第一章 总则
第一条 为加快学校信息系统建设步伐,规范信息系统工程项目建设安全管理,提升信息系统建设和管理水平,保障信息系统工程项目建设安全,特制定本规范。
第二条 本规范主要对学校信息系统建设过程提出安全管理规范。保证安全运行必须依靠强有力的安全技术,同时更要有全面动态的安全策略和良好的内部管理机制,本规范包括五个部分:
(一)项目建设安全管理的总体要求:明确项目建设安全管理的目标和原则。
(二)项目规划安全管理:对信息化项目建设各个环节的规划提出安全管理要求,确定各个环节的安全需求、目标和建设方案;
(三)方案论证和审批安全管理:由现代教育技术中心牵头组织校内外专家对项目建设安全方案进行论证,确保安全方案的合理性、有效性和可行性;
(四)项目实施方案和实施过程安全管理:包括确定项目实施的阶段的安全管理目标和实施办法,并完成项目安全专用产品的确定、非安全产品安全性的确定等;
(五)项目投产与验收安全管理:制定项目安全测评与验收方法、项目投产的安全管理规范,以及相关依据。
第三条 术语和定义
建设规范引用GB/T5271.8-2001中的术语和定义,还采用了以下术语和定义:
(一)信息安全infosec
信息的机密性、完整性和可用性的保护。
注释:机密性定义为确保信息仅仅被那些被授权了的人员访问。
完整性定义为保护信息和处理方法的准确性和完备性。
可用性定义为保证被授权用户在需要时能够访问到信息和相关资产。
(二)计算机系统安全工程ISSE(Information Systems Security Engineering)
计算机系统安全工程(ISSE)是发掘用户信息安全保护需求,然后以经济、精确和简明的方法来设计和建造计算机系统的一门技巧和科学,ISSE识别出安全风险,并使这些风险减至最少或使之受到遏制。
(三)风险分析 risk analysis
对信息和信息处理设施所面临的威胁及其影响以及计算机系统脆弱性及其发生的可能性的分析评估。
(四)安全目标 security objective
本规范中特指项目建设信息安全管理中需要达成到的目标。
(五)安全测试 security testing
用于确定系统的安全特征按设计要求实现的过程。这一过程通常包括现场功能测试、渗透测试和验证。
第四条 本规范遵照国家相关政策法规和条例,结合各种信息化项目建设的具体情况,依据各种标准、规范以及安全管理规定而制定。
第二章 项目建设安全管理的总体要求
第五条 项目建设安全管理目标
一个项目的生命周期包括:项目申报、项目审批和立项、项目实施、项目验收和投产;从项目建设的角度来看,这些生命周期的阶段则包括以下子阶段:需求分析、总体方案设计、概要设计、详细设计、系统实施、系统测试和试运行,如下表所示。
项目管理生命周期 | |
项目申报 | 需求分析 |
项目立项和审批 | 总体方案设计 |
项目实施 | 概要设计、详细设计、系统实施 |
项目验收和投产 | 系统测试和试运行 |
项目建设安全管理的目标就是保证整个项目管理和建设过程中系统的安全。为了达到这个目标,信息安全(INFOSEC)必须融合在项目管理和项目建设过程中,与学校的业务需求、环境要求、项目计划、成本效益以及国家和地方的政策、标准、指令相一致。这种融合应该产生一个计算机系统安全工程(ISSE)项目,它要确认、评估、并且消除或控制住系统对已知或假定的威胁的脆弱点,最终得到一个可以接受水平的安全风险。
第六条 项目建设安全管理原则
信息系统项目建设安全管理应遵循如下原则:
(一)等级;
(二)全生命周期安全管理:信息安全管理必须贯穿信息化项目建设的整个生命周期;
(三)成本-效益分析:进行信息安全建设和管理应考虑投入产出比;
(四)明确职责:每个参与项目建设和项目管理的人员都应该明确安全职责,应进行安全意识和职责培训,并落实到位;
(五)管理公开:应保证每个项目参与人员都知晓和理解安全管理的模式和方法;
(六)科学制衡:进行适当的职责分离,保证没有人可以单独完成一项业务活动,以避免出现相应的安全问题;
(七)最小特权:人员对项目资产的访问权限制到最低限度,即仅赋予其执行授权任务所必需的权限。
第七条 项目建设安全管理要求
项目安全管理工作应强化责任机制、规范管理程序,在项目的申报、审批、立项、实施、验收等关键环节中,必须依照规定的职能行使职权,并在规定的时限内完成各个环节的安全管理行为,否则应承担相应的行政责任。
第三章 项目申报
第八条 项目申报阶段应对信息系统项目及其建设的各个环节进行统一的安全管理规划,确定项目的安全需求、安全目标、安全建设方案,以及生命周期各阶段的安全需求、安全目标、安全管理措施。
第九条 系统定级
(一)依据国家信息系统安全等级保护定级指南(GBT22240-2008)对项目中的系统进行定级,明确信息系统的边界和安全保护等级;
(二)以书面的形式说明确定信息系统为某个安全保护等级的方法和理由,形成信息系统定级报告;
(三)组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定,上报上级主管单位和安全监控单位进行审定;
(四)信息系统的定级结果向本地公安机关进行备案。
第四章 安全方案设计
第十条 本阶段主要是项目审批单位对项目申报内容进行安全方案的设计,对项目的安全性进行确定,必要时可以聘请外单位的专家参与论证工作。
第十一条 安全标准的确定
(一)根据系统的安全保护等级选择基本安全措施,设计安全标准必须达到等级保护相关等级的基本要求,并依据风险分析的结果进行补充和调整必要的安全措施;
(二)应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件。
(三)应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施;
(四)根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。
第五章 方案论证和审批
第十二条 本阶段主要是对项目申报内容进行审批,对项目进行安全性论证,必要时可以聘请外单位的专家参与论证工作。
第十三条 项目安全立项审批后,项目审批单位将对项目进行立项,在《信息系统项目任务书》的以下条目中应增加相应的计算机安全方面的内容:
(一)项目的管理模式、组织结构和责任:增加项目建设中的安全管理模式、安全组织结构以及人员的安全职责;
(二)项目实施的基本程序和相应的管理要求:增加项目建设实施中的安全操作程序和相应安全管理要求;
(三)项目设计目标、主要内容和关键技术:增加总体安全目标、安全对策以及用于实现安全对策的总体安全方案;
(四)项目实现功能和性能指标:增加描述系统拥有的具体安全功能以及安全功能的强度;
(五)项目验收考核指标:增加安全性测试和考核指标。
第十四条 立项的项目,如采用引进、合作开发或者外包开发等形式,则需与第三方签订安全保密协议。
第六章 项目实施方案和实施过程安全管理标准
第十五条 信息化项目实施阶段包括3个子阶段:概要设计、详细设计和项目实施,本阶段的主要工作由项目申请承担单位来完成,项目审批单位负责监督工作。
第十六条 概要设计子阶段的安全要求
在概要设计阶段,系统层次上的设计要求和功能指标都被分配到了子系统层次上,这个子阶段的安全目标是保证各子系统设计实现了总体安全方案中的安全功能。 因此,《概要设计说明书》中至少应达到以下安全要求:
(一)应当按子系统来描述系统的安全体系结构;
(二)应当描述每一个子系统所提供的安全功能;
(三)当标识所要求的任何基础性的硬件、固件或软件,和在这些硬件、固件或软件中实现的支持性保护机制提供的功能表示;
(四)应当标识子系统的所有接口,并说明哪些接口是外部可见的;
(五)描述子系统所有接口的用途与使用方法,并适当提供影响、例外情况和错误消息的细节;
(六)确证子系统(不论是开发的,还是买来的)的安全功能指标满足系统安全需求。
第十七条 在系统实施阶段需要采购的网络安全设备必须由学校进行统一采购,并确保采购的设备至少符合下面的要求:
(一)网络安全设备选型应根据国家电力行业有关规定选择经过国家有关权威部门的测评或认证的产品。
(二)所有安全设备均需进行严格检测,凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。严禁将未经测试验收或验收不合格的设备交付使用。
(三)通过上述测试后,设备才能进入试运行阶段。试运行时间的长短可根据需要自行确定。通过试运行的设备,才能投入生产系统,正式运行。
第十八条 在软件的开发被外包的地方,应当考虑如下几点:
(一)检查代码的所有权和知识产权情况;
(二)质量合格证和所进行的工作的精确度;
(三)在第三方发生故障的情况下,有第三方备份保存;
(四)进行质量审核;
(五)在合同上有代码质量方面的要求;
(六)在安装之前进行测试以检测恶意代码;
(七)提供源代码以及相关设计、 实施文档;
(八)重要的项目建设中还要对源代码进行审核。
第十九条 计算机系统集成的信息技术产品(如操作系统、数据库等)或安全专用产品(如防火墙、IDS、IPS等)应达到以下要求:
(一)对项目实施所需的计算机及配套设备、网络设备、重要机具(如ATM)、计算机软件产品的购置,计算机应用系统的合作开发或者外包开发的确定,按现有制度中的相关规定执行;
(二)安全产品的采购必须由学校进行统一采购;
(三)安全专用产品应具有国家职能部分颁发的信息安全专用产品的销告许可证;
(四)密码产品符合国家密码主管部门的要求,来源于国家主管部门批准的密码研制单位;
(五)关键安全专用产品应获得国家相关安全认证,在选型中根据实际需要制定安全产品选型的标准;
(六)关键信息技术产品的安全功能模块应获得国家相关安全认证,在选型中根据实际需要制定信息技术产品选型的标准;
(七)所有安全设备均需进行严格检测,凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。严禁将未经测试验收或验收不合格的设备交付使用。
(八)通过上述测试后,设备才能进入试运行阶段。试运行时间的长短可根据需要自行确定。通过试运行的设备,才能投入生产系统,正式运行。
第七章 项目验收与投产
第二十条 系统建设完成后,项目承建方要依据项目合同的交付部分向应用主管部门进行项目交付,但交付的内容至少包括:
(一)制定的系统交付清单,对交付的设备、软件和文档进行清点;
(二)对系统运维人员进行技能培训,要求系统运维人员能进行日常的维护;
(三)提供系统建设的过程文档,包括实施方案、实施记录等;
(四)提供系统运行维护的帮助和操作手册。
第二十一条 系统交付要项目实施和应用主管部门的相关项目负责人进行签字确认。
第二十二条 系统交付由项目应用系统主管部门负责,必须按照系统交付的要求完成交付工作。
第二十三条 应制定投产与验收测试大纲,在项目实施完成后,由项目应用主管单位和项目申报承担单位共同组织进行测试。在测试大纲中应至少包括以下安全性测试和评估要求;
(一)配置管理:系统开发单位应使用配置管理系统,并提供配置管理文档;
(二)安装、生成和启动程序:应制定安装、生成和启动程序,并保证最终产生了安全的配置;
(三)安全功能测试:对系统的安全功能进行测试,以保证其符合详细设计并对详细设计进行检查,保证其符合概要设计以及总体安全方案;
(四)系统管理员指南:应提供如何安全地管理系统和如何高效地利用系统安全功能的优点和保护功能等详细准确的信息;
(五)系统用户指南:必须包含两方面的内容:首先,它必须解释那些用户可见的安全功能的用途以及如何使用它们,这样用户可以持续有效地保护他们的信息; 其次,它必须解释在维护系统的安全时用户所能起的作用;
(六)安全功能强度评估:功能强度分析应说明以概率或排列机制(如,口令字或哈希函数)实现的系统安全功能。例如,对口令机制的功能强度分析可以通过说明口令空间是否有足够大来指出口令字功能是否满足强度要求;
(七)脆弱性分析:应分析所采取的安全对策的完备性(安全对策是否可以满足所有的安全需求)以及安全对策之间的依赖关系。通常可以使用穿透性测试来评估上述内容,以判断它们在实际应用中是否会被利用来削弱系统的安全。
第二十四条 测试完成后,项目测试小组应提交《测试报告》,其中应包括安全性测试和评估的结果。不能通过安全性测试评估的,由测试小组提出修改意见,项目开发承担单位应作进一步修改。
第二十五条 测试通过后,由项目应用单位组织进入试运行阶段,应有一系列的安全措施来维护系统安全,它包括处理系统在现场运行时的安全问题和采取指施保证系统的安全水平在系统运行期间不会下降。具体工作如下:
(一)监测系统的安全性能,包括事故报告;
(二)进行用户安全培训,并对培训进行总结;
(三)监视与安全有关的部件的拆除处理;
(四)监测新发现的对系统安全的攻击、系统所受威胁的变化以及其它与安全风险有关的因素;
(五)监测安全部件的备份支持,支持与系统安全有关的维护培训;
(六)评估大大小小的系统改动对安全造成的影响;
(七)监测系统物理和功能配置,包括运行过程,因为一些不太显眼的改变可能影响系统的安全风险。
第二十六条 系统安全试运行半年后,项目应用主管单位可以组织由项目申请单位和相关部门人员参加的项目验收组对项目进行验收。验收应增加以下安全内容:
(一)项目是否已达到项目任务书中制定的总体安全目标和安全指标,实现全部安全功能;
(二)采用技术是否符合国家及 IT 行业有关安全技术标准及规范;
(三)是否实现验收测评的安全技术指标;
(四)项目建设过程中的各种文档资料是否规范、齐全;
(五)在验收报告中也应在以下条目中反映对系统安全性验收的情况;
(六)项目设计总体安全目标及主要内容;
(七)项目采用的关键安全技术;
(八)验收专家组中的安全专家及安全验收评价意见。
第二十七条 设备管理
(一)设备的使用均应指定专人负责,均应设定严格的管理员身份鉴别和访问控制,严禁盗用帐号和密码,超越管理权限,非法操作安全设备。
(二)设备的口令不得少于8位,须使用包含大小写字母、数字等在内的不易猜测的强口令,并遵循学校统一的帐号口令管理办法。
(三)设备的网络配置应遵循统一的规划和分配,相关网络配置应向现代教育技术中心备案。
(四)设备的安全策略应进行统一管理,安全策略固化后的变更应经过安全管理人员审核批准,并及时更新策略配置库。
(五)设备须有备机备件,由学校统一进行保管、分发和替换。
(六)加强设备外联控制,严禁擅自接入国际互联网或其他公众信息网络。
(七)工作需要,设备需携带出工作环境时,应递交申请并由相关责任人签字并留档。
(八)存储介质(含磁盘、磁带、光盘和优盘)的管理应遵循:
1.因工作原因需使用外来介质,应首先进行病毒检查。
2.存储介质上粘贴统一标识,注明编号、部门、责任人。
3.存储介质如有损坏或其他原因更换下来的,需交回处理。
(九)安全设备的使用管理:
1.安全设备每月详细检查一次,记录并分析相关日志,对可疑行为及时进行处理;
2.关键安全设备媒体必需进行日常巡检;
3.当设备的配置更改时,应做好配置的备份工作;
4.安全设备出现故障要立即报告主管领导,并及时通知系统集成商或有关单位进行故障排除,应填写操作记录和技术文档。
(十)设备相应责任人负责:
1.建立详细的运行日志记录、备份制度;
2.负责设备的使用登记,登记内容应包括运行起止时间、累计运行时数及运行状况等;
3.负责进行设备的日常清洗及定期保养维护,做好维护记录,保障设备处于最佳状况;
4.一旦设备出现故障,责任人应立即如实填写故障报告,通知有关人员处理;
5.设备责任人应保证设备在其出厂标称的使用环境(如温度、湿度、电压、电磁干扰、粉尘度等)下工作。
(十一)及时关注下发的各类信息安全通告,关注最新的病毒防治信息和提示, 根据要求调节相应设备参数配置。
(十二) 安全管理员应界定重要设备, 对重要设备的配置技 术文档应考虑双份以上的备份,并存放一份于异地。
第八章 附则
第二十八条 本规范由学校授权现代教育技术中心负责解释。
第二十九条 本规范自印发之日起施行。