信息安全等級保護四級防護技術(shù)要求

信息安全等級保護四級防護技術(shù)要求信息安全等級保護四級防護技術(shù)要求信息安全等級保護四級防護技術(shù)要求信息安全等級保護四級防護技術(shù)要求編制僅供參考審核批準(zhǔn)生效日期地址：電話：傳真:郵編:信息安全等級保護（四級）具體技術(shù)要求我國信息安全等級保護與涉密信息系統(tǒng)分級保護關(guān)系等級保護分級保護保護對象不同非涉密信息系統(tǒng)涉密信息系統(tǒng)管理體系不同公安機關(guān)國家保密工作部門標(biāo)準(zhǔn)體系不同國家標(biāo)準(zhǔn)（GB、GB/T）國家保密標(biāo)準(zhǔn)（BMB，強制執(zhí)行）級別劃分不同第一級：自主保護級第二級：指導(dǎo)保護級第三級：監(jiān)督保護級秘密級第四級：強制保護級機密級第五級：專控保護級絕密級涉密信息系統(tǒng)分級保護與信息安全等級保護制度相銜接，三個等級的防護水平不低于國家等級保護的第三、四、五級要求網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全審計對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行全面的監(jiān)測、記錄；對于每一個事件，其審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功，及其他與審計相關(guān)的信息；安全審計應(yīng)可以根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；安全審計應(yīng)可以對特定事件，提供指定方式的實時報警；審計記錄應(yīng)受到保護避免受到未預(yù)期的刪除、修改或覆蓋等；安全審計應(yīng)能跟蹤監(jiān)測到可能的安全侵害事件，并終止違規(guī)進程；審計員應(yīng)能夠定義審計跟蹤極限的閾值，當(dāng)存儲空間接近極限時，能采取必要的措施（如報警并導(dǎo)出），當(dāng)存儲空間被耗盡時，終止可審計事件的發(fā)生；安全審計應(yīng)根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計；網(wǎng)絡(luò)設(shè)備時鐘應(yīng)與時鐘服務(wù)器時鐘保持同步。邊界完整性檢查應(yīng)能夠檢測內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為（即“非法外聯(lián)”行為）；應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到網(wǎng)絡(luò)的行為進行檢查，并準(zhǔn)確定位、有效阻斷；應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查后準(zhǔn)確定出位置，并對其進行有效阻斷；應(yīng)能夠根據(jù)信息流控制策略和信息流的敏感標(biāo)記，阻止重要信息的流出。（網(wǎng)絡(luò)設(shè)備標(biāo)記，指定路由信息標(biāo)記）。網(wǎng)絡(luò)入侵防范在網(wǎng)絡(luò)邊界處應(yīng)監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊等入侵事件的發(fā)生；當(dāng)檢測到入侵事件時，應(yīng)記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間等，并發(fā)出安全警告（如可采取屏幕實時提示、E-mail告警、聲音告警等幾種方式）及自動采取相應(yīng)動作。惡意代碼防范應(yīng)在網(wǎng)絡(luò)邊界及核心業(yè)務(wù)網(wǎng)段處對惡意代碼進行檢測和清除；應(yīng)維護惡意代碼庫的升級和檢測系統(tǒng)的更新；應(yīng)支持惡意代碼防范的統(tǒng)一管理。網(wǎng)絡(luò)設(shè)備防護應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別；應(yīng)對網(wǎng)絡(luò)上的對等實體進行身份鑒別；應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制；網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；身份鑒別信息應(yīng)具有不易被冒用的特點，例如口令長度、復(fù)雜性和定期的更新等；應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；網(wǎng)絡(luò)設(shè)備用戶的身份鑒別信息至少有一種應(yīng)是不可偽造的，例如以公私鑰對、生物特征等作為身份鑒別信息；應(yīng)具有登錄失敗處理功能，如結(jié)束會話、限制非法登錄次數(shù)，當(dāng)網(wǎng)絡(luò)登錄連接超時，自動退出；應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離，例如將管理與審計的權(quán)限分配給不同的網(wǎng)絡(luò)設(shè)備用戶。主機系統(tǒng)安全身份鑒別操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的身份標(biāo)識應(yīng)具有唯一性；應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標(biāo)識和鑒別；應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別；操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的身份鑒別信息應(yīng)具有不易被冒用的特點，例如口令長度、復(fù)雜性和定期更新等；操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的身份鑒別信息至少有一種應(yīng)是不可偽造的，例如以公私鑰對、生物特征等作為身份鑒別信息；應(yīng)具有登錄失敗處理功能，如結(jié)束會話、限制非法登錄次數(shù)，當(dāng)?shù)卿涍B接超時，自動退出；應(yīng)具有鑒別警示功能；重要的主機系統(tǒng)應(yīng)對與之相連的服務(wù)器或終端設(shè)備進行身份標(biāo)識和鑒別。自主訪問控制應(yīng)依據(jù)安全策略控制用戶對客體的訪問；自主訪問控制的覆蓋范圍應(yīng)包括與信息安全直接相關(guān)的主體、客體及它們之間的操作；自主訪問控制的粒度應(yīng)達到主體為用戶級，客體為文件、數(shù)據(jù)庫表/記錄、字段級；應(yīng)由授權(quán)主體設(shè)置對客體訪問和操作的權(quán)限；應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；權(quán)限分離應(yīng)采用最小授權(quán)原則，分別授予不同用戶各自為完成自己承擔(dān)任務(wù)所需的最小權(quán)限，并在他們之間形成相互制約的關(guān)系；應(yīng)禁止默認用戶訪問。強制訪問控制應(yīng)對重要信息資源和訪問重要信息資源的所有主體設(shè)置敏感標(biāo)記；強制訪問控制的覆蓋范圍應(yīng)包括與重要信息資源直接相關(guān)的所有主體、客體及它們之間的操作；強制訪問控制的粒度應(yīng)達到主體為用戶級，客體為文件、數(shù)據(jù)庫表/記錄、字段級。可信路徑在用戶進行初始登錄和/或鑒別時，系統(tǒng)應(yīng)在它與用戶之間建立一條安全的信息傳輸通路。安全審計安全審計應(yīng)覆蓋到服務(wù)器和客戶端上的所有用戶；安全審計應(yīng)記錄系統(tǒng)內(nèi)重要的安全相關(guān)事件，包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用；安全相關(guān)事件的記錄應(yīng)包括日期和時間、類型、主體標(biāo)識、客體標(biāo)識、客體敏感標(biāo)記、事件的結(jié)果等；安全審計應(yīng)可以根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；安全審計應(yīng)可以對特定事件，提供指定方式的實時報警；審計進程應(yīng)受到保護避免受到未預(yù)期的中斷；審計記錄應(yīng)受到保護避免受到未預(yù)期的刪除、修改或覆蓋等；安全審計應(yīng)能跟蹤監(jiān)測到可能的安全侵害事件，并終止違規(guī)進程；安全審計應(yīng)根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計；系統(tǒng)設(shè)備時鐘應(yīng)與時鐘服務(wù)器時鐘保持同步。系統(tǒng)保護系統(tǒng)因故障或其他原因中斷后，應(yīng)能夠以手動或自動方式恢復(fù)運行；應(yīng)對被保護存儲單元的訪問和操作權(quán)限加以控制，當(dāng)發(fā)生對存儲單元的未授權(quán)執(zhí)行行為時，系統(tǒng)應(yīng)能及時報警或者中斷執(zhí)行行為。剩余信息保護應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。入侵防范應(yīng)進行主機運行監(jiān)視，包括監(jiān)視主機的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；應(yīng)設(shè)定資源報警域值，以便在資源使用超過規(guī)定數(shù)值時發(fā)出報警；應(yīng)進行特定進程監(jiān)控，限制操作人員運行非法進程；應(yīng)進行主機賬戶監(jiān)控，限制對重要賬戶的添加和更改；應(yīng)檢測各種已知的入侵行為，記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警；主機系統(tǒng)應(yīng)根據(jù)安全策略阻止某些指定的入侵事件；應(yīng)能夠檢測重要程序完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復(fù)措施。惡意代碼防范服務(wù)器和終端設(shè)備（包括移動設(shè)備）均應(yīng)安裝實時檢測和查殺惡意代碼的軟件產(chǎn)品；主機系統(tǒng)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫；應(yīng)支持惡意代碼防范的統(tǒng)一管理。資源控制應(yīng)限制單個用戶的多重并發(fā)會話；應(yīng)對最大并發(fā)會話連接數(shù)進行限制；應(yīng)對一個時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制；應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定和鑒別失敗鎖定，并規(guī)定解鎖或終止方式；應(yīng)禁止同一用戶賬號在同一時間內(nèi)并發(fā)登錄；應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度；當(dāng)系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值時，應(yīng)能檢測和報警；應(yīng)根據(jù)安全策略設(shè)定主體的服務(wù)優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源，保證優(yōu)先級低的主體處理能力不會影響到優(yōu)先級高的主體的處理能力。應(yīng)用安全身份鑒別系統(tǒng)用戶的身份標(biāo)識應(yīng)具有唯一性；應(yīng)對登錄的用戶進行身份標(biāo)識和鑒別；應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別；系統(tǒng)用戶的身份鑒別信息應(yīng)具有不易被冒用的特點，例如口令長度、復(fù)雜性和定期的更新等；系統(tǒng)用戶的身份鑒別信息至少有一種應(yīng)是不可偽造的，例如以公私鑰對、生物特征等作為身份鑒別信息；應(yīng)具有登錄失敗處理功能，如結(jié)束會話、限制非法登錄次數(shù)，當(dāng)?shù)卿涍B接超時自動退出；應(yīng)具有鑒別警示功能；應(yīng)用系統(tǒng)應(yīng)及時清除存儲空間中動態(tài)使用的鑒別信息。訪問控制應(yīng)依據(jù)安全策略控制用戶對客體的訪問；自主訪問控制的覆蓋范圍應(yīng)包括與信息安全直接相關(guān)的主體、客體及它們之間的操作；自主訪問控制的粒度應(yīng)達到主體為用戶級，客體為文件、數(shù)據(jù)庫表級；應(yīng)由授權(quán)主體設(shè)置用戶對系統(tǒng)功能操作和對數(shù)據(jù)訪問的權(quán)限；應(yīng)實現(xiàn)應(yīng)用系統(tǒng)特權(quán)用戶的權(quán)限分離，例如將管理與審計的權(quán)限分配給不同的應(yīng)用系統(tǒng)用戶；權(quán)限分離應(yīng)采用最小授權(quán)原則，分別授予不同用戶各自為完成自己承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系；應(yīng)用系統(tǒng)的設(shè)計應(yīng)采用二層以上結(jié)構(gòu)，將提供數(shù)據(jù)顯示功能與數(shù)據(jù)處理功能在物理或者邏輯上分離；應(yīng)禁止默認用戶訪問；主體和客體具有安全標(biāo)記，通過比較安全標(biāo)簽來確定是授予還是拒絕主體對客體的訪問。安全審計安全審計應(yīng)覆蓋到應(yīng)用系統(tǒng)的每個用戶；安全審計應(yīng)記錄應(yīng)用系統(tǒng)重要的安全相關(guān)事件，包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)功能的執(zhí)行等；安全相關(guān)事件的記錄應(yīng)包括日期和時間、類型、主體標(biāo)識、客體標(biāo)識、客體敏感標(biāo)記、事件的結(jié)果等；安全審計應(yīng)可以根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；安全審計應(yīng)可以對特定事件，提供指定方式的實時報警；審計進程應(yīng)受到保護避免受到未預(yù)期的中斷；審計記錄應(yīng)受到保護避免受到未預(yù)期的刪除、修改或覆蓋等；安全審計應(yīng)能跟蹤監(jiān)測到可能的安全侵害事件，并終止違規(guī)進程；審計員應(yīng)能夠定義審計跟蹤極限的閾值，當(dāng)存儲空間接近極限時，能采取必要的措施（如報警并導(dǎo)出），當(dāng)存儲空間被耗盡時，終止可審計事件的發(fā)生；安全審計應(yīng)根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計。剩余信息保護應(yīng)保證用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。通信完整性通信雙方應(yīng)約定密碼算法，計算通信數(shù)據(jù)報文的報文驗證碼，在進行通信時，雙方根據(jù)校驗碼判斷對方報文的有效性。通信保密性當(dāng)通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話；在通信雙方建立連接之前，利用密碼技術(shù)進行會話初始化驗證；在通信過程中，應(yīng)對整個報文或會話過程進行加密；應(yīng)選用符合國家有關(guān)部門要求的密碼算法；應(yīng)基于硬件化的設(shè)備，產(chǎn)生密鑰，進行加解密運算?？沟仲噾?yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。軟件容錯應(yīng)對通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)進行有效性檢驗；應(yīng)對通過人機接口方式進行的操作提供“回退”功能，即允許按照操作的序列進行回退；應(yīng)有狀態(tài)監(jiān)測能力，當(dāng)故障發(fā)生時，能實時檢測到故障狀態(tài)并報警；應(yīng)有自動保護能力，當(dāng)故障發(fā)生時，自動保護當(dāng)前所有狀態(tài)；應(yīng)有自動恢復(fù)能力，當(dāng)故障發(fā)生時，立即啟動新的進程，恢復(fù)原來的工作狀態(tài)。資源控制應(yīng)限制單個用戶的多重并發(fā)會話；應(yīng)對最大并發(fā)會話連接數(shù)進行限制；應(yīng)對一個時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制；應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定和鑒別失敗鎖定，并規(guī)定解鎖或終止方式；應(yīng)禁止同一用戶賬號在同一時間內(nèi)并發(fā)登錄；應(yīng)對一個訪問用戶或一個請求進程占用的資源分配最大限額和最小限額；應(yīng)根據(jù)安全屬性（用戶身份、訪問地址、時間范圍等）允許或拒絕用戶建立會話連接；當(dāng)系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值時，應(yīng)能檢測和報警；應(yīng)確定訪問用戶或請求進程的優(yōu)先級，對全部資源采用優(yōu)先服務(wù)機制。代碼安全應(yīng)制定應(yīng)用程序代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼；應(yīng)對應(yīng)用程序代碼進行代碼復(fù)審，識別可能存在的惡意代碼；應(yīng)對應(yīng)用程序代碼進行安全脆弱性分析；應(yīng)對應(yīng)用程序代碼進行穿透性測試；應(yīng)對應(yīng)用程序代碼進行嚴格的代碼復(fù)審，識別可能存在的隱蔽信道。數(shù)據(jù)安全數(shù)據(jù)完整性應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復(fù)措施；應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復(fù)措施；應(yīng)能夠檢測重要系統(tǒng)完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復(fù)措施；應(yīng)為重要通信提供專用通信協(xié)議或安全通信協(xié)議服務(wù)，避免來自基于通用通信協(xié)議的攻擊，破壞數(shù)據(jù)的完整性。數(shù)據(jù)保密性網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)的鑒別信息、敏感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)應(yīng)采用加密或其他有效措施實現(xiàn)傳輸保密性；網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)