1、e ICS 35.040 L 80 驾主-品圄,&1=1 Il!; 2005-04-19发布11: ./、GB/T 19716 2005 言息安全Information technology Code of practice for information security management CISO/IEC 17799: 2000 , MOD) 2005-10-01实中华人民共租国国家质量监督中国国家标准化管理员会发布华人民国家标准信息技术信息安全管理实用规则GB/T 19716-2005 国和共中晤中国标准出版社出版发行北京复兴门外三旦河北街16号邮政编码,100045网址电话,685
2、23946中国标准出版社秦皇岛印刷厂印刷各地新华书店经销68517548 印张3.25字数96千字2005年8月第一次印刷祷1/16 2005年8月第一版开本880X1230 4晤19716-2005 GB/T 次目皿. . . . . . 前言N . . . . . . 引言l . . . . . . . . . . . . . . . 范围1 1 . . . . . . . . . . . . . . . . . . . . . . 术语和定义2 l . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3、. . . . . . . 信息安全1 2. l . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 风险评估2 2. ll11ll!111 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 风险管理3 2. 1 . .,
4、 . . . . . . 安全策略3 1 . . . . . . 信息安全策略1 3. 2 . . . 组织的安全4 2 . . . . 信息安全基础设施1 4. 4 . . . . . . . . . . . . . . . . . . . . . . 第三方访问的安全2 4. 5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 外包3 4. 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5、. 资产分类和控制5 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 资产的可核查性1 5. 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 信息分类2 5. 7 . . 人员安全6 7 . . 岗位设定和人力资源的安全1 6. 8 . . 用户培训112 6. 8
6、. . . . . . . . . . . . . . . . . . . . 对安全事故和故障的响应3 6 9 . . . . . . . . . . . . . . . . . . . . . . . . 物理和环境的安全7 9 安全区域1 7 11 . 设备安全2 7. 13 一般控制. 3 7. 13 通信和操作管理. . 8 13 操作规程和职责. . l 8. 16 系统规划和验收. 2 8 16 防范恶意软件. 3 8 17 内务处理. . . 4 8 18 网络管理5 8 18 媒体处置和安全.6 8. 19 信息和软件的交换. . 7 8. 22 访问控制. . 9 22 访
7、问控制的业务要求. 1 9. 23 用户访问管理.2 9 24 用户职责. 3 9 25 网络访问控制. . 4 9. 27 I 操作系统访问控制. 5 9. 19716-2005 GB/T 29 应用访问控制. 6 9. 30 对系统访问和使用的监督. 7 9. 31 移动计算和远程工作.8 9. 32 .,. . . . . . . . . . . 系统开发和维护10 32 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ., . . . . . 系统的安全要求l 10.
8、 lliJIli-33 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ., . 应用系统的安全2 10. 34 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 密码控制3 10. 36 . . . . . . . . . . . . . . . . . ., . 系统文件的安全4 10. 37 . . . . . . . . . .
9、 . . . . . . . . . . ., . . 开发和支持过程的安全5 10. 38 . . . . 业务连续性管理11 38 . . . 业务连续性管理的各方面1 11. 40 . . . . . . . . . . . . ., . . 符合性12 40 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 符合法律要求1 12 43 . . . . . . . . . . . . . . . . . . . . . . . . .
10、. . . . . . . . . . . . . . . . . . . . . 安全策略和技术符合性的评审2 12. 43 . . . . . . . . . . . 系统审核考虑3 12. E GB/T 19716-2005 前本标准修改采用ISO/IEC17799,2000(信息技术信息安全管理实用规则)b飞C,d)hl ghU川le) f) e) f) GB/T 19716一20058.7.6公开可用系统应注意保护电子发布信息的完整性,以防止可能伤害发布组织名声的未授权修改。在公开可用系统上的信息(例如,经由Internet可访问的Web服务器上的信息)需要符合该系统所在的或贸易发生
11、的管辖区域内的法律、规则和规章。在所产生的信息公开可用之前,应有一正式授权过程。在公开可用系统上可提供的并要求高级别完整性的软件、数据和其他信息要受相应机制所保护,例如,数字签名(见10.3.3)。应小心地控制电子发布系统,特别是允许反馈和直接录入信息的那些电子发布系统,以便za) 按照任何数据保护法律获得信息(见12.1.4);b) 对输入到发布系统并由发布系统处理的信息将以及时的方式完整而准确地予以处理50 在收集信息过程期间和存储信息时,保护敏感信息;d) 对发布系统的访问不允许无意识地访问与之连接的网络。8.7.7 信息交换的其他形式为保护通过使用话音、传真和视频通信设施的信息交换,规
12、程和控制应到位。由于对使用这些设施缺乏意识、策略或规程可能泄露信息,例如,在公开场所的移动电话被偷听,应答机被偷听,未授权访问拨号话音邮件系统或使用传真设备偶然地将传真发送给不适当的个人。如果通信设施失灵、过载或中断,则可能中断业务运行和损坏信息(见7.2和第11章)。如果上述通信设施被未授权用户所访问,也可能损害信息(见第9章)。9 在使用话音、传真和视频通信时,应建立希望工作人员遵守的规程的清晰策略说明。这应包括za) 提醒工作人员,应采取相应预防措施,例如,不泄露敏感信息,以避免打电话时被下列方式无意听到或窃听-b) c) d) 1) 当使用移动电话时,特别要注意在他们附近的人们;2)
13、搭线窃听和通过物理访问电话手持送受话器或电话线路的其他窃听方式,或当使用模拟移动电话时使用扫描接收器进行窃听;3) 受话端的人/fJ;提醒工作人员,不要在公共场所或开放办公室和薄围墙的会场进行保密会谈p不要将报文留在应答机上,因为可能被未授个人所重放,或者用于误拨号被存储在公用系统上或不正确地被存储p提醒工作人员有关传真机的使用问题,即21) 未授权访问内置报文存储器,以检索报文;2) 有意的或无意的对传真机编程,将报文发送给特定的电话号码;3) 由于误拨号或使用错误存储的号码将文裆和报文发送给错误的电话号码。访问控制9. 1 访问控制的业务要求目的s控制对信息的访问。对信息的访问和业务过程应
14、在业务和安全要求的基础上予以控制。这应考虑到信息传播和授权的策略9. 1. 1 访问控制策略9. 1.1. 1 策略和业务要求应定义访问的业务要求,并将其形成文档。在访问策略说明中应清晰地叙述每个用户或一组用户的访问控制规则和权利。须将通过访问控制要满足的业务要求的清晰说明提供给用户和服务提供者。策略应考虑到下列内容z22 a) 各个业务应用的安全要求;b) 与业务应用相关的所有信息的标识,。信息传播和授权的策略,例如,了解原则和安全等级以及信息分类的需求pd) 不同系统和网络的访问控制策略和信息分类策略之间的一致性;e) 关于保护访问数据或服务的相关法律和合同义务(见第12章), 0 关于通
15、常工作种类的标准用户访问轮廓;g) 在认可各种现有连接类型的分布式和网络化环境中访问权利的管理.9.1. 1. 2 访问控制规则在规定访问控制规则时,应注意考虑下列内容2a) 区分必须强制的规则和任选的或有条件的规则sGB/T 19716-2005 b) 在前提为未经允许,必须一律禁止的基础上建立规则,而不是软弱的未经明确禁止,一律允许的规则$0 信息处理设施自动启动的信息标记(见5.2)和用户任意启动的那些信息标记的变更sd) 信息系统自动启动的用户许可变更和管理员启动的那些用户许可变更ze) 在颁发之前,要求管理员批准的或另一方批准的规则以及元须批准的规则。9.2 用户访问管理目的z防止未
16、授权访问信息系统。应有正式的规程来控制对信息系统和服务的访问权利的分配。这些规程应涵盖用户访问生存周期内的各个阶段,从新用户注册到不再要求访问信息系统和服务的用户最终注销。在合适的情况下,应专门注意控制有特权的访问权利的分配的需要,而这种权利允许用户超越系统控制。9. 2. 1 用户注册应有授予访问所有多用户信息系统和服务的正式用户注册和注销的规程.应通过正式的用户注册过程控制访问多用户信息服务,这些控制应包括2a) 使用唯一用户ID.使得用户可以与其动作链接起来,并对其动作负责。若他们适合于所进行的工作,才允许使用组ID,b) c) 检验用户使用信息系统和服务是否具有该系统拥有者的授权.经管
17、理层单独批准的访问权利也是合适的g检验所授予的访问级别是否适合于业务目的(见9.1) .以及是否与组织的安全策略一致,例如,它没有放弃责任分割原则(见8.1.4),d) 给予用户访问权利的书面声明ge) 要求用户签署表示理解访问条件的书面声明;f) 确保直到已经完成授权规程,服务提供者才提供访问gg) 维护注册使用该服务的所有个人的正式记录;h) 立即取消已经变更的工作或离开该组织的用户访问权利$0 周期性检验和取消多余的用户ID和账户,j) 确保对其他用户不发布多余的用户lDo在人员合同和服务合同中要考虑包括如果员工或服务代理试图未授权访问时规定处罚的条款。9.2.2 特权管理应限制和控制特
18、权(使用户能超越系统或应用控制的多用户信息系统的特征或便利条件)的分配和使用。系统特权的不恰当使用常常是一种导致系统故障的主要因素。要求免遭未授权访问的多用户系统应通过正式的授权过程使特权分配受到控制。下列步骤要予以GBjT 19716-2005 应标识出每个系统产品,例如,操作系统、数据库管理系统和每个应用相关的特权,以及需要分配特权的工作人员类别;特权应在需要使用的基础上和逐个事件的基础上分配给个人,即,仅当需要时,才为其职能角色分配最低要求;。应维护所分配的各个特权的授权过程及其记录。直到授权过程完成,才授予特权;d) 应促进开发和使用系统例行程序,以避免必需把特权授予用户;e) 特权应
19、分配给其身份与正常业务使用的用户身份不同的用户。9.2.3 用户口令管理口令是一种确认访问信息系统或服务的用户身份的常用手段。口令的分配应通过正式的管理过程加以控制,其方法应=a) 要求用户签署一份声明,以保持个人口令的保密性和组口令仅在该组成员范围内使用(这可包括在雇用条款和条件内,见6.1.4),若要求用户维护其自己的口令,确保他们一开始就具有可强制使其立即变更的临时保密口令。当用户忘记其口令时,在正确识别用户之后,才提供临时口令;要求以安全的方式将临时口令给予用户。要避免用于第三方或不受保护的(明文)电子邮件报文。用户应确认收到口令。口令决不能以不受保护的形式存储在计算机系统内(关于用户
20、标识和鉴别参见其他技术,诸如生物统计学,例如,指纹验证.签名验证和硬件标记的使用,例如,芯片卡,这些技术均可用,如果合适,要考虑这些技术)。9.2.4 用户访问权利的评审为维护对数据和信息服务访问的有效控制,管理层应运期实施一正式过程,以评审用户的访问权利,使得za) 定期(推荐周期为6个月)和在任何变更之后,用户的访问权利要受到评审(见9.2.1);b) 以更频繁的时间间隔评审专门的有特权的访问权利的授权见9.2.2),推荐周期为3个月;c) 定期检查特权分配,以确保不能获得未授权的特权。9.3 用户职责b) ) ED 考虑。a) c) 目的g防止未授权用户访问。已授权用户的合作是有效安全的
21、基础。要让用户了解他对维护有效访问控制的职责,特别是关于口令的使用和用户设备的安全的职责。9.3. 1 口令使用在选择和使用口令时用户应遵守良好的安全习惯。口令提供了确认用户身份的手段,因此,要建立访问信息处理设施和服务的权利。建议所有用户za) 保密口令gb) 避免保留口令的纸记录,除非可以安全地保存;c) 每当有任何迹象表明系统或口令可能受到损害时就变更口令pd) 选择具有最小长度为6个字符的优质口令,这些口令:1) 要易于记忆;2) 不能基于别人可能易于猜出或获得的与使用人相关的信息,例如,名字、电话号码和生日等等;避免连续的相同的字符或全数字或全字母组;3) 24 GB/T 19716
22、-2005 e) 定期或以访问次数为基础变更口令(有特权的账户用的口令应比常规口令更频繁地予以变更),并且避免重新使用汩的口令或周期性使用旧的口令FO 在初次登录时更换临时口令;g) 在任何自动登录过程(例如,以宏或功能键存储)中,不要包含口令gh) 个人的用户口令不要共享。如果用户需要访问多服务或平台,并且要求维护多个口令,则应建议他们可以使用一个优质的口令(见上述d)用于所有服务,而这些服务对所存储的口令提供了合理级别的保护.9, 3.2 无人值守的用户设备用户应确保无人值守的设备具有合适的保护。在用户区域内安装的设备(例如,工作站或文件服务苦酌,在此时间内无人值守时,可以要求特别保护,使
23、其免受未授权访问。所有用户和合同商应了解保护元人值守设备的安全要求和规定以及他们实现这种保护的职责。建议用户应g9.4 a) 当结束时,终止有效会话,除非利用一种合适的锁定机制使它们安全,例如,有口令保护的屏蔽保护程序;当会话结束时退出主计算机即,不仅仅关掉PC或终端hb) c) 当不使用设备时,利用带钥匙的锁或等价控制来保护PC或终端不被未授权使用,例如,口令访问。网络访问控制目的z保护网络服务。对内部和外部网络服务的访问均应加以控制。这是确保访问网络服务的用户不损坏这些网络服务的安全所必需的,应确保z a) 在本组织的网络和其他组织拥有的网络或公共网络之间有合适的界面gb) 对用户和设备有
24、合适的鉴别机制gc) 对用户访问信息服务的控制。9. 4. 1 使用网络服务的策略与网络服务的不安全连接可以影响整个组织。仅向用户提供直接访问专门授权使用的服务。对于与敏感或关键业务应用连接的网络或与高风险位置(例如,超出组织安全管理和控制的公共区域或外部,区域)的用户连接的网络而言,这种控制特别重要。应制定关于使用网络和网络服务的策略。这应包括:a) 允许待访问的网络和网络服务;b) 确定允许谁访问哪些网络和网络服务的授权规程sd 保护访问网络连接和网络服务的管理控制和规程。该策略应与业务访问控制策略相一致(见9.1)。9.4.2 强制路径可能需要控制从用户终端到计算机服务的路径。网络应设计
25、成能允许最大范围的共享资源和路由选择灵活性。这些特征也可能对未授权访问业务应用或未授权使用信息设施提供机会。引人限制用户终端和授权其用户访问的计算机服务之间的路由的控制,例如创建强制路径可以减少这种风险。强制路径的目的是防止任何用户选择的路由超出用户终端和授权用户访问该服务之间的路由a这通常要求在路由的不同点处实施许多控制。该原则是为了在网络的每个点上通过预先定义的选择限制路由选择选项。例如ga) 分配专用线路或电话号码;b) 自动地将端口连接到规定的应用系统或安全网关$25 GB/T 19716-2005 c) 限制各个用户的选单和子选单的选项pd) 防止无限制的网络漫游pe) 对外部网络用
26、户,强制其使用所规定的应用系统和/或安全网关g) 主动控制所允许的源地址经由安全网关(例如,防火墙)到目的地址的通信;g) 通过建立分离的逻辑域,例如,虚拟专用网限制组织范围内的用户群的网络访问(也见9.4.们。强制路径的要求应基于业务访问控制策略(见9.1)。9.4.3 外部连接的用户鉴别外部连接为未授权访问业务信息提供了可能,例如,通过拨号方法的访问。因此,远程用户的访问应受鉴别限制。具有不同类型的鉴别方法,其中某些方法提供比其他方法更高级别的保护,例如,基于使用密码技术的方法可以提供强鉴别。重要的是根据风险评估确定所要求的保护级别。这需要选择合适的鉴别方法。例如,可以使用基于密码技术硬件
27、令牌或询问/响应协议获得远程用户的鉴别。专线或网络用户地址检验设施也可用来提供连接来源的保证。回拨规程和控制,例如使用回拨调制解调器,可以防止与组织信息处理设施的未授权和不希望的连接.这种控制类型可鉴别从远程地点试图与组织网络建立连接的用户。当使用这种控制时,组织应不使用包括前向呼叫的网络服务,或者,如果他们使用了上述这种网络服务,贝tl他们应使这种特性不能使用,以避免与前向呼叫相关的弱点。反向呼叫过程包括确保在组织一侧出现有效断开也是重要的。否则,远程用户可以保持线路开路,假装己出现反向呼叫验证。对于这种可能性,应充分地测试反向呼叫规程和控制。9.4.4 结点鉴别与远程计算机自动连接的设施可
28、能提供获得对业务应用进行未授权访问的方法。因此,应鉴别与远程计算机系统的连接。如果该连接使用超出组织安全管理控制的网络,这样做特别重要。在上述9.4. 3中给出了鉴别的某些例子以及如何获得它。若远程用户组被连接到安全共享的计算机设施,那么,结点鉴别可用作鉴别他们的可替代手段(见9.4.3)。9.4.5 远程诊断端口保护应安全地控制对诊断端口的访问。许多计算机和远程通信系统装配了拨号远程诊断设施,以便供维护工程师使用。如果不受保护,则这些诊断端口提供未授权访问的手段。因此,它们应受到合适的安全机制的保护,例如,带钥匙的锁和规程,以确保只有按照计算机服务管理者和要求访问的硬件/软件支持人员之间的安
29、排才可访问它们。9.4.6 网络分离随着可以要求互连或共享信息处理设施和网络设施的合伙方的形成,网络正在日益扩充超出传统组织边界范围。这样的扩充可能增加对早已存在使用此网络的信息系统进行未授权访问的风险,其中的某些系统由于它们的敏感性或关键性可能要求阻止其他网络用户未授权访问。在这种环境下,应考虑在网络范围内引人控制以分离信息服务群、用户群和信息系统群。控制大型网络安全的一种方法是将该大型网络分成若干独立的逻辑网络域,例如,组织的内部网络域和外部网络域,每个域均受巳定义的安全周边所保护。这样的周边可以通过在被互连的两个网络之间安装一个安全网关来实现,以控制这两个域之间的访问和信息流.这种网关要
30、配置成能过滤这些域之间的通信量(见9.4. 7和9.4.8),并且能按照组织的访问控制策略阻挡未授权访问(见9.1)。这种类型的网关例子是通常称作防火墙的东西。将网络分离成若干域的准则应基于访问控制策略和访问要求(见g.1) ,还要考虑到相关成本和加入适合的网络路由选择的性能影响或网关技术(见9.4. 7和9.4.衍。- G/T 19716一20059.4.7 网络连接控制共享网络特别是扩充跨越组织边界的那些共享网络的访问控制策略要求,可能需要引人控制,以限制用户的连接能力。这样的控制可以通过网关来实现,该网关借助预先定义的表或规则过滤通信量。所应用的限制应基于业务应用的访问策略和要求(见9.
31、1)并应相应地进行维护和更新.施加限制的应用例子有=a) 电子邮件;b) 单向文件传送gc) 双向文件传送pd) 交互式访问;e) 与时刻或日期相关联的网络访问。9.4.8 网络路由选择控制共享网络,可以要求引人路由选择控制,特别是扩充跨越组织边界的那些共享网络,以确保计算机连接和信息流不违反业务应用的访问控制策略(见9.1)。对于与第三方(非组织)用户共享的网络,这种控制通常是必需的.路由选择控制应基于确定的源地址和目的地址检验机制。为了隔离网络和阻止路由从某一组织的网络扩展到另一组织的网络,网络地址变换也是一种很有用的机制。它们可以用软件或硬件来实现。实现者要了解所采用的机制的强度。9.4
32、.9 网络服务的安全各种各样的公共网络服务和专用网络服务都是可用的,其中某些服务提供增值服务团网络服务可以有独特的或复杂的安全特性。使用网络服务的组织应确保提供一种对所使用的各种服务的安全属性的清晰描述。9.5 操作系统访问控制目的z防止未授权计算机访问。操作系统级的安全设施应该用来限制访问计算机资源。这些设施应能做下列事情ga) 标识和验证每个授权用户的身份,如果需要,还标识和验证每个授权用户的终端或位置;b) 记录成功和失败的系统访问;c) 提供合适的鉴别手段,如果使用口令管理系统,则它应确保优质口令(见9.3.1d), d) 若合适,限制用户的连接次数。如果在业务风险的基础上,证明其他的
33、访问控制方法(诸如,询问响应)是正确的,则这些访问控制方法是可用的。9. 5. 1 自动化终端标识为鉴别与特定位置和便携式设备的连接,应考虑自动化终端标识。如果重要的会话只能从特定位置或计算机终端进行启动,那么,自动化终端标识就是一种可以使用的技术。终端的或与终端连接的标识符可用来指示是否允许这个特定终端启动或接收特定事务。将物理保护应用于终端以维护终端标识符的安全,可能是必要的。许多其他技术也可用来鉴别用户(见9.4.3)。9.5.2 终端登录规程经由安全登录过程可得到对信息服务的访问。登录到计算机的规程应设计成能使未授权访问的机会减到最小。因此,登录规程泄露出关于系统的信息最少,以避免向未
34、授权用户提供不必要的帮助。良好的登录规程应ga) 不显示系统或应用标识符,直到登录过程已成功完成为止;b) 显示通用告警通知,只有己授权的用户才能访问本计算机;。在登录过程期间,不提供对未授权用户有辅助作用的帮助消息;27 GB/T 19716-2005 d) e) 仅在所有输入数据完成时,才确认登录信息。如果出现差错情况,则该系统不应指出数据的哪一部分是正确的或不正确的;限制所允许的不成功登录尝试的次数(推荐3次)并考虑$1) 记录不成功的尝试;2) 在允许进一步登录尝试之前,强加一次延迟,或在没有特定授权情况下拒绝任何进一步的尝试,f) g) 3) 断开数据链路连接g限制登录规程所允许的最
35、大和最小时间。如果超时,则系统应终止登录;在成功登录完成时,显示下列信息21) 前次成功登录的日期和时间g2) 自最后成功登录以来,任何不成功登录尝试的细节。9.5.3 用户标识和鉴别所有用户(包括技术支持人员,诸如操作者,网络管理员、系统程序员和数据库管理员)应该拥有并只能使用他们个人专用的唯一标识符(用户I凹,以使得各个活动可以追踪到各个责任人。用户ID应不给出用户特权级别的任何指示见9.2.2),例如,管理者,超级用户。在例外环境下,如果存在清晰的业务好处,可以使用一群用户或一项特定作业共享的用户ID的用法。对于这样的情况,应将经管理的批准形成文挡。为维护可核查性,可以要求附加的控制。有
36、各种鉴别规程,它们可用来证明声称的用户身份。口令(也见9.3. 1和下面的条款)是一种很通常的提供标识和鉴别O&A)的方法,因为它基于只有该用户知道的秘密。使用密码手段和鉴别规程也可以获得同样的结果。用户拥有的客体(诸如记忆令牌或智能卡)也可以用于r&.A。利用个人的唯一特征或属性的生物统计鉴别技术也可用来鉴别个人的身份。机制和技术的安全组合将产生更强的鉴别。9.5.4 口令管理系统口令是确认用户访问计算机服务权限的主要手段之一。口令管理系统应提供有效的、交互式的、确保优质口令的装置(关于口令使用的指南见9.3. 1)。某些应用要求由某个独立机构分配的用户口令。在大多数情况下,口令由用户选择和
37、维护。良好的口令管理系统应:a) 强制使用个人口令,以维护可核查性;b) 若合适,允许用户选择和变更他们自己的口令,并且包括证实规程,以便考虑到输入出错的情况;c) 强制选择9.3. 1中描述的优质口令;d) 若用户维护而门自己的口令,则强制口令按9.3. 1描述进行变Ld 若用户选择口令,则在第一次登录时强制他们变更临时的口令g1) 维护一份先前用户口令的记录,例如在先前12个月内,并且防止重复使用pg) 当正在录人时,在屏幕上不显示口令;h) 分开存储口令文件和应用系统数据$0 用单向加密算法的加密形式存储口令pj) 在软件安装之后,变更默认的厂商口令。9.5.5 系统实用程序的使用大多数
38、计算机都装有一个或多个系统实用程序,而该系统实用程序可能能够超越系统控制和应用控制。必需限制和严格地控制它们的使用。应考虑下列控制2a) 对于系统实用程序,使用鉴别规程;b) 将系统实用程序和应用软件分开;28 一一一-一L_ I c) 限制系统实用程序的使用,将实际的所信任的、己授权的用户数降到最小gd) 应对系统实用程序的特别使用授权Pe) 限制系统实用程序的可用性,例如,在已授权变更的持续期内$0 记录系统实用程序的所有使用pg) 对系统实用程序的权限级别进行定义并形成文挡gh) 移去基于实用程序和系统软件的所有不必要软件。9.5.6 保护用户的强制报警GB/T 19716-2005 对
39、于可能是强制目标的用户,应考虑强制报警措施。决定是否提供这样的报警应基于风险的评估。为响应强制报警,要有定义的职责和规程。9.5.7 终端超时超过一段所定义不活动的时限,应关闭在高风险佼置(例如,超出组织安全管理的公共或外部区域)或服务高风险系统的不活动的终端,以防止未授权个人访问。超过一段所定义不活动的时限,该超时设备应清空终端屏幕,并关闭应用和网络会话.超时延迟应反映该区域和终端用户的安全风险.对某些清空其屏幕并防止未授权访问,但没有关闭应用或网络会话的PC机可以提供一种受限制的终端超时设备形式。9.5.8 连接时间的限制连接时间的限制应对高风险应用提供添加的安全。限制允许终端连接计算机服
40、务的周期以减少未授权访问机会。对于敏感的计算机应用,特别是安装在高风险位置(例如,超出组织安全管理的公共区域或外部区域)的终端的那些应用,应考虑这样的控制。这种限制的例子包括za) 使用预先定义的时隙,例如,对成批文件传输或短持续期的定期交互会话pb) 如果对超出时间或延长时间的操作没有要求,则将连接时间限于正常办公时间。9.6 应用访问控制目的2防止未授权访问保存在信息系统中的信息。安全设施应该用来将访问限制在应用系统之内。对软件和信息的逻辑访问只限于已授权的用户。应用系统应ga) 按照定义的业务访问控制策略,控制用户访问信息和应用系统功能;b) 对能够超越系统控制或应用控制的任何实用程序和
41、操作系统软件提供免遭未授权访问的保护$c) d) 不损坏共享信息资源的其他系统的安全;只能够向责任人、其他指定的授权个人或定义的用户群提供信息访问。9. 6. 1 信息访问限制应按照定义的访问控制策略,基于各个业务应用要求和符合组织的信息安全策略向应用系统的用户(包括支捋人员)提供对信息和应用系统功能的访问(见9.1)。为了支持访问限制要求,应考虑下列控制ga) b) c) d) 提供控制访问应用系统功能的选单;使用适当编辑用户文档来限制用户对未授权访问的信息或应用系统功能的了解;控制用户的访问权利,例如,读、写、删除和执行;确保处理敏感信息的应用系统的输出仅包含与使用输出相关的信息,并且仅发
42、送给己授权的终端和地点,包括周期性评审这种输出,以确保去掠多余信息。9.6.2 敏感系统隔离敏感系统可能要求一种专用的(隔离的)计算环境。某些应用系统对信息的可能丢失十分敏感,因此要求特别处理这些信息。敏感性可以指示该应用系统应运行在专用的计算机上、仅与可信的应用系29 , GB/T 19716-2005 统共享资源或该应用系统没有任何限制。下列考虑适用9.7 a) 应由应用拥有者显式地标识出应用系统的敏感性,并将其形成文档(几4.1.3);b) 当敏感应用在共享的环境中运行时,与其共享资源的应用系统应予以标识并与敏感应用的拥有者商定。对系统访问和使用的监督目的g检测未授权活动.为检测偏离访问
43、策略,并记录可监督事件,以便在万一有安全事故时提供证据,应对系统进行监督。系统监督提供检验所采用的控制的有效性和验证它与访问策略模型(见9.1)的符合性。9.7. 1 事件记录为辅助将来调查和访问控制监督,应产生记录异常情况和其他有关安全的事件的审核日志并保存一段时间。审核日志应包括sa) 用户ID;b) 登录和退出的日期和次数$0 若有可能,终端身份或位置?d) 成功的和被拒绝的对系统尝试访问的记录ge) 成功的和被拒绝的对数据以及其他资源尝试访问的记录。某些审核日志需要存档,这是由于它可以作为记录保留策略的一部分,或由于收集证据的需要(也见第12章)。9.7.2 对系统使用的监督9. 7.
44、 2. 1 凤险规程和区域应建立监督信息处理设施使用的规程。这些规程对确保用户仅执行己显式授权的活动是必要的。各个设施所要求的监督级别应通过风险评估来确定。应考虑的区域包括:30 a) 己授权的访问,包括诸如下列细目b) c) d) 1) 用户ID;2) 关键事件的日期和时间;3) 事件的类型g。所访问的文件;5) 所使用的程序/实用程序;所有有特权的操作,诸如21) 超级用户账户的使用;2) 系统启动和停止;3) 1/0设备连接/断开p未授权访问尝试,诸如:1) 失败的尝试;2) 对于网关和防火墙的访问策略违规和通知p3) 来自专有的入侵检测系统的警报g系统警报或故障,诸如:1) 控制台警报或消息;2) 系统日志异常,3) 网络管理报警。GB/T 19716一20059.7.2.2 风险因素监督活动的结果应定期评审。评审的频度取决于所涉及的风险。应考虑的风险因素包括:a) 应用进程的关键程度,二b) 所
