【地方标准(DB)】 计算机信息系统安全测评通用技术规范

ICS：35.020
备案号：23012-2008
上海市地方标准
DB31/T272-2008
代替DB31/T272-2002
计算机信息系统安全测评通用技术规范General Technical Specification for Security Testing and EvaluationofComputerInformation System2008-05-05发布
上海市质量技术监督局
2008-07-01实施
2规范性引用文件
3术语和定义
4符号和缩略语.
5信息系统安全测评的内容
5.1总体要求
5.2物理环境的安全测评
5.2.1机房环境
5.2.2硬件设施的物理安全
5.3网络的安全测评
5.3.1网络结构...
5.3.2网络通信协议
5.3.3网络管理软件
5.3.4网络设备
5.3.5入侵监控
5.4系统软件的安全测评
5.4.1操作系统
5.4.2数据库，
5.5业务应用的安全测评
5.5.1通用应用软件
5.5.2专用应用软件
5.5.3应用信息保护.
5.5.4密码支持
5.6安全管理评估
6信息系统安全测评的具体要求
6.1物理环境.
6.1.1机房环境
6.1.2硬件设施的物理安全
6.2网络
6.2.1网络结构.
6.2.2路由器....
6.2.3交换机.
6.2.4入侵监控，
6.3系统软件.
6.3.1操作系统..
6.3.2数据库
DB31/T272-2008
DB31/T272-2008
6.4业务应用
6.4.1通用应用软件
6.4.1.1邮件服务软件
6.4.1.2Web服务软件
6.4.2专用应用软件
6.4.3应用信息保护
6.4.4密码支持
6.5安全管理..
6.5.1安全策略
6.5.2安全管理机构
6.5.3资产管理
6.5.4物理访问
6.5.5系统运行管理，
6.5.6访问控制
6.5.7病毒防范
6.5.8事故管理，
6.5.9业务连续性管理
6.5.10符合性（compliance）
附录A（资料性附录）信息系统安全测评的实施要求A.1配置核查
A.2案例检测
A.3漏洞扫描，
A.4综合评估
A.5测评报告，
DB31/T272-2008
对计算机信息系统（以下简称信息系统或系统）实施第三方安全测评是评价信息系统安全性的重要组成部分。为了指导信息系统的安全测评工作，在DB31/T272-2002基础上进行修订。本标准从实施之日起代替DB31/T272-2002。本标准与DB31/T272-2002相比主要变化如下：一删除方案评审的有关内容（2002年版的5.1）；一将信息系统安全测评的内容根据物理环境、网络、系统、业务应用、安全管理等五个层面重新进行调整（2002版的5.2、5.3、5.4和5.5；本版本的5.2、5.3、5.4、5.5和5.6）；一增加了系统安全测评的总体要求，提出了各项测评内容的安全目标（本版本5.1）；一删除了系统安全测评遵循的一般原则，将有关内容放入系统安全测评的总体要求中（2002年版的6；本版本的5.1）；
一调整细化了系统安全测评的具体要求，并使测评内容与具体要求相互贯通（2002年版的7；本版本的6）；
一增加了资料性附录A信息系统安全测评的实施要求。本标准的附录A为资料性附录。
本标准由上海市信息化委员会、上海市信息标准化技术委员会提出。本标准起草单位：上海市信息安全测评认证中心、上海市标准化研究院、上海启明星辰信息技术有限公司
本标准主要起草人：郭松柏、赵瑞颖、应力、徐御、高志新、陈清明、李、俞露婷本标准由上海市信息化委员会负责解释。Ⅲ
1范围
计算机信息系统安全测评通用技术规范DB31/T272-2008
本标准规定了计算机信息系统安全测评的内容、具体要求，适用于信息系统的安全测试与评估。安全测评机构可依据本标准提出的安全测评具体要求实施安全测评。本标准对计算机信息系统的安全设计、建设与运行维护同样具有指导意义。涉及国家秘密的计算机信息系统的安全测评不在本标准适用范围内。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。
GB/T5271.8信息技术词汇第8部分：安全GB/T19716信息技术信息安全管理实用规则计算机场地安全要求
GB/T93611
GB/T2887
电子计算机场地通用规范
GB9254信息技术设备的无线电骚扰限值和测量方法3术语和定义
GB/T5271.8确立的术语和定义，以及下列术语和定义适用于本标准。3.1
信息系统安全测评securitytesting&evaluationofinformationsystem依据标准对信息系统的安全保障能力进行的科学、公正的综合测试、评估活动。3.2
安全策略securitypolicies
组织为保障信息系统正常运转而规定的若干安全规则、过程、规范和指南。3.3下载标准就来标准下载网
应用信息applicationinformation由用户产生或为用户产生的各类业务数据，这些数据不影响系统安全功能的操作。应用信息根据价值及遭到破坏后的影响程度可分为重要信息与一般信息。重要信息是组织内产生、处理、传输、存储的各类具有较大价值或具有较高敏感程度的业务数据，这些数据的筹改、泄露、丢失、破坏会对本组织、其他组织的合法权益造成严重损害或对社会公共秩序、公共利益产生损害。一般信息是组织内产生、处理、传输、存储的一般业务数据，这些数据的篡改、泄露、丢失、破坏不会对本组织、其他组织的合法权益造成严重损害或对社会公共秩序、公共利益产生损害。
DB31/T272-2008
业务应用软件applicationsoftwareforbusiness业务应用软件可分为通用应用软件和专用应用软件两大类。通用应用软件是指通用性强，一般可直接购买到的应用软件。专用应用软件是指组织根据业务需求而设计、定制的应用软件。3.5
配置核查configurationcheck
通过使用核查列表，比较被核查对象各项配置是否与核查列表存在差异的过程。3.6
案例检测casetesting
通过执行各种检测案例，找出系统安全控制措施是否得以实现或是否存在旁路的测试活动。3.7
漏洞扫描vulnerabilityscan
使用工具扫描网络设备、主机操作系统、数据库等对象，找出扫描对象存在的各种安全漏洞。
截包分析packageanalysis
使用工具截取网络中的数据包，根据传输协议对数据包进行重新组装，通过筛选分析获得有价值的信息。
应用审计数据applicationauditdata由业务应用软件产生的，记录用户实施系统操作、业务操作等活动的日志数据。4符号和缩略语
TcP/IP（TransmissioncontrolProtocol/InternetProtocol）：传输控制协议/互联网络协议
IPx/SPx（InternetworkPacketExchange/SequencedPacketExchange）：网际分组交换/顺序分组交换协议
5信息系统安全测评的内容
信息系统是指执行组织信息功能的，用于采集、创建、通信、计算、分发、处理、存储和/或控制数据或信息的计算机硬件、软件和/或固件的任何组合。信息系统的安全与信息系统的组成设备、信息系统的业务功能、信息系统的运行环境以及信息在系统中的状态有关。
信息系统安全测评的内容包括以下5个方面：-物理环境的安全测评
-网络的安全测评
一系统软件的安全测评
一业务应用的安全测评
安全管理的评估
5.1总体要求
DB31/T272-2008
a）信息系统的物理环境应提供系统正常运行的场所，并保证硬件、通信链路、机房环境的物理安全。
b）信息系统中计算机及其部件、网络设备、系统软件、应用软件等应具备满足业务处理响应要求的性能。
c）操作系统、数据库须进行安全配置。业务应用软件应根据安全需求开发安全功能，通过启用这些安全功能，达到保护应用信息的目的。d）信息系统应对软盘、光盘、可移动磁盘、网络接口等病毒可能入侵的途径进行控制，并阻断病毒在系统内的传播。
e）信息系统运行单位应针对系统应用状况建立安全管理制度，在统一的安全策略下对各类行为进行管理。
f）信息系统中采用的安全产品必须选用经国家主管部门许可的设备，建议选用经国家认证机构认可的产品。
g）信息系统中如采用密码技术、密码产品对不涉及国家秘密的信息进行加密保护或安全认证，所采用的密码技术或密码产品应符合《商用密码管理条例》的要求。5.2物理环境的安全测评
5.2.1机房环境
机房建设应满足国家标准GB/T2887《电子计算机场地通用规范》、GB/T9361《计算机场地安全要求》的要求。
5.2.2硬件设施的物理安全
构成信息系统的采购硬件、自制硬件及其组成零部件应符合国家规定的质量标准。5.3网络的安全测评
5.3.1网络结构
网络结构的安全测评包括网间互连的安全、内部网络拓扑信息保护。对基于TCP/IP协议的系统应根据安全需求在与Internet、与其他网络的网间互连处配置网关类设备实施访问控制，并对通信事件、操作事件进行审计。内部网段或子网之间应根据安全策略进行隔离，实施对信息流的访问控制。将系统内处理重要信息的服务器与处理一般信息的服务器放置在不同网段中。5.3.2网络通信协议
网络通信协议的安全测评包括局域网内通信协议的安全和网络互连通信协议的连接安全。局域网内通信协议如采用TCP/IP、IPX/SPX等通用协议连接时，应统筹考虑安全与应用的关系，与外部网络实施物理隔离或逻辑隔离，以防止非授权用户进入未被授权的网络范围。网络间互连通信协议如采用TCP/IP、IPX/SPX等通用协议，则需要分别或同时采用鉴别技术、访问控制技术、网络地址转换技术等，确保网络互连的连接安全。采用专用网络通信协议进行网络互连的系统，应根据业务应用的需求决定是否增加其他保护措施；当使用“非通用协议一通用协议”转换方式进行通信时，可参照上述通用协议的安全措施保护连接安全。5.3.3网络管理软件
网络管理软件提供对网络设备的配置、故障、性能及网络用户等方面的管理功能。网管协议应具有身份验证功能及对管理配置信息的完整性校验功能，也可对网管协议增加额外的安全措施。
网络设备
根据系统安全策略和应用需求对交换机、路由器等网络设备实施安全配置。3
DB31/T272-2008
路由器安全配置至少应包括下列内容：版本更新与漏洞修补、版本信息保护、身份鉴别、连接安全、配置备份、安全审计。交换机安全配置至少应包括下列内容：版本更新与漏洞修补、版本信息保护、身份鉴别、连接安全、配置备份、安全审计。在实时性要求较高的系统中，应对关键的网络线路、网络设备进行亢余备份；在网络上部署流量管理设备，当网络的某一段或某一点发生故障或网络信息流量激增时能在有效时间内进行切换分配，保证网络正常运行。5.3.5入侵监控
系统应在重要信息流经的网络和存有重要信息的主机上部署入侵监控系统，实时监视网络信息流和主机的可疑连接、系统日志、非法访问等活动，对系统中发现的异常行为及时报警或采取相应的措施。
5.4系统软件的安全测评
5.4.1操作系统
操作系统应根据信息系统安全策略进行选择和安全配置，并定期进行操作系统的漏洞检测、补丁修补。安全配置的内容包括：身份鉴别、用户权限分配、口令质量、鉴别失败处理、默认服务、终端限制、安全审计等。5.4.2数据库
数据库应该根据信息系统安全策略进行选择和安全配置，并定期进行数据库的漏洞检测、补丁修补。安全配置的内容包括：身份鉴别、用户权限分配、口令质量、终端限制、安全审计、备份恢复策略等。
5.5业务应用的安全测评
业务应用的安全测评包括业务应用软件安全、应用信息保护和密码支持。5.5.1通用应用软件
Web服务器、邮件服务器等通用应用软件应该根据信息系统安全策略进行选择和安全配置并及时升级补丁包。安全配置的内容包括：身份鉴别、用户权限分配、口令质量等。5.5.2专用应用软件
专用应用软件应具备身份鉴别、用户管理、访问控制、运行审计等安全功能，并定期进行版本维护及更新，以保护应用信息的安全。5.5.3应用信息保护
应根据安全策略在应用信息的生成、处理、传输和存储等环节采取相应的保护措施。建立备份制度，实现备份制度中既定的安全备份功能，以便在系统遭受破坏的情况下及时恢复应用信息。根据应用信息对业务的影响程度，可以选择数据冷备份、数据热备份或系统备份中的一种或多种相结合的备份方式。5.5.4密码支持
当系统中采用密码技术实现对信息的保护时，无论是在网络传输、业务应用软件中，还是存储中，都应在密钥产生、密钥分配、密钥销毁、密钥备份与恢复等环节具备安全机制，保护密码技术的正确使用。
5.6安全管理评估
信息系统的安全管理评估包括安全策略、安全管理机构、资产管理、物理访问、系统运行管理、访问控制、系统病毒防范、事故管理、业务连续性管理、符合性等方面的内容。6信息系统安全测评的具体要求
6.1物理环境
6.1.1机房环境
DB31/T272-2008
机房的环境条件、照明、接地、供电、建筑结构、媒体存放条件、监视防护设备等应满足GB/T2887《电子计算机场地通用规范》4.3~4.9的要求。机房的选址、防火、供配电、消防设施、防水、防静电、防雷击应满足GB/T9361《计算机场地安全要求》4～8的要求。在检查防火、防雷击、防静电、监控设施等方面时，应查验是否具有经专业机构检测为合格的证书或报告。此外，还应检查以下内容：
a）提供短期的备用电力供应（如UPS）；b）机房留有备用空间：
c）机房出入口配置门禁系统以及监控报警系统；d）进出机房的记录。记录内容包括访问者姓名、访问日期和时间，操作内容，携带物品等。6.1.2硬件设施的物理安全
硬件设备的电磁辐射应符合GB9254《信息技术设备的无线电骚扰限值和测量方法》要求；传输介质优先采用低辐射或有屏蔽措施的线缆。测评中，应检查设备、传输介质是否具有满足国家标准要求的证明文件。此外，还应检查系统运行单位是否采取了防止设备损坏、被盗的措施。6.2网络
6.2.1网络结构
在系统内部网络和外部网络间配置访问控制设备或逻辑隔离设备以实现网络访问控制和网络间的信息交换，对访问控制/隔离设备的通信事件、操作事件进行审计。测评中，核查访问控制/隔离设备的安全配置，并通过案例检测，以确认安全功能的有效性。测评要求如下：
a）根据系统安全策略配置访问控制规则，实现对网络数据包的过滤及对网络访问行为的管理，并对发生的网络攻击或违规事件进行检测和报警；b）访问控制/隔离设备应实施用户权限的管理；c）开启审计功能，记录通过访问控制/隔离设备的信息内容或活动；d）定期查看日志，并对存储的日志进行有效的保护（如防止非法修改、删除，定期导出等）；e）对具有文件传输控制能力的访问控制/隔离设备设置传输过滤列表。应根据业务应用和安全策略对系统内部服务器区域进行逻辑划分或逻辑隔离，实现对信息流的访问控制和安全传输，在终端计算机与服务器之间进行访问控制，建立安全的访问路径。对连接到存有重要信息的服务器，应采取网络层地址或数据链路层地址绑定的措施，防止地址欺骗。
当有重要信息通过公共网络进行传输时，应在传输线路中配置加密设备，以保证在公共网络上传输信息的保密性；禁止内部网络用户未授权与外部网络连接；如提供远程拨号或移动用户连接，应在系统入口处配置鉴别与认证服务器。禁止非授权设备接入内部网络，尤其是服务器区域。6.2.2路由器
测评中，应通过案例检测、配置核查等方法确定路由器是否根据系统安全策略实施了安全配置。测评要求如下：
a）保持路由器软件版本的更新，修补高风险的漏洞；b）禁止与应用无关的网络服务，关闭与应用无关的网络接口；5
DB31/T272-2008
c）对登录的用户进行身份标识和鉴别，身份标识唯一，不反馈鉴别信息；d）修改路由器默认用户的口令或禁止默认用户访问，用户口令应满足长度和复杂性要求，并对配置口令进行加密保护：
e）当登录连接超时，应自动断开连接，并要求重新鉴别；f）对能够登录路由器的远程地址进行限制，关闭与应用无关的远程访问接口；g）对旗标（banner）进行设置，不显示路由器型号、软件、所有者等信息；h）对路由配置进行备份，且对备份文件的读取实施访问控制；i）开启路由器日志功能，对修改访问控制列表、路由器配置等操作行为进行审计记录。6.2.3交换机
测评中，应通过案例检测、配置核查等方法确定交换机是否根据系统安全策略实施了安全配置。测评要求如下：
a）保持交换机软件版本的更新，修补高风险的漏洞；b）禁止与应用无关的网络服务，关闭与应用无关的网络接口；c）对登录交换机的用户进行身份标识和鉴别，身份标识唯一，不反馈鉴别信息；d）修改交换机默认用户的口令或禁止默认用户访问，用户口令应满足长度和复杂性要求，并对配置口令进行加密保护；
e）当用户登录连接超时，应自动断开连接，并要求重新鉴别；f）对能够登录交换机的远程地址进行限制，关闭与应用无关的远程访问接口；g）对旗标（banner）进行设置，不显示交换机的型号、软件、所有者等信息：h）对交换机配置进行备份，且对备份文件的读取实施访问控制；i）开启交换机日志功能，对修改访问控制列表、交换机配置等操作行为进行审计记录。6.2.4入侵监控
测评中，应通过案例检测、配置核查等方法确定入侵监控产品是否根据系统安全策略实施了安全配置。测评要求如下：
a）入侵监控产品的安全规则应符合系统安全策略的要求，能检测到违反规则的行为，入侵监控功能不被旁路；
b）定期更新入侵监控产品的特征数据库，定期分析入侵监控记录，并根据系统已经存在或潜在的安全漏洞及时调整监控策略；c）当检测到入侵行为后应通过电子邮件、声音、短信等方式，及时告知管理员；d）只允许授权人员管理入侵监控规则，如定义攻击特征库、设置入侵响应方式等。6.3系统软件
6.3.1操作系统
信息系统应根据应用需求、安全需求选择操作系统，并实施安全配置。测评中，应采取案例检测、漏洞扫描、配置核查等方式，测试操作系统是否根据系统安全策略实施了安全配置。测评要求如下：a）定期更新操作系统版本，修补漏洞；b）关闭与应用无关的服务、启动脚本或网络功能；c）对登录用户进行身份标识和鉴别；用户的身份标识唯一；d）身份鉴别如采用用户名/口令方式，应设置口令长度、复杂性和更新周期；e）修改默认用户的口令或禁止认用户访问，禁止暨名访问或限制访问的范围；f）具有登录失败处理功能，当登录失败次数达到限制值时，应结束会话、锁定用户；6
DB31/T272-2008
g）实行特权用户的权限分离，按照最小授权原则，分别授予不同用户各自为完成自身承担任务所需的最小权限，并在他们之间形成相互制约的关系；h）对系统内的重要文件（如启动脚本文件、口令文件、服务配置文件）、服务、环境变量、进程等实施访问控制；
i）系统管理员实施远程登录时，应使用强鉴别机制，且操作系统应记录详细的登录信息：j）通过设定终端接入方式、网络地址范围等条件限制终端的登录：k）对操作系统的安全事件进行审计，审计事件至少包括：用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作（如修改文件、目录的访问控制、更改系统或服务的配置文件）、重要用户（如系统管理员、系统安全员、系统审计员）的各项操作进行审计；1）.审计记录应包括日期和时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等；审计记录应受到保护避免受到未预期的删除、修改或覆盖；m）用户鉴别信息及与应用信息所在的存储空间，被释放或再分配给其他用户之前应完全清除；
n）限制单个用户对系统资源的最大使用额度。6.3.2数据库
信息系统应根据应用需求、安全需求选择数据库，并实施安全配置。测评中，应采取案例检测、漏洞扫描、配置核查等方式，测试数据库是否根据系统安全策略实施了安全配置。测评要求如下：a）定期更新数据库版本，修补漏洞；b）禁用或删除数据库不需要的存储过程；c）对访问数据库的用户进行身份标识和鉴别，身份标识唯一；d）身份鉴别如采用用户名/口令方式，应设置口令长度、复杂性和定期更新周期；e）当登录连接超时，自动退出登录会话并要求重新鉴别；f）修改默认用户的口令或禁止默认用户访问，防止数据库对象被Public权限用户访问：g）实行特权用户的权限分离，按照最小授权原则，分别授予不同用户各自为完成自身承担任务所需的最小权限，并在他们之间形成相互制约的关系；h）通过设定终端接入方式、网络地址范围等条件限制终端的登录；i）对数据库的安全事件进行审计，审计事件至少包括：用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、数据字典访问、管理员用户实施的各项操作、对存储重要信息的数据表的各项操作；j）审计记录应包括：事件发生的时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等；
k）审计记录应受到保护，避免受到未预期的删除、修改或覆盖。如果审计记录允许授权用户删除，应对删除操作予以记录；当审计记录存储空间接近极限时，应采取必要的措施，以保护所存储的记录；
1）限制单个用户对系统资源的最大使用额度。6.4业务应用
6.4.1通用应用软件
通用应用软件主要包括邮件服务软件、eb服务软件、中间件等。本标准提出了邮件服务软件、Web服务软件的测评要求。
6.4.1.1邮件服务软件
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。