壹、 技術要求
1、物理安全
1.1物理位置的選擇
機房和辦公場地應選擇在具有防震、防風和防雨等能力的建築內;
1.2 物理訪問控制
(1)機房出入口應有專人值守,鑒別進入的人員身份並登記在案;
(2)應批準進入機房的來訪人員,限制和監控其活動範圍。
1.3 防盜竊和防破壞
(1)應將主要設備放置在物理受限的範圍內;
(2)應對設備或主要部件進行固定,並設置明顯的不易除去的標記;
(3)應將通信線纜鋪設在隱蔽處,如鋪設在地下或管道中等;
(4)應對介質分類標識,存儲在介質庫或檔案室中;
(5)應安裝必要的防盜報警設施,以防進入機房的盜竊和破壞行為。
1.4 防雷擊
(1)機房建築應設置避雷裝置;
(2)應設置交流電源地線。
1.5 防火
應設置滅火設備和火災自動報警系統,並保持滅火設備和火災自動報警系統的良好狀態。
1.6 防水和防潮
(1)水管安裝,不得穿過屋頂和活動地板下;
(2)應對穿過墻壁和樓板的水管增加必要的保護措施,如設置套管;
(3)應采取措施防止雨水通過屋頂和墻壁滲透;
(4)應采取措施防止室內水蒸氣結露和地下積水的轉移與滲透。
1.7 防靜電
應采用必要的接地等防靜電措施
1.8 溫濕度控制
應設置溫、濕度自動調節設施,使機房溫、濕度的變化在設備運行所允許的範圍之內。
1.9 電力供應
(1)計算機系統供電應與其他供電分開;
(2)應設置穩壓器和過電壓防護設備;
(3)應提供短期的備用電力供應(如UPS設備)。
1.10 電磁防護
(1)應采用接地方式防止外界電磁幹擾和設備寄生耦合幹擾;
(2)電源線和通信線纜應隔離,避免互相幹擾。
2、網絡安全
2.1結構安全與網段劃分
(1)網絡設備的業務處理能力應具備冗余空間,要求滿足業務高峰期需要;
(2)應設計和繪制與當前運行情況相符的網絡拓撲結構圖;
(3)應根據機構業務的特點,在滿足業務高峰期需要的基礎上,合理設計網絡帶寬;
(4)應在業務終端與業務服務器之間進行路由控制,建立安全的訪問路徑;
(5)應根據各部門的工作職能、重要性、所涉及信息的重要程度等因素,劃分不同的子網或網段,並按照方便管理和控制的原則為各子網、網段分配地址段;
(6)重要網段應采取網絡層地址與數據鏈路層地址綁定措施,防止地址欺騙。
2.2 訪問控制
(1)應能根據會話狀態信息(包括數據包的源地址、目的地址、源端口號、目的端口號、協議、出入的接口、會話序列號、發出信息的主機名等信息,並應支持地址通配符的使用),為數據流提供明確的允許/拒絕訪問的能力;
(2)應在基於安全屬性的允許遠程用戶對系統訪問的規則的基礎上,對系統所有資源允許或拒絕用戶進行訪問,控制粒度為單個用戶;
(3)應限制具有撥號訪問權限的用戶數量。
2.3 安全審計
(1)應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等事件進行日誌記錄;
(2)對於每壹個事件,其審計記錄應包括:事件的日期和時間、用戶、事件類型、事件是否成功,及其他與審計相關的信息。
2.4 邊界完整性檢查
應能夠檢測內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為(即“非法外聯”行為)。
2.5 入侵防範
應在網絡邊界處監視以下攻擊行為:端口掃描、強力攻擊、木馬後門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊、網絡蠕蟲攻擊等入侵事件的發生。
2.6 惡意代碼防範
(1)應在網絡邊界及核心業務網段處對惡意代碼進行檢測和清除;
(2)應維護惡意代碼庫的升級和檢測系統的更新;
(3)應支持惡意代碼防範的統壹管理。
2.7 網絡設備防護
(1)應對登錄網絡設備的用戶進行身份鑒別;
(2)應對網絡設備的管理員登錄地址進行限制;
(3)網絡設備用戶的標識應唯壹;
(4)身份鑒別信息應具有不易被冒用的特點,例如口令長度、復雜性和定期的更新等;
(5)應具有登錄失敗處理功能,如:結束會話、限制非法登錄次數,當網絡登錄連接超時,自動退出。
3、主機安全
3.1 身份鑒別
(1)操作系統和數據庫管理系統用戶的身份標識應具有唯壹性;
(2)應對登錄操作系統和數據庫管理系統的用戶進行身份標識和鑒別;
(3)操作系統和數據庫管理系統身份鑒別信息應具有不易被冒用的特點,例如口令長度、復雜性和定期的更新等;
(4)應具有登錄失敗處理功能,如:結束會話、限制非法登錄次數,當登錄連接超時,自動退出。
3.2 訪問控制
(1)應依據安全策略控制主體對客體的訪問;
(2)自主訪問控制的覆蓋範圍應包括與信息安全直接相關的主體、客體及它們之間的操作;
(3)自主訪問控制的粒度應達到主體為用戶級,客體為文件、數據庫表級;
(4)應由授權主體設置對客體訪問和操作的權限;
(5)應嚴格限制默認用戶的訪問權限。
3.3 安全審計
(1)安全審計應覆蓋到服務器上的每個操作系統用戶和數據庫用戶;
(2)安全審計應記錄系統內重要的安全相關事件,包括重要用戶行為和重要系統命令的使用等;
(3)安全相關事件的記錄應包括日期和時間、類型、主體標識、客體標識、事件的結果等;
(4)審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋等。
3.4 剩余信息保護
(1)應保證操作系統和數據庫管理系統用戶的鑒別信息所在的存儲空間,被釋放或再分配給其他用戶前得到完全清除,無論這些信息是存放在硬盤上還是在內存中;
(2)應確保系統內的文件、目錄和數據庫記錄等資源所在的存儲空間,被釋放或重新分配給其他用戶前得到完全清除。
3.5系統保護
系統應提供在管理維護狀態中運行的能力,管理維護狀態只能被系統管理員使用。
3.6 惡意代碼防範
(1)服務器和重要終端設備(包括移動設備)應安裝實時檢測和查殺惡意代碼的軟件產品;
(2)主機系統防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫;
3.7 資源控制
(1)應限制單個用戶的會話數量;
(2)應通過設定終端接入方式、網絡地址範圍等條件限制終端登錄。
4、應用安全
4.1 身份鑒別
(1)應用系統用戶的身份標識應具有唯壹性;
(2)應對登錄的用戶進行身份標識和鑒別;
(3)系統用戶身份鑒別信息應具有不易被冒用的特點,例如口令長度、復雜性和定期的更新等。
4.2 訪問控制
(1)應依據安全策略控制用戶對客體的訪問;
(4)應由授權主體設置用戶對系統功能操作和對數據訪問的權限;
(5)應實現應用系統特權用戶的權限分離,例如將管理與審計的權限分配給不同的應用系統用戶;
(6)權限分離應采用最小授權原則,分別授予不同用戶各自為完成自己承擔任務所需的最小權限,並在它們之間形成相互制約的關系;
(7)應嚴格限制默認用戶的訪問權限。
4.3 安全審計
(1)安全審計應覆蓋到應用系統的每個用戶;
(2)安全審計應記錄應用系統重要的安全相關事件,包括重要用戶行為和重要系統功能的執行等;
(4)審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋等。
4.4 剩余信息保護
應保證用戶的鑒別信息所在的存儲空間,被釋放或再分配給其他用戶前得到完全清除,無論這些信息是存放在硬盤上還是在內存中。
4.5 通信完整性
通信雙方應約定單向的校驗碼算法,計算通信數據報文的校驗碼,在進行通信時,雙方根據校驗碼判斷對方報文的有效性。
4.6 通信保密性
(1)當通信雙方中的壹方在壹段時間內未作任何響應,另壹方應能夠自動結束會話;
(2)在通信雙方建立連接之前,利用密碼技術進行會話初始化驗證;
(3)在通信過程中,應對敏感信息字段進行加密。
4.7軟件容錯
(1)應對通過人機接口輸入或通過通信接口輸入的數據進行有效性檢驗;
(2)應對通過人機接口方式進行的操作提供“回退”功能,即允許按照操作的序列進行回退;
(3)在故障發生時,應繼續提供壹部分功能,確保能夠實施必要的措施。
4.8資源控制
(1)應限制單個用戶的多重並發會話;
(2)應對應用系統的最大並發會話連接數進行限制;
(3)應對壹個時間段內可能的並發會話連接數進行限制。
4.9代碼安全
(1)應對應用程序代碼進行惡意代碼掃描;
(2)應對應用程序代碼進行安全脆弱性分析。
5、數據安全及備份恢復
5.1 數據完整性
(1)應能夠檢測到系統管理數據、鑒別信息和用戶數據在傳輸過程中完整性受到破壞;
(2)應能夠檢測到系統管理數據、鑒別信息和用戶數據在存儲過程中完整性受到破壞。
5.2 數據保密性
(1)網絡設備、操作系統、數據庫管理系統和應用系統的鑒別信息、敏感的系統管理數據和敏感的用戶數據應采用加密或其他有效措施實現傳輸保密性;
(2)當使用便攜式和移動式設備時,應加密或者采用可移動磁盤存儲敏感信息。
5.3 備份和恢復
(1)應提供自動機制對重要信息進行有選擇的數據備份;
(2)應提供恢復重要信息的功能;
(3)應提供重要網絡設備、通信線路和服務器的硬件冗余。
二、管理要求
1、安全管理機構
1.1 崗位設置
(1)應設立信息安全管理工作的職能部門,設立安全主管人、安全管理各個方面的負責人崗位,定義各負責人的職責;
(2)應設立系統管理人員、網絡管理人員、安全管理人員崗位,定義各個工作崗位的職責;
(3)應制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求。
1.2人員配置
(1)應配備壹定數量的系統管理人員、網絡管理人員、安全管理人員等;
(2)安全管理人員不能兼任網絡管理員、系統管理員、數據庫管理員等。
1.3 授權和審批
(1)應授權審批部門及批準人,對關鍵活動進行審批;
(2)應列表說明須審批的事項、審批部門和可批準人。
1.4溝通和合作
(1)應加強各類管理人員和組織內部機構之間的合作與溝通,定期或不定期召開協調會議,***同協助處理信息安全問題;
(2)信息安全職能部門應定期或不定期召集相關部門和人員召開安全工作會議,協調安全工作的實施;
(3)應加強與兄弟單位、公安機關、電信公司的合作與溝通,以便在發生安全事件時能夠得到及時的支持。
1.5審核和檢查
應由安全管理人員定期進行安全檢查,檢查內容包括用戶賬號情況、系統漏洞情況、系統審計情況等。
2、安全管理制度
2.1管理制度
(1)應制定信息安全工作的總體方針、政策性文件和安全策略等,說明機構安全工作的總體目標、範圍、方針、原則、責任等;
(2)應對安全管理活動中重要的管理內容建立安全管理制度,以規範安全管理活動,約束人員的行為方式;
(3)應對要求管理人員或操作人員執行的重要管理操作,建立操作規程,以規範操作行為,防止操作失誤。
2.2制定和發布
(1)應在信息安全職能部門的總體負責下,組織相關人員制定;
(2)應保證安全管理制度具有統壹的格式風格,並進行版本控制;
(3)應組織相關人員對制定的安全管理進行論證和審定;
(4)安全管理制度應經過管理層簽發後按照壹定的程序以文件形式發布。
2.3評審和修訂
應定期對安全管理制度進行評審和修訂,對存在不足或需要改進的安全管理制度進行修訂。
3、人員安全管理
3.1人員錄用
(1)應保證被錄用人具備基本的專業技術水平和安全管理知識;
(2)應對被錄用人的身份、背景、專業資格和資質等進行審查;
(3)應對被錄用人所具備的技術技能進行考核;
(4)應對被錄用人說明其角色和職責;
(5)應簽署保密協議。
3.2人員離崗
(1)應立即終止由於各種原因即將離崗的員工的所有訪問權限;
(2)應取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備;
(3)應經機構人事部門辦理嚴格的調離手續,並承諾調離後的保密義務後方可離開。
3.3人員考核
(1)應定期對各個崗位的人員進行安全技能及安全認知的考核;
(2)應對關鍵崗位的人員進行全面、嚴格的安全審查;
(3)應對違背安全策略和規定的人員進行懲戒。
3.4安全意識教育和培訓
(1)應對各類人員進行安全意識教育;
(2)應告知人員相關的安全責任和懲戒措施;
(3)應制定安全教育和培訓計劃,對信息安全基礎知識、崗位操作規程等進行培訓;
(4)應對安全教育和培訓的情況和結果進行記錄並歸檔保存。
3.5第三方人員訪問管理
(1)第三方人員應在訪問前與機構簽署安全責任合同書或保密協議;
(2)對重要區域的訪問,必須經過有關負責人的批準,並由專人陪同或監督下進行,並記錄備案。
4、系統建設管理
4.1系統定級
(1)應明確信息系統劃分的方法;
(2)應確定信息系統的安全等級;
(3)應以書面的形式定義確定了安全等級的信息系統的屬性,包括使命、業務、網絡、硬件、軟件、數據、邊界、人員等;
(4)應確保信息系統的定級結果經過相關部門的批準。
4.2安全方案設計
(1)應根據系統的安全級別選擇基本安全措施,依據風險分析的結果補充和調整安全措施;
(2)應以書面的形式描述對系統的安全保護要求和策略、安全措施等內容,形成系統的安全方案;
(3)應對安全方案進行細化,形成能指導安全系統建設和安全產品采購的詳細設計方案;
(4)應組織相關部門和有關安全技術專家對安全設計方案的合理性和正確性進行論證和審定;
(5)應確保安全設計方案必須經過批準,才能正式實施。
4.3產品采購
(1)應確保安全產品的使用符合國家的有關規定;
(2)應確保密碼產品的使用符合國家密碼主管部門的要求;
(3)應指定或授權專門的部門負責產品的采購。
4.4自行軟件開發
(1)應確保開發環境與實際運行環境物理分開;
(2)應確保提供軟件設計的相關文檔和使用指南;
(3)應確保系統開發文檔由專人負責保管,系統開發文檔的使用受到控制。
4.5外包軟件開發
(1)應與軟件開發單位簽訂協議,明確知識產權的歸屬和安全方面的要求;
(2)應根據協議的要求檢測軟件質量;
(3)應在軟件安裝之前檢測軟件包中可能存在的惡意代碼;
(4)應確保提供軟件設計的相關文檔和使用指南。
4.6工程實施
(1)應與工程實施單位簽訂與安全相關的協議,約束工程實施單位的行為;
(2)應指定或授權專門的人員或部門負責工程實施過程的管理;
(3)應制定詳細的工程實施方案控制實施過程。
4.7測試驗收
(1)應對系統進行安全性測試驗收;
(2)應在測試驗收前根據設計方案或合同要求等制訂測試驗收方案,測試驗收過程中詳細記錄測試驗收結果,形成測試驗收報告;
(3)應組織相關部門和相關人員對系統測試驗收報告進行審定,沒有疑問後由雙方簽字。
4.8系統交付
(1)應明確系統的交接手續,並按照交接手續完成交接工作;
(2)應由系統建設方完成對委托建設方的運維技術人員的培訓;
(3)應由系統建設方提交系統建設過程中的文檔和指導用戶進行系統運行維護的文檔;
(4)應由系統建設方進行服務承諾,並提交服務承諾書,確保對系統運行維護的支持。
4.9安全服務商選擇
應確保安全服務商的選擇符合國家的有關規定。
5、系統運維管理
5.1環境管理
(1)應對機房供配電、空調、溫濕度控制等設施指定專人或專門的部門定期進行維護管理;
(2)應配備機房安全管理人員,對機房的出入、服務器的開機或關機等工作進行管理;
(3)應建立機房安全管理制度,對有關機房物理訪問,物品帶進、帶出機房和機房環境安全等方面的管理作出規定;
(4)應對機房來訪人員實行登記、備案管理,同時限制來訪人員的活動範圍;
(5)應加強對辦公環境的保密性管理,包括如工作人員調離辦公室應立即交還該辦公室鑰匙和不在辦公區接待來訪人員等。
5.2資產管理
(1)應建立資產安全管理制度,規定信息系統資產管理的責任人員或責任部門;
(2)應編制並保存與信息系統相關的資產、資產所屬關系、安全級別和所處位置等信息的資產清單;
(3)應根據資產的重要程度對資產進行定性賦值和標識管理,根據資產的價值選擇相應的管理措施。
5.3介質管理
(1)應確保介質存放在安全的環境中,並對各類介質進行控制和保護,以防止被盜、被毀、被未授權的修改以及信息的非法泄漏;
(2)應有介質的存儲、歸檔、登記和查詢記錄,並根據備份及存檔介質的目錄清單定期盤點;
(3)對於需要送出維修或銷毀的介質,應首先清除介質中的敏感數據,防止信息的非法泄漏;
(4)應根據所承載數據和軟件的重要程度對介質進行分類和標識管理,並實行存儲環境專人管理。
5.4設備管理
(1)應對信息系統相關的各種設施、設備、線路等指定專人或專門的部門定期進行維護管理;
(2)應對信息系統的各種軟硬件設備的選型、采購、發放或領用等過程建立基於申報、審批和專人負責的管理規定;
(3)應對終端計算機、工作站、便攜機、系統和網絡等設備的操作和使用進行規範化管理;
(4)應對帶離機房或辦公地點的信息處理設備進行控制;
(5)應按操作規程實現服務器的啟動/停止、加電/斷電等操作,加強對服務器操作的日誌文件管理和監控管理,應按安全策略的要求對網絡及設備進行配置,並對其定期進行檢查。
5.5監控管理
應了解服務器的CPU、內存、進程、磁盤使用情況。
5.6網絡安全管理
(1)應指定專人對網絡進行管理,負責運行日誌、網絡監控記錄的日常維護和報警信息分析和處理工作;
(2)應建立網絡安全管理制度,對網絡安全配置和日誌等方面作出規定;
(3)應根據廠家提供的軟件升級版本對網絡設備進行更新,並在更新前對現有的重要文件進行備份;
(4)應進行網絡系統漏洞掃描,對發現的網絡系統安全漏洞進行及時的修補;
(5)應保證所有與外部系統的連接均應得到授權和批準;
(6)應對網絡設備的安全策略、授權訪問、最小服務、升級與打補丁、維護記錄、日誌等方面做出具體要求;
(7)應規定網絡審計日誌的保存時間以便為可能的安全事件調查提供支持。
5.7系統安全管理
(1)應指定專人對系統進行管理,刪除或者禁用不使用的系統缺省賬戶;
(2)應制度系統安全管理制度,對系統安全配置、系統賬戶以及審計日誌等方面作出規定;
(3)應定期安裝系統的最新補丁程序,並根據廠家提供的可能危害計算機的漏洞進行及時修補,並在安裝系統補丁前對現有的重要文件進行備份;
(4)應根據業務需求和系統安全分析確定系統的訪問控制策略,系統訪問控制策略用於控制分配信息系統、文件及服務的訪問權限;
(5)應對系統賬戶進行分類管理,權限設定應當遵循最小授權要求;
(6)應對系統的安全策略、授權訪問、最小服務、升級與打補丁、維護記錄、日誌等方面做出具體要求;
(7)應規定系統審計日誌的保存時間以便為可能的安全事件調查提供支持;
(8)應進行系統漏洞掃描,對發現的系統安全漏洞進行及時的修補。
5.8惡意代碼防範管理
(1)應提高所用用戶的防病毒意識,告知及時升級防病毒軟件;
(2)應在讀取移動存儲設備(如軟盤、移動硬盤、光盤)上的數據以及網絡上接收文件或郵件之前,先進行病毒檢查,對外來計算機或存儲設備接入網絡系統之前也要進行病毒檢查;
(3)應指定專人對網絡和主機的進行惡意代碼檢測並保存檢測記錄;
(4)應對防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等作出明確管理規定。
5.9密碼管理
密碼算法和密鑰的使用應符合國家密碼管理規定。
5.10變更管理
(1)確認系統中要發生的變更,並制定變更方案;
(2)建立變更管理制度,重要系統變更前,應向主管領導申請,審批後方可實施變更;
(3)系統變更情況應向所有相關人員通告。
5.11備份與恢復管理
(1)應識別需要定期備份的重要業務信息、系統數據及軟件系統等;
(2)應規定備份信息的備份方式(如增量備份或全備份等)、備份頻度(如每日或每周等)、存儲介質、保存期等;
(3)應根據數據的重要性和數據對系統運行的影響,制定數據的備份策略和恢復策略,備份策略應指明備份數據的放置場所、文件命名規則、介質替換頻率和將數據離站運輸的方法;
(4)應指定相應的負責人定期維護和檢查備份及冗余設備的狀況,確保需要接入系統時能夠正常運行;
(5)根據備份方式,規定相應設備的安裝、配置和啟動的流程。
5.12安全事件處置
(1)所有用戶均有責任報告自己發現的安全弱點和可疑事件,但任何情況下用戶均不應嘗試驗證弱點;
(2)應制定安全事件報告和處置管理制度,規定安全事件的現場處理、事件報告和後期恢復的管理職責;
(3)應分析信息系統的類型、網絡連接特點和信息系統用戶特點,了解本系統和同類系統已發生的安全事件,識別本系統需要防止發生的安全事件,事件可能來自攻擊、錯誤、故障、事故或災難;
(4)應根據國家相關管理部門對計算機安全事件等級劃分方法,根據安全事件在本系統產生的影響,將本系統計算機安全事件進行等級劃分;
(5)應記錄並保存所有報告的安全弱點和可疑事件,分析事件原因,監督事態發展,采取措施避免安全事件發生。
5.13應急預案管理
(1)應在統壹的應急預案框架下制定不同事件的應急預案,應急預案框架應包括啟動應急預案的條件、應急處理流程、系統恢復流程和事後教育和培訓等內容;
(2)應對系統相關的人員進行培訓使之了解如何及何時使用應急預案中的控制手段及恢復策略,對應急預案的培訓至少每年舉辦壹次。
如需等保測評服務,可後臺私信聯系。陸陸信息科技,整合雲安全產品的技術優勢,聯合優質等保咨詢、等保測評合作資源,提供等保項目的壹站式服務,全面覆蓋等保定級、備案、建設整改以及測評階段,高效通過等保測評,落實網絡安全等級保護工作。