杭州电子政务系统安全技术规范样本.doc
《杭州电子政务系统安全技术规范样本.doc》由会员分享,可在线阅读,更多相关《杭州电子政务系统安全技术规范样本.doc(30页珍藏版)》请在咨信网上搜索。
1、杭州市权力阳光电子政务系统安全技术规范(草案) 一、 总体要求权力阳光电子政务系统建设各方应从物理环境、网络平台、系统平台、业务应用和运行管理等方面分析并提升系统整体安全保障能力,总体要求包含:a) 信息系统物理环境应提供系统正常运行场所,并确保硬件、通信链路、机房环境物理安全。b) 系统应合理划分不一样网络区域,依据应用需求设置合理访问控制策略,强化网络设备本身安全配置;c) 操作系统、数据库须进行安全配置。业务应用软件应依据安全需求开发安全功效,经过启用这些安全功效,达成保护应用信息目标。d) 系统应对网络、可移动存放介质、光盘等病毒可能入侵路径进行控制,并阻断病毒在系统内传输。e) 系统
2、中采取安全产品必需选择经国家主管部门许可、并经国家认证机构认可产品。系统如采取密码技术及产品对非涉密信息进行加密保护或安全认证,所采取密码技术或密码产品应符合商用密码管理条例要求。f) 系统建设单位应针对系统应用情况建立安全管理制度,在统一安全策略下对各类行为进行管理。 二、 基础安全目标2.1. 物理环境2.1.1. 机房环境机房建设应满足国家标准GB/T 2887电子计算机场地通用规范、GB/T 9361计算机场地安全要求要求。2.1.2. 硬件设施物理安全组成信息系统采购硬件、自制硬件及其组成零部件应符合国家要求质量标准。 2.2. 网络平台2.2.1. 网络边界系统应依据安全需求在和I
3、nternet和市电子政务外网、资源专网等其它网络网间互连处配置网关类设备实施访问控制,并对通信事件、操作事件进行审计。2.2.2. 网络内部结构依据应用需求在内部网路结构中划分服务器区等独立网段或子网,并在相关网络设备中配置安全策略进行隔离,实施对内部信息流访问控制。2.2.3. 网络设备依据系统安全策略和应用需求对防火墙、路由器及交换机等网络设备实施安全配置。防火墙、路由器及交换机本身安全配置最少应包含下列内容:版本更新和漏洞修补、版本信息保护、身份判别、链接安全、配置备份、安全审计。 2.3. 系统软件2.3.1. 操作系统操作系统应依据信息系统安全策略进行选择和安全配置,并定时进行操作
4、系统漏洞检测、补丁修补。安全配置内容包含:身份判别、用户权限分配、口令质量、判别失败处理、默认服务开放、终端限制、安全审计等。2.3.2. 数据库数据库应该依据信息系统安全策略进行选择和安全配置,并定时进行数据库漏洞检测、补丁修补。安全配置内容包含:身份判别、用户权限分配、口令质量、终端限制、安全审计、备份恢复策略等。 2.4. 应用软件业务应用安全要求包含业务应用软件安全、应用信息保护和密码支持。2.4.1. 通用应用软件Web服务器、邮件服务器等通用应用软件应该依据信息系统安全策略进行选择和安全配置,并立即升级补丁包。安全配置内容包含:身份判别、用户权限分配、口令质量等。2.4.2. 专用
5、应用软件专用应用软件应含有身份判别、用户管理、访问控制、运行审计等安全功效,并定时进行版本维护及更新,以保护应用信息安全。2.4.3. 应用信息保护应依据安全策略在应用信息生成、处理、传输和存放等步骤采取对应保护方法。2.4.4. 密码支持当系统中采取密码技术实现对信息保护时,不管是在网络传输、业务应用软件中,还是存放中,全部应在密钥产生、密钥分配、密钥销毁、密钥备份和恢复等步骤含有安全机制,保护密码技术正确使用。 2.5. 运行维护2.5.1. 恶意代码防范系统应建立统一恶意代码防范体系,并在相关服务器和业务终端上部署恶意代码防范设备或软件,有效预防服务器和业务终端遭受病毒、蠕虫、木马等恶意
6、代码感染及其在网络中传输。2.5.2. 数据备份系统应建立数据备份制度,实现备份制度中既定安全备份功效,方便在系统遭受破坏情况下立即恢复应用信息。依据应用信息对业务影响程度,选择数据冷备份、数据热备份或系统备份中一个或多个相结合备份方法。2.5.3. 入侵检测及防护系统应在关键信息流经网络和存相关键信息主机上布署入侵监控或入侵防护系统,实时监视网络信息流和主机可疑连接、系统日志、非法访问等活动,对系统中发觉异常行为立即报警或采取对应阻断方法。2.5.4. 网络管理及安全审计系统中布署网络管理及安全审计系统应实现对关键网络设备、安全设备、服务器及数据库系统故障、负载及性能等运行状态信息进行采集监
7、控、监控设备配置信息变更和安全事件信息发生,设置合理监控指标阈值、合理审计规则和告警响应策略,并依据实际需求提供各类综合分析汇报。2.5.5. 系统冗余在实时性及可用性要求较高系统中,应对关键网络链路、网络设备、服务器主机及数据库平台进行冗余备份,并进行合理配置,当系统某一节点发生故障时能在有效时间内进行切换分配,确保网络及系统相关服务正常运行。 三、 具体安全要求3.1. 物理环境机房环境条件、照明、接地、供电、建筑结构、媒体存放条件、监视防护设备等应满足GB/T 2887电子计算机场地通用规范4.34.9要求。机房选址、防火、供配电、消防设施、防水、防静电、防雷击应满足GB/T 9361
8、计算机场地安全要求48要求。在防火、防雷击、防静电、监控设施等方面时,应经过相关专业机构检测。另外,还应检验以下内容:a) 提供短期备用电力供给(如UPS);b) 机房留有备用空间;c) 设备防盗、防毁方法;d) 通讯线路连接、设备标签、布线合理性;e) 机房出入口配置门禁系统和监控报警系统;f) 机房出入统计,统计内容包含人员姓名、出入日期和时间,操作内容,携带物品等。 3.2. 网络平台3.2.1. 网络结构在系统内部网络和外部网络间配置访问控制设备或逻辑隔离设备以实现网络访问控制和网络间信息交换,对访问控制/隔离设备通信事件、操作事件进行审计。合理设置访问控制/隔离设备安全配置,确定安全
9、功效有效性。具体安全要求以下:a) 依据系统安全策略配置访问控制规则,实现对网络数据包过滤及对网络访问行为管理,并对发生网络攻击或违规事件进行检测和告警;b) 访问控制/隔离设备应实施用户权限管理;c) 开启审计功效,统计经过访问控制/隔离设备信息内容或活动;d) 定时查看日志,并对存放日志进行有效保护(如预防非法修改、删除,定时导出等);e) 对含有文件传输控制能力访问控制/隔离设备设置传输过滤列表。应依据业务应用和安全策略对系统内部服务器区域进行逻辑划分或逻辑隔离,实现对信息流访问控制和安全传输,在终端计算机和服务器之间进行访问控制,建立安全访问路径。对连接到存相关键信息服务器,应采取网络
10、层地址或数据链路层地址绑定方法,预防地址欺骗。当相关键信息经过公共网络进行传输时,应在传输线路中配置加密设备,以确保在公共网络上传输信息保密性;严禁内部网络用户未授权和外部网络连接;如提供远程拨号或移动用户连接,应在系统入口处配置判别和认证服务器。严禁非授权设备接入内部网络,尤其是服务器区域。3.2.2. 路由器应依据系统安全策略配置对应路由器安全配置,具体要求包含:a) 保持路由器软件版本更新,修补高风险漏洞;b) 严禁和应用无关网络服务,关闭和应用无关网络接口;c) 对登录用户进行身份标识和判别,身份标识唯一,不反馈判别信息;d) 修改路由器默认用户口令或严禁默认用户访问,用户口令应满足长
11、度和复杂性要求,并对配置口令进行加密保护;e) 当登录连接超时,应自动断开连接,并要求重新判别;f) 对能够登录路由器远程地址进行限制,关闭和应用无关远程访问接口;g) 对登录提醒信息进行设置,不显示路由器型号、软件、全部者等信息;h) 对路由配置进行备份,且对备份文件读取实施访问控制;i) 开启路由器日志功效,对修改访问控制列表、路由器配置等操作行为进行审计统计。3.2.3. 交换机应依据系统安全策略配置对应交换机安全配置,具体要求包含:a) 保持交换机软件版本更新,修补高风险漏洞;b) 严禁和应用无关网络服务,关闭和应用无关网络接口;c) 对登录交换机用户进行身份标识和判别,身份标识唯一,
12、不反馈判别信息;d) 修改交换机默认用户口令或严禁默认用户访问,用户口令应满足长度和复杂性要求,并对配置口令进行加密保护;e) 当用户登录连接超时,应自动断开连接,并要求重新判别;f) 对能够登录交换机远程地址进行限制,关闭和应用无关远程访问接口;g) 对登录提醒信息进行设置,不显示交换机型号、软件、全部者等信息;h) 对交换机配置进行备份,且对备份文件读取实施访问控制;i) 开启交换机日志功效,对修改访问控制列表、交换机配置等操作行为进行审计统计。 3.3. 系统软件3.3.1. 操作系统信息系统应依据应用需求、安全需求选择操作系统,并实施安全配置。具体要求以下:a) 定时更新操作系统版本,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 杭州 电子政务 系统安全 技术规范 样本
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【a199****6536】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【a199****6536】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。