DB21 T 2082.2-2013 信息系统安全检查规范 第2部分：技术规范.doc

《DB21 T 2082.2-2013 信息系统安全检查规范 第2部分：技术规范.doc》由会员分享，可在线阅读，更多相关《DB21 T 2082.2-2013 信息系统安全检查规范 第2部分：技术规范.doc（26页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 35.020 L70 DB21 辽 宁 省 地 方 标 准 DB 21/ XXXXX XXXX 信息系统安全检查规范 第 2 部分 ： 技术规范 Specification for information system security checks Part2: technical Criterion （报批稿） （本稿完成日期： 2012-9-13） XXXX - XX - XX 发布 XXXX - XX - XX 实施 辽宁省质量技术监督局 发布 DBXX/ XXXXX XXXX I 目 次 前言 . V 引言 . VI 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定

2、义 . 1 4 要求 . 2 5 信息安全防护体系 . 2 5.1 物理安全 . 2 5.2 平台安全 . 2 5.3 数据安全 . 2 5.4 通信安全 . 3 5.5 应用安全 . 3 5.6 运 行安全 . 3 5.7 管理安全 . 3 6 信息系统基础产品检查 . 3 6.1 IT 及相关 产品 . 3 6.1.1 检查准备 . 3 6.1.2 检查对象 . 4 6.1.3 检查项 . 4 6.1.4 检查实施 . 4 6.1.5 检查评估 . 4 6.2 信息安全产品 . 4 6.2.1 检查准备 . 4 6.2.2 检查对象 . 4 6.2.3 检查项 . 4 6.2.4 检查实施

3、 . 4 6.2.5 检查评估 . 5 7 信息安全等级保护检查 . 5 7.1 检查准备 . 5 7.2 检查对象 . 5 7.3 检查项 . 5 7.4 检查实施 . 5 7.5 检查评估 . 5 8 技术要求 . 6 DBXX/ XXXXX XXXX II 8.1 风险评估 . 6 8.1.1 检查准备 . 6 8.1.2 检查对象 . 6 8.1.3 检查项 . 6 8.1.4 检查实施 . 6 8.1.5 检查评估 . 6 8.2 物理安全 . 6 8.2.1 检查准备 . 7 8.2.2 检查对象 . 7 8.2.3 检查项 . 7 8.2.4 检查实施 . 7 8.2.5 检查评

4、估 . 7 8.3 网络基础平台安全 . 7 8.3.1 检查准备 . 7 8.3.2 检查对象 . 7 8.3.3 检查项 . 7 8.3.4 检查实施 . 8 8.3.4.1 测试 . 8 8.3.4.2 设备检查 . 8 8.3.4.3 结构检查 . 8 8.3.4.4 安全功能检查 . 8 8.3.5 检查评估 . 8 8.4 系统平台安全 . 9 8.4.1 检查准备 . 9 8.4.2 检查对象 . 9 8.4.3 检查项 . 9 8.4.4 检查实施 . 9 8.4.4.1 测试 . 9 8.4.4.2 安全配置检查 . 9 8.4.4.3 安全监控检查 . 10 8.4.5 检

5、查评估 . 10 8.5 应用系统安全 . 10 8.5.1 检查准备 . 10 8.5.2 检查对象 . 10 8.5.3 检查项 . 10 8.5.4 检查实施 . 10 8.5.4.1 测试 . 11 8.5.4.2 防护措施检查 . 11 8.5.4.2 关键字过滤检查 . 11 8.5.5 检查评估 . 11 8.6 系统安全平台检查 . 11 8.6.1 检查准备 . 11 8.6.2 检查对象 . 12 DBXX/ XXXXX XXXX III 8.6.3 检查项 . 12 8.6.4 检查实施 . 12 8.6.4.1 测试 . 12 8.6.4.2 设备检查 . 12 8.6

6、.4.3 安全管理检查 . 12 8.6.4.4 密码使用和管理 . 12 8.6.5 检查评估 . 13 8.7 数据安全检查 . 13 8.7.1 检查准备 . 13 8.7.2 检查对象 . 13 8.7.3 检查项 . 13 8.7.4 检查实施 . 13 8.7.4.1 测试 . 13 8.7.4.2 设备检查 . 14 8.7.4.3 数据管理检查 . 14 8.7.4.4 备份容灾检查 . 14 8.7.5 检查评估 . 14 8.8 通信安全检查 . 14 8.8.1 检查准备 . 14 8.8.2 检查对象 . 14 8.8.3 检查项 . 15 8.8.4 检查实施 . 1

7、5 8.8.4.1 测试 . 15 8.8.4.2 安全域检查 . 15 8.8.4.3 数据传输检查 . 15 8.8.5 检查评估 . 15 8.9 运行安全检查 . 15 8.9.1 检查准备 . 15 8.9.2 检查对象 . 16 8.9.3 检查项 . 16 8.9.4 检查实施 . 16 8.9.4.1 系统运行检查 . 16 8.9.4.2 IT 服务检查 . 16 8.9.4.3 工作环境检查 . 16 8.9.4.4 应急管理检查 . 16 8.9.4.5 事件管理检查 . 16 8.9.5 检查评估 . 17 8.10 管理安全检查 . 17 8.10.1 检查准备 .

8、17 8.10.2 检查对象 . 17 8.10.3 检查项 . 17 8.10.4 检查实施 . 18 8.10.4.1 规范管理检查 . 18 DBXX/ XXXXX XXXX IV 8.10.4.2 人员管理检查 . 18 8.10.4.3 资产管理检查 . 18 8.10.5 检查评估 . 18 8.11 教育培训检查 . 19 8.11.1 检查准备 . 19 8.11.2 检查对象 . 19 8.11.3 检查项 . 19 8.11.4 检查实施 . 19 8.11.5 检查评估 . 19 DBXX/ XXXXX XXXX V 前 言 DB21/Txxxx分为 2部分： 第 1部分

9、：管理规范 第 2部分：技术规范 本部分是 DB21/Txxxx的第 2部分。 本标准依据 GB/T1.1-2009标准化工作导则 第 1部分：标准的结构与编写制定。 本标准由 大连市网络与信息安全协调小组 提出。 本标准由辽宁省经济和信息化委员会归口。 本标准起草单位： 大连市经济和信息化委员会 、 大连 市网络与信息安全专家组 。 本标准 主 要起草人： 郎庆斌、孙鹏、刘刚、李持见、仉宏、董晶、孙毅、杨莉、王小庚、尹宏、汪祖民、夏炳俐 。 DBXX/ XXXXX XXXX VI 引 言 信息技术，特别是 物联网、 云计算 、移动互联、社交网络、 三网融合 等新兴 IT技术 的广泛应用和迅速

10、发展，极大地促进了社会发展、经济繁荣和人民生活进步，网络应用的 基础性、社会性、全局性日益凸显，社会、经济对信息化应用的依赖度愈来愈高，对网络与信息安全也提出了更高要求。 网络安全问题严重影响我国政治、经济、文化等领域的和谐发展，近年来一些较大级别的基础网络安全事件增多，安全风险继续处于高危水平，网络攻击和网页篡改事件频繁发生，用户 密码、账号被盗比例上升到安全事件的第一位（ 2010年统计达到 27），社会影响力和关注度已达到前所未有的高度。 “ 震网 ” 病毒攻击 、“ 谷歌 地图事件 ”等 都警示我们 ， 网络信息安全已上升到国家安全的重要层面。 为应对日益严峻的信息安全形势，保证信息系

11、统的可信、安全、可控，国家网络与信息安全协调小组推进重要领域信息系统安全检查，是重要的保障措施。本规范是为建立科学、规范、有序的信息系统安全检查环境 编制。 DBXX/ XXXXX XXXX 1 信息系统安全检查规范 1 范围 本标准规定了基于信息系统安全防护体系，信息系统基础产品检查、信息安全等级保护检查、信息系统安全检查技术要求、检查方式的基本要求。 本标准适用于各级党政机关、行业主管部门为履行职能提供支撑的信息系统的检查。其它面向社会提供服务的重要行业信息系统检查可参照本标准执行。 本标准不适用于涉及国家秘密的信息系统安全检查。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。

12、凡是注日期的引用文件，仅所注日期的版本适用于本文件 。凡是不注日期的引用文件，其最新版本（包括所有的修改单） 适用于本文件。 GB/T 5271.8 信息技术 词汇 第 8部分：安全 GB/T 20269 信息安全技术 信息系统安全管理要求 GB/T 20984 信息安全技术 信息安全风险评估规范 GB/T 20988 信息安全技术 信息系统灾难恢复规范 GB/T 21671 基于以太网技术的局域网系统验收测评规范 GB/T 22239 信息安全技术 信息系统安全等级保护基本要求 GB/T 22240 信息安全技术 信息系统安全等级保护定级指南 GB/Z 24364 信息安全技术 信息安 全风

13、险管理指南 中华人民共和国国务院令（ 147号） 计算机信息系统安全保护条例 国密局发 200910号 关于印发 实施意见的通知 DB21/T 1799.1 信息服务管理规范 第 1部分：总则 DB21/T 1799.3 信息服务管理规范 第 3部分：计算机信息系统运营和维护管理 DB21/Txxxx.1 信息系统安全检察规范 第 1部分：管理规范 3 术语和定义 GB/T 5271.8和 DB21/Txxxx.1界定的以及下列术语和定义适用于本 部分 。 3.1 信息系统生 命周期 life cycle of information system 信息系统开发方法，包括可行性分析、需求管理、

14、总体规划、系统设计、系统实施、系统运行、系统服务和系统评估等阶段。 3.2 安全策略 information security policy DBXX/ XXXXX XXXX 2 为实现安全目标制定的约束所有信息安全管理相关活动的一组规则。由实施信息安全的组织建立、描述、实施和实现。 4 要求 信息系统安全检查技术规范，遵循 GB/T 20269确立的信息系统安全管理要求。 本部分遵循 DB21/Txxxx.1确立的管理原则和要求， 重点描述信息系统安全检查边界、检查评估内容。 信息系统安全检查技术规范的一般原则和要求， 参照 DB21/Txxxx.1执行。 在信息系统安全检查中，应同时使用

15、DB21/Txxxx.1和本部分。 在信息系统安全检查中，应根据 DB21/Txxxx.1确立的管理原则和要求，制定技术方案，明确检查措施、技术手段。 5 信息安全防护体系 5.1 物理安全 物理安全主要包括： a） 电源管理 ：将电源有效分配到系统中不同的设备组件。应考虑电源设备参数对设备的影响，如过压、过流、浪涌、短路等 ；应考虑电源系统的裕量（包括 UPS） ； b）等电位管理 ：设置配电系统、各类电子设备及附属设施 （包括所有金属件） 、防雷 、防静电 等的 接地 等电位体， 应 考虑静电防护、感应雷电可能形成的电磁脉冲和过电压的干扰和毁坏等 ； c）设备管理： 信息系统 相关 设备的

16、日常运行和管理 ；防电磁信息辐射泄漏、防电磁干扰、防线路截获、电源保护等； d） 媒介安全：各种存储媒介内容和媒介本身安全； e）场地环境： 应考虑机房内通风、温度、湿度、灰尘、灯光等的配置；考虑机柜放置与冷却效 率和制冷单元热点的关系；以及可能因功能扩大引起的冷却效率问题等 ； f） 灾害预防 ：应考虑物理和自然灾害发生的 可能性，制定应急预案 ；考虑设备防盗、防毁等； g）布线系统： 监控设备间、弱电井 、机房 等区域配线设备、信息插座等设施 及 线缆 状态 ， 以 及网络通信线路的工作状态和可能的故障状态 ； h） 监控系统管理 ：监控门禁系统、各类监控设备等的运行状态、参数变化、提示信

17、息等 。 5.2 平台安全 信息系统平台主要包括： a） 网络基础平台： 路由设备、网络交换设备 、存储设备 等网络基础设施的安全性、可靠性、可用性和可扩展性， 及 网络结构的优化 等； b） 系统平台： 操作系统、数据库系统及网络协议等的安全性、可靠性和可用性 ； c）应用系统平台：支撑系统应 用的 Web、 DNS、 Mail、中间件 等服务设施和 其它支撑系统应用的软件系统 的安全性、可靠性和可用性； d）系统安全平台：信息系统安全设施、 安全策略、安全机制、安全级别、病毒防护、补丁管理等的安全性、有效性和可用性。 5.3 数据安全 DBXX/ XXXXX XXXX 3 a）存储设备：

18、服务器设备、集群系统、存储阵列、存储网络等，以及支撑数据存储设施运行的软件平台 等 数据存储设施的安全性、可靠性和可用性 ； b）数据管理： 1） 数据质量： 数据的完整性、可靠性、可用性 及 数据管理和数据恢复策略 ； 2） 数据访问控制：数据访问控制策略、访问权限控制策略、非授权访问处 理策略 等 ； 3） 数据存储与容灾：数据存储、数据容灾策略 ， 制定数据存储事件处理预案； 4） 数据交换安全： 规划建设数据安全交换平台，保证内、外网络之间数据交换的安全。制定数据安全交换、交换过程 中 数据的完整性、可靠性、安全性策略；制定数据交换事件处理预案 。 5.4 通信安全 a）数据传输线路和

19、网络基础设施的安全性； b）各项网络协议的安全性； c） 数据 传输 的安全性 及 数据通信的安全策略 ， 制定数据通信应急处理预案 。 5.5 应用安全 a） 应用系统可靠性、安全性、可用性测试； b）应用系统安全策略； c）应用系统访问控制策略； d）应 用系统访问终端安全检查； e）日志审计等。 5.6 运行安全 a） 信息系统运行状况监测、 预警和 管理； b）工作环境管理，包括工作场地、个人计算机终端安全性等； c）系统性能评估，包括系统整体架构、系统平台、应用系统、数据管理、系统安全平台等的整体安全性、可用性，及业务融合度评估等； d）应急管理和灾难预防恢复机制； e）系统更新、升

20、级等。 5.7 管理安全 a） 制定安全防护体系各个层次和整体的安全管理策略和机制，建立完善的管理制度； b） 日常 管理 规范化和标准化 ； c） 制定 信息系统 安全 总体发展 规划，包括 信息系统 安全 中长期建设 、应用、发展规划；资源整合规划 安全性 ； IT治理模式；标准建设 等 ； d） 优化、提高系统基础架构（包括硬件基础平台、系统平台、安全平台、数据管理平台等）的可用性、可靠性 和安全性 。 6 信息系统基础产品检查 6.1 IT 及相关 产品 6.1.1 检查准备 a） IT及相关产品技术文档； DBXX/ XXXXX XXXX 4 b） 进网许可证、安全审查相关文档； c） 其它必要的文档。 6.1.2 检查对象 IT产品及相关文档。 6.1.3 检查项 a） IT产品国产化情况； b） 系统软件、应用系统、数据库管理系统等的国产化情况； c） IT产品应用情况； d） 国外产品的安全审查情况。 6.1.4 检查实施 a） 查阅 IT产 品技术文档（包括软件应用），确认其应用范围； b） 查看现有 IT产品国产化应用； c） 如选用国外 IT产品，查阅安全审查记录。 6.1.5 检查评估 评估以下各项： a） 在满足应用需求情况下，优先选用国产化产品； b） IT产品在规定的应用范围