IT安全标准Word文档下载推荐.docx
《IT安全标准Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《IT安全标准Word文档下载推荐.docx(98页珍藏版)》请在冰豆网上搜索。
1.9.1系统和网络的物理保护30
1.9.2存储介质的物理保护和库存控制32
2技术规范35
2.1操作系统35
2.1.1AIX35
2.1.2MicrosoftWindowsServer200342
2.2应用与中间件49
2.2.1DB2UniversalDatabase49
2.2.2LotusDominoServers54
2.2.3WebsphereApplicationServer74
2.3网络78
2.3.1Firewalls78
3应用安全86
3.1身份86
3.1.1身份管理86
3.1.2身份验证87
3.1.3注册87
3.2认证87
3.2.1访问认证87
3.3授权88
3.3.1访问授权88
3.3.2用户资源89
3.4信息保护与保密89
3.4.1信息保护89
3.4.2加密90
3.5安全保障90
3.5.1应用授权管理90
3.5.2有害代码90
3.5.3安全补丁管理91
3.5.4应用编码实践91
3.5.5软件修改91
3.5.6服务可用安全保障91
3.6安全日志管理92
3.6.1安全日志管理92
3.6.2应用审计轨迹92
3.7安全检查与测试92
3.7.1健康检查92
3.8安全事件报告和管理93
3.8.1安全事件报告和管理93
3.8.2报告违规访问-非法登录93
3.8.3滥用授权93
定义与术语94
IT安全控制基础内容
1.1身份
本节目的是建立一个识别公司内外部用户和IT基础设施组件的统一的标准方式。
要求适用矩阵
要求
Group1
Group3
Group4
1.1.1–身份管理
要求1:
系统平台的每个ID只关联唯一的用户。
√
要求2:
用于ID的数字证书只能使用网络安全部批准的CA所发布的证书。
1.1.2–身份验证
要求3:
必须设立流程,验证IT系统中ID的合法性。
1.1.3–系统、设备注册
要求4:
所有系统平台、核心层与汇聚层网络设备必须注册。
1.1.1身份管理
具体要求:
⏹对于隐私法律法规规定的隐私信息(如个人身份证号码)不得用作用户身份ID.
⏹必须建立流程,为用户分配个人所有的用户ID,用户对所分派的ID承担使用相关的责任和义务。
⏹当ID所有者不再有业务需要时(比如离职、调岗),其或者其所在部门有责任通知IT进行帐号清除。
⏹必须建立流程,在下述情况对用户ID进行清除:
◆可用于访问公司内部网络基础设施(限于网络接入)的ID,在接到业务部门或者ID所有者的正式通知后,应在ID所有者离职后的1个工作日内注销。
◆对可用于访问公司其他内部系统的用户ID,在得到用户ID所有者或者用户主管通知后2周内必须被注销(比如离职、调岗、不再有业务需要等)。
下述情况下,用户ID若需要共用,在满足下述条件时,可以视为满足身份唯一要求:
⏹用户ID的共用人群必须是一个明确的群组。
⏹共用用户ID必须明确分配给群组中的具体某个人,并由其承担管理责任。
⏹如果技术控制措施无法确保个人操作责任的区分,责任人必须保证在群组成员离职或离岗时改变共享用户ID的密码。
⏹只要有流程保证帐号责任人的及时变更和更新,用户ID可以不必因责任人变更而删除。
⏹禁止群组人员XX就使用用户ID或者获取其密码。
⏹分配个人使用的用户ID不能作为共用用户ID使用,以免群组成员能访问群组权限之外的、限于个人访问的信息。
系统ID管理:
⏹缺省情况下,系统Owner对系统ID负有管理责任,除非已分配给某个被授权的个人。
⏹当系统Owner发生离岗或者离职时,应有流程来处理系统Owner关系的变更和密码变更。
⏹如果清除系统ID会导致系统失效,则不强制要求清除系统ID。
⏹如非功能需要,系统ID必须禁止远程交互登录。
⏹系统ID应避免用作个人日常使用的用户ID。
说明:
这里系统ID指系统出厂时自带的ID,大多不可删除。
而因安装组件、应用产生的为应用或进程使用的ID称为应用ID(ApplicationID)。
注意:
如果使用了自签发的CA证书,则应发布书面流程来管理和保护这个自我管理的CA。
1.1.2身份验证
⏹应保留最近一年的用于证明流程被有效执行的证据。
1.1.3系统、设备注册
所有系统平台、核心层与汇聚层网络设备必须注册配置信息。
⏹所有使用TCP/IP访问协议的生产环境系统、网络基础设施必须使用静态IP地址。
⏹系统Owner有责任及时、准确登记和更新注册记录。
1.2
认证
本节目的在于提供一种简单、可靠的方式对用户或者组件的身份进行核实。
1.2.1–访问认证
用户ID的核实。
1.2.2–密码规则
密码规则。
密码必须被保护。
必须保护认证票据/令牌。
要求5:
对于与供应商、合作伙伴互联的系统,这些系统访问公司保密信息时进行的认证技术必须能防止认证过程被窃取或者重放。
1.2.1访问认证
在登录系统或中间件时,系统或中间件必须核实每个登录用户的ID。
⏹系统应使用系统自身或者子系统访问控制机制提供的认证服务或者公司批准的身份认证系统;
1.2.2密码规则
在技术条件满足时,密码在密码认证中使用时应满足的规则。
⏹应该至少有8位长;
⏹应混合字母、非字母(数字、标点符号、特殊字符)或者混合至少两种非字母字符;
⏹不含用户ID;
⏹至少每90天更改一次(90天内未修改但已经处于过期状态的密码,不受密码修改规则的限制);
在满足使用记录可追溯的前提下,允许适当延长密码修改时间,但最长延长不超过6个月:
a.修改密码需要中断业务系统的部分或全部功能;
b.ID仅限于系统、脚本或程序自身使用,且密码加密存储;
c.通过其他凭据或者是密码的加密串进行认证,而非直接使用明文密码;
其他情况,如密码在程序中明文存放导致修改无效,应走IT运维风险处置流程。
⏹不得使用最近5次用过的密码;
⏹系统管理人员或者支持人员初次发放或者初始化密码给用户时,如果知道密码内容,则必须设置为密码一个过期期限(用户必须及时更改密码,否则密码将会过期)。
密码在密码认证中,必须作如下保护:
⏹不允许以明文形式通过Internet、无线设备传送。
⏹当密码存储在公司系统中时,须加密;
如果密码不能加密,则存放有明文密码的文件或者数据库只允许系统管理员在获得授权后访问。
⏹必须为用户建立安全的密码重置流程。
⏹系统的初始密码在正式使用前,用户必须进行更改。
1.3
授权
本节目的是基于认证过的ID、个人业务需要以及更广层面的权利来授予或者拒绝用户对服务以及信息的访问需求。
1.3.1–访问授权
对用户ID的授权应以用户的业务需要和岗位职责为依据,授予完成工作所需要的最低资源访问权限。
非公司人员通过公司与供应商、客户关联的系统访问公司信息资产必须有公司授权,且只允许访问到完成业务所需的最低限度的资源。
1.3.2–业务使用须知
用户登录时,必须告知用户业务使用须知。
1.3.3–用户资源
服务提供者必须为用户资源提供缺省保护选择项。
1.3.1访问授权
对用户ID的授权应根据用户的业务需要和岗位职责为依据,授予完成工作所需要的最低资源访问权限。
⏹建立用户的业务访问需求核实流程并定期审视或抽查。
⏹必须保留用户业务访问需求的核实流程执行证据。
⏹建立非公司用户的业务访问需求核实流程并定期审视或抽查。
⏹将公司保密信息发布给非公司人员之前,非公司人员必须签署保密协议。
1.3.2业务使用须知
用户登录公司系统时,必须告知用户业务使用须知。
⏹在用户登录系统时,如果系统支持,下面的告知必须展示给登录用户:
“”XXX’sInternalsystemsmustonlybeusedforconductingXXX’sbusinessorforpurposesauthorizedbyXXXManagement;
UseissubjecttoauditatanytimebyXXXmanagement”;
“公司内部系统必须且只能用于处理公司业务,或者是公司管理层授权的使用用途;
公司有权随时审核使用过程和使用记录”
1.3.3用户资源
服务提供者必须为用户资源提供缺省保护选择项,这些选项必须限制资源只能被资源Owner访问。
补充说明:
用户资源
⏹用户资源指系统上明确分配给用户个人管理的资源,这种资源不共享给其他用户。
比如用户家(HOME)目录下的文档可视为用户资源。
⏹资源Owner负责资源的分级以及后续资源的保护,并对因为保护缺失使得资源暴露于威胁导致的后果负责。
1.4
信息保护与保密
本节目的是确保私密和保密信息在网络传输过程中或者是存储在基础设施中时,不被泄密给XX的个人。
1.4.1–信息保护
应采取技术或者流程控制机制阻止XX访问公司保密数据和公司员工、合作伙伴、客户或者web站点访问者的个人私密信息的行为。
包含公司保密信息的介质,应进行标记。
1.4.2–残余信息处理
含有残余公司保密信息或者个人隐私信息的介质在处理前或者改用于与公司业务无关的用途前,介质中信息必须处置成无法读取或者销毁。
1.4.3–加密
未公布的技术或者业务计划、非公开的财务信息、个人信息比如个人信用卡号、个人财务、健康信息等与公司有关的保密信息如果通过Internet进行发送,必须加密。
所有汇集或展示公司保密信息并对Internet提供服务的系统,应对传输通道加密,确保传输过程安全。
1.4.1信息保护
必须采取技术控制措施阻止XX访问公司保密信息和公司员工、合作伙伴、客户、WEB站点访问者的私密信息的行为。
如果在无法采取技术手段时,必须采取流程控制机制。
⏹划分为公司保密信息(指绝密、机密、秘密级别信息)的数据对象只允许被有业务需求的人访问,且需要明确授权。
只有群组中的所有成员均需知悉某公司保密信息,才允许将为访问许可授予整个群组。
包含公司保密信息的介质必须进行相应标记。
保密数据对象应依据数据密级进行标记或者贴上标签。
打印输出件必须包含密级,分隔页不必标注。
在设备中使用的介质,比如磁带,或者如果已经标记为损坏的介质,就不用再另行标记了。
1.4.2残余信息处理
含有残余公司保密信息或者个人隐私信息的介质在处理前或者改用于与公司业务无关的用途前,介质中的信息必须被处置成无法读取或者销毁。
1.4.3信息加密
未宣布的技术或者业务计划、非公开的财务信息、法律规定的个人隐私信息比如个人信用卡号、个人财务、健康信息等与公司有关的保密信息如果通过Internet进行发送,必须加密。
所有汇集或展示公司保密信息并对Internet提供服务的系统,如果技术上不存在限制,应对传输通道加密,确保传输过程安全。
⏹加密工具必须能支持128位以上长度的对称加密密钥和1024位的非对称公钥加密算法。
⏹应依据技术标准确认集成的加密工具能否满足最低的加密强度要求。
如果没有合乎条件的集成加密工具,必须使用被认可的加密算法、标准/协议、加密算法库文件。
附加指导信息:
信息保护
⏹如果存量的某系统原本的设计就不能存放公司保密信息或者系统不具备足够的安全控制来确保保密信息的安全,系统Owner应主动知会用户。
新开发系统如不能满足,项目组应知会需求部门。
⏹机密、秘密信息存储于公司生产环境系统/服务器上时不需要加密,除非管理层有明确指示要加密。
⏹文档、设备的保密等级应依据其所含具体内容的密级来确定,而不必对数据设备划分等级或者在外部进行标记。
数据设备的等级划分可能有用,但不能替代设备内数据本身的等级划分。
⏹不可拆卸介质不需要在其设备外部设置等级标签;
所有可拆卸的在内部“磁带库”中使用的介质(在线的介质不需要粘贴),或者所有位于受控区域或限制访问区域的没有细分等级或者等级已经变化的计算装置,可以粘贴如下通用申明:
“PropertyofXXX-maycontainXXXConfidentialinformationandmustbeprotectedfromunauthorizeduseofaccess.MustnotberemovedfromXXXcontrolwithoutproperauthorizationandwithoutmarkingwiththeXXXConfidentialinformationlabel”“资产。
本资产可能包含保密信息,必须防止这些信息被非法访问;
本资产只有经过授权且贴有保密信息标签,才允许被带出公司。
”
◆位置不够时,或者简写如下:
“PropertyofXXX–maycontainXXXConfidentialinformation.”“保密资产”
对于运输过程中的介质或授权存放介质的设施外部必须贴标签;
对用于运输介质的上锁容器,其外部也必须贴有该标签。
对于自动装填的磁带机介质,只需要在上锁的容器外部粘贴标签即可。
1.5
安全保障
本节目的是为防止对基础设施XX的变更,防止因为入侵或者是有害代码的传播与执行导致IT服务中断。
1.5.1–系统资源管理
必须限制普通用户对系统资源的访问。
1.5.2–系统与安全管理的职责
高于普通用户权限(系统特权)的授权请求,必须基于服务提供者认定为合理的业务需求。
1.5.3–有害代码
必须采取技术控制手段防止有害代码的传播和执行。
1.5.4漏洞扫描
必须依据本节的规范执行对TCP/IP的漏洞扫描。
1.5.5–安全补丁管理
要求5:
必须依照合适的流程在本节规定时限内安装建议的安全补丁。
要求6在支持限期结束前,Group1的设备必须升级到厂家支持的操作系统版本。
如果达到以下标准,也可以最多推迟36个月完成:
在安全补丁支持期限到来前必须与供应商达成附加协议,供应商应继续提供补丁支持,直至系统升级完成。
1.5.6–服务可用性管理
要求7:
必须采取技术措施预防拒绝服务攻击。
要求8:
必须有适当控制措施,侦测和预防没有限制的非法登录试探。
要求9:
必须有适当的流程或者控制机制来检测和处理来自于公司外部针对Extranet与Internet连接的边界进行的有系统的攻击行为。
要求10:
在资源大范围发布前,必须对服务进行测试。
要求11:
服务器或者服务必须按照CIO或者是服务器或者服务的Owner的要求关闭停止使用。
要求12:
服务提供者发布操作系统IMAGE文件到工作站或者服务器时,必须确保这些IMAGE文件符合相关要求。
要求13:
特定用途的工作站、培训教室工作站、客户接待中心的工作站、访问终端必须按照本节的内容明确责任人,承担管理责任。
1.5.1系统资源管理
必须限制普通用户对系统资源的访问
⏹有助于用户绕开安全控制的资源,不允许普通用户访问。
(比如.shadow文件的控制)
⏹有助于用户绕开安全控制或者影响系统运行状态的资源(含系统配置),不允许普通用户执行。
⏹本标准中的各平台技术规范文档须列出所有系统例外资源。
服务提供者必须向清单里增加所有用于本地安装控制的资源。
1.5.2系统权限管理
高于普通用户权限的系统特权授权请求,必须基于服务提供者认定为合理的业务需求。
⏹必须有流程分配系统管理与安全管理的权限。
⏹必须有流程来保证根据业务需求复核权限。
复核流程执行的证据必须保留。
⏹当发现或接到个人的业务需求或者雇佣关系结束的通知时,必须在3个工作日内撤销相应系统的授权。
1.5.3有害代码防护
必须采取技术手段防止有害代码的传播和执行。
⏹只允许获取和使用经网络安全部批准的防病毒程序。
⏹在有防病毒程序更新时,服务提供者应提醒用户。
⏹防病毒程序应配置为每天从公司升级站点或者供应商站点检查一次病毒定义码更新。
如果无法通过网络自动更新,则必须每周至少手工更新一次病毒定义码。
⏹应使用经公司批准的防毒程序,在邮件网关检测和阻拦病毒邮件。
⏹如果系统或者服务器已经被病毒感染,其责任人必须联系公司IT进行病毒清理,最大程度降低病毒感染造成的损害。
个人用户可以联系IT热线求助。
⏹如果经公司批准的防病毒程序中,都不适用于您的系统,您可以联系IT热线求助,但不允许自行去查找、安装没有获得网络安全部许可的防病毒程序。
必须依据下表的要求执行对TCP/IP的例行漏洞扫描。
⏹扫描发现漏洞后,必须在限期内整改。
⏹风险扫描报告中通常应标明风险等级。
⏹Internet系统如果发现存有高危漏洞,且无法在限期内完成整改,则须停止其Internet服务,直至采取了合适的整改措施,使风险被接受。
其他环境的系统如无法在限期内完成整改,则必须进入IT运维风险处置流程。
⏹如果服务或者系统的漏洞不可被利用,则不需要采取整改动作。
⏹应保留最近两次本流程执行的证据。
⏹经网络安全部批准的漏洞扫描工具必须统一管理。
表2:
TCP/IP漏洞扫描频率
环境
频率
系统类型
授权的测试人员
Internet
每年
以下设备需从Internet进行测试:
⏹Internet系统
⏹Internet网关与路由器
⏹与合作伙伴、客户有网络连接的系统的Internet组件。
渗透测试小组
Extranet
暂不要求,依需要进行
所有Extranet环境中直接支撑应用系统的设备需从Extranet进行测试
Intranet
暂不要求
以下设备需从Intranet进行测试:
⏹所有其他的Group1的系统
⏹与合作伙伴、客户有网络连接的系统的其他组件
⏹Group1网络基础设施:
⏹DNSSVR
⏹DHCPSVR
⏹DDNSSVR
⏹内部边界防火墙
⏹Intranet网关
⏹网络基础设施
以下设备需从Intranet进行测试
所有其他Group3和Group4系统
Group3网络基础设施
业务部门的安全业务测试团队
TCP/IP漏洞扫描工具限于经过授权的正式测试团队使用,其他人员禁止使用。
1.5.5安全补丁管理
必须建立适当的流程,保证安全补丁在下表规定的限期内完成安装。
限期以网络安全部发布的日期(工作日)算起。
表3:
安全补丁安装限期(Windows系统)
Group
系统类型/OS
严重等级
高
中
低
1
Internet系统或
基于Internet与合作伙伴、客户进行连接的系统
7天
15天
30天
内网关键、重要系统
60天
180天
Extranet区系统
90天
12个月
所有其他生产环境系统和网络基础设施组件
3&
4
Windows多用户操作系统
不适用
表4:
安全补丁安装限期(Unix系统&
Linux系统以及其他)
Internet系统、Extranet系统(含DMZ)、或基于Internet与合作伙伴、客户进行连接的系统
Unix/Linux多用户操作系统
其他多用
升级会员 