DB6301∕T 2-2020 信息資源安全通用要求_第1頁
DB6301∕T 2-2020 信息資源安全通用要求_第2頁
DB6301∕T 2-2020 信息資源安全通用要求_第3頁
DB6301∕T 2-2020 信息資源安全通用要求_第4頁
DB6301∕T 2-2020 信息資源安全通用要求_第5頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

35.020L

78DB6301

6301/T

2—2020信息資源安全通用要求西寧市市場(chǎng)監(jiān)督管理局 發(fā)

布DB6301/

T

2—2020 前 言

...........................................................................

III1

..............................................................................

12 規(guī)范性引用文件

....................................................................

13 術(shù)語和定義

........................................................................

14 共性安全要求

......................................................................

24.1 總則

............................................................................

24.2 密碼技術(shù)要求

....................................................................

24.3 主機(jī)及網(wǎng)絡(luò)技術(shù)要求

..............................................................

34.4 人員管理要求

....................................................................

35

............................................................

35.1 服務(wù)器維護(hù)

....................................................................

35.2 軟件環(huán)境

......................................................................

45.3 安全事件處置要求

..............................................................

46

............................................................

46.1 前置機(jī)網(wǎng)絡(luò)管理安全要求

........................................................

46.2 信息資源提供安全技術(shù)要求

......................................................

47

............................................................

47.1 前置機(jī)網(wǎng)絡(luò)安全要求

............................................................

47.2 信息資源使用技術(shù)安全要求

......................................................

5DB6301/

T

2—2020 本標(biāo)準(zhǔn)按照GB/T1.1-2009給出的規(guī)則起草。本標(biāo)準(zhǔn)由西寧市大數(shù)據(jù)服務(wù)管理局提出。本標(biāo)準(zhǔn)由西寧市市場(chǎng)監(jiān)督管理局歸口。本標(biāo)準(zhǔn)起草單位:

杭州數(shù)夢(mèng)工場(chǎng)科技有限公司。本標(biāo)準(zhǔn)主要起草人:

巖、楊興海。IIDB6301/

T

2—20201范圍求、信息資源提供方安全要求、信息資源使用方安全要求。息資源提供方及軟件開發(fā)廠商等。2 規(guī)范性引用文件件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T

《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》3 術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1保密性

度。即信息只為授權(quán)用戶使用。3.2可用性

usability數(shù)據(jù)或資源的特性,被授權(quán)實(shí)體按要求能訪問和使用的數(shù)據(jù)源。3.3信息安全風(fēng)險(xiǎn)

risk

of

security人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件及其對(duì)組織造成的影響。3.4安全措施

保護(hù)資產(chǎn)、抵御脆弱性、降低安全事件的各種實(shí)踐、規(guī)程及機(jī)制。3.5DB6301/

T

2—2020信息資源

resourse各級(jí)政務(wù)部門及具有公共屬性的企事業(yè)單位在生產(chǎn)、生活過程中產(chǎn)生或獲取的,以一定形式記錄、保存的文件、資料、圖表和數(shù)據(jù)等各類信息。3.6大數(shù)據(jù)

big

data處理的數(shù)據(jù)集。3.7信息資源共享交換平臺(tái) 子系統(tǒng)進(jìn)行信息/數(shù)據(jù)的傳輸及共享,建立中心數(shù)據(jù)庫,完成信息資源的抽取、集中、加載、展現(xiàn),構(gòu)造統(tǒng)一的信息資源處理和交換等大數(shù)據(jù)服務(wù)功能的軟硬件集合。3.8信息主體

信息資源進(jìn)行各項(xiàng)活動(dòng)的組成單元,為各級(jí)政務(wù)部門及具有公共屬性的企事業(yè)單位。3.9信息技術(shù)專員

technology

理、維護(hù)及信息資源傳輸。3.10前置機(jī)

front-end

過來的非本單位信息資源的計(jì)算機(jī),通常指信息主體與信息資源共享交換平臺(tái)聯(lián)通的最前端服務(wù)器。3.11組織

organization由作用不同的個(gè)體為實(shí)施共同的業(yè)務(wù)目標(biāo)而建立的結(jié)構(gòu)。4

共性安全要求4.1

信息資源提供方、使用方及管理方都應(yīng)按照

22239-2019《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》的要求,針對(duì)自主保護(hù)和重點(diǎn)保護(hù)原則的具體內(nèi)容,都應(yīng)遵守相關(guān)密碼技術(shù)要求、網(wǎng)絡(luò)技術(shù)要求及人員、信息資源管理的具體要求。DB6301/

T

2—20204.2

密碼技術(shù)要求信息資源提供方、使用方及管理方應(yīng)遵循以下要求:a)

密碼長度不少于b)

密碼由數(shù)字、標(biāo)點(diǎn)、大小寫字母和特殊符號(hào)組成,必須包含四種以上不同的類型,并具有必要的組合復(fù)雜度,不應(yīng)使用連續(xù)或相同數(shù)字、字母組合和其它易于破譯的組合作為密碼;c)

密碼不應(yīng)以任何形式的明文存儲(chǔ),不應(yīng)以明文形式在電子郵件、傳真中傳輸;d)

用戶應(yīng)定期(至少每季度一次)進(jìn)行密碼修改,并且同一密碼不能反復(fù)使用。4.3

主機(jī)及網(wǎng)絡(luò)技術(shù)要求信息資源提供方、使用方及管理方應(yīng)遵循以下要求:a)

信息資源服務(wù)器(包括業(yè)務(wù)單位前置機(jī)服務(wù)器)不應(yīng)使用屬于個(gè)人或未授權(quán)的各類存儲(chǔ)介質(zhì)或可移動(dòng)的信息設(shè)備,如軟盤、光盤、移動(dòng)硬盤、U盤、筆記本電腦等;b)

所有接入信息資源共享交換平臺(tái)網(wǎng)絡(luò)的計(jì)算機(jī)均須保證安裝有最新版本的防病毒軟件及最新的病毒庫;c)

接入信息資源共享交換平臺(tái)網(wǎng)絡(luò)的計(jì)算機(jī)不應(yīng)在電子政務(wù)外網(wǎng)與互聯(lián)網(wǎng)之間交叉使用。信息主體與信息資源共享交換平臺(tái)對(duì)接需要在電子政務(wù)外網(wǎng)下使用,或采用專線接入方式與信息資源共享信息資源共享交換平臺(tái)網(wǎng)絡(luò)互聯(lián);d)

接入信息資源共享交換平臺(tái)網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)關(guān)閉與業(yè)務(wù)無關(guān)的端口,停止與業(yè)務(wù)無關(guān)的服務(wù);e)

在條件允許范圍內(nèi),信息主體應(yīng)采用防火墻或者網(wǎng)閘等設(shè)備對(duì)前置機(jī)進(jìn)行保護(hù)。4.4

人員管理應(yīng)遵循以下要求:a)

各信息主體應(yīng)在本單位至少設(shè)立1名信息技術(shù)專員,同時(shí)應(yīng)加強(qiáng)信息安全規(guī)章制度的教育培訓(xùn),信息技術(shù)專員每年應(yīng)進(jìn)行至少一次安全培訓(xùn);b)

未經(jīng)授權(quán),信息技術(shù)專員不得查詢、修改、刪除、新增信息資源,不得向第三方提供經(jīng)信息共享交換平臺(tái)獲取的信息資源;c)

信息技術(shù)專員應(yīng)對(duì)各種工作密碼保密,不對(duì)外提供和泄露,不盜用他人密碼;d)

信息技術(shù)專員應(yīng)簽訂保密協(xié)議,對(duì)信息資源和系統(tǒng)架構(gòu)嚴(yán)格保密;e)

信息技術(shù)專員內(nèi)部調(diào)動(dòng)至其他崗位或離職時(shí),做好信息資源對(duì)接的交接工作并報(bào)備至信息資源共享交換平臺(tái)管理部門。4.5

信息資源備份要求前置機(jī)信息資源保留至少一年以上,至少每季度進(jìn)行一次全量備份。5

信息資源管理方安全要求5.1

服務(wù)器維護(hù)下:a)

服務(wù)器管理員負(fù)責(zé)服務(wù)器的日常操作維護(hù)工作,確認(rèn)前置機(jī)和信息資源共享交換平臺(tái)之間信息資源交換狀態(tài),應(yīng)建立和保存服務(wù)器完整的技術(shù)文檔和維護(hù)方案;DB6301/

T

2—2020b)

服務(wù)器按計(jì)劃執(zhí)行運(yùn)維任務(wù)影響信息資源使用時(shí),應(yīng)提前24小時(shí)通知信息資源使用方做好相關(guān)2小時(shí)內(nèi)通知信息資源使用方做好相關(guān)處理;c)

信息資源共享交換平臺(tái)系統(tǒng)管理員應(yīng)每天對(duì)信息資源交換情況進(jìn)行檢查,及時(shí)發(fā)現(xiàn)異常情況并做相應(yīng)處理;c)

服務(wù)器管理員應(yīng)每周對(duì)服務(wù)器及外圍設(shè)備進(jìn)行一次例行檢查和維護(hù);d)

每次更新升級(jí)程序時(shí),應(yīng)做好備份再進(jìn)行操作,服務(wù)器宜進(jìn)行雙機(jī)熱備份。5.2

軟件環(huán)境信息資源共享交換平臺(tái)服務(wù)器及與其互聯(lián)的計(jì)算機(jī)除安裝解壓縮、殺毒軟件等必要的應(yīng)用軟件外,不應(yīng)安裝游戲、聊天工具等與正常開展業(yè)務(wù)工作無關(guān)的軟件。5.3

安全事件處置要求安全事件通常指影響信息資源共享交換平臺(tái)正常開展業(yè)務(wù)的各類事件,包括軟件故障,硬件故障,黑客入侵與攻擊,其他不可預(yù)料的未知故障等。安全處理要求應(yīng)考慮:a)

影響信息資源共享交換使用的安全事件,服務(wù)器管理員應(yīng)盡快通知信息資源使用方、提供方;b)

服務(wù)器管理員在服務(wù)器發(fā)生安全事件時(shí)應(yīng)做好記錄,記錄內(nèi)容包括:事件發(fā)生的時(shí)間、事件現(xiàn)象、事件發(fā)生原因、事件影響范圍、事件處置措施等。6 6.1

前置機(jī)網(wǎng)絡(luò)管理安全要求信息資源提供方前置機(jī)的網(wǎng)絡(luò)安全應(yīng)遵循以下要求:a)信息資源提供方負(fù)責(zé)本單位信息資源共享交換前置機(jī)的安全;b)

確保數(shù)據(jù)鏈路的連通性,關(guān)閉無關(guān)的端口,同時(shí)設(shè)置固定IP地址對(duì)前置機(jī)數(shù)據(jù)庫的訪問;c)

有條件的信息主體將前置機(jī)與生產(chǎn)區(qū)隔離,網(wǎng)絡(luò)環(huán)境中添加網(wǎng)閘或者防火墻設(shè)備。6.2

信息資源提供安全技術(shù)要求信息資源提供方在提供信息資源時(shí)應(yīng)考慮:a)

信息資源提供方需停止提供已發(fā)布的共享信息資源時(shí),應(yīng)當(dāng)提供正當(dāng)理由說明并提前報(bào)信息資源共享交換平臺(tái)管理方備案;b)

信息資源提供方采用前置機(jī)提供信息資源時(shí),可采用首次全量,以后增量方式,保證生產(chǎn)庫信息資源量與前置機(jī)數(shù)據(jù)庫信息資源量一致,同時(shí)按照約定的周期定期查看信息資源是否推送到前置機(jī)數(shù)據(jù)庫;c)

信息資源提供方按照提交的信息資源對(duì)接要求從庫表結(jié)構(gòu)、信息資源抽取方式、信息資源更新方式保證信息資源推送的準(zhǔn)確、及時(shí)、完整;d)

業(yè)務(wù)生產(chǎn)庫表結(jié)構(gòu)與前置機(jī)數(shù)據(jù)庫表結(jié)構(gòu)的字段、字段類型、字段注釋保持一致;e)

信息資源提供方采用接口方式提供信息資源時(shí),應(yīng)采用身份鑒別、訪問權(quán)限控制、加密傳輸?shù)劝踩胧?;f)

信息資源提供方采用其他方式提供信息資源時(shí),不宜使用電子郵件傳輸;g)

信息資源提供方應(yīng)該配合信息資源共享交換平臺(tái)管理方解決信息資源共享過程中出現(xiàn)的問題。DB6301/

T

2—20207

信息資源使用方安全要求7.1

前置機(jī)網(wǎng)絡(luò)安全要求信息資源使用方的前置機(jī)的網(wǎng)絡(luò)安全應(yīng)遵循以下要求:a)信息資源使用方負(fù)責(zé)本單位信息資源共享交換前置機(jī)的安全;b)

確保數(shù)據(jù)鏈路的連通性,關(guān)閉無關(guān)的端口,同時(shí)設(shè)置固定IP地址對(duì)前置數(shù)據(jù)庫的訪問;c)

有條件的信息主體將前置機(jī)與生產(chǎn)區(qū)隔離,網(wǎng)絡(luò)環(huán)境中添加網(wǎng)閘或者防火墻設(shè)備。7.2

信息資源使用技術(shù)安全要求信息資

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論