DB43 T 1310-2017 城市轨道交通控制系统信息安全通用要求.pdf

《DB43 T 1310-2017 城市轨道交通控制系统信息安全通用要求.pdf》由会员分享，可在线阅读，更多相关《DB43 T 1310-2017 城市轨道交通控制系统信息安全通用要求.pdf（34页珍藏版）》请在麦多课文档分享上搜索。

1、湖南省地方标准DB43城市轨道交通控制系统信息安全通用要求DB43/T 13102017 湖南省质量技术监督局 发 布General Requirement for Information Security of Control System for Urban Rail Transit2017-09-24 实施2017-07-24发布ICS 45.020S 70DB43/T 13102017 I 目 次 前言1 范围 12 规范性引用文件 13 术语和定义 13.1 电力监控系统 power supervisory control and data acquisition system（SC

2、ADA） 13.2 环境与设备监控系统 building automatic system（BAS） 13.3 火灾自动报警系统 automatic fire alarm system（FAS） 13.4 站台门系统 platform edge door 13.5 乘客信息系统 passenger information system（PIS） 23.6 门禁系统 access control system（ACS） 23.7 视频监视系统 image monitoring system 23.8 自动售检票系统 automatic fare collection system（AFC） 23

3、.9 清分系统 central cleaning system 23.10 时钟系统 clock（CLK） 23.11 列车自动保护 automatic train protection（ATP） 23.12 列车自动运行 automatic train operation（ATO） 23.13 列车自动监控 automatic train supervision（ATS） 23.14 计算机联锁 computer interlocking（CI） 23.15 综合监控系统 integrated supervisory and control system（ISCS） 24 系统分级 24.1

4、 系统定级流程 34.2 系统定级结果 35 安全技术要求 35.1 基本级安全技术要求 35.2 增强级安全技术要求 86 安全管理要求146.1 基本级安全管理要求146.2 增强级安全管理要求197 验收267.1 验收对象267.2 验收原则267.3 验收流程26DB43/T 13102017 II 7.4 验收文档267.5 验收结论的编制27附录A（资料性附录） 验收不符合项表28DB43/T 13102017 III 前 言 本标准按照GB/T 1.12009给出的规则起草。 本标准由湖南省经济和信息化委员会提出并归口。 本部分起草单位: 湖南省产商品质量监督检验研究院、中国科

5、学院信息工程研究所、北京市轨道交通设计研究院、北京城建设计发展集团有限公司、工业控制系统信息安全技术国家工程实验室、北京威努特技术有限公司、湖南亚太城建工程有限公司。 本部分主要起草人:苏光荣、胡思玉、姚斌、毛良文、石成功、陈永东、李航、陆宝华、于运涛、文辉、石志强、朱红松、梅棋、肖衍、林雄锋、陈天鹰、王雪松、徐亮、徐杰、聂双发、黄凌果、冯艺、宁静、苏顺樑、郑建伟。 DB43/T 13102017 1 城市轨道交通控制系统信息安全通用要求 1 范围 本要求规定了城市轨道交通控制系统的信息安全通用要求，包括安全技术要求和安全管理要求。 本要求适用于地铁、城铁、磁浮系统等城市轨道交通系统的信息安全

6、验收，系统的信息安全设计、实施、运维也可参考，包括已建成的和新建的城市轨道交通系统。 2 规范性引用文件 下列文件中的条款通过在本要求的引用而成为本要求的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本要求，然而，鼓励根据本要求达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本要求。 GB/T 5271.8 信息技术词汇 第8部分：安全 GB/T 222392008 信息安全技术 信息系统安全等级保护基本要求 GB/T 222402008 信息安全技术 信息系统安全等级保护定级指南 GB/T 250702010 信息

7、安全技术 信息系统等级保护安全设计技术要求 GB/T 30976.22014 工业控制系统信息安全 第2部分：验收规范 GB/T 329192016 信息安全技术 工业控制系统安全控制应用指南 GB 501572013 地铁设计规范 3 术语和定义 GB 501572013和GB/T 5271.8确立的以及下列术语和定义适用于本要求。 3.1 电力监控系统 power supervisory control and data acquisition system（SCADA） 电力数据采集与监视控制系统，包括遥控、遥测、遥信和遥调功能。 3.2 环境与设备监控系统 building autom

8、atic system（BAS） 对城市轨道交通建筑物内的环境与空气调节、通风、给排水、照明、乘客导向、自动扶梯及电梯、站台面、防淹门等建筑设备和系统进行集中监视、控制和管理的系统。 3.3 火灾自动报警系统 automatic fire alarm system（FAS） 用于及早发现和通报火灾，以便及时采取措施控制和扑灭火灾而设置在建筑物中或其它场所的一种自动消防报警系统。 3.4 站台门系统platform edge door 安装在车站站台边缘，将行车的轨道区与站台候车区隔开，设有与列车门相对应、可多级控制开启与关闭滑动门的连续屏障。 DB43/T 13102017 23.5 乘客信息

9、系统 passenger information system（PIS） 为站内和列车内的乘客提供有关安全、运营及服务等综合信息显示的系统设备总称。 3.6 门禁系统 access control system（ACS） 集计算机、网络、自动识别、控制等技术和现代安全管理措施为一体的自动化安全管理控制系统。又称人员出入口安全管理控制系统。 3.7 视频监视系统 image monitoring system 为控制中心调度员、各车站值班员、列车司机等提供有关列车运行、防灾、救灾及乘客疏导等方面视觉信息的设备总称，又称闭路电视系统。 3.8 自动售检票系统 automatic fare coll

10、ection system（AFC） 基于计算机、通信网络、自动控制、自动识别、精密机械和传动等技术，实现城市轨道交通售票、检票、计费、收费、统计、清分、管理等全过程的机电一体化、自动化和信息化系统。 3.9 清分系统 central cleaning system 用于发行和管理城市轨道交通车票，对不同线路的票、款进行结算，并具有与城市其它公共交通卡进行清算功能的系统。 3.10 时钟系统 clock（CLK） 城市轨道交通通信系统的一个部分，在城市轨道交通运营过程中为工作人员、乘客，及全线各系统提供统一的时间标准。 3.11 列车自动保护 automatic train protectio

11、n（ATP） 自动实现列车运行安全间隔、超速保护、进路安全和车门等监控技术的总称。 3.12 列车自动运行 automatic train operation（ATO） 自动实现列车加速、调速、停车和车门开闭、提示等控制技术的总称。 3.13 列车自动监控 automatic train supervision（ATS） 根据列车时刻表为列车运行自动设定进路，指挥行车，实施列车运行管理等技术的总称。 3.14 计算机联锁 computer interlocking（CI） 列车自动控制系统的子系统，以计算机技术为核心，自动实现进路、道岔、信号机等控制和防护技术的总称。 3.15 综合监控系统

12、integrated supervisory and control system（ISCS） 基于大型的监控软件平台，通过专用的接口设备与若干子系统接口，采集各子系统的数据，实现在同一监控工作站上监控多个专业，调度、协调和联动多系统的集成系统。 4 系统分级 本要求借鉴信息系统安全等级保护的思想，对城市轨道交通的各种控制系统，根据其被信息安全事DB43/T 13102017 3 故破坏时的影响严重程度，分为基本级和增强级。对不同等级的控制系统，提出不同的信息安全要求。 4.1 系统定级流程 确定控制系统安全保护等级的流程如下： a） 确定作为定级对象的控制系统； b） 确定业务信息安全受到破

13、坏时所侵害的客体； c） 根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度； d） 得到业务信息安全保护等级； e） 确定系统服务安全受到破坏时所侵害的客体； f） 根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度； g） 得到系统服务安全保护等级； h） 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。 4.2 系统定级结果 根据以上流程，对城市轨道交通的控制系统的定级情况如下： 系统名称 保护等级 环境与设备监控系统（BAS） 基本级 火灾自动报警系统（FAS） 基本级 站台门系统 基本级 乘客信息系统（

14、PIS） 基本级 门禁系统（ACS） 基本级 视频监视系统 基本级 自动售检票系统（AFC） 基本级 清分系统 基本级 时钟系统（CLK） 基本级 综合监控系统（ISCS） 基本级 电力监控系统（PSCADA） 增强级 列车自动保护系统（ATP） 增强级 列车自动运行系统（ATO） 增强级 列车自动监控系统（ATS） 增强级 计算机联锁系统（CI） 增强级 5 安全技术要求 安全技术要求包括物理安全、网络安全、主机安全、应用安全、数据安全五个部分。 在本要求文本中，黑体字表示较低等级中没有出现或增强的要求。 5.1 基本级安全技术要求 5.1.1 物理安全 DB43/T 13102017 4序

15、号 指标项 指标详细定义 1 物理位置的选择 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 机房出入口安装电子门禁系统，控制、鉴别和记录进入的人员。 2 物理访问控制 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。 应将主要设备放置在机房内。 应将设备或主要部件进行固定，并设置明显的不易除去的标记。 应将通信线缆铺设在隐蔽处，可铺设在地下或管道或槽道中。 应对介质分类标识，存储在介质库、档案柜或档案室中。 3 防盗窃和防破坏 应利用光、电等技术设置机房防盗报警系统。 机房建筑应设置避雷装置。 4 防雷击 机房应设置交流电源地线。 机房应设置火灾自动消防系统，能

16、够自动检测火情、自动报警，并自动灭火。 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。 5 防火 机房门应是防火材料，并保证在危险情况下能从机房内打开。 主机房尽量避开水源，与主机房无关的给排水管道不得穿过主机房。 主机房内的设备需要用水时，其给排水干管应暗敷。管道穿过主机房墙壁和楼板处应设置套管，管道与套管之间应采取可靠的密封措施。 机房内的给排水管道必须有可靠的防渗漏措施。当机房内设有用水设备时，采用有效的防止给排水漫溢和渗漏的措施。 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 6 防水和防潮 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 7 防静电 主要设备应

17、采用必要的接地防静电措施。 禁止将食物带入机房内，机房内不得存放食物。 8 防尘除尘 定期打扫机房卫生。 9 温湿度控制 机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。 应在机房供电线路上配置稳压器和过电压防护设备。 10 电力供应 应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求。 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰。 11 电磁防护 电源线和通信线缆应隔离铺设，避免互相干扰。 DB43/T 13102017 5 5.1.2 网络安全 序号 指标项 指标详细定义 控制系统网络与互联网之间，一般不能有直接的网络连接。如果控制系

18、统必须通过互联网进行通信，例如清分系统，则必须采用国家相关部分检测认证的加密认证产品保证通信的机密性、完整性。 应禁止通过互联网对控制系统进行远程维护。 控制系统网络与企业信息网络之间，应采用物理隔离，或采用单向网闸仅允许信息输出。 应禁止在控制系统网络与企业信息网络之间交叉使用普通移动存储介质以及便携计算机。 1 网络隔离 控制系统与其它控制系统之间，应采用工业防火墙进行逻辑隔离。 应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。 应保证网络各个部分的带宽满足业务高峰期需要。 应绘制与当前运行情况相符的网络拓扑结构图。 2 结构安全 应根据各部门的工作职能、重要性和所涉及信

19、息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。 应在网络边界部署访问控制设备，启用访问控制功能。 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 应限制网络最大流量数及网络连接数。 3 访问控制 应采用IP/MAC地址绑定等手段以防止网络地址欺骗。 应对网络系统中的网络设备运行状况、网络流量、工程师站组态变更、操控指令变更等重要事件进行日志记录。 4 安全审计 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其它与审计相关的信息。 5 边界完整性检查 应能够对内部网络用户私自联到外部网络的行为进行检

20、查，准确定出位置，并对其进行有效阻断。 6 入侵防范 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等。 应在网络边界处对恶意代码进行检测和阻止。 7 恶意代码防范 维护恶意代码库的升级和检测系统的更新。 应对登录网络设备的用户进行身份鉴别。 应对网络设备的管理员登录地址进行限制。 8 网络设备防护 网络设备用户的标识应唯一。 DB43/T 13102017 6序号 指标项 指标详细定义 口令应具有一定强度、长度和复杂度并定期更换，长度不得小于 8 位字符串，要求是字母和数字或特殊字符的组合，并且禁止口令与用户名相同

21、。 应对口令进行加密存储。 应禁止正常网络运行、维护所不需要的服务。 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。 8 网络设备防护 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听，如采用 HTTPS、SSH 等安全远程管理协议。 应隐藏无线AP的SSID。 9 无线安全 应禁止采用WEP等不安全的加密方式，推荐采用WAPI加密，密码复杂度要求长度至少8位，密码至少包含大写字母、小写字母、数字和特殊字符中的两种。 5.1.3 主机安全 序号 指标项 指标详细定义 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。

22、 口令应具有一定强度、长度和复杂度并定期更换，长度不得小于8位字符串，要求是字母和数字或特殊字符的组合，并且禁止口令与用户名相同。 应开启操作系统屏幕保护中的密码保护功能。 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。限制同一用户连续失败登录次数，一般不超过 10 次。 当对服务器进行远程管理时，采取必要措施，防止鉴别信息在网络传输过程中被窃听，如采用 HTTPS、SSH等安全远程管理协议。 1 身份鉴别 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。 应启用访问控制功能，依据安全策略控制用户对资源的访问。 应实现操作系统和数据库系统特

23、权用户的权限分离。 应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令。 2 访问控制 应及时删除多余的、过期的帐户，避免共享帐户的存在。 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要安全相关事件。 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。 3 安全审计 应保护审计记录，避免受到未预期的删除、修改或覆盖等。 DB43/T 13102017 7 序号 指标项 指标详细定义 4 入侵防范 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，关

24、闭业务应用正常运行所不需要的服务和端口。 5 恶意代码防范 应安装应用白名单软件进行恶意代码防范，阻止非授权软件及恶意代码的执行。 应通过设定终端接入方式、网络地址范围等条件限制终端登录。 应根据安全策略设置登录终端的空闲超时断开会话或锁定。 应限制单个用户对系统资源的最大或最小使用限度。 6 资源控制 系统磁盘剩余空间应能满足近一段时间的业务需求。 5.1.4 应用安全 序号 指标项 指标详细定义 应提供专用的登录控制模块对登录用户进行身份标识和鉴别。 应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用。 应提供登录失败处理功能，能够

25、在用户登录尝试失败了指定次数后，通过自动退出应用程序、结束会话、断开连接、锁定账号等措施，使一段时间内不能登录。允许登录失败次数在10次以内，登录失效时间至少为10分钟。 采用用户名静态口令方式认证的，强制用户在第一次登录系统时修改分发的初始口令，并提供对鉴别用户口令复杂度检查功能。用户口令不得小于8位字符串，要求是字母和数字或特殊字符的组合，并且禁止口令与用户名相同。 1 身份鉴别 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并对口令长度、复杂度类型、最长使用时间，允许登录失败次数、登录失效时间等参数进行配置。 应提供访问控制功能，依据安全策略控制

26、用户对文件、数据库表等客体的访问。 访问控制的覆盖范围应包括与资源访问相关的主体（如用户）、客体（如文件、数据库表）及它们之间的操作（读取、输入、修改、删除等）。 应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限。 2 访问控制 应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。 应提供覆盖到每个用户的安全审计功能，对应用系统的重要安全事件进行审计，包括但不限于以下事件：系统管理（用户管理、授权管理等）、配置管理（安全参数的设置和修改）、对审计日志的关键操作、登录和注销成功、登录失败尝试、关键的业务操作。 应保证无法单独中断审计进程，无法删除、修改或覆盖

27、审计记录。 审计记录的内容至少应包括：事件发生的日期、时间、事件发起者信息、事件类型、事件内容、事件结果等。 3 安全审计 审计记录只有管理员或需要访问的特殊用户能够访问。 DB43/T 13102017 8序号 指标项 指标详细定义 4 通信完整性 应采用密码技术保证客户端与服务器之间、本系统服务器之间、本系统与外部系统之间通信过程中数据的完整性。 在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证。 5 通信保密性 应对通信过程中的敏感信息字段进行加密。 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。 在故障发生时，应用系统

28、应能够继续提供一部分功能，能够对部分严重故障进行自动处理，采取可能使系统恢复正常状态的行为或保护现存数据安全的行为。 6 软件容错 应定义分级的系统异常事件，并且根据异常事件的严重程度采用不同的方式进行告警。 当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话。 应能够对系统的最大并发会话连接数进行限制。 7 资源控制 应能够对单个帐户的多重并发会话进行限制，防止单用户会话的重用。确保一个客户端只能有一个用户同时登录到系统中，一个用户只允许同时在一个客户端登录到系统中。 5.1.5 数据安全 序号 指标项 指标详细定义 1 数据完整性 应能够检测到鉴别信息和重要业务

29、数据在传输过程中完整性受到破坏。 2 数据保密性 应采用加密或其它保护措施实现鉴别信息的存储保密性。 应能够对重要信息进行备份和恢复。 3 备份和恢复 应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。 5.2 增强级安全技术要求 5.2.1 物理安全 序号 指标项 指标详细定义 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 机房场地不宜设在建筑物的高层，避免设在用水设备的下层或隔壁。 远离产生粉尘、油烟、有害气体以及生产或贮存具有腐蚀性、易燃、易爆物品的工厂和堆场等。 1 物理位置的选择 避开强电磁场干扰，并远离强振源和强噪声源。当无法避开强干扰源、强振

30、源或为保障控制系统设备安全运行，可采取有效的屏蔽措施。 机房出入口安装电子门禁系统，控制、鉴别和记录进入的人员。 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。 2 物理访问控制 应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域。 DB43/T 13102017 9 序号 指标项 指标详细定义 应将主要设备放置在机房内。 应将设备或主要部件进行固定，并设置明显的不易除去的标记。 应将通信线缆铺设在隐蔽处，可铺设在地下或管道或槽道中。 应对介质分类标识，存储在介质库、档案柜或档案室中。 应利用光、电等技术设置机房防盗报警系统。 3

31、 防盗窃和防破坏 应对机房设置昼夜监视视频监控系统。 机房建筑应设置避雷装置。 应设置防雷保安器，防止感应雷。 4 防雷击 机房应设置交流电源地线。 机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。 5 防火 机房门应是防火材料，并保证在危险情况下能从机房内打开。 主机房尽量避开水源，与主机房无关的给排水管道不得穿过主机房。 主机房内的设备需要用水时，其给排水干管应暗敷。管道穿过主机房墙壁和楼板处应设置套管，管道与套管之间应采取可靠的密封措施。 机房内的给排水管道必须有可靠的防渗漏措施。当机房内设有用水设备时，采用

32、有效的防止给排水漫溢和渗漏的措施。 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 6 防水和防潮 应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。 主要设备应采用必要的接地防静电措施。 7 防静电 机房应采用防静电地板。 禁止将食物带入机房内，机房内不得存放食物。 8 防尘除尘 定期打扫机房卫生。 9 温湿度控制 机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。 应在机房供电线路上配置稳压器和过电压防护设备。 应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求。 10 电力供

33、应 设置冗余或并行的电力电缆线路为控制系统供电，输入电源应采用双路自动切换供电方式。 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰。 11 电磁防护 电源线和通信线缆应隔离铺设，避免互相干扰。 DB43/T 13102017 10 5.2.2 网络安全 序号 指标项 指标详细定义 控制系统网络与互联网之间，不能有直接的网络连接。 禁止通过互联网对控制系统进行远程维护。 控制系统网络与企业信息网络之间，应采用物理隔离。 应禁止在控制系统网络与企业信息网络之间交叉使用普通移动存储介质以及便携计算机。 1 网络隔离 控制系统与其它控制系统之间，应采用工业防火墙进行逻辑隔离。 应保证主要网络设备的

34、业务处理能力具备冗余空间，满足业务高峰期需要。 应保证网络各个部分的带宽满足业务高峰期需要。 应在业务终端与业务服务器之间进行路由控制，建立安全的访问路径。 应绘制与当前运行情况相符的网络拓扑结构图。 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段。 2 结构安全 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。 应在网络边界部署访问控制设备，启用访问控制功能。

35、应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 应对进出网络的信息内容进行过滤，实现对 RSSP-I、RSSP-II、Modbus TCP 等工业协议命令级的控制。 应在会话处于非活跃一定时间或会话结束后终止网络连接。 应限制网络最大流量数及网络连接数。 应采用IP/MAC地址绑定等手段以防止网络地址欺骗。 3 访问控制 应对网络设备及服务器、终端进行网络接入控制。 应对网络系统中的网络设备运行状况、网络流量、工程师站组态变更、操控指令变更等重要事件进行日志记录。 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其它与审计相关的信息。 应能够根据

36、记录数据进行分析，并生成审计报表。 4 安全审计 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。 应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断。 5 边界完整性检查 应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。 DB43/T 13102017 11 序号 指标项 指标详细定义 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。 6 入侵防范 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时提

37、供报警。 应在网络边界处对恶意代码进行检测和阻止。 7 恶意代码防范 维护恶意代码库的升级和检测系统的更新。 应对登录网络设备的用户进行身份鉴别。 应对网络设备的管理员登录地址进行限制。 网络设备用户的标识应唯一。 主要网络设备应采用强度高于用户名静态口令的认证机制实现用户身份鉴别，宜采用两种或两种以上组合的鉴别技术。 口令应具有一定强度、长度和复杂度并定期更换，长度不得小于 8 位字符串，要求是字母和数字或特殊字符的组合，并且禁止口令与用户名相同。 应对口令进行加密存储。 应禁止正常网络运行、维护所不需要的服务。 如果需要使用SNMP网管协议，应采用安全增强的SNMPv3及以上版本。 应具有

38、登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。 8 网络设备防护 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听，如采用 HTTPS、SSH 等安全远程管理协议。 应隐藏无线AP的SSID。 禁止应采WEP等不安全的加密方式，推荐采用WAPI加密，密码复杂度要求长度至少8位，密码至少包含大写字母、小写字母、数字和特殊字符中的两种。 9 无线安全 应启用MAC地址过滤功能。 5.2.3 主机安全 序号 指标项 指标详细定义 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。 口令应具有一定强度、长度和复杂度并定期更换，长度

39、不得小于8位字符串，要求是字母和数字或特殊字符的组合，并且禁止口令与用户名相同。 应开启操作系统屏幕保护中的密码保护功能。 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。限制同一用户连续失败登录次数，一般不超过10次。 当对服务器进行远程管理时，采取必要措施，防止鉴别信息在网络传输过程中被窃听，如采用 HTTPS、SSH等安全远程管理协议。 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。 1 身份鉴别 应采用强度高于用户名静态口令的认证机制对管理用户进行身份鉴别，宜采用两种或两种以上组合的鉴别技术。 DB43/T 13102017 12

40、序号 指标项 指标详细定义 应启用访问控制功能，依据安全策略控制用户对资源的访问。 应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。 应实现操作系统和数据库系统特权用户的权限分离。 应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令。 应及时删除多余的、过期的帐户，避免共享帐户的存在。 应对重要信息资源设置敏感标记。 2 访问控制 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要

41、安全相关事件。 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。 应能够根据记录数据进行分析，并生成审计报表。 应保护审计进程，避免受到未预期的中断。 3 安全审计 应保护审计记录，避免受到未预期的删除、修改或覆盖等。 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其它用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。 4 剩余信息保护 应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其它用户前得到完全清除。 应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源 IP、攻击的类型、攻击的目的、攻击的时间，并在

42、发生严重入侵事件时提供报警。 应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。 5 入侵防范 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，关闭业务应用正常运行所不需要的服务和端口。 6 恶意代码防范 应安装应用白名单软件进行恶意代码防范，阻止非授权软件及恶意代码的执行。 应通过设定终端接入方式、网络地址范围等条件限制终端登录。 应根据安全策略设置登录终端的空闲超时断开会话或锁定。 应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况。 应限制单个用户对系统资源的最大或最小使用限度。 系统磁盘剩余空间应能满足近一段时间的业务需

43、求。 7 资源控制 应能够对系统的服务水平降低到预先规定的最小值进行监测和报警。 DB43/T 13102017 13 5.2.4 应用安全 序号 指标项 指标详细定义 应提供专用的登录控制模块对登录用户进行身份标识和鉴别。 应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用。 应提供登录失败处理功能，能够在用户登录尝试失败了指定次数后，通过自动退出应用程序、结束会话、断开连接、锁定账号等措施，使一段时间内不能登录。允许登录失败次数在5次以内，登录失效时间至少为20分钟。 采用用户名+静态口令方式认证的，强制用户在第一次登录系统时修改分

44、发的初始口令，并提供对鉴别用户口令复杂度检查功能。用户口令不得小于8位字符串，要求是字母和数字或特殊字符的组合，并且禁止口令与用户名相同。 1 身份鉴别 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并对口令长度、复杂度类型、最长使用时间，允许登录失败次数、登录失效时间等参数进行配置。 应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问。 访问控制的覆盖范围应包括与资源访问相关的主体（如用户）、客体（如文件、数据库表）及它们之间的操作（读取、输入、修改、删除等）。 应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限。 2 访问

45、控制 应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。 应提供覆盖到每个用户的安全审计功能，对应用系统的重要安全事件进行审计，包括但不限于以下事件：系统管理（用户管理、授权管理等）、配置管理（安全参数的设置和修改）、对审计日志的关键操作、登录和注销成功、登录失败尝试、关键的业务操作。 应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录。 审计记录的内容至少应包括：事件发生的日期、时间、事件发起者信息、事件类型、事件内容、事件结果等。 审计记录只有管理员或需要访问的特殊用户能够访问。 3 安全审计 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能

46、。 应保证用户口令等关键鉴别信息所在的存储空间被释放或再分配给其它用户前得到完全清除。保证程序退出后，清空内存中曾经存储的用户口令等关键鉴别信息；清空硬盘临时文件中曾经存储的用户口令等关键鉴别信息。 在应用软件的各组成部分中都不能存储明文的口令数据，以及其它可以被利用进行会话重放的信息。 4 剩余信息保护 应保证重要业务数据所在的存储空间被释放或再分配给其它用户前得到完全清除。 5 通信完整性 应采用密码技术保证客户端与服务器之间、本系统服务器之间、本系统与外部系统之间通信过程中数据的完整性。 DB43/T 13102017 14 序号 指标项 指标详细定义 在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证。 6 通信保密性 应对通信过程中的敏感信息字段进行加密。 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。 在故障发生时，应用系统应能够继续提供一部分功能，能够对部分严重故障进行自动处理，采取可能使系统恢复正常状态的行为或保护现存数据安全的行为。 应定义分级的系统异常事件，并且根据异常事件的严重程度采用不同的方式进行告警。 7 软件容错 在出现故障时，应具有进行自我恢复的能力。具体需要满足以下要求： 应用软件在出现故障时，能够自动保存故障前一刻的运行状态；