ICS07.060DB50CCSA47DB50/T956.4—2021重慶市地方標準DB50/T956.4—2021預警信息發(fā)布平臺管理規(guī)范第4部分：網(wǎng)絡安全重慶市市場監(jiān)督管理局發(fā)布DB50/T956.4—2021目次前言.......................................................................................................................................................................II1范圍.....................................................................................................................................................................12規(guī)范性引用文件.................................................................................................................................................13術語和定義.........................................................................................................................................................14預警信息發(fā)布平臺網(wǎng)絡安全建設概述.............................................................................................................25安全技術建設要求.............................................................................................................................................26安全管理建設要求.............................................................................................................................................5參考文獻.................................................................................................................................................................8IDB50/T956.4—2021前??言本文件按照GB/T1.1-2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件是DB50/T956《預警信息發(fā)布平臺管理規(guī)范》的第4部分。DB50/T956已發(fā)布了以下部分：——第1部分：業(yè)務職能和崗位設置；——第2部分：信息發(fā)布規(guī)范；——第3部分：數(shù)據(jù)格式。本文件由重慶市氣象局提出并歸口。本文件起草單位：重慶市人工影響天氣辦公室（重慶市預警信息發(fā)布中心）。本文件主要起草人：李劍莉、龍治平、周浩、王儉、豆俊川、蔡敏敏、羅永夔。IIDB50/T956.4—2021預警信息發(fā)布平臺管理規(guī)范第4部分：網(wǎng)絡安全建設12范圍本文件規(guī)定了預警信息發(fā)布平臺的安全技術和安全管理要求。本文件適用于市、區(qū)縣、鄉(xiāng)鎮(zhèn)、村預警信息發(fā)布平臺的安全建設和監(jiān)督管理。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本使用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239-2019信息安全技術網(wǎng)絡安全等級保護基本要求GB/T31167-2014信息安全技術云計算服務安全指南GB/T39786-2021信息安全技術信息系統(tǒng)密碼應用基本要求通過采取必要措施，防范對網(wǎng)絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡數(shù)據(jù)的完整性、保密性、可用性的能力?；A信息網(wǎng)絡basicinformationnetwork平臺正常運轉所需的信息傳輸通道。通過網(wǎng)絡訪問可擴展的、靈活的物理或虛擬共享資源池，并按需自助獲取和管理資源的模式。注：資源實例包括服務器、操作系統(tǒng)、網(wǎng)絡、軟件、應用和存儲設備等。[來源:GB/T31167-2014,3.1]1DB50/T956.4—2021移動互聯(lián)mobilecommunication采用無線通信技術將移動終端接入網(wǎng)絡的過程。[來源:GB/T22239-2019,3.9,有修改]3.5安全保護能力securityprotectionability能夠抵御威脅、發(fā)現(xiàn)安全事件以及在遭到損害后能夠恢復先前狀態(tài)等的程度。[來源:GB/T22239-2019,3.2]3.6網(wǎng)絡區(qū)域networkarea根據(jù)工作和應用需求,預警信息發(fā)布平臺內(nèi)劃分的具有相同安全訪問控制、邊界控制策略的子網(wǎng)或網(wǎng)絡。4預警信息發(fā)布平臺網(wǎng)絡安全建設概述4.1保護的對象預警信息發(fā)布平臺使用到的基礎信息網(wǎng)絡、云計算平臺、大數(shù)據(jù)應用/平臺/資源、物聯(lián)網(wǎng)和采用移動互聯(lián)技術的系統(tǒng)。應在滿足GB/T22239-2019的第三級安全保護能力要求基礎上，同時滿足安全技術建設要求和安全5.1.1.1應采用云計算基礎設施，混合云方式建設，且達到網(wǎng)絡安全等級第三級安全保護能力的要求。5.1.1.2云計算基礎設施應位于中國境內(nèi)。5.1.1.3數(shù)據(jù)庫服務器、地圖服務器等宜使用物理服務器，其余服務器或存儲資源宜使用虛擬服務器。5.1.2物聯(lián)網(wǎng)感知節(jié)點設備物理環(huán)境應滿足節(jié)點設備正常工作的參數(shù)要求。5.2安全通信網(wǎng)絡5.2.1.1按照網(wǎng)絡區(qū)域安全需求，將基礎信息網(wǎng)絡從高到低-劃分為電子政務外網(wǎng)區(qū)、氣象信息專網(wǎng)區(qū)、互聯(lián)網(wǎng)區(qū)。其中電子政務外網(wǎng)區(qū)和氣象信息專網(wǎng)區(qū)又分為市級和區(qū)縣級。5.2.1.2預警信息發(fā)布平臺核心組件應部署在電子政務外網(wǎng)區(qū)。2DB50/T956.4—20215.2.2網(wǎng)絡架構5.2.2.1氣象信息專網(wǎng)區(qū)通過專線受限接入電子政務外網(wǎng)區(qū)。5.2.2.2應通過市級氣象信息專網(wǎng)區(qū)連接互聯(lián)網(wǎng)區(qū)。5.2.2.3應通過區(qū)縣電子政務外網(wǎng)區(qū)、區(qū)縣氣象信息專網(wǎng)區(qū)分別連接市級電子政務外網(wǎng)區(qū)、市級氣象信息專網(wǎng)區(qū)。5.2.3通信傳輸應采用校驗技術、密碼技術保證通信過程中數(shù)據(jù)的完整性、保密性。密碼技術要求按照GB/T39786執(zhí)行。5.2.4可信驗證硬件設備和軟件系統(tǒng)應通過國家認證的安全性測試。5.3安全區(qū)域邊界5.3.1邊界防護5.3.1.1應在氣象信息專網(wǎng)區(qū)與互聯(lián)網(wǎng)區(qū)、電子政務外網(wǎng)區(qū)的邊界部署訪問控制設備。5.3.1.2應在氣象信息專網(wǎng)區(qū)與電子政務外網(wǎng)區(qū)邊界部署網(wǎng)絡隔離設備。5.3.1.3宜建立相應安全訪問控制區(qū)域。5.3.2訪問控制5.3.2.3應保證只有授權的感知節(jié)點能接入。宜部署旁路檢測設備，對網(wǎng)絡中的數(shù)據(jù)流量進行實時解析，能對網(wǎng)絡攻擊行為、異常流量等進行報應限制與感知節(jié)點設備通信的地址和設備。應內(nèi)置身份鑒別功能。宜擴展身份鑒別機制。5.3.7訪問控制5.3.7.1應對預警信息發(fā)布平臺業(yè)務人員設置相應操作權限。5.3.7.2授權應遵循最小權限原則，細分業(yè)務管理員、業(yè)務信息發(fā)布員、業(yè)務信息審核員、普通用戶。5.3.7.3預警信息的移動審核權限應只賦予有授權的設備。3DB50/T956.4—20215.3.8入侵防范5.3.8.1應僅安裝必要的組件和應用程序，關閉非必要的系統(tǒng)服務和默認共享，關閉非必要的高危端口和訪問用戶。5.3.8.2對已知漏洞，應在經(jīng)過充分測試評估后及時采取加固措施。5.3.9安全審計5.3.9.1應部署數(shù)據(jù)庫審計、服務器審計、日志審計。5.3.9.2應記錄預警信息發(fā)布平臺業(yè)務人員和運維人員對資源的訪問、使用情況，并將監(jiān)測數(shù)據(jù)送至安全管理中心。5.3.10惡意代碼防范應對預警信息發(fā)布平臺適用設備安裝殺毒軟件。5.3.11數(shù)據(jù)完整性和保密性5.3.11.1應采用校驗技術保證各網(wǎng)絡區(qū)域中數(shù)據(jù)的完整性。5.3.11.2應保證服務器遷移過程中數(shù)據(jù)的完整性。5.3.11.3應采用密碼技術、身份鑒別技術，對敏感數(shù)據(jù)實現(xiàn)加密訪問。5.3.12數(shù)據(jù)備份恢復5.3.12.1應具有核心數(shù)據(jù)和業(yè)務功能的離線備份和恢復能力。5.3.12.2應具有基于云的熱冗余備份能力。應部署安全管理模塊，對業(yè)務管理員進行身份鑒別，只允許獲得授權的設備和賬號進行系統(tǒng)管理操作。應具備對所有安全設備統(tǒng)一管理，對整體安全態(tài)勢集中可視化展示、分析，對入侵和安全事件預警、管控的能力。4DB50/T956.4—20216.2預警信息發(fā)布平臺工作機構6.2.1.1應遵循分級管理和屬地管理原則。6.2.1.26.2.1.3應設立網(wǎng)絡安全管理部門和崗位，配備安全管理人員。應加強與安全服務機構的合作。6.3安全管理人員6.3.1應定期對安全管理人員進行安全意識教育和技術培訓。6.3.2應和安全管理人員簽訂保密協(xié)議。6.3.3安全管理人員離崗后應立即終止其所有訪問權限。6.4系統(tǒng)開發(fā)安全管理6.4.1系統(tǒng)安全方案設計6.4.1.1應明確安全體系架構、安全協(xié)議、訪問控制和身份鑒別機制、加密方法、核心數(shù)據(jù)及數(shù)據(jù)保護方法等。6.4.1.2應由市預警信息發(fā)布平臺工作機構統(tǒng)一設計。6.4.1.3區(qū)縣預警信息發(fā)布平臺工作機構應通過書面方式向市預警信息發(fā)布平臺工作機構提交軟件區(qū)域化建設申請。6.4.2系統(tǒng)開發(fā)6.4.2.1應保證開發(fā)環(huán)境和正式運行環(huán)境的分離。應要求系統(tǒng)開發(fā)人員簽署保密協(xié)議。6.4.3.1應要求系統(tǒng)開發(fā)單位提供源代碼。應進行上線前系統(tǒng)測試，聘請有資質的測試機構完成系統(tǒng)漏洞掃描、安全性檢測，并出具測應要求系統(tǒng)承建單位提供建設過程文檔、軟件使用文檔、系統(tǒng)部署文檔、運行維護文檔，并對運行維護的技術人員進行相應技能培訓。6.4.4.2應要求預警信息發(fā)布平臺中的數(shù)據(jù)、業(yè)務軟件所有權和在質保期內(nèi)的第三方插件使用權歸委托開發(fā)的預警信息發(fā)布平臺工作機構。5DB50/T956.4—2021應由專人進行歸檔、登記、存儲、銷毀。6.5.3設備維護管理應由專人定期進行維護管理。6.5.4漏洞和風險管理應定期進行安全檢查，形成安全檢查報告，并及時對檢查發(fā)現(xiàn)的問題進行整改。6.5.5網(wǎng)絡和系統(tǒng)安全管理6.5.5.16.5.5.26.5.5.3應制定重要設備和關鍵進程的配置和操作手冊，運行維護人員依據(jù)手冊進行操作。應對每日的運行維護工作進行日志記錄。應嚴格控制遠程運維的開通，必須開通的遠程運維，應更改默認遠程連接端口。6.5.6配置管理部署文檔應記錄和保存基本配置信息，包括網(wǎng)絡拓撲結構，服務器安裝的組件、補丁，各設備的配置參數(shù)和系統(tǒng)配置流程。6.5.7密碼管理應符合GB/T39786的要求。6.5.8數(shù)據(jù)共享管理應做好預警信息發(fā)布平臺工作機構提供數(shù)據(jù)共享服務的登記。登記內(nèi)容應包括開通時間、使用部門、數(shù)據(jù)種類、共享方式、用戶名、密碼、聯(lián)系人、聯(lián)系電話。應根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對預警信息發(fā)布平臺運行的影響，制定預警信息發(fā)布平臺數(shù)據(jù)備6.5.9.2應定期執(zhí)行備份/恢復程序，定期檢查和測試備份程序、備份介質的有效性。6.5.11.1應制定安全應急預案，明確應急處置流程。6.5.11.2每年應進行一次安全應急演練。6DB50/T956.4—2021參考文獻[1]GB/T25070-2019信息技術信息安全技術網(wǎng)絡安全等級保護