DB41T 1339-2016 智慧城市信息安全建设指南

DB41河南省质量技术监督局发布I 1 1 1 1 2 2 3 4 5 6 7 7 7 7 8 8 8 8 9 9 9 9 9 9 2本标准按照GB/T1.1-2009给本标准主要起草人：张震、张志鸿、王瑞民、杨志峰、魏强、杜学绘、1智慧城市信息安全建设指南凡是不注日期的引用文件，其最新版本（包括所有的修改单）GB/T367-2001视频安防监控系统GB/T22240-2008信息安全技术信息系统安全等级保护实施GB/T28448-2012信息安全技术信息系统安全等级保护测评GB/T28514.3-2012支持IPv6的路由协议技在智慧城市建设范畴内，是指围绕信息技术的高度集成、信息资源的综合运用的线上和线下的信息安全，既包含传统的信息系统安全，也可以包含网络智慧城市信息安全建设架构，包括技术安全要2运运维安全要求管理安全要求技术安全要求应用服务安全身份鉴别、访问控制、安全审计、应用传输安全、抗抵赖、软件容错……计算环境安全身份鉴别、安全审计……数据存储安全访问控制、完整性机制、加密机制、安全审计、数据备份与恢复、剩余信息保护……网络传输安全网络架构、访问控制、安全审计、入侵检测、实体身份鉴别……基础设施安全感知设备安全、机房安全……5.1基础设施安全要求b)为感知设备在生存期提供稳定可靠的电力供应；5.1.1.2感知设备防护a)感知设备能固定在部署场所中，并设置明显的不易除去5.1.1.3感知模块身份认证35.1.1.4通信安全5.1.1.5系统安全a)感知设备的系统用户应有唯一性标识，能对系统用户进行身b)具有执行能力的感知设备应能对下达指令的对象进行身份鉴别；5.1.1.6采集数据安全a)使用加密或其他保护措施，实现鉴别信息和重要数据的传输及存储的b)提供必要的隐私数据保护措施，防d)对于重要数据，应冗余部署感知设备进5.2网络传输安全技术a)保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰4d)按照国家相关规定，能够提供支持中间系统到中间系统域内路由信息交换技术(GB/Ta)在网络边界部署访问控制设备，启用访问护，日志记录保护期限符合公安部有关规定（公安部b)对网络设备的管理员的权限进行限制；5.3数据存储安全a)启用访问控制功能，依据安全策略控制主体对数据5b)对存储业务数据的云服务平台/磁盘阵列采取采用符合国家密码管理局相关管理规定的数据加密措施实现数据的存储保a)提供覆盖到每个主体的安全审计功能，对每个主体访问数据的行为进b)保证无法删除、修改或覆盖审计记录；c)审计记录包括事件的日期、事件、类型、主体标识、客体a)依据数据相应级别，提供数据备份与d)对备份数据及数据恢复权限做好保密，避免备份数据被篡5.4计算环境安全b)对同一主体或应用，采用两种或两种以上组合的鉴别技术实现身份鉴别；b)保证无法删除、修改或覆盖审计记录；c)审计记录包括事件的日期、事件、类型、主体标识、客体a)对同一用户采用两种或两种以上组合的鉴别技术实现用户身c)应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动a)提供访问控制功能，依据安全策略控制用户对客体b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；e)依据安全策略严格控制用户对有敏感标记重要b)保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；d)提供对审计记录数据进行统计、查询、分析及生成审a)在通信双方建立连接之前，应用系统利用密码技术进行会话初始75.5.5抗抵赖在请求的情况下，能够为数据原发者或接收者提供真实的原发证据、真实的接收证据的功能。提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢a)指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管d)对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行b)确保介质存放在安全的环境中，对各类介质进行控制和保护，并实行存储环境专人管理；8d)定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进c)定期进行漏洞扫描，对发现的系统安全漏洞9a)对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明b)指定专人对网络和主机进行恶意代码检测并保存检测记录；所使用的密码技术和产品应符合国家密码管d)报告所发现的安全弱点和可疑事件，但不能f)对造成系统中断和造成信息泄密的安全事件采用不同的处理程序a)在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动应急预案的条c)对系统相关的人员进行应急预案培训，应急预案的培训应至少d)定期对应急预案进行演练，根据不同的应急恢复内容，确按信息安全等级保护管理办法实施定期的安全检查、备案、等级保护测评（GB/T22240-20信息安全技术信息系统安全等级保护实指定或授权专门的部门按国家的有关规定负责c)对系统测试验收的控制方法和人员行为准则d)指定或授权专门的部门负责系统测试验收的管理，并按照管理规定的要求完成b)确定事件响应和处置的范围、程度以及适用的管理制度等；a)应根据各个部门和岗位的职责明确授权审批事项