等級劃分�����;
d) 應記錄并保存所有報告的安全弱點和可疑事件�����,分析事件原因���,監督事態發展����,采取措施避免安全事件發生�。
6.2.5.12 應急預案管理(G2)
本項要求包括:
a) 應在統一的應急預案框架下制定不同事件的應急預案�����,應急預案框架應包括啟動應急預案的條件�����、應急處理流程���、系統恢復流程����、事后教育和培訓等內容���;
b) 應對系統相關的人員進行應急預案培訓���,應急預案的培訓應至少每年舉辦一次��。
7 第三級基本要求
7.1 技術要求
7.1.1 物理安全
7.1.1.1 物理位置的選擇(G3)
本項要求包括:
a) 機房和辦公場地應選擇在具有防震����、防風和防雨等能力的建筑內�����;
b) 機房場地應避免設在建筑物的高層或地下室����,以及用水設備的下層或隔壁�。
7.1.1.2 物理訪問控制(G3)
本項要求包括:
a) 機房出入口應安排專人值守��,控制����、鑒別和記錄進入的人員�����;
b) 需進入機房的來訪人員應經過申請和審批流程���,并限制和監控其活動范圍����;
c) 應對機房劃分區域進行管理��,區域和區域之間設置物理隔離裝置�����,在重要區域前設置交付或安裝等過渡區域��;
d) 重要區域應配置電子門禁系統�����,控制��、鑒別和記錄進入的人員���。
7.1.1.3 防盜竊和防破壞(G3)
本項要求包括:
a) 應將主要設備放置在機房內�;
b) 應將設備或主要部件進行固定���,并設置明顯的不易除去的標記��;
c) 應將通信線纜鋪設在隱蔽處��,可鋪設在地下或管道中����;
d) 應對介質分類標識���,存儲在
