第頁信息系統(tǒng)安全等級保護制度研究及試點技術(shù)總結(jié)報告

項目概述信息安全等級保護制度研究與試點—省級電力公司信息系統(tǒng)安全等級保護制度研究與試點項目是XXXX、XXXX共同承擔(dān)的XXXX縱向科學(xué)技術(shù)項目。研究電網(wǎng)企業(yè)信息系統(tǒng)安全等級保護相關(guān)標(biāo)準(zhǔn)、指南體系，并且通過試點工作進行驗證、完善，為在XXXX貫徹、落實國家信息系統(tǒng)安全等級保護制度、開展等級保護工作創(chuàng)造基礎(chǔ)。針對電網(wǎng)企業(yè)信息系統(tǒng)的業(yè)務(wù)、技術(shù)、管理特性，研究業(yè)務(wù)應(yīng)用系統(tǒng)需要實現(xiàn)的安全功能，提出應(yīng)用系統(tǒng)通用安全技術(shù)要求及相應(yīng)的測評方法與手段，完成XXXX總部典型應(yīng)用系統(tǒng)的安全性評測。結(jié)合密碼技術(shù)、集中安全監(jiān)控與管理技術(shù)在公司系統(tǒng)中的推廣應(yīng)用，研究XXXX密碼卡通用技術(shù)要求與檢測標(biāo)準(zhǔn)、信息安全綜合管理與監(jiān)控平臺技術(shù)標(biāo)準(zhǔn)，結(jié)合具體項目，完成密碼卡產(chǎn)品的檢測工作。項目目標(biāo)建立信息系統(tǒng)安全等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，推進信息系統(tǒng)規(guī)范化建設(shè)，合理投入、分級防護，保障信息系統(tǒng)安全，促進電力信息化建設(shè)和發(fā)展指導(dǎo)設(shè)計、開發(fā)安全的應(yīng)用系統(tǒng)，完善應(yīng)用系統(tǒng)建設(shè)標(biāo)準(zhǔn)體系，規(guī)范信息系統(tǒng)的開發(fā)、驗收與測試，從源頭提供業(yè)務(wù)系統(tǒng)的安全防護水平。指導(dǎo)XXXX信息系統(tǒng)開展安全保護措施實施工作。研究內(nèi)容信息系統(tǒng)安全等級保護制度研究與試點以《計算機信息系統(tǒng)安全防護等級劃分準(zhǔn)則GB17859-1999》等相關(guān)國家標(biāo)準(zhǔn)為基準(zhǔn)，遵循行業(yè)、XXXX相關(guān)制度要求，研究電網(wǎng)企業(yè)信息系統(tǒng)安全等級保護相關(guān)標(biāo)準(zhǔn)、指南體系，并且通過試點工作進行驗證、完善，為貫徹、落實國家信息系統(tǒng)安全等級保護制度、開展等級保護工作創(chuàng)造基礎(chǔ)。應(yīng)用系統(tǒng)通用安全要求與評測參考國家、國際信息安全評測標(biāo)準(zhǔn)，針對XXXX信息系統(tǒng)的業(yè)務(wù)、技術(shù)、管理特性，研究公司應(yīng)用系統(tǒng)通用安全技術(shù)要求及相應(yīng)的評測方法與手段，完成公司總部財務(wù)信息系統(tǒng)、電子公文系統(tǒng)和營銷系統(tǒng)的安全及性能測評。安全產(chǎn)品技術(shù)規(guī)范研究制定XXXX信息系統(tǒng)應(yīng)用的密碼卡技術(shù)功能要求，定義統(tǒng)一的應(yīng)用程序接口API，規(guī)范密碼設(shè)備的使用，規(guī)范密碼應(yīng)用軟件的開發(fā)。研究電網(wǎng)信息系統(tǒng)密碼卡的檢測規(guī)范，包括密碼卡檢測基本方法、流程和檢測內(nèi)容。研究公司信息安全綜合管理與監(jiān)控平臺的技術(shù)要求與功能規(guī)范。技術(shù)路線廣泛調(diào)研調(diào)研了電信、金融、政府等重要信息系統(tǒng)的信息安全等級保護的工作思路、應(yīng)用實施現(xiàn)狀。了解了XXXX及各網(wǎng)省公司信息安全體系的建設(shè)現(xiàn)狀、對實施信息安全等級保護制度的需求，調(diào)研了國內(nèi)主流信息安全服務(wù)商在信息安全等級保護制度方面的解決方案、最新產(chǎn)品等情況。深入研究跟蹤、參與國家等級保護相關(guān)標(biāo)準(zhǔn)、指南的研究、討論起草工作。充分領(lǐng)會國家實行等級保護制度的意義和實質(zhì)，結(jié)合電網(wǎng)企業(yè)安全等級保護工作的實際情況，廣泛探討相關(guān)的技術(shù)標(biāo)準(zhǔn)、指南文檔體系。主要包括《XXXX信息系統(tǒng)安全保護等級定級指南》、《XXXX信息系統(tǒng)安全保護等級定級報告》試點檢驗對于XXXX安全等級保護制度相關(guān)的標(biāo)準(zhǔn)、指南等，首先在XXXX總部、福建公司、安徽公司和陜西公司進行試點，及時對試點過程中發(fā)現(xiàn)的問題進行修訂。完善提高根據(jù)試點實施的經(jīng)驗，以及收集、整理的對送審稿的意見，并結(jié)合公安部和其他行業(yè)安全等級保護的最新情況，修改、完善XXXX信息系統(tǒng)等級保護相關(guān)規(guī)范、標(biāo)準(zhǔn)、指南，形成具備作為公司標(biāo)準(zhǔn)條件的報批稿。等級保護制度研究定級指南定級原則XXXX信息系統(tǒng)安全等級保護定級工作依據(jù)是當(dāng)影響程度和信息安全性這兩個基本安全屬性遭到破壞時，對電網(wǎng)公司履行其業(yè)務(wù)職能、機構(gòu)財產(chǎn)、人員造成的影響程度來確定，并同時考慮以下原則：重點保護、兼顧一般的原則；安全保護等級最大化原則；按類歸并、相對獨立的原則。對信息系統(tǒng)進行了分類由于XXXX的信息系統(tǒng)涉及業(yè)務(wù)范圍廣，應(yīng)用面寬，為了體現(xiàn)重要業(yè)務(wù)應(yīng)用重點保護，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級保護工作原則，應(yīng)對信息系統(tǒng)進行合理劃分。從管理、業(yè)務(wù)、物理位置和運行環(huán)境等方面綜合分析，對信息系統(tǒng)進行劃分。從管理機構(gòu)角度劃分。不同管理機構(gòu)（總部、網(wǎng)省、地市公司）管理控制下的信息系統(tǒng)應(yīng)分開作為不同的定級對象。從業(yè)務(wù)類型角度劃分。根據(jù)不同業(yè)務(wù)應(yīng)用的“相對獨立”性，劃分出信息系統(tǒng)的不同部分作為不同的定級對象。信息系統(tǒng)內(nèi)的“相對獨立”部分，通常具有相同的業(yè)務(wù)處理模式、處理類似的業(yè)務(wù)信息等特點，安全需求相近，可以保證遵循相同的安全策略。從相同的物理位置或相似的運行環(huán)境劃分?？筛鶕?jù)信息系統(tǒng)所處的物理位置或所處的運行環(huán)境，劃分出信息系統(tǒng)的不同部分作為不同的定級對象。信息系統(tǒng)內(nèi)具有相同物理位置或相似運行環(huán)境的部分意味著系統(tǒng)所面臨的威脅相似，有利于采取統(tǒng)一的安全保護。根據(jù)上述定級對象基本特征和信息系統(tǒng)劃分方法，結(jié)合XXXX“SG186”工程的定義，將XXXX信息系統(tǒng)劃分為一體化企業(yè)級信息集成平臺和財務(wù)管理、營銷管理、安全生產(chǎn)管理、協(xié)同辦公、人力資源管理、物資管理、項目管理、綜合管理、企業(yè)經(jīng)營管理系統(tǒng)（ERP）等業(yè)務(wù)系統(tǒng)。提出定級要素信息系統(tǒng)的重要性由以下要素決定：信息系統(tǒng)的影響深度，即信息系統(tǒng)遭到破壞后對企業(yè)社會價值的影響程度；信息系統(tǒng)的影響廣度，即信息系統(tǒng)遭到破壞后影響范圍的大?。恍畔⒌陌踩裕C密性、完整性、可用性）。形成賦值標(biāo)準(zhǔn)信息系統(tǒng)的影響深度決定影響深度等級的因素信息系統(tǒng)類型（因素A）因素A賦值造成的外部影響（因素B）因素B賦值系統(tǒng)可容忍的中斷時間（因素C）因素C賦值電網(wǎng)非控制業(yè)務(wù)系統(tǒng)或管理信息系統(tǒng)1無1天級1電網(wǎng)實時控制業(yè)務(wù)系統(tǒng)2企業(yè)聲譽受到影響2小時級2經(jīng)濟建設(shè)、社會穩(wěn)定受到影響3分鐘級3國家安全利益受到影響4秒級4信息系統(tǒng)的影響廣度決定影響廣度等級的因素信息系統(tǒng)服務(wù)范圍（因素A）因素A賦值信息系統(tǒng)服務(wù)對象（因素B）因素B賦值信息系統(tǒng)因無法提供服務(wù)或無法提供有效服務(wù)會對縣級、地市級范圍內(nèi)造成損害，或?qū)Ρ締挝辉斐蓳p害。1信息系統(tǒng)服務(wù)對象涵蓋內(nèi)部單個專業(yè)員工1信息系統(tǒng)因無法提供服務(wù)或無法提供有效服務(wù)會對網(wǎng)?。ㄖ陛犑校┘壏秶鷥?nèi)造成損害。2信息系統(tǒng)服務(wù)對象涵蓋內(nèi)部多專業(yè)員工2信息系統(tǒng)因無法提供服務(wù)或無法提供有效服務(wù)會對XXXX范圍內(nèi)造成損害。3信息系統(tǒng)服務(wù)對象為社會群體3信息的安全性機密性要求賦值機密性定級舉例不屬于國家秘密和商業(yè)秘密信息系統(tǒng)數(shù)據(jù)，其機密性被破壞，對公司自身利益造成一定損害1其它不屬于商業(yè)秘密的信息屬于商業(yè)秘密二級的信息系統(tǒng)數(shù)據(jù)，其機密性被破壞，對公司自身利益造成嚴(yán)重損害2尚未公布的會計決算及財務(wù)預(yù)算信息，尚未公布的電力銷售情況，經(jīng)營活動分析等信息屬于商業(yè)秘密一級或涉及人事、組織、紀(jì)檢等工作的事項的信息系統(tǒng)數(shù)據(jù)，其機密性被破壞，對公司自身利益造成非常嚴(yán)重損害3公司資產(chǎn)重組及資本運作的有關(guān)信息，公司電網(wǎng)技術(shù)改造計劃，人事、組織、紀(jì)檢等工作有關(guān)信息信息系統(tǒng)數(shù)據(jù)，其機密性被破壞，對公司自身利益造成非常嚴(yán)重損害信息系統(tǒng)的數(shù)據(jù)機密性被破壞，對社會公共利益、經(jīng)濟建設(shè)造成損害4完整性要求賦值完整性定級舉例信息系統(tǒng)的數(shù)據(jù)完整性被破壞，對公司自身利益造成一定損害1未經(jīng)授權(quán)的修改或破壞僅對公司某一部門造成一定影響信息系統(tǒng)的數(shù)據(jù)完整性被破壞，對公司自身利益造成嚴(yán)重損害2未經(jīng)授權(quán)的修改或破壞對公司某一部門的關(guān)鍵義務(wù)造成影響，但容易彌補信息系統(tǒng)的數(shù)據(jù)完整性被破壞，對公共利益、經(jīng)濟建設(shè)造成損害3未經(jīng)授權(quán)的修改或破壞對公眾利益造成影響信息系統(tǒng)的數(shù)據(jù)完整性被破壞，對國家安全利益造成損害4未經(jīng)授權(quán)的修改或破壞可能導(dǎo)致嚴(yán)重的業(yè)務(wù)中斷，對國家、社會造成重大的影響可用性要求賦值可用性定級舉例信息系統(tǒng)的數(shù)據(jù)可用性被破壞，對公司自身利益造成一定損害1協(xié)同辦公、人力資源、物資管理、項目管理、綜合管理等信息信息系統(tǒng)的數(shù)據(jù)可用性被破壞，對公司自身利益造成嚴(yán)重損害2營銷管理、財務(wù)資金管理等信息信息系統(tǒng)的數(shù)據(jù)可用性被破壞，對公共利益、經(jīng)濟建設(shè)造成損害3電力生產(chǎn)控制信息信息系統(tǒng)的數(shù)據(jù)可用性被破壞，對國家安全利益造成損害4確定定級方法信息系統(tǒng)安全等級的確定首先要對信息系統(tǒng)的安全保護等級要素進行賦值，然后分別得出系統(tǒng)的影響等級和信息的安全性等級，最后綜合確定出信息系統(tǒng)的安全保護等級。形成安全等級保護指導(dǎo)等級表類別定級對象系統(tǒng)級別總部網(wǎng)省地市電力二次系統(tǒng)能量管理系統(tǒng)（具有SCADA、AGC、AVC等控制功能）443變電站自動化系統(tǒng)(含開關(guān)站、換流站、集控站)220kV及以上變電站為3級，以下為2級；集控站為3級；火電機組控制系統(tǒng)DCS（含輔機控制系統(tǒng)）單機容量300MW以上為3級，以下為2級水電廠監(jiān)控系統(tǒng)總裝機1000MW以上為3級，以下為2級電能量計量系統(tǒng)332廣域相量測量系統(tǒng)（WAMS）33無電網(wǎng)動態(tài)預(yù)警系統(tǒng)33無調(diào)度交易計劃系統(tǒng)33無水調(diào)自動化系統(tǒng)222調(diào)度管理系統(tǒng)（OMS）332雷電監(jiān)測系統(tǒng)222電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)（SGDnet）332通信設(shè)備網(wǎng)管系統(tǒng)332通信資源管理系統(tǒng)332綜合數(shù)據(jù)通信網(wǎng)絡(luò)(SGTnet)222管理信息系統(tǒng)內(nèi)部門戶（網(wǎng)站）系統(tǒng)222對外門戶（網(wǎng)站）系統(tǒng)222財務(wù)（資金）管理系統(tǒng)332營銷管理系統(tǒng)222電力負荷管理系統(tǒng)無33電力市場交易系統(tǒng)33無生產(chǎn)管理信息系統(tǒng)222辦公自動化（OA）系統(tǒng)322人力資源管理系統(tǒng)222物資管理系統(tǒng)222項目管理系統(tǒng)222ERP系統(tǒng)222郵件系統(tǒng)222公司廣域網(wǎng)（SGInet）222技術(shù)要求參考、依據(jù)標(biāo)準(zhǔn)等級保護技術(shù)要求研究中參考、依據(jù)了以下國家標(biāo)準(zhǔn)：GB17859－1999：《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》

GB/T20269-2006信息安全技術(shù)

信息系統(tǒng)安全管理要求GB/T20270-2006信息安全技術(shù)

網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20271-2006信息安全技術(shù)

信息系統(tǒng)通用安全技術(shù)要求GB/T20272-2006信息安全技術(shù)

操作系統(tǒng)安全技術(shù)要求GB/T20273-2006信息安全技術(shù)

數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求GB/T20275-2006信息安全技術(shù)

入侵檢測系統(tǒng)技術(shù)要求和測試評價方法GB/T20278-2006信息安全技術(shù)

網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求GB/T20279-2006信息安全技術(shù)

網(wǎng)絡(luò)和終端設(shè)備隔離部件安全技術(shù)要求GB/T18018-2007信息安全技術(shù)路由器安全技術(shù)要求信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求（報批稿）技術(shù)要求概述不同等級的安全保護能力不同等級的信息系統(tǒng)應(yīng)具備的基本安全保護能力如下：第一級安全保護能力：應(yīng)能夠防護系統(tǒng)免受來自個人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害，在系統(tǒng)遭到損害后，能夠恢復(fù)部分功能。第二級安全保護能力：應(yīng)能夠防護系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時間內(nèi)恢復(fù)部分功能。第三級安全保護能力：應(yīng)能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自外部有組織的團體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大部分功能。第四級安全保護能力：應(yīng)能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能。第五級安全保護能力：（略）。基本技術(shù)要求和基本管理要求信息系統(tǒng)安全等級保護應(yīng)依據(jù)信息系統(tǒng)的安全保護等級情況保證它們具有相應(yīng)等級的基本安全保護能力，不同安全保護等級的信息系統(tǒng)要求具有不同的安全保護能力?；景踩笫轻槍Σ煌踩Ｗo等級信息系統(tǒng)應(yīng)該具有的基本安全保護能力提出的安全要求，根據(jù)實現(xiàn)方式的不同，基本安全要求分為基本技術(shù)要求和基本管理要求兩大類。技術(shù)類安全要求與信息系統(tǒng)提供的技術(shù)安全機制有關(guān)，主要通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實現(xiàn)；管理類安全要求與信息系統(tǒng)中各種角色參與的活動有關(guān)，主要通過控制各種角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)?；炯夹g(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全幾個層面提出；基本管理要求從安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理幾個方面提出，基本技術(shù)要求和基本管理要求是確保信息系統(tǒng)安全不可分割的兩個部分?；景踩髲母鱾€層面或方面提出了系統(tǒng)的每個組件應(yīng)該滿足的安全要求，信息系統(tǒng)具有的整體安全保護能力通過不同組件實現(xiàn)基本安全要求來保證。除了保證系統(tǒng)的每個組件滿足基本安全要求外，還要考慮組件之間的相互關(guān)系，來保證信息系統(tǒng)的整體安全保護能力。關(guān)于信息系統(tǒng)整體安全保護能力的說明見附錄A。對于涉及國家秘密的信息系統(tǒng)，應(yīng)按照國家保密工作部門的相關(guān)規(guī)定和標(biāo)準(zhǔn)進行保護。對于涉及密碼的使用和管理，應(yīng)按照國家密碼管理的相關(guān)規(guī)定和標(biāo)準(zhǔn)實施?；炯夹g(shù)要求的三種類型根據(jù)保護側(cè)重點的不同，技術(shù)類安全要求進一步細分為：保護數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改的信息安全類要求（簡記為S）；保護系統(tǒng)連續(xù)正常的運行，免受對系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的服務(wù)保證類要求（簡記為A）；通用安全保護類要求（簡記為G）。技術(shù)要求統(tǒng)計等級保護技術(shù)要求包括物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)五個方面的評估內(nèi)容。各方面在不同等級中的內(nèi)容和數(shù)量統(tǒng)計如下：物理安全要求項要求點數(shù)量一級二級三級四級物理位置的選擇0122物理訪問控制1244防盜竊和防破壞2566防雷擊1233防火1233防水和防潮2455防靜電0123溫濕度控制1111電力供應(yīng)1244電磁防護0133總計9213334網(wǎng)絡(luò)安全要求項要求點數(shù)量一級二級三級四級網(wǎng)絡(luò)結(jié)構(gòu)安全3477網(wǎng)絡(luò)訪問控制3484網(wǎng)絡(luò)安全審計0246邊界完整性檢查0122網(wǎng)絡(luò)入侵防范0123惡意代碼防范0022網(wǎng)絡(luò)設(shè)備保護3689總計9183333主機安全要求項要求點數(shù)量一級二級三級四級主機系統(tǒng)的身份鑒別291113主機的安全標(biāo)識0001主機系統(tǒng)的訪問控制681412主機系統(tǒng)的可信路徑0002主機系統(tǒng)的安全審計081214主機系統(tǒng)的剩余信息保護0044入侵防范1244惡意代碼防范1233主機系統(tǒng)的資源控制0355總計10325358應(yīng)用安全要求項要求點數(shù)量一級二級三級四級應(yīng)用的身份鑒別2344應(yīng)用的安全標(biāo)記0001應(yīng)用的訪問控制3576應(yīng)用的可信路徑0002應(yīng)用的安全審計0356應(yīng)用的剩余信息保護0022應(yīng)用的通信完整性1111應(yīng)用的通信保密性0223抗抵賴0022軟件容錯1223應(yīng)用的資源控制0377總計7193237評估指南及試點系統(tǒng)評估參考、依據(jù)標(biāo)準(zhǔn)等級保護評估指南研究中參考、依據(jù)了以下國家標(biāo)準(zhǔn)：GB/T20008-2005信息安全技術(shù)操作系統(tǒng)安全評估準(zhǔn)則GB/T20009-2005信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全評估準(zhǔn)則GB/T20010-2005信息安全技術(shù)包過濾防火墻評估準(zhǔn)則GB/T20011-2005信息安全技術(shù)路由器安全評估準(zhǔn)則GB/T20275-2006信息安全技術(shù)

入侵檢測系統(tǒng)技術(shù)要求和測試評價方法GB/T20277-2006信息安全技術(shù)

網(wǎng)絡(luò)和終端設(shè)備隔離部件測試評價方法GB/T20280-2006信息安全技術(shù)

網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評價方法GB/T20281-2006信息安全技術(shù)

防火墻技術(shù)要求和測試評價方法GB/T18018-2007信息安全技術(shù)路由器安全技術(shù)要求信息系統(tǒng)安全等級保護測評準(zhǔn)則（送審稿）信息系統(tǒng)安全等級保護實施指南（送審稿）評估方法安全等級保護評估的目的安全等級保護評估是根據(jù)安全等級保護的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)要求，針對已經(jīng)實施了安全等級保護的信息系統(tǒng)進行的符合性評估活動，以確保信息系統(tǒng)的安全保護措施符合相應(yīng)等級的基本安全要求。評估的手段信息系統(tǒng)安全等級保護評估的手段包括訪談、查看（檢查）、測試。訪談是指評估人員通過與信息系統(tǒng)有關(guān)人員（個人/群體）進行交流、討論等活動，獲取證據(jù)以證明信息系統(tǒng)安全等級保護措施是否有效的一種方法。檢查是指評估人員通過觀察、查看等活動，獲取證據(jù)以證明信息系統(tǒng)安全等級保護措施是否有效的一種方法。檢查的對象主要是被評估信息系統(tǒng)的物理環(huán)境、相關(guān)文檔、代碼等。測試是指評估人員使用預(yù)定的方法或工具，獲取證據(jù)以證明信息系統(tǒng)安全等級保護措施是否有效的一種方法。測試包括，人工審計、人工操作測試、工具測試、滲透測試。評估的深度、廣度評估強度是在評估過程中，實施評估的工作強度，體現(xiàn)為評估工作的實際投入程度，評估強度包括評估的廣度和深度。信息安全等級保護要求不同安全等級的信息系統(tǒng)應(yīng)具有不同的安全保護能力，滿足相應(yīng)安全等級的保護要求。評估不同安全等級的信息系統(tǒng)是否達具有相應(yīng)安全等級的安全保護能力，是否滿足相應(yīng)安全等級的保護要求，需要實施與其安全等級相適應(yīng)的評估內(nèi)容。安全等級高的系統(tǒng)，評估的深度和廣度都會更高。評估的廣度越大，評估實施包含的評估項就越多；評估的深度越深，就越需要在細節(jié)上展開。測評的廣度和深度落實到訪談、檢查和測試等三種基本測評方式上，其含義有所不同，體現(xiàn)出測評實施過程中訪談、檢查和測試的投入程度不同。可以通過測評廣度和深度來描述訪談、檢查和測試三種測評方式的測評強度。訪談的深度體現(xiàn)在訪談過程的嚴(yán)格和詳細程度，可以分為三種：簡要的、充分的、較全面的和全面的。簡要訪談只包含通用和高級的問題；充分訪談包含通用和高級的問題以及一些較為詳細的問題；較全面訪談包含通用和高級的問題以及一些有難度和探索性的問題；全面訪談包含通用和高級的問題以及較多有難度和探索性的問題。訪談的廣度體現(xiàn)在訪談人員的構(gòu)成和數(shù)量上。訪談覆蓋不同類型的人員和同一類人的數(shù)量多少，體現(xiàn)出訪談的廣度不同。檢查的深度體現(xiàn)在檢查過程的嚴(yán)格和詳細程度，可以分為三種：簡要的、充分的和全面的。簡要檢查主要是對功能級上的文檔、機制和活動，使用簡要的評審、觀察或檢查以及檢查列表和其他相似手段的簡短測評；充分檢查有詳細的分析、觀察和研究，除了功能級上的文檔、機制和活動外，還適當(dāng)需要一些總體/概要設(shè)計信息；較全面檢查有詳細、徹底分析、觀察和研究，除了功能級上的文檔、機制和活動外，還需要總體/概要和一些詳細設(shè)計以及實現(xiàn)上的相關(guān)信息；全面檢查有詳細、徹底分析、觀察和研究，除了功能級上的文檔、機制和活動外，還需要總體/概要和詳細設(shè)計以及實現(xiàn)上的相關(guān)信息。檢查的廣度體現(xiàn)在檢查對象的種類（文檔、機制等）和數(shù)量上。檢查覆蓋不同類型的對象和同一類對象的數(shù)量多少，體現(xiàn)出對象的廣度不同。測試的深度體現(xiàn)在執(zhí)行的測試類型上：功能/性能測試和滲透測試。功能/性能測試只涉及機制的功能規(guī)范、高級設(shè)計和操作規(guī)程；滲透測試涉及機制的所有可用文檔，并試圖智取進入信息系統(tǒng)。測試的廣度體現(xiàn)在被測試的機制種類和數(shù)量上。測試覆蓋不同類型的機制以及同一類機制的數(shù)量多少，體現(xiàn)出對象的廣度不同。等級保護評估流程等級保護評估包括：準(zhǔn)備階段、評估實施階段、模擬環(huán)境評估階段（如果需要）和結(jié)果分析階段。下圖為等級保護評估的流程圖：系統(tǒng)系統(tǒng)調(diào)研準(zhǔn)備階段評估實施階段系統(tǒng)定級分析選擇評估項、制定評估方案模擬環(huán)境評估階段（如果需要）模擬環(huán)境下的應(yīng)用系統(tǒng)安全評估結(jié)果分析結(jié)果分析階段物理環(huán)境評估系統(tǒng)邊界安全評估系統(tǒng)通信安全評估內(nèi)部計算環(huán)境評估了解被評估系統(tǒng)的基本情況，收集系統(tǒng)設(shè)計、開發(fā)、建設(shè)、運行等相關(guān)文檔分析被評估系統(tǒng)的定級細節(jié)，了解各項定級要素的具體賦值根據(jù)對系統(tǒng)定級的分析，選擇需要實施的評估項，制定評估實施方案如果需要，搭建模擬的系統(tǒng)環(huán)境，對一些不適合在生產(chǎn)環(huán)境在進行的評估內(nèi)容放在模擬環(huán)境中實施根據(jù)評估結(jié)果分析、判斷被評估系統(tǒng)是否符合相應(yīng)安全等級的技術(shù)安全要求對被評估系統(tǒng)的物理環(huán)境方面的安全保護情況進行評估對被評估系統(tǒng)的邊界上的安全保護情況進行評估對被評估系統(tǒng)的通信方面的安全保護情況進行評估對被評估系統(tǒng)的內(nèi)部計算環(huán)境方面的安全保護情況進行評估評估內(nèi)容等級保護評估在技術(shù)層面包括物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)五個方面的評估內(nèi)容。各方面在不同等級中的評估內(nèi)容和數(shù)量統(tǒng)計如下：物理安全評估項評估點數(shù)量一級二級三級四級物理位置的選擇0122物理訪問控制1244防盜竊和防破壞2566防雷擊1233防火1233防水和防潮2455防靜電0123溫濕度控制1111電力供應(yīng)1244電磁防護0133總計9213334網(wǎng)絡(luò)安全評估項評估點數(shù)量一級二級三級四級網(wǎng)絡(luò)結(jié)構(gòu)安全3477網(wǎng)絡(luò)訪問控制3484網(wǎng)絡(luò)安全審計0246邊界完整性檢查0122網(wǎng)絡(luò)入侵防范0123惡意代碼防范0022網(wǎng)絡(luò)設(shè)備保護3689總計9183333主機安全評估項評估點數(shù)量一級二級三級四級主機系統(tǒng)的身份鑒別291113主機的安全標(biāo)識0001主機系統(tǒng)的訪問控制681412主機系統(tǒng)的可信路徑0002主機系統(tǒng)的安全審計081214主機系統(tǒng)的剩余信息保護0044入侵防范1244惡意代碼防范1233主機系統(tǒng)的資源控制0355總計10325358應(yīng)用安全評估項評估點數(shù)量一級二級三級四級應(yīng)用的身份鑒別2344應(yīng)用的安全標(biāo)記0001應(yīng)用的訪問控制3576應(yīng)用的可信路徑0002應(yīng)用的安全審計0356應(yīng)用的剩余信息保護0022應(yīng)用的通信完整性1111應(yīng)用的通信保密性0223抗抵賴0022軟件容錯1223應(yīng)用的資源控制0377總計7193237數(shù)據(jù)安全及備份恢復(fù)評估項評估點數(shù)量一級二級三級四級數(shù)據(jù)完整性1123數(shù)據(jù)保密性0123備份和恢復(fù)1145總計23811評估結(jié)果總結(jié)依據(jù)對二級系統(tǒng)安全等級保護要求和評估指南，XXXX信息安全實驗室對福建省電力公司數(shù)據(jù)中心在等級保護建設(shè)前后分別進行了等級保護評估。二次評估的結(jié)束結(jié)果總結(jié)如下表：第一次評估結(jié)果類別技術(shù)要求符合性物理安全物理位置的選擇a）機房和辦公場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。符合物理訪問控制a)

機房出入口應(yīng)安排專人值守，控制、鑒別和記錄進入的人員；符合b)

需進入機房的來訪人員應(yīng)經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍。部分符合防盜竊和防破壞a)

應(yīng)將主要設(shè)備放置在機房內(nèi)；符合b)

應(yīng)將設(shè)備或主要部件進行固定，并設(shè)置明顯的不易除去的標(biāo)記；符合c)

應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；符合d)

應(yīng)對介質(zhì)分類標(biāo)識，存儲在介質(zhì)庫或檔案室中；符合e)

主機房應(yīng)安裝必要的防盜報警設(shè)施。符合防雷擊a)

機房建筑應(yīng)設(shè)置避雷裝置；符合b)

機房應(yīng)設(shè)置交流電源地線。符合防火a）機房應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動報警系統(tǒng)。符合防水和防潮a)

水管安裝，不得穿過機房屋頂和活動地板下；不符合b)

應(yīng)采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；符合c)

應(yīng)采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。符合防靜電a）關(guān)鍵設(shè)備應(yīng)采用必要的接地防靜電措施。符合溫濕度控制a）機房應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機房溫、濕度的變化在設(shè)備運行所允許的范圍之內(nèi)。符合電力供應(yīng)a)

應(yīng)在機房供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備；符合b)

應(yīng)提供短期的備用電力供應(yīng)，至少滿足關(guān)鍵設(shè)備在斷電情況下的正常運行要求。符合電磁防護a）電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾。符合網(wǎng)絡(luò)安全結(jié)構(gòu)安全a)

應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；符合b)

應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期需要；符合c)

應(yīng)繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖；符合d)

應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。符合訪問控制a)

應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；符合b)

應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為網(wǎng)段級。符合c)

應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；不符合d)

應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量。不適用安全審計a)

應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；符合b)

審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。符合邊界完整性檢查a）應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查。不符合入侵防范a）應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。符合網(wǎng)絡(luò)設(shè)備防護a)

應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別；符合b)

應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制；部分符合c)

網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；符合d)

身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；符合e)

應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等措施；符合f)

當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。符合主機安全身份鑒別a)

應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標(biāo)識和鑒別；部分符合b)

操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；部分符合c)

應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；部分符合d)

當(dāng)對服務(wù)器進行遠程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；部分符合e)

應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。符合訪問控制a)

應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；符合b)

應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；部分符合c)

應(yīng)限制默認帳戶的訪問權(quán)限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令；部分符合d)

應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在。部分符合安全審計a)

審計范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；部分符合b)

審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；部分符合c)

審計記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等；部分符合d)

應(yīng)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。部分符合入侵防范a）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新。部分符合惡意代碼防范a)

應(yīng)安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；部分符合b)

應(yīng)支持防惡意代碼軟件的統(tǒng)一管理。符合資源控制a)

應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；不符合b)

應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定；不符合c)

應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度。不符合應(yīng)用安全身份鑒別a)

應(yīng)提供專用的登錄控制模塊對登錄用戶進行身份標(biāo)識和鑒別；符合b)

應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識，身份鑒別信息不易被冒用；部分符合c)

應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；不符合d)

應(yīng)啟用身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。部分符合訪問控制a)

應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；部分符合b)

訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作；符合c)

應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認帳戶的訪問權(quán)限；符合d)

應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。符合安全審計a)

應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進行審計；不符合b)

應(yīng)保證無法刪除、修改或覆蓋審計記錄；不符合c)

審計記錄的內(nèi)容至少應(yīng)包括事件日期、時間、發(fā)起者信息、類型、描述和結(jié)果等。不符合通信完整性a）應(yīng)采用校驗碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。不符合通信保密性a)

在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進行會話初始化驗證；部分符合b)

應(yīng)對通信過程中的敏感信息字段進行加密。符合軟件容錯a)

應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；符合b)

在故障發(fā)生時，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧?。符合資源控制a)

當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話；符合b)

應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制；符合c)

應(yīng)能夠?qū)蝹€帳戶的多重并發(fā)會話進行限制；符合數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)完整性a）應(yīng)能夠檢測到鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞。不符合數(shù)據(jù)保密性a）應(yīng)采用加密或其他保護措施實現(xiàn)鑒別信息的存儲保密性。部分符合備份和恢復(fù)a)

應(yīng)能夠?qū)χ匾畔⑦M行備份和恢復(fù)；符合b)

應(yīng)提供數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的可用性。部分符合第二次評估結(jié)果類別技術(shù)要求符合性物理安全物理位置的選擇a）機房和辦公場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。符合物理訪問控制a)

機房出入口應(yīng)安排專人值守，控制、鑒別和記錄進入的人員；符合b)

需進入機房的來訪人員應(yīng)經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍。符合防盜竊和防破壞a)

應(yīng)將主要設(shè)備放置在機房內(nèi)；符合b)

應(yīng)將設(shè)備或主要部件進行固定，并設(shè)置明顯的不易除去的標(biāo)記；符合c)

應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；符合d)

應(yīng)對介質(zhì)分類標(biāo)識，存儲在介質(zhì)庫或檔案室中；符合e)

主機房應(yīng)安裝必要的防盜報警設(shè)施。符合防雷擊a)

機房建筑應(yīng)設(shè)置避雷裝置；符合b)

機房應(yīng)設(shè)置交流電源地線。符合防火a）機房應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動報警系統(tǒng)。符合防水和防潮a)

水管安裝，不得穿過機房屋頂和活動地板下；不符合b)

應(yīng)采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；符合c)

應(yīng)采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。符合防靜電a）關(guān)鍵設(shè)備應(yīng)采用必要的接地防靜電措施。符合溫濕度控制a）機房應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機房溫、濕度的變化在設(shè)備運行所允許的范圍之內(nèi)。符合電力供應(yīng)a)

應(yīng)在機房供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備；符合b)

應(yīng)提供短期的備用電力供應(yīng)，至少滿足關(guān)鍵設(shè)備在斷電情況下的正常運行要求。符合電磁防護a）電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾。符合網(wǎng)絡(luò)安全結(jié)構(gòu)安全a)

應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；符合b)

應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期需要；符合c)

應(yīng)繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖；符合d)

應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。符合訪問控制a)

應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；符合b)

應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為網(wǎng)段級。部分符合c)

應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；部分符合d)

應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量。不適應(yīng)安全審計a)

應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；符合b)

審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。符合邊界完整性檢查a）應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查。不符合入侵防范a）應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。符合網(wǎng)絡(luò)設(shè)備防護a)

應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別；符合b)

應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制；部分符合c)

網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；符合d)

身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；符合e)

應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等措施；部分符合f)

當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。部分符合主機安全身份鑒別a)

應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標(biāo)識和鑒別；符合b)

操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；部分符合c)

應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；部分符合d)

當(dāng)對服務(wù)器進行遠程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；部分符合e)

應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。符合訪問控制a)

應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；部分符合b)

應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；符合c)

應(yīng)限制默認帳戶的訪問權(quán)限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令；符合d)

應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在。符合安全審計a)

審計范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；部分符合b)

審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；部分符合c)

審計記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等；部分符合d)

應(yīng)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。部分符合入侵防范a）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新。部分符合惡意代碼防范a)

應(yīng)安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；符合b)

應(yīng)支持防惡意代碼軟件的統(tǒng)一管理。符合資源控制a)

應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；不符合b)

應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定；不符合c)

應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度。不符合應(yīng)用安全身份鑒別a)

應(yīng)提供專用的登錄控制模塊對登錄用戶進行身份標(biāo)識和鑒別；符合b)

應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識，身份鑒別信息不易被冒用；符合c)

應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；符合d)

應(yīng)啟用身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。部分符合訪問控制a)

應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；不符合b)

訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作；符合c)

應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認帳戶的訪問權(quán)限；符合d)

應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。部分符合安全審計a)

應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進行審計；部分符合b)

應(yīng)保證無法刪除、修改或覆蓋審計記錄；部分符合c)

審計記錄的內(nèi)容至少應(yīng)包括事件日期、時間、發(fā)起者信息、類型、描述和結(jié)果等。符合通信完整性a）應(yīng)采用校驗碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。符合通信保密性a)

在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進行會話初始化驗證；符合b)

應(yīng)對通信過程中的敏感信息字段進行加密。符合軟件容錯a)

應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；符合b)

在故障發(fā)生時，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧?。符合資源控制a)

當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話；符合b)

應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制；符合c)

應(yīng)能夠?qū)蝹€帳戶的多重并發(fā)會話進行限制；不符合數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)完整性a）應(yīng)能夠檢測到鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞。符合數(shù)據(jù)保密性a）應(yīng)采用加密或其他保護措施實現(xiàn)鑒別信息的存儲保密性。符合備份和恢復(fù)a)

應(yīng)能夠?qū)χ匾畔⑦M行備份和恢復(fù)；符合b)

應(yīng)提供數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的可用性。部分符合實施指南參考、依據(jù)文件實施指南研究中參考、引用了以下國家標(biāo)準(zhǔn)、文件和企業(yè)標(biāo)準(zhǔn)：《信息安全等級保護管理辦法》公通字[2007]43號《電力行業(yè)信息安全等級保護實施辦法（征求意見稿）》《電力行業(yè)信息系統(tǒng)安全等級保護定級工作指導(dǎo)意見》《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南（報批稿）》《XXXX信息系統(tǒng)安全保護等級定級指南》《XXXX信息系統(tǒng)安全等級保護技術(shù)要求》《XXXX信息系統(tǒng)安全等級保護管理要求》《XXXX信息系統(tǒng)安全等級保護評估指南》《XXXX信息化“SG186”工程安全防護總體方案》實施指南概述實施的基本原則等級保護的核心是對信息系統(tǒng)分等級、按標(biāo)準(zhǔn)進行建設(shè)、管理。等級保護在實施過程中應(yīng)遵循以下基本原則：1)自主保護原則由各主管部門和運行使用單位按照國家、公司相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全等級，自行組織實施安全保護。2)三同步原則信息系統(tǒng)在新建、改建、擴建時應(yīng)當(dāng)保證安全等級保護同步規(guī)劃、同步建設(shè)、同步投入運行。3)重點保護原則根據(jù)XXXX信息系統(tǒng)的重要程度、業(yè)務(wù)特點，通過劃分不同安全等級的信息系統(tǒng)，實現(xiàn)不同強度的安全保護，集中資源優(yōu)先保護涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。4)適當(dāng)調(diào)整原則要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護措施。因為信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因，安全等級需要變更的，應(yīng)當(dāng)根據(jù)等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全等級，根據(jù)信息系統(tǒng)安全等級的調(diào)整情況，重新實施安全保護。角色和職責(zé)等級保護工作中的主要角色包括信息安全主管部門、信息系統(tǒng)運行使用單位、信息系統(tǒng)開發(fā)建設(shè)單位、信息系統(tǒng)評估/評測單位、技術(shù)支持單位或?qū)＜医M等。等級保護實施過程中各類角色的職責(zé)如下：1)信息化管理部門各單位信息化主管部門應(yīng)當(dāng)依照本辦法及相關(guān)標(biāo)準(zhǔn)規(guī)范，督促、檢查和指導(dǎo)本單位、下屬單位的信息系統(tǒng)運行使用單位的信息安全等級保護工作。對下屬單位確定的信息系統(tǒng)安全等級進行審批。2)信息系統(tǒng)運行使用單位負責(zé)依照信息安全等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，確定其信息系統(tǒng)的安全保護等級，有主管部門的，應(yīng)當(dāng)報其主管部門審核批準(zhǔn)；根據(jù)已經(jīng)確定的安全保護等級，到公安機關(guān)辦理備案手續(xù)；按照國家信息安全等級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，進行信息系統(tǒng)安全保護的規(guī)劃設(shè)計；使用符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品和信息安全產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作；制定、落實各項安全管理制度，定期對信息系統(tǒng)的安全狀況、安全保護制度及措施的落實情況進行自查，選擇符合國家相關(guān)規(guī)定的等級測評機構(gòu)，定期進行等級測評；制定不同等級信息安全事件的響應(yīng)、處置預(yù)案，對信息系統(tǒng)的信息安全事件分等級進行應(yīng)急處置。3）信息系統(tǒng)開發(fā)建設(shè)單位信息系統(tǒng)開發(fā)建設(shè)單位的主要責(zé)任是根據(jù)已經(jīng)確定的安全等級，按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，進行信息系統(tǒng)的規(guī)劃設(shè)計、實施建設(shè)，落實安全技術(shù)措施。4)安全評估/評測單位安全評估/評測單位的主要責(zé)任是根據(jù)信息系統(tǒng)運行使用單位的委托，協(xié)助信息系統(tǒng)運行使用單位，對未實施等級保護建設(shè)的系統(tǒng)進行安全評估，發(fā)現(xiàn)存在的安全威脅、安全弱點。按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對已經(jīng)完成等級保護建設(shè)的信息系統(tǒng)進行等級化評估。5)技術(shù)支持單位和專家技術(shù)支持單位和專家的主要責(zé)任是根據(jù)信息系統(tǒng)運行使用單位的委托，按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，協(xié)助信息系統(tǒng)運行、使用單位完成等級保護的相關(guān)工作，可能包括確定其信息系統(tǒng)的安全等級、進行安全需求分析、進行信息系統(tǒng)的規(guī)劃設(shè)計、實施建設(shè)等。等級保護實施基本流程對信息系統(tǒng)實施等級保護的過程劃分為七個階段，即系統(tǒng)定級階段、安全評估階段、安全設(shè)計階段、安全實施建設(shè)階段、安全等級評估階段、安全運行維護階段、系統(tǒng)終止階段。等級保護實施過程貫穿信息系統(tǒng)的整個生命周期。系統(tǒng)定級系統(tǒng)定級安全設(shè)計安全實施建設(shè)施安全運行維護系統(tǒng)終止安全等級評估施不符合安全評估重大變更局部調(diào)整1)系統(tǒng)定級階段系統(tǒng)定級階段通過對信息系統(tǒng)調(diào)查和分析，進行信息系統(tǒng)劃分，確定包括的相對獨立的信息系統(tǒng)的個數(shù)，選擇合適的信息系統(tǒng)安全等級定級方法，科學(xué)、準(zhǔn)確地確定每個信息系統(tǒng)的安全等級。2）安全評估階段系統(tǒng)評估階段通過使用信息安全風(fēng)險評估的方式對已建信息系統(tǒng)的安全現(xiàn)狀、面臨的威脅、存在的脆弱性、已有的安全保護措施進行全面、科學(xué)的評估。為安全需求分析、安全設(shè)計提供依據(jù)。3)安全設(shè)計階段安全規(guī)劃設(shè)計階段通過安全需求分析判斷信息系統(tǒng)的安全保護現(xiàn)狀與XXXX等級保護基本要求之間的差距，確定安全需求，然后根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)定級情況、信息系統(tǒng)承載業(yè)務(wù)情況和安全需求等，設(shè)計合理的、滿足等級保護要求的總體安全方案，并制定出安全實施規(guī)劃等，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實施。通常情況下，安全設(shè)計階段包括安全需求分析、安全設(shè)計等幾個主要活動。4)安全實施階段安全實施階段通過安全方案詳細設(shè)計、安全產(chǎn)品的采購、安全控制的開發(fā)、安全控制集成，具體落實到信息系統(tǒng)中去，其最終的成果是提交滿足用戶安全需求的信息系統(tǒng)以及配套的安全管理體系。通常情況下，安全實施階段包括安全保護實現(xiàn)方案設(shè)計、安全保護實施建設(shè)方案設(shè)計、安全建設(shè)等幾個主要活動。5)安全等級評估階段安全等級評估階段是在信息系統(tǒng)實施了安全等級保護建設(shè)后，通過評估的方式檢驗信息系統(tǒng)是否達到了相應(yīng)等級所必需的安全防護能力。如果不具備，則需要進一步的整改。6）安全運行維護階段安全運行維護包括安全運行維護機構(gòu)、機制的建立，環(huán)境、資產(chǎn)、設(shè)備、介質(zhì)的管理，網(wǎng)絡(luò)、系統(tǒng)的管理，密碼、密鑰的管理，運行、變更的管理，安全狀態(tài)監(jiān)控和安全事件處置，安全審計和安全檢查等內(nèi)容。在安全運行與維護階段，信息系統(tǒng)因需求變化等原因?qū)е戮植空{(diào)整，而系統(tǒng)的安全保護等級并未改變，應(yīng)從安全運行與維護階段進入安全設(shè)計與實施階段，重新設(shè)計、調(diào)整和實施安全措施，確保滿足等級保護的要求；但信息系統(tǒng)發(fā)生重大變更導(dǎo)致系統(tǒng)安全保護等級變化時，應(yīng)從安全運行與維護階段進入信息系統(tǒng)定級階段，重新開始一輪信息安全等級保護的實施過程。7）系統(tǒng)終止階段信息系統(tǒng)終止階段是等級保護實施過程中的最后環(huán)節(jié)。當(dāng)信息系統(tǒng)被轉(zhuǎn)移、終止或廢棄時，正確處理系統(tǒng)內(nèi)的敏感信息對于確保機構(gòu)信息資產(chǎn)的安全是至關(guān)重要的。在信息系統(tǒng)生命周期中，有些系統(tǒng)并不是真正意義上的廢棄，而是改進技術(shù)或轉(zhuǎn)變業(yè)務(wù)到新的信息系統(tǒng)，對于這些信息系統(tǒng)在終止處理過程中應(yīng)確保信息轉(zhuǎn)移、設(shè)備遷移和介質(zhì)銷毀等方面的安全。本標(biāo)準(zhǔn)在信息系統(tǒng)終止階段關(guān)注信息轉(zhuǎn)移、暫存和清除，設(shè)備遷移或廢棄，存儲介質(zhì)的清除或銷毀等活動。應(yīng)用安全與評測研究部分參考、依據(jù)標(biāo)準(zhǔn)應(yīng)用安全與評測研究中依據(jù)、參考了以下國家標(biāo)準(zhǔn)：GB/T18336-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評估指南GB/T17544-1998信息技術(shù)軟件包質(zhì)量要求和測試評測方法測評流程應(yīng)用軟件安全性測評的完整工作流程分為系統(tǒng)調(diào)研、測試規(guī)劃、測試實施、測評報告、安全整改和驗證測評六個階段。在具體實施過程中，根據(jù)被測系統(tǒng)測評的特定目的或一次測評的結(jié)果，有可能省略其中某個階段。完整的流程圖如下：測評工作啟動階段測評工作啟動階段1．測評調(diào)研階段2．測試規(guī)劃階段3．測試實施階段4．測評報告階段5．安全整改階段6．整改驗證階段成立工作組，形成《工作計劃》形成《調(diào)研報告》形成《測試方案》形成《測試記錄》形成《測評報告》、《整改要求》形成《整改方案》，并進行評審形成《驗證測評報告》圖4-1應(yīng)用軟件安全性測評流程圖準(zhǔn)備和系統(tǒng)調(diào)研此階段的主要工作是前期協(xié)調(diào)和資料收集，包括：明確參與測評各方的工作職責(zé)和關(guān)系，對測評工作目標(biāo)達成共識；通過全面的系統(tǒng)調(diào)研，掌握待測系統(tǒng)在安全性上的相關(guān)需求及實現(xiàn)程度；確定測評的總體工作框架。調(diào)研結(jié)束后，形成工作計劃和調(diào)研報告，指導(dǎo)測試開展。測試規(guī)劃針對前期的調(diào)研結(jié)果，規(guī)劃測試的細節(jié)項目和操作方法，形成指導(dǎo)測試實施的測試大綱和測試方案。測試實施測評方和系統(tǒng)廠商共同搭建、確認測試環(huán)境，實施現(xiàn)場測試工作，收集、記錄、確認測試數(shù)據(jù)，形成記錄文件并簽字。測評報告整理、分析測試數(shù)據(jù)，形成測評報告，經(jīng)過審核、批準(zhǔn)后提出測評委托方，并根據(jù)要求提出適當(dāng)?shù)恼慕ㄗh。安全整改如果有必要，應(yīng)由系統(tǒng)廠商針對系統(tǒng)測評結(jié)論中發(fā)現(xiàn)的安全缺陷，提出相應(yīng)的整改方案。經(jīng)過測評委托方和測評實施方的評審后，實施安全整改。驗證測試或二次測評在系統(tǒng)完成安全整改之后，再次對系統(tǒng)相關(guān)問題的完善情況進行驗證測試。注：如果系統(tǒng)的基礎(chǔ)架構(gòu)需要進行較大改動，或者整改會影響到已經(jīng)通過測試的部分指標(biāo)，可按照完整的測評流程進行二次測評。測評內(nèi)容應(yīng)用軟件安全性測評的內(nèi)容主要是按照國家和XXXX相關(guān)安全標(biāo)準(zhǔn)，并結(jié)合應(yīng)用業(yè)務(wù)的具體安全需求制定的，通常包含以下測試項目：安全審計應(yīng)用系統(tǒng)的安全審計包括識別、記錄、存儲和分析那些與安全相關(guān)活動的信息。檢查審計記錄結(jié)果可用來判斷發(fā)生的安全相關(guān)活動以及對活動負責(zé)的用戶。具體測評項目如下：安全審計自動應(yīng)答安全審計數(shù)據(jù)產(chǎn)生安全審計分析安全審計查閱安全審計事件選擇安全審計事件存儲通信通信安全既要確保發(fā)起者不能否認發(fā)送過信息，又能確保接收者不能否認收到過信息。具體測評項目如下：原發(fā)抗抵賴接收抗抵賴密碼支持應(yīng)用系統(tǒng)可以利用密碼功能來滿足一些高級安全目的，應(yīng)用系統(tǒng)同時需要解決密鑰管理和密鑰使用的問題。具體測評項目如下：密鑰管理密鑰運算用戶數(shù)據(jù)保護應(yīng)用系統(tǒng)需要保護內(nèi)部輸入、輸出和存儲期間的用戶數(shù)據(jù)，以及和用戶直接相關(guān)的安全屬性。具體測評項目如下：訪問控制功能數(shù)據(jù)鑒別應(yīng)用系統(tǒng)內(nèi)部傳送殘余信息保護存儲數(shù)據(jù)的完整性TOE間用戶數(shù)據(jù)傳送的保密性保護TOE間用戶數(shù)據(jù)傳送的完整性保護標(biāo)識和鑒別應(yīng)用系統(tǒng)需要通過標(biāo)識和鑒別確保用戶與正確的安全屬性相關(guān)聯(lián)（如身份、組、角色、安全或完整性等級）。具體測評項目如下：鑒別失敗用戶屬性定義秘密的規(guī)范用戶鑒別用戶標(biāo)識用戶_主體綁定安全管理應(yīng)用系統(tǒng)需要管理安全屬性、安全數(shù)據(jù)和功能、可說明不同的管理角色及其相互作用。具體測評項目如下：TSF功能的管理安全屬性的管理TSF數(shù)據(jù)的管理安全管理角色安全框架保護應(yīng)用系統(tǒng)需要提供安全框架機制的完整性保護和管理，也需要保護安全框架數(shù)據(jù)的完整性。具體測評項目如下：TOE內(nèi)TSF數(shù)據(jù)的傳送重放檢測時間戳應(yīng)用系統(tǒng)訪問應(yīng)用系統(tǒng)需要具有控制建立用戶會話的功能。具體測評項目如下：可選屬性范圍限定多重并發(fā)會話限定會話鎖定TOE會話建立攻擊測試?yán)霉艏夹g(shù)和自動化的測試工具，發(fā)現(xiàn)系統(tǒng)的安全漏洞，并檢驗安全機制的強度。具體測評項目如下：機密信息竊取越權(quán)操作SQL注入權(quán)限繼承混亂檢測溢出測試運行環(huán)境安全評估特定情況下，對應(yīng)用系統(tǒng)的安全測評還應(yīng)包括對其基礎(chǔ)運行環(huán)境狀況的綜合評估。主要包括以下評估內(nèi)容：網(wǎng)絡(luò)結(jié)構(gòu)評估主機安全評估通用應(yīng)用平臺安全評估安全措施評估測試方法應(yīng)用軟件安全性測試過程中，一般單獨使用或組合使用以下方式來執(zhí)行測試用例，獲取測試數(shù)據(jù)：表4.1軟件安全性測試方法序號方法名稱方法描述1操作驗證在系統(tǒng)的界面和工具中，執(zhí)行、驗證和確認系統(tǒng)實現(xiàn)的安全功能。2人工查看人工查看系統(tǒng)中與安全相關(guān)的配置工具和配置信息。3工具查看使用特定的測試工具對后臺數(shù)據(jù)庫、配置文件內(nèi)容、加密數(shù)據(jù)等相關(guān)安全內(nèi)容進行確認或驗證。4代碼檢查人工查看系統(tǒng)源代碼，驗證是否具備相應(yīng)的安全功能和安全機制，以及實現(xiàn)是否完善。5攻擊測試?yán)霉艄ぞ呋蛲ㄟ^人工操作的方式攻擊系統(tǒng)，驗證相關(guān)安全機制是否可靠。安全缺陷分布情況經(jīng)統(tǒng)計，在被測的22個應(yīng)用系統(tǒng)中，共發(fā)現(xiàn)了35個典型的高風(fēng)險安全缺陷和82個典型的中風(fēng)險安全缺陷。詳細情況見下表：序號系統(tǒng)名稱高風(fēng)險缺陷中風(fēng)險缺陷低風(fēng)險缺陷1遠光財務(wù)系統(tǒng)9252電子公文傳輸系統(tǒng)9693供電企業(yè)MIS5964客戶服務(wù)管理信息系統(tǒng)31065電力營銷管理信息系統(tǒng)2576電力客戶服務(wù)系統(tǒng)3477營銷數(shù)據(jù)中心系統(tǒng)3878電力營銷管理系統(tǒng)1599電力營銷管理信息系統(tǒng)18610電力營銷系統(tǒng)36611管理營銷信息系統(tǒng)4661295598客戶服務(wù)系統(tǒng)25613營銷管理信息系統(tǒng)47614營銷技術(shù)支持系統(tǒng)2761595598客戶服務(wù)系統(tǒng)35716電力營銷技術(shù)支持系統(tǒng)17817電力營銷技術(shù)支持系統(tǒng)1251895598客戶服務(wù)系統(tǒng)V3.025519SAPR/3Enterprise02220用電現(xiàn)場服務(wù)管理系統(tǒng)38521PowerStar用電管理主站系統(tǒng)26422湖南電力負荷管理系統(tǒng)196總計55141134財務(wù)系統(tǒng)安全缺陷詳述數(shù)據(jù)安全性通過測試發(fā)現(xiàn)，系統(tǒng)中所有用戶的口令（包括管理員和審批員的口令）在網(wǎng)絡(luò)傳輸過程中都沒有經(jīng)過有效的加密保護。測試證明能夠從網(wǎng)絡(luò)上截取并破解用戶口令。通過測試發(fā)現(xiàn)，系統(tǒng)中所有業(yè)務(wù)數(shù)據(jù)的存儲沒有進行加密保護，也沒有采取完整性檢測。測試證明能夠直接登錄后臺數(shù)據(jù)庫查看、刪除、修改業(yè)務(wù)數(shù)據(jù)。操作安全性通過測試發(fā)現(xiàn)，在用戶執(zhí)行的操作時，服務(wù)器端沒有進行權(quán)限驗證，也沒有驗證用戶執(zhí)行操作時是否在線，甚至也沒有驗證執(zhí)行操作的用戶是否存在。測試證明在不登錄系統(tǒng)的情況下，直接運行執(zhí)行某一操作的腳本，能夠重現(xiàn)用戶的操作。在審計記錄中也不能追蹤到執(zhí)行操作者的真實身份，因為入侵者可以隨意冒充其他用戶，或者使用一個根本不存在的用戶身份。通信安全性通過測試發(fā)現(xiàn)，系統(tǒng)中沒有提供會話管理的工具，系統(tǒng)也沒有實現(xiàn)會話管理的功能，從而造成服務(wù)器端無法有效維護客戶端用戶的狀態(tài)。通過測試發(fā)現(xiàn)，網(wǎng)絡(luò)中傳輸?shù)乃袠I(yè)務(wù)數(shù)據(jù)都沒有經(jīng)過加密，只是采用了通用的流壓縮和編碼技術(shù)，其保護強度不足。系統(tǒng)安全性通過測試發(fā)現(xiàn)，系統(tǒng)中雖然設(shè)有密碼策略的限制機制，但沒有提供給系統(tǒng)管理員對密碼策略的管理手段，只有靠開發(fā)商在實施過程中修改數(shù)據(jù)庫相關(guān)表項，不利于用戶對系統(tǒng)的使用和維護。通過測試發(fā)現(xiàn)，在數(shù)據(jù)庫中的用戶信息表內(nèi)，存在“超級系統(tǒng)管理員”、“超級系統(tǒng)審批員”、“超級系統(tǒng)查詢?nèi)恕?，由于是廠家實施中使用的超級用戶，無法在系統(tǒng)中監(jiān)測到?？紤]到這幾個用戶具有特殊權(quán)限，在開發(fā)商實施完成后必須確實清除掉，否則會給系統(tǒng)留下后門。通過測試發(fā)現(xiàn)，系統(tǒng)中設(shè)有對用戶登錄失敗進行鎖定的管理策略，但是沒有對系統(tǒng)管理員開放，而由開發(fā)商在數(shù)據(jù)庫中指定，用戶難以在系統(tǒng)投用后按情況需求來更改。另外，測試中還發(fā)現(xiàn)，在設(shè)定連續(xù)登錄失敗的時間間隔時存在有問題，初步考慮可能是由客戶端本地緩存文件引起的，最終導(dǎo)致功能實現(xiàn)與策略設(shè)定不符合。審計安全性通過測試發(fā)現(xiàn)，系統(tǒng)沒有提供給系統(tǒng)管理員專門的審計查詢工具、管理工具、分析工具，所有審計線索的記錄都存儲在數(shù)據(jù)庫的表中或服務(wù)器本地文件中，因此對FMIS系統(tǒng)的管理員來說是不可見的，更無法管理。電子公文傳輸系統(tǒng)安全缺陷詳述公文子系統(tǒng)操作權(quán)限驗證不安全：通過測試發(fā)現(xiàn)，普通用戶可以越權(quán)執(zhí)行管理操作，管理員也可以越權(quán)執(zhí)行業(yè)務(wù)操作。（危害性：高）用戶口令的傳輸不安全：公文系統(tǒng)的用戶遠程登錄時，用戶名和口令采用明文傳輸，未做任何保護，測試表明可以截獲該口令。（危害性：高）業(yè)務(wù)數(shù)據(jù)的傳輸不安全：所有業(yè)務(wù)數(shù)據(jù)在傳輸過程中都經(jīng)過了對稱加密，但所有節(jié)點使用的對稱密鑰為同一個。（危害性：高）密鑰管理漏洞：所有節(jié)點加密卡使用的對稱密鑰相同，并且初始化后不能再更換，由于密鑰生存周期長極易泄漏，而且一旦一個節(jié)點密鑰泄漏，將導(dǎo)致整個系統(tǒng)的加密機制失效。（危害性：高）缺少登錄保護措施：通過測試發(fā)現(xiàn)，系統(tǒng)不具備用戶登錄失敗鎖定的機制。（危害性：中）缺少密碼保護措施：通過測試發(fā)現(xiàn)，系統(tǒng)沒有對用戶口令的復(fù)雜度、使用時間、歷史個數(shù)等進行默認限制或提供可管理的工具。（危害性：中）業(yè)務(wù)數(shù)據(jù)的存儲未做保護：所有業(yè)務(wù)數(shù)據(jù)沒有劃分安全保護的類別，全部明文存儲在Domino數(shù)據(jù)庫中。（危害性：中）系統(tǒng)數(shù)據(jù)的保護不足：程序文件、配置文件、可執(zhí)行代碼等都沒有進行完整性保護。（危害性：低）審計機制不完全：通過測試發(fā)現(xiàn)，系統(tǒng)審計功能中只對成功的業(yè)務(wù)操作進行了日志記錄，沒有對系統(tǒng)時間、失敗事件、審計事件進行記錄，也沒有提供審計管理的完整工具，對審計日志信息也沒有提供備份工具、完整性校驗等保護措施。（危害性：低）不能夠自定義安全配置：系統(tǒng)沒有提供給使用者相應(yīng)的配置工具，以至用戶不能改變系統(tǒng)的默認安全狀態(tài)。（危害性：低）加密卡通用性不強：目前公文傳輸系統(tǒng)秘書機上全部使用了30所的加密卡，其余廠家的加密卡是否可用不確定。（危害性：低）公章子系統(tǒng)操作權(quán)限驗證不安全：通過測試發(fā)現(xiàn)，普通用戶可以越權(quán)執(zhí)行管理操作，管理員也可以越權(quán)執(zhí)行業(yè)務(wù)操作。（危害性：高）用戶口令的傳輸不安全：系統(tǒng)用戶在遠程登錄時，用戶名和口令采用明文傳輸，未做任何保護，測試表明可以截獲該口令。（危害性：高）數(shù)據(jù)庫用戶權(quán)限設(shè)置不合理：公章系統(tǒng)登錄數(shù)據(jù)庫使用的兩個用戶，全部設(shè)置為數(shù)據(jù)庫管理員角色，沒有進行嚴(yán)格的權(quán)限設(shè)置，存在很大安全隱患。（危害性：高）非對稱密鑰的產(chǎn)生不安全：服務(wù)端的公章系統(tǒng)和客戶端的閱讀器共同存儲了一對固定不變的公私鑰，用于加密對稱密鑰（此對稱密鑰用于加密驗證公章的數(shù)據(jù)），由于該密鑰是寫死的并且對所有系統(tǒng)都是一樣的，對程序的開發(fā)人員也沒有辦法保密，是破解整個系統(tǒng)安全機制的后門。（危害性：高）上級公章系統(tǒng)向下級發(fā)放公章時，下級系統(tǒng)的驗證不嚴(yán)格，如XXXX級公章系統(tǒng)發(fā)放給華北系統(tǒng)的公章，拿到東北系統(tǒng)中也能夠使用。（危害性：高）缺少登錄保護措施：通過測試發(fā)現(xiàn)，系統(tǒng)不具備用戶登錄失敗鎖定的機制，不能對用戶登錄的客戶端IP地址、登錄時間進行限制和管理。（危害性：中）缺少密碼保護措施：通過測試發(fā)現(xiàn)，系統(tǒng)沒有對用戶口令的復(fù)雜度、使用時間、歷史個數(shù)等進行默認限制或提供可管理的工具。（危害性：中）缺少用戶監(jiān)控機制：通過測試發(fā)現(xiàn)，系統(tǒng)系統(tǒng)管理員不能夠監(jiān)視用戶的在線狀態(tài)，也沒有相應(yīng)的控制工具。（危害性：中）管理員不能更改用戶口令，一旦用戶遺忘口令只能夠刪除后再重新創(chuàng)建。（危害性：低）數(shù)據(jù)庫用戶名和口令不能更改：由于公章系統(tǒng)將訪問數(shù)據(jù)庫的用戶名和口令寫死在程序中，使得實際使用用戶無法更改，不利于對數(shù)據(jù)庫安全的維護。（危害性：低）次要數(shù)據(jù)的存儲未做保護：公章的附帶信息數(shù)據(jù)和用于打印驗證的單位標(biāo)識都明文存儲在數(shù)據(jù)庫。（危害性：低）系統(tǒng)數(shù)據(jù)的保護不足：程序文件、配置文件、可執(zhí)行代碼等都沒有進行完整性保護。（危害性：低）不能夠自定義安全配置：系統(tǒng)沒有提供給使用者相應(yīng)的配置工具，以至用戶不能改變系統(tǒng)的默認安全狀態(tài)。（危害性：低）營銷系統(tǒng)安全缺陷詳述安全缺陷列表經(jīng)統(tǒng)計整合，本次測試發(fā)現(xiàn)的所有高風(fēng)險、中風(fēng)險和低風(fēng)險安全缺陷列表如下：出現(xiàn)頻率高風(fēng)險缺陷列表中風(fēng)險缺陷列表低風(fēng)險缺陷列表高安全審計機制缺失SQL注入漏洞低授權(quán)繞過漏洞未授權(quán)繞過漏洞數(shù)據(jù)庫認證信息傳輸缺陷安全審計機制缺陷系統(tǒng)認證信息傳輸缺陷時間源選擇缺陷外部傳輸數(shù)據(jù)保護缺陷鑒別失敗機制缺失殘余信息保護缺陷口令限制機制缺失安全角色限制機制缺陷重鑒別機制缺失緩沖區(qū)溢出漏洞內(nèi)部傳輸數(shù)據(jù)保護缺陷安全策略撤銷功能缺失會話控制機制缺失抗抵賴機制缺失承擔(dān)角色機制缺失口令限制機制缺陷口令生成機制缺失低數(shù)據(jù)庫認證信息遠程獲取漏洞數(shù)據(jù)庫認證信息使用缺陷前置機認證缺陷SQL語句自動執(zhí)行缺陷密碼機制缺陷數(shù)據(jù)庫認證信息存儲缺陷系統(tǒng)認證信息存儲缺陷授權(quán)混亂漏洞查詢功能越權(quán)漏洞內(nèi)存機密信息泄露漏洞訪問控制機制缺陷用戶口令泄露漏洞安全審計管理缺陷密碼機制缺陷外部傳輸數(shù)據(jù)保護缺陷高風(fēng)險安全缺陷安全審計機制缺失缺陷描述該系統(tǒng)的安全審計機制嚴(yán)重缺失，導(dǎo)致管理員等授權(quán)用戶無法有效的對系統(tǒng)進行安全管理，一旦發(fā)生違規(guī)操作或攻擊事件將難以發(fā)現(xiàn)，也難以追查取證。缺陷產(chǎn)生原因該系統(tǒng)僅在后臺數(shù)據(jù)庫中對部分有限的用戶操作進行了記錄，但沒有提供給授權(quán)用戶任何獨立的審計模塊或工具，以便授權(quán)用戶能夠方便的讀取審計信息和管理審計策略，導(dǎo)致安全審計機制不可用。缺陷利用條件無缺陷利用方式攻擊者可以在系統(tǒng)中執(zhí)行非法操作，而不會被審計記錄。SQL注入漏洞缺陷描述該系統(tǒng)存在SQL注入漏洞，攻擊者可能利用此缺陷任意查詢數(shù)據(jù)庫，獲取客戶機密信息；更可能任意修改數(shù)據(jù)庫信息，達到拒絕服務(wù)或其他非法目的。缺陷產(chǎn)生原因該系統(tǒng)的服務(wù)器端對SQL語句中使用的特殊字符“；”“--”和and、or等未做過濾。缺陷利用條件需要可登錄服務(wù)器的主機網(wǎng)絡(luò)。明確的數(shù)據(jù)庫表結(jié)構(gòu)，可從本地可執(zhí)行文件、dll以及網(wǎng)絡(luò)截獲的數(shù)據(jù)包中獲得。最低需要一個普通操作權(quán)限的用戶帳戶、口令。需要一定的攻擊技術(shù)。缺陷利用方式通過提交的特殊查詢條件，使得原單條SQL操作語句變?yōu)槎鄺lSQL操作，從而非法的執(zhí)行數(shù)據(jù)庫添加、刪除、聯(lián)合查詢等功能，甚至是drop數(shù)據(jù)庫表文件。低授權(quán)繞過漏洞缺陷描述該漏洞導(dǎo)致攻擊者可以通過構(gòu)造數(shù)據(jù)包，繞過權(quán)限控制機制，進行非授權(quán)操作。缺陷產(chǎn)生原因應(yīng)用服務(wù)器端沒有對客戶端的權(quán)限（操作請求）進行合法性驗證。缺陷利用條件需要可登錄服務(wù)器的主機網(wǎng)絡(luò)。至少需要一個普通權(quán)限的帳戶、口令。需要一定的攻擊技術(shù)。缺陷利用方式通過界面爆破工具或構(gòu)造數(shù)據(jù)包的方式，繞過客戶端的控制機制，越權(quán)執(zhí)行非授權(quán)操作。數(shù)據(jù)庫認證信息傳輸缺陷缺陷描述該系統(tǒng)對數(shù)據(jù)庫帳戶、口令等機密信息的傳輸保護不足，導(dǎo)致攻擊者可以從網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)中獲取該類機密信息，并利用它對數(shù)據(jù)庫進行非授權(quán)的操作。缺陷產(chǎn)生原因該系統(tǒng)在網(wǎng)絡(luò)中明文傳輸數(shù)據(jù)庫帳戶、口令信息。缺陷利用條件可截獲傳輸數(shù)據(jù)的網(wǎng)絡(luò)。需要一定的攻擊技術(shù)。缺陷利用方式攻擊者可利用此缺陷竊聽該系統(tǒng)數(shù)據(jù)庫的用戶名、口令信息，從而登錄后臺數(shù)據(jù)庫，執(zhí)行任意非法操作。數(shù)據(jù)庫認證信息遠程獲取漏洞缺陷描述該系統(tǒng)對數(shù)據(jù)庫帳戶、口令的存儲和訪問方式存在漏洞，導(dǎo)致攻擊者可以遠程獲取該類機密信息，并利用它對數(shù)據(jù)庫進行非授權(quán)的操作。缺陷產(chǎn)生原因采用的無任何控制措施的web頁面方式存放數(shù)據(jù)庫帳戶、口令，不需要認證就可下載該web頁面。缺陷利用條件可訪問服務(wù)器的網(wǎng)絡(luò)條件。需要一定的攻擊技術(shù)。缺陷利用方式遠程獲取數(shù)據(jù)庫帳戶、口令，并連接數(shù)據(jù)庫執(zhí)行任意非法操作。未授權(quán)繞過漏洞缺陷描述在客戶端未登錄的情況下，可通過特殊手段進入系統(tǒng)，實施任意操作。缺陷產(chǎn)生原因應(yīng)用服務(wù)器端沒有對客戶端的權(quán)限（操作請求）進行合法性驗證。缺陷利用條件可訪問服務(wù)器的網(wǎng)絡(luò)條件。對業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫結(jié)構(gòu)有一定的了解。缺陷利用方式惡意的攻擊者可能利用此缺陷，自行設(shè)計運作流程，與后臺服務(wù)器聯(lián)系，執(zhí)行任意操作。數(shù)據(jù)庫認證信息使用缺陷缺陷描述該系統(tǒng)對數(shù)據(jù)庫口令等機密信息的使用方式不當(dāng)，導(dǎo)致攻擊者可以獲取該類機密信息，并利用它對數(shù)據(jù)庫進行非授權(quán)的操作。缺陷產(chǎn)生原因該系統(tǒng)屬于C/S二層結(jié)構(gòu)，客戶端程序需要獲取連接數(shù)據(jù)庫的帳號和口令，導(dǎo)致任意客戶端在不經(jīng)認證的情況下都可獲取數(shù)據(jù)庫連接配置信息，并在內(nèi)存中呈現(xiàn)明文的數(shù)據(jù)庫帳號和口令數(shù)據(jù)。缺陷利用條件需要可登錄服務(wù)器的主機網(wǎng)絡(luò)和客戶端程序。需要一定的攻擊技術(shù)。缺陷利用方式攻擊者可利用此缺陷從內(nèi)存中獲取該系統(tǒng)數(shù)據(jù)庫的用戶名、口令信息，從而登錄后臺數(shù)據(jù)庫，執(zhí)行任意非法操作。SQL語句自動執(zhí)行缺陷缺陷描述該系統(tǒng)會自動執(zhí)行客戶端配置文件中的SQL語句，可能被攻擊者利用，執(zhí)行任意非法數(shù)據(jù)庫。缺陷產(chǎn)生原因該系統(tǒng)客戶端CTFiles目錄中存儲了包含明文SQL語句的配置文件，并且會根據(jù)一定規(guī)則自動執(zhí)行該文件中的指令（不進行合法性驗證）。缺陷利用條件需要一定的攻擊技術(shù)。缺陷利用方式攻擊者可以不經(jīng)授權(quán)的更改或替換配置文件中的SQL指令，通過系統(tǒng)自動執(zhí)行非法的數(shù)據(jù)庫操作。安全產(chǎn)品技術(shù)規(guī)范研究部分密碼卡通用技術(shù)規(guī)范依據(jù)、參考標(biāo)準(zhǔn)密碼卡通用技術(shù)規(guī)范的研究參考、依據(jù)了以下國家、國際相關(guān)標(biāo)準(zhǔn)：《PCI密碼卡技術(shù)規(guī)范（試行）》國家密碼管理委員會辦公室2004年6月GB/T15277－1994《信息處理64bit分組密碼算法的工作方式》GB/T9813－2000《微型計算機通用規(guī)范》GB/T6988.1，6988.2，6988.3－1997《電氣技術(shù)用文件的編制》ISO/IEC7816-3－1997《SmartCardStandard:Part3:Electronicsignalsandtransmissionprotocols》標(biāo)準(zhǔn)概述密碼卡的功能要求在本規(guī)范中，密碼卡的功能包括兩類，分別是基本功能和擴展功能：基本功能，包括：a.密碼運算功能；b.三級密鑰結(jié)構(gòu)（保護密鑰、公開密鑰與私有密鑰、對稱密鑰密碼算法的工作密鑰）的支持功能；c.物理隨機數(shù)生成和檢驗功能；d.卡內(nèi)敏感數(shù)據(jù)信息的保護功能；e.密鑰管理功能等。擴展功能，是在基本功能的基礎(chǔ)上，根據(jù)應(yīng)用需要進行合理的擴充和增添的功能，包括a.對密碼卡的訪問控制功能，如必須通過口令驗證才能使用密碼運算功能；b.除了必須配備的對稱和非對稱密碼算法、摘要算法之外的其他密碼運算功能等。1）密碼運算功能密碼卡必須包含對稱密鑰密碼算法、非對稱密鑰密碼算法和數(shù)據(jù)摘要算法，在適當(dāng)?shù)尿?qū)動條件下完成相應(yīng)的密碼運算。根據(jù)實際需要，密碼卡可以配置其他密碼算法。2）密碼卡的密鑰結(jié)構(gòu)密碼卡必須至少支持三級密鑰結(jié)構(gòu)：保護密鑰PK、公開密鑰EK與私有密鑰DK、工作密鑰WK，以支持基于密碼卡的設(shè)備或應(yīng)用系統(tǒng)實現(xiàn)端到端的數(shù)據(jù)保護、一次一密以及相應(yīng)的密鑰管理等。3）物理隨機數(shù)生成和檢驗功能密碼卡內(nèi)部必須配置物理噪聲源芯片，提供隨機數(shù)序列的生成。密碼卡必須對物理噪聲源產(chǎn)生的隨機數(shù)進行統(tǒng)計檢驗，以保證隨機數(shù)的質(zhì)量。隨機數(shù)檢驗的質(zhì)量標(biāo)準(zhǔn)參照國家密碼管理局的有關(guān)規(guī)定。4）密鑰管理功能密碼卡必須具有IC卡接口，IC卡的類型為智能卡。密碼卡與智能IC卡聯(lián)合進行密鑰管理。IC卡可以作為公開密鑰EK、私有密鑰DK、用戶簽名信息、證書信息或其他敏感數(shù)據(jù)信息的載體。密碼卡借助IC卡完成密鑰的導(dǎo)入和導(dǎo)出功能。導(dǎo)入導(dǎo)出密鑰的方案必須經(jīng)過國家密碼管理局的批準(zhǔn)。密碼卡與IC卡聯(lián)合完成身份認證功能。只有經(jīng)過身份認證后，方可使用密碼卡提供的三級密鑰結(jié)構(gòu)。5）工作密鑰存儲功能密碼卡必須根據(jù)系統(tǒng)需要提供一定數(shù)量的工作密鑰存儲區(qū)域，并提供有關(guān)工作密鑰的添加、銷毀和更改等功能。6）設(shè)備標(biāo)志信息存儲功能密碼卡應(yīng)具有唯一的設(shè)備標(biāo)志信息，以區(qū)分不同廠家、不同型號、不同批次生產(chǎn)的密碼卡。密碼卡的硬件要求1）PCI接口要求符合PCI2.0規(guī)范；并隨著規(guī)范的不斷擴展盡量符合以后的擴展規(guī)范?？偩€寬度可采用32/64位數(shù)據(jù)總線；采用存儲器方式或I/O端口方式進行訪問?；趚86及其兼容平臺的密碼卡，總線排序方式采用LittleEndian模式；基于PowerPC及其兼容平臺的密碼卡，總線排序方式采用BigEndian模式。數(shù)據(jù)通信可采用查詢方式或中斷通信方式。采用DMA傳輸方式或其他方式。密碼卡可以工作于單一的“＋5V”電壓、單一“＋3.3V”電壓或兩種混合電壓環(huán)境。在上述任何一種情形下，密碼卡的功耗不得大于25W。2）USB接口要求符合USB2.0規(guī)范;并隨著規(guī)范的不斷擴展盡量符合以后的擴展規(guī)范。符合USB2.0規(guī)范的Hi-Speed要求，為25Mbps~400Mbps，最大480Mbps。采用USB2.0中定義的四種數(shù)據(jù)傳輸方式：控制傳輸、同步傳輸、中斷傳輸、批量傳輸中的任意一種。密碼卡可以采用USB的數(shù)據(jù)線供電，供電電壓為+5V，或者可以采用自供電方式。在采用USB數(shù)據(jù)線供電時功耗不得大于2.5W，對于自供電方式的密碼卡，功耗不得大于25W。3）環(huán)境要求密碼卡的工作環(huán)境必須符合GB/T9813－2000《微型計算機通用規(guī)范》中關(guān)于“氣候環(huán)境適應(yīng)性”二級的規(guī)定要求。4）可靠性要求 密碼卡的可靠性指標(biāo)采用平均無故障工作時間（MTBF）來衡量。密碼卡的平均無故障工作時間由組成密碼卡的各個部件的可靠性決定。密碼卡的軟件要求1）底層軟件底層軟件采用模塊化設(shè)計，以保證不同版本之間模塊的向后兼容性。運用密碼技術(shù)，在底層軟件中對關(guān)鍵代碼、密鑰和關(guān)鍵數(shù)據(jù)進行加密保護的軟件，稱為保護算法軟件。保護算法代碼必須安全存儲。由物理噪聲源產(chǎn)生的隨機序列應(yīng)至少通過幾項基本的隨機性（如0和1的平衡性、連長特性等）檢驗，以確保其等概性和不可預(yù)測性。通過檢驗的隨機序列才可用作隨機密鑰。底層軟件應(yīng)通過技術(shù)措施，防止用戶的非法調(diào)用，防止系統(tǒng)“死機”。為了保證使用同樣密碼算法的不同型號的密碼卡之間的加解密互通，必須定義數(shù)據(jù)的收發(fā)順序。2）驅(qū)動程序驅(qū)動程序應(yīng)透明傳輸應(yīng)用軟件和密碼卡緩存區(qū)之間的數(shù)據(jù)，不得截獲、解析應(yīng)用軟件的數(shù)據(jù)結(jié)構(gòu)。應(yīng)提供安裝/卸載程序