软件系统安全规范

一、引言目的随着计算机应用的广泛普及，计算机正常已成为衡量计算机系统性能的一个重要指标。计算机系统正常包含两局限内容，一是保证系统正常运行，制止各种非有意的错误与损坏；二是防止系统及数据被非法利用或破坏。两者虽有特别大不同，但又相互联系，不管从治理上照旧从技术上都难以截然分开，因此，计算机系统正常是一个综合性的系统工程。本典型对涉及计算机系统安、全的各要紧环节做了具体的讲明，以便计算机系统的设计、安装、运行及监察部门有一个衡量系统正常的依据。范围本典型是一份指导性文件，适用于国家各部门的计算机系统。在弓I用本典型时，要依据各单位的实际状况，选择适当的范围，不强求全面承受。二、正常组织与治理正常机构单位最高领导必需主管计算机正常工作。建立正常组织：正常组织由单位要紧领导人领导，不能隶属于计算机运行或应用部门。正常组织由治理、系统分析、软件、硬件、保卫、审计、人事、通信等有关方面人员组成。正常负责人负责正常组织的具体工作。正常组织的任务是依据本单位的实际状况定期做风险分析，提出相应的对策并监视实施。正常负责人制：2．1．3．I确定正常负责人对本单位的计算机正常负全部责任。只有正常负责人或其指定的专人才有权存取和修改系统授权表及系统特权口令。正常负责人要批阅每天的违章报告，操纵台操作记录、系统日志、系统报警记录、系统活动统计、警卫报告、加班报表及其他与正常有关的材料。正常负责人负责制定正常培训谋划。要是终端分布在不同地点，因此各地都应有地区正常负责人，可设专职，也能够兼任，并同意中心正常负责人的领导。各部门觉察违章行为，应向中心正常负责人报告，系统中觉察违章行为要通知各地有关正常负责人。计算机系统的建设应与计算机正常工作同步进展。人事治理人员审查：必需依据计算机系统所定的密级确定审查标准。如：处理机要信息的系统，接触系统的全部工作人员必需按机要人员的标准进展审查。要害岗位的人选。如：系统分析员，不仅要有严格的政审，还要考虑其现实表现、工作态度、道德修养和业务力气等方面。尽可能保证这局限人员正常牢靠。全部工作人员除进展业务培训外，还必需进展相应的计算机正常课程培训，才能进进系统工作。人事部门应定期对系统全部工作人员从政治思想、业务水平、工作表现等方面进展考核，对不适于接触信息系统的人员要适时调离。对调离人员，特别是在不情愿的状况下被调走的人员，必需认真办理手续。除人事手续外，必需进展调离谈话，申明其调离后的保密义务，收回全部钥匙及证件，退还全部技术手册及有关材料。系统必需更换口令和机要锁。在调离打算通知本人的同时，必需马上进展上述工作，不得拖延。正常治理2．3，1应依据系统所处理数据的隐秘性和重要性确定正常等级，井据此承受有关典型和制定相应治理制度。正常等级可分为保密等级和牢靠性等级两种，系统的保密等级与牢靠性等级能够不同。牢靠性等级可分为三级。对牢靠性要求最高的为A级，系统运行所CB用于重要部门的计算机系统投进运行前，应请公安机关的计算机监察部门进展正常检查。必需制定有关电源设备、空凋设备，防水防盗消防等防范设备的治理规章制度。确定专人负责设备维护和制度实施。应依据系统的重要程度，设立监视系统，分不监视设备的运行状况或工作人员及用户的操作状况，或安装自动录象等记录装置。对这些设备必需制定治理制度，并确定负责人。制定严格的计算中心出进治理制度：计算机中心要实行分区操纵，限制工作人员出进与己无关的区域。规模较大的计算中心，可向全部工作人员，包括来自外单位的人员，发行带有照片的身份证件，并定期进展检查或更换。正常等级较高的计算机系‘统，除实行身份证件进展识不以外，还要考虑其他出进治理措施，如：安装自动识不登记系统，承受磁卡、构造编码卡或带有徽电脑及存储器的身份卡等手段，对人员进展自动识不、登记及出进治理。短期工作人员或修理人员的证件，应注明有效日期，届时收回。参瞧人员必需由主管部门办理参瞧手续，参瞧时必需有专人伴随。因系统修理或其它缘由需外国籍人进进机房时，必需始终有人伴随。进出口的钥匙应保持在商定的场所，由专人治理，并明确其责任。记录最初人室者及最终离室者和钥匙交换时刻。在无警卫的场合，必需保证室内无人时，关锁全部出进口。制止携带与上机工作无关的物品进进机房。关于带进和带出的物品，如有疑询问，庞进展查验。制定严格的技术文件治理制度。计算机系统的技术文件如讲明书、手册等应妥当保持，要有严格的借阅手续，不得损坏及失往。制定严格的操作规程：2．3．8．I系统操作人员应为专职，操作时要有两名操作人员在场。2．3．8．2对系统开发人员和系统操作人员要进展职责分开。制定系统运行记录编写制度，系统运行记录包括系统名称、姓名、操作时刻、处理业务名称、故障记录及处理状况等。制定完备的系统维护制度：对系统进展维护时，应实行数据保卫措施。如：数据转贮、抹除、卸下磁盘磁带，维护时正常人员必需在场等。运程维护时，应事先通知。对系统进展预防修理或故障修理时，必需记录故障缘由、修理对象、修理内容和修理前后状况等。2，3．10．3应制定危急品治理制度。应制定消耗品治理制度。应制定机房清洁治理制度。必需制定数据记录媒体治理制度。必需定期进展正常设备维护及使用练习，保证每个工作人员都能娴熟地操作有关的正常设备。三、正常技术措施实体正常设计或改建计算机机房时必需符合以下标准：3．1．1．1?计算机场地技术要求?(GB2887—87)。3．1．1．2?计算站场地正常要求?国家标准(待公布)。计算中心机房建筑和构造还应留意以下询问题：祝房最好为专用建筑。机房最好设置在电梯或楼梯不能直截了当进进的场所。机房应与外部人员频繁出进的场所隔离。机房四周应设有围墙或栅栏等防止非法进进的设施。建筑物四周应有足够照度的照明设施，以防夜间非法侵进。外部轻易接近的窗口应实行防范措施。如钢化玻璃、嵌网玻璃及卷帘和铁窗。无人值守时应有自动报警设备。应在适合的位置上开设应急出口，作为避险通道或应急搬运通道。机房内部设计庞便于出进操纵和分区操纵。重要部门的计算机中心外部不应设置标明系统及有关设备所在位置的标志。正常设备除符合?计算站场地正常要求?标准外，还要留意以下几点：机房进出口应设置应急。各房间应设置报警喇叭。以免由于隔音及空调的缘由而听不到告警通知。进出口应设置识不与记录进出人员的设备及防范设备。机房内用于动力、照明的供电线路应与计算机系统的供电线路分开。机房内不同电压的供电系统应安装互不兼容的插座。应设置温、湿度自动记录仪及温、湿度报警设备。主机及外设的电磁干扰辐射必需符合国家标准或军队标准的要求，外国FCCVDE机要信息处理系统中要考虑防止电磁波信息辐射被非法截收。可实行区域操纵的方式，马上可能截获辐射信息的区域操纵起来，不许外部人员接近。可承受机房屏蔽的方法，使得信息不能辐射出机房。可承受低辐射设备。可实行其它技术，使得难以从被截获的辐射信号中分析出有效信息。关于屏蔽技术的具体要求和技术指标可向公安部有关部门询问。磁媒休治理：磁盘、磁带必需依据系统治理员及制造厂确定的操作规程安装。传递过程的数据磁盘、磁带应装在金属盒中。带在使用前庞在机房通过二十四小时温度适应。3．1.7．4磁带、磁盘应放在距钢筋房柱或类似构造物十厘米以上处，以防雷电经钢筋传播时产生的磁场损坏媒体上的信息。存有机要信息的磁带去除时必需进展消磁，不得只进展磁带初始化。全部进库的盘带名目清单必需具有统一格式，如文件全部者、卷系列号、文件名及其描述、作业或名目编号、建立日期及保持期限。盘带出进库必需有核准手续并有完备记录。长期保持的磁带庞定期转贮。存有记录机要信息磁带的库房，必需符合相应密级的文件保持和治理的要求，不得与一般数据磁带混合存放。重要的数据文件必需多份拷贝异地存放。磁带库必需有专人负责治理。软件正常系统软件应具有以下正常措施：操作系统应有较完善的存取操纵功能，以防止用户越权存取信息。操作系统应有良好的存贮保卫功能，以防止用户作业在指定范围以外的存贮区域进展读写。操作系统应有较完善的治理功能，以记录系统的运行状况，监测对数据文件的存取。维护人员进展维护时，应处于系统正常操纵之下。操作系统发生故障时，不应显露口令，授权表等重要信息。操作系统在作业正常或非正常完毕以后，应当去除安排给该作业的全部临时工作区域。系统应能像保卫信息的原件一样，准确地保卫信息的拷贝。应用软件：应用程序必需考虑充分利用系统所供给的正常操纵功能。应用程序在保证完成业务处理要求的同时，应在设计时增加必要的正常操纵功能。程序员与操作员职责分开。正常人员应定期用存档的源程序与现行运行程序进展比立，以有效地防止对程序的非法修改。数据库：数据库必需有严格的存取操纵措施，库治理员能够实行层次、分区、表格等各种授权方式，操纵用户对数据库的存取权限。通过实体正常、备份和恢复等多种技术手段来保卫数据库的完整性。应对输人数据进展规律检验，数据库更时应保证数据的正确性。数据库治理员应实时检查数据库的规律构造、数据元素的关联及数据内容。数据库治理系统应具有检查跟踪力气，能够记录数据库查询、密码利用率、终端动作、系统利用率、错误状况及重启动和恢复等。库治理系统应能检测出涉及事务处理内容及处理格式方面的错误，并予以记录。必需有牢靠的日志记录。对数据完整性要求较高的场合要建立双副本日志，分不存于磁盘和磁带上以保证意外时的数据恢复。应建立定期转贮制度，并依据交易量的大小打算转贮频度。数据库软件应具备从各种人为故障、软件故障和硬件故障中进展恢复的力气。库治理软件应能确定是否由于系统故障而引起了文件或交易数据的失往。3．2，3．11重要的系统应实行正常操纵实时终端，特地处理各类报警信息。3.2．3．12关于从日志或实时终端上查获的全部非法操作都应加以分析，寻出缘由及对策。软件开发：软件开发过程应依据下述标准的要求进展：(l)?软件工程术语?国家标准(待公布)。(2)?软件开发中的产品文件编制指南?国家标准(待公布)。(3)?软件需求讲明典型?国家标准(待公布)。(4)?软件开发典型?国家标准(待公布)。(5)?软件测试典型?国家标准(待公布)。产品鉴定验收：(l)鉴定验收是软件产品化的要害环节，必需赐予足够的重视。提交鉴定的软件产品，应具有上述标准中列出的各种产品文件。将鉴定会上供给的上述文件装订成册，编好页码名目，作为技术档案，妥当保持。未经鉴定验收的软件，不得投进运行。(4)采办的软件应附有完整的技术文件。软件维护与治理：较重要的软件产品，其技术档案应复制副本，正本存档，不准外借。软件产品除建立档案文件外，其源文件应记在磁盘或磁带上，并编写具体名目，以便长期保持。重要的软件，均应复制两份，一份作为主拷贝存档，一份作为备份。3．2.5．4对软件进展维护和二次开发前，必需写出书面申请报告，经有关领导批准，方可进展。在维护和二次开发中，必需有具体的典型化的书面记载，要紧记载修补部位，修改内容，增加功能，修改人，修改日期等，以便查寻或不人接替。二次开发只能在系统软件的副本上进展。对软件的任何修改都必需有文字记载，并与修改前后的软件副本一起并人软件技术档案，妥当保持。对软件的修改必需保证不落低系统的正常性。3．3输进输出操纵。明确系统各环节工作人员的责任：系统各程序设计人员与操作人员必需分开。3.3．1．4工作期间至少应有两人在机房值班，以防止非法使用计算机。3．3．1．5制定统一的数据格式并尽可能使用统一编码。操作操纵：对操作人员制定有关处理输人数据的操作制度和规程。必需建立一个干净、清洁、安静符合生理卫生要求的操作环境，以削减操作失误。保管、传递及安装时的要求，卡片、磁盘、胶片、纸带的治理规程等。向操作人员供给完整的操作指南，以便把握有关作业安排，作业优先级安排，建立和操纵作业，场所正常措施和作业运行等的合理规程。需要保持的数据文件必需有完备的记录，存人符合要求的媒体库中。充分利用作业统计功能供给的信息，如：调查完成某个特定功能所需的时刻，比立实际机器工作时刻与预定时刻的差异，判不实际的作业资源需求所预定需求的差异。处理机要数据的终端室各终端，能够考虑用屏风隔离，以防各用户互瞧屏幕内容。数据在投进使用前，必需确保其正确牢靠，可承受各种方法进展检验。如：标号检查、挨次检查、极限校验、运算验证、记录数核对等。输出操纵：数据处理部门的输出操纵应有专人负责。输出文件必需有可读的密级标志，如：隐秘、机密、尽密等宇样或颜色标志。等级标志必需与相应文件在整个处理环节中同时生存。输出文件在发到用户之前，应由数据处理部门进展审核。输出文件的发放应有完备手续。能够设置独立于用户和数据处理部门两者的治理小组，以监视和指导进进或离开数据处理中心的数据。联机处理联机系统应当确定系统正常治理员，对系统正常负责。用户识不：必需充分利用系统供给的技术手段。如：用户授权表，存取操纵矩阵等。(l更换期限实行严格治理。争论和承受多种口令密码方式，如：单一密码、可变或随机密码、函数型密码等。口令应加密存贮。系统能跟踪各种非法恳求并记录某些文件的使用状况。依据系统的位置，要是错误的口令被连续地使用要是干次后，系统应实行相应措施，如封锁那个终端，记录所用终端及用户名，并马上报警。教育用户必需遵循口令的使用规因此。系统应能识不终端，以查出非法用户的位置。证件识不，可使用磁条、金属构造或微型芯片制成的卡式证件对用户进展识不。这种识不方式可供有条件的部门使用。特征识不，承受特地设备检验用户具有的物理特征。如指纹、掌形、声纹、视网膜等。这种识不方式价格贵重，一般用于机要核心部门。需要保卫的数据和软件必需加有标志，在整个生存期，标志应和数据或软件结合在一起，不能失往。特别是在复制、转移、输出打印时，不能失往。计算机通信线路正常询问题：3．4．4．I通信线路应远离强电磁场辐射源，最好埋于地下或承受金属套管。通信线路最好展设或租用专线。定期测试信号强度，以确定是否有非法装置接人线路。定期检查接线盒及其他易被人接近的线路部位。加密：传输需要保密的数据，应当加密保卫。需长期保持的机要文件，应加密后保持。系统应建立完善的密钥产生、治理和安排系统。全部数据应由数据主管部门负责划分密级，密级确定后交数据处理部门进展分类处理。依据数据的密级和保密时效的长短，选择相应强度的密码算法，既不能强度太高，过多增加系统开销，又不要强度太低，起不到保密效果。不要扩大加密的范围。关于可加密可不加密的数据，不要加密。关于密钥治理人员要尽可能地缩小范围，并严格审查。定期对工作人员进展。当系统密级发生变化，特别是密级落低时，应用叠写的方法去除全部磁存贮器，用停电的方法去除非磁存贮器。计算机系统必需有完整的日志记录。重要计算机日志应记录：(l)每次成功的使用：记录节点名、用户名、口令、终端名、上下机时刻、操作的数据或程序名、操作的类型、修改前后的数据值。用户每次越权存取的尝试：记录节点名、用户名、终端名、时刻、欲越权存取的数据及操作类型、存取失败的缘由。每次不成功的用户身份：记录节点名、用户名、终端名、时刻。操作员对越权存取庞通过操纵台进展干预。打印出的日志应完整而连续，不得拼接。对特定的终端设备，应限定操作人员。特定终端设备指：可对重要数据进展存取的、有操纵台功能的、系统治理员所用的终端等。限定操作人员的方法有：承受口令、识不码等资格认定或设置终端设备的钥匙等。网络正常网络正常比单机系统或联机系统更为重要。要是没有必要的正常措施，网络不能正式投进使用。重要部门的计算机网络应设立全网治理中心，由专人实施对全网的统一治理、监视与操纵，不经网络主管领导同意，任何人不得变更网络拓扑、网络配置及网络参数。网络正常可从实际动身，分时期、分层次逐步完善。应首先考虑承受存贮加密、传输加密、存取操纵、数字签名及验证等正常措施。以公用数据网作为通信子网的各重要部门的计算机网络，应设置闭合用户组等限制非法外来或外出访询问措施，确保网络正常。四、正常监视应急谋划与备份系统正常人员必需具体列出碍事系统正常工作的各种可能消灭的紧急情况。如火灾、水灾、意外停电、外部攻击、误操作等。必需制定万一发生意外时的应急谋划。应急谋划必需确定所要实行的具体步骤、确定每个步骤的内容。与执行应急谋划有关人员的姓名、住址、号码以及有关职能部门(如消防、公安等有关部门)的联系方法应放在明显、易取的地点或贴在墙上。应付紧急状况的具体步骤也应贴在墙上。如：如何使用备份设备、紧急状况下关机步骤等。应定期进展应急谋划实施演习，保证每个系统值班人员都能正确实施应急谋划。除了必需备份的根基数据文件。如：操作系统、数据库治理系统、应用程序等以外，各单位必需依据自己的实际状况定出需备份的数据文件。重要的实时系统在建立时就应考虑设备备份。如：CPU备份，主机备份，系统备份等。备份系统应安装在主机房有确定距离的备份机房。备份机房应具有与主机房一样的正常标准与措施。备份系统必需定期进展实际运行，以检验备份系统的牢靠性。在对数据完整性要求较高的场合，必需实行严格的数据备份措施，以保证在发生意外时数据的牢靠恢复。数据库转贮。应依据本单位状况确定转贮周期。日志文件。日志必需双副本，即保持在盘、带上的联机日志与档案日志。关于较长的作业，要考虑在其中间设置检查点、重启动人口、恢复与备份。审计在对计算机正常要求较高的场合，必需建立审计制度，配备专职审计人员。审计人员应当是精通业务，对计算机系统有较好的把握又有确定实际工作阅历的高级技术人员。在系统设计时期就应有审计人员参与，以评价系统设计是否满足正常要求。在系统设计中增加正常操纵以后，要重评价系统，以保证系统功能不退化。系统正常操纵包括以下几方面：实体操纵：防止天灾、人为事故以及电气和机械支持系统的失效。系统操纵：涉及系统的规律和实体构造以及有关硬、软件的保卫措施。治理操纵：有关人员、文件资料的处理、存贮等类似