网络安全防护体系建设规范.docx
《网络安全防护体系建设规范.docx》由会员分享,可在线阅读,更多相关《网络安全防护体系建设规范.docx(21页珍藏版)》请在冰豆网上搜索。
网络安全防护体系建设规范
网络安全防护体系建设规范
前言
本标准由河北省质量技术监督局提出。
本标准由河北省质量技术监督局归口。
本标准由河北省质量技术监督局负责解释。
本标准起草单位:
河北省质量技术监督局、武汉达梦数据库有限公司。
本标准起草人:
高方华、李娜、靳淑敏、何张赓
网络安全防护体系建设要求
1范围
本标准规定了河北省质量技术监督局信息化建设网络安全防护体系的建设原则。
从物理安全防护、人员防护、管理安全防护、技术防护四个方面提出了具体的要求。
对河北省质量技术监督局信息化建设所采用的安全防护设备提出技术要求、配置要求。
本标准适用于河北省质量技术监督局信息化建设系统安全保障体系中最基础的安全设施的建设与配置要求,以保护河北省质量技术监督局信息化建设网络的各种应用系统,保证整个系统的可用性、完整性、可控性等。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T2887-2000计算机场地通用规范
GB/T5271.8-2000信息系统词汇第8部分:
安全
GB/T17859-1999计算机信息系统安全保护等级划分准则
GB/T20281-2006信息安全技术防火墙技术要求和测试评价方法
3术语和定义
下列术语和定义适用于本标准。
3.1计算机机房computerroom
计算机系统主要设备放置地点。
3.2电子计算机场地electroniccomputerfield
安置电子计算机系统的场所,与供电、空调等配套设施以及系统维修和工作人员的工作环境。
3.3防火墙wallfire
防火墙是一个或一组实施访问控制策略的系统。
它在内部网络、DMZ与外部网络之间形成了安全防护屏障,保护内部网络和DMZ上的资源。
3.4内部网络
通过防火墙隔离的可信任区域或保护区域,通常是指单位内部的局域网。
3.5外部网络
通过防火墙隔离的不可信任区域或非保护区域。
3.6非军事区
通常指一个网络对外提供网络服务的部分,受防火墙保护,通过防火墙与内部网络和外部网络隔离,执行与内部网络不同的安全策略,也有的称为安全服务网络(SecureServiceNetwork)。
3.7安全加密设备securecryptographicdeviceSCD
能提供一系列安全加密服务、具备物理和逻辑保护的硬件设备。
3.8完整性integrity
包括数据完整性和系统完整性。
数据完整性表征数据所具有的特性,即无论数据形式作何变化,数据的准确性和一致性均保持不变的程度;系统完整性表征系统在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下,系统能履行其操作目的的品质。
3.9可用性availability
表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。
3.10计算机病毒(简称病毒)computervirus
是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
3.11变形病毒polymorphicvirus
这种病毒在传染时变换自身的代码,使得每感染一个病毒宿主,被感染的病毒宿主上的病毒代码各不相同。
3.12误报falsealarm
指病毒防治产品将正常系统或文件报为含有病毒,或将正常操作报为病毒行为。
3.13误报率rateoffalsealarm
指病毒防治产品将正常系统或文件报为含有病毒,或将正常操作报为病毒行为的比例。
4符号和缩略语
DNS
域名系统
DomainNameSystem
DMZ
非军事区
DemilitarizedZone
FTP
文件传输协议
FileTransferProtocol
IDS
入侵检测系统
IntrusionDetectionSystem
IKE
Internet密钥交换
InternetKeyExchange
IP
网间协议
InternetProtocol
NAT
网络地址转换
NetworkAddressTranslation
SNAT
源网络地址转换
SourceIPNAT
DNAT
目的网络地址转换
DestinationIPNAT
PBR
策略路由
Policy-basedRouting
POP
邮局协议
PostOfficeProtocol
SMTP
简单邮件传送协议
SimpleMailTransferProtocol
SSN
安全服务网络
SecureServiceNetwork
STP
生成树协议
SpanningTreeProtocol
TCP
传输控制协议
TransportControlProtocol
UDP
用户数据报协议
UserDatagramProtocol
5网络安全防护体系概述
5.1建设原则
网络安全防护系统是河北省质量技术监督局信息化建设系统安全保障体系中最基础的安全设施,主要保护河北省质量技术监督局信息化建设网络的各种应用系统,保证整个系统的可用性、完整性、可控性等。
采用的建设原则是服务规范性、结果可控性、系统整体性、最小影响、保密等原则。
5.2防护体系建设要求
从物理安全防护、技术防护、人员防护、管理防护四个方面构建河北省质量技术监督局信息化建设的综合防护体系,并提出要求。
6物理安全防护要求
6.1物理环境安全防护
6.1.1物理位置的选择要求
本项要求包括:
a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
6.1.2物理访问控制要求
本项要求包括:
a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
6.1.3防盗窃和防破坏
本项要求包括:
a)应将主要设备放置在机房内;
b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;
c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
d)应对介质分类标识,存储在介质库或档案室中;e)应利用光、电等技术设置机房防盗报警系统;f)宜考虑对机房设置监控报警系统。
6.1.4防雷击
本项要求包括:
a)机房建筑应设置避雷装置;
b)应设置防雷保安器,防止感应雷;
c)机房应设置交流电源地线。
6.1.5防火
本项要求包括:
a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
c)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
6.1.6防水和防潮
本项要求包括:
a)水管安装,不得穿过机房屋顶和活动地板下;
b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
d)宜安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
6.1.7防静电
本项要求包括:
a)主要设备应采用必要的接地防静电措施;
b)机房应采用防静电地板。
6.1.8温湿度控制
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
6.1.9电力供应要求
本项要求包括:
a)应在机房供电线路上配置稳压器和过电压防护设备;
b)应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求;
c)应设置冗余或并行的电力电缆线路为计算机系统供电;
d)应建立备用供电系统。
6.1.10电磁防护
本项要求包括:
a)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
b)电源线和通信线缆应隔离铺设,避免互相干扰;
c)应对关键设备和磁介质实施电磁屏蔽。
6.2设备安全防护要求
6.2.1设备的防盗和防毁
a)设备标记要求:
计算机系统的设备和部件应有明显的无法除去的标记,以防更换和方便查找赃物;
b)计算中心防盗:
计算中心应利用光、电、无源红外等技术设置机房报警系统,并有专人值守,防止夜间从门窗进入的盗窃行为;
c)机房外部设备防盗:
机房外部的设备,应采取加固防护等措施,必要时安排专人看管,以防止盗窃和破坏。
6.2.2设备的安全可用
a)基本运行支持:
信息系统的所有设备应提供基本的运行支持,并有必要的容错和故障恢复能力;
b)设备安全可用:
支持信息系统运行的所有设备,包括计算机主机、外部设备、网络设备及其它辅助设备等均应安全可用;
c)设备不间断运行:
应提供可靠的运行支持,并通过容错和故障恢复等措施,支持信息系统实现不间断运行。
6.2.3通信线路安全防护
本项要求包括:
a)确保线路畅通:
应采取必要措施,保证通信线路畅通;
b)应采取必要措施,及时发现线路截获事件并报警;
c)应采取必要措施,防止线路截获事件发生。
6.2.4记录介质安全防护
本项要求包括:
a)公开数据介质保护:
存放有用数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质等,应采取一定措施防止被毁和受损;
b)内部数据介质保护:
存放内部数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质等,应采取一定措施防止被盗、被毁和受损;应该删除和销毁有用的数据,应有一定措施,防止被非法拷贝;
c)重要数据介质保护:
存放重要数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质等,应采取有效措施,如建立介质库等,防止被盗、被毁和受损;应该删除和销毁的重要数据,要有有效的管理和审批手续,防止被非法拷贝;
d)关键数据介质保护:
系统中有很高使用价值或很高秘密程度的关键数据,应采用严格的方法进行保护,防止被盗、被毁和受损;应该删除和销毁的重要数据,要有严格的管理和审批手续,并采取有效措施,防止被非法拷贝;
e)核心数据介质保护:
存放核心数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质等,应有最严格的保护措施,防止被盗、被毁和受损。
核心数据应长期保存。
6.3技术防护基本要求
6.3.1结构安全
本项要求包括:
a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
b)应保证网络各个部分的带宽满足业务高峰期需要;
c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
d)应绘制与当前运行情况相符的网络拓扑结构图;
e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
6.3.2访问控制
本项要求包括:
a)应在网络边界部署访问控制设备,启用访问控制功能;
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
d)应在会话处于非活跃一定时间或会话结束后终止网络连接;
e)应限制网络最大流量数及网络连接数;
f)重要网段应采取技术手段防止地址欺骗;
g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
h)应限制具有拨号访问权限的用户数量。
6.3.3安全审计
本项要求包括:
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
b)审计记录应包括:
事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c)应能够根据记录数据进行分析,并生成审计报表;
d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
6.3.4边界完整性检查本项要求包括:
a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;
b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
6.3.5入侵防范
本项要求包括:
a)应在网络边界处监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
6.3.6恶意代码防范
本项要求包括:
a)应在网络边界处对恶意代码进行检测和清除;
b)应维护恶意代码库的升级和检测系统的更新。
6.3.7网络设备防护
本项要求包括:
a)应对登录网络设备的用户进行身份鉴别;
b)应对网络设备的管理员登录地址进行限制;
c)网络设备用户的标识应唯一;
d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
h)应实现设备特权用户的权限分离。
6.4人员安全防护要求
6.4.1人员录用
本项要求包括:
a)应指定或授权专门的部门或人员负责人员录用;
b)应严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核;
c)应签署保密协议;
d)应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。
6.4.2人员离岗
本项要求包括:
a)应严格规范人员离岗过程,及时终止离岗员工的所有访问权限;
b)应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;
c)应办理严格的调离手续,关键岗位人员离岗须承诺调离后的保密义务后方可离开。
6.4.3人员考核
本项要求包括:
a)应定期对各个岗位的人员进行安全技能及安全认知的考核;b)应对关键岗位的人员进行全面、严格的安全审查和技能考核;c)应对考核结果进行记录并保存。
6.4.4安全意识教育和培训
本项要求包括:
a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;
b)应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒;
c)应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训;
d)应对安全教育和培训的情况和结果进行记录并归档保存。
6.4.5外部人员访问管理
本项要求包括:
a)应确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程陪同或监督,并登记备案;
b)对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定执行。
6.5管理安全防护要求
6.5.1对管理机构和人员进行必要的设置
本项目的目标是建立河北省质量技术监督局信息化建设配套的安全管理职能部门,通过管理机构的岗位设置、人员的分工以及各种资源的配备,为河北省质量技术监督局信息化建设信息系统的安全管理提供组织上的保障。
本项目的要求包括:
a)建立安全组织
识别与河北省质量技术监督局信息化建设信息安全管理有关的组织成员及其角色,例如:
操作人员、文档管理员、系统管理员、安全管理员等,形成安全组织结构表。
b)形成角色说明
以书面的形式详细描述每个角色与职责,确保有人对所有的风险负责。
形成机构、角色与职责说明书。
6.5.2加强管理制度的建设和修订
本项目的目标是建设或修订与河北省质量技术监督局信息化建设信息系统安全管理相配套的、包括所有信息系统的建设、开发、运维、升级和改造等各个阶段和环节所应当遵循的行为规范和操作规程。
本项目的要求包括:
a)应用范围
管理制度建立首先要明确制度的应用范围,如机房管理、帐户管理、远程访问管理、特殊权限管理、设备管理、变更管理等方面的内容。
b)人员职责
管理制度的建立要明确相关岗位人员的责任和权利范围,并要征求相关人员的意见,要保证责任明确。
c)行为规范
管理制度是通过制度化、规范化的流程和行为,来保证各项管理工作的一致性。
d)评估与完善
制度在发布、执行过程中,要定期对其进行评估,根据实际环境和情况的变化,对制度进行修改和完善,必要时考虑管理制度的重新制定。
6.5.3进行安全实施过程管理
本项的目标是在系统定级、规划设计、实施过程中,对工程的质量、进度、文档和变更等方面的工作进行监督控制和科学管理。
本项目的要求包括:
a)质量管理
质量管理首先要控制河北省质量技术监督局信息化建设建设的质量,保证河北省质量技术监督局信息化建设建设始终处于信息安全制度所要求的框架内进行。
同时,还要保证用于创建系统的过程的质量,在系统建设的过程中,要建立一个不断测试和改进质量的过程,在整个系统的生命周期中,通过测量、分析和修正活动,保证所完成目标和过程的质量。
b)风险管理
为了识别、评估和减低风险,以保证系统工程活动和全部技术工作项目都成功实施。
在整个系统建设过程中,风险管理要贯穿始终。
c)变更管理
在系统建设的过程中,由于各种条件的变化,会导致变更的出现,变更发生在工程的范围、进度、质量、费用、人力资源、沟通、合同等多方面。
每一次的变更处理,必须遵循同样的程序,即相同的文字报告、相同的管理办法、相同的监控过程。
必须确定每一次变更对系统成本、进度、风险和技术要求的影响。
一旦批准变更,必须设定一个程序来执行变更。
d)进度管理
系统建设的实施必须要有一组明确的可交付成果,同时也要求有结束的日期。
因此在建设系统的过程中,必须制订项目进度计划,绘制网络图,将系统分解为不同的子任务,并进行时间控制确保项目的如期完成。
e)文档管理
文档是记录项目整个过程的书面资料,在系统建设的过程中,针对每个环节都有大量的文档输出,文档管理涉及系统建设的各个环节,主要包括:
系统定级、规划设计、方案设计等等文档。
6.6河北省质量技术监督局信息化建设网络安全防护设备要求
6.6.1防火墙系统
6.6.1.1技术指标
1)包过滤
所有等级的包过滤型和复合型防火墙应支持包过滤功能,应用代理型防火墙可支持包过滤功能。
具体技术要求如下:
a)防火墙的安全策略应使用最小安全原则,即除非明确允许,否则就禁止。
b)防火墙的安全策略可包含基于MAC地址的访问控制。
c)防火墙的安全策略应包含基于源IP地址、目的IP地址的访问控制。
d)防火墙的安全策略应包含基于源端口、目的端口的访问控制。
e)防火墙的安全策略应包含基于协议类型的访问控制。
f)防火墙的安全策略可包含基于时间的访问控制。
g)防火墙应支持用户自定义的安全策略,安全策略可以是MAC地址、IP地址、端口、协议类型和时间的部分或全部组合。
2)内容过滤
防火墙应支持内容过滤功能。
具体技术要求如下:
a)防火墙的安全策略应包含基于URL的访问控制。
b)防火墙的安全策略应包含基于文件类型的访问控制。
c)防火墙的安全策略应包含基于用户的访问控制。
d)防火墙的安全策略应包含基于关键字的访问控制,至少对http网页内容和和电子邮件中的Subject、To、From域等进行检查。
3)应用代理
所有等级的应用代理型和复合型防火墙应支持应用代理功能,具体技术要求如下:
a)防火墙应至少支持以下应用层协议的应用代理:
HTTP、FTP、TELNET、POP3和SMTP;
b)防火墙可支持以下协议的应用代理:
DNS。
4)NAT
所有等级的包过滤型和复合型防火墙应支持NAT功能,具体技术要求如下:
a)防火墙应支持双向NAT:
SNAT和DNAT。
b)SNAT应支持在内部网络用户正常访问外部网络时隐藏内部网络的IP地址。
c)防火墙应支持实现“多对一”的SNAT。
d)DNAT应支持将DMZ的IP地址映射为外部网络合法IP地址,外部网络用户通过访问映射地址实现对DMZ服务器的访问。
e)防火墙应支持“一对多”的DNAT。
5)IP/MAC地址绑定
包过滤型和复合型防火墙应支持IP/MAC地址绑定功能,应用代理型防火墙可支持
IP/MAC地址绑定功能。
具体技术要求如下:
a)防火墙应支持自动或管理员手工绑定IP/MAC地址。
b)防火墙应能够检测IP地址盗用,阻断盗用IP地址的主机经过防火墙的各种访问。
6)动态开放端口
包过滤型和复合型防火墙应支持动态开放端口功能,应用代理型防火墙可支持动态开放端口功能。
具体技术要求如下:
a)防火墙应支持主动模式和被动模式的FTP。
b)防火墙应支持以H.323协议建立视频会议。
c)防火墙可支持SQL*NET数据库协议。
7)策略路由
防火墙可支持策略路由功能。
具体技术要求如下:
a)防火墙应支持两个或两个以上的外部网络接口。
b)防火墙应能够根据数据包源地址、目的地址、进入接口等参数来设置路由。
c)防火墙应能够设置多个路由表。
d)防火墙的每个路由表应能够包含多条路由信息。
8)流量统计
所有等级的防火墙应支持流量统计功能。
具体技术要求如下:
a)防火墙应能够通过IP地址、网络服务、时间和协议类型等参数或者它们的组合进行流量统计。
b)防火墙应能够与管理界面实现挂接,实时或者以统计报表的形式输出结果。
9)带宽管理
防火墙应支持带宽管理功能,要求如下:
a)防火墙应能够根据管理员设定的大小限制某些客户端占用的带宽。
b)防火墙应能够根据网络流量动态调整某些客户端占用的带宽。
10)双墙热备
防火墙应支持双墙热备功能。
具体技术要求如下:
a)防火墙应支持物理设备状态检测。
当主防火墙自身出现断电或其他故障时,备防火墙应及时发现并接管主防火墙进行工作。
b)防火墙应支持链路状态检测。
当主防火墙直接相连的链路发生故障而无法正常工作时,备防火墙应及时发现并接管主防火墙进行工作。
c)在路由模式下,防火墙可支持VRRP协议。
d)在透明模式下,防火墙可支持STP协议。
11)负载均衡
B级和A级防火墙应支持负载均衡功能。
B级产品的具体技术要求如下:
防火墙应能够将特定协议的负载均衡到多台服务器上。
A级产品在B级基础上,还应满足:
防火墙可将流经防火墙自身的负载均衡到多台防火墙上。
12)病毒/恶意代码防护
防火墙应支持病毒/恶意代码防护功能,具体技术要求如下:
a)防火墙应能够检测并过滤流经防火墙的当前流行的各种病毒、蠕虫和恶意代码。
b)防火墙的病毒、蠕虫和恶意代码特征库应能够至少每周升级、更新一次。
13)IDS联动
防火墙应支持与IDS的联动。
具体技术要求如下:
a)防火墙应只接收指定的
升级会员 