信息安全等級(jí)保護(hù)四級(jí)防護(hù)技術(shù)要求

信息安全等級(jí)保護(hù)〔四級(jí)〕具體技術(shù)要求我國信息安全等級(jí)保護(hù)與涉密信息系統(tǒng)分級(jí)保護(hù)關(guān)系等級(jí)保護(hù)分級(jí)保護(hù)保護(hù)對(duì)象不同非涉密信息系統(tǒng)涉密信息系統(tǒng)治理體系不同公安機(jī)關(guān)國家保密工作部門標(biāo)準(zhǔn)體系不同級(jí)別劃分不同國家標(biāo)準(zhǔn)〔GB、GB/T〕第一級(jí)：自主保護(hù)級(jí)國家保密標(biāo)準(zhǔn)〔BMB，強(qiáng)制執(zhí)行〕其次級(jí)：指導(dǎo)保護(hù)級(jí)第三級(jí)：監(jiān)視保護(hù)級(jí)隱秘級(jí)第四級(jí)：強(qiáng)制保護(hù)級(jí)機(jī)密級(jí)第五級(jí)：?？乇Ｗo(hù)級(jí)絕密級(jí)涉密信息系統(tǒng)分級(jí)保護(hù)與信息安全等級(jí)保護(hù)制度相連接家等級(jí)保護(hù)的第三、四、五級(jí)要求一、網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全審計(jì)12、對(duì)于每一個(gè)大事，其審計(jì)記錄應(yīng)包括：大事的日期和時(shí)間、用戶、大事類型、大事是否成功，及其他與審計(jì)相關(guān)的信息；34567、審計(jì)員應(yīng)能夠定義審計(jì)跟蹤極限的閾值，當(dāng)存儲(chǔ)空間接近極限時(shí)，能實(shí)行必要的措施〔如報(bào)警并導(dǎo)出，當(dāng)存儲(chǔ)空間被耗盡時(shí)，終止可審計(jì)大事的發(fā)生；89邊界完整性檢查1、應(yīng)能夠檢測內(nèi)部網(wǎng)絡(luò)中消滅的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為〔即“非法外聯(lián)”行為；23進(jìn)展有效阻斷；4〔網(wǎng)絡(luò)設(shè)備標(biāo)記，指定路由信息標(biāo)記。網(wǎng)絡(luò)入侵防范1、在網(wǎng)絡(luò)邊界處應(yīng)監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕效勞攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊等入侵大事的發(fā)生；2、當(dāng)檢測到入侵大事時(shí)，應(yīng)記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間〔E-mail〕及自動(dòng)實(shí)行相應(yīng)動(dòng)作。惡意代碼防范123網(wǎng)絡(luò)設(shè)備防護(hù)1234567、網(wǎng)絡(luò)設(shè)備用戶的身份鑒別信息至少有一種應(yīng)是不行偽造的，例如以公私鑰對(duì)、生物特征等作為身份鑒別信息；8自動(dòng)退出；9用戶。二、主機(jī)系統(tǒng)安全身份鑒別1234度、簡單性和定期更等；5私鑰對(duì)、生物特征等作為身份鑒別信息；6、應(yīng)具有登錄失敗處理功能，如完畢會(huì)話、限制非法登錄次數(shù)，當(dāng)?shù)卿涍B接超時(shí)，自動(dòng)退出；78自主訪問掌握12作；3/456最小權(quán)限，并在他們之間形成相互制約的關(guān)系；7強(qiáng)制訪問掌握12之間的操作；3/可信路徑1、在用戶進(jìn)展初始登錄和/或鑒別時(shí)，系統(tǒng)應(yīng)在它與用戶之間建立一條安全的信息傳輸通路。安全審計(jì)12、安全審計(jì)應(yīng)記錄系統(tǒng)內(nèi)重要的安全相關(guān)大事，包括重要用戶行為、系統(tǒng)資源的特別使用和重要系統(tǒng)命令的使用；3、安全相關(guān)大事的記錄應(yīng)包括日期和時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)、客體敏感標(biāo)記、大事的結(jié)果等；45678910、 系統(tǒng)設(shè)備時(shí)鐘應(yīng)與時(shí)鐘效勞器時(shí)鐘保持同步。系統(tǒng)保護(hù)12行為時(shí)，系統(tǒng)應(yīng)能準(zhǔn)時(shí)報(bào)警或者中斷執(zhí)行行為。剩余信息保護(hù)1給其他用戶前得到完全去除，無論這些信息是存放在硬盤上還是在內(nèi)存中；2、應(yīng)確保系統(tǒng)內(nèi)的文件、名目和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間，被釋放或重安排給其他用戶前得到完全去除。入侵防范1CPU2345、應(yīng)檢測各種的入侵行為，記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)峻入侵大事時(shí)供給報(bào)警；67施。惡意代碼防范1〔包括移動(dòng)設(shè)備均應(yīng)安裝實(shí)時(shí)檢測和查殺惡意代碼的軟件產(chǎn)品；23資源掌握12345、應(yīng)依據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定和鑒別失敗鎖定，并規(guī)定解鎖或終止方式；6789、應(yīng)依據(jù)安全策略設(shè)定主體的效勞優(yōu)先級(jí)，依據(jù)優(yōu)先級(jí)安排系統(tǒng)資源，保證優(yōu)先級(jí)低的主體處理力量不會(huì)影響到優(yōu)先級(jí)高的主體的處理力量。三、應(yīng)用安全身份鑒別1234、系統(tǒng)用戶的身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，例如口令長度、簡單性和定期的更等；5、系統(tǒng)用戶的身份鑒別信息至少有一種應(yīng)是不行偽造的，例如以公私鑰對(duì)、生物特征等作為身份鑒別信息；6、應(yīng)具有登錄失敗處理功能，如完畢會(huì)話、限制非法登錄次數(shù)，當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出；78訪問掌握12作；345系統(tǒng)用戶；6最小權(quán)限，并在它們之間形成相互制約的關(guān)系；7或者規(guī)律上分別；89訪問。安全審計(jì)12、安全審計(jì)應(yīng)記錄應(yīng)用系統(tǒng)重要的安全相關(guān)大事，包括重要用戶行為、系統(tǒng)資源的特別使用和重要系統(tǒng)功能的執(zhí)行等；3、安全相關(guān)大事的記錄應(yīng)包括日期和時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)、客體敏感標(biāo)記、大事的結(jié)果等；456789、審計(jì)員應(yīng)能夠定義審計(jì)跟蹤極限的閾值，當(dāng)存儲(chǔ)空間接近極限時(shí)，能實(shí)行必要的措施〔如報(bào)警并導(dǎo)出，當(dāng)存儲(chǔ)空間被耗盡時(shí)，終止可審計(jì)大事的發(fā)生；10、 安全審計(jì)應(yīng)依據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實(shí)現(xiàn)集中審計(jì)。剩余信息保護(hù)1，無論這些信息是存放在硬盤上還是在內(nèi)存中；2、應(yīng)確保系統(tǒng)內(nèi)的文件、名目和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間，被釋放或重安排給其他用戶前得到完全去除。通信完整性1、通信雙方應(yīng)商定密碼算法，計(jì)算通信數(shù)據(jù)報(bào)文的報(bào)文驗(yàn)證碼，在進(jìn)展通信時(shí)，雙方依據(jù)校驗(yàn)碼推斷對(duì)方報(bào)文的有效性。通信保密性12345抗抵賴1、應(yīng)具有在懇求的狀況下為數(shù)據(jù)原發(fā)者或接收者供給數(shù)據(jù)原發(fā)證據(jù)的功能；2、應(yīng)具有在懇求的狀況下為數(shù)據(jù)原發(fā)者或接收者供給數(shù)據(jù)接收證據(jù)的功能。軟件容錯(cuò)12、應(yīng)對(duì)通過人機(jī)接口方式進(jìn)展的操作供給“回退”功能，即允許依據(jù)操作的序列進(jìn)展回退；345資源掌握1234方式；567、應(yīng)依據(jù)安全屬性〔用戶身份、訪問地址、時(shí)間范圍等〕允許或拒絕用戶建立會(huì)話連接；89代碼安全12345四、數(shù)據(jù)安全數(shù)據(jù)完整性1、應(yīng)能夠檢測到系統(tǒng)治理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯(cuò)誤時(shí)實(shí)行必要的恢復(fù)措施；2、應(yīng)能夠檢測到系統(tǒng)治理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在存儲(chǔ)過程中完整性受到破壞，并在檢測到完整性錯(cuò)誤時(shí)實(shí)行必要的恢復(fù)措施；3施；4的攻擊，破壞數(shù)據(jù)的完整性。數(shù)據(jù)保密性1、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)的鑒別信息、敏感的系統(tǒng)治理數(shù)據(jù)和敏感的用戶數(shù)據(jù)應(yīng)承受加密或其他有效措施實(shí)現(xiàn)傳輸保密性；2、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)的鑒別