中華人民共和國(guó)國(guó)家環(huán)境保護(hù)標(biāo)準(zhǔn)

HJ729-2014

環(huán)境信息系統(tǒng)安全技術(shù)規(guī)范

Securityspecificationofenvironmentalinformationsystem

（發(fā)布稿）

本電子版為發(fā)布稿。請(qǐng)以中國(guó)環(huán)境科學(xué)出版社出版的正式標(biāo)準(zhǔn)文本為準(zhǔn)。

前言

為貫徹落實(shí)《中華人民共和國(guó)環(huán)境保護(hù)法》，促進(jìn)環(huán)境信息化工作，加強(qiáng)和規(guī)范環(huán)境信

息系統(tǒng)的安全建設(shè)與管理，保障環(huán)境信息系統(tǒng)安全，制定本標(biāo)準(zhǔn)。

本標(biāo)準(zhǔn)規(guī)定了環(huán)境信息系統(tǒng)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全與

備份恢復(fù)、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維、終端與辦公安全方面的安全要求。

本標(biāo)準(zhǔn)附錄A、附錄B為規(guī)范性附錄，附錄C為資料性附錄。

本標(biāo)準(zhǔn)首次發(fā)布。

本標(biāo)準(zhǔn)由環(huán)境保護(hù)部科技標(biāo)準(zhǔn)司組織制訂。

本標(biāo)準(zhǔn)主要起草單位：環(huán)境保護(hù)部信息中心、北京神州綠盟科技有限公司。

本標(biāo)準(zhǔn)環(huán)境保護(hù)部2014年12月25日批準(zhǔn)。

本標(biāo)準(zhǔn)自2015年3月1日起實(shí)施。

本標(biāo)準(zhǔn)由環(huán)境保護(hù)部解釋。

ii

環(huán)境信息系統(tǒng)安全技術(shù)規(guī)范

1適用范圍

本標(biāo)準(zhǔn)規(guī)定了環(huán)境信息系統(tǒng)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全與備份恢復(fù)、

系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維、終端與辦公安全的安全要求。

本標(biāo)準(zhǔn)適用于國(guó)家環(huán)境保護(hù)業(yè)務(wù)專網(wǎng)內(nèi)的環(huán)境信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、開發(fā)、運(yùn)行及維護(hù)等各個(gè)階

段。

2規(guī)范性引用文件

本標(biāo)準(zhǔn)內(nèi)容引用了下列文件或其中的條款。凡是不注明日期的引用文件，其有效版本適用于本標(biāo)準(zhǔn)。

GB/T5271.8-2001信息技術(shù)詞匯

GB/T17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

GB/T20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求

GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求

GB/T20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求

GB/T20988-2007信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范

GB/T21052-2007信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求

GB/T22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求

GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南

GB/T25070-2010信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求

GB/T50052-2009供配電系統(tǒng)設(shè)計(jì)規(guī)范

GB/T50174-2008電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范

HJ511-2009環(huán)境信息化標(biāo)準(zhǔn)指南

3術(shù)語(yǔ)和定義

GB/T5271.8-2001第八部分安全中確立的術(shù)語(yǔ)和定義，以及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。

3.1信息系統(tǒng)informationsystem

用于采集、處理、存儲(chǔ)、傳輸、分發(fā)和部署信息的整個(gè)基礎(chǔ)設(shè)施、組織結(jié)構(gòu)、人員和組件的總和。

3.2信息系統(tǒng)安全informationsystemsecurity

使用合理安全措施保護(hù)信息系統(tǒng)中的信息在存儲(chǔ)、處理或傳輸?shù)冗^(guò)程中不會(huì)被未授權(quán)用戶訪問(wèn)，并

保障授權(quán)用戶能夠正常使用系統(tǒng)。

3.3機(jī)密性confidentiality

數(shù)據(jù)所具有的特性，表示數(shù)據(jù)所達(dá)到的未提供或未泄露給未授權(quán)的個(gè)人、過(guò)程或其它實(shí)體的程度。

3.4完整性integrity

保證信息及信息系統(tǒng)不會(huì)被有意地或無(wú)意地更改或破壞的特性。

3.5可用性availability

保證信息和通信服務(wù)能夠按預(yù)期投入使用的特性。

3.6安全域securitydomain

一個(gè)邏輯范圍或區(qū)域，在同一安全區(qū)域中的各信息單元具有相同或相近的安全等級(jí)或安全防護(hù)需

求，安全服務(wù)的管理員定義和實(shí)施統(tǒng)一的安全策略。它是從安全策略的角度劃分的區(qū)域。

3.7威脅threat

來(lái)自于信息系統(tǒng)外部的，能夠通過(guò)未授權(quán)訪問(wèn)、毀壞、泄露、數(shù)據(jù)修改和/或拒絕服務(wù)對(duì)信息系統(tǒng)

1

造成潛在危害的任何環(huán)境或事件。

3.8風(fēng)險(xiǎn)risk

表現(xiàn)為一種可能性，由威脅發(fā)生的可能性、威脅所能導(dǎo)致的不利影響以及影響的嚴(yán)重程度共同決定。

4保護(hù)對(duì)象

環(huán)境信息系統(tǒng)安全保護(hù)的對(duì)象包括國(guó)家環(huán)境保護(hù)業(yè)務(wù)專網(wǎng)范圍內(nèi)的信息網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、環(huán)境信息

及其物理環(huán)境、支撐性基礎(chǔ)設(shè)施與安全設(shè)備設(shè)施等。

4.1環(huán)境信息網(wǎng)絡(luò)

環(huán)境信息系統(tǒng)安全保護(hù)的網(wǎng)絡(luò)對(duì)象是國(guó)家環(huán)境保護(hù)業(yè)務(wù)專網(wǎng)范圍內(nèi)的各個(gè)信息網(wǎng)絡(luò)，國(guó)家環(huán)境保護(hù)

業(yè)務(wù)專網(wǎng)包括國(guó)家、省、地市、縣四級(jí)，網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1環(huán)境保護(hù)業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)示意圖

4.2環(huán)境信息應(yīng)用系統(tǒng)

環(huán)境信息系統(tǒng)安全保護(hù)的業(yè)務(wù)對(duì)象是環(huán)境信息系統(tǒng)中運(yùn)行的各類環(huán)境業(yè)務(wù)應(yīng)用系統(tǒng)，依據(jù)HJ511-2

009，環(huán)境信息系統(tǒng)按業(yè)務(wù)應(yīng)用類型可以分為環(huán)境保護(hù)核心業(yè)務(wù)應(yīng)用系統(tǒng)和綜合應(yīng)用系統(tǒng)兩大類，其中：

a)環(huán)境保護(hù)核心業(yè)務(wù)應(yīng)用系統(tǒng)包括環(huán)境監(jiān)測(cè)管理、污染監(jiān)控管理、生態(tài)保護(hù)管理、核安全與輻射

管理、環(huán)境應(yīng)急管理信息系統(tǒng)。各系統(tǒng)的作用分別為：

1)環(huán)境監(jiān)測(cè)管理信息系統(tǒng)用于實(shí)現(xiàn)對(duì)全國(guó)環(huán)境質(zhì)量數(shù)據(jù)（包括環(huán)境空氣、地表水、地下水、

聲環(huán)境、近岸海域、酸雨、沙塵暴等數(shù)據(jù)）的管理，并覆蓋生態(tài)監(jiān)測(cè)、污染源監(jiān)測(cè)等業(yè)務(wù)；

2)污染監(jiān)控管理信息系統(tǒng)覆蓋污染控制管理、環(huán)境監(jiān)察管理以及環(huán)境影響評(píng)價(jià)和環(huán)境統(tǒng)計(jì)等

業(yè)務(wù)；

3)生態(tài)保護(hù)管理信息系統(tǒng)覆蓋區(qū)域生態(tài)環(huán)境管理、農(nóng)村環(huán)境保護(hù)管理、生物多樣性保護(hù)等業(yè)

務(wù)；

4)核安全與輻射管理信息系統(tǒng)覆蓋核設(shè)施與材料監(jiān)督管理、放射源監(jiān)督管理、輻射環(huán)境監(jiān)測(cè)

管理；

5)環(huán)境應(yīng)急管理信息系統(tǒng)覆蓋環(huán)境應(yīng)急指揮調(diào)度、環(huán)境應(yīng)急監(jiān)測(cè)管理、環(huán)境應(yīng)急決策支持、

2

環(huán)境應(yīng)急現(xiàn)場(chǎng)處置管理、環(huán)境突發(fā)事件后評(píng)估等業(yè)務(wù)。

b)環(huán)境保護(hù)綜合應(yīng)用系統(tǒng)包括各類行政辦公管理信息系統(tǒng)、環(huán)境保護(hù)政府網(wǎng)站、環(huán)境科技管理信

息系統(tǒng)、環(huán)境政策法規(guī)管理信息系統(tǒng)、環(huán)境財(cái)務(wù)與資產(chǎn)管理信息系統(tǒng)和環(huán)境外事管理信息系統(tǒng)

等綜合性的、為核心業(yè)務(wù)應(yīng)用系統(tǒng)提供支持與服務(wù)的應(yīng)用系統(tǒng)。

4.3環(huán)境信息

環(huán)境信息系統(tǒng)安全保護(hù)的信息對(duì)象是環(huán)境信息系統(tǒng)中的各類業(yè)務(wù)與辦公信息，其中信息類型分為公

開信息和部門信息兩類，根據(jù)不同類別的信息應(yīng)采取不同的保護(hù)措施，其中：

公開信息是在互聯(lián)網(wǎng)上可以向公眾完全開放的環(huán)境信息，對(duì)公開信息的保護(hù)應(yīng)保證信息的完整性和

可用性。

部門信息只限于各級(jí)環(huán)境保護(hù)部門人員訪問(wèn)，主要包括不宜公開的工作信息、政府的商業(yè)秘密、個(gè)

人隱私等。部門信息分為部門公開信息和部門受控信息兩種，部門公開信息允許所有各級(jí)環(huán)境保護(hù)部門

人員訪問(wèn)，部門受控信需要經(jīng)授權(quán)允許的各級(jí)環(huán)境保護(hù)部門人員才能訪問(wèn)。

5安全目標(biāo)

環(huán)境信息系統(tǒng)安全目標(biāo)是保持環(huán)境信息系統(tǒng)的持續(xù)可用和可靠，為國(guó)家環(huán)境保護(hù)工作正常運(yùn)行提供

有力的支撐，保護(hù)環(huán)境保護(hù)信息系統(tǒng)中的信息網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、環(huán)境信息及其物理環(huán)境、支撐性基礎(chǔ)設(shè)

施與安全設(shè)備設(shè)施等，防止來(lái)自內(nèi)、外部的非法攻擊與損壞。

環(huán)境信息系統(tǒng)安全建設(shè)應(yīng)符合國(guó)家的信息安全規(guī)范的相關(guān)要求，遵照國(guó)家等級(jí)保護(hù)的相關(guān)規(guī)定，參

考國(guó)際上的安全標(biāo)準(zhǔn)，并且以風(fēng)險(xiǎn)防范為核心加強(qiáng)環(huán)境信息安全保護(hù)建設(shè)。環(huán)境信息系統(tǒng)中有關(guān)安全保

密問(wèn)題應(yīng)遵守國(guó)家保密相關(guān)規(guī)定。

6安全總體架構(gòu)

環(huán)境信息系統(tǒng)安全保障體系在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，通過(guò)安全管理體系、安全技術(shù)體系的建設(shè)實(shí)現(xiàn)不

同等級(jí)保護(hù)對(duì)象、不同安全域的安全保護(hù)。環(huán)境信息系統(tǒng)安全保障體系見(jiàn)圖2。

圖2環(huán)境信息系統(tǒng)安全保障體系

3

安全管理體系建設(shè)應(yīng)在信息系統(tǒng)建設(shè)和信息系統(tǒng)運(yùn)行維護(hù)階段進(jìn)行，包括安全制度、安全機(jī)構(gòu)、人

員安全的建設(shè)；安全技術(shù)體系應(yīng)包含物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全與備份恢復(fù)，

安全技術(shù)體系建設(shè)應(yīng)重視發(fā)展統(tǒng)一支撐平臺(tái)、各類安全技術(shù)與產(chǎn)品以及集中安全管理平臺(tái)的建設(shè)。

本標(biāo)準(zhǔn)是在國(guó)家等級(jí)保護(hù)基本要求的基礎(chǔ)上提出的環(huán)境信息系統(tǒng)的安全保障性的技術(shù)要求，其中包

括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全與備份與恢復(fù)、信息系統(tǒng)建設(shè)、信息系統(tǒng)運(yùn)維

的安全要求，其中終端與辦公安全按附錄A執(zhí)行。各環(huán)境信息系統(tǒng)在安全建設(shè)過(guò)程中按附錄B中的相

應(yīng)級(jí)別的安全要求實(shí)施安全保護(hù)。

7信息安全保護(hù)方法

7.1環(huán)境信息系統(tǒng)的特點(diǎn)

依據(jù)環(huán)境保護(hù)的工作特點(diǎn)，環(huán)境信息系統(tǒng)具有一些特殊安全要求，在安全建設(shè)過(guò)程中應(yīng)考慮以下方

面的特點(diǎn)：

a）為滿足環(huán)境監(jiān)測(cè)、環(huán)境統(tǒng)計(jì)、生態(tài)監(jiān)測(cè)等業(yè)務(wù)需要，用于環(huán)境監(jiān)測(cè)業(yè)務(wù)的信息網(wǎng)絡(luò)、系統(tǒng)及設(shè)

施應(yīng)考慮移動(dòng)監(jiān)測(cè)、遠(yuǎn)程操作及辦公等方面的安全要求；

b）針對(duì)環(huán)境保護(hù)業(yè)務(wù)中核安全與輻射管理的信息系統(tǒng)，應(yīng)當(dāng)實(shí)施更加嚴(yán)格的安全技術(shù)措施；

c）處理環(huán)境事件的環(huán)境應(yīng)急的應(yīng)急執(zhí)法、應(yīng)急指揮類的信息系統(tǒng)與設(shè)施應(yīng)加強(qiáng)安全保障方面的建

設(shè)，增強(qiáng)業(yè)務(wù)可靠性保護(hù)；

d）國(guó)家環(huán)境保護(hù)業(yè)務(wù)專網(wǎng)依據(jù)業(yè)務(wù)的需要，可能與其它信息系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用之間互聯(lián)互通，應(yīng)

通過(guò)嚴(yán)格的安全技術(shù)與管理措施保證外部接入的信息系統(tǒng)不會(huì)對(duì)國(guó)家環(huán)境保護(hù)業(yè)務(wù)專網(wǎng)造成

不良的影響；

e）包括環(huán)境監(jiān)測(cè)、環(huán)境統(tǒng)計(jì)、環(huán)境評(píng)價(jià)、基礎(chǔ)地理信息等在內(nèi)的環(huán)境業(yè)務(wù)信息是環(huán)境保護(hù)業(yè)務(wù)基

礎(chǔ)，應(yīng)當(dāng)對(duì)相關(guān)的數(shù)據(jù)實(shí)施安全保護(hù)，保證數(shù)據(jù)安全。

對(duì)于環(huán)境保護(hù)業(yè)務(wù)特有的業(yè)務(wù)系統(tǒng)的安全保護(hù)，在實(shí)施國(guó)家等級(jí)保護(hù)的基礎(chǔ)上，應(yīng)通過(guò)信息安全風(fēng)

險(xiǎn)評(píng)估識(shí)別風(fēng)險(xiǎn)因素，采取有針對(duì)性安全保護(hù)措施。

7.2環(huán)境信息系統(tǒng)安全建設(shè)要求

環(huán)境信息系統(tǒng)建設(shè)應(yīng)符合GB/T22240-2008的要求，正確劃分環(huán)境信息系統(tǒng)安全等級(jí)，并按照等級(jí)

保護(hù)的要求開展設(shè)計(jì)、建設(shè)、運(yùn)行和維護(hù)的工作。

環(huán)境信息系統(tǒng)安全建設(shè)應(yīng)遵循GB/T17859-1999、GB/T20271-2006和GB/T22239-2008的相關(guān)規(guī)

定。

應(yīng)根據(jù)環(huán)境信息的重要程度和不同類別，采取不同的保護(hù)措施，實(shí)施分類防護(hù)；根據(jù)信息系統(tǒng)和數(shù)

據(jù)的重要程度，進(jìn)行分域存放，實(shí)施分域保護(hù)和域間安全交換，實(shí)施分域控制。

依據(jù)國(guó)家等級(jí)保護(hù)的相關(guān)要求，環(huán)境信息系統(tǒng)不允許存儲(chǔ)、傳輸、處理國(guó)家秘密信息。

7.3安全建設(shè)實(shí)施方法

依據(jù)等級(jí)保護(hù)的相關(guān)要求，實(shí)施環(huán)境信息系統(tǒng)安全建設(shè)的方法是：

a）依據(jù)信息安全等級(jí)保護(hù)的定級(jí)規(guī)則，確定環(huán)境信息系統(tǒng)的安全等級(jí)；

b）按照信息安全等級(jí)保護(hù)要求，確定與信息系統(tǒng)安全等級(jí)相對(duì)應(yīng)的基本安全要求；

c）依據(jù)信息系統(tǒng)基本安全要求，并綜合環(huán)境信息系統(tǒng)安全技術(shù)要求、信息系統(tǒng)所面臨風(fēng)險(xiǎn)和實(shí)施

安全保護(hù)措施的成本，進(jìn)行安全保護(hù)措施的定制，確定適用于特定環(huán)境信息系統(tǒng)的安全保護(hù)措施，并依

4

照本規(guī)范相關(guān)要求完成規(guī)劃、設(shè)計(jì)、實(shí)施、驗(yàn)收和運(yùn)行工作。

7.4安全建設(shè)實(shí)施過(guò)程

環(huán)境信息系統(tǒng)安全建設(shè)的實(shí)施過(guò)程包括定級(jí)階段；規(guī)劃與設(shè)計(jì)階段；實(shí)施、等級(jí)評(píng)估與改進(jìn)階段。

7.4.1第一階段：定級(jí)

定級(jí)階段主要包括兩個(gè)步驟：

a）信息系統(tǒng)識(shí)別與描述

清晰地了解環(huán)境信息系統(tǒng)，根據(jù)需要可將復(fù)雜的環(huán)境信息系統(tǒng)分解為環(huán)境信息子系統(tǒng)，描述系統(tǒng)和

子系統(tǒng)的組成及邊界。

b）等級(jí)確定

環(huán)境信息系統(tǒng)的信息安全等級(jí)保護(hù)工作實(shí)行行業(yè)指導(dǎo)、屬地管理。環(huán)境保護(hù)部及直屬單位、各省級(jí)

環(huán)境保護(hù)廳（局）按照國(guó)家信息安全等級(jí)保護(hù)制度有關(guān)要求，負(fù)責(zé)本區(qū)域相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)工

作的指導(dǎo)和管理。按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)”的原則確定信息安全責(zé)任。

各個(gè)單位等級(jí)保護(hù)對(duì)象的確定、受侵害的客體和嚴(yán)重程度的判定、最終等級(jí)的認(rèn)定等定級(jí)工作依據(jù)

GB/T22240-2008中要求的過(guò)程的標(biāo)準(zhǔn)執(zhí)行。

環(huán)境信息系統(tǒng)的安全保護(hù)等級(jí)由兩個(gè)定級(jí)要素決定：等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體和對(duì)客

體造成侵害的程度。等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體包括：公民、法人和其他組織的合法權(quán)益；

社會(huì)秩序、公共利益；國(guó)家安全三個(gè)方面。

對(duì)客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對(duì)客體的侵害是通過(guò)對(duì)等級(jí)保護(hù)對(duì)象

的破壞實(shí)現(xiàn)的，因此，對(duì)客體的侵害外在表現(xiàn)為對(duì)等級(jí)保護(hù)對(duì)象的破壞，通過(guò)危害方式、危害后果和危

害程度加以描述。等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度歸結(jié)為：造成一般損害；造成嚴(yán)重?fù)p

害；造成特別嚴(yán)重?fù)p害的三種情況。

定級(jí)要素與環(huán)境信息系統(tǒng)安全保護(hù)等級(jí)的關(guān)系如表1所示。

表1定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系

業(yè)務(wù)信息或系統(tǒng)服務(wù)受到破壞時(shí)對(duì)客體的侵害程度

受侵害的客體一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害

公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)

社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)

國(guó)家安全第三級(jí)第四級(jí)第五級(jí)

作為定級(jí)對(duì)象的環(huán)境信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)的較高者

決定。

7.4.2第二階段：規(guī)劃與設(shè)計(jì)

規(guī)劃與設(shè)計(jì)階段主要包括三個(gè)步驟，分別為：

a）信息系統(tǒng)分域保護(hù)框架建立

通過(guò)對(duì)環(huán)境信息系統(tǒng)進(jìn)行安全域劃分、保護(hù)對(duì)象分類，建立環(huán)境信息系統(tǒng)的分域保護(hù)框架。

b）選擇和調(diào)整安全措施

根據(jù)環(huán)境信息系統(tǒng)和子系統(tǒng)的安全等級(jí)，選擇對(duì)應(yīng)等級(jí)的基本安全要求，并根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，

綜合平衡安全風(fēng)險(xiǎn)和成本，以及各信息系統(tǒng)特定安全要求，選擇和調(diào)整安全措施，確定出環(huán)境信息系統(tǒng)、

子系統(tǒng)和各類保護(hù)對(duì)象的安全措施。

c）安全規(guī)劃和方案設(shè)計(jì)

5

根據(jù)所確定的安全措施，制定安全措施的實(shí)施規(guī)劃，并制定安全技術(shù)解決方案和安全管理解決方案。

7.4.3第三階段：實(shí)施、等級(jí)評(píng)估與改進(jìn)

實(shí)施、等級(jí)評(píng)估與改進(jìn)階段主要包括三個(gè)步驟，分別為：

a）安全措施的實(shí)施

依據(jù)安全解決方案建設(shè)和實(shí)施等級(jí)保護(hù)的安全技術(shù)措施和安全管理措施。

b）評(píng)估與驗(yàn)收

按照等級(jí)保護(hù)的要求，選擇相應(yīng)的方式來(lái)評(píng)估信息系統(tǒng)是否滿足相應(yīng)的等級(jí)保護(hù)要求，并對(duì)等級(jí)保

護(hù)建設(shè)的最終結(jié)果進(jìn)行驗(yàn)收。

c）運(yùn)行監(jiān)控與改進(jìn)

運(yùn)行監(jiān)控是在實(shí)施等級(jí)保護(hù)的各種安全措施之后的運(yùn)行期間，監(jiān)控信息系統(tǒng)的變化和信息系統(tǒng)安全

風(fēng)險(xiǎn)的變化，評(píng)估信息系統(tǒng)的安全狀況。如果經(jīng)評(píng)估發(fā)現(xiàn)信息系統(tǒng)及其風(fēng)險(xiǎn)環(huán)境已發(fā)生重大變化，新的

安全保護(hù)要求與原有的安全等級(jí)已不相適應(yīng)，則應(yīng)進(jìn)行信息系統(tǒng)重新定級(jí)。如果信息系統(tǒng)只發(fā)生部分變

化，例如發(fā)現(xiàn)新的系統(tǒng)漏洞，這些改變不涉及信息系統(tǒng)的信息資產(chǎn)和威脅狀況的根本改變，則只需要調(diào)

整和改進(jìn)相應(yīng)的安全措施。

對(duì)于大型環(huán)境信息系統(tǒng)，等級(jí)保護(hù)過(guò)程可以根據(jù)實(shí)際情況進(jìn)一步加強(qiáng)和細(xì)化，以滿足其復(fù)雜性的要

求。附錄C給出了大型環(huán)境信息系統(tǒng)安全建設(shè)實(shí)施過(guò)程的示例。

7.5安全建設(shè)與信息系統(tǒng)生命周期關(guān)系

新建環(huán)境信息系統(tǒng)與已經(jīng)建成的環(huán)境信息系統(tǒng)在等級(jí)保護(hù)工作的切入點(diǎn)是不相同的，它們各自的切

入點(diǎn)以及與信息系統(tǒng)生命周期的對(duì)應(yīng)關(guān)系如圖3所示。

圖3等級(jí)保護(hù)過(guò)程與新建和已建信息系統(tǒng)生命周期對(duì)應(yīng)關(guān)系

對(duì)于新建的環(huán)境信息系統(tǒng)，等級(jí)保護(hù)工作的切入點(diǎn)應(yīng)是信息系統(tǒng)規(guī)劃階段。

a）信息系統(tǒng)規(guī)劃階段，應(yīng)分析并確定所建環(huán)境信息系統(tǒng)的安全等級(jí)，并在項(xiàng)目建議書中對(duì)環(huán)境信

息系統(tǒng)的安全等級(jí)進(jìn)行論證；

b）信息系統(tǒng)設(shè)計(jì)階段，要根據(jù)所確定的信息系統(tǒng)安全等級(jí)，設(shè)計(jì)信息系統(tǒng)的安全保護(hù)措施，并在

可行性分析中論證安全保護(hù)措施；

c）信息系統(tǒng)實(shí)施階段，要與信息系統(tǒng)建設(shè)同步進(jìn)行信息安全等級(jí)保護(hù)體系的實(shí)施，之后進(jìn)行等級(jí)

評(píng)估和驗(yàn)收；

6

d）信息系統(tǒng)運(yùn)行維護(hù)階段，要按照所建立的等級(jí)保護(hù)體系的要求，進(jìn)行安全維護(hù)與安全管理；

e）信息系統(tǒng)廢棄階段，要按照所建立的等級(jí)保護(hù)體系的要求，對(duì)廢棄過(guò)程進(jìn)行有效的安全管理。

對(duì)于已建的環(huán)境信息系統(tǒng)，等級(jí)保護(hù)工作的切入點(diǎn)應(yīng)是信息系統(tǒng)運(yùn)行維護(hù)階段。

在確定要實(shí)施等級(jí)保護(hù)工作之后，應(yīng)對(duì)環(huán)境信息系統(tǒng)進(jìn)行安全現(xiàn)狀分析，對(duì)每個(gè)信息系統(tǒng)進(jìn)行定級(jí)，

之后進(jìn)行等級(jí)保護(hù)的安全規(guī)劃和方案設(shè)計(jì)，最后進(jìn)行實(shí)施、評(píng)估和驗(yàn)收。

7.6環(huán)境信息系統(tǒng)間互聯(lián)互通

不同安全等級(jí)的環(huán)境信息系統(tǒng)之間可以根據(jù)業(yè)務(wù)需要進(jìn)行互聯(lián)互通。不同安全等級(jí)的環(huán)境信息系統(tǒng)

進(jìn)行互聯(lián)互通時(shí)，要根據(jù)信息系統(tǒng)業(yè)務(wù)要求和安全保護(hù)要求，制定相應(yīng)的互聯(lián)互通安全策略，包括訪問(wèn)

控制策略和數(shù)據(jù)交換策略等。要采取相應(yīng)的邊界保護(hù)、訪問(wèn)控制等安全措施，防止高等級(jí)信息系統(tǒng)的安

全性受到低等級(jí)信息系統(tǒng)的影響。各環(huán)境信息系統(tǒng)間的互聯(lián)互通應(yīng)遵循以下要求：

a）同等級(jí)環(huán)境信息系統(tǒng)之間的互聯(lián)互通

由各信息系統(tǒng)的運(yùn)營(yíng)單位參照該等級(jí)對(duì)訪問(wèn)控制的要求，協(xié)商確定邊界防護(hù)措施和數(shù)據(jù)交換安全措

施，保障環(huán)境信息系統(tǒng)間互聯(lián)互通的安全。

b）不同等級(jí)環(huán)境信息系統(tǒng)間的互聯(lián)互通

各信息系統(tǒng)在按照自身安全等級(jí)進(jìn)行相應(yīng)保護(hù)的基礎(chǔ)上，協(xié)商對(duì)相互連接的保護(hù)。高安全等級(jí)的信

息系統(tǒng)要充分考慮引入低安全等級(jí)信息系統(tǒng)后帶來(lái)的風(fēng)險(xiǎn)，采取有效措施進(jìn)行控制。

c）環(huán)境信息系統(tǒng)互聯(lián)互通中有關(guān)密碼的部分，按照國(guó)家密碼管理部門的要求執(zhí)行。

8物理安全

物理安全是環(huán)境信息系統(tǒng)安全保護(hù)的一個(gè)重要方面，應(yīng)通過(guò)安全防護(hù)措施使得機(jī)房、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、

信息系統(tǒng)等免受非法的物理訪問(wèn)、自然災(zāi)害和環(huán)境危害。

8.1物理安全區(qū)域控制

應(yīng)通過(guò)建立物理安全區(qū)域并實(shí)施相應(yīng)的控制措施，對(duì)機(jī)房、網(wǎng)絡(luò)、信息處理設(shè)施進(jìn)行全面的物理保

護(hù)。應(yīng)根據(jù)不同的安全保護(hù)需求，劃分不同的安全區(qū)域，實(shí)施不同等級(jí)的安全管理。

8.1.1安全區(qū)域邊界

應(yīng)通過(guò)在邊界設(shè)置物理隔離裝置來(lái)實(shí)現(xiàn)安全區(qū)域的物理保護(hù)，裝置的位置和強(qiáng)度應(yīng)適合于安全區(qū)域

的重要程度。

各個(gè)安全區(qū)域的邊界應(yīng)有明確標(biāo)志，如機(jī)房、辦公區(qū)、安全通道等。

只有通過(guò)申請(qǐng)和審批流程獲得授權(quán)的人員才能訪問(wèn)內(nèi)部安全區(qū)域。

安全邊界上所有應(yīng)急通道的出入口平時(shí)都應(yīng)關(guān)閉，并設(shè)置報(bào)警裝置。

8.1.2安全區(qū)域出入控制

進(jìn)入安全區(qū)域的外來(lái)人員應(yīng)通過(guò)檢查并接受監(jiān)督，進(jìn)入和離開安全區(qū)域的時(shí)間應(yīng)有記錄。

機(jī)房等重要安全區(qū)域應(yīng)使用電子門禁系統(tǒng)，所有訪問(wèn)活動(dòng)應(yīng)事先進(jìn)行申請(qǐng)和授權(quán)，并保存審計(jì)記錄。

進(jìn)入重要安全區(qū)域的所有內(nèi)、外部人員都應(yīng)佩戴明顯的、可視的身份識(shí)別證明。

機(jī)房安全區(qū)域的訪問(wèn)權(quán)限應(yīng)定期進(jìn)行審查和更新。

8.1.3安全區(qū)域物理保護(hù)

機(jī)房安全區(qū)域內(nèi)物理保護(hù)措施的選擇和設(shè)計(jì)應(yīng)考慮到應(yīng)對(duì)火災(zāi)、洪水、雷擊、爆炸、騷亂及其它自

7

然或人為災(zāi)害導(dǎo)致的破壞，還應(yīng)遵照相關(guān)的安全標(biāo)準(zhǔn)，如GB/T50174-2008，并防范周邊的安全威脅。

所有重要的環(huán)境信息網(wǎng)絡(luò)與信息處理設(shè)施（例如：通信設(shè)備、主機(jī)與網(wǎng)絡(luò)設(shè)備等）應(yīng)置于公眾無(wú)法

進(jìn)入的場(chǎng)所。

常用的辦公設(shè)備，如復(fù)印機(jī)、傳真機(jī)等，應(yīng)放置在合適的辦公安全區(qū)域內(nèi)，減少無(wú)關(guān)人員接觸，避

免信息的泄露。

對(duì)于無(wú)人值守機(jī)房，所有門窗都應(yīng)關(guān)閉，建筑物底層的窗戶應(yīng)設(shè)置外部防護(hù)。

機(jī)房?jī)?nèi)應(yīng)安裝防盜、防火、監(jiān)視系統(tǒng)等安全設(shè)施，機(jī)房?jī)?nèi)未使用區(qū)域的告警裝置也應(yīng)開啟。

機(jī)房等安全區(qū)域應(yīng)遠(yuǎn)離危險(xiǎn)或易燃物品，安全區(qū)域內(nèi)不應(yīng)存放大量的、短期內(nèi)不使用的材料或物品。

備用設(shè)備和備份介質(zhì)應(yīng)放置在遠(yuǎn)離主安全區(qū)域的備用場(chǎng)所內(nèi)，以防主安全區(qū)域發(fā)生災(zāi)難時(shí)可能造成

的破壞。

8.2物理設(shè)施安全

環(huán)境信息系統(tǒng)中的網(wǎng)絡(luò)、基礎(chǔ)設(shè)施、信息處理設(shè)施應(yīng)妥善放置，加強(qiáng)保護(hù)以降低環(huán)境因素帶來(lái)的風(fēng)

險(xiǎn)，并且防止非法訪問(wèn)。

8.2.1設(shè)備物理保護(hù)

對(duì)設(shè)備的物理保護(hù)應(yīng)采取以下控制措施：

a)應(yīng)對(duì)溫濕度等有可能對(duì)信息處理設(shè)施造成不良影響的環(huán)境條件進(jìn)行監(jiān)控；

b)需要特殊保護(hù)的設(shè)備應(yīng)與其它設(shè)備隔離，以降低整個(gè)區(qū)域內(nèi)所需的安全保護(hù)級(jí)別；

c)處于特殊環(huán)境下的設(shè)備，應(yīng)考慮采用特殊的保護(hù)方法，如在工業(yè)環(huán)境里，應(yīng)采用防爆燈罩、鍵

盤隔膜等。

8.2.2電力保護(hù)

可靠的電力供應(yīng)是保證網(wǎng)絡(luò)與信息處理設(shè)施可用性的必要條件，應(yīng)采取以下措施確保供電安全：

a)電源應(yīng)符合國(guó)家標(biāo)準(zhǔn)GB/T50052-2009的要求；

b)應(yīng)采用多種供電方式如：多路供電、配備UPS、備用發(fā)電機(jī)等方法，避免電源單點(diǎn)故障；

c)定期維護(hù)和檢查供電設(shè)備，UPS應(yīng)有充足容量，發(fā)電機(jī)應(yīng)配備充足的燃料；

d)如進(jìn)行有計(jì)劃的停電，停電計(jì)劃應(yīng)提前通知有關(guān)部門，防止無(wú)準(zhǔn)備的斷電造成不必要的損失。

8.2.3線纜安全

通信電纜和電力電纜被損壞或信息被截獲，會(huì)破壞網(wǎng)絡(luò)與信息資產(chǎn)的機(jī)密性和可用性，應(yīng)采取以下

控制措施對(duì)線纜進(jìn)行保護(hù)：

a)應(yīng)使用電纜管道布放線纜，且避免線纜經(jīng)過(guò)公共區(qū)域；

b)電力電纜應(yīng)與通信電纜分離，避免互相干擾；

c)應(yīng)定期對(duì)電纜線路進(jìn)行維護(hù)、檢查和測(cè)試，及時(shí)發(fā)現(xiàn)故障隱患。

8.2.4工作區(qū)外設(shè)備的安全

環(huán)境信息系統(tǒng)中工作區(qū)外的設(shè)備包括帶離工作區(qū)的信息處理設(shè)備和固定在公共場(chǎng)所的設(shè)備，應(yīng)根據(jù)

工作區(qū)域外設(shè)備面臨的安全風(fēng)險(xiǎn)，制定相應(yīng)的保護(hù)措施，安全要求如下：

a)應(yīng)至少達(dá)到工作區(qū)內(nèi)相同用途設(shè)備的安全保護(hù)級(jí)別；

b)各類在線監(jiān)測(cè)設(shè)備應(yīng)確保24小時(shí)不間斷的安全監(jiān)控。

8

9網(wǎng)絡(luò)安全

9.1網(wǎng)絡(luò)訪問(wèn)控制

應(yīng)對(duì)訪問(wèn)網(wǎng)絡(luò)的行為進(jìn)行控制，應(yīng)確保接入網(wǎng)絡(luò)的用戶不會(huì)破壞網(wǎng)絡(luò)的安全性，其基本要求如下：

a)在環(huán)境保護(hù)業(yè)務(wù)專網(wǎng)與相關(guān)企事業(yè)單位的網(wǎng)絡(luò)之間、環(huán)境保護(hù)業(yè)務(wù)專網(wǎng)與公共網(wǎng)絡(luò)之間應(yīng)設(shè)置

安全的訪問(wèn)控制設(shè)備；

b)安全訪問(wèn)控制設(shè)備應(yīng)采取有效的用戶和設(shè)備驗(yàn)證機(jī)制。

9.1.1網(wǎng)絡(luò)服務(wù)安全策略

應(yīng)防止不安全的網(wǎng)絡(luò)連接影響環(huán)境保護(hù)部門網(wǎng)絡(luò)的安全，因此環(huán)境保護(hù)業(yè)務(wù)專網(wǎng)內(nèi)的內(nèi)網(wǎng)用戶和公

網(wǎng)用戶都只能使用經(jīng)過(guò)授權(quán)的網(wǎng)絡(luò)服務(wù)。應(yīng)制定有關(guān)網(wǎng)絡(luò)及網(wǎng)絡(luò)服務(wù)的使用策略，并與訪問(wèn)控制策略保

持一致。具體策略應(yīng)規(guī)定以下內(nèi)容：

a)應(yīng)明確用戶允許訪問(wèn)的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)；

b)應(yīng)規(guī)定對(duì)用戶訪問(wèn)網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)進(jìn)行授權(quán)的程序；

c)應(yīng)具有對(duì)網(wǎng)絡(luò)連接和網(wǎng)絡(luò)服務(wù)的訪問(wèn)進(jìn)行保護(hù)的管理控制措施和程序；

d)應(yīng)保留對(duì)網(wǎng)絡(luò)服務(wù)的訪問(wèn)日志，并根據(jù)信息的敏感程度確定日志的具體內(nèi)容。

9.1.2邏輯安全區(qū)域的劃分與隔離

應(yīng)基于訪問(wèn)控制策略和訪問(wèn)需求，根據(jù)不同的業(yè)務(wù)、應(yīng)用及其所處理信息的敏感性和重要性，并按

國(guó)家信息安全等級(jí)保護(hù)要求，將網(wǎng)絡(luò)與信息系統(tǒng)劃分成不同的邏輯安全區(qū)域。

應(yīng)根據(jù)保護(hù)等級(jí)的要求，采取重點(diǎn)防護(hù)、邊界隔離的辦法，重點(diǎn)加強(qiáng)安全域關(guān)鍵邊界的安全保護(hù)和

監(jiān)控。同時(shí)通過(guò)隔離措施，過(guò)濾域間業(yè)務(wù)，控制域間通信。

應(yīng)根據(jù)各安全區(qū)域的安全風(fēng)險(xiǎn)、防護(hù)等級(jí)確定不同網(wǎng)絡(luò)訪問(wèn)控制的安全技術(shù)要求和安全管理要求。

9.1.3外部連接用戶的驗(yàn)證

用戶通過(guò)外部網(wǎng)絡(luò)訪問(wèn)環(huán)境保護(hù)業(yè)務(wù)專網(wǎng)的網(wǎng)絡(luò)時(shí)必須接受驗(yàn)證。各類外部網(wǎng)絡(luò)連接所需的保護(hù)級(jí)

別應(yīng)通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)確定，且不同的環(huán)境要求采用不同的驗(yàn)證方式。

無(wú)線網(wǎng)絡(luò)應(yīng)視作外部網(wǎng)絡(luò)，用戶通過(guò)無(wú)線網(wǎng)絡(luò)訪問(wèn)環(huán)境保護(hù)業(yè)務(wù)專網(wǎng)時(shí)應(yīng)符合以下標(biāo)準(zhǔn)：

a)必須采用經(jīng)過(guò)批準(zhǔn)的無(wú)線接入方式；

b)必須接受身份驗(yàn)證；

c)必須使用符合安全標(biāo)準(zhǔn)的通信終端；

d)傳送敏感信息時(shí)必須進(jìn)行加密。

9.1.4端口保護(hù)

應(yīng)制定并實(shí)施有效的安全控制措施，保護(hù)網(wǎng)絡(luò)與信息系統(tǒng)的遠(yuǎn)程診斷、操作、維護(hù)、管理等功能所

使用的端口，防止端口被未經(jīng)授權(quán)或非法的訪問(wèn)，并記錄各端口的訪問(wèn)日志。

9.1.5網(wǎng)絡(luò)接入控制

應(yīng)基于業(yè)務(wù)應(yīng)用的訪問(wèn)策略和要求，采取措施控制網(wǎng)絡(luò)接入，由于環(huán)境數(shù)據(jù)采集等業(yè)務(wù)要求的外部

網(wǎng)絡(luò)接入的基本控制要求如下：

a)網(wǎng)絡(luò)互聯(lián)應(yīng)基于業(yè)務(wù)需求；

b)應(yīng)明確定義允許和禁止接入專網(wǎng)的網(wǎng)絡(luò)；

c)應(yīng)在邊界處通過(guò)安全網(wǎng)關(guān)按照預(yù)設(shè)的規(guī)則過(guò)濾網(wǎng)間通信；

d)在網(wǎng)絡(luò)邊界處應(yīng)采取限制措施限制電子郵件、文件傳輸、交互式訪問(wèn)等具體應(yīng)用；

9

e)外部設(shè)備接入專網(wǎng)時(shí)應(yīng)部署相應(yīng)的網(wǎng)絡(luò)接入控制策略。通過(guò)認(rèn)證的設(shè)備可以接入內(nèi)絡(luò)，沒(méi)有通

過(guò)認(rèn)證的拒絕接入專網(wǎng)；

f)通過(guò)認(rèn)證的外部設(shè)備在接入專網(wǎng)前必須安裝防病毒軟件，并定期進(jìn)行補(bǔ)丁更新。對(duì)移動(dòng)存儲(chǔ)設(shè)

備接入時(shí)應(yīng)開啟對(duì)病毒、木馬的自動(dòng)查殺的功能；

g)對(duì)需要接入專網(wǎng)的外部設(shè)備應(yīng)進(jìn)行安全漏洞及風(fēng)險(xiǎn)掃描，并對(duì)所出現(xiàn)的問(wèn)題進(jìn)行安全加固。

9.1.6網(wǎng)絡(luò)路由控制

應(yīng)實(shí)施路由控制，確保網(wǎng)絡(luò)連接和信息流符合訪問(wèn)控制策略。路由控制應(yīng)基于源地址和目標(biāo)地址檢

查機(jī)制，可使用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）來(lái)隔離內(nèi)部與外部網(wǎng)絡(luò)，應(yīng)阻止網(wǎng)間傳播不必要的路由信息。

9.2網(wǎng)絡(luò)操作流程與職責(zé)

為確保網(wǎng)絡(luò)與信息處理設(shè)施的正確和安全使用，應(yīng)建立所有網(wǎng)絡(luò)與信息處理設(shè)施管理與操作的流程

和職責(zé)，包括制定操作細(xì)則和事件處理流程。應(yīng)落實(shí)責(zé)任與分工，減少疏忽和蓄意的系統(tǒng)濫用風(fēng)險(xiǎn)。

9.2.1技術(shù)操作要求

應(yīng)制定網(wǎng)絡(luò)與信息處理設(shè)施的技術(shù)操作規(guī)范，技術(shù)操作規(guī)范涵蓋以下內(nèi)容：

a)應(yīng)規(guī)定對(duì)信息的處理和信息載體的處置操作規(guī)范；

b)應(yīng)規(guī)定進(jìn)行操作的時(shí)間和進(jìn)度的要求，考慮同其它系統(tǒng)的相關(guān)性；

c)應(yīng)規(guī)定操作過(guò)程中發(fā)生非預(yù)期的錯(cuò)誤或出現(xiàn)其它異常情況時(shí)的指導(dǎo)說(shuō)明；

d)應(yīng)規(guī)定意外的操作困難或技術(shù)難題出現(xiàn)時(shí)的支持人員；

e)應(yīng)規(guī)定故障情況下系統(tǒng)的重啟和恢復(fù)程序；

f)應(yīng)規(guī)定系統(tǒng)維護(hù)的相應(yīng)程序，按操作規(guī)范實(shí)現(xiàn)主要設(shè)備的啟動(dòng)/停止、加電/斷電、備份/恢復(fù)

等操作。

9.2.2設(shè)備維護(hù)要求

正確規(guī)范地維護(hù)網(wǎng)絡(luò)設(shè)備，可以保護(hù)設(shè)備的可用性和完整性，網(wǎng)絡(luò)設(shè)備維護(hù)的安全要求如下：

a)應(yīng)根據(jù)網(wǎng)絡(luò)設(shè)備原廠商建議的維護(hù)周期和規(guī)范進(jìn)行維護(hù)；

b)設(shè)備維護(hù)人員應(yīng)具備相應(yīng)的技術(shù)技能；

c)應(yīng)儲(chǔ)備一定數(shù)量的備品備件；

d)所有日常維護(hù)和故障處理工作都應(yīng)記錄在案；

e)當(dāng)網(wǎng)絡(luò)設(shè)備送到外部場(chǎng)所進(jìn)行維護(hù)時(shí)，應(yīng)采取控制措施防止信息泄露；

f)系統(tǒng)關(guān)鍵設(shè)備應(yīng)冗余配置；

g)關(guān)鍵部件在達(dá)到標(biāo)稱的使用期限時(shí)，不管其是否正常工作，必須予以更換。

9.2.3變更控制

網(wǎng)絡(luò)的變更包括：網(wǎng)絡(luò)結(jié)構(gòu)、安全策略的調(diào)整，硬件的增減與更換等。任何變更必須經(jīng)過(guò)授權(quán)，并

接受變更測(cè)試。變更控制安全要求如下：

a)識(shí)別并記錄重大變更；

b)評(píng)估進(jìn)行變更的潛在影響；

c)明確變更失敗的恢復(fù)措施和責(zé)任；

d)保留所有與變更相關(guān)信息的日志記錄。

9.2.4開發(fā)、測(cè)試與運(yùn)行設(shè)備的分離

前期開發(fā)調(diào)試設(shè)備與運(yùn)行中的設(shè)備應(yīng)實(shí)現(xiàn)物理分離或邏輯分離，應(yīng)設(shè)置獨(dú)立的實(shí)驗(yàn)環(huán)境。后期在運(yùn)

10

行環(huán)境中進(jìn)行測(cè)試時(shí)，應(yīng)做好安全防護(hù)，并對(duì)測(cè)試過(guò)程進(jìn)行安全檢查。

9.3網(wǎng)絡(luò)傳輸安全

網(wǎng)絡(luò)傳輸安全方面應(yīng)采取以下的安全措施：

a)應(yīng)采取SSL、IPSec等加密控制措施，保護(hù)通過(guò)公共網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)的機(jī)密性和完整性；

b)應(yīng)對(duì)網(wǎng)絡(luò)安全狀態(tài)進(jìn)行持續(xù)監(jiān)控，并對(duì)有關(guān)錯(cuò)誤、故障和補(bǔ)救措施進(jìn)行記錄。

9.4網(wǎng)絡(luò)安全審計(jì)與監(jiān)控

應(yīng)對(duì)網(wǎng)絡(luò)訪問(wèn)和使用情況進(jìn)行審計(jì)和監(jiān)控，以檢測(cè)違反訪問(wèn)控制策略的活動(dòng)，并記錄相關(guān)證據(jù)。網(wǎng)

絡(luò)監(jiān)控可以提高控制措施的有效性，并保證訪問(wèn)控制策略的執(zhí)行。

9.4.1網(wǎng)絡(luò)安全事件記錄

應(yīng)建立審計(jì)日志，記錄網(wǎng)絡(luò)異常情況、身份鑒別失敗事件及其它安全事件。審計(jì)日志應(yīng)保留規(guī)定的

時(shí)長(zhǎng)，以便支持以后的事件調(diào)查和訪問(wèn)控制審核。審計(jì)日志應(yīng)包括以下內(nèi)容：

a)用戶標(biāo)識(shí)與事件類型；

b)登錄和退出的日期和具體時(shí)間；

c)成功的和被拒絕的系統(tǒng)訪問(wèn)活動(dòng)的記錄；

d)成功的和被拒絕的數(shù)據(jù)與其它資源的訪問(wèn)記錄。

9.4.2監(jiān)控系統(tǒng)

應(yīng)對(duì)網(wǎng)絡(luò)的使用進(jìn)行監(jiān)控。具體監(jiān)控內(nèi)容應(yīng)包括：

a)授權(quán)接入操作；

b)所有特殊操作；

c)未經(jīng)授權(quán)的訪問(wèn)嘗試；

d)系統(tǒng)告警或故障。

9.4.3日志審查

應(yīng)對(duì)日志進(jìn)行自動(dòng)篩選以獲取有用信息，或使用分析工具進(jìn)行檢索查詢。在進(jìn)行日志審查時(shí)，被審

查人員不應(yīng)參與，以維護(hù)審計(jì)獨(dú)立性。

9.5網(wǎng)絡(luò)設(shè)備安全管理

9.5.1設(shè)備安全管理要求

網(wǎng)絡(luò)設(shè)備安全管理應(yīng)遵循以下基本要求：

a)設(shè)備管理權(quán)限除非明確許可，否則必須禁止；

b)應(yīng)明確限定設(shè)備管理權(quán)限的變更，包括系統(tǒng)自動(dòng)生效的變更和管理員批準(zhǔn)生效的變更；

c)訪問(wèn)控制規(guī)則需經(jīng)管理人員審查批準(zhǔn)方可執(zhí)行；

d)應(yīng)依照每個(gè)系統(tǒng)的安全要求制定訪問(wèn)控制策略；

e)應(yīng)依照與該系統(tǒng)相關(guān)的業(yè)務(wù)信息的類型制定訪問(wèn)控制策略。

9.5.2設(shè)備安全管理措施

應(yīng)基于以下內(nèi)容確定環(huán)境信息系統(tǒng)及網(wǎng)絡(luò)設(shè)備的安全措施：

a)在所有的網(wǎng)絡(luò)與信息設(shè)備上，應(yīng)配備、應(yīng)用并維護(hù)安全控制機(jī)制；

b)系統(tǒng)中的安全產(chǎn)品必須能夠提供驗(yàn)證用戶身份的手段；應(yīng)根據(jù)不同的系統(tǒng)和應(yīng)用，提供不同深

11

度、不同層次及不同強(qiáng)度的認(rèn)證手段；

c)安全控制措施必須能夠防止對(duì)用戶認(rèn)證數(shù)據(jù)的非法訪問(wèn)；

d)備份軟件、管理工具、數(shù)據(jù)庫(kù)自動(dòng)查詢等只能由特殊功能帳戶運(yùn)行的軟件，以及能夠建立特殊

權(quán)限帳戶的軟件，只能由內(nèi)部專業(yè)的授權(quán)人員安裝、測(cè)試和執(zhí)行，以確保此類軟件只能執(zhí)行授

權(quán)功能；

e)應(yīng)規(guī)定可以使用的安全軟件和特權(quán)的管理工具及使用范圍，其使用必須經(jīng)過(guò)批準(zhǔn)并記錄，在日

志中記錄其操作過(guò)程；

f)所有系統(tǒng)和安全工具都必須對(duì)管理員帳戶的口令采取保護(hù)措施，管理員帳戶的默認(rèn)口令必須在

產(chǎn)品安裝過(guò)程中進(jìn)行修改；

g)所有接入環(huán)境保護(hù)業(yè)務(wù)專網(wǎng)的系統(tǒng)必須接受環(huán)境保護(hù)部門的管理，應(yīng)對(duì)接入網(wǎng)絡(luò)進(jìn)行安全的監(jiān)

控和入侵測(cè)試。

10主機(jī)安全

10.1身份鑒別

10.1.1用戶注冊(cè)

針對(duì)多用戶使用的網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)設(shè)定正式的注冊(cè)和注銷程序，對(duì)用戶的訪問(wèn)權(quán)限進(jìn)行控制。用

戶注冊(cè)基本要求包括：

a)每個(gè)用戶應(yīng)使用唯一的用戶標(biāo)識(shí)符，用戶與其操作相關(guān)聯(lián)，并對(duì)其行為負(fù)責(zé)；

b)因業(yè)務(wù)需要時(shí)允許使用用戶組，但應(yīng)采取更加嚴(yán)格的控制措施；

c)授權(quán)用戶訪問(wèn)的級(jí)別應(yīng)基于業(yè)務(wù)目的，且符合安全策略，用戶授權(quán)應(yīng)遵循最小授權(quán)原則；

d)用戶訪問(wèn)權(quán)限應(yīng)得到上級(jí)批準(zhǔn)；

e)應(yīng)及時(shí)修改或注銷已經(jīng)轉(zhuǎn)崗或離職用戶的訪問(wèn)權(quán)限；

f)定期核查并刪除多余、閑置或非法的帳戶。

10.1.2超級(jí)權(quán)限的管理

超級(jí)權(quán)限帳戶應(yīng)能進(jìn)行設(shè)置，并可修改口令，超級(jí)權(quán)限的使用和分配必須受到嚴(yán)格限制。

必須通過(guò)正式的授權(quán)程序控制超級(jí)權(quán)限的分配，做好超級(jí)權(quán)限擁有者無(wú)法行使職責(zé)時(shí)的應(yīng)急安排，

應(yīng)有角色備份。

10.2操作系統(tǒng)訪問(wèn)控制

操作系統(tǒng)應(yīng)提供以下訪問(wèn)控制功能：

a)驗(yàn)證用戶身份；

b)記錄所有系統(tǒng)訪問(wèn)日志；

c)應(yīng)限制用戶連接時(shí)間。

10.2.1用戶識(shí)別和驗(yàn)證

所有用戶都應(yīng)具有唯一用戶標(biāo)識(shí)符，以便追溯，責(zé)任到人。因業(yè)務(wù)需要時(shí)可以共享用戶標(biāo)識(shí)，但必

須經(jīng)過(guò)授權(quán)，并采取其它方法來(lái)保證責(zé)任到人。

依據(jù)不同等級(jí)保護(hù)的要求，驗(yàn)證方式可以基于口令、令牌、指紋、虹膜等多種因素的身份驗(yàn)證機(jī)制。

10.2.2連接時(shí)間限制

應(yīng)限制終端與主機(jī)的網(wǎng)絡(luò)服務(wù)的連接時(shí)間，以降低非法接入的風(fēng)險(xiǎn)，具體限制措施如下：

a)應(yīng)使用預(yù)先定義的時(shí)間段進(jìn)行通信；

12

b)應(yīng)對(duì)每次連接的時(shí)長(zhǎng)進(jìn)行限制。

10.2.3日志審核

系統(tǒng)應(yīng)保留日志記錄，分析重復(fù)性登錄失敗、連續(xù)的訪問(wèn)嘗試等信息以確定可疑事件。日志至少應(yīng)

記錄以下內(nèi)容：

a)事件發(fā)生的日期和起止時(shí)間；

b)用戶標(biāo)識(shí)或者計(jì)算機(jī)帳戶；

c)事件的類型及其結(jié)果（成功或失?。?/p>

d)事件來(lái)源（如端口和地址等）。

系統(tǒng)管理員應(yīng)明確日志審核頻率、定義安全事件判斷規(guī)則、規(guī)定安全事件通報(bào)流程，對(duì)日志進(jìn)行審

核，發(fā)現(xiàn)并確定安全事件，應(yīng)記錄重大安全事件。

10.3主機(jī)操作流程與職責(zé)

10.3.1主機(jī)操作要求

應(yīng)制定主機(jī)的技術(shù)操作規(guī)范，技術(shù)操作規(guī)范涵蓋以下內(nèi)容：

a)應(yīng)規(guī)定對(duì)信息的處理和信息載體的處置操作規(guī)范；

b)應(yīng)規(guī)定進(jìn)行操作的時(shí)間和進(jìn)度的要求，考慮同其它系統(tǒng)的相關(guān)性；

c)應(yīng)規(guī)定操作過(guò)程中發(fā)生非預(yù)期的錯(cuò)誤或出現(xiàn)其它異常情況時(shí)的指導(dǎo)說(shuō)明；

d)應(yīng)規(guī)定意外的操作困難或技術(shù)難題出現(xiàn)時(shí)的支持人員；

e)應(yīng)規(guī)定故障情況下系統(tǒng)的重啟和恢復(fù)程序；

f)應(yīng)規(guī)定系統(tǒng)維護(hù)的相應(yīng)程序，按操作規(guī)范實(shí)現(xiàn)主要設(shè)備的啟動(dòng)/停止、加電/斷電、備份/恢復(fù)

等操作。

10.3.2主機(jī)維護(hù)要求

正確規(guī)范地維護(hù)主機(jī)設(shè)備，可以保護(hù)設(shè)備的可用性和完整性，主機(jī)設(shè)備維護(hù)的安全要求如下：

a)應(yīng)根據(jù)主機(jī)設(shè)備原廠商建議的維護(hù)周期和規(guī)范進(jìn)行維護(hù)；

b)設(shè)備維護(hù)人員應(yīng)具備相應(yīng)的技術(shù)技能；

c)應(yīng)儲(chǔ)備一定數(shù)量的備品備件；

d)所有日常維護(hù)和故障處理工作都應(yīng)記錄在案；

e)當(dāng)主機(jī)設(shè)備送到外部場(chǎng)所進(jìn)行維護(hù)時(shí)，應(yīng)采取控制措施防止信息泄露；

f)系統(tǒng)關(guān)鍵設(shè)備應(yīng)冗余配置；

g)關(guān)鍵部件在達(dá)到標(biāo)稱的使用期限時(shí)，不管其是否正常工作，必須予以更換。

10.3.3變更控制

主機(jī)的變更包括：全局?jǐn)?shù)據(jù)、安全策略、參數(shù)的調(diào)整，硬件的增減與更換，軟件版本與補(bǔ)丁的變更，

處理流程的改變等。任何變更必須經(jīng)過(guò)授權(quán)，并接受變更測(cè)試。變更控制安全要求如下：

a)識(shí)別并記錄重大變更；

b)評(píng)估進(jìn)行變更的潛在影響；

c)明確變更失敗的恢復(fù)措施和責(zé)任；

d)變更成功與失敗回退操作完成后的驗(yàn)證測(cè)試；

e)保留所有與變更相關(guān)信息的日志記錄。

13

10.4軟件及補(bǔ)丁管理

在系統(tǒng)運(yùn)行過(guò)程中應(yīng)及時(shí)維護(hù)與更新軟件及補(bǔ)丁版本，在軟件或補(bǔ)丁的使用方面的安全要求如下：

a)應(yīng)選擇穩(wěn)定運(yùn)行的軟件版本，不應(yīng)立即使用廠商發(fā)布的最新版本，但病毒代碼庫(kù)和系統(tǒng)漏洞庫(kù)

例外；

b)廠商發(fā)布的安全補(bǔ)丁應(yīng)先進(jìn)行功能測(cè)試，通過(guò)功能測(cè)試后投入應(yīng)用；

c)無(wú)法按時(shí)完成安全補(bǔ)丁修補(bǔ)時(shí)，應(yīng)采取臨時(shí)應(yīng)對(duì)措施，明確后續(xù)工作計(jì)劃；

d)所有軟件的升級(jí)必須按流程執(zhí)行。

10.5時(shí)鐘和時(shí)間同步

監(jiān)測(cè)、審計(jì)等安全措施需要保證時(shí)間同步，因此要求采用統(tǒng)一的時(shí)鐘服務(wù)器和時(shí)間源系統(tǒng)，并根據(jù)

安全策略要求定時(shí)進(jìn)行同步。

10.6系統(tǒng)安全監(jiān)控

應(yīng)對(duì)系統(tǒng)訪問(wèn)和使用情況進(jìn)行監(jiān)控，以檢測(cè)違反訪問(wèn)控制策略的活動(dòng)，并記錄相關(guān)證據(jù)。系統(tǒng)監(jiān)控

可以提高控制措施的有效性，并保證訪問(wèn)控制策略的執(zhí)行。

10.6.1系統(tǒng)事件記錄

應(yīng)建立審計(jì)日志，記錄系統(tǒng)異常情況、身份鑒別失敗事件及其它安全事件。審計(jì)日志應(yīng)保留規(guī)定的

時(shí)長(zhǎng)，以便支持以后的事件調(diào)查和訪問(wèn)控制審核。審計(jì)日志應(yīng)包括以下內(nèi)容：

a)用戶標(biāo)識(shí)與事件類型；

b)登錄和退出的日期和具體時(shí)間；

c)系統(tǒng)訪問(wèn)活動(dòng)的記錄；

d)數(shù)據(jù)與其它資源的訪問(wèn)記錄。

10.6.2監(jiān)控系統(tǒng)

應(yīng)對(duì)主機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)的使用進(jìn)行監(jiān)控。具體監(jiān)控內(nèi)容應(yīng)包括：

a)授權(quán)接入操作；

b)所有特殊操作；

c)未經(jīng)授權(quán)的訪問(wèn)嘗試；

d)系統(tǒng)告警或故障。

10.6.3日志審查

應(yīng)對(duì)日志進(jìn)行自動(dòng)篩選以獲取有用信息，或使用分析工具進(jìn)行檢索查詢。在進(jìn)行日志審查時(shí)，被審

查人員不應(yīng)參與，以維護(hù)審計(jì)獨(dú)立性。

10.7惡意代碼的防范

系統(tǒng)運(yùn)行過(guò)程中應(yīng)防止惡意軟件的破壞，主要措施包括：

a)應(yīng)制定軟件使用政策，遵守軟件許可協(xié)議，禁止使用非法軟件；

b)通過(guò)互聯(lián)網(wǎng)或不明來(lái)源獲取的文件和軟件，應(yīng)采取防護(hù)措施；

c)應(yīng)安裝并定期更新防病毒軟件和補(bǔ)丁程序；

d)應(yīng)定期檢查支持關(guān)鍵業(yè)務(wù)系統(tǒng)的軟件和數(shù)據(jù)，發(fā)現(xiàn)任何未經(jīng)批準(zhǔn)的文件或者未經(jīng)授權(quán)的修改，

并進(jìn)行調(diào)查；

e)應(yīng)檢查所有來(lái)源不明和來(lái)源非法的存儲(chǔ)介質(zhì)上的文件、通過(guò)外部網(wǎng)絡(luò)接收的文件，以確認(rèn)是否

14

含有惡意軟件；

f)應(yīng)檢查所有電子郵件的附件及下載內(nèi)容是否含有惡意軟件，應(yīng)在用戶端和電子郵件服務(wù)器端進(jìn)

行檢查；

g)應(yīng)進(jìn)行用戶安全教育和培訓(xùn)，進(jìn)行惡意軟件攻擊通報(bào)，制定系統(tǒng)恢復(fù)的管理程序，落實(shí)相關(guān)責(zé)

任；

h)應(yīng)從權(quán)威發(fā)布部門接收惡意軟件相關(guān)信息，對(duì)可疑問(wèn)題應(yīng)及時(shí)上報(bào)。

11應(yīng)用安全

11.1身份鑒別

11.1.1口令管理

口令管理應(yīng)符合以下基本要求：

a)所有口令的信息均為保密信息；

b)當(dāng)系統(tǒng)向用戶提供臨時(shí)口令時(shí)，應(yīng)確保提供安全的初始口令，并要求用戶限期修改；當(dāng)用戶忘

記口令時(shí)，系統(tǒng)應(yīng)在正確識(shí)別用戶身份后才能向用戶提供重置的臨時(shí)口令；

c)應(yīng)以安全方式向用戶提供臨時(shí)口令，禁止使用明文的電子郵件等未經(jīng)保護(hù)的方式傳遞，并要求

用戶確認(rèn)接收到臨時(shí)口令；

d)口令應(yīng)以加密方式存入用戶數(shù)據(jù)庫(kù)，通過(guò)加密、解密方式實(shí)現(xiàn)其存儲(chǔ)、讀取。

11.1.2用戶訪問(wèn)權(quán)限審核

應(yīng)定期審核用戶的訪問(wèn)權(quán)限并記錄，用戶訪問(wèn)權(quán)限審核的基本要求如下：

a)用戶訪問(wèn)權(quán)限應(yīng)由管理人員、系統(tǒng)責(zé)任人及系統(tǒng)維護(hù)人員共同確認(rèn)；

b)用戶帳戶、特殊權(quán)限帳戶、超級(jí)權(quán)限帳戶的訪問(wèn)權(quán)限應(yīng)定期檢查；

c)發(fā)生非法入侵事件、發(fā)生人員變動(dòng)后應(yīng)進(jìn)行審核；

d)對(duì)審核中發(fā)現(xiàn)的問(wèn)題，應(yīng)采取必要措施予以糾正。

11.2應(yīng)用訪問(wèn)控制

為避免應(yīng)用系統(tǒng)中的信息受到非法訪問(wèn)，應(yīng)用系統(tǒng)應(yīng)具備如下安全功能：

a)應(yīng)根據(jù)訪問(wèn)控制策略，控制用戶訪問(wèn)應(yīng)用系統(tǒng)和信息；

b)應(yīng)防止用戶在未經(jīng)授權(quán)的情況下使用能夠超越系統(tǒng)或應(yīng)用控制措施的工具和系統(tǒng)軟件；

c)只有系統(tǒng)所有人和授權(quán)用戶可以對(duì)應(yīng)用系統(tǒng)中的信息進(jìn)行訪問(wèn)；

d)應(yīng)用系統(tǒng)對(duì)共享信息資源的訪問(wèn)不應(yīng)威脅到其它系統(tǒng)的安全；

e)應(yīng)確保處理敏感信息的應(yīng)用系統(tǒng)只輸出必要信息，而無(wú)任何多余信息，輸出結(jié)果只能被發(fā)送至

授權(quán)的終端，并且應(yīng)定期檢查此類輸出。

11.3應(yīng)用系統(tǒng)交互的完整性

為避免應(yīng)用系統(tǒng)中的用戶數(shù)據(jù)丟失、修改和誤用，應(yīng)用系統(tǒng)應(yīng)設(shè)計(jì)有適當(dāng)?shù)目刂拼胧?、審?jì)跟蹤記

錄或活動(dòng)日志，應(yīng)對(duì)輸入數(shù)據(jù)、內(nèi)部處理和輸出數(shù)據(jù)進(jìn)行驗(yàn)證。針對(duì)處理敏感或關(guān)鍵資產(chǎn)的系統(tǒng)還應(yīng)根

據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果確定安全要求，并采取增強(qiáng)的控制措施。

11.3.1輸入數(shù)據(jù)驗(yàn)證

輸入到應(yīng)用系統(tǒng)中的數(shù)據(jù)應(yīng)進(jìn)行驗(yàn)證，以確保其正確性及適用性，避免無(wú)效數(shù)據(jù)對(duì)系統(tǒng)造成危害。

對(duì)輸入數(shù)據(jù)的驗(yàn)證一般通過(guò)應(yīng)用系統(tǒng)本身及其它輔助管理手段來(lái)實(shí)現(xiàn)，并應(yīng)在系統(tǒng)開發(fā)中實(shí)現(xiàn)輸入數(shù)據(jù)

驗(yàn)證功能。具體驗(yàn)證方法如下：

15

a)在進(jìn)行口令修改等輸入操作時(shí)，要求雙重輸入，并要確認(rèn)兩次輸入的口令一致才接受修改；

b)建立用于響應(yīng)輸入錯(cuò)誤的程序；

c)建立用于測(cè)試輸入數(shù)據(jù)真實(shí)性的程序。

11.3.2內(nèi)部處理控制

已被正確輸入的數(shù)據(jù)可能受到錯(cuò)誤處理或者故意破壞，系統(tǒng)應(yīng)采取有效的驗(yàn)證檢查措施來(lái)檢測(cè)此類

破壞，并在應(yīng)用系統(tǒng)設(shè)計(jì)時(shí)引入數(shù)據(jù)處理控制，盡可能地減小破壞數(shù)據(jù)完整性的危險(xiǎn)。應(yīng)采取的控制措

施如下：

a)不應(yīng)在程序或進(jìn)程中固化帳戶和口令；

b)應(yīng)具備對(duì)口令猜測(cè)的防范機(jī)制和監(jiān)控手段；

c)應(yīng)避免應(yīng)用程序以錯(cuò)誤的順序運(yùn)行，防止出現(xiàn)故障后程序以不正常的流程運(yùn)行；

d)采用正確的故障恢復(fù)程序，確保正確處理數(shù)據(jù)；

e)采取會(huì)話控制或批次控制，確保更新前后數(shù)據(jù)文件狀態(tài)的一致性；

f)檢查執(zhí)行操作前后對(duì)象是否正常；

g)驗(yàn)證系統(tǒng)生成的數(shù)據(jù)；

h)檢查上傳、下載的數(shù)據(jù)或軟件的完整性；

i)檢查文件與記錄是否被篡改。

11.3.3輸出數(shù)據(jù)驗(yàn)證

應(yīng)用系統(tǒng)的輸出數(shù)據(jù)應(yīng)被驗(yàn)證，以確保數(shù)據(jù)處理的正確性與合理性。輸出數(shù)據(jù)驗(yàn)證要求如下：

a)應(yīng)驗(yàn)證輸出數(shù)據(jù)在規(guī)定的賦值范圍內(nèi)；

b)輸出數(shù)據(jù)應(yīng)為用戶或后續(xù)處理系統(tǒng)提供充足的信息，以確定信息的準(zhǔn)確性、完整性、精確性和

分類級(jí)別；

c)應(yīng)具有可以用來(lái)驗(yàn)證輸出數(shù)據(jù)的測(cè)試程序。

11.4通信加密技術(shù)控制措施

加密技術(shù)可用來(lái)保護(hù)信息的機(jī)密性和完整性，防止信息被泄露或篡改，也可用于身份驗(yàn)證和防止抵

賴。

11.4.1加密技術(shù)使用策略

應(yīng)在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上制定加密技術(shù)使用策略，使加密技術(shù)的應(yīng)用達(dá)到有效控制風(fēng)險(xiǎn)的目的，避免

不當(dāng)或錯(cuò)誤使用。

應(yīng)通過(guò)風(fēng)險(xiǎn)評(píng)估確定是否采用以及采用何種加密技術(shù)控制措施、控制目的和控制對(duì)象，加密技術(shù)使

用策略應(yīng)包含以下內(nèi)容：

a)應(yīng)具有密鑰管理方法，在密鑰丟失、泄露或損壞時(shí)恢復(fù)信息原文；

b)應(yīng)具有策略實(shí)施、密鑰管理的相關(guān)崗位和職責(zé)；

c)應(yīng)能正確確定合適的加密保護(hù)級(jí)別。

11.4.2使用加密技術(shù)

在選擇和應(yīng)用加密技術(shù)時(shí)，應(yīng)考慮以下因素：

a)必須符合國(guó)家有關(guān)加密技術(shù)的使用和進(jìn)出口限制等方面的法律法規(guī)；

b)根據(jù)風(fēng)險(xiǎn)評(píng)估確定保護(hù)級(jí)別，并以此確定加密算法的類型、屬性，以及所用密鑰的長(zhǎng)度；

c)選擇能夠提供所需保護(hù)的合適的加密產(chǎn)品，加密產(chǎn)品應(yīng)能實(shí)現(xiàn)安全的密鑰管理；

d)一般的數(shù)據(jù)壓縮技術(shù)不得代替安全手段。

16

11.4.3數(shù)字簽名

在使用數(shù)字簽名技術(shù)時(shí)，應(yīng)基于以下要求：

a)應(yīng)充分保護(hù)私鑰的機(jī)密性，防止竊取者偽造密鑰持有人的簽名；

b)應(yīng)使用公鑰證書保護(hù)公鑰完整性；

c)用于數(shù)字簽名的密鑰應(yīng)不同于用來(lái)加密內(nèi)容的密鑰；

d)應(yīng)符合有關(guān)數(shù)字簽名的法律法規(guī)。

11.4.4抗抵賴服務(wù)

應(yīng)根據(jù)加密技術(shù)使用策略，明確必須使用抗抵賴服務(wù)的業(yè)務(wù)和情況，及相應(yīng)的加密和數(shù)字簽名技術(shù)。

11.4.5密鑰管理

應(yīng)采取加密等安全措施來(lái)有效保護(hù)密鑰，以免密鑰被非法修改和破壞；應(yīng)對(duì)生成、存儲(chǔ)和歸檔保存

密鑰的設(shè)備采取物理保護(hù)。必須使用經(jīng)過(guò)批準(zhǔn)的加密機(jī)制進(jìn)行密鑰分發(fā)，并記錄密鑰的分發(fā)過(guò)程，以便

審計(jì)跟蹤。

為了降低泄露的可能，密鑰應(yīng)指定確切的密鑰生存期，使之只在生存期內(nèi)有效。生存期的長(zhǎng)短取決

于使用環(huán)境及加密技術(shù)。

應(yīng)與外部加密服務(wù)提供商簽訂服務(wù)協(xié)議或合同，其中應(yīng)涵蓋責(zé)任、服務(wù)可靠性以及服務(wù)響應(yīng)時(shí)間等

安全要求。

11.5應(yīng)用系統(tǒng)安全管理

11.5.1應(yīng)用程序的部署及更新

在操作系統(tǒng)中運(yùn)行軟件應(yīng)得到有效的控制。為了最大限度地降低操作系統(tǒng)遭受破壞的風(fēng)險(xiǎn)，應(yīng)考慮

采取如下控制措施：

a)應(yīng)用程序的軟件版本升級(jí)或數(shù)據(jù)更新只能由指定的管理員在獲取授權(quán)后完成；

b)運(yùn)行應(yīng)用程序的操作系統(tǒng)中應(yīng)只保留應(yīng)用程序的可執(zhí)行代碼；

c)歷史版本的軟件應(yīng)予以保留，用作應(yīng)急措施；

d)任何應(yīng)用程序的版本更新都應(yīng)考慮安全性，應(yīng)采用軟件補(bǔ)丁消除或削弱安全缺陷；

e)操作系統(tǒng)的軟件版本更新，有可能對(duì)應(yīng)用系統(tǒng)帶來(lái)影響，應(yīng)對(duì)應(yīng)用系統(tǒng)進(jìn)行兼容性測(cè)試。

11.5.2測(cè)試數(shù)據(jù)的保護(hù)

應(yīng)對(duì)系統(tǒng)測(cè)試數(shù)據(jù)加以保護(hù)和控制，并避免使用含有個(gè)人隱私或敏感信息的數(shù)據(jù)去測(cè)試系統(tǒng)，確保

測(cè)試數(shù)據(jù)的普遍性?？刹捎萌缦碌目刂拼胧?/p>

a)用于正式運(yùn)營(yíng)系統(tǒng)的訪問(wèn)控制程序，也應(yīng)用于測(cè)試環(huán)境；

b)避免使用實(shí)際運(yùn)營(yíng)中的真實(shí)數(shù)據(jù)進(jìn)行測(cè)試，測(cè)試中應(yīng)對(duì)含有的個(gè)人隱私數(shù)據(jù)進(jìn)行模糊化處理；

c)在測(cè)試結(jié)束后，測(cè)試數(shù)據(jù)應(yīng)馬上從測(cè)試系統(tǒng)中刪除；

d)測(cè)試數(shù)據(jù)的加載和使用應(yīng)進(jìn)行記錄，以便檢查跟蹤。

11.5.3應(yīng)用系統(tǒng)源代碼安全

為降低應(yīng)用系統(tǒng)程序遭受破壞的可能性，應(yīng)嚴(yán)格控制對(duì)應(yīng)用系統(tǒng)源代碼的訪問(wèn)，具體控制措施如下：

a)應(yīng)用系統(tǒng)源代碼不應(yīng)保留在操作系統(tǒng)內(nèi)；

b)應(yīng)用系統(tǒng)開發(fā)過(guò)程中源代碼版本應(yīng)有嚴(yán)格的控制，對(duì)源代碼的訪問(wèn)權(quán)限應(yīng)實(shí)現(xiàn)分級(jí)訪問(wèn)控制；

c)應(yīng)用系統(tǒng)程序源代碼應(yīng)保存在安全環(huán)境中；

d)對(duì)應(yīng)用程序源代碼的所有訪問(wèn)都應(yīng)保留審計(jì)日志；

17

e)應(yīng)用程序源代碼的維護(hù)和拷貝應(yīng)遵從嚴(yán)格的變更控制程序。

12數(shù)據(jù)安全與備份恢復(fù)

12.1數(shù)據(jù)備份策略

應(yīng)根據(jù)系統(tǒng)的重要程度，制定數(shù)據(jù)與軟件的備份策略，對(duì)備份策略應(yīng)采用如下控制措施：

a)備份策略應(yīng)包含系統(tǒng)和數(shù)據(jù)的名稱、備份的頻率和類型（全部備份/增量備份等），以及備份介

質(zhì)類型和所用備份軟件、異地存放周期以及制定備份方案的實(shí)施原則等；

b)備份操作應(yīng)安排在不影響業(yè)務(wù)的時(shí)間段里，嚴(yán)格遵照備份策略執(zhí)行；

c)重要的業(yè)務(wù)系統(tǒng)應(yīng)至少保留兩個(gè)版本或兩個(gè)備份周期的備份信息，備份信息應(yīng)包含完整的備份

記錄、備份拷貝、恢復(fù)程序文檔和清單；

d)為盡快恢復(fù)故障，應(yīng)在本地保留備份信息，同時(shí)為了避免主場(chǎng)所的災(zāi)難所導(dǎo)致的破壞，還應(yīng)進(jìn)

行異地備份；

e)應(yīng)定期檢查和測(cè)試備份信息，保持其可用性和完整性，并確保在規(guī)定的時(shí)間內(nèi)完成恢復(fù)工作；

f)應(yīng)明確規(guī)定備份信息的保留時(shí)間。

12.2數(shù)據(jù)備份內(nèi)容與頻率

應(yīng)對(duì)重要的系統(tǒng)、數(shù)據(jù)及應(yīng)用進(jìn)行備份，備份的范圍包括操作系統(tǒng)備份、數(shù)據(jù)庫(kù)備份和應(yīng)用系統(tǒng)備

份。

12.2.1操作系統(tǒng)備份

操作系統(tǒng)備份的要求包括：

a)應(yīng)對(duì)操作系統(tǒng)和系統(tǒng)運(yùn)行所產(chǎn)生的登錄和操作日志文件進(jìn)行定期備份；

b)在操作系統(tǒng)安裝系統(tǒng)補(bǔ)丁、進(jìn)行系統(tǒng)升級(jí)、修改系統(tǒng)配置或其它可導(dǎo)致系統(tǒng)改變的情況發(fā)生前

后宜進(jìn)行操作系統(tǒng)備份；

c)所有操作系統(tǒng)的備份完成后均應(yīng)執(zhí)行備份介質(zhì)異地存放，并至少保留兩年。

12.2.2數(shù)據(jù)庫(kù)備份

數(shù)據(jù)庫(kù)備份的要求包括：

a)數(shù)據(jù)庫(kù)備份的范圍包括數(shù)據(jù)庫(kù)的日志文件、數(shù)據(jù)文件和系統(tǒng)程序文件；

b)數(shù)據(jù)庫(kù)日志文件包括歸檔日志文件、告警日志文件和跟蹤文件；

c)在安裝數(shù)據(jù)庫(kù)補(bǔ)丁、應(yīng)用系統(tǒng)補(bǔ)丁、數(shù)據(jù)庫(kù)升級(jí)或其它導(dǎo)致數(shù)據(jù)庫(kù)改變的操作發(fā)生前后應(yīng)備份

完整的數(shù)據(jù)庫(kù)數(shù)據(jù)文件和數(shù)據(jù)庫(kù)程序文件，備份后應(yīng)執(zhí)行備份介質(zhì)異地存放；

d)數(shù)據(jù)庫(kù)數(shù)據(jù)文件應(yīng)定期備份，備份后應(yīng)執(zhí)行備份介質(zhì)異地存放；

e)當(dāng)數(shù)據(jù)庫(kù)發(fā)生故障時(shí)，如需進(jìn)行系統(tǒng)恢復(fù)，應(yīng)先備份故障數(shù)據(jù)庫(kù)的數(shù)據(jù)文件；

f)所有異地存放的數(shù)據(jù)庫(kù)數(shù)據(jù)文件備份建議保留五年以上；

g)所有異地存放的數(shù)據(jù)庫(kù)日志文件和數(shù)據(jù)庫(kù)程序文件備份宜至少保留兩年；

h)所有本地存放的數(shù)據(jù)庫(kù)備份宜至少保留一年。

12.2.3應(yīng)用系統(tǒng)備份

應(yīng)用系統(tǒng)備份的要求包括：

a)應(yīng)用系統(tǒng)備份包括應(yīng)用系統(tǒng)程序文件、日志；

b)應(yīng)用系統(tǒng)程序文件、日志應(yīng)定期備份，備份后應(yīng)執(zhí)行備份介質(zhì)異地存放；

c)在安裝應(yīng)用系統(tǒng)補(bǔ)丁前后應(yīng)備份應(yīng)用系統(tǒng)程序文件，備份后應(yīng)執(zhí)行備份介質(zhì)異地存放。

18

12.3實(shí)施數(shù)據(jù)備份和恢復(fù)

12.3.1數(shù)據(jù)備份實(shí)施

數(shù)據(jù)備份的實(shí)施要求如下：

a)環(huán)境信息系統(tǒng)維護(hù)人員應(yīng)根據(jù)業(yè)務(wù)需要定期進(jìn)行備份計(jì)劃的復(fù)核，并進(jìn)行相關(guān)修訂；

b)備份操作人員應(yīng)根據(jù)備份計(jì)劃定期執(zhí)行備份工作，并檢查備份日志，確認(rèn)備份有效性，最后進(jìn)

行記錄；

c)如果發(fā)現(xiàn)備份失敗，備份操作人員應(yīng)檢查失敗原因，編寫故障報(bào)告，并盡快安排重新備份；

d)備份完成后需保存?zhèn)浞萁橘|(zhì)，備份操作人員應(yīng)在標(biāo)簽上按要求記錄備份信息，并移交備份介質(zhì)

管理人員。

12.3.2恢復(fù)性測(cè)試

應(yīng)按照環(huán)境信息系統(tǒng)的實(shí)際情況，根據(jù)業(yè)務(wù)需要進(jìn)行系統(tǒng)恢復(fù)方案和恢復(fù)性測(cè)試計(jì)劃的復(fù)核并進(jìn)行

相關(guān)修訂。恢復(fù)性測(cè)試的要求如下：

a)應(yīng)定期進(jìn)行恢復(fù)性測(cè)試，恢復(fù)性測(cè)試應(yīng)不影響生產(chǎn)環(huán)境的運(yùn)行；

b)在恢復(fù)性測(cè)試時(shí)，應(yīng)確認(rèn)備份數(shù)據(jù)的可讀性和完整性，以及恢復(fù)方案的可執(zhí)行性，編寫恢復(fù)性

測(cè)試報(bào)告，簽字確認(rèn)并存檔；

c)如恢復(fù)性測(cè)試失敗，應(yīng)檢查失敗原因，編寫故障報(bào)告，并盡快安排重新測(cè)試；

d)完成測(cè)試后，應(yīng)及時(shí)清除測(cè)試環(huán)境中的生產(chǎn)數(shù)據(jù)，并歸還測(cè)試用備份介質(zhì)，備份介質(zhì)管理人員

應(yīng)簽字確認(rèn)接收備份介質(zhì)。

12.4數(shù)據(jù)備份介質(zhì)管理

12.4.1備份介質(zhì)的存放

應(yīng)專人負(fù)責(zé)保管備份介質(zhì)，進(jìn)行登記并按照規(guī)定妥善存放。存有備份數(shù)據(jù)的備份介質(zhì)應(yīng)貼好標(biāo)簽，

明確標(biāo)示：備份介質(zhì)編號(hào)、備份介質(zhì)有效期截止日期、備份日期、備份操作人員、備份環(huán)境名稱、備份

內(nèi)容、備份用途、備份數(shù)據(jù)保存時(shí)間。

存有備份數(shù)據(jù)的備份介質(zhì)需要進(jìn)行異地存放的，應(yīng)存放在安全的備用場(chǎng)所內(nèi)，應(yīng)在執(zhí)行完異地存放

后進(jìn)行記錄，并簽字確認(rèn)。

12.4.2備份介質(zhì)的訪問(wèn)

對(duì)備份介質(zhì)的訪問(wèn)應(yīng)進(jìn)行記錄，并由保管人員簽字確認(rèn)；應(yīng)定期檢查備份介質(zhì)的訪問(wèn)情況，保證備

份介質(zhì)數(shù)量完整。

13系統(tǒng)建設(shè)

應(yīng)在系統(tǒng)的規(guī)劃、設(shè)計(jì)、開發(fā)與維護(hù)階段，正確識(shí)別、確認(rèn)、批準(zhǔn)所有安全需求，并設(shè)計(jì)、實(shí)施滿

足各項(xiàng)安全需求的安全控制措施。

13.1系統(tǒng)的規(guī)劃、設(shè)計(jì)、建設(shè)和驗(yàn)收

13.1.1系統(tǒng)規(guī)劃、設(shè)計(jì)和建設(shè)

系統(tǒng)規(guī)劃應(yīng)考慮當(dāng)前系統(tǒng)狀況、預(yù)測(cè)發(fā)展趨勢(shì)，以及新的業(yè)務(wù)和系統(tǒng)需求；系統(tǒng)規(guī)劃必須保留一定

的余量，特別是關(guān)鍵系統(tǒng)。

系統(tǒng)設(shè)計(jì)除滿足業(yè)務(wù)功能的需要之外，還必須從軟硬件、網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)邏輯、應(yīng)急恢復(fù)等多方面

考慮系統(tǒng)的安全性。

19

在系統(tǒng)建設(shè)的過(guò)程中，配套安全系統(tǒng)應(yīng)與業(yè)務(wù)系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行，不能滯后業(yè)務(wù)

系統(tǒng)發(fā)展。

系統(tǒng)管理人員應(yīng)通過(guò)預(yù)測(cè)試得到系統(tǒng)信息，從中分析可能對(duì)系統(tǒng)安全或用戶服務(wù)構(gòu)成威脅的性能瓶

頸數(shù)據(jù)，并設(shè)計(jì)相應(yīng)的補(bǔ)救措施。

13.1.2系統(tǒng)上線審批

設(shè)備入網(wǎng)包括采購(gòu)、新建或擴(kuò)容的設(shè)備進(jìn)入環(huán)境保護(hù)業(yè)務(wù)專網(wǎng)運(yùn)行，在新建網(wǎng)絡(luò)與信息處理設(shè)施時(shí)，

必須建立相應(yīng)的入網(wǎng)審批規(guī)定，嚴(yán)把入網(wǎng)關(guān)，系統(tǒng)上線的安全要求如下：

a)新建或擴(kuò)容設(shè)備入網(wǎng)運(yùn)行時(shí)，應(yīng)做好驗(yàn)收測(cè)試工作，特別要通過(guò)安全方面的測(cè)試查找已知的安

全漏洞；

b)應(yīng)定期維護(hù)入網(wǎng)設(shè)備的清單，新型號(hào)設(shè)備入網(wǎng)應(yīng)通過(guò)入網(wǎng)測(cè)試；

c)新建網(wǎng)絡(luò)與信息處理設(shè)施必須具備用戶管理功能，以防止非授權(quán)使用；

d)入網(wǎng)前應(yīng)先檢查網(wǎng)絡(luò)與信息處理設(shè)施的硬件和軟件，確保能夠和其它系統(tǒng)兼容。

13.1.3系統(tǒng)驗(yàn)收

在新建系統(tǒng)、系統(tǒng)擴(kuò)容、軟硬件升級(jí)驗(yàn)收之前，應(yīng)制定相應(yīng)的驗(yàn)收標(biāo)準(zhǔn)，只有經(jīng)測(cè)試合格的系統(tǒng)方

可驗(yàn)收，系統(tǒng)驗(yàn)收過(guò)程應(yīng)滿足下列安全要求：

a)應(yīng)通過(guò)漏洞掃描、配置檢查、滲透測(cè)試等技術(shù)手段，對(duì)系統(tǒng)的安全性進(jìn)行測(cè)試，驗(yàn)證系統(tǒng)是否

已經(jīng)達(dá)到要求的安全水平；

b)應(yīng)具備對(duì)錯(cuò)誤的恢復(fù)和重啟程序、安全應(yīng)急方案；

c)應(yīng)具有系統(tǒng)變更對(duì)現(xiàn)有系統(tǒng)造成影響的說(shuō)明，特別是在業(yè)務(wù)高峰處理時(shí)間段內(nèi)的變更；

d)系統(tǒng)建設(shè)方應(yīng)提供系統(tǒng)操作手冊(cè)和相應(yīng)操作培訓(xùn)；

e)重要系統(tǒng)應(yīng)引入第三方權(quán)威測(cè)評(píng)認(rèn)證機(jī)構(gòu)輔助進(jìn)行安全驗(yàn)收。

13.2系統(tǒng)開發(fā)的安全需求

當(dāng)涉及系統(tǒng)開發(fā)外包或合作開發(fā)時(shí)，安全需求應(yīng)在雙方認(rèn)可的合同或協(xié)議中給予明確規(guī)定。在進(jìn)行

具體的系統(tǒng)開發(fā)和軟件維護(hù)時(shí)，應(yīng)遵循以下安全要求：

a)在應(yīng)用系統(tǒng)開發(fā)、修改完成或者投入使用之前，應(yīng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估、業(yè)務(wù)影響評(píng)估、制定備

份和災(zāi)難恢復(fù)方案；

b)按照等級(jí)保護(hù)的相關(guān)要求，確保開發(fā)、測(cè)試與運(yùn)行設(shè)備的分離；

c)應(yīng)標(biāo)明應(yīng)用的信息在等級(jí)保護(hù)中的分類級(jí)別，并確保運(yùn)行應(yīng)用的系統(tǒng)等級(jí)不低于該應(yīng)用的信息

級(jí)別；

d)系統(tǒng)開發(fā)過(guò)程中應(yīng)咨詢用戶的意見(jiàn)，以提高所設(shè)計(jì)系統(tǒng)的安全性及操作效率。

13.3開發(fā)和支持過(guò)程中的安全

13.3.1變更控制程序

為減少變更對(duì)系統(tǒng)安全造成的影響，應(yīng)在系統(tǒng)開發(fā)與運(yùn)行維護(hù)的所有階段實(shí)施嚴(yán)格的變更控制，對(duì)

變更的申請(qǐng)、審核、測(cè)試、批準(zhǔn)、執(zhí)行計(jì)劃與具體實(shí)施提出明確要求，當(dāng)應(yīng)用軟件的修改可能會(huì)影響運(yùn)

營(yíng)環(huán)境時(shí)，應(yīng)用軟件和業(yè)務(wù)運(yùn)營(yíng)的變更控制程序應(yīng)結(jié)合起來(lái)實(shí)施。變更控制程序包括以下內(nèi)容：

a)識(shí)別所有需要修改的計(jì)算機(jī)軟/硬件、信息、數(shù)據(jù)庫(kù)；

b)選擇恰當(dāng)?shù)淖兏鼤r(shí)間，確保在具體實(shí)施過(guò)程中最大限度地減少對(duì)業(yè)務(wù)的影響；

c)確保操作系統(tǒng)的更改不會(huì)對(duì)應(yīng)用系統(tǒng)的安全性和完整性造成不良影響；

d)保留所有變更的審計(jì)跟蹤記錄；

e)及時(shí)更新業(yè)務(wù)連續(xù)性計(jì)劃。

20