xx信息系统安全总体策略

luoshitao

贡献于2011-10-18

字数:19109 关键词:

XX信息系统安全总体策略 《XX信息系统安全总体策略》 编制说明 根据XX信息系统安全管理体系框架,XX信息系统安全总体策略是顶层的管理文档,是XX信息系统安全保障工作的出发点和核心,是XX信息系统安全保障管理实践和技术措施的指导性文件。XX信息系统安全总体策略是XX单位内所有工作人员必须遵循的信息安全行为准则。 本总体策略主要内容包括:人员安全、资产分类与控制、物理和环境安全、系统开发和维护、访问控制、个人计算机安全、风险管理、业务持续性管理与灾难恢复、计算机与网络运行管理、遵循性等十个方面。 XX信息系统安全总体策略 目 录 1安全策略概述 1 1.1简介 1 1.2范围 1 1.3目标 1 1.4遵循 2 1.5安全组织 2 1.5.1信息安全管理组织 2 1.5.2信息安全职责分配 3 1.6术语表及其定义 4 2资产分类与控制 6 2.1信息分类 6 2.1.1资产分类 6 2.1.2资产保护 6 2.1.3分类标记 6 2.1.4文档分类 7 2.2资产的可审计性 7 3人员信息安全策略 8 3.1工作定义及资源的安全 8 3.2用户培训 8 3.3事件报告 9 3.4外部访问者 9 3.5工作人员调转和解聘 9 3.6信息处理设备可接受的使用策略 9 3.7处理从互联网下载的软件和文件 11 3.8工作人员保密协议 11 3.9知识产权权利 11 4物理和环境安全 12 4.1安全域 12 4.2设备安全 12 4.3物理访问控制 13 4.4建筑和环境的安全管理 14 4.5数据中心访问记录管理 14 4.6设备和电缆安全 14 4.7设备装载、处置或重新使用 15 5计算机和网络的运行管理 16 5.1操作规程和职责 16 5.2操作变更控制 17 5.3系统计划编制和批准 17 5.4软件和信息保护 17 5.5介质的处理和安全性 17 5.6维护完整性和可用性 18 5.7鉴别和网络安全 18 5.8数据交换 19 5.9操作人员日志 19 5.10错误日志记录 19 5.11网络安全管理 20 5.12信息和软件交换 20 5.13网上业务安全 21 XX信息系统安全总体策略 5.14电子邮件安全 21 5.15病毒防范策略 21 5.16因特网安全策略 22 5.17备份与恢复 22 5.18入侵检测 23 5.19加密 23 6访问控制 25 6.1应用程序访问控制 25 6.2计算机访问控制 25 6.3帐号管理 26 6.4口令管理 26 6.5权限管理 28 7系统开发和维护 29 7.1系统的安全需求 29 7.2信息系统的安全 29 7.3信息系统文件的安全 29 7.4开发和支持环境的安全 29 7.5软件开发和维护 30 8个人计算机和信息安全 31 9风险管理 32 10业务连续性管理,恢复 33 10.1业务连续性管理的特点 33 10.2业务连续性管理程序 33 10.3业务连续性和影响分析 33 10.4编写和实施连续性计划 34 10.5业务连续性计划框架 34 10.6业务连续性计划的检查、维护和重新分析 35 11遵循性 36 11.1软件的使用 36 11.2防止滥用IT工具 36 11.3对安全策略的遵循性 36 参考标准及法规 37 XX信息系统安全总体策略 1安全策略概述 1.1简介 XX信息系统相关的信息和支撑系统、程序等,不论它们以何种形式存在,均是XX信息系统的关键资产。信息的可用性、完整性和机密性是信息安全的基本要素,关系到XX单位的形象和业务的持续运行。因此,必须保护这些资产不受威胁侵害(威胁可能来自各个方面,如网络诈骗、侦探、病毒或黑客,自然灾害等)。定义和监督执行XX信息系统安全总体策略是XX信息系统安全管理部门的职责。 XX信息系统是存储、传输、处理大量关于某种业务关键信息的系统。这些信息受国家法律保护,必须保证其安全。确保XX信息系统的持续可靠运行需要在信息系统的全生命周期内从技术、管理、工程实施、运行等方面进行安全保障。 随着信息技术的发展,信息安全技术也不断发展,XX信息系统面临的安全威胁也可能在不断变化,为了应对安全要求及各种约束条件的变化,对于安全策略及其相应的支撑管理规程和制度需要不断的修订和改进。 1.2范围 信息安全关系到所有类型的信息和存贮、处理或传输这些信息的硬件、软件及固件。本策略适用于XX单位内所有的业务信息系统及其工作人员。然而,需要不同的部门要根据其自身的特点,对需求、威胁、风险、信息类型进行针对性的规定。 1.3目标 信息安全的目标就是确保业务的连续性,并通过一系列预防措施将业务可能受到的损害降到最低,将安全事故产生的影响降到最低。信息安全管理应在确保信息和计算机资产受到保护的同时,确保信息能够在允许的范围内正常运行使用。对每种资产的保护程度由以下四个基本要素决定: 第页 XX信息系统安全总体策略 u 机密性 u 完整性 u 可用性 u 可审计性 同样,本策略的目的也是让所有工作人员能够了解信息安全问题以及他们个人的责任,并严格遵守本安全策略。促进信息安全策略的实现和普及是每个工作人员应尽的责任和义务。依照本安全策略,需要制定: u 信息安全相关的角色需求 u 各种安全环境下的岗位和职责需求 全体工作人员都应该遵守国家相关的计算机或信息安全法律要求,并明确他们各自的信息安全职责。 1.4遵循 XX信息系统内所有工作人员都有责任学习、理解并遵守安全策略,以确保XX信息系统敏感信息的安全。对违反安全策略的行为,根据事件性质和违规的严重程度,采取相应的处罚措施。信息安全管理部门应根据违规的严重程度向相关领导提出建议惩罚措施。除本安全策略中涉及的要求之外,所有部门和工作人员同样需要遵守相关国家法律和法规的要求。 XX信息系统安全总体策略由信息安全管理部门负责制定和解释,并每年组织一次对总体策略进行修订和维护,由信息安全领导小组在XX信息系统内发布。 XX信息系统内已存在的但内容与本安全策略不符的管理规定,应以本安全策略的要求为准,并参考本安全策略及时进行修订。 1.5安全组织 1.5.1信息安全管理组织 建立安全组织的目标是管理XX信息系统内部的信息安全。XX单位必须建立专门的安全领导小组,指定专职的安全管理员,不得与其它系统管理员、应用系统管理员等管理人员角色重叠。 XX单位必须建立信息安全管理体系,在XX信息系统内部开展和控制信息安全的管理实施。 第页 XX信息系统安全总体策略 根据需要,建立外部信息安全专家咨询小组。保持与XX信息系统外部安全专家的联系,并与业界的趋势、监控标准和评估方法同步。 信息安全是XX信息系统内所有工作人员必须共同承担的责任。必须建立相应的最高安全领导小组,由最高的主管领导担任组长,领导小组应能够: u 提供清晰的指导方向,可见的管理支持,明确的信息安全职责授权; u 审查、批准信息安全策略和岗位职责; u 审查业务关键安全事件; u 批准增强信息安全保障能力的关键措施和机制; u 保证必要的资源分配,以实现数据有效性以及信息安全管理体系的持续发展。 相关信息安全管理部门必须为建立和维持信息安全管理体系,协调相关活动,并承担如下职责: u 调整并制定所有必要的信息安全管理规程、制度以及实施指南等; u 提议并配合执行信息安全相关的实施方法和程序,如风险评估、资产分级分类方法等; u 主动采取部门内的信息安全措施,如安全意识培训及教育等; u 配合执行新系统或服务的特殊信息安全措施; u 审查对信息安全策略的遵循性; u 审查、监控、协调对信息安全相关事件的评估和响应; u 配合并参与安全评估事项; u 根据信息安全管理体系的要求,定期向上级主管领导和信息安全领导小组报告。 1.5.2信息安全职责分配 根据XX信息系统的具体情况指定系统安全角色和职责的分配,并对安全角色和职责的分配补充有关环境、系统或服务的详细描述,这些描述明确定义单个资产(包括物理的和信息的)的职责和安全规程,例如业务持续性计划。 为了避免任何对个人责任的误解,每个管理者所负责的管理区域必须被明确规定,重点如下: u 识别和定义与每个业务应用系统相关的各种资产和安全过程; u 管理者应该知晓与其相关的资产管理责任,并且形成文件; 第页 XX信息系统安全总体策略 u 确定义授权级别,并形成文件。 1.6术语表及其定义 第页 XX信息系统安全总体策略 2资产分类与控制 信息资产和用来处理、存贮信息的硬件和软件以及为这些硬件和软件提供支撑服务的资产(例如能量提供、电缆、房屋等)一样具有价值。为了保护信息,必须识别这些资产并定义它们所需的保护类别和等级。 2.1信息分类 用于指明防护的需求和优先级。 2.1.1资产分类 信息资产,包括计算机和网络,依据其价值和敏感性以及机密性、完整性和可用性原则进行分类。XX信息系统安全管理部门根据各业务应用特点制定本系统内具体的资产分类 第页 XX信息系统安全总体策略 与分级办法,并根据分级与分类办法制定明晰的资产清单。 分类表 对XX信息系统有价值的和敏感的信息划分为秘密信息。根据XX信息系统的需要,数据必须被保护以防止被泄漏、破坏或修改。 XX信息系统用于保持正常业务持续进行的信息可划分为关键信息。对关键信息必须进行备份,并作为XX信息系统应急计划的一部分进行存储,以保证在这些信息受到破坏的情况下,业务系统正常进行和及时恢复。对备份信息必须进行保护以免破坏和非授权修改。 那些来自于外部资源(报纸、杂志、调查、书籍等)的信息可划分为仅在内部使用信息。这些信息的使用、再出版要遵守版权。 其他信息划分为普通信息。这些信息,尽管不属于上述类别,还是很容易被篡改和破坏。因此,同样需要对普通信息进行安全考虑。 2.1.2资产保护 信息资产的防护等级应当与它们的分类一致。 2.1.3分类标记 处理敏感信息的信息系统的输出应当依据其分类进行物理标记。 2.1.4文档分类 文档和其他物理资产应该根据它们的类别进行适当的使用、储存和销毁。信息系统输出所使用的分类准则与其相关文档的分类准则必须保持一致。 2.2资产的可审计性 信息资产应该能够被识别、说明并指定所有者,制定并保存信息资产的详细目录。对于关键资产应当识别信息所有者,并为其分配执行和维护等相应权限。与信息系统相关的资产举例如下: u 信息资产:包括数据库、数据文件、电子数据表、命令执行文件、手册以及支撑程序和人等。 u 逻辑设备:包括系统、应用软件和开发工具等。 u 物理设备:包括计算机设备、登录卡、移动电话、各种类型的媒介、家具和房屋等。 第页 XX信息系统安全总体策略 3人员信息安全策略 为避免信息遭受人为过失、窃取、欺骗、滥用的风险,应识别XX信息系统内部每项工作的信息安全职责并补充相关的程序文件。对信息和信息系统的访问进行授权和取消应该依据“必须知道”的原则。全体工作人员都应该了解XX信息系统的安全需求,安全管理机构必须为工作人员提供足够的培训以达到该安目的,并为他们提供报告安全事件和威胁的渠道。 3.1工作定义及资源的安全 工作人员从事或离开岗位时必须进行信息安全考虑,相关的安全事项必须包括在工作描述及合同中。 u 对涉及访问秘密信息或关键信息,或者访问处理这些信息的系统的工作人员应进行严格审查和挑选; u 应该根据安全角色和职责来描述工作; u 对信息系统具有特殊访问权限的工作人员应该签署承诺,保证不会滥用权限; u 当工作人员离开XX信息系统的使用单位时应该移交信息系统的访问权限,或工作人员在单位内部更换工作时应该重新检查并调整其访问权限。 3.2用户培训 全体工作人员应了解XX信息系统的安全需求,并对如何安全地使用信息及相关系统和工具接受培训。必须对全体工作人员就XX信息系统安全策略和相关管理规定进行培训,使他们熟悉信息安全的实施并加强安全意识。 管理人员应该保证全体工作人员知道他们与XX信息系统安全策略相关的职责,在开始执行策略时向他们介绍相关安全需求。 在对工作人员授权对某项信息技术服务进行访问前,必须对他们进行培训,确保他们正确使用相关的信息工具和设备。 第页 XX信息系统安全总体策略 3.3事件报告 必须建立有效的信息反馈渠道,以便于工作人员一旦发现安全威胁、事件和故障,能及时向有关领导报告。 高级管理层的职责之一就是确保该反馈渠道的合理性,以确保能够及时报告安全事件。 3.4外部访问者 应该控制外部访问者访问信息系统的权限。外部访问者不能对XX信息系统工作区、信息或信息系统进行未经授权的访问。对那些希望访问机密、关键信息或处理信息的系统的外部访问者,应考虑与他们签署保密协议。 3.5工作人员调转和解聘 业务单位应将本单位内部工作人员、用户职责或聘用状况的变更及时通知相关的系统安全管理人员。 在解聘或调离XX信息系统工作人员的岗位之前,业务单位应: u 为即将离职的工作人员重新分配职责和信息资产责任权限; u 确保指定的继任者能够从该工作人员处获得与该岗位相关的资料和信息; u 收回所有XX信息系统文档、分发的钥匙和借走的IT设备(例如笔记本、数据媒体、文件等); u 必须取消即将离任的工作人员进入敏感信息处理区域的权力,删除其访问权限。 3.6信息处理设备可接受的使用策略 业务部门和职能单位应向所有XX信息系统工作人员、合同工和临时工提供足够的警告信息,禁止滥用XX信息系统的计算资源。仅为工作人员提供工作所需的信息处理设备。禁止使用XX信息系统的资源来访问含有非法信息或内容的网站。 业务部门和职能单位应确保所有对XX信息系统网络和计算资源的使用(包括访问互联网)都必须遵守XX信息系统的安全策略和标准(另请参考电子邮件安全部分)及所有适用的法律。 第页 XX信息系统安全总体策略 信息处理系统应能防止用户连接到某些非业务网站。如果发现工作人员使用XX信息系统资源连接到包含有色情、种族歧视及其他不良内容的网站,必须立即断开与这个网站连接。工作人员应该主动做到不要连接到某些不允许被访问的网站。 以下例子是不可接受的使用行为: u 使用XX信息系统资源故意从事影响他人工作和生活的行为。工作人员可能威胁XX信息系统计算机系统和数据文件的安全性、完整性、可用性和功能的行为。 u 工作人员通过XX信息系统的网络服务传输任何非法的、有威胁的、滥用的材料。工作人员在任何属于XX信息系统的设备或备份媒体上存储这些材料。 u 任何工作人员使用XX信息系统的计算机工具、设备和互联网访问服务来从事用于个人获益的商业活动。 u 工作人员使用XX信息系统服务来参与任何政治或宗教活动。 u 在没有信息技术主管部门的事先允许的情况下,工作人员在他们计算机中更改或安装任何类型的计算机软件和硬件。 u 工作人员拷贝、安装、处理或使用任何未经许可的软件。 色情描写 严禁保留、传播、下载、处理或显示攻击性的或淫秽的材料,例如色情描写。如果在XX信息系统计算机中发现这类材料应立即删除,并将对责任人进行惩罚。 攻击性玩笑 不能在XX信息系统网络中传播包含有淫秽内容的笑话(或其他材料)。严禁使用XX信息系统设备或工具来储存或传输这些材料。 病毒 严格禁止任何故意传播感染了病毒的文件或程序的行为。 禁止工作人员从其它非法的外部计算机向XX信息系统内的计算机传输数据。 传播盗版软件 禁止保留、拷贝或传播任何违反规章或法律条例的信息、数据或材料。XX信息系统 第页 XX信息系统安全总体策略 保留审计相关设备并删除被发现的这类非法材料的权力。 破坏系统安全 严禁XX信息系统工作人员未经授权进行尝试欺骗任何主机、网络或帐号的验证或其他安全措施的行为,例如访问人员访问不应访问的数据、探察其他网络的安全性(例如运行IP扫描器或类似的工具)和网络通讯,或非授权监控任何计算机系统。 严禁工作人员试图干扰任何用户、主机或网络的服务(如拒绝服务攻击)。 严禁工作人员使用任何程序、脚本或命令干扰任何其他用户的终端或登录对话。例如,使用用于获取其他用户登录信息和口令的程序。 3.7处理从互联网下载的软件和文件 必须使用病毒检测软件对所有通过互联网(或任何其他公网)的途径获得的软件和文件进行检查。 必须经过批准才能使用用于信息安全检测的工具。一般来讲,只有信息安全管理部门的授权工作人员才可以使用这类工具。 在批准使用漏洞检测软件或其他可以用于破坏信息系统安全的工具之前,XX信息系统管理层和信息安全管理部门必须研究和确认使用这些工具的必要性,以及对正常业务可能造成的影响进行评估。 3.8工作人员保密协议 所有工作人员必须在开始工作前,亲自签订XX信息系统保密协议。 3.9知识产权权利 尊重互联网上他人的知识产权。 XX信息系统工作人员在被雇佣期间使用XX信息系统资源开发或设计的产品,无论是以何种方式涉及业务、产品、技术、处理器、服务或研发的资产,都是XX信息系统的专有资产。 电子通讯系统和由电子通讯系统生成或处理的所有消息(包括备份拷贝)同样是XX信息系统的财产。 第页 XX信息系统安全总体策略 4物理和环境安全 信息和其他用于存储、处理或传输信息的物理资产,例如硬件、磁介质、电缆等,对于物理破坏来说是易受攻击的。同时也不可能完全消除这些风险,应该将资产放置于适当的环境中并在物理上保护他们免受安全威胁和环境危害。通过识别和减小这些风险将其降低到可接受的水平。 4.1安全域 应将支持关键业务或敏感业务活动的信息技术设备放置在安全域中。 u 安全域应当考虑物理安全边界控制,安全域防护等级应当与安全域内的信息资产安全等级一致。 u 安全域应该有适当的进出控制措施保护。 u 安全域的访问权限应该被严格控制。 u 应该考虑为安全域提供中间传递空间,以避免直接将物品传递到该区域; u 安全域不应该放置需要经常使用的设备。 u 要保护信息机密性或关键信息不受非授权访问,防止信息由于灾难事件带来的损伤或破坏;在非正常工作时间这些信息应该是不可见和不可访问的。 u 资产的销毁应该通过管理手段适当地授权。 4.2设备安全 对支持关键业务或敏感业务过程(包括备份设备和存储过程)的设备应该适当地在物理上进行保护以避免安全威胁和环境危险。 u 设备应该放置在合适的位置或加强保护,将被如水或火破坏、干扰或非授权访问的风险降低到可接受的程度。 u 对支持关键业务过程的设备应该进行保护,以免受电源故障或其他电力异常的损害。 u 对计算机和设备环境应该进行监控,必要的话要检查环境的影响因素,如温度和湿度是否超过正常界限。 第页 XX信息系统安全总体策略 u 对通讯和电力线应该保护,以防被侦听和中断。 u 对设备应该按照生产商的说明进行有序地维护。 u 安全规程和控制措施应该覆盖该设备的安全性要求。 u 设备包括存储介质在废弃使用之前,应该删除其上面的数据。 4.3物理访问控制 应定义系统信息处理设施运营范围内物理安全的职责,并分配给被授权的工作人员。 业务部门应建立访问控制程序,控制并限制所有对XX信息系统计算、存储和通讯系统设施的物理访问。 应有合适的出入控制来保护安全场所,确保只允许授权的人员进入。 必须仅限XX信息系统工作人员和系统使用单位的物业人员访问XX信息系统办公场所、布线室、机房和计算基础设施。 仅在拥有特定的、经批准的目的时才允许访客访问。 XX信息系统的访客应佩戴访客通行证。 所有非XX信息系统人员在XX信息系统访问期间应一直有人陪同。 每位工作人员都有责任对没有陪同的陌生人及任何没有佩戴XX信息系统工作人员或访客通行证的不明身份者进行询问。 对所有进入XX信息系统的访客都应有访客登记,至少包含以下信息: u 姓名 u 他们所在的机构 u 接待他们的XX信息系统人员 u 进入和离开的日期和时间 u 接待人员签名 在进入系统信息设施之前要逐项列出所携带的信息存储媒体和处理设备,并在离开时确认。 4.4建筑和环境的安全管理 为确保计算机处理设施能正确的、连续的运行,应至少考虑及防范以下威胁: u 偷窃 第页 XX信息系统安全总体策略 u 火灾 u 温度 u 湿度 u 水 u 电力供应中断 u 爆炸物 u 吸烟 u 灰尘 u 振动 u 化学影响 必须建立环境状况监控机制,以监控厂商建议范围外的可能影响信息处理设施的环境状况。 应在运营范围内安装自动灭火系统。 定期测试、检查并维护环境监控警告机制,并至少每年操作一次灭火设备。 4.5数据中心访问记录管理 交接班领导应每日检查物理访问记录本,以确保正确使用了这项控制。 物理访问记录应至少保留12个月,以便协助事件调查。 应经信息安全管理层批准后才可以处置记录,并应用碎纸机处理。 4.6设备和电缆安全 应识别所有设备并进行统计,建立并维护对设备访问使用的控制程序。 应有专门人员维护并定期核实资产登记表中与每个信息系统有关的所有设备清单;并明确标记所有设备。 业务部门和职能单位应建立设备运出XX信息系统的控制程序,控制XX信息系统设备的运出及归还。 对于敏感的或重要的信息媒介,须进行以下控制: u 安装有外壳的电缆管道,并锁住检查点和终止点的房间或盒子。 u 定期清除连在电缆上的非授权设备。 第页 XX信息系统安全总体策略 4.7设备装载、处置或重新使用 应仅限已识别身份且经授权的人员从建筑外部访问卸载设备的区域。 将来料从卸载设备地区移动到使用点的过程中,应对其进行潜在风险检查。 业务部门应建立程序来规范来料从入口处移动至其位置的过程。 5计算机和网络的运行管理 XX信息系统所拥有的和使用的大多数信息都在计算机上进行处理和存储。为了保护这些信息,需要使用安全且受控的方式管理和操作这些计算机,使它们拥有充分的资源。 很多用于处理和存储信息的计算机系统都是通过网络联接到外部网络的。由于使用这样的计算机系统,网络必须使用可控且安全的方式来管理且拥有充足的资源。网络软件、数据和服务的完整性和可用性必须受到保护。信息通过网络进行传输,特别是当信息在组织与组织之间交换时,应该确保机密性。 5.1操作规程和职责 应该制定管理和操作所有计算机和网络所必须的职责和规程,来指导正确的和安全的操作。这些规程包括: u 数据文件处理规程,包括验证网络传输的数据; u 对所有计划好的系统开发、维护和测试工作的变更管理规程; u 为意外事件准备的错误处理和意外事件处理规程; u 问题管理规程,包括记录所有网络问题和解决办法(包括怎样处理和谁处理); u 事故管理规程; u 为所有新的或变更的硬件或软件,制定包括性能、可用性、可靠性、可控性、可恢复性和错误处理能力等方面的测试/评估规程; u 日常管理活动,例如启动和关闭规程,数据备份,设备维护,计算机和网络管理,安全方法或需求; u 当出现意外操作或技术难题时的技术支持合同。 第页 XX信息系统安全总体策略 为降低计算机或网络有意或无意的系统误用的风险: u 尽可能职责分离; u 尽可能将开发、测试系统与运行系统隔离; u 使用第三方来管理信息的建议应该判别是否有任何安全隐患,并且应该有详细的适当安全控制措施的说明; u 计算机和网络操作者应对所有做过的工作进行日志记录维护; u 频繁的、定期的或特殊的网络故障应被报告和调查; u 开发、应用统一的安全管理平台; u 应该维护所有软件及所使用的机器的许可证,并及时更新; 5.2操作变更控制 对信息处理设施和系统控制不力是导致系统或安全故障的常见原因,所以应该控制对信息处理设施和系统的变动。 应落实正式的管理责任和措施,确保对设备、软件或程序的所有变更得到满意的控制。 操作程序应严格控制变动。更改程序时,应保留包含所有相关信息的审计日志。改变操作环境可能会对应用程序造成影响。在适当的时候,应结合操作步骤和应用更改控制步骤。 5.3系统计划编制和批准 与系统计划编制和批准相关的所有项目应该采取安全措施。应该监控和估计当前和将来的需求,以便取得先机并且避免由于计算机或网络资源不足产生的问题。应该建立新建系统的批准准则,并在批准前进行适用性测试。应该对计算机系统和网络设备的变更进行有效控制。 5.4软件和信息保护 应当采取病毒检测和预防措施以及适当的用户意识培养规程。使用正式的变更控制规程来规范对产品软件和数据的更改。 第页 XX信息系统安全总体策略 5.5介质的处理和安全性 应该对计算机介质进行控制,如果必要的话需要进行物理保护: u 可移动的计算机介质应该受控; u 应该制定并遵守处理包含机密或关键数据的介质的规程; u 与计算相关的介质应该在不再需要时被妥善废弃; u 系统文档应该进行适当分级,并实施保护以防非授权访问或删除。 5.6维护完整性和可用性 应该采取措施维护服务的完整性和可用性: u 应该建立控制备份计算机和网络资产的规程; u 应该定期检查广域网络的网络管理中心和节点的通讯软件及数据的完整性; u 所有网络设备应受到保护以避免物理攻击; u 线缆应采取物理保护措施以防止中断、侦听和非授权访问; u 应该考虑将大型网络分割为分离的、受保护的逻辑域。 5.7鉴别和网络安全 鉴别和网络安全包括以下方面: u 网络访问控制应包括对人员的识别和鉴定; u 用户连接到网络的能力应受控,以支持业务应用的访问策略需求; u 专门的测试和监控设备应被安全保存,使用时要进行严格控制; u 通过网络监控设备访问网络应受到限制并进行适当授权; u 应配备专门设备自动检查所有网络数据传输是否完整和正确; u 应评估和说明使用外部网络服务所带来的安全风险; u 通过公共网络或其他远程网络进行连接的用户应该被授权且加密; u 应考虑共享网络的路由控制; u 根据不同的用户和不同的网络服务进行网络访问控制; u 对IP地址进行合理的分配; u 关闭或屏蔽所有不需要的网络服务; 第页 XX信息系统安全总体策略 u 隐藏真实的网络拓扑结构; u 采用有效的口令保护机制,包括:规定口令的长度、有效期、口令规则或采用动态口令等方式,保障用户登录和口令的安全; u 应该严格控制可以对重要服务器、网络设备进行访问的登录终端或登录节点,并且进行完整的访问审计; u 严格设置对重要服务器、网络设备的访问权限; u 严格控制可以对重要服务器、网络设备进行访问的人员; u 保证重要设备的物理安全性,严格控制可以物理接触重要设备的人员,并且进行登记; u 对重要的管理工作站、服务器必须设置自动锁屏或在操作完成后,必须手工锁屏; u 严格限制进行远程访问的方式、用户和可以使用的网络资源; u 接受远程访问的服务器应该划分在一个独立的网络安全域; u 根据XX信息系统的运行特点、业务特点和信息资产的归类情况,在XX信息系统的网络运行环境中划分不同的网络安全域; u 安全隔离措施必须满足国家、行业的相关政策法规。 个人终端用户(包括个人计算机)的鉴别,以及连接到所有办公自动化网络和服务的控制职责,由信息中心决定。 5.8数据交换 无论机构内部还是与外界组织的数据和软件交换都应受控: u 应签订协议,描述数据和软件交换中所有要使用的安全控制措施; u 保护计算介质,以防在传输过程中丢失或误用; u 应考虑减少与电子邮件相关的业务,增加安全风险的控制措施 u 应制定并执行用来控制与办公网络系统相关的业务和安全风险的明确的策略和指南。 5.9操作人员日志 操作人员应保留日志记录。根据需要,日志记录应包括: u 系统及应用启动和结束时间; 第页 XX信息系统安全总体策略 u 系统及应用错误和采取的纠正措施; u 所处理的数据文件和计算机输出; u 操作日志建立和维护的人员名单。 5.10错误日志记录 对错误及时报告并采取措施予以纠正。应记录用户报告的关于信息处理错误或通信系统故障。应有一个明确的处理错误报告的规则,包括:1)审查错误日志,确保错误已经得到满意的解决;2)审查纠正措施,确保没有违反控制措施,并且采取的行动都得到充分的授权。 5.11网络安全管理 网络安全管理的目标是保证网络信息安全,确保网络基础设施的可用性。特别是加强跨越XX信息系统边界的网络安全管理。 网络管理员应确保xx信息系统的数据安全,保障连接的服务的有效性,避免非法访问。应该注意以下内容: u 应将网络的操作职责和计算机的操作职责分离; u 制定远程设备(包括用户区域的设备)的管理职责和程序; u 应采取特殊的技术手段保护通过公共网络传送的数据的机密性和完整性,并保护连接的系统,采取控制措施维护网络服务和所连接的计算机的可用性; u 信息安全管理活动应与技术控制措施协调一致,优化业务服务能力; u 使用远程维护协议时,要充分考虑安全性。 5.12信息和软件交换 在XX信息系统与其它信息系统交换信息时,为防止信息受到破坏、修改或滥用,应控制信息和软件的交换,并制定相关规定。 为了便于XX信息系统内部和外部之间以电子方式或手工方式交换信息和软件,应该签署协议,必要时还包括软件第三方协议。这些协议的内容应反映有关XX信息系统中信息的保密程度。协议应考虑的安全条款有: u 传播、发送和接收的管理责任; 第页 XX信息系统安全总体策略 u 发送、传输和接收的步骤程序; u 打包和传输的最低技术标准; u 投递者标识标准; u 丢失数据的责任和偿还; u 对敏感或关键信息使用认可的标记方法,确保标记方式易于理解并且信息得到妥善保护; u 信息和软件的所有权以及数据保护的责任、软件版权规定等; u 保护敏感数据需要的特殊控制措施,例如加密密钥。 5.13网上业务安全 以中国电子政务信息安全架构体系为核心,利用其中的信任服务体系,确保网上XX信息系统的安全性、可靠性和稳定性,保证网上XX信息系统的数据的安全性、完整性和不可否认性。网上XX信息系统安全体系的设计必须遵循《计算机信息系统国际互联网保密管理》、《关于加强政府上网信息保密管理的通知》、《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》以及《计算机信息系统保密管理暂行规定》的相关规定,采取有关国家信息安全主管部门认可的安全防护措施,实现内外网的数据交换,保证网上XX信息系统的完整性。 5.14电子邮件安全 Xx信息系统应制定有关使用电子邮件的策略,包括: u 对电子邮件的攻击,例如病毒、拦截; u 不违反国家、XX信息系统相关规定的责任,例如发送诽谤电子邮件、进行骚扰或非法采购; u 必要时,使用相关技术保护电子邮件的机密性、完整性和不可抵赖。 5.15病毒防范策略 病毒防范包括预防和检查病毒(包括实时扫描/过滤和定期检查),主要内容包括: u 控制病毒入侵途径; 第页 XX信息系统安全总体策略 u 安装可靠的防病毒软件; u 对系统进行实时监测和过滤; u 定期杀毒; u 及时更新病毒库; u 及时上报; u 详细记录。 制定可行的“XX信息系统防病毒管理制度”,该制度适用于XX信息系统的所有使用者;防病毒软件的安装和使用由XX信息系统专门的病毒防范管理员执行。 采用全网防病毒实时监控体系,并安装相应的防病毒套件。 严格控制盗版软件及其它第三方软件的使用,必要时,在运行前先对其进行病毒检查。 内部工作人员因为上不安全的网站下载文件或其他方式导致中毒,造成的后果由其本人负责。 5.16因特网安全策略 因特网安全策略范围包括XX信息系统因特网安全域内的服务器及其相关应用。 u 所有接入因特网安全域的服务器、工作站、网络设备(包括:交换机、路由器等)必须经过严格的审批; u 对因特网安全域的服务器、工作站、网络设备(包括:交换机、路由器等)配置的改变必须经过严格的审批; u 只提供必须的网络服务; u 及时安装软件、应用系统补丁包; u 对网络攻击进行实时的监控和响应; u 对操作系统、应用软件进行安全配置; u 因特网安全域安全措施由专门的系统管理员和安全管理员负责执行,XX信息系统安全管理机构负责监督和审查执行情况; u 做好WEB网页的备份与恢复工作,防止网页被篡改; u 定期对因特网安全域的服务器、工作站、网络设备(包括:交换机、路由器等)的运行状况进行检查和审计; 第页 XX信息系统安全总体策略 u 采用适当安全隔离措施,XX信息系统因特网安全域应该采用自主可控的防火墙使之与因特网和内部的核心业务网络进行安全隔离。 5.17备份与恢复 定义XX信息系统备份与恢复应该采用的基本措施。 u 建立有效的备份与恢复机制; u 定期检测自动备份系统是否正常工作; u 明确备份的操作人员职责、工作流程和工作审批制度; u 建立完善的备份工作操作技术文档; u 明确恢复的操作人员职责、工作流程和工作审批制度; u 建立完善的恢复工作操作技术文档; u 针对建立的备份与恢复机制进行演习; u 对备份的类型和恢复的方式进行明确的定义; u 妥善保管备份介质。 5.18入侵检测 对网络攻击以及未经授权的访问进行及时的响应。 u 根据需要,针对XX信息系统的具体应用和操作系统配置入侵检测系统; u 正常运行的入侵检测系统必须由专人负责,相关规则设计属于秘密信息,不得外传,否则,将承担法律责任; u 由专人负责入侵检测系统软件归档入库以及登录、保管等工作; u 由专人负责入侵检测系统软件拷贝和资料印刷等工作; u 由专人负责入侵检测系统的安装、调试及卸载等工作; u 定期查看入侵检测系统日志记录,并做备份; u 如发现异常报警或情况需及时通知相关负责人; u 运行于本网络的入侵检测系统的各条规则设计,均需由本单位安全管理部门领导批准并登记在案,方可进行; u 及时升级入侵检测系统。 第页 XX信息系统安全总体策略 5.19加密 对于应用系统安全需求分析中要求采用加密措施,或相关法规中要求采用加密措施的处理,一定要满足要求。 采用加密技术或选用加密产品,要求符合国家有关政策或行业规范的要求。 选用的加密机制与密码算法应符合国家密码政策,密钥强度符合国家规定。 对于敏感或重要信息,要求通过加密保障其私密性、通过信息校验码或数字签名保障其完整性、通过数字签名保障其不可否认性。 要求采用高强度的密钥管理系统,保证密钥全过程的安全。包括密钥的生成、使用、交换、传输、保护、归档、销毁等。 对敏感或重要密钥,要求分人制衡管理。 对敏感或重要密钥,要求采用一定的密钥备份措施以保障在密钥丢失、破坏时系统的可用性。 密钥失密或怀疑失密时,必须及时向安全主管部门报告,更新密钥。并采取有效措施,防止再次发生类似情况。 6访问控制 为了保护计算机系统中信息不被非授权的访问、操作或破坏,必须对信息系统和数据实行控制访问。 计算机系统访问控制包括建立和使用正式的规程来分配权限,并培训工作人员安全地使用系统。对系统进行监控检查是否遵守所制定的规程。定义和分配用户访问权限是系统所有者的职责。 6.1应用程序访问控制 访问信息系统和数据应受控: u 定义并文档化访问控制业务需求; u 对授权访问用户标识其唯一性,并对其行为在应用层实现审计功能; u 应根据所定义的业务需求,授权对数据和计算机系统的访问; u 应定期检查用户访问权限; 第页 XX信息系统安全总体策略 u 访问系统功能应该受限和受控; u 访问源程序库应该受限和受控; u 应为关键系统和应用考虑使用隔离的计算环境。 6.2计算机访问控制 应该根据相关国家法律的要求和指导方针控制对信息系统和数据的访问: u 计算机活动应可以被追踪到人; u 访问所有多用户计算机系统应有正式的用户登记和注销规程; u 应使用有效的访问系统来鉴别用户; u 应通过安全登录进程访问多用户计算机系统; u 特殊权限的分配应被安全地控制; u 用户选择和使用密码时应慎重参考良好的安全惯例; u 用户应确保无人看管的设备受到了适当的安全保护; u 应根据系统的重要性制定监控系统的使用规程。 u 必须维护监控系统安全事件的审计跟踪记录; u 为准确记录安全事件,计算机时钟应被同步。 6.3帐号管理 应该根据“必须知道”原则控制和限制对系统资源、敏感工具和数据资源的访问。 u 业务部门和职能单位应建立并归档帐号注册和注销过程; u 业务部门和职能单位都应负责对其系统授予访问权限; u 如果工作人员和第三方的状态发生了变化,则必须在变化的24小时内更改其访问权限; u 业务部门和职能单位应建立并归档处理机制,每3个月检查一次批准的帐号及其访问权限; u 如果需要紧急帐号,则应该: Ø 经由信息安全管理部门批准; Ø 经记录并批准后使用; Ø 仅使用一次。 第页 XX信息系统安全总体策略 6.4口令管理 管理层职责 u 对于administrator或root/超级用户帐号的访问,管理层也仅仅是基于工作需要时才被允许而不是基于主观判断。 不可接受的行为 以下是有关使用口令方面不可接受的行为: u 泄漏口令,包括将其张贴出来; u 监控任何网络中的口令; u 非授权尝试访问存储的口令; u 收集其他人的口令; u 暴力猜测口令。 口令安全 应根据以下要求确保口令安全: u 在计算机、工作站等常驻的口令必须是加密格式的; u 在登录输入口令过程中不能以任何方式显示口令; u 如果可能的话,通过网络的口令应加密; u 应将允许特权访问(比如:“administrator”、“root”或“system”)的帐号严格限制于完成管理功能所需的最少人数; u 如果终止雇佣管理人员,应更改这位人员可以访问的所有管理口令; u 应将对这些特权口令的访问记录归档,且这些访问应基于经证实的工作需要。 口令选择 口令必须满足所有以下标准: u Windows系统最少口令长度为7个字符,Unix系统最少为8个字符。如果可能的话,Windows系统特权帐号口令应为14个字符,Unix系统应为8个或8个以上字符。 u 至少1个字符必须为符号。 u 至少1个字符必须为数字。 u 口令应区分大小写(至少1个字符为大写,至少1个为小写)。 第页 XX信息系统安全总体策略 u 口令中禁止包含人名或登录标识符。 u 不应使用常见的或字典词语。 口令职责 u 系统管理员和应用管理员负责在创建帐号时为最终用户选择好的口令。最终用户负责在更改口令的时候选择好的口令。 u 严禁共享一般用户帐号口令。 u 必须仅基于“必须知道”才能允许使用系统帐号口令。 u 如果必须给予外部单位(比如厂商支持工程师)系统帐号口令的话,则在外部单位完成工作后必须马上更改口令。 口令过期 u 必须在90天后终止不使用的帐号。 u 必须每90天更改一次口令。如果给定的口令已超过90天,则必须锁定帐号。 u 必须每30天更改一次系统帐号口令(比如root,administrator)。 u 建议可以访问系统帐号的人员每30天更改一次他们的用户口令。 u 在口令过期前2周提醒用户。 口令恢复 u 严禁重新使用口令。所有系统都必须配置为禁止重新使用口令。 u 不允许口令恢复。如果用户忘记了口令,授权的管理员必须根据文中的规定为最终用户重置口令。 口令发布 口令发布包括向期望的和授权的用户最初及此后的口令交付。 u 严禁通过电子邮件发布口令。 u 应只通过直接的或电话联络发布口令。仅在确认了用户身份后才能发布口令。 u 在为新用户帐号初次创建口令时,必须强迫用户在第一次登录对话时更改口令。 6.5权限管理 特权帐号(例如root)的分配和使用必须是经过授权的、受限的、分隔的、且是可控的: 第页 XX信息系统安全总体策略 u 业务部门和职能单位应对特权用户ID建立归档的授权过程。权限分配必须遵守“必须使用”和“逐个分析”的原则。 u 为用户分配的特权用户ID必须与普通业务使用的ID不同。 u 业务部门和职能单位应建立已归档的处理机制,最少每3个月检查一次特权帐号及其访问权限。 u 仅在以下条件下使用特权帐号: Ø 具有特定的时间范围; Ø 对XX信息系统本地网络范围内或远程访问用户,职能单位应至少每周进行一次对特权帐号行为的审计记录的检查和维护。 7系统开发和维护 安全特性应从信息系统的规划阶段开始考虑。在开发或采购信息系统之前应考虑安全需求。特别地,应该对系统文件、源代码和执行代码的访问进行控制。 7.1系统的安全需求 在开发和采购信息系统安全控制措施及产品之前应识别和批准系统安全需求。应在每个开发或采购项目的需求分析阶段描述信息安全问题。 7.2信息系统的安全 信息系统应当设计适当的安全控制措施: u 为保证信息完整性应进行定期检查; u 危险的信息进入信息系统时应确认输入的正确性; u 信息系统处理的信息应由系统的控制措施进行验证; u 对可能会被恶意修改并用来进行信息传输的应用程序,应考虑使用加密及消息校验系统。 第页 XX信息系统安全总体策略 7.3信息系统文件的安全 访问系统文件、源代码和执行代码应进行控制: u 只要可能,软件测试不应在正在使用的数据或系统上进行; u 测试数据应受保护和控制; u 禁止对系统文件的非授权访问。 7.4开发和支持环境的安全 开发和支持环境应严格受控: u 应有正式的信息系统软件和数据的变更控制规程; u 当操作系统发生变更,可能会对安全性和功能产生任何影响时应检查应用程序。 7.5软件开发和维护 严格管理软件开发的过程;软件开发与维护管理遵循相关技术规范如GB/ T 8566 《计算机软件开发规范》与GB/ T 8567 《计算机软件产品开发文件编制指南》。 软件开发与维护的过程文档遵循相关规范要求,并统一归档。 如果要求第三方协作开发或软件外包,应选择具有相关资质的软件开发商。并就涉及到XX信息系统的秘密事宜签订保密协议。 提供系统设计阶段的风险分析报告和安全设计报告,在系统需求分析阶段引入安全需求,并将安全需求延续到系统设计与实施中。 系统开发过程中的安全设计要求考虑并验证用户的输入及输出,定义系统资源的安全属性与级别,对用户进行标识与鉴别,严格权限管理和访问控制机制。 确保由合法用户提出的业务和安全需求以及修改请求。 严格开发与运行维护隔离的措施。运行系统应只有执行代码。 运行程序库的更新要有日志记录,记录所有软件更新的版本控制。软件的旧版本应保存,并保护及控制测试数据。 测试环境必须与生产环境严格隔离,在应用系统软件安装前进行测试。软件测试过程中对访问控制功能进行严格的测试。测试数据不得进入生产环境。 第页 XX信息系统安全总体策略 源程序库的维护及拷贝应有严格的更改管理制度,源代码不得保留在生产系统。严格控制技术人员访问源程序库,并记录所有对源程序库的访问。 及时响应系统运行过程中出现的安全漏洞或隐患,并提出解决方案。 8个人计算机和信息安全 个人计算机(PC)的使用,由于其轻便和容易取得,给XX信息系统的信息带来严重的威胁。工作人员应被告知使用个人计算机带来的风险并进行相关的安全意识和技术培训: u 个人计算机应妥善保护以避免非授权使用; u 个人计算机使用前应对包括供应商提供的所有盘片进行病毒检测; u 工作人员应该通过正确的渠道尽快报告任何个人计算机出现的异常现象; u 个人计算机上应该永久安装病毒检测软件; u 由于游戏文件经常被用来传播病毒、Trojan木马程序,所以应禁止在XX信息系统的个人计算机上玩游戏; u 只有经批准的软件(无论私有软件、共享软件、公共域的软件还是自由软件)可以传入个人计算机; u 应该对个人计算机进行定期审计,保证遵守软件许可和授权需求; u XX信息系统的个人计算机未经批准不能更换硬件; u 在外出差或旅行时,工作人员应该特别小心保护手提电脑和任何关联设备。 9风险管理 风险管理对于帮助XX信息系统相关工作人员识别和理解信息被攻击、更改和不可用所带来的(直接和间接的)潜在业务影响来说至关重要。所有信息资产和信息技术过程应通过风险评估活动来识别与它们相关的安全风险并执行适当的安全对策。 第页 XX信息系统安全总体策略 XX信息系统的信息安全风险评估活动应当定期执行,特别是系统建设前或系统进行重大变更前,也必须进行风险评估工作。风险评估活动应该根据XX信息系统所制定的管理制度和指南进行。 10业务连续性管理,恢复 10.1业务连续性管理的特点 业务连续性管理的目标是防止业务活动中断,保证重要业务流程不受重大故障和灾难的影响。 u 应该实施业务连续性管理程序,将预防和恢复控制措施相结合,将灾难和安全故障(可能是由于自然灾害、事故、设备故障和蓄意破坏等引起)造成的影响降低到可以接受的水平。 u 应该分析灾难、安全故障和服务损失的后果。制定和实施应急计划,确保能够在要求的时间内恢复业务的流程。应该维护和执行此类计划,使之成为其它所有管理程序的一部分。 10.2业务连续性管理程序 应该在整个XX信息系统内部制定和维护业务连续性的管理流程。包括以下主要内容: u 考虑突发事件的可能性和影响,包括确定重要业务流程及其优先级别。 u 了解中断信息系统服务可能对业务造成的影响(必须找到适当的解决方案,正确处理较小事故以及可能威胁组织生存的大事故),并确定信息处理设施的业务目标。 u 适当考虑风险处理措施,可以将其作为业务连续性程序的一部分。 u 定期对业务连续性管理的计划和流程进行检查和更新。 u 确保在组织的程序和结构中纳入业务连续性管理。业务连续性管理流程的协调责任应该在信息系统管理部门进行适当分配。 第页 XX信息系统安全总体策略 10.3业务连续性和影响分析 要确保业务连续性,应该首先确定可能引起业务流程中断的事件,如设备故障、水灾和火灾等。然后,进行风险评估,确定中断可能造成的影响(破坏程度和恢复时间)。这两项活动都应让具体业务的责任人完全参与。 应该根据风险评估结果制定相应的战略计划,确定业务连续性总体方案。计划制定后应该由管理层进行批准。 10.4编写和实施连续性计划 应该制定计划维护业务运作,或在重要业务流程中断或发生故障后在规定时间内恢复业务运作。业务连续性计划和程序应该考虑以下内容: u 确定并认可各项责任和应急程序。 u 执行应急程序,以便在规定时间内进行恢复。要特别注意对有关外部业务和合同的评估。 u 商定程序的备案。 u 适当地对技术人员进行培训,让他们了解包括危机管理在内的应急程序;检查并更新计划。 u 计划和程序应着重强调信息系统的业务目标,如在可接受的时间内恢复必要的服务。为此,应该考虑所需的服务和资源,包括人员、非信息处理资源等。 10.5业务连续性计划框架 应该对业务连续性计划的框架进行维护,保证所有计划前后一致,确定测试和维护的优先级别。每个业务连续性计划都应该详细说明计划执行的条件以及执行计划的负责人员。确定新的要求时,应该对已制定的应急程序适当进行修改。 业务连续性计划框架应该考虑以下内容: u 计划执行条件; u 应急程序; u 恢复程序; u 说明计划检查方式和维护安排; 第页 XX信息系统安全总体策略 u 宣传培训活动; u 个人责任。 每个计划都应该有一个负责人。应急程序恢复计划也应该由相关的技术人员负责。 10.6业务连续性计划的检查、维护和重新分析 业务连续性计划常常由于错误估计、疏忽或者设备(人员)的变化可能无法通过检查。因此,应该对计划进行定期检查,保证其可实施性和有效性。进行此类检查时,还应该保证负责进行恢复的所有小组成员以及其他相关人员对计划有一定的了解。 业务连续性计划的检查计划应该说明各部分计划的检查方式和时间。 应该通过定期审议和更新对业务连续性计划进行维护,确保其始终有效。应该在组织的变更管理计划中采用适当程序,确保业务连续性问题得到适当处理。 应该分配各个业务连续性计划的定期评审责任;业务连续性计划更新后,应该检查还有哪些业务安排尚未在该计划中得以反映。该正式变更控制程序还应该确保把更新计划分发下去,在对完整计划完成定期审议后还需要更新计划。 11遵循性 XX信息系统必须遵守国家法律和法规的要求。 XX信息系统执行所有必要的控制措施,避免违背所有法定的、关键的义务和安全需求。 11.1软件的使用 在XX信息系统中,不允许使用非法的软件,不经版权所有者的同意就拷贝任何版权资料。 11.2防止滥用IT工具 XX信息系统中的IT工具都是为特定业务目的而提供的。禁止任何部门和个人的IT工具用以非业务或未经授权的目的,一旦查出必须立即报告给各级负责人并进行处罚。 第页 XX信息系统安全总体策略 11.3对安全策略的遵循性 XX信息系统中,所有的区域都应定期检查,以确保与安全策略和规程保持一致,信息系统的所有者和系统、应用的管理员必须尽力协助执行安全审查,同时鉴别并执行必要的纠正措施。 为了将风险带来的危害最小化,安全审计的要求和行为必须经过仔细计划并获得批准。 参考标准及法规 [1] 国家标准 GB/T18336 《信息技术 安全技术 信息安全评估通用准则》 [2] 国家标准 GB9361-1988 《计算机场地安全要求》 [3] 国家标准 GB2887-2000 《电子计算机场地通用规范》 [4] 国家标准 GB50174-1993 《电子计算机机房设计规范》 [5] 国家标准 GB9254-1998 《信息技术设备的无线电骚扰限值和测量方法》 [6] 国家保密标准 BMB2-1998 《使用现场的信息设备电磁泄漏发射检查测试方法和安全判据》 [7] 国家保密标准 BMB3-1999 《处理涉密信息的电磁屏蔽室的技术要求和测试方法》 [8] 《互联网信息服务管理规定》 [9] 《计算机软件保护条例》 [10]《计算机信息系统安全专用产品检测和销售许可证管理办法》 [11]《计算机信息系统保密管理暂行规定》 [12]《商用密码管理条例》 [13]《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》 [14]《国家信息化领导小组关于加强信息安全保障工作的意见》 [15]《党政机关普通密码管理细则》 [中机发(1996)294号] 第页 XX信息系统安全总体策略 [16]《关于密码秘密保密期限的规定》 [中机发(1992)260号] [17]《中华人民共和国计算机信息系统安全保护条例》 [18]《互联网信息服务管理办法》 [19]《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》 第页

下载文档,方便阅读与编辑

文档的实际排版效果,会与网站的显示效果略有不同!!

需要 15 金币 [ 分享文档获得金币 ]
6 人已下载

下载文档

相关文档