2023城市信息模型(CIM)平臺安全技術(shù)要求

城市信息模型平臺安全技術(shù)要求范圍本文件規(guī)定了城市信息模型（CIM）平臺安全的總體保障要求、管理保障要求、技術(shù)保障要求、運營保障要求、基礎(chǔ)支撐要求等技術(shù)要求。本文件適用于城市信息模型（CIM）平臺安全體系建設(shè)和運營。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069信息安全技術(shù)術(shù)語GB/T20271信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GM/T0054信息系統(tǒng)密碼應(yīng)用基本要求術(shù)語和定義GB/T25069界定的以及下列術(shù)語和定義適用于本文件。城市信息模型cityinformationmodeling對城市物質(zhì)空間對象的數(shù)字化表達(dá)的多重集合。城市信息模型平臺platformofcityinformationmodeling基于城市信息模型，通過計算機(jī)信息技術(shù)等手段，建立表達(dá)和管理城市的信息平臺，并能根據(jù)平臺使用者的不同需求提供對應(yīng)的數(shù)據(jù)和應(yīng)用服務(wù)。網(wǎng)絡(luò)安全cybersecurity通過采取必要措施，防范網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。基礎(chǔ)設(shè)施層infrastructurelayer包含CIM平臺的計算、存儲、接入、容災(zāi)、傳輸?shù)裙餐瑯?gòu)建基礎(chǔ)的平臺中心資源。CIM平臺基礎(chǔ)設(shè)施層的安全防護(hù)對象主要有服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)、各類虛擬化管理和應(yīng)用軟件等。網(wǎng)絡(luò)安全等級保護(hù)classifiedprotectionofcybersecurity對網(wǎng)絡(luò)實施分等級保護(hù)、分等級監(jiān)管，對使用的網(wǎng)絡(luò)安全產(chǎn)品按等級管理，對網(wǎng)絡(luò)中發(fā)生的安全事件分等級響應(yīng)、處置。安全域securitydomains同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)。縮略語下列縮略語適用于本文件。BIM——建筑信息模型（BuildingInformationModeling）GIS——地理信息系統(tǒng)（GeographicInformationSystem）IoT——物聯(lián)網(wǎng)（InternetofThings）CIM——城市信息模型（CityInformationModeling）基本規(guī)定CIM平臺安全體系框架5.1.1CIM平臺定位于城市智慧化運營管理的基礎(chǔ)平臺，宜由城市人民政府主導(dǎo)建設(shè)，負(fù)責(zé)全面協(xié)調(diào)和統(tǒng)籌管理，并明確責(zé)任部門推進(jìn)CIM平臺的規(guī)劃建設(shè)、運行管理、更新維護(hù)工作。5.1.2CIM平臺安全體系框架建設(shè)應(yīng)包括安全總體保障、安全技術(shù)保障、管理保障、建設(shè)運營保障和安全基礎(chǔ)支撐五個部分（見圖1）。圖1CIM平臺安全體系框架5.1.3安全總體保障要素包括國家法律法規(guī)、政策文件、標(biāo)準(zhǔn)規(guī)范。應(yīng)通過CIM平臺安全總體保障來指導(dǎo)和約束CIM平臺的安全管理、技術(shù)與建設(shè)運營活動；5.1.4安全管理保障措施包括決策規(guī)劃、組織管理、授權(quán)審批、協(xié)調(diào)合作和監(jiān)督檢查等方面；5.1.5安全技術(shù)保障以建立縱深防御體系為目標(biāo)，應(yīng)圍繞CIM平臺，從數(shù)據(jù)、使能、應(yīng)用等三個層次采用多種安全防御手段實現(xiàn)對系統(tǒng)的防護(hù)、檢測、響應(yīng)和恢復(fù)，以應(yīng)對CIM平臺安全技術(shù)風(fēng)險；5.1.6安全建設(shè)運營保障是指對CIM平臺數(shù)據(jù)和業(yè)務(wù)安全工程建設(shè)運行狀態(tài)的監(jiān)測與維護(hù)。CIM平臺安全建設(shè)運營保障要素宜包含建設(shè)實施、應(yīng)急演練、監(jiān)測預(yù)警、應(yīng)急處置和災(zāi)難恢復(fù)；5.1.7安全基礎(chǔ)支撐宜包括CIM平臺的安全技術(shù)支撐和CIM平臺安全服務(wù)支撐。安全技術(shù)支撐包括密碼管理、身份管理和時間同步等。安全服務(wù)支撐包括產(chǎn)品和服務(wù)的資質(zhì)認(rèn)證、安全評估、檢測以及咨詢服務(wù)支撐等。CIM平臺安全域CIM平臺安全域可劃分為安全計算域、安全用戶域和安全網(wǎng)絡(luò)域，并應(yīng)符合下列規(guī)定:應(yīng)根據(jù)各類數(shù)據(jù)信息在CIM平臺中的分布情況，劃分并確定安全計算域及其安全等級；應(yīng)按照對安全計算域的訪問情況，確定安全用戶域及其安全等級；按照連接相同安全等級的安全計算域和/或安全用戶域的網(wǎng)絡(luò)應(yīng)具有同樣安全等級的原則，確定網(wǎng)絡(luò)安全域及其安全等級。一個安全域可劃分為若干安全子域，安全子域可繼續(xù)依次細(xì)化為次級安全域、三級安全域。相同的安全域應(yīng)共享相同的安全策略。安全域劃分的原則和方法可參照《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》GB/T20271-2006附錄B.1.4.1安全域和安全保護(hù)等級劃分的原則。等級保護(hù)定級CIM平臺等級保護(hù)定級應(yīng)根據(jù)業(yè)務(wù)信息與系統(tǒng)服務(wù)受到破壞后對侵害客體的侵害程度判定等級。安全總體保障要求法律法規(guī)6.1.1CIM平臺的規(guī)劃、設(shè)計、建設(shè)、運營、維護(hù)、應(yīng)用等全生命周期應(yīng)遵守《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī)。6.1.2CIM平臺各個門類數(shù)據(jù)的收集、存儲、加工、使用、提供、交易和公開等數(shù)據(jù)活動應(yīng)符合相關(guān)法律法規(guī)要求。標(biāo)準(zhǔn)規(guī)范CIM平臺的建設(shè)和使用及CIM數(shù)據(jù)采集、處理、傳輸、存儲、交換和共享應(yīng)符合有關(guān)標(biāo)準(zhǔn)規(guī)范的安全要求。政策文件政府主管部門應(yīng)出臺相關(guān)政策文件，組織和指導(dǎo)開展CIM平臺安全標(biāo)準(zhǔn)體系規(guī)劃，研究、制定并實施具有區(qū)域特征、行業(yè)特性的CIM平臺安全標(biāo)準(zhǔn)。安全管理保障要求相關(guān)方CIM平臺建設(shè)運營方或政府主管部門應(yīng)制定CIM平臺安全管理保障體系，對CIM平臺相關(guān)方的安全責(zé)任進(jìn)行界定，并對其活動進(jìn)行約束、規(guī)范及監(jiān)督。體系要素安全管理體系宜包括決策規(guī)劃、組織管理、授權(quán)與審批制度、部門合作、安全審核和檢查制度。決策規(guī)劃7.3.1決策規(guī)劃應(yīng)從全局高度為CIM平臺制定安全管理目標(biāo)和統(tǒng)一的安全管理策略，選擇和調(diào)整具體的安全管理措施，形成統(tǒng)一的安全管理體系。7.3.2決策規(guī)劃宜包括但不限于以下方面：制定網(wǎng)絡(luò)安全工作的總體方針和安全策略；形成全面的安全管理制度體系；對各類安全管理活動內(nèi)容建立安全管理制度；制定安全事件報告和處置管理制度；對重大安全事件采用分級處理程序和報告程序。組織管理7.4.1應(yīng)明確CIM平臺安全管理的領(lǐng)導(dǎo)機(jī)構(gòu)和責(zé)任部門，建立CIM平臺安全管理崗位和CIM平臺安全管理人員管理制度，落實安全責(zé)任制。7.4.2組織管理宜包括但不限于以下方面：成立指導(dǎo)網(wǎng)絡(luò)安全工作的委員會或領(lǐng)導(dǎo)小組；設(shè)立網(wǎng)絡(luò)安全管理工作的職能部門；設(shè)置系統(tǒng)管理員、審計管理員和安全管理員等崗位；配備一定數(shù)量的系統(tǒng)管理員、審計管理員和安全管理員。授權(quán)審批7.5.1應(yīng)對CIM平臺生命周期內(nèi)的各個環(huán)節(jié)與活動的實施以文件形式明確授權(quán)與審批制度。7.5.2授權(quán)審批宜包括但不限于以下方面：根據(jù)各個部門和崗位的職責(zé)明確授權(quán)審批事項、審批部門和批準(zhǔn)人等；針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項建立審批程序；對重要活動建立逐級審批制度；定期審查審批事項，及時更新需授權(quán)和審批的項目、審批部門和審批人等信息。協(xié)調(diào)合作7.6.1各業(yè)務(wù)部門應(yīng)共同參與和密切配合，與外聯(lián)單位通暢協(xié)調(diào)與合作，及時獲取網(wǎng)絡(luò)安全最新動態(tài)，在網(wǎng)絡(luò)安全事件發(fā)生時快速采取有效措施。7.6.2部門合作機(jī)制包括但不限于以下方面：加強(qiáng)各類管理人員、組織內(nèi)部機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部門之間的協(xié)調(diào)與合作，定期召開協(xié)調(diào)會議，協(xié)作處理網(wǎng)絡(luò)安全問題；加強(qiáng)與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、業(yè)界專家及安全組織的協(xié)調(diào)與合作；建立外聯(lián)單位聯(lián)系列表，外聯(lián)單位包括公安機(jī)關(guān)、兄弟單位、供應(yīng)商等。監(jiān)督檢查7.7.1應(yīng)制定安全審核和檢查制度，定期監(jiān)督檢查。7.7.2監(jiān)督檢查宜包括但不限于以下方面：定期進(jìn)行常規(guī)安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；定期進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；制定安全檢查清單列表，匯總安全檢查數(shù)據(jù)，形成安全檢查報告，并對安全檢查結(jié)果進(jìn)行通報。安全技術(shù)保障要求數(shù)據(jù)安全保護(hù)一般規(guī)定數(shù)據(jù)安全保護(hù)應(yīng)至少包括以下：應(yīng)使用安全可靠的數(shù)據(jù)庫及數(shù)據(jù)存儲設(shè)備；對CIM平臺中的數(shù)據(jù)安全分級，并實施分級保護(hù)和脫敏訪問；常用數(shù)據(jù)脫敏技術(shù)可參見附錄A。涉密數(shù)據(jù)劃分CIM模型涉密數(shù)據(jù)劃分應(yīng)符合相關(guān)法律法規(guī)或標(biāo)準(zhǔn)規(guī)范要求，存儲、處理涉及國家秘密的數(shù)據(jù)應(yīng)遵守有關(guān)法律法規(guī)及標(biāo)準(zhǔn)規(guī)范的規(guī)定。涉密數(shù)據(jù)處理涉密數(shù)據(jù)脫密處理應(yīng)明確數(shù)據(jù)脫密場景，包括數(shù)據(jù)治理、應(yīng)用程序調(diào)用、運維操作處理等，制定各場景的數(shù)據(jù)脫密規(guī)范、脫密方法和使用限制。使用滿足數(shù)據(jù)治理等應(yīng)用場景需求的脫敏技術(shù)和工具，實現(xiàn)數(shù)據(jù)根據(jù)分級分類快速脫密。數(shù)據(jù)使用制度應(yīng)制定數(shù)據(jù)使用制度和內(nèi)部責(zé)任制度，保證分析處理和使用數(shù)據(jù)不超出聲明的數(shù)據(jù)使用目的和范圍。數(shù)據(jù)安全風(fēng)險識別應(yīng)采用技術(shù)手段進(jìn)行數(shù)據(jù)安全風(fēng)險識別，對數(shù)據(jù)濫用的行為進(jìn)行有效識別、監(jiān)控和預(yù)警，應(yīng)通過數(shù)字水印或采集數(shù)據(jù)交換、共享及發(fā)布等過程實現(xiàn)數(shù)據(jù)安全溯源機(jī)制，確保出現(xiàn)數(shù)據(jù)泄露時可以有效進(jìn)行溯源。數(shù)據(jù)安全保護(hù)措施應(yīng)采取有效數(shù)據(jù)保護(hù)措施，并滿足以下要求：應(yīng)支持不同數(shù)據(jù)類型、容量和用戶的邏輯存儲管理；應(yīng)支持?jǐn)?shù)據(jù)邏輯存儲隔離授權(quán)操作；應(yīng)建立數(shù)據(jù)邏輯分層分級保護(hù)，支持存儲授權(quán)管理和操作；應(yīng)對訪問用戶進(jìn)行身份鑒別和權(quán)限控制，并對用戶權(quán)限變更進(jìn)行審核記錄；應(yīng)支持安全管理員操作用戶標(biāo)識與鑒別策略、數(shù)據(jù)訪問控制策略，包括訪問控制時效管理和驗證，以及接入數(shù)據(jù)存儲的合法性和安全性認(rèn)證；應(yīng)嚴(yán)格限制批量修改、拷貝、下載等重要操作權(quán)限；應(yīng)采用信息流控制機(jī)制，限制獲得訪問權(quán)的用戶將數(shù)據(jù)傳遞給非授權(quán)的用戶；應(yīng)對訪問通道進(jìn)行授權(quán)許可和訪問方式限制；應(yīng)建立敏感數(shù)據(jù)防護(hù)區(qū)域或敏感數(shù)據(jù)集群管控訪問方式；應(yīng)建立數(shù)據(jù)泄露的發(fā)現(xiàn)、阻斷等安全機(jī)制；應(yīng)建立數(shù)據(jù)存儲冗余策略和管理制度，建立數(shù)據(jù)備份及恢復(fù)操作規(guī)范；應(yīng)提供適當(dāng)?shù)募用芩惴?，對敏感字段予以加密后進(jìn)行存儲。數(shù)據(jù)共享數(shù)據(jù)共享應(yīng)建立信息共享數(shù)據(jù)安全評估機(jī)制，從共享目的合理性、共享數(shù)據(jù)的范圍和合規(guī)性、共享方式的安全性、共享后管理責(zé)任和約束措施等方面進(jìn)行評估。應(yīng)建立統(tǒng)一的數(shù)據(jù)共享在線審核審批機(jī)制和系統(tǒng)，制定和落實數(shù)據(jù)共享審計策略和審計日志管理規(guī)范，為數(shù)據(jù)共享安全事件的處置、應(yīng)急響應(yīng)和事后調(diào)查提供幫助，并應(yīng)滿足以下要求：應(yīng)明確數(shù)據(jù)提供者與共享使用者的數(shù)據(jù)安全責(zé)任和安全防護(hù)能力；應(yīng)明確數(shù)據(jù)共享涉及機(jī)構(gòu)或部門相關(guān)用戶的職責(zé)和權(quán)限，保證數(shù)據(jù)共享安全策略有效性；應(yīng)審核共享數(shù)據(jù)應(yīng)用場景，確保沒有超出數(shù)據(jù)服務(wù)提供者的數(shù)據(jù)所有權(quán)和授權(quán)使用范圍；應(yīng)采用個人信息去標(biāo)識、數(shù)據(jù)加密、安全通道等措施，保護(hù)數(shù)據(jù)共享過程中的個人信息﹑重要數(shù)據(jù)等敏感信息；應(yīng)對數(shù)據(jù)接收方在共享數(shù)據(jù)過程的安全防護(hù)能力進(jìn)行評估。應(yīng)定期審查公開發(fā)布的數(shù)據(jù)中是否含有非公開信息，采取必要措施建立數(shù)據(jù)公開事件應(yīng)急處理流程；應(yīng)建立統(tǒng)一數(shù)據(jù)發(fā)布系統(tǒng)，實現(xiàn)公開數(shù)據(jù)登記、用戶注冊等發(fā)布數(shù)據(jù)和發(fā)布組件的驗證機(jī)制；應(yīng)明確數(shù)據(jù)接口安全要求和安全控制策略，明確規(guī)定使用數(shù)據(jù)接口的安全限制和安全控制措施；應(yīng)具備對接口不安全輸入?yún)?shù)進(jìn)行限制或過濾能力，為接口提供異常處理能力；應(yīng)具備對數(shù)據(jù)共享流通過程存證機(jī)制，對數(shù)據(jù)共享前安全評估過程、敏感數(shù)據(jù)加密過程、數(shù)據(jù)流通過程、共享后數(shù)據(jù)使用情況等全流程存證，滿足安全審計需要。數(shù)據(jù)傳輸數(shù)據(jù)傳輸應(yīng)滿足以下要求：應(yīng)采用符合GM/T0054有關(guān)密碼算法的規(guī)定，保證通信過程中數(shù)據(jù)的保密性和完整性；應(yīng)具備監(jiān)控數(shù)據(jù)傳輸過程的能力，發(fā)現(xiàn)問題時能及時告警并進(jìn)行阻斷；應(yīng)定期檢查或評估數(shù)據(jù)傳輸?shù)陌踩院涂煽啃?。?shù)據(jù)銷毀數(shù)據(jù)銷毀應(yīng)滿足以下要求：應(yīng)依照數(shù)據(jù)分類分級建立數(shù)據(jù)銷毀策略和管理制度，明確數(shù)據(jù)銷毀的場景、銷毀對象、銷毀方式和銷毀要求；應(yīng)建立規(guī)范的數(shù)據(jù)銷毀流程和審批機(jī)制，設(shè)置相關(guān)監(jiān)督角色，監(jiān)督操作過程，并對審批和銷毀過程進(jìn)行記錄控制；應(yīng)明確已共享或者已被其他用戶使用的數(shù)據(jù)銷毀管控措施；應(yīng)配置必要的數(shù)據(jù)銷毀技術(shù)手段，確保以不可逆方式銷毀敏感數(shù)據(jù)及其副本內(nèi)容。數(shù)據(jù)備份和恢復(fù)數(shù)據(jù)備份和恢復(fù)應(yīng)滿足以下要求：應(yīng)提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復(fù)功能，并提供任意時間點數(shù)據(jù)回溯和零丟失功能；應(yīng)提供重要數(shù)據(jù)的快速恢復(fù)、應(yīng)急使用的功能應(yīng)提供備份數(shù)據(jù)的快速查驗功能，能快速查驗備份數(shù)據(jù)的完整性、一致性、可用性；應(yīng)提供異地實時備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實時備份至備份場地；應(yīng)明確數(shù)據(jù)備份與恢復(fù)的操作規(guī)程，明確定義數(shù)據(jù)備份和恢復(fù)的范圍、頻率、工具、過程、日志記錄、數(shù)據(jù)保存時長等；應(yīng)使用數(shù)據(jù)備份與恢復(fù)的統(tǒng)一技術(shù)工具，保證相關(guān)工作的自動執(zhí)行；應(yīng)定時進(jìn)行恢復(fù)測試，根據(jù)業(yè)務(wù)需求配置異地備份策略；平臺受到破壞后根據(jù)安全日志確認(rèn)時間節(jié)點，查找最接近的備份文件進(jìn)行備份恢復(fù)，保證系統(tǒng)正常運行。系統(tǒng)安全保護(hù)身份鑒別身份鑒別應(yīng)滿足以下要求：應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別，身份標(biāo)識具有唯一性，身份鑒別信息具有復(fù)雜度并定期更換；應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時自動退出等相關(guān)措施；當(dāng)進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn)。訪問控制訪問控制應(yīng)在系統(tǒng)中實施訪問控制，用戶僅根據(jù)自己的權(quán)限大小來訪問系統(tǒng)資源，不得越權(quán)訪問。并應(yīng)滿足以下要求：應(yīng)對登錄的用戶分配賬戶和權(quán)限；應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令；應(yīng)及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；應(yīng)授予管理用戶所需的最小權(quán)限，實現(xiàn)管理用戶的權(quán)限分離；應(yīng)由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則；訪問控制的粒度應(yīng)達(dá)到主體為用戶級或進(jìn)程級，客體為文件、數(shù)據(jù)庫表級；應(yīng)對重要主體和客體設(shè)置安全標(biāo)記，并控制主體對有安全標(biāo)記信息資源的訪問。安全審計應(yīng)對系統(tǒng)進(jìn)行安全審計，保持對系統(tǒng)的運行情況及用戶行為的跟蹤，以便事后追蹤分析。并應(yīng)滿足以下要求：應(yīng)啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進(jìn)行審計；審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；應(yīng)對審計記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；應(yīng)對審計進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的中斷。入侵檢測入侵防范應(yīng)在邊界處入侵檢測的基礎(chǔ)上，對系統(tǒng)進(jìn)行入侵檢測，補(bǔ)充檢測出現(xiàn)在“授權(quán)”的數(shù)據(jù)流或其它遺漏的數(shù)據(jù)流中的入侵行為。入侵檢測應(yīng)滿足以下要求：應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序；應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口；應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制；應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機(jī)接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求；應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時修補(bǔ)漏洞；應(yīng)能夠檢測到對重要節(jié)點進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時提供報警。惡意代碼防范惡意代碼防范應(yīng)在系統(tǒng)層面進(jìn)行惡意代碼防范，結(jié)合邊界處惡意代碼防范進(jìn)行雙重防范。為防止各種移動存儲設(shè)備接入系統(tǒng)導(dǎo)致感染病毒，從而通過網(wǎng)絡(luò)內(nèi)部感染其它系統(tǒng)。惡意代碼防范應(yīng)滿足以下要求：應(yīng)嚴(yán)格控制各種外來介質(zhì)的使用，防止惡意代碼通過介質(zhì)傳播；應(yīng)在所有惡意代碼可能入侵的網(wǎng)絡(luò)連接部位設(shè)置防護(hù)網(wǎng)關(guān)，攔截并清除企圖進(jìn)入系統(tǒng)的惡意代碼；應(yīng)設(shè)置惡意代碼防護(hù)管理中心，通過對全系統(tǒng)的服務(wù)器、工作站和客戶機(jī)，進(jìn)行惡意代碼防護(hù)的統(tǒng)一管理，及時發(fā)現(xiàn)和清除進(jìn)入系統(tǒng)內(nèi)部的惡意代碼；應(yīng)將惡意代碼防護(hù)與網(wǎng)絡(luò)管理相結(jié)合，在網(wǎng)絡(luò)管理所涉及的重要部位設(shè)置惡意代碼防護(hù)軟件，在所有惡意代碼能夠進(jìn)入的地方都采取相應(yīng)的防范措施，防止惡意代碼侵襲；宜采用實時掃描、完整性保護(hù)和完整性檢驗等不同層次的防護(hù)技術(shù)，將惡意代碼檢測、多層數(shù)據(jù)保護(hù)和集中式管理功能集成起來，提供全面的惡意代碼防護(hù)功能，檢測、發(fā)現(xiàn)和消除惡意代碼，阻止惡意代碼的擴(kuò)散和傳播。邊界安全保護(hù)邊界防護(hù)邊界防護(hù)應(yīng)滿足以下要求：應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信；應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制；應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制；應(yīng)限制無線網(wǎng)絡(luò)的使用，保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)；應(yīng)在檢測到端口異常流量傳輸、存在非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)、內(nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)、未通過受控邊界接入的無線網(wǎng)絡(luò)時能夠及時阻斷并報警；訪問控制訪問控制應(yīng)滿足以下要求：應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并對源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，根據(jù)會話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力；應(yīng)提供自主訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；應(yīng)將自主訪問控制的范圍覆蓋到與信息直接相關(guān)的主體、客體及它們之間的操作；應(yīng)提供對其自身運行狀態(tài)的實時監(jiān)測，對安全管理平臺服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報警；應(yīng)提供服務(wù)優(yōu)先級設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問賬戶或請求進(jìn)程的優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源。應(yīng)根據(jù)CIM平臺的業(yè)務(wù)需求配置訪問控制策略，合理優(yōu)化訪問控制策略的邏輯關(guān)系，并保證最后一條訪問控制策略為禁止所有網(wǎng)絡(luò)通信；應(yīng)每日為訪問控制策略進(jìn)行備份，保證能夠進(jìn)行備份恢復(fù)；應(yīng)在檢測到端口異常流量傳輸時能夠及時阻斷并報警，由安全管理員判斷訪問控制策略是否失效并采取恢復(fù)措施。入侵防范入侵防范應(yīng)滿足以下要求：應(yīng)在平臺邊界及關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行；應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析，應(yīng)具有實時獲取受保護(hù)網(wǎng)段內(nèi)的數(shù)據(jù)包的能力；應(yīng)監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊、文件脆弱性攻擊、瀏覽器脆弱性攻擊、應(yīng)用層安全漏洞攻擊等，并能夠及時防止或限制；應(yīng)監(jiān)視整個網(wǎng)絡(luò)或者某一種特定協(xié)議、地址、端口的報文流量和字節(jié)流量，當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警；應(yīng)維護(hù)入侵防護(hù)機(jī)制的升級和更新。惡意代碼防范惡意代碼防范應(yīng)滿足以下要求：應(yīng)在區(qū)域邊界及關(guān)鍵網(wǎng)絡(luò)節(jié)點處對惡意代碼和垃圾郵件進(jìn)行檢測和清除，并維護(hù)惡意代碼防護(hù)機(jī)制、垃圾郵件防護(hù)機(jī)制的升級和更新；應(yīng)具備對一種或多種編程語言檢測源代碼缺陷的能力，具有對源代碼編譯后的字節(jié)碼進(jìn)行檢測的能力；應(yīng)能夠檢測出目前主要的代碼應(yīng)用安全漏洞和嚴(yán)重的質(zhì)量缺陷，至少包括跨站腳本、未釋放的資源、空指針引用、內(nèi)存泄漏。安全審計安全審計應(yīng)滿足以下要求：應(yīng)在區(qū)域邊界進(jìn)行安全審計，對所有用戶的重要行為和重要安全事件進(jìn)行審計，審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息，并對審計記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；應(yīng)提供覆蓋到每個用戶的安全審計功能，記錄所有用戶對安全管理平臺重要操作和安全事件進(jìn)行審計；應(yīng)保證無法單獨中斷審計進(jìn)程，無法刪除、修改或覆蓋審計記錄；審計記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等；應(yīng)提供對審計記錄數(shù)據(jù)進(jìn)行統(tǒng)計、查詢、分析及生成審計報表的功能；應(yīng)根據(jù)統(tǒng)一安全策略，提供集中審計接口。安全運營保障要求保障要素CIM平臺安全建設(shè)運營保障要素宜包含建設(shè)實施、監(jiān)測預(yù)警、應(yīng)急處置和災(zāi)難恢復(fù)等內(nèi)容。建設(shè)實施CIM平臺安全建設(shè)者應(yīng)圍繞CIM平臺安全目標(biāo)，按照總體規(guī)劃和規(guī)程，開展CIM平臺安全工程實施工作，符合法律法規(guī)和標(biāo)準(zhǔn)要求，確保CIM平臺信息安全工程和信息化工程同步建設(shè)，保證CIM平臺信息系統(tǒng)和相關(guān)組件在采購、開發(fā)、組裝、集成、調(diào)試、試運行以及運行過程滿足安全要求，保障CIM平臺安全工程建設(shè)過程操作規(guī)范、可追溯，所提供的安全服務(wù)水平可評估。CIM平臺安全建設(shè)應(yīng)包含以下方面：安全工程實施、供應(yīng)鏈保障、人員安全管理及合規(guī)性管理的策略和制度；安全管理的責(zé)任部門和責(zé)任人；安全保護(hù)對象、目標(biāo)、等級、定級依據(jù)以及CIM平臺安全建設(shè)方案的論證、審定和報備；安全需求分析和安全措施；供應(yīng)鏈中相關(guān)方的責(zé)任與義務(wù)；政府部門信息安全防護(hù)要求；專業(yè)的CIM平臺安全建設(shè)安全支撐服務(wù)團(tuán)隊、安全服務(wù)機(jī)制、人員安全管理制度；安全監(jiān)督、審核與風(fēng)險評估；關(guān)鍵系統(tǒng)、設(shè)備、組件等的配置信息和保存記錄；產(chǎn)品和服務(wù)的備案機(jī)制。確保采用通過國家相關(guān)部門安全審查和資質(zhì)認(rèn)證的產(chǎn)品和服務(wù)；項目實施進(jìn)度和質(zhì)量控制；安全工程實施的測試驗收、交付以及等級測評。監(jiān)測預(yù)警CIM平臺安全運營者應(yīng)圍繞CIM平臺安全目標(biāo)，依據(jù)法律法規(guī)、政策文件和相關(guān)安全標(biāo)準(zhǔn)，建立CIM平臺安全監(jiān)測預(yù)警體系，監(jiān)測CIM平臺各系統(tǒng)運行狀況，發(fā)現(xiàn)CIM平臺信息系統(tǒng)的脆弱性和安全風(fēng)險，收集分析CIM平臺安全事件信息，對安全風(fēng)險及時報告和通報，按需發(fā)布CIM平臺各類安全監(jiān)測預(yù)警信息。CIM平臺監(jiān)測預(yù)警應(yīng)包含以下方面：按照《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》的規(guī)定進(jìn)行預(yù)警分級、監(jiān)測預(yù)警、預(yù)警研判及預(yù)警響應(yīng)發(fā)布與解除；網(wǎng)絡(luò)和設(shè)備的監(jiān)測監(jiān)控；公共信息支撐平臺等基礎(chǔ)設(shè)施的監(jiān)測監(jiān)控；安全威脅信息交換系統(tǒng)和信息共享機(jī)制；安全漏洞和惡意代碼識別、修補(bǔ)和防范機(jī)制；安全事件報告與通報機(jī)制；安全態(tài)勢感知。應(yīng)急處置CIM平臺安全運營者應(yīng)該按照法律法規(guī)、政策文件和標(biāo)準(zhǔn)規(guī)范的要求，制定CIM平臺安全事件應(yīng)急預(yù)案，對不同級別的事件，明確啟動條件、處置流程、恢復(fù)流程。應(yīng)部署安全保護(hù)措施，預(yù)防CIM平臺安全事件的發(fā)生。當(dāng)發(fā)生安全事件時，應(yīng)確保及時采取應(yīng)急處置措施，并向主管部門報告CIM平臺重大安全事件。CIM平臺應(yīng)急處置應(yīng)包含以下方面：安全事件應(yīng)急預(yù)案及其有效性評估；應(yīng)急處置機(jī)制；應(yīng)急演練；安全事件教育培訓(xùn)；應(yīng)急指揮體系。災(zāi)難恢復(fù)在CIM平臺發(fā)生安全事件后，CIM平臺安全運營者應(yīng)根據(jù)安全事件的影響程度和業(yè)務(wù)的優(yōu)先級，采取措施確保CIM平臺信息系統(tǒng)業(yè)務(wù)流程按照規(guī)劃目標(biāo)恢復(fù)。CIM平臺災(zāi)難恢復(fù)應(yīng)包含以下方面：災(zāi)難恢復(fù)演練；針對主機(jī)故障、存儲故障、操作系統(tǒng)故障、應(yīng)用系統(tǒng)故障等局部系統(tǒng)故障的防御及快速恢復(fù)手段；業(yè)務(wù)信息、重要系統(tǒng)和數(shù)據(jù)資源的容災(zāi)備份；數(shù)據(jù)嚴(yán)重毀損的防御及快速恢復(fù)手段；災(zāi)難恢復(fù)策略和流程，包括快速協(xié)同處理，降低或控制各類信息安全事件的影響，及時恢復(fù)CIM平臺各信息系統(tǒng)正常的運轉(zhuǎn)狀態(tài)等。安全基礎(chǔ)支撐要求一般要求安全基礎(chǔ)支撐要素CIM平臺安全基礎(chǔ)支撐宜包括安全技術(shù)支撐和安全服務(wù)支撐。安全技術(shù)支撐安全技術(shù)支撐宜包括用戶身份鑒別、密碼管理、自主訪問控制。安全服務(wù)支撐安全服務(wù)支撐宜包括風(fēng)險評估和安全檢測。用戶身份鑒別用戶類別用戶身份鑒別應(yīng)包括對一般用戶和系統(tǒng)用戶的身份進(jìn)行標(biāo)識和鑒別。鑒別要求用戶身份鑒別應(yīng)包含以下要求：需進(jìn)入應(yīng)用軟件系統(tǒng)的全部用戶，應(yīng)先進(jìn)行標(biāo)識（建立注冊賬號）；應(yīng)用軟件系統(tǒng)的用戶應(yīng)以用戶名和用戶標(biāo)識符（UID）等信息進(jìn)行標(biāo)識，并在應(yīng)用軟件系統(tǒng)的整個生存周期實現(xiàn)用戶的唯一性標(biāo)識，以及用戶名或別名、UID等之的一致性；采用強(qiáng)化管理的口令鑒別/基于令牌的動態(tài)口令鑒別/生物特征鑒別機(jī)制進(jìn)行用戶身份鑒別，并在每次用戶登錄系統(tǒng)時進(jìn)行鑒別；鑒別信息應(yīng)是不可見，具有相應(yīng)的抗攻擊能力，并在存儲和傳輸時進(jìn)行安全保護(hù)；通過對不成功的鑒別嘗試的值（包括嘗試次數(shù)和時間的閾值）進(jìn)行預(yù)先定義，并明確規(guī)定達(dá)到該值時所應(yīng)采取的具有規(guī)范性和安全性的措施來實現(xiàn)鑒別失敗的處理；將用戶進(jìn)程與所有者用戶相關(guān)聯(lián)，使用戶進(jìn)程的行為可以追溯到進(jìn)程的所有者用戶；將系統(tǒng)進(jìn)程動態(tài)地與當(dāng)前服務(wù)要求者用戶相關(guān)聯(lián)，使系統(tǒng)進(jìn)程的行為可以追溯到當(dāng)前服務(wù)要求者用戶。密碼控制密碼控制一般要求密碼控制應(yīng)實現(xiàn)保密性、完整性/真實性、抗抵賴性、可鑒別性?？刂品椒艽a控制的管理方法應(yīng)包含以下要求：應(yīng)基于風(fēng)險評估來識別需要的保護(hù)級別，同時考慮需要的加密算法的類型、強(qiáng)度和質(zhì)量；對通過移動介質(zhì)、可拆卸的介質(zhì)設(shè)備或通信線路來傳輸?shù)男畔?yīng)使用加密保護(hù)；應(yīng)制定密鑰管理辦法，包括密鑰保護(hù)方法，以及在密鑰丟失、損害或毀壞后加密信息的恢復(fù)方法；應(yīng)明確部門（崗位）職責(zé)分工，以及為確保有效實現(xiàn)而采用的標(biāo)準(zhǔn)；當(dāng)實現(xiàn)組織的密碼策略時，應(yīng)符合我國應(yīng)用密碼技術(shù)的規(guī)定和限制，以及加密信息跨越國界時的問題。自主訪問控制控制類別自主訪問包含控制功能和控制策略，即命名用戶應(yīng)以用戶的身份規(guī)定并控制對客體的訪問，并阻止非授權(quán)用戶對客體的訪問?？刂撇呗援?dāng)有多個自主訪問控制功能時，其訪問控制策略應(yīng)具有一致性。自主控制要求應(yīng)提供用戶按照確定的訪問控制策略對自身創(chuàng)建的客體的訪問進(jìn)行控制的功能，并應(yīng)包含以下要求：客體創(chuàng)建者有權(quán)以各種操作方式訪問自身所創(chuàng)建的客體；客體創(chuàng)建者有權(quán)對其他用戶進(jìn)行“訪問授權(quán)”，使其可對客體擁有者創(chuàng)建的指定客體能按授權(quán)的操作方式進(jìn)行訪問；客體創(chuàng)建者有權(quán)對其他用戶進(jìn)行“授權(quán)傳播”，使其可以獲得將該擁有者的指定客體的訪問權(quán)限授予其他用戶的權(quán)限；客體創(chuàng)建者有權(quán)收回其所授予其他用戶的“訪問授權(quán)”和“授權(quán)傳播”；未經(jīng)授權(quán)的用戶不得以任何操作方式訪問客體；授權(quán)用戶不得以未授權(quán)的操作方式訪問客體。控制粒度控制粒度應(yīng)滿足以下要求：以文件形式存儲和操作的用戶數(shù)據(jù)，在操作系統(tǒng)的支持下，應(yīng)實現(xiàn)文件級粒度的自主訪問控制；以數(shù)據(jù)庫形式存儲和操作的用戶數(shù)據(jù)，在數(shù)據(jù)庫管理系統(tǒng)的支持下，應(yīng)實現(xiàn)對表級/記錄、字段級粒度的自主訪問控制；在應(yīng)用軟件系統(tǒng)中，應(yīng)通過設(shè)置自主訪問控制的安全機(jī)制，實現(xiàn)文件級粒度的自主訪問控制。用戶數(shù)據(jù)完整性保護(hù)對用戶數(shù)據(jù)應(yīng)滿足以下要求：對應(yīng)用軟件系統(tǒng)中通過網(wǎng)絡(luò)傳輸?shù)挠脩艄_數(shù)據(jù)，應(yīng)進(jìn)行完整性檢測，并及時發(fā)現(xiàn)其完整性被破壞的情況；對在應(yīng)用軟件系統(tǒng)中存儲的用戶一般數(shù)據(jù)，應(yīng)進(jìn)行完整性檢測，并在數(shù)據(jù)被使用前發(fā)現(xiàn)其完整性破壞的情況；對應(yīng)用軟件系統(tǒng)中通過網(wǎng)絡(luò)傳輸?shù)挠脩粢话銛?shù)據(jù)，應(yīng)進(jìn)行完整性檢測，并發(fā)現(xiàn)其完整性被破壞的情況；對應(yīng)用軟件系統(tǒng)中進(jìn)行處理的用戶一般數(shù)據(jù)，應(yīng)通過操作序列的回退等措施實現(xiàn)完整保護(hù)。風(fēng)險評估整體要求風(fēng)險評估應(yīng)貫穿于信息系統(tǒng)生命周期的各階段中，每個階段風(fēng)險評估的具體實施應(yīng)根據(jù)該階段的特點有所側(cè)重地進(jìn)行。在規(guī)劃設(shè)計階段，應(yīng)通過風(fēng)險評估以確定系統(tǒng)的安全目標(biāo)；在建設(shè)驗收階段，應(yīng)通過風(fēng)險評估確定系統(tǒng)的安全目標(biāo)達(dá)成與否；在運行維護(hù)階段，應(yīng)實施動態(tài)風(fēng)險評估以識別系統(tǒng)面臨的不斷變化的風(fēng)險和脆弱性，從而確定安全措施的有效性，確保安全目標(biāo)得以實現(xiàn)。宜采用風(fēng)險評估工具開展風(fēng)險評估活動。規(guī)劃階段風(fēng)險評估規(guī)劃階段的評估應(yīng)能夠描述信息系統(tǒng)建成后對現(xiàn)有業(yè)務(wù)模式的作用，包括技術(shù)、管理等方面，并根據(jù)其作用確定系統(tǒng)建設(shè)應(yīng)達(dá)到的安全目標(biāo)，評估結(jié)果應(yīng)體現(xiàn)在信息系統(tǒng)整體規(guī)劃或項目建議書中，應(yīng)包含以下方面：是否依據(jù)相關(guān)規(guī)則，建立了與業(yè)務(wù)戰(zhàn)略相一致的信息系統(tǒng)安全規(guī)劃，并得到最高管理者的認(rèn)可；系統(tǒng)規(guī)劃中是否明確信息系統(tǒng)開發(fā)的組織、業(yè)務(wù)變更的管理、開發(fā)優(yōu)先級；系統(tǒng)規(guī)劃中是否考慮信息系統(tǒng)的數(shù)據(jù)及系統(tǒng)連續(xù)運行的威脅、環(huán)境，并制定總體的安全方針；是否提供斷網(wǎng)可用功能；系統(tǒng)規(guī)劃中是否描述信息系統(tǒng)預(yù)期使用的信息，包括預(yù)期的應(yīng)用、信息資產(chǎn)的重要性、潛在的價值、可能的使用限制、對業(yè)務(wù)的支持程度等；系統(tǒng)規(guī)劃中是否描述所有與信息系統(tǒng)安全相關(guān)的運行環(huán)境，包括物理和人員的安全配置，以及明確相關(guān)的法規(guī)、組織安全策略、習(xí)慣、專門技術(shù)和知識等。設(shè)計階段風(fēng)險評估設(shè)計階段的風(fēng)險評估結(jié)果應(yīng)對設(shè)計方案中所提供的安全功能符合性進(jìn)行判斷，并應(yīng)作為采購過程風(fēng)險控制的依據(jù)。本階段評估中，應(yīng)詳細(xì)評估設(shè)計方案中對系統(tǒng)面臨威脅的描述，將使用的具體設(shè)備、軟件等資產(chǎn)及其安全功能需求列表，評估結(jié)果應(yīng)體現(xiàn)在信息系統(tǒng)需求分析報告或建設(shè)實施方案中，包含以下方面：設(shè)計方案應(yīng)符合系統(tǒng)建設(shè)規(guī)劃，并得到最高管理者的認(rèn)可；設(shè)計方案應(yīng)對系統(tǒng)建設(shè)后面臨的威脅進(jìn)行了分析，重點分析來自物理環(huán)境和自然的威脅，以及由于內(nèi)、外部入侵等造成的威脅；設(shè)計方案中的安全需求應(yīng)符合規(guī)劃階段的安全目標(biāo)，并基于威脅的分析，制定信息系統(tǒng)的總體安全策略；設(shè)計方案應(yīng)采取了一定的手段來應(yīng)對系統(tǒng)可能的故障；設(shè)計方案應(yīng)對設(shè)計原型中的技術(shù)實現(xiàn)以及人員、組織管理等方面的脆弱性進(jìn)行評估，包括設(shè)計過程中的管理脆弱性和技術(shù)平臺固有的脆弱性。設(shè)計方案應(yīng)考慮可能隨著其他系統(tǒng)接入而產(chǎn)生的風(fēng)險；系統(tǒng)性能應(yīng)滿足用戶需求，并考慮到峰值的影響，是否在技術(shù)上考慮了滿足系統(tǒng)性能要求的方法；應(yīng)用系統(tǒng)（含數(shù)據(jù)庫）應(yīng)根據(jù)業(yè)務(wù)需要進(jìn)行了安全設(shè)計；設(shè)計方案應(yīng)根據(jù)開發(fā)的規(guī)模、時間及系統(tǒng)的特點選擇開發(fā)方法，并根據(jù)設(shè)計開發(fā)計劃及用戶需求，對系統(tǒng)涉及的軟件、硬件與網(wǎng)絡(luò)進(jìn)行分析和選型；設(shè)計階段的評估可采用安全建設(shè)方案評審的方式判定方案所提供的安全功能與信息技術(shù)安全技術(shù)標(biāo)準(zhǔn)的符合性。在安全需求變更和設(shè)計變更后，應(yīng)重新進(jìn)行評估。實施階段風(fēng)險評估應(yīng)根據(jù)系統(tǒng)安全需求和運行環(huán)境對系統(tǒng)開發(fā)、實施過程進(jìn)行風(fēng)險識別，并對系統(tǒng)建成后的安全功能進(jìn)行驗證，在實施及驗收時應(yīng)進(jìn)行質(zhì)量控制，并基于設(shè)計階段的資產(chǎn)列表、安全措施，對規(guī)劃階段的安全威脅進(jìn)行進(jìn)一步細(xì)分，同時評估安全措施的實現(xiàn)程度，進(jìn)而確定安全措施能否抵御現(xiàn)有威脅、脆弱性的影響。本階段風(fēng)險評估可采取對照實施方案和標(biāo)準(zhǔn)要求的方式，主要對系統(tǒng)的開發(fā)與技術(shù)/產(chǎn)品獲取、系統(tǒng)交付實施兩個過程進(jìn)行評估，并應(yīng)滿足以下要求：應(yīng)滿足法律法規(guī)、政策、標(biāo)準(zhǔn)規(guī)范等；應(yīng)滿足信息系統(tǒng)的功能需要；應(yīng)根據(jù)信息系統(tǒng)的資產(chǎn)、威脅和脆弱性的分析結(jié)果，確定在符合相關(guān)法律、政策、標(biāo)準(zhǔn)和功能需要的前提下選擇最合適的安全措施。應(yīng)明確系統(tǒng)建設(shè)后應(yīng)進(jìn)行怎樣的測試和檢查。應(yīng)進(jìn)行資產(chǎn)面臨的威脅和脆弱性分析；系統(tǒng)的安全功能進(jìn)行應(yīng)滿足驗收測試要求，安全措施應(yīng)能夠抵御安全威脅；評估應(yīng)建立與整體安全策略一致的組織管理制度；系統(tǒng)風(fēng)險控制效果應(yīng)滿足預(yù)期要求。運行階段風(fēng)險評估運行維護(hù)階段風(fēng)險評估應(yīng)包含以下方面：在真實環(huán)境下較為細(xì)致的評估，包括實施階段采購的軟硬件資產(chǎn)、系統(tǒng)運行過程中生成的信息資產(chǎn)、相關(guān)的人員與服務(wù)等；應(yīng)全面地分析威脅的可能性和影響程度，對非故意威脅導(dǎo)致安全事件的評估可以參照安全事件的發(fā)生頻率，對故意威脅導(dǎo)致安全事件的評估主要就威脅的各個影響因素做出專業(yè)判斷；應(yīng)是全面的脆弱性評估，可以采取核查、掃描、案例驗證、滲透性測試的方式實施，安全保障設(shè)備的脆弱性評估應(yīng)考慮安全功能的實現(xiàn)情況和安全保障設(shè)備本身的脆弱性，管理脆弱性評估可采取文檔、記錄核查等方式進(jìn)行驗證；對重要資產(chǎn)的風(fēng)險宜進(jìn)行定性或定量的風(fēng)險分析，描述不同資產(chǎn)的風(fēng)險高低狀況。運行維護(hù)階段的風(fēng)險評估應(yīng)定期執(zhí)行；當(dāng)組織的業(yè)務(wù)流程、系統(tǒng)狀況發(fā)生重大變更時，也應(yīng)進(jìn)行風(fēng)險評估。重大變更包括：增加新的應(yīng)用或應(yīng)用發(fā)生較大變更；網(wǎng)絡(luò)結(jié)構(gòu)和連接狀況發(fā)生較大變更；技術(shù)平臺大規(guī)模的更新；系統(tǒng)擴(kuò)容或改造；發(fā)生重大安全事件后，或基于某些運行記錄懷疑將發(fā)生重大安全事件；組織結(jié)構(gòu)發(fā)生重大變動對系統(tǒng)產(chǎn)生了影響。廢棄階段風(fēng)險評估廢棄階段風(fēng)險評估應(yīng)包含以下方面：應(yīng)確保硬件和軟件等資產(chǎn)及殘留信息得到了適當(dāng)?shù)奶幹茫⒋_保系統(tǒng)組件被合理地丟棄或更換；若被廢棄的系統(tǒng)是某個系統(tǒng)的一部分，或與其他系統(tǒng)存在物理或邏輯上的連接，還應(yīng)考慮系統(tǒng)廢棄后與其他系統(tǒng)的連接是否被關(guān)閉；若在系統(tǒng)變更中廢棄，除對廢棄部分外，還應(yīng)對變更的部分進(jìn)行評估，以確定是否會增加風(fēng)險或引入新的風(fēng)險；是否建立了流程，應(yīng)確保更新過程在一個安全、系統(tǒng)化的狀態(tài)下完成。安全檢測網(wǎng)絡(luò)安全檢查網(wǎng)絡(luò)安全檢查應(yīng)包含以下方面：網(wǎng)絡(luò)安全脆弱性是指網(wǎng)絡(luò)通信設(shè)備及網(wǎng)絡(luò)安全設(shè)備、網(wǎng)絡(luò)通信線路、網(wǎng)絡(luò)通信服務(wù)在安全方面存在的脆弱性，包括：非法使用網(wǎng)絡(luò)資源、非法訪問或控制網(wǎng)絡(luò)通信設(shè)備及網(wǎng)絡(luò)安全設(shè)備、非法占用網(wǎng)絡(luò)通信信道、網(wǎng)絡(luò)通信服務(wù)帶寬和質(zhì)量不能保證、網(wǎng)絡(luò)線路泄密、傳播非法信息等。核查網(wǎng)絡(luò)安全所采取的安全措施及其有效性，包括：網(wǎng)絡(luò)拓?fù)鋱D、VLAN劃分、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)設(shè)備防護(hù)、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范等。網(wǎng)絡(luò)安全脆弱性核查應(yīng)該進(jìn)行結(jié)構(gòu)、功能、安全功能分析和性能分析；可采取白盒測試、黑盒測試、灰盒測試等方法。網(wǎng)絡(luò)安全脆弱性核查方法包括：查看網(wǎng)絡(luò)拓?fù)鋱D、網(wǎng)絡(luò)安全設(shè)備的安全策略，配置等相關(guān)文檔，詢問相關(guān)人員，查看網(wǎng)絡(luò)設(shè)備的硬件配置情況，手工或自動查看或檢測網(wǎng)絡(luò)設(shè)備的軟件安裝和配置情況，查看和驗證身份鑒別、訪問控制、安全審計等安全功能，檢查分析網(wǎng)絡(luò)和安全設(shè)備日志記錄，利用工具探測網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，掃描網(wǎng)絡(luò)安全設(shè)備存在的漏洞，探測網(wǎng)絡(luò)非法接入或外聯(lián)情況，測試網(wǎng)絡(luò)流量、網(wǎng)絡(luò)設(shè)備負(fù)荷承載能力以及網(wǎng)絡(luò)帶寬，手工或自動查看和檢測安全措施的使用情況并驗證其有效性等。主機(jī)安全檢查主機(jī)安全檢查應(yīng)包含以下方面：主機(jī)系統(tǒng)安全脆弱性是指主機(jī)硬件設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及其他相關(guān)軟件在安全方面存在的脆弱性，包括：非法訪問或控制操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及其他相關(guān)軟件系統(tǒng)，非法占用網(wǎng)絡(luò)或系統(tǒng)資源等；核查主機(jī)系統(tǒng)所采取的安全措施及其有效性，包括：身份鑒別、訪問控制、安全審計、剩余信息保護(hù)、入侵防范、惡意代碼防范、資源控制等；主機(jī)系統(tǒng)安全脆弱性核查應(yīng)該進(jìn)行結(jié)構(gòu)、功能、安全功能和性能分析；可采取白盒測試、黑盒測試、灰盒測試等方法；主機(jī)系統(tǒng)安全脆弱性核查方法包括：手工或自動查看或檢測主機(jī)硬件設(shè)備的配置情況以及軟件系統(tǒng)的安裝配置情況，查看軟件系統(tǒng)的自啟動和運行情況，查看和驗證身份鑒別、訪問控制、安全審計等安全功能，查看并分析主機(jī)系統(tǒng)運行產(chǎn)生的歷史數(shù)據(jù)（如鑒別信息、上網(wǎng)痕跡），檢查并分析軟件系統(tǒng)日志記錄，利用工具掃描主機(jī)系統(tǒng)存在的漏洞，測試主機(jī)系統(tǒng)的性能，手工或自動查看或檢測安全措施的使用情況并驗證其有效性等。應(yīng)用安全檢查應(yīng)用安全檢查應(yīng)包含以下方面：應(yīng)用系統(tǒng)安全脆弱性是指應(yīng)用系統(tǒng)在安全方面存在的脆弱性，包括；非法訪問或控制業(yè)務(wù)應(yīng)用系統(tǒng)，非法占用業(yè)務(wù)應(yīng)用系統(tǒng)資源等；核查應(yīng)用系統(tǒng)所采取的安全措施及其有效性，包括：身份鑒別、訪問控制、安全審計、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等；應(yīng)用系統(tǒng)安全脆弱性核查應(yīng)進(jìn)行結(jié)構(gòu)、功能、安全功能和性能分析；應(yīng)用系統(tǒng)安全脆弱性核查可采取白盒測試、黑盒測試、灰盒測試等方法；軟件安全技術(shù)要求可參見附錄B。數(shù)據(jù)安全檢查數(shù)據(jù)安全檢查應(yīng)包含以下方面：數(shù)據(jù)安全脆弱性是指數(shù)據(jù)存儲和傳播在安全方面存在的脆弱性，包括：數(shù)據(jù)泄露、數(shù)據(jù)篡改和破壞、數(shù)據(jù)不可用等。核查數(shù)據(jù)安全所采取的安全措施及其有效性，包括：數(shù)據(jù)完整性保護(hù)措施、數(shù)據(jù)保密性保護(hù)措施、備份和恢復(fù)等。數(shù)據(jù)安全核查宜采用通信協(xié)議分析、數(shù)據(jù)破解、數(shù)據(jù)完整性校驗等方法。附錄A

（資料性）

數(shù)據(jù)脫敏常用技術(shù)A.1泛化技術(shù)泛化是指在保留原始數(shù)據(jù)局部特征的前提下使用一般值替代原始數(shù)據(jù)，泛化后的數(shù)據(jù)具有不可逆性，具體的技術(shù)方法包括：數(shù)據(jù)截斷：直接舍棄業(yè)務(wù)不需要的信息，僅保留部分關(guān)鍵信息，例如將手機(jī)號碼1350001000截斷為135；日期偏移取整：按照一定粒度對時間進(jìn)行向上或向下偏移取整，可在保證時間數(shù)據(jù)一定分布特征的情況下隱藏原始時間，例如將時間2015010101：01：09按照5秒鐘粒度向下取整得2015010101：01：05；規(guī)整：將數(shù)據(jù)按照大小規(guī)整到預(yù)定義的多個檔位，例如將客戶資產(chǎn)按照規(guī)模分為高、中、低三個級別，將客戶資產(chǎn)數(shù)據(jù)用這三個級別代替。A.2抑制技術(shù)抑制是指通過隱藏數(shù)據(jù)中部分信息的方式來對原始數(shù)據(jù)的值進(jìn)行轉(zhuǎn)換，又稱為隱藏技術(shù)，具體的技術(shù)方法包括：掩碼：用通用字符替換原始數(shù)據(jù)中的部分信息，例如將手機(jī)號過掩碼得到135****0001，掩碼后的數(shù)據(jù)長度與原始數(shù)據(jù)一樣。A.3擾亂技術(shù)擾亂是指通過加