GA 661-2006 互联网公共上网服务场所信息安全管理系统.远程通讯端功能要求.pdf

1、ICS 35.240 A 90 中华人民共和国公共安全行业标准GA 661-2006 五联网公共上网服务场所信息安全管理系统远程通讯端功能要求Function requirements for the long-distance communication end of information security administration system of public service site for internet 2006-11-10发布2007-01-01实施中华人民共和国公安部发布GA 661-2006 前本标准的全部技术内窑为强制性。-回回= E司在本标准中，互联网公共上网服

2、务场所指除网吧等互联网上网服务营业场所外，宾馆、旅店、图书馆、电脑培训中心等为公众提供互联网上网服务的场所。本标准为互联网公共上网服务场所信息安全管理系统系列标准之一，该系列标准的结构如下:GA 658. 1658. 10-2006 互联网公共上网服务场所信息安全管理系统信息代码;GA 659. 1659. 9-2006 互联网公共上网服务场所信息安全管理系统数据交换格式;GA 660-2006 互联网公共上网服务场所信息安全管理系统上网服务场所端功能要求;GA 661-2006 互联网公共上网服务场所信息、安全管理系统远程通讯端功能要求;GA 662一2006互联网公共上网服务场所信息安全管

3、理系统上网服务场所端接口技术要求;GA 663-2006 互联网公共上网服务场所信息安全管理系统远程通讯端接口技术要求。本部分由公安部公共信息网络安全监察局提出。本部分由公安部信息系统安全标准化技术委员会归口。本部分起草单位:公安部计算机信息系统安全产品质量监督检验中心、宁波市公安局公共信息网络安全监察支队。本部分主要起草人:顾健、管海星、陆臻、陈陵、元业云。I GA 661-2006 互联网公共上网服务场所信息安全管理系统远程通讯端功能要求1 范围本标准规定了我国互联网公共上网服务场所信息安全管理系统远程通讯端(以下简称远程通讯端)的功能要求。本标准适用于互联网公共上网服务场所信息安全管理系

4、统。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不垃日期的引用文件，其最新版本适用于本标准。GA/Z 02-2005 公安业务基础数据元素代码集GA 658. 1-2006 互联网公共上网服务场所信息安全管理系统信息代码第1部分:上网服务场所代码GA 658. 6-2006 互联网公共上网服务场所信息安全管理系统信息代码第6部分:系统操作日志行为代码GA 658. 10-. 2006 互联网公共上网服务场所信息安

5、全管理系统信息代码第10部分2服务类型及内容代码GA 659. 3-2006 互联网公共上网服务场所信息安全管理系统数据交换格式第3部分:上网服务场所信息基本数据交换格式GA 659.4-2006 互联网公共上网服务场所信息安全管理系统数据交换格式第4部分:上网服务场所处罚结果信息基本数据交换格式GA 659. 5-2006 互联网公共上网服务场所信息安全管理系统数据交换格式第5部分:上网服务场所服务状态基本数据交换格式GA 659. 6-2006 互联网公共上网服务场所信息安全管理系统数据交换格式第6部分:消息基本数据交换格式GA 659. 7-2006 互联网公共上网服务场所信息安全管理系

6、统数据交换格式第7部分:上网服务场所运行状态基本数据交换格式GA 659.8-2006 互联网公共上网服务场所信息安全管理系统数据交换格式第8部分:上网日志基本数据交换格式GA 659. 9-2006 互联网公共上网服务场所信息安全管理系统数据交换格式第9部分:过滤策略基本数据交换格式GA 660-2006 五联网公共上网服务场所信息安全管理系统上网服务场所端功能要求GA 663一2006互联网公共上网服务场所信息安全管理系统远程通讯端接口技术要求3 术语和定义GA 660-2006中确立的术语和定义适用于本标准。1 GA 661-2006 4 互联网公共上网服务场所信息安全管理系统远程通讯端

7、功能要求4. 1 上网服务场所管理功能4. 1. 1 上网服务场所信息的景入与维拼一一应提供上网服务场所信息的录入功能，具体数据交换格式见GA659. 3-2006; 一一-应提供上网服务场所信息的增加、修改和删除功能;一一甲应记录上网服务场所出口IP地址与时间的对应关系;一一应根据上网服务场所归类，对其进行组蛐跑边类原则见GA658. 1-2006中的表1。4. 1. 2 上网服务场所处罚结果信息一一应提供记录上网服务-应提供上网服务场4. 1. 3 对上网服务场所一一-应能向上网服一一应能接收上-一一应将接收一一应能对接4. 1. 4 上网服务一一应一一应一一应4. 2. 1 上网日志一一

8、旦在能设置可设置日一一一应将上网日序号|数据项名称1 | 上网服务场所代码2 l_t网终端内网IP地址3 上网终端名称4 记录时间5 |上网终端MAC地址6 目的IP地址7 端口号8 服务类型2 字符字符字符字符字符字符状态的功能;功能，如l若发现异常上传。同时明丁?干表刀可方法为YYYYMMDDhhmmss，其中时14 I GA/Z 02一2005I间以24小时制表示。按GA/Z02-2005 的4.2中的日期和时间的组合表示法I 12 39 5 4 IGA 658. 10 200 GA 661-2006 4.2.2 违法信息过滤策略的设置-一应通过访问控制手段保证违法信息过滤策略只能在远程

9、通讯端或其他系统经授权通过接口设置;一一能对违法信息过滤策略进行增加、修改、查询等操作，应在技术上保证违法信息过搪策略不能被删除。4.2.3 违法信息过滤策略的有效期一一能对违法信息过滤策略的有效期进行设置，有效期默认为3个月;二一支持对违法信息过滤策略的有效期进4.2.4 违法信息过滤策略库的更新应保证上网服务场所端、4.3 信息处理功能4. 3. 1 上网服务场所信息应提供按表2的各组合查询与模糊查询的功序号l 2 3 4 5 6 7 上网上网8 I 安全员9 10 11 I 出口IP地址12 I 上网方式13 I所属地区管理单位l4 I 管理单位负责人4.3.2 上网日志查询表2一一一应

10、支持查询远程通讯端本地数据库中的上网日志;一一应支持在远程通讯端远程查询上网服务场所端数据库中的上网日志;一一-应提供按表3各数据项进行组合查询与模糊查询的功能;一一应提供上网人员姓名同音查询的功能。6 6 3 GA 661-2006 表3序号查询条件查询结果最小集l 时间段2 上网服务场所名称3 上网服务场所代码4 上网终端名称符合查询条件的全部数据项及其内容列表，数据项见GA659.8-2006 5 目的IP地址6 上网人员姓名7 证件类型及号码8 服务类型4.3.3 违法信息过掘策略查询应提供按表4各数据项进行组合查询与模糊查询的功能。表4序号查询条件查询结果最小集1 规则标识该规则的全

11、部数据项及其内容，数据项见GA659. 9一20062 规则名称3 规则级别4 规则动作5 服务类型6 规则符合查询条件的全部规则标识列表。人为中止时间指该违法信息过滤策略的有效期还未到，但被人为中止的时间。7 设置时间触发结果指有(有审计结果)或元(元审计结果)8 有效期9 人为中止时间10 下发上网服务场所名称11 触发结果4.3. 4 肖患查询应提供按表5各数据项对下发与接收的消息进行组合查询的功能。表5序号查询条件查询结果最小集l 消息编号该消息的全部数据项及其内容，数据项见GA659. 6-2006 2 消息标题3 消息内容关键字4 发布/回复时间符合查询条件的全部消息编号列表5 发

12、布/回复人6 接收人4.3.5 系统操作日志查询应提供按表6各数据项对系统操作日志进行组合查询的功能。, 4 GA 661-2006 表6序号查询条件查询结果最小集l 主体2 客体3 行为类型，见GA658.6-2006 主体、客体、行为代码、行为描述、日期、时间、结果4 开始日期及时间结束日期及时间4.3.6 统计功能应提供对各数据库相关数据项进行统计的功能。统计项目如表70表7序号项目名称l 对各上网服务场所的上网人数、违法信息过滤数量、计算机在线率(有则适用等提供按时间段统计2 对违法信息过滤策略按触发频度统计3 对指定日期段的上网人数、上网服务场所在线率、违法信息过滤数量等按地区统计4

13、 对每日违法信息过滤情况按数量统计5 对上网服务场所按违法信息过滤数量排名统计4.3.7 显示和打即应提供各种处理结果的屏幕显示功能和打印功能。4.4 系统安全4. 4. 1 标识与鉴别4. 4. 1. 1 鉴别数据初始化应提供授权管理员鉴别数据初始化的功能。4. 4. 1. 2 鉴别数据的基本保护应保护存储于设备中的鉴别数据不受未授权查阅、修改和破坏。4. 4. 1. 3 鉴别失败的基本处理应能够在鉴别尝试(经过一个可设定的次数)失败以后，终止用户建立会话的过程。最多失败次数仅由授权管理员设定。4. 4. 1. 4 Jf权管理员的基本鉴别应鉴别任何通过系统控制口履行授权管理员功能的管理员身份

14、。4.4.1.5 单一使用的鉴别机制系统的安全功能应预防鉴别数据的重用。4.4.2 用户和权限管理一-基于用户、用户组的用户访问控制方法;一一应提供用户、用户组的增加、修改、删除功能;一一赋予用户、用户组权限，井根据其权限进行访问控制;一一应提供对用户、用户组权限的设置、修改和删除的功能;一一应为远程通讯端的全部功能配置访问控制列表，并以技术手段保障该访问控制列表的实施。4.4.3 系统操作日忘记录一一应记录控制通道内所有管理员用户的操作信息。记录信息至少应包括表8的内容;5 GA 661-2006 序号1 2 3 4 5 表8用户的鉴别与登录尝试，包括成功与失败用户修改鉴别信息的尝试，如:修

15、改密码用户修改系统配置的尝试用户修改及下发违法信息过滤策略的尝试用户的增加、修改和删除项目名称6 用户查询上网服务场所信息:上网人员信息、系统配置、日志记录、违法信息过滤策略库等信7 8 日10 11 一一日志应一一应对日一一应防止非授一一应以技术手息的尝试时磁队一一日志应在本地保服务器硬盘大小;一一系统应能限制由于故4.4.4 数据备份与恢复6 一应提供数据备份的功能，时间段可控;一一可设置备份方式，包括转移备份和复制备份;转移备份:删除数据库的巳备份记录;复制备份:拷贝数据库记录，不删除数据库任何记录;一一应支持自动备份，将自动备份设为按一定周期执行;-一一应提供从备份介质进行数据恢复的功

16、能;一一应有能力保存三个月以上的备份数据。项目名称自身以外的因素所限制，如GA 661-2006 4.4.5 数据交接安全性保障一一应能保证远程通讯端和上网服务场所端以及各远程通讯端之间数据传输的一致性、完整性、保密性、高效性;一致性:要求数据不能有错误，保证远程通讯端接收的数据与上网服务场所端上传的数据一致;完整性:若数据在传输过程中被破坏或篡改，系统应能得到完整性错误信息;保密性:应对信息加以保护;高效性:上网服务场所及其他系统可与远程通讯端建立多个链接，以提高通信效率。4.5 其他要求一一远程通讯端服务器时钟宜与互联网时间服务器定期同步;一一应提供升级功能，包括程序升级和代码表更新，并对

17、升级进行集中式管理;一一在硬件配置满足的情况下，远程通讯端至少支持1000个场所端的通讯与管理;一一-应提供与其他警用系统互联的功能，接口标准见GA663-2006。CON-司。中华人民共和国公共安全行业标准互联网公共上网服务场所信息安全管理系统远程通讯端功能要求GA 661-2006 9号中国标准出版社出版发行北京复兴门外三里河北街16号邮政编码:100045 网址电话:6852394668517548 中国标准出版社秦皇岛印刷厂印刷各地新华书店经销9号印张o.75 字数14千字2007年2月第一次印刷开本880X 1230 1/16 2007年2月第一版号舍书号:155066.2-17425定价10.00元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)68533533GA 661