广元市数据共享安全保障机制
系统环境安全管理
1.1 物理环境安全管理
1.1.1 应指定市级共享平台负责机房安全,并配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理。
1.1.2 应建立机房安全管理制度,对机房人员访问、物品带进带出、机房环境安全等方面的管理作出明确规定。
1.1.3 应安排专门的人员对机房环境(机房供配电、空调、温湿度控制等)、设备、设施进行日常维护管理。
1.1.4 应对机房的出入口配备电子门锁或门禁系统。
1.1.5 应加强对机房环境的保密性管理,加强对机房管理人员的安全培训。
1.1.6 应编制并保存系统相关的资产清单,清单内容包括资产责任部门、重要程度和所处位置等。落实系统资产管理的责任部门或责任人员,并规范资产管理和使用的行为。根据资产的重要程度对资产进行标识管理,根据资产的价值配套相应的管理措施。
1.1.7 应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同。
2.2 网络环境安全管理
2.2.1 应建立系统网络安全管理制度。
2.2.2 应合理划分系统网络安全区域,对服务器、用户接入层、互连互通、安全服务设置安全域。
2.2.3 各安全域边界应设置防火墙、入侵检测等边界防护设备,并配置严格的安全策略限制其互访。
2.2.4 服务器安全域与用户安全域应严格剥离。
2.2.5 用户接入层安全域应对用户进行实名制入网接入。2.2.6 应定期对系统网络进行漏洞扫描,并对发现的网络系统安全漏洞进行及时修补。
2.2.7 应依据安全规定,判断便携式和移动式设备的网络接入。
2.2.8 应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存。
3.3 软件运行安全管理
3.3.1 应指定专人对市级共享平台系统进行管理,负责运行日志、网络监控、日常维护和报警信息分析、处理工作。
3.3.2 应及时升级系统软件的新版本,并在升级前对现有版本进行备份。
3.3.3 应保证所有与外部系统的连接均得到授权和批准。3.3.4 应根据业务需求和系统安全分析确定系统的访问控制策略。
3.3.5 应定期对系统进行漏洞扫描,对发现的系统安全漏洞及时进行修补。
3.3.6 应对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定。
3.3.7 应划分系统管理员角色,明确各个角色的权限、责任和风险,权限设定应当遵循最小授权原则。
3.3.8 应识别需要定期备份的重要业务信息、系统数据及软件程序等。
3.3.9 应建立备份与恢复管理相关的安全管理制度,对备份方式、备份频率、存储介质和保存期等进行规范。
3.3.10 应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作。
3.3.11 应具有较高的防病毒意识,及时更新防病毒软件版本,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,应先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查。
3.3.12 应对网络和主机进行恶意代码检测并保存检测记录,对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定。
3.3.13 应建立密码使用管理制度,使用符合国家密码管理规定的密码技术和产品。
4.4 人员安全管理
4.4.1 应对系统管理人员入职进行背景调查。
4.4.2 应系统管理人员签订保密协议,加强安全管理制度和安全意识教育等相关内容。
4.4.3 应对系统管理人员进行信息安全意识和技能培训,进行安全意识与基本技能考试。对关键岗位采取定期轮岗、双人操作等措施,做到关键岗位人员和安全操作风险可控。4.4.4 管理人员岗位调动时,应及时处理其在系统内的账号(账号权限的调整、变更和注销等),并对处理情况进行审核、检查。
4.4.5 管理人员离职时,应依照其签署的保密协议审核其脱密期,并明确告知其在离职后的系统信息安全保密责任,接触敏感信息的员工必须明确其脱密期。
5.5 应急预案管理
5.5.1 应制定专门应急处置预案,包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。
5.5.2 应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障。
5.5.3 应对系统相关的人员至少每年举办一次应急预案培训。
5.5.4 应定期对应急预案进行演练,根据不同的应急演练科目内容,确定演练周期。
5.5.5 应对应急预案内容定期审查和根据实际情况适时更新,并严格按照执行。
6.6 安全事件处置
6.6.1 应报告所发现的安全弱点和可疑事件,但任何情况下均不应尝试验证弱点。
6.6.2 应制定安全事件报告和处置管理制度,明确安全事件的类型,规定安全事件的现场处置、事件报告和后期恢复的管理职责。
6.6.3 应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分。
6.6.4 应制定安全事件报告和响应处置程序,确定事件的报告流程,响应和处置的范围、程度,以及处置方法等。
6.6.5 应在安全事件报告和响应处置过程中,分析和鉴定事件产生的原因,收集证据,记录处置过程,总结经验教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均应妥善保存。
6.6.6 对造成系统中断和造成信息泄密的安全事件应采用不同的处置程序和报告程序。
政务信息资源库安全管理
2.1 概述
政务信息资源库安全管理主要包括数据完整性、数据保密性、备份和恢复等安全检查和措施。
2.2 数据完整性
2.2.1 应能够检测政务信息资源库的系统管理数据、鉴别信息和重要业务数据在传输、存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。
2.3 数据保密性
2.3.1 应采用加密或其他有效保护措施,实现系统管理数据、鉴别信息和重要业务数据在传输、存储过程中的保密性。
2.4 备份和恢复
2.4.1 应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放。
2.4.2 应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地。
2.4.3 应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障。
2.4.4 应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。
数据前置机安全管理
3.1 概述
政务信息资源数据前置机(以下称“前置机”)安全管理主要包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等安全措施。
3.2 结构安全
3.2.1 应保证前置机网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。
3.2.2 应保证前置机网络各个部分的带宽满足业务高峰期需要。
3.2.3 应在前置机与市级共享平台服务器之间进行路由控制,建立安全的访问路径
3.2.4 应绘制前置机与当前运行情况相符的网络拓扑结构图;
3.2.5 应根据政务部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同前置机子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
3.2.6 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段。
3.2.7 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵时优先保护重要主机。
3.3 访问控制
3.3.1 前置机应在网络边界部署访问控制设备,启用访问控制功能
3.3.2 应能根据前置机会话状态信息为数据流提供明确的允许(拒绝)访问的能力,控制粒度为端口级。
3.3.3 应对前置机进出网络的信息内容进行过滤,实现对应用层 HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制。
3.3.4 应在前置机会话处于非活跃一定时间或会话结束后终止网络连接。
3.3.5 前置机应限制网络最大流量数及网络连接数。
3.3.6 应采取技术手段防止前置机重要网段地址欺骗。
3.4 安全审计
3.4.1 应对网络系统中的前置机网络设备运行状况、网络流量、用户行为等进行日志记录。
3.4.2 前置机审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
3.4.3 应能够根据前置机记录数据进行分析,并生成审计报表。
3.4.4 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
3.5 边界完整性检查
3.5.1 应能够对前置机非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
3.5.2 应能够对前置机内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
3.6 入侵防范
3.6.1 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等。
3.6.2 当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
3.7 恶意代码防范
3.7.1 应在前置机网络边界处对恶意代码进行检测和清除。3.7.2 应维护恶意代码库的升级和检测系统的更新。
3.7.3 可参照 GB/T 20271 中 4.2.7 要求执行
3.8 网络设备防护
3.8.1 应对登录网络设备的用户进行身份鉴别。
3.8.2 应对网络设备的管理员登录地址进行限制。
3.8.3 前置机网络设备用户的标识应唯一。
3.8.4 前置机设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别。
3.8.5 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换。
3.8.6 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。
3.8.7 当对前置机设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
3.8.8 应实现前置机设备特权用户的权限分离。
政务信息资源管理安全
4.1 政务信息资源权属管理
4.1.1 完善市级共享平台、资源提供方、资源需求方的网络身份认证(CA、实名制等)。
4.1.2 明确政务信息资源数据的所有者和生产者(资源提供方)。
4.1.3 明确资源提供方对政务信息资源数据的管理维护权限。
4.1.4 建立所有政务信息资源数据的权属档案。
4.2 数据过程记录管理
4.2.1 应对政务信息资源数据的操作、使用等过程,在市级共享平台保留日志记录。
4.2.2 资源提供方应对其政务信息资源数据进行有效管理。
4.3 数据加密管理
4.3.1 利用政务信息资源数据所有者或生产者(资源提供方)CA 证书中的公钥应作为加密密钥。
4.3.2 在政务信息资源数据权属确定的基础上,采用资源提供方的公钥对数据实体,或对已用对称密钥对数据实体加了密的密钥,进行加密。
4.3.3 对加密的数据或加密的密钥应进行本地或远程存储。
4.3.4 数据加密后,应彻底删除、清除原始数据及其数据痕迹。
4.4 数据使用授权管理
4.4.1 应对提出申请的资源需求方进行身份和数据使用审查。
4.4.2 应以合适的形式线上或线下对符合要求的资源需求方签署数据使用契约。
4.4.3 应通过私钥解密获得原始数据拷贝,并以资源需求方的公钥对数据实体或对已用对称密钥对数据实体加了密的密钥进行加密。
4.4.4 应对加密的数据或加密的密钥进行本地或远程存储。4.4.5 数据加密后,应彻底删除、清除原始数据及其数据痕迹。
4.4.6 应通知资源需求方已完成数据使用的授权。
4.5 数据违规溯源管理
4.5.1 应部署网络监控程序,发现违规使用数据的情况。
4.5.2 针对违规数据发现的时间、地点等信息,利用数据注册信息、数据记录信息,以及系统操作记录 log 文件,应进行溯源和对比分析,发现违规者。
4.5.3 应结合现有法规法律,对违规者追究责任。
数据采集安全管理
5.1 概述
政务信息资源数据采集安全管理主要包括身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等安全措施。
5.2 身份鉴别
5.2.1 数据采集应提供专用的登录控制模块进行身份标识和鉴别。
5.2.2 应对采用两种或两种以上组合的鉴别技术实现身份鉴别。
5.2.3 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用。
5.2.4 应提供采集失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。
5.2.5 应启用采集身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
5.3 访问控制
5.3.1 数据采集应提供访问控制功能,依据安全策略控制对文件、数据库表等客体的访问。
5.3.2 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作。
5.3.3 应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限。
5.3.4 应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
5.3.5 应具有对重要信息资源设置敏感标记的功能。
5.3.6 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
5.4 安全审计
5.4.1 数据采集应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计。
5.4.2 数据采集应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录。
5.4.3 审计记录的内容应包括但不限于事件的日期、时间、发起者信息、类型、描述和结果。
5.4.4 数据采集应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。
5.5 剩余信息保护
5.5.1 数据采集应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除。
5.5.2 数据采集应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。
5.6 通信完整性、保密性、不可抵赖性
5.6.1 数据采集应采用密码技术保证通信过程中数据的完整性。
5.6.2 在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证。
5.6.3 数据采集应对通信过程中的整个报文或会话过程进行加密。
5.6.4 数据采集应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能。
5.6.5 数据采集应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。
5.7 软件容错
5.7.1 数据采集应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。
5.7.2 数据采集应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。
5.8 资源控制
5.8.1 数据采集过程中,通信双方中任何一方在一段时间内未作任何响应,另一方应能够自动结束会话。
5.8.2 数据采集应能够对系统的最大并发会话连接数进行限制。
5.8.3 数据采集应能够对单个帐户的多重并发会话进行限制。
5.8.4 数据采集应能够对一个时间段内可能的并发会话连接数进行限制。
5.8.5 数据采集应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额。
5.8.6 数据采集应能够对系统服务水平降低到预先规定的最小值进行检测和报警。
5.8.7 数据采集应提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。
数据共享、开放安全管理
6.1 概述
政务信息资源数据共享与开放安全管理主要包括身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、访问控制等安全措施。
6.2 身份鉴别
6.2.1 数据共享与开放安全管理应对访问数据的用户进行身份标识和鉴别。
6.2.2 数据共享与开放系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换。
6.2.3 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。
6.2.4 对共享数据库服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
6.2.5 应为共享数据库操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
6.2.6 数据共享与开放安全管理应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
6.3 访问控制
6.3.1 数据共享与开放安全管理应启用访问控制功能,依据安全策略控制用户对资源的访问。
6.3.2 数据共享与开放安全管理应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。
6.3.3 数据共享与开放安全管理应实现操作系统和数据库系统特权用户的权限分离。
6.3.4 共享与开放系统应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令。
6.3.5 共享与开放系统应及时删除多余的、过期的帐户,避免共享帐户的存在。
9.3.6 共享与开放系统应对重要政务信息资源设置敏感标记。
6.3.7 共享与开放系统应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
6.4 安全审计
6.4.1 数据共享和开放的审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。
6.4.2 数据共享和开放的审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。
6.4.3 数据共享和开放的审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。
6.4.4 数据共享和开放应能够根据记录数据进行分析,并生成审计报表。
6.4.5 数据共享和开放应保护审计进程,避免受到未预期的中断。
6.4.6 数据共享和开放应保护审计记录,避免受到未预期的删除、修改或覆盖等。
6.5 剩余信息保护
6.5.1 应保证系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中。
6.5.2 应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。6.6 入侵防范
6.6.1 数据共享和开放应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源 IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。
6.6.2 应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施。9.6.3 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新
6.7 恶意代码防范
6.7.1 共享和开放系统应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。
6.7.2 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。
6.7.3 数据共享和开放应支持防恶意代码的统一管理。
6.8 资源控制
6.8.1 共享和开放系统访问应通过设定终端接入方式、网络地址范围等条件限制终端登录。
6.8.2 共享和开放系统访问应根据安全策略设置登录终端的操作超时锁定。
6.8.3 共享和开放系统访问应对重要服务器进行监视,包括监视服务器的 CPU、硬盘、内存、网络等资源的使用情况。
6.8.4 共享和开放系统访问应限制单个用户对系统资源的最大或最小使用限度。
6.8.5 共享和开放系统访问应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。
