软件系统安全规范

1、.：.；一、引 言 11目的 随着计算机运用的广泛普及，计算机平安已成为衡量计算机系统性能的一个重要目的。 计算机系统平安包含两部分内容，一是保证系统正常运转，防止各种非故意的错误与损坏；二是防止系统及数据被非法利用或破坏。两者虽有很大不同，但又相互联络，无论从管理上还是从技术上都难以截然分开，因此，计算机系统平安是一个综合性的系统工程。 本规范对涉及计算机系统安、全的各主要环节做了详细的阐明，以便计算机系统的设计、安装、运转及监察部门有一个衡量系统平安的根据。 12范围 本规范是一份指点性文件，适用于国家各部门的计算机系统。 在弓I用本规范时，要根据各单位的实践情况，选择适当的范围，不强求全

2、面采用。 二、平安组织与管理 21平安机构 211单位最高指点必需主管计算机平安任务。 212建立平安组织： 2121平安组织由单位主要指点人指点，不能隶属于计算机运转或运用部门。 2122平安组织由管理、系统分析、软件、硬件、捍卫、审计、人事、通讯等有关方面人员组成。 2123平安担任人担任平安组织的详细任务。 2124平安组织的义务是根据本单位的实践情况定期做风险分析，提出相应的对策并监视实施。 213平安担任人制： 213I确定平安担任人对本单位的计算机平安负全部责任。 2132只需平安担任人或其指定的专人才有权存取和修正系统授权表及系统特权口令。 2133平安担任人要审阅每天的违章报告

3、，控制台操作记录、系统日志、系统报警记录、系统活动统计、警卫报告、加班报表及其他与平安有关的资料。 2134平安担任人担任制定平安培训方案。 2135假设终端分布在不同地点，那么各地都应有地域平安担任人，可设专职，也可以兼任，并接受中心平安担任人的指点。 2136各部门发现违章行为，应向中心平安担任人报告，系统中发现违章行为要通知各地有关平安担任人。 214计算机系统的建立应与计算机平安任务同步进展。 22人事管理 221人员审查：必需根据计算机系统所定的密级确定审查规范。如：处置机要信息的系统，接触系统的一切任务人员必需按机要人员的规范进展审查。 222关键岗位的人选。如：系统分析员，不仅要

4、有严厉的政审，还要思索其现实表现、任务态度、品德涵养和业务才干等方面。尽能够保证这部分人员平安可靠。 223一切任务人员除进展业务培训外，还必需进展相应的计算机平安课程培训，才干进入系统任务。 224人事部门应定期对系统一切任务人员从政治思想、业务程度、任务表现等方面进展考核，对不适于接触信息系统的人员要适时调离。 225对调离人员，特别是在不情愿的情况下被调走的人员，必需仔细办理手续。除人事手续外，必需进展调离说话，声明其调离后的严密义务，收回一切钥匙及证件，退还全部技术手册及有关资料。系统必需改换口令和机要锁。在调离决议通知本人的同时，必需立刻进展上述任务，不得拖延。 2.3平安管理 23

5、，1应根据系统所处置数据的性和重要性确定平安等级，井据此采用有关规范和制定相应管理制度。 232平安等级可分为严密等级和可靠性等级两种，系统的严密等级与可靠性等级可以不同。 2321严密等级应按有关规定划为绝密、。 2322可靠性等级可分为三级。对可靠性要求最高的为A级，系统运转所要求的最低限制可靠性为C级，介于中间的为B级。 233用于重要部门的计算机系统投入运转前，应请公安机关的计算机监察部门进展平安检查。 234必需制定有关电源设备、空凋设备，防水防盗消防等防备设备的管理规章制度。确定专人担任设备维护和制度实施。 235应根据系统的重要程度，设立监视系统，分别监视设备的运转情况或任务人员

6、及用户的操作情况，或安装自动录象等记录安装。对这些设备必需制定管理制度，并确定担任人。 236制定严厉的计算中心出入管理制度： 2361计算机中心要实行分区控制，限制任务人员出入与己无关的区域。 2362规模较大的计算中心，可向一切任务人员，包括外单位的人员，发行带有照片的身份证件，并定期进展检查或改换。 2363平安等级较高的计算机系统，除采取身份证件进展识别以外，还要思索其他出入管理措施，如：安装自动识别登记系统，采用磁卡、构造编码卡或带有徽电脑及存储器的身份卡等手段，对人员进展自动识别、登记及出入管理。 2364短期任务人员或维修人员的证件，应注明有效日期，届时收回。 2365观赏人员必

7、需由主管部门办理观赏手续，观赏时必需有专人陪同。 2366因系统维修或其它缘由需外国籍人进入机房时，必需一直有人陪同。 2367进出口的钥匙应保管在商定的场所，由专人管理，并明确其责任。记录最初人室者及最后离室者和钥匙交换时间。 2368在无警卫的场所，必需保证室内无人时，关锁一切出入口。 2369制止携带与上机任务无关的物品进入机房。 23610对于带进和带出的物品，如有疑问，庞进展查验。 237制定严厉的技术文件管理制度。 2371计算机系统的技术文件如阐明书、手册等应妥善保管，要有严厉的借阅手续，不得损坏及丧失。 2372应备有关计算机系统操作手册规定的文件。 2373庞常备计算机系统出

8、现缺点时的替代措施及恢复顺序所规定的文件。 238制定严厉的操作规程： 238I系统操作人员应为专职，操作时要有两名操作人员在场。 2382对系统开发人员和系统操作人员要进展职责分别。 239制定系统运转记录编写制度，系统运转记录包括系统称号、姓名、操作时间、处置业务称号、缺点记录及处置情况等。 2310制定完备的系统维护制度： 23101对系统进展维护时，应采取数据维护措施。如：数据转贮、抹除、卸下磁盘磁带，维护时平安人员必需在场等。运程维护时，应事先通知。 23102对系统进展预防维修或缺点维修时，必需记录缺点缘由、维修对象、维修内容和维修前后情况等。 2，3103必需建立完好的维护记录档

9、案。 2311应制定危险品管理制度。 2312应制定耗费品管理制度。 2313应制定机房清洁管理制度。 2314必需制定数据记录媒体管理制度。 2315必需定期进展平安设备维护及运用训练，保证每个任务人员都能熟练地操作有关的平安设备。 三、平安技术措施 31实体平安 311设计或改建计算机机房时必需符合以下规范： 3111(GB288787)。 3112国家规范(待公布)。 312计算中心机房建筑和构造还应留意以下问题： 3121祝房最好为公用建筑。 3122机房最好设置在电梯或楼梯不能直接进入的场所。 3123机房应与外部人员频繁出入的场所隔离。 3124机房周围应设有围墙或栅栏等防止非法进

10、入的设备。 3125建筑物周围应有足够照度的照明设备，以防夜间非法侵入。 3126外部容易接近的窗口应采取防备措施。如钢化玻璃、嵌网玻璃及卷帘和铁窗。无人值守时应有自动报警设备。 3127应在适宜的位置上开设应急出口，作为避险通道或应急搬运通道。 3128机房内部设计庞便于出入控制和分区控制。 313重要部门的计算机中心外部不应设置标明系统及有关设备所在位置的标志。 314平安设备除符合规范外，还要留意以下几点： 3141机房进出口应设置应急。 3142各房间应设置报警喇叭。以免由于隔音及空调的缘由而听不到告警通知。 3143进出口应设置识别与记录进出人员的设备及防备设备。 3144机房内用于

11、动力、照明的供电线路应与计算机系统的供电线路分开。 3145机房内不同电压的供电系统应安装互不兼容的插座。 3146应设置温、湿度自动记录仪及温、湿度报警设备。 315主机及外设的电磁干扰辐射必需符合国家规范或军队规范的要求，外国产品那么必需符合消费国的规范，如FCC或VDE等规范。 316机要信息处置系统中要思索防止电磁波信息辐射被非法截收。 3161可采取区域控制的方法，即将能够截获辐射信息的区域控制起来，不许外部人员接近。 3162可采用机房屏蔽的方法，使得信息不能辐射出机房。 3163可采用低辐射设备。 3164可采取其它技术，使得难以从被截获的辐射信号中分析出有效信息。 3165关于

12、屏蔽技术的详细要求和技术目的可向公安部有关部门咨询。 317磁媒休管理： 3171磁盘、磁带必需按照系统管理员及制造厂确定的操作规程安装。 3172传送过程的数据磁盘、磁带应装在金属盒中。 3173新带在运用前庞在机房经过二十四小时温度顺应。 31.74磁带、磁盘应放在距钢筋房柱或类似构造物十厘米以上处，以防雷电经钢筋传播时产生的磁场损坏媒体上的信息。 3175存有机要信息的磁带去除时必需进展消磁，不得只进展磁带初始化。 3176一切入库的盘带目录清单必需具有一致格式，如文件一切者、卷系列号、文件名及其描画、作业或工程编号、建立日期及保管期限。 3177盘带出入库必需有核准手续并有完备记录。

13、3178长期保管的磁带庞定期转贮。 3179存有记录机要信息磁带的库房，必需符合相应密级的文件保管和管理条例的要求，不得与普通数据磁带混合存放。 31710重要的数据文件必需多份拷贝异地存放。 31711磁带库必需有专人担任管理。 32软件平安 321系统软件应具有以下平安措施： 3211操作系统应有较完善的存取控制功能，以防止用户越权存取信息。 3212操作系统应有良好的存贮维护功能，以防止用户作业在指定范围以外的存贮区域进展读写。 3213操作系统应有较完善的管理功能，以记录系统的运转情况，监测对数据文件的存取。 3214维护人员进展维护时，应处于系统平安控制之下。 3215操作系统发生缺

14、点时，不应暴露口令，授权表等重要信息。 3216操作系统在作业正常或非正常终了以后，应该去除分配给该作业的全部暂时任务区域。 3217系统应能像维护信息的原件一样，准确地维护信息的拷贝。 322运用软件： 3221运用程序必需思索充分利用系统所提供的平安控制功能。 3222运用程序在保证完成业务处置要求的同时，应在设计时添加必要的平安控制功能。 3223程序员与操作员职责分别。 3224平安人员应定期用存档的源程序与现行运转程序进展对照，以有效地防止对程序的非法修正。 323数据库： 3231数据库必需有严厉的存取控制措施，库管理员可以采取层次、分区、表格等各种授权方式，控制用户对数据库的存取

15、权限。 3232经过实体平安、备份和恢复等多种技术手段来维护数据库的完好性。 3233应对输人数据进展逻辑检验，数据库更新时应保证数据的准确性。 3234数据库管理员应实时检查数据库的逻辑构造、数据元素的关联及数据内容。 3235数据库管理系统应具有检查跟踪才干，可以记录数据库查询、密码利用率、终端动作、系统利用率、错误情况及重新启动和恢复等。 3236库管理系统应能检测出涉及事务处置内容及处置格式方面的错误，并予以记录。 3237必需有可靠的日志记录。对数据完好性要求较高的场所要建立双副本日志，分别存于磁盘和磁带上以保证不测时的数据恢复。 3238应建立定期转贮制度，并根据买卖量的大小决议转

16、贮频度。 3239数据库软件应具备从各种人为缺点、软件缺点和硬件缺点中进展恢复的才干。 32310库管理软件应能确定能否由于系统缺点而引起了文件或买卖数据的丧失。 32，311重要的系统应采取平安控制实时终端，专门处置各类报警信息。 3.2312对于从日志或实时终端上查获的全部非法操作都应加以分析，找出缘由及对策。 324软件开发： 3241软件开发过程应按照下述规范的要求进展： (l)国家规范(待公布)。 (2)国家规范(待公布)。 (3)国家规范(待公布)。 (4)国家规范(待公布)。 (5)国家规范(待公布)。 3242产品鉴定验收： (l)鉴定验收是软件产品化的关键环节，必需给予足够的

17、注重。提交鉴定的软件产品，应具有上述规范中列出的各种产品文件。 (2)将鉴定会上提供的上述文件装订成册，编好页码目录，作为技术档案，妥善保管。 (3)未经鉴定验收的软件，不得投入运转。 (4)购买的软件应附有完好的技术文件。 325软件维护与管理： 3251较重要的软件产品，其技术档案应复制副本，正本存档，不准外借。3252软件产品除建立档案文件外，其源文件应记在磁盘或磁带上，并编写详细目录，以便长期保管。 3253重要的软件，均应复制两份，一份作为主拷贝存档，一份作为备份。 32. 54对系统软件的维护和二次开发要慎重，必需事先对系统有足够的了解。 3255对软件进展维护和二次开发前，必需写

18、出书面恳求报告，经有关指点同意，方可进展。 3256在维护和二次开发中，必需有详细的规范化的书面记载，主要记载修补部位，修正内容，添加功能，修正人，修正日期等，以便查找或他人接替。 3257二次开发只能在系统软件的副本上进展。 3258对软件的任何修正都必需有文字记载，并与修正前后的软件副本一同并人软件技术档案，妥善保管。 3259对软件的修正必需保证不降低系统的平安性。33输入输出控制。 331明确系统各环节任务人员的责任： 3311系统各程序设计人员与操作人员必需分别。 3312重要事务处置工程，必需规定由合法文件的法定人提交。 3313修正文件必需规定同意和执行的手续。 3. 314任务

19、期间至少应有两人在机房值班，以防止非法运用计算机。 3315保管控制台打印记录。 332制定一致的数据格式并尽能够运用一致编码。 333操作控制： 3331对操作人员制定有关处置输人数据的操作制度和规程。 3332必需建立一个整齐、清洁、安静符合生理卫生要求的操作环境，以减少操作失误。 3333严厉规定媒体管理制度，以防止媒体中数据的破坏和损失。如：磁带在保管、传送及安装时的要求，卡片、磁盘、胶片、纸带的管理规程等。 333.4向操作人员提供完好的操作指南，以便掌握有关作业安排，作业优先级分配，建立和控制造业，规定场所平安措施和作业运转等的合理规程。 3335需求保管的数据文件必需有完备的记录

20、，存人符合要求的媒体库中。 3336充分利用作业统计功能提供的信息，如：调查完成某个特定功能所需的时间，比较实践机器任务时间与预定时间的差别，判别实践的作业资源需求所预定需求的差别。 3337处置机要数据的终端室各终端，可以思索用屏风隔离，以防各用户互看屏幕内容。 334数据在投入运用前，必需确保其准确可靠，可采用各种方法进展检验。如：标号检查、顺序检查、极限校验、运算验证、记录数核对等。 335输出控制： 3351数据处置部门的输出控制应有专人担任。 3352输出文件必需有可读的密级标志，如：、绝密等宇样或颜色标志。 3353等级标志必需与相应文件在整个处置环节中同时生存。 3354输出文件

21、在发到用户之前，应由数据处置部门进展审核。 3355输出文件的发放应有完备手续。 336可以设置独立于用户和数据处置部门两者的管理小组，以监视和指点进入或分开数据处置中心的数据。 34联机处置 341联机系统应该确定系统平安管理员，对系统平安担任。 342用户识别： 3421必需充分利用系统提供的技术手段。如：用户授权表，存取控制矩阵等。 (l)由于计算机识别用户的最常用的方法是口令，所以必需对口令的产生、登记、改换期限实行严厉管理。 (2)研讨和采用多种口令密码方式，如：单一密码、可变或随码、函数型密码等。 (3)口令应加密存贮。 (4)系统能跟踪各种非法恳求并记录某些文件的运用情况。 (5

22、)根据系统的位置，假设错误的口令被延续地运用假设干次后，系统应采取相应措施，如封锁那个终端，记录所用终端及用户名，并立刻报警。 (6)教育用户必需遵照口令的运用规那么。 (7)系统应能识别终端，以查出非法用户的位置。 3422证件识别，可运用磁条、金属构造或微型芯片制成的卡式证件对用户进展识别。这种识别方式可供有条件的部门运用。 3423特征识别，采用专门设备检验用户具有的物理特征。如指纹、掌形、声纹、视网膜等。这种识别方式价钱昂贵，普通用于机要中心部门。 343需求维护的数据和软件必需加有标志，在整个生存期，标志应和数据或软件结合在一同，不能丧失。特别是在复制、转移、输出打印时，不能丧失。

23、344计算机通讯线路平安问题： 344I通讯线路应远离强电磁场辐射源，最好埋于地下或采用金属套管。 3442通讯线路最好铺设或租用专线。 3443定期测试信号强度，以确定能否有非法安装接人线路。 3444定期检查接线盒及其他易被人接近的线路部位。 345加密： 3451传输需求严密的数据，应该加密维护。 3452需长期保管的机要文件，应加密后保管。 3453系统应建立完善的密钥产生、管理和分配系统。 3454一切数据应由数据主管部门担任划分密级，密级确定后交数据处置部门进展分类处置。 3455根据数据的密级和严密时效的长短，选择相应强度的密码算法，既不能强度太高，过多添加系统开销，又不要强度太

24、低，起不到严密效果。 3456不要扩展加密的范围。对于可加密可不加密的数据，不要加密。 3457对于密钥管理人员要尽能够地减少范围，并严厉审查。 3458定期对任务人员进展严密教育。 346当系统密级发生变化，特别是密级降低时，运用叠写的方法去除全部磁存贮器，用停电的方法去除非磁存贮器。 347计算机系统必需有完好的日志记录。 347.1重要计算机日志应记录： (l)每次胜利的运用：记录节点名、用户名、口令、终端名、上下机时间、操作的数据或程序名、操作的类型、修正前后的数据值。 (2)用户每次越权存取的尝试：记录节点名、用户名、终端名、时间、欲越权存取的数据及操作类型、存取失败的缘由。 (3)

25、每次不胜利的用户身份：记录节点名、用户名、终端名、时间。 3472操作员对越权存取庞经过控制台进展干涉。 3473打印出的日志应完好而延续，不得拼接。 3474重要的日志应由平安担任人签名，规定保管期限。 348对特定的终端设备，应限定操作人员。特定终端设备指：可对重要数据进展存取的、有控制台功能的、系统管理员所用的终端等。限定操作人员的方法有：采用口令、识别码等资历认定或设置终端设备的钥匙等。 35网络平安 351网络平安比单机系统或联机系统更为重要。假设没有必要的平安措施，网络不能正式投入运用。 352重要部门的计算机网络应设立全网管理中心，由专人实施对全网的一致管理、监视与控制，不经网络

26、主管指点赞同，任何人不得变卦网络拓扑、网络配置及网络参数。 353网络平安可从实践出发，分阶段、分层次逐渐完善。应首先思索采用存贮加密、传输加密、存取控制、数字签名及验证等平安措施。 354以公用数据网作为通讯子网的各重要部门的计算机网络，应设置闭合用户组等限制非法外来或外出访问措施，确保网络平安。 四、平安监视 41应急方案与备份 411系统平安人员必需详细列出影响系统正常任务的各种能够出现的紧急情况。如火灾、水灾、不测停电、外部攻击、误操作等。 412必需制定万一发生不测时的应急方案。 413应急方案必需确定所要采取的详细步骤、确定每个步骤的内容。 414与执行应急方案有关人员的姓名、住址

27、、号码以及有关职能部门(如消防、公安等有关部门)的联络方法应放在明显、易取的地方或贴在墙上。 415应付紧急情况的详细步骤也应贴在墙上。如：如何运用备份设备、紧急情况下关机步骤等。 416应定期进展应急方案实施演习，保证每个系统值班人员都能正确实施应急方案。 417除了必需备份的根本数据文件。如：操作系统、数据库管理系统、运用程序等以外，各单位必需根据本人的实践情况定出需备份的数据文件。 418必需在机房附近存放一套备份文件的副本，以便紧急情况下能迅速取出。 419重要的实时系统在建立时就应思索设备备份。如：CPU备份，主机备份，系统备份等。 4191备份系统应安装在主机房有一定间隔 的备份机

28、房。 4192备份机房应具有与主机房一样的平安规范与措施。 4193备份系统必需定期进展实践运转，以检验备份系统的可靠性。 4110在对数据完好性要求较高的场所，必需采取严厉的数据备份措施，以保证在发生不测时数据的可靠恢复。 41101数据库转贮。应根据本单位情况确定转贮周期。 41102日志文件。日志必需双副本，即保管在盘、带上的联机日志与档案日志。 41103对于较长的作业，要思索在其中间设置检查点、重新启动人口、恢复与备份。 42审计 421在对计算机平安要求较高的场所，必需建立审计制度，配备专职审计人员。 422审计人员应该是知晓业务，对计算机系统有较好的掌握又有一定实践任务阅历的高级技术人员。 423在系统设计阶段就应有审计人员参与，以评价系统设计能否满足平安要求。 424在系统设计中添加平安控制以后，要重新评价系统，以保证系统功能不退化。 425系统平安控制包括以下几方面： 4251实体控制：防止天灾、人为事故以及电气和机械支持系统的失效。 4252系统控制：涉及系统的逻辑和实体构造以及有关硬、软件的维护措施。 4253管理控制：有关人员、文件资料的处置、存贮等类似事务的平安制度及有关规定。426系统运