安全保障體系

1、安全保障體系1 容災備份系統(tǒng)1.1 系統(tǒng)概述1.1.1 容災概念容災是一個范疇比較廣泛的概念，廣義上可以把所有與業(yè)務連續(xù)性相關(guān)的內(nèi)容都納入容災。容災是一個系統(tǒng)工程，它包括支持用戶業(yè)務的方方面面。而容災對于IT 環(huán)境而言，就是提供一個能防止用戶業(yè)務系統(tǒng)遭受各種災難影響與破壞計算機系統(tǒng)和業(yè)務數(shù)據(jù)。容災還表現(xiàn)為一種未雨綢繆的主動性，而不是在災難發(fā)生后的“亡羊補牢”。從狹義的角度，我們平常所談論的容災是指，除了生產(chǎn)站點以外，用戶另外建立的冗余站點，當災難發(fā)生，生產(chǎn)站點受到破壞時，冗余站點可以接管用戶正常的業(yè)務，達到業(yè)務不間斷的目的。為了達到更高的可用性，許多用戶甚至建立多個冗余站點以保證業(yè)務系統(tǒng)的安全

2、性。從技術(shù)上看，衡量容災系統(tǒng)主要有兩個主要指標：RP(O RecoveryPoint Object )和 RTO(Recovery Time Object ),其中 RPOR表了 當災難發(fā)生時允許丟失的數(shù)據(jù)量，而RTCWU代表了系統(tǒng)恢復的時間。RPOW RTC®小，系統(tǒng)的可用性就越高，當然用戶需要的投資也越大。1.1.2 容災與備份的關(guān)系備份是指用戶為應用系統(tǒng)產(chǎn)生的重要數(shù)據(jù)（或者原有的重要數(shù)據(jù)信息）制作一份或者多份拷貝，以增強數(shù)據(jù)的安全性。因此，備份與容災所關(guān)注的對象有所不同，備份關(guān)心數(shù)據(jù)的安全，容災關(guān)心業(yè)務應用的安全，我們可以把備份稱作是“數(shù)據(jù)保護”， 而容災稱作“業(yè)務應用保護”。

3、 備份最多表現(xiàn)為通過備份軟件使用磁帶機或者磁帶庫將數(shù)據(jù)進行拷貝，也有用戶使用磁盤、光盤作為存儲介質(zhì)；容災則表現(xiàn)為通過高可用方案將兩個站點連接起來。備份與容災是存儲領(lǐng)域兩個極其重要的部分，二者有著緊密的聯(lián)系。首先，在備份與容災中都有數(shù)據(jù)保護工作，備份大多采用磁帶方式， 性能低， 成本低， 數(shù)據(jù)通常被壓縮后以獨有的數(shù)據(jù)格式進行存儲；容災采用磁盤作為存儲介質(zhì)作為數(shù)據(jù)載體的方式進行數(shù)據(jù)保護，數(shù)據(jù)隨時在線，性能高，成本高。其次，備份是存儲領(lǐng)域的一個基礎，在一個完整的容災方案中必然包括備份的部分；同時備份還是容災方案的有效補充，因為容災方案中的數(shù)據(jù)始終在線，因此存儲有完全被破壞的可能，而備份提供了額外的一

4、條防線，在線數(shù)據(jù)丟失的情況下還可以從備份數(shù)據(jù)中恢復。1.1.3 容災的等級大體上講，容災可以分為3 個級別：數(shù)據(jù)級別、應用級別以及業(yè)務級別。數(shù)據(jù)級別容災的關(guān)注點在于數(shù)據(jù)，即災難發(fā)生后可以確保用戶原有的數(shù)據(jù)不會丟失或者遭到破壞。數(shù)據(jù)級容災較為基礎。其中，較低級別的數(shù)據(jù)容災方案僅需利用磁帶庫和管理軟件就能實現(xiàn)數(shù)據(jù)異地備份， 達到容災的功效；而較高級的數(shù)據(jù)容災方案則是依靠數(shù)據(jù)復制工具，例如卷復制軟件，或者存儲系統(tǒng)的硬件控制器，實現(xiàn)數(shù)據(jù)的遠程復制。 數(shù)據(jù)級別容災是保障數(shù)據(jù)可用的最后底線，當數(shù)據(jù)丟失時能夠保證應用系統(tǒng)可以重新得到所有數(shù)據(jù)。從這種意義上講，數(shù)據(jù)備份屬于該級別容災，用戶把重要的數(shù)據(jù)存放在磁帶

5、上，如果考慮到高級別的安全性還可以把磁帶運送到遠距離的地方保存，當災難發(fā)生后，從磁帶中獲取數(shù)據(jù)。該級別災難恢復時間較長，仍然存在風險，盡管用戶原有數(shù)據(jù)沒有丟失，但是應用會被中斷，用戶業(yè)務也被迫停止。因此虛擬磁帶庫的出現(xiàn)可以解決磁帶備份速度慢和磁帶保存困難的問題，是取代磁帶的最佳產(chǎn)品。應用級容災是在數(shù)據(jù)級容災的基礎上，再把執(zhí)行應用處理能力復制一份，也就是說，在備份站點同樣構(gòu)建一套應用系統(tǒng)。應用級容災系統(tǒng)能提供不間斷的應用服務，讓用戶應用的服務請求能夠透明地繼續(xù)運行，而感受不到災難的發(fā)生，保證信息系統(tǒng)提供的服務完整、可靠、安全。數(shù)據(jù)級容災和應用級容災都是在IT 范疇之內(nèi)，然而對于正常業(yè)務而言，僅I

6、T 系統(tǒng)的保障還是不夠的。有些用戶需要構(gòu)建最高級別的業(yè)務級別容災。業(yè)務級容災的大部分內(nèi)容是非IT 系統(tǒng)， 比如電話、辦公地點等。當一場大的災難發(fā)生時，用戶原有的辦公場所都會受到破壞，用戶除了需要原有的數(shù)據(jù)、原有的應用系統(tǒng)，更需要工作人員在一個備份的工作場所能夠正常地開展業(yè)務。1.2 建設必要性隨著XX工程數(shù)字化建設的不斷深入，較為嚴重的信息系統(tǒng)故障（主要是：服務器故障和網(wǎng)絡故障兩大類。）勢必會影響到系統(tǒng)全局的可用性和穩(wěn)定性，而 XX工程由于其覆蓋面廣、受眾多，業(yè)務的高可用性與連續(xù)性就顯的尤為重要。建立一套行之有效的容災備份系統(tǒng)十分必要。同時，在整個XX工程應用網(wǎng)絡系統(tǒng)中，由于數(shù)據(jù)量大而復雜，數(shù)

7、據(jù)出錯或丟失是在所難免的，如果沒有事先對數(shù)據(jù)進行備份，要想恢復數(shù)據(jù)不僅難度大而且很十分不可靠，有時甚至根本不可能進行恢復。如果定期對重要數(shù)據(jù)進行備份，那么在系統(tǒng)出現(xiàn)故障時，仍然能保證重要數(shù)據(jù)準確無誤。另外，隨著XX工程的逐步發(fā)展，新業(yè)務需求的不斷擴展，現(xiàn)有業(yè)務系統(tǒng)的相關(guān)數(shù)據(jù)信息的安全性和可靠性也需要在原有基礎上得到進一步擴充及改進，以保證在災難情況發(fā)生時，相關(guān)業(yè)務也能正常運行。因此，在此方案中，我們將總體目標定為實現(xiàn)對 XXX現(xiàn)有業(yè)務系統(tǒng)中核心數(shù)據(jù)和核心應用系統(tǒng)的容災備份， 并確保災難情況下業(yè)務數(shù) 據(jù)的高可恢復性和高可用性，從而保證相關(guān)的應用系統(tǒng)不中斷， 并且 在災難發(fā)生后能夠得到及時恢復。1

8、.3 建設目標本次容災備份系統(tǒng)的建設目標是：技術(shù)先進、可擴充、高可靠、高可用、可管理。工技術(shù)先進性：系統(tǒng)設計應采用當前先進而成熟的技術(shù)，不僅 可以滿足本期工程的需求，也應把握未來的發(fā)展方向。,可擴充性：在系統(tǒng)設計時應充分考慮可擴充性，從而確保新 功能、新業(yè)務的增加在原有的系統(tǒng)平臺上擴展和實現(xiàn)。士高可靠性：存儲平臺具有高可靠性，支持服務器平臺的高可用性集群技術(shù)；具備先進的容災的設計；充分保證系統(tǒng)的高 擴展能力和高容錯能力，具有通道負載自動均衡能力和存儲 系統(tǒng)性能調(diào)節(jié)能力，提供極為充分的可靠性各項指標設計。工高可用性：在不停機情況下，實現(xiàn)不停機擴容、維護、升級等服務，提高性能以滿足新的業(yè)務需求。具

9、備 7X24X365連續(xù)工作的能力，系統(tǒng)的可用性應大于 99.999 %。在軟件支 持下可以實現(xiàn)應用級容災。工可管理性：要求配置實時性能監(jiān)測管理軟件?？蓪浞葑鳂I(yè)、 磁盤空間、卷磁盤錯誤、系統(tǒng)事件、系統(tǒng)中各進程對系統(tǒng)資 源占用等性能和操作數(shù)據(jù)等服務器性能進行實時監(jiān)控和管, 保護投資：新的系統(tǒng)投入使用對前期的設備有可再次利用的 設計思路，保證前期的投入和設備的持續(xù)性運營。其次是新 系統(tǒng)的整體設計要考慮經(jīng)濟有效，充分利用現(xiàn)有設備和即將 時候的設備，使得投入與產(chǎn)出最大化。1.4 建設內(nèi)容整個系統(tǒng)的建設內(nèi)容分為三個部分，可以按照資金、技術(shù)、環(huán)境 的具體情況分三個步驟來實現(xiàn)備份容災系統(tǒng)的建設。災備存儲2

10、 認證安全服務體系2.1 系統(tǒng)概述2.1.1 功能簡介認證安全服務體系是指數(shù)字證書（即網(wǎng)絡中的個人虛擬身份證）的發(fā)放和管理。是面向應用的 CA系統(tǒng)，為應用提供基礎的證書管理 服務。面向應用的CA系統(tǒng)的主要目的是為這些用戶在網(wǎng)絡上進行業(yè) 務活動時，對應用提供更安全的保障。系統(tǒng)有一個穩(wěn)定的核心，一個良好的結(jié)構(gòu)。提供多種接口，可以方便地擴展規(guī)模和功能。具有手工、批量、在線、離線等多種證書申請方式、 支持 IC 卡、USBkey、 文件等多種證書保存介質(zhì)，支持人工、WEB目錄服務器、郵件等多種證書發(fā)布方式、支持多種密鑰生成方式等。系統(tǒng)由CA服務器、目錄服務器、數(shù)據(jù)庫服務器、硬件密碼機、操作終端組成。C

11、A 服務器負責證書的申請、簽發(fā)、作廢和管理。數(shù)據(jù)庫服務器負責存放CA的數(shù)據(jù)、請求數(shù)據(jù)、證書和黑名單數(shù)據(jù)。操作終端提供證書申請的管理和日常操作，目錄服務器用于發(fā)布證書和黑名單。證書系統(tǒng)功能包括證書管理系統(tǒng)初始化、證書服務功能、證書管理功能、證書發(fā)布功能。CA服務器加密機操作終端數(shù)據(jù)庫服務器加密卡9。1II防火墻（j。目錄服務器p防火墻II路由器互聯(lián)網(wǎng) 內(nèi)部網(wǎng)4-J典型的企業(yè)證書管理系垃2.1.2應用領(lǐng)域本系統(tǒng)所發(fā)放的數(shù)字證書用于各種應用系統(tǒng)的身份認證、操作的電子簽名、數(shù)據(jù)的加密。2.2建設必要性認證安全服務體系建設是總體建設的一項關(guān)鍵內(nèi)容，為全區(qū)人力 資源社會保障各業(yè)務系統(tǒng)提供應用安全支撐，包括

12、身份認證、數(shù)據(jù)加 密解密、基于數(shù)字簽名驗簽的防抵賴等基本證書應用安全功能， 以及 電子簽章和時間戳等增強證書應用安全功能。2.3建設內(nèi)容人力資源社會保障認證安全服務體系應包含電子認證系統(tǒng)基礎 層、證書業(yè)務管理層、證書應用支撐層、相關(guān)政策法規(guī)和標準規(guī)范, 總體結(jié)構(gòu)如圖所示。人力資源社會保障業(yè)務應用系統(tǒng)證書應用支撐層一一企1101必能電子簽章網(wǎng)絡安全協(xié)議時間戳身份認證數(shù)字簽名驗簽加密解密政策法規(guī)基礎安全接口高級應用接口證書業(yè)務管理層證書生命周期管理系統(tǒng)運行管理證書服務統(tǒng)一監(jiān)管平臺標準規(guī)范電子認證系統(tǒng)基礎層:證書認證設施：證書簽發(fā)管理系統(tǒng)證書注冊管理系統(tǒng)""證書查驗服務系統(tǒng)密碼管

13、理設施密鑰管理系統(tǒng)密碼服務系統(tǒng)電子認證系統(tǒng)基礎層包括密鑰管理系統(tǒng)、密碼服務系統(tǒng)、證書簽發(fā)管理系統(tǒng)、證書注冊管理系統(tǒng)和證書查驗服務系統(tǒng)等。證書業(yè)務管理層包括證書生命周期管理、系統(tǒng)運行管理、證書服務統(tǒng)一監(jiān)管平臺等。證書應用支撐層包括基礎安全接口和高級應用接口, 為應用系統(tǒng)提供身份認證、數(shù)據(jù)加密解密、數(shù)字簽名驗簽、電子簽章、網(wǎng)絡安全協(xié)議和時間戳等應用安全支撐功能。3 網(wǎng)絡冗余鏈路建設3.1 系統(tǒng)概述網(wǎng)絡的冗余部署包含了三個環(huán)節(jié)，分別是：設備級冗余，鏈路級冗余和網(wǎng)關(guān)級冗余。（ 1）設備級的冗余技術(shù)分為電源冗余和管理板卡冗余，由于設備成本上的限制，這兩種技術(shù)都被應用在中高端產(chǎn)品上。（ 2）鏈路級冗余往往

14、存在多條二層和三層鏈路，使用鏈路級冗余技術(shù)可以實現(xiàn)多條鏈路之間的備份，流量分擔和環(huán)路避免。（ 3）前面談到的冗余技術(shù)保證了網(wǎng)絡級別的冗余，同樣對于使用網(wǎng)絡的終端用戶來講，也需要一種機制來保證其與網(wǎng)絡的可靠連接，這就是網(wǎng)關(guān)級冗余技術(shù)。3.2 建設必要性隨著Internet的發(fā)展，XX工程從簡單的信息承載平臺轉(zhuǎn)變成一個公共服務提供平臺。作為終端用戶，希望能時時刻刻保持與網(wǎng)絡的聯(lián)系，因此健壯，高效和可靠成為 XX工程網(wǎng)絡發(fā)展的重要目標，而要保證網(wǎng)絡的可靠性，就需要使用到冗余技術(shù)。高冗余網(wǎng)絡要給我們帶來的體驗，就是在網(wǎng)絡設備、鏈路發(fā)生中斷或者變化的時候，用戶幾乎感覺不到。為了達成這一目標，需要在XX工

15、程網(wǎng)絡的各個環(huán)節(jié)上實施冗余，包括網(wǎng)絡設備，鏈路和廣域網(wǎng)出口，用戶側(cè)等等。3.3 建設內(nèi)容形成自治區(qū)、盟市、本次網(wǎng)絡的冗余建設主要是鏈路級冗余建設，旗縣區(qū)三級網(wǎng)絡雙鏈路保障。4 安全管理制度建設4.1 認證系統(tǒng)安全管理制度4.1.1 身份鑒別a) 應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別;b) 應對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別 ;c) 應提供用戶身份標識唯一和鑒別信息復雜度檢查功能, 保證應用系統(tǒng)中不存在重復用戶身份標識, 身份鑒別信息不易被冒用;d) 應提供登錄失敗處理功能, 可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施;e) 應啟用身份鑒別、用戶身

16、份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能, 并根據(jù)安全策略配置相關(guān)參數(shù)。4.1.2 訪問控制a) 應提供訪問控制功能, 依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問;b) 訪問控制的覆蓋范圍應包括與資源訪問相關(guān)的主體、客體及它們之間的操作;c) 應由授權(quán)主體配置訪問控制策略, 并嚴格限制默認帳戶的訪問權(quán)限 ;d) 應授予不同帳戶為完成各自承擔任務所需的最小權(quán)限, 并在它們之間形成相互制約的關(guān)系。e) 應具有對重要信息資源設置敏感標記的功能;f) 應依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作 ;4.1.3 安全審計a) 應提供覆蓋到每個用戶的安全審計功能,

17、 對應用系統(tǒng)重要安全事件進行審計;b) 應保證無法單獨中斷審計進程, 無法刪除、修改或覆蓋審計記錄;c) 審計記錄的內(nèi)容至少應包括事件的日期、時間、 發(fā)起者信息、類型、描述和結(jié)果等;d) 應提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。4.1.4 剩余信息保護a) 應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除, 無論這些信息是存放在硬盤上還是在內(nèi)存中;b) 應保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。4.1.5 通信完整性應采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。4.1.6 通信保密性a) 在通信雙方

18、建立連接之前, 應用系統(tǒng)應利用密碼技術(shù)進行會話初始化驗證;b) 應對通信過程中的整個報文或會話過程進行加密。4.1.7 抗抵賴a) 應具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能;b) 應具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。4.1.8 軟件容錯a) 應提供數(shù)據(jù)有效性檢驗功能, 保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設定要求;b) 應提供自動保護功能, 當故障發(fā)生時自動保護當前所有狀態(tài)保證系統(tǒng)能夠進行恢復。4.1.9 資源控制a) 當應用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應另一方應能夠自動結(jié)束會話;b) 應能夠?qū)ο到y(tǒng)的最

19、大并發(fā)會話連接數(shù)進行限制;c) 應能夠?qū)蝹€帳戶的多重并發(fā)會話進行限制;d) 應能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制;e) 應能夠?qū)σ粋€訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額;f) 應能夠?qū)ο到y(tǒng)服務水平降低到預先規(guī)定的最小值進行檢測和報警 ;g) 應提供服務優(yōu)先級設定功能, 并在安裝后根據(jù)安全策略設定訪問帳戶或請求進程的優(yōu)先級, 根據(jù)優(yōu)先級分配系統(tǒng)資源。4.2 信息系統(tǒng)安全管理制度4.2.1 身份鑒別a) 應對登錄各信息系統(tǒng)(特別是操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng))的用戶進行身份標識和鑒別;b) 各信息系統(tǒng)管理用戶身份標識應具有不易被冒用的特點, 口令應有復雜度要求并定期更換;c

20、) 應啟用登錄失敗處理功能, 可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施;d) 當對服務器進行遠程管理時, 應采取必要措施, 防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽;e) 應為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名,確保用戶名具有唯一性。f) 應采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別。4.2.2 訪問控制a) 應啟用訪問控制功能, 依據(jù)安全策略控制用戶對資源的訪問;b) 應根據(jù)管理用戶的角色分配權(quán)限, 實現(xiàn)管理用戶的權(quán)限分離,僅授予管理用戶所需的最小權(quán)限;c) 應實現(xiàn)各信息系統(tǒng)(如，操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng))特權(quán)用戶的權(quán)限分離;d) 應嚴格限制默認帳戶的訪問權(quán)限, 重命名

21、系統(tǒng)默認帳戶, 修改這些帳戶的默認口令;e) 應及時刪除多余的、過期的帳戶, 避免共享帳戶的存在。f) 應對重要信息資源設置敏感標記;g) 應依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作 ;4.2.3 安全審計a) 審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶b) 審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件;c) 審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等;d) 應能夠根據(jù)記錄數(shù)據(jù)進行分析, 并生成審計報表;e) 應保護審計進程, 避免受到未預期的中斷;f) 應保護審計記錄, 避免受到未預期

22、的刪除、修改或覆蓋等。4.2.4 剩余信息保護a) 應保證各系統(tǒng)(如，操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng))用戶的鑒別信息所在的存儲空間, 被釋放或再分配給其他用戶前得到完全清除, 無論這些信息是存放在硬盤上還是在內(nèi)存中;b) 應確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間 , 被釋放或重新分配給其他用戶前得到完全清除。4.2.5 入侵防范a) 應能夠檢測到對重要服務器進行入侵的行為, 能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵 事件時提供報警;b) 應能夠?qū)χ匾绦虻耐暾赃M行檢測, 并在檢測到完整性受到破壞后具有恢復的措施;c) 操作系統(tǒng)應遵循最小安裝的原則, 僅

23、安裝需要的組件和應用程序 , 并通過設置升級服務器等方持系統(tǒng)補丁及時得到更新。4.2.6 惡意代碼防范a) 應安裝防惡意代碼軟件, 并及時更新防惡意代碼軟件版本和惡意代碼庫;b) 主機防惡意代碼產(chǎn)品應具有與網(wǎng)絡防惡意代碼產(chǎn)品不同的惡意代碼庫 ;c) 應支持防惡意代碼的統(tǒng)一管理。4.2.7 資源控制a) 應通過設定終端接入方式、網(wǎng)絡地址范圍等條件限制終端登錄;b) 應根據(jù)安全策略設置登錄終端的操作超時鎖定;c)應對重要服務器進行監(jiān)視，包括監(jiān)視服務器的CPU硬盤、內(nèi) 存、網(wǎng)絡等資源的使用情況;d) 應限制單個用戶對系統(tǒng)資源的最大或最小使用限度;e) 應能夠?qū)ο到y(tǒng)的服務水平降低到預先規(guī)定的最小值進行

24、檢測 和報警。4.3 災備系統(tǒng)安全管理制度4.3.1 數(shù)據(jù)完整性a) 應能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程中完整性受到破壞, 并在檢測到完整性錯誤時采取必要的恢復措施 ;b) 應能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在存儲過程中完整性受到破壞, 并在檢測到完整性錯誤時采取必要的恢復措施。4.3.2 數(shù)據(jù)保密性a) 應采用加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)傳輸保密性;b) 應采用加密或其他保護措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)存儲保密性。4.3.3 備份和恢復a) 應提供本地數(shù)據(jù)備份與恢復功能, 完全數(shù)據(jù)備份至少每天一次 , 備份介

25、質(zhì)場外存放;b) 應提供異地數(shù)據(jù)備份功能, 利用通信網(wǎng)絡將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地;c) 應采用冗余技術(shù)設計網(wǎng)絡拓撲結(jié)構(gòu), 避免關(guān)鍵節(jié)點存在單點故障 ;d) 應提供主要網(wǎng)絡設備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余保證系統(tǒng)的高可用性。5 信息安全等級保護5.1 物理安全5.1.1 物理位置的選擇(G3)本項要求包括:a) 機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內(nèi) ;b) 機房場地應避免設在建筑物的高層或地下室, 以及用水設備的下層或隔壁。5.1.2 物理訪問控制(G3)本項要求包括:a) 機房出入口應安排專人值守, 控制、鑒別和記錄進入的人員;b) 需進入機房的來訪人員應經(jīng)過

26、申請和審批流程, 并限制和監(jiān)控其活動范圍;c) 應對機房劃分區(qū)域進行管理, 區(qū)域和區(qū)域之間設置物理隔離裝置 , 在重要區(qū)域前設置交付或安裝等過渡區(qū)域;d) 重要區(qū)域應配置電子門禁系統(tǒng), 控制、鑒別和記錄進入的人5.1.3 防盜竊和防破壞(G3)本項要求包括:a) 應將主要設備放置在機房內(nèi);b) 應將設備或主要部件進行固定, 并設置明顯的不易除去的標記;c) 應將通信線纜鋪設在隱蔽處, 可鋪設在地下或管道中;d) 應對介質(zhì)分類標識, 存儲在介質(zhì)庫或檔案室中;e) 應利用光、電等技術(shù)設置機房防盜報警系統(tǒng);f) 應對機房設置監(jiān)控報警系統(tǒng)。5.1.4 防雷擊 (G3)本項要求包括:a) 機房建筑應設置

27、避雷裝置;b) 應設置防雷保安器, 防止感應雷;c) 機房應設置交流電源地線。5.1.5 防火 (G3)本項要求包括:a) 機房應設置火災自動消防系統(tǒng), 能夠自動檢測火情、自動報警 ,并自動滅火;b) 機房及相關(guān)的工作房間和輔助房應采用具有耐火等級的建筑材料 ;c) 機房應采取區(qū)域隔離防火措施, 將重要設備與其他設備隔離開。5.1.6 防水和防潮(G3)本項要求包括:a) 水管安裝 , 不得穿過機房屋頂和活動地板下;b) 應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透;c) 應采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透;d) 應安裝對水敏感的檢測儀表或元件, 對機房進行防水檢測和報警。

28、5.1.7 防靜電 (G3)本項要求包括:a) 主要設備應采用必要的接地防靜電措施;b) 機房應采用防靜電地板。5.1.8 溫濕度控制(G3)機房應設置溫、濕度自動調(diào)節(jié)設施, 使機房溫、濕度的變化在設備運行所允許的范圍之內(nèi)。5.1.9 電力供應(A3)本項要求包括:a) 應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備;b) 應提供短期的備用電力供應, 至少滿足主要設備在斷電情況下的正常運行要求;c) 應設置冗余或并行的電力電纜線路為計算機系統(tǒng)供電;d) 應建立備用供電系統(tǒng)。5.1.10 電磁防護(S3)本項要求包括:a) 應采用接地方式防止外界電磁干擾和設備寄生耦合干擾;b) 電源線和通信線纜應

29、隔離鋪設, 避免互相干擾;c) 應對關(guān)鍵設備和磁介質(zhì)實施電磁屏蔽。5.2 網(wǎng)絡安全5.2.1 結(jié)構(gòu)安全(G3)本項要求包括:a) 應保證主要網(wǎng)絡設備的業(yè)務處理能力具備冗余空間, 滿足業(yè)務高峰期需要;b) 應保證網(wǎng)絡各個部分的帶寬滿足業(yè)務高峰期需要;c) 應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑 ;d) 應繪制與當前運行情況相符的網(wǎng)絡拓撲結(jié)構(gòu)圖;e) 應根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素 , 劃分不同的子網(wǎng)或網(wǎng)段, 并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段;f) 應避免將重要網(wǎng)段部署在網(wǎng)絡邊界處且直接連接外部信息系統(tǒng) , 重要網(wǎng)段與其他網(wǎng)段之間采

30、取可靠的技術(shù)隔離手段;g) 應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別, 保證在網(wǎng)絡發(fā)生擁堵的時候優(yōu)先保護重要主機。5.2.2 訪問控制(G3)本項要求包括:a) 應在網(wǎng)絡邊界部署訪問控制設備, 啟用訪問控制功能;b) 應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力 , 控制粒度為端口級;c) 應對進出網(wǎng)絡的信息內(nèi)容進行過濾, 實現(xiàn)對應用層HTTP、 FTP、TELNET SMTP POP套協(xié)議命令級的控制;d) 應在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡連接;e) 應限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù);f) 重要網(wǎng)段應采取技術(shù)手段防止地址欺騙;g) 應按用戶和系統(tǒng)之間的允許

31、訪問規(guī)則, 決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問, 控制粒度為單個用戶;h) 應限制具有撥號訪問權(quán)限的用戶數(shù)量。5.2.3 安全審計(G3)本項要求包括:a) 應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄;b) 審計記錄應包括: 事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息;c) 應能夠根據(jù)記錄數(shù)據(jù)進行分析, 并生成審計報表;d) 應對審計記錄進行保護, 避免受到未預期的刪除、修改或覆蓋 等。5.2.4 邊界完整性檢查(S3)本項要求包括:a) 應能夠?qū)Ψ鞘跈?quán)設備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行檢查, 準確定出位置, 并對其進行有效阻斷;b) 應能夠

32、對內(nèi)部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查,準確定出位置, 并對其進行有效阻斷。5.2.5 入侵防范(G3)本項要求包括:a) 應在網(wǎng)絡邊界處監(jiān)視以下攻擊行為: 端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡蠕蟲攻擊等;b)當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間 , 在發(fā)生嚴重入侵事件時應提供報警。5.2.6 惡意代碼防范(G3)本項要求包括:a) 應在網(wǎng)絡邊界處對惡意代碼進行檢測和清除;b) 應維護惡意代碼庫的升級和檢測系統(tǒng)的更新。5.2.7 網(wǎng)絡設備防護(G3)本項要求包括:a) 應對登錄網(wǎng)絡設備的用戶進行身份鑒別;b) 應

33、對網(wǎng)絡設備的管理員登錄地址進行限制;c) 網(wǎng)絡設備用戶的標識應唯一;d) 主要網(wǎng)絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別;e) 身份鑒別信息應具有不易被冒用的特點, 口令應有復雜度要求并定期更換;f) 應具有登錄失敗處理功能, 可采取結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng)絡登錄連接超時自動退出等措施;g) 當對網(wǎng)絡設備進行遠程管理時, 應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽;h) 應實現(xiàn)設備特權(quán)用戶的權(quán)限分離。5.3 系統(tǒng)安全5.3.1 系統(tǒng)定級(G3)本項要求包括:a) 應明確信息系統(tǒng)的邊界和安全保護等級;b) 應以書面的形式說明確定信息系統(tǒng)為某個安全保護等級的方

34、法和理由 ;c) 應組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進行論證和審定;d) 應確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準。5.3.2 安全方案設計(G3)本項要求包括:a) 應根據(jù)系統(tǒng)的安全保護等級選擇基本安全措施, 并依據(jù)風險分析的結(jié)果補充和調(diào)整安全措施;b) 應指定和授權(quán)專門的部門對信息系統(tǒng)的安全建設進行總體規(guī)劃 , 制定近期和遠期的安全建設工作計劃;c) 應根據(jù)信息系統(tǒng)的等級劃分情況, 統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設規(guī)劃和詳細設計方案 , 并形成配套文件;d) 應組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框

35、架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關(guān)配套文件的合理性和正確性進行論證和審定, 并且經(jīng)過批準后, 才能正式實施 ;e) 應根據(jù)等級測評、安全評估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關(guān)配套文件。5.3.3 產(chǎn)品采購和使用(G3)本項要求包括:a) 應確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定;b) 應確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求;c) 應指定或授權(quán)專門的部門負責產(chǎn)品的采購;d) 應預先對產(chǎn)品進行選型測試, 確定產(chǎn)品的候選范圍, 并定期審定和更新候選產(chǎn)品名單。5.3.4 自行軟件開發(fā)(G3)本項要求包括:a) 應確保開發(fā)環(huán)境與實際運行環(huán)境物理分開, 開發(fā)人員和測試人員分離 , 測試數(shù)據(jù)和測試結(jié)果受到控制;人員行為準則;c) 應制定代碼編寫安全規(guī)范, 要求開發(fā)人員參照規(guī)范編寫代碼d) 應確保提供軟件設計的相關(guān)文檔和使用指南, 并由