DB63T 2020-2022市場(chǎng)監(jiān)管信息系統(tǒng)安全建設(shè)規(guī)范

ICS35.240.01CCSL77青海省地DB63方標(biāo)準(zhǔn)DB/T2020—2022青海省市場(chǎng)監(jiān)督管理局發(fā)布IDBT0—2022 2 3 DBT0—2022 6 DBT20—2022前言省市場(chǎng)監(jiān)督管理局提出并歸口。單位：青海省市場(chǎng)監(jiān)督管理局信息中心。楊勇、韓露、海省市場(chǎng)監(jiān)督管理局監(jiān)督實(shí)施。1DBT20—2022市場(chǎng)監(jiān)管信息系統(tǒng)安全建設(shè)規(guī)范絡(luò)安全建設(shè)、于市場(chǎng)監(jiān)管各級(jí)單位進(jìn)行信息系統(tǒng)的安全建設(shè)和管理。范性引用文件，GBT2240信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南GB174-2017數(shù)據(jù)中心設(shè)計(jì)規(guī)范定義件?？窟\(yùn)行的狀態(tài)保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性能力。事件以及在遭到損害后能夠恢復(fù)先前狀態(tài)等的程度。態(tài)一個(gè)先前未知的狀態(tài)。2DBT20—2022事件進(jìn)行統(tǒng)一監(jiān)控分析和預(yù)警處理。到的各種安全事件進(jìn)行綜合關(guān)聯(lián)分析后形成的報(bào)警事件。統(tǒng)目的的人機(jī)一體化系統(tǒng)。主要有五個(gè)基本功能，即對(duì)信息的輸入、存儲(chǔ)、處理、輸出和控制。行、維護(hù)的人員。的日常運(yùn)行維護(hù)工作，包括網(wǎng)絡(luò)設(shè)備、安全保密產(chǎn)品、服務(wù)器和用戶終端、操作系統(tǒng)數(shù)據(jù)庫(kù)、涉刪除；網(wǎng)絡(luò)和系統(tǒng)的數(shù)據(jù)備份、運(yùn)行情況監(jiān)控；應(yīng)急條件下的安全恢復(fù)。保密管理工作的人員。常安全保密管理工作，包括網(wǎng)絡(luò)和系統(tǒng)用戶權(quán)限的授予與撤銷；用戶操作行為的安全設(shè)計(jì)；安全事件的審計(jì)、分析和處理；應(yīng)急條件下的安全恢復(fù)。人員。安全保密員的操作行為進(jìn)行審計(jì)跟蹤、分析和監(jiān)督檢查，及時(shí)發(fā)現(xiàn)違規(guī)行為，并定期4物理環(huán)境安全建設(shè)4.1物理位置選擇3DBT20—2022GB74-2017中4.1的規(guī)定執(zhí)行。4.2物理訪問控制4.2.1機(jī)房出入口應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。。4.3防物理破壞措施4.3.1防盜：應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)識(shí)。4.3.2防雷：應(yīng)將各類機(jī)柜、設(shè)施和設(shè)備等通過接地系統(tǒng)安全接地。料。4.3.4防水：應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透，防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積生，靜電消除器、佩戴防靜電手環(huán)等。4.4電力供應(yīng)保障措施系統(tǒng)供電。4.5機(jī)房電磁防護(hù)實(shí)施電磁屏蔽。通信網(wǎng)絡(luò)安全建設(shè)5.1網(wǎng)絡(luò)架構(gòu)安全5.1.1應(yīng)劃分不同的網(wǎng)絡(luò)安全區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)安全區(qū)域分配地址。域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取安全、穩(wěn)定、手段。5.1.3應(yīng)考慮通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計(jì)算設(shè)備的硬件冗余，保證系統(tǒng)的可用性。5.1.4應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)峰值需要，保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)峰值需5.2通信傳輸安全可審查性。5.3可信驗(yàn)證安全管理中心。安全建設(shè)4DBT20—2022邊界防護(hù)1.1應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信。1.2應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制。1.3應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制。.4應(yīng)限制無(wú)線網(wǎng)絡(luò)的使用，保證無(wú)線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)。訪問控制2.1應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認(rèn)情況下除允許通信外受控有通信。2.2應(yīng)刪除多余或無(wú)效的訪問控制規(guī)則，優(yōu)化訪問控制策略，并保證訪問控制規(guī)則數(shù)量最小化。4應(yīng)能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問。2.5應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制；解決系統(tǒng)內(nèi)部應(yīng)用端、維護(hù)問端、后臺(tái)部署端系統(tǒng)弱口令問題。入侵防范.1應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從內(nèi)部、外部發(fā)起的網(wǎng)絡(luò)攻擊行為。3.2應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。.3.3應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析。主機(jī)安全4.1應(yīng)對(duì)操作系統(tǒng)進(jìn)行特權(quán)用戶的特權(quán)分離(如系統(tǒng)管理員、應(yīng)用管理員等)并提供專用登陸控制4.3應(yīng)配置賬戶鎖定策略中的選項(xiàng)，如賬戶鎖定時(shí)間、賬戶鎖定閾值等實(shí)現(xiàn)結(jié)束會(huì)話、限制非法登4.4應(yīng)根據(jù)管理用戶的角色對(duì)權(quán)限做出標(biāo)準(zhǔn)細(xì)致的劃分，并授予管理用戶的最小權(quán)限，每個(gè)用戶只權(quán)限。.4.5應(yīng)通過系統(tǒng)安全日志以及設(shè)置安全審計(jì)，記錄和分析各用戶和系統(tǒng)活動(dòng)操作記錄和信息資料。.4.6應(yīng)在服務(wù)器上啟用“路由和遠(yuǎn)程訪問”服務(wù)，并且依據(jù)服務(wù)器操作系統(tǒng)訪問控制的安全策略。操作系統(tǒng)設(shè)置為自動(dòng)更新狀態(tài)，以便及時(shí)打補(bǔ)丁。應(yīng)用安全5.1應(yīng)實(shí)現(xiàn)在安全要求的基礎(chǔ)上，控制對(duì)信息、信息處理設(shè)施和業(yè)務(wù)過程的訪問。5.2應(yīng)在訪問控制規(guī)則加以明確地說明，訪問控制規(guī)則應(yīng)由正式的程序支持，并清晰地定義職責(zé)和5.3應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符求。4應(yīng)對(duì)應(yīng)用程序代碼進(jìn)行惡意代碼掃描。5DBT20—2022應(yīng)對(duì)應(yīng)用程序代碼進(jìn)行安全脆弱性分析。5.6當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話。惡意代碼和垃圾郵件6.1應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼進(jìn)行檢測(cè)和清除，并維護(hù)惡意代碼防護(hù)機(jī)制的升級(jí)和更新。6.2應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)垃圾郵件進(jìn)行檢測(cè)和防護(hù)，并維護(hù)垃圾郵件防護(hù)機(jī)制的升級(jí)和更新。安全審計(jì)7.1應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要7.3應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；應(yīng)能對(duì)遠(yuǎn)程訪問行為審計(jì)和數(shù)據(jù)分析。境安全建設(shè)身份鑒別1應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別信息具有復(fù)雜度要求并2應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)施。3當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。4應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別，且別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)。訪問權(quán)限控制1應(yīng)對(duì)登錄的用戶分配賬戶和權(quán)限，重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令。應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離。3應(yīng)由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對(duì)客體的訪問規(guī)則。訪問控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)。漏洞防護(hù)應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。.2應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制。應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞。病毒防范個(gè)人信息保護(hù)僅采集和保存業(yè)務(wù)必需的用戶個(gè)人信息，禁止未授權(quán)非法使用、訪問、采集用戶個(gè)人信息。6DBT20—2022安全管理中心建設(shè)1系統(tǒng)管理8.1.1應(yīng)保證系統(tǒng)管理員通過管理工具或平臺(tái)進(jìn)行系統(tǒng)管理操作，并對(duì)這些操作進(jìn)行審計(jì)。.1.2應(yīng)通過系統(tǒng)管理員對(duì)系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括用戶身份、資源配置、加、運(yùn)行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等。2審計(jì)管理8.2.1應(yīng)保證安全審計(jì)管理員通過管理工具或平臺(tái)進(jìn)行安全審計(jì)操作，并對(duì)這些操作進(jìn)行審計(jì)。.2.2應(yīng)通過審計(jì)管理員對(duì)審計(jì)記錄進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理，包括根據(jù)安全審計(jì)策略對(duì)查詢等。3安全管理.3.1應(yīng)對(duì)安全保密管理員進(jìn)行身份鑒別，允許其通過特定的命令或操作界面進(jìn)行安全管理操作，并作進(jìn)行審計(jì)。進(jìn)行授權(quán)，配置可信驗(yàn)證策略等。4集中管理.4.1應(yīng)劃分出特定的管理區(qū)域，對(duì)分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控。.4.2應(yīng)能夠建立一條安全的信息傳輸路徑，對(duì)網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管理。4.3應(yīng)對(duì)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測(cè)。.4.4應(yīng)對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析，并保證審計(jì)記錄的留存時(shí)間符合.4.5應(yīng)對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。9安全管理制度建設(shè)9.1制定管理制度9.1.1應(yīng)制定網(wǎng)絡(luò)安全工作的總體方針和安全策略，闡明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安9.1.2應(yīng)對(duì)安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度，對(duì)管理人員或操作人員執(zhí)行的日常管程。9.1.3應(yīng)形成由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的安全管理制度體系。9.1.4應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定。9.1.5應(yīng)定期對(duì)安全管理制度的合理性和適用性進(jìn)行論證和審定，對(duì)存在不足或需要改進(jìn)的安全管理9.2設(shè)立安全管理機(jī)構(gòu)9.2.1應(yīng)設(shè)立網(wǎng)絡(luò)安全管理工作的職能部門，設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定7DBT20—20229.2.2應(yīng)配備一定數(shù)量的系統(tǒng)管理員、審計(jì)管理員和安全管理員等；應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明事項(xiàng)、審批部門和批準(zhǔn)人等。9.2.3應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項(xiàng)建立審批程序，按照審批程序執(zhí)行審對(duì)重要活動(dòng)建立逐級(jí)審批制度。9.2.4應(yīng)加強(qiáng)各類管理人員、組織內(nèi)部機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部門之間的合作與溝通，定期召開協(xié)調(diào)會(huì)處理網(wǎng)絡(luò)安全問題。9.2.5應(yīng)定期進(jìn)行常規(guī)安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。9.2.6應(yīng)定期進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施