MZ_T 080-2017中国福利彩票系统软件安全性测试规范.pdf

ICS 35. 240A 01备案号MZ中华人民共和国民政行业标准MZ/T 080-2017中国福利彩票系统软件安全性测试规范Specification for welfare-lottery-system-software security-testing2017-01-06 发布2017-01-06实施中华人民共和国民政部发布 MZ/T 080-2017附录A（规范性附录）彩票系统安全级别技术要求表中O表示该级别应符合的技术要求。表A.1平台安全技术要求章节技术要求二级三级四级五级9. 1操操作系统升级和00平台作系统更新安全系漏洞统本地登录规程000访间用户注册0000控制特权管理用户整别0用户指定用户名和用户组，并规定其访间方式安全管理员0用户口令管设立0000理使用0000保荐000变更00000其他口令0用户访间权划分安全管理00O0利的审查角色采用“最小授权00O原则”设置系统管理员、安全管理员和审计员强制访问部分用户00全部用户00可信路径隐蔽通道00远程00登录控制日志OA.1 (续) 章节技术要求一级二级三级四级五级9. 1数访间登录规程00O00平台据控制用户注册0000安全库特权管理用户鉴别00用户指定用户0名和用户组，并规定其访间方式安全管理员0用户口令管设立00理使用0000保荐00变更000其他口令00用户访问权划分安全管理000利的审查角色数据标记O0强制访问部分用户000全部用户00日志00000历史保存0O0数据销殿000配0置管理控制通用00用基础基应用程序服漏润务危防病00害毒防防入0护慢防恶000意软件表A.2通信安全技术要求8 MZ/T 080-2017章节技术要求一级二级三级四级五级9. 2[网)使用网络服务的政策00000通信路结构安全与网段划分0000安全设网络隔离计强制路径000和外部连接的用户身份验证00000实节点鉴别00000现访问控制00000的拨号访问控制00000安远程诊断端口保护00全网络连接控制（边界完整性检查）000性网络路由控制0网络防病毒指施0000整体防询网络防病毒措施000具备多层防御网络防病毒措施00入侵防范、恶意代码防范0网络安全审计000网公共网络服务安全0络服务的安全传硬件和软件加解密000网络协议运行漏润0链的安全性表A.3应用安全技术要求 章节技术要求级二级三级四级五级9. 3认彩票终端彩票终端机的识别00000应用证机的认证终端登录程序00000安全和和授权用户标识和整别00O00投口令管理00000权使用系统工具00终端超时0O00连接时间的限制0O00登录规程0O00彩票从业0000人员的认证和权彩票应用信息访问限制00X0访间控制数感信息隔高0000密码控制使用密码控制的政策0采用 GA/T 3902002 4. 3. 13条密码支持第一暖进行用户口令设计、存储和传输采用 GA/T 3902002 4. 3. 130条密码支持第二级进行用户口令设计、存储和传输采用 GA/T 3902002 4. 3. 130条密码支持第三级进行用户口令设计、存储和传输采用 GA/T 3902002 4. 3. 130条密码支持第四级进行用户口令设计、存储和传输采用 GA/T 3902002 4. 3. 130条密码支持第五级进行用户口令设计、存储和传输数字签名0000认可服务0000密钥管理00A.3(续)10 MZ/T 080-2017章节技术要求一级二级三级四级五级9. 3彩正确性检验、恢复00000应用完整性检验、恢复00000安全业可用性检验、快复00000务时钟同步0000系历史数据保存、销吸00000统应用程序安全审监视系统事件记录00000访问和使监视系统使用000跟用发生与安全相关的事件时0踪发出信号彩票业务00000数据的一性 / ~致性/防冲突性业务的抗00000抵赖性彩备份与恢自我信息备份和增量备份、O0000复机制手动故障恢复功能具备局部系统备份和热备0000统份、手动故障恢复功能应具备热备份、全系统备份、000急自动故障恢复功能响具备热备份、全系统备份、0应主机系统异地备份、自动故障恢复和灾难性恢复功能彩票应急具备应急计划和应急措施000响应计划明确处理流程图00与实施方案表A.4数据安全技术要求11 章节技术要求一级二级三级四级五级9. 4彩票数据访问0000据控制安全彩票的标识与彩票数据标记，具有准确标鉴别记输出信息的能力数据完整性检测00000恢复0000数据可用性检测、恢复0000数据监控和审日志00计数据存储与备备份000份安全恢复彩票交易数据采用 GA/T 3902002 4. 3. 130的加密条密码支持第二级提供的功能，选行数据完整性保护采用 GA/T 3902002 4. 3. 13条