LS/T 1807-2017糧食信息安全技術(shù)規(guī)范

ICS3524099

B20..

中華人民共和國糧食行業(yè)標(biāo)準(zhǔn)

LS/T1807—2017

糧食信息安全技術(shù)規(guī)范

Securityspecificationforgraininformationsystem

2017-03-10發(fā)布2017-06-01實施

國家糧食局發(fā)布

LS/T1807—2017

目次

前言

…………………………Ⅰ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………1

信息安全保護(hù)對象

5………………………2

總體要求

6…………………2

安全管理

7…………………3

安全技術(shù)

8…………………3

糧食專業(yè)領(lǐng)域安全技術(shù)

9…………………5

參考文獻(xiàn)

……………………10

LS/T1807—2017

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由國家糧食局提出

。

本標(biāo)準(zhǔn)由全國糧油標(biāo)準(zhǔn)化技術(shù)委員會歸口

(SAC/TC270)。

本標(biāo)準(zhǔn)起草單位航天信息股份有限公司湖北省糧食局北京天融信科技股份有限公司

:、、。

本標(biāo)準(zhǔn)主要起草人李其均宋玉玲羅秀春施展王千喜周貴來

:、、、、、。

Ⅰ

LS/T1807—2017

糧食信息安全技術(shù)規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了糧食信息安全保護(hù)對象糧食信息安全技術(shù)及安全管理的基本要求部署在電子政

、。

務(wù)外網(wǎng)的相關(guān)安全建設(shè)由電子政務(wù)外網(wǎng)保障部署在電子政務(wù)內(nèi)網(wǎng)的相關(guān)安全建設(shè)由電子政務(wù)內(nèi)網(wǎng)保

,

障本標(biāo)準(zhǔn)重點闡述的是各級糧食行政管理部門糧食企業(yè)及其他涉糧機(jī)構(gòu)在企業(yè)內(nèi)部網(wǎng)互聯(lián)網(wǎng)交互

。、、

時的安全要求

。

本標(biāo)準(zhǔn)適用于糧食信息化項目的規(guī)劃設(shè)計建設(shè)運維和評估

、、、。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式

GB/T20518

信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求

GB/T22239

信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南

GB/T22240

信息安全技術(shù)云計算服務(wù)安全指南

GB/T31167—2014

信息安全技術(shù)云計算服務(wù)安全能力要求

GB/T31168—2014

3術(shù)語和定義

下列術(shù)語和定義適用于本文件

。

31

.

安全域securitydomain

同一環(huán)境內(nèi)有相同的安全保護(hù)需求相互信任并具有相同的安全訪問控制和邊界控制策略的網(wǎng)絡(luò)

、、

或系統(tǒng)

。

32

.

糧食云計算平臺graincloudcomputingplatform

云計算基礎(chǔ)設(shè)施和其上運行的糧食信息化軟件的集合

。

33

.

糧食物聯(lián)網(wǎng)graininternetofthings

通過專用傳感器對儲糧環(huán)境和糧食的數(shù)量質(zhì)量進(jìn)行在線監(jiān)測的傳感器網(wǎng)絡(luò)系統(tǒng)

、。

4縮略語

下列縮略語適用于本文件

。

虛擬專用網(wǎng)絡(luò)

VPN:(VirtualPrivateNetwork)

公鑰基礎(chǔ)設(shè)施認(rèn)證中心

PKI/CA:/(PublicKeyInfrastructure/CertificateAuthority)

統(tǒng)一安全管理的身份認(rèn)證授權(quán)審計和賬號

4A:、、(Authentication,Account,Authorization,

1

LS/T1807—2017

Audit)

5信息安全保護(hù)對象

主要包括糧食信息網(wǎng)絡(luò)信息系統(tǒng)糧食信息及其物理環(huán)境支撐性基礎(chǔ)設(shè)施與安全設(shè)備設(shè)施等

、、、。

51信息網(wǎng)絡(luò)

.

被保護(hù)網(wǎng)絡(luò)對象包括糧食業(yè)務(wù)管理范圍內(nèi)的各個信息網(wǎng)絡(luò)分別運行于電子政務(wù)內(nèi)網(wǎng)電子政務(wù)外

,、

網(wǎng)企業(yè)內(nèi)部網(wǎng)互聯(lián)網(wǎng)四個不同的網(wǎng)絡(luò)中

、、。

52信息系統(tǒng)

.

被保護(hù)業(yè)務(wù)對象是糧食信息系統(tǒng)中運行的各類糧食業(yè)務(wù)應(yīng)用系統(tǒng)糧食信息系統(tǒng)按業(yè)務(wù)應(yīng)用類型

,

分為糧食企業(yè)業(yè)務(wù)管理應(yīng)用系統(tǒng)和糧食行政管理應(yīng)用系統(tǒng)按照架構(gòu)分為國家級糧食管理平臺簡稱

;(

國家級平臺省級糧食管理平臺簡稱省級平臺企業(yè)糧食管理平臺糧食企業(yè)業(yè)務(wù)管理應(yīng)用系

“”)、(“”)、。

統(tǒng)運行在企業(yè)內(nèi)網(wǎng)互聯(lián)網(wǎng)糧食行政管理應(yīng)用系統(tǒng)分別運行在電子政務(wù)內(nèi)網(wǎng)電子政務(wù)外網(wǎng)和互

、;,、

聯(lián)網(wǎng)

。

53糧食信息

.

被保護(hù)的信息對象是各類糧食業(yè)務(wù)信息可分為公開信息和非公開信息非公開信息中包含各類敏

,,

感信息不同的信息類別應(yīng)設(shè)定不同的安全保護(hù)等級措施

。,。

對于公開信息主要是防篡改防丟失對于敏感信息除防篡改防丟失外還需增加防止未經(jīng)授權(quán)

,、;,、,

的披露濫用和銷毀

、。

531公開信息

..

包括但不限于

:

糧食生產(chǎn)糧食加工糧油市場糧食消費儲糧環(huán)境社會經(jīng)濟(jì)等信息

、、、、、。

532糧食敏感信息

..

包括但不限于

:

應(yīng)該公開但正式發(fā)布前不宜泄漏的信息如招投標(biāo)規(guī)劃統(tǒng)計預(yù)算等過程信息

a),,、、、;

糧食行政執(zhí)法過程中生成的不宜公開的記錄文件

b);

糧食企業(yè)的地理位置信息

c);

糧食企業(yè)的商業(yè)秘密

d);

糧食行政管理部門的人事規(guī)劃和工作章程人員能力評價等信息

e),;

售糧人銀行卡身份證結(jié)算資金等信息

f)、、;

糧食庫存量質(zhì)量輪換計劃糧食應(yīng)急預(yù)案等信息

g)、、、。

6總體要求

從安全管理安全技術(shù)糧食專業(yè)領(lǐng)域安全技術(shù)三個方面提出糧食信息系統(tǒng)的安全要求其架構(gòu)如

、、,

圖所示

1。

糧食行政管理部門糧食企業(yè)和其他涉糧機(jī)構(gòu)應(yīng)按照國家信息安全主管部門的要求對糧食信息系

、

統(tǒng)進(jìn)行定級并根據(jù)定級情況達(dá)到相應(yīng)的安全要求糧食企業(yè)業(yè)務(wù)管理應(yīng)用系統(tǒng)應(yīng)符合

,。GB/T22240

2

LS/T1807—2017

國家信息安全保護(hù)等級二級或二級以上標(biāo)準(zhǔn)跨省或覆蓋全省的糧食行政管理應(yīng)用系統(tǒng)應(yīng)符合安全保

,,

護(hù)等級三級標(biāo)準(zhǔn)

。

圖1糧食信息安全框架

7安全管理

安全管理的制度機(jī)構(gòu)人員系統(tǒng)建設(shè)運維服務(wù)等應(yīng)符合的要求

、、、、,GB/T22239、GB/T22240。

8安全技術(shù)

糧食信息系統(tǒng)的安全技術(shù)應(yīng)符合的通用要求外還應(yīng)滿足以下技術(shù)

GB/T22239、GB/T22240,

要求

。

81物理安全

.

811辦公場地改造的機(jī)房

..

針對收納庫中心庫等糧食企業(yè)從辦公場地改建的機(jī)房至少應(yīng)具備

、,:

機(jī)房和辦公場地應(yīng)具有防風(fēng)防雨的設(shè)計

a)、;

空調(diào)水管安裝不得穿過機(jī)房房頂或活動地板下

b);

應(yīng)采取措施防止雨水通過機(jī)房窗戶屋頂和墻壁滲透

c)、;

應(yīng)采取措施防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透

d);

機(jī)房建筑應(yīng)設(shè)置避雷裝置

e);

供電電源應(yīng)具有良好接地

f);

應(yīng)具有防盜竊防破壞的監(jiān)控報警裝置和安全管理措施

g)、;

機(jī)房應(yīng)設(shè)置滅火器材

h);

電源線和通信纜應(yīng)隔離鋪設(shè)避免互相干擾

i),;

3

LS/T1807—2017

收儲企業(yè)的備用電力供應(yīng)至少應(yīng)滿足收購業(yè)務(wù)在斷電情況下的正常運行

j),;

應(yīng)保持機(jī)房和辦公場地的干凈衛(wèi)生計算機(jī)設(shè)備灰塵較多時應(yīng)采取負(fù)壓清理方式灰塵較少

k),,,

時可采用普通清理方式

,;

配線架服務(wù)器機(jī)架應(yīng)有顯著的標(biāo)識

l)、;

獨立機(jī)房可配置電子門禁系統(tǒng)控制鑒別和記錄進(jìn)入的人員

m),、。

812倉房外的強(qiáng)電弱電機(jī)柜

..、

包括但不限于

:

應(yīng)有良好的防雨設(shè)計

a);

應(yīng)具有漏電過載短路保護(hù)裝置

b)、、;

應(yīng)對機(jī)柜內(nèi)的線纜開關(guān)或其他控制單元有顯著的標(biāo)識通過標(biāo)識可追溯相關(guān)圖紙檢修記

c)、,,、

錄責(zé)任人等

、。

82網(wǎng)絡(luò)安全

.

821庫區(qū)網(wǎng)絡(luò)布線

..

包括但不限于

:

糧庫內(nèi)網(wǎng)網(wǎng)絡(luò)的綜合布線宜采用光纖環(huán)網(wǎng)等可靠的網(wǎng)絡(luò)鏈路

a);

應(yīng)在每個倉房門口設(shè)置一個信息節(jié)點

b);

信息節(jié)點應(yīng)安裝在倉房外的防水防塵的弱電箱內(nèi)

c)。

822結(jié)構(gòu)安全

..

包括但不限于

:

與省級管理平臺連接的企業(yè)應(yīng)有固定的地址

a),IP;

應(yīng)繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

b);

應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期需要如遠(yuǎn)程視頻監(jiān)管的需要

c),;

應(yīng)根據(jù)業(yè)務(wù)類別重要性和所涉及信息程度等因素劃分不同子網(wǎng)或網(wǎng)段并按照方便管理和

d)、,,

控制的原則為各子網(wǎng)網(wǎng)段分配地址段

、;

重要網(wǎng)段不得直接連接外部信息系統(tǒng)重要網(wǎng)段與其他網(wǎng)段之間應(yīng)采取可靠的技術(shù)隔離手段

e),。

823訪問控制

..

包括但不限于

:

應(yīng)利用網(wǎng)閘防火墻等技術(shù)確定外部邊界實現(xiàn)安全可靠的外部網(wǎng)絡(luò)互聯(lián)

a)、VPN、,;

應(yīng)利用身份認(rèn)證技術(shù)實現(xiàn)分層管理將內(nèi)部安全域的信息分等級劃分禁止低安全域的用戶

b),,/

業(yè)務(wù)非授權(quán)訪問高安全域用戶業(yè)務(wù)

/;

應(yīng)具備網(wǎng)絡(luò)性能保護(hù)機(jī)制防止對網(wǎng)絡(luò)資源的濫用確保網(wǎng)絡(luò)資源的合理使用

c),,;

應(yīng)具備網(wǎng)絡(luò)接入認(rèn)證的能力確保只有授權(quán)的終端才能接入網(wǎng)絡(luò)

d),。

824安全審計

..

應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況網(wǎng)絡(luò)流量用戶行為進(jìn)行審計

、、。

825入侵防范

..

應(yīng)在網(wǎng)絡(luò)邊界防范端口掃描木馬后門攻擊拒絕服務(wù)攻擊緩沖區(qū)溢出攻擊網(wǎng)絡(luò)蠕蟲等攻擊

、、、、

4

LS/T1807—2017

行為

。

83主機(jī)安全

.

應(yīng)符合的要求

GB/T22240。

84數(shù)據(jù)安全

.

包括但不限于

:

糧食企業(yè)的業(yè)務(wù)數(shù)據(jù)應(yīng)至少保存一個儲糧周期且不少于年相關(guān)政策有要求的還應(yīng)滿足相

a)5;,

關(guān)政策文件要求

;

存儲空間不足時應(yīng)逐步刪除視頻數(shù)據(jù)保留業(yè)務(wù)數(shù)據(jù)

b),,;

應(yīng)具有本地的數(shù)據(jù)備份在糧食輪換期應(yīng)增加備份次數(shù)備份介質(zhì)應(yīng)場地外存放

c),,;

應(yīng)加強(qiáng)備份介質(zhì)的安全管理

d)。

85應(yīng)用安全

.

包括但不限于

:

糧食信息系統(tǒng)應(yīng)實現(xiàn)基于糧食行業(yè)數(shù)字證書體系的用戶身份認(rèn)證并要求實現(xiàn)

a)PKI/CA,4A

的應(yīng)用系統(tǒng)安全體系確保本地應(yīng)用系統(tǒng)的信息安全

,;

應(yīng)根據(jù)人員的崗位職責(zé)授予不同賬戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限并在他們之間形

b),,

成相互制約的關(guān)系

;

應(yīng)及時刪除或禁用多余賬號測試賬號過期賬號避免共享賬號過期賬號的使用

c)、、,、。

9糧食專業(yè)領(lǐng)域安全技術(shù)

91糧食物聯(lián)網(wǎng)安全

.

糧食物聯(lián)網(wǎng)的設(shè)計和實施除了應(yīng)遵循一般的物理安全主機(jī)安全網(wǎng)絡(luò)安全數(shù)據(jù)安全和應(yīng)用安全

,、、、

的技術(shù)要求外其安全性還應(yīng)具有

,:

感知節(jié)點應(yīng)通過接口通過身份認(rèn)證和授權(quán)訪問確認(rèn)其身份真實性和正確性以及訪問控制

a),,,

的準(zhǔn)確性后才能接入到網(wǎng)絡(luò)中

,;

大型糧庫糧油加工企業(yè)或物流中心可采用工業(yè)防火墻網(wǎng)閘等設(shè)備對糧食業(yè)務(wù)管理網(wǎng)絡(luò)和

b)、,、

工業(yè)控制網(wǎng)絡(luò)進(jìn)行邏輯隔離

;

對于出入庫數(shù)據(jù)錄入數(shù)據(jù)的變更不能以超級用戶或其他高權(quán)限用戶直接操作數(shù)據(jù)庫修改系

c),,

統(tǒng)應(yīng)提供完整的變更流程記錄數(shù)據(jù)錄入審核變更的全過程信息并形成數(shù)據(jù)變更報表

,、、,;

應(yīng)當(dāng)遵循客觀性原則不得修改偽造糧食物聯(lián)網(wǎng)的原始采集數(shù)據(jù)

d),、;

糧食物聯(lián)網(wǎng)系統(tǒng)應(yīng)保留操作日志訪問日志通過審計人員賬戶訪問時間操作內(nèi)容等日志信

e)、,、、

息追蹤定位非授權(quán)訪問行為

,;

系統(tǒng)日志應(yīng)能記錄設(shè)備的現(xiàn)場手動操作與遠(yuǎn)程操作日志結(jié)合形成完整的設(shè)備操作日志

f),,;

糧食信息化技術(shù)支撐單位遠(yuǎn)程或本地進(jìn)行系統(tǒng)升級時應(yīng)制定變更計劃明確變更時間變更

g),,、

內(nèi)容變更驗證變更責(zé)任人等事項應(yīng)對原有版本和當(dāng)前版本軟件數(shù)據(jù)備份到物理介質(zhì)并

、、,、,

留有相關(guān)記錄

。

92糧食云安全

.

921云計算平臺的使用范圍

..

包括但不限于

:

5

LS/T1807—2017

對于涉密的糧食信息系統(tǒng)信息的處理保存?zhèn)鬏斃脩?yīng)按照國家保密法規(guī)執(zhí)行不得使用

a),、、、,

政務(wù)云或其他公有云服務(wù)平臺中的優(yōu)先級確定

[GB/T31167—2014];

涉及糧食信息敏感信息程度較多的信息系統(tǒng)或關(guān)鍵業(yè)務(wù)系統(tǒng)可采用社區(qū)云或私有云計算平

b),

臺也可按照傳統(tǒng)方式自建系統(tǒng)運行

,;

交通偏遠(yuǎn)網(wǎng)絡(luò)通信條件差的基層收納點采用云計算平臺應(yīng)確保網(wǎng)絡(luò)中斷后還有備用的技

c)、,,,

術(shù)手段和措施完成各環(huán)節(jié)的信息采集和業(yè)務(wù)處理不影響糧食收購業(yè)務(wù)

,,。

922云計算的安全責(zé)任認(rèn)定

..

糧食信息化平臺遷入云計算平臺后其安全責(zé)任并未轉(zhuǎn)移仍需承擔(dān)云計算平臺上的數(shù)據(jù)和業(yè)務(wù)的

,,

最終安全責(zé)任中的云計算服務(wù)安全管理基本要求

[GB/T31167—2014]。

923云服務(wù)商的選擇

..

包括但不限于

:

對于擬遷入云計算平臺的系統(tǒng)應(yīng)對其信息和業(yè)務(wù)進(jìn)行分析按照信息的敏感程度和業(yè)務(wù)的重

a),,

要程度選擇相應(yīng)安全能力水平的云服務(wù)商

;

糧食云計算客戶應(yīng)通過合同明確云服務(wù)商的責(zé)任和義務(wù)強(qiáng)調(diào)客戶對數(shù)據(jù)和業(yè)務(wù)系統(tǒng)運行狀

b),

態(tài)的知情權(quán)應(yīng)要求云計算平臺提供必要的監(jiān)管接口和日志查詢功能建立有效的審查檢查

;,、

機(jī)制實現(xiàn)對云計算服務(wù)的有效監(jiān)管

,。

924云計算平臺客戶端的安全要求

..

糧食云客戶應(yīng)管控自身的客戶端系統(tǒng)應(yīng)

,:

不得向云計算平臺和相關(guān)系統(tǒng)傳送惡意程序垃圾數(shù)據(jù)以及其他可能影響云計算正常運行的

a),,

代碼

;

不得對云計算平臺進(jìn)行網(wǎng)絡(luò)攻擊竊取或篡改數(shù)據(jù)資料

b)、;

不得通過云平臺從事違背國家信息安全的非法活動

c)。

925云平臺的安全威脅

..

包括但不限于

:

糧食云服務(wù)環(huán)境下需具備應(yīng)對處理傳統(tǒng)信息安全威脅的技術(shù)手段和措施包括主機(jī)安全威

a),,

脅網(wǎng)絡(luò)安全威脅以及應(yīng)用安全威脅

、、;

應(yīng)處理虛擬化帶來的新的安全威脅包括虛擬化平臺虛擬機(jī)與虛擬機(jī)的網(wǎng)絡(luò)管理租戶與租

b),、、

戶之間的安全隔離

;

云計算模式下云計算的設(shè)施層物理環(huán)境硬件層物理設(shè)備資源抽象層和控制層都處于

c),()、()、

云服務(wù)商的完全控制之下所有安全設(shè)施由云服務(wù)商承擔(dān)對其安全性要求應(yīng)按照

,,,

執(zhí)行應(yīng)用軟件層軟件平臺層的安全保障措施和傳統(tǒng)信息安全保障措

GB/T31168—2014。、,

施相同

。

93移動互聯(lián)網(wǎng)安全

.

移動互聯(lián)網(wǎng)應(yīng)用帶來的安全風(fēng)險應(yīng)從移動終端安全移動應(yīng)用安全敏感信息防泄漏等方面防范

,、、。

931移動終端安全

..

應(yīng)對涉糧的移動終端進(jìn)行全生命周期管理其安全性要求如下

,:

對移動終端的系統(tǒng)功能進(jìn)行限制

a);

6

LS/T1807—2017

建立領(lǐng)用登記歸還制度

b)、;

涉糧應(yīng)用在檢測到運行環(huán)境處于越獄或等非安全環(huán)境時應(yīng)及時提出安全警示必要

c)ROOT,,

時可以終止運行

;

應(yīng)支持遠(yuǎn)程終端控制如果移動終端發(fā)生丟失被盜可遠(yuǎn)程進(jìn)行設(shè)備密碼更改設(shè)備鎖機(jī)警告

d),,、、

信息發(fā)送數(shù)據(jù)擦除等操作保護(hù)設(shè)備和數(shù)據(jù)安全

、,;

應(yīng)定位跟蹤移動終端提供受管設(shè)備的集中式管理和多維度統(tǒng)計信息的可視化展現(xiàn)

e)、,;

應(yīng)防范自帶設(shè)備風(fēng)險防止自帶設(shè)備不合規(guī)造成信息泄露通過移動設(shè)備結(jié)論碼電話號碼等

f),,、,

確保系統(tǒng)內(nèi)只有授權(quán)的終端

。

932移動應(yīng)用安全

..

包括但不限于

:

應(yīng)通過黑白名單限制移動應(yīng)用程序下載及訪問提供安全相關(guān)封裝工具和確保已有應(yīng)

a),SDK,

用及新開發(fā)應(yīng)用均能運行在安全的容器環(huán)境中應(yīng)避免使用有漏洞的開源第三方應(yīng)用組件及

,

代碼嚴(yán)格限制第三方組件自身數(shù)據(jù)收集功能

,;

用戶身份鑒別或密碼設(shè)定找回應(yīng)進(jìn)行二次鑒權(quán)避免用戶身份被冒領(lǐng)如系統(tǒng)注冊信息校

b)、,,,

驗短信驗證碼指紋等

、、;

不宜通過第三方賬戶進(jìn)行認(rèn)證

c);

不宜用移動終端采集或處理涉及售糧人銀行卡號金額支付以及庫存量等信息

d)、、;

應(yīng)提供應(yīng)用安全掃描和加固若發(fā)現(xiàn)未指定的非涉糧應(yīng)用可立刻禁止訪問并發(fā)送警告信息

e),,;

不應(yīng)訪問移動終端中非業(yè)務(wù)必需的文件和數(shù)據(jù)

f);

不開啟與服務(wù)無關(guān)的功能

g);

未向用戶明示并經(jīng)用戶同意不得擅自收集糧食業(yè)務(wù)信息智能倉儲管理數(shù)據(jù)等

h),、;

對于科研需要的數(shù)據(jù)應(yīng)當(dāng)遵循合法正當(dāng)必要原則明示收集使用信息的目的方式和范圍

i),、、,、,

并經(jīng)用戶同意

;

與糧庫照明通風(fēng)等與控制系統(tǒng)有關(guān)的移動應(yīng)用以及倉儲管理等移動應(yīng)用在用戶權(quán)限控制

j)、,,

的基礎(chǔ)上應(yīng)增加地理圍欄限制限制對糧食自動控制系統(tǒng)的數(shù)據(jù)資源網(wǎng)絡(luò)資源設(shè)備的

,,、、

訪問

;

輸入敏感信息時應(yīng)使用經(jīng)過第三方專業(yè)機(jī)構(gòu)檢測的安全軟鍵盤確保敏感信息不被移動終端

k),,

的其他應(yīng)用程序竊取

;

應(yīng)通過簽名標(biāo)識移動終端應(yīng)用程序的來源和發(fā)布者保證用戶所下載的移動應(yīng)用來源于糧食

l),

技術(shù)支撐單位

。

933終端敏感信息防泄漏

..

包括但不限于

:

對于協(xié)同辦公倉儲業(yè)務(wù)管理庫存監(jiān)管行政執(zhí)法類的移動應(yīng)用應(yīng)加強(qiáng)對敏感文檔的內(nèi)容泄

a)、、、,

露防護(hù)包括文檔內(nèi)容加密及安全傳送

,;

設(shè)備離開指定的地理區(qū)域后限制文檔訪問

b);

限制文檔保存復(fù)制編輯打印等操作

c)、、、;

限制第三方應(yīng)用瀏覽文檔內(nèi)容通過實時同步及安全共享提高協(xié)作效率

d);;

對后臺任務(wù)列表中的預(yù)覽界面應(yīng)采取模糊或其他防護(hù)措施

e);

敏感信息的存儲應(yīng)進(jìn)行加密或不可逆變換密碼算法應(yīng)采用官方發(fā)布中自帶算法庫如

f),SDK,

使用第三方算法庫應(yīng)對其安全性進(jìn)行驗證密碼算法應(yīng)符合國家密碼管理局的相關(guān)要求

,,;

有條件的情況下可采取數(shù)字簽名技術(shù)

g),。

7

LS/T1807—2017

94電子認(rèn)證

.

941基本要求

..

包括但不限于

:

糧食信息系統(tǒng)應(yīng)采用電子認(rèn)證服務(wù)以實現(xiàn)各個業(yè)務(wù)系統(tǒng)中的身份認(rèn)證完整性保密性抗抵

a),、、,

賴等安全要求

;

糧食行政管理部門應(yīng)該以省為最小單位選擇糧食或者其他具有電子認(rèn)證服務(wù)許可證

b),CA《》

的電子認(rèn)證服務(wù)機(jī)構(gòu)提供電子認(rèn)證服務(wù)

;

為糧食信息系統(tǒng)提供電子認(rèn)證服務(wù)的提供商需接入國家根與之構(gòu)成完整可信證書鏈

c)CA,。

942電子認(rèn)證的應(yīng)用范圍

..

包括但不限于

:

庫存監(jiān)管系統(tǒng)

a);

地磅碼單的電子簽章系統(tǒng)

b);

各項統(tǒng)計系統(tǒng)

c);

各級儲備糧管理系統(tǒng)

d)。

943電子認(rèn)證服務(wù)要求

..

包括但不限于

:

電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)結(jié)合糧食信息系統(tǒng)外部用戶和內(nèi)部用戶的實際需求提供證書申請證書

a),、

發(fā)放證書更新證書吊銷證書解鎖密鑰恢復(fù)和證書查詢等證書業(yè)務(wù)服務(wù)和相關(guān)技術(shù)支持

、、、、

服務(wù)

;

電子認(rèn)證服務(wù)機(jī)構(gòu)在糧食信息系統(tǒng)開展服務(wù)時應(yīng)制定針對糧食管理平臺的數(shù)據(jù)同步接

b),CA

口實現(xiàn)數(shù)字證書和黑名單的同步上傳

,。

944證書格式和載體要求

..

電子認(rèn)證服務(wù)機(jī)構(gòu)發(fā)放的數(shù)字證書格式證書介質(zhì)應(yīng)符合相關(guān)要求