今天是

邮件快件实名收寄信息系统安全技术指导书(试行)

    2017-12-13
目??录
前言 1
1 范围 2
2 规范性引用文件 2
3 术语和定义 2
4 安全建设总体要求 2
5 安全建设实施 3
5.1 实施方法 3
5.2 定级 3
5.3 规划与设计 4
5.4 实施、等级评估与改进 5
6 系统生命周期安全策略 5
6.1 安全建设与信息系统生命周期关系 5
6.2 系统建设 6
6.3 系统运维 8
6.4 系统废弃 12
7 系统信息安全技术要求 12
7.1 基本安全技术要求和增强性安全技术要求 12
7.2 物理安全 13
7.3 网络安全 14
7.4 主机安全 16
7.5 应用安全 19
7.6 数据安全与备份恢复 23
7.7 移动终端安全 24
7.8 接口安全 25
7.9 数据库安全 26
8 参考文献 28


前言

本指导书由国家邮政局提出。
本指导书起草单位:邮政业安全中心、卓望数码技术(深圳)有限公司。
本指导书主要起草人:冯力虎、江明发、韩瑞林、张虎林、林虎、王锡彬、夏新东、桂斌、邱培刚、刘冠达、杨春丽、许良锋、任仰奇、陈文博、郝明立。
1 范围

本指导书对寄递实名信息化系统与寄递企业实名信息化系统建设安全进行了规范,适用于系统规划、设计、实施、运行维护和废弃等各个阶段。
2 规范性引用文件

YZ/T 0146-2015快递服务监管信息交换规范
YZ/T 0143-2015快件基础数据元
GB/T 2260-2007中华人民共和国行政区划代码
YZ/T 0142-2015 邮政业信息系统安全等级保护定级指南
YZ/T 0152-2016 邮政业信息系统安全等级保护基本要求
集中开展寄递渠道清理整顿专项行动实施方案
GB/T 20271-2006信息安全技术 信息系统通用安全技术要求
GB/T 17859-1999计算机信息系统安全保护等级划分准则
GB/T 22240-2008信息安全技术 信息系统安全保护等级定级指南
GB/T 20269-2006 信息安全技术 信息系统安全管理要求
GB/T 20282-2006信息安全技术 信息系统安全工程管理要求
GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求
GB/T 25070-2010信息安全技术 信息系统等级保护安全设计技术要求
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
GB/T 20985-2007信息技术 安全技术 信息安全事件管理指南
GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范
GB/Z 28828-2012公共及商用服务信息系统个人信息保护指南
3 术语和定义

GB/T 25069-2010确立的术语和定义适用于本部分。
4 安全建设总体要求

寄递实名信息化系统与寄递企业实名信息化系统建设应当确保其具有支持业务稳定、持续运行的性能,与信息安全技术措施同步规划、同步建设、同步使用。
寄递实名信息化系统与寄递企业实名信息化系统建设应符合《邮政业信息系统安全等级保护定级指南》(YZ/T 0142-2015)的要求,正确进行系统安全等级定级,并按照等级保护的要求开展设计、建设、运行和维护的工作。
寄递实名信息化系统与寄递企业实名信息化系统整体的技术安全防护能力应不低于《邮政业信息系统安全等级保护基本要求》(YZ/T 0152-2016)中第三级技术要求,具备相应的安全防护能力,并依据《计算机信息系统安全保护等级划分准则》(GB/T 17859-1999)、《信息安全技术 信息系统通用安全技术要求》(GB/T 20271-2006)、《邮政业信息系统安全等级保护基本要求》(YZ/T 0152-2016)和《信息安全技术 信息系统等级保护安全设计技术要求》(GB/T 25070-2010)等标准实施安全防护,定期对信息系统安全等级状况开展等级测评,及时向公安机关备案。
依据国家等级保护的相关要求,寄递实名信息化系统与寄递企业实名信息化系统不允许存储、传输、处理国家秘密信息。
寄递实名信息化系统与寄递企业实名信息化系统安全建设应根据《公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012)对系统采集、处理、转移、使用的用户信息进行适当保护。
5 安全建设实施

5.1 实施方法

依据等级保护的相关要求,实施寄递实名信息化系统与寄递企业实名信息化系统安全建设的方法是:
a)依据信息安全等级保护的定级规则,确定寄递实名信息化系统与寄递企业实名信息化系统的安全等级;
b)按照信息安全等级保护要求,确定与信息系统安全等级相对应的基本安全要求;
c)依据信息系统基本安全要求,并综合寄递实名信息化系统与寄递企业实名信息化系统的安全技术要求、信息系统所面临风险和实施安全保护措施的成本,进行安全保护措施的定制,确定适用于寄递实名信息化系统与寄递企业实名信息化系统的安全保护措施,并依照本指导书相关要求完成规划、设计、实施、验收和运行工作。
寄递实名信息化系统与寄递寄递企业实名信息化系统安全建设的实施过程包括定级阶段,规划与设计阶段,实施、等级评估与改进阶段。
5.2 定级

定级阶段主要包括两个步骤:
a)信息系统识别与描述
清晰地了解寄递实名信息化系统与寄递企业实名信息化系统,描述系统的组成及边界。
b)等级确定
寄递实名信息化系统与寄递企业实名信息化系统的信息安全等级保护工作实行行业指导、属地管理。国家邮政局按照国家信息安全等级保护制度有关要求,负责本行业相关信息系统安全等级保护工作的指导和管理。按照“谁主管、谁负责,谁运营、谁负责”的原则确定信息安全责任。
各个系统等级保护对象的确定、受侵害的客体和严重程度的判定、最终等级的认定等定级工作依据《邮政业信息系统安全等级保护定级指南》(YZ/T 0142-2015)中要求的过程的标准执行。
寄递实名信息化系统与寄递企业实名信息化系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。等级保护对象受到破坏时所侵害的客体包括:公民、法人和其他组织的合法权益,社会秩序、公共利益、国家安全三个方面。
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为:造成一般损害、造成严重损害、造成特别严重损害的三种情况。
定级要素与信息系统安全保护等级的关系如表1所示。
表1 定级要素与安全保护等级的关系

受侵害的客体
对客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
第二级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级

作为定级对象的寄递实名信息化系统与寄递企业实名信息化系统的安全保护等级由业务信息安全等级和系统服务安全等级的较高者决定。
5.3 规划与设计

规划与设计阶段主要包括三个步骤,分别为:
a)信息系统分域保护框架建立
通过对寄递实名信息化系统与寄递企业实名信息化系统进行安全域划分、保护对象分类,建立信息系统的分域保护框架。
b)选择和调整安全措施
根据寄递实名信息化系统与寄递企业实名信息化系统的安全等级,选择对应等级的基本安全要求,并根据风险评估的结果,综合平衡安全风险和成本,以及各信息系统特定安全要求,选择和调整安全措施,确定出寄递实名信息化系统与寄递企业实名信息化系统和各类保护对象的安全措施。
c)安全规划和方案设计
根据所确定的安全措施,制定安全措施的实施规划,并制定安全技术解决方案和安全管理解决方案。
5.4 实施、等级评估与改进

实施、等级评估与改进阶段主要包括三个步骤,分别为:
a)安全措施的实施
依据安全解决方案建设和实施等级保护的安全技术措施和安全管理措施。
b)评估与验收
按照等级保护的要求,选择相应的方式来评估信息系统是否满足相应的等级保护要求,并对等级保护建设的最终结果进行验收。
c)运行监控与改进
运行监控是在实施等级保护的各种安全措施之后的运行期间,监控信息系统的变化和信息系统安全风险的变化,评估信息系统的安全状况。如果经评估发现信息系统及其风险环境已发生重大变化,新的 安全保护要求与原有的安全等级已不相适应,则应进行信息系统重新定级。如果信息系统只发生部分变 化,例如发现新的系统漏洞,这些改变不涉及信息系统的信息资产和威胁状况的根本改变,则只需要调整和改进相应的安全措施。
6 系统生命周期安全策略

应在系统的规划、设计、实施、运维与废弃阶段,正确识别、确认、批准所有安全需求,并设计、实施满足各项安全需求的安全控制措施。
6.1 安全建设与信息系统生命周期关系

对于寄递实名信息化系统与寄递企业实名信息化系统,等级保护工作的切入点应是信息系统规划阶段。
a)信息系统建设阶段,包括信息系统规划、设计、实施三方面内容。其中信息系统规划阶段,应分析并确定所建信息系统的安全等级,并在项目建议书中对寄递实名信息化系统与寄递企业实名信息化系统的安全等级进行论证; 信息系统设计阶段,要根据所确定的信息系统安全等级,设计信息系统的安全保护措施,并在可行性分析中论证安全保护措施;信息系统实施阶段,要与信息系统建设同步进行信息安全等级保护体系的实施,之后进行等级评估和验收;
b)信息系统运行维护阶段,要按照所建立的等级保护体系的要求,进行安全维护与安全管理;
c)信息系统废弃阶段,要按照所建立的等级保护体系的要求,对废弃过程进行有效的安全管理。
等级保护过程与信息系统生命周期对应关系如图1所示。


图1 等级保护过程与信息系统生命周期对应关系
1.1 系统建设

1.1.1 系统开发的安全需求

当涉及系统开发外包或合作开发时,安全需求应在双方认可的合同或协议中给予明确规定。在进行具体的系统开发和软件维护时,应遵循以下安全要求:
a)在应用系统开发、修改完成或者投入使用之前,应进行安全风险评估、业务影响评估、制定备份和灾难恢复方案;
b)按照等级保护的相关要求,确保人员、环境分离;
c)应标明应用的信息在等级保护中的分类级别,并确保运行应用的系统等级不低于该信息的级别;
d)系统开发过程中应咨询用户的安全意见,以提高所设计系统的安全性及操作效率。

1.1.2 系统建设过程

1.1.2.1 系统规划、设计和实施

系统规划应考虑当前系统状况、预测发展趋势,以及新的业务和系统需求;系统规划必须保留一定的设备冗余,特别是关键系统。
系统设计除满足业务功能的需要之外,还必须从软硬件、网络结构、业务逻辑、应急恢复等多方面考虑系统的安全性。
在系统实施的过程中,配套安全系统应与业务系统同步规划、同步建设、同步运行,不能滞后业务系统发展。
系统管理人员应通过预测试得到系统处理能力信息,从中分析可能对系统安全或用户服务构成威胁的性能瓶颈数据,并设计相应的补救措施。
1.1.2.2 系统验收

在新建系统、系统扩容、软硬件升级验收之前,应制定相应的验收标准,只有经测试合格的系统方可验收,系统验收过程应满足下列安全要求:
a)应通过漏洞扫描、配置检查、渗透测试等技术手段,对系统的安全性进行测试,验证系统是否已经达到要求的安全水平;
b)应具备对错误的恢复和重启程序、安全应急方案;
c)系统建设方应提供系统操作手册和相应操作培训;
d)应引入第三方测评机构辅助进行安全验收。
1.1.2.3 系统上线审批

设备入网包括采购、新建或扩容的设备进入寄递实名信息化系统与寄递企业实名信息化系统专网运行,在新建网络与信息处理设施时,必须建立相应的入网审批规定,严把入网关,系统上线的安全要求如下
a)新建或扩容设备入网运行时,应做好验收测试工作,特别要通过安全方面的测试查找已知的安全漏洞;
b)应定期维护入网设备的清单,新型号设备入网应通过入网测试;
c)新建网络与信息处理设施必须具备用户管理功能,以防止非授权使用;
d)入网前应先检查网络与信息处理设施的硬件和软件,确保能够和其它系统兼容。
1.1.3 开发和支持过程中的安全

1.1.3.1 变更控制程序

为减少变更对系统安全造成的影响,应在系统开发与运行维护的所有阶段实施严格的变更控制,对变更的申请、审核、测试、批准、执行计划与具体实施提出明确要求,当应用软件的修改可能会影响运营环境时,应用软件和业务运营的变更控制程序应结合起来实施。变更控制程序包括以下内容:
a)识别所有需要修改的计算机软/硬件、信息、数据库;
b)选择恰当的变更时间,确保在具体实施过程中最大限度地减少对业务的影响;
c)确保系统组件不会对应用系统的安全性和完整性造成不良影响;
d)保留所有变更的审计跟踪记录;
e)及时更新业务连续性计划。
f)应具有系统变更对现有系统造成影响的说明,特别是在业务高峰处理时间段内的变更;

1.1.3.2 后门及木马的防范

后门和木马都属于恶意代码范畴,对网络与信息系统有重大的潜在威胁。在软件的采购、开发、使用和维护过程中,应采取如下防范控制措施:
a)仅从信誉优良的厂商处购买软件;
b)使用通过权威机构评估测试的软件产品;
c)一旦安装完毕,控制对源代码的访问和修改;
d)不得随意运行未经检测的软件;
e)安装并正确使用检测和查杀后门、木马的工具。
1.1.3.3 软件开发外包的安全控制

在外包软件开发时,应注意以下几点要求:
a)应选择信誉好的软件承包商;
b)应遵从软件许可权协议、国家知识产权规定;
c)应具有对代码质量、编程标准的合同要求;
d)在安装之前进行后门和木马检测。
1.2 系统运维

1.2.1 日常运维工作

1.2.1.1 维护作业计划

为保证系统维护工作的规范性与准确性,维护人员应遵照系统安全要求,根据实际情况,编制维护作业计划,维护作业计划应明确规定维护活动的内容和周期。
维护人员必须严格执行维护作业计划,未经批准不得随意更改。
维护作业计划的执行情况应记录在案,并接受检查。
1.2.1.2 操作日志

为了对系统运行进行有效的监控、调查研究安全事件,应记录系统操作人员的操作日志,并防止操作日志被未经授权的更改或破坏,按规定的保存期限保存该操作日志,并根据操作程序对其进行定期、独立地审查。
1.2.1.3 日志审核

系统应保留日志记录,分析重复性登录失败、连续的访问尝试等信息以确定可疑事件。日志至少应记录以下内容:
a)事件发生的日期和起止时间;
b)用户标识或者计算机帐户;
c)事件的类型及其结果(成功或失败);
d)事件来源(如端口和地址等)。
系统管理员应明确日志审核频率、定义安全事件判断规则、规定安全事件通报流程,对日志进行审核,发现并确定安全事件,应记录重大安全事件。
1.2.1.4 故障管理

应进行系统的故障管理,对系统的故障进行记录,并采取相应的补救措施。系统的故障报告应包括故障起止时间、故障现象、业务影响、故障原因分析、处理过程及结果、故障恢复证据、事后的补救措施等。对故障管理的安全要求如下:
a)应审核系统故障报告,确保故障已被正确解决;
b)故障处理后,应保证故障对系统安全造成的破坏已得到修复;
c)应检查补救措施本身,保证其不会危及原有系统安全。
1.2.1.5 安全检查

安全检查应定期进行,并在系统变更后进行安全检查。定期检查应是在日常维护工作中定期安排的检查工作;系统变更安全检查应在系统进行调整、变更以后进行,目的是验证系统的变更对系统的安全运行与服务质量无不良影响。
应依据系统安全检查流程,从物理安全、系统安全、网络安全、应用安全和数据安全方面进行安全检查。检查、系统的安全运行情况与服务质量情况,主动发现系统的安全隐患。
1.2.2 应急响应

系统运维部门须建立安全事件响应机制,规定在安全事件的发现、报告、分析、处理、总结阶段的相关责任和程序,最大限度地减少安全事件造成的损害。为了能够正确处理事件,应在事件发生后尽快收集相关证据。
1.2.2.1 及时发现与报告

系统运维的人员应确保及时发现安全事件。应向所有员工和第三方人员提供培训,明确其发现并报告安全事件的义务。
为确保及时、准确地报告安全事件,应建立报告程序,明确如下内容:
a)受理部门和人员;
b)报告的方式或途径;
c)报告的内容应包括安全事件发生的时间、地点、系统名称、现象描述、初步分析等;
d)对处理情况的反馈要求。
应制定安全预警信息的授权审批发布流程,当有可能出现大规模的安全事件时,网络安全部门应发布安全预警信息,提醒相关人员加强安全巡检并采取相关安全措施。
1.2.2.2 协调与分析处理

应分析安全事件的现象和影响,制定相应的处理程序,并根据以下因素决定处理的优先次序:
a)国家安全利益;
b)人员的生命安全;
c)业务可用性;
d)保护敏感信息;
e)保护网络与信息资产,使遭受的损失降至最小。
安全事件处理分为抑制、消除、恢复等阶段,应基于以下安全要求:
a)网络安全部门应对安全事件进行分析,并通报有关人员协调处理;
b)除非经过特殊授权,否则未经网络安全部门的批准,任何人都不得试图证实安全缺陷的存在或者试图进行安全调查,以免破坏系统和证据;
c)违法犯罪行为的计算机技术分析只能由经过网络安全部门授权的、受过特殊培训的人员予以执行;
d)安全事件处理人员应收集并记录事件数据,特别是采取处理措施后无法再获得的数据;
e)跟踪、验证处理效果是否达到可接受的安全水平。
1.2.3 事件管理

1.2.3.1 建立事件管理程序

应制定并实施事件管理程序,将风险降至较低的水平,具体内容包括:
a)在识别关键业务流程并排列优先顺序的基础上,根据风险发生的可能性及其产生的影响来判定系统所面临的风险;
b)识别网络与信息处理设施实现的业务目标;
c)根据单位的业务目标和优先级别制定业务连续性战略和业务连续性计划;
d)定期测试并更新具体方案和程序;
e)确保事件管理被纳入单位的管理流程和组织结构,明确分配事件管理的职责,包括部门之间的协调;
f)参与系统承建的合作厂商、第三方外包服务提供商也必须负责制订、实施、联合测试业务连续性方案,且该方案必须经过网络安全部门审核。
1.2.3.2 业务连续性和影响分析

在进行业务连续性和事件影响分析时,应先进行风险评估,识别和分析两个主要因素:一是可能导致业务中断的事件;另一个是中断产生的影响。业务连续性和影响分析应涵盖所有业务流程,而不限于网络与信息处理设施。业务连续性和影响分析应基于以下方面:
a)应根据风险评估的结果制定业务连续性战略,并据此确定业务连续性的整体方案,在获取上级批准后予以贯彻实施;
b)进行业务连续性和影响分析过程中,应重点确认关键信息资产;
c)灾难恢复计划流程的级别和范围应由信息资产损失对单位和业务的影响大小决定;
d)业务的重要程度应基于用户利益、经济损失、法律影响、声誉等因素进行评估;
e)业务的重要程度可用来确定恢复时间目标,决定网络与信息资产恢复正常需要的时间。
1.2.3.3 制定并实施业务连续性方案

在制定和实施业务连续性方案时应考虑以下内容:
a)系统业务连续性方案都应有指定的责任人;
b)业务连续性方案应经过上级部门和网络安全部门的审批;
c)识别业务流程中所有岗位的职责,确定该岗位人员在业务连续性方案中的责任;
d)确定应急程序,并关注与其它业务的关联性;
e)记录经过批准的应急程序,并形成正式文件;
f)向相关部门的员工及第三方提供业务连续性方案培训;
g)识别业务连续性方案所需要的服务和资源;
h)方案应确保满足业务恢复目标,并且业务恢复目标应与业务优先级别相匹配。
1.2.3.4 维护业务连续性方案

为确保业务连续性方案的有效性,应通过定期测试、评审和更新来维护业务连续性方案,同时确保所有相关人员都正确理解并掌握业务连续性方案。
应制定业务连续性方案的测试计划,明确规定所有业务连续性方案的测试周期和方法。可以采取每年全面演练一次备用系统的恢复测试。
应制定业务连续性方案的评估和变更管理程序,把定期评审每套业务连续性方案的责任分配到人,并定期更新,同时确保更新后的方案得到及时分发。
更新方案的时机一般是在系统出现重大变化时,如新设备的采购或操作系统的升级,还包括下列因素的变化:
a)人员及其联系方式;
b)业务战略;
c)系统迁移导致的地点、设施和资源的变化;
d)法律法规;
e)承包商、供应商以及关键用户;
f)新的/撤销的流程;
g)风险(运营风险和财务风险)等。
1.3 系统废弃

系统需要废弃时,应对其进行风险评估,以确保硬件和软件得到了适当的废弃处置,且残留信息也进行了妥善处理。应确保系统的更新换代能以一个安全和系统化的方式完成。
应根据要废弃的信息系统的信息资产清单,识别重要信息资产、所处的位置以及当前状态等,列出需转移、暂存和清除的信息资产的清单。
应根据信息资产的重要程度制定信息资产的转移、暂存、清除的方法和过程。
应根据要废弃的信息系统的设备清单,识别要被迁移或废弃的硬件设备、所处的位置以及当前状态等,列出需迁移、废弃的设备的清单。
应根据规定和实际情况制定设备处理方案,包括重用设备、废弃设备、敏感信息的清除方法等。
应根据设备处理方案对设备进行处理,记录设备处理过程,包括参与的人员、处理的方式、是否有残余信息的检查结果等。
应根据要废弃的信息系统的存储介质清单,识别载有重要信息的存储介质、所处的位置以及当前状态等,列出需清除或销毁的存储介质清单。
应根据存储介质所承载信息的敏感程度确定对存储介质的处理方式和处理流程。存储介质的处理包括数据清除和存储介质销毁等。
应根据存储介质处理方案对存储介质进行处理,记录处理过程,包括参与的人员、处理的方式、是否有残余信息的检查结果等。
2 系统信息安全技术要求

2.1 基本安全技术要求和增强性安全技术要求

本指导书对系统的安全技术要求分为基本安全技术要求和增强性安全技术要求两个层次,基本安全技术要求为最低安全要求,增强性安全技术要求为推荐类安全要求。各单位应在遵照执行基本安全技术要求的同时,积极采取措施,争取达到强性安全技术要求。
基本安全技术要求从物理安全、网络安全、主机安全、应用安全、数据安全、移动终端安全和数据接口安全几个层面提出。基本安全技术要求从各个层面或方面提出了系统的每个组件应该满足的安全要求,信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。除了保证系统的每个组件满足基本安全要求外,还要考虑组件之间的相互关系,来保证信息系统的整体安全保护能力。
增强性安全技术要求在基本技术要求的基础上根据国家相关安全标准提出的更高的安全技术要求。
本章以下章节中的安全技术要求,除特别指出为增强性安全技术要求的内容,均为基本安全技术要求。
2.2 物理安全

2.2.1 物理位置的选择

1. 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
2. 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
2.2.2 物理访问控制

1. 机房出入口应安排专人值守,控制、鉴别和记录进入的人员。
2. 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
3. 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域。
4. 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
5. 增强性要求:必要时应配置第二道电子门禁系统。
2.2.3 防盗窃和防破坏

1. 应将主要设备放置在机房内。
2. 应将设备或主要部件进行固定,并设置明显的不易除去的标记。
3. 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。
4. 应对介质分类标识,存储在介质库或档案室中。
5. 应利用光、电等技术设置机房防盗报警系统。
6. 应对机房设置监控报警系统。
2.2.4 防雷击

1. 机房建筑应设置避雷装置。
2. 应设置防雷保安器,防止感应雷。
3. 机房应设置交流电源地线。
2.2.5 防火

1. 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。
2. 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
3. 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
2.2.6 防水和防潮

1. 水管安装,不得穿过机房屋顶和活动地板下。
2. 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
3. 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
4. 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
2.2.7 防静电

1. 主要设备应采用必要的接地防静电措施。
2. 机房应采用防静电地板。
3. 增强性要求:应采用静电消除器等装置,减少静电的产生。
2.2.8 温湿度控制

1. 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
2.2.9 电力供应

1. 应在机房供电线路上配置稳压器和过电压防护设备。
2. 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求。
3. 应设置冗余或并行的电力电缆线路为计算机系统供电。
4. 应建立备用供电系统。
2.2.10 电磁保护

1. 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰。
2. 电源线和通信线缆应隔离铺设,避免互相干扰。
3. 增强性要求:应对关键区域实施电磁屏蔽。
2.3 网络安全

2.3.1 网络结构安全

1. 合理划分网络区域,并将寄递实名信息化系统和寄递企业实名信息化系统的网络与办公网及其他网络进行隔离。
2. 在网络边界、所有互联网入口以及隔离区(DMZ)与内部网络之间部署防火墙,对非业务必需的网络数据进行过滤,控制粒度为端口级。
3. 应在业务终端与寄递实名信息化系统和寄递企业实名信息化系统服务器之间建立安全的访问路径。
4. 维护与当前运行情况相符的网络拓扑图。
5. 应保证主要链路的防火墙、交换机等网络设备的处理能力具备冗余空间,满足业务高峰期需要的1倍以上。
6. 建立带宽管理策略,保证互联网带宽具备冗余空间,充分满足业务高峰期和业务发展需要。
7. 必要时,优先保护寄递实名信息化系统和寄递企业实名信息化系统的业务流量。
2.3.2 访问控制

1. 在网络结构上实现网间的访问控制,采取技术手段控制网络访问权限。
2. 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级。
3. 应对访问网络设备的用户进行限制,控制粒度为单个用户。
4. 网络设备应按最小安全访问原则设置访问控制权限。
5. 增强性要求:
a)应不允许数据带通用协议通过。
b) 应根据数据的敏感标记允许或拒绝数据通过。
c) 应不开放远程拨号访问功能。
2.3.3 网络设备的管理规范和安全策略

1. 应对登录网络设备的用户进行身份鉴别。
2. 应对网络设备的管理员登录地址进行限制。
3. 网络设备用户的标识应唯一。
4. 出口路由器、骨干交换机等关键网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别。
5. 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换。
6. 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。
7. 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
8. 应实现设备特权用户的权限分离。
9. 应更改网络设备的初始密码和默认设置。
10. 指定专人负责防火墙、路由器和IDS/IPS的配置与管理,按季定期审核配置规则。
11. 在变更防火墙、路由器和IDS/IPS配置规则之前,确保更改已进行验证和审批。
12. 明确业务必需的服务和端口,不应开放多余的服务和端口。
13. 应定期检验网络设备软件版本信息,避免使用软件版本中出现安全隐患。
14. 应及时检查并锁定或撤销网络设备中多余的用户账号及调试账号。
15. 应定期对网络设备的配置文件进行备份,发生变动时应及时备份,确保备份配置文件的安全性。
增强性要求:网络设备用户的身份鉴别信息至少应有一种是不可伪造的。
2.3.4 安全审计和日志

1. 应对网络设备的运行状况、异常网络流量、用户行为等信息进行日志记录,日志至少保存6个月。
2. 审计记录应包括但不限于:事件发生的时间、相关操作人员、事件类型、事件是否成功及其他与审计相关的信息。
3. 应根据记录进行安全分析,并生成审计报表。
4. 应对审计记录进行保护,避免被未授权删除、修改或者覆盖:
a)只允许具有工作需要的人员查看;
b)及时备份到集中的日志服务器上或难以更改的介质上。
1. 采取措施保障关键网络设备时间同步,例如,设置网络时间协议(NTP)服务器。
2. 增强性要求:
a)应定义审计跟踪极限的阈值,当存储空间接近极限时,能采取必要的措施,当存储空间被耗尽时,终止可审计事件的发生。
b)应根据系统的统一安全策略,实现集中审计,时钟保持与时钟服务器同步。
1.1.1 入侵防范

1. 应对网络异常流量进行监控,监视并记录以下攻击行为:端口扫描、暴力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
2. 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标和攻击时间,在发生严重入侵事件时应提供报警。
3. 制订合理的IDS/IPS的安全配置策略,并指定专人定期进行安全事件分析和安全策略配置优化。
4. 应采取措施防范对系统服务器端的DoS/DDoS攻击。
增强性要求:当检测到攻击行为时,除了报警外,还能自动采取相应动作(如阻断、追踪等)。
1.1.2 边界完整性检查

1. 应能够对非授权设备接入内部网络的行为及时发现并对其进行有效阻断。
2. 应对能够内部网络的终端私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
1.1.3 恶意代码防范

1. 应在网络边界部署恶意代码防护设备对恶意代码进行检测和清除。
2. 应定期对恶意代码防护设备进行代码库升级和系统更新。
1.1 主机安全

1.1.1 身份鉴别

1. 应对登录操作系统和数据库的用户进行身份标识和鉴别,严禁匿名登录。
2. 为不同的操作系统和数据库访问用户分配不同的账号并设置不同的初始密码,禁止共享账号和密码。
3. 应要求系统的静态口令在8位以上,由字母、数字、特殊符号等混合组成。
4. 首次登录系统时应强制修改密码,至少每90天更改一次密码,不允许提交与上次相同的新口令。
5. 在收到用户重置密码的请求后,应先对用户身份进行核实再进行后续操作。
6. 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施:
7. 应确保对密码进行强效加密保护,不允许明文密码出现。
8. 对服务器进行远程管理时,如果数据通过不可信网络传输,应采取加密通信方式,防止认证信息在网络传输过程中被窃听。
9. 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
10. 系统和设备的口令密码设置应在安全的环境下进行,必要时应将口令密码纸质密封交相关部门保管,未经主管领导许可,任何人不得擅自拆阅密封的口令密码,拆阅后的口令密码使用后应立即更改并再次密封存放。
11. 增强性要求:
a)应设置鉴别警示信息,描述未授权访问可能导致的后果。
b)身份鉴别信息至少有一种是不可伪造的,例如以密钥证书、动态口令卡、生物特征等作为身份鉴别信息
1.1.2 访问控制

1. 根据“业务必需”原则授予不同用户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
2. 应根据管理用户的角色(例如,系统管理员、安全管理员、安全审计员等)分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。
3. 应实现操作系统和数据库系统特权用户的权限分离。
4. 严格限制默认用户的访问权限,重命名系统默认用户,修改默认用户密码,及时删除多余的、过期的用户及调试用户。
5. 严格控制操作系统重要目录及文件的访问权限。
6. 增强性要求:
a)应根据主体和客体的敏感度分别设立敏感标记。
b)应依据安全策略和所有主体和客体设置的敏感标记控制主体对客体的访问。
c)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表、记录和字段级。
1.1.3 安全审计

1. 审计范围应覆盖到服务器和管理终端上的每个操作系统用户和数据库用户。
2. 审计内容应包括重要用户行为、系统资源的异常使用和重要信息系统命令的使用、账号的创建分配与变更、审计策略的调整、审计系统功能的关闭与启动等系统内重要的安全相关事件。
3. 审计记录包括时间、类型、访问者标识、访问对象标识和事件结果,保存时间不少于半年。
4. 应根据记录数据进行安全分析,生成审计报表,并及时备份到集中的日志服务器上或难以更改的介质上。
5. 应保护审计进程,避免受到未预期的中断。
6. 应保护审计记录,避免遭受未授权的删除、修改或覆盖。
7. 增强性要求:
应能够根据信息系统的统一安全策略,实现集中审计。
1.1.4 剩余信息保护

1. 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中。
2. 应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
1.1.5 入侵防范

1. 应能够检测到对重要服务器进行入侵的行为,包括但不限于主机运行监视、特定进程监控、入侵行为监测和完整性检测等,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。
2. 应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施或在检测到完整性即将受到破坏时进行事前阻断。
3. 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,禁用所有不必要和不安全的服务和协议,移除所有不必要的功能。
4. 应及时对主要服务器进行补丁升级。
5. 应严格限制下载和使用免费软件或共享软件,应确保服务器系统安装的软件来源可靠,且在使用前进行测试。
1.1.6 恶意代码防范

1. 应安装国家安全部门认证的正版防恶意代码软件,对于依附于病毒库进行恶意代码查杀的软件应及时更新防恶意代码软件版本和恶意代码库,对于非依赖于病毒库进行恶意代码防御的软件,例如主动防御类软件,应保证软件所采用的特征库有效性与实时性,对于某些不能安装相应软件的系统可以采取其他安全防护措施来保证系统不被恶意代码攻击。
2. 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。
3. 应支持防恶意代码工具的统一管理。
1.1.7 资源控制

1. 应通过设定终端接入方式、网络地址范围等条件限制终端登录。
2. 应根据安全策略设置登录终端的操作超时锁定,超时时间应小于15分钟。
3. 应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况,并提供资源使用异常情况下的报警功能。
4. 应限制单个用户对系统资源的最大或最小使用限度。
5. 应定期对系统的性能和容量进行规划,能够对系统的服务水平降低到预先规定的最小值进行检测和报警。
6. 所有的服务器应全部专用化,不使用服务器进行收取邮件、浏览互联网等用户端操作。
1.2 应用安全

1.2.1 身份鉴别

1. 禁止明文显示密码,应使用相同位数的同一特殊字符(例如*和#)代替。
2. 密码应有复杂度的要求,包括:
a)长度至少8位,支持字母和数字共同组成;
b)在用户设置密码时,应提示用户不使用简单密码;
c)如有初始密码,首次登录时应强制用户修改初始密码。
3. 应具有防范暴力破解静态密码的保护措施。
4. 应保证密码的加密密钥的安全。
5. 应可判断用户的空闲状态,当空闲超过一定时间后,自动关闭当前连接,用户再次操作时必须重新登录。
6. 会话标识应随机并且唯一,会话过程中应维持认证状态,防止用户通过直接输入登录后的地址访问登录后的页面。
7. 禁止在用户端缓存密码、密钥等敏感信息,例如,在包含上述信息的页面设置禁止缓存参数,防范未授权用户通过浏览器后退等方式获取敏感信息。
8. 退出登录或用户端程序、浏览器页面关闭后,应立即终止会话,保证无法通过后退、直接输入访问地址等方式重新进入登录后的系统页面。
9. 修改用户敏感参数(例如,密码等)时,应再次认证用户身份。
10. 显示用户身份证件信息时,应屏蔽部分关键内容。
11. 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用。
12. 增强性要求:
a)使用软键盘方式输入密码时,应采取对整体键盘布局进行随机干扰等方式,防范密码被窃取。
b)应采取有效措施防范登录操作的重放攻击,如在登录交互过程提交的认证数据中增加服务器生成的随机信息成分。
1.2.2 访问控制

1. 应建立安全的访问控制机制,防止用户访问无权访问的功能或资源,例如越权访问他人账号的信息、在低级别的认证方式下访问高级别认证方式才能访问的功能等。
2. 应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
3. 应定期度检查并锁定或撤销应用系统及数据库中多余的、过期的用户及调试用户。
4. 应具有对重要信息资源设置敏感标记的功能。
5. 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
6. 增强性要求:
应确保处理敏感信息时只输出必要信息,而无任何多余信息,输出结果只能被发送至授权的终端,并且应定期检查此类输出。
1.2.3 安全审计

1. 应具有保存和显示用户历史登录信息(例如,时间、IP地址、MAC地址等)的功能,支持用户查询登录(包括成功登录和失败登录)、交易等历史操作。
2. 应具有详细的用户寄递信息的查询功能,包括但不限于日期、时间、物品等信息。
3. 审计功能应覆盖所有对系统数据的管理操作,包括用户开通、证书发放、密码修改、冻结解冻、权限变更等操作。
4. 审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等,并定期备份审计记录,保存时间不少于半年。
5. 应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录。
6. 合理分配交易日志的管理权限,禁止修改日志,确保日志的机密性、完整性和可用性。
7. 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。
8. 增强性要求:
应根据系统统一安全策略,提供集中审计接口。
1.2.4 剩余信息保护

1. 应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中。
2. 应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。
1.2.5 通信完整性

1. 应采用密码技术保证通信过程中数据的完整性。
2. 增强性要求:
应采用国产密码技术保证通信过程中数据的完整性。
1.2.6 通信保密性

1. 在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证。
2. 应对通信过程中的整个报文或会话过程进行加密。
3. 增强性要求:
应基于硬件化的设备对重要通信过程进行加解密运算和密钥管理。
1.2.7 抗抵赖

1. 应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能。
2. 应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。
1.2.8 软件容错

1. 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。
2. 应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。
3. 应能够有效屏蔽系统技术错误信息,不将系统产生的错误信息直接反馈给用户。
4. 增强性要求:
应提供自动恢复功能,当故障发生时立即自动启动新的进程,恢复原来的工作状态。
1.2.9 资源控制

1. 应能够对系统的最大并发会话连接数进行限制。
2. 应能够对单个用户的多重并发会话进行限制。
3. 应能够对一个时间段内可能的并发会话连接数进行限制。
4. 当应用系统通信双方中的一方在指定时间内未作任何响应,另一方应能够自动结束会话。
5. 应能够对一个访问账户或者一个请求进程占用的资源分配最大限额和最小限额。
6. 应能够对系统服务水平降低到预先规定的最小值进行检测和报警。
7. 应提供服务优先级设定功能,并在安装后根据安全策略设定访问账户或请求进程的优先级,根据优先级分配系统资源。
1.2.10 Web应用安全

1.2.10.1 防范敏感信息泄露

1. 在系统上线前,应删除Web目录下所有测试脚本、程序。
2. 如果在生产服务器上保留部分与Web应用程序无关的文件,应为其创建单独的目录,使其与Web应用程序隔离,并对此目录进行严格的访问控制。
3. 禁止在Web应用程序错误提示中包含详细信息,不向用户显示调试信息。
4. 禁止在Web应用服务器端保存用户敏感信息。
5. 应对系统Web服务器设置严格的目录访问权限,防止未授权访问。
6. 统一目录访问的出错提示信息,例如对于不存在的目录或禁止访问的目录均以“目录不存在”提示用户。
7. 禁止目录列表浏览,防止系统重要数据被未授权下载。
1.2.10.2 防范SQL注入攻击

1. 系统Web服务器应用程序应对用户提交的所有表单、参数进行有效的合法性判断和非法字符过滤。防止攻击者恶意构造SQL语句实施注入攻击。
2. 禁止仅在用户端以脚本形式对用户的输入进行合法性判断和参数字符过滤。
3. 数据库应尽量使用存储过程或参数化查询,并严格定义数据库用户的角色和权限。
1.2.10.3 防范跨站脚本攻击

1. 应通过严格限制用户端可提交的数据类型以及对提交的数据进行有效性检查等有效措施防止跨站脚本注入。
2. 应对Web页面提供的链接和内容进行控制,定期检查外部链接和引用内容的安全性。
3. 若有Web服务的企业,应采取网站页面防篡改措施,例如部署网页防篡改系统等。
4. 若有Web服务的企业,应采取有效措施防范由于客户使用第三方浏览器(例如手机平台浏览器)带来的敏感信息泄露、交易数据篡改等重要信息安全风险。
1.2.10.4 防钓鱼

1. 若有需客户登陆场景的企业,应该采取安全措施进行防钓鱼,应至少满足以下防钓鱼安全措施:
2. 应具有防网络钓鱼的功能,例如,显示客户预留信息等。
3. 应加强防钓鱼的应用控制和风险监控措施,例如,增加客户端提交的Referer/IP信息的校验、设置转账白名单等。
4. 采用已有的和IE或其它浏览器相关联的可信网址的认证机制,保证登录的URL经过第三方权威机构的安全认证。
1.3 数据安全与备份恢复

1.3.1 个人用户数据安全

1. 针对个人敏感信息,应在本地进行加密存储,避免数据泄漏。
2. 寄递企业在向上级主管机构上报时,应通过安全通道进行上报。
3. 敏感数据在显示时,应进行脱敏处理,防止系统用户的信息泄露。
1.3.2 数据完整性

1. 应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。
2. 应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。
3. 增强性要求:
应对重要通信提供专用通信协议或安全通信协议服务,避免来自基于通用通信协议的攻击破坏数据完整性。
1.3.3 数据保密性

1. 应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性。
2. 应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。
3. 增强性要求:
应对重要通信提供专用通信协议或安全通信协议服务,避免来自基于通用协议的攻击破坏数据保密性。
1.3.4 备份和恢复

1. 应建立重要数据的定期数据备份机制,至少做到增量数据备份每天一次,完整数据备份每周一次,并将备份介质存放在安全区域内,数据保存期至少为一年。
2. 应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地。
3. 应采用冗余技术设计网络拓扑结构,避免存在网络单点故障。
4. 应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。
5. 应对备份的数据库文件使用国密算法进行加密存储。
6. 增强性要求:
a)应建立异地灾难备份中心,配备灾难恢复所需的通信线路、网络设备和数据处理设备,提供业务应用的实时无缝切换。
b)应提供异地实时备份功能,利用通信网络将数据实时备份至灾难备份中心。
1.4 移动终端安全

1.4.1 数字证书

1. 应支持数字证书的安装和运行。
2. 移动终端应支持使用软件形式的数字证书。
3. 增强性要求:
a)应使用硬件密码卡或UKey等安全介质存储数字证书。
b)硬件密码卡或UKey应支持国密算法。
1.4.2 身份认证

1. 应支持设置开机口令或利用生物特征识别,开启移动终端时进行身份认证。
2. 应支持屏幕锁定口令,移动终端空闲时间达到设定阈值时锁定屏幕,解锁时应重新进行身份认证。
3. 访问系统数据之前应采用数字证书进行身份验证。
4. 在限定时间段内多次连续尝试身份验证失败,应锁定系统。
5. 认证信息应加密存储。
6. 增强性要求:
认证信息应采用硬件密码卡或UKey加密存储。
1.4.3 数据存储

1. 系统数据应加密存储,采用的加密算法要求使用国密算法。
2. 增强性要求:
业务数据不应存储在移动智能终端上,如手机和PAD等。
1.4.4 安全防护

1. 支持对病毒、木马的查杀,拦截恶意软件的攻击。
2. 应支持对系统漏洞的修复。
3. 应支持系统补丁的升级。
1.4.5 运行环境隔离

1. 应采用隔离技术保证系统与个人应用运行环境的有效隔离。
2. 应在运行结束之后及时清除临时文件等剩余信息。
3. 增强性要求:
应采用虚拟化或其他技术实现用户界面和运行环境的隔离,保证业务数据仅在服务端运行和存储,移动终端不存储业务数据。
1.4.6 APP安全

1. APP程序应提供敏 感信息机密性、完整性保护功能,例如采取随机布放按键位置、防范键盘窃听技术、计算MAC校验码等措施。
2. APP程序应采取代码混淆等技术手段,防范攻击者对APP程序的调试、分析和篡改。
3. APP程序开发设计过程中应注意规避各平台存在的安全漏洞,例如,按键输入记录、自动拷屏机制、文档显示缓存等。
4. APP程序应针对输入数据做严格验证,供相关注入攻击防护机制。
5. 应对APP其安全性进行检测和加固(诸如源代码混淆等),防止APP应用被第三方篡改、二次打包、反编译、盗版等情况发生。
6. 应使用正规的、带有开发者信息的证书对APP进行签名。
7. 应为APP添加运行时的校验机制,在用户首次打开APP时进行自校验,判断APP是否已被攻击者篡改。若存在被篡改的情况,则主动提示用户卸载软件。
8. 增强性要求:
a)应设置专门的安全渠道提供APP应用发布、下载及更新服务。
b)APP程序应做防钓鱼劫持措施,判断系统当前运行的程序,一旦发现应用切换(可能被劫持),给予用户提示以防范钓鱼程序的欺诈。
1.5 接口安全

1.5.1 通信协议安全

1. 应采用安全协议如HTTPS协议、SFTP协议等对关键数据进行通信传输。
2. 增强性要求:
应采用安全协议如HTTPS协议、SFTP协议等对数据进行通信传输。
1.5.2 网络传输安全

1. 数据的网络传输应充分考虑传输通道的安全性,如采用虚拟专用网(VPN)。
2. 数据在传输过程中应采用国密算法对数据进行加密。
3. 数据在网络传输过程中应该有完整性校验机制。
4. 对传输数据异常应有重传机制。
5. 增强性要求:
应采用专用网络进行数据传输。
1.5.3 接口访问控制

1. 应用系统接口调用,需进行访问控制,可通过IP白名单、账号口令、Oauth认证等方式,对调用的应用系统进行认证,确保对接口调用的鉴权。
2. 数据传递,需经过应用系统之间的接口调用,禁止通过后台数据库直接进行数据传递。接口调用的数据内容需要根据不同的业务需要,进行权限控制,调用信息需严格限制字段,仅允许操作传递业务必须的字段。
1.5.4 接口安全审计

3. 系统应对接口调用情况进行日志记录,并设置一段时间内(比如1秒)超出调用次数的告警。
1.6 数据库安全

1.6.1 身份鉴别

1. 应对登录数据库系统的用户进行身份标识和鉴别。
2. 数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换。
3. 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。
4. 当对数据库进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
5. 应为数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
6. 应采用两种或两种以上组合的鉴别技术对数据库管理员用户进行身份鉴别。
1.6.2 访问控制

1. 应启用访问控制功能,依据安全策略控制用户对资源的访问。
2. 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。
3. 应实现操作系统和数据库系统特权用户的权限分离。
4. 应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令。
5. 应及时删除多余的、过期的帐户,避免共享帐户的存在。
6. 应对重要信息资源设置敏感标记。
7. 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
8. 增强性要求:
a)应根据主体和客体的敏感度分别设立敏感标记。
b)应依据安全策略和所有主体和客体设置的敏感标记控制主体对客体的访问。
c)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表、记录和字段级。
1.6.3 安全审计

1. 审计范围应覆盖到每个数据库用户。
2. 审计内容应覆盖数据库系统内重要的安全相关事件如用户登录、自主访问控制的所有操作记录、重要用户行为(如增加/删除用户、删除库表等)。
3. 审计记录应包括事件的日期、时间、类型、主体标识(如用户名)、客体标识(如数据库表、字段或记录等)和事件操作结果等。
4. 应能够根据记录数据进行分析,并生成审计报表。
5. 应保护审计进程,避免受到未预期的中断。
6. 应保护审计记录,避免受到未预期的删除、修改或覆盖等。
7. 增强性要求:
应能够根据信息系统的统一安全策略,实现集中审计。
1.6.4 资源控制

1. 应通过设定终端接入方式、网络地址范围等条件限制数据库被非授权访问。
2. 应根据安全策略设置登录终端的操作超时锁定,防止数据库被非授权利用。
3. 应在数据库系统上限制单个用户对系统资源的最大或最小使用限度,防止数据库遭受拒绝服务攻击。
1.6.5 数据安全

1. 应对数据库中的敏感数据进行加密存储,加密算法应使用国密算法。
2. 数据库中的密码存储不能直接做摘要存储,应采用密码+随机数后再做摘要存储。
3. 应通过数据全备、增备、差备相结合的方式,防止数据丢失。
4. 数据库中数据的存取应有并发控制措施。
5. 数据库的存储应至少满足线上冗余存储系统和离线备份系统,并要求进行异地备份,利用通信网络将关键数据定时批量传送至备用场地。
6. 应使用国密算法对数据库文件进行分块加密存储,进行严格的访问控制限制,并对访问过程进行监控,采取安全措施防止数据库被脱库。
7. 增强性要求:
a)客户端与数据库之间或者中间件与数据库之间的数据传输要加密。
b)应有必要措施保护数据库不用用户间的数据交叉访问。
2 参考文献

《中华人民共和国反恐怖主义法》(2016年1月1日起施行)
《中华人民共和国邮政法》(2009年10月1日起施行,2015年4月24日第二次修正)
《邮政行业安全监督管理办法》(2011年2月1日起施行,2013年4月12日修正)
相关新闻

中华人民共和国国家邮政局 版权所有      备案序号:京ICP备08008301号

主办单位中华人民共和国国家邮政局

State Post Bureau of The People's Republic of China