杭州市权力阳光电子政务系统

1、 杭州市权力阳光电子政务系统安全技术规范（草案）总体要求权力阳光电子政政务系统的建设各各方应从物理理环境、网络平台、系统平台、业务应用以及及运行管理等方面分析并提提高系统的整整体安全保障障能力，总体体要求包括：信息系统的物理理环境应提供供系统正常运运行的场所，并并保证硬件、通通信链路、机机房环境的物物理安全。系统应合理划分分不同的网络区区域，根据应应用需求设置置合理的访问问控制策略，强强化网络设备备自身安全配配置；操作系统、数据据库须进行安安全配置。业业务应用软件件应根据安全全需求开发安安全功能，通通过启用这些些安全功能，达达到保护应用用信息的目的的。系统应对网络、可可移动存储介介质、光盘等病

2、毒毒可能入侵的的途径进行控控制，并阻断断病毒在系统统内的传播。系统中采用的安安全产品必须须选用经国家家主管部门许许可、并经国家认认证机构认可可的产品。系系统如采用密码技术术及产品对非涉密信息进行加加密保护或安安全认证，所所采用的密码码技术或密码码产品应符合合商用密码码管理条例的的要求。系统建设单位应应针对系统应应用状况建立立安全管理制制度，在统一一的安全策略略下对各类行行为进行管理理。基本安全目标物理环境机房环境机房建设应满足足国家标准GGB/T 22887电电子计算机场场地通用规范范、GB/T 93661计算机机场地安全要要求的要求求。硬件设施的物理理安全构成信息系统的的采购硬件、自自制硬件

3、及其其组成零部件件应符合国家家规定的质量量标准。网络平台网络边界系统应根据安全全需求在与IInternnet以及市电子政政务外网、资资源专网等其其他网络的网网间互连处配配置网关类设设备实施访问问控制，并对对通信事件、操操作事件进行行审计。网络内部结构根据应用需求在在内部网路结结构中划分服服务器区等独独立网段或子子网，并在相关网络设备备中配置安全全策略进行隔隔离，实施对对内部信息流的的访问控制。网络设备根据系统安全策策略和应用需需求对防火墙墙、路由器及交换机等网网络设备实施施安全配置。防火墙、路由器器及交换机的自身安全配置置至少应包括括下列内容：版本更新与与漏洞修补、版版本信息保护护、身份鉴别别

4、、链接安全全、配置备份份、安全审计计。系统软件操作系统操作系统应根据据信息系统安安全策略进行行选择和安全全配置，并定定期进行操作作系统的漏洞洞检测、补丁丁修补。安全全配置的内容容包括：身份份鉴别、用户户权限分配、口口令质量、鉴鉴别失败处理理、默认服务务开放、终端限限制、安全审审计等。数据库数据库应该根据据信息系统安安全策略进行行选择和安全全配置，并定定期进行数据据库的漏洞检检测、补丁修修补。安全配配置的内容包包括：身份鉴鉴别、用户权权限分配、口令质量、终终端限制、安安全审计、备备份恢复策略略等。应用软件业务应用的安全全要求包括业务务应用软件安安全、应用信信息保护和密密码支持。通用应用软件Web

5、服务器、邮邮件服务器等等通用应用软软件应该根据据信息系统安安全策略进行行选择和安全全配置，并及及时升级补丁丁包。安全配配置的内容包包括：身份鉴鉴别、用户权权限分配、口令质量等等。专用应用软件专用应用软件应应具备身份鉴鉴别、用户管理、访访问控制、运运行审计等安安全功能，并并定期进行版版本维护及更更新，以保护护应用信息的的安全。应用信息保护应根据安全策略略在应用信息息的生成、处处理、传输和和存储等环节节采取相应的保保护措施。密码支持当系统中采用密密码技术实现现对信息的保保护时，无论论是在网络传传输、业务应应用软件中，还还是存储中，都都应在密钥产产生、密钥分分配、密钥销销毁、密钥备备份与恢复等等环节

6、具备安安全机制，保保护密码技术术的正确使用用。运行维护恶意代码防范系统应建立统一一的恶意代码码防范体系，并并在相关服务务器和业务终终端上布置恶恶意代码防范范设备或软件件，有效防止止服务器和业业务终端遭受受病毒、蠕虫虫、木马等恶恶意代码的感感染及其在网网络中的传播播。数据备份系统应建立数据据备份制度，实实现备份制度度中既定的安安全备份功能能，以便在系系统遭受破坏坏的情况下及及时恢复应用用信息。根据据应用信息对对业务的影响响程度，选择择数据冷备份份、数据热备备份或系统备备份中的一种种或多种相结结合的备份方方式。入侵检测及防护护系统应在重要信信息流经的网网络和存有重重要信息的主主机上部署入入侵监控或

7、入侵防护系统，实实时监视网络络信息流和主机的可疑疑连接、系统统日志、非法法访问等活动动，对系统中中发现的异常常行为及时报报警或采取相相应的阻断措施。网络管理及安全全审计系统中部署的网网络管理及安安全审计系统统应实现对重重要网络设备备、安全设备备、服务器及及数据库系统统的故障、负载及及性能等运行状态信息息进行采集监监控、监控设设备配置信息的变变更和安全事事件信息发生生，设置合理的的监控指标阈阈值、合理的的审计规则和和告警响应策策略，并根据据实际需求提提供各类综合合分析报告。系统冗余在实时性及可用用性要求较高高的系统中，应应对关键的网网络链路、网络设备、服务器器主机及数据据库平台进行行冗余备份，并

8、并进行合理的的配置，当系统的某一节点发生故障障时能在有效时时间内进行切切换分配，保保证网络及系系统相关服务务正常运行。具体安全要求物理环境机房的环境条件件、照明、接接地、供电、建建筑结构、媒媒体存放条件件、监视防护护设备等应满满足GB/TT 28877电子计算算机场地通用用规范4.34.99的要求。机房的选址、防防火、供配电电、消防设施施、防水、防防静电、防雷雷击应满足GGB/T 93661 计算算机场地安全全要求48的要求。在防火、防雷击、防静电、监控设施等方面时，应经过相关专业机构的检测。此外，还应检查以下内容：提供短期的备用用电力供应（如如UPS）；机房留有备用空空间；设备防盗、防毁毁措

9、施；通讯线路连接、设设备标签、布布线合理性；机房出入口配置置门禁系统以以及监控报警警系统；机房出入记录，记录内容包包括人员姓名、出入日期和时时间，操作内内容，携带物物品等。网络平台网络结构在系统内部网络络和外部网络络间配置访问问控制设备或或逻辑隔离设设备以实现网网络访问控制制和网络间的的信息交换，对对访问控制/隔离设备的的通信事件、操操作事件进行行审计。合理设置访问控控制/隔离设设备的安全配配置，确认安安全功能的有有效性。具体体安全要求如如下：根据系统安全策策略配置访问问控制规则，实实现对网络数数据包的过滤滤及对网络访访问行为的管管理，并对发发生的网络攻攻击或违规事事件进行检测测和告警；访问控

10、制/隔离离设备应实施施用户权限的的管理；开启审计功能，记记录通过访问问控制/隔离离设备的信息息内容或活动动；定期查看日志，并并对存储的日日志进行有效效的保护（如如防止非法修修改、删除，定定期导出等）；对具有文件传输输控制能力的的访问控制/隔离设备设设置传输过滤滤列表。应根据业务应用用和安全策略略对系统内部部服务器区域域进行逻辑划划分或逻辑隔隔离，实现对对信息流的访访问控制和安安全传输，在在终端计算机机与服务器之之间进行访问问控制，建立立安全的访问问路径。对连接到存有重重要信息的服服务器，应采采取网络层地地址或数据链路层层地址绑定的的措施，防止止地址欺骗。当有重要信息通通过公共网络络进行传输时时

11、，应在传输输线路中配置置加密设备，以以保证在公共共网络上传输输信息的保密密性；禁止内内部网络用户户未授权与外外部网络连接接；如提供远远程拨号或移移动用户连接接，应在系统统入口处配置置鉴别与认证证服务器。禁止非授权设备备接入内部网网络，尤其是是服务器区域域。路由器应根据系统安全全策略配置相相应的路由器器安全配置，具具体要求包括：保持路由器软件件版本的更新新，修补高风风险的漏洞；禁止与应用无关关的网络服务务，关闭与应应用无关的网网络接口；对登录的用户进进行身份标识识和鉴别，身身份标识唯一一，不反馈鉴鉴别信息；修改路由器默认认用户的口令令或禁止默认认用户访问，用用户口令应满满足长度和复复杂性要求，并

12、并对配置口令令进行加密保保护；当登录连接超时时，应自动断断开连接，并要求求重新鉴别；对能够登录路由由器的远程地地址进行限制制，关闭与应应用无关的远远程访问接口口；对登录提示信息息进行设置，不不显示路由器器型号、软件件、所有者等等信息；对路由配置进行行备份，且对对备份文件的的读取实施访访问控制；开启路由器日志志功能，对修修改访问控制制列表、路由由器配置等操操作行为进行行审计记录。交换机应根据系统安全全策略配置相相应的交换机机安全配置，具具体要求包括：保持交换机软件件版本的更新新，修补高风风险的漏洞；禁止与应用无关关的网络服务务，关闭与应用用无关的网络络接口；对登录交换机的的用户进行身身份标识和鉴

13、鉴别，身份标标识唯一，不不反馈鉴别信信息；修改交换机默认认用户的口令或禁止止默认用户访访问，用户口口令应满足长长度和复杂性性要求，并对对配置口令进进行加密保护护；当用户登录连接接超时，应自自动断开连接，并要求求重新鉴别；对能够登录交换换机的远程地地址进行限制制，关闭与应应用无关的远远程访问接口口；对登录提示信息息进行设置，不不显示交换机机的型号、软软件、所有者者等信息；对交换机配置进进行备份，且且对备份文件件的读取实施施访问控制；开启交换机日志志功能，对修修改访问控制制列表、交换换机配置等操操作行为进行行审计记录。系统软件操作系统信息系统应根据据应用需求、安安全需求选择择操作系统，并并实施安全

14、配配置。具体要求如下下：定期更新操作系系统版本，修补漏漏洞；关闭与应用无关关的服务、启启动脚本或网网络功能；对登录用户进行行身份标识和和鉴别；用户户的身份标识识唯一；身份鉴别如采用用用户名/口令方式，应应设置口令长长度、复杂性性和更新周期期；修改默认用户的的口令或禁止止默认用户访访问，禁止匿匿名访问或限限制访问的范范围；具有登录失败处处理功能，当当登录失败次次数达到限制制值时，应结结束会话、锁锁定用户；实行特权用户的的权限分离，按按照最小授权权原则，分别别授予不同用用户各自为完完成自身承担任务务所需的最小小权限，并在在他们之间形形成相互制约约的关系；对系统内的重要要文件（如启启动脚本文件件、口

15、令文件件、服务配置置文件）、服服务、环境变变量、进程等等实施访问控控制；系统管理员实施施远程登录时时，应使用强强鉴别机制，且且操作系统应应记录详细的的登录信息；通过设定终端接接入方式、网网络地址范围围等条件限制制终端的登录录；对操作系统的安安全事件进行行审计，审计计事件至少包包括：用户的的添加和删除除、审计功能能的启动和关关闭、审计策策略的调整、权限变更、系统资资源的异常使使用、重要的的系统操作（如如修改文件、目目录的访问控控制、更改系系统或服务的的配置文件）、重重要用户（如如系统管理员员、系统安全全员、系统审审计员）的各各项操作进行行审计；审计记录应包括括日期和时间间、触发事件件的主体与客客

16、体、事件的的类型、事件件成功或失败败、事件的结结果等；审计计记录应受到到保护避免受受到未预期的的删除、修改改或覆盖；用户鉴别信息及及与应用信息息所在的存储储空间，被释释放或再分配配给其他用户户之前应完全全清除；限制单个用户对对系统资源的的最大使用额额度。数据库信息系统应根据据应用需求、安安全需求选择择数据库，并实实施安全配置置。具体要求如下下：定期更新数据库库版本，修补漏漏洞；禁用或删除数据据库不需要的的存储过程；对访问数据库的的用户进行身身份标识和鉴鉴别，身份标标识唯一；身份鉴别如采用用用户名/口令方式，应应设置口令长长度、复杂性性和定期更新新周期；当登录连接超时时，自动退出出登录会话并并要

17、求重新鉴鉴别；修改默认用户的的口令或禁止止默认用户访访问，防止数据库对对象被Pubblic权限限用户访问；实行特权用户的的权限分离，按按照最小授权权原则，分别别授予不同用用户各自为完完成自身承担任务务所需的最小小权限，并在在他们之间形形成相互制约约的关系；通过设定终端接接入方式、网网络地址范围围等条件限制制终端的登录录；对数据库的安全全事件进行审审计，审计事事件至少包括括：用户的添添加和删除、审审计功能的启动和和关闭、审计计策略的调整整、权限变更、数据字字典访问、管管理员用户实实施的各项操作、对存储储重要信息的的数据表的各项项操作；审计记录应包括括：事件发生生的时间、触触发事件的主主体与客体、

18、事事件的类型、事事件成功或失失败、事件的的结果等；审计记录应受到到保护，避免免受到未预期期的删除、修修改或覆盖。如如果审计记录录允许授权用用户删除，应应对删除操作作予以记录；当审计记录录存储空间接接近极限时，应应采取必要的的措施，以保保护所存储的的记录；限制单个用户对对系统资源的的最大使用额额度。应用软件通用应用软件通用应用软件主主要包括邮件件服务软件、Web服务软件件、中间件等等。本规范提出了了邮件服务软件件、Web服务软件件的安全要求。邮件服务软件邮件服务器软件件应根据系统安全全策略进行安装与配配置，安全要求如如下：定期更新邮件服服务器软件，修修补高风险漏漏洞；为邮件服务器软软件建立独立立

19、的逻辑分区区，将其与存存放系统文件件的分区分开开；重新配置smttp、popp等邮件服务务的提示信息息，不显示邮邮件服务器软软件和操作系系统的版本和和类型；启用smtp认认证，禁止非非授权帐户通通过邮件服务务器发送邮件件；禁止非本地域名名邮件（发送送者或接收者者非本地的邮邮件）的中转转；禁用expn、vvrfy等命命令；禁止非授权用户户查看邮件队队列；具备反垃圾邮件件功能。对邮件客户端，具具体要求如下下：禁止自动邮件浏浏览；禁止自动打开下下一个邮件功功能；禁止自动下载AActiveeX控件、活活动脚本、jjava小程程序；客户端操作系统统只允许授权权用户对本地地存储的邮件件客户端配置置文件进行

20、访访问。Web服务软件件Web服务软件件应根据系统安安全策略进行行安装与配置置，安全要求如如下：定期更新Webb服务软件的补补丁，修补高高风险漏洞；配置Web服务务的提示信息息，不显示WWeb服务软软件和操作系系统的版本和和类型；禁止非授权用户户对Web服务根根目录的访问问；禁用或删除默认认安装的一些些应用示例；定期更新Webb服务软件，修修补高风险漏漏洞；启用Web服务务软件的日志志功能，日志志内容应包括括：访问者的的IP地址、访访问时间、访访问的资源、协协议、状态等等；Web服务软件件安装目录应应与系统文件件安装在不同同的逻辑分区区下；限制对日志的访访问权限；禁止匿名用户在在服务器上远远程

21、运行可执执行文件。专用应用软件专用应用软件应应具备与业务务信息保护相相应的安全功功能，安全要求如如下：不应经常发生由由于软件错误误而导致的退退出系统或死死机现象；当发生错误时有有出错提示，并并可以通过手手工或自动方方式从错误状状态恢复到正正常状态；当专用应用软件件退出后，在在本地机和服服务器的有关关目录下不留留下任何残余余文件；具有身份鉴别机机制，根据应应用需求采取取适当的鉴别别机制来鉴别别访问用户的的身份，用户户身份唯一，并保证鉴别机制不可旁路；如果采用口令鉴鉴别机制，应应采用技术机制制保证口令的的质量强度；如果采用密码技术术的鉴别机制制，相关密码码技术应符合合国家密码管管理部门的规规定；具

22、备鉴别失败的的处理机制。当当不成功鉴别别尝试次数达达到限定值时，系统统应锁定用户户，并予以记记录和告警；具备对不同角色色用户权限的分配和和管理功能；具备对用户执行行的系统操作作和重要业务务操作的应用用审计功能。审计记录应包括日期和时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等；审计记录应受到保护避免受到未预期的删除、修改或覆盖。应用信息保护应用软件系统在在信息产生、处处理、传输和和存储环节应应具备相应的的安全功能。具体包括：在信息的生生成环节：对信息源进行身身份标识和鉴鉴别，身份标标识唯一；如果信息是通过过外部网络远远程录入，应应视其重要程程度采取相应应的数据传输输加密机

23、制；业务应用软件应应对信息生成成的操作进行行审计记录；具备对输入数据据合法性和合合理性检验的的机制。在信息的处处理环节：对不同角色的用用户执行权限限管理，防止止未授权的用用户进入，防防止数据被未未授权查阅、修修改或删除；对未授权的的操作尝试进进行审计记录录；严格限制用户的的权限，限制制单一用户的的多重并发会会话；制定并执行访问问控制策略，根根据既定规则则明确允许或或拒绝主体对对客体的访问问；具备资源利用策策略，确保当当重要设备发发生局部故障障时，系统主主要安全功能能能正常运行行，或当系统统出现某些功功能失败时能能够维持运行行状态，并给给出提示信息息。在信息的传传输环节：应用信息、审计计数据、用

24、户户密钥、用户户口令等安全全属性数据在在业务应用软件件和外部网络络系统之间传传输时采取保保密措施；采取加密或数字字签名技术，避避免重要的应应用信息在网网络间传输时时遭到篡改、删删除、插入或或重放等攻击击；确保信息的发送送者不能否认认曾经发送过过该信息，即即接收信息的的主体能获得得证明信息原原发的证据，该该证据可由该该主体或第三三方主体验证证；确保信息的接收收者不能否认认对该信息的的接收，即发发送信息的主主体获得证明明该信息被接接收的证据，该该证据可由该该主体或第三三方主体验证证。在信息的存存储环节：存储数据的保密密性保护：对对存储在系统统中的应用信信息，应根据据不同数据类类型的保密性性要求，进

25、行行不同程度的的保护；除具具有权限的合合法用户外，其其余任何用户户不能获得该该数据；存储数据的完整整性保护：对对存储在系统统中的应用信信息进行完整整性保护；检检测到完整性性错误时，应应采取相应的的行动；对于重要的应用用信息可以采采取加密方式式存储；对以以加密方式保保存备份的，应应同时保存数数据恢复所需需密钥的备份份；建立安全备份制制度，以便在在系统遭受破破坏的情况下下及时进行恢复；根根据业务需求求制定备份策策略，并按照照策略定期备备份重要的数数据和软件，定定期对备份数数据进行恢复复测试，以保保证备份数据据的可用性。备备份内容至少少应包括：应应用信息、系系统软件的配配置文件、关关键设备的配配置信息、安安全设备的配配置规则与日日志等；备份数据必须有有严格的存取取、调用和更更新的管理规程。密码支持系统应在密钥的的产生、分配配、访问、销销毁等环节满满足以下要求求：基于国家主管部部门认可的算算法和密钥长长度来产生密密钥；基于国家主管部部门认可的分分配方法来分分配密钥；基于