GB∕ T 40640.2-2021 化學(xué)品管理信息化 第2部分：信息安全（正式版）

國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會IGB/T40640.2—2021本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。——第3部分：電子標(biāo)簽應(yīng)用；——第4部分：化學(xué)品定位系統(tǒng)通用規(guī)范；——第5部分：化學(xué)品數(shù)據(jù)中心。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國危險化學(xué)品管理標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC251)提出并歸口。廢物與化學(xué)品管理技術(shù)中心。GB/T40640.2—2021信息化是實現(xiàn)化學(xué)品管理現(xiàn)代化的重要手段。隨著物聯(lián)網(wǎng)及大數(shù)據(jù)應(yīng)用技術(shù)的發(fā)展，現(xiàn)代信息技術(shù)的應(yīng)用為提升管理效率、促進信息共享、消除管理盲區(qū)、有效遏制化學(xué)品事故發(fā)生提供了技術(shù)支撐。在這方面，我國已經(jīng)建立了化學(xué)品管理信息化的國家標(biāo)準(zhǔn)體系。在該標(biāo)準(zhǔn)體系中，GB/T40640《化學(xué)品管理信息化》是規(guī)范我國相關(guān)機構(gòu)從事化學(xué)品管理信息化系統(tǒng)建設(shè)開發(fā)活動時的方法和依據(jù)，擬由五部分構(gòu)成，目的在于確立實施化學(xué)品管理信息數(shù)據(jù)交換、維護信息安全、電子標(biāo)簽應(yīng)用、定位系統(tǒng)應(yīng)用以及化學(xué)品數(shù)據(jù)中心建設(shè)時的方法和依據(jù)。——第1部分：數(shù)據(jù)交換；——第2部分：信息安全； 第3部分：電子標(biāo)簽應(yīng)用：——第4部分：化學(xué)品定位系統(tǒng)通用規(guī)范； 第5部分：化學(xué)品數(shù)據(jù)中心。本文件是GB/T40640《化學(xué)品管理信息化》的第2部分。信息安全是實現(xiàn)管理信息化的基礎(chǔ)，有效生不利影響。本次制定對化學(xué)品管理信息化有關(guān)的信息安全要求進行了詳細的規(guī)定，以更好的規(guī)范和促進化學(xué)品管理信息化系統(tǒng)相關(guān)建設(shè)。1GB/T40640.2—2021化學(xué)品管理信息化第2部分：信息安全本文件規(guī)定了化學(xué)品管理信息化信息安全的基本要求和技術(shù)要求。本文件適用于化學(xué)品管理信息化的信息安全管理。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文GB/T2887計算機場地通用規(guī)范GB/T5271.8信息技術(shù)詞匯第8部分：安全GB17859計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則20269信息安全技術(shù)信息系統(tǒng)安全管理要求20270信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求21052信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求22080信息技術(shù)安全技術(shù)信息安全管理體系要求22240信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南信息安全技術(shù)信息安全服務(wù)分類3術(shù)語和定義3.13.2GB/T5271.8、GB17859界定的以及下列術(shù)語和定義適用于本文件。訪問控制accesscontrol由系統(tǒng)創(chuàng)建的包含登錄進程返回的安全標(biāo)識符和由本地安全策略分配給用戶和用戶的安全組的特4基本要求化學(xué)品信息管理系統(tǒng)的信息安全等級，其安全要求應(yīng)不低于對應(yīng)安全等級應(yīng)符合GB17859和2GB/T40640.2—20214.1.3靜態(tài)安全目標(biāo)保證系統(tǒng)實體平臺安全，應(yīng)包括整個系統(tǒng)的物理環(huán)境、系統(tǒng)軟硬件結(jié)構(gòu)和可用的素質(zhì)。4.2安全體系信息安全體系應(yīng)包括：4.3.1化學(xué)品信息管理系統(tǒng)和監(jiān)管平臺應(yīng)建立一套完善的安全管理方案，并貫穿信息安全的各層次，包括安全制度管理和安全目標(biāo)管理。方面加強安全制度管理。并根據(jù)資源重要程度確定安全等級和安全管理范圍。4.3.4應(yīng)按照GB/T20269和GB/T22080的要求，安排專門人員負責(zé)以保證安全管理制度實施。4.4.1安全服務(wù)應(yīng)包括安全咨詢、安全工程實施、安全技術(shù)培訓(xùn)和安全維護，應(yīng)符合GB/T30283的4.4.2信息安全不是安全產(chǎn)品的簡單集合，而是一項系統(tǒng)工程并有其專業(yè)體系，應(yīng)采用先進科學(xué)的知4.4.3信息安全系統(tǒng)存在固有弱點，即使最微小的安全漏洞都可能引發(fā)整個網(wǎng)絡(luò)系統(tǒng)的崩潰。且系統(tǒng)5技術(shù)要求3GB/T40640.2—20215.1.2環(huán)境安全應(yīng)符合GB/T2887的要求，物理安全應(yīng)符合GB/T21052的要求。網(wǎng)絡(luò)安全應(yīng)符合GB/T20270的要求。息系統(tǒng)的網(wǎng)絡(luò)安全。息流量突變時應(yīng)能在有效時間內(nèi)進行切換分配。網(wǎng)絡(luò)或信息媒介不能相互訪問。應(yīng)針對應(yīng)用系統(tǒng)特點和化學(xué)品信息的特征采取相應(yīng)的隔離措施。c)應(yīng)用層加密應(yīng)根據(jù)實際業(yè)務(wù)的應(yīng)對處理、傳輸和存儲的數(shù)據(jù)采取多種加密算法進行加密保護。4GB/T40640.2—2021漏洞信息形成詳細報告，包括位置、詳細描述和建議的改進方案，有效檢測和管理安全風(fēng)險信息。5.3軟件平臺安全5.3.1影響軟件平臺安全性的因素主要包含操作系統(tǒng)安全漏洞和病毒。5.3.2在操作系統(tǒng)安裝的時候應(yīng)使用平臺軟件廠商提供的安全漏洞掃描工具進行漏洞掃描；在新漏洞信息發(fā)布的時候，應(yīng)利用軟件平臺廠商提供的更新服務(wù)安裝相應(yīng)的漏洞補丁，即時保障系統(tǒng)安全。5.3.3應(yīng)采取專業(yè)的防病毒解決方案，實現(xiàn)從網(wǎng)絡(luò)、服務(wù)器、客戶機三個方面的立體防范。對于重大的安全漏洞和病毒，應(yīng)及時向統(tǒng)管理員發(fā)出安全警告信并提供相應(yīng)應(yīng)對措施。5.4應(yīng)用系統(tǒng)安全5.4.1應(yīng)用系統(tǒng)安全設(shè)計原則系統(tǒng)設(shè)計應(yīng)實現(xiàn)基于角色的權(quán)限控制，用戶只能進行與當(dāng)前身份角色相應(yīng)的操作和訪問權(quán)限范圍內(nèi)的數(shù)據(jù)。對于沒有授權(quán)的操作和數(shù)據(jù)，用戶無法執(zhí)行和訪問。對于用戶進行的每一個操作，系統(tǒng)應(yīng)對用戶當(dāng)前身份和權(quán)限進行確認，并對用戶每次提交的數(shù)據(jù)進行完整性和合法性校驗。5.4.1.3.1應(yīng)實現(xiàn)管理工作的分級管理，系統(tǒng)管理員負責(zé)所管理系統(tǒng)的整體系統(tǒng)管理、版本管理等工作；實際業(yè)務(wù)管理員負責(zé)其他業(yè)務(wù)系統(tǒng)的管理。5.4.1.3.2應(yīng)實現(xiàn)對涉及實際業(yè)務(wù)的系統(tǒng)功能的分級控制，普通用戶具有普通的操作權(quán)限；高級用戶在普通用戶所有操作權(quán)限的基礎(chǔ)上，具有其他高級操作功能權(quán)限。5.4.1.4安全跟蹤5.4.1.4.1系統(tǒng)應(yīng)具有安全跟蹤和告警框架，保證與安全相關(guān)事件的跟蹤。5.4.1.4.2在安全事件發(fā)生時，對于符合一定策略的事件應(yīng)能夠自動預(yù)警，以系統(tǒng)預(yù)定的方式提示相應(yīng)人員，并采取措施實現(xiàn)系統(tǒng)資源的自我保護。5.4.1.4.3應(yīng)能夠記錄發(fā)生的安全事件，宜對記錄的安全事件提供審計和分析功能。5.4.2組織結(jié)構(gòu)與角色管理5.4.2.1系統(tǒng)權(quán)限宜依據(jù)角色進行分級劃分，保證適當(dāng)?shù)挠脩粼L問到適當(dāng)?shù)馁Y源和操作。用戶只能進行和當(dāng)前身份角色相應(yīng)的操作和訪問權(quán)限范圍內(nèi)的數(shù)據(jù)。對于沒有授權(quán)的操作和數(shù)據(jù)，用戶無法執(zhí)行和訪問。5.4.2.2基于角色的權(quán)限管理應(yīng)做到完整的獨立于應(yīng)用、基于實際組織結(jié)構(gòu)的管理功能以及具有靈活的管理方式和高可維護性。系統(tǒng)應(yīng)支持集中式管理或分級管理。注：集中式管理，即由一個管理員負責(zé)所有組織結(jié)構(gòu)、角色管理。分級管理，即僅由系統(tǒng)管理員管理部門創(chuàng)建和其他應(yīng)集中管理的功能，其他部分則由具體部門管理員進行管理。5.4.2.3統(tǒng)一的組織和角色管理應(yīng)與組織結(jié)構(gòu)形成直接對應(yīng)關(guān)系，其主要功能包括：a)單位部門管理；b)統(tǒng)一添加刪除維護單位信息；5GB/T40640.2—2021c)設(shè)置部門間的上下級關(guān)系和同級部門間排序；d)職能管理；g)設(shè)置各單位的角色(崗位);h)設(shè)置角色(崗位)與用戶的關(guān)聯(lián)關(guān)系；i)設(shè)置角色(崗位)相關(guān)工作職能范圍介紹。設(shè)計目標(biāo)應(yīng)包括以下內(nèi)容：a)登錄賬戶管理及個人信息管理；b)賬戶的添加維護、登錄認證以及多個應(yīng)用系統(tǒng)間訪問的一次登錄；d)靈活的管理方式和高可維護性。圖1給出了統(tǒng)一認證與授權(quán)服務(wù)管理結(jié)構(gòu)，包括以下內(nèi)容：接口，系統(tǒng)授權(quán)支持基于角色的授權(quán)模型、存取控制列表(ACL)方式以及自定義授權(quán)模型多e)資源服務(wù)，對系統(tǒng)中的功能和應(yīng)經(jīng)過驗證才能訪問的事物提供統(tǒng)一的注冊登記服務(wù)。未經(jīng)過統(tǒng)一認證統(tǒng)一認證個性化-驗證管理組織結(jié)構(gòu)應(yīng)用程序中計Database資源授權(quán)圖1認證管理服務(wù)結(jié)構(gòu)圖6GB/T40640.2—20215.4.4一次登錄應(yīng)采用統(tǒng)一的認證授權(quán)模塊，以支持一點登錄多個子系統(tǒng)訪問的功能。多個應(yīng)用系統(tǒng)間一次登錄指用戶訪問不同域名(虛擬目錄)應(yīng)用，只應(yīng)登錄一次。圖2給出了一次登錄實現(xiàn)原理。應(yīng)用1應(yīng)用1000569讀取CookieJ令牌827應(yīng)用21——用戶請求訪問應(yīng)用1的內(nèi)容；2——應(yīng)用1無法驗證用戶，應(yīng)向登錄認證服務(wù)請求驗證用戶；5——登錄認證服務(wù)向應(yīng)用1傳遞用戶登錄成功的信息6——應(yīng)用1向用戶輸出用戶要訪問的信息；7——用戶請求訪問應(yīng)用2的內(nèi)容；8——應(yīng)用2無法辨別用戶身份，應(yīng)向登錄認證服務(wù)請求驗證用戶；9——登錄認證服務(wù)讀取用戶本地的Cookie,獲取用戶身份令牌；10——登錄認證服務(wù)向應(yīng)用2傳遞用戶登錄成功的信息11應(yīng)用2向用戶輸入用戶要訪問的信息。圖