杭州市权力阳光电子政务系统安全技术规范.pdfVIP

杭州市权力阳光电子政务系统平安技术标准〔草案〕

一、总体要求

权力阳光电子政务系统的建设各方应从物理环境、网络平

台、系统平台、业务应用以及运行治理等方面分析并提高系

统的整体平安保障能力，总体要求包括：

a)信息系统的物理环境应提供系统正常运行的场

所，并保证硬件、通信链路、机房环境的物理平安。

b)系统应合理划分不同的网络区域，依据应用需求设

置合理的访咨询操纵策略，强化网络设备自身平安配置；

c)操作系统、数据库须进行平安配置。业务应用软件

应依据平安需求开发平安功能，通过启用这些平安功能，到

达保卫应用信息的目的。

d)系统应对网络、可移动存储介质、光盘等病毒可能

进侵的途径进行操纵，并阻断病毒在系统内的传播。

e)系统中采纳的平安产品必须选用经国家主管部

门许可、并经国家认证机构认可的产品。系统如采纳密码技

术及产品对非涉密信息进行加密保卫或平安认证，所采纳的

密码技术或密码产品应符合?商用密码治理?的要求。

f)系统建设单位应针对系统应用状况建立平安治

理制度，在统一的平安策略下对各类行为进行治理。

二、全然平安目标

2.1.物理环境

2.1.1.机房环境

机房建设应满足国家标准GB/T2887?电子计算机场地通用标

准?、GB/T9361?计算机场地平安要求?的要求。

2.1.2.硬件设施的物理平安

构成信息系统的采购硬件、自制硬件及其组成零部件应符合

国家的质量标准。

2.2.网络平台

2.2.1.网络边界

系统应依据平安需求在与Internet以及市电子政务外网、

资源专网等其他网络的网间互连处配置网关类设备实施访

咨询操纵，并对通信事件、操作事件进行审计。

2.2.2.网络内部结构

依据应用需求在内部网路结构中划分效劳器区等独立网段

或子网，并在相关网络设备中配置平安策略进行隔离，实施

对内部信息流的访咨询操纵。

2.2.3.网络设备

依据系统平安策略和应用需求对防火墙、路由器及交换机等

网络设备实施平安配置。

防火墙、路由器及交换机的自身平安配置至少应包括以下内

容：版本更新与漏洞修补、版本信息保卫、身份鉴不、链接

平安、配置备份、平安审计。

2.3.系统软件

2.3.1.操作系统

操作系统应依据信息系统平安策略进行选择和平安配置，并

定期进行操作系统的漏洞检测、补丁修补。平安配置的内容

包括：身份鉴不、用户权限分配、口令质量、鉴不失败处理、

默认效劳开放、终端限制、平安审计等。

2.3.2.数据库

数据库应该依据信息系统平安策略进行选择和平安配置，并

定期进行数据库的漏洞检测、补丁修补。平安配置的内容包

括：身份鉴不、用户权限分配、口令质量、终端限制、平安

审计、备份恢复策略等。

2.4.应用软件

业务应用的平安要求包括业务应用软件平安、应用信息保卫

和密码支持。

2.4.1.通用应用软件

Web效劳器、邮件效劳器等通用应用软件应该依据信息系统

平安策略进行选择和平安配置，并及时升级补丁包。平安配

置的内容包括：身份鉴不、用户权限分配、口令质量等。

2.4.2.专用应用软件

专用应用软件应具备身份鉴不、用户治理、访咨询操纵、运

行审计等平安功能，并定期进行版本维护及更新，以保卫应

用信息的平安。

2.4.3.应用信息保卫

应依据平安策略在应用信息的生成、处理、传输和存储等环

节采取相应的保卫措施。

2.4.4.密码支持

当系统中采纳密码技术实现对信息的保卫时，不管是在网络

传输、业务应用软件中，依旧存储中，都应在密钥产生、密

钥分配、密钥销毁、密钥备份与恢复等环节具备平安机制，

保卫密码技术的正确使用。

2.5.运行维护

2.5.1.恶意代码防范

系统应建立统一的恶意代码防范体系，并在相关效劳器和业

务终端上布置恶意代码防范设备或软件，有效防止效劳器和

业务终端遭受病毒、蠕虫、木马等恶意代码的感染及其在网

络中的传播。

2.5.2.数据备份

系统