DB43T 2570-2023 林業(yè)信息化安全規(guī)范　

43I 2 2 8 9 本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》12規(guī)范性引用文件GB/T18019信息技術(shù)包過濾防火墻安全技術(shù)GB/T18020信息技術(shù)應用級防火墻安全技術(shù)GB/T18794.3信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架第3部分：訪問控制框架GB/T20269信息安全技術(shù)信息系統(tǒng)安全管理要求GB/T20275信息安全技術(shù)入侵檢測系統(tǒng)技術(shù)要求和測試GB/T20281信息安全技術(shù)防火墻技術(shù)要求和測試評價GB/T20282信息安全技術(shù)信息系統(tǒng)安全工程管理要求GB/T20988信息安全技術(shù)信息系統(tǒng)災難恢復規(guī)范GB/T20984信息安全技術(shù)信息安全風險評估規(guī)范GB/T22239信息安全技術(shù)網(wǎng)絡安全等級保護基本GB/T35273信息安全技術(shù)個人信息安全規(guī)范GB/T25069、GB/T35273界定的以3.13.23.324物理安全人員出入機房應安排專人負責、控制、鑒別4.2防雷4.3防火4.4防水4.5防塵4.7溫濕度控制機房應設置必要的溫、濕度控制設施。溫濕度控制應符合GB/T2887的要求?？諝庹{(diào)節(jié)應符合GB/T應保證關鍵網(wǎng)絡設備的業(yè)務處理能力滿足業(yè)務a)基于狀態(tài)檢測的分組過濾；b)多級的立體訪問控制機制；3c)面向?qū)ο蟮墓芾頇C制；d)支持多種連接方式，透明路由；e)雙向的地址轉(zhuǎn)換能力；g)一次性口令認證機制；5.3入侵檢測安全技術(shù)d)檢測和掃描行為不能影響正常的網(wǎng)絡連接服務和網(wǎng)絡的效率；h)能夠檢測出包括DDoS攻擊、暴力破解、Web攻擊、后門木馬、僵尸主機5.5訪問控制林業(yè)數(shù)據(jù)分級應符合GB/T22239的要求，遵4對林業(yè)數(shù)據(jù)分級時充分考慮數(shù)據(jù)的敏感性來確定林業(yè)數(shù)據(jù)的級別。第三級（高敏感發(fā)生安全事件后對影響對象6.2數(shù)據(jù)安全管理要求第二級和第三級數(shù)據(jù)應符合GB/T2223應配備數(shù)據(jù)安全崗位人員，明確各崗位工作職責，細化日常√√應明確單位各部門人員的安全責任，建立數(shù)據(jù)√√應定期針對數(shù)據(jù)安全崗位人員開展數(shù)據(jù)安全培訓，培訓內(nèi)√√應定期針對所有崗位人員開展數(shù)據(jù)安全培訓，培訓內(nèi)容應考√√√√5應對數(shù)據(jù)相關崗位人員選用進行背景、資質(zhì)審查、技能考核√√√√√節(jié)的工作，管控可能存在的數(shù)據(jù)安全風險。制度流程管應明確各級數(shù)據(jù)安全管理范圍，制定符合業(yè)務戰(zhàn)略的，√√應依據(jù)國家和湖南省關于數(shù)據(jù)安全的要求，制定數(shù)據(jù)安據(jù)采集、傳輸存儲、加工、共享、開放、銷毀各環(huán)√√開展合規(guī)管理，應持續(xù)識別法律法規(guī)并轉(zhuǎn)化為數(shù)據(jù)安全√應制定數(shù)據(jù)安全的管理流程，考慮數(shù)據(jù)分級、數(shù)據(jù)共享√√√√√√√在組織架構(gòu)、技術(shù)架構(gòu)或者業(yè)務服務發(fā)生重大變化時，應√應明確數(shù)據(jù)采集原則、目的與用途、范圍與方式、周期√√應對數(shù)據(jù)源、數(shù)據(jù)采集的環(huán)境、設施、技術(shù)采取必要√√應采用滿足數(shù)據(jù)傳輸安全策略的安全控制措施，如安全√√應提供數(shù)據(jù)備份與恢復功能，考慮數(shù)據(jù)存儲√√√√6應實施數(shù)據(jù)用戶身份標識與鑒別、數(shù)據(jù)訪問控√√√√應依據(jù)數(shù)據(jù)使用目的建立訪問控制機制，限定用戶可訪√√應具備數(shù)據(jù)脫敏支持工具或服務組件，根據(jù)需要√√√√√應對數(shù)據(jù)共享過程記錄日志，及時清除共享√√√√應采用數(shù)據(jù)加密、安全通道等安全措施保護數(shù)據(jù)√涉及個人信息的數(shù)據(jù)開放內(nèi)容，應根據(jù)業(yè)務對個人信√√應具備對異?；蚋唢L險數(shù)據(jù)訪問行為的智能√采用可靠技術(shù)手段及時銷毀符合銷毀條件的數(shù)據(jù)，√√應通過規(guī)范運營管控工作，控制日常數(shù)據(jù)安全風與審計、數(shù)據(jù)安全風險評估、數(shù)據(jù)安全事件與應急管理，運√√√√應對存量或新采集的數(shù)據(jù)進行分級，將數(shù)據(jù)√√√√應按照業(yè)務需求和安全策略為用戶配置合理的數(shù)據(jù)權(quán)限√√√√√√√√應嚴格執(zhí)行數(shù)據(jù)重要操作（如批量修改、拷貝、下載等√√√應建立數(shù)據(jù)安全監(jiān)審機制，對系統(tǒng)日志進行分析，及時√√應對系統(tǒng)日志進行統(tǒng)一收集與關聯(lián)分析，對數(shù)據(jù)安√7估應定期開展數(shù)據(jù)安全風險評估，評估的內(nèi)容考慮數(shù)據(jù)平√√√√宜制定數(shù)據(jù)安全應急預案，明確數(shù)據(jù)安全事件（√√宜向相關人員培訓數(shù)據(jù)安全應急預案，并定期開√√6.3數(shù)據(jù)完整性應利用先進的技術(shù)手段或工具檢測重要用戶數(shù)據(jù)在傳輸過程中完整性是否受到破6.4備份和恢復a)應符合GB/T20988的要求制定災難恢c)應依據(jù)業(yè)務安全目標要求，制定數(shù)據(jù)備份措施，并及時根據(jù)業(yè)務需求更新備份措施。d)應定期組織數(shù)據(jù)恢復測試，每年對備份數(shù)據(jù)至少進行一次抽樣性恢復測試。應用系統(tǒng)安全設計應符合GB/T22239的要求，根據(jù)業(yè)務軟件設計要求，進行網(wǎng)絡安全等級保護。7.2身份認證b)應設計密碼的存儲和傳輸安全策略；c)應設計密碼使用安全策略；e)應設計賬號鎖定功能限制連續(xù)失敗登錄；f)應根據(jù)系統(tǒng)設計限制重復登陸賬號；g)對提供單點登錄的分布式業(yè)務軟件系統(tǒng)的用戶應提供單點標識，且單點標識應具有與常規(guī)標7.3權(quán)限控制8度應根據(jù)業(yè)務軟件系統(tǒng)的角色和功能分類進行限制。7.5通信安全的外鏈業(yè)務應使用反向代理進行訪問；Web和數(shù)據(jù)庫服務器建立連接訪問，應使用內(nèi)網(wǎng)域名進行訪問，7.6容錯設計7.7數(shù)據(jù)庫安全d)應按照已確定的安全等級對已建成的信息系統(tǒng)定期進行風險評估和等級測評，符合GB/T99人員安全管理他