当前数据库安全现状及其安全审计整理表姓名:职业工种:申请级别:受理机构:填报日期:UDCP GB XXXX -XXXX(征求意见稿 )中华人民共和国国家标准互联网网络安全设施技术标准Technical Standard for Internet Security Facilities20X X -X X -X X 发布20X X -X X -X X 实施中华人民共和国住房和城乡建设部 中华人民共和国国家质量监督检验检疫总局联合发布中华人民共和国国家标准互联网网络安全设施技术标准Technical Standard for Internet Security FacilitiesGB XXXX-20XX主编部门:中华人民共和国工业和信息化部批准部门:中华人民共和国住房和城乡建设部施行日期:20XX年XX月XX日XXXXXX出版社20XX 北京中华人民共和国住房和城乡建设部公告第XXX号关于发布《互联网网络安全设施技术标准》的通知现批准《互联网网络安全设施技术标准》为国家标准,编号为GB XXXX-20XX,自20XX年XX月XX日起实施。
本规范由XXXXXX出版社出版发行。
中华人民共和国住房和城乡建设部二〇XX年X月X日前言根据住房和城乡建设部《关于印发2017年工程建设标准规范制修订及相关工作计划的通知》(建标[2016]248号)的要求,由中通服咨询设计研究院有限公司、华信咨询设计研究院有限公司、广东省电信规划设计院有限公司、广州宏亮信息技术有限公司会同有关单位共同编制而成。
本规范在编制过程中,结合《中华人民共和国网络安全法》关于网络安全“三同步”的相关要求,认真总结了近年来我国互联网网络安全工程建设的经验和教训,参考和借鉴了国内外有关标准,在广泛征求意见的基础上,经反复审查定稿。
本规范共分为7章,主要内容包括:总则、术语和符号、网络安全工程规划、网络安全工程设计、网络安全工程施工要求、网络安全工程验收、网络安全设施运行维护。
本规范由住房和城乡建设部负责管理和对强制性条文的解释,工业和信息化部信息通信发展司负责日常管理工作,中通服咨询设计研究院有限公司负责具体技术内容的解释。
在执行本规范过程中,请各单位结合工程实践,注意发现问题,总结经验,积累资料,随时将有关意见和建议反馈给中通服咨询设计研究院有限公司(地址:江苏省南京市建邺区楠溪江东街58号,邮政编码:210019),以供今后修订时参考。
本规范主编单位、主要起草人和主要审查人:主编单位:中通服咨询设计研究院有限公司参编单位:华信咨询设计研究院有限公司广东省电信规划设计院有限公司广州宏亮信息技术有限公司主要起草人:王小鹏、董育萍、莫晓楠、梁建辉、杨波、张子扬、叶挺、李艳杰主要审查人员:目次1总则22术语和符号32.1术语32.2符号43网络安全工程规划64网络安全工程设计74.1设计基本要求74.2安全防护设施设计要求74.3安全监测设施设计要求104.4安全审计设施设计要求134.5应急灾备设施设计要求155网络安全工程实施要求185.1一般要求185.2安全要求186网络安全工程验收206.1验收前准备206.2工程验收要求207网络安全设施运行维护23本标准用词说明25引用标准名录261.总则1.为规范我国互联网网络安全设施建设,确保网络安全技术措施与关键信息基础设施同步规划、同步建设、同步使用,做到技术先进、经济合理、安全适用,制定本标准。
2.本标准适用于新建、改建和扩建的互联网网络安全工程。
3.互联网网络安全工程建设应贯彻国家网络安全管理方针政策和技术经济政策,符合国家相关技术体制及技术标准,同时应密切结合互联网快速发展的实际,具备快速扩容升级的能力。
4.互联网网络安全工程建设应充分调查分析和预测网络安全需求及运营维护需求,并充分考虑新业务、新技术对网络安全设施结构、能力的影响等因素。
5.互联网网络安全工程建设应充分利用已有的网络安全设施,实现共建共享并降低工程造价。
6.互联网网络安全工程建设除应执行本规范外,尚应符合国家现行有关标准的规定。
2.术语和符号1.术语1.互联网业务系统Internet Business System通过计算机网络提供信息服务的业务系统,由主机、交换机、路由器、数据库、操作系统、应用软件等硬件和软件设备所组成。
2.网络安全防护设施Network Security Protection Facilities用于保护互联网业务系统的安全性、保密性和可用性免受外部破坏的网络安全设施。
3.网络安全监测设施Network Security Detecting Facilities用于监测互联网业务系统安全威胁、安全漏洞和安全事件等的网络安全设施。
4.安全审计设施Network Security Audit Facilities用于对网络数据和日志进行采集记录并支持对异常行为分析取证的网络安全设施。
5.应急灾备设施Emergency Disaster Recovery Facilities用于在网络安全事件发生后即时响应并快速恢复数据和业务的网络安全设施。
2.符号下列缩略语适用于本规范:英文缩写英文名称中文名称4A Account Authentication Authorization &Audit统一安全管理平台解决方案ACK Acknowledgement 确认字符CA Certificate Authority 证书授权中心CC Challenge Collapsar 挑战黑洞DoS Denial of Service 拒绝服务攻击DDoS Distributed Denial of Service 分布式拒绝服务攻击HTTP HyperText Transfer Protocol 超文本传输协议ICMP Internet Control Message Protocol 控制报文协议IMAP Internet Mail Access Protocol 交互式邮件存取协议POP3 Post Office Protocol - Version 3 邮局协议版本3 SDN Software Defined Network 软件定义网络SMTP Simple Mail Transfer Protocol 简单邮件传输协议SQL Structured Query Language 结构化查询语言SYN Synchronization 同步TCP Transmission Control Protocol 传输控制协议UDP User Datagram Protocol 用户数据报协议1.网络安全设施需能保证互联网业务的稳定持续运行,能够对网络安全风险进行有效的防御、监测和审计,能够支撑安全事件应急处置和业务灾备恢复,网络安全设施应与互联网信息设施同步规划、同步建设、同步使用。
2.网络安全工程规划中应综合考虑互联网基础设施和信息系统业务发展等对网络安全防护、网络安全监测、网络安全审计、网络应急灾备的需求。
3.网络安全工程规划应根据近、远期互联网业务及网络发展规划、用户数量、网络带宽、网络资产规模、网络安全管理需求等情况测算网络安全设施的功能性能需求和建设规模。
4.网络安全工程规划应根据现有网络安全设施的建设使用情况、各互联网信息基础设施和信息系统发展规划进行综合业务预测,结合网络安全设施技术发展情况,确定网络安全设施组织方案和近、远期演进路线。
5.网络安全工程规划应处理好整体和局部的关系,全局通用的安全技术手段宜采用共建共享的模式。
6.网络安全工程规划应进行多种方案的技术经济比较。
1.设计基本要求1.网络安全工程设计应满足互联网网络安全保障相关功能、性能、质量和工程投资等建设项目要求。
2.互联网网络安全设施需满足互联网业务可用性、完整性、保密性、可审计性等安全需求。
3.网络安全工程设计应根据所保障的互联网业务的具体特征和信息安全等级保护等相关法规的技术要求,有针对性地进行网络安全方案设计、网络安全指标设计、网络安全设施配置等工作。
4.对特定的互联网应用场景应采用定制化的网络安全设计方案。
对于SDN网络,应注重网络控制器等核心部件的安全保障;对于云计算系统,应注重虚拟机的安全保障;对于物联网系统,应注重传感层设备的安全保障。
5.对于网络安全升级改造工程,应保证现网已有网络安全设施的合理利用和充分整合。
6.网络安全工程设计应优先采用成熟稳定的网络安全技术和设备,并充分考虑网络安全技术的演进及融合发展。
7.网络安全工程设计应做到安全域划分合理、纵深防御功能清晰、安全性能计算准确。
2.安全防护设施设计要求1.互联网网络安全防护设施主要包括访问控制设施、用户认证授权设施、入侵防御设施、异常流量清洗设施、病毒过滤设施、垃圾邮件过滤设施、敏感信息加密设施等。
网络安全工程设计中需根据所保障互联网业务的特点,编制相应的安全防护策略,综合采取多种安全防护设施,实现对网络攻击行为的纵深防御。
2.安全防护设施设计宜遵循以下基本步骤:1.调查梳理网络与系统现状;2.明确安全防护目标:包括防护对象、防护等级、性能目标和投资费用目标;3.安全防护体系设计:包括安全域划分、防护设施配置、防护策略设计;4.防护性能设计:包括网络攻击规模预测和防御性能配置;5.网络安全威胁分析;6.防护设施规划和参数设计;7.设备选型;8.勘察局址,确定最终方案。
1.安全防护设施设计应遵循以下原则:1.应根据互联网业务所面临的网络安全威胁和攻击模型进行防护系统设计,在兼顾工程投资的前提下,实现高效全面的安全防护,达到纵深防御的要求;2.应根据互联网业务发展需求构建合理的安全防护体系,能够按需对相关防护设施的功能和性能进行灵活扩容而无需对整个安全防护架构进行调整。
3.网络安全防护设施能够与网络安全监测设施进行联动,通过动态监测与主动防御相结合,实现精准化、智能化防护。
4.互联网网络安全防护设施的防护性能须与所防护的互联网业务规模相匹配,防护设施配置需不低于业务忙时和攻击峰值时的安全防护需求。
1.访问控制设施用于在关键网络节点和安全域边界按照确定的控制策略对网络访问进行管控,访问控制设施可按需以路由模式、透明模式或者混杂模式参与系统组网,访问控制策略应包括:1.根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查,允许或者拒绝数据包出入;2.网络访问控制应设定过滤规则集,并涵盖所有出入边界数据包的处理方式,对于没有明确定义的数据包,应缺省拒绝;3.能够根据应用层协议信息及相应的安全规则,对数据流中的每一个报文进行允许/禁止操作。
1.用户认证授权设施用于对访问特定网络目标的用户及终端进行身份认证和访问授权,身份认证宜采取静态密码、动态口令、CA证书等多因子组合认证的方式,访问授权应细化到用户级和系统资源级。