LS_T 1807-2017粮食信息安全技术规范.pdf

ICS 35.240.99B 20LS中华人民共和国粮食行业标准LS/T食信息安全技术规范Sccurity specificationfor grain information system2017-03-10发布2017-06-01实施国家粮食局发布 LS/T次前言1范围2规范性引用文件3术语和定义5信息安全保护对象总体要求7安全管理8安全技术6粮食专业领域安全技术参考文献10 LS/T 180720179.4电子认证9.4.1基本要求包括但不限于：a)粮食信息系统应采用电子认证服务，以实现各个业务系统中的身份认证、完整性、保密性，抗抵费等安全要求；b)粮食行政管理部门应该以省为最小单位，选择稳食CA或者其他具有《电子认证服务许可证》的电子认证服务机构提供电子认证服务；c为粮食信息系统提供电子认证服务的提俱商需接入国家根CA，与之构成完整可信证书链。9.4.2电子认证的应用范围包括但不限于：a)库存监管系统：b) 地磅码单的电子签章系统；各项统计系统：d)各级储备粮管理系统。9.4.3电子认证服务要求包括但不限于：8)发放、证书更新、证书吊销、证书解锁、密钥恢复和证书查询等证书业务服务和相关投术支持服务；b)电子认证服务机构在粮食信息系统开展服务时，应制定针对稳食CA管理平台的数据同步楼口，实现数字证书和熙名单的同步上传。9.4.4证书格式和载体要求电子认证服务机构发放的数字证书格式、证书介质应符合GB/T20518相关要求。9.5数据加密应对编食敏感信息进行加署，实现信息离网后不可解读，确保粮食敏感信息在获取、传输、处理和应用过程中安全。9.5.1存储和传输过程加密包括但不限于：a)数据源中含有敏感信息的原始文件，应进行文件级加密，加密完成后传输给数据系统；客户识别信息人库时，对涉及的敏感字段应进行字段级的加器处理，器码算法应符合国家密码管理局的相关规定；(3客户识别信息在数摄系统内应独立加密存储，不另存副本，任何数据加工都应在数据系规内完成。对敏感信息的任何数据操作应留有日志记录敏感信息的网络传输，成采用电予认证技术，防范传编过程中的截获、甚改，9.5.2粮食敏感信息模糊化包括但不限于：8 LS/T 180720178）对确实需要客户识别数据的需求，如售粮人银行卡号身份证号等信息，除支付环节或对账环节外，其他场景的使用应进行客户识别信息模榜化；b）模糊化处理建议对部分数字用字母X替代.9.6边界安全粮食信息网络安全应遵循CB/T22239、GB/T22240的要求进行建设，应全面覆盖相应级别的网络安全的控制项要求，9.6.1内部局域网与互联网的边界安全包括但不限于：a)应部署逻辑隔离措施，主要是防火墙隔离；稳食行政管理部门与粮食企业之闻的数据访间应通过虚报专用网络（VPN)：对手没游用户，或远程技术支持，均应通过采用VPN技术访同相应的内部网络；d）有条件的情况下，建议采用基于国密算法的VPN设备；e)检食信息可以设置用户网络准入控制，网络准入控制力式宜采用中心集中认证方式；禁止访问与其不相关的应用和业务服务；(允许局域网用户访间互联网相关服务器的对外开效服务；g)应通过CA认证体系，实现基于角色的访间控制。9.6.2企业业务管理网络和工业控制网络的边界安全包括但不限于：业务管理网络与1业控制网络的数据交换，大型企业可以通过网间实现，一般企业应采用防火境进行逻辑隔高；用于内部安全访问控制的防火增可以和互联网边界的防火墙共用：b)对于控制粮库出人库作业、通风、用电等工业控制系统，应严格禁止面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务，确保系统只能在粮库内部局坡网范图内使用；c)前端的隔离网闸应对Mudbus、S7、Ethernet/IP、OPC等主流工业协议进行深度分析和过滤的防护设备，阻断不符合协议标准结构的数据包、不符合业务要求的数据内容；(P其关键业务数据，如工艺参数、配置文件、控制指令、运行采集的数据、日志等，应定期备份。9.6.3电子政务外网和互联网的边界安全应符合电子政务外网的相关规定要求。9.6.4电子政务内网的边界安全包括但不限于：a）电了政务内网为涉密网络，必须与公共信息网络实行物理隔高，b)电子收务内网与其他网络的数据交换，套考国家电子内网的相关标准和规定；c)对于要进行电子政务内网与电子政务外网数据交换的个别需求，可以在有数据交换的涉密网络边界部署物理隔离产品实现数据交换，相关隔离产品应按照“一事一议的原则，向相关部门中请，批准后方能使用。9 LS/T考文献[1]GB17859—1999计算机信息系统安全保护等级划分准则[2］GB/T18336—2001/ISO/IEC15408—1999信息技术安全性评估准则[3