DB11_T145-2002政务公开网站通用安全技术要求.pdf

《DB11_T145-2002政务公开网站通用安全技术要求.pdf》由会员分享，可在线阅读，更多相关《DB11_T145-2002政务公开网站通用安全技术要求.pdf（41页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、I C S 3 5.0 4 0L7 1备案号:1 1 9 4 1-2 0 0 2OB北 京 市 地 方 标 准D B 1 1/T 1 4 5-2 0 0 2 政 务 公 开 网 站通 用 安 全 技 术 要 求2 0 0 2 一 0 1 一 3 0 发布2 0 0 2 一 0 2-2 0 实施北 京 市 质 量 技 术 监 督 局发 布D B 1 1/T 1 4 5-2 0 0 2目次前言 ，。v引言 vi1 范围 。12术语和定义 13系统概述 34安全环境 34.1资产 。34.1.1 系统内的数 据 34.1.2系统软件 。44.1.3 系统硬件 44.2系 统具备的 前提条件 44.2

2、.1系统设备维护(A.Ma i n t S y s d e v)44.2.2系 统软件安装维护(A.M a i n t I n s t S y s s o f t)44.2.3系统管理员能力(A.C o m p e t e n t A d mi n)44.2.4系统管理员不会滥用权限(A.N o _ A b u s e _ B y _ A d mi n)44.2.5系统数据毁坏(A.A c c _ O v r w r i t S y s D a t a)44.2.6远程用户(A.R e m o t e _ A c c e s s)44.2.7可信用户(A.T r u s t e d _ U s

3、 e r)44.2.8物理访问(A.P r o t _ A g a i n s t Na t u r e)44.2.9掉电保护(A.p r o t o f _ P o w e r _ f a u l t)54.3对系统的威胁 54.3.1管理错误(T.A d m i n _ E r r _ C o m m i t)54.3.2管理疏忽(T.A d mi n _ E r r _ O mi t)54.3.3威胁主体的能力(T.O u t s i d e r _ Me d)54.3.4未授权的访问(T.A c s _ t o _ O u t)54.3.5攻击 者尝 试使资源拒绝服务(T.H a c

4、k _ A v l _ R e s o u r c e)54.3.6传 输错误(T.T r a n s _ E r r)54.3.7关键系统组件失效(T.C o m p o n e n t _ F a i l u r e)54.3.8恶意代码(T.Ma l i c i o u s _ C o d e)54.4系统组织安全策略 54.4.1安全设备选型 或采购控制(P.S e l _ d e v i c e)54.4.2网络隔离(P.t e c.I s o l a t e d)54.4.3站点监控与审计(P.Mo n i t o r a n d A u d i t)64.4.4漏洞扫描(P.S

5、c a n)64.4.5入侵检测(P.c h e c k a n d m e a s u r e)。6D 8 1 1/T 1 4 5-2 0 0 24.4.6 We b 页面监测与自 动修复(P.Mo n i t o r a n d R e c o v e r y)64.4.7系 统备份(P.B a c k u p)65安全 目的 65.1系统安全目的 65.1.1安全角色(O.S e c u r i t y Ro l e s)65.1.2 安全功能管理行为(O.S e c u r i t y Fu n c _ Mg t)65.1.3安全相关配置管 理(O.S e c u r e _ C o

6、n f i g u r a t i o n)65.1.4管理安全属 性(O.S e c u r i t y _ A t t r _ M g t)65.1.5管理安全关键数据(O.S e c u r i t y Da t a _ Mg t)65.1.6远程可信系统的可信通道(O.C o mm _ T r u s t e d _ C h a n n e l)65.1.7用 户 标 识 和 鉴别(O.I&A)。65.1.8系统访问控制(O.R B AC)75.1.9保 护系 统安全 功能(O.S y s _ S e l f _ P r o t e c t i o n)，75.1.1 0采用补丁程序修

7、改代码(0.A p p l y-C o d e-F i x e s)。75.1.1 1限 定用户 和服务的资源(O.R e s o u r c e _ Q u o t a s)75.1.1 2保护和维护安全的系统 状态(O.S e c u r e _ S t a t e)75.1.1 3 系 统 功能 运 行的 完 整 性 测 试(O.I n t e g r i t y _ P r a c t i c e)75.1.1 4对已发现的攻击的响应(O.R e a c t D i s c o v e r e d _ A t k)75.1.1 5 主页的完整 性监视与 恢复(O.We b s i t

8、e _ M n t R e c o v e r y)75.1.1 6控制系 统数据的输入(O.D a t a _ I m p _ C o n t r o l)，75.1.1 7系 统数据内 部传递的 完整性(O.I n t e g _ S y s _ D a t a _ I n t)75.1.1 8识别对接收信息的修改(O.R c v _ Ms g Mo d _ I D)75.1.1 9恢复对接收信息的 修改(O.R c v _ M s g M o d _ R c v r)75.1.2 0识别对发布信息的修改(O.S n t _ Ms g Mo d _ I D)75.1.2 1支持在发布信息被

9、修改后的恢复(O.S n t M s g M o d _ R c v r)85.1.2 2关键组件失效时保持安全状态(O.F a i l _ S e c u r e)85.1.2 3关键组 件运行错误容限(O.F a u l t T o l e r a n c e)85.1.2 4出 现恶意代码时能恢复对象和数据(0.C l e a n _ O b j Re c o v e r y)85.1.2 5审计管理角色(O.A u d i t _ A d m i n _ R o l e)85.1.2 6标识审计记录(O.A u d i t G e n e r a t i o n)85.1.2 7对可能

10、丢失 所保存的审计记录作出 响应(O.A u d i t L o s s _ R e s p o n d)。85.1.2 8保护存储的审计记录(O.A u d i t P r o t e c t)85.1.2 9确保可用的审计存储空间(O.G u a r a n t e e _ A u d i t S t g)85.1.3 0审 计系 统 访 问 减 少 误 用(O.A u d i t D e t e r _ M i s u s e)85.1.3 1系统备份(O.S y s _ B a c k u p _ P r o c s)85.1.3 2检测备份 硬件、固件、软件的 修改(O.S y s

11、_ B a c k u p _ V e r i f y)85.1.3 3网 络隔离(O.T e c _ I s o l a t e d)，。95.2环境安全目的 。95.2.1安装与操作控制(O E.I n s t a l l)，95.2.2物理控制(O E.P h _ A c c e s s)95.2.3授权管理员培训(O E.T r a i n)9D B 1 1/T 1 4 5-2 0 0 25.2.4 防自 然灾害(O E.D i s a s _ P r o t e c t i o n)95.2.5电磁兼容(O E.E MC)96安全功能要求 .96.1用户数据保护 96.1.1访问控制

12、策略(F D P _ A C C).96.1.2访问控制功能(F D P _ A C F)1 06.1.3向安全功能控制之外输出(F D P _ E T C)1 06.1.4信息流控制策略(F D P _ I F C)，1 06.1.5 信息流控制功能(F D P _ I F F)。1 06.1.6从安全功能控制之外输入(F D P IT C)1 16.1.7存储数据的完整性(F D P _ S D I)1 16.1.8安全功能间用户数据传输完整性保护(F D P _ UI T)1 16.2标识和鉴别 。.1 26.2.1用户标识(F I A _ U I D)1 26.2.2用户属性定义(F

13、I A _ A T D)1 26.2.3秘密的规范(F I A SO S)1 26.2.4用户鉴别(F I A _ U A U)。，1 26.2.5鉴别失败(F I A _ A F L)1 26.2.6用户一 主体绑定(F I A _ U S B)1 36.3安全功能保护 ，1 36.3.1失效保护(F P T _ F L S)1 36.3.2安全功能数据输出的保密性(F P T IT C)1 36.3.3系统内部安全功能数据传输(F P T _ I T T)1 36.3.4可信恢复(F P T _ R C V).1 36.3.5参照仲裁(F P T _ R V M)1 36.3.6安全功能域

14、分离(F P T _ S E P)，1 46.3.7安全功能自 检(F P T _ T S T)1 46.4系统访问 .1 46.4.1 多重并发会话限定(F T A _ MC S)1 46.5 安全审计 1 46.5.1安全审计自动响应(F AU _ A R P)1 46.5.2安全审计数据产生(F AU G E N)，1 56.5.3安全审 计分析(F A U SA A)1 76.5.4安全审计查阅(F A U SA R)1 76.5.5安全审计事件存储(F A U ST G)，1 76.6安全管理类 1 86.6.1系统中功能的管理(F MT _ MO F)。1 86.6.2安全属性的管

15、理(F MT _ MO F)，1 96.6.3系统数据的管理(F MT _ MT D)2 06.6.4安全管理角色(F MT SMR).2 16.7可信路径/通道 ，2 1D B 1 1/T 1 4 5-2 0 0 26.7.1系统间可信信道(F T P _ I T C )2 16.8资源利用 2 26.8.1容错(F R U _ F L T)2 26.8.2资源分配(F R U R S A)最高配额 2 27安全保证要求 ，2 27.1配置管理 2 37.1。1配置项(A C M _ C A P.2)，2 37.2交付和操作 2 37.2.1交付 程序(A D O-D E L.1)。2 37

16、.2.2安装、生成和启动程序(A D O _ I G S.1)2 37.3开发 2 47.3.1非形式化功能规范(A D V _ F S P.1)2 47.3.2 描述性高层设计(A D V _ H L D.1)2 47.3.3非形式化相关性阐明(A D V _ RC R.1)2 57.4指导性文档 .2 57.4.1管理员指南(A G D _ A D M.1)2 57.4.2用 户 指 南(A G D _ U S R.1)。2 67.5测试 2 67.5.1范F M 证据(A T E _ C O V.1)，2 67.5.2功能测试(ATE-FU N.1)，2 77.5.3 独立性测试抽样(A

17、 T E _ I N D.2)一2 77.6脆弱性评定 2 87.6.1系统安全功能强度评估(A V A SO F.1)。2 87.6.2开发者脆弱性分析(A V A _ V L A.1)2 88环境安全要求 2 98.1备份和恢复 2 98.2操作系 统安全 2 98.3数据库安全 。2 98.4 病毒防范。2 99 基本原理 ，3 09.1安全目 的基 本原理 ，3 09.2安全要 求基本原理 3 19.3满足依赖关系 基本原理 3 3D B 1 1/T 1 4 5-2 0 0 2前日 b 本标准系按照国家标准 G B/T 1 8 3 3 6-2 0 0 1信息技术 安全技术一信息技术安全

18、性评估准则(i d t.I S O/I E C 1 5 4 0 8-1 9 9 9)的结构，针对政务公开网 站的整体安全需求而开发。本标准由北京信息安全测评中心提出。本标准由中国国家信息安全测评认证中心系统工程实验室负责起草。本标准由北京市质量技术监督局负责解释。本标准主要起草人:方关宝、任卫红、崔玉华、马力、刘作康、张晓冬、陆丽、陈冠直D B 1 1/T 1 4 5-2 0 0 2己!.誉.J 1 F 刁 国际标准 I S O/I E C 1 5 4 0 8信息技术 安全技术一信息技术安全性评估准则(简称 C C)是由 联合技术委员 会I S O/工 E C J T C 1(信息技术)与通用

19、准则项目 发起组织合作产生的。C C 标准是评估信息技术产品和系统安全特性的基础准则，它针对在安全性评估过程中信息技术产品和系统的安全功能及相应的保证措施，提供了一组通用要求。针对具体一类产品或系统的评估，需要产生具体的一组与实现无关的I T 安全要求，这就是所说的由C C方法产生的保护轮廓(P P)。被评估的产品或系统被称为评估对象(T O E),如:操作系统、计算机网络、分布式系统以及应用程序等。用C C 方法产生的保护轮廓(P P)具有规定的统一结构，主要内容包括:一P P引言:包括P P 标识、P P 概述等;一T O E 描述:这部分描述T O E，以帮助了解它的安全要求，同时说明T

20、 O E 的类型和一般 的工 T 特性;一 T O E 安全环境:这部分描述T O E 所处的应用环境和T O E期望的使用方式中的安全问题。包括假设、威胁、组织安全策略;一安全目的:描述环境安全目的和T O E安全目的;一I T 安全要求:包括T O E 安全功能要求、T O E 安全保证要求、I T 环境安全要求;一P P 应用注释;一基本原理:包括安全目的基本原理、安全要求基本原理。其中列出了安全目的与假 设/威胁/组织安全策略的映射关系、安全目的与安全功能要求的映射关系和安全功 能之间的依赖关系。完全等同于 C C标准的国家标准(信息技术 安全技术一信息技术安全性评估准则(G B/T

21、1 8 3 3 6-2 0 0 1)也 己经颁布。本标准就是由 C C 方法产生的针对政务公开网站的一个 P P.D B 1 1/T 1 4 5-2 0 0 2政务公开网站通用安全技术要求1范围 本标准规定了政务公开网站系统(以下简称系统)的通用安全技术要求。本标准适用于采集、存储、处理、传递、输出非国家秘密信息的政务网站的设计、建设、使用、评估和监管，也可作其它网站的参考。2术语和定义 本标准采用如下术语和定义。2.1 政务公开网站 指各级国家机关利用工 N T E R N E VI N T R A N E T等相关计算机通信技术，在因特网上建立的以实现国家机关及相关部门在政治、经济、社会生

22、活诸多领域管理和服务的部分职能的公开信息站点。2.2 个人用户(h u m a n u s e r)与系统交互的任何个人。2.3 用户(u s e r)在系统之外与系统交互的任何实体(个人用户或外部I T 实体)。2.4 授权用户(a u t h o r i s e d u s e r)依据系统安全策略可以执行某项操作的用户。2.5 授权管理员(A u t h o r i z e d A d m i n i s t r a t o r)经组织授权，对系统进行有关配置、日常维护和安全管理的专业人员。2.6 客体(O b j e c t)信息的载体。D B 1 1/T 1 4 5-2 0 0 22

23、.7主体(S u b j e c t)引起信息在客体之间流动的人、进程或设备等。2.8访问 控制(A c c e s s C o n t r o l)限制授权的用户、程序、进程或计算机网络中其他系统访问系统资源的过程。2.9鉴别(A u t h e n t i c a t i o n)验证用户、设备和其他实体的身份;验证数据的完整性。2.1 0授权(A u t h o r i t y)授予用户、程序或进程的访问权。2.1 1威胁(T h r e a t)以破坏、泄漏、修改数据和拒绝服务的方式，可能对系统造成损害的环境或潜在事件。2.1 2资产(A s s e t)系统中需要保护的信息或资源。2

24、.1 3安全功能(S e c u r i t y F u n c t i o n)为实现系统安全策略中一组紧密相关的规则子集，必须依赖的系统的组成部分。2.1 4安全功能策略(S e c u r i t y F u n c t i o n P o l i c y)系统中安全功能执行的安全策略。2.1 5安全属性(S e c u r i t y A t t r i b u t e)用J 几 实施系统安全功能策略的，与主体、信息和客体相关的信息。D B 1 1/T 1 4 5-2 0 0 23系统概述 本标准中，政务公开网站系统包括信息公开、信息交互和网上办公三种业务。一个系统通常包括各类服务器、

25、网络接入设备和安全隔离设备。系统可以是虚拟主机、服务器托管和专线接入的独立网站，以及这三种类型的组合。系统通常可提供W W W 服务、域名服务、邮件服务、应用服务和数据库服务等。系统的通用结构如图1 所示。外部网络，如I N T E R N E T远程维护系统政务公开网站 (系统)同一局域 网的其它系统图1网站系统的通用结构4 安全环境4.1资产该系统中需要保护的主要资产包括但不局限于以下内容。4.1.1 系统内的数据4.1.1.1公开发布的数据是指政务公开网站提供的各类信息。4.1.1.2通过网站收集的数据主要包括通过 网站得到的基层反馈信息。4.1.1.3系统安全功能数据 是指做出安全策略

26、决定时由安全功能使用的信息。包括用来验证进行服务请求的用户身份的鉴别数据和用于实施安全策略的与主体、用户、客体或信息相关的安全属性数据。如:系统运行日志、系统审计日志、入侵检测记录、系统口令、系统权限设置、数据存储分配、D B 1 1/T 1 4 5-2 0 0 2内部网络地址，系统配置数据等。4.1.2系统软件包括操作系统软件、数据库管理软件和应用软件等。4.1.3系统硬件 包括系统内的服务器、个人计算机、网络设备、安全设备，以及计算机外围设备如电源、打印机、终端、输入设备、数据备份设备等。4.2系统具备的前提条件4.2.1系统设备维护(A.M a i n t S y s d e v)系统设

27、备能做到及时维护更新，防止自然老化影响系统正常运行，甚至引起系统瘫痪或信息不可恢复。4.2.2系统软件安装维护(A.M a i n t _ I n s t _ S y s s o f t)相应的软件系统应保证正确的安装和维护。系统软件处理不当会直接影响系统的运行和安全性。如操作系统一旦维护不及时和不当会逐渐退化，造成功能不能完全执行或者根本不能执行，最终导致系统的失效。4.2.3系统管理员能力(A.C o m p e t e n t A d m i n)系统管理员有能力管理系统及其所含信息的安全。4.2.4系统管理员不会滥用权限(A.N o es A b u s e B y _ A d m i

28、 n)信任系统管理员不会滥用权限。4.2.5系统数据毁坏(A.A c c 一v r w r i t _ S y s D a t a)系统依赖于系统软件环境，系统用户不会无意识地改写系统程序、日 志或数据。4.2.6远程用户(A.R e m o t e 少c c e s s)允许用户远程访问系统。4.2.7可信用户(A.T r u s t e d _ U s e r)授权用户不会故意破坏安全。4.2.8物理访A(A.P r o t A g a i n s t N a t u r e)系统位于受控的访问设备中，以阻止未授权的物理访问，并能防止火灾、洪水等自然灾害对系统的破坏。D B 1 1/T 1

29、 4 5-2 0 0 24.2.9掉电 保护(A.p r o t o f _ P o w e r _ f a u l t)系统有足够的备用电源以保证突然的电力中断不会危害服务的可用性或导致数据的丢失。4.3对系统的威胁4.3.1管理错误(T.A d m i n _ E r r 一。m m i t)管理人员的错误直接危害组织安全策略，或改变系统或应用强制执行的技术安全策略。4.3.2管理疏忽(T.A d m i n _ E r r 一m i t)系统管理人员未执行某些基本安全功能。4.3.3威胁主体的能力(T.O u t s i d e r _ M e d)系统可能受到威胁主体有预谋的攻击。4.

30、3.4未授权的访问(T.A c s t o O u t)未授权人员通过非法途径访问获取信息或破坏系统。4.3.5攻击者尝试使资源拒绝服务(T.H a c k _ A v I _ R e s o u r c e)攻击者通过执行命令、发送数据、或执行其他操作使系统资源对系统用户失效。资源可能是带宽、处理器时间、内部存储器、数据存储器等。4.3.6传输错误(T.T r a n s _ E r r)数据在传输过程中可能出现错误，导致信息完整性的破坏。4.3.7关键系统组件失效(T.C o m p o n e n t _ F a i I u r e)关键系统组件失效导致系统关键功能失败。4.3.8恶意代

31、码(T.M a l i c i o u s 多o d e)授权用户下载和执行恶意代码，产生异常的 进程，对系统产生破坏。4.4系统组织安全策略4.4.1安全设备选型或采购控制(P.S e!一e v i c e)信息系统建设期间或设备更换、添加时能够从信息系统安全要求的整体角度进行设备选型或采购;或者能按照国家有关部门的 规定和政策要求选择和采购安全设备。4.4.2网络隔离(P.t e c.I s o I a t e d)系统必须与涉密的系统物理隔离，与其它系统逻辑隔离。D B 1 1/T 1 4 5-2 0 0 24.4.3站点监控与审计(P.M o n i t o r a n d A u d

32、 i t)系统应具有监控和审计功能;系统还应具有对公开发布数据进行关键词过滤功能。4.4.4漏洞扫描(P.S c a n)系统应具有对网络和系统漏洞扫描和报告功能。4.4.5入侵检测(P.c h e c k a n d m e a s u r e)系统应通过分析数据流来发现入侵行为和违规操作，并能及时作出反应。4.4.6 W e b 页面监测与自动修复(P.M o n i t o r a n d R e c o v e r y)保护w e b 服务器，对站点内容自 动监测，当发现被篡改后能及时完成自 动修复。4.4.7系统备份(P.B a c k u p)系统的主要设备、软件、数据等应有备份。

33、5 安全目的5.1系统安全目的5.1.1安全角色(0.S e c u r i t y _ R o I e s)系统应划分安全角色并规定这些角色的权限。5.1.2安全功能管理行为(O.S e c u r i t y _ F u n c _ M g t)系统必须提供对安全功能的管理机制。5.1.3安全相关配置管理(0.S e c u r e C o n f i g u r a t i o n)系统必须管理和更新系统的安全策略、强制执行安全功能，使之与安全策略相一致。5.1.4管理安全属性(0.S e c u r i t y _ A t t r _ M g t)系统应管理对安全属性的初始化、赋值及正

34、常操作。5.1.5管理安全关键数据(O.S e c u r i t y _ D a t a _ M g t)系统应管理对安全关键数据的初始化、限制及正常操作。5.1.6远程可信系统的可信通道(O.C o m m _ T r u s t e d 一h a n n e 1)为执行安全关键操作，系统应在系统和远程可信系统间提供可信通信信道。5.1.7用户标识和鉴别(0.1&A)系统必须能唯一标识授权用户，并在用户访问系统资源之前鉴别其声称身份的真实性。D B 1 1/T 1 4 5-2 0 0 25.1.8系统访问控制(0.R B A C)系统只允许明确授权的用户访问授权范围内的系统资源或执行相关操

35、作。5.1.9保护系统安全功能(0.S y s S e I f _ P r o t e c t i o n)系统应采取技术措施保护系统安全功能。5.1.1 0 采用 补T 程序 修改 代 码(0.A p p I y _ C o d e _ F i x e s)系统应能采用补丁程序修改代码，减少代码的脆弱性。5.1.1 1限定用户和服务的资源(0.R e s o u r c e 一u o t a s)系统必须提供措施，防止用户和服务对系统资源的过度使用，导致系统性能降低或出现拒绝服务。5.1.1 2保护和维护安全的系统状态(0.S e c u r e _ S t a t e)系统应确保在系统出

36、现错误或其他操作中断后，能恢复到某种安全状态。5.1.1 3 系统功能运行的完整性测试(0.I n t e g r i t y _ P r a c t i c e)进行安全功能的自测试，以保证系统硬件和代码的完整性。5.1.1 4对已发现的攻击的响应(0.R e a c t 一i s c o v e r e d 一t k)系统应实现对已发现的攻击的自动告警或其他响应。5.1.1 5 主页的完整性监视与 恢复(0.W e b s i t o jn t _ R e c o v e r y)系统应监视站点内容的完整性，发现修改及时修复。5.1.1 6控制系统数据的输入(0.D a t a _ I m

37、 p 一o n t r o I )应保护系统不致输入非法的数据或安全策略不允许的信息。5.1.1 7系统数据内部传递的完整性(0.I n t e g S y s _ D a t a _ I n t)系统必须保证系统数据内部传递的完整性。5.1.1 8识别对接收信息的修改(0.R c v js g M o d _ I D)系统能够识别信息在传输过程中是否出现插入、删除或替换。5.1.1 9恢复对接收信息的修改(0.R c v _ M s g M o d 一c v r)检测到接收信息已被未授权修改时，系统能恢复出原来的正确信息，或采取其他补救措施。5.1.2 0识别对发布信息的修改(0.S n t

38、 _ M s g M o d _ I D)D B 1 1/T 1 4 5-2 0 0 2系统的安全功能要求必须能够识别发布信息的修改，包括插入伪造信息以及删除或替换合法信息。5.1.2 1支持在发布信息被修改后的恢复(0.S n t M s g M o d R c v r)系统安全功能要求支持对发布信息的检测。系统在检测到发布信息被修改时，要采取相应措施。5.1.2 2关键组件失效时保持安全状态(0.F a i I _ S e c u r e)系统要保证关键组件失效时保持系统的安全状态。5.1.2 3关键组件运行错误容限(0.F a u I t jo l e r a n c e)系统必须为关键

39、组件提供运行错误容限，当一个或多个系统组件失效时系统能继续运5.1.2 4出现恶意代码时能恢复对象和数据(0.C I e a n _ O b j _ R e c o v e r y)系统引入恶意代码和发生破坏时能恢复到安全状态，并能消除恶意代码。5.1.2 5审计管理角色(O.A u d i t A d m i n _ R o l e)系统应能创建审计管理角色，避免修改或破坏审计数据的事件发生。5.1.2 6标识审计记录(0.A u d i t _ G e n e r a t i o n)系统审计记录中必须记录审计事件发生的日期和时间、地点以及对其负责的实体。5.1.2 7对可能丢失所保存的审

40、计记录作出响应(O.A u d i t _ L o s s _ R e s p o n d)当审计记录容量己满或快满时，系统对可能丢失审计记录作出响应。5.1.2 8保护存储的审计记录(0.A u d i t _ P r o t e c t)系统必须保护审计记录，防止未授权的访问、更改或删除。5.1.2 9确保可用的审计存储空间(O.G u a r a n t e e _ A u d i t 多t g)系统必须保持审计数据并确保相应的空间。5.1.3 0审计系统访问减少误用(0.A u d i t 一e t e r 一i s u s e)系统必须对系统访问进行审计，以发现系统误用，并提供潜在的

41、威慑力量以示警告。5.1.3 1系统备份(0.S y s _ B a c k u p _ P r o c s)系统必须提供确保系统可被重构的备份。5.1.3 2检测备份硬件、固件、软件的修改(0.S y s _ B a c k u p V e r i f y)D B 1 1/T 1 4 5-2 0 0 2 系统能够及时发现备份硬件、固件、软件的修改。5.1.3 3网络隔离(0.T e c-I s o I a t e d)系统必须和其它业务系统物理隔离，与互联网和远程维护系统逻辑隔离。5.2环境安全目的 环境安全目的是指除信息技术安全目的之外还需满足的要求，它们不需相应硬件和软件的机制实现，而是

42、通过采用物理的、过程的或管理的方法来达到。以下为政务公开网站的环境安全目的:5.2.1安装与操作控制(O E.I n s t a I I )确保系统在安装、维护、操作中的系统安全。5.2.2物理控制(O E.P h A c c e s s)控制对系统中相关设备的物理访问。5.2.3授权管理员培训(O E.T r a i n)加强对授权管理员的培训，使他们具有建立和维护一定的安全策略的实际能力。5.2.4防自然灾害(O E.D i s a s _ P r o t e c t i o n)系统的机房和设备能够抵抗一定自然灾害破坏。5.2.5电磁兼容(O E.E M C)系统关键设备应符合国家有关电

43、磁兼容标准要求。6安全功能要求 为保护政务公开网站的安全及网站信息的正常发布及基层信息的正确反馈，政务公开网站系统应满足以下功能要求:6.1用户数据保护6.1.1访问控制策略(F D P A C C)子集访问控制(F D P es A C C.1)F D P A C C.1.1政务公开网 站系统安全功能(以下简称系统安全功能)应对安全功能策略所覆 盖的主体、客体和它们之间的操作执行政务公开网站访问控制策略(以下简称 网站访问控制策略)。D B 1 1/T 1 4 5-2 0 0 26.1.2访问控制功能(F D P A C F)基于安全属性的访问控制(F D P _ A C F.1)F D P

44、 _ A C F.1.1系统安全功能应纂于安全属性和确定的安全属性组，对已明确的客体执行系统访问控制策略。F D P A C F.1.2系统安全功能应执行网上访问 控制策略，决定受控的主体与客体间的操作是否被允许。6.1.3向安全功能控制之外输出(F D P E T C)无安全属性的用户数据输出(F D P _ E T C.1)F D P _.E T C.1.1在安全功能策略控制下输出数据到系统安全控制范围之外时，系统安全功能应 执行网站访问控制策略和网站信息流控制策略(以下简称系统信息流控制策略，详h!F D P I F C.1)。F D P _ E T C.1.2系统应输出不带有相关安全属

45、性的信息、数据。6.1.4信息流控制策略(F D P _ I F C)j 集信息流控制(F D P _ I F C.1)F D P _ I F C.1.1 对己 确定的 主体、信息流及导致受控信息流入流出 安全功能策略覆盖的主体的操作，系统安全功能应执行系统信息流控制策略。表 1系统信息流控制策略举例远程授权用户一服务器服务器一普通用户完整性用)”日令、网站维护信息、上传网站发布信息网站信息 F 载、收集信息6.1.5信息流控制功能(F D P I F F)简单安全属性(F D P I F F.1)F D P _ .I F F.1.1系统安全功能应在主体和最小数目 和类型的信息安全属性的基础上

46、执行系统信息流控制策略。F D P 一 7 F F.1.2对每 一 个操作，如果在主体和信息之间必须有基于安全属性的关系，系统安全功能应允许受控主体和受控信息之间存在经由受控操作的信息流。D B 1 1/T 1 4 5-2 0 0 2F D P _ I F F.1.5系统安全功能应根据基于 安全属性的规则，明确授权信息流。F D P _ I F F.1.6系统安全功能应根据基于安全属性的规则，明确拒绝信息流。6.1.6从安全功能控制之外输入(F D P _ I T C)没有安全属性的用户数据输入(F D P _ I T C.1)F D P _ I T C.1.1在系统安全功能策略控制下，从系统

47、安全控制范围 之外输入用户数据时，应执 行系统信息流控制策略。F D P _ I T C.1.2外部输入用户数据时，T S F 应略去任何相关的安全属性。有安全属性的用户数据输入(F D P _ I T C.2)F D P _ I T C.2.1 T S F 在S F P 控制下从T S C 之外输入用户数据时，应执行系统信息流控制策略。F D P _ I T C.2.2 T S F 应使用与输入的数据相关的安全属性。F D P _ I T C.2.3 T S F 应确保使用的协议在安全属性和接收的 用户数据之间 提供了明 确的 联系。F D P _ I T C.2.4 T S F 应确 保

48、对输入的 用 户数 据安 全属 性的 解释 与 用户数 据 源的 解 释是 一 致的。F D P _ I T C.2.5 T S F 在S F P 控制下从T S C 之外输入用户数据时应执行系统访问 控制策略。6.1.7存储数据的完整性(F D P 多D I)存储数据完整性监视和动作(F D P _ S D I.2)F D P S D 工.2.1系统安全功能 应基于用户数据属性，监视存储在系统内 部的用户数据是否出 现 完整性错误。F D P-S D I.2.2检测到完整性错误时，系统安全功能应采取相应的动作。6.1.8安全功能间用户数据传输完整性保护(F D P U I T)数据交换完整性

49、 此功能主要解决对被传输的用户数据的篡改、删除、插入和重用等的检测。F D P 少I T.1.1系统安全功能应执行系统信息流控制策略，能以 避免出 现篡改、删除、插入等的方式传送和接收用户数据。F D P _ U I T.1.2系统安全功能应能根据接收到的用户数据判断，是否出现了篡改、删除、插入和重用。原发端数据交换恢复(F D P U I T.2)F D P U I T.2.1 T S F应执行系统访问 控制S F P 及信息流控制S F P，在原发端可信I T 产品的帮D B 1 1/T 1 4 5-2 0 0 2助下，恢复数据。6.2标识和鉴别6.2.1用户标识(F I A U I D)

50、标识定时(F I A 一 U I D.1)F I A _ U I D.1.1系统应在用户被识别之前，允许代表用户实施关闭用户标识。F I A _ U I D.1.2系统允许任何代表用户启动安全功能 之前，要求每个用户都被成功识别。6.2.2用户属性定义(F I A A T D)用户属性定义(F I A _ A T D.1)a)F I A A T D.1.1 系统应为每一个用户保存属于他的安全属性表:用户权限 及属性。6.2.3秘密的规范(F I A -S O S)秘密验证(F I A _ S O S.1)F I 左S O S.1.1系统应提供一种机制以 证明秘密(如口 令字长度及字符集)满足规