GB∕ T 40640.2-2021 化學(xué)品管理信息化 第2部分：信息安全（正式版）

國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)IGB/T40640.2—2021本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草?！?部分：電子標(biāo)簽應(yīng)用；——第4部分：化學(xué)品定位系統(tǒng)通用規(guī)范；——第5部分：化學(xué)品數(shù)據(jù)中心。請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。本文件由全國(guó)危險(xiǎn)化學(xué)品管理標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC251)提出并歸口。廢物與化學(xué)品管理技術(shù)中心。GB/T40640.2—2021信息化是實(shí)現(xiàn)化學(xué)品管理現(xiàn)代化的重要手段。隨著物聯(lián)網(wǎng)及大數(shù)據(jù)應(yīng)用技術(shù)的發(fā)展，現(xiàn)代信息技術(shù)的應(yīng)用為提升管理效率、促進(jìn)信息共享、消除管理盲區(qū)、有效遏制化學(xué)品事故發(fā)生提供了技術(shù)支撐。在這方面，我國(guó)已經(jīng)建立了化學(xué)品管理信息化的國(guó)家標(biāo)準(zhǔn)體系。在該標(biāo)準(zhǔn)體系中，GB/T40640《化學(xué)品管理信息化》是規(guī)范我國(guó)相關(guān)機(jī)構(gòu)從事化學(xué)品管理信息化系統(tǒng)建設(shè)開(kāi)發(fā)活動(dòng)時(shí)的方法和依據(jù)，擬由五部分構(gòu)成，目的在于確立實(shí)施化學(xué)品管理信息數(shù)據(jù)交換、維護(hù)信息安全、電子標(biāo)簽應(yīng)用、定位系統(tǒng)應(yīng)用以及化學(xué)品數(shù)據(jù)中心建設(shè)時(shí)的方法和依據(jù)?！?部分：數(shù)據(jù)交換；——第2部分：信息安全； 第3部分：電子標(biāo)簽應(yīng)用：——第4部分：化學(xué)品定位系統(tǒng)通用規(guī)范； 第5部分：化學(xué)品數(shù)據(jù)中心。本文件是GB/T40640《化學(xué)品管理信息化》的第2部分。信息安全是實(shí)現(xiàn)管理信息化的基礎(chǔ)，有效生不利影響。本次制定對(duì)化學(xué)品管理信息化有關(guān)的信息安全要求進(jìn)行了詳細(xì)的規(guī)定，以更好的規(guī)范和促進(jìn)化學(xué)品管理信息化系統(tǒng)相關(guān)建設(shè)。1GB/T40640.2—2021化學(xué)品管理信息化第2部分：信息安全本文件規(guī)定了化學(xué)品管理信息化信息安全的基本要求和技術(shù)要求。本文件適用于化學(xué)品管理信息化的信息安全管理。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文GB/T2887計(jì)算機(jī)場(chǎng)地通用規(guī)范GB/T5271.8信息技術(shù)詞匯第8部分：安全GB17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則20269信息安全技術(shù)信息系統(tǒng)安全管理要求20270信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求21052信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求22080信息技術(shù)安全技術(shù)信息安全管理體系要求22240信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南信息安全技術(shù)信息安全服務(wù)分類(lèi)3術(shù)語(yǔ)和定義3.13.2GB/T5271.8、GB17859界定的以及下列術(shù)語(yǔ)和定義適用于本文件。訪(fǎng)問(wèn)控制accesscontrol由系統(tǒng)創(chuàng)建的包含登錄進(jìn)程返回的安全標(biāo)識(shí)符和由本地安全策略分配給用戶(hù)和用戶(hù)的安全組的特4基本要求化學(xué)品信息管理系統(tǒng)的信息安全等級(jí)，其安全要求應(yīng)不低于對(duì)應(yīng)安全等級(jí)應(yīng)符合GB17859和2GB/T40640.2—20214.1.3靜態(tài)安全目標(biāo)保證系統(tǒng)實(shí)體平臺(tái)安全，應(yīng)包括整個(gè)系統(tǒng)的物理環(huán)境、系統(tǒng)軟硬件結(jié)構(gòu)和可用的素質(zhì)。4.2安全體系信息安全體系應(yīng)包括：4.3.1化學(xué)品信息管理系統(tǒng)和監(jiān)管平臺(tái)應(yīng)建立一套完善的安全管理方案，并貫穿信息安全的各層次，包括安全制度管理和安全目標(biāo)管理。方面加強(qiáng)安全制度管理。并根據(jù)資源重要程度確定安全等級(jí)和安全管理范圍。4.3.4應(yīng)按照GB/T20269和GB/T22080的要求，安排專(zhuān)門(mén)人員負(fù)責(zé)以保證安全管理制度實(shí)施。4.4.1安全服務(wù)應(yīng)包括安全咨詢(xún)、安全工程實(shí)施、安全技術(shù)培訓(xùn)和安全維護(hù)，應(yīng)符合GB/T30283的4.4.2信息安全不是安全產(chǎn)品的簡(jiǎn)單集合，而是一項(xiàng)系統(tǒng)工程并有其專(zhuān)業(yè)體系，應(yīng)采用先進(jìn)科學(xué)的知4.4.3信息安全系統(tǒng)存在固有弱點(diǎn)，即使最微小的安全漏洞都可能引發(fā)整個(gè)網(wǎng)絡(luò)系統(tǒng)的崩潰。且系統(tǒng)5技術(shù)要求3GB/T40640.2—20215.1.2環(huán)境安全應(yīng)符合GB/T2887的要求，物理安全應(yīng)符合GB/T21052的要求。網(wǎng)絡(luò)安全應(yīng)符合GB/T20270的要求。息系統(tǒng)的網(wǎng)絡(luò)安全。息流量突變時(shí)應(yīng)能在有效時(shí)間內(nèi)進(jìn)行切換分配。網(wǎng)絡(luò)或信息媒介不能相互訪(fǎng)問(wèn)。應(yīng)針對(duì)應(yīng)用系統(tǒng)特點(diǎn)和化學(xué)品信息的特征采取相應(yīng)的隔離措施。c)應(yīng)用層加密應(yīng)根據(jù)實(shí)際業(yè)務(wù)的應(yīng)對(duì)處理、傳輸和存儲(chǔ)的數(shù)據(jù)采取多種加密算法進(jìn)行加密保護(hù)。4GB/T40640.2—2021漏洞信息形成詳細(xì)報(bào)告，包括位置、詳細(xì)描述和建議的改進(jìn)方案，有效檢測(cè)和管理安全風(fēng)險(xiǎn)信息。5.3軟件平臺(tái)安全5.3.1影響軟件平臺(tái)安全性的因素主要包含操作系統(tǒng)安全漏洞和病毒。5.3.2在操作系統(tǒng)安裝的時(shí)候應(yīng)使用平臺(tái)軟件廠(chǎng)商提供的安全漏洞掃描工具進(jìn)行漏洞掃描；在新漏洞信息發(fā)布的時(shí)候，應(yīng)利用軟件平臺(tái)廠(chǎng)商提供的更新服務(wù)安裝相應(yīng)的漏洞補(bǔ)丁，即時(shí)保障系統(tǒng)安全。5.3.3應(yīng)采取專(zhuān)業(yè)的防病毒解決方案，實(shí)現(xiàn)從網(wǎng)絡(luò)、服務(wù)器、客戶(hù)機(jī)三個(gè)方面的立體防范。對(duì)于重大的安全漏洞和病毒，應(yīng)及時(shí)向統(tǒng)管理員發(fā)出安全警告信并提供相應(yīng)應(yīng)對(duì)措施。5.4應(yīng)用系統(tǒng)安全5.4.1應(yīng)用系統(tǒng)安全設(shè)計(jì)原則系統(tǒng)設(shè)計(jì)應(yīng)實(shí)現(xiàn)基于角色的權(quán)限控制，用戶(hù)只能進(jìn)行與當(dāng)前身份角色相應(yīng)的操作和訪(fǎng)問(wèn)權(quán)限范圍內(nèi)的數(shù)據(jù)。對(duì)于沒(méi)有授權(quán)的操作和數(shù)據(jù)，用戶(hù)無(wú)法執(zhí)行和訪(fǎng)問(wèn)。對(duì)于用戶(hù)進(jìn)行的每一個(gè)操作，系統(tǒng)應(yīng)對(duì)用戶(hù)當(dāng)前身份和權(quán)限進(jìn)行確認(rèn)，并對(duì)用戶(hù)每次提交的數(shù)據(jù)進(jìn)行完整性和合法性校驗(yàn)。5.4.1.3.1應(yīng)實(shí)現(xiàn)管理工作的分級(jí)管理，系統(tǒng)管理員負(fù)責(zé)所管理系統(tǒng)的整體系統(tǒng)管理、版本管理等工作；實(shí)際業(yè)務(wù)管理員負(fù)責(zé)其他業(yè)務(wù)系統(tǒng)的管理。5.4.1.3.2應(yīng)實(shí)現(xiàn)對(duì)涉及實(shí)際業(yè)務(wù)的系統(tǒng)功能的分級(jí)控制，普通用戶(hù)具有普通的操作權(quán)限；高級(jí)用戶(hù)在普通用戶(hù)所有操作權(quán)限的基礎(chǔ)上，具有其他高級(jí)操作功能權(quán)限。5.4.1.4安全跟蹤5.4.1.4.1系統(tǒng)應(yīng)具有安全跟蹤和告警框架，保證與安全相關(guān)事件的跟蹤。5.4.1.4.2在安全事件發(fā)生時(shí)，對(duì)于符合一定策略的事件應(yīng)能夠自動(dòng)預(yù)警，以系統(tǒng)預(yù)定的方式提示相應(yīng)人員，并采取措施實(shí)現(xiàn)系統(tǒng)資源的自我保護(hù)。5.4.1.4.3應(yīng)能夠記錄發(fā)生的安全事件，宜對(duì)記錄的安全事件提供審計(jì)和分析功能。5.4.2組織結(jié)構(gòu)與角色管理5.4.2.1系統(tǒng)權(quán)限宜依據(jù)角色進(jìn)行分級(jí)劃分，保證適當(dāng)?shù)挠脩?hù)訪(fǎng)問(wèn)到適當(dāng)?shù)馁Y源和操作。用戶(hù)只能進(jìn)行和當(dāng)前身份角色相應(yīng)的操作和訪(fǎng)問(wèn)權(quán)限范圍內(nèi)的數(shù)據(jù)。對(duì)于沒(méi)有授權(quán)的操作和數(shù)據(jù)，用戶(hù)無(wú)法執(zhí)行和訪(fǎng)問(wèn)。5.4.2.2基于角色的權(quán)限管理應(yīng)做到完整的獨(dú)立于應(yīng)用、基于實(shí)際組織結(jié)構(gòu)的管理功能以及具有靈活的管理方式和高可維護(hù)性。系統(tǒng)應(yīng)支持集中式管理或分級(jí)管理。注：集中式管理，即由一個(gè)管理員負(fù)責(zé)所有組織結(jié)構(gòu)、角色管理。分級(jí)管理，即僅由系統(tǒng)管理員管理部門(mén)創(chuàng)建和其他應(yīng)集中管理的功能，其他部分則由具體部門(mén)管理員進(jìn)行管理。5.4.2.3統(tǒng)一的組織和角色管理應(yīng)與組織結(jié)構(gòu)形成直接對(duì)應(yīng)關(guān)系，其主要功能包括：a)單位部門(mén)管理；b)統(tǒng)一添加刪除維護(hù)單位信息；5GB/T40640.2—2021c)設(shè)置部門(mén)間的上下級(jí)關(guān)系和同級(jí)部門(mén)間排序；d)職能管理；g)設(shè)置各單位的角色(崗位);h)設(shè)置角色(崗位)與用戶(hù)的關(guān)聯(lián)關(guān)系；i)設(shè)置角色(崗位)相關(guān)工作職能范圍介紹。設(shè)計(jì)目標(biāo)應(yīng)包括以下內(nèi)容：a)登錄賬戶(hù)管理及個(gè)人信息管理；b)賬戶(hù)的添加維護(hù)、登錄認(rèn)證以及多個(gè)應(yīng)用系統(tǒng)間訪(fǎng)問(wèn)的一次登錄；d)靈活的管理方式和高可維護(hù)性。圖1給出了統(tǒng)一認(rèn)證與授權(quán)服務(wù)管理結(jié)構(gòu)，包括以下內(nèi)容：接口，系統(tǒng)授權(quán)支持基于角色的授權(quán)模型、存取控制列表(ACL)方式以及自定義授權(quán)模型多e)資源服務(wù)，對(duì)系統(tǒng)中的功能和應(yīng)經(jīng)過(guò)驗(yàn)證才能訪(fǎng)問(wèn)的事物提供統(tǒng)一的注冊(cè)登記服務(wù)。未經(jīng)過(guò)統(tǒng)一認(rèn)證統(tǒng)一認(rèn)證個(gè)性化-驗(yàn)證管理組織結(jié)構(gòu)應(yīng)用程序中計(jì)Database資源授權(quán)圖1認(rèn)證管理服務(wù)結(jié)構(gòu)圖6GB/T40640.2—20215.4.4一次登錄應(yīng)采用統(tǒng)一的認(rèn)證授權(quán)模塊，以支持一點(diǎn)登錄多個(gè)子系統(tǒng)訪(fǎng)問(wèn)的功能。多個(gè)應(yīng)用系統(tǒng)間一次登錄指用戶(hù)訪(fǎng)問(wèn)不同域名(虛擬目錄)應(yīng)用，只應(yīng)登錄一次。圖2給出了一次登錄實(shí)現(xiàn)原理。應(yīng)用1應(yīng)用1000569讀取CookieJ令牌827應(yīng)用21——用戶(hù)請(qǐng)求訪(fǎng)問(wèn)應(yīng)用1的內(nèi)容；2——應(yīng)用1無(wú)法驗(yàn)證用戶(hù)，應(yīng)向登錄認(rèn)證服務(wù)請(qǐng)求驗(yàn)證用戶(hù)；5——登錄認(rèn)證服務(wù)向應(yīng)用1傳遞用戶(hù)登錄成功的信息6——應(yīng)用1向用戶(hù)輸出用戶(hù)要訪(fǎng)問(wèn)的信息；7——用戶(hù)請(qǐng)求訪(fǎng)問(wèn)應(yīng)用2的內(nèi)容；8——應(yīng)用2無(wú)法辨別用戶(hù)身份，應(yīng)向登錄認(rèn)證服務(wù)請(qǐng)求驗(yàn)證用戶(hù)；9——登錄認(rèn)證服務(wù)讀取用戶(hù)本地的Cookie,獲取用戶(hù)身份令牌；10——登錄認(rèn)證服務(wù)向應(yīng)用2傳遞用戶(hù)登錄成功的信息11應(yīng)用2向用戶(hù)輸入用戶(hù)要訪(fǎng)問(wèn)的信息。圖