DB11T171-2002党政机关信息系统安全测评规范.pdf 149页

'ICS35.040L70备案号：12873-2003DB北京市地方标准DB11/T171—2002党政机关信息系统安全测评规范EvaluationSpecificationforInformationSystemSecurityoftheGovernment2002-12-30发布2003-02-01实施北京市质量技术监督局发布 DB11/T171—2002目次前言....................................................................................................................................................................IV引言......................................................................................................................................................................V1范围..................................................................................................................................................................12规范性引用文件..............................................................................................................................................13术语和定义以及通用缩略语..........................................................................................................................13.1党政机关信息系统.......................................................................................................................................13.2党政应用系统...............................................................................................................................................13.3公共支持系统...............................................................................................................................................13.4客户机/服务器（C/S）模式........................................................................................................................13.5浏览器/服务器（B/S）模式........................................................................................................................13.6单机模式.......................................................................................................................................................13.7基于万维网服务(WebServices)的模式.......................................................................................................23.8通用缩略语...................................................................................................................................................24党政机关信息系统的组成..............................................................................................................................25安全类别..........................................................................................................................................................45.1划分原则.......................................................................................................................................................45.2各类别安全要求一览表...............................................................................................................................55.3系统安全要求说明.....................................................................................................................................136安全类别I要求............................................................................................................................................206.1安全技术要求.............................................................................................................................................206.2安全管理要求.............................................................................................................................................237安全类别II要求...........................................................................................................................................277.1安全技术要求.............................................................................................................................................277.2安全管理要求.............................................................................................................................................318安全类别III要求..........................................................................................................................................538.1安全技术要求.............................................................................................................................................538.2安全管理要求.............................................................................................................................................579安全类别IV要求..........................................................................................................................................879.1安全技术要求.............................................................................................................................................879.2安全管理要求.............................................................................................................................................9110安全类别V要求.........................................................................................................................................9110.1安全技术要求...........................................................................................................................................9110.2安全管理要求...........................................................................................................................................9511系统安全性测评..........................................................................................................................................95附录A（规范性附录）信息系统安全性测评流程和测评工具.................................................................97A.1测评流程....................................................................................................................................................97A.1.1资料审查.................................................................................................................................................97I DB11/T171—2002A.1.2核查测试.................................................................................................................................................97A.1.3综合评估.................................................................................................................................................97A.2测评工具....................................................................................................................................................99A.2.1调查问卷.................................................................................................................................................99A.2.2系统安全性技术检查工具.....................................................................................................................99A.2.3测评工具使用原则.................................................................................................................................99A.3测评数据处理............................................................................................................................................99A.4测评结论....................................................................................................................................................99附录B（资料性附录）本标准使用指南...................................................................................................101附录C（资料性附录）典型安全措施.......................................................................................................103C.1物理安全措施..........................................................................................................................................103C.1.1场地.......................................................................................................................................................103C.1.2设备.......................................................................................................................................................103C.1.3存储媒体...............................................................................................................................................103C.1.4电磁辐射与泄露检测...........................................................................................................................103C.2网络安全措施..........................................................................................................................................103C.2.1隔离与交换...........................................................................................................................................103C.2.2防火墙...................................................................................................................................................103C.2.3路由器...................................................................................................................................................104C.2.4以太网交换机.......................................................................................................................................105C.2.5入侵检测系统.......................................................................................................................................105C.2.6病毒防范系统.......................................................................................................................................106C.2.7漏洞扫描器...........................................................................................................................................106C.2.8安全审计系统.......................................................................................................................................106C.2.9网络结构安全要求...............................................................................................................................107C.2.10网络系统可用性保证.........................................................................................................................107C.3系统软件安全措施..................................................................................................................................108C.3.1操作系统安全要求...............................................................................................................................108C.3.2数据库系统安全要求............................................................................................................................110C.4应用安全措施...........................................................................................................................................116C.4.1PKI/CA证书服务..................................................................................................................................116C.4.2WWW服务............................................................................................................................................116C.4.3电子邮件服务........................................................................................................................................117II DB11/T171—2002C.4.4FTP（文件传输协议）服务.................................................................................................................117C.4.5群件系统................................................................................................................................................118C.4.6文件共享................................................................................................................................................118C.4.7打印共享................................................................................................................................................118C.5运行安全措施...........................................................................................................................................119C.5.1备份与恢复............................................................................................................................................119C.5.2恶意代码................................................................................................................................................119C.5.3入侵检测................................................................................................................................................119C.5.4脆弱性分析............................................................................................................................................119C.5.5审计........................................................................................................................................................119C.5.6升级.......................................................................................................................................................120C.5.7拆除.......................................................................................................................................................120C.5.8应急响应...............................................................................................................................................120C.5.9维护.......................................................................................................................................................120附录D（资料性附录）典型安全措施配置案例.......................................................................................121D.1安全类别I................................................................................................................................................121D.2安全类别II..............................................................................................................................................125D.3安全类别III.............................................................................................................................................131附录E（资料性附录）缩略语...................................................................................................................139III标准分享网www.bzfxw.com免费下载 DB11/T171—2002前言本标准是北京市党政机关信息系统安全测评的依据。本标准将党政机关信息系统分为五个安全类别，对各安全类别分别提出安全技术要求和安全管理要求，安全类别I至V的系统安全防护能力逐类提高。本标准的附录A是规范性附录。本标准的附录B、附录C、附录D和附录E是资料性附录。本标准由北京市信息化工作办公室、北京市科学技术委员会共同提出。本标准由北京市质量技术监督局归口。本标准主要起草单位：北京信息安全测评中心、中国电子科技集团第三十研究所、中国科学院计算技术研究所、中国电子技术标准化研究所、中国计算机软件与技术服务总公司、北京北方计算中心、中国人民解放军总参谋部第五十一研究所、北京市国家保密局保密技术开发服务中心、中国人民解放军信息安全测评认证中心、上海市信息安全测评认证中心。本标准主要起草人：姚世全、张震国、张建军、李忠诚、成金爱、徐刚、王宏、黄家英、李毓敏、魏忠、张东、孟繁胜、赵家喜、周明德、孟亚平、徐广方、胡毛牛、钟力、王建国、赵瑞颖、徐御、罗锋盈、李福温、单昌明、刘鹏、胡冰。本标准由北京信息安全测评中心负责解释。IV DB11/T171—2002引言为深入贯彻北京市政府第67号令《北京市政务与公共服务信息化工程建设管理办法》、京办发【2001】27号文《北京市党政机关计算机网络与信息安全管理办法》的要求，北京市信息化工作办公室和北京市科学技术委员会共同提出研制《北京市党政机关信息系统安全测评规范》的任务，拟通过对北京市党政机关信息系统安全性进行测评，以增强党政机关信息系统的安全性，确保党政机关信息系统的正常、稳定、安全运行。根据国家电子政务文件的精神和有关国家标准，结合北京市信息化工程建设要求和党政机关信息系统的实际情况，并经初步测试实践，制定本标准。在本标准实施过程中，应遵守国家有关法律、法规的规定。涉及国家秘密的计算机信息系统安全测评应按照国家有关部门的规定执行。V标准分享网www.bzfxw.com免费下载 DB11/T171—20021标准分享网www.bzfxw.com免费下载 DB11/T171—2002党政机关信息系统安全测评规范1范围本规范提出了北京市党政机关信息系统安全测评的依据。本规范适用于党政机关政务外网、政务外网与政务内网以及政务外网与互联网相互之间互连的信息安全检测与评估。本规范对政务内网系统安全的检测与评估未做规定。其他重要信息系统安全检测与评估可参考使用。本规范的实施应是在党政机关信息系统各组成部分（如操作系统、数据库、服务器、路由器、防火墙、应用系统等）确保其通过安全测试和认证的基础上，依据本规范提出的安全要求，对党政机关信息系统进行系统安全检测与评估。2规范性引用文件GB/T18336-2001信息技术安全技术信息技术安全性评估准则GB17859-1999计算机信息系统安全保护等级划分准则ISO/IEC17799-2000信息技术信息安全管理实用规则中办发【2002】17号国家信息化领导小组关于我国电子政务建设指导意见北京市政府第67号令北京市政务与公共服务信息化工程建设管理办法3术语和定义以及通用缩略语下列术语和定义适用于本规范。3.1党政机关信息系统专门用于支持党政机关业务的信息系统。党政机关信息系统由党政应用系统、公共支持系统组成。参见图5。3.2党政应用系统党政机关信息系统的组成部分之一，是根据党政机关业务特点而专门开发和建设的信息应用系统。党政应用系统是以公共支持系统为基础进行开发和建设的。3.3公共支持系统党政机关信息系统的组成部分之一，是根据应用系统的需求，通过采购商品化的信息产品，集成建设而成的系统，为应用系统提供基本运行环境和平台。公共支持系统分为公共应用平台系统（如群件平台、Web平台、E-mail平台、数据库平台等）、操作系统平台、网络平台。其中网络平台可以是局域网、城域网或广域网。3.4客户机/服务器（C/S）模式党政机关信息系统构成的一种模式，其特点是用户在客户端运行一个程序（即客户端程序，Client），与服务器端的程序（即服务器端程序，Server）通过网络进行交互，应用系统中主要的处理功能都由服务器端程序承担。客户端主要用作人机界面，在某些情况下也可以承担一定的信息处理任务（如打印等）。C/S模式的应用系统的主要数据都存放在服务器端。3.5浏览器/服务器（B/S）模式党政机关信息系统构成的一种模式，是C/S模式的一种特例，其特点是客户端程序为浏览器，服务器端为Web服务器。用户使用统一的浏览器界面作为访问系统功能的唯一人机界面。Web服务器作为访问其他信息服务（如数据库等）的“中继”。3.6单机模式1标准分享网www.bzfxw.com免费下载 DB11/T171—2002党政机关信息系统建设的一种模式，其特点是所有相关的信息处理任务都在一台物理主机上完成，包括人机界面。应用系统的所有数据均存放在同一台物理主机上。3.7基于万维网服务(WebServices)的模式党政机关信息系统构成的一种模式，是一种正在发展、很有前途的分布式应用模式。其特点是业务应用程序以Web服务的方式运行在Web服务器上，是部署在Web服务器上的对象/组件。客户应用程序可以通过标准的Web通信协议（如HTTP协议）进行访问。3.8通用缩略语CACertificationAuthority证书认证机构CCCommonCriteria通用准则GISGeographicsInformationSystem地理信息系统HTTPHypertextTransferProtocol超文本传输协议ICMPInternetControlMessagesProtocol网间控制报文协议IPInternetProtocol网际协议ITInformationTechnology信息技术PKIPublicKeyInfrastructure公开密钥基础设施SFPSecurityFunctionPolicy安全功能策略TCPTransmissionControlProtocol传输控制协议TOETargetofEvaluation评估对象TSCTSFScopeofControlTSF控制范围TSFTOESecurityFunctionsTOE安全功能TSPTOESecurityPolicyTOE安全策略UDPUserDatagramProtocol用户数据报协议VPNVirtualPrivateNetwork虚拟专用网VLANVirtualLocalAreaNetwork虚拟局域网XMLExtensibleMarkupLanguage可扩展标记语言SOAPSimpleObjectAccessProtocol简单对象访问协议4党政机关信息系统的组成本标准涉及的党政机关信息系统的构成可分为四种模式，分别如图1、图2、图3、图4所示。网络客户机服务器图1C/S模式C/S模式由客户机和服务器构成，客户机上运行专用的客户端程序，服务器上运行服务器端程序，两者之间通过网络进行交互。客户端程序与服务器端程序之间运行标准的或专用的协议。2 DB11/T171—2002网络客户机应用服务器后台服务器图2B/S模式B/S模式也由客户机和服务器构成，客户机上运行浏览器程序，服务器上运行Web服务器程序以及相关的应用程序，两者之间通过网络进行交互。浏览器与Web服务器之间使用HTTP协议进行通信。Web服务器和其上的应用程序构成应用服务器。在很多系统中，应用服务器是一个中继服务器，用于与其他的专用后台服务器（如数据库、GIS系统）进行交互。应用服务器与后台服务器可以是物理上的同一台主机，也可以是通过网络连接的不同主机。单机图3单机模式单机模式是最简单的一种构成模式，所有的处理都在一台单机上完成，数据也存放在单机上。网络客户机Web服务器后台服务器/Web服务用户/Web服务图4基于万维网服务的模式基于万维网服务的模式是建立可互操作的分布式应用程序的平台。Web服务是应用程序，运行在Web服务器上，可以使用标准的网网络协议，如超文本传输协议(HTTP)和XML，将功能纲领性地体现在网络上，并可以通过Web接入进行访问。客户机上运行客户端程序（Web服务用户程序），通常采用通用发现和发布协议来发现服务器应用程序发布的Web服务，用基于SOAP的XML文档再通过HTTP等常用Web通信方式交换数据。对于一个指定的客户机而言，会在不同的应用系统中充当不同程序（如浏览器、专用客户端程序、单机应用程序、客户应用程序）的运行平台。服务器也会在不同的应用系统中充当不同程序的运行平台。对于一个指定的党政机关信息系统而言，上述四种模式组成的系统部件是测评的基本单元。党政机关信息系统的组成如图5所示。3 DB11/T171—2002党政应用系统应用1应用2应用3应用n公公共应用平台共支持操作系统平台系统网络平台图5党政机关信息系统组成如图5所示，党政机关信息系统由党政应用系统和公共支持系统构成，公共支持系统为应用系统提供基本运行环境和平台。本标准将公共支持系统分为：公共应用平台（如群件平台、Web平台、E-mail平台、数据库平台等）、操作系统平台、网络平台。其中网络平台可以是局域网、城域网或广域网。公共支持系统一般采用通用的信息产品构建，主要通过配置满足具体应用的要求。党政应用系统则是建立在公共支持系统之上的业务系统。一般来说，公共支持系统可以通过采购得到，党政应用系统则需要根据党政机关业务的需求专门开发。对于某一个具体的系统而言，其公共支持系统上运行有一种或多种党政应用系统，而每一种党政应用系统的安全要求可能不同，公共支持系统中每一个公用部件的安全功能应满足所支持应用系统中最高级别应用安全的要求。本标准测评的基本对象是党政应用系统及其相关公共支持系统，测评时应根据系统中各应用业务的实际情况确定该系统的安全类别，从而导出系统应满足的相关安全要求，形成最终的测评依据。5安全类别5.1划分原则本标准将党政机关信息系统划分成五个安全类别，类别是根据系统中信息资源的价值和必须应对的安全攻击/威胁进行划分的。类别I系统中信息资源的价值最低，应对安全攻击/威胁能力最弱，类别V系统中信息资源的价值最高，应对安全攻击/威胁能力最强。各类别与党政机关信息系统所处理的信息的价值、系统所应对的攻击/威胁、系统所具有的保护能力之间的对应关系如表1所示：4 DB11/T171—2002表1安全类别与信息价值、攻击/威胁、保护能力对应关系应对攻击/威胁描述分系统处理的攻击能力典型攻击保护能力类信息价值典型攻击/威胁行为描述计算能协作攻击代码能/威胁者力能力力处理信息为一般信息，用户误操主要指用户的非恶意行为，以及意I信息安全事－－－基本强度作外事件。故造成的负面影响极小处理信息为日常政务信息，信息安有限恶意全事故对党主要指占有少量资源的个体对手对可以抵抗不II攻击、个有限弱有政机关本身信息系统进行的有限攻击。复杂的威胁体犯罪造成轻微影响或小的破坏处理信息为主要指国内犯罪团伙的攻击行为，可以抵抗较日常政务信罪犯、地这些团伙可以实现跨地区犯罪、内为复杂的、息，信息安中等程III区集团犯外勾结犯罪；对犯罪行为可以进行较强较强有一定组织全事故对党度罪长期的策划，并有一定的资金、人攻击活动的政机关产生力和技术资源可以利用。威胁一定的破坏主要指大型国际商业机构、国际恐处理信息包怖团体、国际犯罪团伙的攻击行为，含有重要的商业间可以抵抗特这些集团能够实施跨国界的集团犯政务信息，谍、国际别复杂的攻罪，所能利用的资源丰富。对于一IV信息安全事集团犯大规模强很强击、防范有些大型国际信息技术商业机构，不故会严重影罪、跨国强大支持的仅拥有强大的计算能力，而且可能响党政机关公司对手是党政机关信息系统硬件、软件和的正常运行系统的提供商。处理信息包含有关键政可以抵抗来务信息，信主要指国家行为，攻击者组织精良、自敌对国家V息安全事故敌国政府资源充足，甚至不计经济代价、调大规模很强很强的攻击和威会对党政机动国家资源实施信息系统攻击。胁关造成严重的破坏说明：党政机关信息价值是根据所处理信息对于党政机关业务的重要性确定的，应符合国家有关法律、法规的规定。党政机关信息价值的划分，可依据党政机关的行政级别、业务类型、职责范围等进行。5.2各类别安全要求一览表本标准从安全技术、安全管理两个方面对不同类别提出要求。a)各类别实现的安全功能组件如表2所示:表中所列安全组件选自GB/T18336。5 DB11/T171—2002表2不同安全类别系统的安全技术要求安全技术要求组件安全类别I安全类别II安全类别III安全类别IV安全类别V安全审计自FAU_ARP.1√√√√动响应安全审计数FAU_GEN.1√√√√√据产生FAU_GEN.2√√√√√安全审计分FAU_SAA.3△△析FAU_SAA.4△△√√FAU_SAR.1√√√√√安全审计查FAU_SAR.2√√√√√阅FAU_SAR.3√√√安全审计事FAU_SEL.1√√√√√件选择FAU_STG.1√√安全审计事FAU_STG.2√√√件存储FAU_STG.3√√FAU_STG.4√√√原发抗抵赖FCO_NRO.1○√√接收抗抵赖FCO_NRR.1○√√访问控制策FDP_ACC.1√△△略FDP_ACC.2△△√访问控制功FDP_ACF.1√√√√能FDP_DAU.1√√√√数据鉴别FDP_DAU.2√√√向TSF控制FDP_ETC.1√√√范围之外输FDP_ETC.2√√√√出从TSF控制FDP_ITC.1√√√√范围之外输FDP_ITC.2√√√√入FDP_ITT.1√FDP_ITT.2√√√√TOE内部传输FDP_ITT.3√FDP_ITT.4√√残余信息保FDP_RIP.1√√√护存储数据的FDP_SDI.1√√√完整性FDP_SDI.2√√√√鉴别失败FIA_AFL.1√√√√√用户属性定FIA_ATD.1√√√√√义秘密的规范FIA_SOS.1√√√6 DB11/T171—2002FIA_SOS.2√√FIA_UAU.1△△√√√FIA_UAU.3△△△FIA_UAU.4△△△用户鉴别FIA_UAU.5△△√√√FIA_UAU.6△△√√√FIA_UAU.7△△√√√FIA_UID.1√√√√√用户标识FIA_UID.2√√√用户_主体绑FIA_USB.1√√√√√定失败保护FPT_FLS.1√√√√输出TSF数FPT_ITA.1√√√√√据的可用性输出TSF数FPT_ITC.1√√√√√据的保密性输出TSF数FPT_ITI.1√√√√√据的完整性TOE内TSFFPT_ITT.1√数据传输FPT_ITT.2√√√√FPT_RCV.1√√√可信恢复FPT_RCV.2√√状态同步协FPT_SSP.1√议FPT_SSP.2√√时间戳FPT_STM.1√√√√FRU_FLT.1√√√√√容错FRU_FLT.2√√√服务优先级FRU_PRS.1√√√√FRU_RSA.1√√√资源分配FRU_RSA.2√√√可选属性范FTA_LSA.1√√√√围限定多重并发会FTA_MCS.1√√√√√话限定FTA_SSL.1√√√√√会话锁定FTA_SSL.2√√√√FTA_SSL.3√√TOE访问旗标FTA_TAB.1√√√√√TOE访问历史FTA_TAH.1√√√√√TOE会话建立FTA_TSE.1√√√√√TSF间可信信FTP_ITC.1√√√√道7 DB11/T171—2002说明：1)符号：√：表示本组件应实现○：表示本组件可选实现△：表示本子类中若干组件应至少选择其中之一实现空格:不作要求2)对于密码支持类（FCS类），各类别系统的安全技术要求中未选用本子类中的组件，故未在此表中体现。但在信息系统提供和实现密码支持功能时，此子类要求按照国家主管部门的要求进行。3)对于安全管理类（FMT类），各类别系统的安全技术要求中未选用本子类其中的组件，故未在此表中体现。在信息系统中对于安全管理的技术要求在各安全类别要求的安全技术要求部分加以说明。b)各类别实现的管理要素如表3所示:表中安全管理要求项目选自ISO/IEC17799《信息技术信息安全管理实用规则》。8 DB11/T171—2002表3不同安全类别系统的安全管理要求安全管理序系统安全类别安全管理要素要求项目号ⅠⅡIIIⅣⅤ安全信息安1信息安全策略文件基本要√√√√策略全策略2评审和评价求√√√3信息安全管理专题会议√√√√4信息安全协调√√√√信息安5信息安全职责的分配√√√√基本要全管理6信息处理设施的授权过程√√√求基础7专家信息安全建议√√√√组织8组织之间的合作√√√√的安9信息安全的独立评审√√√全第三方10标识第三方访问的风险√√√√访问的11第三方合同中的安全要求√√√√安全12外包合同中的安全要求基本要外包√√√√求资产的13资产清单资产基本要可核查√√√√分类求性和控信息分14分类指南基本要√√√√制类15信息标记和处理求√√√√工作设16工作职责中的安全√√√√定和人17人员筛选和策略基本要√√√√力资源18保密协议求√√√√的安全19聘用期限和条件√√√√用户培20信息安全教育和培训基本要人员√√√√训求安全21报告安全事故√√√√√对安全22报告安全弱点√√√√√事故和23报告软件故障√√√√√故障的24从事故中学习√√√√√响应25纪律处理√√√√√9 DB11/T171—200226物理安全周边√√√√27物理入口控制√√√√安全区28办公室、房间和设施的安全保基本要√√√√域护求29在安全区域工作√√√√物理30隔离的交接区域√√√和环31设备安置和保护√√√√境的32电源√√√√安全设备安33布线安全基本要√√√√全34设备维护求√√√√35离开建筑物的设备的安全√√√√36设备的安全处置和安全重用√√√一般控37清理桌面和清空屏幕策略√√√制38财产的移动√√√√通信39文件化的操作规程√√√和操40操作变更控制√√√操作规作管41事故管理规程基本要√√√程和职理42责任分离求√√√√责43开发和运行设施分离√√√√44外部设施管理√√√√系统规45能力规划√√√√划和验46系统验收√√√收防止恶47控制恶意软件基本要√√√√意软件求48信息备份√√√√内务处49操作员日志√√√理50故障记录√√√√网络管51网络控制√√√√理媒体处52可移动的计算机媒体的管理√√√√置和安53媒体的处置√√√√全54信息处置规程√√√10 DB11/T171—200255系统文件的安全√√√√56信息和软件交换协定√√√√57运输中的媒体安全√√√√信息和58电子邮件的安全√√√√软件的59电子办公系统的安全√√√√交换60公开可用系统√√√√61信息交换的其他形式√√√访问访问控62策略和业务要求√√√√控制制的业务要求63访问控制规则√√√√64用户注册√√√√用户访65特权管理√√√问管理66用户口令管理√√√√67用户访问权利的评审√√√√用户职68口令使用√√√√责69无人值守的用户设备√√√√70使用网络服务的政策√√√√71强制路径√√√√72外部连接的用户鉴别√√√√73节点鉴别√√√√网络访基本要74远程诊断端口保护√√√√问控制求75网络分离√√√76网络连接控制√√√√77网络路由选择控制√√√√78网络服务的安全√√√√79自动化终端标识√√√√80终端登录规程√√√√81用户标识和鉴别√√√√操作系82口令管理系统基本要√√√√统访问83系统实用程序的使用求√√√控制84保护用户的强制报警√√√√85终端超时√√√√86连接时间的限定√√√11 DB11/T171—2002应用访87信息访问限制基本要√√√√问控制88敏感系统隔离求√√√√对系统89事件记录√√√访问和90对系统使用的监视√√√√使用的91时钟同步√√√监视移动计92移动计算√√√√算和远93远程工作程工作√√√√要求系统的94安全要求分析和规范√√√安全95输入数据确认√√√√应用系96内部处理的控制基本要√√√√统的安97报文鉴别求√√√√全系统98输出数据确认√√√开发系统文99运行软件的控制√√√√基本要和维件的安100系统测试数据的保护√√√√求护全101源程序库的访问控制√√√√102变更控制规程√√√√开发和103运行系统变更的技术评审√√√√支持过104软件包变更的限制√√√程的安105隐蔽信道和特洛伊代码√√√√全106外包的软件开发√√√√107业务连续性管理过程√√√√业务业务连108业务连续性和影响分析√√√连续续性管109制定和实施连续性计划基本要√√√性管理的各110业务连续性计划框架求√√√理方面111检验、维护和重新评估业务连√√√续性计划符合符合法112可用法律的标识基本要√√√√性律要求113知识产权（IPR）求√√√√114保护组织的记录√√√12 DB11/T171—2002115防止滥用信息处理设备√√√√116密码控制的规章√√√117证据的收集√√√安全策118符合安全策略√√√√略和技119技术符合性检验基本要术符合求√√√性的评审系统审120系统审核控制基本要√√√√核考虑121系统审核工具的保护求√√√说明：基本要求：安全类别I的系统对所选管理大类只作一般性要求，满足系统基本安全需求，具体措施上有所考虑即可，措施内容、范围、改进等方面不作明确要求。√:要求实现本项管理要求空格:不作要求5.3系统安全要求说明每一类别的安全要求由安全技术要求和安全管理要求两个方面构成。5.3.1安全技术要求5.3.1.1FAU类：安全审计本类功能组件对不同类别系统，针对以下内容提出要求：·审计点：党政机关信息系统中，审计点的设置一般在以下位置：网络中继节点（如防火墙、路由器、交换机等）、操作系统、应用平台系统、数据库系统和应用系统；·审计内容与范围：党政机关信息系统应明确说明每一审计点的审计内容与范围；·审计数据的来源：在系统的设计和实施方案中应明确说明审计数据的来源；·审计数据的预处理和后处理：在党政机关信息系统的设计和实施方案中应明确说明审计数据的预处理和后处理。5.3.1.2FCO类：通信通信在实体之间进行，党政机关信息系统中的通信实体包括：用户、进程、主机。按照通信实现的层次特点,本类功能组件所涉及的通信可以分为：·网络通信：在网络层进行的通信行为，通信实体以网络地址进行标识；·应用平台通信：利用标准网络应用协议实现的通信，通信实体使用标准协议提供的标识方式进行标识；·党政应用通信：根据具体党政应用而建立的交互通信会话，通信实体的标识方法由应用系统确定。在党政机关信息系统中，不同层次的通信之间有承载和复用关系，如果不存在上层通信对低层通信的复用，可以使用低层通信的标识机制标识上层通信实体。本类功能组件要求系统提供对通信的发起方实体和接受方实体通信行为不可抵赖性的保证。5.3.1.3FCS类：密码支持在党政机关信息系统中使用密码技术，应严格按照国家密码主管部门的要求进行使用和管理。5.3.1.4FDP类：用户数据保护13 DB11/T171—2002党政机关信息系统的用户数据存储在服务器、单机以及备份媒体上，本类功能组件根据安全策略保证这些数据的保密性、完整性和可用性。在党政机关信息系统的评估中，最重要的客体信息是数据，主体则主要是用户以及代表用户的进程。用户在党政机关信息系统中，典型的数据访问、操作活动有：a）党政应用系统层面上的活动由应用系统定义；b）公共应用平台系统层面上的活动由应用平台定义；c）操作系统层面上的活动，包括：主体对进程的操作、主体对文件的操作、主体对目录的操作、主体对设备的操作等；d）网络系统层面上的活动，包括：接收数据、发送数据、转发数据、读网络节点的属性、修改网络节点的属性、读网络节点上的数据、向网络节点写数据。5.3.1.4.1访问控制策略（FDP_ACC）在党政机关信息系统的日常运行中，根据业务的不同，都有非常明确的基本访问控制策略。对于指定类别的信息，访问控制策略包括以下内容：·访问、使用信息的合法用户；·访问、使用信息的时间要求；·访问、使用信息的地点要求；·访问、使用信息的工具和方式要求。这些策略可能来自党政机关的各项规章制度、业务的运行经验、国家的规定等，测评前应尽可能收集这方面的资料，作为测评的基本依据。在党政机关信息系统中，本子类功能组件应对党政机关信息系统访问控制策略定义的方式做出规定。上述信息访问策略可以在网络平台、应用平台、党政应用等各个层面实现。5.3.1.4.2访问控制功能（FDP_ACF）在党政机关信息系统中，访问控制功能是实现访问控制策略的基础。本子类功能组件对在网络平台、操作系统、公共应用平台系统、党政应用系统等各个层面实现访问控制功能提出要求。不同层面实现的访问控制粒度是不同的。5.3.1.4.3数据鉴别（FDP_DAU）在党政机关信息系统中，本子类功能组件对确保数据真实性提出要求。数据鉴别一般在操作系统、公共应用平台和党政应用系统三个层面实现。5.3.1.4.4向TSF控制范围之外输出（FDP_ETC）在党政机关信息系统中，“TSF控制范围”包括党政机关信息系统相关的计算机、存储媒体、输出设备、输入设备、通信线路、网络设备等。党政机关信息系统中所有信息生成、处理、传输、存储、输出相关的设备、媒体等均在党政机关信息系统安全功能控制范围内，即TSF控制范围内。本子类功能组件对信息从TSF控制范围内向外的输出提出控制要求。典型的输出方式有：与其它系统的信息交换、屏幕显示、打印、为交换而进行的备份、复制等。5.3.1.4.5从TSF控制范围之外输入（FDP_ITC）在党政机关信息系统中，本子类功能组件对所有从TSF控制范围之外的信息输入活动提出控制要求。典型的输入活动有：与其他系统的信息交换、键盘输入、非本系统移动媒体的输入等。5.3.1.4.6TOE内部传输（FDP_ITT）本子类功能组件对党政机关信息系统中主机间不经过外部信道的数据传输安全提出要求。5.3.1.4.7残余信息保护（FDP_RIP）党政机关信息系统中，本子类功能组件对存储媒体上的残余信息保护提出要求，典型的存储媒体包括：非易失性媒体、运行系统的内存和临时存储媒体等。5.3.1.4.8存储数据的完整性（FDP_SDI）14 DB11/T171—2002党政机关信息系统中，本组件对存储媒体上数据完整性保护提出要求，典型的存储媒体包括：非易失性媒体、运行系统的内存和临时存储媒体等。5.3.1.5FIA类：标识和鉴别在党政机关信息系统中，“用户标识”在不同的应用系统、不同的层次中可能采用不同的形式，而相应的用户管理方式、标识方法和鉴别机制也可能不同。测评时，应对系统中存在的所有用户标识和鉴别机制进行检查和测评。5.3.1.5.1鉴别失败（FIA_AFL）党政机关信息系统中，本子类功能组件规定了系统对鉴别失败所应采取的安全动作。5.3.1.5.2用户属性定义（FIA_ATD）党政机关信息系统中，本子类功能组件对用户的安全属性维护提出要求。5.3.1.5.3秘密的规范（FIA_SOS）在党政机关信息系统中，典型的用于标识和鉴别的“秘密”有：·口令；·随机数。本子类功能组件对上述“秘密”的质量、生成提出要求。5.3.1.5.4用户鉴别（FIA_UAU）在党政机关信息系统中，本子类功能组件对系统中采用的鉴别机制类型及其属性提出要求。5.3.1.5.5用户标识（FIA_UID）在党政机关信息系统中，本子类功能组件对用户在标识自己之前所允许进行的操作提出要求。5.3.1.5.6用户_主体绑定（FIA_USB）在党政机关信息系统中，本子类功能组件要求维持用户的安全属性与代表用户活动的主体间的关联。5.3.1.6FMT类：安全管理党政机关信息系统中，安全管理的内容主要包括：·安全设施的配置管理；·安全事件的管理；·安全设施的故障管理等。管理对象主要有两种：·安全设备、软件，例如：防火墙、入侵监测系统、防病毒软件等；·信息处理设备和软件的安全相关功能的管理，例如：操作系统安全参数设置、党政应用系统安全参数设置等。一般来说，一些安全设备具有自己的集中控制中心，同时网络中也存在有网络控制中心，安全管理功能可能依托于这些中心设备，也可能是单独的设备。5.3.1.7FPT类：TSF保护在党政机关信息系统中，TSF包括系统中所有设备、软件和子系统提供的信息安全保护功能、机制。在党政机关信息系统中，所有提供安全功能的产品、设备必须通过法定测评机构的安全性检验和评估，符合国家相关安全标准的规定。党政机关信息系统在网络、操作系统、公共应用平台系统以及党政应用系统等方面提供TSF数据保护。本类功能组件为提供安全功能的设备、软件和子系统提供安全的运行环境。党政机关信息系统中各安全功能相关的设备、软件和子系统之间也需要进行安全相关的数据交换，本类功能组件对这些数据的安全保护提出要求。党政机关信息系统典型的TSF数据主要有：·审计数据；·鉴别数据；15 DB11/T171—2002·目录数据；·安全管理数据；·密钥库（包括证书库）；·访问控制策略数据；·安全管理配置表；·漏洞库；·审计记录规则表；·安全恢复规则表；·密钥分配规则表；·信息流（工作流、公文流）控制策略数据等。5.3.1.7.1失败保护（FPT_FLS）在党政机关信息系统中，安全设备、子系统和软件有可能发生故障，导致相应安全功能失效。本子类功能组件要求系统应该在整体上采取措施，以保证一旦某些安全功能失效后，不会对系统的整体安全性造成严重影响。5.3.1.7.2输出TSF数据的可用性（FPT_ITA）本子类功能组件对安全相关的设备、软件和子系统之间交换安全数据的可用性提出要求。5.3.1.7.3输出TSF数据的保密性（FPT_ITC）本子类功能组件对安全相关的设备、软件和子系统之间交换安全数据的保密性提出要求。5.3.1.7.4输出TSF数据的完整性（FPT_ITI）本子类功能组件对安全相关的设备、软件和子系统之间交换安全数据的完整性提出要求。5.3.1.7.5TOE内TSF数据传输（FPT_ITT）本子类功能组件对党政机关信息系统内安全功能相关的数据传输安全提出要求。5.3.1.7.6可信恢复（FPT_RCV）本子类功能组件对党政机关信息系统发生故障后的可信恢复机制提出要求。通过可信恢复机制，可保证系统在不减弱系统整体安全性的情况下，恢复正常运行状态。5.3.1.7.7状态同步协议（FPT_SSP）本子类功能组件对党政机关信息系统中安全状态的同步提出要求。5.3.1.7.8时间戳（FPT_STM）本子类功能组件对党政机关信息系统中时间戳的统一提出要求。5.3.1.8FRU类：资源利用党政机关信息系统中的典型资源包括：·网络带宽；·CPU处理能力；·存储空间等。本类功能组件对于资源的安全利用提出要求。5.3.1.9FTA类：TOE访问本类功能组件对网络系统、操作系统、公共应用平台系统、党政应用系统建立用户会话的过程提出安全要求。5.3.1.10FTP类：可信路径/信道本类功能组件只对党政机关信息系统中的可信信道提出安全要求。可信信道是指不会对信息的保密性、完整性构成威胁的信息传输信道。5.3.2安全管理要求5.3.2.1安全策略5.3.2.1.1信息安全策略16 DB11/T171—2002本类要素对信息安全策略提出要求。党政机关信息系统的信息安全策略是与党政机关信息安全政策的方向相一致的。5.3.2.2组织的安全5.3.2.2.1信息安全管理基础本类要素在组织范围内提出信息安全管理基础的要求。党政信息系统的信息安全管理基础包括管理组织框架、管理专题会议、专家信息安全建议原始资料库等。5.3.2.2.2第三方访问的安全本类要素对被第三方所访问的组织的信息处理设施和信息资产的安全维护提出要求，主要包括风险评估和与第三方访问的合同。本类的要求可作为制定合同的基础以及考虑外包信息处理时的基础。5.3.2.2.3外包本类要素对把信息处理的职责外包给其他组织时的信息安全维护提出要求，主要是对外包合同提出安全管理的要求。5.3.2.3资产分类和控制5.3.2.3.1资产的可核查性本类要素对资产的可核查性提出要求。资产的可核查性有助于确保组织资产的保护。5.3.2.3.2信息分类党政机关信息系统中的信息具有可变的敏感性和重要性。本类要素对党政机关信息系统中信息的分类提出要求，以确保信息资产受到相应级别的保护。信息分类体制可用来指出信息保护程度，是否要求特别的传递处理措施，以及指出关于信息的保护优先级。5.3.2.4人员安全5.3.2.4.1工作设定和人力资源的安全本类要素对党政机关信息系统的操作人员的聘用制度、岗位设定和安全职责等人力资源作出要求，以减少人为差错、盗窃、欺诈或滥用设施的风险。5.3.2.4.2用户培训本类要素对用户接受安全规程和正确使用信息处理设施方面的培训提出要求，以确保用户知道信息安全威胁和利害关系，使可能的安全风险减到最小。5.3.2.4.3对安全事故和故障的响应本类要素对党政机关信息系统安全事故、安全漏洞和软件故障等的报告、响应和处理规程提出要求，以使安全事故和故障的损害减到最小，并监控事故的发生以及从事故中学习。党政机关信息系统中可能对本系统的资产安全有影响的事故类型有安全违规、威胁、弱点或故障等。5.3.2.5物理和环境的安全5.3.2.5.1安全区域本类要素对党政机关各信息系统的安全区域管理提出要求，以防止对业务办公场所和信息的未授权访问、损坏和干扰。安全区域是党政机关信息系统的关键和敏感的业务信息处理设施放置场所，有适当的且明确的安全周边、安全屏障和入口控制的保护。安全周边是指构建安全屏障的周边环境设施，例如，墙、有门卡控制的入口大门或有人管理的接待台。所提供的保护是与所标识的风险相匹配的。每个安全屏障的设置地点和强度应取决于风险评估的结果。对安全区域提出的管理要求不仅包括物理硬件设施方面的，还要对安全区域内人员的工作和控制作出要求。5.3.2.5.2设备安全本类要素对党政机关各信息系统的物理设备的安全提出要求，以防止信息资产的丢失、损坏或泄露和业务系统的中断。设备安全要考虑对设备的保护，包括离场使用的设备。尤其要说明的是对电源和布线基础设施等支持性设施，可能需要专门的控制保护。这里也要考虑设备的安置和处置。5.3.2.5.3一般控制本类要素对信息和信息处理设施的防泄露和防盗等一般控制提出要求。17 DB11/T171—20025.3.2.6通信和操作管理5.3.2.6.1操作规程和职责本类要素对党政机关信息系统的操作规程和安全职责提出要求，以确保信息处理设施的正确和安全操作。党政机关信息系统的信息处理设施管理和操作的规程，包括操作说明和事故响应规程。5.3.2.6.2系统规划和验收本类要素对党政机关信息系统的规划和验收提出要求，以确保系统有足够的能力和资源可用性，使系统出现过载等运行故障的风险减到最小。5.3.2.6.3防止恶意软件本类要素对党政机关信息系统在操作运行时防止恶意软件的引入提出要求。党政机关信息系统主要应对的恶意软件包括计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹等。5.3.2.6.4内务处理本类要素对党政机关信息系统的信息备份、容错策略、日志维护等例行规程提出要求。5.3.2.6.5网络管理本类要素对党政机关信息系统的网络管理安全提出要求，在党政机关信息系统中主要是对跨组织边界的网络的安全管理。5.3.2.6.6媒体处置和安全本类要素对党政机关信息系统中的媒体安全提出要求，以防止信息资产的损坏和应用业务的中断。媒体包括文件、计算机媒体（磁带、磁盘、盒式磁带等）、输入/输出数据和系统文件等。可要求秘密处置的媒体有：——纸文件；——话音或其他记录；——复写纸；——输出报告；——只使用了一次的打印机色带；——磁带；——可移动的磁盘或盒式磁带；——光存储媒体（所有形式并且包括所有制造商软件分发媒体）；——计划列表；——测试数据；——系统文件。对可移动的存储媒体要特别加以控制。媒体的安全处置的内容和根源是其中的信息，因此要对媒体中的信息处置提出管理的要求。5.3.2.6.7信息和软件的交换本类要素对党政机关信息系统中的信息交换安全提出要求，以防止组织之间信息交换时出现信息的丢失、篡改或滥用。党政机关信息系统中要考虑的信息和软件交换是机关办公业务和电子数据交换、电子邮件等。5.3.2.7访问控制5.3.2.7.1访问控制的业务要求本类要素从业务需求层次对党政机关信息系统的信息访问控制措施提出要求，访问控制策略包括对信息传播和授权的策略。5.3.2.7.2用户访问管理本类要素对党政机关信息系统的用户访问权利，尤其是对特权访问权利的分配和管理提出要求，以防止对信息系统的未授权访问。18 DB11/T171—20025.3.2.7.3用户职责本类要素对党政机关信息系统的用户安全职责提出要求，特别是关于用户口令的使用和用户设备的安全。5.3.2.7.4网络访问控制本类要素对党政机关信息系统的内部和外部网络服务的访问控制措施提出要求。党政机关信息系统的网络访问控制点包括：——机关的网络和其他组织机关拥有的网络或公共网络之间的接口；——用户和设备之间的界面；——用户对信息服务的访问点。5.3.2.7.5操作系统访问控制本类要素对党政机关信息系统中使用的操作系统的访问控制设施提出要求，以防止未授权计算机访问。用来限制访问计算机资源的操作系统级安全设施包括：——对系统每个授权用户的身份、终端或位置进行标识和验证的子系统；——记录用户对系统访问的审计子系统；——用户口令鉴别管理系统；——用户的连接次数计数控制器；——基于实时交互的随机询问—响应的访问控制系统。5.3.2.7.6应用访问控制本类要素对党政机关信息系统中的党政应用系统的访问控制提出要求。党政应用系统建立在操作系统环境之上，在对应用访问控制提出要求时，要考虑对能够超越系统控制或应用控制的任何实用程序和操作系统软件的控制要求。5.3.2.7.7系统访问和使用的监视本类要素对党政机关信息系统的访问和使用的监视措施提出要求。监测的内容包括检测偏离访问策略的活动和事件，记录监控非授权的活动和事件，以便在万一有安全事故时提供证据。通过系统监视能够检验所采用的控制的有效性和验证与访问策略模型的符合性。5.3.2.7.8移动计算和远程工作本类要素对党政机关信息系统的移动计算和远程工作时的信息安全提出要求。移动计算和远程工作仅在作了充分的风险评估并加以严格的控制之后才能引入，这方面的要求是需要特别说明的。5.3.2.8系统开发和维护5.3.2.8.1系统的安全要求本类要素对党政机关信息系统的基础设施、公共支持应用设施的设计和实施提出要求。5.3.2.8.2应用系统的安全本类要素对党政机关信息系统的党政业务应用系统的安全提出要求。主要是对应用系统（包括自行开发的应用）中所采取的安全措施进行规定。5.3.2.8.3密码控制本类要素不对党政机关信息系统使用的密码设施的控制提出特殊要求。对党政机关信息系统使用的密码设施的控制和管理服从国家特定部门的密码管理要求。5.3.2.8.4系统文件的安全本类要素对党政机关信息系统中系统文件的安全保护提出要求。5.3.2.8.5开发和支持过程的安全本类要素对党政机关信息系统的开发、支持过程、系统变更中的安全维护提出要求。5.3.2.9业务连续性管理5.3.2.9.1业务连续性管理的各方面19 DB11/T171—2002本类要素对党政机关信息系统的业务连续性管理提出要求。通过开发和实现应急计划、预防和恢复控制相结合，可以减少业务活动的中断，保护关键业务过程免受主要故障或天灾的影响，实现业务连续性管理过程。业务连续性管理包括标识和降低风险、限制有害事故影响以及确保及时恢复基本功能的控制。5.3.2.10符合性本类要素对党政机关信息系统的设计、运行、使用和管理，与党和国家政府的法律、法令、法规以及合同的符合性提出要求。6安全类别I要求依据表1表述的信息价值、攻击/威胁及所对应的保护能力，本类别系统作出如下安全要求。6.1安全技术要求6.1.1FAU类：安全审计本类别的系统应在操作系统平台或公共应用平台系统提供审计，审计范围至少为操作系统的每一个用户或应用平台的每一个用户。6.1.1.1安全审计自动响应（FAU_ARP）本类别的系统对此不作要求。6.1.1.2安全审计数据产生（FAU_GEN）本类别的系统应提供操作系统、应用平台的审计功能，实现FAU_GEN.1和FAU_GEN.2。应能为下述可审计事件产生审计记录：a）审计功能的启动和关闭；b）对以下事件进行审计——操作系统：系统登录，重要的系统管理行为，入侵、攻击行为；——公共应用平台系统：服务访问（包括成功、失败），系统维护行为；——以及其他安全功能要求的审计内容。c）每个审计记录中至少记录如下信息：事件的日期和时间，事件类型，主体身份，事件的结果（成功或失败），事件相关信息；d）每个可审计事件与引起该事件的用户身份相关联。6.1.1.3安全审计分析（FAU_SAA）本类别的系统不要求实时的安全审计分析，也不要求自动的审计分析功能，但应建立审计数据分析的制度。6.1.1.4安全审计查阅（FAU_SAR）本类别的系统应提供用户查阅审计数据的审计工具（或工具集），能够实现对系统中所有审计数据的查阅。实现组件FAU_SAR.1、FAU_SAR.2。本类别的系统为已授权用户提供获得和解释审计信息的工具和能力。用户是人时必须以人类可懂的方式表示信息；用户是外部IT实体时必须以电子方式无歧义地表示信息。6.1.1.5安全审计事件选择（FAU_SEL）本类别的系统对FAU_GEN.1中规定以外的审计内容实现FAU_SEL.1。6.1.1.6安全审计事件存储（FAU_STG）本类别的系统应实现FAU_STG.1和FAU_STG.3。6.1.2FCO类：通信本类别的系统对此不作要求。6.1.3FCS类：密码支持本类别系统不要求强制的密码支持功能，但在提供和实现密码支持功能时，应严格按照国家主管部门的要求进行。20 DB11/T171—20026.1.4FDP类：用户数据保护6.1.4.1访问控制策略（FDP_ACC）本类别的系统对此不作要求。6.1.4.2访问控制功能（FDP_ACF）本类别的系统对此不作要求。6.1.4.3数据鉴别（FDP_DAU）本类别的系统对此不作要求。6.1.4.4向TSF控制范围之外输出（FDP_ETC）本类别的系统对此不作要求。6.1.4.5从TSF控制范围之外输入（FDP_ITC）本类别的系统对此不作要求。6.1.4.6TOE内部传输（FDP_ITT）本类别的系统要求在党政机关信息系统中，如果存在两个或以上具有不同安全要求的党政应用系统，任意两个远程主机之间需要远程传输数据时，应实现FDP_ITT.1或/和FDP_ITT.3，对所传送的数据进行控制和完整性监视。可通过党政应用系统本身实现或通过公共应用平台系统、操作系统、网络系统等实现。6.1.4.7残余信息保护（FDP_RIP）本类别的系统对此不作要求。6.1.4.8存储数据的完整性（FDP_SDI）本类别的系统对此不作要求。6.1.5FIA类：标识和鉴别本类别的系统应能够验证用户身份，确保用户与正确的安全属性相关联，不被伪造。6.1.5.1鉴别失败（FIA_AFL）本类别的系统实现FIA_AFL.1，规定用户不成功的鉴别尝试次数，及达到该次数时所采取的行动。6.1.5.2用户属性定义（FIA_ATD）本类别的系统要求对每个用户的安全属性分别进行管理，实现FIA_ATD.1。6.1.5.3秘密的规范（FIA_SOS）本类别的系统要求操作系统、公共应用平台系统和党政应用系统实现FIA_SOS.1。具备对秘密进行检查的机制，以保证所提供的秘密满足规定的质量量度。如果秘密不是由用户生成，系统还必须提供满足规定量度的秘密生成机制。6.1.5.4用户鉴别（FIA_UAU）本类别的系统应实现FIA_UAU.1、FIA_UAU.5、FIA_UAU.6、FIA_UAU.7中任一组件。FIA_UAU.1鉴别定时，允许用户在其身份被鉴别前执行某些行动。FIA_UAU.5多重鉴别机制，要求提供和使用不同的鉴别机制，为特定的事件鉴别用户的身份。FIA_UAU.6重鉴别，要求有能力说明哪些事件用户需要被重新鉴别。FIA_UAU.7受保护的鉴别反馈，要求在鉴别期间，只提供给用户有限的反馈信息。6.1.5.5用户标识（FIA_UID）本类别的系统要求用户在实施任何可能对于系统造成改变的操作之前先识别自己,本类别系统必须实现FIA_UID.1。6.1.5.6用户_主体绑定（FIA_USB）本类别的系统应实现FIA_USB.1，要求维持用户的安全属性与代表用户活动的主体间的关联。6.1.6FMT类：安全管理本类别的系统对此不作要求。6.1.7FPT类：TSF保护21 DB11/T171—2002本类别的系统应在网络系统、操作系统、公共应用平台系统以及党政应用系统提供TSF数据保护。6.1.7.1失败保护（FPT_FLS）本类别的系统对此不作要求。6.1.7.2输出TSF数据的可用性（FPT_ITA）本类别的系统应实现FPT_ITA.1，对安全相关的设备、软件和子系统之间交换安全数据的可用性提供保护。6.1.7.3输出TSF数据的保密性（FPT_ITC）本类别的系统应实现FPT_ITC.1，对安全相关的设备、软件和子系统之间交换安全数据的保密性提供保护。6.1.7.4输出TSF数据的完整性（FPT_ITI）本类别的系统应实现FPT_ITI.1，对安全相关的设备、软件和子系统之间交换安全数据的完整性提供保护。6.1.7.5TOE内TSF数据传输（FPT_ITT）本类别的系统应实现FPT_ITT.1，在传输过程中对安全功能相关数据进行保护。6.1.7.6可信恢复（FPT_RCV）本类别的系统应实现FPT_RCV.1,提供人工干预以返回安全状态的机制。6.1.7.7状态同步协议（FPT_SSP）本类别的系统对此不作要求。6.1.7.8时间戳（FPT_STM）本类别的系统对此不作要求。6.1.8FRU类：资源利用6.1.8.1容错（FRU_FLT）本类别的系统应确保即使出现故障事件也能基本维持系统正常运行。本类别的系统应在网络系统实现FRU_FLT.1。6.1.8.2服务优先级（FRU_PRS）本类别的系统对此不作要求。6.1.8.3资源分配（FRU_RSA）本类别的系统对此不作要求。6.1.9FTA类：TOE访问6.1.9.1.1可选属性范围限定（FTA_LSA）本类别的系统对此不作要求。6.1.9.1.2多重并发会话限定(FTA_MCS)本类别的系统实现FTA_MCS.1，对操作系统、党政应用系统同一用户并发会话的数量进行限制。6.1.9.1.3会话锁定（FTA_SSL）本类别的系统实现FTA_SSL.1，要求在操作系统、党政应用系统中提供系统自动的交互式会话锁定和解锁能力。6.1.9.1.4TOE访问旗标(FTA_TAB)本类别的系统应实现FTA_TAB.1，要求在用户与操作系统或党政应用系统建立会话前，系统应显示有关使用系统的劝告性警示信息。6.1.9.1.5TOE访问历史(FTA_TAH)本类别的系统应实现FTA_TAH.1，要求在用户与操作系统或党政应用系统成功建立会话的基础上，显示该用户上一次成功建立会话的时间、方法和位置，以及上一次建立会话失败时的时间、方法和位置。6.1.9.1.6TOE会话建立(FTA_TSE)22 DB11/T171—2002本类别的系统应实现FTA_TSE.1，要求在网络系统、操作系统、公共应用平台系统、党政应用系统中提供根据用户安全属性拒绝与其建立会话的机制。6.1.10FTP类：可信路径/信道本类别的系统对此不作要求。6.2安全管理要求本类别的安全管理要求提供一种基础类别的安全管理保证，适用于针对一般安全事故和误操作引起的安全问题的管理，以及配合本类别技术要求的管理配置，适合于对正确操作需要一定信任的场合。本类别安全管理要求的程度为具有或制定安全相应计划，明确计算机信息系统的安全目标和安全范围，并经组织内或所有权单位主管领导批准，不对执行严格的计划和跟踪作要求。6.2.1安全策略党政机关信息系统管理部门应制定党政机关和信息系统的信息安全策略，形成文件。文件应明确安全策略的方向，并通过在整个组织中颁发和维护信息安全策略来表明支持信息安全政策。信息安全策略文件应包括下列内容：a）信息安全定义、其总目标和范围以及作为信息共享使能机制的安全的重要性；b）管理目标的说明，以支持信息安全的目的和原则；c）对党政机关信息系统特别重要的安全策略、原则、标准和符合性要求的简要说明；d）安全信息管理（包括报告安全事故）的总职责和特定职责的定义；e）引用可以支持策略的文件，例如，特定信息系统的更详细的安全策略和规程，或用户应遵守的安全规则。6.2.2组织的安全6.2.2.1信息安全管理基础党政机关信息系统应建立安全管理的组织框架，以启动和控制系统信息安全的实施。应建立有管理负责人参加的相应的信息安全管理专题会议制度，以批准整个党政机关和信息系统的信息安全策略、指派安全角色以及协调信息安全的实施。会议应进行下列议题：a)审批信息安全策略和职责；b)审批信息安全的新举措等。6.2.2.2外包外包安排应在双方间的合同中指出信息系统、网络或桌面环境的风险、安全控制要求和规程。外包合同应说明：a)符合法律要求；b)安全职责的分配安排和保证；c)业务资产的完整性和保密性的维护；d)敏感的业务信息访问的物理和逻辑控制措施；e)有自然灾害时，如何维护服务的可用性；f)外包设备的物理安全；g)审核的权责。该合同应允许合同双方在安全管理计划中扩充安全要求和规程。6.2.3资产分类和控制6.2.3.1资产的可核查性所有主要的信息资产应是可核查的，并且有指定的责任人。应汇编资产清单，在资产清单中标识出资产、资产价值和相称的保护级别。应明确清单中每一资产所有权、安全级别以及所处位置，并形成文件。6.2.3.2信息分类信息资产应分类，以分别指出保护的需求、优先级和程度。23 DB11/T171—20026.2.4人员安全6.2.4.1工作设定和人力资源的安全在人员招收阶段应指出招收岗位的安全职责，并在合同中列入。党政机关信息系统内的所有工作人员包括第三方相关人员均应签定保密协议。当人员聘用或合同的期限有变化时，特别是合同到期终止时，要审查保密协议。6.2.4.2用户培训系统用户应定期接受安全规程和正确使用信息系统内信息处理设施方面的培训。所有人员和相关的第三方用户应定期接受安全策略和规程方面的培训。6.2.4.3对安全事故和故障的响应所有人员和合同方应知道不同类型安全事故（安全违规、威胁、弱点或故障）的报告程序，应要求他们尽可能快地把任何观察到的或推测到的事故报告给指明的联系点。在出现事故之后，应尽快地收集证据。对安全违规的处理，应制定正式的纪律处理办法。6.2.4.3.1报告安全事故应建立正式的报告程序和事故响应规程，并在收到事故报告时提出处理方案。相应的反馈过程应予以实现，以确保在事故已经处理和结束之后将结果通知报告事故的人员。6.2.4.3.2报告安全弱点应要求信息服务的用户通知并报告任何观察到或预测到的系统或服务的安全弱点。应通知用户在任何情况下，不要企图证明预测到的弱点。6.2.4.3.3报告软件故障应建立报告软件故障的规程。该规程应包括下列内容：a)记录故障症状和屏幕上出现的故障信息。b)故障计算机宜加以隔离，并停止使用；应立即报警；在待检设备重新加电之前，应与网络断开；故障计算机的磁盘不要转移到其他计算机。c)立即向信息系统的安全管理人员报告。用户不要试图移去可疑软件，除非被授权。应由受过专门培训的、有经验的人员进行恢复。6.2.4.3.4从事故中学习应建立适当的机制，对安全事故和故障的类型、影响、代价进行量化和监控，并将这些信息用于对将来安全事故的预防和限制。6.2.4.3.5纪律处理对于违反了安全策略和规程的人员，应进行纪律处理。6.2.5物理和环境的安全6.2.5.1安全区域应在党政机关信息系统和环境内划分安全区域。关键和敏感的业务信息处理设施应放置在安全区域内，并受到一种已定义的安全周边和适合的安全屏障和入口控制的保护。这些设施应在物理上避免受到未授权访问、损坏和干扰。应使用安全周边、安全屏障来保护包含信息处理设施的区域。每个安全屏障的设置地点和强度应取决于风险评估的结果。应对在安全区域中工作的人员或第三方以及在这里进行第三方活动加以控制。安全区域的控制应包括：a）只在有必要时，人员才应知道安全区域的存在或在其中的活动；b）为防止恶意活动，应避免在安全区域内进行不受监督的工作；c）未用的安全区域应加物理锁，并定期检查；24 DB11/T171—2002d）仅在需要时，才可允许第三方服务支持人员对安全区域或敏感性信息处理设施进行有限制的访问，该访问应经过授权并受到监督；e）在安全周边内具有不同安全要求的区域之间，宜设置控制物理访问的附加屏障和边界；f）未经授权，不允许携带摄影、声频、视频或其他记录设备进入安全区域。6.2.5.2设备安全应有设备的物理保护措施（包括离场使用），应使设备在物理上免受安全威胁和环境危险。对支持性设施，诸如电源和布线基础设施，宜采用专门的控制保护。设备的安置或保护应包括：a）设备的安置应尽量减少不必要的访问工作区域；b）应适当安放敏感数据的信息处理设施和存储设施；c）专门保护的部件应予以隔离；d）应采取控制使以下潜在威胁的风险减到最小：偷窃、火灾、爆炸、烟雾、水（或供水故障）、尘埃、振动、化学影响、电源干扰、电磁辐射。应避免电源故障和其他电力异常；应选用符合设备制造标准的电源。应有保证连续供电的措施，例如：a）多路馈电，以避免电源中单点故障；b）不间断电源（UPS）；c）备份发电机。在党政机关建筑物外使用信息系统的任何设备应通过党政机关管理部门授权。应对记录纸和可移去的存储媒体采取清理桌面策略，对信息处理设施采取清空屏幕策略。具体的清理控制应包括：a）记录纸和计算机媒体在不使用时，特别是在工作时间之外，应存储在上锁的柜子或其他形式的安全器具中；b）包含敏感或关键业务信息的文件在不用时，特别是离开办公室时，应妥善地存放于耐火保险柜或箱中；c）个人计算机和计算机终端和打印机在无人值守和不使用时，应采用物理锁、口令等进行保护；d）邮件箱、无人值守的传真机和智能电报机要受到保护；e）复印机在正常工作时间之外，应上锁或者采取其他方法防止未授权使用。f）打印机打印后，敏感的或保密的信息应立即从打印机中清除6.2.6通信和操作管理6.2.6.1操作规程和职责应确立所有信息处理设施的管理和操作的职责，并制定相应规程。安全职责的管理和执行应分开。由安全策略所标识出的操作规程应形成文件并加以维护。操作规程文件的变更应由管理部门授权。该规程应规定每个作业执行的详细说明。6.2.6.2防止恶意软件系统运行操作过程中应有专门针对恶意软件的预防、检测和处理的管理措施。应实施恶意软件的检测和预防控制，加强用户的防恶意软件的意识。防止恶意软件应基于安全意识、合适的系统访问和变更管理控制。控制应包括：a）要求符合软件许可证和禁止使用未授权软件的正式策略；b）防止风险增大的策略，该风险与来自或经由外部网络、在任何其他媒体上获得的文件和软件相关，该策略应明确采取什么保护措施；c）安装并定期更新防病毒检测和修复软件；d）对支持关键业务处理的系统中的软件和数据内容应进行定期审查；25 DB11/T171—2002e）对于不明来历或未授权的电子媒体上的任何文件、从不可信的网络上收到的文件，在使用前应进行病毒检查；f）任何电子邮件附件在下载或使用前应针对恶意软件进行检查。该检查可以在不同的位置进行，例如，在电子邮件服务器、台式计算机处或者当进入网络时；g）关于系统和系统使用的培训、报告病毒攻击、病毒预防、从病毒攻击中恢复等管理规程和职责；h）相应的从病毒攻击中恢复的业务连续性计划，包括所有必要数据和软件备份以及恢复安排；i）管理应确保使用合格的来源（例如，可靠的Internet网站或防病毒软件供应商），以区分欺骗和实际病毒。应让人员了解欺骗问题，以及在收到它们时要做什么。6.2.7访问控制6.2.7.1访问控制的业务要求对信息的访问和业务过程应在业务和安全要求的基础上加以控制。应制定相应的信息传播和授权的策略。6.2.7.2网络访问控制应建立党政机关信息系统的网络访问控制策略，并形成说明文件。对内部和外部网络服务的访问均应加以控制。控制方法应确保：a）在党政机关网络和其他机关网络或公共网络之间有严格的接口控制；b）对用户和设备有适当的鉴别机制。6.2.7.3应用访问控制应建立党政机关关键业务应用系统的访问控制策略，并形成说明文件。应配备一定的安全设施，以实施关键业务应用系统的访问控制。对软件和信息的逻辑访问应只限于已授权的用户。应用系统应：a）按照定义的业务访问控制策略，控制用户访问信息和应用系统功能；b）对能够超越系统控制或应用控制的任何实用程序和操作系统软件，应提供免遭未授权访问的保护。6.2.7.4操作系统访问控制操作系统级的安全设施应该用来限制访问计算机资源。这些设施应能做下列事情：a）标识和验证每个授权用户的身份，如果需要，标识和验证每个授权用户的终端或位置；b）记录成功和失败的系统访问；c）提供合适的鉴别手段，如果使用口令管理系统，则它应确保优质口令；d）若有必要，可限制用户的连接次数。6.2.8系统开发和维护6.2.8.1应用系统的安全合适的控制和审计跟踪或活动日志应设计到应用系统内，包括用户写的应用。应包括输入数据、内部处理和输入数据的确认。对于处理敏感的、有价值的或关键的信息资产的业务应用系统可要求附加控制。6.2.8.2系统文件的安全应将维护系统完整性列入系统应用软件的用户功能组或开发组的安全职责。应建立保护系统的基本运行软件、系统测试数据和源程序库的访问和执行的授权管理规程。6.2.9业务连续性管理党政机关信息系统应分析自然灾害、安全故障和服务丢失的影响。应开发和实现应急计划，并予以维护和实施，形成所有其他管理过程的组成部分。6.2.10符合性信息系统的设计、运行、使用和管理均应受法律法规的限制，以及合同的安全要求的限制。在党政机关信息系统建设过程中，法律控制应包括下列内容：26 DB11/T171—2002a)系统建设要求：系统建设应获得相关政府或行业主管部门的批准并且不会对公共安全造成威胁或被威胁利用。1)项目获得国家安全、公共安全、政府安全部门的授权或批准；2)项目方案获得国家安全、公共安全、政府安全部门组织的的评审。b)系统集成资质要求：1)国家主管部门认可集成资质等级；2)涉密集成的建设具备国家主管部门的涉密集成建设资质。c)人员资质要求：国家主管部门认可服务人员资质。d)第三方服务要求：国家主管部门认可服务单位资质等级。e)安全产品要求：1)信息安全产品应具有在国内生产、经营、销售的许可证；2)操作系统符合操作系统等级保护要求。f)工程监理要求：1)应具备信息安全系统建设工程实施监理管理制度；2)系统聘请专业监理公司，且监理公司具有国家主管部门认可监理资质证书。g)密码管理要求：1)符合国家密码主管部门的要求；2)使用的密码产品为国家主管部门批准的密码产品；3)密码产品来源于为国家主管部门批准的定点销售单位产品；4)使用的密码产品研制来源于为国家主管部门批准的密码研制单位。7安全类别II要求依据表1表述的信息价值、攻击/威胁及所对应的保护能力，本类别系统作出如下安全要求。7.1安全技术要求7.1.1FAU类：安全审计本类别的系统必须同时提供网络系统、操作系统、公共应用平台系统三个层面的审计，审计范围至少为网络中的每一个主机、操作系统的每一个用户、公共应用平台系统的每一个用户。7.1.1.1安全审计自动响应（FAU_ARP）本类别的系统要求必须在网络系统、操作系统中实现组件FAU_ARP.1。审计系统检测到可能的安全侵害时党政机关信息系统将采取行动，具体的响应方式、方法应在党政机关信息系统的建设方案中明确描述。7.1.1.2安全审计数据产生（FAU_GEN）本类别的系统必须提供网络系统、操作系统、公共应用平台系统的三重审计，实现FAU_GEN.1和FAU_GEN.2。应能为下述可审计事件产生审计记录：a）审计功能的启动和关闭；b）对以下事件进行审计：——网络中继节点：通信数据量，通信时间，经过网络的入侵、攻击行为，系统出入口的网络数据；——操作系统：系统登录，重要的系统管理行为，入侵、攻击行为，重要的用户操作；——公共应用平台系统：服务访问（包括成功、失败），系统维护行为；——以及其他安全功能要求的审计内容。27 DB11/T171—2002c）每个审计记录中至少记录如下信息：事件的日期和时间，事件类型，主体身份，事件的结果（成功或失败），事件相关信息；d）每个可审计事件与引起该事件的用户身份相关联。7.1.1.3安全审计分析（FAU_SAA）本类别的系统要求在网络中提供简单攻击探测（或复杂攻击探测），实现组件FAU_SAA.3（或FAU_SAA.4）。系统采用模式匹配的方式，检测对系统有重大威胁的安全事件。安全事件的检测可以实时进行，也可以非实时进行，在审计数据的后处理时进行检测。本类别的系统应该能够检测所有针对服务器系统的安全攻击和威胁，针对部分关键客户机和单机的攻击和威胁。7.1.1.4安全审计查阅（FAU_SAR）本类别的系统应提供用户查阅审计数据的审计工具（或工具集），能够实现对系统中所有审计数据的查阅。实现组件FAU_SAR.1、FAU_SAR.2。本类别的系统为已授权用户提供获得和解释审计信息的工具和能力。用户是人时必须以人类可懂的方式表示信息；用户是外部IT实体时必须以电子方式无歧义地表示信息。7.1.1.5安全审计事件选择（FAU_SEL）本类别的系统对FAU_GEN.1中规定以外的审计内容实现FAU_SEL.1。7.1.1.6安全审计事件存储（FAU_STG）本类别的系统应实现FAU_STG.1和FAU_STG.3。本子类功能组件要求审计记录不会被未授权修改，以及在意外情况出现时以及当审计记录大小超出门限时，系统应有保护审计数据的措施。7.1.2FCO类：通信本类别的系统对此不作要求。7.1.3FCS类：密码支持本类别的系统的密码支持功能取决于其他安全部件对本类功能的使用。如提供和实现密码支持功能时，应按照国家主管部门的要求进行。7.1.4FDP类：用户数据保护本类别的系统应该在网络系统、操作系统、公共应用平台系统以及党政应用系统等层面提供用户数据保护。用户数据保护应该涉及党政机关信息系统中所有的用户、主机（包括服务器、客户机、单机）、数据和资源，以及用户的所有操作。7.1.4.1访问控制策略（FDP_ACC）本类别的系统要求操作系统、党政应用系统实现FDP_ACC.1，具有对允许用户进行的敏感操作进行检查的功能。7.1.4.2访问控制功能（FDP_ACF）本类别的系统要求在操作系统、党政应用系统实现组件FDP_ACF.1，所实现的访问控制功能应满足相应FDP_ACC组件的要求。7.1.4.3数据鉴别（FDP_DAU）本类别的系统应在党政应用系统中实现FDP_DAU.1。党政应用系统应保证客体（如文档）信息内容的真实性。7.1.4.4向TSF控制范围之外输出（FDP_ETC）本类别的系统应对向外输出的数据进行控制。党政应用系统实现组件FDP_ETC.2，对输出进行控制，输出的数据带有安全属性。7.1.4.5从TSF控制范围之外输入（FDP_ITC）28 DB11/T171—2002本类别的系统应对输入的数据进行控制。党政应用系统实现组件FDP_ITC.1和FDP_ITC.2，应要求输入的用户数据，如果不具有安全属性，要求输入时为其设置正确的安全属性；如果具有安全属性，要求安全属性正确反映用户数据的安全保护要求。7.1.4.6TOE内部传输（FDP_ITT）本类别的系统要求在党政机关信息系统中，如果存在两个或以上具有不同安全要求的党政应用系统，任意两个远程主机之间需要远程传输数据时，应实现FDP_ITT.2，将不同应用系统相关的数据传输分隔开（物理分隔或逻辑分隔）。可通过党政应用系统本身实现或通过公共应用平台系统、操作系统、网络系统等实现。7.1.4.7残余信息保护（FDP_RIP）本类别的系统对该子类不作要求。7.1.4.8存储数据的完整性（FDP_SDI）本类别的系统应在党政应用系统中保证存储数据的完整性，实现FDP_SDI.2。党政应用系统应在检测到存储数据的错误时，采取相应的行动。7.1.5FIA类：标识和鉴别本类别的系统应能够验证用户身份，确保用户与正确的安全属性相关联，不被伪造。7.1.5.1鉴别失败（FIA_AFL）本类别的系统实现FIA_AFL.1，规定用户不成功的鉴别尝试次数，及达到该次数时所采取的行动。7.1.5.2用户属性定义（FIA_ATD）本类别的系统要求对每个用户的安全属性分别进行管理，实现FIA_ATD.1。7.1.5.3秘密的规范（FIA_SOS）本类别的系统要求操作系统、公共应用平台系统、党政应用系统应实现FIA_SOS.1。具备对秘密进行检查的机制，以保证所提供的秘密满足规定的质量量度。如果秘密不是由用户生成，系统还必须提供满足规定量度的秘密生成机制。7.1.5.4用户鉴别（FIA_UAU）本类别的系统应实现FIA_UAU.1、FIA_UAU.5、FIA_UAU.6、FIA_UAU.7。FIA_UAU.1鉴别定时，允许用户在其身份被鉴别前执行某些行动。FIA_UAU.5多重鉴别机制，要求提供和使用不同的鉴别机制，为特定的事件鉴别用户的身份。FIA_UAU.6重鉴别，要求有能力说明哪些事件用户需要被重新鉴别。FIA_UAU.7受保护的鉴别反馈，要求在鉴别期间，只提供给用户有限的反馈信息。7.1.5.5用户标识（FIA_UID）本类别的系统要求用户在实施任何可能对于系统造成改变的操作之前先识别自己,本类别系统必须实现FIA_UID.1。7.1.5.6用户_主体绑定（FIA_USB）本类别的系统应实现FIA_USB.1，要求维持用户的安全属性与代表用户活动的主体间的关联。7.1.6FMT类：安全管理本类别的系统应针对同类安全设备和设施实现集中的安全管理，能够实现远程集中的安全参数设置。7.1.7FPT类：TSF保护本类别的系统应在网络系统、操作系统、公共应用平台系统以及党政应用系统提供TSF数据保护。7.1.7.1失败保护（FPT_FLS）本类别的系统应实现FPT_FLS.1，进行重要安全功能的冗余设计。7.1.7.2输出TSF数据的可用性（FPT_ITA）本类别的系统应实现FPT_ITA.1，对安全相关的设备、软件和子系统之间交换安全数据的可用性提供保护。29 DB11/T171—20027.1.7.3输出TSF数据的保密性（FPT_ITC）本类别的系统应实现FPT_ITC.1，对安全相关的设备、软件和子系统之间交换安全数据的保密性提供保护。7.1.7.4输出TSF数据的完整性（FPT_ITI）本类别的系统应实现FPT_ITI.1，对安全相关的设备、软件和子系统之间交换安全数据的完整性提供保护。7.1.7.5TOE内TSF数据传输（FPT_ITT）本类别的系统应实现FPT_ITT.2，在安全功能相关数据的传输过程中应确保与用户数据的隔离。7.1.7.6可信恢复（FPT_RCV）本类别的系统应实现FPT_RCV.1,提供人工干预以返回安全状态的机制。7.1.7.7状态同步协议（FPT_SSP）本类别的系统对此不作要求。7.1.7.8时间戳（FPT_STM）本类别的系统应实现FPT_STM.1，应建立全系统统一的时钟同步机制，为自身的应用提供可靠的时间戳。7.1.8FRU类：资源利用7.1.8.1容错（FRU_FLT）本类别的系统应确保即使出现故障事件也能基本维持系统正常运行。本类别的系统应在网络系统、操作系统实现FRU_FLT.1。7.1.8.2服务优先级（FRU_PRS）本类别的系统根据需要实现FRU_PRS.1，系统具有对用户所使用资源按照优先级进行控制的能力，以防止低优先级的用户干扰高优先级用户的使用。7.1.8.3资源分配（FRU_RSA）本类别的系统根据需要实现FRU_RSA.1，设置系统中用户资源使用的上限，防止未授权地独占资源而出现拒绝服务。7.1.9FTA类：TOE访问7.1.9.1可选属性范围限定（FTA_LSA）本类别的系统根据需要实现FTA_LSA.1，要求限制用户选择党政应用系统会话安全属性范围。7.1.9.2多重并发会话限定(FTA_MCS)本类别的系统实现FTA_MCS.1，对同一用户并发会话的数量进行限制。7.1.9.3会话锁定（FTA_SSL）本类别的系统实现FTA_SSL.1和FTA_SSL.2，要求在操作系统、党政应用系统中提供系统自动的和用户主动的交互式会话锁定和解锁能力。7.1.9.4TOE访问旗标本类别的系统应实现FTA_TAB.1，要求在用户与操作系统或党政应用系统建立会话前，系统应显示有关使用系统的劝告性警示信息。7.1.9.5TOE访问历史(FTA_TAH)本类别的系统应实现FTA_TAH.1，要求在用户与操作系统或党政应用系统成功建立会话的基础上，显示该用户上一次成功建立会话的时间、方法和位置，以及上一次建立会话失败时的时间、方法和位置。7.1.9.6TOE会话建立(FTA_TSE)本类别的系统应实现FTA_TSE.1，要求在网络系统、操作系统、公共应用平台系统、党政应用系统中提供根据用户安全属性拒绝与其建立会话的机制。7.1.10FTP类：可信路径/信道7.1.10.1TSF间可信信道（FTP_ITC）30 DB11/T171—2002本类别的系统应实现FTP_ITC.1，要求在系统中执行关键的安全操作时，应使用可信信道传递相关数据。7.2安全管理要求本类别的安全管理要求，是针对常见攻击手段引起的安全问题的管理配置，适用于正确操作基本得到保证的系统。机构应基于实际执行的活动进行管理。7.2.1安全策略7.2.1.1信息安全策略7.2.1.1.1信息安全策略文件策略文件应由党政机关管理部门批准，将其传达给有关部门和人员。策略文件应说明管理承诺，并提出党政机关管理信息安全的途径。应包括下列内容：a）信息安全定义、其总目标和范围以及作为信息共享使能机制的安全的重要性；b）管理企图的说明，以支持信息安全的目标和原则；c）对党政机关信息系统特别重要的安全策略、原则、标准和符合性要求的简要说明，例如：1)符合法律和合同要求；2)安全教育要求；3)防止和检测病毒和其他恶意软件；4)业务连续性管理；5)安全策略违反的后果。d）安全信息管理（包括报告安全事故）的总职责和特定职责的定义；e）引用可以支持策略的文件，例如，特定信息系统的更详细的安全策略和规程，或用户应遵守的安全规则。应以可访问的和可理解的形式将策略传递给整个系统的用户。7.2.2组织的安全7.2.2.1信息安全管理基础应建立党政机关信息系统的安全管理组织框架，以启动和控制党政机关范围内的信息安全的实施。应建立有管理负责人参加的信息安全管理专题会议制度，以批准整个组织内的信息安全策略、指派安全角色以及协调安全实施。根据需要，可在系统内建立专家信息安全建议原始资料库。应发展与外部各领域的安全专家的联系，以便跟上行业趋势，关注标准和评估方法，并且当发生安全事故时，提供支持。7.2.2.1.1信息安全管理专题会议信息安全管理专题会议应形成决议，保证投入足够的资源以确保党政机关信息系统的安全。专题会议应有人专门负责。会议应进行下列议题：a）审批信息安全策略和职责；b）审查和监控信息安全事故；c）审批信息安全的新举措等。7.2.2.1.2信息安全协调党政机关内，应由最高领导或其代表通过协调会的形式协调和解决以下问题：a）商定整个机构中信息安全的特定角色和职责；b）商定信息安全的特定方法和过程，例如，风险评估，安全分类体制；c）商定和支持组织范围的安全宣贯计划等重要的基础性工作；d）确保信息安全是系统规划的重要部分；e）对新系统或服务的特定信息安全控制进行充分度的评估，并协调实施这些控制；f）审查信息安全事故等。7.2.2.1.3信息安全职责的分配31 DB11/T171—2002党政机关应明确定义各种信息资产的保护职责和特定安全处理的职责。信息安全策略应对党政机关内的安全角色和职责分配提供全面指导。若需要，可以用特定场地、系统或服务的更详细的指导予以补充。各个物理及信息资产和安全过程（诸如业务连续性规划）的局部职责应予以清晰地定义。应任命一名信息安全管理者全面负责安全的规划和实施。党政机关内应对每一信息资产指定一名责任人，对日常安全负责。安全管理人员可分为：系统管理员、安全管理员、审计管理员等。7.2.2.1.4专家信息安全建议党政机关应聘请信息安全专家顾问，提供关于信息安全各方面的建议，包括评定安全威胁和控制措施的建议，以帮助进行信息系统的安全性和有效性评估。对可能发生的安全事故应及早咨询信息安全专家顾问。7.2.2.1.5组织之间的合作应保持与法律执行机构、制定法规的机构、信息服务提供者和电信运营商的联系，以确保出现安全事故时可以快速采取行动并获得建议。组织间安全信息的交换和共享应受到控制，以确保本系统的保密信息不被未授权获取。7.2.2.2第三方访问的安全因业务需要，第三方访问党政机关信息处理设施时，应进行风险评估，确定访问条件和许可限度，并在合同中明确地体现。7.2.2.2.1标识第三方访问的风险7.2.2.2.1.1访问类型应明确第三方访问的类型，第三方访问类型包括：a）物理访问，例如，访问办公室，计算机机房，档案室；b）逻辑访问，例如，访问党政机关的数据库，信息系统。7.2.2.2.1.2访问的原因应明确第三方访问的原因，诸如：a）硬件和软件支持人员需要访问系统级别或低级别应用功能度；b）贸易伙伴或联合投资者可以交换信息，访问信息系统或共享数据库。若有业务需要连接到第三方，应进行风险评估，以确定相应的控制要求。应考虑所要求的访问类型、信息的价值、第三方所采用的控制措施，以及访问给党政机关信息系统带来的信息安全问题。7.2.2.2.1.3现场合同方现场第三方包括：a）硬件和软件的维护和支持人员；b）清洁、给养、安全保卫和其他外包支持服务人员；c）短期任用的实习生；d）顾问等。对第三方访问的所有安全要求应在第三方合同中明确。若对信息的保密性有特定的要求，可签定保密协议。在合同签字之前不允许第三方访问党政机关信息系统的信息和信息处理设施。7.2.2.2.2第三方合同中的安全要求第三方对信息处理设施的访问活动，应以包含或引用所有重要要求的正式合同为基础。该合同应确保不存在误解。合同中宜包括下列条款：a）信息安全策略；b）资产保护：32 DB11/T171—20021)保护信息资产的规程；2)资产受损（例如丢失数据或修改数据）的评估规程；3)合同结束时信息资产的归还或销毁；4)完整性和可用性；5)对信息复制的限制等。c）每项服务的描述；d）服务的目标级别和服务不可接受的级别；e）人员转职的规定（必要时）；f）合同双方的相关义务；g）关于法律事件（例如，数据保护法律）的责任；h）知识产权（IPRs）和版权转让以及任何协作性工作的保护；i）第三方访问控制：1)允许的访问方法，唯一标识符（诸如用户ID和口令）的控制和使用；2)用户访问和特权的授权过程；3)维护授权用户列表，并明确他们相关的权利和特权。j）监控和撤销用户活动的权利；k）审核合同职责的权利或拥有由第三方进行这些审核的权利；l）关于硬件和软件安装和维护的职责；m）变更管理过程；n）物理保护机制；o）对用户和管理者在方法、规程和安全方面的培训；p)防止恶意软件的措施；q)安全事故、安全违规的报告、通知和调查规程；r)分包的第三方相关内容等。7.2.2.3外包应在双方的外包合同中指出信息系统、网络或桌面环境的风险、安全控制和规程。7.2.2.3.1外包合同中的安全要求信息系统、网络或桌面环境的全部或某些部分的管理和控制进行外包时，应在双方之间所商定的合同中明确安全要求。该合同应包括：a）如何满足法律要求，例如，数据保护法律；b）什么样的安排可确保外包所涉及的各方（包括转包商）知道其安全职责；c）业务资产的完整性和保密性如何维护和测试；d）将使用什么样的物理和逻辑控制措施来限制已授权用户访问敏感的业务信息；e）有自然灾害时，如何维护服务的可用性；f）对外包设备要提供什么级别的物理安全；g）审核的权利。该合同应允许合同双方在安全管理计划中扩充安全要求和规程。7.2.3资产分类和控制7.2.3.1资产的可核查性所有主要的信息资产应是可核查的，有指定的责任人，并赋予维护相应控制和授权的职责。7.2.3.1.1资产清单汇编资产清单的过程是风险管理的重要部分。应在资产清单中标识出资产、资产价值和相称的保护级别。应明确清单中每一资产所有权、安全级别以及所处位置，并形成文件。33 DB11/T171—2002党政机关信息系统的资产应包括：a)信息资产：数据库和数据文件，系统文档，用户手册，培训材料，操作或支持规程，连续性规划，后备运行安排，归档的信息；b)软件资产：应用软件，系统软件，开发工具和实用程序；c)物理资产：计算机设备（处理器、监视器、膝上计算机、调制解调器），通信设备（路由器、自动用户交换机（PABX）、传真机、应答机），存储媒体（例如，磁带、磁盘、光盘、闪存等），其他技术设备（电源、空调装置），家具，用具；d)服务：计算和通信服务，一般公用服务，例如，供暖，照明，能源，空调。7.2.3.2信息分类党政机关信息系统的信息应分类，以分类来确定需求、优先级和保护程度。7.2.3.2.1分类指南信息的分类及相关保护措施应考虑到共享或限制信息的业务需求，以及与这种需求相关的业务影响，例如，对信息的未授权访问或损坏。分类数据处理系统的信息和输出应根据它的价值、重要程度和敏感度予以标记。应考虑信息的敏感度随时间的变化，并根据预先确定的策略加以变更。7.2.3.2.2信息标记和处理根据所采纳的分类方案对信息标记和处理制定合适的管理规程。这些规程应涵盖物理和电子格式的信息资产，并涵盖下列信息处理活动类型：——拷贝；——存储；——邮政、传真和电子邮件的传输；——话音传输，包括移动电话、话音邮件、应答机；——销毁。含有分类为敏感信息的系统输出应携带合适的分类标记。系统输出包括打印报告、屏幕显示、记录媒体（磁带、磁盘、光盘、盒式磁带）、电子报文和文件传送。物理标记一般是最合适的标记形式。某些信息资产（诸如电子形式的文件等）在物理上不能做标记，应使用电子标记手段。7.2.4人员安全7.2.4.1工作设定和人力资源的安全在人员招收阶段应明确其安全职责，并包含在合同条款中；在聘用期间应进行考查。对从事敏感性工作的人员，应进行充分的筛选。所有人员和信息系统的第三方用户应签署保密协议。7.2.4.1.1工作职责中的安全应以文件的形式在信息安全策略中列出安全角色和职责。该职责应包括实施或维护安全策略的总职责，以及保护特定资产或执行特定安全活动的特定职责。7.2.4.1.2人员筛选和策略固定人员的鉴定核查应在职务申请当时进行。应核查下列各项：a）个人品行的评价材料；b）履历的核查（针对完整性和准确性）；c）学术、专业资格的核实等。对重要职位的人员，应定期进行相关的核查。对于合同商和临时职员应进行类似的筛选过程。7.2.4.1.3保密协议每个工作人员应签定保密协议。34 DB11/T171—2002临时职员和第三方用户在访问信息处理设施之前均应签定保密协议。当人员聘用或合同的期限有变化时，特别是合同到期终止时，要审查保密协议。7.2.4.1.4聘用期限和条件人员的聘用期限和条件中应符合其信息安全职责。必要时，这些职责可在聘用结束后继续履行一段规定的时间。7.2.4.2用户培训党政机关信息系统的用户应接受安全规程和正确使用信息处理设施方面的培训。7.2.4.2.1信息安全教育和培训所有人员和相关的第三方用户应定期接受安全策略和规程方面的培训，包括安全要求、合法职责和业务控制以及在给予访问信息和服务之前正确使用信息处理设施的培训，例如登录过程，使用软件包等。7.2.4.3对安全事故和故障的响应影响安全的事故应尽快通过合适的管理渠道报告。所有人员和合同方应知道不同类型安全事故（安全违规、威胁、弱点或故障）的报告规程，应要求他们尽可能快地把任何观察到的或推测到的事故报告给指明的联系点。在出现事故之后，应尽快地收集证据。对安全违规的处理，应制定正式的纪律处理办法。7.2.4.3.1报告安全事故应建立正式的报告规程和事故响应规程，并在收到事故报告时提出处理方案。相应的反馈过程应予以实现，以确保在事故已经处理和结束之后将结果通知报告事故的人员。7.2.4.3.2报告安全弱点应要求信息服务的用户通知并报告任何观察到或预测到的系统或服务的安全弱点。应通知用户在任何情况下，不要企图证明预测到的弱点。7.2.4.3.3报告软件故障应建立报告软件故障的规程。该规程应包括下列内容：a）记录故障症状和屏幕上出现的故障信息；b）故障计算机宜加以隔离，并停止使用；应立即报警；在待检设备重新加电之前，应与网络断开；故障计算机的磁盘不要转移到其他计算机；c）立即向信息系统的安全管理人员报告。用户不要试图移去可疑软件，除非被授权。应由受过专门培训的、有经验的人员进行恢复。7.2.4.3.4从事故中学习应建立适当的机制，对安全事故和故障的类型、影响、代价进行量化和监控，并将这些信息用于对将来安全事故的预防和限制。7.2.4.3.5纪律处理对于违反了安全策略和规程的人员，应进行纪律处理。7.2.5物理和环境的安全7.2.5.1安全区域关键和敏感的业务信息处理设施应放置在安全区域内，该安全区域已定义安全周边、具有合适的安全屏障和入口控制。这些设施应在物理上避免未授权访问、损坏和干扰。宜采用清理桌面和清空屏幕的策略，以减少未授权访问或损坏记录纸、媒体和信息处理设施的风险。7.2.5.1.1物理安全周边应使用安全周边来保护包含信息处理设施的区域。安全周边的控制应包括：a)安全周边应有明确定义；35 DB11/T171—2002b)包含有信息处理设施的建筑物或场地的周边应在物理上是安全的（即，在周边或区域内不存在物理漏洞），场地的外墙应结构坚固，所有通向外部的门应有适当的保护措施，如门闩、报警器和锁等；c)因安排专人接待或采取其他对场地或建筑物的物理访问控制手段；访问场地或建筑物应仅限于已授权人员；d)地板到天花板均应建立物理屏障，以防止未授权进入和由诸如火灾和水灾所引起的环境污染；e)安全周边的所有防火门应在发生火灾时，发出报警信号，并紧闭。7.2.5.1.2物理入口控制安全区域应由适合的物理入口控制所保护，以确保只有已授权的人员才被允许访问。应考虑下列控制手段：a）对安全区域的访问者应予以监督或办理进入手续，并记录他们进入和离开的日期和时间。只能同意他们访问特定的已授权目标，并让他们知道该区域的安全要求和应急规程；b）访问敏感信息和信息处理设施要受到控制，并且仅限于已授权的人员。鉴别控制［例如，插卡和个人识别号（PIN）］应用于授权和确认所有访问。所有访问的审计迹应加以安全维护；c）要求所有人员佩带某种形式的可视标识，对无内部人员陪同或未佩带可视标识的访问者应予以询问；d）对安全区域的访问权利要定期地予以审查和更新。7.2.5.1.3办公室、房间和设施的安全保护安全区域可以是在物理安全周边内侧上锁的办公室或者几个房间。这种办公室可以是上锁的并且可以包含可锁的铁柜或保险柜。安全区域的选择和设计应考虑到防止火灾、水灾、爆炸以及其他形式的自然或人为灾难的损坏的可能性。还要考虑到相关健康和安全的规章和标准。对于由邻近建筑物所引起的任何安全威胁（例如，来自其他区域的水泄漏）也应考虑。控制措施应包括下列例项：a）使关键设施安放在避免公众直接访问的场地；b）建筑物要不引人注目，并且在建筑物内侧或外侧用最少的不明显标记指示其用途，以标识信息处理机构的存在；c）支持性功能器件和设备（例如，复印机，传真机）应安放在安全区域内，以避免未授权访问；d）无人值守时，外部保护的门和窗应上锁；e）按照专业标准所安装的并定期测试的监控系统应装在合适的位置，以监控所有外部的门和可接近的窗户。对未占用的区域，在所有时刻也应予以监控。对于其他区域（例如，计算机机房或通信机房）也应提供掩蔽物；f）信息处理设施在物理上要与第三方所管理的那些信息处理设施分开；g）标识敏感信息处理设施位置的文档和内部电话簿不应轻易由公众得到；h）危险或易燃物品应安全存放在离安全区域有一定安全距离的地方；i）基本维持运行的设备和备份媒体的存放应保持一定的安全距离，以免受主要场地灾难时同时损坏。7.2.5.1.4在安全区域工作应对在安全区域中工作的人员或第三方以及在这里进行第三方活动加以控制。控制措施应包括：a）只在有必要时，人员才应知道安全区域的存在或在其中的活动；b）为防止恶意活动，应避免在安全区域内进行不受监督的工作；c）未用的安全区域应加物理锁，并定期检查；d）仅在需要时，才可允许第三方服务支持人员对安全区域或敏感性信息处理设施进行有限制的访问，该访问应经过授权并受到监督；e）在安全周边内具有不同安全要求的区域之间，宜设置控制物理访问的附加屏障和边界；36 DB11/T171—2002f）未经授权，不允许携带摄影、声频、视频或其他记录设备进入安全区域。7.2.5.2设备安全应考虑设备的安放和处置，以使设备免受物理上的安全威胁和环境危险。可要求对支持性设施（诸如电源和布线基础设施）专门控制保护，以防止未授权访问。7.2.5.2.1设备安置和保护设备的安置或保护应包括：a）设备的安置应尽量减少不必要的访问工作区域；b）应适当安放敏感数据的信息处理设施和存储设施；c）专门保护的部件应予以隔离；d）应采取控制使以下潜在威胁的风险减到最小：偷窃、火灾、爆炸、烟雾、水（或供水故障）、尘埃、振动、化学影响、电源干扰、电磁辐射；e）应考虑附近建筑物内发生灾难的影响，例如，邻近建筑物的火灾，屋顶漏水或地下室地板渗水等。7.2.5.2.2电源应避免电源故障和其他电力异常；应选用符合设备制造标准的电源。保证连续供电的措施：a）多路馈电，以避免电源中单点故障；b）不间断电源（UPS）；c）备份发电机。对于支持关键业务操作的设备，宜使用支持有序关机或连续运行的UPS。意外事故的应对计划应包括UPS故障时所采取的动作。UPS应定期地检查和测试。当电源故障时间较长时，应启用备份发电机。如果安装备份发电机，电机应定期测试。在主电源故障时应提供应急照明。应将避雷保护应用到所有建筑物，雷电保护过滤器要装配到所有外部通信线路。7.2.5.2.3布线安全电源和支持信息服务的数据通信线缆应防止窃听或损坏。控制应包括下列内容：a)进入信息处理设施的电源和通信线缆宜在地下，或者有足够的可替换保护；网络布线应免受窃听或损坏，例如，电缆管道避开公众区域；b)为了防止干扰，电源电缆要与通信电缆分开；c）对于敏感的或关键的系统，应考虑：1）在检查点和终接点处安装铠装电缆管道和上锁的操作间；2）使用可替换的路由选择或传输媒体；3）使用光纤布线；4）清除与电缆连接的未授权装置。7.2.5.2.4设备维护设备应正确地维护，以确保其连续可用性和完整性。控制应包括：a）应按照供应商推荐的服务时间间隔和规范对设备进行维护；b）只有已授权的维护人员才可对设备进行修理和服务；c）要保存所有的故障记录和维护记录。7.2.5.2.5离开建筑物的设备的安全在党政机关建筑物外使用信息系统的任何设备应通过党政机关管理部门授权。应考虑到建筑物外的工作风险。信息处理设备包括所有形式的个人计算机、电子记事簿、移动电话、记录纸或其他适于家庭工作的、便于运输的设备。控制应包括：a）离开建筑物的设备和媒体在公共场所应有人值守；37 DB11/T171—2002b）应按保护说明书使用设备，例如，防止暴露于强电磁场内；c）应有足够的掩蔽物，保护设备离开场地。7.2.5.3一般控制信息和信息处理设施应予以保护，以防止泄露给未授权人员。7.2.5.3.1财产的移动未经授权，不应让设备、信息或软件离开场地。若需要，应对设备做外挪记录；返回时，也应做记录，并应定期抽查。7.2.6通信和操作管理7.2.6.1操作规程和职责应建立所有信息处理设施的管理职责和操作规程。必要时，应实施责任分开，以减少疏忽或故意滥用系统带来的风险。7.2.6.1.1责任分离责任分离是一种减少系统滥用风险的方法。责任的管理或执行应分离，以便减少未授权修改或滥用信息或服务的机会。安全审计应保持独立。事件的启动应与其授权分离。不同环节和同一环节均应采取责任分离措施以避免勾结和欺诈行为，例如，提出采购订单和验收货物。7.2.6.1.2开发和运行设施分离应分离开发、测试和运行设施。应规定从开发状态到运行状态的软件传送规程并形成文件。在运行、测试和开发环境之间所需要的分离程度应加以考虑。在开发和测试功能之间，类似的分离也应加以实现。开发、测试和运行设施的分离措施应包括：a）开发和运行的软件应在不同的计算机处理器上或在不同的域或目录内运行；b）开发和测试活动要尽可能分离；c）当不需要编译程序、编辑程序和其他系统实用程序时，运行中的系统不允许对它们进行访问；d）对运行和测试系统应使用不同的登录规程，以减少出错的风险。例如，对这些系统使用不同的用户口令，选单要显示合适的标识报文；e）运行系统应有口令分发控制。开发人员只可使用操作口令进行访问，控制应确保这种口令在使用后被变更。7.2.6.1.3外部设施管理使用外部合同商管理的信息处理设施可能引入潜在的安全泄露，诸如，该合同商的场地可能有数据泄露、损坏或丢失。这些风险应预先加以标识，并且与合同商商定适当的控制。合同中应加入这些内容，并应包括：a）标识出需保留在内部的敏感或关键的应用；b）获得业务应用责任人的批准；c）业务连续性计划的内容；d）规定安全标准，检测符合性的过程；e）分配特定职责，有效监控所有相关的安全活动的规程；f）报告和处理安全事故的职责和规程。7.2.6.2系统规划和验收为了确保足够能力和资源的可用性，系统应预先规划。在新系统验收和使用之前，应建立该新系统的运行要求。7.2.6.2.1能力规划38 DB11/T171—2002能力需求应受监控，应制订有进一步能力要求的项目，以确保获得足够的处理能力和存储空间。这些项目应考虑到信息处理中新业务的要求以及发展趋势。主服务器的管理者应监控关键系统资源的利用，包括处理器、主存储器、文件、存储器、打印机和其他输出设备以及通信系统。（管理者）应标识出与业务应用或管理信息系统工具相关的使用。7.2.6.3防止恶意软件要求有预防措施，以防止和检测恶意软件的引入。应让用户了解未授权的或恶意的软件的危险。必要时，应采用专门的控制，以检测或防止它的引入。特别是，采取预防措施检测和防止个人计算机上的计算机病毒。7.2.6.3.1控制恶意软件应实施恶意软件的检测和预防控制，加强用户的防恶意软件的意识。防止恶意软件应基于安全意识、合适的系统访问和变更管理控制。控制应包括：a）软件使用应有软件许可证号，禁止使用未授权软件；b）防止风险增大的策略，该风险与来自或经由外部网络、在任何其他媒体上获得的文件和软件相关，该策略应明确采取什么保护措施；c）安装并定期更新防病毒检测和修复软件；d）对支持关键业务处理的系统中的软件和数据内容应进行定期审查；e）对于不明来历或未授权的电子媒体上的任何文件、从不可信的网络上收到的文件，在使用前应进行病毒检查；f）任何电子邮件附件在下载或使用前应针对恶意软件进行检查。该检查可以在不同的位置进行，例如，在电子邮件服务器、台式计算机处或者当进入网络时；g）关于系统和系统使用的培训、报告病毒攻击、病毒预防、从病毒攻击中恢复等管理规程和职责；h）相应的从病毒攻击中恢复的业务连续性计划，包括所有必要数据和软件备份以及恢复安排；i）管理应确保使用合格的来源（例如，可靠的Internet网站或防病毒软件供应商），以区分欺骗和实际病毒。应让人员了解欺骗问题，以及在收到它们时要做什么。7.2.6.4内务处理为执行商定的备份策略，应建立例行规程。备份策略可包括数据备份拷贝，数据恢复训练，记录事件和故障，必要时，监控设备环境。7.2.6.4.1信息备份应定期产生最重要业务信息和软件的备份拷贝。应提供足够的备份设施，以确保在天灾或媒体故障之后可以恢复所有最重要业务信息和软件。应定期测试各个系统的备份设备，以确保它们满足业务连续性计划的要求。控制应包括：a）最低级别的备份信息以及备份拷贝准确完整的记录和文件化的恢复规程应存储在有足够距离的远程地点，以避免主要场地天灾时受到损坏。对于重要的业务应用至少应保留三代或若干周期的备份信息；b）应给予备份信息一个与主要场地所应用标准相一致的合适的物理和环境保护级别。应扩充应用于主要场地媒体的控制，以覆盖备份场地；c）若可行，应定期测试备份媒体，以确保当需要应急使用时可以依靠这些备份媒体；d）应定期检查和测试恢复规程，以确保恢复时，在运行规程所分配的时间内是有效的并能完成的。应确定最重要业务信息的保存周期以及对要长久保存的档案拷贝的任何要求。7.2.6.4.2故障记录应报告故障并采取纠正动作。与信息处理或通信系统问题相关的用户所报告的故障应加以记录。对于所报告的故障的处理应有明确的规则，包括：a）评审故障日志，以确保已满意地解决故障；b）评审纠正措施，以确保控制未被损害，以及所采取的动作被充分授权。39 DB11/T171—20027.2.6.5网络管理要求注意可以跨过组织边界的网络的安全管理。还可以要求附加的控制，以保护在公共网络上传递的敏感数据。7.2.6.5.1网络控制为获得和维护计算机网络的安全，要求若干控制。网络管理者应实施控制，以确保网络中的数据安全，防止未授权访问所连接的服务。控制应包括：a）网络的操作职责应与计算机操作分开；b）应建立远程设备（包括用户区域内的设备）管理的职责和规程；c）必要时，应建立专门的控制，以保护在公用网络上传递数据的保密性和完整性，以及已连接的系统。为维护所连接的网络服务和计算机的可用性，可要求专门的控制；d）为优化业务服务，确保在信息处理基础设施上始终如一地应用控制，应紧密地协调管理活动。7.2.6.6媒体处置和安全媒体应受到控制并且在物理上受保护。为使文件、计算机媒体（磁带、磁盘、盒式磁带）、输入/输出数据和系统文件免遭损坏、偷窃和未授权访问，应建立合适的操作规程。7.2.6.6.1可移动的计算机媒体的管理对于可移动的计算机媒体（诸如，磁带、磁盘、盒式磁带和打印的报告等）的管理应有规程。控制应包括：a）对取走的任何可重用的媒体中的先前内容，如果不再需要，应将其擦除掉；b）对于取走的所有媒体应要求授权，所有这种移动的记录应加以保护，以保持审计踪迹；c）应将所有媒体存储在符合制造商规范的安全、保密的环境中。所有规程和授权级别应形成文件。7.2.6.6.2媒体的处置当媒体不再需要时，应秘密和安全地处置。应建立秘密处置媒体的正式规程，以使风险减至最小。控制应包括：a）包含有敏感信息的媒体应秘密、安全地存储和处置，例如，利用焚化或切碎的方法，或者将数据清空供系统内另外的应用使用；b）把所有媒体部件收集起来并进行秘密处置；c）应注意选择具有足够经验的合适的合同商对记录纸、设备和媒体进行收集和处置；d）处置敏感部件宜做记录，以便保持审计踪迹。当堆积处置媒体时，对聚集的影响应予以考虑，大量的未分类信息可能变得比小量的分类信息更敏感。7.2.6.6.3系统文件的安全系统文件可以包含有一系列敏感信息，例如，应用过程的描述、规程、数据结构、授权过程。控制应包括：a）应安全地存储系统文件；b）将系统文件的访问列表保持在最小范围，并且由应用责任人授权；c）应妥善地保护保存在公用网络上的或经由公用网络提供的系统文件。7.2.6.7信息和软件的交换跨系统、跨机关交换的信息和软件应受到控制，并应符合相关法律。应在协定的基础上进行交换。应建立保护运输中信息和媒体的规程和标准。应考虑业务和电子数据交换和电子邮件相关的安全及控制要求。7.2.6.7.1信息和软件交换协定40 DB11/T171—2002对跨系统、跨机关交换的信息和软件（电子的或人工的），应建立若干协定，必要时可包括软件协议。这种协议的安全内容应反映所涉及的业务信息的敏感度。关于安全状态的协定应考虑：a）控制和通知传输、发送和接收方面的管理职责；b）通知发送者、传输、发送和接收方面的规程；c）打包和传输的最低技术标准；d）信使标识标准；e）数据丢失时的责任和义务；f）标记敏感或重要信息的系统的使用，保证标记的含义能直接被理解，以及信息受到保护；g）数据保护、软件版权符合及相关的所有权和职责；h）记录、阅读信息和软件的技术标准；i）为保护敏感项，诸如密码密钥，可要求任何专门的控制。7.2.6.7.2运输中的媒体安全为保护在场地之间运输的计算机媒体，控制应包括：a）应使用可靠的运输措施或信使。已授权信使的列表应与管理（部门）商定，并实施检查信使标识的规程；b）包装应足以保护内容免遭在运输期间可能出现的任何物理损坏，并符合制造商的规范；c）必要时，应采取专门的控制，以保护敏感信息免遭未授权泄露或修改。例如：1）使用可上锁的容器；2）手工交付；3）防拆包装；4）在异常情况下，把托运货物分解成多次交付，并且通过不同的路线发送；5）使用数字签名和加密机制。7.2.6.7.3电子邮件的安全7.2.6.7.3.1安全风险为减少电子邮件所产生的安全风险，应予以控制。其安全风险包括：a）报文易遭受未授权访问或修改或拒绝服务的脆弱性；b）易遭受差错的脆弱性，例如，不正确的寻址，以及服务的可靠性和可用性；c）通信媒体变更对业务过程的影响，例如，增加发送速度的影响或者从个人到个人（不是从公司到公司）发送报文的影响；d）法律的考虑，诸如，需要源发、发送、交付和接收的证据；e）公布可访问人员列表的安全问题；f）控制远程用户访问电子邮件帐户。7.2.6.7.3.2关于电子邮件的策略应制定关于使用电子邮件的策略，控制应包括：a）对电子邮件的攻击，例如，病毒，截取；b）保护电子邮件附件；c）何时不使用电子邮件的指南；d）职员有义务不损坏公司利益，例如，不发送诽谤性电子邮件，不得使用电子邮件进行骚扰，不得进行未授权采购；e）使用密码技术来保护电子报文的保密性和完整性；f）报文的保留。在提出诉讼时，可以显示保留的报文；g）对不能被鉴别的报文交换用的附加检查和控制。7.2.6.7.4电子办公系统的安全为控制与电子办公系统相关的业务和安全风险，应制定和实施有关的策略和指南。41 DB11/T171—2002控制应包括：a）办公系统中信息的脆弱性，例如，记录电话呼叫或会议呼叫，呼叫的保密性，传真的存储，打开邮件，分发邮件；b）管理信息共享的策略和相应控制，例如，使用公共电子公告牌；c）如果系统不提供合适的保护级别，则不包括敏感业务信息种类；d）限制访问与选定个人相关的日记簿信息，例如，正从事敏感项目的人员；e）支持业务应用的系统的可适性，诸如，通信指令或授权；f）允许使用系统的工作人员、合同商或业务伙伴的类别，以及许可访问的位置；g）对特定种类用户限定所选定的设施；h）标识出用户的身份；i）系统上存放的信息和备份；j）基本维持运行的要求和安排。7.2.6.7.5公开可用系统应保护电子出版信息的完整性，以防止可能有损名誉的未授权修改。在公开可用系统上的信息（例如，经由Internet可访问的Web服务器上的信息），应符合该系统所在的或发生贸易的辖区内的法律、法规和规章制度。在信息公开之前，应有正式的授权过程。在公开可用系统上可提供的并要求高级别完整性的软件、数据和其他信息，应受相应机制所保护，例如，数字签名。应控制电子出版系统，特别是允许反馈和直接录入信息的那些电子出版系统。控制包括：a）按照数据保护法律获取信息；b）对输入到出版系统并由出版系统处理的信息，应及时、完整、准确地予以处理；c）在收集、存储过程中，保护敏感信息；d）对出版系统的访问应不会引起无意中访问到与之连接的网络。7.2.7访问控制7.2.7.1访问控制的业务要求对信息的访问和业务过程应在业务和安全要求的基础上加以控制。应制定相应的信息传播和授权的策略。7.2.7.1.1策略和业务要求应定义访问的业务要求，并将其形成文件。在访问策略中应说明每个用户或一组用户的访问控制规则和权利，以及访问控制要满足的业务要求。控制措施应包括：a）各个业务应用的安全要求；b）与业务应用相关的所有信息的标识；c）信息传播和授权的策略；d）不同系统和网络的访问控制策略与信息分类策略之间的一致性；e）关于保护访问数据或服务的相关法律和合同义务；f）在认可各种现有连接类型的分布式和网络化环境中访问权利的管理。7.2.7.1.2访问控制规则在规定访问控制规则时，应考虑下列内容：a）区分强制规则、任选规则或有条件规则；b）信息处理设施自动启动的信息标记和用户任意启动的信息标记的变更；c）信息系统自动启动的用户许可变更和管理员启动的用户许可变更；d）相关的其它规则。7.2.7.2用户访问管理42 DB11/T171—2002应制定正式的用户访问规程来控制用户访问权的分配。该规程应涵盖用户访问期内的各个阶段，从新用户注册到不再要求访问信息系统和服务的用户最终注销。7.2.7.2.1用户注册应有授予访问所有多用户信息系统和服务的正式用户注册和注销的规程。应通过正式的用户注册过程控制访问多用户信息服务，宜考虑下列控制内容：a）使用唯一用户ID。除非工作需要，才允许使用成组ID；b）检验用户使用信息系统和服务是否得到授权；c）检验所授予的访问级别是否与组织的安全策略一致，是否遵守责任分离原则；d）给用户访问授权的书面说明；f）确保已经完成授权规程，服务提供者才提供访问；g）维护注册使用该服务的所有个人的正式记录；h）及时取消因工作变动或离开原工作岗位用户的访问权利。7.2.7.2.2用户口令管理口令是一种确认访问信息系统或服务的用户身份的常用手段。口令的分配应通过正式的管理过程加以控制，应采取下列控制措施：a）要求用户签署一份声明，以保证个人口令保密和成组口令仅在该组成员范围内使用；b）应要求用户及时变更临时保密口令、自觉维护自己的口令。当用户忘记口令时，在正确识别用户后，才提供临时口令；c）要求以安全的方式将临时口令给予用户。要避免用于第三方或不受保护的（明文）电子邮件传输。用户应确认收到口令；口令不应以不受保护的形式存储在计算机系统内。7.2.7.2.3用户访问权限的评审为有效控制对信息系统的访问，管理部门应定期对用户的访问权限进行评审，控制措施如下：a）应定期（推荐周期为6个月）或在任何变更之后，对用户的访问权限进行评审；b）应定期（推荐周期为3个月）评审有特权用户的访问权限的授权；c）定期检查特权分配情况，以确保特权不被滥用。7.2.7.3用户职责已授权用户的合作是安全有效的基础。应让用户了解他对维护有效访问控制的职责，特别是关于口令的使用和用户设备的安全。7.2.7.3.1口令使用在选择和使用口令时，用户应有良好的安全习惯。所有用户宜采取下列控制措施：a）口令应保密；b）避免使用纸介质记录和保留口令，除非可以安全地保存；c）当系统或口令受到损害时，应及时更改口令；d）口令长度应不少于6个字符，并且：1）应易于记忆；2）不宜采用别人易于猜出或获得的、与使用人相关的信息作为口令，例如，名字、电话号码和生日等；3）避免连续的相同字符、全数字或全字母组。e）定期或以访问次数为基础变更口令（有特权的账户用的口令应比常规口令更频繁地予以变更），并且避免重新使用旧的口令或周期性使用旧的口令；f）在初次登录时更换临时口令；43 DB11/T171—2002g）在任何自动登录过程（例如，以宏或功能键存储）中，不要包含口令；h）不要共享用户口令。如果用户需要访问多服务或平台，并且要求维护多个口令，则应使用一个优质的口令（见上述d）用于所有服务，而这些服务对所存储的口令提供了合理的保护级别。7.2.7.3.2无人值守的用户设备用户应确保无人值守的设备得到保护。在用户区域内安装的设备，例如，工作站或文件服务器，在长时间内仍无人值守时，可以要求特别保护，使其免受未授权访问。用户宜采用下列控制措施：a）设备使用结束时，应终止有效会话，除非利用一种合适的锁定机制使它们安全，例如，有口令保护的屏蔽保护程序；b）当会话结束时退出主机（即，不仅仅关掉PC或终端）；c）当不使用设备时，利用带钥匙的锁或其他方法保证设备不被未授权使用，例如，口令访问。7.2.7.4网络访问控制对内部和外部网络服务的访问均应加以控制。以确保：a）在党政机关网络和其它组织网络或公共网络之间有严格的接口控制；；b）对用户和设备有合适的鉴别机制；c）对用户访问信息服务的控制。7.2.7.4.1使用网络服务的策略应制定关于使用网络和网络服务的策略。该策略应包括下列控制：a）允许被访问的网络和网络服务；b）确定允许谁访问哪些网络和网络服务的授权规程；c）保护访问网络连接和网络服务的管理措施和规程。该策略应与业务访问控制策略相一致。7.2.7.4.2强制路径根据需要控制从用户终端到计算机服务的路径。强制路径的目的是防止用户在用户终端和用户被授权访问的服务之间的路径以外选择其它访问路径。这通常要求在路径的不同点处实施控制措施。其原则是在网络的每个点上根据预先定义限制可选的路径。可考虑下列控制内容：a）分配专用线路或电话号码；b）自动地将端口连接到规定的应用系统或安全网关；c）限制各个用户的选单和子选单的选项；d）防止无限制的网络滥用；e）对外部网络用户，强迫其使用所规定的应用系统和/或安全网关；f）通过安全网关（如防火墙）主动控制允许的源地址到目的地址的通信；g）通过建立分离的逻辑域（如虚拟专用网）限制组织范围内的用户群的网络访问。对强制路径的控制要求应基于业务访问控制策略。7.2.7.4.3外部连接的用户鉴别远程用户的访问应受鉴别限制。不同的鉴别方法可提供不同的保护能力。对远程用户，可使用：a）基于密码技术的鉴别机制，例如硬件令牌、询问/响应协议；b）专用线路或网络用户地址检验设施也可用来提供连接来源的保证；c）回拨规程和控制，例如使用回拨调制解调器，可以防止与信息处理设施的未授权和不希望的连接。44 DB11/T171—20027.2.7.4.4节点鉴别与远程计算机自动连接的设施可能提供对业务应用系统未授权访问的途径。因此，应鉴别与远程计算机系统的连接。若远程用户群被连接到安全共享的计算机设施，那么，节点鉴别可用作鉴别他们的可替代手段。7.2.7.4.5远程诊断端口保护许多计算机和远程通信系统装配了拨号远程诊断设施，供维护工程师使用。若不加保护措施，则这些诊断端口可能会被未授权访问。因此，应控制对远程诊断端口的访问，以确保只有计算机服务管理者和要求访问的硬件/软件支持人员才可访问它们。7.2.7.4.6网络连接控制共享网络特别是跨机构边界的网络的访问控制策略要求，可能需要采取相应的控制措施，以限制用户的连接能力。这样的控制可以通过网络网关来实现，该网关借助预先定义的表或规则过滤通信量。所应用的限制应基于业务应用的访问策略和要求，并应维护和更新。基于下列应用采取措施：·电子邮件；·单向文件传送；·双向文件传送；·交互式访问；·与时间相关的网络访问等。7.2.7.4.7网络路由选择控制共享网络，特别是跨机构边界的那些共享网络，可以要求引入路由选择控制，以确保计算机连接和信息流不违反业务应用的访问控制策略。对于与第三方（非组织）用户共享的网络，这种控制通常是必需的。路由选择控制应基于确定的源地址和目的地址检验机制。为了隔离网络和阻止从某一机构的网络到另一机构网络的路由，网络地址变换也是一种很有用的机制。这些机制可以用软件或硬件来实现，实现时应了解所采用的机制的控制强度。7.2.7.4.8网络服务的安全公共网络服务和专用网络服务多种多样。网络服务可能具有独特的或复杂的安全特性。使用网络服务的机构应清晰描述其使用的所有服务的安全属性。7.2.7.5操作系统访问控制操作系统级的安全设施应该用来限制访问计算机资源。这些设施应能做下列事情：a）标识和验证每个授权用户的身份，如果需要，标识和验证每个授权用户的终端或位置；b）记录成功和失败的系统访问；c）提供合适的鉴别手段，如果使用口令管理系统，则它应确保优质口令；d）若有必要，可限制用户的连接次数。7.2.7.5.1自动化终端标识为鉴别与特定位置和便携式设备的连接，应对自动化终端进行标识。终端或与终端连接的标识符可用来表明是否允许这个特定终端启动或接收特定事务。可将物理保护应用于终端，以维护终端标识符的安全。7.2.7.5.2终端登录规程对信息服务的访问应建立安全的登录规程。登录到计算机的规程应减少未授权访问的机会。避免泄漏系统信息，向未授权用户提供不必要的帮助。良好的登录规程应包括：a）在登录过程成功完成之前，不显示系统或应用标识符；b）显示警告信息，提示只有已授权的用户才能访问本计算机；c）在登录过程中，不提供对未授权用户有辅助作用的帮助消息；45 DB11/T171—2002d）仅在所有输入数据完成时，才确认登录信息。如果出现差错情况，系统不应指出数据哪一部分是正确的或不正确的；e）限制所允许的不成功登录尝试的次数并考虑：1）记录不成功的尝试；2）在允许进一步登录尝试之前，应强制有一段延时，或在没有特定授权情况下拒绝任何进一步的尝试；3）断开数据链路连接。f）限制登录规程所允许的最大和最小时间。如果超时，则系统应终止登录；g）在成功登录完成时，显示下列信息：1）前次成功登录的日期和时间；2）最近一次成功登录以来，所有不成功登录尝试的详细信息。7.2.7.5.3用户标识和鉴别所有用户（包括技术支持人员，诸如操作者，网络管理员、系统程序员和数据库管理员）应该拥有并只能使用专用的唯一标识符（用户ID），以便跟踪操作的责任个体。用户ID不应对用户特权级别信息做任何暗示。在特殊应用情况下可为一组用户或一项特定作业，提供共享的用户ID，需经管理部门批准后形成正式文件，并可被核查。可使用口令、密码手段或鉴别规程等来证明用户身份。7.2.7.5.4口令管理系统口令是确认用户访问计算机服务权限的主要手段之一。口令管理系统应提供有效的、交互式的、确保优质口令的装置。口令管理系统应控制：a）强制使用个人口令，以便核查；b）若合适，允许用户选择和变更他们自己的口令，并且能够识别输入错误；c）强制选择符合复杂度要求的口令；d）若用户选择口令，则在第一次登录时强制他们变更临时的口令；e）应保留一份用户使用过的口令历史记录表，防止重新使用；f）当正在录入时，在屏幕上不显示口令；g）口令文件和应用系统数据分开存放；h）用单向加密算法的加密形式存储口令；i）在软件安装之后，变更默认的厂商口令。7.2.7.5.5保护用户的强制报警对于有些用户，应基于风险的评估考虑是否采用强制报警措施，并定义相应的职责和规程。7.2.7.5.6终端超时在所定义的不活动周期之后，应关闭在高风险位置（例如，超出组织安全管理的公共或外部区域）或服务高风险系统的不活动的终端，以防止未授权个人访问。该超时设备应在定义的不活动周期之后清空终端屏幕，并关闭应用和网络会话。超时延迟应反映该区域和终端用户的安全风险。7.2.7.6应用访问控制在应用系统内实施访问限制。对软件和信息的逻辑访问只限于已授权的用户。应用系统应：a）按照定义的业务访问控制策略，控制用户访问信息和应用系统功能。b）对能够超越系统控制或应用控制的任何实用程序和操作系统软件提供免遭未授权访问的保护；c）不损坏共享信息资源的其他系统的安全；d）只能够向责任人、其他指定的授权个人或定义的用户群提供信息访问。46 DB11/T171—20027.2.7.6.1信息访问限制应按照访问控制策略，基于各个业务应用要求和信息安全策略向应用系统的用户（包括支持人员），提供对信息和应用系统功能的访问。为了支持访问限制要求，应采取下列措施：a）提供控制访问应用系统功能的选单；b）限制用户对未授权访问的信息或应用系统功能的了解；c）控制用户的访问权利，例如，读、写、删除和执行；d）确保处理敏感信息的应用系统的输出仅包含与使用输出相关的信息，并且仅发送给已授权的终端和地点，包括周期性审查这种输出，以确保去掉多余信息。7.2.7.6.2敏感系统隔离敏感系统的隔离控制应包括：a）应用系统的敏感度应明确标识，并将其形成文件；b）当敏感应用在共享的环境中运行时，与其共享资源的应用系统应予以标识并与相关部门协商。7.2.7.7对系统访问和使用的监视应对系统的访问和使用进行监视，以便发生安全事故时提供证据。系统监视提供检验所采用的控制措施的有效性，验证访问控制策略模型的符合性。7.2.7.7.1风险规程区域应建立监视信息处理设施使用的规程。这些规程对确保用户仅执行已显示授权的活动是必要的。各个设施所要求的监视级别应通过风险评估来确定。应考虑的区域包括下列例项：a）已授权的访问，包括诸如下列细目：1）用户ID；2）关键事件的日期和时间；3）事件的类型；4）所访问的文件；5）所使用的程序/实用程序。b）所有特权操作：1）超级用户帐户的使用；2）系统起动和停止；3）I/O设备连接/断开。c）未授权访问尝试：1）失败的尝试；2）对于网络网关和防火墙的访问策略违规和通知；3）来自专有的入侵检测系统的警报。d）系统警报或故障：1）控制台警报或消息；2）系统日志异常；3）网络管理报警。7.2.7.7.2风险因素监视活动的结果应定期评审。评审的频度取决于所涉及的风险。风险因素控制应包括：a）应用进程的关键程度；b）所涉及信息的价值、敏感度或危险程度；c）过去的系统被攻击和滥用经历；d）系统互连的程度。7.2.7.7.3事件的记录和审查日志审查涉及系统所面对的威胁以及这些威胁出现的方式。47 DB11/T171—2002系统日志通常包含大量的信息，其中许多与安全监视无关。为了标识出对安全监视目的有用的事件，可考虑将相应的报文类型自动地拷贝为第二份日志，使用审核工具进行分析。当分配日志评审的职责时，承担评审的人员和监视其活动的人员角色应分开。应特别注意记录设施的安全，因为如果篡改记录设施，就可能提供错误的安全判定。应针对的防止未授权变更和操作问题包括：a）记录设施解除激活；b）替换所记录的报文类型；c）编辑或删除日志文件；d）使日志文件媒体被耗尽、不能记录事件或自身改写。7.2.7.8移动计算和远程工作当使用移动计算时，应根据环境中的工作风险，确定必要的保护措施。在远程工作的情况下，应把保护应用于远程工作场地。7.2.7.8.1移动计算当使用移动计算设施时，例如，笔记本电脑、掌上电脑和移动电话，应特别小心确保业务信息不被泄露。应采用的正式策略要考虑到特别是在不受保护的环境下使用移动计算设施的工作风险。例如，这样的一种策略应包括对物理保护、访问控制、密码技术、备份和病毒预防的要求。这种策略也应包括关于移动设施与网络连接的规则和建议，以及关于在公共场合使用这些设施的指南。当在机构建筑物之外的公共场所、会议室和其他不受保护的区域使用移动计算设施时，为避免未授权访问或泄露这些设施所存储和处理的信息，应采取保护措施。当这样的设施用于公共场合时，应避免被未授权的个人窥视。防止恶意软件的规程应到位并保持经常更新。设备应能快速、简便备份信息。对这些备份应给予足够的保护，防止信息被偷窃或丢失。对与网络连接的移动设施的使用应提供合适的保护。在成功标识和鉴别之后，同时在合适的访问控制机制到位的情况下，才可进行利用移动计算设施通过公共网络的远程访问业务信息。移动计算设施应防止丢失，携带重要、敏感和/或关键业务信息的设备不应丢下无人值守，若有可能，使用专用锁来保护设备。对于使用移动计算的人员应安排培训，以提高他们关于由这种工作方法导致的附加风险的意识，并且采取控制措施。7.2.7.8.2远程工作远程工作使用通信技术，使职员在其组织之外的一个固定地点能远程工作。远程工作场地的合适保护应到位，以防止偷窃设备和信息、未授权泄露信息、未授权远程访问组织内部系统或滥用设施等。重要的是远程工作要由管理部门授权和控制，对远程工作方式应有合适安排。管理部门应考虑制定相关的策略、规程和标准，以控制远程工作的活动。只有符合安全策略的远程工作安排，才能获得授权。控制措施宜考虑下列情况：a）远程工作场地的物理安全：建筑物和本地环境的物理安全；b）通信安全要求：考虑远程访问系统内部的需要、在通信链路上传递的信息的敏感度，以及内部系统的敏感度；c）远程工作场所的其他人未授权访问信息或资源的威胁。控制措施应包括：a）对远程工作活动提供适合的设备和存储器具；b）定义所允许的工作内容、工作时间、允许处理信息的级别、允许访问的内部系统和服务；c）提供合适的通信设备，确保远程访问的安全；d）物理的安全；e）规定家人和来宾使用设备和访问信息的规则；f）提供硬件和软件的技术维护、支持；48 DB11/T171—2002g）规定备份流程和确保业务连续性的流程；h）进行审计和安全监视；i）当远程工作活动停止时，撤销授权和访问权，并返还设备。7.2.8系统开发和维护7.2.8.1系统安全要求分析和规范在信息系统开发之前应标识出并商定安全要求。在项目的需求阶段应标识、确认所有的安全要求，并且将这些安全要求形成文件。新系统或现有系统增强的业务需求的说明应规定控制的要求。这种规范应考虑在系统中待包含的自动化控制以及支持人工控制的要求。当评价业务应用的软件包时，应有类似的考虑。安全要求和控制应反映出所涉及信息资产的业务价值和潜在的业务损坏。7.2.8.2应用系统的安全合适的控制和审计跟踪或活动日志应设计到应用系统内，包括用户写的应用。应包括输入数据、内部处理和输入数据的确认。对于处理敏感的、有价值的或关键的信息资产的系统或对资产有影响的系统可要求附加控制。这样的控制应在安全要求和风险评估的基础上加以确定。7.2.8.2.1输入数据确认输入到应用系统的数据应予以确认，以确保它是正确的和合适的。检验应适用于业务事务处理、常备数据和参数值的输入。控制应包括：a）双重输入或其他输入检验，以检测下列差错：1）超出范围的值；2）数据字段中的无效字符；3）丢失的或不完整的数据；4）超过数据的上、下容量极限；5）未授权的或不相容的控制数据。b）周期性评审关键字段或数据文件的内容，以证实其有效性和完整性；c）检查硬拷贝输入文件是否有任何未授权的变更输入数据（输入文件的所有变更均应予以授权）；d）响应确认差错的规程；e）测试输入数据真实性的规程；f）定义在数据输入过程中所涉及的全部人员的职责。7.2.8.2.2内部处理的控制已经正确录入的数据可能由于处理差错或故意动作所损坏。应在系统中加入确认检验，以检测这种损坏。特定风险区域控制应包括：a）使用和定位程序中的增加和删除功能，以实现数据变更；b）防止程序以错误次序运行或在前面处理过程中失败后仍在运行的规程；c）使用从失效中恢复的正确程序，以确保正确处理数据。7.2.8.2.3报文鉴别对于有安全要求的应用，例如，规范、合同、高度重要的建议等等或其他类似的电子数据交换，应考虑报文鉴别，以保护报文内容的完整性。应进行安全风险评估，以确定是否要求报文鉴别，并且标识出最合适的实现方法。7.2.8.3系统文件的安全维护系统完整性应是拥有应用系统或软件的用户功能组或开发组的职责。7.2.8.3.1运行软件的控制应控制运行系统中的软件运行。为使运行系统被损坏的风险减到最小，控制应包括：a）仅由指定的库管理员根据相应的管理授权，进行运行程序库的更新；49 DB11/T171—2002b）运行系统仅有可执行的代码；c）运行系统上的可执行代码在安装运行前应进行成功测试，且用户验收的证据和相应的源程序库已更新；d）应维护对运行程序库的所有更新的审计日志；e）应保留软件的先前版本作为应急措施。在运行系统中所使用的由厂商供应的软件应在供应商支持的级别上加以维护。任何的升级决定应考虑该新版的安全，即，新安全功能的引入将产生的安全问题的数量和强度。当软件补丁有助于消除或减少安全弱点时，应使用软件补丁。必要时且在管理部门批准的情况下，才允许供应商物理或逻辑访问。应监控供应商的访问活动。7.2.8.3.2系统测试数据的保护应保护和控制测试数据。应避免使用包含个人信息的运行数据库。如果使用这种信息，在使用之前应清除个人信息。当用于测试目的时，控制应包括：a）访问控制规程，适用于运行应用系统和测试应用系统；b）每次拷贝运行信息到测试应用系统时，应另外授权；c）在测试完成之后，应立即从测试应用系统清除运行信息；d）为提供审计迹，应记录运行信息的拷贝和使用。7.2.8.3.3源程序库的访问控制对源程序库的访问应严格控制，控制应包括：a）在运行系统中不应保存源程序库；b）对于每个应用，应指明程序库；c）IT支持人员对源程序库的访问应受限制；d）处于开发和维护的程序不应保持在运行源程序库中；e）源程序库更新、向程序员发布源程序，均应按此应用的IT支持管理者的授权，仅由指定的库管理员来执行；f）程序列表应保持在安全的环境中；g）对源程序库的所有访问应维护审计日志；h）源程序的老版本以及所有的支持软件、作业控制、数据定义和规程应予以归档，同时对它们运行时的准确日期和次数作出说明；i）源程序库的维护和拷贝应受变更控制规程的严格制约。7.2.8.4开发和支持过程的安全应严格控制项目和支持的环境。负责应用系统的管理者，应负责项目和支持环境的安全。他们应确保评审所有建议的系统变更，以检验这些变更既不损坏系统亦不损害运行环境的安全。7.2.8.4.1变更控制规程为使信息系统的损坏减到最小，对变更的实现应有严格的控制。应实施正式的变更控制规程。应确保不损坏安全和控制规程，支持性程序员仅对其工作所需的系统的部分给予访问。任何变更应获得正式批准。应用和操作变更控制规程应结合起来。该规程应包括：a）维护所商定授权级别的记录；b）确保由授权的用户提交变更；c）审查控制和完整性规程，以确保它们不因变更而受损；d）标识要求修正的所有计算机软件、信息、数据库实体和硬件；e）在工作开始之前，获得对详细建议的正式批准；f）确保在任何实施之前，授权用户已接受变更；g）为使业务损坏减到最小，确保完成实施；50 DB11/T171—2002h）确保在每次变更完成时，更新系统文件集合，旧的文件进行归档或处置；i）维护所有软件更新的版本控制；j）维护所有变更请求的审计迹；k）必要时，确保对操作文件和用户规程作合适的修订；l）确保变更的实施发生在正确的时间，并且不干扰所涉及的业务过程。7.2.8.4.2运行系统变更的技术评审有必要周期地变更操作系统，例如，安装最新的软件或补丁。当变更出现时，应审查和测试应用系统，以确保其对运行或安全没有任何负面影响。该过程应涵盖以下内容：a）审查应用控制和完整性规程，以确保它们不因运行系统变更而损坏；b）确保年度支持计划和预算包括运行系统变更引起的评审和系统测试；c）确保及时提供运行系统变更的通知，以使得在变更实施之前进行合适的评审；d）确保按业务连续性计划进行合适的变更。7.2.8.4.3隐蔽信道和特洛伊代码隐蔽信道可能通过间接、隐蔽的方式泄露信息。通过改变由计算机的安全和不安全要素可访问的参数，或者通过将信息嵌入到数据流，可激活该信道。设计“特洛伊木马”的目的，是使得程序无须接受者或用户的授权、通知和要求即可影响系统。对于隐蔽信道或特洛伊代码，应考虑：a）仅从声誉好的来源采购程序软件；b）采购源代码形式的程序，可以验证该代码；c）使用已评估过的产品；d）在运行和使用之前，应检查所有源代码；e）代码安装后，应控制对代码的访问和修改；f）使用已证明可信的人员进行关键系统的工作。7.2.8.4.4外包的软件开发在外包软件开发的情况下，应考虑：a）许可证的编排、代码所有权和知识产权；b）所完成工作的质量认证；c）第三方不可用时合同的规定；d）已完成工作的质量审核材料的访问权；e）代码质量的合同要求；f）安装前，检测是否有特洛伊代码。7.2.9业务连续性管理为开发和维护整个组织的业务连续性，应有一种规范的受管理的过程。它应包括下列业务连续性管理的关键要素：a）根据风险的可能性及其影响，推断组织所面临的风险，包括关键业务过程的标识和优先权；b）推断对业务可能产生中断的影响（重要的是找到处理较小事故以及可能威胁组织生存能力的重大事故的解决办法），并且建立信息处理设施的业务目标；c）明确业务目标和优先权一致的业务连续性战略，并将其形成文件；d）明确与战略一致的业务连续性计划，并将其形成文件；e）应定期测试和更新相应的计划和过程；f）确保把业务连续性的管理包含在组织的日常管理过程和体系结构中。协调业务连续性管理过程的职责应分配给组织范围内的适当级别的管理层，例如，信息安全专题会议。7.2.10符合性7.2.10.1符合法律要求信息系统的设计、运行、使用和管理都要受法律法规要求的限制，以及合同安全要求的限制。51 DB11/T171—20027.2.10.1.1可用法律的标识党政信息系统应明确定义所有相关法律法规的要求和合同的要求，并将其形成文件。为满足这些要求的特定控制和各个人的职责应同样加以定义并形成文件。在党政信息系统建设过程中，法律控制应包括下列内容：a)系统建设要求：系统建设应获得相关政府或行业主管部门的批准并且不会对公共安全造成威胁或被威胁利用。1)项目获得国家安全、公共安全、政府安全部门的授权或批准；2)项目方案获得国家安全、公共安全、政府安全部门组织的评审。b)系统集成资质要求：1)国家主管部门认可集成资质等级；2)涉密集成的建设具备国家主管部门的涉密集成建设资质。c)人员资质要求：国家主管部门认可服务人员资质。d)第三方服务要求：国家主管部门认可服务单位资质等级。e)安全产品要求：1)信息安全产品应具有在国内生产、经营、销售的许可证；2)操作系统符合操作系统等级保护要求。f)工程监理要求：1)应具备信息安全系统建设工程实施监理管理制度；2)系统聘请专业监理公司，且监理公司具有国家主管部门认可监理资质证书。g)密码管理要求：1)符合国家密码主管部门的要求；2)使用的密码产品为国家主管部门批准的密码产品；3)密码产品来源于为国家主管部门批准的定点销售单位产品；4)使用的密码产品研制来源于为国家主管部门批准的密码研制单位。h)工商要求：1)产品或系统提供单位营业执照和税务登记在合法期限内；2)产品或系统提供商具备产品或系统提供资格；3)连续赢利期限要求；4)连续无相关法律诉讼年限要求；5)负债不超过比例要求；6)没有发生重大管理、技术人员变化期限要求；7)没有发生主业变化期限要求。i)其他要求：1)符合国家涉密信息相关法律法规，涉密信息在可控的情况下进行存储、传输、销毁、复制；2)系统符合公共安全的相关法律、法规，按照相关主管部门的技术管理规定手段对非法信息和恶意代码进行有效控制，按照有关规定对设备进行控制使之不被作为非法攻击源或跳板使用。7.2.10.1.2知识产权（IPR）7.2.10.1.2.1版权应实施合适的规程，以确保在使用有关可能存在知识产权（例如，版权、设计权、商标）的材料方面符合法律要求。对党政机关的专有资料和内部资料的复制和印发应严格控制。7.2.10.1.2.2软件版权52 DB11/T171—2002专有软件产品的采购和使用应符合软件的版权许可协定。7.2.10.1.3防止滥用信息处理设施对信息系统及设施的不当使用进行监视，必须符合国家法律规定。在登录系统时，在计算机屏幕上应呈现报警信息，提示正在进入的系统是不公开的，并且不允许未授权访问。用户必须相应地确认屏幕上的信息，并对其作出适当反应，才能继续登录过程。7.2.10.2符合安全策略管理者应确保正确地执行其职责范围内的所有安全规程。另外，为确保符合安全策略和标准，应考虑对组织内各个领域进行定期评审。这些领域应包括：a）信息系统；b）系统提供者；c）信息和信息资产的责任人；d）用户；e）管理部门。信息系统责任人应支持定期评审其系统是否符合相应的安全策略、标准和其他安全要求。7.2.10.3系统审核考虑在系统审核期间，为保护运行系统和审核工具的安全，应采取控制措施。为保护审核工具的完整性和防止滥用审核工具，也应有相应的保护措施。8安全类别III要求依据表1表述的信息价值、攻击/威胁及所对应的保护能力，本类别系统作出如下安全要求。8.1安全技术要求8.1.1FAU类：安全审计本类别的系统必须同时提供网络系统、操作系统和公共应用平台系统三个层面的审计，审计范围至少为网络中的每一台主机、操作系统的每一个用户、公共应用平台系统的每一个用户。8.1.1.1安全审计自动响应（FAU_ARP）本类别的系统要求必须在网络系统和操作系统中实现组件FAU_ARP.1。审计系统检测到可能的安全侵害时党政机关信息系统将采取行动，具体的响应方式、方法应在党政机关信息系统的建设方案中明确描述。8.1.1.2安全审计数据产生（FAU_GEN）本类别的系统必须提供网络系统、操作系统、公共应用平台系统的三重审计，实现FAU_GEN.1和FAU_GEN.2。应能为下述可审计事件产生审计记录：a）审计功能的启动和关闭；b）对以下事件进行审计：——网络中继节点：通信数据量，通信时间，经过网络的入侵、攻击行为，系统出入口的网络数据；——操作系统：系统登录，重要的系统管理行为，入侵、攻击行为，所有命令的使用；——公共应用平台系统：服务访问（包括成功、失败），系统维护行为；——以及其他安全功能要求的审计内容。c）每个审计记录中至少记录如下信息：事件的日期和时间，事件类型，主体身份，事件的结果（成功或失败），事件相关信息；d）每个可审计事件与引起该事件的用户身份相关联。8.1.1.3安全审计分析（FAU_SAA）53 DB11/T171—2002本类别的系统要求在网络中提供简单攻击探测（或复杂攻击探测），实现组件FAU_SAA.3（或FAU_SAA.4）。系统采用模式匹配的方式，检测对系统有重大威胁的安全事件。安全事件的检测可以实时进行，也可以非实时进行，在审计数据的后处理时进行检测。本类别的系统应该能够检测所有针对服务器系统的安全攻击和威胁，针对部分关键客户机和单机的攻击和威胁。8.1.1.4安全审计查阅（FAU_SAR）本类别的系统应提供用户查阅审计数据的审计工具（或工具集），能够实现对系统中所有审计数据的查阅。实现组件FAU_SAR.1、FAU_SAR.2、FAU_SAR.3。本类别的系统为已授权用户提供获得和解释审计信息的工具和能力。用户是人时必须以人类可懂的方式表示信息；用户是外部IT实体时必须以电子方式无歧义地表示信息。8.1.1.5安全审计事件选择（FAU_SEL）本类别的系统对FAU_GEN.1中规定以外的审计内容实现FAU_SEL.1。8.1.1.6安全审计事件存储（FAU_STG）本类别的系统应实现FAU_STG.2和FAU_STG.4。本子类功能组件要求在意外情况出现时以及当审计记录大小超出门限时，系统应有保护审计数据的措施。8.1.2FCO类：通信本类别的系统对此不作要求，但建议用户可根据实际情况，在党政应用系统（或应用平台系统、网络系统）中实现组件FCO_NRO.1和FCO_NRR.1。8.1.3FCS类：密码支持本类别的系统的密码支持功能取决于其他安全部件对本类功能的使用。如提供和实现密码支持功能时，应按照国家主管部门的要求进行。8.1.4FDP类：用户数据保护本类别的系统应该在网络系统、操作系统、公共应用平台系统以及党政应用系统等方面提供用户数据保护。用户数据保护应该涉及党政机关信息系统中所有的用户、主机（包括服务器、客户机、单机）、数据和资源，以及用户的所有操作。8.1.4.1访问控制策略（FDP_ACC）本类别的系统要求党政应用系统实现FDP_ACC.2，具有对用户所有操作进行检查的功能。网络系统、操作系统、公共应用平台系统应根据相应要求，实现FDP_ACC.1或FDP_ACC.2。8.1.4.2访问控制功能（FDP_ACF）本类别的系统要求在网络系统、操作系统、公共应用平台系统和党政应用系统均实现组件FDP_ACF.1，所实现的访问控制功能应满足相应FDP_ACC组件的要求。8.1.4.3数据鉴别（FDP_DAU）本类别的系统应在公共应用平台系统、党政应用系统中实现FDP_DAU.1,操作系统实现组件FDP_DAU.2。操作系统、公共应用平台系统、党政应用系统应保证客体（如文档）信息内容的真实性，操作系统应保证主体身份的真实性。8.1.4.4向TSF控制范围之外输出（FDP_ETC）本类别的系统应对向外输出的数据进行控制。党政应用系统实现组件FDP_ETC.2，对输出进行控制，输出的数据带有安全属性；网络系统、操作系统、公共应用平台系统实现FDP_ETC.1，对输出进行控制，输出的数据可不带安全属性。8.1.4.5从TSF控制范围之外输入（FDP_ITC）本类别的系统应对输入的数据进行控制。公共应用平台系统、党政应用系统实现组件FDP_ITC.1和FDP_ITC.2，应要求输入的用户数据，如果不具有安全属性，要求输入时为其设置正确的安全属性；如54 DB11/T171—2002果具有安全属性，要求安全属性正确反映用户数据的安全保护要求。网络系统、操作系统实现组件FDP_ITC.1，应要求输入的用户数据，如果不具有安全属性，要求输入时为其设置正确的安全属性。8.1.4.6TOE内部传输（FDP_ITT）本类别的系统要求在党政机关信息系统中，如果存在两个或以上具有不同安全要求的党政应用系统，任意两个远程主机之间需要远程传输数据时，应实现FDP_ITT.2，将不同应用系统相关的数据传输分隔开（物理分隔或逻辑分隔）。可通过党政应用系统本身实现或通过公共应用平台系统、操作系统、网络系统等实现。8.1.4.7残余信息保护（FDP_RIP）本类别的系统应对存储媒体上的残余信息进行保护，实现组件FDP_RIP.1。对下列客体分配或释放资源时，应确保该资源以前的任何信息不再可用：——文件、目录；——数据库记录；——应用程序需要保护的其它资源等。8.1.4.8存储数据的完整性（FDP_SDI）本类别的系统应在党政应用系统、公共应用平台系统中保证存储数据的完整性，公共应用平台系统实现FDP_SDI.1，党政应用系统实现FDP_SDI.2。公共应用平台系统应提供存储数据的完整性监视。党政应用系统应在检测到存储数据的错误时，采取相应的行动。8.1.5FIA类：标识和鉴别本类别的系统应能够验证用户身份，确保用户与正确的安全属性相关联，不被伪造。8.1.5.1鉴别失败（FIA_AFL）本类别的系统实现FIA_AFL.1，规定用户不成功的鉴别尝试次数，及达到该次数时所采取的行动。8.1.5.2用户属性定义（FIA_ATD）本类别的系统要求对每个用户的安全属性分别进行管理，实现FIA_ATD.1。8.1.5.3秘密的规范（FIA_SOS）本类别的系统要求操作系统、公共应用平台系统、党政应用系统应实现FIA_SOS.1。具备对秘密进行检查的机制，以保证所提供的秘密满足规定的质量量度。如果秘密不是由用户生成，系统还必须提供满足规定量度的秘密生成机制。8.1.5.4用户鉴别（FIA_UAU）本类别的系统应实现FIA_UAU.1、FIA_UAU.3（或FIA_UAU.4）、FIA_UAU.5、FIA_UAU.6、FIA_UAU.7。FIA_UAU.1鉴别定时，允许用户在其身份被鉴别前执行某些行动。FIA_UAU.3不可伪造的鉴别，要求鉴别机制能够检测和防止使用伪造或复制的鉴别数据。FIA_UAU.4一次性鉴别机制，要求使用一次性鉴别数据的鉴别机制。FIA_UAU.5多重鉴别机制，要求提供和使用不同的鉴别机制，为特定的事件鉴别用户的身份。FIA_UAU.6重鉴别，要求有能力说明哪些事件用户需要被重新鉴别。FIA_UAU.7受保护的鉴别反馈，要求在鉴别期间，只提供给用户有限的反馈信息。8.1.5.5用户标识（FIA_UID）本类别的系统要求操作系统应实现FIA_UID.1；在公共应用平台系统和党政应用系统实现FIA_UID.2。用户应在实施操作之前识别自己。8.1.5.6用户_主体绑定（FIA_USB）本类别的系统应实现FIA_USB.1，要求维持用户的安全属性与代表用户活动的主体间的关联。8.1.6FMT类：安全管理本类别的系统应实现同类安全设备、安全措施的集中远程管理，不同种类远程管理中心之间可以有限交互。安全管理范围至少包括所有的网络安全设备。55 DB11/T171—20028.1.7FPT类：TSF保护本类别的系统应在网络系统、操作系统、公共应用平台系统以及党政应用系统提供TSF数据保护。8.1.7.1失败保护（FPT_FLS）本类别的系统应实现FPT_FLS.1，进行重要安全功能的冗余设计，涉及范围应至少包括所有的网络安全设施。8.1.7.2输出TSF数据的可用性（FPT_ITA）本类别的系统应实现FPT_ITA.1，对安全相关的设备、软件和子系统之间交换安全数据的可用性提供保护。8.1.7.3输出TSF数据的保密性（FPT_ITC）本类别的系统应实现FPT_ITC.1，对安全相关的设备、软件和子系统之间交换安全数据的保密性提供保护。8.1.7.4输出TSF数据的完整性（FPT_ITI）本类别的系统应实现FPT_ITI.1，对安全相关的设备、软件和子系统之间交换安全数据的完整性提供保护。8.1.7.5TOE内TSF数据传输（FPT_ITT）本类别的系统应实现FPT_ITT.2，在安全功能相关数据的传输过程中应确保与用户数据的隔离。8.1.7.6可信恢复（FPT_RCV）本类别的系统应实现FPT_RCV.1,提供人工干预以返回安全状态的机制。8.1.7.7状态同步协议（FPT_SSP）本类别的系统根据需要实现FPT_SSP.1，安全相关的设备、软件和子系统之间应使用简单可信回执的方式实现状态同步。8.1.7.8时间戳（FPT_STM）本类别的系统应实现FPT_STM.1，应建立全系统统一的时钟同步机制，为自身的应用提供可靠的时间戳。8.1.8FRU类：资源利用8.1.8.1容错（FRU_FLT）本类别的系统应确保即使出现故障事件也能维持系统正常运行。本类别的系统应在网络系统、操作系统实现FRU_FLT.2，公共应用平台系统实现FRU_FLT.1。8.1.8.2服务优先级（FRU_PRS）本类别的系统根据需要实现FRU_PRS.1，系统具有对用户所使用资源按照优先级进行控制的能力，以防止低优先级的用户干扰高优先级用户的使用。8.1.8.3资源分配（FRU_RSA）本类别的系统根据需要实现FRU_RSA.2，设置系统中用户资源使用的上下限，防止未授权地独占资源而出现拒绝服务。8.1.9FTA类：TOE访问8.1.9.1可选属性范围限定（FTA_LSA）本类别的系统根据需要实现FTA_LSA.1，要求限制用户选择党政应用系统会话安全属性范围。8.1.9.2多重并发会话限定(FTA_MCS)本类别的系统实现FTA_MCS.1，对同一用户并发会话的数量进行限制。8.1.9.3会话锁定（FTA_SSL）本类别的系统实现FTA_SSL.1和FTA_SSL.2，要求在操作系统、党政应用系统中提供系统自动的和用户主动的交互式会话锁定和解锁能力。8.1.9.4TOE访问旗标（FTA_TAB）56 DB11/T171—2002本类别的系统应实现FTA_TAB.1，要求在用户与操作系统或党政应用系统建立会话前，系统应显示有关使用系统的劝告性警示信息。8.1.9.5TOE访问历史(FTA_TAH)本类别的系统应实现FTA_TAH.1，要求在用户与操作系统或党政应用系统成功建立会话的基础上，显示该用户上一次成功建立会话的时间、方法和位置，以及上一次建立会话失败时的时间、方法和位置。8.1.9.6TOE会话建立(FTA_TSE)本类别的系统应实现FTA_TSE.1，要求在网络系统、操作系统、公共应用平台系统、党政应用系统中提供根据用户安全属性拒绝与其建立会话的机制。8.1.10FTP类：可信路径/信道8.1.10.1TSF间可信信道（FTP_ITC）本类别的系统应实现FTP_ITC.1，要求在系统中执行关键的安全操作时，应使用可信信道传递相关数据。8.2安全管理要求本类别的安全管理要求提供一种全面的管理配置要求，适用于应对安全犯罪的威胁，以及配合本类别技术要求。本类别适合于在对正确操作需要高度信任的场合。在这一类别，安全管理过程是依据文档化的标准过程，而进行裁剪并经批准的。党政机关的关键信息系统至少应达到本类别的要求，本类别在人员和相应的信息保护方面应给予全面的考虑。8.2.1安全策略8.2.1.1信息安全策略8.2.1.1.1信息安全策略文件策略文件应由党政机关管理部门批准，将其传达给有关部门和人员。策略文件应说明管理承诺，并提出党政机关管理信息安全的途径。应包括下列内容：a）信息安全定义、其总目标和范围以及作为信息共享使能机制的安全的重要性；b）管理目标的说明，以支持信息安全的目的和原则；c）对党政机关信息系统特别重要的安全策略、原则、标准和符合性要求的简要说明，例如：1)服从法律和合同要求；2)安全教育要求；3)防止和检测病毒及其他恶意软件；4)业务连续性管理；5)安全策略违反的后果。d）安全信息管理（包括报告安全事故）的总职责和特定职责的定义；e）引用可以支持策略的文件，例如，特定信息系统的更详细的安全策略和规程，或用户应遵守的安全规则。应以可访问的和可理解的形式将策略传递给整个系统的用户。8.2.1.1.2安全策略评审党政机关至少应指定一名责任人（专职或兼职），负责按照一定的程序对信息安全策略进行维护和评审。该评审应基于原风险评估的任何变更进行，例如，重大的安全事故、新的脆弱性、组织或技术上的基础设施的变更等。周期性评审应包括下列内容：a）通过所记录的安全事故的性质、数目和影响，证明该策略的有效性；b）控制的成本和对业务效率的影响；c）技术变更的影响。8.2.2组织的安全8.2.2.1信息安全管理基础57 DB11/T171—2002应建立党政机关信息系统的安全管理的组织框架，以启动和控制党政机关范围内的信息安全的实施。应建立有管理负责人参加的信息安全管理专题会议制度，以批准整个组织内的信息安全策略、指派安全角色以及协调安全实施。根据需要，可在系统内建立专家信息安全建议原始资料库。应发展与外部各领域的安全专家的联系，以便跟上行业趋势，关注标准和评估方法，并且当发生安全事故时，提供支持。8.2.2.1.1信息安全管理专题会议信息安全管理专题会议应形成决议，保证投入足够的资源以确保党政机关信息系统的安全。专题会议应有人专门负责。会议应进行下列议题：a）审批信息安全策略和职责；b）审查和监控信息安全事故；c）审批信息安全的新举措等。8.2.2.1.2信息安全协调党政机关内，应由最高领导或其代表通过协调会的形式协调和解决以下问题：a）商定整个机构中信息安全的特定角色和职责；b）商定信息安全的特定方法和过程，例如风险评估，安全分类体制；c）商定和支持组织范围的安全宣贯计划等重要的基础性工作；d）确保信息安全是系统规划的重要部分；e）对新系统或服务的特定信息安全控制进行充分度的评估，并协调实施这些控制；f）审查信息安全事故等。8.2.2.1.3信息安全职责的分配党政机关应明确定义各种信息资产的保护职责和特定安全处理的职责。信息安全策略应对党政机关内的安全角色和职责分配提供全面指导。若需要，可以用特定场地、系统或服务的更详细的指导予以补充。各个物理及信息资产和安全过程（诸如业务连续性规划）的局部职责应予以清晰地定义。应任命一名信息安全管理者全面负责安全的规划和实施。党政机关内应对每一信息资产指定一名责任人，对日常安全负责。安全管理人员可分为：系统管理员、安全管理员、审计管理员等。8.2.2.1.4信息处理设施的授权过程党政机关信息系统新增信息处理设施时，应建立相应的管理授权过程，并考虑如下内容：a）新设施应有相应的业务主管部门和安全主管部门的批准；b）硬件和软件应进行检验，以确保与其他系统部件的兼容；c）在办公区域内使用个人信息处理设施时应进行脆弱性评估和专门授权。8.2.2.1.5专家信息安全建议党政机关应聘请信息安全专家顾问，提供关于信息安全各方面的建议，包括评定安全威胁和控制措施的建议，以帮助进行信息系统的安全性和有效性评估。对可能发生的安全事故应及早咨询信息安全专家顾问。8.2.2.1.6组织之间的合作应保持与法律执行机构、制定法规的机构、信息服务提供者和电信运营商的联系，以确保出现安全事故时可以快速采取行动并获得建议。组织间安全信息的交换和共享应受到控制，以确保本系统的保密信息不被未授权获取。8.2.2.1.7信息安全的独立评审58 DB11/T171—2002信息安全策略的实施应独立地予以评审，以保证该策略的可行性和有效性。该评审可以通过内部的审核职能部门、独立的管理者或专门做这种评审的第三方机构来进行，条件是他们必须具有相应的技能和经验。8.2.2.2第三方访问的安全因业务需要，第三方访问党政机关信息处理设施时，应进行风险评估，确定访问条件和许可限度，并在合同中明确地体现。8.2.2.2.1标识第三方访问的风险8.2.2.2.1.1访问类型应明确第三方访问的类型，第三方访问类型包括：a）物理访问，例如，访问办公室，计算机机房，档案室；b）逻辑访问，例如，访问党政机关的数据库，信息系统。8.2.2.2.1.2访问的原因应明确第三方访问的原因，诸如：a）硬件和软件支持人员需要访问系统级别或低级别应用功能度；b）贸易伙伴或联合投资者可以交换信息，访问信息系统或共享数据库。若有业务需要连接到第三方，应进行风险评估，以确定相应的控制要求。应考虑所要求的访问类型、信息的价值、第三方所采用的控制措施，以及访问给党政机关信息系统带来的信息安全问题。8.2.2.2.1.3现场合同方现场第三方包括：a）硬件和软件的维护和支持人员；b）清洁、给养、安全保卫和其他外包支持服务人员；c）短期任用的实习生；d）顾问等。对第三方访问的所有安全要求应在第三方合同中明确。若对信息的保密性有特定的要求，可签定保密协议。在合同签字之前不允许第三方访问党政机关信息系统的信息和信息处理设施。8.2.2.2.2第三方合同中的安全要求第三方对信息处理设施的访问活动，应以包含或引用所有重要要求的正式合同为基础。该合同应确保不存在误解。合同中应包括下列条款：a）信息安全策略；b）资产保护：1)保护信息资产的规程；2)资产受损（例如丢失数据或修改数据）的评估规程；3)合同结束时信息资产的归还或销毁；4)完整性和可用性；5)对信息复制的限制等；c）每项服务的描述；d）服务的目标级别和服务不可接受的级别；e）人员转职的规定（必要时）；f）合同双方的相关义务；g）关于法律事件（例如，数据保护法律）的责任；h）知识产权（IPRs）和版权转让以及任何协作性工作的保护；i）第三方访问控制：59 DB11/T171—20021)允许的访问方法，唯一标识符（诸如用户ID和口令）的控制和使用。2)用户访问和特权的授权过程；3)维护授权用户列表，并明确他们相关的权利和特权；j）监控和撤销用户活动的权利；k）审核合同职责的权利或拥有由第三方进行这些审核的权利；l）关于硬件和软件安装和维护的职责；m）变更管理过程；n）物理保护机制；o）对用户和管理者在方法、规程和安全方面的培训；p）防止恶意软件的措施；q）安全事故、安全违规的报告、通知和调查程序；r）分包的第三方相关内容等。8.2.2.3外包应在双方的外包合同中指出信息系统、网络或桌面环境的风险、安全控制和规程。8.2.2.3.1外包合同中的安全要求信息系统、网络或桌面环境的全部或某些部分的管理和控制进行外包时，应在双方之间所商定的合同中明确安全要求。该合同应包括：a）如何满足法律要求，例如，数据保护法律；b）什么样的安排可确保外包所涉及的各方（包括转包商）知道其安全职责；c）业务资产的完整性和保密性如何维护和测试；d）将使用什么样的物理和逻辑控制措施来限制已授权用户访问敏感的业务信息；e）有自然灾害时，如何维护服务的可用性；f）对外包设备要提供什么级别的物理安全；g）审核的权利。该合同应允许合同双方在安全管理计划中扩充安全要求和规程。8.2.3资产分类和控制8.2.3.1资产的可核查性所有主要的信息资产应是可核查的，有指定的责任人，并赋予维护相应控制和授权的职责。8.2.3.1.1资产清单汇编资产清单的过程是风险管理的重要部分。应在资产清单中标识出资产、资产价值和相称的保护级别。应明确清单中每一资产所有权、安全级别以及所处位置，并形成文件。党政机关信息系统的资产应包括：a)信息资产：数据库和数据文件，系统文档，用户手册，培训材料，操作或支持规程，连续性规划，后备运行安排，归档的信息；b)软件资产：应用软件，系统软件，开发工具和实用程序；c)物理资产：计算机设备（处理器、监视器、膝上计算机、调制解调器），通信设备（路由器、自动用户交换机（PABX）、传真机、应答机），存储媒体（例如，磁带、磁盘、光盘、闪存等），其他技术设备（电源、空调装置），家具，用具；d)服务：计算和通信服务，一般公用服务（例如供暖、照明、能源、空调等）。8.2.3.2信息分类党政机关信息系统的信息应分类，以分类来确定需求、优先级和保护程度。8.2.3.2.1分类指南60 DB11/T171—2002信息的分类及相关保护措施应考虑到共享或限制信息的业务需求，以及与这种需求相关的业务影响，例如，对信息的未授权访问或损坏。分类数据处理系统的信息和输出应根据它的价值、重要程度和敏感度予以标记。应考虑信息的敏感度随时间的变化，并根据预先确定的策略加以变更。8.2.3.2.2信息标记和处理根据所采纳的分类方案对信息标记和处理制定合适的管理规程。这些规程应涵盖物理和电子格式的信息资产，并涵盖下列信息处理活动类型：a）拷贝；b）存储；c）邮政、传真和电子邮件的传输；d）话音传输，包括移动电话、话音邮件、应答机；e）销毁。含有分类为敏感信息的系统输出应携带合适的分类标记。系统输出包括打印报告、屏幕显示、记录媒体（磁带、磁盘、光盘、盒式磁带）、电子报文和文件传送。物理标记一般是最合适的标记形式。某些信息资产（诸如电子形式的文件等）在物理上不能做标记，应使用电子标记手段。8.2.4人员安全8.2.4.1工作设定和人力资源的安全在人员招收阶段应明确其安全职责，并包含在合同条款中；在聘用期间应进行考查。对从事敏感性工作的人员，应进行充分的筛选。所有人员和信息系统的第三方用户应签署保密协议。8.2.4.1.1工作职责中的安全应以文件的形式在信息安全策略中列出安全角色和职责。该职责应包括实施或维护安全策略的总职责，以及保护特定资产或执行特定安全活动的特定职责。8.2.4.1.2人员筛选和策略固定人员的鉴定核查应在职务申请当时进行。应核查下列各项：a）个人品行的评价材料；b）履历的核查（针对完整性和准确性）；c）学术、专业资格的核实等。对重要职位的人员，应定期进行相关的核查。对于合同商和临时职员应进行类似的筛选过程。8.2.4.1.3保密协议每个工作人员应签定保密协议。临时职员和第三方用户在访问信息处理设施之前均应签定保密协议。当人员聘用或合同的期限有变化时，特别是合同到期终止时，要审查保密协议。8.2.4.1.4聘用期限和条件人员的聘用期限和条件中应符合其信息安全职责。必要时，这些职责可在聘用结束后继续履行一段规定的时间。8.2.4.2用户培训党政机关信息系统的用户应接受安全规程和正确使用信息处理设施方面的培训。8.2.4.2.1信息安全教育和培训所有人员和相关的第三方用户应定期接受安全策略和规程方面的培训，包括安全要求、合法职责和业务控制以及在给予访问信息和服务之前正确使用信息处理设施的培训，例如登录过程，使用软件包等。8.2.4.3对安全事故和故障的响应61 DB11/T171—2002影响安全的事故应尽快通过合适的管理渠道报告。所有人员和合同方应知道不同类型安全事故（安全违规、威胁、弱点或故障）的报告程序，应要求他们尽可能快地把任何观察到的或推测到的事故报告给指明的联系点。在出现事故之后，应尽快地收集证据。对安全违规的处理，应制定正式的纪律处理办法。8.2.4.3.1报告安全事故应建立正式的报告程序和事故响应规程，并在收到事故报告时提出处理方案。相应的反馈过程应予以实现，以确保在事故已经处理和结束之后将结果通知报告事故的人员。8.2.4.3.2报告安全弱点应要求信息服务的用户通知并报告任何观察到或预测到的系统或服务的安全弱点。应通知用户在任何情况下，不要企图证明预测到的弱点。8.2.4.3.3报告软件故障应建立报告软件故障的规程。该规程应包括下列内容：a）记录故障症状和屏幕上出现的故障信息。b）故障计算机宜加以隔离，并停止使用；应立即报警；在待检设备重新加电之前，应与网络断开；故障计算机的磁盘不要转移到其他计算机。c）立即向信息系统的安全管理人员报告。用户不要试图移去可疑软件，除非被授权。应由受过专门培训的、有经验的人员进行恢复。8.2.4.3.4从事故中学习应建立适当的机制，对安全事故和故障的类型、影响、代价进行量化和监控，并将这些信息用于对将来安全事故的预防和限制。8.2.4.3.5纪律处理对于违反了安全策略和规程的人员，应进行纪律处理。8.2.5物理和环境的安全8.2.5.1安全区域关键和敏感的业务信息处理设施应放置在安全区域内。这些设施应在物理上避免未授权访问、损坏和干扰。宜采用清理桌面和清空屏幕的策略，以减少未授权访问或损坏记录纸、媒体和信息处理设施的风险。8.2.5.1.1物理安全周边应使用安全周边来保护包含信息处理设施的区域。安全周边的控制应包括：a)安全周边应有明确定义；b)包含有信息处理设施的建筑物或场地的周边应在物理上是安全的（即，在周边或区域内不存在物理漏洞），场地的外墙应结构坚固，所有通向外部的门应有适当的保护措施，如门闩、报警器和锁等；c)因安排专人接待或采取其他对场地或建筑物的物理访问控制手段；访问场地或建筑物应仅限于已授权人员；d)地板到天花板均应建立物理屏障，以防止未授权进入和由诸如火灾和水灾所引起的环境污染；e)安全周边的所有防火门应在发生火灾时，发出报警信号，并紧闭。8.2.5.1.2物理入口控制安全区域应由适合的物理入口控制所保护，以确保只有已授权的人员才被允许访问。应考虑下列控制手段：62 DB11/T171—2002a）对安全区域的访问者应予以监督或办理进入手续，并记录他们进入和离开的日期和时间。只能同意他们访问特定的已授权目标，并让他们知道该区域的安全要求和应急规程；b）访问敏感信息和信息处理设施要受到控制，并且仅限于已授权的人员。鉴别控制［例如，插卡和个人识别号（PIN）］应用于授权和确认所有访问。所有访问的审计迹应加以安全维护；c）要求所有人员佩带某种形式的可视标识，对无内部人员陪同或未佩带可视标识的访问者应予以询问；d）对安全区域的访问权利要定期地予以审查和更新。8.2.5.1.3办公室、房间和设施的安全保护安全区域可以是在物理安全周边内侧上锁的办公室或者几个房间。这种办公室可以是上锁的并且可以包含可锁的铁柜或保险柜。安全区域的选择和设计应考虑到防止火灾、水灾、爆炸以及其他形式的自然或人为灾难的损坏的可能性。还要考虑到相关健康和安全的规章和标准。对于由邻近建筑物所引起的任何安全威胁（例如，来自其他区域的水泄漏）也应考虑。控制措施应包括下列例项：a）使关键设施安放在避免公众直接访问的场地；b）建筑物要不引人注目，并且在建筑物内侧或外侧用最少的不明显标记指示其用途，以标识信息处理机构的存在；c）支持性功能器件和设备（例如复印机、传真机）应安放在安全区域内，以避免未授权访问；d）无人值守时，外部保护的门和窗应上锁；e）按照专业标准所安装的并定期测试的监控系统应装在合适的位置，以监控所有外部的门和可接近的窗户。对未占用的区域，在所有时刻也应予以监控。对于其他区域（例如，计算机机房或通信机房）也应提供掩蔽物；f）信息处理设施在物理上要与第三方所管理的那些信息处理设施分开；g）标识敏感信息处理设施位置的文档和内部电话簿不应轻易由公众得到；h）危险或易燃物品应安全存放在离安全区域有一定安全距离的地方；i）基本维持运行的设备和备份媒体的存放应保持一定的安全距离，以免受主要场地灾难时同时损坏。8.2.5.1.4在安全区域工作应对在安全区域中工作的人员或第三方以及在这里进行第三方活动加以控制。控制措施应包括：a）只在有必要时，人员才应知道安全区域的存在或在其中的活动；b）为防止恶意活动，应避免在安全区域内进行不受监督的工作；c）未用的安全区域应加物理锁，并定期检查；d）仅在需要时，才可允许第三方服务支持人员对安全区域或敏感性信息处理设施进行有限制的访问，该访问应经过授权并受到监督；e）在安全周边内具有不同安全要求的区域之间，宜设置控制物理访问的附加屏障和边界；f）未经授权，不允许携带摄影、声频、视频或其他记录设备进入安全区域。8.2.5.1.5隔离的交接区域交接区域应受到控制，宜与信息处理设施隔离，以免未授权访问。该区域的安全要求应根据风险评估来确定。控制要求应包括下列内容：a）由建筑物外进入交接区仅限于已标识的和已授权的人员；b）交接区域的设计，应保证交货人员在无进入建筑物其他区域的许可时能完成交货任务；c）当内部的门打开时，交接区域外部的门应紧闭；d）从交接区进来的物资在到达使用地点之前，应检查其潜在的危险；e）如果需要，由交接区进来的物资应在场地的入口处进行登记。63 DB11/T171—20028.2.5.2设备安全应保护物理设备，考虑设备的安放和处置，以使设备免受物理上的安全威胁和环境危险。对支持性设施（诸如电源和布线基础设施）应有专门的控制保护，以防止未授权访问。8.2.5.2.1设备安置和保护设备的安置或保护应包括：a）设备的安置应尽量减少不必要的访问工作区域；b）应适当安放敏感数据的信息处理设施和存储设施；c）专门保护的部件应予以隔离；d）应采取控制使以下潜在威胁的风险减到最小：偷窃、火灾、爆炸、烟雾、水（或供水故障）、尘埃、振动、化学影响、电源干扰、电磁辐射；e）应考虑附近建筑物内发生灾难的影响，例如，邻近建筑物的火灾，屋顶漏水或地下室地板渗水等。8.2.5.2.2电源应避免电源故障和其他电力异常；应选用符合设备制造标准的电源。保证连续供电的措施：a）多路馈电，以避免电源中单点故障；b）不间断电源（UPS）；c）备份发电机。对于支持关键业务操作的设备，宜使用支持有序关机或连续运行的UPS。意外事故的应对计划应包括UPS故障时所采取的动作。UPS应定期地检查和测试。当电源故障时间较长时，应启用备份发电机。如果安装备份发电机，电机应定期测试。在主电源故障时应提供应急照明。应将避雷保护应用到所有建筑物，雷电保护过滤器要装配到所有外部通信线路。8.2.5.2.3布线安全电源和支持信息服务的数据通信线缆应防止窃听或损坏。控制应包括下列内容：a）进入信息处理设施的电源和通信线缆宜在地下，或者有足够的可替换保护；网络布线应免受窃听或损坏，例如，电缆管道避开公众区域；b）为了防止干扰，电源电缆要与通信电缆分开；c）对于敏感的或关键的系统，应考虑：1）在检查点和终接点处安装铠装电缆管道和上锁的操作间；2）使用可替换的路由选择或传输媒体；3）使用光纤布线；4）清除与电缆连接的未授权装置。8.2.5.2.4设备维护设备应正确地维护，以确保其连续可用性和完整性。控制应包括：a）应按照供应商推荐的服务时间间隔和规范对设备进行维护；b）只有已授权的维护人员才可对设备进行修理和服务；c）要保存所有的故障记录和维护记录。8.2.5.2.5离开建筑物的设备的安全在党政机关建筑物外使用信息系统的任何设备应通过党政机关管理部门授权。应考虑到建筑物外的工作风险。信息处理设备包括所有形式的个人计算机、电子记事簿、移动电话、记录纸或其他适于家庭工作的、便于运输的设备。控制应包括：a)离开建筑物的设备和媒体在公共场所应有人值守；b)应按保护说明书使用设备，例如，防止暴露于强电磁场内；64 DB11/T171—2002c)应有足够的掩蔽物，保护设备离开场地。8.2.5.2.6设备的安全处置和安全重用包含敏感信息的存储器在物理上应进行安全改写，而不是只使用一般的删除功能。应检查包含存储媒体（例如，固定硬盘）的设备中的所有部件，以确保任何敏感数据和许可的软件在处理之前已经清除或改写。包含敏感数据的已损坏的存储器应进行风险评估，以确定这些部件是否要进行销毁、修理或丢弃。8.2.5.3一般控制信息和信息处理设施应予以保护，以防止泄露给未授权人员。8.2.5.3.1清理桌面和清空屏幕策略应对记录纸和可移去的存储媒体采取清理桌面策略，对信息处理设施采取清空屏幕策略，以减少对信息的未授权访问、丢失和损坏的风险。该策略应考虑到信息安全分类、相应的风险。具体控制应包括：a）记录纸和计算机媒体在不使用时，特别是在工作时间之外，应存储在上锁的柜子或其他形式的安全器具中；b）包含敏感或关键业务信息的文件在不用时，特别是离开办公室时，应妥善地存放于耐火保险柜或箱中；c）个人计算机和计算机终端和打印机在无人值守和不使用时，应采用物理锁、口令等进行保护；d）邮件箱、无人值守的传真机和智能电报机要受到保护；e）复印机在正常工作时间之外，应上锁或者采取其他方法防止未授权使用；f）打印后，敏感的或保密的信息应立即从打印机中清除。8.2.5.3.2财产的移动未经授权，不应让设备、信息或软件离开场地。若需要，应对设备做外挪记录；返回时，也应做记录，并应定期抽查。8.2.6通信和操作管理8.2.6.1操作规程和职责应建立所有信息处理设施的管理职责和操作规程。必要时，应实施责任分开，以减少疏忽或故意滥用系统带来的风险。8.2.6.1.1文件化的操作规程由安全策略所标识出的操作规程应形成文件并加以维护。操作规程文件的变更应由管理部门授权。该规程应规定每个作业执行的详细说明，其内容应包括下列内容：a）信息处理；b）进度要求，包括与其他系统、作业开始和完成时间的相互关系；c）在作业执行期间可能出现处置差错或其它异常情况的说明，包括对使用系统实用程序的限制；d）出现操作或技术困难时的支持；e）特定输出处理说明，诸如使用特殊信纸或保密输出，包括对失败作业的输出进行安全处理的规程；f）系统失效时的系统重新启动和恢复规程。与信息处理和通信设施相关的系统内务活动应编制形成文件的规程，诸如计算机起动和关机规程、备份、设备维护、计算机机房和邮件处置管理和物理安全。8.2.6.1.2操作变更控制对信息处理设施和系统的变更应加以控制。操作程序的变更应严格控制。变更时，包含所有相关信息的审计日志应予以保留。操作和应用变更控制规程应结合起来。控制应包括：a）重大变更的标识和记录；b）对这种变更潜在影响的评估；65 DB11/T171—2002c）对变更建议的正式批准程序；d）向所有有关人员通知变更细节；e）不成功变更时的撤销和恢复规程。8.2.6.1.3事故管理规程应建立事故管理职责和规程，以确保快速、有效和有序地响应安全事故。控制应包括：a）应建立规程，以涵盖所有潜在的安全事故类型，包括：1）信息系统故障和服务丢失；2）拒绝服务；3）由不完整或不准确的业务数据导致的差错；4）保密性违规。b）除正常的应急计划外，还应涵盖下列规程：1）事故原因的分析和标识；2）若需要，规划和实施补救，以防止再次发生；3）收集审计迹和证据；4）与受事故影响或涉及恢复的人员的联系；5）向有关部门报告。c）必要时，应对下列内容收集审计迹和相关证据并且使其安全保密：1）内部问题分析；2）用作潜在合同违规、管理要求违规、民事或刑事活动的证据；3）软件和服务供应商赔偿谈判。d）应控制从安全违规中恢复和纠正系统故障的操作，并确保：1）只有已授权的人员才允许访问运行中的系统和数据；2）所采取的全部应急动作应形成文件；3）将应急动作报告给管理部门，并按有序的方式进行评审；4）尽快对业务系统和控制的完整性加以证实。8.2.6.1.4责任分离责任分离是一种减少系统滥用风险的方法。责任的管理或执行应分离，以便减少未授权修改或滥用信息或服务的机会。安全审计应保持独立。事件的启动应与其授权分离。不同环节和同一环节均应采取责任分离措施以避免勾结和欺诈行为，例如，提出采购订单和验收货物。8.2.6.1.5开发和运行设施分离应分离开发、测试和运行设施。应规定从开发状态到运行状态的软件传送程序并形成文件。在运行、测试和开发环境之间所需要的分离程度应加以考虑。在开发和测试功能之间，类似的分离也应加以实现。开发、测试和运行设施的分离措施应包括：a）开发和运行的软件应在不同的计算机处理器上或在不同的域或目录内运行；b）开发和测试活动要尽可能分离；c）当不需要编译程序、编辑程序和其他系统实用程序时，运行中的系统不允许对它们进行访问；d）对运行和测试系统应使用不同的登录规程，以减少出错的风险。例如，对这些系统使用不同的用户口令，选单要显示合适的标识报文；e）运行系统应有口令分发控制。开发人员只可使用操作口令进行访问，控制应确保这种口令在使用后被变更。66 DB11/T171—20028.2.6.1.6外部设施管理使用外部合同商管理的信息处理设施可能引入潜在的安全泄露，诸如，该合同商的场地可能有数据泄露、损坏或丢失。这些风险应预先加以标识，并且与合同商商定适当的控制。合同中应加入这些内容，并应包括：a）标识出需保留在内部的敏感或关键的应用；b）获得业务应用责任人的批准；c）业务连续性计划的内容；d）规定安全标准，检测符合性的过程；e）分配特定职责，有效监控所有相关的安全活动的规程；f）报告和处理安全事故的职责和规程。8.2.6.2系统规划和验收为了确保足够能力和资源的可用性，系统应预先规划。在新系统验收和使用之前，应建立该新系统的运行要求。8.2.6.2.1能力规划能力需求应受监控，应制订有进一步能力要求的项目，以确保获得足够的处理能力和存储空间。这些项目应考虑到信息处理中新业务的要求以及发展趋势。主服务器的管理者应监控关键系统资源的利用，包括处理器、主存储器、文件、存储器、打印机和其他输出设备以及通信系统。（管理者）应标识出与业务应用或管理信息系统工具相关的使用。8.2.6.2.2系统验收应建立新信息系统、升级和新版本的验收准则。在接收之前，对系统要进行合适的测试。管理者应确保验收新系统的要求和准则被明确定义、商定、形成文件和测试。控制应包括：a）性能和计算机能力要求；b）差错恢复、重新启动规程以及应急计划；c）按照已定义标准、例行程序、操作规程进行准备和测试；d）有效的手动规程；e）业务连续性安排；f）新系统的操作和使用方面的培训。8.2.6.3防止恶意软件要求有预防措施，以防止和检测恶意软件的引入。应让用户了解未授权的或恶意的软件的危险。必要时，应采用专门的控制，以检测或防止它的引入。特别是，采取预防措施检测和防止个人计算机上的计算机病毒。8.2.6.3.1控制恶意软件应实施恶意软件的检测和预防控制，加强用户的防恶意软件的意识。防止恶意软件应基于安全意识、合适的系统访问和变更管理控制。控制应包括：a）软件使用要求有软件许可（license）,禁止使用未授权软件；b）防止风险增大的策略，该风险与来自或经由外部网络、在任何其他媒体上获得的文件和软件相关，该策略应明确采取什么保护措施；c）安装并定期更新防病毒检测和修复软件；d）对支持关键业务处理的系统中的软件和数据内容应进行定期审查；e）对于不明来历或未授权的电子媒体上的任何文件、从不可信的网络上收到的文件，在使用前应进行病毒检查；f）任何电子邮件附件在下载或使用前应针对恶意软件进行检查。该检查可以在不同的位置进行，例如，在电子邮件服务器、台式计算机处或者当进入网络时；g）关于系统和系统使用的培训、报告病毒攻击、病毒预防、从病毒攻击中恢复等管理规程和职责；67 DB11/T171—2002h）相应的从病毒攻击中恢复的业务连续性计划，包括所有必要数据和软件备份以及恢复安排；i）管理应确保使用合格的来源（例如，可靠的Internet网站或防病毒软件供应商），以区分欺骗和实际病毒。应让人员了解欺骗问题，以及在收到它们时要做什么。8.2.6.4内务处理为执行商定的备份策略，应建立例行规程。备份策略可包括数据备份拷贝，数据恢复训练，记录事件和故障，必要时，监控设备环境。8.2.6.4.1信息备份应定期产生最重要业务信息和软件的备份拷贝。应提供足够的备份设施，以确保在天灾或媒体故障之后可以恢复所有最重要业务信息和软件。应定期测试各个系统的备份设备，以确保它们满足业务连续性计划的要求。控制应包括：a）最低级别的备份信息以及备份拷贝准确完整的记录和文件化的恢复规程应存储在有足够距离的远程地点，以避免主要场地天灾时受到损坏。对于重要的业务应用至少应保留三代或若干周期的备份信息；b）应给予备份信息一个与主要场地所应用标准相一致的合适的物理和环境保护级别。应扩充应用于主要场地媒体的控制，以覆盖备份场地；c）若可行，应定期测试备份媒体，以确保当需要应急使用时可以依靠这些备份媒体；d）应定期检查和测试恢复规程，以确保恢复时，在运行规程所分配的时间内是有效的并能完成的。应确定最重要业务信息的保存周期以及对要长久保存的档案拷贝的任何要求。8.2.6.4.2操作员日志操作人员应维护其活动日志。日志应包括：a）系统开始和结束时间；b）系统出错和所采取的纠正动作；c）数据文件和计算机输出的正确处理的证实；d）产生日志项的人员名字。操作员日志应定期、独立地按操作规程检查。8.2.6.4.3故障记录应报告故障并采取纠正动作。与信息处理或通信系统问题相关的用户所报告的故障应加以记录。对于所报告的故障的处理应有明确的规则，包括：a）评审故障日志，以确保已满意地解决故障；b）评审纠正措施，以确保控制未被损害，以及所采取的动作被充分授权。8.2.6.5网络管理要求注意可以跨过组织边界的网络的安全管理。还可以要求附加的控制，以保护在公共网络上传递的敏感数据。8.2.6.5.1网络控制为获得和维护计算机网络的安全，要求若干控制。网络管理者应实施控制，以确保网络中的数据安全，防止未授权访问所连接的服务。控制应包括：a）网络的操作职责应与计算机操作分开；b）应建立远程设备（包括用户区域内的设备）管理的职责和规程；c）必要时，应建立专门的控制，以保护在公用网络上传递数据的保密性和完整性，以及已连接的系统。为维护所连接的网络服务和计算机的可用性，可要求专门的控制；d）为优化业务服务，确保在信息处理基础设施上始终如一地应用控制，应紧密地协调管理活动。8.2.6.6媒体处置和安全媒体应受到控制并且在物理上受保护。68 DB11/T171—2002为使文件、计算机媒体（磁带、磁盘、盒式磁带）、输入/输出数据和系统文件免遭损坏、偷窃和未授权访问，应建立合适的操作规程。8.2.6.6.1可移动的计算机媒体的管理对于可移动的计算机媒体（如磁带、磁盘、盒式磁带和打印的报告等）的管理应有规程。控制应包括：a）对取走的任何可重用的媒体中的先前内容，如果不再需要，应将其擦除掉；b）对于取走的所有媒体应要求授权，所有这种移动的记录应加以保持，以保持审计踪迹；c）应将所有媒体存储在符合制造商规范的安全、保密的环境中。所有规程和授权级别应形成文件。8.2.6.6.2媒体的处置当媒体不再需要时，应秘密和安全地处置。应建立秘密处置媒体的正式规程，以使风险减至最小。控制应包括：a）包含有敏感信息的媒体应秘密、安全地存储和处置，例如，利用焚化或切碎的方法，或者将数据清空供系统内另外的应用使用；b）把所有媒体部件收集起来并进行秘密处置；c）应注意选择具有足够经验的合适的合同商对记录纸、设备和媒体进行收集和处置；d）处置敏感部件宜做记录，以便保持审计踪迹。当堆积处置媒体时，对聚集的影响应予以考虑，大量的未分类信息可能变得比小量的分类信息更敏感。8.2.6.6.3信息处置规程应建立信息处置和存储的规程，以便使这样的信息免遭未授权泄露或滥用。为处置文件、计算系统、网络、移动计算、移动通信、邮件、话音邮件、一般话音通信、多媒体、邮政服务/设施、传真机的使用和任何其他敏感项目（例如，空白支票、发票）中与其分类一致的信息，应制定若干规程。控制应包括：a）处置和标记所有媒体；b）维护已授权的数据接收者的正式记录；c）确保输入数据完整，正确完成处理和应用输出的确认；d）按照与其敏感度一致的级别，保护等待输出的假脱机数据；e）媒体存储在符合制造商规范的环境中；f）使分发的数据最少；g）标记数据所有拷贝以引起已授权接收者注意；h）以定期的时间间隔评审分发列表和已授权接收者列表。8.2.6.6.4系统文件的安全系统文件可以包含有一系列敏感信息，例如，应用过程的描述、规程、数据结构、授权过程。控制应包括：a）应安全地存储系统文件；b）将系统文件的访问列表保持在最小范围，并且由应用责任人授权；c）应妥善地保护保存在公用网络上的或经由公用网络提供的系统文件。8.2.6.7信息和软件的交换跨系统、跨机关交换的信息和软件应受到控制，并应符合相关法律。应在协定的基础上进行交换。应建立保护运输中信息和媒体的规程和标准。应考虑业务和电子数据交换、电子商务和电子邮件相关的安全及控制要求。8.2.6.7.1信息和软件交换协定69 DB11/T171—2002对跨系统、跨机关交换的信息和软件（电子的或人工的），应建立若干协定，必要时可包括软件协议。这种协议的安全内容应反映所涉及的业务信息的敏感度。关于安全状态的协定应考虑：a）控制和通知传输、发送和接收方面的管理职责；b）通知发送者、传输、发送和接收方面的规程；c）打包和传输的最低技术标准；d）信使标识标准；e）数据丢失时的责任和义务；f）标记敏感或重要信息的系统的使用，保证标记的含义能直接被理解，以及信息受到保护；g）数据保护、软件版权符合相关的所有权和职责；h）记录、阅读信息和软件的技术标准；i）为保护敏感项，诸如密码密钥，可要求任何专门的控制。8.2.6.7.2运输中的媒体安全为保护在场地之间运输的计算机媒体，控制应包括：a）应使用可靠的运输措施或信使。已授权信使的列表应与管理（部门）商定，并实施检查信使标识的规程；b）包装应足以保护内容免遭在运输期间可能出现的任何物理损坏，并符合制造商的规范；c）必要时，应采取专门的控制，以保护敏感信息免遭未授权泄露或修改。例如：1）使用可上锁的容器；2）手工交付；3）防拆包装；4）在异常情况下，把托运货物分解成多次交付，并且通过不同的路线发送；5）使用数字签名和加密机制。8.2.6.7.3电子邮件的安全8.2.6.7.3.1安全风险为减少电子邮件所产生的安全风险，应予以控制。其安全风险包括：a）报文易遭受未授权访问或修改或拒绝服务的脆弱性；b）易遭受差错的脆弱性，例如，不正确的寻址，以及服务的可靠性和可用性；c）通信媒体变更对业务过程的影响，例如，增加发送速度的影响或者从个人到个人（不是从公司到公司）发送报文的影响；d）法律的考虑，诸如，需要源发、发送、交付和接收的证据；e）公布可访问人员列表的安全问题；f）控制远程用户访问电子邮件帐户。8.2.6.7.3.2关于电子邮件的策略应制定关于使用电子邮件的策略，控制应包括：a）对电子邮件的攻击，例如，病毒，截取；b）保护电子邮件附件；c）何时不使用电子邮件的指南；d）职员有义务不损坏公司利益，例如，不发送诽谤性电子邮件，不得使用电子邮件进行骚扰，不得进行未授权采购；e）使用密码技术来保护电子报文的保密性和完整性；f）报文的保留。在提出诉讼时，可以显示保留的报文；g）对不能被鉴别的报文交换用的附加检查和控制。8.2.6.7.4电子办公系统的安全为控制与电子办公系统相关的业务和安全风险，应制定和实施有关的策略和指南。70 DB11/T171—2002控制应包括：a）办公系统中信息的脆弱性，例如，记录电话呼叫或会议呼叫，呼叫的保密性，传真的存储，打开邮件，分发邮件；b）管理信息共享的策略和相应控制，例如，使用公共电子公告牌；c）如果系统不提供合适的保护级别，则不包括敏感业务信息种类；d）限制访问与选定个人相关的日记簿信息，例如，正从事敏感项目的人员；e）支持业务应用的系统的可适性，诸如，通信指令或授权；f）允许使用系统的工作人员、合同商或业务伙伴的类别，以及许可访问的位置；g）对特定种类用户限定所选定的设施；h）标识出用户的身份；i）系统上存放的信息和备份；j）回退的要求和安排。8.2.6.7.5公开可用系统应保护电子出版信息的完整性，以防止可能有损名誉的未授权修改。在公开可用系统上的信息（例如，经由Internet可访问的Web服务器上的信息），应符合该系统所在的或发生贸易的辖区内的法律、法规和规章制度。在信息公开之前，应有正式的授权过程。在公开可用系统上可提供的并要求高级别完整性的软件、数据和其他信息，应受相应机制所保护，例如，数字签名。应控制电子出版系统，特别是允许反馈和直接录入信息的那些电子出版系统。控制包括：a）按照数据保护法律获取信息；b）对输入到出版系统并由出版系统处理的信息，应及时、完整、准确地予以处理；c）在收集、存储过程中，保护敏感信息；d）对出版系统的访问应不会引起无意中访问到与之连接的网络。8.2.6.7.6信息交换的其他形式应制定规程以保护通过使用话音、传真和视频通信设施的信息交换。在使用话音、传真和视频通信时，应建立工作人员须遵守的规程的策略说明，包括：a）提醒工作人员，应采取相应预防措施，例如，不泄露敏感信息，以避免打电话时由下列方式无意听到或窃听：1）在他们近处的人，特别是当使用移动电话时；2）搭线窃听，通过物理访问电话手机或电话线路，或使用模拟移动电话时使用扫描接收器的其他窃听形式；3）接收者末端的人；b）提醒工作人员，不要在公共场所或开放办公室和薄墙的会场进行保密会谈；c）不要将报文留在应答机上，因为可能被未授权重放；d）提醒工作人员有关使用传真机的问题，即：1）未授权访问内置报文存储器，以检索报文；2）有意的或无意的对传真机编程，将报文发送给特定的电话号码；3）由于误拨号或使用错误存储的号码将文件和报文发送给错误的电话号码。8.2.7访问控制8.2.7.1访问控制的业务要求对信息的访问和业务过程应在业务和安全要求的基础上加以控制。应制定相应的信息传播和授权的策略。8.2.7.1.1策略和业务要求71 DB11/T171—2002应定义访问的业务要求，并将其形成文件。在访问策略中应说明每个用户或一组用户的访问控制规则和权利，以及访问控制要满足的业务要求。控制措施应包括：a）各个业务应用的安全要求；b）与业务应用相关的所有信息的标识；c）信息传播和授权的策略；d）不同系统和网络的访问控制策略与信息分类策略之间的相容性；e）关于保护访问数据或服务的相关法律和合同义务；f）在认可各种现有连接类型的分布式和网络化环境中访问权利的管理。8.2.7.1.2访问控制规则在规定访问控制规则时，应考虑下列内容：a）区分强制规则、任选规则或有条件规则；b）信息处理设施自动启动的信息标记和用户任意启动的信息标记的变更；c）信息系统自动启动的用户许可变更和管理员启动的用户许可变更；d）相关的其它规则。8.2.7.2用户访问管理应制定正式的用户访问规程来控制用户访问权的分配。该规程应涵盖用户访问期内的各个阶段，从新用户注册到不再要求访问信息系统和服务的用户最终注销。8.2.7.2.1用户注册应有授予访问所有多用户信息系统和服务的正式用户注册和注销的规程。应通过正式的用户注册过程控制访问多用户信息服务，控制应包括下列内容：a）使用唯一用户ID。除非工作需要，才允许使用成组ID；b）检验用户使用信息系统和服务是否得到授权。c）检验所授予的访问级别是否与组织的安全策略一致，是否遵守责任分离原则；d）给用户访问授权的书面说明；f）确保已经完成授权规程，服务提供者才提供访问；g）维护注册使用该服务的所有个人的正式记录；h）及时取消因工作变动或离开原工作岗位用户的访问权利；i）周期性检验和取消多余的用户ID和账户；在用工合同和服务合同中应包括未授权访问时的处罚条款。8.2.7.2.2特权管理应限制和控制特权的分配和使用。常常发现系统特权的不合适使用是导致系统故障的主要因素。应采取下列控制措施：a）应标识出与每个系统产品，例如，操作系统、数据库管理系统和每个应用相关的特权，以及需要分配特权的工作人员类别；b）仅当需要时，特权才为其职能角色分配最低要求；c）应维护所分配的各个特权的授权过程及其记录。直到授权过程完成，才授予特权；d）应开发和使用系统例行程序，以避免把特权授予一般用户；e）特权应分配给与正常业务用户身份不同的用户。8.2.7.2.3用户口令管理口令是一种确认访问信息系统或服务的用户身份的常用手段。口令的分配应通过正式的管理过程加以控制，应采取下列控制措施：a）要求用户签署一份声明，以保证个人口令保密和组群口令仅在该组成员范围内使用；72 DB11/T171—2002b）应要求用户及时变更临时保密口令、自觉维护自己的口令。当用户忘记口令时，在正确识别用户后，才提供临时口令；c）要求以安全的方式将临时口令给予用户。要避免用于第三方或不受保护的（明文）电子邮件传输。用户应确认收到口令；口令不应以不受保护的形式存储在计算机系统内。8.2.7.2.4用户访问权利的评审为有效控制对信息系统的访问，管理部门应定期对用户的访问权限进行评审，控制措施如下：a）应定期（推荐周期为6个月）或在任何变更之后，对用户的访问权限进行评审；b）应定期（推荐周期为3个月）评审有特权用户的访问权限的授权；c）定期检查特权分配情况，以确保特权不被滥用。8.2.7.3用户职责已授权用户的合作是安全有效的基础。应让用户了解他对维护有效访问控制的职责，特别是关于口令的使用和用户设备的安全。8.2.7.3.1口令使用在选择和使用口令时，用户应有良好的安全习惯。所有用户宜采取下列控制措施：a）口令应保密；b）避免使用纸媒体记录和保留口令，除非可以安全地保存；c）当系统或口令受到损害时，应及时更改口令；d）口令长度应不少于6个字符，并且：1）应易于记忆；2）不宜采用别人易于猜出或获得的、与使用人相关的信息作为口令，例如，名字、电话号码和生日等；3）避免连续的相同字符、全数字或全字母组；e）定期或以访问次数为基础变更口令（有特权的账户用的口令应比常规口令更频繁地予以变更），并且避免重新使用旧的口令或周期性使用旧的口令；f）在初次登录时更换临时口令；g）在任何自动登录过程（例如，以宏或功能键存储）中，不要包含口令；h）不要共享用户口令。如果用户需要访问多服务或平台，并且要求维护多个口令，则应使用一个优质的口令（见上述d））用于所有服务，而这些服务对所存储的口令提供了合理的保护级别。8.2.7.3.2无人值守的用户设备用户应确保无人值守的设备得到保护。在用户区域内安装的设备，例如，工作站或文件服务器，在长时间内仍无人值守时，可以要求特别保护，使其免受未授权访问。用户宜采用下列控制措施：a）设备使用结束时，应终止有效会话，除非利用一种合适的锁定机制使它们安全，例如，有口令保护的屏蔽保护程序；b）当会话结束时退出主机（即，不仅仅关掉PC或终端）；c）当不使用设备时，利用带钥匙的锁或其他方法保证设备不被未授权使用，例如，口令访问。8.2.7.4网络访问控制对内部和外部网络服务的访问均应加以控制。以确保：a）在党政机关网络和其它组织网络或公共网络之间有严格的接口控制；b）对用户和设备有合适的鉴别机制；c）对用户访问信息服务的控制。8.2.7.4.1使用网络服务的政策73 DB11/T171—2002应制定关于使用网络和网络服务的策略。该策略应包括下列控制：a）允许被访问的网络和网络服务；b）确定允许谁访问哪些网络和网络服务的授权规程；c）保护访问网络连接和网络服务的管理措施和规程。该策略应与业务访问控制策略相一致。8.2.7.4.2强制路径根据需要控制从用户终端到计算机服务的路径。强制路径的目的是防止用户在用户终端和用户被授权访问的服务之间的路径以外选择其它访问路径。这通常要求在路径的不同点处实施控制措施。其原则是在网络的每个点上根据预先定义限制可选的路径。控制的例子包括下列内容：a）分配专用线路或电话号码；b）自动地将端口连接到规定的应用系统或安全网关；c）限制各个用户的选单和子选单的选项；d）防止无限制的网络滥用；e）对外部网络用户，强迫其使用所规定的应用系统和/或安全网关；f）通过安全网关（如防火墙）主动控制允许的源地址到目的地址的通信；g）通过建立分离的逻辑域（如虚拟专用网）限制组织范围内的用户群的网络访问。对强制路径的控制要求应基于业务访问控制策略。8.2.7.4.3外部连接的用户鉴别远程用户的访问应受鉴别限制。不同的鉴别方法可提供不同的保护能力。对远程用户，可使用：a）基于密码技术的鉴别机制，例如硬件令牌、询问/响应协议；b）专用线路或网络用户地址检验设施也可用来提供连接来源的保证；c）回拨规程和控制，例如使用回拨调制解调器，可以防止与组织信息处理设施的未授权和不希望的连接。8.2.7.4.4节点鉴别与远程计算机自动连接的设施可能提供对业务应用系统未授权访问的途径。因此，应鉴别与远程计算机系统的连接。若远程用户组被连接到安全共享的计算机设施，那么，节点鉴别可用作鉴别他们的可替代手段。8.2.7.4.5远程诊断端口保护许多计算机和远程通信系统装配了拨号远程诊断设施，供维护工程师使用。若加不受保护措施，则这些诊断端口可能会被未授权访问。因此，应控制对远程诊断端口的访问，以确保只有计算机服务管理者和要求访问的硬件/软件支持人员才可访问它们。8.2.7.4.6网络分离由于系统的敏感性或关键性可能要求阻止其他网络用户未授权访问。在这种环境下，应考虑在网络范围内采取措施以分离信息服务群、用户群和信息系统群。将大型网络分成若干独立的逻辑网络域是控制大型网络安全的方法之一，两个网络之间安装一个安全网关，以控制这两个域之间的访问和信息流。这种网关要配置成能过滤这些域之间的通信量，并能按照访问控制策略阻挡未授权访问。将网络分离成若干域应基于访问控制策略和访问要求，还要考虑到相关成本、网络路由选择或网关技术对网络性能的影响。8.2.7.4.7网络连接控制74 DB11/T171—2002共享网络特别是跨机构边界的网络的访问控制策略要求，可能需要采取相应的控制措施，以限制用户的连接能力。这样的控制可以通过网络网关来实现，该网关借助预先定义的表或规则过滤通信量。所应用的限制应基于业务应用的访问策略和要求，并应维护和更新。基于下列应用采取措施：a）电子邮件；b）单向文件传送；c）双向文件传送；d）交互式访问；e）与时间相关的网络访问等。8.2.7.4.8网络路由选择控制共享网络，特别是跨机构边界的那些共享网络，可以要求引入路由选择控制，以确保计算机连接和信息流不违规业务应用的访问控制策略。对于与第三方（非组织）用户共享的网络，这种控制通常是必需的。路由选择控制应基于确定的源地址和目的地址检验机制。为了隔离网络和阻止从某一机构的网络到另一机构网络的路由，网络地址变换也是一种很有用的机制。这些机制可以用软件或硬件来实现，实现时应了解所采用的机制的控制强度。8.2.7.4.9网络服务的安全公共网络服务和专用网络服务多种多样。网络服务可能具有独特的或复杂的安全特性。使用网络服务的机构应清晰描述其使用的所有服务的安全属性。8.2.7.5操作系统访问控制操作系统级的安全设施应该用来限制访问计算机资源。这些设施应能做下列事情：a）标识和验证每个授权用户的身份，如果需要，标识和验证每个授权用户的终端或位置；b）记录成功和失败的系统访问；c）提供合适的鉴别手段，如果使用口令管理系统，则它应确保优质口令；d）若有必要，可限制用户的连接次数。8.2.7.5.1自动化终端标识为鉴别与特定位置和便携式设备的连接，应对自动化终端进行标识。终端或与终端连接的标识符可用来表明是否允许这个特定终端启动或接收特定事务。可将物理保护应用于终端，以维护终端标识符的安全。8.2.7.5.2终端登录规程对信息服务的访问应建立安全的登录规程。登录到计算机的规程应减少未授权访问的机会。避免泄漏系统信息，向未授权用户提供不必要的帮助。良好的登录规程应包括：a）在登录过程成功完成之前，不显示系统或应用标识符；b）显示警告信息，提示只有已授权的用户才能访问本计算机；c）在登录过程中，不提供对未授权用户有辅助作用的帮助消息；d）仅在所有输入数据完成时，才确认登录信息。如果出现差错情况，系统不应指出数据哪一部分是正确的或不正确的；e）限制所允许的不成功登录尝试的次数并考虑：1)记录不成功的尝试；2)在允许进一步登录尝试之前，应强制有一段延时，或在没有特定授权情况下拒绝任何进一步的尝试；3)断开数据链路连接；f）限制登录规程所允许的最大和最小时间。如果超时，则系统应终止登录；g）在成功登录完成时，显示下列信息：75 DB11/T171—20021)前次成功登录的日期和时间；2)最近一次成功登录以来，所有不成功登录尝试的详细信息。8.2.7.5.3用户标识和鉴别所有用户（包括技术支持人员，诸如操作者，网络管理员、系统程序员和数据库管理员）应该拥有并只能使用专用的唯一标识符（用户ID），以便跟踪操作的责任个体。用户ID不应对用户特权级别信息做任何暗示。在特殊应用情况下可为一组用户或一项特定作业，提供共享的用户ID，需经管理部门批准后形成正式文件，并可被核查。可使用口令、密码手段或鉴别规程等来证明用户身份。8.2.7.5.4口令管理系统口令是确认用户访问计算机服务权限的主要手段之一。口令管理系统应提供有效的、交互式的、确保优质口令的装置。口令管理系统应包括：a）强制使用个人口令，以便核查；b）若合适，允许用户选择和变更他们自己的口令，并且能够识别输入错误；c）强制选择符合复杂度要求的口令；d）若用户选择口令，则在第一次登录时强制他们变更临时的口令；e）应保留一份用户使用过的口令历史记录表，防止重新使用；f）当正在录入时，在屏幕上不显示口令；g）口令文件和应用系统数据分开存放；h）用单向加密算法的加密形式存储口令；i）在软件安装之后，变更默认的厂商口令。8.2.7.5.5系统实用程序的使用大多数计算机装有一个或多个系统实用程序，而该系统实用程序可能超越系统控制和应用控制。应有必要的控制手段，包括：a）对于系统实用程序使用鉴别规程；b）将系统实用程序和应用软件分开；c）限制系统实用程序的使用，将所信任的、已授权的用户数降到最小；d）对特殊使用系统实用程序的授权；e）限制系统实用程序的可用性；f）使用系统实用程序应有记录；g）对系统实用程序的权限级别进行定义并形成文件；h）移去基于实用程序和系统软件的所有不必要软件。8.2.7.5.6保护用户的强制报警对于有些用户，应基于风险的评估考虑是否采用强制报警措施，并定义相应的职责和规程。8.2.7.5.7终端超时在所定义的不活动周期之后，应关闭在高风险位置（例如，超出组织安全管理的公共或外部区域）或服务高风险系统的不活动的终端，以防止未授权个人访问。该超时设备应在定义的不活动周期之后清空终端屏幕，并关闭应用和网络会话。超时延迟应反映该区域和终端用户的安全风险。8.2.7.5.8连接时间的限制高风险应用应对连接时间进行限制，减少未授权访问机会。应考虑以下控制措施：a）使用预先定义的时隙，例如，对批文件传输或短持续期的定期交互会话；b）如果对超出时间或延长时间的操作没有要求，则将连接时间限于正常办公时间。8.2.7.6应用访问控制76 DB11/T171—2002应在应用系统内实施访问限制。对软件和信息的逻辑访问只限于已授权的用户。应用系统应：a）按照定义的业务访问控制策略，控制用户访问信息和应用系统功能。b）对能够超越系统控制或应用控制的任何实用程序和操作系统软件提供免遭未授权访问的保护；c）不损坏共享信息资源的其他系统的安全；d）只能够向责任人、其他指定的授权个人或定义的用户群提供信息访问。8.2.7.6.1信息访问限制应按照访问控制策略，基于各个业务应用要求和信息安全策略向应用系统的用户（包括支持人员），提供对信息和应用系统功能的访问。为了支持访问限制要求，应采取下列措施：a）提供控制访问应用系统功能的选单；b）限制用户对未授权访问的信息或应用系统功能的了解；c）控制用户的访问权利，例如，读、写、删除和执行；d）确保处理敏感信息的应用系统的输出仅包含与使用输出相关的信息，并且仅发送给已授权的终端和地点，包括周期性审查这种输出，以确保去掉多余信息。8.2.7.6.2敏感系统隔离敏感系统的隔离控制应包括：a）应用系统的敏感度应明确标识，并将其形成文件。b）当敏感应用在共享的环境中运行时，与其共享资源的应用系统应予以标识并与相关部门协商。8.2.7.7对系统访问和使用的监视应对系统的访问和使用进行监视，以便发生安全事故时提供证据。系统监视提供检验所采用的控制措施的有效性，验证访问控制策略模型的符合性。8.2.7.7.1事件记录为辅助事故调查和访问控制监视，应记录异常情况和安全相关的事件，审核日志应保存一段时间。审核日志还应包括：a）用户ID；b）登录和退出的日期和次数；c）若有可能，终端身份或位置；d）成功的和被拒绝的对系统尝试访问的记录；e）成功的和被拒绝的对数据以及其他资源尝试访问的记录。某些审核日志需要存档，这是由于它可以作为记录保留策略的一部分，或由于收集证据的需要。8.2.7.7.2对系统使用的监视8.2.7.7.2.1风险规程区域应建立监视信息处理设施使用的规程。这些规程对确保用户仅执行已显示授权的活动是必要的。各个设施所要求的监视级别应通过风险评估来确定。应考虑的区域包括下列例项：a）已授权的访问，包括诸如下列细目：1)用户ID；2)关键事件的日期和时间；3)事件的类型；4)所访问的文件；5)所使用的程序/实用程序；b）所有特权操作：1)超级用户帐户的使用；2)系统启动和停止；3)I/O设备连接/断开；77 DB11/T171—2002c）未授权访问尝试：1)失败的尝试；2)对于网络网关和防火墙的访问策略违规和通知；3)来自专有的入侵检测系统的警报；d）系统警报或故障：1)控制台警报或消息；2)系统日志异常；3)网络管理报警。8.2.7.7.2.2风险因素监视活动的结果应定期评审。评审的频度取决于所涉及的风险。风险因素控制应包括：a）应用进程的关键程度；b）所涉及信息的价值、敏感度或危险程度；c）过去的系统被攻击和滥用经历；d）系统互连的程度。8.2.7.7.2.3事件的记录和审查日志审查涉及系统所面对的威胁以及这些威胁出现的方式。系统日志通常包含大量的信息，其中许多与安全监视无关。为了标识出对安全监视目的有用的事件，可考虑将相应的报文类型自动地拷贝为第二份日志，使用审核工具进行分析。当分配日志评审的职责时，承担评审的人员和监视其活动的人员角色应分开。应特别注意记录设施的安全，因为如果篡改记录设施，就可能提供错误的安全判定。应针对的防止未授权变更和操作问题包括：a）记录设施解除激活；b）替换所记录的报文类型；c）编辑或删除日志文件；d）使日志文件媒体被耗尽、不能记录事件或自身改写。8.2.7.7.3时钟同步正确设置计算机时钟，对确保审计日志的准确性是重要的。若计算机或通信设备有能力运行于实时时钟，它应置为商定的标准，例如，世界协调时（UCT）或本地标准时。当系统时钟出现偏差，应有一个校验和校准偏差的规程。8.2.7.8移动计算和远程工作当使用移动计算时，应根据环境中的工作风险，确定必要的保护措施。在远程工作的情况下，应把保护应用于远程工作场地。8.2.7.8.1移动计算当使用移动计算设施时，例如，笔记本电脑、掌上电脑和移动电话，应特别小心确保业务信息不被泄露。应采用的正式策略要考虑到特别是在不受保护的环境下使用移动计算设施的工作风险。例如，这样的一种策略应包括对物理保护、访问控制、密码技术、备份和病毒预防的要求。这种策略也应包括关于移动设施与网络连接的规则和建议，以及关于在公共场合使用这些设施的指南。当在机构建筑物之外的公共场所、会议室和其他不受保护的区域使用移动计算设施时，为避免未授权访问或泄露这些设施所存储和处理的信息，应采取保护措施。当这样的设施用于公共场合时，应避免被未授权的个人窥视。防止恶意软件的规程应到位并保持经常更新。设备应能快速、简便备份信息。对这些备份应给予足够的保护，防止信息被偷窃或丢失。对与网络连接的移动设施的使用应提供合适的保护。在成功标识和鉴别之后，同时在合适的访问控制机制到位的情况下，才可进行利用移动计算设施通过公共网络的远程访问业务信息。78 DB11/T171—2002移动计算设施应防止丢失，携带重要、敏感和/或关键业务信息的设备不应丢下无人值守，若有可能，使用专用锁来保护设备。对于使用移动计算的人员应安排培训，以提高他们关于由这种工作方法导致的附加风险的意识，并且采取控制措施。8.2.7.8.2远程工作远程工作使用通信技术，使职员在其组织之外的一个固定地点能远程工作。远程工作场地的合适保护应到位，以防止偷窃设备和信息、未授权泄露信息、未授权远程访问组织内部系统或滥用设施等。重要的是远程工作要由管理部门授权和控制，对远程工作方式应有合适安排。管理部门应考虑制定相关的策略、规程和标准，以控制远程工作的活动。只有符合安全策略的远程工作安排，才能获得授权。控制措施应考虑下列情况：a）远程工作场地的物理安全：建筑物和本地环境的物理安全；b）通信安全要求：考虑远程访问系统内部的需要、在通信链路上传递的信息的敏感度，以及内部系统的敏感度；c）远程工作场所的其他人未授权访问信息或资源的威胁。控制措施应包括：a）对远程工作活动提供适合的设备和存储器具；b）定义所允许的工作内容、工作时间、允许处理信息的级别、允许访问的内部系统和服务；c）提供合适的通信设备，确保远程访问的安全；d）物理的安全；e）规定家人和来宾使用设备和访问信息的规则；f）提供硬件和软件的技术维护、支持；g）规定备份流程和确保业务连续性的流程；h）进行审计和安全监视；i）当远程工作活动停止时，撤销授权、访问权，并返还设备。8.2.8系统开发和维护8.2.8.1系统的安全要求在信息系统开发之前应标识出并商定安全要求。在项目的需求阶段应标识、确认所有的安全要求，并且将这些安全要求形成文件。8.2.8.1.1安全要求分析和规范新系统或现有系统增强的业务需求的说明应规定控制的要求。这种规范应考虑在系统中待包含的自动化控制以及支持人工控制的要求。当评价业务应用的软件包时，应有类似的考虑。安全要求和控制应反映出所涉及信息资产的业务价值和潜在的业务损坏。8.2.8.2应用系统的安全合适的控制和审计跟踪或活动日志应设计到应用系统内，包括用户写的应用。应包括输入数据、内部处理和输入数据的确认。对于处理敏感的、有价值的或关键的信息资产的系统或对资产有影响的系统可要求附加控制。这样的控制应在安全要求和风险评估的基础上加以确定。8.2.8.2.1输入数据确认输入到应用系统的数据应予以确认，以确保它是正确的和合适的。检验应适用于业务事务处理、常备数据和参数值的输入。控制应包括：a）双重输入或其他输入检验，以检测下列差错：1)超出范围的值；2)数据字段中的无效字符；3)丢失的或不完整的数据；79 DB11/T171—20024)超过数据的上和下极限；5)未授权的或不相容的控制数据；b）周期性评审关键字段或数据文件的内容，以证实其有效性和完整性；c）检查硬拷贝输入文件是否有任何未授权变更输入数据（输入文件的所有变更均应予以授权）；d）响应确认差错的规程；e）测试输入数据真伪的规程；f）定义在数据输入过程中所涉及的全部人员的职责。8.2.8.2.2内部处理的控制8.2.8.2.2.1风险区域已经正确录入的数据可能由于处理差错或故意动作所损坏。应在系统中加入确认检验，以检测这种损坏。特定风险区域控制应包括：a）使用和定位程序中的增加和删除功能，以实现数据变更；b）防止程序以错误次序运行或在前面处理过程中失败后仍在运行的规程；c）使用从失效中恢复的正确程序，以确保正确处理数据。8.2.8.2.2.2检验和控制检验控制应包括：a）会话或批量控制，以便在事务处理更新之后调解数据文件平衡；b）平衡控制，对照先前的封闭平衡检验开放平衡，即：1）运行至运行的控制；2）文件更新量；3）程序至程序的控制；c）确认系统生成的数据；d）检验在中央计算机和远程计算机之间所下载或加载的数据或软件的完整性；e）对所有记录和文件进行散列（hash）计算；f）检验确保应用程序在正确时刻运行；g）检验确保程序以正确的次序运行并且在故障情况下停止，直到解决问题为止。8.2.8.2.3报文鉴别对于有安全要求的应用，例如，规范、合同、高度重要的建议等等或其他类似的电子数据交换，应考虑报文鉴别，以保护报文内容的完整性。应进行安全风险评估，以确定是否要求报文鉴别，并且标识出最合适的实现方法。8.2.8.2.4输出数据确认应用系统输出的数据应被确认，以确保存储的信息的处理是正确的并且适于这些情况。输出确认控制应包括：a）真伪检验，以测试输出数据是否合理；b）调整控制计数，以确保处理所有数据；c）对阅读或后续处理系统提供足够的信息，以确定信息的准确性、完备性、精确性和分类；d）确认性测试的输出响应的规程；e）定义在数据输出过程中所涉及的全部人员的职责。8.2.8.3系统文件的安全维护系统完整性应是拥有应用系统或软件的用户功能组或开发组的职责。8.2.8.3.1运行软件的控制应控制运行系统中的软件运行。为使损坏运行系统的风险最小，控制应包括：a）根据适当的管理授权，仅由指定的库管理员进行运行程序库的更新；b）运行系统仅有可执行的代码；80 DB11/T171—2002c）运行系统上的可执行代码在安装运行前应进行成功测试，且用户验收的证据和相应的源程序库已更新；d）应维护对运行程序库的所有更新的审计日志；e）应保留软件的先前版本作为应急措施。在运行系统中所使用的由厂商供应的软件应在供应商支持的级别上加以维护。任何的升级决定应考虑该新版的安全，即，新安全功能的引入将产生的安全问题的数量和强度。当软件补丁有助于消除或减少安全弱点时，应使用软件补丁。必要时且在管理部门批准的情况下，才允许供应商物理或逻辑访问。应监控供应商的活动。8.2.8.3.2系统测试数据的保护应保护和控制测试数据。应避免使用包含个人信息的运行数据库。如果使用这种信息，在使用之前应清除个人信息。当用于测试目的时，控制应包括：a）访问控制规程，适用于运行应用系统和测试应用系统；b）每次拷贝运行信息到测试应用系统时，应另外授权；c）在测试完成之后，应立即从测试应用系统清除运行信息；d）为提供审计迹，应记录运行信息的拷贝和使用。8.2.8.3.3源程序库的访问控制对源程序库的访问应严格控制，控制应包括：a）在运行系统中不应保存源程序库；b）对于每个应用，应指明程序库；c）IT支持人员对源程序库的访问应受限制；d）处于开发和维护的程序不应保持在运行源程序库中；e）源程序库更新、向程序员发布源程序，均应按此应用的IT支持管理者的授权，仅由指定的库管理员来执行；f）程序列表应保持在安全的环境中；g）对源程序库的所有访问应维护审计日志；h）源程序的老版本以及所有的支持软件、作业控制、数据定义和规程应予以归档，同时对它们运行时的准确日期和次数作出说明；i）源程序库的维护和拷贝应受变更控制规程的严格制约。8.2.8.4开发和支持过程的安全应严格控制项目和支持的环境。负责应用系统的管理者，应负责项目和支持环境的安全。他们应确保评审所有建议的系统变更，以检验这些变更既不损坏系统亦不损害运行环境的安全。8.2.8.4.1变更控制规程为使信息系统的损坏减到最小，对变更的实现应有严格的控制。应实施正式的变更控制规程。应确保不损坏安全和控制规程，支持性程序员仅对其工作所需的系统的部分给予访问。任何变更应获得正式批准。应用和操作变更控制规程应结合起来。该过程应包括：a）维护所商定授权级别的记录；b）确保由授权的用户提交变更；c）审查控制和完整性规程，以确保它们不因变更而受损；d）标识要求修正的所有计算机软件、信息、数据库实体和硬件；e）在工作开始之前，获得对详细建议的正式批准；f）确保在任何实施之前，授权用户已接受变更；g）为使业务损坏减到最小，确保完成实施；h）确保在每次变更完成时，更新系统文件集合，旧的文件进行归档或处置；81 DB11/T171—2002i）维护所有软件更新的版本控制；j）维护所有变更请求的审计迹；k）必要时，确保对操作文件和用户规程作合适的修订；l）确保变更的实施发生在正确的时间，并且不干扰所涉及的业务过程。8.2.8.4.2运行系统变更的技术评审有必要周期地变更操作系统，例如，安装最新的软件或补丁。当变更出现时，应审查和测试应用系统，以确保其对运行或安全没有任何负面影响。该过程应涵盖以下内容：a）审查应用控制和完整性规程，以确保它们不因运行系统变更而损坏；b）确保年度支持计划和预算包括运行系统变更引起的审查和系统测试；c）确保及时提供运行系统变更的通知，以使得在变更实施之前进行合适的审查；d）确保按业务连续性计划进行合适的变更。8.2.8.4.3软件包变更的限制应尽量使用厂商供应的软件包，而无需修改。在有必要修改软件包时，应考虑：a）内置控制和完整性过程被损坏的风险；b）是否要获得厂商的同意；c）从厂商获得按标准程序更新所要求的变更的可能性；d）由于变更，应负责进一步维护此软件所带来的影响。变更时，原始的软件应予以保留，并将变更应用于一个有明确标识的拷贝。所有变更均应被全面测试，并形成文件。8.2.8.4.4隐蔽信道和特洛伊代码隐蔽信道可能通过间接、隐蔽的方式泄露信息。通过改变由计算机的安全和不安全要素可访问的参数，或者通过将信息嵌入到数据流，可激活该信道。设计“特洛伊木马”的目的，是使得程序无须接受者或用户的授权、通知和要求即可影响系统。对于隐蔽信道或特洛伊代码，应考虑：a）仅从声誉好的来源采购程序软件；b）采购源代码形式的程序，可以验证该代码；c）使用已评估过的产品；d）在运行和使用之前，应检查所有源代码；e）代码安装后，应控制对代码的访问和修改；f）使用已证明可信的人员进行关键系统的工作。8.2.8.4.5外包的软件开发在外包软件开发的情况下，应考虑：a）许可证的编排、代码所有权和知识产权；b）所完成工作的质量认证；c）第三方不可用时合同的规定；d）已完成工作的质量审核材料的访问权；e）代码质量的合同要求；f）安装前，检测是否有特洛伊代码。8.2.9业务连续性管理应分析天灾、安全故障和服务丢失对党政机关信息系统的影响。为确保业务过程能在要求的时段内及时恢复，应制定、维护和实施应急计划。8.2.9.1业务连续性管理过程党政机关信息系统的业务连续性管理过程应包括下列业务连续性管理的关键要素：a)根据风险的可能性及其影响，推断党政机关和信息系统所面临的风险，包括关键业务过程的标识和优先权；82 DB11/T171—2002b)推断对业务可能产生中断的影响（重要的是找到处理较小事故以及可能威胁组织生存能力的重大事故的解决办法），并且建立信息处理设施的业务目标；c)明确业务目标和优先权一致的业务连续性战略，并将其形成文件；d)明确与战略一致的业务连续性计划，并将其形成文件；e)应定期测试和更新相应的计划和过程；f)确保把业务连续性的管理包含在组织的日常管理过程和体系结构中。协调业务连续性管理过程的职责应分配给组织范围内的适当级别的管理层，例如，信息安全专题会议。8.2.9.2业务连续性和影响分析业务连续性管理应标识可能引起业务过程中断的事件源，例如，设备故障、水灾和火灾。并作出风险评估报告，以确定这些中断的影响（根据损坏程度和复原周期两者）。评估应考虑到所有业务过程，并且不局限于信息处理设施。这些活动应在业务资源和过程的拥有者全面参与的情况下进行。根据风险评估的结果，党政信息系统应制定战略计划，以确定业务连续性的总体框架。一旦已创建这个计划，应由管理部门签署。8.2.9.3制定和实施连续性计划应制定业务连续性计划和若干侯选计划，以使在关键业务过程中断或失效之后所要求的时段内维持或恢复业务操作。业务连续性计划过程应包括下列内容：a）全部职责和应急规程的标识和确定；b）实施应急规程，以便在所要求的时段内恢复。应特别注意对外部业务的合同以及相关承包方的评估；c）将已商定的规程和过程形成文件；d）将已商定的应急规程和过程对工作人员进行培训；e）检查和更新这些计划。计划过程应集中于所要求的业务目标，例如，在可接受的时间内恢复特定的用户服务。应考虑业务连续性运行所需要的服务和资源，包括配备人员，非信息处理资源，以及维持信息处理设施基本运行的资源配置。8.2.9.4业务连续性计划框架应建立和维护关于业务连续性计划的框架，以确保全部计划的一致，并标识出检验和维护的优先权。在计划框架中，对每一业务连续性计划应清晰地规定其启动的条件，以及执行该计划每一要素的各个职责。当标识出新的要求时，应相应地修正所建立的应急规程，例如，撤离计划或任何现有的维持基本运行的配置。业务连续性计划框架应考虑下列内容：a）在激活每个计划前，要保证激活计划的条件，而该条件描述了要遵循的过程（例如，如何评估这种情况，谁将参与）；b）描述危及业务操作或人员的生命的事件之后所要采取的动作的应急规程。这应包括与国家相应公共管理部门的有效协作，例如，警察、消防和医院；c）描述要采取的业务撤离规程，以便将基本业务活动或支持服务转移到替代的临时地方，并在要求的时段内使业务过程回到运行状态；d）描述要采取的重新使用规程，以恢复正常业务操作；e）规定何时要及如何检验该计划以及维护该计划的过程的维护安排；f）建立业务连续性过程的培训规程；g）明确人员职责，描述谁负责执行该计划的哪个部分。必要时，宜指定可替换的人。每个计划应具有一个特定的负责人。维护、实施应急规程、维持基本运行的计划和重新使用计划应列入相应业务资源或所涉及过程的负责人的职责范围。8.2.9.5检验、维护和重新评估业务连续性计划83 DB11/T171—20028.2.9.5.1检验计划业务连续性计划的检验应确保恢复工作小组的所有成员和其他相关人员了解这些计划。业务连续性计划的检验方案应指出如何和何时应检验该计划的每个部分。应包括下列内容：a）会议讨论检验各种情况；b）模拟；c）技术恢复检验；d）在可替换场地检验恢复；e）供应商设施和服务的检验；f）完整的演习。8.2.9.5.2维护和重新评估计划业务连续性计划应通过定期评审和更新来维护，以确保其连续有效。更新规程应列入党政机关信息系统的变更管理大纲中，以确保相应地指出业务连续性事情。对于每个业务连续性计划的定期评审应分配职责；在业务连续性计划中尚未反映业务变更的，应按适当的更新规程进行计划的更新。8.2.10符合性8.2.10.1符合法律要求信息系统的设计、运行、使用和管理应符合党和国家的法律、法规的限制，以及合同安全要求的限制。8.2.10.1.1可用法律的标识党政机关信息系统应明确所有相关的法律、法规的要求和合同的要求，并形成文件。为满足这些要求的特定控制和人员职责应加以定义，形成文件。在党政机关信息系统建设过程中，应符合下列法律、法规中的相关要求：a)系统建设要求：系统建设应获得相关政府或行业主管部门的批准并且不会对公共安全造成威胁或被威胁利用。1)项目获得国家安全、公共安全、政府安全部门的授权或批准；2)项目方案获得国家安全、公共安全、政府安全部门组织的的评审。b)系统集成资质要求：1)国家主管部门认可集成资质等级；2)涉密集成的建设具备国家主管部门的涉密集成建设资质。c)人员资质要求：国家主管部门认可服务人员资质。d)第三方服务要求：国家主管部门认可服务单位资质等级。e)安全产品要求：1)信息安全产品应具有在国内生产、经营、销售的许可证；2)操作系统符合操作系统等级保护要求。f)工程监理要求：1)应具备信息安全系统建设工程实施监理管理制度；2)系统聘请专业监理公司，且监理公司具有国家主管部门认可监理资质证书。g)密码管理要求：1)符合国家密码主管部门的要求；2)使用的密码产品为国家主管部门批准的密码产品；3)密码产品来源于为国家主管部门批准的定点销售单位产品；4)使用的密码产品研制来源于为国家主管部门批准的密码研制单位。84 DB11/T171—2002h)工商要求：1)产品或系统提供单位营业执照和税务登记在合法期限内；2)产品或系统提供商具备产品或系统提供资格；3)连续赢利期限要求；4)连续无相关法律诉讼年限要求；5)负债不超过比例要求；6)没有发生重大管理、技术人员变化期限要求；7)没有发生主业变化期限要求。i)其他要求：1)符合国家涉密信息相关法律法规，涉密信息在可控的情况下进行存储、传输、销毁、复制；2)系统符合公共安全的相关法律、法规，按照相关主管部门的技术管理规定手段对非法信息和恶意代码进行有效控制，按照有关规定对设备进行控制使之不被作为非法攻击源或跳板使用。8.2.10.1.2知识产权（IPR）8.2.10.1.2.1版权应实施合适的规程，以确保在使用有关可能存在知识产权（例如，版权、设计权、商标）的材料方面符合法律要求。对党政机关的专有资料和内部资料的复制和印发应严格控制。8.2.10.1.2.2软件版权专有软件产品的采购和使用应符合软件的版权许可协定。8.2.10.1.3保护组织的记录党政机关信息系统应防止丢失、破坏和篡改党政机关和系统的重要记录。记录包括：作为在法规和规章范围内进行操作的证据的记录，防止潜在的民事或刑事诉讼的记录，证实财务状况的记录。应根据党和国家的法律、法规，设置信息保存的时间和数据内容。记录应分类为若干记录类型，例如，财务记录、数据库记录、事务日志、审核日志和操作规程，每一种记录应有详细的保存周期和存储媒体的类型，例如，纸记录、缩微胶片、磁媒体、光媒体。应安全地保存与已加密档案或数字签名有关的任何相关密码密钥，仅当需要时才提供给已授权的人员。应按照产品说明以及制造商的建议对存储记录的媒体实施存储和处置规程。对电子存储媒体，应建立相应规程，以确保在整个保存周期能访问数据（媒体和格式的可读性）。数据存储系统的选择应确保所要求的数据能以可接受的方式进行检索，例如，所要求的各种记录能在可接受的时间内并以可接受的格式检索出来。存储和处理系统应确保清晰地标识出记录及法定的保存周期。在不需要这些记录后，应适当地销毁。为实施记录保护，应采取下列措施：a）应颁发关于保存、存储、处理和处置记录和信息的指南；b）应拟定一个保存时间表以标识出基本记录类型以及保存它们的时间；c）应维护关键信息来源的目录；d）应实施适当的控制，以防止重要记录和信息被丢失、损坏和篡改。8.2.10.1.4防止滥用信息处理设施对信息系统及设施的不当使用进行监视，必须符合国家法律规定。在登录系统时，在计算机屏幕上应呈现报警信息，提示正在进入的系统是不公开的，并且不允许未授权访问。用户必须相应地确认屏幕上的信息，并对其作出适当反应，才能继续登录过程。8.2.10.1.5密码控制的规章党政机关信息系统对使用密码的控制应确保符合国家有关保密部门和密码管理部门的密码管理法规、条例。8.2.10.1.6证据的收集85 DB11/T171—20028.2.10.1.6.1证据规则应有证据来支持针对个人或组织的行为。若该行为是一种内部纪律事件，则应通过内部规程描述必要的证据。若涉及民事或刑事的法律，则所提供的证据应符合相关法律或特定的证据规则。这些规则包括：a）证据的可采纳性：该证据能否用于法庭；b）证据的质量：该证据的质量和完备性；c）在系统存储、处理、恢复该证据的整个周期内，控制该证据正确一致地运行（即，过程控制证据）。8.2.10.1.6.2证据的可接纳性应确保证据的收集符合关于证据的可采纳性的标准或实用规则。8.2.10.1.6.3证据的质量和完备性为获得证据的质量和完备性，应提供强有力的证据线索。应根据下列条件建立线索：a）对于纸文件：安全地保存原件，并且将相关事件记录下来，即谁找到它，在何处找到它，何时找到它和谁为目击者。任何调查应确保原件不能被篡改。b）对于计算机媒体上的信息：应采用任何可移动媒体的拷贝，硬盘或存储器内信息的拷贝，以确保可用性。应保存拷贝过程中的所有行动日志，并监视该过程。应安全地保存该媒体和日志的一个拷贝。8.2.10.2安全策略和技术符合性的评审党政机关信息系统应根据相应的安全策略和技术平台，定期审核信息系统的安全，看其是否符合安全实施标准。8.2.10.2.1符合安全策略应确保管理者正确地执行其职责范围内的所有安全规程。管理负责人应组织对党政机关和系统内各个领域，定期评审其是否符合相应的安全策略、标准和安全要求。这些领域应包括：a）信息系统；b）系统提供者；c）信息和信息资产的责任人；d）用户；e）管理部门。8.2.10.2.2技术符合性检验为符合安全实施要求，应定期对信息系统进行技术符合性检验，包括检查运行系统和渗入测试。检查运行系统应有专家的技术帮助，由有经验的系统工程师手动执行（如需要，利用合适的软件工具支持），或者由技术专家用自动化软件包来执行，此软件包可生成供技术专家后续解释的技术报告。渗入测试宜通过专门的独立专家小组来完成。应注意渗入测试中若渗入成功可能导致损坏系统的安全，应有相应的处理方案。任何技术符合性检验只能由有能力的已授权的人员来完成，或在他们的监督下完成。8.2.10.3系统审核考虑在系统审核期间，为保护运行系统和审核工具，应有控制措施。为保护审核工具的完整性和防止滥用审核工具，应有保护措施。8.2.10.3.1系统审核控制应详细规划和制定涉及运行系统检验的审核要求和活动，以使中断业务过程的风险减至最小。应符合下列要求：a）审核要求应与相应管理部门商定；b）应商定和控制检验范围；c）检验应限于软件和数据的只读访问；86 DB11/T171—2002d）对于被隔离的系统文件的复制，除限制只读访问的以外，当审核完成时，应确保清除这些拷贝；e）应明确和标识提供执行检验的IT资源；f）应标识和明确特定的或附加的处理要求；g）应监视和记录所有访问，以产生审计踪迹；h）所有规程、要求和职责应编制成文档。8.2.10.3.2系统审核工具的保护应保护对系统审核工具（即软件或数据文件）的访问，以防止任何可能的滥用或损坏。这些工具应与开发和运行系统分开，并且不能保存在磁带（程序）库或用户区域内，除非给予合适的附加保护级别。9安全类别IV要求依据表1表述的信息价值、攻击/威胁及所对应的保护能力，本类别系统作出如下安全要求。9.1安全技术要求9.1.1FAU类：安全审计本类别的系统必须同时提供网络系统、操作系统、公共应用平台系统、党政应用系统四个层面的审计，审计范围至少为网络中的每一个主机、操作系统的每一个用户、公共应用平台系统的每一个用户、党政应用系统的每一个用户。9.1.1.1安全审计自动响应（FAU_ARP）本类别的系统要求必须在网络系统、操作系统、党政应用系统中实现组件FAU_ARP.1。审计系统检测到可能的安全侵害时党政机关信息系统将采取行动，具体的响应方式、方法应在党政机关信息系统的建设方案中明确描述。9.1.1.2安全审计数据产生（FAU_GEN）本类别的系统必须提供网络系统、操作系统、公共应用平台系统、党政应用系统的四重审计，实现FAU_GEN.1和FAU_GEN.2。应能为下述可审计事件产生审计记录：a）审计功能的启动和关闭；b）对以下事件进行审计：——网络中继节点：通信数据量，通信时间，经过网络的入侵、攻击行为，系统出入口的网络数据；——操作系统：系统登录，重要的系统管理行为，入侵、攻击行为，所有命令的使用；——公共应用平台系统：服务访问（包括成功、失败），系统维护行为；——党政应用系统：进入和退出的时间，异常的系统使用行为、系统维护行为、敏感行为等操作行为；——以及其他安全功能要求的审计内容。c）每个审计记录中至少记录如下信息：事件的日期和时间，事件类型，主体身份，事件的结果（成功或失败）和事件相关信息；d）每个可审计事件与引起该事件的用户身份相关联。9.1.1.3安全审计分析（FAU_SAA）本类别的系统要求或复杂攻击探测，实现组件FAU_SAA.4。系统采用模式匹配的方式，检测对系统有重大威胁的安全事件。安全事件的检测可以实时进行，也可以非实时进行，在审计数据的后处理时进行检测。本类别的系统应该能够检测所有网络系统、操作系统、公共应用平台系统的攻击和威胁。9.1.1.4安全审计查阅（FAU_SAR）本类别的系统应提供用户查阅审计数据的审计工具（或工具集），能够实现对系统中所有审计数据的查阅。实现组件FAU_SAR.1、FAU_SAR.2、FAU_SAR.3。87 DB11/T171—2002本类别的系统为已授权用户提供获得和解释审计信息的工具和能力。用户是人时必须以人类可懂的方式表示信息；用户是外部IT实体时必须以电子方式无歧义地表示信息。9.1.1.5安全审计事件选择（FAU_SEL）本类别的系统对FAU_GEN.1中规定以外的审计内容实现FAU_SEL.1。9.1.1.6安全审计事件存储（FAU_STG）本类别的系统应实现FAU_STG.2和FAU_STG.4。本子类功能组件要求在意外情况出现时以及当审计记录大小超出门限时，系统应有保护审计数据的措施。9.1.2FCO类：通信本类别的系统应在党政应用系统中实现组件FCO_NRO.1和FCO_NRR.1。9.1.3FCS类：密码支持本类别系统的密码支持功能取决于其他安全部件对本类功能的使用。如提供和实现密码支持功能时，应严格按照国家主管部门的要求进行。9.1.4FDP类：用户数据保护本类别的系统应该在网络系统、操作系统、公共应用平台系统以及党政应用系统等方面提供用户数据保护。用户数据保护应该涉及党政机关信息系统中所有的用户、主机（包括服务器、客户机、单机）、数据和资源，以及用户的所有操作。9.1.4.1访问控制策略（FDP_ACC）本类别的系统要求公共应用平台系统、党政应用系统实现FDP_ACC.2，具有对用户所有操作进行检查的功能。网络系统、操作系统应根据相应要求，实现FDP_ACC.1或FDP_ACC.2。9.1.4.2访问控制功能（FDP_ACF）本类别的系统要求在网络系统、操作系统、公共应用平台系统和党政应用系统中均实现组件FDP_ACF.1，所实现的访问控制功能应满足相应FDP_ACC组件的要求。9.1.4.3数据鉴别（FDP_DAU）本类别的系统应在公共应用平台系统、党政应用系统中实现FDP_DAU.1,网络系统、操作系统实现组件FDP_DAU.2。网络系统、操作系统、公共应用平台系统、党政应用系统应保证客体（如文档）信息内容的真实性，网络系统、操作系统应保证主体身份的真实性。9.1.4.4向TSF控制范围之外输出（FDP_ETC）本类别的系统应对向外输出的数据进行控制。党政应用系统实现组件FDP_ETC.2，对输出进行控制，输出的数据带有安全属性；网络系统、操作系统、公共应用平台系统实现FDP_ETC.1，对输出进行控制，输出的数据可不带安全属性。9.1.4.5从TSF控制范围之外输入（FDP_ITC）本类别的系统应对输入的数据进行控制。网络系统、操作系统、公共应用平台系统、党政应用系统实现组件FDP_ITC.1和FDP_ITC.2，应要求输入的用户数据：如果不具有安全属性，要求输入时为其设置正确的安全属性；如果具有安全属性，要求安全属性正确反映用户数据的安全保护要求。9.1.4.6TOE内部传输（FDP_ITT）本类别的系统要求在党政机关信息系统中，如果存在两个或两个以上具有不同安全要求的党政应用系统，任意两个远程主机之间需要远程传输数据时，应实现FDP_ITT.2、FDP_ITT.4，将不同应用系统相关的数据传输分隔开（物理分隔或逻辑分隔）,并根据相关安全属性对数据进行完整性监视。可通过党政应用系统本身实现或通过公共应用平台系统、操作系统、网络系统等实现。9.1.4.7残余信息保护（FDP_RIP）本类别的系统应对存储媒体上的残余信息进行保护，实现组件FDP_RIP.1。对下列客体分配或释放资源时，应确保该资源以前的任何信息不再可用：——文件、目录；88 DB11/T171—2002——数据库记录；——应用程序需要保护的其它资源等。9.1.4.8存储数据的完整性（FDP_SDI）本类别的系统应在操作系统、党政应用系统、公共应用平台系统中保证存储数据的完整性，操作系统、公共应用平台系统实现FDP_SDI.1，党政应用系统实现FDP_SDI.2。操作系统、公共应用平台系统应提供存储数据的完整性监视。党政应用系统应在检测到存储数据的错误时，采取相应的行动。9.1.5FIA类：标识和鉴别本类别的系统应能够验证用户身份，确保用户与正确的安全属性相关联，不被伪造。9.1.5.1鉴别失败（FIA_AFL）本类别的系统实现FIA_AFL.1，规定用户不成功的鉴别尝试次数，及达到该次数时所采取的行动。9.1.5.2用户属性定义（FIA_ATD）本类别的系统要求对每个用户的安全属性分别进行管理，实现FIA_ATD.1。9.1.5.3秘密的规范（FIA_SOS）本类别的系统要求操作系统、公共应用平台系统、党政应用系统应实现FIA_SOS.2。具备对秘密进行检查的机制，以保证所提供的秘密满足规定的质量量度。如果秘密不是由用户生成，系统还必须提供满足规定量度的秘密生成机制。9.1.5.4用户鉴别（FIA_UAU）本类别的系统应实现FIA_UAU.1、FIA_UAU.3（或FIA_UAU.4）、FIA_UAU.5、FIA_UAU.6、FIA_UAU.7。FIA_UAU.1鉴别定时，允许用户在其身份被鉴别前执行某些行动。FIA_UAU.3不可伪造的鉴别，要求鉴别机制能够检测和防止使用伪造或复制的鉴别数据。FIA_UAU.4一次性鉴别机制，要求使用一次性鉴别数据的鉴别机制。FIA_UAU.5多重鉴别机制，要求提供和使用不同的鉴别机制，为特定的事件鉴别用户的身份。FIA_UAU.6重鉴别，要求有能力说明哪些事件用户需要被重新鉴别。FIA_UAU.7受保护的鉴别反馈，要求在鉴别期间，只提供给用户有限的反馈信息。9.1.5.5用户标识（FIA_UID）本类别的系统要求操作系统应实现FIA_UID.1；在公共应用平台系统和党政应用系统实现FIA_UID.2。用户应在实施操作之前识别自己。9.1.5.6用户_主体绑定（FIA_USB）本类别的系统应实现FIA_USB.1，要求维持用户的安全属性与代表用户活动的主体间的关联。9.1.6FMT类：安全管理本类别的系统根据技术发展情况，应保证测试时可以实现的同种安全设备、安全措施的集中远程管理，详细定义不同管理中心的交互方式，并与网络管理中心进行交互。安全管理范围至少包括所有的网络安全设备、所有的应用平台安全功能。9.1.7FPT类：TSF保护本类别的系统应在网络系统、操作系统、公共应用平台系统以及党政应用系统中提供TSF数据保护。9.1.7.1失败保护（FPT_FLS）本类别的系统应实现FPT_FLS.1，进行重要安全功能的冗余设计，涉及范围应至少包括所有的网络安全设施。9.1.7.2输出TSF数据的可用性（FPT_ITA）本类别的系统应实现FPT_ITA.1，对安全相关的设备、软件和子系统之间交换安全数据的可用性提供保护。9.1.7.3输出TSF数据的保密性（FPT_ITC）89 DB11/T171—2002本类别的系统应实现FPT_ITC.1，对安全相关的设备、软件和子系统之间交换安全数据的保密性提供保护。9.1.7.4输出TSF数据的完整性（FPT_ITI）本类别的系统应实现FPT_ITI.1，对安全相关的设备、软件和子系统之间交换安全数据的完整性提供保护。9.1.7.5TOE内TSF数据传输（FPT_ITT）本类别的系统应实现FPT_ITT.2，在安全功能相关数据的传输过程中应确保与用户数据的隔离。9.1.7.6可信恢复（FPT_RCV）本类别的系统应实现FPT_RCV.2，至少对有特殊安全要求的党政应用系统的服务中断，在无人工干预的情况下能恢复到安全状态，对其它系统的服务中断提供人工干预以返回安全状态的机制。9.1.7.7状态同步协议（FPT_SSP）本类别的系统根据需要实现FPT_SSP.2，安全相关的设备、软件和子系统之间应使用相互的可信回执的方式实现状态同步。9.1.7.8时间戳（FPT_STM）本类别的系统应实现FPT_STM.1，应建立全系统统一的时钟同步机制，为自身的应用提供可靠的时间戳。9.1.8FRU类：资源利用9.1.8.1容错（FRU_FLT）本类别的系统应确保即使出现故障事件也能维持系统正常运行。本类别的系统应在网络系统、操作系统实现FRU_FLT.2，公共应用平台系统、党政应用系统实现FRU_FLT.1。9.1.8.2服务优先级（FRU_PRS）本类别的系统根据需要实现FRU_PRS.1，系统具有对用户所使用资源按照优先级进行控制的能力，以防止低优先级的用户干扰高优先级用户的使用。9.1.8.3资源分配（FRU_RSA）本类别的系统根据需要在党政应用系统中实现FRU_RSA.2，在网络系统、操作系统中实现FRU_RSA.1，设置系统中用户资源使用的上下限，防止未授权地独占资源而出现拒绝服务。9.1.9FTA类：TOE访问9.1.9.1可选属性范围限定（FTA_LSA）本类别的系统根据需要实现FTA_LSA.1，要求限制用户选择党政应用系统会话安全属性范围。9.1.9.2多重并发会话限定(FTA_MCS)本类别的系统实现FTA_MCS.1，对同一用户并发会话的数量进行限制。9.1.9.3会话锁定（FTA_SSL）本类别的系统实现FTA_SSL.1，FTA_SSL.2和FTA_SSL.3，要求在操作系统、党政应用系统中提供系统自动的和用户主动的交互式会话锁定和解锁能力。9.1.9.4TOE访问旗标（FTA_TAB）本类别的系统应实现FTA_TAB.1，要求在用户与操作系统或党政应用系统建立会话前，系统应显示有关使用系统的劝告性警示信息。9.1.9.5TOE访问历史(FTA_TAH)本类别的系统应实现FTA_TAH.1，要求在用户与操作系统或党政应用系统成功建立会话的基础上，显示该用户上一次成功建立会话的时间、方法和位置，以及上一次建立会话失败时的时间、方法和位置。9.1.9.6TOE会话建立(FTA_TSE)本类别的系统应实现FTA_TSE.1，要求在网络系统、操作系统、公共应用平台系统、党政应用系统中提供根据用户安全属性拒绝与其建立会话的机制。9.1.10FTP类：可信路径/信道90 DB11/T171—20029.1.10.1TSF间可信信道（FTP_ITC）本类别的系统应实现FTP_ITC.1，要求在系统中执行关键的安全操作时，应使用可信信道传递相关数据。9.2安全管理要求本类别的系统安全管理要求的全部内容与安全类别III相同。在这一类别，用户必须对每一个管理要求通过制定有效的管理规程予以保证，安全管理过程应定期进行评审、改进提高。10安全类别V要求依据表1表述的信息价值、攻击/威胁及所对应的保护能力，本类别系统作出如下安全要求。10.1安全技术要求10.1.1FAU类：安全审计本类别的系统必须提供网络系统、操作系统、公共应用平台系统、党政应用系统四个层面的审计，审计范围至少为网络中的每一个主机、操作系统的每一个用户、公共应用平台系统的每一个用户、党政应用系统的每一个用户。10.1.1.1安全审计自动响应（FAU_ARP）本类别的系统要求必须在网络系统、操作系统、党政应用系统中实现组件FAU_ARP.1。审计系统检测到可能的安全侵害时党政机关信息系统将采取行动，具体的响应方式、方法应在党政机关信息系统的建设方案中明确描述。10.1.1.2安全审计数据产生（FAU_GEN）本类别的系统必须提供网络系统、操作系统、公共应用平台系统、党政应用系统的四重审计，实现FAU_GEN.1和FAU_GEN.2。应能为下述可审计事件产生审计记录：a）审计功能的启动和关闭；b）对以下事件进行审计：——网络中继节点：通信数据量，通信时间，经过网络的入侵、攻击行为，系统出入口的网络数据；——操作系统：系统登录，重要的系统管理行为，入侵、攻击行为，所有命令的使用；——公共应用平台系统：服务访问（包括：成功、失败），系统维护行为；——党政应用系统：进入和退出的时间，异常的系统使用行为、系统维护行为、敏感行为等操作行为；——以及其他安全功能要求的审计内容。c）每个审计记录中至少记录如下信息：事件的日期和时间，事件类型，主体身份，事件的结果（成功或失败），事件相关信息；d）每个可审计事件与引起该事件的用户身份相关联。10.1.1.3安全审计分析（FAU_SAA）本类别的系统要求提供复杂攻击探测，实现组件FAU_SAA.4。系统采用模式匹配的方式，检测对系统有重大威胁的安全事件。安全事件的检测可以实时进行，也可以非实时进行，在审计数据的后处理时进行检测。本类别的系统应该能够检测所有针对网络系统、操作系统、党政应用系统、公共应用平台系统的安全攻击和威胁。10.1.1.4安全审计查阅（FAU_SAR）本类别的系统应提供用户查阅审计数据的审计工具（或工具集），能够实现对系统中所有审计数据的查阅。实现组件FAU_SAR.1、FAU_SAR.2、FAU_SAR.3。本类别的系统为已授权用户提供获得和解释审计信息的工具和能力。用户是人时必须以人类可懂的方式表示信息；用户是外部IT实体时必须以电子方式无歧义地表示信息。91 DB11/T171—200210.1.1.5安全审计事件选择（FAU_SEL）本类别的系统对FAU_GEN.1中规定以外的审计内容实现FAU_SEL.1。10.1.1.6安全审计事件存储（FAU_STG）本类别的系统应实现FAU_STG.2和FAU_STG.4。本子类功能组件要求在意外情况出现时以及当审计记录大小超出门限时，系统应有保护审计数据的措施。10.1.2FCO类：通信本类别系统应在党政应用系统中实现组件FCO_NRO.1和FCO_NRR.1。建议用户可根据实际情况在应用平台系统、网络系统中实现组件FCO_NRO.1和FCO_NRR.1。10.1.3FCS类：密码支持本类别系统的密码支持功能取决于其他安全部件对本类功能的使用。如要提供和实现密码支持功能时，应严格按照国家主管部门的要求进行。10.1.4FDP类：用户数据保护本类别的系统应该在网络系统、操作系统、公共应用平台系统以及党政应用系统等方面提供用户数据保护。用户数据保护应该涉及党政机关信息系统中所有的用户、主机（包括服务器、客户机、单机）、数据和资源，以及用户的所有操作。10.1.4.1访问控制策略（FDP_ACC）本类别的系统要求网络系统、操作系统、公共应用平台系统以及党政应用系统实现FDP_ACC.2，具有对用户所有操作进行检查的功能。10.1.4.2访问控制功能（FDP_ACF）本类别的系统要求在网络系统、操作系统、公共应用平台系统和党政应用系统中均实现组件FDP_ACF.1，所实现的访问控制功能应满足相应FDP_ACC组件的要求。10.1.4.3数据鉴别（FDP_DAU）本类别的系统应在公共应用平台系统、党政应用系统中实现FDP_DAU.1,在网络系统、操作系统中实现组件FDP_DAU.2。操作系统、公共应用平台系统、党政应用系统应保证客体（如文档）信息内容的真实性，操作系统应保证主体身份的真实性。10.1.4.4向TSF控制范围之外输出（FDP_ETC）本类别的系统应对向外输出的数据进行控制。党政应用系统实现组件FDP_ETC.2，对输出进行控制，输出的数据带有安全属性；网络系统、操作系统、公共应用平台系统实现FDP_ETC.1，对输出进行控制，输出的数据可不带安全属性。10.1.4.5从TSF控制范围之外输入（FDP_ITC）本类别的系统应对输入的数据进行控制。网络系统、操作系统、公共应用平台系统、党政应用系统实现组件FDP_ITC.1和FDP_ITC.2，应要求输入的用户数据：如果不具有安全属性，要求输入时为其设置正确的安全属性；如果具有安全属性，要求安全属性正确反映用户数据的安全保护要求。10.1.4.6TOE内部传输（FDP_ITT）本类别的系统要求在党政机关信息系统中，如果存在两个或两个以上具有不同安全要求的党政应用系统，任意两个远程主机之间需要远程传输数据时，应实现FDP_ITT.2、FDP_ITT.4，将不同应用系统相关的数据传输分隔开（物理分隔或逻辑分隔）,并根据相关安全属性对数据进行完整性监视。可通过党政应用系统本身实现或通过公共应用平台系统、操作系统、网络系统等实现。10.1.4.7残余信息保护（FDP_RIP）本类别的系统应对存储媒体上的残余信息进行保护，实现组件FDP_RIP.1。对下列客体分配或释放资源时，应确保该资源以前的任何信息不再可用：——文件、目录；——数据库记录；92 DB11/T171—2002——应用程序需要保护的其它资源等。10.1.4.8存储数据的完整性（FDP_SDI）本类别的系统应在操作系统、党政应用系统、公共应用平台系统中保证存储数据的完整性，操作系统、公共应用平台系统实现FDP_SDI.1，党政应用系统实现FDP_SDI.2。操作系统、公共应用平台系统应提供存储数据的完整性监视。党政应用系统应在检测到存储数据的错误时，采取相应的行动。10.1.5FIA类：标识和鉴别本类别的系统应能够验证用户身份，确保用户与正确的安全属性相关联，不被伪造。10.1.5.1鉴别失败（FIA_AFL）本类别的系统实现FIA_AFL.1，规定用户不成功的鉴别尝试次数，及达到该次数时所采取的行动。10.1.5.2用户属性定义（FIA_ATD）本类别的系统要求对每个用户的安全属性分别进行管理，实现FIA_ATD.1。10.1.5.3秘密的规范（FIA_SOS）本类别的系统要求操作系统、公共应用平台系统、党政应用系统应实现FIA_SOS.2。具备对秘密进行检查的机制，以保证所提供的秘密满足规定的质量量度。如果秘密不是由用户生成，系统还必须提供满足规定量度的秘密生成机制。10.1.5.4用户鉴别（FIA_UAU）本类别的系统应实现FIA_UAU.1、FIA_UAU.3（或FIA_UAU.4）、FIA_UAU.5、FIA_UAU.6、FIA_UAU.7。FIA_UAU.1鉴别定时，允许用户在其身份被鉴别前执行某些行动。FIA_UAU.3不可伪造的鉴别，要求鉴别机制能够检测和防止使用伪造或复制的鉴别数据。FIA_UAU.4一次性鉴别机制，要求使用一次性鉴别数据的鉴别机制。FIA_UAU.5多重鉴别机制，要求提供和使用不同的鉴别机制，为特定的事件鉴别用户的身份。FIA_UAU.6重鉴别，要求有能力说明哪些事件用户需要被重新鉴别。FIA_UAU.7受保护的鉴别反馈，要求在鉴别期间，只提供给用户有限的反馈信息。10.1.5.5用户标识（FIA_UID）本类别的系统要求操作系统应实现FIA_UID.1；在公共应用平台系统和党政应用系统实现FIA_UID.2。用户应在实施操作之前识别自己。10.1.5.6用户_主体绑定（FIA_USB）本类别的系统应实现FIA_USB.1，要求维持用户的安全属性与代表用户活动的主体间的关联。10.1.6FMT类：安全管理本类别的系统应设置专门的安全管理中心，该中心对系统中所有安全设备、安全功能进行管理，管理范围包括：网络安全设备、应用平台安全功能、党政应用系统安全功能。10.1.7FPT类：TSF保护本类别的系统应在网络系统、操作系统、公共应用平台系统以及党政应用系统提供TSF数据保护。10.1.7.1失败保护（FPT_FLS）本类别的系统应实现FPT_FLS.1，进行重要安全功能的冗余设计，涉及范围应包括所有的网络安全设施、应用平台和党政应用系统。10.1.7.2输出TSF数据的可用性（FPT_ITA）本类别的系统应实现FPT_ITA.1，对安全相关的设备、软件和子系统之间交换安全数据的可用性提供保护。10.1.7.3输出TSF数据的保密性（FPT_ITC）本类别的系统应实现FPT_ITC.1，对安全相关的设备、软件和子系统之间交换安全数据的保密性提供保护。10.1.7.4输出TSF数据的完整性（FPT_ITI）93 DB11/T171—2002本类别的系统应实现FPT_ITI.1，对安全相关的设备、软件和子系统之间交换安全数据的完整性提供保护。10.1.7.5TOE内TSF数据传输（FPT_ITT）本类别的系统应实现FPT_ITT.2，在安全功能相关数据的传输过程中应确保与用户数据的隔离。10.1.7.6可信恢复（FPT_RCV）本类别的系统应实现FPT_RCV.2，至少对有特殊安全要求的党政应用系统的服务中断，在无人工干预的情况下能恢复到安全状态，对其它系统的服务中断提供人工干预以返回安全状态的机制。10.1.7.7状态同步协议（FPT_SSP）本类别的系统根据需要实现FPT_SSP.2，安全相关的设备、软件和子系统之间应使用相互的可信回执的方式实现状态同步。10.1.7.8时间戳（FPT_STM）本类别的系统应实现FPT_STM.1，应建立全系统统一的时钟同步机制，为自身的应用提供可靠的时间戳。10.1.8FRU类：资源利用10.1.8.1容错（FRU_FLT）本类别的系统应确保即使出现故障事件也能维持系统正常运行。本类别的系统应在网络系统、操作系统实现FRU_FLT.2，公共应用平台系统、党政应用系统实现FRU_FLT.1。10.1.8.2服务优先级（FRU_PRS）本类别的系统根据需要实现FRU_PRS.1，系统具有对用户所使用资源按照优先级进行控制的能力，以防止低优先级的用户干扰高优先级用户的使用。10.1.8.3资源分配（FRU_RSA）本类别的系统根据需要在党政应用系统中实现FRU_RSA.2，在网络系统、操作系统中实现FRU_RSA.1，设置系统中用户资源使用的上下限，防止未授权地独占资源而出现拒绝服务。10.1.9FTA类：TOE访问10.1.9.1可选属性范围限定（FTA_LSA）本类别的系统根据需要实现FTA_LSA.1，要求限制用户选择党政应用系统会话安全属性范围。10.1.9.2多重并发会话限定(FTA_MCS)本类别的系统实现FTA_MCS.1，对同一用户并发会话的数量进行限制。10.1.9.3会话锁定（FTA_SSL）本类别的系统实现FTA_SSL.1、FTA_SSL.2和FTA_SSL.3，要求在操作系统、党政应用系统中提供系统自动的和用户主动的交互式会话锁定和解锁能力。10.1.9.4TOE访问旗标(FTA_TAB)本类别的系统应实现FTA_TAB.1，要求在用户与操作系统或党政应用系统建立会话前，系统应显示有关使用系统的劝告性警示信息。10.1.9.5TOE访问历史(FTA_TAH)本类别的系统应实现FTA_TAH.1，要求在用户与操作系统或党政应用系统成功建立会话的基础上，显示该用户上一次成功建立会话的时间、方法和位置，以及上一次建立会话失败时的时间、方法和位置。10.1.9.6TOE会话建立(FTA_TSE)本类别的系统应实现FTA_TSE.1，要求在网络系统、操作系统、公共应用平台系统、党政应用系统中提供根据用户安全属性拒绝与其建立会话的机制。10.1.10FTP类：可信路径/信道本类别系统应为TSF间的通信提供可信的信道。10.1.10.1TSF间可信信道（FTP_ITC）94 DB11/T171—2002本类别的系统应实现FTP_ITC.1，要求在系统中执行关键的安全操作时，应使用可信信道传递相关数据。10.2安全管理要求本类别的系统安全管理要求的全部内容与安全类别III相同,但实现程度要求更高，应完全满足每一个安全管理要求项的要求，并能够根据技术发展和相似案例添加新的安全管理内容。在本类别的系统中，党政机关应针对信息系统的安全目标，建立党政机关信息系统自有的安全管理量化执行目标；应保证对计算机信息系统的安全工作本身实施质量管理，能够利用历史资料和使用模型对安全管理措施进行优化；规定有明确的管理规程和管理改进计划，确保对已有安全管理过程进行连续改进。11系统安全性测评本规范是实施北京市党政机关信息系统安全测评的依据。授权的测评机构，应按照本规范建立相应的测评技术体系和流程。北京市党政机关信息系统安全测评包括技术测评和管理测评。技术测评依据本规范中安全技术要求进行。通过测评，判定被测系统是否全面（或部分）实现了本规范要求的安全组件功能，安全组件是否正常发挥作用并满足党政机关业务的实际安全需求。系统中配置的安全产品应符合GB17859、GB/T18336和国家有关的安全产品标准。管理测评依据本规范中安全管理要求进行。通过测评，判定被测系统是否全面（或部分）建立了相应的安全管理体系，是否满足满足党政机关业务的实际安全需求。相关内容见附录A。95 DB11/T171—2002附录A（规范性附录）信息系统安全性测评流程和测评工具A.1测评流程信息系统安全测评包括资料审查、核查测试、综合评估三个阶段。测评流程见图A1。A.1.1资料审查a)被测用户应向安全测评机构提交测评申请，并提交相关资料；b)安全测评机构收到用户系统测评申请后，根据用户测评申请提供的资料，进行形式化审查，审查用户资料是否满足测评要求；c)向用户提供形式化审查报告。A.1.2核查测试a)测评机构依据本规范和用户提供的资料，制定系统安全测评计划；b)召开系统安全测评协调会，测评双方共同确认系统安全测评计划；c)依据系统安全测评计划制定系统安全测评方案；d)依据系统安全测评方案实施现场核查测试；e)对核查测试结果进行数据整理记录，并形成核查测试报告。A.1.3综合评估a)依据本规范，对用户资料和测试报告进行综合分析，形成分析意见；b)就分析意见与用户沟通确认，最终形成系统安全测评综合评估报告；c)对系统安全测评综合评估报告进行审定；d)出具信息系统安全测评综合评估报告和审定书。97 DB11/T171—2002被测用户提交测评申请，以及相关资料与被测单位协商，测评机构对被测单位提供的资帮助用户完善应提资料进行形式化审查交的相关资料。料审向被测单位出具形式化审查报告查阶段未通过形式化审查是否通过？通过制定信息系统安全测评计划召开系统安全测评协调会核双方确认测评计划查测制定系统安全测评方案试阶段实施现场核查测试整理测试数据，形成核查测试报告对用户资料和测试报告进行综合分析，形成分析意见综合形成系统安全测评综合评估报告评估审定系统安全测评综合评估报告阶段出具信息系统安全测评综合评估报告和审定书图A1测评流程示意图98 DB11/T171—2002A.2测评工具A.2.1调查问卷调查问卷是现场核查的方法之一。调查问卷根据本规范制定，其调查内容应涵盖被测信息系统的各个方面，利用调查问卷对系统安全技术、安全管理措施等进行逐项审核，将调查结果记录在相应的问卷上，供现场核查分析之用。A.2.2系统安全性技术检查工具典型的系统安全性技术检查工具有以下几种：a)源代码扫描器：主要扫描源代码中的危险函数调用、软件陷门；b)基于主机的扫描器：检测主机操作系统中与系统密切相关的安装配置问题及其他系统目标的安全策略漏洞情况；c)基于网络的扫描器：通过网络扫描确定系统的状态及收集信息，判断网络中是否存在安全隐患。例如操作系统类型、开放的端口及服务、安全漏洞及木马程序等。检测范围包括所有的信息系统设备：服务器、防火墙、交换机、路由器等网络中所有设备；d)网络协议分析仪：分析信息系统传输数据流，检测信息系统异常现象；e)入侵检测工具：分析系统外部或内部的入侵行为及其行为特征（根据用户需求）；f)其它检查工具。A.2.3测评工具使用原则a)根据信息系统安全要求配置测评工具，选择适用的、针对性强的测评工具；b)应优先选用性能较好，由国内开发的测评工具或经过测评认证确认安全的测评工具；c)对已经投入运行的系统不得使用攻击性测试工具，防止系统崩溃造成不必要的损失；d)使用攻击性测试工具要经过被测评用户授权。A.3测评数据处理a)对信息系统现场核查记录进行汇总分析，完成信息系统现场核查报告；b)对系统安全性测评过程得到的被测单位提供的申请资料、方案的形式化审查报告、信息系统现场核查记录、现场核查报告以及测试过程中所有的书面记录，经分析整理后，形成信息系统安全测评综合评估报告；c)系统安全性测评过程所产生的全部数据、记录、资料应归档管理；d)系统安全性测评过程所产生的全部数据、记录、资料不得以任何方式向第三方透露；e)系统安全性测评过程所产生的全部数据、记录、资料的处置应符合相关法令法规的规定。A.4测评结论a)信息系统经测评机构安全测评后，向被测评单位出具信息系统安全测评综合评估报告和信息系统安全审定书；b)信息系统安全测评综合评估报告是客观反映被测单位信息系统在管理方面及技术方面的安全状况，其中包括了信息系统在安全性方面存在的漏洞、潜在的风险以及相应的建议性改进意见；c)信息系统安全审定书表明被测信息系统在测试时的安全状况与本规范规定的相应安全类别要求的符合程度。99 DB11/T171—2002附录B（资料性附录）本标准使用指南本标准是为北京市党政机关信息系统制定的测评规范，主要用于党政机关信息系统安全性的测评。除了可用于测评，标准可能的使用方式如下图所示：确定新建系统安全类型测评规范规定新建系统安全类型新建系统设计方案已建成系统系统建设方案评审测评方案系统建设工程实施建成系统测评验收系统升级改造a)本标准可用于确定信息系统安全类型的参考。本标准中提出了党政机关信息系统安全分类，每一类系统所具有的总体安全保护能力有所差异。因此，党政机关可以根据自己信息系统的具体运行环境和业务特点，结合内部信息资源的安全保护需求，确定系统的安全类型。b)本标准可作为主管部门的技术参考文件，以作出党政机关信息系统建设的规定。为了保证信息安全体系建设的一致性、统一性，主管部门可以本着“统一规划、统一实施”的原则，对党政机关信息系统安全建设作出规定。本标准可以作为系统建设规定的参考。c)本标准可作为党政机关系统安全设计方案评审的参考和依据。本标准对党政机关信息系统中安全技术和管理方面提出了明确的要求，相关部门可以作为党政机关信息系统安全方案评审的参考和依据。d)本标准可作为系统测评的依据。这是本标准编写的主要目的。101 DB11/T171—2002附录C（资料性附录）典型安全措施C.1物理安全措施C.1.1场地党政机关信息系统场地安全应满足以下标准的规定：GB/T2887-2000电子计算机场地通用规范GB/T9361-1988计算站场地安全要求C.1.2设备党政机关信息系统设备安全应满足以下标准的规定：GB/T2887-2000电子计算机场地通用规范GBJ232电气装置安装工程施工及验收规范C.1.3存储媒体党政机关信息系统存储媒体安全应参考以下标准的规定：GJB1295-91军队通用计算机系统使用安全要求C.1.4电磁辐射与泄露检测党政机关信息系统电磁辐射与泄露检测应参考以下标准的规定：GJB151军用设备和分系统电磁发射和敏感度要求C.2网络安全措施C.2.1隔离与交换隔离与交换的实现分为逻辑实现和物理实现。逻辑实现隔离交换可采用经国家有关部门认可的防火墙、访问控制设备、逻辑隔离设备等技术手段。所采用的技术手段应具备以下功能：——包过滤和应用代理的访问控制能力；——对通信两端实体的身份鉴别能力；——网络地址转换能力；——对通用网关设备的通信事件、操作事件以及安全事故的审计能力；——中断现有通信的能力。物理隔离通过建设物理上完全独立的网络实现。典型的用于物理隔离的安全设备有：隔离卡、隔离计算机。物理隔离网络之间的信息交换可以人工方式进行，也可以采用经国家有关部门认可的设备实现。C.2.2防火墙C.2.2.1功能要求C.2.2.1.1网络数据包的过滤功能防火墙应具有过滤进出网络数据包的功能，根据源和目的IP地址、协议（IP/TCP、UDP、ICMP）及其端口号进行过滤，采取静态规则与动态规则相结合的数据包过滤方式。C.2.2.1.2网络访问行为的管理功能防火墙应实现进出网络的数据包的访问行为管理功能。C.2.2.1.3访问控制功能防火墙应具有根据如下项目实施访问控制策略：——源地址103 DB11/T171—2002——目的地址——协议类型——请求的服务（如源端口号，目的端口号）——服务命令（如FTP的PUT）该功能应符合子集访问控制策略（FDP_ACC.1）或完全访问控制策略（FDP_ACC.2）和访问控制功能（FDP_ACF.1）。C.2.2.1.4安全审计功能防火墙应具有记录通过防火墙的信息内容和活动的功能。该功能应符合安全审计数据产生（FAU_GEN.1）。C.2.2.1.5安全告警功能防火墙宜具有对网络攻击或违规事件进行检测和告警的功能。该功能应符合安全审计自动响应（FAU_ARP.1）。C.2.2.2安全管理要求a）防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理，管理员的行为主要包括：通过防火墙的身份鉴别，编写防火墙的管理员指南，配置防火墙的安全参数，查看防火墙的日志等；b）应具备防火墙管理员指南，在其中描述管理员对于防火墙的管理方式、内容与过程；c）应只允许授权的管理员具有配置防火墙的能力；d）应提供日志信息管理和存储方法，应具备统计、提供报表的功能；e）宜提供告警机制，在检测到入侵网络以及设备运转异常情况时，通过告警来通知管理员采取必要的措施；f）应获得国内有关部门许可，这是防火墙合格与销售的关键要素之一。C.2.3路由器C.2.3.1功能要求C.2.3.1.1审计数据生成功能路由器应对进入/流出的数据流进行审计，并产生相应的审计日志。该功能应符合审计数据产生（FAU_GEN.1）。C.2.3.1.2路由加密功能路由器应提供对路由信息的鉴别，必要时可提供路由信息的加密功能（密码的算法和实现方法应符合国家有关主管部门的规定）。C.2.3.1.3身份鉴别功能路由器应提供对远程用户身份的鉴别。该功能应符合用户标识（FIA_UID.1）、用户鉴别（FIA_UAU.1）、鉴别失败（FIA_AFL.1）和用户_主体绑定（FIA_USB.1）。C.2.3.1.4访问控制功能路由器应实现基于IP地址的过滤、识别内外网络地址和实现告警等功能。该功能应符合子集访问控制策略（FDP_ACC.1）或完全访问控制策略（FDP_ACC.2）和访问控制功能（FDP_ACF.1）。C.2.3.1.5支持VPN技术路由器应在必要时提供对VPN技术的支持。（VPN采用的密码算法和实现方法应符合国家有关主管部门的规定）C.2.3.2安全管理要求a）应根据权限高低或分工不同将管理员分级；b）应保障管理信息传输的安全；c）路由器只应由授权的管理员进行管理；104 DB11/T171—2002d）路由器基本管理界面应提供管理员登录功能、界面长时间无操作处理功能、不同级别管理员使用的命令相互不可见。C.2.4以太网交换机C.2.4.1功能要求C.2.4.1.1二层以太网交换机功能要求——应支持基于端口和MAC地址的过滤以及非法帧过滤——宜支持VLAN，高级交换机应支持VLAN-VLAN的内部连接——应支持端口镜像——高级交换机能够具备流量控制功能C.2.4.1.2三层以太网交换机功能要求——三层交换机的安全要求应包括二层以太网交换机的功能要求——可对三层的IP、IPX进行访问控制，即根据源或目的IP、IPX地址设置过滤器——应有划分广播域的功能C.2.4.2安全管理要求a）应根据权限高低或分工不同将管理员分级；b）应保障管理信息传输的安全；c）只应由授权的管理员进行管理；d）交换机基本管理界面应提供管理员登录功能、界面长时间无操作处理功能、不同级别管理员使用的命令相互不可见。C.2.5入侵检测系统C.2.5.1功能要求C.2.5.1.1数据流实时监测功能入侵检测系统应提供实时监测网络上的数据流的功能，对防范网络恶意攻击及误操作提供主动的实时保护，在网络系统受到危害时拦截和响应入侵。C.2.5.1.2生成和管理审计数据的功能入侵检测系统应根据网络安全策略对网络和系统活动进行检查，捕获网络安全违规事件，并对生成的审计数据进行分析处理和过滤，多方位反映系统安全状况。该功能应符合安全审计数据产生（FAU_GEN.1）。C.2.5.1.3特征库更新入侵检测系统应提供特征库更新功能。特征库更新应符合相应的安全规定，确保特征库是真实、可靠、完整的。C.2.5.1.4自动响应功能入侵检测系统应记录网络安全事件的详细信息，提示系统安全管理员采取一定的安全措施。该功能应符合安全审计自动响应（FAU_ARP.1）。C.2.5.1.5联动功能入侵检测系统宜具有与防火墙或者其它网络设备联动的功能，实时阻断连接。C.2.5.2安全管理要求a）入侵检测系统只应允许授权人员设置入侵管理规则，如定义攻击特征、指定非标准服务端口、入侵响应方式等。入侵管理规则应操作简单、安全有效，并保证入侵检测系统的功能实现没有被旁路；b）入侵检测系统应对入侵管理规则范围内的所有操作有完备的日志记录，包括入侵事件的日期、时间、来源、攻击目标、事件类型、过程、事件的结果等内容；105 DB11/T171—2002c）入侵检测系统只能允许授权人员查阅、统计、管理、维护日志记录。日志记录不得被更改或任意删除，日志所占存储空间将满时，入侵检测系统应及时告警，以便系统管理员及时将日志导出或删除；d）系统管理员应定期更新攻击特征数据库，定期分析入侵检测记录，并根据系统已经存在或潜在的安全漏洞及时调整监控策略。C.2.6病毒防范系统C.2.6.1功能要求C.2.6.1.1病毒防范功能病毒防范主要包括预防病毒、检测病毒、清除病毒等功能。C.2.6.1.2病毒特征库更新功能病毒特征库更新主要包括病毒特征库（自动/手动）定期更新、病毒特征库更新管理方式（系统内统一管理或各主机自行管理）等功能。病毒特征库更新应符合相应的安全规定，确保特征库是真实、可靠、完整的。C.2.6.1.3审计数据生成与管理该功能应符合审计数据生成（FAU_GEN.1）。C.2.6.2安全管理要求a）系统应对病毒可能侵入系统的途径（如软盘、光盘、可移动磁盘、网络接口等）进行控制，严格控制并阻断可能的病毒携带介质在系统内的传播；b）安装经国家认可的病毒防治产品，根据系统安全需求制定病毒防范策略。定期组织查杀系统的病毒；c）系统应在病毒侵入时及时报警并予以隔离、清除或采用既定病毒防范策略中规定的处理方式。系统应对病毒事件的发生及处理过程有详细的日志记录；d）定期更新病毒特征库，及时对病毒防治产品进行版本升级。定期对病毒相关日志记录进行详细统计与分析，及时调整病毒防范策略。C.2.7漏洞扫描器C.2.7.1功能要求C.2.7.1.1漏洞扫描功能用户能通过漏洞扫描器评估系统内网络设备、操作系统、数据库的安全性。C.2.7.1.2特征库更新功能漏洞扫描器应提供特征库更新功能。漏洞库更新应符合相应的安全规定，确保漏洞库是真实、可靠、完整的。C.2.7.1.3生成扫描报告漏洞扫描器应根据扫描结果生成可读性较强的报告，并提供漏洞的补救措施和建议。C.2.7.2安全管理要求a）漏洞扫描器只能允许授权人员使用或设置扫描规则，如定义IP地址、标准服务类型、攻击类型等；b）漏洞扫描器只能允许授权人员查阅、统计、管理、维护扫描报告；c）漏洞扫描器的授权使用者应定期更新扫描特征数据库，并根据扫描报告及时调整安全策略。C.2.8安全审计系统C.2.8.1功能要求C.2.8.1.1审计数据产生审计系统应根据设置的审计规则产生审计数据，并将每个可审计事件与引起该事件的用户身份相关联。该功能应符合审计数据产生（FAU_GEN.1）和用户身份关联（FAU_GEN.2）。C.2.8.1.2审计查阅106 DB11/T171—2002审计系统应提供授权用户查阅审计日志的功能。该功能应符合审计查阅（FAU_SAR.1）。C.2.8.1.3选择性审计审计系统应根据以下属性包括或排除审计事件集中的可审计事件：——客体身份，用户身份，主体身份，主机身份，事件类型等；——作为审计选择性依据的系统自定义属性表；该功能应符合选择性审计（FAU_SEL.1）。C.2.8.2安全管理要求a）审计系统的规则应由系统授权人员根据系统的安全策略设定，不得被普通用户擅自修改。应保证审计系统的功能实现不被旁路；b）审计系统应对审计规则范围内的所有操作有详细的日志记录，包括审计事件的日期、时间、事件类型、事件的结果（成功或失败）等内容，并和用户身份关联；c）审计系统只能允许授权人员查阅日志记录，并可根据需要对审计日志实施加密或完整性保护措施。日志记录不得被更改或任意删除；d）审计系统应提供将审计日志记录导入导出的能力。日志所占存储空间将满时，审计系统应及时告警，以便系统管理员及时将日志导出或删除。C.2.9网络结构安全要求C.2.9.1内部网络拓扑信息保护应采取措施保证内部网络拓扑信息不被非法获得，常见的措施有：——应禁止SNMP协议数据包进入内部网络；——在不影响性能的情况下，可考虑采用动态地址映射隔离内部网络，屏蔽内部网络拓扑结构。C.2.9.2内部网络拓扑结构安全要求C.2.9.2.1网络安全域划分在内部，采用逻辑划分的方式实现网络安全划分。安全域的划分可利用VLAN技术实现。C.2.9.2.2防止非法侦听在政务专网内部，应采取措施防止非法窃听，常见的措施有：——划分VLAN；——使用加密设备等。C.2.9.2.3重要服务器的保护重要服务器应单独划分安全域。重要服务器所在网段与其它子网互连的接口应当采取隔离、监控措施，如防火墙等。C.2.9.3内部网络子网间安全要求党政机关信息系统内部网间互连主要指单位内部各部门之间的网络的互连，网间连接的安全要求有：——保证网间连接线缆的物理安全性，尽量防止物理窃听的发生；——用户可根据需要，在网间互连接口上加装安全设备。C.2.9.4防止非法网络出入政务专网不应有未受控的网络出口，如终端用户私自拨号上网等。对于提供远程拨号连接或移动用户入网连接的系统，应在系统入口处配置鉴别与认证服务。C.2.10网络系统可用性保证对于一个实际运行的网络系统，其可用性也是安全要求的一个重要组成部分。系统的运行状态，发生故障时的定位与解决等，这些情况对于管理员和用户都是非常必要的。同时，有部分攻击行为也是以破坏网络系统的可用性为目的的。网络系统可用性保证技术手段如下所述。C.2.10.1技术方案验证107 DB11/T171—2002在规划阶段应根据实际需求设计网络建设方案，保证方案适用于网络建设目标，必要时可采用技术手段模拟实际网络状况以验证方案合理。C.2.10.2网络冗余网络冗余是解决网络系统单点故障的重要措施。对关键性的网络线路、设备通常宜采用备份的方式，网络运行时对运行状态进行实时监控，当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配，保证网络正常的运行。C.2.10.3网络管理与监控应采用适当的网络管理与监控手段，包括网络管理系统、网络监控系统等。对于可用性要求较高的网络系统应包括网络异常报警、网络故障发现等功能。C.2.10.4了解系统性能状况对于可用性要求较高的信息系统应专门进行系统性能方面的测试，了解系统运行现状及性能，以保证网络可用性要求。有特殊要求的单位可对网络系统可用性状况进行实时监控以掌握运行参数。C.3系统软件安全措施C.3.1操作系统安全要求C.3.1.1自主访问控制党政机关信息系统的操作系统可信计算基定义并控制系统中命名用户对命名客体的访问。实施机制（例如访问控制表）允许命名用户和（或）以用户组的身份规定并控制客体的共享；阻止非授权用户读取敏感信息，并控制访问权限扩散。自主访问控制机制根据用户指定方式或默认方式，阻止非授权用户访问客体。访问控制的粒度是单个用户。访问控制能够为每个命名客体指定命名用户和用户组，并规定他们对客体的访问模式。没有存取权的用户只允许由授权用户指定对客体的访问权。自主访问控制所对应的安全技术要求包括：——自主访问控制策略（FDP_ACC.1）——自主访问控制功能（FDP_ACF.1）——用户属性定义（FIA_ATD.1）——用户-主体绑定（FIA_USB.1）C.3.1.2强制访问控制党政机关信息系统的操作系统可信计算基对外部主体能够直接或间接访问的所有资源（例如主体、存储客体和输入输出资源）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。党政机关信息系统的操作系统可信计算基支持两种或两种以上成分组成的安全级。党政机关信息系统的操作系统可信计算基外部的所有主体对客体的直接或间接的访问应满足：仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别，主体才能读客体；仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含了客体安全级中的非等级类别，主体才能写一个客体。党政机关信息系统的操作系统可信计算基使用身份和鉴别数据，鉴别用户的身份，保证用户创建的党政机关信息系统的操作系统可信计算基外部主体的安全级和授权受该用户的安全级和授权的控制。强制访问控制所对应的安全技术要求包括：——无标记用户数据的导出（FDP_ETC.1）——标记用户数据的导出（FDP_ETC.2）——无标记用户数据的导入（FDP_ITC.1）——标记用户数据的导入（FDP_ITC.2）108 DB11/T171—2002——用户-主体绑定（FIA_USB.1）——客体安全属性管理（FMT_MSA.1）C.3.1.3标记党政机关信息系统的操作系统可信计算基维护与可被外部主体直接或间接访问到计算机党政机关信息系统资源（例如主体、存储客体、只读存储器）相关的敏感标记。这些标记是实施强制访问的基础。为了输入未加安全标记的数据，党政机关信息系统的操作系统可信计算基向授权用户要求并接受这些数据的安全级别，且可由党政机关信息系统的操作系统可信计算基审计。标记所对应的安全技术要求包括：——用户-主体绑定（FIA_USB.1）——无标记用户数据的导出（FDP_ETC.1）——标记用户数据的导出（FDP_ETC.2）——无标记用户数据的导入（FDP_ITC.1）——标记用户数据的导入（FDP_ITC.2）C.3.1.4身份鉴别党政机关信息系统的操作系统可信计算基初始执行时，首先要求用户标识自己的身份，而且，党政机关信息系统的操作系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。党政机关信息系统的操作系统可信计算基使用这些数据，鉴别用户身份，并使用保护机制（例如口令）来鉴别用户的身份；阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识，党政机关信息系统的操作系统可信计算基能够使用户对自己的行为负责。党政机关信息系统的操作系统可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力。身份鉴别所对应的安全技术要求包括：——鉴别失败处理（FIA_AFL.1）——用户属性定义（FIA_ATD.1）——鉴别数据强度(FIA_SOS.1)——鉴别（FIA_UAU.1）——多重鉴别机制（FIA_UAU.5）——重新鉴别机制（FIA_UAU.6）——保护鉴别反馈（FIA_UAU.7）——适时标识（FIA_UID.1）——用户-主体绑定（FIA_USB.1）C.3.1.5客体重用在党政机关信息系统的操作系统可信计算基的空闲存储客体空间中，对客体初始指定、分配或再分配一个主体之前，撤销客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时，当前主体不能获得原主体活动所产生的任何信息。客体重用所对应的安全技术要求包括：——完全残余信息保护（FDP_RIP.2）C.3.1.6审计党政机关信息系统的操作系统可信计算基能创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。党政机关信息系统的操作系统可信计算基能记录下述事件：使用身份鉴别机制；将客体引入用户地址空间（例如打开文件、程序初始化）；删除客体；由操作员、系统管理员或（和）系统安全管理员实施的动作，以及其他与系统安全有关的事件。对于每一事件，其审计记录包括：事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件，审计记录包含请求的来源（例如终端标识符）；对109 DB11/T171—2002于客体引入用户地址空间的事件及客体删除事件，审计记录包含客体名及客体的安全级别。此外，党政机关信息系统的操作系统可信计算基具有审计更改可读输出记号的能力。对不能由党政机关信息系统的操作系统可信计算基独立分辨的审计事件，审计机制提供审计记录接口，可由授权主体调用。这些审计记录区别于党政机关信息系统的操作系统可信计算基独立分辨的审计记录。党政机关信息系统的操作系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。党政机关信息系统的操作系统可信计算基包含能够监控可审计安全事件发生与积累的机制，当超过阈值时，能够立即向安全管理员发出报警。并且，如果这些与安全相关的事件继续发生或积累，系统应以最小的代价中止它们。审计所对应的安全技术要求包括：——审计数据产生（FAU_GEN.1）——用户身份关联（FAU_GEN.2）——审计查看（FAU_SAR.1）——受限的审计查看（FAU_SAR.2）——可选择审计查看（FAU_SAR.3）——选择性审计（FAU_SEL.1）——审计数据可用性保证（FAU_STG.1）——审计数据可能丢失的提防措施（FAU_STG.3）——防止审计数据丢失（FAU_STG.4）——可靠时间戳（FPT_STM.1）C.3.1.7数据完整性党政机关信息系统的操作系统可信计算基通过自主和强制完整性策略，阻止非授权用户修改或破坏敏感信息。在网络环境中，使用完整性敏感标记来确信信息在传送中未受损。C.3.1.8隐蔽信道分析系统开发者应尽可能地搜索隐蔽信道，并根据实际测量或工程估算确定每一个被标识信道的最大带宽。C.3.1.9可信路径当连接用户时（如注册、更改主体安全级），党政机关信息系统的操作系统可信计算基提供它与用户之间的可信通信路径。可信路径上的通信只能由该用户或党政机关信息系统的操作系统可信计算基激活，且在逻辑上与其他路径上的通信相隔离，且能正确地加以区分。C.3.1.10可信恢复党政机关信息系统的操作系统可信计算基提供过程和机制，保证党政机关信息系统失效或中断后，可以进行不损害任何安全保护性能的恢复。C.3.2数据库系统安全要求由数据库管理系统（DBMS）、数据库（DB）及其描述机构、数据库用户、数据库管理员以及计算机系统组成的一个对以库结构形式存储在计算机系统中的数据，按照一定的应用目标进行各种信息处理的人机系统叫做数据库系统。党政机关信息网络系统中的数据库系统，其安全目标是保证基于数据库技术的党政应用系统中数据的：a)保密性：通过加密和访问控制等，实现在数据库系统中存储、传输和处理数据的保密性保护。b)完整性：通过事务的完整性，确保数据的完整性。c)一致性：数据库在多用户共享时，不破坏数据库中数据的一致性。d)可用性：通过故障恢复等措施，确保数据库系统中数据的可用性。C.3.2.1身份鉴别数据库系统应对数据库用户进行身份合法性验证，身份鉴别包括对用户的身份进行标识和鉴别。用户标识一般是在用户注册(建立帐号)时进行，用户鉴别则在用户登录时或在用户进行访问操作时进行。110 DB11/T171—2002数据库用户标识一般使用用户名和用户标识(用户ID)在每个数据库应用范围实现标识唯一性，即用户(同一用户或不同用户)在不同数据库应用中可使用相同的用户名，而同一数据库应用中用户不得重名。数据库用户鉴别一般使用口令信息。口令的存储和传输应进行适当的保护，并应对口令长度、复杂度、有效期等加以适当限制。对于安全类别要求较高的系统，除满足上述要求外，还应在整个数据库系统范围实现用户标识唯一性，应确保数据库管理系统建立的用户在系统中的标识(SID)与在各数据库中的标识(用户名或别名，UID等)之间的一致性，提供对每个数据库用户行为的可审计性。数据库用户标识信息在数据库系统的整个生命期有效，被撤消的用户帐户的UID不得再次使用，并提供口令自动生成机制，定义鉴别尝试允许次数、尝试时间。身份鉴别还可采用安全强度更高的机制，如采用指纹、视网膜、IC卡等特殊信息进行身份鉴别，或者采用更加完善的CA认证系统等。数据库用户认证信息和鉴别信息应受到操作系统和数据库系统的双重保护。操作系统应确保任何用户不能通过数据库以外的使用方式(如文件方式)获取和破坏数据库用户的标识信息和鉴别信息。数据库系统应保证用户以安全的方式和途径使用数据库系统的标识信息和鉴别信息。身份鉴别所对应的安全技术要求包括：——鉴别失败处理（FIA_AFL.1）——用户属性定义（FIA_ATD.1）——鉴别数据强度(FIA_SOS.1)——鉴别定时（FIA_UAU.1）——不可伪造鉴别（FIA-UAU.3）——多重鉴别机制（FIA_UAU.5）——重新鉴别机制（FIA_UAU.6）——保护鉴别反馈（FIA_UAU.7）——标识定时（FIA_UID.1）——任何行动前的标识（FIA_UID.2）——用户--主体绑定（FIA_USB.1）C.3.2.2访问控制应根据数据库系统的特点，实现不同粒度的访问控制。这些特点主要是：a)数据以特定结构格式存放，客体的粒度可以是：关系数据库的表、视图、元组（记录）、列（字段）、元素（每个元组的字段）、日志、片段、分区、快照、约束和规则、DBMS核心代码、用户应用程序、存储过程、触发器、各种访问接口等；b)数据库系统有完整定义的访问操作；c)数据库是数据与逻辑的统一，数据库中不仅存放了数据，还存放了大量的用于管理和使用这些数据的程序，这些程序和数据同样需要进行保护，以防止未授权的使用、篡改、增加或破坏；d)数据量大、客体丰富是数据库的又一特点，考虑到性能和代价，应对不同客体给予不同程度的保护，如对敏感字段加密，对敏感表建立视图等；e)数据库系统具有数据生命周期长、用户分散、组成复杂等特点，要求长期的安全保护；f)数据库系统中的三级结构（物理结构、逻辑结构、概念模型结构）和两种数据独立性（物理独立性、逻辑独立性）大大减轻数据库应用程序的维护工作量，但是由于不同的逻辑结构可能对应于相同的物理结构，给访问控制带来新的问题，应对访问规则进行一致性检查；g)数据库系统访问控制是在操作系统之上实现的，考虑到效率因素，数据库系统的访问控制应在外层实现；h)数据库系统中客体具有相互联系的特点，这些“联系”本身也是一种非常有效的信息，防止未授权用户获得或利用这些“联系”，需要进行“推理控制”；111 DB11/T171—2002i)分布式数据库系统中，全局应用的访问控制应在全局DBMS层实现，局部应用的访问控制应在局部DBMS层实现，并根据需要各自选择不同的访问控制策略。C.3.2.2.1自主访问控制自主访问控制应由客体的拥有者来确定其它主体对该客体的访问权。数据库系统中的客体拥有者一般是客体的创建者，如表的属主、视图的属主，而数据库一般应由数据库系统管理员创建，然后将该数据库的拥有权授予某用户，使其成为该数据库的拥有者。可以用目录表访问控制、存取控制表访问控制、访问控制矩阵访问控制以及能力表访问控制等访问控制策略来确定主体对客体的访问权限。无论采用何种访问控制策略所实现的访问控制功能，要求都能够允许命名用户以用户和／或用户组的身份规定并控制对客体的共享，并阻止非授权用户读取敏感信息。对于安全类别要求较高的系统，除了按上述访问控制策略所实现的访问控制功能外,要求将自主访问控制扩展到计算机信息系统的所有主体与客体，并且要求自主访问控制的粒度达到更细的粒度，即,自主访问控制中的客体的最大控制单位应是记录、字段、元素等。对TSC中的每一个客体，都应能够实现由客体的创建者(用户)以用户指定方式或默认方式确定其对该客体的访问权限，而别的同组用户或非同组的用户和用户组对该客体的访问权则应由创建者用户授予，并将访问控制的粒度控制在单个用户，做到只有授权用户才能对该客体实施所授权的访问，而阻止那些非授权的用户对该客体进行任何访问，也阻止授权用户以非授权的操作形式对该客体进行访问。还要求自主访问控制能与身份鉴别和审计相结合，通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问，使用户对自己的行为承担明确的责任。要求限制授权传播。要求支持对不可传播的授权进行说明定义，由系统自动检查并限制这些授权的传播。自主访问控制所对应的安全技术要求包括：——自主访问控制策略（FDP_ACC.1）——自主访问控制功能（FDP_ACF.1）——用户属性定义（FIA_ATD.1）——用户-主体绑定（FIA_USB.1）C.3.2.2.2强制访问控制主体和客体的安全级别只能由授权者设置。强制访问控制通过主体来控制对基于主体和客体的敏感级别之上的客体的访问。应采用确定的安全策略模型实现强制访问控制。a)基于安全属性的访问控制多级安全模型将数据库系统可信计算基安全控制范围内的所有主、客体成分通过标记方式设置安全属性（等级和范畴），这些安全属性共同组成属性库，作为访问控制的基本数据。该模型按照简单保密性原则确定的规则——从下读、向上写，根据访问者主体和被访问者客体的安全属性，实现主、客体之间每次访问的强制性控制。强制访问控制应与用户身份鉴别、标记等安全功能要素密切配合，使系统对用户的安全性控制包含从用户进入系统到退出系统的全过程。强制访问控制还必须与自主访问控制结合，共同防止未授权访问。建立在单一计算机系统上的数据库系统的强制访问控制应由单一的DBMS实现。访问控制所需的安全属性存储在本地的数据库字典中，使用单一的访问规则（如从下读、向上写）。建立在网络系统上的数据库系统，其强制访问控制应根据数据库系统是多处理机系统还是分布式系统而有所不同。多处理机系统中仅存在一个DBMS，分布于网络的数据均由这一个DBMS管理，则强制访问控制的实现与单机数据库系统并无很大差别。分布式数据库系统中，全局应用的强制访问控制应在全局DBMS层实现，局域应用的强制访问控制应在局部DBMS层实现。b)基于角色的访问控制1）角色与特权管理112 DB11/T171—2002特权管理应对数据库系统中的特殊权限进行划分和维护。数据库系统的特权通常是指某些一般用户不能得到的访问或控制系统信息或资源的权力。特权的划分是将系统中的特殊权限分组，一组特权一起与某一角色相联系。因此，在进行权限划分时，必须考虑到角色授权的原则——最小授权原则和相互制约原则。一旦某一组特权与某一角色相联系，而又将某一用户授予该角色，那么该用户就获得了这一组特权。在基于多级安全模型的强制访问控制中，为了防止由于系统管理人员或特权用户的权限过于集中所带来的安全隐患，对系统管理员、安全管理员和系统审计员的授权管理，应将系统的常规管理、与安全有关的管理以及审计管理，分别由系统管理员、安全管理员和系统审计员来承担，并按最小授权原则分别授予它们各自为完成自己所承担任务所需的权限。2）访问控制数据库系统应支持各访问控制特权的定义，访问控制特权的分配由数据库系统管理员和系统安全管理员通过其可信计算基提供的系统安全员和系统管理员界面协作完成。访问控制特权的定义和特权的授予必须安全。特权的授予要遵循最小授权的原则，不允许任何主体拥有完全的特权集。定义新的访问控制特权、修改其它主体访问控制特权的主体必须具有某种确定的权限。不允许任何单一主体通过修改自身访问控制特权的途径，达到完全或实际上完全控制数据库系统的能力。基于角色的访问控制，实际上是在角色与特权管理的基础上，授予用户某一角色，从而使该用户获得相应特权的过程。这里包括对角色与权限的管理与维护，对用户角色的授予与撤消以及每次访问操作的权限检查等。角色与权限的管理与维护，能合理地进行权限的划分。用户角色的授予与撤消则根据需要授予用户某一角色，或在不需要时撤消该角色。提供基于角色的访问控制的可信计算基，访问控制与用户身份鉴别紧密相连。在用户进行访问操作时，对其角色的真实性进行检查，从而确定该用户是否拥有所要进行操作的特权。若有，则允许其进行该操作，否则，不允许进行该操作。强制访问控制所对应的安全技术要求包括：——无标记用户数据的导出（FDP_ETC.1）——标记用户数据的导出（FDP_ETC.2）——无标记用户数据的导入（FDP_ITC.1）——标记用户数据的导入（FDP_ITC.2）——用户-主体绑定（FIA_USB.1）C.3.2.3标记标记是实施强制访问控制的基础。应通过标记为数据库系统可信计算基安全功能控制范围内的主体与客体设置安全属性。用户安全属性应在用户建立注册帐户后由系统安全管理员通过数据库系统可信计算基所提供的安全管理界面进行标记并维护。客体安全属性应在数据输入到由数据库系统可信计算基安全功能所控制的范围内时以缺省方式生成或由安全管理员进行标记并维护。系统安全管理员和系统审计员的安全属性应通过相互标记形成制约关系。可根据安全要求将标记扩展到信息系统中的所有主体与客体，对于从数据库系统可信计算基控制外导入到数据库系统中的未标记信息进行默认标记或由安全管理员进行标记。对于输出到数据库系统可信计算基控制范围以外的数据，如打印输出的数据时，应明显的表示出该数据的安全标记。对于强制访问控制，不同的访问控制模型有不同的标记方法。基于多级安全模型的强制访问控制，标记过程授予主体与客体一定的安全属性；基于角色的强制访问控制，标记过程把用户与角色相联系，从而使该用户具有该角色所具有的特权。标记所对应的安全技术要求包括：——用户-主体绑定（FIA_USB.1）——无标记用户数据的导出（FDP_ETC.1）——标记用户数据的导出（FDP_ETC.2）113 DB11/T171—2002——无标记用户数据的导入（FDP_ITC.1）——标记用户数据的导入（FDP_ITC.2）C.3.2.4数据完整性数据库系统的数据完整性涉及数据的存储、处理和交换过程。数据库系统具有与用户交互频繁的特点，为了保证不因用户误操作或恶意攻击而引入错误的、无效的或不一致数据值，造成数据库系统不能提供正确、可靠的服务，必须由系统提供必要的检查，避免此类情况的发生。数据库数据完整性包括实体完整性、参照完整性和用户定义完整性。数据库系统的开发应选择支持实体完整性和参照完整性，并支持用户定义完整性规则的定义和检查的数据库产品。数据完整性所对应的安全技术要求包括:——存储数据完整性监视(FDP_SDI.1)——存储数据完整性监视与行动(FDP_SDI.2)——基本内部传送保护（FDP_ITT.1）——完整性监视（FDP_ITT.3）C.3.2.5数据库系统安全审计数据库系统的安全审计应：a)建立独立的安全审计系统：审计功能的设计、用户标识与鉴别、自主访问控制、标记与强制访问控制等安全功能的设计紧密结合，按照审计功能设计的总要求和各安全功能技术要求中的具体审计要求来进行；对网络环境下运行的计算机信息系统，应建立分布式的审计系统，以审计中心管理控制分布在网络系统上的各审计分系统；b)定义与数据库安全相关的审计事件,审计应能记录下述类型的事件：标记及强制访问控制等安全机制有关的内容，如安全属性,标识和鉴别机制的使用、把客体引入到一个用户的地址空间、删除客体、系统管理员和数据库安全管理员的动作、以及其他有关系统安全的事件；c)设置专门的安全审计员；d)设置专门用于存储数据库系统审计数据的安全审计库,数据库系统应能建立、维护和对它所保护客体的访问审计跟踪，防止对审计数据的修改、未授权访问或破坏。审计数据应受到保护，只允许有权限的少数人读取数据库的审计数据，而不允许修改审计数据；e)提供适用于数据库系统的安全审计设置、分析和查阅的工具。审计所对应的安全技术要求包括：——审计数据产生（FAU_GEN.1）——用户身份关联（FAU_GEN.2）——审计查阅（FAU_SAR.1）——受限的审计查阅（FAU_SAR.2）——可选择审计查阅（FAU_SAR.3）——选择性审计（FAU_SEL.1）——保护审计跟踪记录的存储（FAU_STG.1）——审计数据可用性担保（FAU_STG.2）——在审计数据可能丢失时的行动（FAU_STG.3）——防止审计数据丢失（FAU_STG.4）——可靠时间戳（FPT_STM.1）C.3.2.6客体重用数据库系统大量使用的动态资源，多由操作系统分配，由数据库管理系统和支持数据库系统的操作系统共同保证信息不因客体的动态分配而泄露。实现客体安全重用，操作系统和数据库系统应满足以下要求：114 DB11/T171—2002a)数据库管理系统提出新的客体分配要求，如创建新库，数据库设备初始化等，所得到的客体不应包含该客体以前的任何信息内容；b)数据库管理系统提出资源索回要求，应由操作系统确保这些资源中全部信息的清除；c)数据库管理系统要求创建新的数据库用户进程，应由操作系统保证分配给每个进程的存储媒体不包含残留信息；d)数据库管理系统应确保已经被删除或被释放的信息不再是可用的。为实现对重要敏感信息的保护，要求在释放存储这类信息的媒体时，应采用特殊的方法对其残留的信息进行彻底清除。客体重用所对应的安全技术要求包括：——子集残余信息保护（FDP_RIP.1）——完全残余信息保护（FDP_RIP.2）C.3.2.7数据库可信恢复当数据库系统出现运行故障、事务故障、系统故障和媒体故障时，数据库管理系统应提供恢复正常功能的机制。恢复机制应提供两种功能：为可能的失败做准备，通过抗失败措施或维护失败后要使用的恢复数据来为失败做准备；在失败之后恢复数据库，抗失败措施执行维护操作，以便在失败事件中分离出正确状态下的数据库。数据库系统中的可信恢复主要应包括：a)确保TSF能在确定不减弱保护的情况下启动安全数据库系统的DBMS；b)运行中发生故障或异常情况时，能够在尽量短的时间内恢复到正确、一致、有效的状态，这个状态对于系统运行是正常、安全的状态，并且对于应用来说是一个真实、有意义的状态；c)数据库系统可信恢复应由操作系统和数据库系统共同支持；d)与可信恢复相关的数据库技术有：事务管理，日志，检查点，备份，分布式数据库特殊处理。数据库可信恢复所对应的安全技术要求包括:——手工恢复（FPT-RCV.1）——自动恢复（FPT-RCV.2）——无过度损失的自动恢复（FPT-RCV.3）——功能恢复（FPT-RCV.4）C.3.2.8隐蔽信道分析安全数据库系统的隐蔽信道分析与数据库系统的设计密切相关，应在系统开发过程中进行。系统开发者应彻底搜索隐蔽存储信道，并根据实际测量或工程估算确定每一个被标识信道的最大带宽。隐蔽信道分析是建立在数据库系统可信计算基的实现、管理员指南、用户指南以及完整定义的外部接口等基础上的。隐蔽信道分析可以是一般性的，也可以是系统化的，或者是严格的。a)一般性的隐蔽信道分析一般性隐蔽信道分析应通过对隐蔽信道的非形式化搜索，标识出可标识的隐蔽信道。为此，要求对每个可能的信息流都应当进行搜索，并提供隐蔽信道分析的文档。分析文档应提供以下情况：1)标识出隐蔽信道并估计它们的容量；2)描述用于确定隐蔽信道存在的程序以及进行隐蔽信道分析所需要的信息；3)描述隐蔽信道分析期间所作的全部假设；4)描述最坏的情况下对通道容量进行估计的方法；5)为每个可标识的隐蔽信道描述其最坏的利用情形。b)系统化的隐蔽信道分析应通过对隐蔽信道的系统化搜索，标识出可标识的隐蔽信道。为此，要求以结构化、可重复的方式标识出隐蔽信道。除上述要求外，还要求分析文档提供证据，证明用于标志隐蔽信道的方法是系统化的。c)彻底的隐蔽信道分析115 DB11/T171—2002应通过对隐蔽信道的穷举搜索，标识出可标识的隐蔽信道。为此，要求提供额外的证据，证明对隐蔽信道的所有可能的搜索方法都已执行。其具体要求与上述相同。C.3.2.9可信路径在数据库用户进行注册或对用户安全级进行修改时，数据库系统可信计算基应提供它与用户之间的可信通信路径，实现用户与TSF间的安全数据交换。C.3.2.10推理控制应采用推理控制的方法防止数据库中数据信息的非授权获取。由于关系数据库中元组、属性、元素之间的相互关联性，用户可根据较低安全级别的、可见的数据而推出较高安全级别的信息。推理问题成为数据库安全的重要内容。运用推理方法获取权限以外的数据库信息，是一种较为隐蔽的信息攻击方法。在具有较高安全类别要求的数据库系统中，应考虑对这种攻击的防御。C.4应用安全措施C.4.1PKI/CA证书服务PKI/CA作为一些党政机关信息系统应用公开密钥技术实现安全服务的基础设施，需要采取以下安全措施：a）信息系统建立和使用PKI至少应有详细的证书策略（CP）文件和证书实施声明（CSP），两者应保持一致；b）PKI体系的根本信任点或根CA的私有密钥的密码强度质量应很高，密码算法的使用应严格服从国家主管部门的要求；c）PKI体系的根本信任点或根CA的私有密钥应严格保密，应采用物理安全手段保证根CA密钥的安全存储。在根CA的私有密钥存储、使用、恢复和更新中，宜采用知识分割或秘密共享的技术进行；d）PKI体系的根本信任点或根CA的服务器主机应在整个信息系统中具有最高的安全级别；e）PKI/CA系统的管理应采用分权机制，至少应有系统管理员、安全操作员和系统审计员三个独立的角色。宜采用生物特征和一次性鉴别相结合的机制对三者的身份进行鉴别；f）PKI/CA系统的审计子系统应确保安全；g）PKI用户的证书、密钥存储和使用应严格保护，宜采用令牌或智能卡的方式进行。C.4.2WWW服务C.4.2.1操作系统平台a）操作系统及时安装最新的补丁程序；b）操作系统满足C2安全级要求；c）操作系统采用经权威管理部门认证的安全操作系统。C.4.2.2WWW服务器软件a）安装最新的补丁程序；b）支持s-http协议。C.4.2.3WWW服务器程序配置a）对输入的合法性进行检查；b）能正确处理异常情况；c）正确进行文件属性、目录属性和其它安全上的设置；d）禁止或限制CGI程序和PHP脚本程序的使用；e）明确指定具有远程管理服务权限的主机；f）管理员帐号口令长度应超过8位，需定期更换，且不能是英文单词或纯数字等弱口令。C.4.2.4WWW服务器安全状态a）对出现的高风险安全漏洞，能够予以修补；116 DB11/T171—2002b）安全要求高的系统应不存在高、中风险安全漏洞。C.4.2.5WWW服务器主机安全a）使用网页防篡改工具对WWW服务器内容进行实时监视或刷新；b）对WWW服务器的访问进行日志审计；c）远程管理服务时，使用SSL安全协议；d）专机专用，服务器只提供WWW服务，关闭多余的通讯端口；e）WWW服务器安装入侵检测系统的检测引擎（主机代理）。C.4.3电子邮件服务C.4.3.1操作系统平台a）操作系统及时安装最新的补丁程序；b）操作系统满足C2安全级要求；c）操作系统采用经权威管理部门认证的安全操作系统。C.4.3.2电子邮件服务器软件a）安装最新的补丁程序；b）支持第三方电子邮件加密软件或算法，例如PGP。C.4.3.3电子邮件服务器程序配置a）对输入的合法性进行检查；b）能正确处理异常情况；c）不存在危险的或错误的配置。C.4.3.4电子邮件服务器安全状态a）对出现的高风险安全漏洞，能够予以修补；b）安全要求高的系统应不存在高、中风险安全漏洞。C.4.3.5电子邮件服务器主机安全a）安装病毒防火墙等工具，以对收发电子邮件中隐藏的病毒、恶意代码和木马程序进行查杀或过滤；b）安装电子邮件过滤工具，以对拒绝服务攻击有效防御，例如电子邮件炸弹及其它垃圾邮件；c）对电子邮件服务器的访问进行日志审计；d）专机专用，服务器只提供电子邮件服务，关闭多余的通讯端口；e）电子邮件服务器安装入侵检测系统的检测引擎（主机代理）。C.4.4FTP（文件传输协议）服务C.4.4.1操作系统平台a）操作系统及时安装最新的补丁程序；b）操作系统满足C2安全级要求；c）操作系统采用经权威管理部门认证的安全操作系统；d）平台上严禁安装任何程序编译工具，例如perl和c程序的编译工具。C.4.4.2FTP服务器软件a）安装最新的补丁程序；b）支持第三方的身份认证和加密软件或算法，例如Kerberos和DES。C.4.4.3FTP服务器程序配置a）对输入的合法性进行检查；b）能正确处理异常情况；c）删除guests帐号；d）匿名用户应只有公共区的文件读取权限，严禁写入和执行等其它操作，或禁止匿名登录；117 DB11/T171—2002e）只允许授权用户具有读和写的操作权限，并专门指定一个可写入的文件目录，严禁文件的执行和编译等操作；f）用户口令的长度应不少于6位，需定期更换，且不能是英文单词或纯数字等弱口令；g）管理员口令的长度应不少于8位，需定期更换，且不能是英文单词或纯数字等弱口令。C.4.4.4FTP服务器安全状态a）对出现的高风险安全漏洞，能够予以修补；b）安全要求高的系统应不存在高、中风险安全漏洞。C.4.4.5FTP服务器主机安全a）使用安全工具对FTP会话进行保护，使传送的帐号和密码为密文；b）使用强鉴别机制对FTP用户进行身份认证；c）使用符合国家相关管理部门认定的加密算法对FTP数据传输进行加密；d）专机专用，服务器只提供FTP服务，关闭多余的通讯端口；e）对FTP服务器的访问进行日志审计；f）FTP服务器安装入侵检测系统的检测引擎（主机代理）。C.4.5群件系统C.4.5.1操作系统a）操作系统及时安装最新的补丁程序；b）操作系统满足C2安全级要求；c）服务器操作系统采用经权威管理部门认证的安全操作系统。C.4.5.2群件系统软件安装最新的补丁程序。C.4.5.3群件系统配置a）对输入的合法性进行检查；b）能正确处理异常情况；c）具有合理的权限控制。C.4.5.4群件系统安全状态a）对出现的高风险安全漏洞，能够予以修补；b）安全要求高的系统应不存在高、中风险安全漏洞。C.4.5.5群件系统安全措施a）能够防止非法用户侵入；b）采取病毒防护措施，对病毒和恶意代码进行过滤；c）采取电子签名措施；d）实现存储和传输加密；e）对群件系统的使用进行日志审计；f）群件系统服务器应安装入侵检测系统的检测引擎（主机代理）。C.4.6文件共享C.4.6.1文件共享应正确配置a）个人主机允许一定程度的文件共享，但不能使用缺省或过于简单的共享口令；b）重要目录不能设为共享；c）共享目录不可被匿名用户写入；d）各种服务器严禁使用文件共享。C.4.7打印共享C.4.7.1打印共享应正确配置c）打印共享的使用应需要口令，且共享口令不能简单设置；118 DB11/T171—2002d）应指定可使用打印共享的主机范围；e）打印密级信息的打印机不能设置为共享。C.5运行安全措施C.5.1备份与恢复a）在系统建立时要进行设备冗余备份（包括热备份和冷备份）；b）使用系统自带的备份功能，进行单机备份，备份保存在本地；c）提供定时的自动备份，在自动备份过程中，应有日志记录功能，如有需要应在出现异常情况时自动报警；d）采用多个磁带机并行操作等方法，保证备份的高效性；e）采用RAID等技术，保证备份的容错性；f）能够进行事务跟踪，保证备份的实时性；g）使用经过认证的备份软件进行数据备份；h）备份数据应按照数据的等级进行分级管理；i）系统应当有专人负责备份与恢复，备份方案实施应有时间限制。C.5.2恶意代码a）对从网络、光盘等非安全途径获取的文件进行安全审查；b）根据系统安全要求，在单机范围、网络范围内建立防恶意代码体系，具备相应的防恶意代码工具；c）在发现恶意代码后应当有相应的应急计划，可在一定的损失限度内将恶意代码清除；d）对所有从外界获取的文件进行安全审查。C.5.3入侵检测a）在有敏感数据需要保护的网络上运行入侵检测系统，实时监测网络上的数据流，分析网络通信会话轨迹；b）在需要保护的服务器主机上布置主机型入侵检测系统，实时监视系统活动，进行系统审计日志分析，寻找敏感的或可疑的系统活动；c）在系统日常运行过程中对安全事件报警记录进行分析处理和过滤，多方位反映系统安全状况，根据所记录网络安全事件的详细信息，提示系统安全管理员采取一定的安全措施；d）可与防火墙或者其它网络设备联动，实时阻断连接；e）IDS系统特征库应在新的特征码发布后限定时间内得到更新。C.5.4脆弱性分析a）党政机关信息系统应采用脆弱性分析手段对网络与系统安全的脆弱性进行分析和评估，查找可能会危及网络与系统安全的弱点漏洞；b）应根据系统安全需要对网络系统和主机定期进行脆弱性分析。分析时使用网络与系统脆弱性分析和评估工具，用人工或自动方法确认潜在的漏洞，对漏洞进行统计分析；c）应对脆弱性分析结果进行审查，发现系统漏洞应采取补救措施以及更新安全策略；d）脆弱性分析工具特征库应在新的特征码发布后限定时间内得到更新。C.5.5审计a）党政机关信息系统应能创建和维护审计跟踪记录，并能阻止非授权的用户对它访问或破坏；b）党政机关信息系统审计系统应能根据系统安全要求记录用户动作、管理员操作及其它与系统安全相关的事件；c）对不能由党政机关信息系统独立分辨的审计事件，审计机制提供审计记录接口，可由授权主体调用；d）党政机关信息系统应对审计记录定期进行分析，分析可采用自动工具或人工检查；119 DB11/T171—2002e）党政机关信息系统应包含能够监控可审计安全事件发生与积累的机制，当超过阈值时，能够立即向安全管理员发出报警。如果这些与安全相关的事件继续发生或积累，系统应以最小的代价中止它们。C.5.6升级升级是为了满足新应用的需求以及提高效率，保障党政机关信息系统的安全和可持续运行。C.5.6.1设备升级a）设备升级应解决升级后硬件的兼容性问题；b）设备升级应考虑升级过程中可能产生的数据的丢失问题，并有相应的解决方案；c）设备升级后应有一个试运行阶段；d）设备升级后，应重新审核系统安全状态，必要时对安全策略进行调整；e）设备升级中产生的拆除问题参见C.5.7拆除；设备的升级应由专人负责。C.5.6.2软件升级a）软件升级前应对升级软件做出安全评估；b）软件升级应解决升级后软件的兼容性问题；c）软件升级应考虑升级过程中可能产生的数据的丢失问题，并有相应的解决方案；d）软件升级后应当有一个试运行阶段；e）软件升级后，应重新审核系统安全状态，重新配置服务以及安全策略；f）软件的升级应由专人负责。C.5.7拆除a）拆除是为了废弃旧设备，或者对固有设备进行升级；b）应考虑拆除过程中可能产生的数据的丢失问题，并有相应的解决方案；c）拆除后存储媒介中的数据应使用系统本身提供的删除工具或经过认证的专用删除工具删除，如有需要应销毁存储媒介；d）拆除过程应当由专人负责；e）拆除后的设备应当由专人管理。C.5.8应急响应a）应急响应的目的是在紧急事件或安全事故发生时，保障党政机关信息系统继续运行或紧急恢复；b）党政机关信息系统应制订应急计划，能够在紧急事件或安全事故发生时做出影响分析；c）应急计划可准备多种备选方案，各方案均切实可行，并设置优先级；d）应急计划应经过测试证明可行；e）党政机关信息系统设置由本单位专家或外单位组成的应急小组，能够在限定时间内对发生的紧急事件或安全事故做出响应。C.5.9维护a）维护的目的是保证党政机关信息系统的日常运行；b）对设备进行常规定期维护，有特殊要求的设备应制订特别的维护计划；c）维护应有维护记录；d）维护过程中要考虑可能产生的数据丢失，并有相应的解决方案；e）维护要由专门的人员负责，维护人员要经过培训。120 DB11/T171—2002附录D（资料性附录）典型安全措施配置案例D.1安全类别I案例信息系统说明：某单位办公楼内办公网络。办公楼共五层，中心机房在三层，各层办公网络接入的信息点15－30不等。核心交换机一台，布置于中心机房，各楼层交换机一到两台。通过网络服务提供商线路接入互联网，每个办公室最多提供一台计算机专用于访问互联网。主要业务应用为公文流转及档案管理专用应用系统，同时提供对内部人员的WWW信息查询服务。办公用计算机使用MSwindows2000professional操作系统，服务器使用MSwindows2000AdvanceServer，WWW服务器采用MSIIS服务器程序。图D1：典型安全类别I信息系统网络拓扑图表D1：安全类别I系统安全措施配置表安全组件安全要求安全措施FAU_GEN.1应提供操作系统、应用启动windows2000的事件查看器中的各个日志文件记FAU_GEN.2平台的审计功能，实现录，完成操作系统审计功能的实现（包括应用系统服务FAU_GEN.1和器、www服务器和用户办公用机都进行了设置）。FAU_GEN.2。在专用应用系统（公文流转、档案管理系统）的设计及实现时，在用户管理模块中提供用户登录及重要操作审计的功能。启动IIS服务器日志功能。121 DB11/T171—2002FAU_SAR.1应提供用户查阅审计利用Windows2000提供的控制台工具查询访问日志记FAU_SAR.2数据的审计工具（或工录。具集），能够实现对系专用应用系统通过用户管理模块提供审计记录查询及统中所有审计数据的导出的功能。查阅。实现组件IIS审计日志保存为文件以供查询。FAU_SAR.1、FAU_SAR.2。FAU_SEL.1对FAU_GEN.1中规定Windows2000可选日志记录包括应用程序日志、安全日以外的审计内容实现志、系统日志。FAU_SEL.1。应用系统审计记录包括用户登录退出时间、重要操作记录及时间等。FAU_STG.1应实现FAU_STG.1和在Windows2000事件查看器中修改日志文件保存方式及FAU_STG.3FAU_STG.3。大小限制，改为按需要改写日志，最大文件大小设为2M字节。专用应用系统审计记录按日期存储为文件，不限制文件大小，定期备份。IIS通过分时段保存日志文件保证审计日志可用。记录存储空间将决定于系统可用磁盘空间。FDP_ITT.1要求在党政机关信息应用系统只在单位办公楼内使用，其信息流向不经过未FDP_ITT.3系统中，如果存在两个受保护的远程信道。或两个以上具有不同操作系统和网络平台不允许远程访问，可通过在安全要求的党政应用internet出口设置防火墙过滤相关流量限制，并对主机系统，任意两个远程主和网络设备的远程登录配置作限制，禁止远程登录或限机之间需要远程传输制登录位置（按ip地址等）。数据时，应实现如果存在远程信息流，应在信息流向的两端采用加密手FDP_ITT.1或/和段。FDP_ITT.3，对所传送的数据进行控制和完整性监视。可通过党政应用系统本身实现或通过公共应用平台系统、操作系统、网络系统等实现。FIA_AFL.1实现FIA_AFL.1。规定在windows2000本地安全策略中设置帐户锁定策略，默用户不成功的鉴别尝认设置十次无效登录后锁定该帐户30分钟。试次数，及达到该次数时所采取的行动。FIA_ATD.1要求对每个用户的安在windows2000操作系统中设置每个用户的安全属性及全属性分别进行管理，可执行的系统相关操作。实现FIA_ATD.1。在应用系统中按用户可进行的操作、可访问的文档设置相应的权限。122 DB11/T171—2002FIA_SOS.1要求操作系统、公共应在windows2000本地安全策略中设置密码策略，设置口用平台系统、党政应用令需符合复杂性要求，最小长度8个字符。系统应实现应用系统设置口令的部分应加入检测口令复杂性的功FIA_SOS.1。具备对秘能，不允许设置不满足要求的口令。密进行检查的机制，以保证所提供的秘密满足规定的质量量度；如果秘密不是由用户生成，系统还必须提供满足规定量度的秘密生成机制。FIA_UAU.1允许用户在其身份被用户需要使用计算机和应用系统，必须首先登录操作系鉴别前执行某些行动。统和应用系统，采用口令鉴别。在登录windows2000之前仅允许切换输入法。在登录应用系统之前只提供简单的与登录相关的提示信息。FIA_UAU.5要求提供和使用不同的鉴别机制，为特定的事件鉴别用户的身份。FIA_UAU.6要求有能力说明哪些事件用户需要被重新鉴别。FIA_UAU.7要求在鉴别期间，只提应用系统登录口令鉴别时，屏显等长*号。Windows2000供给用户有限的反馈也实现此功能。信息。FIA_UID.1要求用户在实施任何在登录windows2000系统之前用户仅能更换输入法。（已可能对于系统造成改在主机上安装过最新的补丁程序）变的操作之前先识别应用系统保证在登录应用系统之前不能对应用系统进自己。本类别系统必须行操作。实现FIA_UID.1。FIA_USB.1应实现FIA_USB.1。要操作系统中按照使用者权限大小进行分组，适当分配权求维持用户的安全属限。性与代表用户活动的应用系统中按照使用者需求适当分配权限保证用户操主体间的关联。作能与用户主体关联。FPT_ITC.1应实现FPT_ITC.1。对无远程TSF数据传输。安全相关的设备、软件和子系统之间交换安全数据的保密性提供保护。FPT_ITI.1应实现FPT_ITI.1。对无远程TSF数据传输。安全相关的设备、软件和子系统之间交换安全数据的完整性提供保护。123 DB11/T171—2002FPT_ITT.1应实现FPT_ITT.1。在无远程TSF数据传输。传输过程中对安全功能相关数据进行保护。FPT_RCV.1应实现FPT_RCV.1。提系统失效后可通过手工导入备份数据恢复系统。供人工干预以返回安全状态的机制。FRU_FLT.1应确保即使出现故障中心机房提供不间断电源及双路供电线路保证网络设事件也能基本维持系备在电源故障的情况下继续运行。统正常运行。本类别的核心交换机采用两台互为备份，避免中心节点单点故系统应在网络系统实障。现FRU_FLT.1。FTA_MCS.1实现FTA_MCS.1。对操用户使用应用系统时，应用系统限制其同一时间仅能从作系统、党政应用系统单一地点登录，同时登录用户数不超过1。同一用户并发会话的不允许远程使用的主机，其操作系统用户应限制只能在数量进行限制。本地登录，windows2000系统在本地安全策略中，用户权利指派中设置。FTA_SSL.1实现FTA_SSL.1。要求Windows2000操作系统通过屏幕保护同时设置屏幕保护在操作系统、党政应用口令实现用户会话锁定。系统中提供系统自动应用系统使用时，用户一段时间不操作，会将用户会话的交互式会话锁定和锁定并清除屏幕显示的应用系统信息。解锁能力。FTA_TAB.1实现FTA_TAB.1。要求应用系统在登录界面上设置警告信息，提醒用户注意使在用户与操作系统或用权限。党政应用系统建立会话前，系统应显示有关使用系统的劝告性警示信息。FTA_TAH.1应实现FTA_TAH.1。要Windows2000操作系统在审计日志中记录用户账号成功求在用户与操作系统和不成功登录的访问历史。或党政应用系统成功应用系统在用户登录后显示前一次登录记录。建立会话的基础上，显示该用户上一次成功建立会话的时间、方法和位置，以及上一次建立会话失败时的时间、方法和位置。FTA_TSE.1实现FTA_TSE.1。要求交换机、防火墙禁止远程配置，只能本地配置。与互联在网络系统、操作系网出口在非工作时间控制网络出入流量。统、公共应用平台系不需要远程访问的主机通过设置windows2000本地安全统、党政应用系统中提策略禁止账号远程登录。供根据用户安全属性应用系统可实现按用户身份、登录时间决定是否允许登拒绝与其建立会话的录系统，普通用户不允许非工作时间登录。机制。124 DB11/T171—2002D.2安全类别II案例信息系统说明：某单位办公楼内办公网络。办公楼共五层，中心机房在三层，各层办公网络接入的信息点15－30不等。核心交换机一台，布置于中心机房，各楼层交换机一到两台。通过isp线路接入互联网，每个办公室最多提供一台计算机专用于访问互联网。主要业务应用为公文流转及档案管理专用应用系统，同时提供对内部人员的WWW信息查询服务。办公用计算机使用MSwindows2000professional操作系统，服务器使用MSwindows2000AdvanceServer，WWW服务器采用MSIIS服务器程序。图D2：典型安全类别II信息系统网络拓扑图125 DB11/T171—2002表D2：安全类别II系统安全措施配置表安全组件安全要求安全措施FAU_ARP.1要求必须在网络系统、www服务器、应用系统服务器单独划分网段，网段出口操作系统中实现组件布置防火墙，防火墙检测到攻击信息自动给出警告信FAU_ARP.1。息。www服务器、应用系统服务器在windows2000性能日志和警报中设置警报，对服务器性能参数进行监控，超过阀值将发送文本警告信息到管理员使用主机并记入到应用程序日志。FAU_GEN.1必须提供网络系统、操启动windows2000的事件查看器中的各个日志文件记FAU_GEN.2作系统、公共应用平台录，完成操作系统审计功能的实现（包括应用系统服务系统的三重审计，实现器、www服务器和用户办公用机都进行了设置）。FAU_GEN.1和在专用应用系统（公文流转、档案管理系统）的设计及FAU_GEN.2。实现时在用户管理模块中提供用户登录及重要操作审计的功能。启动IIS服务器日志功能。FAU_SAA.3要求在网络中提供简网络internet出口及服务器网段出口设置防火墙，对FAU_SAA.4单攻击探测（或复杂攻防火墙可检测到的攻击进行拦截。击探测），实现组件FAU_SAA.3（或FAU_SAA.4）。FAU_SAR.1应提供用户查阅审计利用Windows2000提供的控制台工具查询访问日志记FAU_SAR.2数据的审计工具（或工录。具集），能够实现对系专用应用系统通过用户管理模块提供审计记录查询及统中所有审计数据的导出的功能。查阅。实现组件IIS审计日志保存为文件以供查询。FAU_SAR.1、防火墙系统提供了日志查询功能模块。FAU_SAR.2。FAU_SEL.1对FAU_GEN.1中规定Windows2000可选日志记录包括应用程序日志、安全日以外的审计内容实现志、系统日志；除此以外，可选的还包括性能日志、计FAU_SEL.1。数器日志等。应用系统审计记录包括用户登录退出时间、重要操作记录及时间等。防火墙日志可按网络流量类型选择记录。FAU_STG.1应实现FAU_STG.1和在Windows2000事件查看器中修改日志文件保存方式及FAU_STG.3FAU_STG.3。大小限制，改为按需要改写日志，最大文件大小设为2M字节。专用应用系统审计记录按日期存储为文件，不限制文件大小，定期备份。IIS通过分时段保存日志文件保证审计日志不被覆盖。防火墙日志定期备份至光盘。所有审计记录仅允许系统管理员访问。126 DB11/T171—2002FDP_ACC.1要求操作系统、党政应对于操作系统中文件的访问按照单位人员访问资料的用系统实现权限划分确定访问控制列表。FDP_ACC.1，具有对允应用系统中公文、档案的访问按照单位人员的访问划分许用户进行的敏感操访问权限。作进行检查的功能。FDP_ACF.1要求在操作系统、党政www服务器、应用系统服务器硬盘格式化为ntfs格式，应用系统实现组件按照用户权限大小对于各个目录的访问进行限制。FDP_ACF.1，所实现的应用系统中资源的访问做到可按照确定的访问控制列访问控制功能应满足表控制用户访问资源的行为。相应FDP_ACC组件的要求。FDP_DAU.1应在党政应用系统中公文流转加入数字签名功能保证文档内容的真实性。实现FDP_DAU.1。党政应用系统应保证客体（如文档）信息内容的真实性。FDP_ETC.2应对向外输出的数据应用系统文档输出功能模块在输出文档时，在文档前加进行控制。党政应用系入有关文档访问权限相关的警示信息。统实现组件FDP_ETC.2，对输出进行控制，输出的数据带有安全属性。FDP_ITC.2应对输入的数据进行应用系统的文档输入模块对输入数据的完整性进行检控制。党政应用系统实查，并将原数据所带的安全属性与系统中安全属性正确现组件FDP_ITC.2，应关联。要求输入的用户数据具有安全属性，要求安全属性正确反映用户数据的安全保护要求。FDP_ITT.2要求在党政机关信息应用系统只在单位办公楼内使用，其信息流向不经过未系统中，如果存在两个受保护的远程信道。或以上具有不同安全操作系统和网络平台不允许远程访问，可通过在要求的党政应用系统，internet出口设置防火墙过滤相关流量限制，并对主机任意两个远程主机之和网络设备的远程登录配置作限制，禁止远程登录或限间需要远程传输数据制登录位置（按ip地址等）。时，应实现如果存在远程信息流，应在信息流向的两端采用加密手FDP_ITT.2，将不同应段。用系统相关的数据传输分隔开（物理分隔或逻辑分隔）。可通过党政应用系统本身实现或通过公共应用平台系统、操作系统、网络系统等实现。127 DB11/T171—2002FDP_SDI.2应在党政应用系统中在应用系统存储数据时采用校验码保证存储数据完整。保证存储数据的完整性，实现FDP_SDI.2。FIA_AFL.1实现FIA_AFL.1。规定在windows2000本地安全策略中设置帐户锁定策略，默用户不成功的鉴别尝认设置五次无效登录后锁定该帐户60分钟。试次数，及达到该次数公文流转系统和档案管理系统中，用户登录时在一分钟时所采取的行动。之内登录失败超过十次系统将锁定该用户账号并记入日志，同时通知系统管理员。FIA_ATD.1要求对每个用户的安在windows2000操作系统中设置每个用户的安全属性及全属性分别进行管理，可执行的系统相关操作。实现FIA_ATD.1。在应用系统中按用户可进行的操作、可访问的文档设置相应的权限。FIA_SOS.1要求操作系统、公共应在windows2000本地安全策略中设置密码策略，设置口用平台系统、党政应用令需符合复杂性要求，最小长度8个字符。系统应实现应用系统设置口令的部分应加入检测口令复杂性的功FIA_SOS.1。具备对秘能，不允许设置不满足要求的口令。密进行检查的机制，以保证所提供的秘密满足规定的质量量度；如果秘密不是由用户生成，系统还必须提供满足规定量度的秘密生成机制。FIA_UAU.1允许用户在其身份被用户需要使用计算机和应用系统，必须首先登录操作系鉴别前执行某些行动。统和应用系统，采用口令鉴别。在登录windows2000之前仅允许切换输入法。在登录应用系统之前只提供简单的登录相关的提示信息。FIA_UAU.5要求提供和使用不同的鉴别机制，为特定的事件鉴别用户的身份。FIA_UAU.6要求有能力说明哪些事件用户需要被重新鉴别。FIA_UAU.7要求在鉴别期间，只提应用系统登录口令鉴别时，屏显等长*号。Windows2000供给用户有限的反馈也实现此功能。信息。FIA_UID.1要求用户在实施任何在登录windows2000系统之前用户仅能更换输入法（已可能对于系统造成改在主机上安装过最新的补丁程序）。变的操作之前先识别应用系统保证在登录应用系统之前不能对应用系统进自己。本类别系统必需行操作。实现FIA_UID.1。128 DB11/T171—2002FIA_USB.1应实现FIA_USB.1。要操作系统中按照使用者权限大小进行分组，适当分配权求维持用户的安全属限。性与代表用户活动的应用系统中按照使用者需求适当分配权限保证用户操主体间的关联。作能与用户主体关联。FPT_FLS.1应实现FPT_FLS.1。进为应用系统服务器提供备用服务器。行重要安全功能的冗防火墙配置、应用系统安全相关设置、主要服务器设置余设计。定期备份以供恢复系统。FPT_ITC.1应实现FPT_ITC.1。对无远程TSF数据传输。安全相关的设备、软件和子系统之间交换安全数据的保密性提供保护。FPT_ITI.1应实现FPT_ITI.1。对无远程TSF数据传输。安全相关的设备、软件和子系统之间交换安全数据的完整性提供保护。FPT_ITT.2应实现FPT_ITT.2。在无远程TSF数据传输。安全功能相关数据的传输过程中应确保与用户数据的隔离。FPT_RCV.1应实现FPT_RCV.1。提www服务器和应用服务器数据定期备份至光盘。供人工干预以返回安系统失效后可通过手工导入备份数据恢复系统。全状态的机制。FPT_STM.1应实现FPT_STM.1。应应用系统的时间以服务器本地时间为准。建立全系统统一的时钟同步机制，为自身的应用提供可靠的时间戳。FRU_FLT.1应确保即使出现故障中心机房提供不间断电源及双路供电线路保证网络设事件也能基本维持系备在电源故障的情况下继续运行。统正常运行。本类别的为应用系统服务器提供一台备用服务器，可手动启动保系统应在网络系统、操证出现故障时应用系统正常运转。作系统实现核心交换机采用两台互为备份，避免中心节点单点故FRU_FLT.1。障。FRU_PRS.1根据需要实现应用系统对于紧急公文传送业务设置了高优先级，优先FRU_PRS.1。系统具有处理。对用户所使用资源按照优先级进行控制的能力，以防止低优先级的用户干扰高优先级用户的使用。129 DB11/T171—2002FRU_RSA.1根据需要实现应用系统中限制了某一用户在一段时间内可发送的邮FRU_RSA.1。设置系统件数量，防止恶意大量发送邮件。中用户资源使用的上限，防止未授权地独占资源而出现拒绝服务。FTA_LSA.1根据需要实现重要服务器限制系统管理员只能本地登录。FTA_LSA.1。要求限制网络出口通过防火墙限制只能工作时间访问。用户选择党政应用系应用系统可限制用户登录时间和登录位置（按ip地址）。统会话安全属性范围。FTA_MCS.1实现FTA_MCS.1。对同用户使用应用系统时，应用系统限制其同一时间仅能从一用户并发会话的数单一地点登录，同时登录用户数不超过1。量进行限制。FTA_SSL.1实现FTA_SSL.1和Windows2000操作系统通过屏幕保护同时设置屏幕保护FTA_SSL.2FTA_SSL.2。要求在操口令实现用户会话锁定。作系统、党政应用系统应用系统使用时，用户一段时间不操作，会将用户会话中提供系统自动的和锁定并清除屏幕显示的应用系统信息。用户主动的交互式会话锁定和解锁能力。FTA_TAB.1应实现FTA_TAB.1。要应用系统在登录界面上设置警告信息，提醒用户注意使求在用户与操作系统用权限。或党政应用系统建立Windows2000操作系统登录前，通过设置本地安全策略会话前，系统应显示有中本地策略的安全选项显示警告信息。关使用系统的劝告性警示信息。FTA_TAH.1应实现FTA_TAH.1。要Windows2000操作系统在审计日志中记录用户账号成功求在用户与操作系统和不成功登录的访问历史。或党政应用系统成功应用系统在用户登录后显示前一次登录记录。建立会话的基础上，显示该用户上一次成功建立会话的时间、方法和位置，以及上一次建立会话失败时的时间、方法和位置。FTA_TSE.1应实现FTA_TSE.1。要交换机、防火墙禁止远程配置，只能本地配置。与互联求在网络系统、操作系网出口在非工作时间控制网络出入流量。统、公共应用平台系不需要远程访问的主机通过设置windows2000本地安全统、党政应用系统中提策略禁止账号远程登录。供根据用户安全属性应用系统可实现按用户身份、登录时间决定是否允许登拒绝与其建立会话的录系统，普通用户不允许非工作时间登录。机制。130 DB11/T171—2002FTP_ITC.1应实现FTP_ITC.1。要系统管理员只能在本地修改服务器和网络设备配置，在求在系统中执行关键专用机房中可保证可信。的安全操作时，应使用可信信道传递相关数据。D.3安全类别IIIWIC0WIC0ETH路由器PWRACT/CH0ACT/CH0ACTOKACT/CH1ACT/CH1COLCISCOSYSTEMS内部网关VPN防火墙防火墙C区3ComCISCOSYSTEMS二级交换机二级交换机HEWLETT认证服务器PACKARD病毒中心控制台安全管理中心网管HITACHI控制台SDMediaConverter中心交换机_____5VDC.1A+RX物理隔离设备IDSUPLINKTXLINKPWRLINK防火墙二级交换机3Com二级交换机A区B区群件WWW服务器服务器DB服务器客户机PC工作站图D3：典型安全类别III信息系统网络拓扑图A区主机：WWW服务器、中心数据库服务器、群件服务器。A区主机运行主机IDS。数据库服务器运行Unix操作系统，（如SCOUNIX，Solaris）；数据库管理系统，如Oracle8i。Web服务器运行WWW服务，如Windows2000Server＋IIS，群件服务器运行群件办公系统，如LotusDominoR5系统。B区主机：工作站、用户终端客户机（包括LotusNotesR5）。B区主机运行Windows2000Professional系统，国产个人防火墙。Notes客户机运行主机IDS。C区主机：网管中心、安全管理中心、防病毒系统中心服务器，IDS。各系统和软件均打上最新的补丁或最新的升级文件。表D3：安全类别III系统安全措施配置表安全组件安全要求安全措施FAU_ARP.1必须提供网络系统、操作系统、公防火墙具备并配置审计功能，配置与IDS的联动，共应用平台系统的三重审计，实现启动阻断或重配置访问控制规则的功能。FAU_GEN.1和FAU_GEN.2。配置OS的日志功能，启动安全事件警告（对Windows2000系统，打开事件查看器，配置筛选器中的警告，以及打开性能日志和警报监视器,配置警报功能；对Unix系统，使用scoadminau审计管理程序）。安装IIS包中的UsageAnalyst（使用分析器），从IIS日志文件提供Web站点统计信息。启动ISM，在WebSite属性中打开IIS日志（EnableLogging），配置IIS的日志功能，选中对日志数131 DB11/T171—2002据库SQLServer的分析工具。使用SQLServerEnterpriseManager，打开SQLServerLogs，配置SQLServer系统的日志功能。Oracle数据库管理系统启动审计，审计记录存储于SYS.AUD$表中，使用audit命令进行配置。Domino服务器的日志文件是log.nsf，通过管理员管理控制台，配置Notes系统的日志功能。安装TivoliManagerforDomino，使用管理控制台以及日志文件分析器，对日志进行管理和分析。对Web服务器、DB服务器、群件服务器，运行主机IDS，启用对主机系统的事件分析和报警。在网络IDS、病毒防护中心、安全管理中心进行日志或事件分析，启用安全报警功能。启用和配置IDS、病毒控制台与防火墙、安全管理中心的联动协议。FAU_GEN.1必须提供网络系统、操作系统、公防火墙具备并配置审计功能。共应用平台系统的三重审计，实现配置OS的日志功能（对Windows2000系统，使FAU_GEN.1和FAU_GEN.2。用事件查看器和性能日志和警报监视器；对Unix系统，使用scoadminau审计管理程序）；安装IIS包中的UsageAnalyst（使用分析器），从IIS日志文件提供Web站点统计信息。启动ISM，在WebSite属性中打开IIS日志（EnableLogging），配置IIS的日志功能，选中对日志数据库SQLServer的分析工具。使用SQLServerEnterpriseManager，打开SQLServerLogs，配置SQLServer系统的日志功能。Oracle数据库管理系统启动审计，审计记录存储于SYS.AUD$表中，使用audit命令进行配置管理。Domino服务器的日志文件是log.nsf，配置Notes系统的日志功能，安装TivoliManagerforDomino，使用管理控制台以及日志文件分析器，对日志进行管理和分析。启用主机和网络IDS、病毒防范系统日志和事件记录、安全审计功能，以及启动与安全管理系统的代理和连接。FAU_GEN.2必须提供网络系统、操作系统、公防火墙具备并配置审计功能。共应用平台系统的三重审计，实现配置OS的日志功能（对Windows2000系统，使FAU_GEN.1和FAU_GEN.2。用事件查看器和性能日志和警报监视器；对Unix系统，使用scoadminau审计管理程序）。安装IIS包中的UsageAnalyst（使用分析器），从IIS日志文件提供Web站点统计信息。启动ISM，在WebSite属性中打开IIS日志（EnableLogging），配置IIS的日志功能，选中对日志数据库SQLServer的分析工具。使用SQLServer132 DB11/T171—2002EnterpriseManager，打开SQLServerLogs，配置SQLServer系统的日志功能。Oracle数据库管理系统启动审计，审计记录存储于SYS.AUD$表中，使用audit命令进行配置管理。Domino服务器的日志文件是log.nsf，配置Notes系统的日志功能，安装TivoliManagerforDomino，使用管理控制台以及日志文件分析器，对日志进行管理和分析。启用主机和网络IDS、病毒防范系统日志和事件记录、安全审计功能，以及启动与安全管理中心的代理和连接。在OS、DB、Web、群件服务系统启用用户登录鉴别，系统日志及事件审计包含用户或主体身份信息字段。FAU_SAA.3系统采用模式匹配的方式，检测启用主机和网络IDS、安全管理中心的安全审计FAU_SAA.4对系统有重大威胁的安全事件。安全和事件检测、分析功能。服务器、Notes客户机事件的检测可以实时进行，也可以非均安装了主机IDS，启用对主机系统的安全审计实时进行，在审计数据的后处理时进模块。行检测。本类别的系统应该能够检测所有针对服务器系统的安全攻击和威胁，针对部分关键客户机和单机的攻击和威胁。FAU_SAR.1应提供用户查阅审计数据的审计工防火墙具备并配置审计功能，管理员控制台具有具（或工具集），能够实现对系统中查看安全日志的界面。所有审计数据的查阅。实现组件对Windows2000系统，打开事件查看器以及性能FAU_SAR.1、FAU_SAR.2、FAU_SAR.3。日志和警报监视器,可以查阅日志；对Unix系统，使用scoadminau审计管理程序，可以查阅和管理系统审计数据。安装IIS包中的UsageAnalyst（使用分析器），从IIS日志文件提供Web站点统计信息。使用SQLServerEnterpriseManager，打开SQLServerLogs，查阅SQLServer系统的日志。Oracle数据库管理系统启动审计，使用audit命令进行查阅。通过Domino服务器管理员控制台，查看Notes系统的日志。安装TivoliManagerforDomino，使用管理控制台以及日志文件分析器，对日志进行管理和分析。通过IDS、病毒防护系统与安全管理中心的各管理控制台，查阅日志或事件报告。133 DB11/T171—2002FAU_SAR.2配置OS、DB、IDS、Web（IIS）和群件（Notes）应用系统、病毒防范系统、安全管理中心的日志查阅功能的合法授权用户为管理员或安全审计员。FAU_SAR.3启用或配置授权用户对OS、DB、IDS、Web（IIS）和群件（Notes）应用系统、病毒防范系统、安全管理中心的日志、事件及其他审计数据的查阅操作功能。FAU_SEL.1对FAU_GEN.1中规定以外的审计内具备或启用OS、DB、IDS系统、安全管理中心的容实现FAU_SEL.1。事件添加、可审计事件筛选功能。FAU_STG.2要求在意外情况出现时以及当审计具备或启用OS、DB、IDS、Web和群件服务、安全记录大小超出门限时，系统应有保管理中心的审计存储保护功能。FAU_STG.4护审计数据的措施。通过事件管理控制台或日志文件配置界面，正确设置防火墙、OS、DB、IDS、病毒防范系统、Web服务、群件应用的审计存储阈值，预警阈值，以及保护动作。设置审计文件大小到达阈值后，建新审计文件并通知管理员或审计员，以保护原文件。FDP_ACC.1网络系统、操作系统、公共应用平设置防火墙、IDS、安全管理中心仅可由安全员或台系统应根据相应要求，实现管理员作为唯一的用户主体，进行操作或管理。FDP_ACC.1或FDP_ACC.2。在SCOUnix和Windows2000操作系统中，对文件、目录和进程等所有的客体使用自主访问控制策略施行访问控制。在ORACLE系统中，对所有的数据库、表、记录、字段、进程客体使用自主访问控制策略施行访问控制。FDP_ACC.2要求党政应用系统实现在www服务、群件系统中，对所有的标识用户和FDP_ACC.2。具有对用户所有操作进主体，所有的文件、目录、进程客体，以及所有行检查的功能。的用户操作，使用自主访问控制策略施行访问控制。FDP_ACF.1要求在网络系统、操作系统、公共设置防火墙、IDS、安全管理中心仅可由安全员或应用平台系统和党政应用系统均实管理员作为唯一的用户主体，进行操作或管理。现组件FDP_ACF.1。所实现的访问访问控制基于管理员的身份、角色属性来施行。控制功能应满足相应FDP_ACC组件在SCOUnix操作系统中，对文件，有16位字段的要求。记录其属性，包括第0－8位的文件存取权限信息以及第9位的粘着位、第10和11位的SUID、SGID标志位，操作是读、写、执行（即r、w、x）。在系统内部，对所有文件、目录和进程，都标记上创建用户的UID和该用户所属组的GID。根据文件、目录、进程的UID、GID以及标志位以及其它访问控制信息为客体建立访问控制列表（ACL），施行访问控制。在ORACLE系统中，基于所有的记录、字段等数据库客体的OID、数据库主体的特权访问和管理标134 DB11/T171—2002志属性等建立访问控制列表，施行访问控制。对所辖网段内部的IP地址和访问端口，配置防火墙的访问规则表，施行访问控制。WWW服务和群件系统的用户、主体、文件资源、目录、记录在创建时均附设ID、访问权限标志安全属性，基于安全属性施行访问控制。FDP_DAU.1应在公共应用平台系统、党政应用在主机IDS中，设置对DB系统、WWW服务和群件系统中实现FDP_DAU.1。操作系统、系统的系统和服务配置文件、内核文件、系统表、公共应用平台系统、党政应用系统口令文件和表生成相应的MD5摘要文件，进行校应保证客体（如文档）信息内容的验以保证其信息内容的真实性。真实性。FDP_DAU.2操作系统实现组件FDP_DAU.2。操在主机IDS中，设置对OS系统的系统配置文件、作系统、公共应用平台系统、党政核心调用文件、重要系统文件使用管理员的密钥应用系统应保证客体（如文档）信计算生成带密钥参数的MD5摘要文件，进行真实息内容的真实性，操作系统应保证性检验。主体身份的真实性。FDP_ETC.1网络系统、操作系统、公共应用平在出口网关（VPN）进行数据包检查，对输出进行台系统实现FDP_ETC.1。对输出进严格控制。行控制，输出的数据可不带安全属OS、DB系统、WWW服务结合主机IDS对输出进行性。控制，只能输出到机关安全域的设备，输出数据可不带安全属性。FDP_ETC.2党政应用系统实现组件群件应用系统对输出进行控制，输出数据与安全FDP_ETC.2。对输出进行控制，输出属性安全封装在一起输出。的数据带有安全属性。FDP_ITC.1网络系统、操作系统实现组件在内部网关进行数据包检查，对输入进行严格控FDP_ITC.1。输入的用户数据可不带制。安全属性。OS结合主机IDS对输入进行控制，只能由机关安全域内的设备输入，输入数据可不带安全属性。FDP_ITC.2公共应用平台系统、党政应用系统DB系统、WWW服务和群件应用系统对输入进行控实现组件FDP_ITC.2。应要求输入制，输入数据与安全属性安全封装在一起。的用户数据具有安全属性，要求安全属性正确反映用户数据的安全保护要求。FDP_ITT.2要求在党政机关信息系统中，如果防火墙分割安全域。对WWW服务、数据库服务、存在两个或以上具有不同安全要求群件服务各应用系统，在客户机与服务器之间传的党政应用系统，任意两个远程主输数据时，分别加密及进行完整性校验，保证逻机之间需要远程传输数据时，应实辑上的分隔以及数据不被泄漏和篡改。现FDP_ITT.2，将不同应用系统相关的数据传输分隔开（物理分隔或逻辑分隔）。可通过党政应用系统本身实现或通过公共应用平台系统、操作系统、网络系统等实现。FDP_RIP.1应对存储媒体上的残余信息进行保操作系统对存储媒体上的文件、目录信息有残余护，实现组件FDP_RIP.1。信息保护。Oracle数据库系统对数据库记录有残135 DB11/T171—2002余信息保护。群件系统对文件、目录有残余信息保护。FDP_SDI.1应在党政应用系统、公共应用平台WWW服务、DB系统和群件应用系统对存储的文件系统中保证存储数据的完整性，公使用MD5完整性检验。FDP_SDI.2共应用平台系统实现FDP_SDI.1，群件应用系统在检测到完整性错误后，启动数据党政应用系统实现FDP_SDI.2。恢复例程。FIA_AFL.1实现FIA_AFL.1。规定用户不成功在OS、DB、WWW服务、群件应用系统设置用户登的鉴别尝试次数，及达到该次数时录失败最大次数（均为3次），以及达到后挂起一所采取的行动。段时间；IDS、防火墙、安全管理系统、病毒防范系统针对管理员自身的鉴别，设置失败最大次数为5次，以及达到后挂起并报警。FIA_ATD.1要求对每个用户的安全属性分别进OS、DB、WWW服务、群件应用系统的用户均被设行管理，实现FIA_ATD.1。置并维护其ID、组属关系、鉴别数据、安全角色等安全属性。FIA_SOS.1要求操作系统、公共应用平台系统、OS、DB、WWW服务、群件应用系统的用户在生成党政应用系统应具备对秘密进行检口令后均有检查机制，并显示提示信息，以符合查的机制，以保证所提供的秘密满安全策略和管理规范。足规定的质量量度。如果秘密不是由用户生成，系统还必须提供满足规定量度的秘密生成机制。FIA_UAU.1允许用户在其身份被鉴别前执行某对OS、DB、WWW服务、群件应用系统，在用户被些行动。鉴别前仅允许切换输入法、选择语言。FIA_UAU.3要求鉴别机制能够检测和防止使用对管理员的鉴别支持指纹识别系统。伪造或复制的鉴别数据。FIA_UAU.4要求使用一次性鉴别数据的鉴别机配置各系统支持一次性鉴别机制（双因子认证）。制。FIA_UAU.5要求提供和使用不同的鉴别机制，在OS、DB、WWW、群件、安全管理、IDS系统，对为特定的事件鉴别用户的身份。用户使用一次性鉴别机制，对管理员和安全员附加使用指纹识别鉴别机制，。FIA_UAU.6要求有能力说明哪些事件用户需要配置系统用户在一天中需被鉴别三次以上。用户被重新鉴别。会话长时间挂起后需进入重鉴别，用户的事件序列被IDS告警后需进入重鉴别。FIA_UAU.7要求在鉴别期间，只提供给用户有鉴别时，屏显等长*号，鉴别执行时，显示时间状限的反馈信息。态。FIA_UID.1要求操作系统应实现FIA_UID.1。用户被操作系统标识前，仅可请求系统对登录活动的帮助（在Unix系统中）。FIA_UID.2在公共应用平台系统和党政应用系DB、WWW服务、群件应用的用户在实施操作之前统实现FIA_UID.2。用户应在实施需被系统标识UID。操作之前识别自己。FIA_USB.1应实现FIA_USB.1。要求维持用户在OS、DB、群件应用系统，对用户主体维护其UID、的安全属性与代表用户活动的主体GID、安全属性的关联表。间的关联。FPT_FLS.1应进行重要安全功能的冗余设计，DB服务器冗余设计，使用磁盘阵列Raid容错技136 DB11/T171—2002涉及范围应至少包括所有的网络安术存储。防火墙负载均衡设置。全设施。FPT_ITA.1应对安全相关的设备、软件和子系在本例中，不允许TSF数据输出到安全域外。统之间交换安全数据的可用性提供保护。FPT_ITC.1应对安全相关的设备、软件和子系在本例中，不允许TSF数据输出到安全域外。统之间交换安全数据的保密性提供保护。FPT_ITI.1应对安全相关的设备、软件和子系在本例中，不允许TSF数据输出到安全域外。统之间交换安全数据的完整性提供保护。FPT_ITT.2应在安全功能相关数据的传输过程在DB、WWW、群件系统中，各主机间传输数据时，中应确保与用户数据的隔离。用户数据和TSF数据分开，使用不同的应用协议。FPT_RCV.1应实现FPT_RCV.1。提供人工干预在OS系统有安全模式，启动进入后，可手工进行以返回安全状态的机制。安全恢复。FPT_SSP.1根据需要实现FPT_SSP.1。安全相IDS之间的协议支持同步，与防火墙、安全管理关的设备、软件和子系统之间应使系统之间的连接协议实现状态同步。用简单可信回执的方式实现状态同步。FPT_STM.1应建立全系统统一的时钟同步机安全管理中心维持统一、可靠的时钟信息，提供制，为自身的应用提供可靠的时间可靠、一致的时间戳服务。戳。FRU_FLT.1应确保即使出现故障事件也能维持DB系统配置大容量磁盘阵列，支持容错、备份恢系统正常运行。公共应用平台系统复。实现FRU_FLT.1。FRU_FLT.2应在网络系统、操作系统实现防火墙双冗余、负载均衡。核心交换机双冗余。FRU_FLT.2。关键业务应用及其所在的操作系统依靠双服务器容错能力配置，保证业务正常运行。FRU_PRS.1根据需要实现FRU_PRS.1。系统具在OS系统具备服务优先级调度功能，在WWW系统、有对用户所使用资源按照优先级进防火墙有服务优先级调度控制、防DoS攻击的模行控制的能力，以防止低优先级的块。用户干扰高优先级用户的使用。FRU_RSA.2根据需要实现FRU_RSA.2。设置系配置防火墙的流量控制模块，WWW系统的资源定统中用户资源使用的上下限，防止额阈值，配置防火墙与IDS、安全管理中心的联未授权地独占资源而出现拒绝服动，启动与IDS和安全管理系统的监测、分析和务。告警功能。FTA_LSA.1根据需要实现FTA_LSA.1。要求限在群件应用系统，管理员统一配置用户会话的安制用户选择党政应用系统会话安全全属性，用户不可自选。属性范围。FTA_MCS.1实现FTA_MCS.1。对同一用户并发配置WWW、DB、群件服务器的并发会话连接数，会话的数量进行限制。同一个用户的会话连接数一般不超过1。FTA_SSL.1实现FTA_SSL.1和FTA_SSL.2。要在操作系统、群件系统设置用户会话非活动状态求在操作系统、党政应用系统中提自动锁定的时限，以及解锁前需输入口令。137 DB11/T171—2002FTA_SSL.2供系统自动的和用户主动的交互式在操作系统、群件系统设置用户进行会话锁定的会话锁定和解锁能力。按键以及解锁口令。FTA_TAB.1要求在用户与操作系统或党政应用OS、群件系统在会话建立前，自动显示系统提示系统建立会话前，系统应显示有关信息。使用系统的劝告性警示信息。FTA_TAH.1要求在用户与操作系统或党政应用OS、WWW服务、群件系统为用户自动显示其近期系统成功建立会话的基础上，显示未成功会话的历史记录。该用户上一次成功建立会话的时间、方法和位置，以及上一次建立会话失败时的时间、方法和位置。FTA_TSE.1要求在网络系统、操作系统、公共在防火墙、OS、WWW、DB、群件系统，基于用户的应用平台系统、党政应用系统中提访问位置、方式、时间身份和角色，建立用户会供根据用户安全属性拒绝与其建立话拒绝列表。会话的机制。FTP_ITC.1要求在系统中执行关键的安全操作在本例中，禁止已定义之外的连接和信道。时，应使用可信信道传递相关数据。138 DB11/T171—2002附录E（资料性附录）缩略语FAU安全审计类FAU_ARP安全审计自动响应FAU_GEN安全审计数据产生FAU_SAA安全审计分析FAU_SAR安全审计查阅FAU_SEL安全审计事件选择FAU_STG安全审计事件存储FCO通信类FCO_NRO原发抗抵赖FCO_NRR接收抗抵赖FCS密码支持类FDP用户数据保护类FDP_ACC访问控制策略FDP_ACF访问控制功能FDP_DAU数据鉴别FDP_ETC向TSF控制范围之外输出FDP_ITC从TSF控制范围之外输入FDP_ITTTOE内部传输FDP_RIP残余信息保护FDP_SDI存储数据的完整性FIA标识和鉴别FIA_AFL鉴别失败FIA_ATD用户属性定义FIA_SOS秘密的规范FIA_UAU用户鉴别FIA_UID用户标识FIA_USB用户_主体绑定FMT安全管理类FPTTSF保护类FPT_FLS失败保护FPT_ITA输出TSF数据的可用性FPT_ITC输出TSF数据的保密性FPT_ITI输出TSF数据的完整性FPT_ITTTOE内TSF数据传输FPT_RCV可信恢复FPT_SSP状态同步协议FPT_STM时间戳139 DB11/T171—2002FRU资源利用FRU_FLT容错FRU_PRS服务优先级FRU_RSA资源分配FTATOE访问FTA_LSA可选属性范围限定FTA_MCS多重并发会话限定FTA_SSL会话锁定FTA_TABTOE访问旗标FTA_TAHTOE访问历史FTA_TSETOE会话建立FTP可信路径/信道FTP_ITCTSF间可信信道140'