指挥自动化计算机网络安全要求 GJB 1281-91 一 范围 1.1 主题内容和适用范围 1.1.1 本标准规定了全军指挥自动化计算机网络在实体、网络和管理等方面的安全要求（未 涉及可靠性安全要求）。可作为论证、招标、研制、验收和应用的基本依据。 其它计算机 网络，特别是国家重点要害部门的计算机网络也可参照采用。 1.1.2 本标准适用于指挥自动化广域网和局域网。 二 引用文件 GB 2887 计算站场地技术要求 GB 4943 数据处理设备的安全 GB 9361 计算站场地安全要求 GJB 141.1 用于数据传输的一般专用标准电话电路特性 GJB 141.2 用于数据传输的优质专用标准电话电路特性 GJB 148 数据传输质量维护极限及维护标准 GJB 151 军用设备和分系统电磁发射和敏感度要求 GJB 663 军用通信系统、设备安全要求 三 定义 3.1 信息破坏 由于偶然事故或人为因素而破坏信息的正确性、完整性和可用性。 3.2 网络实体 计算机网络中各类设备（包括节点机设备、通信设备、终端设备、存储设备、电源系统等） 以及为此服务的其他硬件设备的总称。 3.3 计算机病毒 依附在计算机程序中的一种可以繁衍的程序。它象生物病毒一样使计算机程序感染，并在计 算机网络中再生和扩散，造成其紊乱或瘫痪。 3.4 最小特权 在完成某种操作时所赋予网络中每个主体（用户或进程）必不可少的特权。 3.5 主动威胁 非法占用网络处理信息、侵入文件、修改程序，造成在错误状态下运行。 3.6 被动威胁 当网络正常运行时，由于系统单元暴露或输入输出等管理不严造成信息泄露或被非法截取而 产生的威胁。 3.7 实体安全（物理安全） 为确保网络在信息的采集、处理、传输、存储过程中，不致受到人为或自然因素的危害，而 对网络设备、设施、环境、人员等所采取的安全措施。 3.8 灾难事件 因人为或自然灾害造成的涉及全局的一时难以恢复的破坏性事件。 四 一般要求 4.1 目标 网络安全设计应与论证、招标、研制、验收和应用工作同步进行，并根据需求，分阶段、分 层次逐步实施和完善，以达到如下目标： a.保证网络正常运行，避免各种非故意的错误与损失； b.保证信息的正确性、完整性和可用性，防止网络及数据遇到偶然的、被动的和主动的威胁， 以及自然灾害的破坏； c.对影响网络的意外事故具有应急措施。 4.2 基本原则 4.2.1 特权分散原理 把实现某一重要功能的特权分散给若干个程序、节点或用户，必须由规定的若干个具有特权 的程序、节点或用户到齐后才能实现该功能。 4.2.2 最小特权原理 应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因 造成的损失最小。 4.2.3 安全控制和对象的独立性 安全控制的设计、实现和操作应隔离。 4.2.4 分割和分区化 对网络中受保护的内容分割成几个部分，并分别加以保护。 4.2.5 参数化 安全控制设计应参数化，以便授权时加以调节。 4.2.6 隐蔽 对工作人员和受控对象（用户）隐蔽控制手段及其操作详情。 4.2.7 经济性 对网络中须保密的设备，采用经济有效的控制设计达到要求。所占资源应少于系统资源的 10%. 4.2.8 安全形象 全网络在用户和公众面前应具有完整的安全形象。 4.3 基本要求 4.3.1 应具有对全网网络拓扑、网络配置及网络参数的统一管理，监督与控 制功能。 4.3.2 对网络实体的环境安全、电磁干扰和辐射的保护应有安全措施。 4.3.3 网络系统应有技术安全手段，确保数据传输、交换、存储处理及通信控制的安全。 4.3.4 网络应具有计算机病毒的预防措施。 4.3.5 对灾难性事件应有应急措施。 4.3.6 网络应具有必要的冗余度和降级处理能力。 4.3.7 网络安全设施的接口设备应方便用户并实现透明操作。 4.3.8 网络应具有承受允许的最严重错误的能力。 4.3.9 在确保安全的前提下应充分发挥资源共享的效能。 4.3.10 网络应采取多重安全控制手段。每个安全控制手段均能产生充分的证据，以表明所 完成操作的正确性。 4.3.11 网络应登记用户进入网络的各种活动，以提供事后检查。 4.3.12 存取控制应是逐级授权的。网络在为授权用户提供合法服务的同时，应具有拒绝非 法访问的功能。 4.3.13 应具有监视和控制网络负载状态的功能，以防止其崩溃和瘫痪。 五 详细要求 5.1 实体安全（物理安全） 威胁实体安全的具体表现如下： a.人为破坏； b.各种自然灾害； c.各类媒体失窃和散失； d.设备故障； e.环境和场地因素； f.电磁发射及敏感度； g.战争的破坏等。 5.1.1 网络节点场地环境安全要求 网络节点中心应设专用机房，装备空调、在线式不间断供电电源、报警、防水、防盗、防鼠 和消防设备以及电磁防护、接地及避雷装置。 5.1.1.1 设计或改建网络节点机房时必须符合 GB2887 和 GB9361 的规定。 5.1.1.2 网络节点机房建筑和结构还应注意下列问题： a.宜为专用建筑； b.在电梯或楼梯应设置不能直接进入机房的场所； c.应与外部人员频繁出入的场所隔离； d.周围应设有防止非法进入的设施； e.建筑物周围应有足够照度的照明设施； f.外部容易接近的窗口应采取防范措施。无人值守时应有自动报警设备； g.应只有一个出入口，并在合适的位置上开设应急出入口，作为应急疏散通道。出入口处均 应安装出入控制装置； h.内部设计应便于出入控制和分区控制。 5.1.1.3 安全设备除符合 GB9361 规定外，还应满足下列要求： a.机房进出口须设置应急电话； b.各房间应有声光报警装置； c.进出口应派警卫或设置识别与记录进出人员的设备及防范措施； d.机房内用于动力、照明的供电线路应与计算机系统的供电线路分开； e.机房内不同电压的供电系统应安装互不兼容的插座； f.应配备温、湿度自动记录仪及温、湿度报警设备和碎纸机； g.机房及疏散通道须配备应急照明装置（5 勒克斯）。 5.1.2 网络终端场地环境安全要求 5.1.2.1 终端室的环境 a.应具备适当的通风和空调； b.应清洁无尘； c.应具备防静电措施； d.应设置温、湿度计、吸尘器以及碎纸机； e.终端宜采取屏蔽措施，如屏蔽罩等； f.处理密级数据的远程终端应放置在相应的安全环境中。 5.1.2.2 终端室电源防护应根据需要选用离线式或在线式不间断供电电源。 5.1.2.3 防火、防烟、防水和防鼠害 a.应设置灭火器，并根据需要安装火灾探测器； b.将当地消防队电话号码张贴在电话机附近； c.定期检查火灾探测设备或灭火器以及水敏传感器，并保存这类检查的书面报告。 d.指定并训练人员担任扑灭小火或闷燃火灾的消防员； e.终端室严禁吸烟； f.禁止使用延伸接线盒和多通电源插座； g.机房窗帘使用阻燃材料制作； h.应有应急供电的备用照明； i.设备不得紧靠墙壁放置； j.在设备周围不要堆积大量纸张，以免堵住设备的通风孔； k.设备上严禁放置无关物品； l.终端室不要有水管、蒸汽管道通过天花板； m.如果终端室屋顶有水塔或冷却器，必须采用防护装置； n.每台设备应配置防水罩； o.在易受鼠害的场所，电缆和电线上应涂驱鼠药剂； p.应设置捕鼠和驱鼠装置。 5.1.2.4 防盗 a.采用特殊门锁； b.每个设备都应附有标签或标记； c.应设警报器； d.可采用锚式锁固定终端设备； e.可在终端上加装锁式电源开关； f.如果用户不愿在设备上打孔安装锁或开关，可在靠近终端处安装独立的锁式电源开关。开 关的导线应联至电源插座，终端电源线联到开关。 5.1.3 网络通信系统安全要求 5.1.3.1 网络通信系统安全应符合 GJB663 规定。 5.1.3.2 网络通信系统传输线路的安全应注意下列问题： a.传输线路应符合标准。用于数据传输的电话电路特性应符合 GJB147.1 和 GJB147.2.定期 检查各线段及接点，更换老化变质的电缆； b.传输线路应采用屏蔽电缆并有露天保护或埋于地下，要求远离强电线路或强电磁场发射 源，以减少由于干扰引起的数据错误； c.铺设电缆应采用金属铠装、屏蔽电缆或加装金属套管，以减少各种监控辐射对线路的干扰； d.加装中和变压器、屏蔽变压器和绝缘变压器； e.宜采用光纤电缆； f.定期测试信号强度，检查是否有非法装置接入线路； g.定期检查接线盒及其它易被人接近的线路部位； h.调制解调器应放置在受监视的区域，以防止外来连接的企图。调制解调器的连接应定期检 验，以检验是否有篡改行为。 5.1.4 电磁兼容和防护 5.1.4.1 网络设备的电磁兼容，按 GJB151 有关规定限值选用。 5.1.4.2 要防止电磁辐射被截收。 a.入网设备必须符合 GJB151 规定； b.重要场合应对机房进行屏蔽； c.可采取区域控制的办法； d.采取主动有源干扰等技术； e.机房宜设在地下室或底层。 5.1.4.3 网络通信系统必须具有防止电磁干扰和泄漏的措施。 5.1.5 记录媒体的保护 5.1.5.1 载有关键性程序、主记录、设备分配图表、加密算法、密钥等记录媒体应按其密级 及其产生的难易程序分级管理和保护。 5.1.5.2 载有关键记录的磁盘、磁带等磁媒体应加防磁场保护措施，必要时需进行备份保护。 5.2 网络系统安全 5.2.1 信息传输安全 a.密级信息到达终点之前，严禁呈现明文状态； b.传输密级信息时必须进行网络加密，如链路加密、节点加密和用户加密等； c.为保证密级数据的安全传递，网络节点机宜有备份； d.不传送信息时接口应阻断； e.设置辩认正当通信伙伴的功能； f.用拨号线能接触网络时，拨号码应予以保护。同时保密信息不宜存放在节点机内。 5.2.2 鉴别 5.2.2.1 为了防止非法修改节点机中的通行字表，应具备鉴别用户通行字真实性的能力； 5.2.2.2 对用户密钥应鉴别； 5.2.2.3 在数据通信中，应有验证接收到的数据是否真实的能力； 5.2.2.4 应能识别非法入网的终端和用户。遇有多次不成功的联机尝试时，应及时记录并分 析结果，采取相应的处理。 5.2.3 输入输出控制 5.2.3.1 明确网络系统各环节工作人员的职责 a.设计人员与操作人员必须分离； b.重要事务处理项目，必须由法定人办理； c.工作期间至少应有二人在场，以防止非法使用网络； d.必须保存控制台打印记录。 5.2.3.2 制订统一的数据格式并使用标准编码。 5.2.3.3 操作控制 a.对特定的终端设备，应采用通行字、卡片、识别码、钥匙等办法限定操作人员。 b.操作人员操作应符合有关操作规程和输入/输出数据处理的规定； c.应建立良好的人机操作环境，以减少失误； d.处理密级