GB T 20271-2006 信息安全技术.信息系统通用安全技术要求.pdf

1、ICS 35.040 L 80 gB 和国国家标准-=:u二-、中华人民GB/T 20271-2006 信息安全技术信息系统通用安全技术要求Information security technology-Common security techniques requirement for information system 2006-05-31发布中华人民共和国国家质量监督检验检瘦总局中国国家标准化管理委员必2006-12-01实施GB/T 20271-2006 目次前言.v 引言ul 范围2 规范性引用文件.3 术语、定义和缩略语13. 1 术语和定义3.2 缩略语44 安全功能技术要求4

2、. 1 物理安全4. 1. 1 环境安全44. 1. 2 设备安全-4. 1. 3 记录介质安全4.2 运行安全4.2.1 风险分析4.2.2 信息系统安全性检测分析4.2.3 信息系统安全监控.4. 2. 4 安全审计4.2.5 信息系统边界安全防护104.2.6 备份与故障恢复114.2.7 恶意代码防护114.2.8 信息系统的应急处理4.2.9 可信计算和可信连接技术124. 3 数据安全124.3.1 身份鉴别124.3.2 抗抵赖4.3.3 自主访问控制144.3.4 标记u4. 3. 5 强制访问控制154.3.6 用户数据完整性保护164.3.7 用户数据保密性保护164.3.

3、8 数据流控制4.3.9 可信路径174. 3. 10 密码支持175 安全保证技术要求175. 1 SSOIS自身安全保护 17 5. 1. 1 SSF物理安全保护175. 1. 2 SSF运行安全保护175. 1. 3 SSF数据安全保护四GB/T 20271-2006 Qdnunu门U1iqJUA哇JhU巧ioooOQUQununvnv八U门v1itIq内LqiuqunJAUA哇哇Unb巧i巧i7OOQdAV-?HnLqqu401I?门49门49。fuq99年?内49。缸nJnJquqdnJquqJqdqJqdqunJquqJnJnJqJqJququqJA哇A哇4A44&A吐A且44理管

4、求理中要级uuA管集级在户UU护户口UU护与的等护倒现.护保现ju保现.呗制用制现理理理义制分摊全实理情全实理明全实理倒全和控实持理管管管定机才自安和管制安和管们安和管创源问和作uu支定管的的的的全技身计全身计全中u身计全资访计理操求期评全能性据色安全户全全全自设安统全全全自设安全全全全自设安构全全全自用弓安巴巴设管和要周性安功属数角巴安安安安巴巴曰:安安安巴巴巴安安安巴巴巴安安安moos置发发档存试弱SF全F全O统级理行据000级理行据000级理行据000级理行据。但旺。配分开文生测脆Omm安岱安mm系一物运数民叩mmu二物运数白白白三物运数mmu部囚物运数mm旦旦息第第第第45123456

5、712JJ5信12345612345612345612341L1iq臼9?u9年99?9年quqJquqJqJJ1141i1i1i-A-1-7-q49q99?ndqJqJqJnJndnJA吐4&AT4AA吐门HUFUFUEDEDFORdRUE3RU严bFURUFURUFUEDnb0hunbpbnbnbbbbnb0卢bbnbpbpb月bn0月bbnOPOPOPb0bGB/T 20271-2006 6.4.5 SS01S设计和实现 47 6.4.6 SSOIS安全管理 48 6.5 第五级:访问验证保护级486. 5. 1 物理安全46.5.2 运行安全496.5.3 数据安全506.5.4 SS

6、OIS自身安全保护 52 6. 5. 5 SSIS设计和实现 53 6.5.6 SSOIS安全管理 M 附录A(资料性附录)标准概念说明人l 组成与相互关系八.2关于安全保护等级的划分mA.3 关于主体、客体A. 4 关于SSOIS、SSF、SSP、SFP及其相互关系MA.5 关于密码技术MA.6 关于信息安全技术等级和信息系统安全等级附录B(资料性附录)等级化信息系统安全设计参考. . . . . . . . . . . . ., . . 58 B. 1 安全需求与分等级保护B. 1.1 确定安全需求的基本方法四B. 1. 2 分等级保护的基本思想 58 B. 1.3 划分安全保护等级的假定

7、B. 1.4 划分和确定安全保护等级的原则和方法B. 2 信息系统安全设计概述 m B.2.1 信息系统安全设计总体说明 U B. 2. 2 信息系统安全的组成与相互关系 m 13. Z. 3 等级化信息系统安全的设计 63 附录资料性附录)安全技术要素与安全技术分等级要求的对应关系68参考文献. . . . . . . . . . . . . . . . ., . ., 78 mm GB/T 20271一2006前言本标准的附录A、附录B、附录C是资料性附录。本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位:北京思源新创信息安全资讯有限公司，江南计算技术研究所技术服务中心。本标

8、准主要起草人:吉增瑞、王志强、陈冠直、景乾元、宋健平。V G/T 20271-2006 百|本标准主要从信息系统安全保护等级划分的角度，说明为实现GB17859-1999中每一个安全保护等级的安全功能要求应采取的安全技术措施，以及各安全保护等级的安全功能在具体实现上的差异。一个复杂的大型/巨大型信息系统可以由若干个分系统或子系统组成。无论从全系统、分系统或子系统的角度，信息系统一般由支持软件运行的硬件系统(含计算机硬件系统和网络硬件系统)、对系统资源进行管理和为用户使用提供基本支持的系统软件(含计算机操作系统软件、数据库管理系统软件和网络协议软件和管理软件)、实现信息系统应用功能的应用系统软件

9、等组成。这些硬件和软件共同协作运行，实现信息系统的整体功能。从安全角度，组成信息系统各个部分的硬件和软件都应有相应的安全功能，确保在其所管辖范围内的信息安全和提供确定的服务。这些安全功能分别是:确保硬件系统安全的物理安全，确保数据网上传输、交换安全的网络安全，确保操作系统和数据库管理系统安全的系统安全(含系统安全运行和数据安全保护)，确保应用软件安全运行的应用系统安全(含应用系统安全运行和数据安全保护)。这四个层面的安全，再加上为保证其安全功能达到应有的安全性而必须采取的管理措施，构成了实现信息系统安全的五个层面的安全。其实，在这五个层面中，许多安全功能和实现机制都是相同的。比如，身份鉴别、审

10、计、访问控制、保密性保护、完整性保护等，在每一层都有体现，并有相应的安全要求。本标准对这些安全功能的描述是从安全技术的角度进行的，每一个安全技术的要求(含功能要求和保证要求)具有普遍的适用性，比如，对身份鉴别的描述既适用于操作系统，也适用于网络系统、数据库管理系统和应用系统。这种按安全要素对安全技术要求进行描述的方法，具有简洁、清晰的优点。本标准大量采用了GB/T18336-200lC idt ISO/IEC 15408: 1999)的安全功能要求和安全保证要求的技术内容，并按GB17859-1999的五个等级，对其进行了相应的等级划分。本标准首先对信息安全等级保护所涉及的安全功能技术要求和安

11、全保证技术要求做了比较全面的描述，然后按GB17859-1999的五个安全保护等级，对每一个安全保护等级的安全功能技术要求和安全保证技术要求做了详细描述。需要特别说明的是，信息安全技术等级和信息系统安全等级是两个既有联系又不相同的概念。本标准是对不同安全等级的信息安全技术要求的描述。信息技术安全等级是根据安全功能技术和安全保证技术实现上的差异，参考国、内外已有标准并结合我国当前信息系统安全的实际情况确定的。而信息系统的安全等级是根据信息系统的安全需求、参照所采用的安全技术的等级确定的(有关概念的详细说明，见A.6关于信息安全技术等级与信息系统安全等级人为了帮助读者运用这些安全技术设计和实现不同

12、安全等级的信息系统，附录B给出了等级化信息系统安全设计参考。附录C给出信息系统安全技术要素与安全技术分等级要求之间的对应关系。表C.1是安全功能技术要素与安全功能技术分等级要求的对应关系;表C.2是安全保证技术要素与安全保证技术分等级要求的对应关系。第6章是对各个安全保护等级安全功能技术要求和安全保证技术要求的具体描述。为清晰表示每一个安全等级比较低一级安全等级的安全技术要求的增加和增强，每一级的新增部分用宋体加粗字表示。VI GB/T 20271-2006 信息安全技术信息系统通用安全技术要求1 范围本标准依据GB17859-1999的五个安全保护等级的划分，规定了信息系统安全所需要的安全技

13、术的各个安全等级要求。本标准适用于按等级化要求进行的多钟时玩的时实现，对按等级化要求进行的信息系统安全的测试和管理可参照使用。2 规范性引用文件下列文件中的条的修改单(不包括勘误GB 17859 3. 1. 1 信息系统安信息系统及3. 1.2 信息系统通用实现各种类型的3. 1. 3 信息系统安全子系信息系统内安全保护一个基本的信息系统安全保注:按照GB17859-1999对3.1 . 4 安全要素security element 引用文件，其随后所有达成协议的各方研究标准。略的组合体。它建立了服务。本标准中的安全功能技术要求和安全保证技术要求所包含的安全内容的组成成分。3. 1. 5 安全

14、功能策略security function policy 为实现SSOIS安全要素要求的功能所采用的安全策略。3. 1. 6 安全功能security function 为实现安全要素的要求，正确实施相应安全功能策略所提供的功能。1 GB/T 20271-2006 3. 1.7 安全保证security assurance 为确保安全要素的安全功能达到要求的安全性目标所采取的方法和措施。3. 1. 8 SSOIS安全策略SSOIS security poJicy 对SSOIS中的资源进行管理、保护和分配的一组规则。-个SSOIS中可以有一个或多个安全策略。3. 1.9 SSOIS安全功能SSO

15、IS security function 正确实施SSOIS安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现，组成一个SSOIS安全功能模块。一个SSOIS的所有安全功能模块共同组成该SSOIS的安全功能。3. 1. 10 SSF控制范围SSF scope of control SSOIS的操作所涉及的主体和客体的范围。3. 1. 11 用户标识user identification 用来标明用户的身份，确保用户在系统中的唯一性和可辨认性。一般以用户名称和用户标识符(UID)来标明系统中的用户。用户名称和用户标识符都是公开的明码信息。3. 1. 12 用户鉴别user auth

16、entication 用特定信息对用户身份的真实性进行确认。用于鉴别的信息一般是非公开的、难以仿造的。3. 1. 13 用户一主体绑定user- subject binding 用一定方法将指定用户与为其服务的主体(如进程)相关联。3. 1. 14 主、害体标记label of subject and object 为主、客体指定敏感标记。这些敏感标记是等级分类和非等级类别的组合，是实施强制访问控制的依据。3. 1. 15 安全属性security aUribute 用于实施安全策略，与主体、客体相关的信息。对于自主访问控制，安全属性包括确定主、客体访问关系的相关信息;对于采用多级安全策略模型

17、的强制访问控制，安全属性包括主、客体的标识信息和安全标记信息。3. 1. 16 自主访问控制discretionary access control 由客体的所有者主体自主地规定其所拥有客体的访问权限的方法。有访问权限的主体能按授权方式对指定客体实施访问，并能根据授权，对访问权限进行转移。3. 1. 17 强制访问控制mandatory access control 由系统根据主、客体所包含的敏感标记，按照确定的规则，决定主体对客体访问权限的方法。有访问权限的主体能按授权方式对指定客体实施访问。敏感标记由系统安全员或系统自动地按照确定的规则进行设置和维护。GB/T 20271-2006 3.

18、1. 18 回退rollback 由于某种原因而撤消上次/一系列操作，并返回到该操作以前的已知状态的过程。3. 1. 19 可信信道trusted channel 为了执行关键的安全操作，在SSF与其他可信IT产品之间建立和维护的保护通信数据免遭修改和泄漏的通信路径。3.1.20 可信路径trusted path 为实现用户与SSF之间的可信通信，在SSF与用户之间建立和维护的保护通信数据免遭修改和泄漏的通信路径。3. 1.21 公开用户数据published user data 信息系统中需要向所有用户公开的数据。该类数据需要进行完整性保护。3.1.22 内部用户数据internal use

19、r data 信息系统中具有一般使用价值或保密程度，需要进行一定保护的用户数据。该类数据的1世漏或破坏，会带来一定的损失。3. 1. 23 重要用户数据important user data 信息系统中具有重要使用价值或保密程度，需要进行重点保护的用户数据，该类数据的泄露或破坏，会带来较大的损失。3. 1. 24 关键用户数据key user data 信息系统中具有很高使用价值或保密程度，需要进行特别保护的用户数据，该类数据的泄漏或破坏，会带来重大损失。3. 1. 25 核心用户数据nuclear user data 信息系统中具有最高使用价值或保密程度，需要进行绝对保护的用户数据，该类数据

20、的泄漏或破坏，会带来灾难性损失。3. 1. 26 窑错tolerance 通过一系列内部处理措施，将软、硬件所出现的错误消除掉，确保出错情况下SSOIS所提供的安全功能的有效性和可用性。3. 1. 27 服务优先级priority of service 通过对资源使用的有限控制策略，确保SSOIS中高优先级任务的完成不受低优先级任务的干扰和延误，从而确保SSOIS安全功能的安全性。3.1.28 资源分配resource allocation 通过对SSOIS安全功能控制范围内资源的合理管理和调度，确保SSOIS的安全功能不因资源使用方面的原因而受到影响。3 GB/T 20271一20063.

21、1. 29 配置管理configuration management 一种建立功能要求和规范的方法。该功能要求和规范是在SSOIS的执行中实现的。3. 1. 30 配置管理系统configuration management system 通过提供追踪任何变化，以及确保所有修改都已授权的方法，确保SSOIS各部分的完整性。3. 1. 31 保护轮廓protection profile 详细说明信息系统安全保护需求的文挡，即通常的安全需求，一般由用户负责编写。3. 1. 32 安全目标security target 阐述信息系统安全功能及信任3. 1. 33 SSOIS安全管理SSOIS 对与S

22、SOIS安全相关方进行规定，对分散在多个物处理。3. 1. 34 安全功能数据安全子系统中各息，鉴别信息等。3.2 缩略语下列缩略语适用CM 配置CMS 配置管理PP 保护轮廓SFP SSC SSF SSP SSOIS安全策SSOIS 信息系统安全ST 安全目标secunty 4 安全功能技术要求4. 1 物理安全4. 1. 1 环境安全4. 1. 1. 1 中心机房的安全保护4. 1. 1. 1. 1 机房场地选择根据对机房安全保护的不同要求，机房场地选择分为:a) 基本要求:按一般建筑物的要求进行机房场地选择;b) 防火要求:避开易发生火灾和危险程度高的地区，如油库和其他易燃物附近的区域;

23、c) 防污染要求:避开尘埃、有毒气体、腐蚀性气体、盐雾腐蚀等环境污染的区域;d) 防潮及防雷要求:避开低洼、潮湿及落雷区域;4 性，审计信GB/T 20271一2006e) 防震动和噪声要求:避开强震动源和强噪声源区域;f) 防强电场、磁场要求:避开强电场和强磁场区域;g) 防地震、水灾要求:避开有地震、水灾危害的区域;h) 位置要求:避免在建筑物的高层以及用水设备的下层或隔壁;i) 防公众干扰要求:避免靠近公共区域，如运输通道、停车场或餐厅等。4. 1. 1. 1. 2 机房内部安全防护根据对机房安全保护的不同要求，机房内部安全防护分为:a) 机房出入:机房应只设一个出入口，并有专人负责，未

24、经允许的人员不准进入机房;另设若干紧急疏散出口，标明疏散线路和方向;、，/hu d) 、，10 d) 点嗡育能空军妃到火害灭等U灭损和器J和和警制源警量报控电报g) 4. 1. 1. 1. 4 机房供、配电根据对机房安全保护的不同要求，机房供、配电分为:a) 分开供电:机房供电系统应将计算机系统供电与其他供电分开，并配备应急照明装置;b) 紧急供电:配置抵抗电压不足的基本设备，如UPS;c) 紧急供电:配置抵抗电压不足的改进设备，如基本UPS、改进UPS、多级UPS;d) 紧急供电:配置抵抗电压不足的更强设备，如基本UPS、改进的UPS、多级UPS和应急电源(发电机组)等;e) 备用供电:建立

25、备用的供电系统，以备常用供电系统停电时启用，完成对运行系统必要的保留;5 G/T 20271一2006f) 稳压供电:采用线路稳压器，防止电压波动对计算机系统的影响;g) 电源保护:设置电源保护装置，如金属氧化物可变电阻、硅雪崩二极管、气体放电管、滤波器、电压调整变压器和浪涌滤波器等，防止/减少电掘发生故障;h) 不间断供电:采用不间断供电电源，防止电压波动、电器干扰、断电等对计算机系统的影响;i) 电器噪声防护:采取有效措施，减少机房中电器噪声干扰，保证计算机系统正常运行;j) 突然事件防护:采取有效措施，防止/减少供电中断、异常状态供电(指连续电压过载或低电压)、电庄瞬变、噪声(电磁干扰)

26、以及由于雷击等引起的设备突然失效事件。4. 1. 1. 1.5 机房空调、降温根据对机房安全保护的不同要求，机房空调、降温分为:a) 基本温度要求:应有必要的空调设备，使机房温度达到所需的温度要求;b) 较完备空调系统:应有较完备的中央空调系统，保证机房温度的变化在计算机系统运行所允许的范围;c) 完备空调系统:应有完备的中央空调系统，保证机房各个区域的温度变化能满足计算机系统运行、人员活动和其他辅助设备的要求。4. 1. 1. 1. 6 机房防水与防潮根据对机房安全保护的不同要求，机房防水与防潮分为:a) 水管安装要求:水管安装，不得穿过屋顶和活动地板下，穿过墙壁和楼板的水管应使用套管，并采

27、取可靠的密封措施:b) 水害防护:采取一定措施，防止雨水通过屋顶和墙壁渗透、室内水蒸气结露和地下积水的转移与渗透;c) 防水检测:安装对水敏感的检测仪表或元件，对机房进行防水检测，发现水害，及时报警;d) 排水要求:机房应设有排水口，并安装水泵，以便迅速排出积水。4. 1. 1. 1. 7 机房防静电根据对机房安全保护的不同要求，机房防静电分为za) 接地与屏蔽:采用必要的措施，使计算机系统有一套合理的防静电接地与屏蔽系统;b) 服装防静电:人员服装采用不易产生静电的衣料，工作鞋选用低阻值材料制作;c) 温、湿度防静电:控制机房温温度，使其保持在不易产生静电的围内;d) 地板防静电:机房地板从

28、表面到接地系统的阻值，应在不易产生静电的范围;e) 材料防静电:机房中使用的各种家具，工作台、柜等，应选择产生静电小的材料;f) 维修MOS电路保护:在硬件维修时，应采用金属板台面的专用维修台，以保护MOS电路;g) 静电消除要求:在机房中使用静电消除剂和静电消除器等，以进一步减少静电的产生。4. 1. 1. 1. 8 机房接地与防雷击6 根据对机房安全保护的不同要求，机房接地与防雷击分为:a) 接地要求:采用地桩、水平栅网、金属板、建筑物基础钢筋构建接地系统等，确保接地体的良好接地;b) 去娟、滤搜要求:设置信号地与直流电源地，并注意不造成额外祸合，保障去棉、滤放等的良好效果;c) 避雷要求

29、:设置避雷地，以深埋地下、与大地良好相通的金属板作为接地点;至避雷针的引线则应采用粗大的紫铜条，或使整个建筑的钢筋自地基以下焊连成钢筋网作为大地与避雷针相连;d) 防护地与屏蔽地要求:设置安全防护地与屏蔽地，采用阻抗尽可能小的良导体的粗线，以减小各种地之间的电位差;应采用焊接方法，并经常检查接地的良好，检测接地电阻，确保人身、设备和运行的安全;GBjT 20271-2006 e) 交流电源地线要求:设置交流电源地线;交流供电线应有规范连接位置的三芯线，即相线、中线和地线，并将该地线连通机房的地线网，以确保其安全保护作用。4. 1. 1. 1. 9 机房电磁防护根据对机房安全保护的不同要求，机房

30、电磁防护分为:a) 接地防干扰:采用接地的方法，防止外界电磁和设备寄生搞合对计算机系统的干扰;b) 屏蔽防干扰:采用屏敲方法，减少外部电器设备对计算机系统的瞬间干扰;c) 距离防干扰:采用距离防护的方法，将计算机机房的位置选在外界电磁干扰小的地方和远离可能接收辐射信号的地方;d) 电磁1世漏发射防护:应采用必要措施，防止计算机设备产生的电磁泄漏发射造成信息泄露;的介质保护:对磁带、磁盘等磁介质设备的保管存放，应注意电磁感应的影响，如使用铁制柜存放;f) 机房屏蔽:采用屏破方法，对计算机机房进行电磁屏蔽，防止外部电磁场对计算机设备的干扰，防止电磁信号泄漏造成的信息泄露。4. 1. 1.2 通信线

31、路的安全防护根据对通信线路安全的不同要求，通信线路安全防护分为:a) 确保线路畅通:采取必要措施，保证通信线路畅通;b) 发现线路截获:采取必要措施，发现线路截获事件并报警;c) 及时发现线路截获:采取必要措施，及时发现线路截获事件并报警;d) 防止线路截获:采取必要措施，防止线路截获事件发生。4. 1. 2 设备安全4. 1. 2. 1 设备的防盗和防毁根据对设备安全的不同要求，设备的防盗和防毁分为:a) 设备标记要求:计算机系统的设备和部件应有明显的无法除去的标记，以防更换和方便查找赃物;b) 计算中心防盗:计算中心应安装防盗报警装置，防止夜间从门窗进入的盗窃行为;c) 计算中心防盗:计算

32、中心应利用光、电、无源红外等技术设置机房报警系统，并有专人值守，防止夜间从门窗进入的盗窃行为;d) 计算中心防盗:利用闭路电视系统对计算中心的各重要部位进行监视，并有专人值守，防止夜间从门窗进入的盗窃行为;e) 机房外部设备防盗:机房外部的设备，应采取加国防护等措施，必要时安排专人看管，以防止盗窃和破坏。4. 1. 2. 2 设备的安全可用根据对设备安全的不同要求，设备的安全可用分为:a) 基本运行支持:信息系统的所有设备应提供基本的运行支持，并有必要的容错和故障恢复能力;b) 设备安全可用:支持信息系统运行的所有设备，包括计算机主机、外部设备、网络设备及其他辅助设备等均应安全可用;c) 设备

33、不间断运行:提供可靠的运行支持，并通过容错和故障恢复等措施，支持信息系统实现不间断运行。4.1.3 记录介质安全根据对设备安全的不同要求，记录介质安全分为:a) 公开数据介质保护:存放有用数据的各类记录介质，如纸介质、磁介质、半导体介质和光介质等，应采取一定措施防止被毁和受损;7 GB/T 20271-2006 b) 内部数据介质保护:存放内部数据的各类记录介质，如纸介质、磁介质、半导体介质和光介质等，应采取一定措施，防止被盗、被毁和受损;需要删除和销毁的内部数据，应有一定措施，防止被非法拷贝;c) 重要数据介质保护:存放重要数据的各类记录介质，如纸介质、磁介质、半导体介质和光介质等，应采取较

34、严格的保护措施，防止被盗、被毁和受损;应该删除和销毁的重要数据，要有有效的管理和审批手续，防止被非法拷贝;d) 关键数据介质保护:存放关键数据的各类记录介质，如纸介质、磁介质、半导体介质和光介质等，应采取严格的保护措施，防止被盗、谊毁和受损;需要删除和销毁的关键数据，要有严格的，厨止被非法亨凯，洞，并咕f) 采用风陆可能性等4.2.2 信息系统安根据对信息系统b) 些风险c) 对常见町、行为、T%炸啤、破坏活动、偷窃运行期的安全漏许可、文件宿主、网络服务设置、账户设且、操作系统的安全因、飞，LU c) 网络系统安全性检测分析:采用侵袭模拟器，通过在网络设备的关键部位，用模拟侵袭的方法，自动扫描

35、、检查并报告网络系统中(包括安全网络系统的各个组成部分，如防火墙等)存在的缺陷和漏洞，提出补救措施，达到增强网络安全性的目的;d) 应用系统安全性检测分析:对所开发的应用系统进行系统运行的安全性检测分析，要求通过扫描应用系统中与鉴别、授权、访问控制和系统完整性有关的特定的安全脆弱性，分析其存在的缺陷和漏洞，提出补救措施;e) 硬件系统安全性检测分析:对支持系统运行的硬件系统进行安全性检测，通过扫描硬件系统中与系统运行和数据保护有关的特定安全脆弱性(包括电磁泄漏发射和电磁干扰等)，分析其存在的缺陷和漏洞，提出补救措施;8 GB/T 20271-2006 f) 攻击性检测分析:对重要的信息系统作攻

36、击性检测，通过专业技术攻击检测检查系统存在的缺陷和漏洞，提出补救措施。4. 2. 3 信息系统安全监控信息系统安全监控应采用以下方法:a) 安全探测机制:在组成信息系统的计算机、网络的各个重要部位，设置探测器，实时监听网络数据流，监视和记录内、外部用户出入网络的相关操作。在发现违规模式和未授权访问时，报告信息系统安全监控中心。b) 4. 2.4 4. 2.4. 1 安全审:ltf.、安全审计Sd) 4.2. 4.2 安全b) 对于每一个、其他与审计相全级。4.2. 4. 3 安全审计分析根据对安全审计的不同要求，安全审计分析分为:来自探测器的信息，根据安全策略进行分析，并号听开，并使其失效。、

37、事件类型、事件是否成功，及a) 潜在侵害分析:用一系列规则监控审计事件，并根据这些规则指出对SSP的潜在侵害。这些规则包括:一一由己定义的可审计事件的子集所指示的潜在安全攻击的积累或组合;一一任何其他的规则。b) 基于异常检测的描述:维护用户所具有的质疑等级历史使用情况，以表明该用户的现行活动与已建立的使用模式的一致性程度。当用户的质疑等级超过门限条件时，能指出将要发生对安全性的威胁。9 GB/T 20271-2006 c) 简单攻击探测:能检测到对SSF的实施有重大威胁的签名事件的出现。为此，SSF应维护指出对SSF侵害的签名事件的内部表示，并将检测到的系统行为记录与签名事件进行比较，当发现

38、两者匹配时，指出一个对SSF的攻击即将到来。d) 复杂攻击探测:在上述简单攻击探测的基础上，能检测到多步入侵情况，并根据己知的事件序列模拟出完整的入侵情况，指出发现对SSF的潜在侵害的签名事件或事件序列的时间。4.2.4.4 安全审计查阅根据对安全审计的不同要求，安全审计查阅分为:a) 基本审计查阅:提供从审计记录中读取信息的能力，即为授权用户提供获得和解释审计信息的能力。当用户是人时，必须以人类可懂的方式表示信息;当用户是外部IT实体时，必须以电子方式无歧义地表示审计信息。b) 有限审计查阅:在基本审计查阅的基础上，应禁止具有读访问权限以外的用户读取审计信息。c) 可选审计查阅:在有限审计查

39、阅的基础上，应具有根据准则来选择要查阅的审计数据的功能，并根据某种逻辑关系的标准提供对审计数据进行搜索、分类、排序的能力。4.2.4.5 安全审计事件选择应根据以下属性选择可审计事件:a) 客体身份、用户身份、主体身份、主机身份、事件类型;b) 作为审计选择性依据的附加属性。4.2.4.6 安全审计事件存储根据对安全审计的不同要求，安全审计事件存储分为:a) 受保护的审计踪迹存储:审计踪迹的存储受到应有的保护，能检测或防止对审计记录的修改;b) 审计数据的可用性确保:在意外情况出现时，能检测或防止对审计记录的修改，以及在发生审计存储己满、存储失败或存储受到攻击时，确保审计记录不被破坏;c) 审

40、计数据可能丢失情况下的措施:当审计跟踪超过预r寇的门限时，应采取相应的措施，进行审计数据可能丢失情况的处理;d) 防止审计数据丢失:在审计踪迹存储记满时，应采取相应的防止审计数据丢失的措施，可选择忽略可审计事件、阻止除具有特殊权限外的其他用户产生可审计事件、覆盖己存储的最老的审计记录和一旦审计存储失败所采取的其他行动等措施，防止审计数据丢失。4.2.4.7 网络环境安全审计在网络环境运行的信息系统，应采用以下措施实现网络环境信息系统安全审计:a) 安全审计中心:在信息系统中心建立由安全审计服务器组成的审计中心，收集各安全审计代理程序的审计信息，并进行记录分析与保存;b) 安全审计代理程序:分布

41、在网络各个运行节点的安全审计代理程序，为安全审计服务器提供审计数据;c) 跨平台安全审计机制:设置跨平台的安全审计机制，对安全事件快速进行评估并作出响应，向管理人员提供各种能反映系统使用情况、出现的可疑迹象、运行中发生的问题等有价值的统计和分析信息;d) 审计评估方法和机制:运用统计方法学和审计评估机制，给出智能化审计报告及趋向报告，达到综合评估系统安全现状的目的。4.2.5 信息系统边界安全防护10 根据对信息系统运行安全的不同要求，信息系统边界安全防护采用的安全机制和措施分为:a) 基本安全防护:采用常规的信息系统边界安全防护机制，如基本的登录/连接控制等，实现基本的信息系统边界安全防护;

42、b) 较严格安全防护:采用较严格的安全防护机制，如较严格的登录/连接控制，普通功能的防火G/T 20271-2006 墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等，实现较严格的信息系统边界安全防护;c) 严格安全防护:根据当前信息安全对抗技术的发展，采用严格的安全防护机制，如严格的登录/连接控制，高安全功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等，实现严格的信息系统边界安全防护;d) 特别安全防护:采用当前最先进的边界防护技术，必要时可以采用物理隔离安全机制，实现特别安全要求的信息系统边界安全防护。4.2.6 备份与故障恢复为了实现确定的恢复功能，必须在信息系统正常运

43、行时定期地或按某种条件实施备份。不同的恢复要求应有不同的备份进行支持。根据对信息系统运行安全的不同要求，实现备份与故障恢复的安全技术和机制分为:a) 用户自我信息备份与恢复:提供用户有选择地备份重要信息的功能;当由于某种原因引起信息系统中用户信息丢失或破坏时，能提供用户按自我信息备份所保留的信息进行信息恢复的功能;b) 增量信息备份与恢复:提供由信息系统定时对新增信息进行备份的功能;当由于某种原因引起信息系统中的某些信息丢失或破坏时，提供用户按增量信息备份所保留的信息进行信息恢复的功能;c) 局部系统备份与恢复:提供定期对信息系统的某些重要的局部系统的运行状态进行备份的功能;当由于某种原因引起

44、信息系统某一局部发生故障时.提供用户按局部系统备份所保留的运行状态进行局部系统恢复的功能;d) 全系统备份与恢复:提供定期对信息系统全系统的运行状态进行备份的功能;当由于某种原因引起信息系统全系统发生故障时，提供用户按全系统备份所保留的运行状态进行全系统恢复的功能;e) 设备备份与容错:可采用设备冷/热备份、单机逻辑备份、双机备份等，对系统的重要设备进行备份/冗余设置和容错设计，并在必要时能立即投入使用，使故障对用户透明;f) 网络备份与容错:对于重要信息系统，采用冗余技术、路由选择技术、路由备份技术等，实现网络备份与容错，当网络正常路由不能L作时，能替代其工作，使信息系统照常运行;g) 灾难备份与恢复:对于重要的信息系统，设置主机系统的异地备份，当主机系统发生灾难性故障中断运行时，能在较短时间内启动，替代主机系统工作，使系统不间断运行。4.2.7 恶意代码