网络安全防护体系建设规范.docx

1、网络安全防护体系建设规范网络安全防护体系建设规范前 言本标准由河北省质量技术监督局提出。本标准由河北省质量技术监督局归口。本标准由河北省质量技术监督局负责解释。本标准起草单位：河北省质量技术监督局、武汉达梦数据库有限公司。本标准起草人：高方华、李娜、靳淑敏、何张赓网络安全防护体系建设要求1范围本标准规定了河北省质量技术监督局信息化建设网络安全防护体系的建设原则。从物理安全防护、人员防护、管理安全防护、技术防护四个方面提出了具体的要求。对河北省质量技术监督局信息化建设所采用的安全防护设备提出技术要求、配置要求。本标准适用于河北省质量技术监督局信息化建设系统安全保障体系中最基础的安全 设施的建设与

2、配置要求，以保护河北省质量技术监督局信息化建设网络的各种应用系统， 保证整个系统的可用性、完整性、可控性等。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件， 其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根 据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文 件，其最新版本适用于本标准。GB/T 2887-2000 计算机场地通用规范GB/T 5271.8-2000 信息系统 词汇 第 8 部分：安全GB/T 17859-1999 计算机信息系统安全保护等级划分准则GB/T 20281-2006 信

3、息安全技术 防火墙技术要求和测试评价方法3术语和定义下列术语和定义适用于本标准。3.1计算机机房 computer room计算机系统主要设备放置地点。3.2电子计算机场地 electronic computer field安置电子计算机系统的场所，与供电、空调等配套设施以及系统维修和工作人员的工作环境。3.3防火墙 wallfire防火墙是一个或一组实施访问控制策略的系统。它在内部网络、DMZ 与外部网络之间形成了安全防护屏障，保护内部网络和 DMZ 上的资源。3.4内部网络通过防火墙隔离的可信任区域或保护区域，通常是指单位内部的局域网。3.5外部网络通过防火墙隔离的不可信任区域或非保护区域

4、。3.6非军事区通常指一个网络对外提供网络服务的部分，受防火墙保护，通过防火墙与内部网络和外部网络隔离，执行与内部网络不同的安全策略，也有的称为安全服务网络（Secure Service Network）。3.7安全加密设备 secure cryptographic device SCD能提供一系列安全加密服务、具备物理和逻辑保护的硬件设备。3.8完整性 integrity包括数据完整性和系统完整性。数据完整性表征数据所具有的特性，即无论数据形式作何变化，数据的准确性和一致性均保持不变的程度；系统完整性表征系统在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下，系统能履

5、行其操作目的的品质。3.9可用性 availability表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。3.10计算机病毒（简称病毒） computer virus是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据影响计算机使用， 并能自我复制的一组计算机指令或者程序代码。3.11变形病毒 polymorphic virus这种病毒在传染时变换自身的代码, 使得每感染一个病毒宿主, 被感染的病毒宿主上的病毒代码各不相同。3.12误报 false alarm指病毒防治产品将正常系统或文件报为含有病毒, 或将正常操作报为病毒行为。3.13误报率 rate of false

6、alarm指病毒防治产品将正常系统或文件报为含有病毒, 或将正常操作报为病毒行为的比例。4符号和缩略语DNS域名系统Domain Name SystemDMZ非军事区Demilitarized ZoneFTP文件传输协议File Transfer ProtocolIDS入侵检测系统Intrusion Detection SystemIKEInternet密钥交换Internet Key ExchangeIP网间协议Internet ProtocolNAT网络地址转换Network Address TranslationSNAT源网络地址转换Source IP NATDNAT目的网络地址转换De

7、stination IP NATPBR策略路由Policy-based RoutingPOP邮局协议Post Office ProtocolSMTP简单邮件传送协议Simple Mail Transfer ProtocolSSN安全服务网络Secure Service NetworkSTP生成树协议Spanning Tree ProtocolTCP传输控制协议Transport Control ProtocolUDP用户数据报协议User Datagram Protocol5网络安全防护体系概述5.1建设原则网络安全防护系统是河北省质量技术监督局信息化建设系统安全保障体系中最基础的安全设施，主

8、要保护河北省质量技术监督局信息化建设网络的各种应用系统，保证整个系统的可用性、完整性、可控性等。采用的建设原则是服务规范性、结果可控性、系统整体性、最小影响、保密等原则。5.2防护体系建设要求从物理安全防护、技术防护、人员防护、管理防护四个方面构建河北省质量技术监督局信息化建设的综合防护体系，并提出要求。6物理安全防护要求6.1物理环境安全防护6.1.1物理位置的选择要求本项要求包括：a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。6.1.2物理访问控制要求本项要求包括：a）机房出入口应安排专人值守，控制、鉴别

9、和记录进入的人员；b）需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；c）应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；d）重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。6.1.3防盗窃和防破坏本项要求包括：a）应将主要设备放置在机房内；b）应将设备或主要部件进行固定，并设置明显的不易除去的标记；c）应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；d）应对介质分类标识，存储在介质库或档案室中； e） 应利用光、电等技术设置机房防盗报警系统； f） 宜考虑对机房设置监控报警系统。6.1.4防雷击本项要求包括：a）机房建

10、筑应设置避雷装置；b）应设置防雷保安器，防止感应雷；c）机房应设置交流电源地线。6.1.5防火本项要求包括：a）机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；b）机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；c）机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。6.1.6防水和防潮本项要求包括：a）水管安装，不得穿过机房屋顶和活动地板下；b）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；c）应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；d）宜安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。6.1.7防静电本项要求包括：a）主要设备应采用

11、必要的接地防静电措施；b）机房应采用防静电地板。6.1.8温湿度控制机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。6.1.9电力供应要求本项要求包括：a）应在机房供电线路上配置稳压器和过电压防护设备；b）应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求；c）应设置冗余或并行的电力电缆线路为计算机系统供电；d）应建立备用供电系统。6.1.10电磁防护本项要求包括：a）应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；b）电源线和通信线缆应隔离铺设，避免互相干扰；c）应对关键设备和磁介质实施电磁屏蔽。6.2设备安全防护要求6.2.1设备的防盗和

12、防毁a)设备标记要求：计算机系统的设备和部件应有明显的无法除去的标记，以防更换和方便查找赃物；b)计算中心防盗：计算中心应利用光、电、无源红外等技术设置机房报警系统，并有专人值守，防止夜间从门窗进入的盗窃行为；c)机房外部设备防盗：机房外部的设备，应采取加固防护等措施，必要时安排专人看管，以防止盗窃和破坏。6.2.2设备的安全可用a）基本运行支持：信息系统的所有设备应提供基本的运行支持，并有必要的容错和故障恢复能力；b）设备安全可用：支持信息系统运行的所有设备，包括计算机主机、外部设备、网络设备及其它辅助设备等均应安全可用；c）设备不间断运行：应提供可靠的运行支持，并通过容错和故障恢复等措施，

13、支持信息系统实现不间断运行。6.2.3通信线路安全防护本项要求包括：a）确保线路畅通：应采取必要措施，保证通信线路畅通；b）应采取必要措施，及时发现线路截获事件并报警；c）应采取必要措施，防止线路截获事件发生。6.2.4记录介质安全防护本项要求包括：a）公开数据介质保护：存放有用数据的各类记录介质，如纸介质、磁介质、半导体介质和光介质等，应采取一定措施防止被毁和受损；b）内部数据介质保护：存放内部数据的各类记录介质，如纸介质、磁介质、半导体介质和光介质等，应采取一定措施防止被盗、被毁和受损；应该删除和销毁有用的数据，应有一定措施，防止被非法拷贝；c）重要数据介质保护：存放重要数据的各类记录介质

14、，如纸介质、磁介质、半导体介质和光介质等，应采取有效措施，如建立介质库等，防止被盗、被毁和受损；应该删除和销毁的重要数据，要有有效的管理和审批手续，防止被非法拷贝；d）关键数据介质保护：系统中有很高使用价值或很高秘密程度的关键数据，应采 用严格的方法进行保护，防止被盗、被毁和受损；应该删除和销毁的重要数据， 要有严格的管理和审批手续，并采取有效措施，防止被非法拷贝；e）核心数据介质保护：存放核心数据的各类记录介质，如纸介质、磁介质、半导体介质和光介质等，应有最严格的保护措施，防止被盗、被毁和受损。核心数据应长期保存。6.3技术防护基本要求6.3.1结构安全本项要求包括：a）应保证主要网络设备的

15、业务处理能力具备冗余空间，满足业务高峰期需要；b）应保证网络各个部分的带宽满足业务高峰期需要；c）应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；d）应绘制与当前运行情况相符的网络拓扑结构图；e）应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；f）应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；g）应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。6.3.2访问控制本项要求包括：a)应在网络边界部署访问

16、控制设备，启用访问控制功能；b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；c)应对进出网络的信息内容进行过滤， 实现对应用层 HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制；d)应在会话处于非活跃一定时间或会话结束后终止网络连接；e)应限制网络最大流量数及网络连接数；f)重要网段应采取技术手段防止地址欺骗；g)应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；h)应限制具有拨号访问权限的用户数量。6.3.3安全审计本项要求包括：a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行

17、日志记录；b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)应能够根据记录数据进行分析，并生成审计报表；d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。6.3.4 边界完整性检查本项要求包括：a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。6.3.5入侵防范本项要求包括：a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等；b)当检

18、测到攻击行为时，记录攻击源 IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。6.3.6恶意代码防范本项要求包括：a)应在网络边界处对恶意代码进行检测和清除；b)应维护恶意代码库的升级和检测系统的更新。6.3.7网络设备防护本项要求包括：a)应对登录网络设备的用户进行身份鉴别；b)应对网络设备的管理员登录地址进行限制；c)网络设备用户的标识应唯一；d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；e)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；f)应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退

19、出等措施；g)当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；h)应实现设备特权用户的权限分离。6.4人员安全防护要求6.4.1人员录用本项要求包括：a）应指定或授权专门的部门或人员负责人员录用；b）应严格规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核；c）应签署保密协议；d）应从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议。6.4.2人员离岗本项要求包括：a）应严格规范人员离岗过程，及时终止离岗员工的所有访问权限；b）应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；c）应办理严格的调离手续，关键

20、岗位人员离岗须承诺调离后的保密义务后方可离开。6.4.3人员考核本项要求包括：a） 应定期对各个岗位的人员进行安全技能及安全认知的考核； b） 应对关键岗位的人员进行全面、严格的安全审查和技能考核； c） 应对考核结果进行记录并保存。6.4.4安全意识教育和培训本项要求包括：a）应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训；b）应对安全责任和惩戒措施进行书面规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒；c）应对定期安全教育和培训进行书面规定，针对不同岗位制定不同的培训计划， 对信息安全基础知识、岗位操作规程等进行培训；d）应对安全教育和培训的情况和结果进行记录并归

21、档保存。6.4.5外部人员访问管理本项要求包括：a）应确保在外部人员访问受控区域前先提出书面申请，批准后由专人全程陪同或监督，并登记备案；b）对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定，并按照规定执行。6.5管理安全防护要求6.5.1对管理机构和人员进行必要的设置本项目的目标是建立河北省质量技术监督局信息化建设配套的安全管理职能部门， 通过管理机构的岗位设置、人员的分工以及各种资源的配备，为河北省质量技术监督局信息化建设信息系统的安全管理提供组织上的保障。本项目的要求包括：a）建立安全组织识别与河北省质量技术监督局信息化建设信息安全管理有关的组织成员及其角色， 例如：操作

22、人员、文档管理员、系统管理员、安全管理员等，形成安全组织结构表。b）形成角色说明以书面的形式详细描述每个角色与职责，确保有人对所有的风险负责。形成机构、角色与职责说明书。6.5.2加强管理制度的建设和修订本项目的目标是建设或修订与河北省质量技术监督局信息化建设信息系统安全管理相配套的、包括所有信息系统的建设、开发、运维、升级和改造等各个阶段和环节所应当遵循的行为规范和操作规程。本项目的要求包括：a）应用范围管理制度建立首先要明确制度的应用范围，如机房管理、帐户管理、远程访问管理、特殊权限管理、设备管理、变更管理等方面的内容。b）人员职责管理制度的建立要明确相关岗位人员的责任和权利范围，并要征求

23、相关人员的意见， 要保证责任明确。c）行为规范管理制度是通过制度化、规范化的流程和行为，来保证各项管理工作的一致性。d）评估与完善制度在发布、执行过程中，要定期对其进行评估，根据实际环境和情况的变化，对制度进行修改和完善，必要时考虑管理制度的重新制定。6.5.3进行安全实施过程管理本项的目标是在系统定级、规划设计、实施过程中，对工程的质量、进度、文档和变更等方面的工作进行监督控制和科学管理。本项目的要求包括：a）质量管理质量管理首先要控制河北省质量技术监督局信息化建设建设的质量，保证河北省质量技术监督局信息化建设建设始终处于信息安全制度所要求的框架内进行。同时，还要保证用于创建系统的过程的质量

24、，在系统建设的过程中，要建立一个不断测试和改进质量的过程，在整个系统的生命周期中，通过测量、分析和修正活动，保证所完成目标和过程的质量。b）风险管理为了识别、评估和减低风险，以保证系统工程活动和全部技术工作项目都成功实施。在整个系统建设过程中，风险管理要贯穿始终。c）变更管理在系统建设的过程中，由于各种条件的变化，会导致变更的出现，变更发生在工程的范围、进度、质量、费用、人力资源、沟通、合同等多方面。每一次的变更处理，必须遵循同样的程序，即相同的文字报告、相同的管理办法、相同的监控过程。必须确定每一次变更对系统成本、进度、风险和技术要求的影响。一旦批准变更，必须设定一个程序来执行变更。d）进度

25、管理系统建设的实施必须要有一组明确的可交付成果，同时也要求有结束的日期。因此在建设系统的过程中，必须制订项目进度计划，绘制网络图，将系统分解为不同的子任务，并进行时间控制确保项目的如期完成。e）文档管理文档是记录项目整个过程的书面资料，在系统建设的过程中，针对每个环节都有大量的文档输出，文档管理涉及系统建设的各个环节，主要包括：系统定级、规划设计、方案设计等等文档。6.6河北省质量技术监督局信息化建设网络安全防护设备要求6.6.1防火墙系统6.6.1.1技术指标1)包过滤所有等级的包过滤型和复合型防火墙应支持包过滤功能，应用代理型防火墙可支持包过滤功能。具体技术要求如下：a）防火墙的安全策略应

26、使用最小安全原则，即除非明确允许，否则就禁止。b）防火墙的安全策略可包含基于 MAC 地址的访问控制。c）防火墙的安全策略应包含基于源 IP 地址、目的 IP 地址的访问控制。d）防火墙的安全策略应包含基于源端口、目的端口的访问控制。e）防火墙的安全策略应包含基于协议类型的访问控制。f）防火墙的安全策略可包含基于时间的访问控制。g）防火墙应支持用户自定义的安全策略，安全策略可以是 MAC 地址、IP 地址、端口、协议类型和时间的部分或全部组合。2)内容过滤防火墙应支持内容过滤功能。具体技术要求如下：a） 防火墙的安全策略应包含基于 URL 的访问控制。b） 防火墙的安全策略应包含基于文件类型的

27、访问控制。c） 防火墙的安全策略应包含基于用户的访问控制。d） 防火墙的安全策略应包含基于关键字的访问控制，至少对 http 网页内容和和电子邮件中的 Subject、To、From 域等进行检查。3)应用代理所有等级的应用代理型和复合型防火墙应支持应用代理功能，具体技术要求如下：a）防火墙应至少支持以下应用层协议的应用代理：HTTP、FTP、TELNET、POP3 和 SMTP；b）防火墙可支持以下协议的应用代理：DNS。4)NAT所有等级的包过滤型和复合型防火墙应支持 NAT 功能，具体技术要求如下：a）防火墙应支持双向 NAT：SNAT 和 DNAT。b）SNAT 应支持在内部网络用户正

28、常访问外部网络时隐藏内部网络的 IP 地址。c）防火墙应支持实现“多对一”的 SNAT。d）DNAT 应支持将 DMZ 的 IP 地址映射为外部网络合法 IP 地址，外部网络用户通过访问映射地址实现对 DMZ 服务器的访问。e）防火墙应支持“一对多”的 DNAT。5)IP/MAC 地址绑定包过滤型和复合型防火墙应支持 IP/MAC 地址绑定功能，应用代理型防火墙可支持IP/MAC 地址绑定功能。具体技术要求如下：a）防火墙应支持自动或管理员手工绑定 IP/MAC 地址。b）防火墙应能够检测 IP 地址盗用，阻断盗用 IP 地址的主机经过防火墙的各种访问。6)动态开放端口包过滤型和复合型防火墙应

29、支持动态开放端口功能，应用代理型防火墙可支持动态开放端口功能。具体技术要求如下：a） 防火墙应支持主动模式和被动模式的 FTP。b） 防火墙应支持以 H.323 协议建立视频会议。c） 防火墙可支持 SQL*NET 数据库协议。7)策略路由防火墙可支持策略路由功能。具体技术要求如下：a）防火墙应支持两个或两个以上的外部网络接口。b）防火墙应能够根据数据包源地址、目的地址、进入接口等参数来设置路由。c）防火墙应能够设置多个路由表。d）防火墙的每个路由表应能够包含多条路由信息。8)流量统计所有等级的防火墙应支持流量统计功能。具体技术要求如下：a）防火墙应能够通过 IP 地址、网络服务、时间和协议类

30、型等参数或者它们的组合进行流量统计。b）防火墙应能够与管理界面实现挂接，实时或者以统计报表的形式输出结果。9)带宽管理防火墙应支持带宽管理功能，要求如下：a）防火墙应能够根据管理员设定的大小限制某些客户端占用的带宽。b）防火墙应能够根据网络流量动态调整某些客户端占用的带宽。10)双墙热备防火墙应支持双墙热备功能。具体技术要求如下：a）防火墙应支持物理设备状态检测。当主防火墙自身出现断电或其他故障时，备防火墙应及时发现并接管主防火墙进行工作。b）防火墙应支持链路状态检测。当主防火墙直接相连的链路发生故障而无法正常工作时，备防火墙应及时发现并接管主防火墙进行工作。c）在路由模式下，防火墙可支持 VRRP 协议。d）在透明模式下，防火墙可支持 STP 协议。11)负载均衡B 级和 A 级防火墙应支持负载均衡功能。B 级产品的具体技术要求如下： 防火墙应能够将特定协议的负载均衡到多台服务器上。A 级产品在 B 级基础上，还应满足：防火墙可将流经防火墙自身的负载均衡到多台防火墙上。12)病毒/恶意代码防护防火墙应支持病毒/恶意代码防护功能，具体技术要求如下：a）防火墙应能够检测并过滤流经防火墙的当前流行的各种病毒、蠕虫和恶意代码。b）防火墙的病毒、蠕虫和恶意代码特征库应能够至少每周升级、更新一次。13)IDS 联动防火墙应支持与 IDS 的联动。具体技术要求如下：a）防火墙应只接收指定的