杭州某电子政务系统安全技术规范

杭州市权力阳光电子政务系统安全技术规范（草案） 一、 总体要求权力阳光电子政务系统的建设各方应从物理环境、网络平台、系统平台、业务应用以及运行管理等方面分析并提高系统的整体安全保障能力，总体要求包括：a) 信息系统的物理环境应提供系统正常运行的场所，并保证硬件、通信链路、机房环境的物理安全。b) 系统应合理划分不同的网络区域，根据应用需求设置合理的访问控制策略，强化网络设备自身安全配置；c) 操作系统、数据库须进行安全配置。业务应用软件应根据安全需求开发安全功能，通过启用这些安全功能，达到保护应用信息的目的。d) 系统应对网络、可移动存储介质、光盘等病毒可能入侵的途径进行控制，并阻断病毒在系统内的传播。e) 系统中采用的安全产品必须选用经国家主管部门许可、并经国家认证机构认可的产品。系统如采用密码技术及产品对非涉密信息进行加密保护或安全认证，所采用的密码技术或密码产品应符合商用密码管理条例的要求。f) 系统建设单位应针对系统应用状况建立安全管理制度，在统一的安全策略下对各类行为进行管理。 二、 基本安全目标2.1. 物理环境2.1.1. 机房环境机房建设应满足国家标准GB/T 2887电子计算机场地通用规范、GB/T 9361计算机场地安全要求的要求。2.1.2. 硬件设施的物理安全构成信息系统的采购硬件、自制硬件及其组成零部件应符合国家规定的质量标准。 2.2. 网络平台2.2.1. 网络边界系统应根据安全需求在与Internet以及市电子政务外网、资源专网等其他网络的网间互连处配置网关类设备实施访问控制，并对通信事件、操作事件进行审计。2.2.2. 网络内部结构根据应用需求在内部网路结构中划分服务器区等独立网段或子网，并在相关网络设备中配置安全策略进行隔离，实施对内部信息流的访问控制。2.2.3. 网络设备根据系统安全策略和应用需求对防火墙、路由器及交换机等网络设备实施安全配置。防火墙、路由器及交换机的自身安全配置至少应包括下列内容：版本更新与漏洞修补、版本信息保护、身份鉴别、链接安全、配置备份、安全审计。 2.3. 系统软件2.3.1. 操作系统操作系统应根据信息系统安全策略进行选择和安全配置，并定期进行操作系统的漏洞检测、补丁修补。安全配置的内容包括：身份鉴别、用户权限分配、口令质量、鉴别失败处理、默认服务开放、终端限制、安全审计等。2.3.2. 数据库数据库应该根据信息系统安全策略进行选择和安全配置，并定期进行数据库的漏洞检测、补丁修补。安全配置的内容包括：身份鉴别、用户权限分配、口令质量、终端限制、安全审计、备份恢复策略等。 2.4. 应用软件业务应用的安全要求包括业务应用软件安全、应用信息保护和密码支持。2.4.1. 通用应用软件Web服务器、邮件服务器等通用应用软件应该根据信息系统安全策略进行选择和安全配置，并及时升级补丁包。安全配置的内容包括：身份鉴别、用户权限分配、口令质量等。2.4.2. 专用应用软件专用应用软件应具备身份鉴别、用户管理、访问控制、运行审计等安全功能，并定期进行版本维护及更新，以保护应用信息的安全。2.4.3. 应用信息保护应根据安全策略在应用信息的生成、处理、传输和存储等环节采取相应的保护措施。2.4.4. 密码支持当系统中采用密码技术实现对信息的保护时，无论是在网络传输、业务应用软件中，还是存储中，都应在密钥产生、密钥分配、密钥销毁、密钥备份与恢复等环节具备安全机制，保护密码技术的正确使用。 2.5. 运行维护2.5.1. 恶意代码防范系统应建立统一的恶意代码防范体系，并在相关服务器和业务终端上布置恶意代码防范设备或软件，有效防止服务器和业务终端遭受病毒、蠕虫、木马等恶意代码的感染及其在网络中的传播。2.5.2. 数据备份系统应建立数据备份制度，实现备份制度中既定的安全备份功能，以便在系统遭受破坏的情况下及时恢复应用信息。根据应用信息对业务的影响程度，选择数据冷备份、数据热备份或系统备份中的一种或多种相结合的备份方式。2.5.3. 入侵检测及防护系统应在重要信息流经的网络和存有重要信息的主机上部署入侵监控或入侵防护系统，实时监视网络信息流和主机的可疑连接、系统日志、非法访问等活动，对系统中发现的异常行为及时报警或采取相应的阻断措施。2.5.4. 网络管理及安全审计系统中部署的网络管理及安全审计系统应实现对重要网络设备、安全设备、服务器及数据库系统的故障、负载及性能等运行状态信息进行采集监控、监控设备配置信息的变更和安全事件信息发生，设置合理的监控指标阈值、合理的审计规则和告警响应策略，并根据实际需求提供各类综合分析报告。2.5.5. 系统冗余在实时性及可用性要求较高的系统中，应对关键的网络链路、网络设备、服务器主机及数据库平台进行冗余备份，并进行合理的配置，当系统的某一节点发生故障时能在有效时间内进行切换分配，保证网络及系统相关服务正常运行。 三、 具体安全要求3.1. 物理环境机房的环境条件、照明、接地、供电、建筑结构、媒体存放条件、监视防护设备等应满足GB/T 2887电子计算机场地通用规范4.34.9的要求。机房的选址、防火、供配电、消防设施、防水、防静电、防雷击应满足GB/T 9361 计算机场地安全要求48的要求。在防火、防雷击、防静电、监控设施等方面时，应经过相关专业机构的检测。此外，还应检查以下内容：a) 提供短期的备用电力供应（如UPS）；b) 机房留有备用空间；c) 设备防盗、防毁措施；d) 通讯线路连接、设备标签、布线合理性；e) 机房出入口配置门禁系统以及监控报警系统；f) 机房出入记录，记录内容包括人员姓名、出入日期和时间，操作内容，携带物品等。 3.2. 网络平台3.2.1. 网络结构在系统内部网络和外部网络间配置访问控制设备或逻辑隔离设备以实现网络访问控制和网络间的信息交换，对访问控制/隔离设备的通信事件、操作事件进行审计。合理设置访问控制/隔离设备的安全配置，确认安全功能的有效性。具体安全要求如下：a) 根据系统安全策略配置访问控制规则，实现对网络数据包的过滤及对网络访问行为的管理，并对发生的网络攻击或违规事件进行检测和告警；b) 访问控制/隔离设备应实施用户权限的管理；c) 开启审计功能，记录通过访问控制/隔离设备的信息内容或活动；d) 定期查看日志，并对存储的日志进行有效的保护（如防止非法修改、删除，定期导出等）；e) 对具有文件传输控制能力的访问控制/隔离设备设置传输过滤列表。应根据业务应用和安全策略对系统内部服务器区域进行逻辑划分或逻辑隔离，实现对信息流的访问控制和安全传输，在终端计算机与服务器之间进行访问控制，建立安全的访问路径。对连接到存有重要信息的服务器，应采取网络层地址或数据链路层地址绑定的措施，防止地址欺骗。当有重要信息通过公共网络进行传输时，应在传输线路中配置加密设备，以保证在公共网络上传输信息的保密性；禁止内部网络用户未授权与外部网络连接；如提供远程拨号或移动用户连接，应在系统入口处配置鉴别与认证服务器。禁止非授权设备接入内部网络，尤其是服务器区域。3.2.2. 路由器应根据系统安全策略配置相应的路由器安全配置，具体要求包括：a) 保持路由器软件版本的更新，修补高风险的漏洞；b) 禁止与应用无关的网络服务，关闭与应用无关的网络接口；c) 对登录的用户进行身份标识和鉴别，身份标识唯一，不反馈鉴别信息；d) 修改路由器默认用户的口令或禁止默认用户访问，用户口令应满足长度和复杂性要求，并对配置口令进行加密保护；e) 当登录连接超时，应自动断开连接，并要求重新鉴别；f) 对能够登录路由器的远程地址进行限制，关闭与应用无关的远程访问接口；g) 对登录提示信息进行设置，不显示路由器型号、软件、所有者等信息；h) 对路由配置进行备份，且对备份文件的读取实施访问控制；i) 开启路由器日志功能，对修改访问控制列表、路由器配置等操作行为进行审计记录。3.2.3. 交换机应根据系统安全策略配置相应的交换机安全配置，具体要求包括：a) 保持交换机软件版本的更新，修补高风险的漏洞；b) 禁止与应用无关的网络服务，关闭与应用无关的网络接口；c) 对登录交换机的用户进行身份标识和鉴别，身份标识唯一，不反馈鉴别信息；d) 修改交换机默认用户的口令或禁止默认用户访问，用户口令应满足长度和复杂性要求，并对配置口令进行加密保护；e) 当用户登录连接超时，应自动断开连接，并要求重新鉴别；f) 对能够登录交换机的远程地址进行限制，关闭与应用无关的远程访问接口；g) 对登录提示信息进行设置，不显示交换机的型号、软件、所有者等信息；h) 对交换机配置进行备份，且对备份文件的读取实施访问控制；i) 开启交换机日志功能，对修改访问控制列表、交换机配置等操作行为进行审计记录。 3.3. 系统软件3.3.1. 操作系统信息系统应根据应用需求、安全需求选择操作系统，并实施安全配置。具体要求如下：a) 定期更新操作系统版本，修补漏洞；b) 关闭与应用无关的服务、启动脚本或网络功能；c) 对登录用户进行身份标识和鉴别；用户的身份标识唯一；d) 身份鉴别如采用用户名/口令方式，应设置口令长度、复杂性和更新周期；e) 修改默认用户的口令或禁止默认用户访问，禁止匿名访问或限制访问的范围；f) 具有登录失败处理功能，当登录失败次数达到限制值时，应结束会话、锁定用户；g) 实行特权用户的权限分离，按照最小授权原则，分别授予不同用户各自为完成自身承担任务所需的最小权限，并在他们之间形成相互制约的关系；h) 对系统内的重要文件（如启动脚本文件、口令文件、服务配置文件）、服务、环境变量、进程等实施访问控制；i) 系统管理员实施远程登录时，应使用强鉴别机制，且操作系统应记录详细的登录信息；j) 通过设定终端接入方式、网络地址范围等条件限制终端的登录；k) 对操作系统的安全事件进行审计，审计事件至少包括：用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作（如修改文件、目录的访问控制、更改系统或服务的配置文件）、重要用户（如系统管理员、系统安全员、系统审计员）的各项操作进行审计；l) 审计记录应包括日期和时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等；审计记录应受到保护避免受到未预期的删除、修改或覆盖；m) 用户鉴别信息及与应用信息所在的存储空间，被释放或再分配给其他用户之前应完全清除；n) 限制单个用户对系统资源的最大使用额度。3.3.2. 数据库信息系统应根据应用需求、安全需求选择数据库，并实施安全配置。具体要求如下：a) 定期更新数据库版本，修补漏洞；b) 禁用或删除数据库不需要的存储过程；c) 对访问数据库的用户进行身份标识和鉴别，身份标识唯一；d) 身份鉴别如采用用户名/口令方式，应设置口令长度、复杂性和定期更新周期；e) 当登录连接超时，自动退出登录会话并要求重新鉴别；f) 修改默认用户的口令或禁止默认用户访问，防止数据库对象被Public权限用户访问；g) 实行特权用户的权限分离，按照最小授权原则，分别授予不同用户各自为完成自身承担任务所需的最小权限，并在他们之间形成相互制约的关系；h) 通过设定终端接入方式、网络地址范围等条件限制终端的登录；i) 对数据库的安全事件进行审计，审计事件至少包括：用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、数据字典访问、管理员用户实施的各项操作、对存储重要信息的数据表的各项操作；j) 审计记录应包括：事件发生的时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等；k) 审计记录应受到保护，避免受到未预期的删除、修改或覆盖。如果审计记录允许授权用户删除，应对删除操作予以记录；当审计记录存储空间接近极限时，应采取必要的措施，以保护所存储的记录；l) 限制单个用户对系统资源的最大使用额度。 3.4. 应用软件3.4.1. 通用应用软件通用应用软件主要包括邮件服务软件、Web服务软件、中间件等。本规范提出了邮件服务软件、Web服务软件的安全要求。3.4.1.1. 邮件服务软件邮件服务器软件应根据系统安全策略进行安装与配置，安全要求如下：a) 定期更新邮件服务器软件，修补高风险漏洞；b) 为邮件服务器软件建立独立的逻辑分区，将其与存放系统文件的分区分开；c) 重新配置smtp、pop等邮件服务的提示信息，不显示邮件服务器软件和操作系统的版本和类型；d) 启用smtp认证，禁止非授权帐户通过邮件服务器发送邮件；e) 禁止非本地域名邮件（发送者或接收者非本地的邮件）的中转；f) 禁用expn、vrfy等命令；g) 禁止非授权用户查看邮件队列；h) 具备反垃圾邮件功能。对邮件客户端，具体要求如下：a) 禁止自动邮件浏览；b) 禁止自动打开下一个邮件功能；c) 禁止自动下载ActiveX控件、活动脚本、java小程序；d) 客户端操作系统只允许授权用户对本地存储的邮件客户端配置文件进行访问。3.4.1.2. Web服务软件Web服务软件应根据系统安全策略进行安装与配置，安全要求如下：a) 定期更新Web服务软件的补丁，修补高风险漏洞；b) 配置Web服务的提示信息，不显示Web服务软件和操作系统的版本和类型；c) 禁止非授权用户对Web服务根目录的访问；d) 禁用或删除默认安装的一些应用示例；e) 定期更新Web服务软件，修补高风险漏洞；f) 启用Web服务软件的日志功能，日志内容应包括：访问者的IP地址、访问时间、访问的资源、协议、状态等；g) Web服务软件安装目录应与系统文件安装在不同的逻辑分区下；h) 限制对日志的访问权限；i) 禁止匿名用户在服务器上远程运行可执行文件。3.4.2. 专用应用软件专用应用软件应具备与业务信息保护相应的安全功能，安全要求如下：a) 不应经常发生由于软件错误而导致的退出系统或死机现象；b) 当发生错误时有出错提示，并可以通过手工或自动方式从错误状态恢复到正常状态；c) 当专用应用软件退出后，在本地机和服务器的有关目录下不留下任何残余文件；d) 具有身份鉴别机制，根据应用需求采取适当的鉴别机制来鉴别访问用户的身份，用户身份唯一，并保证鉴别机制不可旁路；e) 如果采用口令鉴别机制，应采用技术机制保证口令的质量强度；如果采用密码技术的鉴别机制，相关密码技术应符合国家密码管理部门的规定；f) 具备鉴别失败的处理机制。当不成功鉴别尝试次数达到限定值时，系统应锁定用户，并予以记录和告警；g) 具备对不同角色用户权限的分配和管理功能；h) 具备对用户执行的系统操作和重要业务操作的应用审计功能。审计记录应包括日期和时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等；审计记录应受到保护避免受到未预期的删除、修改或覆盖。3.4.3. 应用信息保护应用软件系统在信息产生、处理、传输和存储环节应具备相应的安全功能。具体包括：在信息的生成环节：a) 对信息源进行身份标识和鉴别，身份标识唯一；b) 如果信息是通过外部网络远程录入，应视其重要程度采取相应的数据传输加密机制；c) 业务应用软件应对信息生成的操作进行审计记录；d) 具备对输入数据合法性和合理性检验的机制。在信息的处理环节：a) 对不同角色的用户执行权限管理，防止未授权的用户进入，防止数据被未授权查阅、修改或删除；对未授权的操作尝试进行审计记录；b) 严格限制用户的权限，限制单一用户的多重并发会话；c) 制定并执行访问控制策略，根据既定规则明确允许或拒绝主体对客体的访问；d) 具备资源利用策略，确保当重要设备发生局部故障时，系统主要安全功能能正常运行，或当系统出现某些功能失败时能够维持运行状态，并给出提示信息。在信息的传输环节：a) 应用信息、审计数据、用户密钥、用户口令等安全属性数据在业务应用软件和外部网络系统之间传输时采取保密措施；b) 采取加密或数字签名技术，避免重要的应用信息在网络间传输时遭到篡改、删除、插入或重放等攻击；c) 确保信息的发送者不能否认曾经发送过该信息，即接收信息的主体能获得证明信息原发的证据，该证据可由该主体或第三方主体验证；d) 确保信息的接收者不能否认对该信息的接收，即发送信息的主体获得证明该信息被接收的证据，该证据可由该主体或第三方主体验证。在信息的存储环节：a) 存储数据的保密性保护：对存储在系统中的应用信息，应根据不同数据类型的保密性要求，进行不同程度的保护；除具有权限的合法用户外，其余任何用户不能获得该数据；b) 存储数据的完整性保护：对存储在系统中的应用信息进行完整性保护；检测到完整性错误时，应采取相应的行动；c) 对于重要的应用信息可以采取加密方式存储；对以加密方式保存备份的，应同时保存数据恢复所需密钥的备份；d) 建立安全备份制度，以便在系统遭受破坏的情况下及时进行恢复；根据业务需求制定备份策略，并按照策略定期备份重要的数据和软件，定期对备份数据进行恢复测试，以保证备份数据的可用性。备份内容至少应包括：应用信息、系统软件的配置文件、关键设备的配置信息、安全设备的配置规则与日志等；e) 备份数据必须有严格的存取、调用和更新的管理规程。3.4.4. 密码支持系统应在密钥的产生、分配、访问、销毁等环节满足以下要求：a) 基于国家主管部门认可的算法和密钥长度来产生密钥；b) 基于国家主管部门认可的分配方法来分配密钥；c) 基于国家主管部门认可的访问方法来访问密钥；d) 基于国家主管部门认可的销毁方法来销