生态环境监控系统建设规范 安全体系.docVIP

ICS35.020 L 01 DB32 江苏省地方标准 DB 32/ TXXXXX—XXXX 生态环境监控系统建设规范 安全体系 Specifications for construction of ecological environment monitoring system Security system XXXX-XX-XX发布 XXXX-XX-XX实施 江苏省质量技术监督局发布 目次 前言 III 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 通用安全要求 2 4.1 物理安全 2 4.2 网络安全 3 4.3 主机与数据库安全 4 4.4 安全审计 5 5 计算域安全要求 6 5.1 计算域的分类 6 5.2 互联网计算域 6 5.3 内联网计算域 9 6 边界安全要求 11 6.1 边界的划分 11 6.2 互联网出口边界 12 6.3 互联网服务器边界 13 6.4 互联网内联边界 13 6.5 内联网服务器边界 13 6.6 数据中心边界 13 6.7 外联网边界 13 7 系统建设安全要求 14 7.1 安全方案设计 14 7.2 产品采购和使用 14 7.3 自行软件开发 14 7.4 外包软件开发 14 7.5 工程实施 14 8 安全过程 15 8.1 流程图 15 8.2 安全策略 15 8.3 安全保护 16 8.4 安全检测 16 8.5 事件响应 16 8.6 系统恢复 17 9 常规安全管理 17 9.1 机房环境管理 17 9.2 资产管理 17 9.3 设备管理 17 9.4 安全事件管理 18 9.5 网络安全管理 18 9.6 系统安全管理 18 9.7 变更管理 18 10 安全产品使用 18 附　录　A （规范性附录） 信息安全策略表 20 附　录　B （规范性附录） 安全产品使用作用 22 前言 本标准按照GB/T 1.1—2009的规定编制。 本标准由江苏省环境保护厅提出并归口。 本标准起草单位：江苏省生态环境监控中心、江苏省标准化研究院、江苏天创科技有限公司。 本标准主要起草人：李军、刘珏、何春银、刘清、徐益强、许萌君、陈媛、徐洁、吴杰、寇晓芳。 生态环境监控系统建设规范 安全体系 范围 本标准规定了生态环境监控系统建设中通用安全要求、计算域安全要求、边界安全要求、系统建设安全要求、安全过程、常规安全管理和安全产品使用 。 本标准适用于生态环境监控系统建设中信息系统安全建设、安全运维、安全等级测评和风险评估等。 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 18336.1-2009　信息技术 安全技术 信息技术安全性评估准则 第1部分:简介和一般模型 GB/T 22239-2008　信息安全技术信息系统安全等级保护基本要求 GB/T 25069-2010　信息安全技术 术语 GB/Z 20986-2007　信息安全技术 信息安全事件分类分级指南 术语和定义 GB/T 18336.1-2009、GB/T 25069-2010界定的以及下列术语和定义适用于本文件。 信息系统 information system 由计算机、网络、及各种软件组成，在特定的工作平台上完成数据的传输、处理、查寻、存储等工作任务。 [GB/Z 20986-2007,定义2.1] 计算域 computational domain 由数据安全存储、传输和处理的计算环境组成的区域。 安全计算域根据应用安全需求划分，可以由单一安全计算机系统如安全数据服务器、安全终端计算机等组成，也可以由多个安全计算机系统经安全通信网络连接组成。 安全边界 safety limits 系统软件中不同区域间进行数据传输的关口。 内联网 intranet 支持各部门或机构进行业务处理和信息交流的网络信息系统。 数据计算域 data computing domain 提供数据处理、传输、存储的平台。 服务计算域 services computing domain 终端计算机提供信息录入、检索、发布等的服务平台。 终端计算域 terminal computing domain 使用信息系统的作用主体，向系统发出服务请求。 通用安全要求 物理安全 物理位置的选择 机房应选择在具有防震、防风和防雨等能力的建筑内。 机房场地不应设在建筑物的高层或地下室，以及用水设备的周边或隔壁。 机房不应设在有强电磁环境干扰、加油站等高危险场所的一公里以内。 物理访问控制 机房入口和重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员信息。 应对机房划分物理区域