安保障体系
1 容灾备份系统
11 系统概述
111 容灾概念
容灾范畴拟广泛概念广义业务连续性相关容纳入容灾容灾系统工程包括支持户业务方方面面容灾IT环境言提供防止户业务系统遭受种灾难影响破坏计算机系统业务数容灾表现种未雨绸缪动性灾难发生亡羊补牢〞
狭义角度常谈容灾指生产站点外户外建立冗余站点灾难发生生产站点受破坏时冗余站点接户正常业务达业务间断目达更高性许户甚建立冗余站点保证业务系统安性
技术衡量容灾系统两指标:RPO〔Recovery Point Object〕RTO〔Recovery Time Object〕中RPO代表灾难发生时允许丧失数量RTO代表系统恢复时间RPORTO越系统性越高然户需投资越
112 容灾备份关系
备份指户应系统产生重数〔者原重数信息〕制作份者份拷贝增强数安性备份容灾关注象备份关心数安容灾关心业务应安备份称作数保护〞容灾称作业务应保护〞备份表现通备份软件磁带机者磁带库数进行拷贝户磁盘光盘作存储介质容灾表现通高方案两站点连接起
备份容灾存储领域两极重局部二者着紧密联系首先备份容灾中数保护工作备份采磁带方式性低钱低数通常压缩独数格式进行存储容灾采磁盘作存储介质作数载体方式进行数保护数时线性高钱高次备份存储领域根底完整容灾方案中必然包括备份局部时备份容灾方案效补充容灾方案中数始终线存储完全破坏备份提供额外条防线线数丧失情况备份数中恢复
113 容灾等级
体讲容灾分3级:数级应级业务级
数级容灾关注点数灾难发生确保户原数会丧失者遭破坏数级容灾较根底中较低级数容灾方案仅需利磁带库理软件实现数异备份达容灾成效较高级数容灾方案数复制工具例卷复制软件者存储系统硬件控制器实现数远程复制数级容灾保障数底线数丧失时够保证应系统重新数种意义讲数备份属该级容灾户重数存放磁带果考虑高级安性磁带运送远距离方保存灾难发生磁带中获取数该级灾难恢复时间较长然存风险户原数没丧失应会中断户业务迫停止虚拟磁带库出现解决磁带备份速度慢磁带保存困难问题取代磁带正确产品
应级容灾数级容灾根底执行应处理力复制份说备份站点样构建套应系统应级容灾系统提供间断应效劳户应效劳请求够透明继续运行感受灾难发生保证信息系统提供效劳完整安
数级容灾应级容灾IT范畴然正常业务言仅IT系统保障够户需构建高级业务级容灾业务级容灾局部容非IT系统方 办公点等场灾难发生时户原办公场会受破坏户需原数原应系统更需工作员备份工作场够正常开展业务
12 建设必性
着XX工程数字化建设断深入较严重信息系统障〔:效劳器障网络障两类〕势必会影响系统全局性稳定性XX工程覆盖面广受众业务高性连续性显尤重建立套行效容灾备份系统十分必
时整XX工程应网络系统中数量复杂数出错丧失难免果没事先数进行备份想恢复数仅难度十分时甚根进行恢复果定期重数进行备份系统出现障时然保证重数准确误
外着XX工程逐步开展新业务需求断扩展现业务系统相关数信息安性性需原根底进步扩充改良保证灾难情况发生时相关业务正常运行
方案中总体目标定实现XXX现业务系统中核心数核心应系统容灾备份确保灾难情况业务数高恢复性高性保证相关应系统中断灾难发生够时恢复
13 建设目标
次容灾备份系统建设目标:技术先进扩充高高理
l 技术先进性:系统设计应采前先进成熟技术仅满足期工程需求应握未开展方
l 扩充性:系统设计时应充分考虑扩充性确保新功新业务增加原系统台扩展实现
l 高性:存储台具高性支持效劳器台高性集群技术具备先进容灾设计充分保证系统高扩展力高容错力具通道负载动均衡力存储系统性调节力提供极充分性项指标设计
l 高性:停机情况实现停机扩容维护升级等效劳提高性满足新业务需求具备7×24×365连续工作力系统性应 99999 %软件支持实现应级容灾
l 理性:求配置实时性监测理软件备份作业磁盘空间卷磁盘错误系统事件系统中进程系统资源占等性操作数等效劳器性进行实时监控理
l 保护投资:新系统投入前期设备次利设计思路保证前期投入设备持续性运营次新系统整体设计考虑济效充分利现设备时候设备投入产出化
14 建设容
整系统建设容分三局部资金技术环境具体情况分三步骤实现备份容灾系统建设
2 认证安效劳体系
21 系统概述
211 功简介
认证安效劳体系指数字证书〔网络中虚拟身份证〕发放理面应CA系统应提供根底证书理效劳面应CA系统目户网络进行业务活动时应提供更安保障
系统稳定核心良结构提供种接口方便扩展规模功具手工批量线离线等种证书申请方式支持IC卡USB key文件等种证书保存介质支持工WEB目录效劳器邮件等种证书发布方式支持种密钥生成方式等
系统CA效劳器目录效劳器数库效劳器硬件密码机操作终端组成
CA效劳器负责证书申请签发作废理数库效劳器负责存放CA数请求数证书黑名单数操作终端提供证书申请理日常操作目录效劳器发布证书黑名单
证书系统功包括证书理系统初始化证书效劳功证书理功证书发布功
212 应领域
系统发放数字证书种应系统身份认证操作电子签名数加密
22 建设必性
认证安效劳体系建设总体建设项关键容全区力资源社会保障业务系统提供安支撑包括身份认证数加密解密基数字签名验签防抵赖等根证书应安功电子签章时间戳等增强证书应安功
23 建设容
力资源社会保障认证安效劳体系应包含电子认证系统根底层证书业务理层证书应支撑层相关政策法规标准标准总体结构图
电子认证系统根底层包括密钥理系统密码效劳系统证书签发理系统证书注册理系统证书查验效劳系统等
证书业务理层包括证书生命周期理系统运行理证书效劳统监台等
证书应支撑层包括根底安接口高级应接口应系统提供身份认证数加密解密数字签名验签电子签章网络安协议时间戳等应安支撑功
3 网络冗余链路建设
31 系统概述
网络冗余部署包含三环节分:设备级冗余链路级冗余网关级冗余
〔1〕设备级冗余技术分电源冗余理板卡冗余设备钱限制两种技术应中高端产品
〔2〕链路级冗余存条二层三层链路链路级冗余技术实现条链路间备份流量分担环路防止
〔3〕前面谈冗余技术保证网络级冗余样网络终端户讲需种机制保证网络连接网关级冗余技术
32 建设必性
着Internet开展XX工程简单信息承载台转变成公效劳提供台作终端户希时时刻刻保持网络联系健壮高效成XX工程网络开展重目标保证网络性需冗余技术高冗余网络带体验网络设备链路发生中断者变化时候户感觉
达成目标需XX工程网络环节实施冗余包括网络设备链路广域网出口户侧等等
33 建设容
次网络冗余建设链路级冗余建设形成治区盟市旗县区三级网络双链路保障
4 安理制度建设
41 认证系统安理制度
411 身份鉴
a) 应提供专登录控制模块登录户进行身份标识鉴
b) 应户采两种两种组合鉴技术实现户身份鉴
c) 应提供户身份标识唯鉴信息复杂度检查功保证应系统中存重复户身份标识身份鉴信息易
d) 应提供登录失败处理功采取结束会话限制非法登录次数动退出等措施
e) 应启身份鉴户身份标识唯性检查户身份鉴信息复杂度检查登录失败处理功根安策略配置相关参数
412 访问控制
a) 应提供访问控制功安策略控制户文件数库表等客体访问
b) 访问控制覆盖范围应包括资源访问相关体客体间操作
c) 应授权体配置访问控制策略严格限制默认帐户访问权限
d) 应授予帐户完成承务需权限间形成相互制约关系
e) 应具重信息资源设置敏感标记功
f) 应安策略严格控制户敏感标记重信息资源操作
413 安审计
a) 应提供覆盖户安审计功应系统重安事件进行审计
b) 应保证法单独中断审计进程法删修改覆盖审计记录
c) 审计记录容少应包括事件日期时间发起者信息类型描述结果等
d) 应提供审计记录数进行统计查询分析生成审计报表功
414 剩余信息保护
a) 应保证户鉴信息存储空间释放分配户前完全信息存放硬盘存中
b) 应保证系统文件目录数库记录等资源存储空间释放重新分配户前完全
415 通信完整性
应采密码技术保证通信程中数完整性
416 通信保密性
a) 通信双方建立连接前应系统应利密码技术进行会话初始化验证
b) 应通信程中整报文会话程进行加密
417 抗抵赖
a) 应具请求情况数原发者接收者提供数原发证功
b) 应具请求情况数原发者接收者提供数接收证功
418 软件容错
a) 应提供数效性检验功保证通机接口输入通通信接口输入数格式长度符合系统设定求
b) 应提供动保护功障发生时动保护前状态保证系统够进行恢复
419 资源控制
a) 应系统通信双方中方段时间未作响应方应够动结束会话
b) 应够系统发会话连接数进行限制
c) 应够单帐户重发会话进行限制
d) 应够时间段发会话连接数进行限制
e) 应够访问帐户请求进程占资源分配限额限额
f) 应够系统效劳水降低预先规定值进行检测报警
g) 应提供效劳优先级设定功安装根安策略设定访问帐户请求进程优先级根优先级分配系统资源
42 信息系统安理制度
421 身份鉴
a) 应登录信息系统〔特操作系统数库系统〕户进行身份标识鉴
b) 信息系统理户身份标识应具易特点口令应复杂度求定期更换
c) 应启登录失败处理功采取结束会话限制非法登录次数动退出等措施
d) 效劳器进行远程理时应采取必措施防止鉴信息网络传输程中窃听
e) 应操作系统数库系统户分配户名确保户名具唯性
f) 应采两种两种组合鉴技术理户进行身份鉴
422 访问控制
a) 应启访问控制功安策略控制户资源访问
b) 应根理户角色分配权限实现理户权限离仅授予理户需权限
c) 应实现信息系统〔操作系统数库系统〕特权户权限离
d) 应严格限制默认帐户访问权限重命名系统默认帐户修改帐户默认口令
e) 应时删余期帐户防止享帐户存
f) 应重信息资源设置敏感标记
g) 应安策略严格控制户敏感标记重信息资源操作
423 安审计
a) 审计范围应覆盖效劳器重客户端操作系统户数库户
b) 审计容应包括重户行系统资源异常重系统命令等系统重安相关事件
c) 审计记录应包括事件日期时间类型体标识客体标识结果等
d) 应够根记录数进行分析生成审计报表
e) 应保护审计进程防止受未预期中断
f) 应保护审计记录防止受未预期删修改覆盖等
424 剩余信息保护
a) 应保证系统〔操作系统数库系统〕户鉴信息存储空间释放分配户前完全信息存放硬盘存中
b) 应确保系统文件目录数库记录等资源存储空间释放重新分配户前完全
425 入侵防范
a) 应够检测重效劳器进行入侵行够记录入侵源IP攻击类型攻击目攻击时间发生严重入侵事件时提供报警
b) 应够重程序完整性进行检测检测完整性受破坏具恢复措施
c) 操作系统应遵循安装原仅安装需组件应程序通设置升级效劳器等方持系统补丁时更新
426 恶意代码防范
a) 应安装防恶意代码软件时更新防恶意代码软件版恶意代码库
b) 机防恶意代码产品应具网络防恶意代码产品恶意代码库
c) 应支持防恶意代码统理
427 资源控制
a) 应通设定终端接入方式网络址范围等条件限制终端登录
b) 应根安策略设置登录终端操作超时锁定
c) 应重效劳器进行监视包括监视效劳器CPU硬盘存网络等资源情况
d) 应限制单户系统资源限度
e) 应够系统效劳水降低预先规定值进行检测报警
43 灾备系统安理制度
431 数完整性
a) 应够检测系统理数鉴信息重业务数传输程中完整性受破坏检测完整性错误时采取必恢复措施
b) 应够检测系统理数鉴信息重业务数存储程中完整性受破坏检测完整性错误时采取必恢复措施
432 数保密性
a) 应采加密效措施实现系统理数鉴信息重业务数传输保密性
b) 应采加密保护措施实现系统理数鉴信息重业务数存储保密性
433 备份恢复
a) 应提供数备份恢复功完全数备份少天次备份介质场外存放
b) 应提供异数备份功利通信网络关键数定时批量传送备场
c) 应采冗余技术设计网络拓扑结构防止关键节点存单点障
d) 应提供网络设备通信线路数处理系统硬件冗余保证系统高性
5 信息安等级保护
51 物理安
511 物理位置选择(G3)
项求包括
a) 机房办公场应选择具防震防风防雨等力建筑
b) 机房场应防止设建筑物高层室水设备层隔壁
512 物理访问控制(G3)
项求包括
a) 机房出入口应安排专值守控制鉴记录进入员
b) 需进入机房访员应申请审批流程限制监控活动范围
c) 应机房划分区域进行理区域区域间设置物理隔离装置重区域前设置交付安装等渡区域
d) 重区域应配置电子门禁系统控制鉴记录进入员
513 防盗窃防破坏(G3)
项求包括
a) 应设备放置机房
b) 应设备部件进行固定设置明显易标记
c) 应通信线缆铺设隐蔽处铺设道中
d) 应介质分类标识存储介质库档案室中
e) 应利光电等技术设置机房防盗报警系统
f) 应机房设置监控报警系统
514 防雷击(G3)
项求包括
a) 机房建筑应设置避雷装置
b) 应设置防雷保安器防止感应雷
c) 机房应设置交流电源线
515 防火(G3)
项求包括
a) 机房应设置火灾动消防系统够动检测火情动报警动灭火
b) 机房相关工作房间辅助房应采具耐火等级建筑材料
c) 机房应采取区域隔离防火措施重设备设备隔离开
516 防水防潮(G3)
项求包括
a) 水安装穿机房屋顶活动板
b) 应采取措施防止雨水通机房窗户屋顶墙壁渗透
c) 应采取措施防止机房水蒸气结露积水转移渗透
d) 应安装水敏感检测仪表元件机房进行防水检测报警
517 防静电(G3)
项求包括
a) 设备应采必接防静电措施
b) 机房应采防静电板
518 温湿度控制(G3)
机房应设置温湿度动调节设施机房温湿度变化设备运行允许范围
519 电力供(A3)
项求包括
a) 应机房供电线路配置稳压器电压防护设备
b) 应提供短期备电力供少满足设备断电情况正常运行求
c) 应设置冗余行电力电缆线路计算机系统供电
d) 应建立备供电系统
5110 电磁防护(S3)
项求包括
a) 应采接方式防止外界电磁干扰设备寄生耦合干扰
b) 电源线通信线缆应隔离铺设防止互相干扰
c) 应关键设备磁介质实施电磁屏蔽
52 网络安
521 结构安(G3)
项求包括
a) 应保证网络设备业务处理力具备冗余空间满足业务顶峰期需
b) 应保证网络局部带宽满足业务顶峰期需
c) 应业务终端业务效劳器间进行路控制建立安访问路径
d) 应绘制前运行情况相符网络拓扑结构图
e) 应根部门工作职重性涉信息重程度等素划分子网网段方便理控制原子网网段分配址段
f) 应防止重网段部署网络边界处直接连接外部信息系统重网段网段间采取技术隔离手段
g) 应业务效劳重次序指定带宽分配优先级保证网络发生拥堵时候优先保护重机
522 访问控制(G3)
项求包括
a) 应网络边界部署访问控制设备启访问控制功
b) 应根会话状态信息数流提供明确允许拒绝访问力控制粒度端口级
c) 应进出网络信息容进行滤实现应层HTTPFTPTELNETSMTPPOP3等协议命令级控制
d) 应会话处非活泼定时间会话结束终止网络连接
e) 应限制网络流量数网络连接数
f) 重网段应采取技术手段防止址欺骗
g) 应户系统间允许访问规决定允许拒绝户受控系统进行资源访问控制粒度单户
h) 应限制具拨号访问权限户数量
523 安审计(G3)
项求包括
a) 应网络系统中网络设备运行状况网络流量户行等进行日志记录
b) 审计记录应包括事件日期时间户事件类型事件否成功审计相关信息
c) 应够根记录数进行分析生成审计报表
d) 应审计记录进行保护防止受未预期删修改覆盖等
524 边界完整性检查(S3)
项求包括
a) 应够非授权设备私联部网络行进行检查准确定出位置进行效阻断
b) 应够部网络户私联外部网络行进行检查准确定出位置进行效阻断
525 入侵防范(G3)
项求包括
a) 应网络边界处监视攻击行端口扫描强力攻击木马门攻击拒绝效劳攻击缓区溢出攻击IP 碎片攻击网络蠕虫攻击等
b) 检测攻击行时记录攻击源IP攻击类型攻击目攻击时间发生严重入侵事件时应提供报警
526 恶意代码防范(G3)
项求包括
a) 应网络边界处恶意代码进行检测
b) 应维护恶意代码库升级检测系统更新
527 网络设备防护(G3)
项求包括
a) 应登录网络设备户进行身份鉴
b) 应网络设备理员登录址进行限制
c) 网络设备户标识应唯
d) 网络设备应户选择两种两种组合鉴技术进行身份鉴
e) 身份鉴信息应具易特点口令应复杂度求定期更换
f) 应具登录失败处理功采取结束会话限制非法登录次数网络登录连接超时动退出等措施
g) 网络设备进行远程理时应采取必措施防止鉴信息网络传输程中窃听
h) 应实现设备特权户权限离
53 系统安
531 系统定级(G3)
项求包括
a) 应明确信息系统边界安保护等级
b) 应书面形式说明确定信息系统某安保护等级方法理
c) 应组织相关部门关安技术专家信息系统定级结果合理性正确性进行证审定
d) 应确保信息系统定级结果相关部门批准
532 安方案设计(G3)
项求包括
a) 应根系统安保护等级选择根安措施风险分析结果补充调整安措施
b) 应指定授权专门部门信息系统安建设进行总体规划制定期远期安建设工作方案
c) 应根信息系统等级划分情况统考虑安保障体系总体安策略安技术框架安理策略总体建设规划详细设计方案形成配套文件
d) 应组织相关部门关安技术专家总体安策略安技术框架安理策略总体建设规划详细设计方案等相关配套文件合理性正确性进行证审定批准正式实施
e) 应根等级测评安评估结果定期调整修订总体安策略安技术框架安理策略总体建设规划详细设计方案等相关配套文件
533 产品采购(G3)
项求包括
a) 应确保安产品采购符合国家关规定
b) 应确保密码产品采购符合国家密码部门求
c) 应指定授权专门部门负责产品采购
d) 应预先产品进行选型测试确定产品候选范围定期审定更新候选产品名单
534 行软件开发(G3)
项求包括
a) 应确保开发环境实际运行环境物理分开开发员测试员离测试数测试结果受控制
b) 应制定软件开发理制度明确说明开发程控制方法员行准
c) 应制定代码编写安标准求开发员参标准编写代码
d) 应确保提供软件设计相关文档指南专负责保
e) 应确保程序资源库修改更新发布进行授权批准
535 外包软件开发(G3)
项求包括
a) 应根开发需求检测软件质量
b) 应软件安装前检测软件包中存恶意代码
c) 应求开发单位提供软件设计相关文档指南
d) 应求开发单位提供软件源代码审查软件中存门
536 工程实施(G3)
项求包括
a) 应指定授权专门部门员负责工程实施程理
b) 应制定详细工程实施方案控制实施程求工程实施单位正式执行安工程程
c) 应制定工程实施方面理制度明确说明实施程控制方法员行准
537 测试验收(G3)
项求包括
a) 应委托公正第三方测试单位系统进行安性测试出具安性测试报告
b) 测试验收前应根设计方案合求等制订测试验收方案测试验收程中应详细记录测试验收结果形成测试验收报告
c) 应系统测试验收控制方法员行准进行书面规定
d) 应指定授权专门部门负责系统测试验收理理规定求完成系统测试验收工作
e) 应组织相关部门相关员系统测试验收报告进行审定签字确认
538 系统交付(G3)
项求包括
a) 应制定详细系统交付清单根交付清单交接设备软件文档等进行清点
b) 应负责系统运行维护技术员进行相应技培训
c) 应确保提供系统建设程中文档指导户进行系统运行维护文档
d) 应系统交付控制方法员行准进行书面规定
e) 应指定授权专门部门负责系统交付理工作理规定求完成系统交付工作
539 系统备案(G3)
项求包括
a) 应指定专门部门员负责理系统定级相关材料控制材料
b) 应系统等级相关材料报系统部门备案
c) 应系统等级求备案材料报相应公安机关备案
5310 等级测评(G3)
项求包括
a) 系统运行程中应少年系统进行次等级测评发现符合相应等级保护标准求时整改
b) 应系统发生变更时时系统进行等级测评发现级发生变化时调整级进行安改造发现符合相应等级保护标准求时整改
c) 应选择具国家相关技术资质安资质测评单位进行等级测评
d) 应指定授权专门部门员负责等级测评理
5311 安效劳商选择(G3)
项求包括
a) 应确保安效劳商选择符合国家关规定
b) 应选定安效劳商签订安相关协议明确约定相关责
c) 应确保选定安效劳商提供技术培训效劳承诺必签订效劳合
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
1 容灾备份系统
11 系统概述
111 容灾概念
容灾范畴拟广泛概念广义业务连续性相关容纳入容灾容灾系统工程包括支持户业务方方面面容灾IT环境言提供防止户业务系统遭受种灾难影响破坏计算机系统业务数容灾表现种未雨绸缪动性灾难发生亡羊补牢〞
狭义角度常谈容灾指生产站点外户外建立冗余站点灾难发生生产站点受破坏时冗余站点接户正常业务达业务间断目达更高性许户甚建立冗余站点保证业务系统安性
技术衡量容灾系统两指标:RPO〔Recovery Point Object〕RTO〔Recovery Time Object〕中RPO代表灾难发生时允许丧失数量RTO代表系统恢复时间RPORTO越系统性越高然户需投资越
112 容灾备份关系
备份指户应系统产生重数〔者原重数信息〕制作份者份拷贝增强数安性备份容灾关注象备份关心数安容灾关心业务应安备份称作数保护〞容灾称作业务应保护〞备份表现通备份软件磁带机者磁带库数进行拷贝户磁盘光盘作存储介质容灾表现通高方案两站点连接起
备份容灾存储领域两极重局部二者着紧密联系首先备份容灾中数保护工作备份采磁带方式性低钱低数通常压缩独数格式进行存储容灾采磁盘作存储介质作数载体方式进行数保护数时线性高钱高次备份存储领域根底完整容灾方案中必然包括备份局部时备份容灾方案效补充容灾方案中数始终线存储完全破坏备份提供额外条防线线数丧失情况备份数中恢复
113 容灾等级
体讲容灾分3级:数级应级业务级
数级容灾关注点数灾难发生确保户原数会丧失者遭破坏数级容灾较根底中较低级数容灾方案仅需利磁带库理软件实现数异备份达容灾成效较高级数容灾方案数复制工具例卷复制软件者存储系统硬件控制器实现数远程复制数级容灾保障数底线数丧失时够保证应系统重新数种意义讲数备份属该级容灾户重数存放磁带果考虑高级安性磁带运送远距离方保存灾难发生磁带中获取数该级灾难恢复时间较长然存风险户原数没丧失应会中断户业务迫停止虚拟磁带库出现解决磁带备份速度慢磁带保存困难问题取代磁带正确产品
应级容灾数级容灾根底执行应处理力复制份说备份站点样构建套应系统应级容灾系统提供间断应效劳户应效劳请求够透明继续运行感受灾难发生保证信息系统提供效劳完整安
数级容灾应级容灾IT范畴然正常业务言仅IT系统保障够户需构建高级业务级容灾业务级容灾局部容非IT系统方 办公点等场灾难发生时户原办公场会受破坏户需原数原应系统更需工作员备份工作场够正常开展业务
12 建设必性
着XX工程数字化建设断深入较严重信息系统障〔:效劳器障网络障两类〕势必会影响系统全局性稳定性XX工程覆盖面广受众业务高性连续性显尤重建立套行效容灾备份系统十分必
时整XX工程应网络系统中数量复杂数出错丧失难免果没事先数进行备份想恢复数仅难度十分时甚根进行恢复果定期重数进行备份系统出现障时然保证重数准确误
外着XX工程逐步开展新业务需求断扩展现业务系统相关数信息安性性需原根底进步扩充改良保证灾难情况发生时相关业务正常运行
方案中总体目标定实现XXX现业务系统中核心数核心应系统容灾备份确保灾难情况业务数高恢复性高性保证相关应系统中断灾难发生够时恢复
13 建设目标
次容灾备份系统建设目标:技术先进扩充高高理
l 技术先进性:系统设计应采前先进成熟技术仅满足期工程需求应握未开展方
l 扩充性:系统设计时应充分考虑扩充性确保新功新业务增加原系统台扩展实现
l 高性:存储台具高性支持效劳器台高性集群技术具备先进容灾设计充分保证系统高扩展力高容错力具通道负载动均衡力存储系统性调节力提供极充分性项指标设计
l 高性:停机情况实现停机扩容维护升级等效劳提高性满足新业务需求具备7×24×365连续工作力系统性应 99999 %软件支持实现应级容灾
l 理性:求配置实时性监测理软件备份作业磁盘空间卷磁盘错误系统事件系统中进程系统资源占等性操作数等效劳器性进行实时监控理
l 保护投资:新系统投入前期设备次利设计思路保证前期投入设备持续性运营次新系统整体设计考虑济效充分利现设备时候设备投入产出化
14 建设容
整系统建设容分三局部资金技术环境具体情况分三步骤实现备份容灾系统建设
2 认证安效劳体系
21 系统概述
211 功简介
认证安效劳体系指数字证书〔网络中虚拟身份证〕发放理面应CA系统应提供根底证书理效劳面应CA系统目户网络进行业务活动时应提供更安保障
系统稳定核心良结构提供种接口方便扩展规模功具手工批量线离线等种证书申请方式支持IC卡USB key文件等种证书保存介质支持工WEB目录效劳器邮件等种证书发布方式支持种密钥生成方式等
系统CA效劳器目录效劳器数库效劳器硬件密码机操作终端组成
CA效劳器负责证书申请签发作废理数库效劳器负责存放CA数请求数证书黑名单数操作终端提供证书申请理日常操作目录效劳器发布证书黑名单
证书系统功包括证书理系统初始化证书效劳功证书理功证书发布功
212 应领域
系统发放数字证书种应系统身份认证操作电子签名数加密
22 建设必性
认证安效劳体系建设总体建设项关键容全区力资源社会保障业务系统提供安支撑包括身份认证数加密解密基数字签名验签防抵赖等根证书应安功电子签章时间戳等增强证书应安功
23 建设容
力资源社会保障认证安效劳体系应包含电子认证系统根底层证书业务理层证书应支撑层相关政策法规标准标准总体结构图
电子认证系统根底层包括密钥理系统密码效劳系统证书签发理系统证书注册理系统证书查验效劳系统等
证书业务理层包括证书生命周期理系统运行理证书效劳统监台等
证书应支撑层包括根底安接口高级应接口应系统提供身份认证数加密解密数字签名验签电子签章网络安协议时间戳等应安支撑功
3 网络冗余链路建设
31 系统概述
网络冗余部署包含三环节分:设备级冗余链路级冗余网关级冗余
〔1〕设备级冗余技术分电源冗余理板卡冗余设备钱限制两种技术应中高端产品
〔2〕链路级冗余存条二层三层链路链路级冗余技术实现条链路间备份流量分担环路防止
〔3〕前面谈冗余技术保证网络级冗余样网络终端户讲需种机制保证网络连接网关级冗余技术
32 建设必性
着Internet开展XX工程简单信息承载台转变成公效劳提供台作终端户希时时刻刻保持网络联系健壮高效成XX工程网络开展重目标保证网络性需冗余技术高冗余网络带体验网络设备链路发生中断者变化时候户感觉
达成目标需XX工程网络环节实施冗余包括网络设备链路广域网出口户侧等等
33 建设容
次网络冗余建设链路级冗余建设形成治区盟市旗县区三级网络双链路保障
4 安理制度建设
41 认证系统安理制度
411 身份鉴
a) 应提供专登录控制模块登录户进行身份标识鉴
b) 应户采两种两种组合鉴技术实现户身份鉴
c) 应提供户身份标识唯鉴信息复杂度检查功保证应系统中存重复户身份标识身份鉴信息易
d) 应提供登录失败处理功采取结束会话限制非法登录次数动退出等措施
e) 应启身份鉴户身份标识唯性检查户身份鉴信息复杂度检查登录失败处理功根安策略配置相关参数
412 访问控制
a) 应提供访问控制功安策略控制户文件数库表等客体访问
b) 访问控制覆盖范围应包括资源访问相关体客体间操作
c) 应授权体配置访问控制策略严格限制默认帐户访问权限
d) 应授予帐户完成承务需权限间形成相互制约关系
e) 应具重信息资源设置敏感标记功
f) 应安策略严格控制户敏感标记重信息资源操作
413 安审计
a) 应提供覆盖户安审计功应系统重安事件进行审计
b) 应保证法单独中断审计进程法删修改覆盖审计记录
c) 审计记录容少应包括事件日期时间发起者信息类型描述结果等
d) 应提供审计记录数进行统计查询分析生成审计报表功
414 剩余信息保护
a) 应保证户鉴信息存储空间释放分配户前完全信息存放硬盘存中
b) 应保证系统文件目录数库记录等资源存储空间释放重新分配户前完全
415 通信完整性
应采密码技术保证通信程中数完整性
416 通信保密性
a) 通信双方建立连接前应系统应利密码技术进行会话初始化验证
b) 应通信程中整报文会话程进行加密
417 抗抵赖
a) 应具请求情况数原发者接收者提供数原发证功
b) 应具请求情况数原发者接收者提供数接收证功
418 软件容错
a) 应提供数效性检验功保证通机接口输入通通信接口输入数格式长度符合系统设定求
b) 应提供动保护功障发生时动保护前状态保证系统够进行恢复
419 资源控制
a) 应系统通信双方中方段时间未作响应方应够动结束会话
b) 应够系统发会话连接数进行限制
c) 应够单帐户重发会话进行限制
d) 应够时间段发会话连接数进行限制
e) 应够访问帐户请求进程占资源分配限额限额
f) 应够系统效劳水降低预先规定值进行检测报警
g) 应提供效劳优先级设定功安装根安策略设定访问帐户请求进程优先级根优先级分配系统资源
42 信息系统安理制度
421 身份鉴
a) 应登录信息系统〔特操作系统数库系统〕户进行身份标识鉴
b) 信息系统理户身份标识应具易特点口令应复杂度求定期更换
c) 应启登录失败处理功采取结束会话限制非法登录次数动退出等措施
d) 效劳器进行远程理时应采取必措施防止鉴信息网络传输程中窃听
e) 应操作系统数库系统户分配户名确保户名具唯性
f) 应采两种两种组合鉴技术理户进行身份鉴
422 访问控制
a) 应启访问控制功安策略控制户资源访问
b) 应根理户角色分配权限实现理户权限离仅授予理户需权限
c) 应实现信息系统〔操作系统数库系统〕特权户权限离
d) 应严格限制默认帐户访问权限重命名系统默认帐户修改帐户默认口令
e) 应时删余期帐户防止享帐户存
f) 应重信息资源设置敏感标记
g) 应安策略严格控制户敏感标记重信息资源操作
423 安审计
a) 审计范围应覆盖效劳器重客户端操作系统户数库户
b) 审计容应包括重户行系统资源异常重系统命令等系统重安相关事件
c) 审计记录应包括事件日期时间类型体标识客体标识结果等
d) 应够根记录数进行分析生成审计报表
e) 应保护审计进程防止受未预期中断
f) 应保护审计记录防止受未预期删修改覆盖等
424 剩余信息保护
a) 应保证系统〔操作系统数库系统〕户鉴信息存储空间释放分配户前完全信息存放硬盘存中
b) 应确保系统文件目录数库记录等资源存储空间释放重新分配户前完全
425 入侵防范
a) 应够检测重效劳器进行入侵行够记录入侵源IP攻击类型攻击目攻击时间发生严重入侵事件时提供报警
b) 应够重程序完整性进行检测检测完整性受破坏具恢复措施
c) 操作系统应遵循安装原仅安装需组件应程序通设置升级效劳器等方持系统补丁时更新
426 恶意代码防范
a) 应安装防恶意代码软件时更新防恶意代码软件版恶意代码库
b) 机防恶意代码产品应具网络防恶意代码产品恶意代码库
c) 应支持防恶意代码统理
427 资源控制
a) 应通设定终端接入方式网络址范围等条件限制终端登录
b) 应根安策略设置登录终端操作超时锁定
c) 应重效劳器进行监视包括监视效劳器CPU硬盘存网络等资源情况
d) 应限制单户系统资源限度
e) 应够系统效劳水降低预先规定值进行检测报警
43 灾备系统安理制度
431 数完整性
a) 应够检测系统理数鉴信息重业务数传输程中完整性受破坏检测完整性错误时采取必恢复措施
b) 应够检测系统理数鉴信息重业务数存储程中完整性受破坏检测完整性错误时采取必恢复措施
432 数保密性
a) 应采加密效措施实现系统理数鉴信息重业务数传输保密性
b) 应采加密保护措施实现系统理数鉴信息重业务数存储保密性
433 备份恢复
a) 应提供数备份恢复功完全数备份少天次备份介质场外存放
b) 应提供异数备份功利通信网络关键数定时批量传送备场
c) 应采冗余技术设计网络拓扑结构防止关键节点存单点障
d) 应提供网络设备通信线路数处理系统硬件冗余保证系统高性
5 信息安等级保护
51 物理安
511 物理位置选择(G3)
项求包括
a) 机房办公场应选择具防震防风防雨等力建筑
b) 机房场应防止设建筑物高层室水设备层隔壁
512 物理访问控制(G3)
项求包括
a) 机房出入口应安排专值守控制鉴记录进入员
b) 需进入机房访员应申请审批流程限制监控活动范围
c) 应机房划分区域进行理区域区域间设置物理隔离装置重区域前设置交付安装等渡区域
d) 重区域应配置电子门禁系统控制鉴记录进入员
513 防盗窃防破坏(G3)
项求包括
a) 应设备放置机房
b) 应设备部件进行固定设置明显易标记
c) 应通信线缆铺设隐蔽处铺设道中
d) 应介质分类标识存储介质库档案室中
e) 应利光电等技术设置机房防盗报警系统
f) 应机房设置监控报警系统
514 防雷击(G3)
项求包括
a) 机房建筑应设置避雷装置
b) 应设置防雷保安器防止感应雷
c) 机房应设置交流电源线
515 防火(G3)
项求包括
a) 机房应设置火灾动消防系统够动检测火情动报警动灭火
b) 机房相关工作房间辅助房应采具耐火等级建筑材料
c) 机房应采取区域隔离防火措施重设备设备隔离开
516 防水防潮(G3)
项求包括
a) 水安装穿机房屋顶活动板
b) 应采取措施防止雨水通机房窗户屋顶墙壁渗透
c) 应采取措施防止机房水蒸气结露积水转移渗透
d) 应安装水敏感检测仪表元件机房进行防水检测报警
517 防静电(G3)
项求包括
a) 设备应采必接防静电措施
b) 机房应采防静电板
518 温湿度控制(G3)
机房应设置温湿度动调节设施机房温湿度变化设备运行允许范围
519 电力供(A3)
项求包括
a) 应机房供电线路配置稳压器电压防护设备
b) 应提供短期备电力供少满足设备断电情况正常运行求
c) 应设置冗余行电力电缆线路计算机系统供电
d) 应建立备供电系统
5110 电磁防护(S3)
项求包括
a) 应采接方式防止外界电磁干扰设备寄生耦合干扰
b) 电源线通信线缆应隔离铺设防止互相干扰
c) 应关键设备磁介质实施电磁屏蔽
52 网络安
521 结构安(G3)
项求包括
a) 应保证网络设备业务处理力具备冗余空间满足业务顶峰期需
b) 应保证网络局部带宽满足业务顶峰期需
c) 应业务终端业务效劳器间进行路控制建立安访问路径
d) 应绘制前运行情况相符网络拓扑结构图
e) 应根部门工作职重性涉信息重程度等素划分子网网段方便理控制原子网网段分配址段
f) 应防止重网段部署网络边界处直接连接外部信息系统重网段网段间采取技术隔离手段
g) 应业务效劳重次序指定带宽分配优先级保证网络发生拥堵时候优先保护重机
522 访问控制(G3)
项求包括
a) 应网络边界部署访问控制设备启访问控制功
b) 应根会话状态信息数流提供明确允许拒绝访问力控制粒度端口级
c) 应进出网络信息容进行滤实现应层HTTPFTPTELNETSMTPPOP3等协议命令级控制
d) 应会话处非活泼定时间会话结束终止网络连接
e) 应限制网络流量数网络连接数
f) 重网段应采取技术手段防止址欺骗
g) 应户系统间允许访问规决定允许拒绝户受控系统进行资源访问控制粒度单户
h) 应限制具拨号访问权限户数量
523 安审计(G3)
项求包括
a) 应网络系统中网络设备运行状况网络流量户行等进行日志记录
b) 审计记录应包括事件日期时间户事件类型事件否成功审计相关信息
c) 应够根记录数进行分析生成审计报表
d) 应审计记录进行保护防止受未预期删修改覆盖等
524 边界完整性检查(S3)
项求包括
a) 应够非授权设备私联部网络行进行检查准确定出位置进行效阻断
b) 应够部网络户私联外部网络行进行检查准确定出位置进行效阻断
525 入侵防范(G3)
项求包括
a) 应网络边界处监视攻击行端口扫描强力攻击木马门攻击拒绝效劳攻击缓区溢出攻击IP 碎片攻击网络蠕虫攻击等
b) 检测攻击行时记录攻击源IP攻击类型攻击目攻击时间发生严重入侵事件时应提供报警
526 恶意代码防范(G3)
项求包括
a) 应网络边界处恶意代码进行检测
b) 应维护恶意代码库升级检测系统更新
527 网络设备防护(G3)
项求包括
a) 应登录网络设备户进行身份鉴
b) 应网络设备理员登录址进行限制
c) 网络设备户标识应唯
d) 网络设备应户选择两种两种组合鉴技术进行身份鉴
e) 身份鉴信息应具易特点口令应复杂度求定期更换
f) 应具登录失败处理功采取结束会话限制非法登录次数网络登录连接超时动退出等措施
g) 网络设备进行远程理时应采取必措施防止鉴信息网络传输程中窃听
h) 应实现设备特权户权限离
53 系统安
531 系统定级(G3)
项求包括
a) 应明确信息系统边界安保护等级
b) 应书面形式说明确定信息系统某安保护等级方法理
c) 应组织相关部门关安技术专家信息系统定级结果合理性正确性进行证审定
d) 应确保信息系统定级结果相关部门批准
532 安方案设计(G3)
项求包括
a) 应根系统安保护等级选择根安措施风险分析结果补充调整安措施
b) 应指定授权专门部门信息系统安建设进行总体规划制定期远期安建设工作方案
c) 应根信息系统等级划分情况统考虑安保障体系总体安策略安技术框架安理策略总体建设规划详细设计方案形成配套文件
d) 应组织相关部门关安技术专家总体安策略安技术框架安理策略总体建设规划详细设计方案等相关配套文件合理性正确性进行证审定批准正式实施
e) 应根等级测评安评估结果定期调整修订总体安策略安技术框架安理策略总体建设规划详细设计方案等相关配套文件
533 产品采购(G3)
项求包括
a) 应确保安产品采购符合国家关规定
b) 应确保密码产品采购符合国家密码部门求
c) 应指定授权专门部门负责产品采购
d) 应预先产品进行选型测试确定产品候选范围定期审定更新候选产品名单
534 行软件开发(G3)
项求包括
a) 应确保开发环境实际运行环境物理分开开发员测试员离测试数测试结果受控制
b) 应制定软件开发理制度明确说明开发程控制方法员行准
c) 应制定代码编写安标准求开发员参标准编写代码
d) 应确保提供软件设计相关文档指南专负责保
e) 应确保程序资源库修改更新发布进行授权批准
535 外包软件开发(G3)
项求包括
a) 应根开发需求检测软件质量
b) 应软件安装前检测软件包中存恶意代码
c) 应求开发单位提供软件设计相关文档指南
d) 应求开发单位提供软件源代码审查软件中存门
536 工程实施(G3)
项求包括
a) 应指定授权专门部门员负责工程实施程理
b) 应制定详细工程实施方案控制实施程求工程实施单位正式执行安工程程
c) 应制定工程实施方面理制度明确说明实施程控制方法员行准
537 测试验收(G3)
项求包括
a) 应委托公正第三方测试单位系统进行安性测试出具安性测试报告
b) 测试验收前应根设计方案合求等制订测试验收方案测试验收程中应详细记录测试验收结果形成测试验收报告
c) 应系统测试验收控制方法员行准进行书面规定
d) 应指定授权专门部门负责系统测试验收理理规定求完成系统测试验收工作
e) 应组织相关部门相关员系统测试验收报告进行审定签字确认
538 系统交付(G3)
项求包括
a) 应制定详细系统交付清单根交付清单交接设备软件文档等进行清点
b) 应负责系统运行维护技术员进行相应技培训
c) 应确保提供系统建设程中文档指导户进行系统运行维护文档
d) 应系统交付控制方法员行准进行书面规定
e) 应指定授权专门部门负责系统交付理工作理规定求完成系统交付工作
539 系统备案(G3)
项求包括
a) 应指定专门部门员负责理系统定级相关材料控制材料
b) 应系统等级相关材料报系统部门备案
c) 应系统等级求备案材料报相应公安机关备案
5310 等级测评(G3)
项求包括
a) 系统运行程中应少年系统进行次等级测评发现符合相应等级保护标准求时整改
b) 应系统发生变更时时系统进行等级测评发现级发生变化时调整级进行安改造发现符合相应等级保护标准求时整改
c) 应选择具国家相关技术资质安资质测评单位进行等级测评
d) 应指定授权专门部门员负责等级测评理
5311 安效劳商选择(G3)
项求包括
a) 应确保安效劳商选择符合国家关规定
b) 应选定安效劳商签订安相关协议明确约定相关责
c) 应确保选定安效劳商提供技术培训效劳承诺必签订效劳合
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
