软件系统安全规范精品.docx

1、软件系统安全规范精品一、引 言 11目的 随着计算机应用的广泛普及，计算机安全已成为衡量计算机系统性能的一个重要指标。 计算机系统安全包含两部分内容，一是保证系统正常运行，避免各种非故意的错误与损坏；二是防止系统及数据被非法利用或破坏。两者虽有很大不同，但又相互联系，无论从管理上还是从技术上都难以截然分开，因此，计算机系统安全是一个综合性的系统工程。 本规范对涉及计算机系统安、全的各主要环节做了具体的说明，以便计算机系统的设计、安装、运行及监察部门有一个衡量系统安全的依据。 12范围 本规范是一份指导性文件，适用于国家各部门的计算机系统。 在弓I用本规范时，要根据各单位的实际情况，选择适当的范

2、围，不强求全面采用。 二、安全组织与管理 21安全机构 211单位最高领导必须主管计算机安全工作。 212建立安全组织： 2121安全组织由单位主要领导人领导，不能隶属于计算机运行或应用部门。 2122安全组织由管理、系统分析、软件、硬件、保卫、审计、人事、通信等有关方面人员组成。 2123安全负责人负责安全组织的具体工作。 2124安全组织的任务是根据本单位的实际情况定期做风险分析，提出相应的对策并监督实施。 213安全负责人制： 213I确定安全负责人对本单位的计算机安全负全部责任。 2132只有安全负责人或其指定的专人才有权存取和修改系统授权表及系统特权口令。 2133安全负责人要审阅每

3、天的违章报告，控制台操作记录、系统日志、系统报警记录、系统活动统计、警卫报告、加班报表及其他与安全有关的材料。 2134安全负责人负责制定安全培训计划。 2135若终端分布在不同地点，则各地都应有地区安全负责人，可设专职，也可以兼任，并接受中心安全负责人的领导。 2136各部门发现违章行为，应向中心安全负责人报告，系统中发现违章行为要通知各地有关安全负责人。 214计算机系统的建设应与计算机安全工作同步进行。 22人事管理 221人员审查：必须根据计算机系统所定的密级确定审查标准。如：处理机要信息的系统，接触系统的所有工作人员必须按机要人员的标准进行审查。 222关键岗位的人选。如：系统分析员

4、，不仅要有严格的政审，还要考虑其现实表现、工作态度、道德修养和业务能力等方面。尽可能保证这部分人员安全可靠。 223所有工作人员除进行业务培训外，还必须进行相应的计算机安全课程培训，才能进入系统工作。 224人事部门应定期对系统所有工作人员从政治思想、业务水平、工作表现等方面进行考核，对不适于接触信息系统的人员要适时调离。 225对调离人员，特别是在不情愿的情况下被调走的人员，必须认真办理手续。除人事手续外，必须进行调离谈话，申明其调离后的保密义务，收回所有钥匙及证件，退还全部技术手册及有关材料。系统必须更换口令和机要锁。在调离决定通知本人的同时，必须立即进行上述工作，不得拖延。 2.3安全管

5、理 23，1应根据系统所处理数据的秘密性和重要性确定安全等级，井据此采用有关规范和制定相应管理制度。 232安全等级可分为保密等级和可靠性等级两种，系统的保密等级与可靠性等级可以不同。 2321保密等级应按有关规定划为绝密、机密、秘密。 2322可靠性等级可分为三级。对可靠性要求最高的为A级，系统运行所要求的最低限度可靠性为C级，介于中间的为B级。 233用于重要部门的计算机系统投入运行前，应请公安机关的计算机监察部门进行安全检查。 234必须制定有关电源设备、空凋设备，防水防盗消防等防范设备的管理规章制度。确定专人负责设备维护和制度实施。 235应根据系统的重要程度，设立监视系统，分别监视设

6、备的运行情况或工作人员及用户的操作情况，或安装自动录象等记录装置。对这些设备必须制定管理制度，并确定负责人。 236制定严格的计算中心出入管理制度： 2361计算机中心要实行分区控制，限制工作人员出入与己无关的区域。 2362规模较大的计算中心，可向所有工作人员，包括来自外单位的人员，发行带有照片的身份证件，并定期进行检查或更换。 2363安全等级较高的计算机系统，除采取身份证件进行识别以外，还要考虑其他出入管理措施，如：安装自动识别登记系统，采用磁卡、结构编码卡或带有徽电脑及存储器的身份卡等手段，对人员进行自动识别、登记及出入管理。 2364短期工作人员或维修人员的证件，应注明有效日期，届时

7、收回。 2365参观人员必须由主管部门办理参观手续，参观时必须有专人陪同。 2366因系统维修或其它原因需外国籍人进入机房时，必须始终有人陪同。 2367进出口的钥匙应保存在约定的场所，由专人管理，并明确其责任。记录最初人室者及最后离室者和钥匙交换时间。 2368在无警卫的场合，必须保证室内无人时，关锁所有出入口。 2369禁止携带与上机工作无关的物品进入机房。 23610对于带进和带出的物品，如有疑问，庞进行查验。 237制定严格的技术文件管理制度。 2371计算机系统的技术文件如说明书、手册等应妥善保存，要有严格的借阅手续，不得损坏及丢失。 2372应备有关计算机系统操作手册规定的文件。

8、2373庞常备计算机系统出现故障时的替代措施及恢复顺序所规定的文件。 238制定严格的操作规程： 238I系统操作人员应为专职，操作时要有两名操作人员在场。 2382对系统开发人员和系统操作人员要进行职责分离。 239制定系统运行记录编写制度，系统运行记录包括系统名称、姓名、操作时间、处理业务名称、故障记录及处理情况等。 2310制定完备的系统维护制度： 23101对系统进行维护时，应采取数据保护措施。如：数据转贮、抹除、卸下磁盘磁带，维护时安全人员必须在场等。运程维护时，应事先通知。 23102对系统进行预防维修或故障维修时，必须记录故障原因、维修对象、维修内容和维修前后状况等。 2，310

9、3必须建立完整的维护记录档案。 2311应制定危险品管理制度。 2312应制定消耗品管理制度。 2313应制定机房清洁管理制度。 2314必须制定数据记录媒体管理制度。 2315必须定期进行安全设备维护及使用训练，保证每个工作人员都能熟练地操作有关的安全设备。 三、安全技术措施 31实体安全 311设计或改建计算机机房时必须符合下列标准： 3111计算机场地技术要求(GB288787)。 3112计算站场地安全要求国家标准(待公布)。 312计算中心机房建筑和结构还应注意下列问题： 3121祝房最好为专用建筑。 3122机房最好设置在电梯或楼梯不能直接进入的场所。 3123机房应与外部人员频繁

10、出入的场所隔离。 3124机房周围应设有围墙或栅栏等防止非法进入的设施。 3125建筑物周围应有足够照度的照明设施，以防夜间非法侵入。 3126外部容易接近的窗口应采取防范措施。如钢化玻璃、嵌网玻璃及卷帘和铁窗。无人值守时应有自动报警设备。 3127应在合适的位置上开设应急出口，作为避险通道或应急搬运通道。 3128机房内部设计庞便于出入控制和分区控制。 313重要部门的计算机中心外部不应设置标明系统及有关设备所在位置的标志。 314安全设备除符合计算站场地安全要求标准外，还要注意以下几点： 3141机房进出口应设置应急电话。 3142各房间应设置报警喇叭。以免由于隔音及空调的原因而听不到告警

11、通知。 3143进出口应设置识别与记录进出人员的设备及防范设备。 3144机房内用于动力、照明的供电线路应与计算机系统的供电线路分开。 3145机房内不同电压的供电系统应安装互不兼容的插座。 3146应设置温、湿度自动记录仪及温、湿度报警设备。 315主机及外设的电磁干扰辐射必须符合国家标准或军队标准的要求，外国产品则必须符合生产国的标准，如FCC或VDE等标准。 316机要信息处理系统中要考虑防止电磁波信息辐射被非法截收。 3161可采取区域控制的办法，即将可能截获辐射信息的区域控制起来，不许外部人员接近。 3162可采用机房屏蔽的方法，使得信息不能辐射出机房。 3163可采用低辐射设备。

12、3164可采取其它技术，使得难以从被截获的辐射信号中分析出有效信息。 3165关于屏蔽技术的具体要求和技术指标可向公安部有关部门咨询。 317磁媒休管理： 3171磁盘、磁带必须按照系统管理员及制造厂确定的操作规程安装。 3172传递过程的数据磁盘、磁带应装在金属盒中。 3173新带在使用前庞在机房经过二十四小时温度适应。 31.74磁带、磁盘应放在距钢筋房柱或类似结构物十厘米以上处，以防雷电经钢筋传播时产生的磁场损坏媒体上的信息。 3175存有机要信息的磁带清除时必须进行消磁，不得只进行磁带初始化。 3176所有入库的盘带目录清单必须具有统一格式，如文件所有者、卷系列号、文件名及其描述、作业

13、或项目编号、建立日期及保存期限。 3177盘带出入库必须有核准手续并有完备记录。 3178长期保存的磁带庞定期转贮。 3179存有记录机要信息磁带的库房，必须符合相应密级的文件保存和管理条例的要求，不得与一般数据磁带混合存放。 31710重要的数据文件必须多份拷贝异地存放。 31711磁带库必须有专人负责管理。 32软件安全 321系统软件应具有以下安全措施： 3211操作系统应有较完善的存取控制功能，以防止用户越权存取信息。 3212操作系统应有良好的存贮保护功能，以防止用户作业在指定范围以外的存贮区域进行读写。 3213操作系统应有较完善的管理功能，以记录系统的运行情况，监测对数据文件的存

14、取。 3214维护人员进行维护时，应处于系统安全控制之下。 3215操作系统发生故障时，不应暴露口令，授权表等重要信息。 3216操作系统在作业正常或非正常结束以后，应该清除分配给该作业的全部临时工作区域。 3217系统应能像保护信息的原件一样，精确地保护信息的拷贝。 322应用软件： 3221应用程序必须考虑充分利用系统所提供的安全控制功能。 3222应用程序在保证完成业务处理要求的同时，应在设计时增加必要的安全控制功能。 3223程序员与操作员职责分离。 3224安全人员应定期用存档的源程序与现行运行程序进行对照，以有效地防止对程序的非法修改。 323数据库： 3231数据库必须有严格的存

15、取控制措施，库管理员可以采取层次、分区、表格等各种授权方式，控制用户对数据库的存取权限。 3232通过实体安全、备份和恢复等多种技术手段来保护数据库的完整性。 3233应对输人数据进行逻辑检验，数据库更新时应保证数据的准确性。 3234数据库管理员应实时检查数据库的逻辑结构、数据元素的关联及数据内容。 3235数据库管理系统应具有检查跟踪能力，可以记录数据库查询、密码利用率、终端动作、系统利用率、错误情况及重新启动和恢复等。 3236库管理系统应能检测出涉及事务处理内容及处理格式方面的错误，并予以记录。 3237必须有可靠的日志记录。对数据完整性要求较高的场合要建立双副本日志，分别存于磁盘和磁

16、带上以保证意外时的数据恢复。 3238应建立定期转贮制度，并根据交易量的大小决定转贮频度。 3239数据库软件应具备从各种人为故障、软件故障和硬件故障中进行恢复的能力。 32310库管理软件应能确定是否由于系统故障而引起了文件或交易数据的丢失。 32，311重要的系统应采取安全控制实时终端，专门处理各类报警信息。 3.2312对于从日志或实时终端上查获的全部非法操作都应加以分析，找出原因及对策。 324软件开发： 3241软件开发过程应按照下述标准的要求进行： (l)软件工程术语国家标准(待公布)。 (2)软件开发中的产品文件编制指南国家标准(待公布)。 (3)软件需求说明规范国家标准(待公布

17、)。 (4)软件开发规范国家标准(待公布)。 (5)软件测试规范国家标准(待公布)。 3242产品鉴定验收： (l)鉴定验收是软件产品化的关键环节，必须给予足够的重视。提交鉴定的软件产品，应具有上述标准中列出的各种产品文件。 (2)将鉴定会上提供的上述文件装订成册，编好页码目录，作为技术档案，妥善保存。 (3)未经鉴定验收的软件，不得投入运行。 (4)购买的软件应附有完整的技术文件。 325软件维护与管理： 3251较重要的软件产品，其技术档案应复制副本，正本存档，不准外借。3252软件产品除建立档案文件外，其源文件应记在磁盘或磁带上，并编写详细目录，以便长期保存。 3253重要的软件，均应复

18、制两份，一份作为主拷贝存档，一份作为备份。 32. 54对系统软件的维护和二次开发要慎重，必须事先对系统有足够的了解。 3255对软件进行维护和二次开发前，必须写出书面申请报告，经有关领导批准，方可进行。 3256在维护和二次开发中，必须有详细的规范化的书面记载，主要记载修补部位，修改内容，增加功能，修改人，修改日期等，以便查找或别人接替。 3257二次开发只能在系统软件的副本上进行。 3258对软件的任何修改都必须有文字记载，并与修改前后的软件副本一起并人软件技术档案，妥善保存。 3259对软件的修改必须保证不降低系统的安全性。33输入输出控制。 331明确系统各环节工作人员的责任： 331

19、1系统各程序设计人员与操作人员必须分离。 3312重要事务处理项目，必须规定由合法文件的法定人提交。 3313修改文件必须规定批准和执行的手续。 3. 314工作期间至少应有两人在机房值班，以防止非法使用计算机。 3315保存控制台打印记录。 332制定统一的数据格式并尽可能使用统一编码。 333操作控制： 3331对操作人员制定有关处理输人数据的操作制度和规程。 3332必须建立一个整齐、清洁、安静符合生理卫生要求的操作环境，以减少操作失误。 3333严格规定媒体管理制度，以防止媒体中数据的破坏和损失。如：磁带在保管、传递及安装时的要求，卡片、磁盘、胶片、纸带的管理规程等。 333.4向操作

20、人员提供完整的操作指南，以便掌握有关作业安排，作业优先级分配，建立和控制作业，规定场所安全措施和作业运行等的合理规程。 3335需要保存的数据文件必须有完备的记录，存人符合要求的媒体库中。 3336充分利用作业统计功能提供的信息，如：调查完成某个特定功能所需的时间，比较实际机器工作时间与预定时间的差异，判别实际的作业资源需求所预定需求的差异。 3337处理机要数据的终端室各终端，可以考虑用屏风隔离，以防各用户互看屏幕内容。 334数据在投入使用前，必须确保其准确可靠，可采用各种方法进行检验。如：标号检查、顺序检查、极限校验、运算验证、记录数核对等。 335输出控制： 3351数据处理部门的输出

21、控制应有专人负责。 3352输出文件必须有可读的密级标志，如：秘密、机密、绝密等宇样或颜色标志。 3353等级标志必须与相应文件在整个处理环节中同时生存。 3354输出文件在发到用户之前，应由数据处理部门进行审核。 3355输出文件的发放应有完备手续。 336可以设置独立于用户和数据处理部门两者的管理小组，以监督和指导进入或离开数据处理中心的数据。 34联机处理 341联机系统应该确定系统安全管理员，对系统安全负责。 342用户识别： 3421必须充分利用系统提供的技术手段。如：用户授权表，存取控制矩阵等。 (l)由于计算机识别用户的最常用的方法是口令，所以必须对口令的产生、登记、更换期限实行

22、严格管理。 (2)研究和采用多种口令密码方式，如：单一密码、可变或随机密码、函数型密码等。 (3)口令应加密存贮。 (4)系统能跟踪各种非法请求并记录某些文件的使用情况。 (5)根据系统的位置，若错误的口令被连续地使用若干次后，系统应采取相应措施，如封锁那个终端，记录所用终端及用户名，并立即报警。 (6)教育用户必须遵循口令的使用规则。 (7)系统应能识别终端，以查出非法用户的位置。 3422证件识别，可使用磁条、金属结构或微型芯片制成的卡式证件对用户进行识别。这种识别方式可供有条件的部门使用。 3423特征识别，采用专门设备检验用户具有的物理特征。如指纹、掌形、声纹、视网膜等。这种识别方式价

23、格昂贵，一般用于机要核心部门。 343需要保护的数据和软件必须加有标志，在整个生存期，标志应和数据或软件结合在一起，不能丢失。特别是在复制、转移、输出打印时，不能丢失。 344计算机通信线路安全问题： 344I通信线路应远离强电磁场辐射源，最好埋于地下或采用金属套管。 3442通信线路最好铺设或租用专线。 3443定期测试信号强度，以确定是否有非法装置接人线路。 3444定期检查接线盒及其他易被人接近的线路部位。 345加密： 3451传输需要保密的数据，应该加密保护。 3452需长期保存的机要文件，应加密后保存。 3453系统应建立完善的密钥产生、管理和分配系统。 3454所有数据应由数据主

24、管部门负责划分密级，密级确定后交数据处理部门进行分类处理。 3455根据数据的密级和保密时效的长短，选择相应强度的密码算法，既不能强度太高，过多增加系统开销，又不要强度太低，起不到保密效果。 3456不要扩大加密的范围。对于可加密可不加密的数据，不要加密。 3457对于密钥管理人员要尽可能地缩小范围，并严格审查。 3458定期对工作人员进行保密教育。 346当系统密级发生变化，特别是密级降低时，应用叠写的方法清除全部磁存贮器，用停电的方法清除非磁存贮器。 347计算机系统必须有完整的日志记录。 347.1重要计算机日志应记录： (l)每次成功的使用：记录节点名、用户名、口令、终端名、上下机时间

25、、操作的数据或程序名、操作的类型、修改前后的数据值。 (2)用户每次越权存取的尝试：记录节点名、用户名、终端名、时间、欲越权存取的数据及操作类型、存取失败的原因。 (3)每次不成功的用户身份：记录节点名、用户名、终端名、时间。 3472操作员对越权存取庞通过控制台进行干预。 3473打印出的日志应完整而连续，不得拼接。 3474重要的日志应由安全负责人签名，规定保存期限。 348对特定的终端设备，应限定操作人员。特定终端设备指：可对重要数据进行存取的、有控制台功能的、系统管理员所用的终端等。限定操作人员的方法有：采用口令、识别码等资格认定或设置终端设备的钥匙等。 35网络安全 351网络安全比

26、单机系统或联机系统更为重要。如果没有必要的安全措施，网络不能正式投入使用。 352重要部门的计算机网络应设立全网管理中心，由专人实施对全网的统一管理、监督与控制，不经网络主管领导同意，任何人不得变更网络拓扑、网络配置及网络参数。 353网络安全可从实际出发，分阶段、分层次逐步完善。应首先考虑采用存贮加密、传输加密、存取控制、数字签名及验证等安全措施。 354以公用数据网作为通信子网的各重要部门的计算机网络，应设置闭合用户组等限制非法外来或外出访问措施，确保网络安全。 四、安全监督 41应急计划与备份 411系统安全人员必须详细列出影响系统正常工作的各种可能出现的紧急情况。如火灾、水灾、意外停电

27、、外部攻击、误操作等。 412必须制定万一发生意外时的应急计划。 413应急计划必须确定所要采取的具体步骤、确定每个步骤的内容。 414与执行应急计划有关人员的姓名、住址、电话号码以及有关职能部门(如消防、公安等有关部门)的联系方法应放在明显、易取的地方或贴在墙上。 415应付紧急情况的具体步骤也应贴在墙上。如：如何使用备份设备、紧急情况下关机步骤等。 416应定期进行应急计划实施演习，保证每个系统值班人员都能正确实施应急计划。 417除了必须备份的基本数据文件。如：操作系统、数据库管理系统、应用程序等以外，各单位必须根据自己的实际情况定出需备份的数据文件。 418必须在机房附近存放一套备份文

28、件的副本，以便紧急情况下能迅速取出。 419重要的实时系统在建立时就应考虑设备备份。如：CPU备份，主机备份，系统备份等。 4191备份系统应安装在主机房有一定距离的备份机房。 4192备份机房应具有与主机房相同的安全标准与措施。 4193备份系统必须定期进行实际运行，以检验备份系统的可靠性。 4110在对数据完整性要求较高的场合，必须采取严格的数据备份措施，以保证在发生意外时数据的可靠恢复。 41101数据库转贮。应根据本单位情况确定转贮周期。 41102日志文件。日志必须双副本，即保存在盘、带上的联机日志与档案日志。 41103对于较长的作业，要考虑在其中间设置检查点、重新启动人口、恢复与

29、备份。 42审计 421在对计算机安全要求较高的场合，必须建立审计制度，配备专职审计人员。 422审计人员应该是精通业务，对计算机系统有较好的掌握又有一定实际工作经验的高级技术人员。 423在系统设计阶段就应有审计人员参加，以评价系统设计是否满足安全要求。 424在系统设计中增加安全控制以后，要重新评价系统，以保证系统功能不退化。 425系统安全控制包括以下几方面： 4251实体控制：防止天灾、人为事故以及电气和机械支持系统的失效。 4252系统控制：涉及系统的逻辑和实体结构以及有关硬、软件的保护措施。 4253管理控制：有关人员、文件资料的处理、存贮等类似事务的安全制度及有关规定。426系统运行状态下的审计应包括： 4261数据输人阶段。由于多数问题是因数据输入时的错误造成的，放这个阶段应作为重点进行调查。 4262数据的处理过程。选择一个处理过程，对其每个环节进行跟踪检查，以便发现非法行为。 4263计算机程序的检查。必须保存所有程序的完整技术说明文件及其拷贝，以便必要时对重要的程序审查程序代码。 4264远程通信环节。由于租用邮电