杭州權力陽光電子政務系統(tǒng)

1、杭州市權力陽光電子政務系統(tǒng)安全技術規(guī)范（草案）一、總體要求權力陽光電子政務系統(tǒng)的建設各方應從物理環(huán)境、網(wǎng)絡平臺、系統(tǒng)平臺、業(yè)務應用以 及運行管理等方面分析并提高系統(tǒng)的整體安全保障能力，總體要求包括：a）信息系統(tǒng)的物理環(huán)境應提供系統(tǒng)正常運行的場所， 并保證硬件、通信鏈路、 機房環(huán)境的物 理安全。b）系統(tǒng)應合理劃分不同的網(wǎng)絡區(qū)域， 根據(jù)應用需求設置合理的訪問控制策略， 強化網(wǎng)絡設備 自身安全配置；c）操作系統(tǒng)、數(shù)據(jù)庫須進行安全配置。業(yè)務應用軟件應根據(jù)安全需求開發(fā)安全功能，通過啟用這些安全功能，達到保護應用信息的目的。d）系統(tǒng)應對網(wǎng)絡、可移動存儲介質(zhì)、光盤等病毒可能入侵的途徑進行控制，并阻斷病毒在系

2、統(tǒng)內(nèi)的傳播。e）系統(tǒng)中采用的安全產(chǎn)品必須選用經(jīng)國家主管部門許可、并經(jīng)國家認證機構認可的產(chǎn)品。系統(tǒng)如采用密碼技術及產(chǎn)品對非涉密信息進行加密保護或安全認證，所采用的密碼技術或密碼產(chǎn)品應符合商用密碼管理條例的要求。f）系統(tǒng)建設單位應針對系統(tǒng)應用狀況建立安全管理制度，在統(tǒng)一的安全策略下對各類行為進行管理。二、基本安全目標2.1. 物理環(huán)境2.1.1. 機房環(huán)境機房建設應滿足國家標準 GB/T2887 電子計算機場地通用規(guī)范 、 GB/T9361 計算 機場地安全要求的要求。2.1.2. 硬件設施的物理安全構成信息系統(tǒng)的采購硬件、自制硬件及其組成零部件應符合國家規(guī)定的質(zhì)量標準。2.2. 網(wǎng)絡平臺2.2.

3、1. 網(wǎng)絡邊界 系統(tǒng)應根據(jù)安全需求在與 Internet 以及市電子政務外網(wǎng)、資源專網(wǎng)等其他網(wǎng)絡的網(wǎng)間 互連處配置網(wǎng)關類設備實施訪問控制，并對通信事件、操作事件進行審計。2.2.2. 網(wǎng)絡內(nèi)部結構 根據(jù)應用需求在內(nèi)部網(wǎng)路結構中劃分服務器區(qū)等獨立網(wǎng)段或子網(wǎng)，并在相關網(wǎng)絡設備 中配置安全策略進行隔離，實施對內(nèi)部信息流的訪問控制。2.2.3. 網(wǎng)絡設備根據(jù)系統(tǒng)安全策略和應用需求對防火墻、路由器及交換機等網(wǎng)絡設備實施安全配置。 防火墻、路由器及交換機的自身安全配置至少應包括下列內(nèi)容：版本更新與漏洞修補、 版本信息保護、身份鑒別、鏈接安全、配置備份、安全審計。2.3. 系統(tǒng)軟件2.3.1. 操作系統(tǒng)操作

4、系統(tǒng)應根據(jù)信息系統(tǒng)安全策略進行選擇和安全配置，并定期進行操作系統(tǒng)的漏洞 檢測、補丁修補。安全配置的內(nèi)容包括：身份鑒別、用戶權限分配、口令質(zhì)量、鑒別失敗處 理、默認服務開放、終端限制、安全審計等。2.3.2. 數(shù)據(jù)庫數(shù)據(jù)庫應該根據(jù)信息系統(tǒng)安全策略進行選擇和安全配置，并定期進行數(shù)據(jù)庫的漏洞檢 測、補丁修補。安全配置的內(nèi)容包括：身份鑒別、用戶權限分配、口令質(zhì)量、終端限制、安 全審計、備份恢復策略等。2.4. 應用軟件 業(yè)務應用的安全要求包括業(yè)務應用軟件安全、應用信息保護和密碼支持。2.4.1. 通用應用軟件Web 服務器、郵件服務器等通用應用軟件應該根據(jù)信息系統(tǒng)安全策略進行選擇和安全 配置，并及時升

5、級補丁包。安全配置的內(nèi)容包括：身份鑒別、用戶權限分配、口令質(zhì)量等。2.4.2. 專用應用軟件 專用應用軟件應具備身份鑒別、用戶管理、訪問控制、運行審計等安全功能，并定期 進行版本維護及更新，以保護應用信息的安全。2.4.3. 應用信息保護 應根據(jù)安全策略在應用信息的生成、處理、傳輸和存儲等環(huán)節(jié)采取相應的保護措施。2.4.4. 密碼支持 當系統(tǒng)中采用密碼技術實現(xiàn)對信息的保護時，無論是在網(wǎng)絡傳輸、業(yè)務應用軟件中， 還是存儲中， 都應在密鑰產(chǎn)生、 密鑰分配、 密鑰銷毀、 密鑰備份與恢復等環(huán)節(jié)具備安全機制， 保護密碼技術的正確使用。2.5. 運行維護2.5.1. 惡意代碼防范 系統(tǒng)應建立統(tǒng)一的惡意代碼

6、防范體系，并在相關服務器和業(yè)務終端上布置惡意代碼防范設備或軟件， 有效防止服務器和業(yè)務終端遭受病毒、 蠕蟲、 木馬等惡意代碼的感染及其在 網(wǎng)絡中的傳播。2.5.2. 數(shù)據(jù)備份 系統(tǒng)應建立數(shù)據(jù)備份制度，實現(xiàn)備份制度中既定的安全備份功能，以便在系統(tǒng)遭受破 壞的情況下及時恢復應用信息。 根據(jù)應用信息對業(yè)務的影響程度， 選擇數(shù)據(jù)冷備份、 數(shù)據(jù)熱 備份或系統(tǒng)備份中的一種或多種相結合的備份方式。2.5.3. 入侵檢測及防護 系統(tǒng)應在重要信息流經(jīng)的網(wǎng)絡和存有重要信息的主機上部署入侵監(jiān)控或入侵防護系 統(tǒng)，實時監(jiān)視網(wǎng)絡信息流和主機的可疑連接、 系統(tǒng)日志、 非法訪問等活動， 對系統(tǒng)中發(fā)現(xiàn)的 異常行為及時報警或采取

7、相應的阻斷措施。2.5.4. 網(wǎng)絡管理及安全審計 系統(tǒng)中部署的網(wǎng)絡管理及安全審計系統(tǒng)應實現(xiàn)對重要網(wǎng)絡設備、安全設備、服務器及監(jiān)控設備配置信息的變更和數(shù)據(jù)庫系統(tǒng)的故障、 負載及性能等運行狀態(tài)信息進行采集監(jiān)控、 安全事件信息發(fā)生， 設置合理的監(jiān)控指標閾值、 合理的審計規(guī)則和告警響應策略， 并根據(jù)實 際需求提供各類綜合分析報告。2.5.5. 系統(tǒng)冗余在實時性及可用性要求較高的系統(tǒng)中，應對關鍵的網(wǎng)絡鏈路、網(wǎng)絡設備、服務器主機及數(shù)據(jù)庫平臺進行冗余備份， 并進行合理的配置， 當系統(tǒng)的某一節(jié)點發(fā)生故障時能在有效時 間內(nèi)進行切換分配，保證網(wǎng)絡及系統(tǒng)相關服務正常運行。三、具體安全要求3.1. 物理環(huán)境機房的環(huán)境

8、條件、照明、接地、供電、建筑結構、媒體存放條件、監(jiān)視防護設備等應滿足 GB/T2887 電子計算機場地通用規(guī)范 4.34.9 的要求。機房的選址、防火、供配電、消防設施、防水、防靜電、防雷擊應滿足 GB/T9361 計算機場地安全要求48的要求。在防火、防雷擊、防靜電、監(jiān)控設施等方面時，應經(jīng)過相關專業(yè)機構的檢測。此外，還應檢查以下內(nèi)容：a）提供短期的備用電力供應（如UPS）；b）機房留有備用空間；c）設備防盜、防毀措施；d）通訊線路連接、設備標簽、布線合理性；e）機房出入口配置門禁系統(tǒng)以及監(jiān)控報警系統(tǒng)；f）機房出入記錄，記錄內(nèi)容包括人員姓名、出入日期和時間，操作內(nèi)容，攜帶物品等。3.2. 網(wǎng)絡

9、平臺3.2.1. 網(wǎng)絡結構在系統(tǒng)內(nèi)部網(wǎng)絡和外部網(wǎng)絡間配置訪問控制設備或邏輯隔離設備以實現(xiàn)網(wǎng)絡訪問控制和網(wǎng)絡間的信息交換，對訪問控制/隔離設備的通信事件、操作事件進行審計。合理設置訪問控制 /隔離設備的安全配置， 確認安全功能的有效性。 具體安全要求如下：a）根據(jù)系統(tǒng)安全策略配置訪問控制規(guī)則，實現(xiàn)對網(wǎng)絡數(shù)據(jù)包的過濾及對網(wǎng)絡訪問行為的 管理，并對發(fā)生的網(wǎng)絡攻擊或違規(guī)事件進行檢測和告警；b）訪問控制/隔離設備應實施用戶權限的管理；c）開啟審計功能，記錄通過訪問控制 /隔離設備的信息內(nèi)容或活動；d）定期查看日志，并對存儲的日志進行有效的保護（如防止非法修改、刪除，定期導出等）；e）對具有文件傳輸控制能

10、力的訪問控制/隔離設備設置傳輸過濾列表。應根據(jù)業(yè)務應用和安全策略對系統(tǒng)內(nèi)部服務器區(qū)域進行邏輯劃分或邏輯隔離，實現(xiàn)對 信息流的訪問控制和安全傳輸， 在終端計算機與服務器之間進行訪問控制， 建立安全的訪問 路徑。對連接到存有重要信息的服務器，應采取網(wǎng)絡層地址或數(shù)據(jù)鏈路層地址綁定的措施，防止地址欺騙。當有重要信息通過公共網(wǎng)絡進行傳輸時，應在傳輸線路中配置加密設備，以保證在公 共網(wǎng)絡上傳輸信息的保密性； 禁止內(nèi)部網(wǎng)絡用戶未授權與外部網(wǎng)絡連接； 如提供遠程撥號或 移動用戶連接，應在系統(tǒng)入口處配置鑒別與認證服務器。禁止非授權設備接入內(nèi)部網(wǎng)絡，尤其是服務器區(qū)域。3.2.2. 路由器應根據(jù)系統(tǒng)安全策略配置相應

11、的路由器安全配置，具體要求包括：a）保持路由器軟件版本的更新，修補高風險的漏洞；b）禁止與應用無關的網(wǎng)絡服務，關閉與應用無關的網(wǎng)絡接口；c）對登錄的用戶進行身份標識和鑒別，身份標識唯一，不反饋鑒別信息；d）修改路由器默認用戶的口令或禁止默認用戶訪問，用戶口令應滿足長度和復雜性要求，并對配置口令進行加密保護；e）當?shù)卿涍B接超時，應自動斷開連接，并要求重新鑒別；f）對能夠登錄路由器的遠程地址進行限制，關閉與應用無關的遠程訪問接口；g）對登錄提示信息進行設置，不顯示路由器型號、軟件、所有者等信息；h）對路由配置進行備份，且對備份文件的讀取實施訪問控制;i）開啟路由器日志功能，對修改訪問控制列表、路由

12、器配置等操作行為進行審計記錄。3.2.3. 交換機應根據(jù)系統(tǒng)安全策略配置相應的交換機安全配置，具體要求包括：a）保持交換機軟件版本的更新，修補高風險的漏洞；b）禁止與應用無關的網(wǎng)絡服務，關閉與應用無關的網(wǎng)絡接口；c）對登錄交換機的用戶進行身份標識和鑒別，身份標識唯一，不反饋鑒別信息；d）修改交換機默認用戶的口令或禁止默認用戶訪問，用戶口令應滿足長度和復雜性要求，并對配置口令進行加密保護；e）當用戶登錄連接超時，應自動斷開連接，并要求重新鑒別；f）對能夠登錄交換機的遠程地址進行限制，關閉與應用無關的遠程訪問接口；g）對登錄提示信息進行設置，不顯示交換機的型號、軟件、所有者等信息；h）對交換機配置

13、進行備份，且對備份文件的讀取實施訪問控制；i）開啟交換機日志功能，對修改訪問控制列表、交換機配置等操作行為進行審計記錄。3.3. 系統(tǒng)軟件3.3.1. 操作系統(tǒng)信息系統(tǒng)應根據(jù)應用需求、安全需求選擇操作系統(tǒng)，并實施安全配置。具體要求如下：a）定期更新操作系統(tǒng)版本，修補漏洞；b）關閉與應用無關的服務、啟動腳本或網(wǎng)絡功能；c）對登錄用戶進行身份標識和鑒別；用戶的身份標識唯一；d）身份鑒別如采用用戶名/ 口令方式，應設置口令長度、復雜性和更新周期；e）修改默認用戶的口令或禁止默認用戶訪問，禁止匿名訪問或限制訪問的范圍；f）具有登錄失敗處理功能，當?shù)卿浭〈螖?shù)達到限制值時，應結束會話、鎖定用戶；g）實行

14、特權用戶的權限分離，按照最小授權原則， 分別授予不同用戶各自為完成自身承擔任務所需的最小權限，并在他們之間形成相互制約的關系；h）對系統(tǒng)內(nèi)的重要文件（如啟動腳本文件、口令文件、服務配置文件）、服務、環(huán)境變量、進程等實施訪問控制；i）系統(tǒng)管理員實施遠程登錄時， 應使用強鑒別機制， 且操作系統(tǒng)應記錄詳細的登錄信息；j）通過設定終端接入方式、網(wǎng)絡地址范圍等條件限制終端的登錄；k）對操作系統(tǒng)的安全事件進行審計，審計事件至少包括：用戶的添加和刪除、 審計功能的啟動和關閉、 審計策略的調(diào)整、權限變更、 系統(tǒng)資源的異常使用、重要的系統(tǒng)操 作（如修改文件、目錄的訪問控制、更改系統(tǒng)或服務的配置文件） 、重要用戶

15、（如 系統(tǒng)管理員、系統(tǒng)安全員、系統(tǒng)審計員）的各項操作進行審計；l）審計記錄應包括日期和時間、觸發(fā)事件的主體與客體、事件的類型、事件成功或失敗、事件的結果等；審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋；m）用戶鑒別信息及與應用信息所在的存儲空間，被釋放或再分配給其他用戶之前應完全清除；n）限制單個用戶對系統(tǒng)資源的最大使用額度。3.3.2. 數(shù)據(jù)庫信息系統(tǒng)應根據(jù)應用需求、安全需求選擇數(shù)據(jù)庫，并實施安全配置。具體要求如下：a）定期更新數(shù)據(jù)庫版本，修補漏洞；b）禁用或刪除數(shù)據(jù)庫不需要的存儲過程；c）對訪問數(shù)據(jù)庫的用戶進行身份標識和鑒別，身份標識唯一；d）身份鑒別如采用用戶名/ 口令方式，應設置

16、口令長度、復雜性和定期更新周期；e）當?shù)卿涍B接超時，自動退出登錄會話并要求重新鑒別；f）修改默認用戶的口令或禁止默認用戶訪問，防止數(shù)據(jù)庫對象被Public權限用戶訪問；g）實行特權用戶的權限分離，按照最小授權原則， 分別授予不同用戶各自為完成自身承擔任務所需的最小權限，并在他們之間形成相互制約的關系；h）通過設定終端接入方式、網(wǎng)絡地址范圍等條件限制終端的登錄；i）對數(shù)據(jù)庫的安全事件進行審計，審計事件至少包括：用戶的添加和刪除、審計功能的啟動和關閉、審計策略的調(diào)整、 權限變更、數(shù)據(jù)字典訪問、管理員用戶實施的各項 操作、對存儲重要信息的數(shù)據(jù)表的各項操作；j）審計記錄應包括：事件發(fā)生的時間、觸發(fā)事件

17、的主體與客體、事件的類型、事件成功或失敗、事件的結果等；k）審計記錄應受到保護， 避免受到未預期的刪除、 修改或覆蓋。如果審計記錄允許授權 用戶刪除， 應對刪除操作予以記錄； 當審計記錄存儲空間接近極限時， 應采取必要 的措施，以保護所存儲的記錄；I）限制單個用戶對系統(tǒng)資源的最大使用額度。3.4. 應用軟件3.4.1. 通用應用軟件通用應用軟件主要包括郵件服務軟件、 Web 服務軟件、中間件等。本規(guī)范提出了郵件 服務軟件、 Web 服務軟件的安全要求。3.4.1.1. 郵件服務軟件 郵件服務器軟件應根據(jù)系統(tǒng)安全策略進行安裝與配置，安全要求如下：a）定期更新郵件服務器軟件，修補高風險漏洞；b）為

18、郵件服務器軟件建立獨立的邏輯分區(qū)，將其與存放系統(tǒng)文件的分區(qū)分開；c）重新配置smtp、pop等郵件服務的提示信息，不顯示郵件服務器軟件和操作系統(tǒng)的版本和類型；d）啟用smtp認證，禁止非授權帳戶通過郵件服務器發(fā)送郵件；e）禁止非本地域名郵件（發(fā)送者或接收者非本地的郵件）的中轉；f）禁用 expn 、 vrfy 等命令；g）禁止非授權用戶查看郵件隊列；h）具備反垃圾郵件功能。對郵件客戶端，具體要求如下：a）禁止自動郵件瀏覽；b）禁止自動打開下一個郵件功能；c）禁止自動下載 ActiveX控件、活動腳本、java小程序；d）客戶端操作系統(tǒng)只允許授權用戶對本地存儲的郵件客戶端配置文件進行訪問。3.4

19、.1.2. Web 服務軟件Web 服務軟件應根據(jù)系統(tǒng)安全策略進行安裝與配置，安全要求如下：a）定期更新 Web 服務軟件的補丁，修補高風險漏洞；b）配置 Web 服務的提示信息，不顯示 Web 服務軟件和操作系統(tǒng)的版本和類型；c）禁止非授權用戶對 Web 服務根目錄的訪問；d）禁用或刪除默認安裝的一些應用示例；e）定期更新 Web服務軟件，修補高風險漏洞；f）啟用Web服務軟件的日志功能，日志內(nèi)容應包括：訪問者的IP地址、訪問時間、訪問的資源、協(xié)議、狀態(tài)等；g）Web 服務軟件安裝目錄應與系統(tǒng)文件安裝在不同的邏輯分區(qū)下；h）限制對日志的訪問權限；i）禁止匿名用戶在服務器上遠程運行可執(zhí)行文件。

20、3.4.2. 專用應用軟件專用應用軟件應具備與業(yè)務信息保護相應的安全功能，安全要求如下：a）不應經(jīng)常發(fā)生由于軟件錯誤而導致的退出系統(tǒng)或死機現(xiàn)象；b）當發(fā)生錯誤時有出錯提示，并可以通過手工或自動方式從錯誤狀態(tài)恢復到正常狀態(tài)；c）當專用應用軟件退出后，在本地機和服務器的有關目錄下不留下任何殘余文件；d）具有身份鑒別機制， 根據(jù)應用需求采取適當?shù)蔫b別機制來鑒別訪問用戶的身份，用戶身份唯一，并保證鑒別機制不可旁路；e）如果采用口令鑒別機制，應采用技術機制保證口令的質(zhì)量強度；如果采用密碼技術的鑒別機制，相關密碼技術應符合國家密碼管理部門的規(guī)定；f）具備鑒別失敗的處理機制。當不成功鑒別嘗試次數(shù)達到限定值時

21、，系統(tǒng)應鎖定用戶，并予以記錄和告警；g）具備對不同角色用戶權限的分配和管理功能；h）具備對用戶執(zhí)行的系統(tǒng)操作和重要業(yè)務操作的應用審計功能。審計記錄應包括日期和時間、觸發(fā)事件的主體與客體、事件的類型、事件成功或失敗、事件的結果等；審 計記錄應受到保護避免受到未預期的刪除、修改或覆蓋。3.4.3. 應用信息保護應用軟件系統(tǒng)在信息產(chǎn)生、處理、傳輸和存儲環(huán)節(jié)應具備相應的安全功能。具體包括： 在信息的生成環(huán)節(jié)：a）對信息源進行身份標識和鑒別，身份標識唯一；b）如果信息是通過外部網(wǎng)絡遠程錄入，應視其重要程度采取相應的數(shù)據(jù)傳輸加密機制；c）業(yè)務應用軟件應對信息生成的操作進行審計記錄；d）具備對輸入數(shù)據(jù)合法性

22、和合理性檢驗的機制。在信息的處理環(huán)節(jié)：a）對不同角色的用戶執(zhí)行權限管理，防止未授權的用戶進入，防止數(shù)據(jù)被未授權查閱、修改或刪除；對未授權的操作嘗試進行審計記錄；b）嚴格限制用戶的權限，限制單一用戶的多重并發(fā)會話；c）制定并執(zhí)行訪問控制策略，根據(jù)既定規(guī)則明確允許或拒絕主體對客體的訪問；d）具備資源利用策略，確保當重要設備發(fā)生局部故障時，系統(tǒng)主要安全功能能正常運行，或當系統(tǒng)出現(xiàn)某些功能失敗時能夠維持運行狀態(tài)，并給出提示信息。在信息的傳輸環(huán)節(jié)：a）應用信息、審計數(shù)據(jù)、用戶密鑰、用戶口令等安全屬性數(shù)據(jù)在業(yè)務應用軟件和外部網(wǎng)絡系統(tǒng)之間傳輸時采取保密措施；b）采取加密或數(shù)字簽名技術，避免重要的應用信息在網(wǎng)

23、絡間傳輸時遭到篡改、刪除、插入或重放等攻擊；c）確保信息的發(fā)送者不能否認曾經(jīng)發(fā)送過該信息，即接收信息的主體能獲得證明信息原發(fā)的證據(jù)，該證據(jù)可由該主體或第三方主體驗證；d）確保信息的接收者不能否認對該信息的接收，即發(fā)送信息的主體獲得證明該信息被接收的證據(jù)，該證據(jù)可由該主體或第三方主體驗證。在信息的存儲環(huán)節(jié)：a）存儲數(shù)據(jù)的保密性保護： 對存儲在系統(tǒng)中的應用信息，應根據(jù)不同數(shù)據(jù)類型的保密性要求， 進行不同程度的保護； 除具有權限的合法用戶外， 其余任何用戶不能獲得該 數(shù)據(jù)；b）存儲數(shù)據(jù)的完整性保護： 對存儲在系統(tǒng)中的應用信息進行完整性保護； 檢測到完整性 錯誤時，應采取相應的行動；c）對于重要的應用信息可以采取加密方式存儲； 對以加密方式保存?zhèn)浞莸模?應同時保存 數(shù)據(jù)恢復所需密鑰的備份；d）建立安全備份制度， 以便在系統(tǒng)遭受破壞的情況下及時進行恢復； 根據(jù)業(yè)務需求制定 備份策略，并按照策略定期備份重要的數(shù)據(jù)和軟件， 定期對備份數(shù)據(jù)進行恢復測試， 以保證備份數(shù)據(jù)的可用性。 備份內(nèi)容至少應包括： 應用信息、 系統(tǒng)軟件的配置文件、 關鍵設備的配置信息、安全設備的配置規(guī)則與日志等；e）備份數(shù)據(jù)必須有嚴格的存取、調(diào)用和更新的管理規(guī)程。3.4.4. 密碼支持系統(tǒng)應在密鑰的產(chǎn)生、分配、訪問、銷毀等環(huán)節(jié)滿足以下要求：a）基于國家主管部門認可的算法和密鑰長度來產(chǎn)生密鑰；b）基于國家主管部門認可的分配