三、安全技术措施
3.1实体安全
3.1.1设计或改建计算机机房时必须符合下列标准:
3.1.1.1《计算机场地技术要求》(GB2887–87)。
3.1.1.2《计算站场地安全要求》国家标准(待公布)。
3.1.2计算中心机房建筑和结构还应注意下列问题:
3.1.2.1祝房最好为专用建筑。
3.1.2.2机房最好设置在电梯或楼梯不能直接进入的场所。
3.1.2.3机房应与外部人员频繁出入的场所隔离。
3.1.2.4机房周围应设有围墙或栅栏等防止非法进入的设施。
3.1.2.5建筑物周围应有足够照度的照明设施,以防夜间非法侵入。
3.1.2.6外部容易接近的窗口应采取防范措施。如钢化玻璃、嵌网玻璃及卷帘和铁窗。无人值守时应有自动报警设备。
3.1.2.7应在合适的位置上开设应急出口,作为避险通道或应急搬运通道。
3.1.2.8机房内部设计庞便于出入控制和分区控制。
3.1.3重要部门的计算机中心外部不应设置标明系统及有关设备所在位置的标志。
3.1.4安全设备除符合《计算站场地安全要求》标准外,还要注意以下几点:
3.1.4.1机房进出口应设置应急电话。
3.1.4.2各房间应设置报警喇叭。以免由于隔音及空调的原因而听不到告警通知。
3.1.4.3进出口应设置识别与记录进出人员的设备及防范设备。
3.1.4.4机房内用于动力、照明的供电线路应与计算机系统的供电线路分开。
3.1.4.5机房内不同电压的供电系统应安装互不兼容的插座。
3.1.4.6应设置温、湿度自动记录仪及温、湿度报警设备。
3.1.5主机及外设的电磁干扰辐射必须符合国家标准或军队标准的要求,外国产品则必须符合生产国的标准,如FCC或VDE等标准。
3.1.6机要信息处理系统中要考虑防止电磁波信息辐射被非法截收。
3.1.6.1可采取区域控制的办法,即将可能截获辐射信息的区域控制起来,不许外部人员接近。
3.1.6.2可采用机房屏蔽的方法,使得信息不能辐射出机房。
3.1.6.3可采用低辐射设备。
3.1.6.4可采取其它技术,使得难以从被截获的辐射信号中分析出有效信息。
3.1.6.5关于屏蔽技术的具体要求和技术指标可向公安部有关部门咨询。
3.1.7磁媒休管理:
3.1.7.1磁盘、磁带必须按照系统管理员及制造厂确定的操作规程安装。
3.1.7.2传递过程的数据磁盘、磁带应装在金属盒中。
3.1.7.3新带在使用前庞在机房经过二十四小时温度适应。
3.1.7.4磁带、磁盘应放在距钢筋房柱或类似结构物十厘米以上处,以防雷电经钢筋传播时产生的磁场损坏媒体上的信息。
3.1.7.5存有机要信息的磁带清除时必须进行消磁,不得只进行磁带初始化。
3.1.7.6所有入库的盘带目录清单必须具有统一格式,如文件所有者、卷系列号、文件名及其描述、作业或项目编号、建立日期及保存期限。
3.1.7.7盘带出入库必须有核准手续并有完备记录。
3.1.7.8长期保存的磁带庞定期转贮。
3.1.7.9存有记录机要信息磁带的库房,必须符合相应密级的文件保存和管理条例的要求,不得与一般数据磁带混合存放。
3.1.7.10重要的数据文件必须多份拷贝异地存放。
3.1.7.11磁带库必须有专人负责管理。
3.2软件安全
3.2.1系统软件应具有以下安全措施:
3.2.1.1操作系统应有较完善的存取控制功能,以防止用户越权存取信息。
3.2.1.2操作系统应有良好的存贮保护功能,以防止用户作业在指定范围以外的存贮区域进行读写。
3.2.1.3操作系统应有较完善的管理功能,以记录系统的运行情况,监测对数据文件的存取。
3.2.1.4维护人员进行维护时,应处于系统安全控制之下。
3.2.1.5操作系统发生故障时,不应暴露口令,授权表等重要信息。
3.2.1.6操作系统在作业正常或非正常结束以后,应该清除分配给该作业的全部临时工作区域。
3.2.1.7系统应能像保护信息的原件一样,精确地保护信息的拷贝。
3.2.2应用软件:
3.2.2.1应用程序必须考虑充分利用系统所提供的安全控制功能。
3.2.2.2应用程序在保证完成业务处理要求的同时,应在设计时增加必要的安全控制功能。
3.2.2.3程序员与操作员职责分离。
3.2.2.4安全人员应定期用存档的源程序与现行运行程序进行对照,以有效地防止对程序的非法修改。
3.2.3数据库:
3.2.3.1数据库必须有严格的存取控制措施,库管理员可以采取层次、分区、表格等各种授权方式,控制用户对数据库的存取权限。
3.2.3.2通过实体安全、备份和恢复等多种技术手段来保护数据库的完整性。
3.2.3.3应对输人数据进行逻辑检验,数据库更新时应保证数据的准确性。
3.2.3.4数据库管理员应实时检查数据库的逻辑结构、数据元素的关联及数据内容。
3.2.3.5数据库管理系统应具有检查跟踪能力,可以记录数据库查询、密码利用率、终端动作、系统利用率、错误情况及重新启动和恢复等。
3.2.3.6库管理系统应能检测出涉及事务处理内容及处理格式方面的错误,并予以记录。
3.2.3.7必须有可靠的日志记录。对数据完整性要求较高的场合要建立双副本日志,分别存于磁盘和磁带上以保证意外时的数据恢复。
3.2.3.8应建立定期转贮制度,并根据交易量的大小决定转贮频度。
3.2.3.9数据库软件应具备从各种人为故障、软件故障和硬件故障中进行恢复的能力。
3.2.3.10库管理软件应能确定是否由于系统故障而引起了文件或交易数据的丢失。
3.2,3.11重要的系统应采取安全控制实时终端,专门处理各类报警信息。
3.2.3.12对于从日志或实时终端上查获的全部非法操作都应加以分析,找出原因及对策。
3.2.4软件开发:
3.2.4.1软件开发过程应按照下述标准的要求进行:
(l)《软件工程术语》国家标准(待公布)。
(2)《软件开发中的产品文件编制指南》国家标准(待公布)。
(3)《软件需求说明规范》国家标准(待公布)。
(4)《软件开发规范》国家标准(待公布)。
(5)《软件测试规范》国家标准(待公布)。
3.2.4.2产品鉴定验收:
(l)鉴定验收是软件产品化的关键环节,必须给予足够的重视。提交鉴定的软件产品,应具有上述标准中列出的各种产品文件。
(2)将鉴定会上提供的上述文件装订成册,编好页码目录,作为技术档案,妥善保存。
(3)未经鉴定验收的软件,不得投入运行。
(4)购买的软件应附有完整的技术文件。
3.2.5软件维护与管理:
3.2.5.1较重要的软件产品,其技术档案应复制副本,正本存档,不准外借。3.2.5.2软件产品除建立档案文件外,其源文件应记在磁盘或磁带上,并编写详细目录,以便长期保存。
3.2.5.3重要的软件,均应复制两份,一份作为主拷贝存档,一份作为备份。
3.2. 5.4对系统软件的维护和二次开发要慎重,必须事先对系统有足够的了解。
3.2.5.5对软件进行维护和二次开发前,必须写出书面申请报告,经有关领导批准,方可进行。
3.2.5.6在维护和二次开发中,必须有详细的规范化的书面记载,主要记载修补部位,修改内容,增加功能,修改人,修改日期等,以便查找或别人接替。
3.2.5.7二次开发只能在系统软件的副本上进行。
3.2.5.8对软件的任何修改都必须有文字记载,并与修改前后的软件副本一起并人软件技术档案,妥善保存。
3.2.5.9对软件的修改必须保证不降低系统的安全性。3.3输入输出控制。
3.3.1明确系统各环节工作人员的责任:
3.3.1.1系统各程序设计人员与操作人员必须分离。
3.3.1.2重要事务处理项目,必须规定由合法文件的法定人提交。
3.3.1.3修改文件必须规定批准和执行的手续。
3. 3.1.4工作期间至少应有两人在机房值班,以防止非法使用计算机。
3.3.1.5保存控制台打印记录。
3.3.2制定统一的数据格式并尽可能使用统一编码。
3.3.3操作控制:
3.3.3.1对操作人员制定有关处理输人数据的操作制度和规程。
3.3.3.2必须建立一个整齐、清洁、安静符合生理卫生要求的操作环境,以减少操作失误。
3.3.3.3严格规定媒体管理制度,以防止媒体中数据的破坏和损失。如:磁带在保管、传递及安装时的要求,卡片、磁盘、胶片、纸带的管理规程等。
3.3.3.4向操作人员提供完整的操作指南,以便掌握有关作业安排,作业优先级分配,建立和控制作业,规定场所安全措施和作业运行等的合理规程。
3.3.3.5需要保存的数据文件必须有完备的记录,存人符合要求的媒体库中。
3.3.3.6充分利用作业统计功能提供的信息,如:调查完成某个特定功能所需的时间,比较实际机器工作时间与预定时间的差异,判别实际的作业资源需求所预定需求的差异。
3.3.3.7处理机要数据的终端室各终端,可以考虑用屏风隔离,以防各用户互看屏幕内容。
3.3.4数据在投入使用前,必须确保其准确可靠,可采用各种方法进行检验。如:标号检查、顺序检查、极限校验、运算验证、记录数核对等。
3.3.5输出控制:
3.3.5.1数据处理部门的输出控制应有专人负责。
3.3.5.2输出文件必须有可读的密级标志,如:秘密、机密、绝密等宇样或颜色标志。
3.3.5.3等级标志必须与相应文件在整个处理环节中同时生存。
3.3.5.4输出文件在发到用户之前,应由数据处理部门进行审核。
3.3.5.5输出文件的发放应有完备手续。
3.3.6可以设置独立于用户和数据处理部门两者的管理小组,以监督和指导进入或离开数据处理中心的数据。
3.4联机处理
3.4.1联机系统应该确定系统安全管理员,对系统安全负责。
3.4.2用户识别:
3.4.2.1必须充分利用系统提供的技术手段。如:用户授权表,存取控制矩阵等。
(l)由于计算机识别用户的最常用的方法是口令,所以必须对口令的产生、登记、更换期限实行严格管理。
(2)研究和采用多种口令密码方式,如:单一密码、可变或随机密码、函数型密码等。
(3)口令应加密存贮。
(4)系统能跟踪各种非法请求并记录某些文件的使用情况。
(5)根据系统的位置,若错误的口令被连续地使用若干次后,系统应采取相应措施,如封锁那个终端,记录所用终端及用户名,并立即报警。
(6)教育用户必须遵循口令的使用规则。
(7)系统应能识别终端,以查出非法用户的位置。
3.4.2.2证件识别,可使用磁条、金属结构或微型芯片制成的卡式证件对用户进行识别。这种识别方式可供有条件的部门使用。
3.4.2.3特征识别,采用专门设备检验用户具有的物理特征。如指纹、掌形、声纹、视网膜等。这种识别方式价格昂贵,一般用于机要核心部门。
3.4.3需要保护的数据和软件必须加有标志,在整个生存期,标志应和数据或软件结合在一起,不能丢失。特别是在复制、转移、输出打印时,不能丢失。
3.4.4计算机通信线路安全问题:
3.4.4.I通信线路应远离强电磁场辐射源,最好埋于地下或采用金属套管。
3.4.4.2通信线路最好铺设或租用专线。
3.4.4.3定期测试信号强度,以确定是否有非法装置接人线路。
3.4.4.4定期检查接线盒及其他易被人接近的线路部位。
3.4.5加密:
3.4.5.1传输需要保密的数据,应该加密保护。
3.4.5.2需长期保存的机要文件,应加密后保存。
3.4.5.3系统应建立完善的密钥产生、管理和分配系统。
3.4.5.4所有数据应由数据主管部门负责划分密级,密级确定后交数据处理部门进行分类处理。
3.4.5.5根据数据的密级和保密时效的长短,选择相应强度的密码算法,既不能强度太高,过多增加系统开销,又不要强度太低,起不到保密效果。
3.4.5.6不要扩大加密的范围。对于可加密可不加密的数据,不要加密。
3.4.5.7对于密钥管理人员要尽可能地缩小范围,并严格审查。
3.4.5.8定期对工作人员进行保密教育。
3.4.6当系统密级发生变化,特别是密级降低时,应用叠写的方法清除全部磁存贮器,用停电的方法清除非磁存贮器。
3.4.7计算机系统必须有完整的日志记录。
3.4.7.1重要计算机日志应记录:
(l)每次成功的使用:记录节点名、用户名、口令、终端名、上下机时间、操作的数据或程序名、操作的类型、修改前后的数据值。
(2)用户每次越权存取的尝试:记录节点名、用户名、终端名、时间、欲越权存取的数据及操作类型、存取失败的原因。
(3)每次不成功的用户身份:记录节点名、用户名、终端名、时间。
3.4.7.2操作员对越权存取庞通过控制台进行干预。
3.4.7.3打印出的日志应完整而连续,不得拼接。
3.4.7.4重要的日志应由安全负责人签名,规定保存期限。
3.4.8对特定的终端设备,应限定操作人员。特定终端设备指:可对重要数据进行存取的、有控制台功能的、系统管理员所用的终端等。限定操作人员的方法有:采用口令、识别码等资格认定或设置终端设备的钥匙等。
3.5网络安全
3.5.1网络安全比单机系统或联机系统更为重要。如果没有必要的安全措施,网络不能正式投入使用。
3.5.2重要部门的计算机网络应设立全网管理中心,由专人实施对全网的统一管理、监督与控制,不经网络主管领导同意,任何人不得变更网络拓扑、网络配置及网络参数。
3.5.3网络安全可从实际出发,分阶段、分层次逐步完善。应首先考虑采用存贮加密、传输加密、存取控制、数字签名及验证等安全措施。
3.5.4以公用数据网作为通信子网的各重要部门的计算机网络,应设置闭合用户组等限制非法外来或外出访问措施,确保网络安全。
四、安全监督
4.1应急计划与备份
4.1.1系统安全人员必须详细列出影响系统正常工作的各种可能出现的紧急情况。如火灾、水灾、意外停电、外部攻击、误操作等。
4.1.2必须制定万一发生意外时的应急计划。
4.1.3应急计划必须确定所要采取的具体步骤、确定每个步骤的内容。
4.1.4与执行应急计划有关人员的姓名、住址、电话号码以及有关职能部门(如消防、公安等有关部门)的联系方法应放在明显、易取的地方或贴在墙上。
4.1.5应付紧急情况的具体步骤也应贴在墙上。如:如何使用备份设备、紧急情况下关机步骤等。
4.1.6应定期进行应急计划实施演习,保证每个系统值班人员都能正确实施应急计划。
4.1.7除了必须备份的基本数据文件。如:操作系统、数据库管理系统、应用程序等以外,各单位必须根据自己的实际情况定出需备份的数据文件。
4.1.8必须在机房附近存放一套备份文件的副本,以便紧急情况下能迅速取出。
4.1.9重要的实时系统在建立时就应考虑设备备份。如:CPU备份,主机备份,系统备份等。
4.1.9.1备份系统应安装在主机房有一定距离的备份机房。
4.1.9.2备份机房应具有与主机房相同的安全标准与措施。
4.1.9.3备份系统必须定期进行实际运行,以检验备份系统的可靠性。
4.1.10在对数据完整性要求较高的场合,必须采取严格的数据备份措施,以保证在发生意外时数据的可靠恢复。
4.1.10.1数据库转贮。应根据本单位情况确定转贮周期。
4.1.10.2日志文件。日志必须双副本,即保存在盘、带上的联机日志与档案日志。
4.1.10.3对于较长的作业,要考虑在其中间设置检查点、重新启动人口、恢复与备份。
4.2审计
4.2.1在对计算机安全要求较高的场合,必须建立审计制度,配备专职审计人员。
4.2.2审计人员应该是精通业务,对计算机系统有较好的掌握又有一定实际工作经验的高级技术人员。
4.2.3在系统设计阶段就应有审计人员参加,以评价系统设计是否满足安全要求。
4.2.4在系统设计中增加安全控制以后,要重新评价系统,以保证系统功能不退化。
4.2.5系统安全控制包括以下几方面:
4.2.5.1实体控制:防止天灾、人为事故以及电气和机械支持系统的失效。
4.2.5.2系统控制:涉及系统的逻辑和实体结构以及有关硬、软件的保护措施。
4.2.5.3管理控制:有关人员、文件资料的处理、存贮等类似事务的安全制度及有关规定。4.2.6系统运行状态下的审计应包括:
4.2.6.1数据输人阶段。由于多数问题是因数据输入时的错误造成的,放这个阶段应作为重点进行调查。
4.2.6.2数据的处理过程。选择一个处理过程,对其每个环节进行跟踪检查,以便发现非法行为。
4.2.6.3计算机程序的检查。必须保存所有程序的完整技术说明文件及其拷贝,以便必要时对重要的程序审查程序代码。
4.2.6.4远程通信环节。由于租用邮电通信线路,数据传送过程中被截取的可能性难以避免,所以必须对加密手段进行认真研究,并通过测试防止对通信系统的渗透。
4.2.6.5输出的用途及利用。
4.2.6.6系统的管理环节。如:岗位责任制的划分与分离状况、用户、程序员、操作员是否有越权行为等。
4.2.7审计方法主要有以下两种:
4.2.7.1检查性审计。对正常运行的系统的某一部分进行抽样检查。如:抽样打印某部分文件,寻找错误或矛盾。将已知预期结果的一批数据送人系统进行处理,核对结果。追踪检查某一交易的所有环节并进行核对等。
4.2.7.2攻击性审计。由审计人员采用各种非法分子可能采取的手段及可能出现的意外情况对系统进行渗透,或破坏的试验,分析成功的可能性及所需的条件,找出系统的薄弱环节及其相应的对策。
4.2.8审计工作应该长期不间断地进行,以对非法行为形成一种威慑力量。
4.2.9重要的计算机系统应定期与公安机关的计算机监察部门共同进行安全检查。
4.3风险分析
4.3.1组织专门小组定期对系统进行风险分析。
4.3.2工作小组成员应由与系统有关的各方面的专家组成。
4.3.3风险分析包括:
4.3.3.1硬件资源的破坏及丢失。
4.3.3.2数据与程序文件的破坏与丢失。
4.3.3.3数据的失窃。
4.3.3.4对实现系统功能的不利影响。
4.3.3.5对系统资源的非法使用。
4.3.4风险分析应尽可能具体,有些可能的损失应绘出预计的定量值。
4.3.5分析结果必须包括相应的预防措施。如:大多数损失源于操作错误,那么就应该对业务培训、思想教育、技术措施、人事管理等有关规定或计划做出必要的调整。
4.3.6并非每一个有风险的脆弱性的部位都需要保护。若保护措施的代价高于可能出现的风险损失,这些措施应该放弃。
4.3.7保护措施的可靠程度只需使系统变得对渗透者是非常困难或代价昂贵,以致胜过可能给渗透者带来的利益即可。
4.3.8分析的过程与结果应该保密,以免招致对系统弱点的非法利用。
(责任编辑:)
