4.2 運行安全

4.2.1 風險分析

信息系統的風險分析應按以下要求進行：
a)以系統安全運行和數據安全保護為出發點，全面分析由于物理的、系統的、管理的、人為的和自然的原因所造成的安全風險；
b)通過對影響信息系統安全運行的諸多因素的了解和分析，明確系統存在的風險，找出克服這些風險的辦法；
c)對常見的風險（如：后門/陷阱門、拒絕使用、輻射、盜用、偽造、假冒、邏輯炸彈、破壞活動、偷竊行為、搭線竊聽以及計算機病毒等）進行分析，確定每類風險的程度；
d)系統設計前和運行前應進行靜態風險分析，以發現系統的潛在安全隱患；
e)系統運行過程中應進行動態風險分析，測試、跟蹤并記錄其活動，以發現系統運行期的安全漏洞，并提供相應的系統脆弱性分析報告；
f)采用風險分析工具，通過收集數據、分析數據、輸出數據，確定危險的嚴重性等級，分析危險的可能性等方法，進行風險分析，并確定安全對策。

4.2.2 信息系統安全性檢測分析

根據對信息系統安全運行的不同要求，信息系統安全性檢測分析分為：
a）操作系統安全性檢測分析：從操作系統的角度，以管理員身份評估文件許可、文件宿主、網絡服務設置、賬戶設置、程序真實性以及一般的與用戶相關的安全點、入侵跡象等，從而檢測和分析操作系統的安全性，發現存在的安全隱患；
b）數據庫管理系統安全性檢測分析：對支持信息系統運行的數據庫管理系統進行安全性檢測分析，要求通過掃描數據庫系統中與鑒別、授權、訪問控制和系統完整性設置相關的數據庫管理系統特定的安全脆弱性，分析其存在的缺點和漏洞，提出補救措施；
c）網絡系統安全性檢測分析：采用侵襲模擬器，通過在網絡設備的關鍵部位，用模擬侵襲的方法，自動掃描、檢查并報告網絡系統中（包括安全網絡系統的各個組成部分，如防火墻等）存在的缺陷和漏洞，提出補救措施，達到增強網絡安全性的目的；
d）應用系統安全性檢測分析：對所開發的應用系統進行系統運行的安全性檢測分析，要求通過掃描應用系統中與鑒別、授權、訪問控制和系統完整性有關的特定的安全脆弱性，分析其存在的缺陷和漏洞，提出補救措施；
e）硬件系統安全性檢測分析：對支持系統運行的硬件系統進行安全性檢測，通過掃描硬件系統中與系統運行和數據保護有關的特定安全脆弱性（包括電磁泄漏發射和電磁干擾等），分析其存在的缺陷和漏洞，提出補救措施；
f）攻擊性檢測分析：對重要的信息系統作攻擊性檢測，通過專業技術攻擊檢測檢查系統存在的缺陷和漏洞，提出補救措施。

4.2.3 信息系統安全監控

信息系統安全監控應采用以下方法：
a)安全探測機制：在組成信息系統的計算機、網絡的各個重要部位，設置探測器，實時監聽網絡數據流，監視和記錄內、外部用戶出入網絡的相關操作，在發現違規模式和未授權訪問時，報告信息系統安全監控中心；
b)安全監控中心：設置安全監控中心，對收到的來自探測器的信息，根據安全策略進行分析，并作審計、報告、事件記錄和報警等處理。監控中心應具有必要的遠程管理功能，如對探測器實現遠程參數設置、遠程數據下載、遠程啟動等操作。安全監控中心還應具有實時響應功能，包括攻擊分析和響應、誤操作分析和響應、漏洞分析和響應以及漏洞形勢分析和響應等。

4.2.4 安全審計

4.2.4.1 安全審計的響應

安全審計SSF應按以下要求響應審計事件：
a）記審計日志：當檢測到有安全侵害事件時，將審計數據記入審計日志；
b）實時報警生成：當檢測到有安全侵害事件時，生成實時報警信息，并根據報警開關的設置有選擇地報警；
c）違例進程終止：當檢測到有安全侵害事件時，將違例進程終止；
d）服務取消：當檢測到有安全侵害事件時，取消當前的服務；
e）用戶賬號斷開與失效：當檢測到有安全侵害事件時，將當前的用戶賬號斷開，并使其失效。

4.2.4.2 安全審計數據產生

安全審計SSF應按以下要求產生審計數據：
a）為下述可審計事件產生審計記錄：
——審計功能的開啟和關閉；
——使用身份鑒別機制；
——將客體引入用戶地址空間（例如：打開文件、程序初始化）；
——刪除客體；
——系統管理員、系統安全員、審計員和一般操作員所實施的操作；
——其他與系統安全有關的事件或專門定義的可審計事件；
b）對于每一個事件，其審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功，及其他與審計相關的信息；
c）對于身份鑒別事件，審計記錄應包含請求的來源（例如：末端標識符）；
d）對于客體被引入用戶地址空間的事件及刪除客體事件，審計記錄應包含客體名及客體的安全級。

4.2.4.3 安全審計分析

根據對安全審計的不同要求，安全審計分析分為：
a）潛在侵害分析：用一系列規則監控審計事件，并根據這些規則指出對SSP的潛在侵害。這些規則包括：
——由已定義的可審計事件的子集所指示的潛在安全攻擊的積累或組合；
——任何其它的規則；
b）基于異常檢測的描述：維護用戶所具有的質疑等級——歷史使用情況，以表明該用戶的現行活動與已建立的使用模式的一致性程度。當用戶的質疑等級超過門限條件時，能指出將要發生對安全性的威脅；
c）簡單攻擊探測：能檢測到對SSF的實施有重大威脅的簽名事件的出現。為此，SSF應維護指出對SSF侵害的簽名事件的內部表示，并將檢測到的系統行為記錄與簽名事件進行比較，當發現兩者匹配時，指出一個對SSF的攻擊即將到來；
d）復雜攻擊探測：在上述簡單攻擊探測的基礎上，能檢測到多步入侵情況，并根據已知的事件序列模擬出完整的入侵情況，指出發現對SSF的潛在侵害的簽名事件或事件序列的時間。

4.2.4.4 安全審計查閱

根據對安全審計的不同要求，安全審計查閱分為：
a）基本審計查閱：提供從審計記錄中讀取信息的能力，即為授權用戶提供獲得和解釋審計信息的能力。當用戶是人時，必須以人類可懂的方式表示信息；當用戶是外部IT實體時，必須以電子方式無歧義地表示審計信息；
b）有限審計查閱：在基本審計查閱的基礎上，應禁止具有讀訪問權限以外的用戶讀取審計信息；
c）可選審計查閱：在有限審計查閱的基礎上，應具有根據準則來選擇要查閱的審計數據的功能，并根據某種邏輯關系的標準提供對審計數據進行搜索、分類、排序的能力。

4.2.4.5 安全審計事件選擇

應根據以下屬性選擇可審計事件：
a)客體身份、用戶身份、主體身份、主機身份、事件類型；
b)作為審計選擇性依據的附加屬性。

4.2.4.6 安全審計事件存儲

根據對安全審計的不同要求，安全審計事件存儲分為：
a）受保護的審計蹤跡存儲：審計蹤跡的存儲受到應有的保護，能檢測或防止對審計記錄的修改；
b）審計數據的可用性確保：在意外情況出現時，能檢測或防止對審計記錄的修改，以及在發生審計存儲已滿、存儲失敗或存儲受到攻擊時，確保審計記錄不被破壞；
c）審計數據可能丟失情況下的措施：當審計跟蹤超過預定的門限時，應采取相應的措施，進行審計數據可能丟失情況的處理；
d）防止審計數據丟失：在審計蹤跡存儲記滿時，應采取相應的防止審計數據丟失的措施，可選擇“忽略可審計事件”、“阻止除具有特殊權限外的其他用戶產生可審計事件”、“覆蓋已存儲的最老的審計記錄”和“一旦審計存儲失敗所采取的其它行動”等措施，防止審計數據丟失。

4.2.4.7 網絡環境安全審計

在網絡環境運行的信息系統，應采用以下措施實現網絡環境信息系統安全審計：
a)安全審計中心：在信息系統中心建立由安全審計服務器組成的審計中心，收集各安全審計代理程序的審計信息，并進行記錄分析與保存；
b)安全審計代理程序：分布在網絡各個運行節點的安全審計代理程序，為安全審計服務器提供審計數據；
c)跨平臺安全審計機制：設置跨平臺的安全審計機制，對安全事件快速進行評估并作出響應，向管理人員提供各種能反映系統使用情況、出現的可疑跡象、運行中發生的問題等有價值的統計和分析信息；
d)審計評估方法和機制：運用統計方法學和審計評估機制，給出智能化審計報告及趨向報告，達到綜合評估系統安全現狀的目的。

4.2.5 信息系統邊界安全防護

根據對信息系統運行安全的不同要求，信息系統邊界安全防護采用的安全機制和措施分為：
a）基本安全防護：采用常規的信息系統邊界安全防護機制，如基本的登錄/連接控制等，實現基本的信息系統邊界安全防護；
b）較嚴格安全防護：采用較嚴格的安全防護機制，如較嚴格的登錄/連接控制，普通功能的防火墻、防病毒網關、入侵防范、信息過濾、邊界完整性檢查等，實現較嚴格的信息系統邊界安全防護；
c）嚴格安全防護：根據當前信息安全對抗技術的發展，采用嚴格的安全防護機制，如嚴格的登錄/連接控制，高安全功能的防火墻、防病毒網關、入侵防范、信息過濾、邊界完整性檢查等，實現嚴格的信息系統邊界安全防護；
d）特別安全防護：采用當前最先進的邊界防護技術，必要時可以采用物理隔離安全機制，實現特別安全要求的信息系統邊界安全防護。

4.2.6 備份與故障恢復

為了實現確定的恢復功能，必須在信息系統正常運行時定期地或按某種條件實施備份。不同的恢復要求應有不同的備份進行支持。根據對信息系統運行安全的不同要求，實現備份與故障恢復的安全技術和機制分為：
a)用戶自我信息備份與恢復：提供用戶有選擇地備份重要信息的功能；當由于某種原因引起信息系統中用戶信息丟失或破壞時，能提供用戶按自我信息備份所保留的信息進行信息恢復的功能；
b)增量信息備份與恢復：提供由信息系統定時對新增信息進行備份的功能；當由于某種原因引起信息系統中的某些信息丟失或破壞時，提供用戶按增量信息備份所保留的信息進行信息恢復的功能；
c)局部系統備份與恢復：提供定期對信息系統的某些重要的局部系統的運行狀態進行備份的功能；當由于某種原因引起信息系統某一局部發生故障時，提供用戶按局部系統備份所保留的運行狀態進行局部系統恢復的功能；
d)全系統備份與恢復：提供定期對信息系統全系統的運行狀態進行備份的功能；當由于某種原因引起信息系統全系統發生故障時，提供用戶按全系統備份所保留的運行狀態進行全系統恢復的功能；
e)設備備份與容錯：可采用設備冷/熱備份、單機邏輯備份、雙機備份等，對系統的重要設備進行備份/冗余設置和容錯設計，并在必要時能立即投入使用，使故障對用戶透明；
f)網絡備份與容錯：對于重要信息系統，采用冗余技術、路由選擇技術、路由備份技術等，實現網絡備份與容錯，當網絡正常路由不能工作時，能替代其工作，使信息系統照常運行；
g)災難備份與恢復：對于重要的信息系統，設置主機系統的異地備份，當主機系統發生災難性故障中斷運行時，能在較短時間內啟動，替代主機系統工作，使系統不間斷運行。

4.2.7 惡意代碼防護

對包括計算機病毒在內的惡意代碼進行必要的安全防護。根據對信息系統運行安全的不同要求，實現惡意代碼防護的安全機制和措施分為：
a)嚴格管理：嚴格控制各種外來介質的使用，防止惡意代碼通過介質傳播；
b)網關防護：要求在所有惡意代碼可能入侵的網絡連接部位設置防護網關，攔截并清除企圖進入系統的惡意代碼；
c)整體防護：設置惡意代碼防護管理中心，通過對全系統的服務器、工作站和客戶機，進行惡意代碼防護的統一管理，及時發現和清除進入系統內部的惡意代碼；
d)防管結合：將惡意代碼防護與網絡管理相結合，在網管所涉及的重要部位設置惡意代碼防護軟件，在所有惡意代碼能夠進入的地方都采取相應的防范措施，防止惡意代碼侵襲；
e)多層防御：采用實時掃描、完整性保護和完整性檢驗等不同層次的防護技術，將惡意代碼檢測、多層數據保護和集中式管理功能集成起來，提供全面的惡意代碼防護功能，檢測、發現和消除惡意代碼，阻止惡意代碼的擴散和傳播。

4.2.8 信息系統的應急處理

根據對信息系統運行安全的不同要求，實現信息系統應急處理的安全機制和措施分為：
a）具有各種安全措施：包括在出現各種安全事件時應采取的措施，這些措施是管理手段與技術手段的結合；
b）設置正常備份機制：在系統正常運行時就通過各種備份措施為災害和故障做準備；
c）健全安全管理機構：建立健全的安全事件管理機構，明確人員的分工和責任；
d）建立處理流程圖：制定安全事件響應與處理計劃及事件處理過程示意圖，以便迅速恢復被破壞的系統。