涉密单机物理安全策略.docx
《涉密单机物理安全策略.docx》由会员分享,可在线阅读,更多相关《涉密单机物理安全策略.docx(24页珍藏版)》请在冰点文库上搜索。
涉密单机物理安全策略
重庆大学涉密计算机安全策略
二〇一〇年七月
第一部分涉密单机物理安全策略
1.定义
物理安全策略规定了涉密单机与国际互联网和其他公共信息网络实行物理隔离的防护要求。
2.适用范围
依据BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》、《武器装备科研生产单位保密资格审查认证管理办法》和《重庆大学保密工作制度》等相关的标准、办法和规定,此安全策略适用于重庆大学涉密单机的物理安全防护。
3.物理隔离要求
物理隔离是指与国际互联网和其他公共信息网络没有任何直接或间接的连接,保证在网络物理连接上是完全分离的,且没有任何公用的存储信息。
具体要求包括
(1)环境安全:
涉密单机所在工作环境,周围环境,安防部署等。
(2)所有涉密单机,严禁安装调制解调器或采取其他方式直接、间接与国际互联网或其它外部公共网络连接,必须安装涉密单机违规外联预警系统,对违规外联行为进行审计监控。
(3)重庆大学处理涉密信息的办公自动化设备禁止连接国际互联网或其它公共信息网络,使用连接国际互联网或其它公共信息网络的办公自动化设备严禁处理涉密信息。
(4)重庆大学处理涉密信息的办公自动化设备严禁连接内部非涉密单机;使用不与国际互联网和其它公共信息网络连接的非涉密办公自动化设备严禁处理涉密信息。
(5)必须拆除涉密便携式计算机中具有无线联网功能、蓝牙功能、红外功能的硬件模块;涉密单机禁止使用具有无线互联功能的外部设备(无线键盘、无线鼠标及其他无线互联的外围设备);严禁将各类涉密存储介质在非涉密计算机及网络、连接国际互联网的计算机及网络上使用;
第二部分涉密单机运行管理策略
1.定义
涉密单机运行管理策略规定了在涉密单机运行管理过程中对系统配置、设备接入控制、权限划分等方面的管理要求。
2.适用范围
依据BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》、《武器装备科研生产单位保密资格审查认证管理办法》和《重庆大学保密工作制度》等相关的标准、办法和规定,此安全策略适用于重庆大学涉密单机系统的运行管理。
3.系统配置要求
3.1操作系统安全配置
规定安装有Windows操作系统的主机应当遵循的操作系统安全性设置标准,非Windows操作系统须设置相关安全配置。
WindowsXP必须升级至SP3,非Windows须及时升级相应系统补丁。
3.1.1用户账号控制
(1)密码策略:
默认情况下,对所有涉密单机强制执行标准密码策略。
下表列出了标准密码策略的设置以及针对本校的设置。
表1密码策略
策略
当前设置
强制执行密码历史记录
记住1个密码
密码最长期限
30天
密码最短期限
0天
最短密码长度
8位
密码必须符合复杂性要求
启用
为域中所有用户使用可还原的加密来储存密码
禁用
(2)复杂性要求:
当组策略的“密码必须符合复杂性要求”设置启用后,要求密码必须为秘密8位、机密10位、绝密12位。
它还要求密码中必须包含下面类别中至少三个类别的字符:
●英语大写字母A,B,C,…Z
●英语小写字母a,b,c,…z
●西方阿拉伯数字0,1,2,…9
●非字母数字字符(例如!
、$、#、%)
(3)内置默认账户安全
对不可删除的Windows内置用户账户要采取重命名或设置相关权限的方式来保证系统安全性。
(4)安全选项策略
涉密单机本地安全策略中的安全选项应根据以下设置按照具体需要修改:
表2安全选项策略
选项
设置
交互式登录:
不显示最后的用户名
启用
交互式登录:
之前登录到缓存的次数
5次登录
交互式登录:
在密码到期前提示用户更改密码
3天
故障恢复控制台:
允许自动管理登录
禁用
故障恢复控制台:
允许对驱动器和文件夹进行软盘复制和访问
禁用
帐户:
来宾帐户状态
禁用
域控制器:
最长机器帐户密码寿命
30天
帐户:
使用空白密码的本地帐户只允许进行控制台登陆
启用
计算机本地安全策略中的审核策略应根据以下设置按照具体需要修改:
表3计算机本地安全策略中的审核策略
选项
设置
审核策略更改
成功/失败
审核登录事件
成功/失败
审核对象访问
成功/失败
审核帐户登录事件
成功/失败
审核过程跟踪
成功/失败
审核目录服务访问
成功/失败
审核权限使用
成功/失败
审核系统事件
成功/失败
审核帐户管理
成功/失败
3.1.2服务管理
Windows服务器首次安装时创建默认服务并将其配置为在系统启动时运行,禁用不必要的服务:
表4服务管理配置
服务名
设置
说明
BackgroundIntelligentTransferService
自动
Wsus更新
AutomaticUpdates
禁用
Windows更新的下载和安装
RemoteRegistry
禁用
远程注册表
Telnet
禁用
远程登陆
Server
禁用
共享
Messenger
禁用
信使服务
IMAPICD-BurningCOMService
禁用
CD刻录
WirelessZeroConfiguration
禁用
802.11无线网自动配置服务
WindowsFirewall/InternetConnectionSharing(ICS)
禁用
ICS服务
3.1.3补丁管理
安排专人每月从互联网正规途径下载windows升级补丁,经中间机进行病毒恶意代码查杀无误后,刻成光盘下发至各单机,由各单位信息安全员监督并指导进行。
3.1.4防病毒管理
见《计算机病毒与恶意代码防护策略》。
3.1.5其它配置安全
(1)配置boot.ini,禁止双重或多重启动,设置系统启动等待时间为零。
(2)设置在10分钟内主机没有任何活动(鼠标或键盘操作),系统将自动启动屏幕保护,并需要键入用户密码才能恢复。
4.设备接入控制要求
实行对设备接入管理,控制违规接入设备对系统资源的访问,并进行安全审计。
5.权限划分要求
涉密单机的操作人员分为:
用户、系统管理员、安全保密管理员及安全审计员。
涉密单机应对用户和系统管理人员进行权限划分。
应对用户按最小授权原则进行权限划分。
管理员间的权限应相互制约,互相监督。
系统内配置管理权限要与安全审计权限分开。
5.1系统管理员权限要求
系统管理员的职责如下:
1、系统管理员在安全审计员的监督下开展工作,负责涉密单机日常运行管理和维护及技术支持,保障单机的正常运行。
2、系统管理员负责制定和实施涉密单机的软硬件安装和策略设置,包括安装配置策略、各种系统服务策略、系统数据及日志的备份恢复策略以及系统运行环境的实施策略。
3、系统管理员负责制定和实施系统运行环境策略。
硬件方面:
电源、输入、输出设备等;软件方面:
在系统上增加或删除其它软件,开启或关闭其它应用服务等;环境方面:
温度、适度、灰尘等。
4、系统管理员应清楚了解涉密单机的运行条件、技术性能、空间分配、参数设置等技术指标,并熟练掌握其操作规程。
5、系统管理员应负责日常维护、故障分析及处理,并及时填写相关记录,根据需求及时对单机进行检测维护、数据备份、空间清理、系统维护、升级补丁等。
6、系统管理员应对系统日志、帐户配置数据定期备份。
7、系统管理员应配合安全保密管理员定期进行病毒的查杀工作,检查并修补存在的系统漏洞,确保系统管理操作符合安全管理策略。
8、系统管理员不可擅自改变计算机运行状态,对计算机运行安全负有相应责任。
如需改变状态,须向本单位主管部门领导报告,批准后方可操作。
重要变化及可能危及计算机运行的试验应报主管部门批准。
5.2安全保密管理员权限要求
安全保密管理员的职责如下:
1、安全保密管理员应对涉密单机的运行环境、技术性能、安全隐患、安全策略、用户权限以及参数设置等技术指标了解清楚,并熟练掌握安全产品的操作规程。
2、安全保密管理员应制定和实施防病毒策略,定期查杀病毒。
正确配置各项参数,对发现的问题及时记录处理,应掌握操作系统常见漏洞和补救方法,对指定的计算机定期(如,每一个月)进行一次安全扫描检测,分析扫描结果,弥补安全漏洞。
3、安全保密管理员应定期更新漏洞扫描、防病毒、漏洞防护等安全系统。
4、安全保密管理员应定期进行计算机的数据备份、空间清理和系统状态维护。
5、安全保密管理员应检查分析操作系统和应用系统用户操作日志,协助系统管理员完成操作系统的各项配置,实施安全策略及定期备份数据。
6、安全保密管理员应负责密钥管理,定期检查口令文件,配合保密部门做好系统和数据安全管理。
7、安全保密管理员应负责利用身份识别和数据鉴别的方式,控制用户访问权限和权限级别;禁止非授权用户访问用户身份鉴别数据。
8、安全保密管理员应负责为授权用户提供唯一标识符,利用日志文件记录授权用户的访问情况。
9、系统管理员不可擅自改变计算机运行状态,对计算机运行安全负有相应责任。
如需改变状态,须向本单位主管部门领导报告,批准后方可操作。
重要变化及可能危及计算机运行的试验应报主管部门批准。
10、当涉密单机出现故障而影响正常运行时,安全保密管理员须在第一时间到达现场,及时组织处理,排除故障,保障计算机正常运行。
11、安全保密管理员应定期(如,每季度)上报涉密单机安全运行报告。
5.3安全审计员权限要求
1、安全审计员负责对系统管理员、安全保密管理员的操作行为进行审计跟踪分析和监督检查,以及时发现违规行为。
2、安全审计员应具备系统日志分析、安全事件分析和取证的技术和能力,对安全保密管理员制定的安全策略、用户权限以及参数设置等进行审核和监督操作。
3、安全审计员应定期分析操作系统、应用系统、安全设备的安全日志,定期检查系统管理员、安全保密管理员填写的维护记录,通过记录对系统管理员和安全保密管理员的操作行为实行监控,对可疑的信息进行安全审计和跟踪控制,发现违规行为应及时向主管部门汇报。
4、安全审计员应审核和监督操作系统、应用系统、安全设备系统帐号的建立和权限分配。
5、安全审计员参与并负责审核和监督操作系统、应用系统、安全设备安全策略的制定、应用和调整。
6、安全审计员不可擅自改变操作系统、应用系统、安全设备的配置,只负责监督审核。
当操作系统、应用系统、安全设备有重要变化及可能危及系统运行的试验时应参与并监督。
7、安全审计员应定期(如,每月)编写安全审计报告。
第三部分涉密单机信息安全策略
1.定义
重庆大学涉密单机安全策略主要从密级管理;安全保密产品的应用;身份鉴别、访问控制和安全审计;终端安全防护;信息交换控制等方面规定了为确保涉密信息系统的信息安全的要求。
2.适用范围
依据BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》、《武器装备科研生产单位保密资格审查认证管理办法》和《重庆大学保密工作制度》等相关的标准、办法和规定,此安全策略适用于重庆大学涉密信息系统中对信息安全的管理。
3.密级管理和防护
3.1涉密单机的涉密等级由其处理和存储信息的最高密级确定,未经单位保密工作机构批准不得变更。
处理和存储涉密信息时,不得使用低于其涉密等级的涉密单机。
3.2禁止低密级人员管理和使用高密级计算机。
4.安全产品的选择和使用
4.1涉密单机中使用的安全保密产品原则上应当采用国产设备,并获得国家相关主管部门批准,密码产品应当获得国家密码管理部门批准,其他安全保密产品应当获得国家保密行政管理部门批准。
在选择安全保密产品时,应当验证厂商提供的国家相关主管部门授权测评机构的测评证书,确认安全保密产品名称、版本序列号和有效期。
4.2安全保密产品应当按照保密要求管理和使用,并根据安全策略文件进行设置和部署,不得随意更改。
应当定期对安全产品的有效性进行检查,发现故障及时维修,不能维修的要及时更换。
应当根据安全保密策略和威胁变化情况及时升级或更新安全保密产品。
5.身份鉴别、访问控制和安全审计要求
见《身份鉴别策略》、《访问控制策略》、《安全审计策略》。
6.涉密单机要求
6.1涉密单机应按照要求配置计算机,并及时升级病毒和恶意代码样本库,进行病毒和恶意代码查杀,及时安装操作系统、数据库和应用系统的补丁程序
6.2计算机应有标识,标明责任人和密级在主机上,机箱采用专用封条封闭。
6.3使用BIOS开机口令+口令保护+屏保10分钟,用户BIOS口令只能开机,不能修改BIOS设置,本地管理员密码不能是弱口令、空口令。
6.4安装XP系统及SP3补丁,不能安装一键Ghost程序,不能安装双系统。
6.5安装USBKey的必须使用USBKey登陆,拔出USBKey自动锁定计算机。
6.6默认禁用拷屏、安全模式和带网络连接的安全模式;禁用软驱、光驱、普通、注册、SD存储介质;禁用串口、并口、USB接口、调制解调器、红外设备、PCMCIA设备、1394接口、蓝牙接口;默认开启帐号加固,锁定IP,共享屏蔽等设置。
6.7安装管理部门下发的杀毒软件,并及时升级病毒库和定时进行病毒和恶意代码查杀。
6.8涉密单机未经单位信息化管理部门审批,禁止任何硬件的安装、扩展、缩减、拆卸。
外来或新增硬件设备应当经过单位信息化管理部门的检查,通过审批和授权,才能在涉密单机和信息系统中使用。
6.9应当采取技术手段禁止涉密单机擅自安装和卸载任何软件。
涉密单机中因工作需要安装的各种软件,应当经过审批后安装,在安装前应当进行病毒与恶意代码的检查。
常用软件和工具可由系统管理人员下发给涉密单机安装使用。
7.信息交换原则
7.1涉密单机中的信息交换应当相对集中,有效控制
7.2应当按照最小化原则设置涉密信息的输入输出点,专人负责管理,达到相对集中,有效控制的目的。
应当采取技术措施,禁止涉密信息非授权输入输出。
7.3信息交换应当符合国家有关保密管理规定,并配备中间转换机。
第四部分涉密单机存储备份与恢复策略
1.定义
数据存储备份策略规定了涉密单机内用于数据存储备份的软件和硬件设备,包括:
备份软件、涉密介质等的使用管理要求。
2.适用范围
依据BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》、《武器装备科研生产单位保密资格审查认证管理办法》和《重庆大学保密工作制度》等相关的标准、办法和规定,此策略适用于涉密单机内用于数据存储备份的软件和硬件设备的使用管理。
3.概述
3.1备份内容包括需要数据备份的涉密单机中各种系统文件、数据文件、配置文件、数据库系统等。
3.2备份模式分为自动和手动两种方式,自动方式通过涉密单机任务调度管理实现,手动方式有多种灵活选择。
备份策略包括定期全备份、差异备份、增量备份等。
4.备份策略
4.1备份数据一般应保存在涉密介质(磁带、光盘、U盘等),并和涉密单机分开存放中。
涉密介质应存放于符合保密规定的场所。
4.2普通文件、数据库、专有系统的备份以每周末(周六或周日)全备份,周一至周五增量备份方式执行。
个别应用系统每天执行全备份。
4.3备份数据通常保存每份数据最近的3个版本,如果数据被删除,保留最近的一个版本,额外版本保留30天,删除版本保留90天,备份保存策略由备份软件自动实现。
4.4数据库数据通常保存最近3个版本,并由管理员不定期手动维护备份数据。
4.5各种应用系统软件光盘由应用系统管理员保管和维护,软件安装后生成的配置文件按照普通文件方式备份,需要长期保存的文件由应用系统管理员定期或不定期将相关内容刻录成光盘或磁带保存。
4.6备份是否成功由备份管理员和应用系统管理员共同确认,备份管理员在管理控制台检查备份调度情况,应用系统管理员在客户机查看备份文件列表,确认备份是否按计划完成。
5.恢复策略
5.1数据恢复测试,分为完全恢复测试和部分恢复测试,理论上只有实现完全的恢复测试,才能确认备份数据是否可用。
5.2大部分系统无法完成完全恢复测试,只能以部分恢复测试作为是否备份成功的验证。
5.3部分恢复测试从全部备份数据或目录中选择一个或多个合适的文件实现恢复,从而得出结论,某个目录或服务器备份过程已正常完成。
5.4恢复测试定期或不定期进行,定期恢复测试以每半年为周期进行。
5.5系统管理员可以根据每台涉密单机的实际情况不定期进行恢复测试,间隔时间自己确定。
第五部分涉密单机应急计划和响应策略
1定义
为确保重庆大学涉密单机安全运行,迅速了解和掌握事件的情况和信息,及时指挥、协调、处置突发事件,保证采取足够的主动措施预防和解决各类突发事件,迅速控制和最大限度地减少由于突发事件的发生而带来的各种损失,为科研、生产、经营活动创造一个良好的安全环境,特制定涉密单机应急响应策略。
2适用范围
依据BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》、《武器装备科研生产单位保密资格审查认证管理办法》和《重庆大学保密工作制度》等相关的标准、办法和规定,此安全策略适用于重庆大学涉密单机运行管理。
3工作原则
安全突发事件应急处理遵循“统一指挥,分级管理;预防为主,平战结合;逐级报告、积极响应;各负其责、不断完善”的工作原则。
4组织机构及职责
4.1涉密单机应急响应领导小组
涉密单机应急响应领导小组由重庆大学保密委员会担任,是重庆大学涉密单机应急响应工作的领导机构。
涉密信息系统应急响应领导小组的主要职责是:
(1)审核涉密单机应急响应的重大事宜;
(2)审核经费预算;
(3)审核并批准恢复策略;
(4)审核并批准应急响应计划;
(5)批准应急响应计划的执行;
(6)确定应急策略和等级。
4.2应急响应日常运行小组
应急响应日常运行小组的主要职责是:
(1)应急响应的需求分析;
(2)应急策略的实现;
(3)编制、维护和管理应急响应计划文档;
(4)组织应急响应计划的教育、培训和演练;
(5)信息安全系统的日常运行和维护;
(6)信息安全突发事件信息的第一时间报告;
(7)发生严重信息安全突事件时的紧急措施实施和损失控制;
(8)信息安全事件发生后的外部协作;
(9)信息安全突发事件的损害评估;
(10)信息安全事件发生后信息系统和业务功能的恢复;
5预防与预警机制
为了将突发事件的数量和严重性减至最小,必须作好以下预防措施:
(1)按照所涉密单机安全管理规定和相关技术管理规定,规范涉密单机运行维护,确保信息安全防护措施有效;
(2)定期查看所有日志和日志记录机制,包括操作系统事件日志、特定于应用程序的日志和入侵检测系统日志;
(3)定期组织信息安全专家进行信息安全评估,根据评估结果采取相应整改措施;
(4)定期组织系统管理、系统安全管理人员和最终用户的安全培训;
(5)建立异地存储备份中心,制定系统及数据恢复计划,保证系统和数据的迅速恢复。
6应急响应事件分级
重庆大学涉密单机信息安全应急响应事件分为一般事件、较大事件和重大事件三级。
●一般事件:
指能够导致较小影响或破坏的信息安全事件,包括但不限于以下事件:
1.事件对该涉密单机所涉及的业务应用带来一定影响;
2.计算机感染同一种病毒占单位计算机超过5%;
3.发现用户蓄意非法假冒、篡改、破坏、删除少量信息的行为;
4.发现一般信息安全隐患;
5.由应急响应运行小组研究确认的其它事件。
●较大事件:
指能够导致较大影响或破坏的信息安全事件,包括但不限于以下事件:
1.事件对该涉密单机所涉及的业务应用带来较大影响;
2.计算机感染同一种病毒占单位计算机超过10%;
3.发现用户蓄意非法假冒、篡改、破坏、删除大量重要信息的行为或窃取大量信息的行为;
4.发现重大信息安全隐患;
5.由应急响应领导小组研究确认的较大事件。
●重大事件:
指能够导致重大影响或破坏的信息安全事件,包括但不限于以下事件:
1.事件对该涉密单机所涉及的业务应用带来重大影响;
2.计算机感染同一种病毒占单位计算机超过15%;
3.发现用户蓄意非法假冒、篡改、破坏、删除少量重要信息的行为或窃取少量信息的行为;
4.发现可造成失泄密事件的行为;
5.由应急响应领导小组研究确认的较大事件。
7涉密单机应急响应程序
7.1事件触发
系统用户、系统管理员、安全保密管理员等的责任和反馈程序如下:
1)系统用户
重庆大学涉密单机的任一用户都有权利和义务第一时间报告使用计算机的工作过程中发现的与计算机和应用系统有关的异常事件,报告对象为系统管理员和安全保密管理员。
当发生下列情况之一时,系统用户应进行报告:
●计算机操作系统突然崩溃;
●不能访问该机应用系统或访问速度比正常情况下降很多;
●计算机发现病毒;
●发现的其他异常情况。
2)系统管理员、安全保密管理员
系统管理员要关注异常事件,同时接收异常事件报告,判断是应用问题还是突发事件,若是应用问题可采取措施及时处置,若是突发事件或不能确定则立即通知应急响应日常运行小组工作人员。
安全保密管理员要关注异常事件,同时接收异常事件报告,判断是否为突发事件,若是突发事件则立即报告应急响应日常运行小组工作人员,并采取行动控制事件发展。
7.2事件判断
应急响应日常运行小组工作人员在接到突发事件报告后,应立即按照“应急响应事件分级”评估判断事件所处的级别,按照相应级别的响应程序进行处置,随着事件的发展应及时调整响应程序。
7.3应急响应程序
在事件定级之后应立即启动应急程序,具体操作遵循如下规则:
●启动原则----快速、有序;
●启动依据----事件定级最终结果,实行分级响应;
●启动方法----由响应级别的应急小组常务副组长发布应急处理启动令。
“一般事件”处理程序:
应急响应日常运行小组工作人员在评估突发事件为“一般事件”后立刻向应急响应日常运行小组组长报告。
由组长确认为“一般事件”后,由组长启动应急响应并同时报信息技术中心,日常运行小组按照相应的应急预案进行处理,处理过程中做好各项工作记录,事件处置后4小时内将事件处置全过程形成报告,报信息技术中心,由信息技术中心报应急响应领导小组常务副组长。
“较大事件”处理程序:
应急响应日常运行小组工作人员在评估事件为“较大事件”后,应立刻报日常运行小组组长和信息技术中心,同时采取必要的措施阻断或阻止事件的扩大。
由组长组织日常运行小组和相关专家研究确认为“较大事件”后,由信息技术中心报应急响应领导小组常务副组长并发布应急响应启动令,日常运行小组按照相应的应急预案进行处理,处理的重要进展情况和问题要及时上报,并做好处理过程的各项工作记录,事件处置后4小时内将事件处置全过程形成分析报告,报应急响应领导小组,报告要对事件后果和处置措施是否得当进行评估。
“重大事件”处理程序:
应急响应日常运行小组工作人员在评估事件为“重大事件”后,应立刻报日常运行小组组长、信息技术中心和应急响应领导小组常务副组长,同时采取停机等必要措施减小事件的损失。
经日常运行小组和相关专家研究确认为“重大事件”后,应急响应领导小组立即召开会议,经研究确认后,启动应急响应程序,按照相应的应急预案快速处理,处理过程中的问题随时向应急响应领导小组汇报,并做好各项工作的详实记录,事件处置后4小时内将事件处置全过程形成分析报告,报告要包括事件损失和处置措施是否得当的评估分析,应急响应领导小组对分析报告核实后,按照相关规定提出处理意见。
8后期处置
(1)当涉密单机被恢复后,启用备份还原将计算机恢复到事件前的状态。
(2)回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中。
发生重大信息安全事件后,应当在事件处理完毕后一个工作日内将处理结果报所信息化主管部
升级会员 