信息资源安全通用要求DB6301／T 2-2020.pdf

ICS 35.020 L 78 DB6301 西宁市 地 方 标 准 DB 6301/T 2 2020 信息资源 安全通用 要求 2020-01-06 发布 2020-04-06 实施 西 宁 市 市 场 监 督 管 理 局 发布 DB6301/T 2 2020 I 目 次 前 言.III 1 范围.1 2 规 范性 引用 文件.1 3 术 语和 定义.1 4 共 性安 全要 求.2 4.1 总则.2 4.2 密码 技术 要求.2 4.3 主机 及网 络技 术要 求.3 4.4 人员 管理 要求.3 5 信 息资 源管 理方 安全 要 求.3 5.1 服务 器维 护.3 5.2 软件 环境.4 5.3 安全 事件 处置 要求.4 6 信 息资 源提 供方 安全 要 求.4 6.1 前置 机网 络管 理安 全 要求.4 6.2 信息 资源 提供 安全 技 术要求.4 7 信 息资 源使 用方 安全 要 求.4 7.1 前置 机网 络安 全要 求.4 7.2 信息 资源 使用 技术 安 全要求.5 DB6301/T 2 2020 II 前 言 本标准 按照GB/T1.1-2009 给出的 规则 起草。本标准 由西 宁市 大数 据服 务管理 局提 出。本标准 由西 宁市 市场 监督 管理局 归口。本标准 起草 单位:西 宁市 大数据 服务 管理 局、上海 计 算机软 件技 术开 发中 心、西 宁大数 据有 限公 司、杭州数 梦工 场科 技有 限公 司。本标准 主要 起草 人:蔡立 志、白万 芳、谭 梁、张 莉 君、王晓 茹、王 明亮、李 启琴、洪凯、孙巍、高岩、杨 兴海。DB6301/T 2 2020 1 信 息资源 安全通用 要求 1 范围 本标准 规定 了信 息资 源共 享交换 平台 在使 用过 程 中 应遵循 的 共 性安 全要 求、信 息资源 管理 方安 全 要求、信 息资 源提 供方 安全 要求、信息 资源 使用 方安 全要求。本标准 适用 于信 息资 源共 享交换 平台 建设 方、信 息 资源共 享交 换平 台运 维方、信 息资 源使 用方、信息资源 提供 方及 软件 开发 厂商等。2 规范性 引用 文件 下列文 件对 于本 文件 的应 用是必 不可 少的。凡 是注 日期的 引用 文件，仅 所注 日期的 版本 适用 于 本 文件。凡 是不 注日 期的 引用 文件，其最 新版 本（包括 所有的 修改 单）适用 于本 文件。GB/T 22239-2008 信息系统安 全等 级保 护 基 本要 求 3 术语和 定义 下列术 语和 定义 适用 于本 文件。3.1 保 密性 confidentiality 信息资 源所 具有 的特 性，即 表示信 息资 源所 达到 的未 提供或 者泄 露给 非授 权的 个人或 其他 实体 的 程度。即 信息 只为 授权 用户 使用。3.2 可用性 usability 数据或 资源 的特 性，被授 权实体 按要 求能 访问 和使 用的数 据源。3.3 信息安 全风 险 risk of information security 人 为 或 自然 的 威胁 利 用信息 系 统 及其 管 理体 系 中存在 的 脆 弱性 导 致安 全 事件及 其 对 组织 造 成的 影响。3.4 安全措 施safety measures 保护资 产、抵御 脆弱 性、降低安 全事 件的 各种 实践、规程 及机 制。3.5 DB6301/T 2 2020 2 信 息资 源information resourse 各 级政 务部 门及 具有 公共属 性的 企事 业单 位 在 生产、生活 过程 中产生 或 获取的，以 一定 形式 记录、保 存的 文件、资 料、图表和 数据 等各 类信 息。3.6 大数据 big data 具有数 量巨 大、种类 多样、流动 速度 快、特征 多变 等特性，并 且难 以用 传统 数据体 系结 构进 行 有 效处理的 数据 集。3.7 信息资 源共 享交 换平 台 Information resource sharing and exchange platform 指将分 散建 设的 若干 应用 信息系 统进 行整 合，通过 计算机 网络 构建 的信 息交 换平台，使 若干 个 应 用子系统 进行信 息/数 据的 传 输及共 享，建 立中 心数据 库，完 成 信息 资源 的抽取、集中、加载、展 现，构造统一 的 信 息资 源 处 理和 交换 等 大数 据服 务功 能的 软硬件 集合。3.8 信息主 体information subject 信息资 源进 行各 项活 动的 组成单 元，为各 级政 务部 门及具 有公 共属 性的 企事 业单位。3.9 信息技 术专 员information technology commissioner 与信息 资源 共享 交换 平台 进行沟 通、协调 工作 的人 员。职 责包 括但 不限 于本 部门前 置机 服务 器 的 管理、维 护及 信息 资源 传输。3.10 前置机 front-end computer 为了便 于 信 息资 源 采 集、交换而 在各 信息 主体 专门 安装的 服务 器，用于 推送 信息资 源 或 者存 储 交 换过来的 非本 单位 信息 资源 的计算 机，通常 指 信 息主 体 与 信 息资 源共 享交 换平 台 联通 的最 前端 服务 器。3.11 组织 organization 由作用 不同 的个 体为 实施 共同的 业务 目标 而建 立的 结构。4 共性 安全 要求 4.1 总则 信 息资 源提 供方、使 用方及 管理 方都 应按 照 GB/T 22239-2019 信息 系统安全等 级保 护 基 本要 求 的 要 求，针 对 自 主 保护 和重 点 保护 原 则的 具 体内 容，都 应遵 守 相关 密 码技 术要 求、网络技术 要 求及 人员、信 息资 源 管 理的 具体 要求。DB6301/T 2 2020 3 4.2 密 码技 术要 求 信息资 源提 供方、使 用方 及管理 方 应 遵循 以下 要求：a)密 码长 度不 少于10 位；b)密码 由数 字、标 点、大 小写字 母和特 殊符号 组成，必须 包含四 种以上 不同 的类型，并具 有必 要的组合 复杂 度，不应 使用 连续或 相同 数字、字 母组 合和其 它易 于破 译的 组合 作为密 码；c)密 码不 应以 任何 形式 的 明文存 储，不应 以明 文形 式在电 子邮 件、传真 中传 输；d)用 户应 定期（至 少每 季 度一次）进 行密 码修 改，并且同 一密 码不 能反 复使 用。4.3 主 机及 网络 技术 要求 信息资 源提 供方、使 用方 及管理 方 应 遵循 以下 要求：a)信息 资源 服务器（包括 业务单 位前置 机服务 器）不应使 用属于 个人或 未授 权的各 类存储 介质 或可移动 的信 息设 备，如软 盘、光 盘、移动 硬盘、U 盘、笔记 本电 脑等；b)所有 接入 信息资 源共享 交换平 台 网络 的计算 机均 须保证 安装有 最新版 本的 防病毒 软件及 最新 的病毒库；c)接入 信息 资源共 享交换 平台网 络的计 算机不 应在 电子政 务外网 与 互联 网之间 交叉 使 用。信息 主体与信息资源共享交换平 台 对接需要在 电子政务外 网下使用，或采用专线接入 方式与信息资源共享 信 息资 源共 享交 换平 台 网络 互联；d)接入 信 息资 源共 享交 换 平台 网 络的 计算 机应 关闭 与业务 无关 的端 口，停止 与业务 无关 的服 务；e)在 条件 允许 范围 内，信 息主体 应采 用防 火墙 或者 网闸等 设备 对前 置机 进行 保护。4.4 人员 管理 要求 人员管 理 应 遵循 以下 要求：a)各 信息 主体 应在 本单 位 至少设 立1 名信 息技 术专 员，同时 应加 强信 息安 全规 章制度 的教 育培 训，信息技 术专 员每 年应 进行 至少一 次安 全培 训；b)未经 授权，信息 技术 专 员不得 查询、修改、删除、新增 信息资 源，不得向 第三方 提供经 信息 共享交换 平台 获取 的 信 息资 源；c)信 息技 术专 员应 对各 种 工作密 码保 密，不对 外提 供和泄 露，不盗 用他 人密 码；d)信 息技 术专 员 应 签订 保 密协议，对 信息 资源 和系 统架构 严格 保密；e)信息 技术 专员内 部调 动 至其他 岗位或 离职 时，做好 信息 资源 对 接的 交接工 作并报 备至信 息资 源共享交 换平 台管 理部 门。4.5 信 息资 源 备 份要 求 前 置机 信息 资源 保 留至少 一年 以上，至 少每 季度进 行一 次全 量备 份。5 信息 资源 管理 方安 全要 求 5.1 服 务器 维护 服务器 维护 的目 标是 保证 机房 设 备与 信息 安全，保 障机房 具有 良好 的运 行环 境和工 作环 境，具 体 如 下：a)服务 器管 理员负 责服 务 器的日 常操作 维护 工作，确认前 置机和 信息 资源 共 享交换 平台之 间信息资源交 换状 态，应建 立和 保存服 务器 完整 的技 术文 档和维 护方 案；DB6301/T 2 2020 4 b)服务 器按 计划执 行运 维 任务影 响 信息 资源 使用时，应提 前24小 时通 知 信息 资源 使 用方做 好相 关处理；意外 情况 影响 信息 资源 使 用时，在 发现 意外 情况后，2小 时内 通知 信息 资源 使 用方 做好 相关处理；c)信息 资源 共享交 换平 台 系统管 理员应 每天 对 信息 资源 交 换情况 进行 检查，及时发 现异常 情况 并做相应 处理；c)服务 器 管理 员应 每周 对 服务器 及外 围设 备进 行一 次例行 检查 和维 护；d)每 次更 新升 级程 序时，应做好 备份 再进 行操 作，服务器 宜进 行双 机热 备份。5.2 软 件环 境 信息资 源 共 享交 换平 台服 务器及 与其 互联 的计 算机 除安装 解压 缩、杀毒 软件 等必要 的应 用软 件 外，不应安 装游 戏、聊天 工具 等与正 常开 展业 务工 作无 关的软 件。5.3 安 全事 件处 置要 求 安全事 件通 常指 影响 信息 资源 共 享交 换平 台正 常开 展业务 的各 类事 件，包括 软件故 障，硬件 故 障，黑客入 侵与 攻击，其 他不 可预料 的未 知故 障等。安 全处理 要求 应考 虑：a)影响 信 息资 源 共 享交 换 使用的 安全 事件，服 务 器 管理员 应尽 快通 知信 息资 源使用 方、提供 方；b)服务 器管 理员在 服务器 发生安 全事件 时应做 好记 录，记 录内容 包括：事件 发生的 时间、事件 现象、事 件发 生原 因、事件 影响范 围、事件 处置 措施 等。6 信 息资 源提 供方 安全 要 求 6.1 前 置机 网络 管理 安全 要求 信息资 源提 供方 前置 机的 网络安 全应 遵循 以下 要求：a）信 息资 源提 供方 负责 本 单位信 息资 源共 享交 换前 置机的 安全；b)确 保数 据链 路的 连通 性，关闭 无关 的端 口，同时 设置固 定IP 地址 对前 置机 数据库 的访 问；c)有 条件 的信 息主 体将 前 置机与 生产 区隔 离，网络 环境中 添加 网闸 或者 防火 墙 设备。6.2 信 息资 源提 供安 全技 术要求 信息资 源 提 供方 在提 供信 息资源 时应 考虑：a)信息 资源 提供方 需停 止 提供已 发布的 共享 信息资 源 时，应当提 供正 当理由 说明并 提前报 信息 资源共享 交换 平台 管理 方备案；b)信息 资源 提供方 采用 前 置 机提供 信息 资源 时，可 采用首 次全量，以 后增量 方式，保证生 产库 信息资源 量与前置机数据 库 信息资源量一致，同时按 照约定的周期定期查看 信 息资源 是否推送 到前置机 数据 库；c)信息 资源 提供方 按照 提 交的 信 息资源 对接 要求从 库表结 构、信 息资 源 抽取 方式、信息资 源更新方式保 证 信 息资 源 推 送的 准确、及时、完 整；d)业 务生 产库 表结 构与 前 置机数 据库 表结 构的 字段、字段 类型、字 段注 释保 持一致；e)信息 资源 提供方 采用 接 口方式 提供 信 息资 源 时，应采用 身份鉴 别、访问权 限控制、加密 传输 等安全措 施；f)信 息资 源 提 供方 采用 其 他方式 提供 信息 资源 时，不宜使 用电 子邮 件传 输；g)信 息资 源 提 供方 应该 配 合信息 资源 共享 交换 平台 管理方 解决 信息 资源 共享 过程中 出现 的问 题。DB6301/T 2 2020 5 7 信息 资源 使用 方安 全要 求 7.1 前 置机 网络 安全 要求 信息资 源 使 用方 的前 置机 的网络 安全 应遵 循以 下要 求：a）信 息资 源 使 用方 负责 本 单位 信 息资 源 共 享交 换前 置机的 安全；b)确 保数 据链 路的 连通 性，关闭 无关 的端 口，同时 设置固 定IP 地址 对前 置数 据库的 访问；c)有 条件 的 信 息主 体 将 前 置机与 生产 区隔 离，网络 环境中 添加 网闸 或者 防火 墙设备。7.2 信 息资 源使 用技 术安全 要求 信息资 源 使 用方 在使 用信 息资源 时应 考虑：a)信 息资 源 使 用方 停止 使 用 已共 享 信 息资 源 时，应 告知信 息资 源共 享交 换平 台管理 方；b)信息 资源 使用方 使用 信 息资源 时发现 异常（包括 信息资 源 异常、系 统异常 等），应及时 告知 信息资源 共享 交换 平台 管理 方；c)信 息资 源 使 用方 不能 将 信息资 源 提 供给 第三 方；d)信息 资源 使用方 采用 接 口方式 使用 信 息资 源 时，应配合 采用身 份鉴 别、访 问权限 控制、加密 传输等安 全措 施；e)信 息资 源 使 用方 应保 证 使用用 途与 申请 时一 致，不得擅 自改 变用 途。_