DB11/T 171-2002 党政机关信息系统安全测评规范
DB11/T 171-2002 Information Security Assessment Specification for Party and Government Information Systems
基本信息
发布历史
-
2002年12月
文前页预览
研制信息
- 起草单位:
- 起草人:
- 出版信息:
- 页数:149页 | 字数:- | 开本: -
内容描述
ICS35.040
L70
备案号:12873-2003DB
北京市地方标准
DB11/T171—2002
党政机关信息系统安全测评规范
EvaluationSpecificationforInformationSystemSecurityofthe
Government
2002-12-30发布2003-02-01实施
北京市质量技术监督局发布
DB11/T171—2002
目次
前言....................................................................................................................................................................IV
引言......................................................................................................................................................................V
1范围..................................................................................................................................................................1
2规范性引用文件..............................................................................................................................................1
3术语和定义以及通用缩略语..........................................................................................................................1
3.1党政机关信息系统.......................................................................................................................................1
3.2党政应用系统...............................................................................................................................................1
3.3公共支持系统...............................................................................................................................................1
3.4客户机/服务器(C/S)模式........................................................................................................................1
3.5浏览器/服务器(B/S)模式........................................................................................................................1
3.6单机模式.......................................................................................................................................................1
3.7基于万维网服务(WebServices)的模式.......................................................................................................2
3.8通用缩略语...................................................................................................................................................2
4党政机关信息系统的组成..............................................................................................................................2
5安全类别..........................................................................................................................................................4
5.1划分原则.......................................................................................................................................................4
5.2各类别安全要求一览表...............................................................................................................................5
5.3系统安全要求说明.....................................................................................................................................13
6安全类别I要求............................................................................................................................................20
6.1安全技术要求.............................................................................................................................................20
6.2安全管理要求.............................................................................................................................................23
7安全类别II要求...........................................................................................................................................27
7.1安全技术要求.............................................................................................................................................27
7.2安全管理要求.............................................................................................................................................31
8安全类别III要求..........................................................................................................................................53
8.1安全技术要求.............................................................................................................................................53
8.2安全管理要求.............................................................................................................................................57
9安全类别IV要求..........................................................................................................................................87
9.1安全技术要求.............................................................................................................................................87
9.2安全管理要求.............................................................................................................................................91
10安全类别V要求.........................................................................................................................................91
10.1安全技术要求...........................................................................................................................................91
10.2安全管理要求...........................................................................................................................................95
11系统安全性测评..........................................................................................................................................95
附录A(规范性附录)信息系统安全性测评流程和测评工具.................................................................97
A.1测评流程....................................................................................................................................................97
A.1.1资料审查.................................................................................................................................................97
I
DB11/T171—2002
A.1.2核查测试.................................................................................................................................................97
A.1.3综合评估.................................................................................................................................................97
A.2测评工具....................................................................................................................................................99
A.2.1调查问卷.................................................................................................................................................99
A.2.2系统安全性技术检查工具.....................................................................................................................99
A.2.3测评工具使用原则.................................................................................................................................99
A.3测评数据处理............................................................................................................................................99
A.4测评结论....................................................................................................................................................99
附录B(资料性附录)本标准使用指南...................................................................................................101
附录C(资料性附录)典型安全措施.......................................................................................................103
C.1物理安全措施..........................................................................................................................................103
C.1.1场地.......................................................................................................................................................103
C.1.2设备.......................................................................................................................................................103
C.1.3存储媒体...............................................................................................................................................103
C.1.4电磁辐射与泄露检测...........................................................................................................................103
C.2网络安全措施..........................................................................................................................................103
C.2.1隔离与交换...........................................................................................................................................103
C.2.2防火墙...................................................................................................................................................103
C.2.3路由器...................................................................................................................................................104
C.2.4以太网交换机.......................................................................................................................................105
C.2.5入侵检测系统.......................................................................................................................................105
C.2.6病毒防范系统.......................................................................................................................................106
C.2.7漏洞扫描器...........................................................................................................................................106
C.2.8安全审计系统.......................................................................................................................................106
C.2.9网络结构安全要求...............................................................................................................................107
C.2.10网络系统可用性保证.........................................................................................................................107
C.3系统软件安全措施..................................................................................................................................108
C.3.1操作系统安全要求...............................................................................................................................108
C.3.2数据库系统安全要求............................................................................................................................110
C.4应用安全措施...........................................................................................................................................116
C.4.1PKI/CA证书服务..................................................................................................................................116
C.4.2WWW服务............................................................................................................................................116
C.4.3电子邮件服务........................................................................................................................................117
II
DB11/T171—2002
C.4.4FTP(文件传输协议)服务.................................................................................................................117
C.4.5群件系统................................................................................................................................................118
C.4.6文件共享................................................................................................................................................118
C.4.7打印共享................................................................................................................................................118
C.5运行安全措施...........................................................................................................................................119
C.5.1备份与恢复............................................................................................................................................119
C.5.2恶意代码................................................................................................................................................119
C.5.3入侵检测................................................................................................................................................119
C.5.4脆弱性分析............................................................................................................................................119
C.5.5审计........................................................................................................................................................119
C.5.6升级.......................................................................................................................................................120
C.5.7拆除.......................................................................................................................................................120
C.5.8应急响应...............................................................................................................................................120
C.5.9维护.......................................................................................................................................................120
附录D(资料性附录)典型安全措施配置案例.......................................................................................121
D.1安全类别I................................................................................................................................................121
D.2安全类别II..............................................................................................................................................125
D.3安全类别III.............................................................................................................................................131
附录E(资料性附录)缩略语...................................................................................................................139
III
DB11/T171—2002
前言
本标准是北京市党政机关信息系统安全测评的依据。
本标准将党政机关信息系统分为五个安全类别,对各安全类别分别提出安全技术要求和安全管理要
求,安全类别I至V的系统安全防护能力逐类提高。
本标准的附录A是规范性附录。本标准的附录B、附录C、附录D和附录E是资料性附录。
本标准由北京市信息化工作办公室、北京市科学技术委员会共同提出。
本标准由北京市质量技术监督局归口。
本标准主要起草单位:北京信息安全测评中心、中国电子科技集团第三十研究所、中国科学院计算
技术研究所、中国电子技术标准化研究所、中国计算机软件与技术服务总公司、北京北方计算中心、中
国人民解放军总参谋部第五十一研究所、北京市国家保密局保密技术开发服务中心、中国人民解放军信
息安全测评认证中心、上海市信息安全测评认证中心。
本标准主要起草人:姚世全、张震国、张建军、李忠诚、成金爱、徐刚、王宏、黄家英、李毓
敏、魏忠、张东、孟繁胜、赵家喜、周明德、孟亚平、徐广方、胡毛牛、钟力、王建国、赵瑞颖、
徐御、罗锋盈、李福温、单昌明、刘鹏、胡冰。
本标准由北京信息安全测评中心负责解释。
IV
DB11/T171—2002
引言
为深入贯彻北京市政府第67号令《北京市政务与公共服务信息化工程建设管理办法》、京办发【2001】
27号文《北京市党政机关计算机网络与信息安全管理办法》的要求,北京市信息化工作办公室和北京市
科学技术委员会共同提出研制《北京市党政机关信息系统安全测评规范》的任务,拟通过对北京市党政
机关信息系统安全性进行测评,以增强党政机关信息系统的安全性,确保党政机关信息系统的正常、稳
定、安全运行。
根据国家电子政务文件的精神和有关国家标准,结合北京市信息化工程建设要求和党政机关信息系
统的实际情况,并经初步测试实践,制定本标准。
在本标准实施过程中,应遵守国家有关法律、法规的规定。
涉及国家秘密的计算机信息系统安全测评应按照国家有关部门的规定执行。
V
DB11/T171—2002
1
DB11/T171—2002
党政机关信息系统安全测评规范
1范围
本规范提出了北京市党政机关信息系统安全测评的依据。
本规范适用于党政机关政务外网、政务外网与政务内网以及政务外网与互联网相互之间互连的信息
安全检测与评估。
本规范对政务内网系统安全的检测与评估未做规定。其他重要信息系统安全检测与评估可参考使
用。
本规范的实施应是在党政机关信息系统各组成部分(如操作系统、数据库、服务器、路由器、防火
墙、应用系统等)确保其通过安全测试和认证的基础上,依据本规范提出的安全要求,对党政机关信息
系统进行系统安全检测与评估。
2规范性引用文件
GB/T18336-2001信息技术安全技术信息技术安全性评估准则
GB17859-1999计算机信息系统安全保护等级划分准则
ISO/IEC17799-2000信息技术信息安全管理实用规则
中办发【2002】17号国家信息化领导小组关于我国电子政务建设指导意见
北京市政府第67号令北京市政务与公共服务信息化工程建设管理办法
3术语和定义以及通用缩略语
下列术语和定义适用于本规范。
3.1党政机关信息系统
专门用于支持党政机关业务的信息系统。党政机关信息系统由党政应用系统、公共支持系统组成。
参见图5。
3.2党政应用系统
党政机关信息系统的组成部分之一,是根据党政机关业务特点而专门开发和建设的信息应用系统。
党政应用系统是以公共支持系统为基础进行开发和建设的。
3.3公共支持系统
党政机关信息系统的组成部分之一,是根据应用系统的需求,通过采购商品化的信息产品,集成建
设而成的系统,为应用系统提供基本运行环境和平台。公共支持系统分为公共应用平台系统(如群件平
台、Web平台、E-mail平台、数据库平台等)、操作系统平台、网络平台。其中网络平台可以是局域网、
城域网或广域网。
3.4客户机/服务器(C/S)模式
党政机关信息系统构成的一种模式,其特点是用户在客户端运行一个程序(即客户端程序,Client),
与服务器端的程序(即服务器端程序,Server)通过网络进行交互,应用系统中主要的处理功能都由服
务器端程序承担。客户端主要用作人机界面,在某些情况下也可以承担一定的信息处理任务(如打印等)。
C/S模式的应用系统的主要数据都存放在服务器端。
3.5浏览器/服务器(B/S)模式
党政机关信息系统构成的一种模式,是C/S模式的一种特例,其特点是客户端程序为浏览器,服务
器端为Web服务器。用户使用统一的浏览器界面作为访问系统功能的唯一人机界面。Web服务器作为访问
其他信息服务(如数据库等)的“中继”。
3.6单机模式
1
DB11/T171—2002
党政机关信息系统建设的一种模式,其特点是所有相关的信息处理任务都在一台物理主机上完成,
包括人机界面。应用系统的所有数据均存放在同一台物理主机上。
3.7基于万维网服务(WebServices)的模式
党政机关信息系统构成的一种模式,是一种正在发展、很有前途的分布式应用模式。其特点是业务
应用程序以Web服务的方式运行在Web服务器上,是部署在Web服务器上的对象/组件。客户应用程序可以
通过标准的Web通信协议(如HTTP协议)进行访问。
3.8通用缩略语
CACertificationAuthority证书认证机构
CCCommonCriteria通用准则
GISGeographicsInformationSystem地理信息系统
HTTPHypertextTransferProtocol超文本传输协议
ICMPInternetControlMessagesProtocol网间控制报文协议
IPInternetProtocol网际协议
ITInformationTechnology信息技术
PKIPublicKeyInfrastructure公开密钥基础设施
SFPSecurityFunctionPolicy安全功能策略
TCPTransmissionControlProtocol传输控制协议
TOETargetofEvaluation评估对象
TSCTSFScopeofControlTSF控制范围
TSFTOESecurityFunctionsTOE安全功能
TSPTOESecurityPolicyTOE安全策略
UDPUserDatagramProtocol用户数据报协议
VPNVirtualPrivateNetwork虚拟专用网
VLANVirtualLocalAreaNetwork虚拟局域网
XMLExtensibleMarkupLanguage可扩展标记语言
SOAPSimpleObjectAccessProtocol简单对象访问协议
4党政机关信息系统的组成
本标准涉及的党政机关信息系统的构成可分为四种模式,分别如图1、图2、图3、图4所示。
网络
客户机服务器
图1C/S模式
C/S模式由客户机和服务器构成,客户机上运行专用的客户端程序,服务器上运行服务器端程序,
两者之间通过网络进行交互。客户端程序与服务器端程序之间运行标准的或专用的协议。
2
DB11/T171—2002
网络
客户机
应用服务器后台服务器
图2B/S模式
B/S模式也由客户机和服务器构成,客户机上运行浏览器程序,服务器上运行Web服务器程序以及相
关的应用程序,两者之间通过网络进行交互。浏览器与Web服务器之间使用HTTP协议进行通信。Web服务
器和其上的应用程序构成应用服务器。在很多系统中,应用服务器是一个中继服务器,用于与其他的专
用后台服务器(如数据库、GIS系统)进行交互。应用服务器与后台服务器可以是物理上的同一台主机,
也可以是通过网络连接的不同主机。
单机
图3单机模式
单机模式是最简单的一种构成模式,所有的处理都在一台单机上完成,数据也存放在单机上。
网络
客户机Web服务器后台服务器
/Web服务用户/Web服务
图4基于万维网服务的模式
基于万维网服务的模式是建立可互操作的分布式应用程序的平台。Web服务是应用程序,运行在Web
服务器上,可以使用标准的网网络协议,如超文本传输协议(HTTP)和XML,将功能纲领性地体现在网络
上,并可以通过Web接入进行访问。客户机上运行客户端程序(Web服务用户程序),通常采用通用发现
和发布协议来发现服务器应用程序发布的Web服务,用基于SOAP的XML文档再通过HTTP等常用Web通信方
式交换数据。
对于一个指定的客户机而言,会在不同的应用系统中充当不同程
推荐标准
- HJ/T 290-2006 汽油车简易瞬态工况法排气污染物测量设备技术要求 2006-07-18
- YS/T 1348.6-2020 铅冶炼分银渣化学分析方法 第6部分:铅、铜、锑和铋含量的测定 电感耦合等离子体原子发射光谱法 2020-04-16
- YS/T 1348.5-2020 铅冶炼分银渣化学分析方法 第5部分:铋含量的测定 火焰原子吸收光谱法和Na2EDTA滴定法 2020-04-16
- HJ/T 289-2006 汽油车双怠速法排气污染物测量设备技术要求 2006-07-18
- YS/T 1348.4-2020 铅冶炼分银渣化学分析方法 第4部分:锑含量的测定 火焰原子吸收光谱法和硫酸铈滴定法 2020-04-16
- SF/T 0086-2020 刑事法律援助案件质量同行评估规则 2020-12-30
- SF/T 0083-2020 全国人民调解工作规范 2020-12-30
- WS 76-2020 医用X射线诊断设备质量控制检测规范 2020-10-26
- HJ/T 291-2006 汽油车稳态工况法排气污染物测量设备技术要求 2006-07-18
- YS/T 1348.3-2020 铅冶炼分银渣化学分析方法 第3部分:铜含量的测定 火焰原子吸收光谱法和碘量法 2020-04-16