资源描述
杭州市权力阳光电子政务系统安全技术规范(草案)
一、 总体要求
权力阳光电子政务系统建设各方应从物理环境、网络平台、系统平台、业务应用和运行管理等方面分析并提升系统整体安全保障能力,总体要求包含:
a) 信息系统物理环境应提供系统正常运行场所,并确保硬件、通信链路、机房环境物理安全。
b) 系统应合理划分不一样网络区域,依据应用需求设置合理访问控制策略,强化网络设备本身安全配置;
c) 操作系统、数据库须进行安全配置。业务应用软件应依据安全需求开发安全功效,经过启用这些安全功效,达成保护应用信息目标。
d) 系统应对网络、可移动存放介质、光盘等病毒可能入侵路径进行控制,并阻断病毒在系统内传输。
e) 系统中采取安全产品必需选择经国家主管部门许可、并经国家认证机构认可产品。系统如采取密码技术及产品对非涉密信息进行加密保护或安全认证,所采取密码技术或密码产品应符合《商用密码管理条例》要求。
f) 系统建设单位应针对系统应用情况建立安全管理制度,在统一安全策略下对各类行为进行管理。
二、 基础安全目标
2.1. 物理环境
2.1.1. 机房环境
机房建设应满足国家标准GB/T 2887《电子计算机场地通用规范》、GB/T 9361《计算机场地安全要求》要求。
2.1.2. 硬件设施物理安全
组成信息系统采购硬件、自制硬件及其组成零部件应符合国家要求质量标准。
2.2. 网络平台
2.2.1. 网络边界
系统应依据安全需求在和Internet和市电子政务外网、资源专网等其它网络网间互连处配置网关类设备实施访问控制,并对通信事件、操作事件进行审计。
2.2.2. 网络内部结构
依据应用需求在内部网路结构中划分服务器区等独立网段或子网,并在相关网络设备中配置安全策略进行隔离,实施对内部信息流访问控制。
2.2.3. 网络设备
依据系统安全策略和应用需求对防火墙、路由器及交换机等网络设备实施安全配置。
防火墙、路由器及交换机本身安全配置最少应包含下列内容:版本更新和漏洞修补、版本信息保护、身份判别、链接安全、配置备份、安全审计。
2.3. 系统软件
2.3.1. 操作系统
操作系统应依据信息系统安全策略进行选择和安全配置,并定时进行操作系统漏洞检测、补丁修补。安全配置内容包含:身份判别、用户权限分配、口令质量、判别失败处理、默认服务开放、终端限制、安全审计等。
2.3.2. 数据库
数据库应该依据信息系统安全策略进行选择和安全配置,并定时进行数据库漏洞检测、补丁修补。安全配置内容包含:身份判别、用户权限分配、口令质量、终端限制、安全审计、备份恢复策略等。
2.4. 应用软件
业务应用安全要求包含业务应用软件安全、应用信息保护和密码支持。
2.4.1. 通用应用软件
Web服务器、邮件服务器等通用应用软件应该依据信息系统安全策略进行选择和安全配置,并立即升级补丁包。安全配置内容包含:身份判别、用户权限分配、口令质量等。
2.4.2. 专用应用软件
专用应用软件应含有身份判别、用户管理、访问控制、运行审计等安全功效,并定时进行版本维护及更新,以保护应用信息安全。
2.4.3. 应用信息保护
应依据安全策略在应用信息生成、处理、传输和存放等步骤采取对应保护方法。
2.4.4. 密码支持
当系统中采取密码技术实现对信息保护时,不管是在网络传输、业务应用软件中,还是存放中,全部应在密钥产生、密钥分配、密钥销毁、密钥备份和恢复等步骤含有安全机制,保护密码技术正确使用。
2.5. 运行维护
2.5.1. 恶意代码防范
系统应建立统一恶意代码防范体系,并在相关服务器和业务终端上部署恶意代码防范设备或软件,有效预防服务器和业务终端遭受病毒、蠕虫、木马等恶意代码感染及其在网络中传输。
2.5.2. 数据备份
系统应建立数据备份制度,实现备份制度中既定安全备份功效,方便在系统遭受破坏情况下立即恢复应用信息。依据应用信息对业务影响程度,选择数据冷备份、数据热备份或系统备份中一个或多个相结合备份方法。
2.5.3. 入侵检测及防护
系统应在关键信息流经网络和存相关键信息主机上布署入侵监控或入侵防护系统,实时监视网络信息流和主机可疑连接、系统日志、非法访问等活动,对系统中发觉异常行为立即报警或采取对应阻断方法。
2.5.4. 网络管理及安全审计
系统中布署网络管理及安全审计系统应实现对关键网络设备、安全设备、服务器及数据库系统故障、负载及性能等运行状态信息进行采集监控、监控设备配置信息变更和安全事件信息发生,设置合理监控指标阈值、合理审计规则和告警响应策略,并依据实际需求提供各类综合分析汇报。
2.5.5. 系统冗余
在实时性及可用性要求较高系统中,应对关键网络链路、网络设备、服务器主机及数据库平台进行冗余备份,并进行合理配置,当系统某一节点发生故障时能在有效时间内进行切换分配,确保网络及系统相关服务正常运行。
三、 具体安全要求
3.1. 物理环境
机房环境条件、照明、接地、供电、建筑结构、媒体存放条件、监视防护设备等应满足GB/T 2887《电子计算机场地通用规范》4.3~4.9要求。
机房选址、防火、供配电、消防设施、防水、防静电、防雷击应满足GB/T 9361 《计算机场地安全要求》4~8要求。在防火、防雷击、防静电、监控设施等方面时,应经过相关专业机构检测。另外,还应检验以下内容:
a) 提供短期备用电力供给(如UPS);
b) 机房留有备用空间;
c) 设备防盗、防毁方法;
d) 通讯线路连接、设备标签、布线合理性;
e) 机房出入口配置门禁系统和监控报警系统;
f) 机房出入统计,统计内容包含人员姓名、出入日期和时间,操作内容,携带物品等。
3.2. 网络平台
3.2.1. 网络结构
在系统内部网络和外部网络间配置访问控制设备或逻辑隔离设备以实现网络访问控制和网络间信息交换,对访问控制/隔离设备通信事件、操作事件进行审计。
合理设置访问控制/隔离设备安全配置,确定安全功效有效性。具体安全要求以下:
a) 依据系统安全策略配置访问控制规则,实现对网络数据包过滤及对网络访问行为管理,并对发生网络攻击或违规事件进行检测和告警;
b) 访问控制/隔离设备应实施用户权限管理;
c) 开启审计功效,统计经过访问控制/隔离设备信息内容或活动;
d) 定时查看日志,并对存放日志进行有效保护(如预防非法修改、删除,定时导出等);
e) 对含有文件传输控制能力访问控制/隔离设备设置传输过滤列表。
应依据业务应用和安全策略对系统内部服务器区域进行逻辑划分或逻辑隔离,实现对信息流访问控制和安全传输,在终端计算机和服务器之间进行访问控制,建立安全访问路径。
对连接到存相关键信息服务器,应采取网络层地址或数据链路层地址绑定方法,预防地址欺骗。
当相关键信息经过公共网络进行传输时,应在传输线路中配置加密设备,以确保在公共网络上传输信息保密性;严禁内部网络用户未授权和外部网络连接;如提供远程拨号或移动用户连接,应在系统入口处配置判别和认证服务器。
严禁非授权设备接入内部网络,尤其是服务器区域。
3.2.2. 路由器
应依据系统安全策略配置对应路由器安全配置,具体要求包含:
a) 保持路由器软件版本更新,修补高风险漏洞;
b) 严禁和应用无关网络服务,关闭和应用无关网络接口;
c) 对登录用户进行身份标识和判别,身份标识唯一,不反馈判别信息;
d) 修改路由器默认用户口令或严禁默认用户访问,用户口令应满足长度和复杂性要求,并对配置口令进行加密保护;
e) 当登录连接超时,应自动断开连接,并要求重新判别;
f) 对能够登录路由器远程地址进行限制,关闭和应用无关远程访问接口;
g) 对登录提醒信息进行设置,不显示路由器型号、软件、全部者等信息;
h) 对路由配置进行备份,且对备份文件读取实施访问控制;
i) 开启路由器日志功效,对修改访问控制列表、路由器配置等操作行为进行审计统计。
3.2.3. 交换机
应依据系统安全策略配置对应交换机安全配置,具体要求包含:
a) 保持交换机软件版本更新,修补高风险漏洞;
b) 严禁和应用无关网络服务,关闭和应用无关网络接口;
c) 对登录交换机用户进行身份标识和判别,身份标识唯一,不反馈判别信息;
d) 修改交换机默认用户口令或严禁默认用户访问,用户口令应满足长度和复杂性要求,并对配置口令进行加密保护;
e) 当用户登录连接超时,应自动断开连接,并要求重新判别;
f) 对能够登录交换机远程地址进行限制,关闭和应用无关远程访问接口;
g) 对登录提醒信息进行设置,不显示交换机型号、软件、全部者等信息;
h) 对交换机配置进行备份,且对备份文件读取实施访问控制;
i) 开启交换机日志功效,对修改访问控制列表、交换机配置等操作行为进行审计统计。
3.3. 系统软件
3.3.1. 操作系统
信息系统应依据应用需求、安全需求选择操作系统,并实施安全配置。具体要求以下:
a) 定时更新操作系统版本,修补漏洞;
b) 关闭和应用无关服务、开启脚本或网络功效;
c) 对登录用户进行身份标识和判别;用户身份标识唯一;
d) 身份判别如采取用户名/口令方法,应设置口令长度、复杂性和更新周期;
e) 修改默认用户口令或严禁默认用户访问,严禁匿名访问或限制访问范围;
f) 含有登录失败处理功效,当登录失败次数达成限制值时,应结束会话、锁定用户;
g) 实施特权用户权限分离,根据最小授权标准,分别授予不一样用户各自为完成本身负担任务所需最小权限,并在她们之间形成相互制约关系;
h) 对系统内关键文件(如开启脚本文件、口令文件、服务配置文件)、服务、环境变量、进程等实施访问控制;
i) 系统管理员实施远程登录时,应使用强判别机制,且操作系统应统计具体登录信息;
j) 经过设定终端接入方法、网络地址范围等条件限制终端登录;
k) 对操作系统安全事件进行审计,审计事件最少包含:用户添加和删除、审计功效开启和关闭、审计策略调整、权限变更、系统资源异常使用、关键系统操作(如修改文件、目录访问控制、更改系统或服务配置文件)、关键用户(如系统管理员、系统安全员、系统审计员)各项操作进行审计;
l) 审计统计应包含日期和时间、触发事件主体和客体、事件类型、事件成功或失败、事件结果等;审计统计应受到保护避免受到未预期删除、修改或覆盖;
m) 用户判别信息及和应用信息所在存放空间,被释放或再分配给其它用户之前应完全清除;
n) 限制单个用户对系统资源最大使用额度。
3.3.2. 数据库
信息系统应依据应用需求、安全需求选择数据库,并实施安全配置。具体要求以下:
a) 定时更新数据库版本,修补漏洞;
b) 禁用或删除数据库不需要存放过程;
c) 对访问数据库用户进行身份标识和判别,身份标识唯一;
d) 身份判别如采取用户名/口令方法,应设置口令长度、复杂性和定时更新周期;
e) 当登录连接超时,自动退出登录会话并要求重新判别;
f) 修改默认用户口令或严禁默认用户访问,预防数据库对象被Public权限用户访问;
g) 实施特权用户权限分离,根据最小授权标准,分别授予不一样用户各自为完成本身负担任务所需最小权限,并在她们之间形成相互制约关系;
h) 经过设定终端接入方法、网络地址范围等条件限制终端登录;
i) 对数据库安全事件进行审计,审计事件最少包含:用户添加和删除、审计功效开启和关闭、审计策略调整、权限变更、数据字典访问、管理员用户实施各项操作、对存放关键信息数据表各项操作;
j) 审计统计应包含:事件发生时间、触发事件主体和客体、事件类型、事件成功或失败、事件结果等;
k) 审计统计应受到保护,避免受到未预期删除、修改或覆盖。假如审计统计许可授权用户删除,应对删除操作给予统计;当审计统计存放空间靠近极限时,应采取必需方法,以保护所存放统计;
l) 限制单个用户对系统资源最大使用额度。
3.4. 应用软件
3.4.1. 通用应用软件
通用应用软件关键包含邮件服务软件、Web服务软件、中间件等。本规范提出了邮件服务软件、Web服务软件安全要求。
3.4.1.1. 邮件服务软件
邮件服务器软件应依据系统安全策略进行安装和配置,安全要求以下:
a) 定时更新邮件服务器软件,修补高风险漏洞;
b) 为邮件服务器软件建立独立逻辑分区,将其和存放系统文件分区分开;
c) 重新配置smtp、pop等邮件服务提醒信息,不显示邮件服务器软件和操作系统版本和类型;
d) 启用smtp认证,严禁非授权帐户经过邮件服务器发送邮件;
e) 严禁非当地域名邮件(发送者或接收者非当地邮件)中转;
f) 禁用expn、vrfy等命令;
g) 严禁非授权用户查看邮件队列;
h) 含有反垃圾邮件功效。
对邮件用户端,具体要求以下:
a) 严禁自动邮件浏览;
b) 严禁自动打开下一个邮件功效;
c) 严禁自动下载ActiveX控件、活动脚本、java小程序;
d) 用户端操作系统只许可授权用户对当地存放邮件用户端配置文件进行访问。
3.4.1.2. Web服务软件
Web服务软件应依据系统安全策略进行安装和配置,安全要求以下:
a) 定时更新Web服务软件补丁,修补高风险漏洞;
b) 配置Web服务提醒信息,不显示Web服务软件和操作系统版本和类型;
c) 严禁非授权用户对Web服务根目录访问;
d) 禁用或删除默认安装部分应用示例;
e) 定时更新Web服务软件,修补高风险漏洞;
f) 启用Web服务软件日志功效,日志内容应包含:访问者IP地址、访问时间、访问资源、协议、状态等;
g) Web服务软件安装目录应和系统文件安装在不一样逻辑分区下;
h) 限制对日志访问权限;
i) 严禁匿名用户在服务器上远程运行可实施文件。
3.4.2. 专用应用软件
专用应用软件应含有和业务信息保护对应安全功效,安全要求以下:
a) 不应常常发生因为软件错误而造成退出系统或死机现象;
b) 当发生错误时有犯错提醒,并能够经过手工或自动方法从错误状态恢复到正常状态;
c) 当专用应用软件退出后,在当地机和服务器相关目录下不留下任何残余文件;
d) 含有身份判别机制,依据应用需求采取合适判别机制来判别访问用户身份,用户身份唯一,并确保判别机制不可旁路;
e) 假如采取口令判别机制,应采取技术机制确保口令质量强度;假如采取密码技术判别机制,相关密码技术应符合国家密码管理部门要求;
f) 含有判别失败处理机制。当不成功判别尝试次数达成限定值时,系统应锁定用户,并给予统计和告警;
g) 含有对不一样角色用户权限分配和管理功效;
h) 含有对用户实施系统操作和关键业务操作应用审计功效。审计统计应包含日期和时间、触发事件主体和客体、事件类型、事件成功或失败、事件结果等;审计统计应受到保护避免受到未预期删除、修改或覆盖。
3.4.3. 应用信息保护
应用软件系统在信息产生、处理、传输和存放步骤应含有对应安全功效。具体包含:
——在信息生成步骤:
a) 对信息源进行身份标识和判别,身份标识唯一;
b) 假如信息是经过外部网络远程录入,应视其关键程度采取对应数据传输加密机制;
c) 业务应用软件应对信息生成操作进行审计统计;
d) 含有对输入数据正当性和合理性检验机制。
——在信息处理步骤:
a) 对不一样角色用户实施权限管理,预防未授权用户进入,预防数据被未授权查阅、修改或删除;对未授权操作尝试进行审计统计;
b) 严格限制用户权限,限制单一用户多重并发会话;
c) 制订并实施访问控制策略,依据既定规则明确许可或拒绝主体对客体访问;
d) 含有资源利用策略,确保当关键设备发生局部故障时,系统关键安全功效能正常运行,或当系统出现一些功效失败时能够维持运行状态,并给出提醒信息。
——在信息传输步骤:
a) 应用信息、审计数据、用户密钥、用户口令等安全属性数据在业务应用软件和外部网络系统之间传输时采取保密方法;
b) 采取加密或数字署名技术,避免关键应用信息在网络间传输时遭到篡改、删除、插入或重放等攻击;
c) 确保信息发送者不能否认曾经发送过该信息,即接收信息主体能取得证实信息原发证据,该证据可由该主体或第三方主体验证;
d) 确保信息接收者不能否认对该信息接收,即发送信息主体取得证实该信息被接收证据,该证据可由该主体或第三方主体验证。
——在信息存放步骤:
a) 存放数据保密性保护:对存放在系统中应用信息,应依据不一样数据类型保密性要求,进行不一样程度保护;除含有权限正当用户外,其它任何用户不能取得该数据;
b) 存放数据完整性保护:对存放在系统中应用信息进行完整性保护;检测到完整性错误时,应采取对应行动;
c) 对于关键应用信息能够采取加密方法存放;对以加密方法保留备份,应同时保留数据恢复所需密钥备份;
d) 建立安全备份制度,方便在系统遭受破坏情况下立即进行恢复;依据业务需求制订备份策略,并根据策略定时备份关键数据和软件,定时对备份数据进行恢复测试,以确保备份数据可用性。备份内容最少应包含:应用信息、系统软件配置文件、关键设备配置信息、安全设备配置规则和日志等;
e) 备份数据必需有严格存取、调用和更新管理规程。
3.4.4. 密码支持
系统应在密钥产生、分配、访问、销毁等步骤满足以下要求:
a) 基于国家主管部门认可算法和密钥长度来产生密钥;
b) 基于国家主管部门认可分配方法来分配密钥;
c) 基于国家主管部门认可访问方法来访问密钥;
d) 基于国家主管部门认可销毁方法来销毁密钥;并提供在系统内对私钥和对称密钥清零功效。
3.5. 系统运行维护
3.5.1. 恶意代码防范
a) 安装防病毒产品,依据系统安全策略制订病毒防范策略;
b) 对存放介质访问、系统访问、网络访问等进行实时监控,在病毒入侵时立即报警,并进行清除、隔离或采取既定病毒防范策略中要求处理方法;
c) 防病毒产品应对病毒事件发生及处理过程有具体审计统计,统计内容应包含日期时间、病毒起源、病毒名称、感染文件、处理结果等;对病毒相关审计统计进行具体统计和分析,立即调整病毒防范策略;
d) 定时更新病毒特征库,立即对防病毒产品进行版本升级;
e) 定时进行病毒查杀,实施对计算机病毒、网络蠕虫、特洛伊木马、逻辑炸弹等恶意软件预防、监测,并建立提升用户安全意识、规范日常操作程序文件。
3.5.2. 数据备份恢复
a) 系统应对系统软件代码、系统设备配置数据、系统软件平台配置数据、数据库数据、系统用户关键信息等,依据各自备份策略要求进行备份;
b) 系统管理员应对设置数据自动备份任务进行定时监控,确定备份任务得到了有效实施;
c) 系统管理员应对备份进行数据恢复有效性验证,以确保备份数据正确性;
d) 对以加密方法保留关键数据备份,应同时保留数据恢复密钥备份。
3.5.3. 入侵监控
应依据系统安全策略配置对应入侵监控产品安全配置,具体要求包含:
a) 入侵监控产品安全规则应符合系统安全策略要求,能检测到违反规则行为,入侵监控功效不被旁路;
b) 定时更新入侵监控产品特征数据库,定时分析入侵监控统计,并依据系统已经存在或潜在安全漏洞立即调整监控策略;
c) 当检测到入侵行为后应经过电子邮件、声音、短信等方法,立即汇报管理员;
d) 只许可授权人员管理入侵监控规则,如定义攻击特征库、设置入侵响应方法等。
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
