f)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
6.1.3.主机安全
6.1.3.1 身份鉴别(S2)
本项要求包括:
a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
1) 口令应符合以下条件:数字、字母、符号混排,无规律的方式;
2) 口令的长度至少为12位;
3) 口令至少每季度更换1次,更新的口令至少5次内不能重复;
4) 如果设备口令长度不支持12位或其他复杂度要求,口令应使用所支持的最长长度并适当缩小更换周期;也可以使用动态密码卡等一次性口令认证方式。
c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
1) 应为操作系统的不同用户分配不同的用户名;
2) 应为数据库系统的不同用户分配不同的用户名。
6.1.3.2. 访问控制(S2)
本项要求包括:
a)应启用访问控制功能,依据安全策略控制用户对资源的访问;
b)应实现操作系统和数据库系统特权用户的权限分离;
HP Tandem、IBM OS400系列、运行DB2数据库的IBM AIX等专用系统的特权用户除外。
c)应限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令;
1) 系统无法修改访问权限的特殊默认账户,可不修改访问权限;
2) 系统无法重命名的特殊默认账户,可不重命名。
d)应及时删除多余的、过期的账户,避免共享账户的存在。
6.1.3.3.安全审计(G2)
本项要求包括:
a)审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;
应在保证系统运行安全和效率的前提,启用系统审计或采用第三方安全审计产品实现审计要求。
b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
审计内容至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等。
c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
d)应保护审计记录,避免受到未预期的删除、修改或覆盖等。
审计记录应至少保存6个月。
6.1.3.4.入侵防范(G2)
操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
持续跟踪厂商提供的系统升级更新情况,应在经过充分的测试评估后对必要的系统补丁进行及时更新。
6.1.3.5. 恶意代码防范(G2)
本项要求包括:
a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
1) 原则上所有主机应安装防恶意代码软件,系统不支持该要求的除外;
2) 未安装防恶意代码软件的主机,应采取有效措施进行恶意代码防范。
b)应支持防恶意代码软件的统一管理。
6.1.3.6. 资源控制(A2)
本项要求包括:
a)应通过设定终端接入方式、网络地址范围等条件限制终端登录;
b)应根据安全策略设置登录终端的操作超时锁定;
c)应限制单个用户对系统资源的最大或最小使用限度。
6.1.4.应用安全
6.1.4.1. 身份鉴别(S2)
本项要求包括:
a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别;
b)应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;
c)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
d)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
6.1.4.2. 访问控制(S2)
本项要求包括:
a)应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;
b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;
c)应由授权主体配置访问控制策略,并严格限制默认账户的访问权限;
d)应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
6.1.4.3. 安全审计(G2)
本项要求包括:
a)应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;
应用系统应能够对每个业务用户的关键操作进行记录,例如用户登录、用户退出、增加用户、修改用户权限等操作。
b)应保证无法删除、修改或覆盖审计记录;
c)审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。
审计记录应至少保存6个月。
6.1.4.4. 通信完整性(S2)
应采用校验码技术保证通信过程中数据的完整性。
通过互联网、卫星网进行通信时,应采用校验码技术保证通信过程中数据的完整性。
6.1.4.5. 通信保密性(S2)
本项要求包括:
a)在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;
通过互联网、卫星网进行通信时,建立通信连接之前,应用系统应利用密码技术或可靠的身份认证技术进行会话初始化验证。
b)应对通信过程中的敏感信息字段进行加密。
通过互联网、卫星网进行通信时,应对整个报文或会话过程进行加密。
6.1.4.6. 软件容错(A2)
本项要求包括:
a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;
b)在故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措施。
6.1.4.7. 资源控制(A2)
本项要求包括:
a)当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;
用户登录应用系统后在规定的时间内未执行任何操作,应自动退出系统。
b)应能够对应用系统的最大并发会话连接数进行限制;
c)应能够对单个账户的多重并发会话进行限制。
6.1.5.数据安全及备份恢复
6.1.5.1. 数据完整性(S2)
应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。
6.1.5.2. 数据保密性(S2)
应采用加密或其他保护措施实现鉴别信息的存储保密性。
6.1.5.3. 备份和恢复(A2)
本项要求包括:
a)应能够对重要信息进行备份和恢复;
b)应提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的可用性。
6.2. 管理要求
6.2.1.安全管理制度
6.2.1.1. 管理制度(G2)
本项要求包括:
a)应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;
b)应对安全管理活动中重要的管理内容建立安全管理制度;
c)应对安全管理人员或操作人员执行的重要管理操作建立操作规程。
6.2.1.2. 制定和发布(G2)
本项要求包括:
a)应指定或授权专门的部门或人员负责安全管理制度的制定;
b)应组织相关人员对制定的安全管理制度进行论证和审定;
c)应将安全管理制度以某种方式发布到相关人员手中。
6.2.1.3. 评审和修订(G2)
应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订。
每年或在发生重大变更时对安全管理制度进行检查,对存在不足或需要改进的安全管理制度进行修订。
6.2.2.安全管理机构
6.2.2.1. 岗位设置(G2)
本项要求包括:
a)应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;
b)应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。
6.2.2.2. 人员配备(G2)
本项要求包括:
a)应配备一定数量的系统管理员、网络管理员、安全管理员等;
每个岗位应有备岗。
b)安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。
6.2.2.3. 授权和审批(G2)
本项要求包括:
a)应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批;
重要审批授权记录应留档备查。
b)应针对关键活动建立审批流程,并由批准人签字确认。
6.2.2.4. 沟通和合作(G2)
本项要求包括:
a)应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通;
b)应加强与兄弟单位、公安机关、电信公司的合作与沟通。
应加强与兄弟单位、公安机关、通信运营商、供电部门、银行等单位和部门的合作与沟通。
6.2.2.5. 审核和检查(G2)
安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
安全检查应至少每季度一次。
6.2.3.人员安全管理
6.2.3.1. 人员录用(G2)
本项要求包括:
a)应指定或授权专门的部门或人员负责人员录用;
b)应规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核;
c)应与从事关键岗位的人员签署保密协议。
6.2.3.2. 人员离岗(G2)
本项要求包括:
a)应规范人员离岗过程,及时终止离岗员工的所有访问权限;
b)应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;
c)应办理严格的调离手续。
6.2.3.3. 人员考核(G2)
应定期对各个岗位的人员进行安全技能及安全认知的考核。
安全技能及安全认知的考核应至少每年一次。
6.2.3.4. 安全意识教育和培训(G2)
本项要求包括:
a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;
b)应告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒;
c)应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训。
6.2.3.5. 外部人员访问管理(G2)
应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。
6.2.4.系统建设管理
6.2.4.1. 系统定级(G2)
本项要求包括:
a)应明确信息系统的边界和安全保护等级;
b)应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由;
c)应确保信息系统的定级结果经过相关部门的批准。
6.2.4.2. 安全方案设计(G2)
本项要求包括:
a)应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施;
b)应以书面形式描述对系统的安全保护要求、策略和措施等内容,形成系统的安全方案;
c)应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案;
d)应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。
6.2.4.3. 产品采购和使用(G2)
本项要求包括:
a)应确保安全产品采购和使用符合国家的有关规定;
b)应确保密码产品采购和使用符合国家密码主管部门的要求;
c)应指定或授权专门的部门负责产品的采购。
6.2.4.4. 自行软件开发(G2)
本项要求包括:
a)应确保开发环境与实际运行环境物理分开;
b)应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;
c)应确保提供软件设计的相关文档和使用指南,并由专人负责保管。
6.2.4.5. 外包软件开发(G2)
本项要求包括:
a)应根据开发要求检测软件质量;
b)应确保提供软件设计的相关文档和使用指南;
c)应在软件安装之前检测软件包中可能存在的恶意代码;
d)应要求开发单位提供软件源代码,并审查软件中可能存在的后门。
6.2.4.6. 工程实施(G2)
本项要求包括:
a)应指定或授权专门的部门或人员负责工程实施过程的管理;
b)应制定详细的工程实施方案,控制工程实施过程。
6.2.4.7. 测试验收(G2)
本项要求包括:
a)应对系统进行安全性测试验收;
b)在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告;
c)应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。
6.2.4.8. 系统交付(G2)
本项要求包括:
a)应制定系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;
b)应对负责系统运行维护的技术人员进行相应的技能培训;
c)应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档。
6.2.4.9. 安全服务商选择(G2)
本项要求包括:
a)应确保安全服务商的选择符合国家的有关规定;
b)应与选定的安全服务商签订与安全相关的协议,明确约定相关责任;
c)应确保选定的安全服务商提供技术支持和服务承诺,必要的与其签订服务合同。
6.2.5.系统运维管理
6.2.5.1. 环境管理(G2)
本项要求包括:
a)应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;
1) 应每季度对机房供配电、空调、UPS等设施进行维护管理并保存相关维护记录;
2) 应每年对防盗报警、防雷、消防等装置进行检测维护并保存相关维护记录。
b)应配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;
c)应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;
d)应加强对办公环境的保密性管理,包括工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等。
6.2.5.2. 资产管理(G2)
本项要求包括:
a)应编制与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容;
b)应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。
6.2.5.3. 介质管理(G2)
