标准搜索结果: 'GB/T 20271-2006'
标准编号 | GB/T 20271-2006 (GB/T20271-2006) | 中文名称 | 信息安全技术 信息系统通用安全技术要求 | 英文名称 | Information security technology - Common security techniques requirement for information system | 行业 | 国家标准 (推荐) | 中标分类 | L80 | 国际标准分类 | 35.040 | 字数估计 | 171,112 | 发布日期 | 2006-05-31 | 实施日期 | 2006-12-01 | 引用标准 | GB 17859-1999; GBJ 45-1982; TJ 16-1974 | 起草单位 | 北京思源新创信息安全资讯有限公司、江南计算技术研究所技术服务中心 | 归口单位 | 全国信息安全标准化技术委员会 | 标准依据 | 中国国家标准批准发布公告 2006年第7号(总第94号) | 提出机构 | 全国信息安全标准化技术委员会 | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | 范围 | 本标准依据GB 17859-1999的五个安全保护等级的划分, 规定了信息系统安全所需要的安全技术的各个安全等级要求。本标准适用于按等级化要求进行的安全信息系统的设计和实现, 对按等级化要求进行的信息系统安全的测试和管理可参照使用。 |
GB/T 20271-2006: 信息安全技术 信息系统通用安全技术要求
GB/T 20271-2006 英文名称: Information security technology -- Common security techniques requirement for information system
中华人民共和国国家标准
GB/T 20271-2006
信息安全技术
信息系统通用安全技术要求
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
1 范围
本标准依据GB 17859-1999的五个安全保护等级的划分,规定了信息系统安全所需要的安全技
术的各个安全等级要求。
本标准适用于按等级化要求进行的安全信息系统的设计和实现,对按等级化要求进行的信息系统
安全的测试和管理可参照使用。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有
的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究
是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
4.1.1.1 中心机房的安全保护
4.1.1.1.1 机房场地选择
根据对机房安全保护的不同要求,机房场地选择分为:
a) 基本要求:按一般建筑物的要求进行机房场地选择;
b) 防火要求:避开易发生火灾和危险程度高的地区,如油库和其他易燃物附近的区域;
c) 防污染要求:避开尘埃、有毒气体、腐蚀性气体、盐雾腐蚀等环境污染的区域;
d) 防潮及防雷要求:避开低洼、潮湿及落雷区域;
e) 防震动和噪声要求:避开强震动源和强噪声源区域;
f) 防强电场、磁场要求:避开强电场和强磁场区域;
g) 防地震、水灾要求:避开有地震、水灾危害的区域;
h) 位置要求:避免在建筑物的高层以及用水设备的下层或隔壁;
i) 防公众干扰要求:避免靠近公共区域,如运输通道、停车场或餐厅等。
4.1.1.1.2 机房内部安全防护
根据对机房安全保护的不同要求,机房内部安全防护分为:
a) 机房出入:机房应只设一个出入口,并有专人负责,未经允许的人员不准进入机房;另设若干紧
急疏散出口,标明疏散线路和方向;
b) 机房物品:没有管理人员的明确准许,任何记录介质、文件材料及各种被保护品均不准带出机
房,磁铁、私人电子计算机或电设备、食品及饮料、香烟、吸烟用具等均不准带入机房;
c) 机房人员:获准进入机房的来访人员,其活动范围应受到限制,并有接待人员陪同;
d) 机房分区:机房内部应分区管理,一般分为主机区、操作区、辅助区等,并根据每个工作人员的
实际工作需要,确定其能进入的区域;
e) 机房门禁:设置机房电子门禁系统,进入机房的人员,通过门禁系统的鉴别,方可进入。
4.1.1.1.3 机房防火
根据对机房安全保护的不同要求,机房防火分为:
a) 建筑材料防火①:机房和记录介质存放间,其建筑材料的耐火等级,应符合TJ16-1974中规
定的二级耐火等级;机房相关的其余基本工作房间和辅助房,其建筑材料的耐火等级应不低于
TJ16-1974中规定的三级耐火等级;
b) 建筑材料防火②:机房和重要的记录介质存放间,其建筑材料的耐火等级,应符合GB J45-
1982中规定的二级耐火等级;机房相关的其余基本工作房间和辅助房,其建筑材料的耐火等
级应不低于TJ16-1974中规定的二级耐火等级;
c) 建筑材料防火③:机房和重要的记录介质存放间,其建筑材料的耐火等级,应符合GB J45-
1982中规定的一级耐火等级;机房相关的其余基本工作房间和辅助房,其建筑材料的耐火等
级应不低于TJ16-1974中规定的二级耐火等级;
d) 报警和灭火系统①:设置火灾报警系统,由人来操作灭火设备,并对灭火设备的效率、毒性、用
量和损害性有一定的要求;
e) 报警和灭火系统②:设置火灾自动报警系统,包括火灾自动探测器、区域报警器、集中报警器和
控制器等,能对火灾发生的部位以声、光或电的形式发出报警信号,并启动自动灭火设备,切断
电源、关闭空调设备等;
f) 报警和灭火系统③:设置火灾自动消防系统,能自动检测火情、自动报警,并自动切断电源和其
他应急开关,自动启动事先固定安装好的灭火设备进行自动灭火;
g) 区域隔离防火:机房布局应将脆弱区和危险区进行隔离,防止外部火灾进入机房,特别是重要
设备地区,应安装防火门、使用阻燃材料装修等。
4.1.1.1.4 机房供、配电
根据对机房安全保护的不同要求,机房供、配电分为:
a) 分开供电:机房供电系统应将计算机系统供电与其他供电分开,并配备应急照明装置;
b) 紧急供电①:配置抵抗电压不足的基本设备,如UPS;
c) 紧急供电②:配置抵抗电压不足的改进设备,如基本UPS、改进UPS、多级UPS;
d) 紧急供电③:配置抵抗电压不足的更强设备,如基本UPS、改进的UPS、多级UPS和应急电源
(发电机组)等;
e) 备用供电:建立备用的供电系统,以备常用供电系统停电时启用,完成对运行系统必要的保留;
f) 稳压供电:采用线路稳压器,防止电压波动对计算机系统的影响;
g) 电源保护:设置电源保护装置,如金属氧化物可变电阻、硅雪崩二极管、气体放电管、滤波器、
电压调整变压器和浪涌滤波器等,防止/减少电源发生故障;
h) 不间断供电:采用不间断供电电源,防止电压波动、电器干扰、断电等对计算机系统的影响;
i) 电器噪声防护:采取有效措施,减少机房中电器噪声干扰,保证计算机系统正常运行;
j) 突然事件防护:采取有效措施,防止/减少供电中断、异常状态供电(指连续电压过载或低电
压)、电压瞬变、噪声(电磁干扰)以及由于雷击等引起的设备突然失效事件。
4.1.1.1.5 机房空调、降温
根据对机房安全保护的不同要求,机房空调、降温分为:
a) 基本温度要求:应有必要的空调设备,使机房温度达到所需的温度要求;
b) 较完备空调系统:应有较完备的中央空调系统,保证机房温度的变化在计算机系统运行所允
许的范围;
c) 完备空调系统:应有完备的中央空调系统,保证机房各个区域的温度变化能满足计算机系统运
行、人员活动和其他辅助设备的要求。
4.1.1.1.6 机房防水与防潮
根据对机房安全保护的不同要求,机房防水与防潮分为:
a) 水管安装要求:水管安装,不得穿过屋顶和活动地板下,穿过墙壁和楼板的水管应使用套管,并
采取可靠的密封措施;
b) 水害防护:采取一定措施,防止雨水通过屋顶和墙壁渗透、室内水蒸气结露和地下积水的转移
与渗透;
c) 防水检测:安装对水敏感的检测仪表或元件,对机房进行防水检测,发现水害,及时报警;
d) 排水要求:机房应设有排水口,并安装水泵,以便迅速排出积水。
4.1.1.1.7 机房防静电
根据对机房安全保护的不同要求,机房防静电分为:
a) 接地与屏蔽:采用必要的措施,使计算机系统有一套合理的防静电接地与屏蔽系统;
b) 服装防静电:人员服装采用不易产生静电的衣料,工作鞋选用低阻值材料制作;
c) 温、湿度防静电:控制机房温湿度,使其保持在不易产生静电的范围内;
d) 地板防静电:机房地板从表面到接地系统的阻值,应在不易产生静电的范围;
e) 材料防静电:机房中使用的各种家具,工作台、柜等,应选择产生静电小的材料;
f) 维修 MOS电路保护:在硬件维修时,应采用金属板台面的专用维修台,以保护 MOS电路;
g) 静电消除要求:在机房中使用静电消除剂和静电消除器等,以进一步减少静电的产生。
4.1.1.1.8 机房接地与防雷击
根据对机房安全保护的不同要求,机房接地与防雷击分为:
a) 接地要求:采用地桩、水平栅网、金属板、建筑物基础钢筋构建接地系统等,确保接地体的良好
接地;
b) 去耦、滤波要求:设置信号地与直流电源地,并注意不造成额外耦合,保障去耦、滤波等的良好
效果;
c) 避雷要求:设置避雷地,以深埋地下、与大地良好相通的金属板作为接地点;至避雷针的引线则
应采用粗大的紫铜条,或使整个建筑的钢筋自地基以下焊连成钢筋网作为“大地”与避雷针
相连;
d) 防护地与屏蔽地要求:设置安全防护地与屏蔽地,采用阻抗尽可能小的良导体的粗线,以减小
各种地之间的电位差;应采用焊接方法,并经常检查接地的良好,检测接地电阻,确保人身、设
备和运行的安全;
e) 交流电源地线要求:设置交流电源地线;交流供电线应有规范连接位置的三芯线,即相线、中线
和地线,并将该“地线”连通机房的地线网,以确保其安全保护作用。
4.1.1.1.9 机房电磁防护
根据对机房安全保护的不同要求,机房电磁防护分为:
a) 接地防干扰:采用接地的方法,防止外界电磁和设备寄生耦合对计算机系统的干扰;
b) 屏蔽防干扰:采用屏蔽方法,减少外部电器设备对计算机系统的瞬间干扰;
c) 距离防干扰:采用距离防护的方法,将计算机机房的位置选在外界电磁干扰小的地方和远离可
能接收辐射信号的地方;
d) 电磁泄漏发射防护:应采用必要措施,防止计算机设备产生的电磁泄漏发射造成信息泄露;
e) 介质保护:对磁带、磁盘等磁介质设备的保管存放,应注意电磁感应的影响,如使用铁制柜
存放;
f) 机房屏蔽:采用屏蔽方法,对计算机机房进行电磁屏蔽,防止外部电磁场对计算机设备的干扰,
防止电磁信号泄漏造成的信息泄露。
4.1.1.2 通信线路的安全防护
根据对通信线路安全的不同要求,通信线路安全防护分为:
a) 确保线路畅通:采取必要措施,保证通信线路畅通;
b) 发现线路截获:采取必要措施,发现线路截获事件并报警;
c) 及时发现线路截获:采取必要措施,及时发现线路截获事件并报警;
d) 防止线路截获:采取必要措施,防止线路截获事件发生。
4.1.2 设备安全
4.1.2.1 设备的防盗和防毁
根据对设备安全的不同要求,设备的防盗和防毁分为:
a) 设备标记要求:计算机系统的设备和部件应有明显的无法除去的标记,以防更换和方便查找
赃物;
b) 计算中心防盗①:计算中心应安装防盗报警装置,防止夜间从门窗进入的盗窃行为;
c) 计算中心防盗②:计算中心应利用光、电、无源红外等技术设置机房报警系统,并有专人值守,
防止夜间从门窗进入的盗窃行为;
d) 计算中心防盗③:利用闭路电视系统对计算中心的各重要部位进行监视,并有专人值守,防止
夜间从门窗进入的盗窃行为;
e) 机房外部设备防盗:机房外部的设备,应采取加固防护等措施,必要时安排专人看管,以防止盗
窃和破坏。
4.1.2.2 设备的安全可用
根据对设备安全的不同要求,设备的安全可用分为:
a) 基本运行支持:信息系统的所有设备应提供基本的运行支持,并有必要的容错和故障恢复
能力;
b) 设备安全可用:支持信息系统运行的所有设备,包括计算机主机、外部设备、网络设备及其他
辅助设备等均应安全可用;
c) 设备不间断运行:提供可靠的运行支持,并通过容错和故障恢复等措施,支持信息系统实现不
间断运行。
4.1.3 记录介质安全
根据对设备安全的不同要求,记录介质安全分为:
a) 公开数据介质保护:存放有用数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质
等,应采取一定措施防止被毁和受损;
b) 内部数据介质保护:存放内部数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质
等,应采取一定措施,防止被盗、被毁和受损;需要删除和销毁的内部数据,应有一定措施,防止
被非法拷贝;
c) 重要数据介质保护:存放重要数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质
等,应采取较严格的保护措施,防止被盗、被毁和受损;应该删除和销毁的重要数据,要有有效
的管理和审批手续,防止被非法拷贝;
d) 关键数据介质保护:存放关键数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质
等,应采取严格的保护措施,防止被盗、被毁和受损;需要删除和销毁的关键数据,要有严格的
管理和审批手续,并采取有效措施,防止被非法拷贝;
e) 核心数据介质保护:存放核心数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质
等,应采取最严格的保护措施,防止被盗、被毁和受损;核心数据应长期保存,并采取有效措施,
防止被非法拷贝。
4.2 运行安全
4.2.1 风险分析
信息系统的风险分析应按以下要求进行:
a) 以系统安全运行和数据安全保护为出发点,全面分析由于物理的、系统的、管理的、人为的和自
然的原因所造成的安全风险;
b) 通过对影响信息系统安全运行的诸多因素的了解和分析,明确系统存在的风险,找出克服这
些风险的办法;
c) 对常见的风险(如:后门/陷阱门、拒绝使用、辐射、盗用、伪造、假冒、逻辑炸弹、破坏活动、偷窃
行为、搭线窃听以及计算机病毒等)进行分析,确定每类风险的程度;
d) 系统设计前和运行前应进行静态风险分析,以发现系统的潜在安全隐患;
e) 系统运行过程中应进行动态风险分析,测试、跟踪并记录其活动,以发现系统运行期的安全漏
洞,并提供相应的系统脆弱性分析报告;
f) 采用风险分析工具,通过收集数据、分析数据、输出数据,确定危险的严重性等级,分析危险的
可能性等方法,进行风险分析,并确定安全对策。
4.2.2 信息系统安全性检测分析
根据对信息系统安全运行的不同要求,信息系统安全性检测分析分为:
a) 操作系统安全性检测分析:从操作系统的角度,以管理员身份评......
|