DB63∕T 2020-2022 市场监管信息系统安全建设规范(青海省).pdf

ICS 35.240.01 CCS L 77 DB63 青海省地方标准 DB 63/T 20202022 市场监管信息系统安全建设规范 2022-03-10 发布 2022-04-10 实施 青海省市场监督管理局 发 布 DB63/T 20202022 I 目 次 前言.III 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 3.1 网络安全.1 3.2 安全保护能力.1 3.3 信息安全事态.1 3.4 安全管理系统.1 3.5 告警.1 3.6 定级系统.2 3.7 信息系统.2 3.8 系统管理员.2 3.9 安全保密管理员.2 3.10 安全审计员.2 4 物理环境安全建设.2 4.1 物理位置选择.2 4.2 物理访问控制.2 4.3 防物理破坏措施.2 4.4 电力供应保障措施.3 4.5 机房电磁防护.3 5 通信网络安全建设.3 5.1 网络架构安全.3 5.2 通信传输安全.3 5.3 可信验证.3 6 系统安全建设.3 6.1 边界防护.3 6.2 访问控制.3 6.3 入侵防范.4 6.4 主机安全.4 6.5 应用安全.4 6.6 恶意代码和垃圾邮件.4 6.7 安全审计.4 7 计算环境安全建设.4 7.1 身份鉴别.5 DB63/T 20202022 II 7.2 访问权限控制.5 7.3 漏洞防护.5 7.4 病毒防范.5 7.5 个人信息保护.5 8 安全管理中心建设.5 8.1 系统管理.5 8.2 审计管理.5 8.3 安全管理.5 8.4 集中管理.6 9 安全管理制度建设.6 9.1 制定管理制度.6 9.2 设立安全管理机构.6 9.3 安全管理人员.6 10 安全运维管理.7 11 数据安全管理.7 11.1 数据完整性.7 11.2 数据保密性.7 11.3 数据备份与恢复.7 12 信息系统定级规范.7 参考文献.9 DB63/T 20202022 III 前 言 本文件按照GB/T 1.1-2020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。本文件由青海省市场监督管理局提出并归口。本文件起草单位：青海省市场监督管理局信息中心。本文件主要起草人：马玉成、何海超、沙青山、周继辉、赵生莲、吴进昊、宋连峰、杨勇、韩露、程晓玥。本文件由青海省市场监督管理局监督实施。DB63/T 20202022 1 市场监管信息系统安全建设规范 1 范围 本文件规定了市场监管信息系统安全建设的术语和定义、物理环境安全建设、通信网络安全建设、系统安全建设、计算环境安全建设、安全管理中心建设、安全管理制度建设、数据安全管理和信息系统定级的相关内容。本文件适用于市场监管各级单位进行信息系统的安全建设和管理。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 22240 信息安全技术 网络安全等级保护定级指南 GB 50174-2017 数据中心设计规范 3 术语和定义 下列术语和定义适用于本文件。3.1 网络安全 通过采取必要措施，防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故，使网络处于安全、稳定、可靠运行的状态保障网络数据的完整性、保密性、可用性能力。3.2 安全保护能力 能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。3.3 信息安全事态 系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态。3.4 安全管理系统 DB63/T 20202022 2 采用多种技术手段，收集和整合各类网络设备、安全设备、操作系统等安全事件，并运用关联分析技术、智能推理技术和风险管理技术，实现对安全事件信息的深度分析和识别，能快速做出报警响应，实现对安全事件进行统一监控分析和预警处理。3.5 告警 针对收集到的各种安全事件进行综合关联分析后形成的报警事件。3.6 定级系统 已确定信息系统安全保护等级的系统。3.7 信息系统 由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。主要有五个基本功能，即对信息的输入、存储、处理、输出和控制。3.8 系统管理员 从事计算机网络运行、维护的人员。注：主要负责系统的日常运行维护工作，包括网络设备、安全保密产品、服务器和用户终端、操作系统数据库、涉密业务系统的安装、配置、升级、维护、运行管理；网络和系统的用户增加或删除；网络和系统的数据备份、运行日志审查和运行情况监控；应急条件下的安全恢复。3.9 安全保密管理员 从事计算机安全保密管理工作的人员。注：主要负责系统的日常安全保密管理工作，包括网络和系统用户权限的授予与撤销；用户操作行为的安全设计；安全保密设备管理；系统安全事件的审计、分析和处理；应急条件下的安全恢复。3.10 安全审计员 从事对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证并作出相应评价的人员。注：主要负责对系统管理员和安全保密员的操作行为进行审计跟踪、分析和监督检查，及时发现违规行为，并定期向系统安全保密管理机构汇报情况。4 物理环境安全建设 4.1 物理位置选择 DB63/T 20202022 3 按照GB 50174-2017中4.1的规定执行。4.2 物理访问控制 4.2.1 机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。4.2.2 设置视频监控系统，并实现 24 小时视频录像主备分离保护。4.3 防物理破坏措施 4.3.1 防盗：应将设备或主要部件进行固定，并设置明显的不易除去的标识。4.3.2 防雷：应将各类机柜、设施和设备等通过接地系统安全接地。4.3.3 防火：机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；采用具有耐火等级的建筑材料。4.3.4 防水：应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透，防止机房内水蒸气结露和地下积水的转移与渗透。4.3.5 防静电：应采用防静电地板或地面并采用必要的接地防静电措施，并采取措施防止静电的产生，例如采用静电消除器、佩戴防静电手环等。4.4 电力供应保障措施 应提供短期的备用电力供应，满足设备在断电情况下的正常运行要求，并设置冗余或并行的电力电缆线路为计算机系统供电。4.5 机房电磁防护 电源线和通信线缆应隔离铺设，避免互相干扰，并对关键设备实施电磁屏蔽。5 通信网络安全建设 5.1 网络架构安全 5.1.1 应划分不同的网络安全区域，并按照方便管理和控制的原则为各网络安全区域分配地址。5.1.2 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取安全、稳定、可靠的技术隔离手段。5.1.3 应考虑通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性。5.1.4 应保证网络设备的业务处理能力满足业务峰值需要，保证网络各个部分的带宽满足业务峰值需要。5.2 通信传输安全 应采用校验技术或加密技术保证通信过程中数据的保密性、完整性、可用性、可控性、可审查性。5.3 可信验证 应基于可信对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。6 系统安全建设 DB63/T 20202022 4 6.1 边界防护 6.1.1 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。6.1.2 应能够对非授权设备私自联到内部网络的行为进行检查或限制。6.1.3 应能够对内部用户非授权联到外部网络的行为进行检查或限制。6.1.4 应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。6.2 访问控制 6.2.1 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信。6.2.2 应删除多余或无效的访问控制规则，优化访问控制策略，并保证访问控制规则数量最小化。6.2.3 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出。6.2.4 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问。6.2.5 应对进出网络的数据流实现基于应用协议和应用内容的访问控制；解决系统内部应用端、维护端、服务器访问端、后台部署端系统弱口令问题。6.3 入侵防范 6.3.1 应在关键网络节点处检测、防止或限制从内部、外部发起的网络攻击行为。6.3.2 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。6.3.3 应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析。6.3.4 当检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。6.4 主机安全 6.4.1 应对操作系统进行特权用户的特权分离（如系统管理员、应用管理员等）并提供专用登陆控制模块。6.4.2 应启用密码口令复杂性要求，设置密码长度最小值为 8 位，密码最长使用期限 90 天，强制密码历史等。6.4.3 应配置账户锁定策略中的选项，如账户锁定时间、账户锁定阈值等实现结束会话、限制非法登陆次数和自动退出功能。6.4.4 应根据管理用户的角色对权限做出标准细致的划分，并授予管理用户的最小权限，每个用户只能拥有刚够完成工作的最小权限。6.4.5 应通过系统安全日志以及设置安全审计，记录和分析各用户和系统活动操作记录和信息资料。6.4.6 应在服务器上启用“路由和远程访问”服务，并且依据服务器操作系统访问控制的安全策略。6.4.7 操作系统设置为自动更新状态，以便及时打补丁。6.5 应用安全 6.5.1 应实现在安全要求的基础上，控制对信息、信息处理设施和业务过程的访问。6.5.2 应在访问控制规则加以明确地说明，访问控制规则应由正式的程序支持，并清晰地定义职责和范围。6.5.3 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。6.5.4 应对应用程序代码进行恶意代码扫描。DB63/T 20202022 5 6.5.5 应对应用程序代码进行安全脆弱性分析。6.5.6 当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话。6.6 恶意代码和垃圾邮件 6.6.1 应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新。6.6.2 应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。6.7 安全审计 6.7.1 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。6.7.2 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。6.7.3 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。7 计算环境安全建设 7.1 身份鉴别 7.1.1 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。7.1.2 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。7.1.3 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。7.1.4 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。7.2 访问权限控制 7.2.1 应对登录的用户分配账户和权限，重命名或删除默认账户，修改默认账户的默认口令。7.2.2 应授予管理用户所需的最小权限，实现管理用户的权限分离。7.2.3 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则。7.2.4 访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级。7.3 漏洞防护 7.3.1 应关闭不需要的系统服务、默认共享和高危端口。7.3.2 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。7.3.3 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。7.4 病毒防范 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。7.5 个人信息保护 应仅采集和保存业务必需的用户个人信息，禁止未授权非法使用、访问、采集用户个人信息。DB63/T 20202022 6 8 安全管理中心建设 8.1 系统管理 8.1.1 应保证系统管理员通过管理工具或平台进行系统管理操作，并对这些操作进行审计。8.1.2 应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、资源配置、加载和启动、运行的异常处理、数据和设备的备份与恢复等。8.2 审计管理 8.2.1 应保证安全审计管理员通过管理工具或平台进行安全审计操作，并对这些操作进行审计。8.2.2 应通过审计管理员对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。8.3 安全管理 8.3.1 应对安全保密管理员进行身份鉴别，允许其通过特定的命令或操作界面进行安全管理操作，并对这些操作进行审计。8.3.2 应通过安全管理员对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统 一安全标记，对主体进行授权，配置可信验证策略等。8.4 集中管理 8.4.1 应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控。8.4.2 应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理。8.4.3 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。8.4.4 应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求。8.4.5 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。9 安全管理制度建设 9.1 制定管理制度 9.1.1 应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等。9.1.2 应对安全管理活动中的各类管理内容建立安全管理制度，对管理人员或操作人员执行的日常管理操作建立操作规程。9.1.3 应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。9.1.4 应指定或授权专门的部门或人员负责安全管理制度的制定。9.1.5 应定期对安全管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的安全管理制度进行修订。9.2 设立安全管理机构 9.2.1 应设立网络安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责。DB63/T 20202022 7 9.2.2 应配备一定数量的系统管理员、审计管理员和安全管理员等；应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。9.2.3 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度。9.2.4 应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通，定期召开协调会议，共同协作处理网络安全问题。9.2.5 应定期进行常规安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。9.2.6 应定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。9.3 安全管理人员 9.3.1 应指定或授权专门的部门或人员负责人员录用，应与被录用人员签署保密协议，与关键岗位人员签署岗位责任协议。9.3.2 应及时终止离岗人员的所有访问权限，取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。9.3.3 应办理严格的调离手续，并承诺调离后的保密义务后方可离开；应对各类人员进行安全意识教育和岗位技能培训，并告知相关的安全责任和惩戒措施。9.3.4 应针对不同岗位制定不同的培训计划，对安全基础知识、岗位操作规程等进行培训。9.3.5 应在外部人员物理访问受控区域前先提出书面申请，批准后由专人全程陪同，并登记备案，外部人员离场后应及时清除其所有的访问权限。9.3.6 获得系统访问授权的外部人员应签署保密协议，不得进行非授权操作，不得复制和泄露任何敏感信息。10 安全运维管理 10.1.1 应指定专门的部门或人员负责机房安全，对机房出入进行管理，定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理。10.1.2 应建立机房安全管理制度，对有关物理访问、物品带进出和环境安全等方面的管理作出规定。10.1.3 应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。10.1.4 应将介质存放在安全的环境中，对各类介质进行控制和保护，实行存储环境专人管理，并根据存档介质的目录清单定期盘点。10.1.5 应对网络、安全、备份及服务器（包括冗余设备）、线路等指定专门的部门或系统管理员定期进行维护管理。10.1.6 应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。11 数据安全管理 11.1 数据完整性 11.1.1 应采用校验技术或加密技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。DB63/T 20202022 8 11.1.2 应采用校验技术或加密技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。11.2 数据保密性 11.2.1 应采用加密技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。11.2.2 应采用加密技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。11.3 数据备份与恢复 11.3.1 应识别需要定期备份的重要业务、数据及系统软件等。11.3.2 应规定备份信息的备份方式、备份频度、存储介质、保存时间等。11.3.3 应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略、备份程序和恢复程序等。12 信息系统定级规范 按照GB/T 22240中的要求对信息系统进行定级。DB63/T 20202022 9 参 考 文 献 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 _