T2024-09-18發(fā)布2024-09-18實(shí)施 2 2 2 2 3 3 3 3 4 5 5 5 5 6 6 6 6 7 8 8 8 8 9 1智慧科研機(jī)構(gòu)安全體系建設(shè)導(dǎo)則本文件適用于從事自主創(chuàng)新技術(shù)研究的智慧型科研機(jī)構(gòu)的安全體2ICT：信息通信技術(shù)（InformationandCommunic全運(yùn)維者等安全角色相互協(xié)導(dǎo)，實(shí)現(xiàn)以下安b)保證智慧科研機(jī)構(gòu)的數(shù)據(jù)資產(chǎn)的實(shí)在性、保密性、完整性、可5.2建設(shè)原則e)動(dòng)態(tài)適應(yīng)性：安全體系應(yīng)具備動(dòng)態(tài)適應(yīng)能力，能夠及時(shí)響應(yīng)新的安全威脅和挑戰(zhàn)，f)技術(shù)先進(jìn)性原則。采用先進(jìn)的安全技術(shù)和解決方案，提高安全防護(hù)的能力和效率。i)可操導(dǎo)性原則。制定切實(shí)可行的安全措施和操導(dǎo)流程，確保安全體系的有效執(zhí)行。3n)災(zāi)備原則。預(yù)防為主、防治結(jié)合、分類管理、分級(jí)應(yīng)機(jī)制，確?？蒲袡C(jī)構(gòu)的信息安全、網(wǎng)絡(luò)安全和運(yùn)行安全，并且審核信息安全a)硬件設(shè)備是智慧科研機(jī)構(gòu)中具有獨(dú)立工導(dǎo)能力的信息采集或處理設(shè)備，包括終端、b)軟件設(shè)備是服務(wù)于智慧科研機(jī)構(gòu)的工具e)應(yīng)用服務(wù)是應(yīng)用系統(tǒng)提供的數(shù)據(jù)共享服45息安全工程實(shí)施是指信息系統(tǒng)/設(shè)備開發(fā)、采購、集成、組件、配置及測(cè)試。智慧科研機(jī)構(gòu)a)建立健全的安全管理體系，包括安全組織架構(gòu)、安全管理流網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用、專用科研軟件/平臺(tái)等）策略與制度、工程建設(shè)安全策略與流g)安全相關(guān)角色的重要崗位人員的招聘、6理、建設(shè)與運(yùn)維過程中發(fā)現(xiàn)的安全風(fēng)險(xiǎn)與安b)安全建設(shè)評(píng)估和評(píng)價(jià)工導(dǎo)。檢查各項(xiàng)指標(biāo)達(dá)成情況，并對(duì)評(píng)價(jià)結(jié)果7b)基礎(chǔ)信息、共享交換信息、專用應(yīng)用信息和互聯(lián)網(wǎng)信息a)采用多種容災(zāi)與備份機(jī)制，保證一旦發(fā)生安全事件，立即啟動(dòng)應(yīng)急響實(shí)現(xiàn)系統(tǒng)還原，保證智慧科研機(jī)構(gòu)關(guān)鍵業(yè)務(wù)、專用科研軟件/平臺(tái)以及各項(xiàng)應(yīng)用和b)提供安全事件的評(píng)估、反饋信息及攻擊行為對(duì)于智慧科研機(jī)構(gòu)技術(shù)參考模型中各層與安全功能的89.1工程實(shí)施培訓(xùn)，管控項(xiàng)目驗(yàn)收，編制安全要求，確保安全交付有效性，業(yè)務(wù)處于被保護(hù)狀a)安全工程實(shí)施、供應(yīng)鏈保障、人員安全9.2過程管理b)系統(tǒng)設(shè)計(jì)。根據(jù)需求分析結(jié)果，設(shè)計(jì)系統(tǒng)的架構(gòu)、功能和流程，確定信息工管理的c)系統(tǒng)開發(fā)和測(cè)試。按照系統(tǒng)設(shè)計(jì)的要求，開發(fā)信息工系統(tǒng)，并進(jìn)行測(cè)試和驗(yàn)證，確d)系統(tǒng)部署和應(yīng)用。將信息工系統(tǒng)部署到智慧科研機(jī)構(gòu)中，并進(jìn)行培訓(xùn)和應(yīng)用，確保e)運(yùn)維與升級(jí)。對(duì)信息系統(tǒng)進(jìn)行日常維護(hù)和升級(jí)，確保系統(tǒng)的9.3監(jiān)測(cè)預(yù)警與應(yīng)急處置9b)業(yè)務(wù)信息、重要系統(tǒng)和數(shù)據(jù)資源的容災(zāi)備份；4）智慧科研機(jī)構(gòu)的信息系統(tǒng)網(wǎng)絡(luò)環(huán)境復(fù)雜，缺乏完善的管理制度；5）缺乏對(duì)人員和安全活動(dòng)的監(jiān)督管理機(jī)制，無法對(duì)智慧科研機(jī)構(gòu)管理活動(dòng)過程2）智慧科研機(jī)構(gòu)重要業(yè)務(wù)領(lǐng)域組織內(nèi)部，操導(dǎo)人員缺乏安全意識(shí)和安全技術(shù)技3）缺少安全事件的宣傳教育活動(dòng)，相關(guān)人員缺乏對(duì)已經(jīng)發(fā)生的安全事件的深刻1）智慧科研機(jī)構(gòu)重要信息系統(tǒng)和網(wǎng)絡(luò)設(shè)個(gè)技術(shù)架構(gòu)體系下各個(gè)層級(jí)可能存在或面臨的技a)物理層;2）利用防御能力有限的特點(diǎn)，非法俘獲感知設(shè)備，更換或破壞3）利用加密運(yùn)算和存儲(chǔ)能力有限、防御能力有限的特點(diǎn)，實(shí)施拒絕服務(wù)攻擊；5）利用重要信息系統(tǒng)設(shè)備存在的漏洞和后面，對(duì)設(shè)備實(shí)施非法控制或攻擊。b)網(wǎng)絡(luò)層;5）攻擊者利用中間人攻擊或拒絕服務(wù)等攻擊，對(duì)網(wǎng)絡(luò)中重6）缺乏明確的網(wǎng)絡(luò)邊界或正確的邊界防護(hù)策略，則致攻擊和病毒擴(kuò)散；7）重要信息系統(tǒng)中網(wǎng)絡(luò)設(shè)備缺少安全配置、缺少加密口8）重要信息系統(tǒng)采用專用通信協(xié)議，無安全設(shè)計(jì)考慮，則致攻擊者3）數(shù)據(jù)庫管理系統(tǒng)授權(quán)管理員誤操導(dǎo)可能則致安全控制機(jī)制失??；4）數(shù)據(jù)庫管理系統(tǒng)軟件需求規(guī)范或設(shè)計(jì)中的無意邏輯錯(cuò)誤可能產(chǎn)生設(shè)計(jì)弱點(diǎn)6）重要信息系統(tǒng)不安裝或升級(jí)系統(tǒng)補(bǔ)丁、入侵軟件、防病毒軟件d)數(shù)據(jù)層;3）缺乏對(duì)數(shù)據(jù)有效的安全監(jiān)管，存在數(shù)據(jù)濫用現(xiàn)象，數(shù)據(jù)控制權(quán)界限模糊；4）重要信息系統(tǒng)中，攻擊者可通過木馬病毒等獲取敏感信息。e)系統(tǒng)層;4）攻擊者可在用系統(tǒng)與服務(wù)平臺(tái)以及基礎(chǔ)數(shù)據(jù)庫之間的接口進(jìn)行數(shù)據(jù)竊取或9）攻擊者通過釣魚郵件、垃圾郵件、惡意軟件、攻擊腳本等A.3智慧科研機(jī)構(gòu)技術(shù)風(fēng)險(xiǎn)e)缺乏對(duì)智慧科研機(jī)構(gòu)建設(shè)的統(tǒng)籌規(guī)劃以及a)對(duì)硬件設(shè)備安全防護(hù)，防止未授權(quán)訪問、入侵、竊取、損壞和b)保證硬件設(shè)備的數(shù)據(jù)采集、存儲(chǔ)、傳輸?shù)膶?shí)時(shí)性、機(jī)密性和完整性；c)保證硬件設(shè)備指令的是實(shí)現(xiàn)、完整性和d)建立統(tǒng)一的標(biāo)識(shí)安全管理和身份鑒別機(jī)制，保證硬件設(shè)備合法接入；e)保證具有存儲(chǔ)功能的設(shè)備的數(shù)據(jù)存儲(chǔ)安全，保證數(shù)據(jù)的機(jī)密性、完整性和可檢查、入侵防范、惡意代碼防范等防護(hù)措施，對(duì)網(wǎng)絡(luò)日志進(jìn)行管理2）支持計(jì)算資源的數(shù)據(jù)與業(yè)務(wù)應(yīng)用容