指挥自动化计算机网络安全要求

指挥自动化计算机网络安全要求GJB1281-91一范围1.1主题内容和适用范围1.1.1本标准规定了全军指挥自动化计算机网络在实体、网络和管理等方面的安全要求（未涉及可靠性安全要求）。可作为论证、招标、研制、验收和应用的基本依据。其它计算机网络，特别是国家重点要害部门的计算机网络也可参照采用。1.1.2本标准适用于指挥自动化广域网和局域网。二引用文件GB2887计算站场地技术要求GB4943数据处理设备的安全GB9361计算站场地安全要求GJB141.1用于数据传输的一般专用标准电话电路特性GJB141.2用于数据传输的优质专用标准电话电路特性GJB148数据传输质量维护极限及维护标准GJB151军用设备和分系统电磁发射和敏感度要求GJB663军用通信系统、设备安全要求三定义3.1信息破坏由于偶然事故或人为因素而破坏信息的正确性、完整性和可用性。3.2网络实体计算机网络中各类设备（包括节点机设备、通信设备、终端设备、存储设备、电源系统等）以及为此服务的其他硬件设备的总称。3.3计算机病毒依附在计算机程序中的一种可以繁衍的程序。它象生物病毒一样使计算机程序感染，并在计算机网络中再生和扩散，造成其紊乱或瘫痪。3.4昀小特权在完成某种操作时所赋予网络中每个主体（用户或进程）必不可少的特权。3.5主动威胁非法占用网络处理信息、侵入文件、修改程序，造成在错误状态下运行。3.6被动威胁当网络正常运行时，由于系统单元暴露或输入输出等管理不严造成信息泄露或被非法截取而产生的威胁。3.7实体安全（物理安全）为确保网络在信息的采集、处理、传输、存储过程中，不致受到人为或自然因素的危害，而对网络设备、设施、环境、人员等所采取的安全措施。3.8灾难事件因人为或自然灾害造成的涉及全局的一时难以恢复的破坏性事件。四一般要求4.1目标网络安全设计应与论证、招标、研制、验收和应用工作同步进行，并根据需求，分阶段、分层次逐步实施和完善，以达到如下目标：a.保证网络正常运行，避免各种非故意的错误与损失；b.保证信息的正确性、完整性和可用性，防止网络及数据遇到偶然的、被动的和主动的威胁，以及自然灾害的破坏；c.对影响网络的意外事故具有应急措施。4.2基本原则4.2.1特权分散原理把实现某一重要功能的特权分散给若干个程序、节点或用户，必须由规定的若干个具有特权的程序、节点或用户到齐后才能实现该功能。4.2.2昀小特权原理应限定网络中每个主体所必须的昀小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失昀小。4.2.3安全控制和对象的独立性安全控制的设计、实现和操作应隔离。4.2.4分割和分区化对网络中受保护的内容分割成几个部分，并分别加以保护。4.2.5参数化安全控制设计应参数化，以便授权时加以调节。4.2.6隐蔽对工作人员和受控对象（用户）隐蔽控制手段及其操作详情。4.2.7经济性对网络中须保密的设备，采用经济有效的控制设计达到要求。所占资源应少于系统资源的10%.4.2.8安全形象全网络在用户和公众面前应具有完整的安全形象。4.3基本要求4.3.1应具有对全网网络拓扑、网络配置及网络参数的统一管理，监督与控制功能。4.3.2对网络实体的环境安全、电磁干扰和辐射的保护应有安全措施。4.3.3网络系统应有技术安全手段，确保数据传输、交换、存储处理及通信控制的安全。4.3.4网络应具有计算机病毒的预防措施。4.3.5对灾难性事件应有应急措施。4.3.6网络应具有必要的冗余度和降级处理能力。4.3.7网络安全设施的接口设备应方便用户并实现透明操作。4.3.8网络应具有承受允许的昀严重错误的能力。4.3.9在确保安全的前提下应充分发挥资源共享的效能。4.3.10网络应采取多重安全控制手段。每个安全控制手段均能产生充分的证据，以表明所完成操作的正确性。4.3.11网络应登记用户进入网络的各种活动，以提供事后检查。4.3.12存取控制应是逐级授权的。网络在为授权用户提供合法服务的同时，应具有拒绝非法访问的功能。4.3.13应具有监视和控制网络负载状态的功能，以防止其崩溃和瘫痪。五详细要求5.1实体安全（物理安全）威胁实体安全的具体表现如下：a.人为破坏；b.各种自然灾害；c.各类媒体失窃和散失；d.设备故障；e.环境和场地因素；f.电磁发射及敏感度；g.战争的破坏等。5.1.1网络节点场地环境安全要求网络节点中心应设专用机房，装备空调、在线式不间断供电电源、报警、防水、防盗、防鼠和消防设备以及电磁防护、接地及避雷装置。5.1.1.1设计或改建网络节点机房时必须符合GB2887和GB9361的规定。5.1.1.2网络节点机房建筑和结构还应注意下列问题：a.宜为专用建筑；b.在电梯或楼梯应设置不能直接进入机房的场所；c.应与外部人员频繁出入的场所隔离；d.周围应设有防止非法进入的设施；e.建筑物周围应有足够照度的照明设施；f.外部容易接近的窗口应采取防范措施。无人值守时应有自动报警设备；g.应只有一个出入口，并在合适的位置上开设应急出入口，作为应急疏散通道。出入口处均应安装出入控制装置；h.内部设计应便于出入控制和分区控制。5.1.1.3安全设备除符合GB9361规定外，还应满足下列要求：a.机房进出口须设置应急电话；b.各房间应有声光报警装置；c.进出口应派警卫或设置识别与记录进出人员的设备及防范措施；d.机房内用于动力、照明的供电线路应与计算机系统的供电线路分开；e.机房内不同电压的供电系统应安装互不兼容的插座；f.应配备温、湿度自动记录仪及温、湿度报警设备和碎纸机；g.机房及疏散通道须配备应急照明装置（5勒克斯）。5.1.2网络终端场地环境安全要求5.1.2.1终端室的环境a.应具备适当的通风和空调；b.应清洁无尘；c.应具备防静电措施；d.应设置温、湿度计、吸尘器以及碎纸机；e.终端宜采取屏蔽措施，如屏蔽罩等；f.处理密级数据的远程终端应放置在相应的安全环境中。5.1.2.2终端室电源防护应根据需要选用离线式或在线式不间断供电电源。5.1.2.3防火、防烟、防水和防鼠害a.应设置灭火器，并根据需要安装火灾探测器；b.将当地消防队电话号码张贴在电话机附近；c.定期检查火灾探测设备或灭火器以及水敏传感器，并保存这类检查的书面报告。d.指定并训练人员担任扑灭小火或闷燃火灾的消防员；e.终端室严禁吸烟；f.禁止使用延伸接线盒和多通电源插座；g.机房窗帘使用阻燃材料制作；h.应有应急供电的备用照明；i.设备不得紧靠墙壁放置；j.在设备周围不要堆积大量纸张，以免堵住设备的通风孔；k.设备上严禁放置无关物品；l.终端室不要有水管、蒸汽管道通过天花板；m.如果终端室屋顶有水塔或冷却器，必须采用防护装置；n.每台设备应配置防水罩；o.在易受鼠害的场所，电缆和电线上应涂驱鼠药剂；p.应设置捕鼠和驱鼠装置。5.1.2.4防盗a.采用特殊门锁；b.每个设备都应附有标签或标记；c.应设警报器；d.可采用锚式锁固定终端设备；e.可在终端上加装锁式电源开关；f.如果用户不愿在设备上打孔安装锁或开关，可在靠近终端处安装独立的锁式电源开关。开关的导线应联至电源插座，终端电源线联到开关。5.1.3网络通信系统安全要求5.1.3.1网络通信系统安全应符合GJB663规定。5.1.3.2网络通信系统传输线路的安全应注意下列问题：a.传输线路应符合标准。用于数据传输的电话电路特性应符合GJB147.1和GJB147.2.定期检查各线段及接点，更换老化变质的电缆；b.传输线路应采用屏蔽电缆并有露天保护或埋于地下，要求远离强电线路或强电磁场发射源，以减少由于干扰引起的数据错误；c.铺设电缆应采用金属铠装、屏蔽电缆或加装金属套管，以减少各种监控辐射对线路的干扰；d.加装中和变压器、屏蔽变压器和绝缘变压器；e.宜采用光纤电缆；f.定期测试信号强度，检查是否有非法装置接入线路；g.定期检查接线盒及其它易被人接近的线路部位；h.调制解调器应放置在受监视的区域，以防止外来连接的企图。调制解调器的连接应定期检验，以检验是否有篡改行为。5.1.4电磁兼容和防护5.1.4.1网络设备的电磁兼容，按GJB151有关规定限值选用。5.1.4.2要防止电磁辐射被截收。a.入网设备必须符合GJB151规定；b.重要场合应对机房进行屏蔽；c.可采取区域控制的办法；d.采取主动有源干扰等技术；e.机房宜设在地下室或底层。5.1.4.3网络通信系统必须具有防止电磁干扰和泄漏的措施。5.1.5记录媒体的保护5.1.5.1载有关键性程序、主记录、设备分配图表、加密算法、密钥等记录媒体应按其密级及其产生的难易程序分级管理和保护。5.1.5.2载有关键记录的磁盘、磁带等磁媒体应加防磁场保护措施，必要时需进行备份保护。5.2网络系统安全5.2.1信息传输安全a.密级信息到达终点之前，严禁呈现明文状态；b.传输密级信息时必须进行网络加密，如链路加密、节点加密和用户加密等；c.为保证密级数据的安全传递，网络节点机宜有备份；d.不传送信息时接口应阻断；e.设置辩认正当通信伙伴的功能；f.用拨号线能接触网络时，拨号码应予以保护。同时保密信息不宜存放在节点机内。5.2.2鉴别5.2.2.1为了防止非法修改节点机中的通行字表，应具备鉴别用户通行字真实性的能力；5.2.2.2对用户密钥应鉴别；5.2.2.3在数据通信中，应有验证接收到的数据是否真实的能力；5.2.2.4应能识别非法入网的终端和用户。遇有多次不成功的联机尝试时，应及时记录并分析结果，采取相应的处理。5.2.3输入输出控制5.2.3.1明确网络系统各环节工作人员的职责a.设计人员与操作人员必须分离；b.重要事务处理项目，必须由法定人办理；c.工作期间至少应有二人在场，以防止非法使用网络；d.必须保存控制台打印记录。5.2.3.2制订统一的数据格式并使用标准编码。5.2.3.3操作控制a.对特定的终端设备，应采用通行字、卡片、识别码、钥匙等办法限定操作人员。b.操作人员操作应符合有关操作规程和输入/输出数据处理的规定；c.应建立良好的人机操作环境，以减少失误；d.处理密级数据的各终端应予隔离。5.2.3.4数据在投入使用前，必须确保其准确可靠。5.2.3.5输出控制a.各业务部门终端数据输出控制应有专人负责；b.输出文件必须有明显的、可读的密级标志；c.输出文件的发放应按规定生成所申请数量的拷贝。网上传输文件，收方应给回执；d.打印过保密数据的色带，应妥善保管或销毁。5.2.3.6内存的残留信息应及时清除，以防止引起信息泄漏。5.2.3.7设备无人值守运行时，应切实地对运行状态进行监视、控制及记录。如运行状态的监视、运行控制、记录运行状态。5.2.3.8在互通的计算机系统之间，建立能检查判断对方是否正常工作的功能。5.2.3.9应具有检测不正当使用和非法存取的监视（记录）功能。如存取监视功能、控制台记录功能、系统使用状况记录功能等。5.2.3.10对不设在专用机房的计算机，应采取下列措施以预防程序及数据不正当使用的更改。a.下线的计算机不应保存重要的程序及数据文件；b.上线时应对重要程序及数据文件进行必要的检测，以避免不正当更改；c.对上线计算机应设置监视功能，以对不正当输入及事件进行检查。5.2.4联网处理联网时不得影响互联双方原有的安全性。5.2.5密码保护5.2.5.1密码算法的设计、研制、投入使用必须报请密码主管部门批准，并由指定的密码研制单位研制生产。5.2.5.2网络应根据划分的密级处理相应的信息。密码算法的保密强度必须与被保护信息的密级相适应，严禁在低密级环境中处理、传输、存储高密级信息。5.2.5.3网络的关键程序、密码算法、密钥等软件数据，必须受到保密保护或其它形式的有效保护。5.2.5.4用于链路加密、节点加密、终端加密的算法要相互分割。5.2.5.5不同系统间的密码体制既要相互分割，又要能保证系统间通信。5.2.5.6在紧急情况下，密钥受到意外破坏时的恢复等问题，要有妥善可行的应急措施。5.3计算机病毒的预防5.3.1不要用非发行包软盘引导系统。5.3.2基于软