DB6301 T 2-2020 信息资源安全通用要求.pdf

1、 ICS 35.020 L 78 DB6301 西宁市 地 方 标 准 DB 6301/T 2 2020 信息资源安全通用要求 2020 - 01 - 06发布 2020 - 04 - 06实施 西宁市市场监督管理局 发布 DB6301/ T 2 2020 I 目 次 前 言 . III 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 共性安全要求 . 2 4.1 总则 . 2 4.2 密码技术要求 . 2 4.3 主机及网络技术要求 . 3 4.4 人员管理要求 . 3 5 信息资源管理方安全要求 . 3 5.1 服务器维护 . 3 5.2 软件环境 . 4 5.3

2、 安全事件处置要求 . 4 6 信息资源提供方安全要求 . 4 6.1 前置机网络管理安全要求 . 4 6.2 信息资源提供安全技术要求 . 4 7 信息资源使用方安全要求 . 4 7.1 前置机网络安全要求 . 4 7.2 信息资源使用技术安全要求 . 5 DB6301/ T 2 2020 II 前 言 本标准按照 GB/T1.1-2009给出的规则起草。 本标准由西宁市大数据服务管理局提出。 本标准由西宁市市场监督管理局归口。 本标准起草单位 : 西宁市大数据服务管理局、 上海计算机软件技术开发中心、 西宁大数据有限公司、 杭州数梦工场科技有限公司。 本标准主要起草人 : 蔡立志、白万芳、

3、谭梁、张莉君、 王晓茹、 王明亮、李启琴、 洪凯、 孙巍、 高 岩、杨 兴海。 DB6301/ T 2 2020 1 信息资源安全通用要求 1 范围 本标准规定了信息资源共享交换平台在使用过程 中 应遵循的 共性安全要求、 信息资源管理方安全要 求 、 信息资源提供方安全要求 、 信息资源 使用 方安全要求 。 本标准适用于信息资源共享交换平台建设方、信息资源共享交换平台运维方、信息资源使用方、信 息资源提供方及软件开发厂商等。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）

4、适用于本文件。 GB/T 22239-2008 信息 系统 安全等级保护 基本要求 3 术语和定义 下列术语和定义适用于本文件。 3.1 保密性 confidentiality 信息资源所具有的特性，即表示信息资源所达到的未提供或者泄露给非授权的个人或其他实体的程 度。 即信息只为授权用户使用 。 3.2 可用性 usability 数据或资源的特性，被授权实体按要求能访问和使用的数据源。 3.3 信息安全风险 risk of information security 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件及其对组织造成的影 响。 3.4 安全措施 safety m

5、easures 保护资产、抵御脆弱性、降低安全事件的各种实践、规程及机制。 3.5 DB6301/ T 2 2020 2 信息资源 information resourse 各级政务部门及具有公共属性的企事业单位 在 生产、生活 过程中 产生 或获取的，以一定形式记 录 、 保存的文件、资料、图表和数据等各类信息。 3.6 大数据 big data 具有数量巨大、种类多样、流动速度快、特征多变等特性，并且难以用传统数据体系结构进行有效 处理的数据集。 3.7 信息资源共享交换平台 Information resource sharing and exchange platform 指将分散建设

6、的若干应用信息系统进行整合，通过计算机网络构建的信息交换平台，使若干个应用 子系统进行信息 /数据的传输及共享，建立中心数据库，完成 信息资源 的抽取、集中、加载、展现，构 造统一的 信息资源 处理和交换 等大数据服务功能的软硬件集合。 3.8 信息主体 information subject 信息资源进行各项活动的组成单元，为各级政务部门及具有公共属性的企事业单位。 3.9 信息技术专员 information technology commissioner 与信息资源共享交换平台进行沟通、协调工作的人员。职责包括但不限于本部门前置机服务器的管 理、维护及 信息资源 传输。 3.10 前置机

7、 front-end computer 为了便于 信息资源 采集、交换而在各信息主体专门安装的服务器，用于推送 信息资源 或者存储交换 过来的非本单位 信息资源 的计算机，通常指 信息主体 与 信息资源共享交换平台 联 通 的最前端服务器。 3.11 组织 organization 由作用不同的个体为实施共同的业务目标而建立的结构。 4共性安全要求 4.1 总则 信息资源提供方、 使用方及管理方都应按照 GB/T 22239-2019 信息 系统 安全等级保护 基本要求 的要求，针对 自主保护 和 重点保护原则的具体内容 ， 都应遵守 相关密码技术要求、 网络 技术要求及 人 员 、 信息资源

8、 管理的具体要求 。 DB6301/ T 2 2020 3 4.2 密码技术要求 信息资源提供方、使用方及管理方 应遵循以下要求： a) 密码长度不少于 10位； b) 密码由数字、标点、大小写字母和特殊符号组成，必须包含四种以上不同的类型，并具有必要 的组合复杂度，不应使用连续或相同数字、字母组合和其 它 易于破译的组合作为密码； c) 密码不应以任何形式的明文存储，不应以明 文形式在电子邮件、传真中传输； d) 用户应定期（至少每季度一次）进行密码修改，并且同一密码不能反复使用。 4.3 主机及网络技术要求 信息资源提供方、使用方及管理方 应遵循以下要求： a) 信息资源服务器（包括业务单

9、位前置机服务器）不应使用属于个人或未授权的各类存储介质或 可移动的信息设备，如软盘、光盘、移动硬盘、 U盘、笔记本电脑等； b) 所有接入 信息资源共享交换平台 网络的计算机均须保证安装有最新版本的防病毒软件及最新的 病毒库； c) 接入信息资源共享交换平台网络的计算机不应在电子政务外网与 互联网 之间 交叉使 用 。 信息主 体 与 信息资源共享交换平台 对接需要在 电子 政务外网下使用，或采用专线 接入 方式 与信息资源 共享 信息资源共享交换平台 网络互联 ； d) 接入 信息资源共享交换平台 网络的计算机应关闭 与业务无关的端口 ，停止与业务无关的服务； e) 在条件允许范围内， 信息

10、主体 应 采用防火墙或者网闸等设备 对前置机进行保护。 4.4 人员 管理 要求 人员管理 应遵循以下要求： a) 各 信息主体 应在本单位至少设立 1名信息技术专员，同时应加强信息安全规章制度的教育培训， 信息技术专员每年应进行至少一次安全培训； b) 未经授权，信息技术专员不得查询 、修改、删除、新增信息资源，不得向第三方提供经信息共 享交换平台获取的 信息资源 ； c) 信息技术专员应对各种工作密码保密，不对外提供和泄露，不盗用他人密码； d) 信息技术专员 应 签订保密协议，对 信息资源 和系统架构 严格保密； e) 信息技术专员内部调动至其他岗位或离职时， 做好 信息资源 对接的交接

11、工作并报备至信息资源 共享交换平台管理部门。 4.5 信息资源 备份要求 前置机 信息资源 保留至少一年以上，至少每季度进行一次全量备份。 5 信息资源管理方安全要求 5.1 服务器维护 服务器维护的目标是保证机房 设备与信息安全，保障机房具有良好的运行环境和工作环境，具体如 下： a) 服务器管理员负责服务器的日常操作维护工作，确认前置机和 信息资源 共享交换平台之间 信息 资源 交换状态，应建立和保存服务器完整的技术文档和维护方案； DB6301/ T 2 2020 4 b) 服务器按计划执行运维任务影响 信息资源 使用时，应提前 24小时通知 信息资源 使用方做好相关 处理；意外情况影响

12、 信息资源 使用时，在发现意外情况后， 2小时内通知 信息资源 使用方做好相 关处理； c) 信息资源 共享交换平台系统管理员应每天对 信息资源 交换情况进行检查，及时发现异常情况并 做相应处理； c) 服务 器管理员应每周对服务器及外围设备进行一次例行检查和维护； d) 每次更新升级程序时，应做好备份再进行操作，服务器宜进行双机热备份。 5.2软件环境 信息资源 共享交换平台服务器及与其互联的计算机除安装解压缩、杀毒软件等必要的应用软件外， 不应安装游戏、聊天工具等与正常开展业务工作无关的软件。 5.3 安全事件处置要求 安全事件通常指影响 信息资源 共享交换平台正常开展业务的各类事件，包括

13、软件故障，硬件故障， 黑客入侵与攻击，其他不可预料的未知故障等。安全处理要求应考虑： a) 影响 信息资源 共享交换使用的安全事件，服务 器管理员应尽快通知信息资源使用方、提供方； b) 服务器管理员在服务器发生安全事件时应做好记录，记录内容包括：事件发生的时间、事件现 象、事件发生原因、事件影响范围、事件处置措施等。 6 信息资源提供方安全要求 6.1 前置机网络管理安全要求 信息资源提供方前置机的网络安全应遵循以下要求： a）信息资源提供方负责本单位信息资源共享交换前置机的安全； b) 确保数据链路的连通性，关闭无关的端口，同时设置固定 IP地址对前置机数据库的访问； c) 有条件的信息主

14、体将前置机与生产区隔离，网络环境中添加网闸或者防火墙 设备。 6.2信息资源提供安全技术要求 信息资源 提供方在提供信息资源时应考虑： a) 信息资源 提供方 需停止提供已发布的共享 信息资源 时，应当提供正当理由说明并提前报 信息资 源共享交换平台管理方 备案 ； b) 信息资源 提供方采用前置 机 提供 信息资源 时，可采用首次全量，以后增量方式，保证生产库 信 息资源 量 与 前置 机数据 库 信息资源 量一致，同时按照约定的周期定期查看 信息资源 是否推送到 前置机数据库 ； c) 信息资源 提供方按照提交的 信息资源 对接要求从库表结构 、 信息资源 抽取方式 、 信息资源 更新 方

15、式保证 信息资源 推送的准确、及时、完整； d) 业务生产库表结构与 前置机数据库 表结构的字段 、 字段类型 、 字段注释保持一致； e) 信息资源 提供方采用接口方式提供 信息资源 时，应采用身份鉴别、访问权限控制、加密传输等 安全措施； f) 信息资源 提供方采用其他方式提供 信息资源 时，不宜使用电子邮件传输； g) 信息资源 提供方应该配合信息资源共享交换平台管理方解决 信息资源 共享过程中出现的问题。 DB6301/ T 2 2020 5 7 信息资源使用方安全要求 7.1 前置机网络安全 要求 信息资源 使用方的前置机的网络安全应遵循以下要求： a） 信息资源 使用方负责本单位

16、信息资源 共享交换前置机的安全； b) 确保数据链路的连通性，关闭无关的端口，同时设置固定 IP地址对前置数据库的访问； c) 有条件的 信息主体 将前置机与生产区隔离，网络环境中添加网闸或者防火墙设备。 7.2 信息资源使用技术 安全 要求 信息资源 使用方在使用信息资源时应考虑： a) 信息资源 使用方停止使用 已共享 信息资源 时，应 告知信息资源共享交换平台管理方； b) 信息资源 使用方使用 信息资源 时发现异常（包括 信息资源 异常、系统异常等），应及时告知信 息资源共享交换平台管理方； c) 信息资源 使用方不能将 信息资源 提供给第三方； d) 信息资源 使用方采用 接口方式使用 信息资源 时，应配合采用身份鉴别、访问权限控制、加密传 输等安全措施； e) 信息资源 使用方应保证使用用途与申请时一致，不得擅自改变用途。 _