DB32T 2776-2015 生態(tài)環(huán)境監(jiān)控系統建設規(guī)范 安全體系

備案號：46310-2015DB32Specificationsforconstructionofecologicalenvironmentmonitoringsystem江蘇省質量技術監(jiān)督局發(fā)布I 1 1 1 2 2 3 4 5 6 6 6 9 I 本標準起草單位：江蘇省生態(tài)環(huán)境監(jiān)控中心、江蘇省標準化研究院、江蘇天創(chuàng)科技有限公1生態(tài)環(huán)境監(jiān)控系統建設規(guī)范安全體系凡是不注日期的引用文件，其最新版本（包括所有的修改單）適GB/T18336.1-2009信息技術安全技術信息技術安全性評估準則第1部分:簡介和一般由計算機、網絡、及各種軟件組成，在特定的工作平臺上完成數據的傳輸、處理、查尋、存儲等2數據計算域datacomputin服務計算域servicescomputi終端計算域terminalcomputin機房應選擇在具有防震、防風和防雨等能力的建機房場地不應設在建筑物的高層或地下室，以及用水設備的周邊或隔壁。機房不應設在有強電磁環(huán)境干擾、加機房入口和重要區(qū)域應配置電子門禁系統，控制、鑒別和記錄進入的人員信息。應對機房劃分物理區(qū)域進行管理，物理區(qū)域之間設置物理隔離裝置。應將主要部件進行固定，并設置明顯的不易除去的標記。應將通信線纜鋪設在隱蔽處，可鋪設在地下或管應對介質分類標識，存儲在介質庫，重要資料應存放檔案室中。應利用光、電等技術設置機房防盜報警3應設置防雷保安器，防止感應機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材機房應采取區(qū)域隔離防火措施，將重要設備與其他設備隔離開。水管安裝，不得穿過機房屋頂和活動地應采取措施防止雨水通過機房窗戶、屋頂和墻壁應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲應安裝對水敏感的檢測儀表或主要設備與機柜應采用必要的接地防靜電措機房應設置溫、濕度自動調節(jié)設施，并部署溫、溫度自動監(jiān)控、報警應在機房供電線路上配置穩(wěn)壓器和過電壓防護設應提供短期的備用電力供應，至少滿足主要設備在斷電情況下的正常運行要應設置冗余或并行的電力電纜線路為計算機系統應采用接地方式防止外界電磁干擾和設備寄生耦合干擾。電源線和通信線纜應隔離鋪設，避免互相干應對關鍵設備和磁介質實施電磁屏主要網絡設備的業(yè)務處理能力應具備冗余空間，滿足業(yè)務高峰期需應保證網絡各個部分的帶寬滿足業(yè)務高峰期應在業(yè)務終端與生態(tài)監(jiān)控系統之間進行路由控制建立安全的訪問路應繪制與當前運行情況相符的網絡拓撲結構應根據生態(tài)環(huán)境監(jiān)控系統的業(yè)務關系劃分區(qū)域，為各區(qū)域分配獨立的子網或網段，區(qū)域間應4應避免將重要網段部署在網絡邊界處且直接連接外部信息系統，重要網段與其他網段之間采應按照對生態(tài)監(jiān)控系統服務的重要次序來指定帶寬分配優(yōu)先級別，保證在網絡發(fā)生擁堵的時應對登錄網絡設備的用戶進行身份身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求與定期更換要求。應具有登錄失敗響應功能，可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動應設置連接超時功能，超時后自動中斷當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被獲取。應對網絡設備的管理員登錄地址進行限應定期對網絡設備的配置文件進行備份，配置發(fā)生變更時應及時備份原有配置。應定期對網絡設備運行狀況進行檢應關閉網絡設備上不使用的端口，并建立相應的端口開放審批制度。應定期檢驗網絡設備軟件版本信息，避免使用軟件版本中出現的安全隱患。網絡設備用戶的標識應具有唯應依據工作權限最小化原則啟用訪問控制功能。應根據管理用戶的角色分配權限，實現管理用戶的權限分離，僅授予管理用戶所需的最小權應實現操作系統和數據庫系統特權用戶的權限分應嚴格限制默認帳戶的訪問權限，重命名系統默認帳戶，修改默認帳戶的默認口令。應及時鎖定或撤銷多余的、過期的帳戶，避免共享帳戶的存在。應保證操作系統和數據庫系統用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶應確保系統內的文件、目錄和數據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他5應能對重要程序的完整性進行檢測，并具有完整性受到破壞后的恢復措操作系統應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等操作系統開放的服務應遵循小化原則，應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫。主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄。應根據安全策略設置登錄終端的操作超時鎖應對重要服務器進行監(jiān)視，包括監(jiān)視服務器的CPU、硬盤、內存、網絡等資應限制單個用戶對系統資源的最大或最小使用限應能夠對系統的服務水平降低到預先規(guī)定的最小值進行檢測和報警。應部署全網用戶的軟件資源庫，為用戶提供常用軟件下載安裝。應部署相應技術手段控制終端用戶通過非法途徑獲得的軟件或非授權的軟件在終端計算機上生產系統服務器安裝新軟件需通過相關的授權審應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄，內容包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信應對網絡中產生的正常通信內容進行梳理，并制定非正常通信內部的監(jiān)測預警策略，及時將審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶。審計內容包括：重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的審計記錄應包括：事件的日期、時間、類型、主體標識、客體標識和結果等。6DB32/T2776-2015域用戶內聯網內聯網互聯網.7應定期或在應用文件發(fā)生變——提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別，并使用兩種及以上的組織鑒別技——提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統中不存在重復用戶身份標——提供登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施；.3應采用密碼技術保證通信過程中數據——在通信雙方建立連接之前，應用系統利用密碼技術進行會話初始化驗證；——能夠對單個帳戶的多重并發(fā)會話進行限制；——能夠對系統服務水平降低到預先規(guī)定的最小值進行檢測和報警；.8具備應用剩余信息?；ヂ摼W信息收集計算域安全應符合.1應對終端計算機登錄操作系統用戶進行身份標.1應限制終端計算機用戶通過管理員賬號登.2應嚴格限制默認帳戶的訪問權限，重命名系統默認帳戶，修改這些帳戶的默認口.3應及時刪除多余的、過期的帳戶，避免共享帳.1終端計算機操作系統應啟用個人防火墻功能，限制其它計算機訪問終.2終端計算機操作系統應遵循最小安裝的原則，僅安裝需要的組件和應.1應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意.2主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡——限制外來計算機接入或訪問管理維護計算域。.1應為已獲得授權的外來計算機分配接入本計算域的賬號9.1應限制終端計算機用戶通過管理員賬號.2應嚴格限制默認帳戶的訪問權限，重命名系統默認帳戶，修改這些帳戶的默認.1終端計算機操作系統應啟用個人防火墻功能，限制其它計算機訪問終.2終端計算機操作系統應遵循最小安裝的原則，僅安裝需要的組件和應通過互聯網連接到內部網絡時應采取有效的通信加密措施，加密強度不低于128位。應中斷與互聯.1應提供本地數據備份與恢復功能，完全數據備份至少每天一次，備份介質應場.2應提供異地數據備份功能，利用通信網絡將關鍵數據定時批量傳送至.3應采用冗余技術設計網絡拓撲結構，避免關鍵節(jié)點存.4應提供主要網絡設備、通信線路和數據處理系統的硬件冗余，保證系統的高可機關辦公服務計算機的安全保護應符合5.2..1限制終端計算機完成工作以外的.2應限制終端計算機安裝軟件的來源，控制外來軟件未經安全檢測直接在終端計算機上.3應限制未授權的辦公文件帶出本計算機域，或在其它計算域.4應對終端計算機的外圍設施進行管理，限制非授權設備接入到終端計算機.1終端計算機操作系統應啟用個人防火墻功能，限制其它計算機訪問終.2終端計算機操作系統應遵循最小安裝的原則，僅安裝需要的組件和應.3應通過統一的補丁服務器更新終端計算機.4應設置補丁服務器進行系統補丁升級的時間，通過網絡策略控制補丁服務器對互聯.1應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意.2主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡.4應設置惡意代碼服務器進行惡意代碼庫升級的時間，通過網絡策略控制惡意代碼服機關辦公終端計算域安全保護應符合5.3.4.1應提供訪問控制功能，依據安全策略控制用戶對文件、數據庫表等客安全界保護的原則是禁止各計算域區(qū)的數據通信，根據需要設置相應的訪問權限，并在需要開放訪域用戶內聯網互聯網內聯網應在網絡邊界部署訪問控制設備，啟應能根據會話狀態(tài)信息為數據流提供明確的允許/拒絕訪問的能力，控制粒應對進出網絡的信息內容進行過濾，實現對應用層HTTP、FTP應在會話處于非活躍一定時間或會話結束后終止應根據互聯網信息服務計算域、互聯網信息收集計算域、互聯網終端計算機的實際劃分網絡帶寬，保障重要系統獲得必要的網絡資通過互聯網撥號訪問到內部網絡時應必需通過加密信道的方式，根據用戶需要分配0通過互聯網撥號訪問緩沖區(qū)溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等，記錄范圍包含外網攻擊應在網絡邊界處對惡意代碼互聯網服務器邊界保護在6.2的基礎上應增加以應用維護攻擊特征庫的升級和檢應過濾垃圾郵件、病毒郵件、釣魚郵件等發(fā)送到應定期檢查郵件隊列，清除隊列應用維護垃圾郵件與病毒郵件特互聯網服務器邊界保護除應符合6.2的規(guī)定外，還應在網絡邊界部署訪問控制設備，根據應用關系啟用訪應能根據會話狀態(tài)信息為數據流提供明確的允許/拒絕訪問的能力，控制應在會話處于非活躍一定時間或會話結束后終應根據內部信息系統實際網絡需求劃分網絡帶寬，保障重要系統獲得必要的應在網絡邊界部署訪問控制設備，根據應用關系啟用訪應對進出網絡的信息內容進行過濾，實現對應用層HTTP、FTP應在會話處于非活躍一定時間或會話結束后終7.1.1應根據信息系統的安全保護等級選擇基本安全措施，并依據風險分析的結果7.1.2應指定和授權專門的部門對信息系統的安全建設進行總體規(guī)劃，制定近期和7.1.3應根據信息系統的等級劃分情況，統一考慮安全保障體系的總體安全策略、全管理策略、總體建設規(guī)劃和詳細設計方案，并形成配套7.1.4應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全7.1.5應根據等級測評、安全評估的結果定期調整和修訂總體安全策略、安全技術7.2.2應確保密碼產品采購和使用符合國家密碼7.2.3應指定或授權專門的部門負7.2.4應預先對產品進行選型測試，確定產7.3.1應確保開發(fā)環(huán)境與實際運行環(huán)境物理分開，開發(fā)人員和測試人員分離，測試7.3.5應確保對程序資源庫的修改、更新、發(fā)布7.5.1應指定或授權專門的部門或人員負責工程7.5.2應制定詳細的工程實施方案控制實施過程，并要求工程實施單位能正式地執(zhí)行安應委托公正的第三方測試單位對系統進行安全性測試，并出具在測試驗收前應根據設計方案或合同要求等制訂測試驗收方案，在測試驗收過程應對系統測試驗收的控制方法和人員行為準應指定或授權專門的部門負責系統測試驗收的管理，并按照管理規(guī)定的要求完成應組織相關部門和相關人員對系統測試驗收報告進行審定應制定詳細的系統交付清單，并根據交付清單對所交接的設備、軟件和文檔應對負責系統運行維護的技術人員進行作。8安全過程性是否圖3信息安全過程保護流程圖應根據組織機構及系統結構、信息系統安全特性、威脅來原與類型、系統用戶范圍、終端類型等制定可行的信息安全策略，安全策略內容應符合附錄A的規(guī)定。8.4.1應成立安全監(jiān)測中心，監(jiān)測生態(tài)環(huán)境監(jiān)控系統的運行狀態(tài)，統計系統運行規(guī)律并分析安全事件，具體安全監(jiān)控對象為：——系統漏洞情況；——惡意代碼傳播情況；——應用系統的訪問情況；——用戶違規(guī)傷使用資源情況；——數據庫的訪問記錄；——其他按照業(yè)務需求需監(jiān)控的對象。8.4.2應定期分析檢測到的信息，查找生態(tài)環(huán)境監(jiān)控系統中發(fā)生過的安全事件，并分析系統8.4.3應根據分析出的安全事件，評估事件風險及影響范圍，評定風險等級，制定風險處理方法8.4.4應建立風險決策程序，根據評估的風險等級匯報到相應的負責人，決策安全事件的處理方8.4.5應根據最終決策安全事件的處理方法開展工作，完善安全策略、實施保護及安全檢測，8.5.2應明確各類安全事件的責任人及各級安全事件的處理程序及事件8.5.3應針對重大的安全事件制定8.5.4應定期開展應急預案的演練，熟悉應急預案的8.5.5應針對事件處理的情況建立知識庫，提高事件8.5.8處理風險前應對處理方法進行測試，評估處理事件時對生態(tài)環(huán)境監(jiān)控系統的影響，并制8.5.9處理風險時應對配置、數據等進行有8.6.1應根據生態(tài)環(huán)境監(jiān)控系統的各子系統的重要情況明確發(fā)生重大事件后的恢8.6.2應建立重要信息安全事件的恢復領導小組，明確各部門與人8.6.3應組織與相關管理部門、設備及服務提供商、電信、電力和新聞媒體等保持聯絡和協作保在重大事件發(fā)生時能及時通報準確情況和獲得適當8.6.4應對業(yè)務應用進行全面評估，明確RP8.6.6應制定重大事件恢復預案，明確系統恢復過程所需要的資源、恢復的流程、第三方配合9.1.1應指定專人每天對機房配電、空調、溫濕度控制等重要基礎設施工作狀態(tài)進行檢9.1.2每半年應由設備提供商或服務提供商對機房的配電、空調、溫濕度控制等重要基9.1.3進入機房的來訪人員應經過相關管理部分負責人9.2.1應編制與信息系統相關的資產清單，包括9.2.3信息系統相關資產因維修、外借、廢棄等需帶離，應通過相關管9.3.1應指定專人每天檢查機房內的網絡設備、服務器、監(jiān)控設備等的運行狀態(tài)，并記9.3.2應登記主要設備、服務器的使用年限，重點監(jiān)測已過質保期、超負荷運行的設備9.3.3應建立設備的操作規(guī)程，指9.3.4應建立設備的出入審批流程，必9.3.5服務器及各類網絡設備需待帶出維修需重點控制存儲介質帶出，必須將存儲介質帶9.4.1應每周根據網絡中部署的各類審計、入侵檢測等技術，分析本周網絡中發(fā)生的安9.4.3應每周分析網絡