1、 SSES HJ 729-2014 环境信息系统安全技术规范 Security specification of environmental information system (发布稿) 本电子版为发布稿。请以中国环境科学出版社出版的正式标准文本为准。 2014-12-25 发布 2015-03-01 实施 发布 I 目 次 前 言. . ii 1 适用范围. . 1 2 规范性引用文件 .1 3 术语和定义 . 1 4 保护对象 . 2 5 安全目标 . 3 6 安全总体架构 . 3 7 信息安全保护方法 . 4 8 物理安全 . 7 9 网络安全 . 9 10 主机安全. . 12 1
2、1 应用安全. . 15 12 数据安 全与备份恢复. 18 13 系统建设. . 19 14 系统运维. . 21 附录 A (规范性附录) 环境信息系统终端与办公安全要求 . 25 附录 B (规范性附录) 环境信息系统不同等级安全要求对照表 . 27 附录 C (资料性附录) 大型环境信息系统安全建设示例 . 37 ii 前 言 为贯彻落实中华人民共和国环境保护法,促进环境信息化工作,加强和规范环境信息系统的安全建设与管理,保障环境信息系统安全,制定本标准。 本标准规定了环境信息系统的物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复、系统建设、系统运维、终端与办公安全方面的安全
3、要求。 本标准附录 A、附录 B 为规范性附录,附录 C 为资料性附录。 本标准首次发布。 本标准由环境保护部科技标准司组织制订。 本标准主要起草单位:环境保护部信息中心、北京神州绿盟科技有限公司。 本标准环境保护部 2014 年 12 月 25 日批准。 本标准自 2015 年 3 月 1 日起实施。 本标准由环境保护部解释。 1 环境信息系统安全技术规范 1 适用范围 本标准规定了环境信息系统的物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复、系统建设、系统运维、终端与办公安全的安全要求。 本标准适用于国家环境保护业务专网内的环境信息系统的规划、设计、开发、运行及维护等各个阶段。
4、 2 规范性引用文件 本标准内容引用了下列文件或其中的条款。 凡是不注明日期的引用文件, 其有效版本适用于本标准。 GB/T 5271.8-2001 信息技术 词汇 GB/T 17859-1999 计算机信息系统 安全保护等级划分准则 GB/T 20270-2006 信息安全技术 网络基础安全技术要求 GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 GB/T 20282-2006 信息安全技术 信息系统安全工程管理要求 GB/T 20988-2007 信息系统灾难恢复规范 GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求 GB/T 22239-20
5、08 信息系统安全等级保护基本要求 GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南 GB/T 25070-2010 信息安全技术 信息系统等级保护安全设计技术要求 GB/T 50052-2009 供配电系统设计规范 GB/T 50174-2008 电子信息系统机房设计规范 HJ 511-2009 环境信息化标准指南 3 术语和定义 GB/T 5271.8-2001 第八部分 安全 中确立的术语和定义,以及下列术语和定义适用于本标准。 3.1 信息系统 information system 用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件
6、的总和。 3.2 信息系统安全 inform ation system security 使用合理安全措施保护信息系统中的信息在存储、处理或传输等过程中不会被未授权用户访问,并保障授权用户能够正常使用系统。 3.3 机密性 confidentiality 数据所具有的特性,表示数据所达到的未提供或未泄露给未授权的个人、过程或其它实体的程度。 3.4 完整性 integrity 保证信息及信息系统不会被有意地或无意地更改或破坏的特性。 3.5 可用性 availability 保证信息和通信服务能够按预期投入使用的特性。 3.6 安全域 security domain 一个逻辑范围或区域,在同一
7、安全区域中的各信息单元具有相同或相近的安全等级或安全防护需求,安全服务的管理员定义和实施统一的安全策略。它是从安全策略的角度划分的区域。 3.7 威胁 threat 来自于信息系统外部的,能够通过未授权访问、毁坏、泄露、数据修改和 /或拒绝服务对信息系统 2 造成潜在危害的任何环境或事件。 3.8 风险 risk 表现为一种可能性, 由威胁发生的可能性、 威胁所能导致的不利影响以及影响的严重程度共同决定。 4 保护对象 环境信息系统安全保护的对象包括国家环境保护业务专网范围内的信息网络、业务系统、环境信息及其物理环境、支撑性基础设施与安全设备设施等。 4.1 环境信息网络 环境信息系统安全保护
8、的网络对象是国家环境保护业务专网范围内的各个信息网络, 国家环境保护业务专网包括国家、省、地市、县四级,网络结构如图 1 所示。 图 1 环境保护业务专网网络结构示意图 4.2 环境信息应用系统 环境信息系统安全保护的业务对象是环境信息系统中运行的各类环境业务应用系统,依据HJ511-2009,环境信息系统按业务应用类型可以分为环境保护核心业务应用系统和综合应用系统两大类,其中: a) 环境保护核心业务应用系统包括环境监测管理、污染监控管理、生态保护管理、核安全与辐射管理、环境应急管理信息系统。各系统的作用分别为: 1) 环境监测管理信息系统用于实现对全国环境质量数据(包括环境空气、地表水、地
9、下水、声环境、近岸海域、酸雨、沙尘暴等数据)的管理,并覆盖生态监测、污染源监测等业务; 2) 污染监控管理信息系统覆盖污染控制管理、 环境监察管理以及环境影响评价和环境统计等业务; 3) 生态保护管理信息系统覆盖区域生态环境管理、农村环境保护管理、生物多样性保护等业务; 4) 核安全与辐射管理信息系统覆盖核设施与材料监督管理、放射源监督管理、辐射环境监测管理; 5) 环境应急管理信息系统覆盖环境应急指挥调度、环境应急监测管理、环境应急决策支持、 3 环境应急现场处置管理、环境突发事件后评估等业务。 b) 环境保护综合应用系统包括各类行政办公管理信息系统、环境保护政府网站、环境科技管理信息系统、
10、环境政策法规管理信息系统、环境财务与资产管理信息系统和环境外事管理信息系统等综合性的、为核心业务应用系统提供支持与服务的应用系统。 4.3 环境信息 环境信息系统安全保护的信息对象是环境信息系统中的各类业务与办公信息, 其中信息类型分为公开信息和部门信息两类,根据不同类别的信息应采取不同的保护措施,其中: 公开信息是在互联网上可以向公众完全开放的环境信息, 对公开信息的保护应保证信息的完整性和可用性。 部门信息只限于各级环境保护部门人员访问,主要包括不宜公开的工作信息、政府的商业秘密、个人隐私等。部门信息分为部门公开信息和部门受控信息两种,部门公开信息允许所有各级环境保护部门人员访问,部门受控
11、信需要经授权允许的各级环境保护部门人员才能访问。 5 安全目标 环境信息系统安全目标是保持环境信息系统的持续可用和可靠, 为国家环境保护工作正常运行提供有力的支撑,保护环境保护信息系统中的信息网络、业务系统、环境信息及其物理环境、支撑性基础设施与安全设备设施等,防止来自内、外部的非法攻击与损坏。 环境信息系统安全建设应符合国家的信息安全规范的相关要求,遵照国家等级保护的相关规定,参考国际上的安全标准,并且以风险防范为核心加强环境信息安全保护建设。环境信息系统中有关安全保密问题应遵守国家保密相关规定。 6 安全总体架构 环境信息系统安全保障体系在风险评估的基础上,通过安全管理体系、安全技术体系的
12、建设实现不同等级保护对象、不同安全域的安全保护。环境信息系统安全保障体系见图 2。 图 2 环境信息系统安全保障体系 4 安全管理体系建设应在信息系统建设和信息系统运行维护阶段进行,包括安全制度、安全机构、人员安全的建设;安全技术体系应包含物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复,安全技术体系建设应重视发展统一支撑平台、各类安全技术与产品以及集中安全管理平台的建设。 本标准是在国家等级保护基本要求的基础上提出的环境信息系统的安全保障性的技术要求, 其中包括物理安全、网络安全、主机安全、应用安全、数据安全与备份与恢复、信息系统建设、信息系统运维的安全要求,其中终端与办公安全按附
13、录 A 执行。各环境信息系统在安全建设过程中按附录 B 中的相应级别的安全要求实施安全保护。 7 信息安全保护方法 7.1 环境信息系统的特点 依据环境保护的工作特点,环境信息系统具有一些特殊安全要求,在安全建设过程中应考虑以下方面的特点: a) 为满足环境监测、环境统计、生态监测等业务需要,用于环境监测业务的信息网络、系统及设施应考虑移动监测、远程操作及办公等方面的安全要求; b) 针对环境保护业务中核安全与辐射管理的信息系统,应当实施更加严格的安全技术措施; c) 处理环境事件的环境应急的应急执法、 应急指挥类的信息系统与设施应加强安全保障方面的建设,增强业务可靠性保护; d) 国家环境保
14、护业务专网依据业务的需要,可能与其它信息系统、网络、应用之间互联互通,应通过严格的安全技术与管理措施保证外部接入的信息系统不会对国家环境保护业务专网造成不良的影响; e) 包括环境监测、环境统计、环境评价、基础地理信息等在内的环境业务信息是环境保护业务基础,应当对相关的数据实施安全保护,保证数据安全。 对于环境保护业务特有的业务系统的安全保护,在实施国家等级保护的基础上,应通过信息安全风险评估识别风险因素,采取有针对性安全保护措施。 7.2 环境信息系统安全建设要求 环境信息系统建设应符合 GB/T 22240-2008 的要求,正确划分环境信息系统安全等级,并按照等级保护的要求开展设计、建设
15、、运行和维护的工作。 环境信息系统安全建设应遵循 GB/T 17859-1999、 GB/T 20271-2006 和 GB/T 22239-2008 的相关规定。 应根据环境信息的重要程度和不同类别,采取不同的保护措施,实施分类防护;根据信息系统和数据的重要程度,进行分域存放,实施分域保护和域间安全交换,实施分域控制。 依据国家等级保护的相关要求,环境信息系统不允许存储、传输、处理国家秘密信息。 7.3 安全建设实施方法 依据等级保护的相关要求,实施环境信息系统安全建设的方法是: a) 依据信息安全等级保护的定级规则,确定环境信息系统的安全等级; b) 按照信息安全等级保护要求,确定与信息系
16、统安全等级相对应的基本安全要求; c) 依据信息系统基本安全要求,并综合环境信息系统安全技术要求、信息系统所面临风险和实施安全保护措施的成本,进行安全保护措施的定制,确定适用于特定环境信息系统的安全保护措施,并依 5 照本规范相关要求完成规划、设计、实施、验收和运行工作。 7.4 安全建设实施过程 环境信息系统安全建设的实施过程包括定级阶段;规划与设计阶段;实施、等级评估与改进阶段。 7.4.1 第一阶段:定级 定级阶段主要包括两个步骤: a) 信息系统识别与描述 清晰地了解环境信息系统,根据需要可将复杂的环境信息系统分解为环境信息子系统,描述系统和子系统的组成及边界。 b) 等级确定 环境信
17、息系统的信息安全等级保护工作实行行业指导、属地管理。环境保护部及直属单位、各省级环境保护厅(局)按照国家信息安全等级保护制度有关要求,负责本区域相关信息系统安全等级保护工作的指导和管理。按照“谁主管、谁负责,谁运营、谁负责”的原则确定信息安全责任。 各个单位等级保护对象的确定、受侵害的客体和严重程度的判定、最终等级的认定等定级工作依据GB/T 22240-2008 中要求的过程的标准执行。 环境信息系统的安全保护等级由两个定级要素决定: 等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。等级保护对象受到破坏时所侵害的客体包括:公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全
18、三个方面。 对客体的侵害程度由客观方面的不同外在表现综合决定。 由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为:造成一般损害;造成严重损害;造成特别严重损害的三种情况。 定级要素与环境信息系统安全保护等级的关系如表 1 所示。 表 1 定级要素与安全保护等级的关系 对客体的侵害程度 业务信息或系统服务受到破坏时 受侵害的客体 一般损害 严重损害 特别严重损害公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四
19、级 国家安全 第三级 第四级 第五级 作为定级对象的环境信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的较高者决定。 7.4.2 第二阶段:规划与设计 规划与设计阶段主要包括三个步骤,分别为: a) 信息系统分域保护框架建立 通过对环境信息系统进行安全域划分、保护对象分类,建立环境信息系统的分域保护框架。 b) 选择和调整安全措施 根据环境信息系统和子系统的安全等级,选择对应等级的基本安全要求,并根据风险评估的结果,综合平衡安全风险和成本, 以及各信息系统特定安全要求, 选择和调整安全措施, 确定出环境信息系统、子系统和各类保护对象的安全措施。 c) 安全规划和方案设计 6 根据所
20、确定的安全措施, 制定安全措施的实施规划, 并制定安全技术解决方案和安全管理解决方案。 7.4.3 第三阶段:实施、等级评估与改进 实施、等级评估与改进阶段主要包括三个步骤,分别为: a) 安全措施的实施 依据安全解决方案建设和实施等级保护的安全技术措施和安全管理措施。 b) 评估与验收 按照等级保护的要求,选择相应的方式来评估信息系统是否满足相应的等级保护要求,并对等级保护建设的最终结果进行验收。 c) 运行监控与改进 运行监控是在实施等级保护的各种安全措施之后的运行期间, 监控信息系统的变化和信息系统安全风险的变化,评估信息系统的安全状况。如果经评估发现信息系统及其风险环境已发生重大变化,
21、新的安全保护要求与原有的安全等级已不相适应,则应进行信息系统重新定级。如果信息系统只发生部分变化,例如发现新的系统漏洞,这些改变不涉及信息系统的信息资产和威胁状况的根本改变,则只需要调整和改进相应的安全措施。 对于大型环境信息系统,等级保护过程可以根据实际情况进一步加强和细化,以满足其复杂性的要求。附录 C 给出了大型环境信息系统安全建设实施过程的示例。 7.5 安全建设与信息系统生命周期关系 新建环境信息系统与已经建成的环境信息系统在等级保护工作的切入点是不相同的, 它们各自的切入点以及与信息系统生命周期的对应关系如图 3 所示。 图 3 等级保护过程与新建和已建信息系统生命周期对应关系 对
22、于新建的环境信息系统,等级保护工作的切入点应是信息系统规划阶段。 a) 信息系统规划阶段,应分析并确定所建环境信息系统的安全等级,并在项目建议书中对环境信息系统的安全等级进行论证; b) 信息系统设计阶段,要根据所确定的信息系统安全等级,设计信息系统的安全保护措施,并在可行性分析中论证安全保护措施; c) 信息系统实施阶段,要与信息系统建设同步进行信息安全等级保护体系的实施,之后进行等级评估和验收; 7 d) 信息系统运行维护阶段,要按照所建立的等级保护体系的要求,进行安全维护与安全管理; e) 信息系统废弃阶段,要按照所建立的等级保护体系的要求,对废弃过程进行有效的安全管理。 对于已建的环境
23、信息系统,等级保护工作的切入点应是信息系统运行维护阶段。 在确定要实施等级保护工作之后, 应对环境信息系统进行安全现状分析, 对每个信息系统进行定级,之后进行等级保护的安全规划和方案设计,最后进行实施、评估和验收。 7.6 环境信息系统间互联互通 不同安全等级的环境信息系统之间可以根据业务需要进行互联互通。 不同安全等级的环境信息系统进行互联互通时,要根据信息系统业务要求和安全保护要求,制定相应的互联互通安全策略,包括访问控制策略和数据交换策略等。要采取相应的边界保护、访问控制等安全措施,防止高等级信息系统的安全性受到低等级信息系统的影响。各环境信息系统间的互联互通应遵循以下要求: a) 同等
24、级环境信息系统之间的互联互通 由各信息系统的运营单位参照该等级对访问控制的要求, 协商确定边界防护措施和数据交换安全措施,保障环境信息系统间互联互通的安全。 b) 不同等级环境信息系统间的互联互通 各信息系统在按照自身安全等级进行相应保护的基础上,协商对相互连接的保护。高安全等级的信息系统要充分考虑引入低安全等级信息系统后带来的风险,采取有效措施进行控制。 c) 环境信息系统互联互通中有关密码的部分,按照国家密码管理部门的要求执行。 8 物理安全 物理安全是环境信息系统安全保护的一个重要方面, 应通过安全防护措施使得机房、 网络基础设施、信息系统等免受非法的物理访问、自然灾害和环境危害。 8.
25、1 物理安全区域控制 应通过建立物理安全区域并实施相应的控制措施,对机房、网络、信息处理设施进行全面的物理保护。应根据不同的安全保护需求,划分不同的安全区域,实施不同等级的安全管理。 8.1.1 安全区域边界 应通过在边界设置物理隔离装置来实现安全区域的物理保护, 装置的位置和强度应适合于安全区域的重要程度。 各个安全区域的边界应有明确标志,如机房、办公区、安全通道等。 只有通过申请和审批流程获得授权的人员才能访问内部安全区域。 安全边界上所有应急通道的出入口平时都应关闭,并设置报警装置。 8.1.2 安全区域出入控制 进入安全区域的外来人员应通过检查并接受监督,进入和离开安全区域的时间应有记
26、录。 机房等重要安全区域应使用电子门禁系统, 所有访问活动应事先进行申请和授权, 并保存审计记录。 进入重要安全区域的所有内、外部人员都应佩戴明显的、可视的身份识别证明。 机房安全区域的访问权限应定期进行审查和更新。 8.1.3 安全区域物理保护 机房安全区域内物理保护措施的选择和设计应考虑到应对火灾、洪水、雷击、爆炸、骚乱及其它自 8 然或人为灾害导致的破坏,还应遵照相关的安全标准,如 GB/T 50174 -2008,并防范周边的安全威胁。 所有重要的环境信息网络与信息处理设施(例如:通信设备、主机与网络设备等)应置于公众无法进入的场所。 常用的办公设备,如复印机、传真机等,应放置在合适的
27、办公安全区域内,减少无关人员接触,避免信息的泄露。 对于无人值守机房,所有门窗都应关闭,建筑物底层的窗户应设置外部防护。 机房内应安装防盗、防火、监视系统等安全设施,机房内未使用区域的告警装置也应开启。 机房等安全区域应远离危险或易燃物品, 安全区域内不应存放大量的、 短期内不使用的材料或物品。 备用设备和备份介质应放置在远离主安全区域的备用场所内, 以防主安全区域发生灾难时可能造成的破坏。 8.2 物理设施安全 环境信息系统中的网络、基础设施、信息处理设施应妥善放置,加强保护以降低环境因素带来的风险,并且防止非法访问。 8.2.1 设备物理保护 对设备的物理保护应采取以下控制措施: a) 应
28、对温湿度等有可能对信息处理设施造成不良影响的环境条件进行监控; b) 需要特殊保护的设备应与其它设备隔离,以降低整个区域内所需的安全保护级别; c) 处于特殊环境下的设备,应考虑采用特殊的保护方法,如在工业环境里,应采用防爆灯罩、键盘隔膜等。 8.2.2 电力保护 可靠的电力供应是保证网络与信息处理设施可用性的必要条件,应采取以下措施确保供电安全: a) 电源应符合国家标准 GB/T50052-2009 的要求; b) 应采用多种供电方式如:多路供电、配备 UPS、备用发电机等方法,避免电源单点故障; c) 定期维护和检查供电设备,UPS 应有充足容量,发电机应配备充足的燃料; d) 如进行有
29、计划的停电,停电计划应提前通知有关部门,防止无准备的断电造成不必要的损失。 8.2.3 线缆安全 通信电缆和电力电缆被损坏或信息被截获,会破坏网络与信息资产的机密性和可用性,应采取以下控制措施对线缆进行保护: a) 应使用电缆管道布放线缆,且避免线缆经过公共区域; b) 电力电缆应与通信电缆分离,避免互相干扰; c) 应定期对电缆线路进行维护、检查和测试,及时发现故障隐患。 8.2.4 工作区外设备的安全 环境信息系统中工作区外的设备包括带离工作区的信息处理设备和固定在公共场所的设备, 应根据工作区域外设备面临的安全风险,制定相应的保护措施,安全要求如下: a) 应至少达到工作区内相同用途设备
30、的安全保护级别; b) 各类在线监测设备应确保 24 小时不间断的安全监控。 9 9 网络安全 9.1 网络访问控制 应对访问网络的行为进行控制,应确保接入网络的用户不会破坏网络的安全性,其基本要求如下: a) 在环境保护业务专网与相关企事业单位的网络之间、 环境保护业务专网与公共网络之间应设置安全的访问控制设备; b) 安全访问控制设备应采取有效的用户和设备验证机制。 9.1.1 网络服务安全策略 应防止不安全的网络连接影响环境保护部门网络的安全, 因此环境保护业务专网内的内网用户和公网用户都只能使用经过授权的网络服务。应制定有关网络及网络服务的使用策略,并与访问控制策略保持一致。具体策略应
31、规定以下内容: a) 应明确用户允许访问的网络和网络服务; b) 应规定对用户访问网络和网络服务进行授权的程序; c) 应具有对网络连接和网络服务的访问进行保护的管理控制措施和程序; d) 应保留对网络服务的访问日志,并根据信息的敏感程度确定日志的具体内容。 9.1.2 逻辑安全区域的划分与隔离 应基于访问控制策略和访问需求,根据不同的业务、应用及其所处理信息的敏感性和重要性,并按国家信息安全等级保护要求,将网络与信息系统划分成不同的逻辑安全区域。 应根据保护等级的要求,采取重点防护、边界隔离的办法,重点加强安全域关键边界的安全保护和监控。同时通过隔离措施,过滤域间业务,控制域间通信。 应根据
32、各安全区域的安全风险、防护等级确定不同网络访问控制的安全技术要求和安全管理要求。 9.1.3 外部连接用户的验证 用户通过外部网络访问环境保护业务专网的网络时必须接受验证。 各类外部网络连接所需的保护级别应通过风险评估来确定,且不同的环境要求采用不同的验证方式。 无线网络应视作外部网络,用户通过无线网络访问环境保护业务专网时应符合以下标准: a) 必须采用经过批准的无线接入方式; b) 必须接受身份验证; c) 必须使用符合安全标准的通信终端; d) 传送敏感信息时必须进行加密。 9.1.4 端口保护 应制定并实施有效的安全控制措施,保护网络与信息系统的远程诊断、操作、维护、管理等功能所使用的
33、端口,防止端口被未经授权或非法的访问,并记录各端口的访问日志。 9.1.5 网络接入控制 应基于业务应用的访问策略和要求,采取措施控制网络接入,由于环境数据采集等业务要求的外部网络接入的基本控制要求如下: a) 网络互联应基于业务需求; b) 应明确定义允许和禁止接入专网的网络; c) 应在边界处通过安全网关按照预设的规则过滤网间通信; d) 在网络边界处应采取限制措施限制电子邮件、文件传输、交互式访问等具体应用; 10 e) 外部设备接入专网时应部署相应的网络接入控制策略。通过认证的设备可以接入内络,没有通过认证的拒绝接入专网; f) 通过认证的外部设备在接入专网前必须安装防病毒软件,并定期
34、进行补丁更新。对移动存储设备接入时应开启对病毒、木马的自动查杀的功能; g) 对需要接入专网的外部设备应进行安全漏洞及风险扫描,并对所出现的问题进行安全加固。 9.1.6 网络路由控制 应实施路由控制,确保网络连接和信息流符合访问控制策略。路由控制应基于源地址和目标地址检查机制,可使用网络地址转换(NAT)来隔离内部与外部网络,应阻止网间传播不必要的路由信息。 9.2 网络操作流程与职责 为确保网络与信息处理设施的正确和安全使用, 应建立所有网络与信息处理设施管理与操作的流程和职责,包括制定操作细则和事件处理流程。应落实责任与分工,减少疏忽和蓄意的系统滥用风险。 9.2.1 技术操作要求 应制
35、定网络与信息处理设施的技术操作规范,技术操作规范涵盖以下内容: a) 应规定对信息的处理和信息载体的处置操作规范; b) 应规定进行操作的时间和进度的要求,考虑同其它系统的相关性; c) 应规定操作过程中发生非预期的错误或出现其它异常情况时的指导说明; d) 应规定意外的操作困难或技术难题出现时的支持人员; e) 应规定故障情况下系统的重启和恢复程序; f) 应规定系统维护的相应程序,按操作规范实现主要设备的启动/停止、加电/断电、备份/恢复等操作。 9.2.2 设备维护要求 正确规范地维护网络设备,可以保护设备的可用性和完整性,网络设备维护的安全要求如下: a) 应根据网络设备原厂商建议的维
36、护周期和规范进行维护; b) 设备维护人员应具备相应的技术技能; c) 应储备一定数量的备品备件; d) 所有日常维护和故障处理工作都应记录在案; e) 当网络设备送到外部场所进行维护时,应采取控制措施防止信息泄露; f) 系统关键设备应冗余配置; g) 关键部件在达到标称的使用期限时,不管其是否正常工作,必须予以更换。 9.2.3 变更控制 网络的变更包括:网络结构、安全策略的调整,硬件的增减与更换等。任何变更必须经过授权,并接受变更测试。变更控制安全要求如下: a) 识别并记录重大变更; b) 评估进行变更的潜在影响; c) 明确变更失败的恢复措施和责任; d) 保留所有与变更相关信息的日
37、志记录。 9.2.4 开发、测试与运行设备的分离 前期开发调试设备与运行中的设备应实现物理分离或逻辑分离,应设置独立的实验环境。后期在运 11 行环境中进行测试时,应做好安全防护,并对测试过程进行安全检查。 9.3 网络传输安全 网络传输安全方面应采取以下的安全措施: a) 应采取 SSL、IPSec 等加密控制措施,保护通过公共网络传输的数据的机密性和完整性; b) 应对网络安全状态进行持续监控,并对有关错误、故障和补救措施进行记录。 9.4 网络安全审计与监控 应对网络访问和使用情况进行审计和监控,以检测违反访问控制策略的活动,并记录相关证据。网络监控可以提高控制措施的有效性,并保证访问控
38、制策略的执行。 9.4.1 网络安全事件记录 应建立审计日志,记录网络异常情况、身份鉴别失败事件及其它安全事件。审计日志应保留规定的时长,以便支持以后的事件调查和访问控制审核。审计日志应包括以下内容: a) 用户标识与事件类型; b) 登录和退出的日期和具体时间; c) 成功的和被拒绝的系统访问活动的记录; d) 成功的和被拒绝的数据与其它资源的访问记录。 9.4.2 监控系统 应对网络的使用进行监控。具体监控内容应包括: a) 授权接入操作; b) 所有特殊操作; c) 未经授权的访问尝试; d) 系统告警或故障。 9.4.3 日志审查 应对日志进行自动筛选以获取有用信息,或使用分析工具进行
39、检索查询。在进行日志审查时,被审查人员不应参与,以维护审计独立性。 9.5 网络设备安全管理 9.5.1 设备安全管理要求 网络设备安全管理应遵循以下基本要求: a) 设备管理权限除非明确许可,否则必须禁止; b) 应明确限定设备管理权限的变更,包括系统自动生效的变更和管理员批准生效的变更; c) 访问控制规则需经管理人员审查批准方可执行; d) 应依照每个系统的安全要求制定访问控制策略; e) 应依照与该系统相关的业务信息的类型制定访问控制策略。 9.5.2 设备安全管理措施 应基于以下内容确定环境信息系统及网络设备的安全措施: a) 在所有的网络与信息设备上,应配备、应用并维护安全控制机制
40、; b) 系统中的安全产品必须能够提供验证用户身份的手段;应根据不同的系统和应用,提供不同深 12 度、不同层次及不同强度的认证手段; c) 安全控制措施必须能够防止对用户认证数据的非法访问; d) 备份软件、管理工具、数据库自动查询等只能由特殊功能帐户运行的软件,以及能够建立特殊权限帐户的软件,只能由内部专业的授权人员安装、测试和执行,以确保此类软件只能执行授权功能; e) 应规定可以使用的安全软件和特权的管理工具及使用范围,其使用必须经过批准并记录,在日志中记录其操作过程; f) 所有系统和安全工具都必须对管理员帐户的口令采取保护措施, 管理员帐户的默认口令必须在产品安装过程中进行修改;
41、g) 所有接入环境保护业务专网的系统必须接受环境保护部门的管理, 应对接入网络进行安全的监控和入侵测试。 10 主机安全 10.1 身份鉴别 10.1.1 用户注册 针对多用户使用的网络与信息系统应设定正式的注册和注销程序,对用户的访问权限进行控制。用户注册基本要求包括: a) 每个用户应使用唯一的用户标识符,用户与其操作相关联,并对其行为负责; b) 因业务需要时允许使用用户组,但应采取更加严格的控制措施; c) 授权用户访问的级别应基于业务目的,且符合安全策略,用户授权应遵循最小授权原则; d) 用户访问权限应得到上级批准; e) 应及时修改或注销已经转岗或离职用户的访问权限; f) 定期
42、核查并删除多余、闲置或非法的帐户。 10.1.2 超级权限的管理 超级权限帐户应能进行设置,并可修改口令,超级权限的使用和分配必须受到严格限制。 必须通过正式的授权程序控制超级权限的分配,做好超级权限拥有者无法行使职责时的应急安排,应有角色备份。 10.2 操作系统访问控制 操作系统应提供以下访问控制功能: a) 验证用户身份; b) 记录所有系统访问日志; c) 应限制用户连接时间。 10.2.1 用户识别和验证 所有用户都应具有唯一用户标识符,以便追溯,责任到人。因业务需要时可以共享用户标识,但必须经过授权,并采取其它方法来保证责任到人。 依据不同等级保护的要求,验证方式可以基于口令、令牌
43、、指纹、虹膜等多种因素的身份验证机制。 10.2.2 连接时间限制 应限制终端与主机的网络服务的连接时间,以降低非法接入的风险,具体限制措施如下: a) 应使用预先定义的时间段进行通信; 13 b) 应对每次连接的时长进行限制。 10.2.3 日志审核 系统应保留日志记录,分析重复性登录失败、连续的访问尝试等信息以确定可疑事件。日志至少应记录以下内容: a) 事件发生的日期和起止时间; b) 用户标识或者计算机帐户; c) 事件的类型及其结果(成功或失败) ; d) 事件来源(如端口和地址等) 。 系统管理员应明确日志审核频率、定义安全事件判断规则、规定安全事件通报流程,对日志进行审核,发现并
44、确定安全事件,应记录重大安全事件。 10.3 主机操作流程与职责 10.3.1 主机操作要求 应制定主机的技术操作规范,技术操作规范涵盖以下内容: a) 应规定对信息的处理和信息载体的处置操作规范; b) 应规定进行操作的时间和进度的要求,考虑同其它系统的相关性; c) 应规定操作过程中发生非预期的错误或出现其它异常情况时的指导说明; d) 应规定意外的操作困难或技术难题出现时的支持人员; e) 应规定故障情况下系统的重启和恢复程序; f) 应规定系统维护的相应程序,按操作规范实现主要设备的启动/停止、加电/断电、备份/恢复等操作。 10.3.2 主机维护要求 正确规范地维护主机设备,可以保护
45、设备的可用性和完整性,主机设备维护的安全要求如下: a) 应根据主机设备原厂商建议的维护周期和规范进行维护; b) 设备维护人员应具备相应的技术技能; c) 应储备一定数量的备品备件; d) 所有日常维护和故障处理工作都应记录在案; e) 当主机设备送到外部场所进行维护时,应采取控制措施防止信息泄露; f) 系统关键设备应冗余配置; g) 关键部件在达到标称的使用期限时,不管其是否正常工作,必须予以更换。 10.3.3 变更控制 主机的变更包括:全局数据、安全策略、参数的调整,硬件的增减与更换,软件版本与补丁的变更,处理流程的改变等。任何变更必须经过授权,并接受变更测试。变更控制安全要求如下: a) 识别并记录重大变更; b) 评估进行变更的潜在影响; c) 明确变更失败的恢复措施和责任; d) 变更成功与失败回退操作完成后的验证测试; e) 保留所有与变更相关信息的日志记录。 14 10.4 软件及补丁管理 在系统运行过程中