标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
LS/T 1807-2017 粮食信息安全技术规范国家信息安全保护等级二级或二级以上标准,跨省或覆盖全省的粮食行政管理应用系统,应符合安全保 护等级三级标准
图1粮食信息安全框架
粮食信息系统的安全技术应符合GB/T22239、GB/T22240的通用要求外,还应满月 要求。
8.1.1办公场地改造的机房
针对收纳库、中心库等粮食企业从办公场地改建的机房JJF 1351-2012 扫描探针显微镜校准规范,至少应具备: a)机房和办公场地应具有防风、防雨的设计; b)空调水管安装不得穿过机房房项或活动地板下; c)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; d)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; 机房建筑应设置避雷装置; 供电电源应具有良好接地; g)应具有防盗窃、防破坏的监控报警装置和安全管理措施; h)机房应设置灭火器材; i)电源线和通信缆应隔离铺设,避免互相于扰
LS/T1807—2017
LS/T18072017
收储企业的备用电力供应,至少应满足收购业务在断电情况下的正常运行; k)应保持机房和办公场地的干净卫生,计算机设备灰尘较多时,应采取负压清理方式,灰尘较少 时,可采用普通清理方式; 1)配线架、服务器机架应有显著的标识; m)独立机房可配置电子门禁系统,控制、鉴别和记录进人的人员
8.1.2仓房外的强电、弱电机柜
包括但不限于: a)应有良好的防雨设计; b)应具有漏电、过载、短路保护装置; c 应对机柜内的线缆、开关或其他控制单元有显著的标识,通过标识,可追溯相关图纸、检修记 录、责任人等。
8.2.1库区网络布线
包括但不限于: a)粮库内网网络的综合布线宜采用光纤环网等可靠的网络链路; b)应在每个仓房门口设置一个信息节点; c)信息节点应安装在仓房外的防水防尘的弱电箱内
包括但不限于: a)与省级管理平台连接的企业,应有固定的IP地址; b)应绘制与当前运行情况相符的网络拓扑结构图; c)应保证接人网络和核心网络的带宽满足业务高峰期需要,如远程视频监管的需要; d)应根据业务类别、重要性和所涉及信息程度等因素,划分不同子网或网段,并按照方便管理和 控制的原则为各子网、网段分配地址段; e)重要网段不得直接连接外部信息系统,重要网段与其他网段之间应采取可靠的技术隔离手段。
包括但不限于: a)与省级管理平台连接的企业,应有固定的IP地址; b)应绘制与当前运行情况相符的网络拓扑结构图; c)应保证接人网络和核心网络的带宽满足业务高峰期需要,如远程视频监管的需要; d)应根据业务类别、重要性和所涉及信息程度等因素,划分不同子网或网段,并按照方便管理和 控制的原则为各子网、网段分配地址段; )重要网段不得直接连接外部信息系统,重要网段与其他网段之间应采敢可靠的技术隔离主段
a)应利用网闸、VPN、防火墙等技术确定外部边界,实现安全可靠的外部网络互联; b)应利用身份认证技术实现分层管理,将内部安全域的信息分等级划分,禁止低安全域的用户/ 业务非授权访问高安全域用户/业务; c)应具备网络性能保护机制,防止对网络资源的滥用,确保网络资源的合理使用; d)应具备网络接入认证的能力,确保只有授权的终端才能接入网络
a)应利用网闸、VPN、防火墙等技术确定外部边界,实现安全可靠的外部网络互联; b)应利用身份认证技术实现分层管理,将内部安全域的信息分等级划分,禁止低安全域的用户 业务非授权访问高安全域用户/业务; c)应具备网络性能保护机制,防止对网络资源的滥用,确保网络资源的合理使用; d)应具备网络接入认证的能力,确保只有授权的终端才能接入网络
应对网络系统中的网络设备运行状况、网络流量、用户行为进行审计。
应在网络边界防范端口扫描、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、网络螨虫等攻击
合GB/T22240的要求
包括但不限于: a)粮食企业的业务数据应至少保存一个储粮周期且不少于5年;相关政策有要求的,还应满足相 关政策文件要求; b)存储空间不足时,应逐步删除视频数据,保留业务数据; c)应具有本地的数据备份,在粮食轮换期应增加备份次数,备份介质应场地外存放; d)应加强备份介质的安全管理
包括但不限于: a)粮食信息系统应实现基于粮食行业PKI/CA数字证书体系的用户身份认证,并要求实现4A 的应用系统安全体系,确保本地应用系统的信息安全; b) 应根据人员的岗位职责,授予不同账户为完成各自承担任务所需的最小权限,并在他们之间形 成相互制约的关系; c)应及时删除或禁用多余账号、测试账号、过期账号,避免共享账号、过期账号的使用
9粮食专业领域安全技术
粮食物联网的设计和实施,除了应遵循一般的物理安全、主机安全、网络安全、数据安全和应用安全 的技术要求外,其安全性还应具有: a)感知节点应通过接口,通过身份认证和授权访问,确认其身份真实性和正确性,以及访问控制 的准确性后,才能接人到网络中; b)大型粮库、粮油加工企业或物流中心,可采用工业防火墙、网闸等设备对粮食业务管理网络和 工业控制网络进行逻辑隔离; 对于出入库数据录入数据的变更,不能以超级用户或其他高权限用户直接操作数据库修改,系 统应提供完整的变更流程,记录数据录入、审核、变更的全过程信息,并形成数据变更报表; d 应当遵循客观性原则,不得修改、伪造粮食物联网的原始采集数据; e) 粮食物联网系统应保留操作日志、访问日志,通过审计人员账户、访问时间、操作内容等日志信 息,追踪定位非授权访问行为; 系统日志应能记录设备的现场手动操作,与远程操作日志结合,形成完整的设备操作日志; g 粮食信息化技术支撑单位远程或本地进行系统升级时,应制定变更计划,明确变更时间、变更 内容、变更验证、变更责任人等事项,应对原有版本和当前版本软件、数据备份到物理介质,并 留有相关记录。
9.2.1云计算平台的使用范围
a)对于涉密的粮食信息系统,信息的处理、保存、传输、利用应按照国家保密法规执行,不得使用 政务云或其他公有云服务平台[GB/T31167一2014中的优先级确定]; b 涉及粮食信息敏感信息程度较多的信息系统或关键业务系统,可采用社区云或私有云计算平 台,也可按照传统方式自建系统运行; ) 交通偏远、网络通信条件差的基层收纳点,采用云计算平台,应确保网络中断后,还有备用的技 术手段和措施,完成各环节的信息采集和业务处理,不影响粮食收购业务。
9.2.2云计算的安全责任认定
粮食信息化平台迁入云计算 仍需承担云计算平台上的数据和业务的 最终安全责任[GB/T31167—2014
9.2.3云服务商的选择
包括但不限于: a)对于拟迁入云计算平台的系统,应对其信息和业务进行分析,按照信息的敏感程度和业务的重 要程度选择相应安全能力水平的云服务商; b 粮食云计算客户应通过合同明确云服务商的责任和义务,强调客户对数据和业务系统运行状 态的知情权;应要求云计算平台提供必要的监管接口和日志查询功能,建立有效的审查、检查 机制,实现对云计算服务的有效监管。
9.2.4云计算平台客户端的安全要求
9.2.5云平台的安全威胁
包括但不限于: a)粮食云服务环境下,需具备应对处理传统信息安全威胁的技术手段和措施,包括主机安全威 胁、网络安全威胁、以及应用安全威胁; b) 应处理虚拟化带来的新的安全威胁,包括虚拟化平台、虚拟机与虚拟机的网络管理、租户与租 户之间的安全隔离; C 云计算模式下,云计算的设施层(物理环境)、硬件层(物理设备)、资源抽象层和控制层都处于 云服务商的完全控制之下,所有安全设施由云服务商承担,对其安全性要求,应按照 GB/T31168一2014执行。应用软件层、软件平台层的安全保障措施,和传统信息安全保障措 施相同。
移动互联网应用带来的安全风险,应从移动终端安全、移动应用安全、敏感信息防泄漏等方面防范
9.3.1移动终端安全
应对涉粮的移动终端进行全生命周期管理,其安全性要求如下: a)对移动终端的系统功能进行限制:
9.3.2移动应用安全
9.3.3终端敏感信息防泄漏
对于协同办公、仓储业务管理、库存监管、行政执法类的移动应用,应加强对敏感文档的内容泄 露防护,包括文档内容加密及安全传送; 设备离开指定的地理区域后限制文档访问; 限制文档保存、复制、编辑、打印等操作; d 限制第三方应用浏览文档内容;通过实时同步及安全共享提高协作效率; e)对后台任务列表中的预览界面应采取模糊或其他防护措施; 敏感信息的存储应进行加密或不可逆变换,密码算法应采用官方发布SDK中自带算法库,如 使用第三方算法库,应对其安全性进行验证,密码算法应符合国家密码管理局的相关要求; 有条件的情况下,可采取数字签名技术。
包括但不限于: a)粮食信息系统应采用电子认证服务,以实现各个业务系统中的身份认证、完整性、保密性,抗抵 赖等安全要求; b)粮食行政管理部门应该以省为最小单位,选择粮食CA或者其他具有《电子认证服务许可证》 的电子认证服务机构提供电子认证服务; c) 为粮食信息系统提供电子认证服务的提供商需接入国家根CA,与之构成完整可信证书链
9.4.2电子认证的应用范围
包括但不限于: a)库存监管系统; b)地磅码单的电子签章系统; c)各项统计系统; d)各级储备粮管理系统
9.4.3电子认证服务要求
包括但不限于: 电子认证服务机构应结合粮食信息系统外部用户和内部用户的实际需求,提供证书申请、证书 发放、证书更新、证书吊销、证书解锁、密钥恢复和证书查询等证书业务服务和相关技术支持 服务; b) 电子认证服务机构在粮食信息系统开展服务时,应制定针对粮食CA管理平台的数据同步接 口,实现数字证书和黑名单的同步上传。
9.4.4证书格式和载体要求
应对粮食敏感信息进行加密,实现信息离网后不可解读,确保粮食敏感信息在获取、传输、处理和应 用过程中安全。
9.5.1存储和传输过程加密
包括但不限于: a)数据源中含有敏感信息的原始文件,应进行文件级加密,加密完成后传输给数据系统; b) 客户识别信息人库时,对涉及的敏感字段应进行字段级的加密处理,密码算法应符合国家密码 管理局的相关规定; C) 客户识别信息在数据系统内应独立加密存储,不另存副本,任何数据加工都应在数据系统内完 成。对敏感信息的任何数据操作应留有日志记录; d)敏感信息的网络传输,应采用电子认证技术,防范传输过程中的截获、算改,
9.5.2粮食敏感信息模糊化
LS/T 18072017
粮食信息网络安全应遵循GB/T22239、GB/T22240的要求进行建设,应全面覆盖相应级别的网 络安全的控制项要求。
9.6.1内部局域网与互联网的边界安全
a)应部署逻辑隔离措施DGJ 08-104-2004 城市轨道交通无线通信系统技术规范,主要是防火墙隔离; b)粮食行政管理部门与粮食企业之间的数据访问应通过虚拟专用网络(VPN);对于漫游用户, 或远程技术支持,均应通过采用VPN技术访问相应的内部网络; 省级平台与粮食企业之间的VPN设备,应采用相同的安全协议,并经过连通性测试; d)有条件的情况下,建议采用基于国密算法的VPN设备; e 粮食信息可以设置用户网络准入控制,网络准人控制方式宜采用中心集中认证方式;禁止访问 与其不相关的应用和业务服务; 允许局域网用户访问互联网相关服务器的对外开放服务; g)应通过CA认证体系,实现基于角色的访问控制
9.6.3电子政务外网和互联网的边界安全
应符合电子政务外网的相关规定要求。
应符合电子政务外网的相关规定要求。
9.6.4电子政务内网的边界安全
包括但不限于: a)电子政务内网为涉密网络,必须与公共信息网络实行物理隔离; b)电子政务内网与其他网络的数据交换,参考国家电子内网的相关标准和规定; c)对于要进行电子政务内网与电子政务外网数据交换的个别需求,可以在有数据交换的涉密网 络边界部署物理隔离产品实现数据交换,相关隔离产品应按照“一事一议”的原则,向相关部门 申请,批准后方能使用,
包括但不限于: a)电子政务内网为涉密网络,必须与公共信息网络实行物理隔离; b)电子政务内网与其他网络的数据交换,参考国家电子内网的相关标准和规定; c)对于要进行电子政务内网与电子政务外网数据交换的个别需求,可以在有数据交换的涉密网 络边界部署物理隔离产品实现数据交换HG/T 2050-2013 搪玻璃设备 垫片,相关隔离产品应按照“一事一议”的原则,向相关部门 申请,批准后方能使用,