5.1.4.3. 通信完整性(S1)
应采用约定通信会话方式的方法保证通信过程中数据的完整性。
5.1.4.4.软件容错(A1)
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。
5.1.5.数据安全及备份恢复
5.1.5.1.数据完整性(S1)
应能够检测到重要用户数据在传输过程中完整性受到破坏。
5.1.5.2.备份和恢复(A1)
应能够对重要信息进行备份和恢复。
5.2. 管理要求
5.2.1. 安全管理制度
5.2.1.1. 管理制度(G1)
应建立日常管理活动中常用的安全管理制度。
5.2.1.2.制定和发布(G1)
本项要求包括:
a)应指定或授权专门的人员负责安全管理制度的制定;
b)应将安全管理制度以某种方式发布到相关人员手中。
5.2.2.安全管理机构
5.2.2.1.岗位设置(G1)
应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。
5.2.2.2. 人员配备(G1)
应配备一定数量的系统管理员、网络管理员、安全管理员等。
5.2.2.3.授权和审批(G1)
应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批。
重要审批授权记录应留档备查。
5.2.2.4.沟通和合作(G1)
应加强与兄弟单位、公安机关、电信公司的合作与沟通。
应加强与兄弟单位、公安机关、通信运营商、供电部门、银行等单位和部门的合作与沟通。
5.2.3.人员安全管理
5.2.3.1.人员录用(G1)
本项要求包括:
a)应指定或授权专门的部门或人员负责人员录用;
b)应对被录用人员的身份和专业资格等进行审查,并确保其具有基本的专业技术水平和安全管理知识。
5.2.3.2.人员离岗(G1)
本项要求包括:
a)应立即终止由于各种原因离岗员工的所有访问权限;
b)应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。
5.2.3.3.安全意识教育和培训(G1)
本项要求包括:
a)应对各类人员进行安全意识教育和岗位技能培训;
b)应告知人员相关的安全责任和惩戒措施。
5.2.3.4.外部人员访问管理(G1)
应确保在外部人员访问受控区域前得到授权或审批。
5.2.4.系统建设管理
5.2.4.1. 系统定级(G1)
本项要求包括:
a)应明确信息系统的边界和安全保护等级;
b)应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由;
c)应确保信息系统的定级结果经过相关部门的批准。
5.2.4.2.安全方案设计(G1)
本项要求包括:
a)应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施;
b)应以书面的形式描述对系统的安全保护要求和策略、安全措施等内容,形成系统的安全方案;
c)应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案。
5.2.4.3.产品采购和使用(G1)
应确保安全产品采购和使用符合国家的有关规定。
5.2.4.4.自行软件开发(G1)
本项要求包括:
a)应确保开发环境与实际运行环境物理分开;
b)应确保软件设计相关文档由专人负责保管。
5.2.4.5. 外包软件开发(G1)
本项要求包括:
a)应根据开发要求检测软件质量;
b)应在软件安装之前检测软件包中可能存在的恶意代码;
c)应确保提供软件设计的相关文档和使用指南。
5.2.4.6.工程实施(G1)
应指定或授权专门的部门或人员负责工程实施过程的管理。
5.2.4.7.测试验收(G1)
本项要求包括:
a)应对系统进行安全性测试验收;
b)在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告。
5.2.4.8.系统交付(G1)
本项要求包括:
a)应制定系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;
b)应对负责系统运行维护的技术人员进行相应的技能培训;
c)应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档。
5.2.4.9.安全服务商选择(G1)
本项要求包括:
a)应确保安全服务商的选择符合国家的有关规定;
b)应与选定的安全服务商签订与安全相关的协议,明确约定相关责任。
5.2.5.系统运维管理
5.2.5.1.环境管理(G1)
本项要求包括:
a)应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;
应每季度对机房供配电、空调、UPS等设施进行维护管理并保存相关维护记录。
b)应对机房的出入、服务器的开机或关机等工作进行管理;
c)应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定。
5.2.5.2.资产管理(G1)
应编制与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。
5.2.5.3.介质管理(G1)
本项要求包括:
a)应确保介质存放在安全的环境中,对各类介质进行控制和保护;
b)应对介质归档和查询等过程进行记录,并根据存档介质的目录清单定期盘点。
5.2.5.4.设备管理(G1)
本项要求包括:
a)应对信息系统相关的各种设备、线路等指定专门的部门或人员定期进行维护管理;
每年至少进行一次维护管理。
b)应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理。
5.2.5.5.网络安全管理(G1)
本项要求包括:
a)应指定人员对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;
b)应定期进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补。
1)每半年至少进行一次漏洞扫描,对漏洞风险持续跟踪,在经过充分的验证测试后对必要的 漏洞开展修补工作;
2) 实施漏洞扫描或漏洞修补前,应对可能的风险进行评估和充分准备,如选择恰当时间,并做好数据备份和回退方案;
3) 漏洞扫描或漏洞修补后应进行验证测试,以保证网络系统的正常运行。
5.2.5.6.系统安全管理(G1)
本项要求包括:
a)应根据业务需求和系统安全分析确定系统的访问控制策略;
b)应定期进行漏洞扫描,对发现的系统安全漏洞进行及时的修补;
1) 每半年至少进行一次漏洞扫描,对漏洞风险持续跟踪,在经过充分的验证测试后对必要的漏洞开展修补工作;
2) 实施漏洞扫描或漏洞修补前,应对可能的风险进行评估和充分准备,如选择恰当时间,并做好数据备份和回退方案;
3) 漏洞扫描或漏洞修补后应进行验证测试,以保证系统的正常运行。
c) 应安装系统的最新补丁程序,并在安装系统补丁前对现有的重要文件进行备份。
持续跟踪厂商提供的系统升级更新情况,应在经过充分的测试评估后对必要的补丁进行及时更新,并在安装系统补丁前对现有的重要文件进行备份。
5.2.5.7.恶意代码防范管理(G1)
应提高所有用户的防病毒意识,告知及时升级防病毒软件,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查。
5.2.5.8.备份与恢复管理(G1)
本项要求包括:
a)应识别需要定期备份的重要业务信息、系统数据及软件系统等;
b)应规定备份信息的备份方式、备份频度、存储介质、保存期等。
5.2.5.9.安全事件处置(G1)
本项要求包括:
a) 应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;
b)应制定安全事件报告和处置管理制度,规定安全事件的现场处理、事件报告和后期恢复的管理职责。
6.第二级基本要求
6.1. 技术要求
6.1.1.物理安全
6.1.1.1.物理位置的选择(G2)
机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
1) 应具有机房或机房所在建筑物符合当地抗震要求的相关证明;
2) 机房外墙壁应没有对外的窗户。否则,应采用双层固定窗,并作密封、防水处理。
6.1.1.2. 物理访问控制(G2)
本项要求包括:
a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
1) 机房出入应当安排专人负责管理,人员进出记录应至少保存3个月;
2) 没有门禁系统的机房,应当安排专人控制、鉴别和记录人员的进出;
3) 有门禁系统的机房,应当采用监控设备将机房人员进出情况传输到值班点,对外来人员出入机房进行控制、鉴别和记录。
b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
1) 来访人员进入机房,应有审批流程,记录带进带出的设备、进出时间、工作内容,并有专人陪同其在限定的范围内工作;
2) 机房出入口应有视频监控,监控记录至少保存3个月。
6.1.1.3.防盗窃和防破坏(G2)
本项要求包括:
a)应将主要设备放置在机房内;
b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;
1) 主要设备应当安装、固定在机柜内或机架上;
2) 主要设备、机柜、机架应有明显且不易除去的标识,如粘贴标签或铭牌。
c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
通信线缆可铺设在管道或线槽、线架中。
d)应对介质分类标识,存储在介质库或档案室中;
e)主机房应安装必要的防盗报警设施。
6.1.1.4. 防雷击(G2)
本项要求包括:
a)机房建筑应设置避雷装置;
机房或机房所在大楼,应设计并安装防雷击措施,防雷措施应至少包括避雷针或避雷器等。
b)机房应设置交流电源地线。
6.1.1.5. 防火(G2)
机房应设置灭火设备和火灾自动报警系统。
机房的火灾自动报警系统应向当地公安消防部门备案。
6.1.1.6.防水和防潮(G2)
本项要求包括:
a)水管安装,不得穿过机房屋顶和活动地板下;
1) 与机房设备无关的水管不得穿过机房屋顶和活动地板下;
2) 机房屋顶和活动地板下铺有水管的,应采取有效防护措施。
b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
6.1.1.7.防静电(G2)
关键设备应采用必要的接地防静电措施。
6.1.1.8. 温湿度控制(G2)
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1)开机时机房温度应控制在22℃-24℃;
2)开机时机房相对湿度应控制在40%-55%。
6.1.1.9.电力供应(A2)
本项要求包括:
a)应在机房供电线路上配置稳压器和过电压防护设备;
b)应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
1) 机房应配备UPS,UPS实际供电能力能够满足关键设备在断电情况下正常运行2个小时以上;
2) 机房应自备或租用发电机,能够保障持续供电。
6.1.1.10.电磁防护(S2)
电源线和通信线缆应隔离铺设,避免互相干扰。
电源线和通信线缆应铺设在不同的桥架或管道,避免互相干扰。
6.1.2.网络安全
6.1.2.1.结构安全(G2)
本项要求包括:
a)应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
关键网络设备近一年的CPU负载峰值应小于30%。
b)应保证接入网络和核心网络的带宽满足业务高峰期需要;
c)应绘制与当前运行情况相符的网络拓扑结构图;
应绘制完整的网络拓扑结构图,有相应的网络配置表,包含设备IP地址等主要信息,与当前运行情况相符,并及时更新。
d)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
6.1.2.2.访问控制(G2)
本项要求包括:
a)应在网络边界部署访问控制设备,启用访问控制功能;
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。
网络边界访问控制设备应设定过滤规则集。规则集应涵盖对所有出入边界的数据包的处理方式,对于没有明确定义的数据包,应缺省拒绝。
c)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
d)应限制具有拨号访问权限的用户数量。
原则上不应通过互联网对重要信息系统进行远程维护和管理。
6.1.2.3.安全审计(G2)
本项要求包括:
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
6.1.2.4.边界完整性检查(S2)
应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。
能够检查内部网络用户采用双网卡跨接外部网络,或采用电话拨号、ADSL拨号、手机、无线上网卡等无线拨号方式连接其他外部网络。
6.1.2.5.入侵防范(G2)
应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
6.1.2.6. 网络设备防护(G2)
本项要求包括:
a)应对登录网络设备的用户进行身份鉴别;
应删除默认用户或修改默认用户的口令,根据管理需要开设用户,不得使用缺省口令、空口令、弱口令。
b)应对网络设备的管理员登录地址进行限制;
c)网络设备用户的标识应唯一;
d)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
1)口令应符合以下条件:数字、字母、符号混排,无规律的方式;
2)管理员用户口令的长度至少为12位;
3)管理员用户口令至少每季度更换1次,更新的口令至少5次内不能重复;
4)如果设备口令长度不支持12位或其他复杂度要求,口令应使用所支持的最长长度并适当缩小更换周期;也可以使用动态密码卡等一次性口令认证方式。
e) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;