ICS 03.160 A 00 DB51 四 川 省 地 方 标 准 DB51/T 1626—2013 政务服务中心 网络与信息安全 2013 - 11 - 12 发布 四川省质量技术监督局 2013 - 12 - 01 实施 发 布 DB51/T 1626—2013 目 次 前 言 ............................................................................... II 1 范围 .............................................................................. 1 2 原则 .............................................................................. 1 3 策略 .............................................................................. 1 4 物理层安全 ........................................................................ 1 5 网络层安全 ........................................................................ 1 6 系统层安全 ........................................................................ 2 7 应用层安全 ........................................................................ 3 8 管理层安全 ........................................................................ 3 9 应急响应计划 ...................................................................... 5 I DB51/T 1626—2013 前 言 本标准由四川省人民政府政务服务中心提出并归口。 本标准由四川省质量技术监督局批准。 本标准起草单位：四川省标准化研究院、四川省人民政府政务服务中心。 本标准主要起草人：杨路、牛建平、岳立、罗光辉、刘志禄、张凯峰、张应杰、罗定兰、杨玲、李 旭峰、周磊。 II DB51/T 1626—2013 政务服务中心 网络与信息安全 1 范围 本标准规定了政务服务中心网络和信息安全管理原则、策略和应急响应等。 本标准适用于四川省省、市（州）、县（市、区）人民政府政务服务中心。 乡镇 （街道 ）便民服务中心可参考本标准执行。 2 原则 全面设计、整体部署、需求主导、重点突出、 灵活配置、动态部署、制度建设、安全培训。 3 内容 安全体系包括管理层安全、物理层安全、网络层安全、系统层安全、应用层安全、响应及备份恢 复等技术层面等。 4 策略 安全管理应符合 ISO/IEC 10181、GB/T 9387.2、GB/T 15278、GB/T 22239-2008 等标准的相关要求， 并符合以下安全策略： a) 重点保障电子政务外网与互联网之间的连接和数据交换安全； b) 重点保障电子政务外网和电子政务内网的信息传输和应用安全； c) 重点保障政务服务中心应用软件系统及门户网站等的信息准确性、安全性； d) 满足信息系统安全等级保护的最低保护要求，即基本安全要求。 5 物理层安全 物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故，人为操作 失误或错误以及各种计算机犯罪行为导致的破坏过程。主要包括三个方面： a) 环境安全：对系统所在环境的安全保护，如区域保护和灾难保护。应符合 GB50173、GB2887、 GB9361 等标准的要求； b) 设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及 电源保护等以及设备冗余备份； c) 媒体安全：包括媒体数据的安全及媒体本身的安全，为了防止系统中的信息在空间上的扩散， 应在物理上采取一定的防护措施，以减少或干扰扩散出去的空间信号。 6 网络层安全 1 DB51/T 1626—2013 6.1 防火墙 防火墙产品应满足以下条件： a) b) c) d) e) f) g) h) i) j) k) l) m) n) o) 6.2 基于状态检测的分组过滤； 多级的立体访问控制机制； 面向对象的管理机制； 支持多种连接方式，透明、路由； 支持 OSPF、IPX、NETBEUI、SNMP 等协议； 具有双向的地址转换能力； 透明应用代理功能； 一次性口令认证机制； 带宽管理能力； 内置了一定的入侵检测功能或能够与入侵检测设备联动； 远程管理能力； 负载均衡； 支持动态 IP 地址 内嵌 VPN 功能支持； 灵活的审计、日志功能。 入侵检测安全技术 网络入侵检测系统应能满足以下要求： a) 能在网络环境下实现实时地、分布协同地全面检测可能的入侵行为； b) 能及时识别各种黑客攻击行为，发现攻击时阻断或弱化攻击行为、并能详细记录，生成入侵检 测报告，及时向管理员报警； c) d) e) f) g) h) i) 6.3 能够按照管理者需要进行多个层次的扫描，按照特定的时间、广度和粒度的需求配置多个扫描； 能够支持大规模并行检测，能够方便地对大的网络同时执行多个检测； 所采用的入侵检测产品和技术不能被绕过或旁路； 检测和扫描行为不能影响正常的网络连接服务和网络的效率； 检测的特征库要全面并能够及时更新； 安全检测策略可由用户自行设定，对检测强度和风险程度进行等级管理，用户可根据不同，需 求选择相应的检测策略； 能够帮助建立安全策略，具有详细的帮助数据库，协助管理员实现网络的安全，并且制定实际 的、可强制执行的网络安全策略。 数据传输安全 为保证数据传输的机密性和完整性，针对使用特定功能如网上办事、网上审批等用户宜采用身份认 证、数字防伪等技术。 7 系统层安全 7.1 2 操作系统安全 DB51/T 1626—2013 操作系统安全管理应从物理安全、登录安全、用户安全、文件系统和打印机安全、注册表安全、 RAS 安全、数据安全、 各应用系统安全等方面制定强化安全措施。 7.2 数据库安全 数据库管理系统应具有如下能力： a) b) c) d) e) 8 自主访问控制（DAC）：DAC 用来决定用户是否有权访问数据库对象； 验证：保证只有授权的合法用户才能注册和访问； 授权：对不同的用户访问数据库授予不同的权限。 审计：监视各用户对数据库施加的动作，数据库管理系统应能提供与安全相关事件的审计 能力， 如试图改变访问控制许可权、试图创建、拷贝、清除或执行数据库； 系统应提供在数据库级和纪录级标识数据库信息的能力。 应用层安全 8.1 身份认证技术 电子政务大厅应设立系统管理人员、信息发布人员、业务办理人员、在线巡查人员等不同的管理 权限，必须有严格的身份认证和权限设置功能，并建立安全责任制度。 对网上办事、网上咨询、网上投诉等服务，应当建立相应的申请人身份认证服务。 8.2 防病毒技术 病毒防范系统由防病毒代理和防病毒服务器端组成，应配置成分布式运行和集中管理。 9 管理层安全 9.1 管理体系 9.1.1 主要内容 四川省政务大厅系统的安全管理体系主要包括安全管理机构、安全管理制度和安全教育培训等方 面。 通过组建完整的四川省政务大厅系统的信息网络安全管理机构，设置安全管理人员，规划安全策 略、确定安全管理机制、明确安全管理原则和完善安全管理措施，制定严格的安全管理制度，合理地 协调法律、技术和管理三种因素，实现对系统安全管理的科学化、系统化、法制化和规范化，达到保 障四川省政务大厅系统安全的目的。安全管理体系结构如图1所示。 3 DB51/T 1626—2013 图 1 四川省政务大厅系统安全管理体系结构 9.1.2 安全管理机构建设 按照统一领导和分级管理的原则，四川省政务大厅系统的安全管理必须设立专门的管理机构，配 备相应的安全管理人员，并实行“一把手”责任制，明确主管领导，落实部门责任，各尽其职。其主 要内容包括：各级管理机构的建立；各级管理机构的职能、权限划分；人员岗位、数量、职责的确定。 主要组建机构包括： a)安全管理决策机构； b)安全管理日常执行机构； c)安全管理应急响应小组。 9.1.3 安全管理制度建设 9.1.3.1 安全管理制度主要包括：安全人员管理、技术安全管理、场地设施安全管理。 9.1.3.2 安全人员的管理主要包括：人员审查、岗位人选、人员培训、签订保密合同、人员调离等。 9.1.3.3 技术安全管理主要包括：软件管理、设备管理、介质管理、信息管理、技术文档管理、传输 链路和网络互连管理、应急响应计划等技术方面的管理。 9.1.3.4 场地设施安全管理主要包括：场地管理分类、管理要求、出入控制、电磁波防护、磁场防护、 机房管理制度等。 9.1.4 安全教育和培训 根据用户的不同层次制定相应的教育培训计划及培训方案。为了将安全隐患减少到最低，不仅需 要对安全管理员进行专业性的安全技术培训，还需要加强对一般办公人员的信息安全教育，普及信息 安全基本知识，通过对用户的不断教育和培训，增强全体工作人员的信息安全意识、法制观念和技术 防范水平，确保四川省政务大厅系统网络的安全运行。 9.2 安全人员管理 9.2.1 主要内容 信息系统的运行是依靠在各级党政机构工作的人员来具体实施的，他们既是信息系统安全的主体， 也是系统安全管理的对象。所以，要确保信息系统的安全，首先应加强人事安全管理。 安全人员应包括：密钥管理员、系统安全管理员、系统管理员、办公自动化操作人员、安全设备 4 DB51/T 1626—2013 操作员、软硬件维修人员和警卫人员。 其中密钥管理员、系统管理员、系统安全管理员必须由不同人员担当。 9.2.2 人员审查 人员审查必须根据信息系统所规定的安全等级确定审查标准。人员应具有政治可靠、思想进步、 作风正派、技术合格等基本素质。 9.2.3 人员培训 应定期对从事操作和维护信息系统的工作人员进行培训，包括：计算机操作维护培训、应用软件 操作培训、