杭州市权力阳光电子政务系统安全技术规范
杭州市权力阳光电子政务系统安全技术规范(草案)
一、总体要求
权力阳光电子政务系统的建设各方应从物理环境、网络平
台、系统平台、业务应用以及运行管理等方面分析并提高系统的整体安全保障能力,总体要求包括:
a)信息系统的物理环境应提供系统正常运行的场所,并保证硬件、通信链路、机房环境的物理安全。
b)系统应合理划分不同的网络区域,根据应用需求设置合理的访问控制策略,强化网络设备自身安全配置;
c)操作系统、数据库须进行安全配置。业务应用软件应根据安全需求开发安全功能,通过启用这些安全功能,达到保护应用信息的目的。
d)系统应对网络、可移动存储介质、光盘等病毒可能入侵的途径进行控制,并阻断病毒在系统内的传播。
e)系统中采用的安全产品必须选用经国家主管部门许可、并经国家认证机构认可的产品。系统如采用密码技
术及产品对非涉密信息进行加密保护或安全认证,所采用的密码技术或密码产品应符合《商用密码管理条例》的要求。
f)系统建设单位应针对系统应用状况建立安全管理制度,在统一的安全策略下对各类行为进行管理。
二、基本安全目标
2.1.物理环境
2.1.1.机房环境
机房建设应满足国家标准GB/T 2887《电子计算机场地通用
规范》、GB/T 9361《计算机场地安全要求》的要求。
2.1.2.硬件设施的物理安全
构成信息系统的采购硬件、自制硬件及其组成零部件应符合国家规定的质量标准。
2.2. 网络平台
2.2.1.网络边界
系统应根据安全需求在与Internet以及市电子政务外网、资
源专网等其他网络的网间互连处配置网关类设备实施访问
控制,并对通信事件、操作事件进行审计。
2.2.2.网络内部结构
根据应用需求在内部网路结构中划分服务器区等独立网段
或子网,并在相关网络设备中配置安全策略进行隔离,实施对内部信息流的访问控制。
2.2.
3.网络设备
根据系统安全策略和应用需求对防火墙、路由器及交换机等
网络设备实施安全配置。
防火墙、路由器及交换机的自身安全配置至少应包括下列内容:版本更新与漏洞修补、版本信息保护、身份鉴别、链接安全、配置备份、安全审计。
2.3. 系统软件
2?3?1?操作系统
操作系统应根据信息系统安全策略进行选择和安全配置,并定期进行操作系统的漏洞检测、补丁修补。安全配置的内容包括:身份鉴别、用户权限分配、口令质量、鉴别失败处理、默认服务开放、终端限制、安全审计等。
2.3.2. 数据库
数据库应该根据信息系统安全策略进行选择和安全配置,并定期进行数据库的漏洞检测、补丁修补。安全配置的内容包括:身份鉴别、用户权限分配、口令质量、终端限制、安全审计、备份恢复策略等。
2.4. 应用软件
业务应用的安全要求包括业务应用软件安全、应用信息保护
和密码支持。
2.4.1. 通用应用软件
Web服务器、邮件服务器等通用应用软件应该根据信息系统安全策略进行选择和安全配置,并及时升级补丁包。安全配
置的内容包括:身份鉴别、用户权限分配、口令质量等
2.4.2.专用应用软件
专用应用软件应具备身份鉴别、用户管理、访问控制、运行审计等安全功能,并定期进行版本维护及更新,以保护应用信息的安全。
2.4.
3.应用信息保护
应根据安全策略在应用信息的生成、处理、传输和存储等环
节采取相应的保护措施。
2.4.4.密码支持
当系统中采用密码技术实现对信息的保护时,无论是在网络
传输、业务应用软件中,还是存储中,都应在密钥产生、密钥分配、密钥销毁、密钥备份与恢复等环节具备安全机制,保护密码技术的正确使用。
2.5. 运行维护
2.5.1. 恶意代码防范
系统应建立统一的恶意代码防范体系,并在相关服务器和业
务终端上布置恶意代码防范设备或软件,有效防止服务器和
业务终端遭受病毒、蠕虫、木马等恶意代码的感染及其在网络中的传播。
2.5.2.数据备份
系统应建立数据备份制度,实现备份制度中既定的安全备份
功能,以便在系统遭受破坏的情况下及时恢复应用信息。根据应用信
息对业务的影响程度,选择数据冷备份、数据热备份或系统备份中的一种或多种相结合的备份方式。
2.5.
3.入侵检测及防护
系统应在重要信息流经的网络和存有重要信息的主机上部
署入侵监控或入侵防护系统,实时监视网络信息流和主机的可疑连接、系统日志、非法访问等活动,对系统中发现的异常行为及时报警或采取相应的阻断措施。
2.5.4.网络管理及安全审计
系统中部署的网络管理及安全审计系统应实现对重要网络
设备、安全设备、服务器及数据库系统的故障、负载及性能等运行状态信息进行采集监控、监控设备配置信息的变更和
安全事件信息发生,设置合理的监控指标阈值、合理的审计规则和告警响应策略,并根据实际需求提供各类综合分析报
2.5.5. 系统冗余
在实时性及可用性要求较高的系统中,应对关键的网络链
路、网络设备、服务器主机及数据库平台进行冗余备份,并进行合理的配置,当系统的某一节点发生故障时能在有效时间内进行切换分配,保证网络及系统相关服务正常运行。
三、具体安全要求
3.1. 物理环境
机房的环境条件、照明、接地、供电、建筑结构、媒体存放
条件、监视防护设备等应满足GB/T 2887《电子计算机场地
通用规范》4.3~4.9的要求。
机房的选址、防火、供配电、消防设施、防水、防静电、防
雷击应满足GB/T 9361《计算机场地安全要求》4?8的要求。在防火、防雷击、防静电、监控设施等方面时,应经过相关专业机构的检测。此外,还应检查以下内容:
a) 提供短期的备用电力供应(如UPS);
b)机房留有备用空间;
c)设备防盗、防毁措施;
d)通讯线路连接、设备标签、布线合理性;
e)机房出入口配置门禁系统以及监控报警系统;
f)机房出入记录,记录内容包括人员姓名、出入日期和时间,操作内容,携带物品等。
3.2. 网络平台
3.2.1. 网络结构
在系统内部网络和外部网络间配置访问控制设备或逻辑隔
离设备以实现网络访问控制和网络间的信息交换,对访问控制/隔离设备的通信事件、操作事件进行审计。
合理设置访问控制/隔离设备的安全配置,确认安全功能的有
效性。具体安全要求如下:
a)根据系统安全策略配置访问控制规则,实现对网络数据包的过滤及对网络访问行为的管理,并对发生的网络攻击或违规
事件进行检测和告警;
b)访问控制/隔离设备应实施用户权限的管理;
c)开启审计功能,记录通过访问控制/隔离设备的信息内容或活动;
d)定期查看日志,并对存储的日志进行有效的保护
(如防止非法修改、删除,定期导出等) ;
e)对具有文件传输控制能力的访问控制/隔离设备设置传输过滤列表。
应根据业务应用和安全策略对系统内部服务器区域进行逻辑划分或逻辑隔离,实现对信息流的访问控制和安全传输,在终端计算机与服务器之间进行访问控制,建立安全的访问
路径。
对连接到存有重要信息的服务器,应采取网络层地址或数据
链路层地址绑定的措施,防止地址欺骗
当有重要信息通过公共网络进行传输时,应在传输线路中配
置加密设备,以保证在公共网络上传输信息的保密性;禁止内部网络用户未授权与外部网络连接;如提供远程拨号或移
动用户连接,应在系统入口处配置鉴别与认证服务器。
禁止非授权设备接入内部网络,尤其是服务器区域。
3.2.2. 路由器
应根据系统安全策略配置相应的路由器安全配置,具体要求
包括:
a)保持路由器软件版本的更新,修补高风险的漏洞;
b)禁止与应用无关的网络服务,关闭与应用无关的网络接口;
c)对登录的用户进行身份标识和鉴别,身份标识唯一,不反馈鉴别信息;
d)修改路由器默认用户的口令或禁止默认用户访问,用户口令应满足长度和复杂性要求,并对配置口令进行加密保护;
e)当登录连接超时,应自动断开连接,并要求重新鉴别;
f)对能够登录路由器的远程地址进行限制,关闭与应用无关的远程访问接口;
g)对登录提示信息进行设置,不显示路由器型号、软件、所有者等信息;
h)对路由配置进行备份,且对备份文件的读取实施访问控制;
i)开启路由器日志功能,对修改访问控制列表、路由器配置等操作行为进行审计记录。
3.2.3. 交换机
应根据系统安全策略配置相应的交换机安全配置,具体要求包括:
a)保持交换机软件版本的更新,修补高风险的漏洞;
b)禁止与应用无关的网络服务,关闭与应用无关的网络接口;
c)对登录交换机的用户进行身份标识和鉴别,身份标识唯一,不反馈鉴别信息;
d)修改交换机默认用户的口令或禁止默认用户访问,用户口令应满足长度和复杂性要求,并对配置口令进行加密保护;
e)当用户登录连接超时,应自动断开连接,并要求重新鉴别;
f)对能够登录交换机的远程地址进行限制,关闭与应用无关的远程访问接口;
g)对登录提示信息进行设置,不显示交换机的型号、软件、所有者等信息;
h)对交换机配置进行备份,且对备份文件的读取实施访问控制;
i)开启交换机日志功能,对修改访问控制列表、交换机配置等操作行为进行审计记录。
3.3. 系统软件
3.3.1. 操作系统
信息系统应根据应用需求、安全需求选择操作系统,并实施
安全配置。具体要求如下:
a)定期更新操作系统版本,修补漏洞;
b)关闭与应用无关的服务、启动脚本或网络功能;
c)对登录用户进行身份标识和鉴别;用户的身份标
识唯一;
d)身份鉴别如采用用户名/ 口令方式,应设置口令长
度、复杂性和更新周期;
e)修改默认用户的口令或禁止默认用户访问,禁止匿名访问或限制访问的范围;
f)具有登录失败处理功能,当登录失败次数达到限制值时,应结束会话、锁定用户;
g)实行特权用户的权限分离,按照最小授权原则,分别授
予不同用户各自为完成自身承担任务所需的最小权
限,并在他们之间形成相互制约的关系;
h)对系统内的重要文件(如启动脚本文件、口令文件、服务配置文件)、服务、环境变量、进程等实施访问控
制;
i)系统管理员实施远程登录时,应使用强鉴别机制,且操作系统应记录详细的登录信息;
j)通过设定终端接入方式、网络地址范围等条件限制终端的登录;
k)对操作系统的安全事件进行审计,审计事件至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如修改文件、目录的访问控制、更改系统或服务的配置文件)、重要用户(如系统管理员、系统安全员、系统审计员)的各项操作进行审计;
l)审计记录应包括日期和时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等;审计记录应受到保护避免受到未预期的删除、修改或覆盖;
m)用户鉴别信息及与应用信息所在的存储空间,放或
被释再分配给其他用户之前应完全清除;
n)限制单个用户对系统资源的最大使用额度。
3.3.2. 数据库
信息系统应根据应用需求、安全需求选择数据库,并实施安全配置。具体要求如下:
b)禁用或删除数据库不需要的存储过程;
c)对访问数据库的用户进行身份标识和鉴别,身份标识唯一;
d)身份鉴别如采用用户名/ 口令方式,应设置口令长度、复杂性和定期更新周期;
e)当登录连接超时,自动退出登录会话并要求重新鉴别;
f)修改默认用户的口令或禁止默认用户访问,防止数据库对象被Public权限用户访问;
g)实行特权用户的权限分离,按照最小授权原则,分别授予不同用户各自为完成自身承担任务所需的最小权
限,并在他们之间形成相互制约的关系;
h)通过设定终端接入方式、网络地址范围等条件限
制终端的登录;
i)对数据库的安全事件进行审计,审计事件至少
包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、数据字典访问、管理员用户实施的各项操作、对存储重要信息的数据表的各项操作;
j)审计记录应包括:事件发生的时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等;
k)审计记录应受到保护,避免受到未预期的删除、修改或覆盖。如果审计记录允许授权用户删除,应对删除操作予以记录;当审计记录存储空间接近极限时,应采取必要的措施,以保护所存储的记录;
l)限制单个用户对系统资源的最大使用额度。
3.4. 应用软件
3.4.1. 通用应用软件
通用应用软件主要包括邮件服务软件、Web服务软件、中间
件等。本规范提出了邮件服务软件、Web服务软件的安全要
求。
3.4.1.1. 邮件服务软件
邮件服务器软件应根据系统安全策略进行安装与配置,安全要求如下:
a)定期更新邮件服务器软件,修补高风险漏洞;
b)为邮件服务器软件建立独立的逻辑分区,将其与存放系统文件的分区分开;
c)重新配置smtp、pop等邮件服务的提示信息,不显示邮件服务器软件和操作系统的版本和类型;
d)启用smtp认证,禁止非授权帐户通过邮件服务器发送邮件;
e)禁止非本地域名邮件(发送者或接收者非本地的邮件)的中转;
f)禁用expn、vrfy等命令;
具备反垃圾邮件功能
对邮件客户端,具体要求如下:
a)禁止自动邮件浏览;
b)禁止自动打开下一个邮件功能;
c)禁止自动下载ActiveX控件、活动脚本、java小程序;
d)客户端操作系统只允许授权用户对本地存储的邮件客户端配置文件进行访问。
3.4.1.2. Web服务软件
Web服务软件应根据系统安全策略进行安装与配置,安全要求如下:
a)定期更新Web服务软件的补丁,修补高风险漏
洞;
b) 配置Web 服务的提示信息,不显示 Web 服务软 件和操作系统的版本和类型;
c) 禁止非授权用户对 Web 服务根目录的访问;
d) 禁用或删除默认安装的一些应用示例;
e) 定期更新 Web 服务软件,修补高风险漏洞;
f) 启用Web 服务软件的日志功能,日志内容应包 括:访问者的IP 地址、访问时间、访问的资源、协议、状 态等;
g)
Web 服务软件安装目录应与系统文件安装在不 同的逻辑
分区下; h) 限制对日志的访问权限;
i) 禁止匿名用户在服务器上远程运行可执行文 件。 专用应用软件应具备与业务信息保护相应的安全功能,
3?4?2? 专用应用软件
安全