DB41/T 1339-2016 智慧城市信息安全建设指南
- word版文件下载:
-
特别提醒:word版是本站通过人工智能从pdf转换成的word版本,正确率只有90%左右(正在通过训练继续提高准确率),排版恢复的也并不完全准确,没有进行任何人工校对,VIP会员直接免费下载即可,普通会员无法通过点数下载,算是给VIP的活动。
特别提醒:word版是不完美的,错误较多,只能参考,有需要的可以少打一些字,别下载了找我们说word内容有问题,这是送给VIP会员的。
- 文档部分内容预览:
本项要求包括: a)在网络边界部署访问控制设备,启用访问控制功能; b)对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令 级的控制; C 按主体和客体之间的允许访问规则,决定允许或拒绝主体对客体的访问,控制粒度为单个主体 和单个客体; d)对非授权设备私自联到内部网络的行为进行检查,准确定出位置,对其进行有效阻断与追溯; 提供安全的路由协议,包括多网融合的路由及传感器网络的路由; 访问web时,启动SSL等安全web协议,除用户名和口令外,应增加验证码等验证方式。
5. 2. 3安全审讯
对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录,对日志记录进行保 护,日志记录保护期限符合公安部有关规定(公安部82号互联网安全保护技术措施规定)
铆钉标准5. 2. 4 入侵防范
本项要求包括: a 在网络边界处对恶意代码进行检测和清除; b) 在网络边界处监视以下攻击行为:端口扫描、强力攻击、APP攻击、木马后门攻击、拒绝服务 攻击、缓冲区溢出攻击、IP碎片攻击和网络虫攻击等; 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击时间,在发生入侵事件时应提供报警。
5.2.5实体身份鉴别
本项要求包括: 对登录网络设备的用户进行身份鉴别; b) 对网络设备的管理员的权限进行限制; C 网络设备用户的标识应唯一; 主要网络设备对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别; e) 具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出 等措施; f) 当对网络设备进行远程管理时,采取必要措施防止鉴别信息在网络传输过程中被窃听、篡改和 伪造。
5. 3. 1 访问控制
项要求包括: 启用访问控制功能,依据安全策略控制主体对
b)访问控制的覆盖范围包括与访问相关的主体、客体及它们之间的操作; c)严格限制默认主体的访问权限:
DB41/13392016
d)授予不同主体或访问用户为完成各自承担任务所需要的最小权限,
5. 3. 2 完整性机制
本项要求包括: a)能够检测到管理数据、鉴别信息、重要业务数据在存储过程和数据传输过程中完整性受到破坏, 并在检测到完整性错误时采取必要的恢复措施; b)对存储业务数据的云服务平台/磁盘阵列采取几余机制,保证数据存储的完整性
采用符合国家密码管理局相关管理规定的数据加密措施实现数据的存储保密性
本项要求包括: a 提供覆盖到每个主体的安全审计功能,对每个主体访问数据的行为进行审计; 保证无法删除、修改或覆盖审计记录; 审计记录包括事件的日期、事件、类型、主体标识、客体标识和结果等; d) 保护审计进程,避免受到未预期的中断; e 且志记录保护期限符合公安部有关规定(公安部82号互联网安全保护技术措施规定)
.3.5数据备份与恢复
本项要求包括: a) 依据数据相应级别,提供数据备份与恢复功能; b) 重要的备份介质异地存放; 对业务应用数据提供异地数据备份功能,将关键数据定时批量传送至备用场地; d)对备份数据及数据恢复权限做好保密,避免备份数据被算改及非法恢复。
5.3.6剩余信息保护
本项要求包括: a 保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前进行物理清除; b 保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前 得到完全清除。
5.4. 1 身份鉴别
本项要求包括: a 保证操作的主体和/或接入的每一个应用都是经过授权的: b)对同一主体或应用,采用两种或两种以上组合的鉴别技术实现身份鉴别; C) 提供主体或接入应用身份标识的唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复 身份标识,身份鉴别信息不易被冒用:
DB41/13392016
e)启用身份鉴别、主体身份标识唯一性检查、主体身份鉴别信息复杂度检查以及登录失败处理功 能,并根据安全策略配置相关参数
5. 4. 2 安全审计
本项要求包括: 提供覆盖到每个主体和/或接入主机的安全审计功能,对每个主体和/或接入主机的行为进行审 计; 保证无法删除、修改或覆盖审计记录; 审计记录包括事件的日期、事件、类型、主体标识、客体标识和结果等; d)保护审计进程,避免其受到未预期的中断。
本项要求包括: a)提供覆盖到每个主体和/或接入主机的安全审计功能,对每个主体和/或接入主机的行为进 计; b) 保证无法删除、修改或覆盖审计记录; 审计记录包括事件的日期、事件、类型、主体标识、客体标识和结果等; d)保护审计进程,避免其受到未预期的中断
5. 5. 1 身份鉴别
本项要求包括: a)对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别; 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标 识,身份鉴别信息不易被冒用; 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施: d 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理 功能,并根据安全策略配置相关参数。
5. 5. 2 访问控制
本项要求包括: a)提供访问控制功能,依据安全策略控制用户对客体的访问; 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作; 由授权主体配置访问控制策略,并严格限制默认帐户的访问权限; d 具有对重要信息资源设置敏感标记的功能; 依据安全策略严格控制用户对有敏感标记重要信息资源的操作,
5. 5. 3 安全审
本项要求包括: a)提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计; b 保证无法单独中断审计进程,无法删除、修改或覆盖审计记录; C 审计记录的内容至少包括事件的日期、时间、发起者信息、类型、描述和结果等; d)提供对审计记录数据进行统计、查询、分析及生成审计报表的功能; e)审计记录保护期限符合公安部有关规定(公安部82号互联网安全保护技术措施规定)
5. 5. 4 应用传输安全
本项要求包括: a)在通信双方建立连接之前,应用系统利用密码技术进行会话初始化验证; b)保证通信过程中数据的完整性:
)根据需要对通信过程中的整个报文或会话过程进行加密。
DB41/13392016
在请求的情况下,能够为数据原发者或接收者提供真实的原发证据、真实的接收证据
本项要求包括: a)指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理; 指定部门负责机房安全,并配备机房安全管理人员,对机房的出入、服务器的开机或关机等工 作进行管理: 建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的 管理作出规定: 加强对办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应立即交还 该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态 和桌面上没有包含敏感信息的纸档文件等。
本项要求包括: a)编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容; b 建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使 用的行为; 根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施; d)对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。
建立介质安全管理制度,对介质的采购、存放环境、使用、权属、维护和销毁等全过程作出规 定; 确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理; 对介质在物理传输过程中的人员选择、打包、交付等情况进行全要素控制,对介质归档和查询 等进行登记记录,并根据存档介质的目录清单定期盘点: d 对存储介质的使用过程、送出维修以及销毁等进行严格的管理,对带出工作环境的存储介质进 行内容加密和监控管理,对送出维修或销毁的介质应首先清除介质中的敏感数据,对保密性较 高的存储介质未经批准不得自行销毁; e 根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同; f 对重要介质中的敏感数据和软件采取加密存储,并根据所承载数据和软件的重要程度对介质进 行分类和标识管理。
DB41/13392016
本项要求包括: 对信息系统相关的各种设备(包括备品备件)、线路等指定专门的部门或人员定期进行维护管 理; b 建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、 许可证书、采购、发放和领用等全过程进行规范化管理: 建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的 责任、涉外维修和服务的审批、维修过程的监督控制等; d 对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规 程实现主要设备(包括备品备件)的启动/停止、加电/断电等操作; e 确保信息处理设备应经过审批才能带离机房或办公地点。
6. 5监控管理和安全管理中心
对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警 形成记录并妥善保存; b 组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取 必要的应对措施; C 建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管 理。
建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更 新周期等方面作出规定; 指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工 作; C 根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份; d) 定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补: e 实现设备的最小服务配置,并对配置文件进行定期离线备份; 保证所有与外部系统的连接均得到授权和批准; g 依据安全策略允许或者拒绝便携式和移动式设备的网络接入。
6. 7 系统安全管理
本项要求包括: a 建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具 体规定; b 根据业务需求和系统安全分析确定系统的访问控制策略; C 定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补; d)安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进 行备份后,方可实施系统补工程序的安装:
本项要求包: a) 建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作 体规定; b 根据业务需求和系统安全分析确定系统的访问控制策略; c)定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补; d)安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文 行备份后,方可实施系统补丁程序的安装:
DB41/13392016
e)指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险并相互制 约; f 依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参 数的设置和修改等内容,严禁进行未经授权的操作。
本项要求包括: a)对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定; 指定专人对网络和主机进行恶意代码检测并保存检测记录; 定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病 毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成书面的报表 和总结汇报
所使用的密码技术和产品应符合国家密码管理规定
6. 10 安全事件处置
本项要求包括: a) 制定安全事件报告和处置管理制度,明确安全事件的类型,规定安全事件的现场处理、事件报 告和后期恢复的管理职责; 0 根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本 系统计算机安全事件进行等级划分; 制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处 理方法等; d 报告所发现的安全弱点和可疑事件,但不能进行验证攻击; e 在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程, 总结经验教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均应妥善保存; 对造成系统中断和造成信息泄密的安全事件采用不同的处理程序和报告程序; g)所有安全事件应有安全审计记录
本项要求包括: a)在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条 件、应急处理流程、系统恢复流程、事后教育和培训等内容: b 从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障; c)对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次; d)定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期; e规定应急预案
7.1.1信息系统定级
7. 1. 2 测评要求
7. 1. 2测评要求
DB41/13392016
本项要求包括: 制定基本安全措施,并依据智慧城市风险分析的结果补充和调整安全措施; 指定和授权专门的部门对产品的安全建设进行总体规划,制定智慧城市的近期和远期的安全建 设工作计划,总体建设规划应当包括总体安全策略、安全技术框架、安全管理策略; 组织相关部门和有关安全技术专家对总体建设规划的合理性和正确性进行论证和审定,经过批 准后,大能正式实施
权专门的部门按国家的有关规定负责产品的采购
7.2. 3 软件开发
本项要求包括: a)应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则; 应确保开发环境与实际运行环境物理分开,开发人员和测试人员分离,测试数据和测试结果受 到控制; 应根据开发需求检测软件质量; d)应在软件安装之前检测软件包中可能存在的恶意代码; 应要求开发单位签订相应的保密协议,对软件中重要的编码规则进行保密,并提供软件设计的 相关文档和使用指南; 应要求开发单位提供软件源代码,并审查软件中可能存在的后门
a 委托有资质的第三方检测机构对系统进行功能测试、压力测试和安全性测试,并出具安全性测 试报告; b) 在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中详细记录测 试验收结果,并形成测试验收报告; 对系统测试验收的控制方法和人员行为准则进行书面规定; d 指定或授权专门的部门负责系统测试验收的管理,并按照管理规定的要求完成验收工作; 组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。
7.3信息安全事件应急处置
7.3.1确定事件等级
7.3.2安全事件响应与处置
DB41/13392016
本项要求包括: a)根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案; b)确定事件响应和处置的范围、程度以及适用的管理制度等; c)信息安全事件发生后,分等级按照预案进行响应和处置。
7.4. 1 岗位设置
7. 4. 2 人员配备
本项要求包括: a)应配备一定数量的系统管理员、网络管理员、安全管理员及安全审计员等; b)应配备专职安全管理员,不可兼任; C)关键事务岗位应配备多人分权管理
本项要求包括: a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等; b) 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审 批过程,对重要活动建立逐级审批制度; C 应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息; d)应记录审批过程并保存审批文档备查。
a)安全管理员依据安全策略进行授权地质灾害标准规范范本,定期进行安全检查,检查内容包括系统日常运行、系统漏 洞和数据备份等情况; D 由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安 全配置与安全策略的一致性、安全管理制度的执行情况等; C 制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果 进行通报:
DB41/13392016
1)制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审杨 全检香活动。
1)制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安 全检香活动。
7.5 安全教育和培训
7.5. 1安全意识教育
本项要求包括: a)定期对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训: 对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行 惩戒; 对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知 识、岗位操作规程等进行培训; d)对安全教育和培训的情况和结果进行记录并归档保存
土壤标准7.5.2培训体系要求
本项要求包括: a)智慧城市信息安全培训机构应具有相关培训资质; b)智慧城市信息安全培训人员应熟悉智慧城市信息安全的基础知识,并具有一定的工作经验; 参与信息安全培训的人员应遵守相关管理制度,控制可能对智慧城市整体建设进度造成的潜在隐 惠和不稳定因素
....- 相关专题: