1 范圍

      本文件規(guī)定了化學(xué)品管理信息化信息安全的基本要求和技術(shù)要求。

      本文件適用于化學(xué)品管理信息化的信息安全管理。

2 規(guī)范性引用文件

      下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 2887 計(jì)算機(jī)場(chǎng)地通用規(guī)范

      GB/T 5271.8 信息技術(shù) 詞匯 第8部分：安全

      GB 17859 計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則

      GB/T 20269 信息安全技術(shù) 信息系統(tǒng)安全管理要求

      GB/T 20270 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求

      GB/T 21052 信息安全技術(shù) 信息系統(tǒng)物理安全技術(shù)要求

      GB/T 22080 信息技術(shù) 安全技術(shù) 信息安全管理體系 要求

      GB/T 22240 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南

      GB/T 30283 信息安全技術(shù) 信息安全服務(wù) 分類

3 術(shù)語和定義

      GB/T 5271.8、GB 17859 界定的以及下列術(shù)語和定義適用于本文件。

3.1

      訪問控制 access control

      按確定的規(guī)則，對(duì)實(shí)體之間的訪問活動(dòng)進(jìn)行控制、防止未授權(quán)使用資源的安全機(jī)制。

3.2

      令牌 tokens

      由系統(tǒng)創(chuàng)建的包含登錄進(jìn)程返回的安全標(biāo)識(shí)符和由本地安全策略分配給用戶和用戶的安全組的特權(quán)列表。

4 基本要求

4.1 安全目標(biāo)

4.1.1 應(yīng)通過整體安全體系規(guī)劃，綜合運(yùn)用各種安全技術(shù)和手段，從侵害程度、侵害對(duì)象兩個(gè)方面劃分化學(xué)品信息管理系統(tǒng)的信息安全等級(jí)，其安全要求應(yīng)不低于對(duì)應(yīng)安全等級(jí)應(yīng)符合GB 17859和GB/T 22240的規(guī)定。

4.1.2 在化學(xué)品信息采集、信息存儲(chǔ)、信息加工、信息交換、信息應(yīng)用、信息消亡過程中應(yīng)研究目標(biāo)化學(xué)品的信息安全特征，確定相對(duì)應(yīng)的安全目標(biāo)，分為靜態(tài)安全目標(biāo)和動(dòng)態(tài)安全目標(biāo)。

4.1.3 靜態(tài)安全目標(biāo)保證系統(tǒng)實(shí)體平臺(tái)安全，應(yīng)包括整個(gè)系統(tǒng)的物理環(huán)境、系統(tǒng)軟硬件結(jié)構(gòu)和可用的信息資源。

4.1.4 動(dòng)態(tài)安全目標(biāo)保障系統(tǒng)的軟環(huán)境安全，應(yīng)包括安全管理、安全服務(wù)、安全意識(shí)和人員的安全專業(yè)素質(zhì)。

4.2 安全體系

      信息安全體系應(yīng)包括：

      a）安全管理：建立信息安全管理相關(guān)的制度和規(guī)定，實(shí)現(xiàn)管理上的安全；

      b）安全服務(wù)：建立信息安全體系不僅應(yīng)依靠現(xiàn)有的安全機(jī)制和設(shè)備，還應(yīng)全方位地提供各類安全服務(wù)；

      c) 數(shù)據(jù)安全：保證數(shù)據(jù)庫的安全和數(shù)據(jù)本身及網(wǎng)絡(luò)傳輸安全；

      d) 應(yīng)用系統(tǒng)安全：系統(tǒng)內(nèi)部的應(yīng)用安全，是系統(tǒng)實(shí)現(xiàn)時(shí)最被關(guān)注的部分；

      e）軟件平臺(tái)安全：保證軟件平臺(tái)系統(tǒng)（如操作系統(tǒng)和應(yīng)用系統(tǒng)基礎(chǔ)服務(wù)軟件等）安全；

      f) 網(wǎng)絡(luò)安全：把被保護(hù)的網(wǎng)絡(luò)從自由開放、無邊界的環(huán)境中獨(dú)立出來，使網(wǎng)絡(luò)成為可控制、可管理的內(nèi)部系統(tǒng)；

      g）物理安全：從物理上保證系統(tǒng)設(shè)備的安全。

4.3 安全管理

4.3.1 化學(xué)品信息管理系統(tǒng)和監(jiān)管平臺(tái)應(yīng)建立一套完善的安全管理方案，并貫穿信息安全的各層次，包括安全制度管理和安全目標(biāo)管理。

4.3.2 應(yīng)從建立完善機(jī)房管理、網(wǎng)絡(luò)管理、數(shù)據(jù)管理、設(shè)備管理、應(yīng)急處理、人員管理、技術(shù)資料管理等方面加強(qiáng)安全制度管理。

4.3.3 應(yīng)按照資源管理目標(biāo)，對(duì)信息系統(tǒng)涉及的物理資源、網(wǎng)絡(luò)資源、信息資源實(shí)施統(tǒng)一的資源分配，并根據(jù)資源重要程度確定安全等級(jí)和安全管理范圍。

4.3.4 應(yīng)按照GB/T 20269和GB/T 22080的要求，安排專門人員負(fù)責(zé)以保證安全管理制度實(shí)施。

4.3.5 應(yīng)展開對(duì)最新安全技術(shù)的跟蹤研究，加強(qiáng)安全技術(shù)進(jìn)行交流、探討，優(yōu)化安全管理策略。

4.3.6 應(yīng)加強(qiáng)與已有的防火墻、防病毒、數(shù)據(jù)備份等安全設(shè)施的緊密配合。

4.4 安全服務(wù)

4.4.1 安全服務(wù)應(yīng)包括安全咨詢、安全工程實(shí)施、安全技術(shù)培訓(xùn)和安全維護(hù)，應(yīng)符合GB/T 30283的要求。

4.4.2 信息安全不是安全產(chǎn)品的簡單集合，而是一項(xiàng)系統(tǒng)工程并有其專業(yè)體系，應(yīng)采用先進(jìn)科學(xué)的知識(shí)結(jié)構(gòu)進(jìn)行全面細(xì)致地把握。

4.4.3 信息安全系統(tǒng)存在固有弱點(diǎn)，即使最微小的安全漏洞都可能引發(fā)整個(gè)網(wǎng)絡(luò)系統(tǒng)的崩潰。且系統(tǒng)安全只是暫時(shí)的、靜態(tài)的，應(yīng)通過持續(xù)全面的安全服務(wù)進(jìn)行加強(qiáng)。

5 技術(shù)要求

5.1 物理安全

5.1.1 根據(jù)不同的目標(biāo)對(duì)象，物理安全包括：

      a）環(huán)境安全，對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)；

      b）設(shè)備安全，主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)；

      c）媒介安全，包括媒介本身的安全及媒介數(shù)據(jù)的安全。

5.1.2 環(huán)境安全應(yīng)符合GB/T 2887的要求，物理安全應(yīng)符合GB/T 21052的要求。

5.2 網(wǎng)絡(luò)安全

5.2.1 一般要求

      網(wǎng)絡(luò)安全應(yīng)符合GB/T 20270的要求。

5.2.2 網(wǎng)絡(luò)冗余

5.2.2.1 應(yīng)采用網(wǎng)絡(luò)冗余、系統(tǒng)隔離、訪問控制、加密、安全監(jiān)測(cè)、網(wǎng)絡(luò)掃描等技術(shù)手段來保障化學(xué)品信息系統(tǒng)的網(wǎng)絡(luò)安全。

5.2.2.2 應(yīng)通過網(wǎng)絡(luò)冗余解決網(wǎng)絡(luò)系統(tǒng)單點(diǎn)故障，對(duì)關(guān)鍵性的網(wǎng)絡(luò)線路、設(shè)備采用雙備份或多備份的方式。網(wǎng)絡(luò)運(yùn)行時(shí)，應(yīng)對(duì)運(yùn)營狀態(tài)相互實(shí)時(shí)監(jiān)控并自動(dòng)調(diào)整，當(dāng)網(wǎng)絡(luò)的一段或一點(diǎn)發(fā)生故障，或者網(wǎng)絡(luò)信息流量突變時(shí)應(yīng)能在有效時(shí)間內(nèi)進(jìn)行切換分配。

5.2.3 系統(tǒng)隔離

      應(yīng)劃分物理隔離和邏輯隔離，應(yīng)結(jié)合信息安全等級(jí)劃分合理的網(wǎng)絡(luò)安全邊界，實(shí)現(xiàn)不同安全級(jí)別的網(wǎng)絡(luò)或信息媒介不能相互訪問。應(yīng)針對(duì)應(yīng)用系統(tǒng)特點(diǎn)和化學(xué)品信息的特征采取相應(yīng)的隔離措施。

5.2.4 訪問控制

5.2.4.1 對(duì)于網(wǎng)絡(luò)不同信任域，應(yīng)根據(jù)雙向控制或有限訪問的原則加強(qiáng)訪問控制，有效控制受控的子網(wǎng)或主機(jī)訪問權(quán)限和信息流向。

5.2.4.2 對(duì)網(wǎng)絡(luò)對(duì)象，應(yīng)解決網(wǎng)絡(luò)的邊界控制和網(wǎng)絡(luò)內(nèi)部的控制，根據(jù)有限訪問的原則對(duì)網(wǎng)絡(luò)資源進(jìn)行合理配置，對(duì)信息流向應(yīng)根據(jù)安全需求實(shí)現(xiàn)單向或雙向控制。

5.2.4.3 訪問控制最重要的設(shè)備是防火墻，宜安置在不同安全域出入口處，對(duì)進(jìn)出網(wǎng)絡(luò)的信息包進(jìn)行過濾并按安全策略進(jìn)行信息流控制，同時(shí)實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換、實(shí)時(shí)信息告警等功能，高級(jí)防火墻還應(yīng)實(shí)現(xiàn)基于用戶的細(xì)粒度的訪問控制。

5.2.5 加密

      應(yīng)采用加密手段防止網(wǎng)絡(luò)上的竊聽、泄漏、篡改和破壞。加密應(yīng)從三個(gè)層次來實(shí)現(xiàn)：

      a）鏈路層加密應(yīng)側(cè)重通信鏈路而不考慮信源和信宿，對(duì)網(wǎng)絡(luò)高層主體透明；

      b）網(wǎng)絡(luò)層加密應(yīng)采用網(wǎng)絡(luò)安全協(xié)議，具備加密、認(rèn)證雙重功能，并應(yīng)在系統(tǒng)的服務(wù)器間通信采取此協(xié)議；

      c）應(yīng)用層加密應(yīng)根據(jù)實(shí)際業(yè)務(wù)的應(yīng)對(duì)處理、傳輸和存儲(chǔ)的數(shù)據(jù)采取多種加密算法進(jìn)行加密保護(hù)。

5.2.6 安全監(jiān)測(cè)

      應(yīng)采用安全監(jiān)測(cè)尋找未授權(quán)的網(wǎng)絡(luò)訪問嘗試和違規(guī)行為，包括但不限于網(wǎng)絡(luò)系統(tǒng)的掃描、預(yù)警、阻斷、記錄、跟蹤。網(wǎng)絡(luò)掃描監(jiān)測(cè)系統(tǒng)應(yīng)具有實(shí)時(shí)、自適應(yīng)、主動(dòng)識(shí)別和響應(yīng)等特征。

5.2.7 網(wǎng)絡(luò)掃描

      應(yīng)采用網(wǎng)絡(luò)掃描對(duì)網(wǎng)絡(luò)設(shè)備的安全漏洞進(jìn)行檢測(cè)和分析，包括但不限于網(wǎng)絡(luò)通信服務(wù)、路由器、防火墻、郵件、WEB服務(wù)器，從而識(shí)別能被入侵者利用非法進(jìn)入的網(wǎng)絡(luò)漏洞。網(wǎng)絡(luò)掃描系統(tǒng)應(yīng)對(duì)檢測(cè)到的漏洞信息形成詳細(xì)報(bào)告，包括位置、詳細(xì)描述和建議的改進(jìn)方案，有效檢測(cè)和管理安全風(fēng)險(xiǎn)信息。

5.3 軟件平臺(tái)安全

5.3.1 影響軟件平臺(tái)安全性的因素主要包含操作系統(tǒng)安全漏洞和病毒。

5.3.2 在操作系統(tǒng)安裝的時(shí)候應(yīng)使用平臺(tái)軟件廠商提供的安全漏洞掃描工具進(jìn)行漏洞掃描；在新漏洞信息發(fā)布的時(shí)候，應(yīng)利用軟件平臺(tái)廠商提供的更新服務(wù)安裝相應(yīng)的漏洞補(bǔ)丁，即時(shí)保障系統(tǒng)安全。

5.3.3 應(yīng)采取專業(yè)的防病毒解決方案，實(shí)現(xiàn)從網(wǎng)絡(luò)、服務(wù)器、客戶機(jī)三個(gè)方面的立體防范。對(duì)于重大的安全漏洞和病毒，應(yīng)及時(shí)向統(tǒng)管理員發(fā)出安全警告信并提供相應(yīng)應(yīng)對(duì)措施。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。