DB41河南省質(zhì)量技術(shù)監(jiān)督局發(fā)布I 1 1 1 1 2 2 3 4 5 6 7 7 7 7 8 8 8 8 9 9 9 9 9 9 2本標(biāo)準(zhǔn)按照GB/T1.1-2009給本標(biāo)準(zhǔn)主要起草人：張震、張志鴻、王瑞民、楊志峰、魏強(qiáng)、杜學(xué)繪、1智慧城市信息安全建設(shè)指南凡是不注日期的引用文件，其最新版本（包括所有的修改單）GB/T367-2001視頻安防監(jiān)控系統(tǒng)GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施GB/T28448-2012信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)GB/T28514.3-2012支持IPv6的路由協(xié)議技在智慧城市建設(shè)范疇內(nèi)，是指圍繞信息技術(shù)的高度集成、信息資源的綜合運(yùn)用的線上和線下的信息安全，既包含傳統(tǒng)的信息系統(tǒng)安全，也可以包含網(wǎng)絡(luò)智慧城市信息安全建設(shè)架構(gòu)，包括技術(shù)安全要2運(yùn)運(yùn)維安全要求管理安全要求技術(shù)安全要求應(yīng)用服務(wù)安全身份鑒別、訪問(wèn)控制、安全審計(jì)、應(yīng)用傳輸安全、抗抵賴、軟件容錯(cuò)……計(jì)算環(huán)境安全身份鑒別、安全審計(jì)……數(shù)據(jù)存儲(chǔ)安全訪問(wèn)控制、完整性機(jī)制、加密機(jī)制、安全審計(jì)、數(shù)據(jù)備份與恢復(fù)、剩余信息保護(hù)……網(wǎng)絡(luò)傳輸安全網(wǎng)絡(luò)架構(gòu)、訪問(wèn)控制、安全審計(jì)、入侵檢測(cè)、實(shí)體身份鑒別……基礎(chǔ)設(shè)施安全感知設(shè)備安全、機(jī)房安全……5.1基礎(chǔ)設(shè)施安全要求b)為感知設(shè)備在生存期提供穩(wěn)定可靠的電力供應(yīng)；5.1.1.2感知設(shè)備防護(hù)a)感知設(shè)備能固定在部署場(chǎng)所中，并設(shè)置明顯的不易除去5.1.1.3感知模塊身份認(rèn)證35.1.1.4通信安全5.1.1.5系統(tǒng)安全a)感知設(shè)備的系統(tǒng)用戶應(yīng)有唯一性標(biāo)識(shí)，能對(duì)系統(tǒng)用戶進(jìn)行身b)具有執(zhí)行能力的感知設(shè)備應(yīng)能對(duì)下達(dá)指令的對(duì)象進(jìn)行身份鑒別；5.1.1.6采集數(shù)據(jù)安全a)使用加密或其他保護(hù)措施，實(shí)現(xiàn)鑒別信息和重要數(shù)據(jù)的傳輸及存儲(chǔ)的b)提供必要的隱私數(shù)據(jù)保護(hù)措施，防d)對(duì)于重要數(shù)據(jù)，應(yīng)冗余部署感知設(shè)備進(jìn)5.2網(wǎng)絡(luò)傳輸安全技術(shù)a)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰4d)按照國(guó)家相關(guān)規(guī)定，能夠提供支持中間系統(tǒng)到中間系統(tǒng)域內(nèi)路由信息交換技術(shù)(GB/Ta)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)護(hù)，日志記錄保護(hù)期限符合公安部有關(guān)規(guī)定（公安部b)對(duì)網(wǎng)絡(luò)設(shè)備的管理員的權(quán)限進(jìn)行限制；5.3數(shù)據(jù)存儲(chǔ)安全a)啟用訪問(wèn)控制功能，依據(jù)安全策略控制主體對(duì)數(shù)據(jù)5b)對(duì)存儲(chǔ)業(yè)務(wù)數(shù)據(jù)的云服務(wù)平臺(tái)/磁盤陣列采取采用符合國(guó)家密碼管理局相關(guān)管理規(guī)定的數(shù)據(jù)加密措施實(shí)現(xiàn)數(shù)據(jù)的存儲(chǔ)保a)提供覆蓋到每個(gè)主體的安全審計(jì)功能，對(duì)每個(gè)主體訪問(wèn)數(shù)據(jù)的行為進(jìn)b)保證無(wú)法刪除、修改或覆蓋審計(jì)記錄；c)審計(jì)記錄包括事件的日期、事件、類型、主體標(biāo)識(shí)、客體a)依據(jù)數(shù)據(jù)相應(yīng)級(jí)別，提供數(shù)據(jù)備份與d)對(duì)備份數(shù)據(jù)及數(shù)據(jù)恢復(fù)權(quán)限做好保密，避免備份數(shù)據(jù)被篡5.4計(jì)算環(huán)境安全b)對(duì)同一主體或應(yīng)用，采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)身份鑒別；b)保證無(wú)法刪除、修改或覆蓋審計(jì)記錄；c)審計(jì)記錄包括事件的日期、事件、類型、主體標(biāo)識(shí)、客體a)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身c)應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)a)提供訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)客體b)訪問(wèn)控制的覆蓋范圍應(yīng)包括與資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作；e)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要b)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)記錄；d)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審a)在通信雙方建立連接之前，應(yīng)用系統(tǒng)利用密碼技術(shù)進(jìn)行會(huì)話初始75.5.5抗抵賴在請(qǐng)求的情況下，能夠?yàn)閿?shù)據(jù)原發(fā)者或接收者提供真實(shí)的原發(fā)證據(jù)、真實(shí)的接收證據(jù)的功能。提供自動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢a)指定專門的部門或人員定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管d)對(duì)信息分類與標(biāo)識(shí)方法作出規(guī)定，并對(duì)信息的使用、傳輸和存儲(chǔ)等進(jìn)行b)確保介質(zhì)存放在安全的環(huán)境中，對(duì)各類介質(zhì)進(jìn)行控制和保護(hù)，并實(shí)行存儲(chǔ)環(huán)境專人管理；8d)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)c)定期進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞9a)對(duì)防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等作出明b)指定專人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)并保存檢測(cè)記錄；所使用的密碼技術(shù)和產(chǎn)品應(yīng)符合國(guó)家密碼管d)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件，但不能f)對(duì)造成系統(tǒng)中斷和造成信息泄密的安全事件采用不同的處理程序a)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條c)對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少d)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確按信息安全等級(jí)保護(hù)管理辦法實(shí)施定期的安全檢查、備案、等級(jí)保護(hù)測(cè)評(píng)（GB/T22240-20信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)指定或授權(quán)專門的部門按國(guó)家的有關(guān)規(guī)定負(fù)責(zé)c)對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則d)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測(cè)試驗(yàn)收的管理，并按照管理規(guī)定的要求完成b)確定事件響應(yīng)和處置的范圍、程度以及適用的管理制度等；a)應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)