一级:无此要求。
二级:要求对建立连接前初始化验证和通信过程敏感信息加密。
三级:在二级要求的基础上,要求对通信过程加密的范围扩大为整个报文或会话过程。 四级:在三级要求的基础上,对加解密运算要求设备化。 具体见下表40: 要求项 项目 合计 一级 N/A 0 二级 a)—b) 2 三级 a)—b)* 2+ 四级 a)—c) 3 对数据加密的范围由二级的敏感信息扩大为三级的整个报文或会话过程,保密性得到加强。 9. 抗抵赖
通信完整性和保密性并不能保证通信抗抵赖行为,即,通信双方或不承认已发出的数据,或不承认已接收到的数据,从而无法保证应用的正常进行。必须采取一定的抗抵赖手段,从而防止双方否认数据所进行的交换。
该控制点在不同级别主要表现为: 一级:无此要求。 二级:无此要求。
三级:要求具有通信双方提供原发接收或发送数据的功能。 四级:与三级要求相同。 具体见下表41: 要求项 项目 合计 10. 软件容错 容错技术是提高整个系统可靠性的有效途径,通常在硬件配置上,采用了冗余备份的方法,以便在资源上保证系统的可靠性。在软件设计上,则主要考虑应用程序对错误(故障)的检测、处理能力。
该控制点在不同级别主要表现为: 一级:要求具有基本的数据校验功能。
二级:在一级要求的基础上,要求故障发生时能够继续运行部分功能。 三级:在二级要求的基础上,要求具有自动保护功能。 四级:在三级要求的基础上,要求具有自动恢复功能。 具体见下表42:
一级 N/A 0 二级 N/A 0 三级 a)—b) 2 四级 a)—b) 2 36
要求项 项目 合计 一级 a) 1 二级 a)-b) 2 三级 a)—b)* 2+ 四级 a)—c) 3 三级中,b)项要求在二级的基础上,提出具有自动保护功能的要求,所以强度增加。 11. 资源控制
操作系统对同时的连接数量、打开文件数量、进程使用内存等进行了一定的资源控制,保证资源合理有效的使用,以及防止系统资源被滥用而引发各种攻击。同样,应用程序也有相应的资源控制措施,包括限制单个用户的多重并发会话、限制最大并发会话连接数、限制单个用户对系统资源的最大和最小使用限度、当登录终端的操作超时或鉴别失败时进行锁定、根据服务优先级分配系统资源等。
该控制点在不同级别主要表现为: 一级:无此要求。
二级:要求单个用户会话数量、最大并发会话数量的限制。
三级:除二级要求外,增加了一段时间内的并发会话数量、单个账户或进程的资源配额、根据服务优先级分配资源以及对系统最小服务进行监测和报警的要求。
四级:与三级要求相同。 具体见下表43: 要求项 项目 合计 一级 N/A 0 二级 a)-c) 3 三级 a)-g) 7 四级 a)-g) 7 4.1.5 数据安全及备份恢复 信息系统处理的各种数据(用户数据、系统数据、业务数据等)在维持系统正常运行上起着至关重要的作用。一旦数据遭到破坏(泄漏、修改、毁坏),都会在不同程度上造成影响,从而危害到系统的正常运行。由于信息系统的各个层面(网络、主机、应用等)都对各类数据进行传输、存储和处理等,因此,对数据的保护需要物理环境、网络、数据库和操作系统、应用程序等提供支持。各个“关口”把好了,数据本身再具有一些防御和修复手段,必然将对数据造成的损害降至最小。
另外,数据备份也是防止数据被破坏后无法恢复的重要手段,而硬件备份等更是保证系统可用的重要内容,在高级别的信息系统中采用异地适时备份会有效的防治灾难发生时可能造成的系统危害。
保证数据安全和备份恢复主要从:数据完整性、数据保密性、备份和恢复等三个控制点考虑。
不同等级的基本要求在应用安全方面所体现的不同如3.1节和3.2节所描述的一样,在
37
三个方面都有所体现。
一级数据安全及备份恢复要求:对数据完整性用户数据在传输过程提出要求,能够检测出数据完整性受到破坏;同时能够对重要信息进行备份。
二级数据安全备份恢复要求:对数据完整性的要求增强,范围扩大,要求鉴别信息和重要业务数据在传输过程中都要保证其完整性。对数据保密性要求实现鉴别信息存储保密性,数据备份增强,要求一定的硬件冗余。
三级数据安全备份恢复要求:对数据完整性的要求增强,范围扩大,增加了系统管理数据的传输完整性,不仅能够检测出数据受到破坏,并能进行恢复。对数据保密性要求范围扩大到实现系统管理数据、鉴别信息和重要业务数据的传输和存储的保密性,数据的备份不仅要求本地完全数据备份,还要求异地备份和冗余网络拓扑。
四级数据安全备份恢复要求:为进一步保证数据的完整性和保密性,提出使用专有的安全协议的要求。同时,备份方式增加了建立异地适时灾难备份中心,在灾难发生后系统能够自动切换和恢复。
下表表明了数据安全在控制点上逐级变化的特点:
表44 数据安全层面控制点的逐级变化
控制点 数据完整性 数据保密性 备份和恢复 合计 一级 * * 2 二级 * * * 3 三级 * * * 3 四级 * * * 3 另外两个特点(要求项增加和要求项强度增强)将在以下控制点描述时具体展开。 1. 数据完整性
数据完整性主要保证各种重要数据在存储和传输过程中免受未授权的破坏。这种保护包括对完整性破坏的检测和恢复。
该控制点在不同级别主要表现为:
一级:能够对用户数据在传输过程的完整性进行检测。
二级:在一级要求的基础上,范围扩大,要求鉴别信息和重要业务数据在传输过程中都要保证其完整性。
三级:在二级要求的基础上,范围又扩大,增加了系统管理数据的传输完整性,不仅能够检测出数据受到破坏,并能进行恢复。
四级:除三级要求外,要求采用安全、专用的通信协议。 具体见下表45: 要求项 一级 二级 三级 四级 38
项目 合计 a) 1 a)* 1+ a)*-b) 2+ a)-c) 3 在二级,a)范围增加了重要业务数据的传输完整性;在三级,a)增加了系统管理数据的传输完整性。 2. 数据保密性
数据保密性主要从数据的传输和存储两方面保证各类敏感数据不被未授权的访问,以免造成数据泄漏。
该控制点在不同级别主要表现为: 一级:无此要求。
二级:要求能够实现鉴别信息的存储保密性。
三级:除二级要求外,范围扩大到实现系统管理数据、鉴别信息和重要业务数据的传输和存储的保密性。
四级:除三级要求外,要求采用安全、专用的通信协议。 具体见下表46: 要求项 项目 合计 一级 N/A 0 二级 a) 1 三级 a)-b)* 2+ 四级 a)-c) 3 在三级,b)增加了系统管理数据的传输保密性。 3. 数据备份和恢复
所谓“防患于未然”,即使对数据进行了种种保护,但仍无法绝对保证数据的安全。对数据进行备份,是防止数据遭到破坏后无法使用的最好方法。
通过对数据采取不同的备份方式、备份形式等,保证系统重要数据在发生破坏后能够恢复。硬件的不可用同样也是造成系统无法正常运行的主要原因。因此,有必要将一些重要的设备(服务器、网络设备)设置冗余。当主设备不可用时,及时切换到备用设备上,从而保证了系统的正常运行。如果有能力的话,对重要的系统也可实施备用系统,主应用系统和备用系统之间能实现平稳及时的切换。
该控制点在不同级别主要表现为: 一级:能够对重要数据进行备份。
二级:在一级要求的基础上,能够提供一定的硬件冗余。
三级:除二级要求外,不仅要求本地完全数据备份,还要求异地备份和冗余网络拓扑。 四级:除三级要求外,增加了建立异地适时灾难备份中心,在灾难发生后系统能够自动切换和恢复。
具体见下表47:
39
要求项 项目 合计 一级 a) 1 二级 a)-b) 2 三级 a)-d) 4 四级 a)b)c)*-e) 5+ 在四级,c)增加了适时备份功能。 4.2 管理要求
4.2.1 安全管理制度
在信息安全中,最活跃的因素是人,对人的管理包括法律、法规与政策的约束、安全指南的帮助、安全意识的提高、安全技能的培训、人力资源管理措施以及企业文化的熏陶,这些功能的实现都是以完备的安全管理政策和制度为前提。这里所说的安全管理制度包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。
安全管理制度主要包括:管理制度、制定和发布、评审和修订三个控制点。不同等级的基本要求在安全管理制度方面所体现的不同如3.1节和3.2节所描述的一样,在三个方面都有所体现。
一级安全管理制度要求:主要明确了制定日常常用的管理制度,并对管理制度的制定和发布提出基本要求。
二级安全管理制度要求:在控制点上增加了评审和修订,管理制度增加了总体方针和安全策略,和对各类重要操作建立规程的要求,并且管理制度的制定和发布要求组织论证。
三级安全管理制度要求:在二级要求的基础上,要求机构形成信息安全管理制度体系,对管理制度的制定要求和发布过程进一步严格和规范。对安全制度的评审和修订要求领导小组的负责。
四级安全管理制度要求:在三级要求的基础上,主要考虑了对带有密级的管理制度的管理和管理制度的日常维护等。
下表表明了安全管理制度在控制点上逐级变化的特点:
表48 安全管理制度控制点的逐级变化
控制点 管理制度 制定和发布 评审和修订 合计 一级 * * 2 二级 * * * 3 三级 * * * 3 四级 * * * 3 另外两个特点(要求项增加和要求项强度增强)将在以下控制点描述时具体展开。 1. 管理制度
信息安全管理制度文件通过为机构的每个人提供基本的规则、指南、定义,从而在机构
40