TCPUMT017-2023智慧营区安全要求

ICS35.020

CCSL70

团体标准

T/CPUMT017—2023

智慧营区安全要求

Smartcamp—Requirementsforsecurity

学兔兔标准下载

2023-12-20发布2023-12-20实施

中国和平利用军工技术协会发布

T/CPUMT017—2023

目次

前言.................................................................................II

引言................................................................................III

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4概述...............................................................................1

5安全保密架构.......................................................................1

6系统独立运行安全...................................................................2

6.1基本要求.......................................................................2

6.2物理（电磁）安全...............................................................2

6.3物联感知安全...................................................................2

6.4网络安全.......................................................................3

6.5系统（主机）安全...............................................................3

6.6数据安全.......................................................................3

6.7应用安全.......................................................................4

6.8用户（终端）安全...............................................................4

6.9安全保密管理...................................................................4

7网络集成使用安全...................................................................4

8防护等级调整.......................................................................4

图1智慧营区系列团体标准逻辑关系...................................................III

图2智慧营区信息系统安全保密架构.....................................................2

学兔兔标准下载

I

T/CPUMT017—2023

引言

智慧营区覆盖范围广泛，包括物理、信息、认知等各类空间环境。本系列文件从信息空间入手，先

行对其中涉及的基于行政与安全管理活动的智慧营区信息系统建设提出规范性要求,旨在推动营区管理

模式创新，进一步提升管理效率和服务水平。

本系列文件是综合机关、部队、院校、科研院(所)、医院(疗养院)、后方仓库营区和机场、港口，

以及干休所等营区的通用性需求制定的基本型标准。由总体框架、建设要求、应用要求、数据处理服务

要求、安全要求、运维管理要求和评价指南7份文件组成，是智慧营区信息系统规划、设计、建设、应

用的基本遵循。智慧营区系列团体标准逻辑关系见图1。

评

价

指评价内容评价类型评价指标评价方法评价手段评价实施

南

应

用

要应用架构应用功能操作使用部署应用

求

建

设建设内容竣工验收

要功能架构

求

数据处理服务要求安全要求运维管理要求

数据服务数据处理平数据采集系统独立运行运维管运维管理运维支持

数据存储安全保密架构运维管运维管理

架构台功能架构处理安全理架构对象数据

标准规范与网络集成使用运维业运维管…

数据管理数据应用数据共享防护等级调整

性能指标安全务系统理实施......

总

体目标与原则总体架构功能架构总体要求

框

架

图1智慧营区系列团体标准逻辑关系

——T/CPUMT013—2023《智慧营区总体框架》，确立了智慧营区信息系统建设目标与原则，给

出了智慧营区信息系统总体架构和功能架构，规定了智慧营区信息系统的总体要求，在系列标

准中起引领性作用，为智慧营区信息系统规划、设计、建设、应用、安全、运维、评价提供宏

学兔兔观指导。标准下载

——T/CPUMT014—2023《智慧营区建设要求》，给出了智慧营区信息系统建设的功能架构，规

定了建设内容、竣工验收等要求。旨在解决智慧营区信息系统“建什么、怎么建”的问题。

——T/CPUMT015—2023《智慧营区应用要求》，给出了智慧营区信息系统的应用架构，规定了

智慧营区信息系统的应用功能、操作使用、部署应用等要求。旨在解决智慧营区信息系统“用

什么、怎么用”的问题。

III

T/CPUMT017—2023

——T/CPUMT016—2023《智慧营区数据处理服务要求》，给出了智慧营区信息系统数据服务架

构和数据处理平台功能架构，规定了基础设施、数据采集处理、数据存储、数据管理、数据应

用、数据共享、标准规范和性能指标等要求。旨在解决营区信息系统数据“采集处理、应用共

享”的问题。

——T/CPUMT017—2023《智慧营区安全要求》，给出了智慧营区信息系统安全保密架构，规定

了智慧营区信息系统独立运行安全、网络集成使用安全、防护等级调整等要求。旨在解决智慧

营区信息系统“防什么、怎么防”的问题。

——T/CPUMT018—2023《智慧营区运维管理要求》，给出了智慧营区信息系统的运维管理架构，

规定了智慧营区信息系统的运维管理对象、运维数据支持、运维业务系统、运维管理实施等要

求。旨在解决智慧营区信息系统“管什么、怎么管”的问题。

——T/CPUMT019—2023《智慧营区评价指南》，给出了智慧营区信息系统评价内容、评价类型、

评价指标、评价方法、评价手段和评价实施等指南。旨在解决智慧营区信息系统“评什么、怎

么评”的问题。

以上7份文件相互联系、相互支撑、各有侧重，从不同专业领域共同规范智慧营区信息系统规划、

设计、建设、应用、安全、运维、评价等工作。

学兔兔标准下载

IV

T/CPUMT017—2023

智慧营区安全要求

1范围

本文件给出了智慧营区信息系统安全保密架构，规定了智慧营区信息系统独立运行安全、网络集成

使用安全、防护等级调整等要求。

本文件适用于智慧营区信息系统安全保密规划设计、建设应用、以及系统全生命周期安全保密管理。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T34942信息安全技术云计算服务安全能力评估方法

T/CPUMT013—2023智慧营区总体框架

T/CPUMT016—2023智慧营区数据处理服务要求

3术语和定义

GB/T22239、GB/T34942和T/CPUMT013—2023界定的以及下列术语和定义适用于本文件。

3.1

物理隔离physicalisolation

被隔离网络与网络，网络和设备之间没有有线或无线实体连接，双方数据导入导出不存在任何事前

协商交换的逻辑关系。

3.2

逻辑隔离logicisolation

被隔离双方之间的数据交换在保证有线或无线连接的情况下，通过事先协商的逻辑关系，仅被要求

的信息可以传输。

4概述

通过“人防、技防、物防”手段的综合运用，以及与智慧营区信息系统安全管理分系统建设运行,

实现对网内安全防护资源的统一管理调度、安全策略的统一制发、安全态势的统一掌控和异常情况的实

时告警、安全问题的联动处置、违规行为的审计追溯，确保系统稳定、可靠、安全运行。

5安全保密架构

智慧营区信息系统安全保密等级按军队有关规定确定。安全保密架构包括物理（电磁）安全、物联

感知安全、网络安全、系统（主机）安全、数据安全、应用安全、用户（终端）安全、安全保密管理8

学兔兔个方面。安全保密架构见图2。标准下载

1

T/CPUMT017—2023

用户（终端）安全

安全保密

管理

应用安全

安全管理

数据安全

系统（主机）安全

保密管理

网络安全

物联感知安全

应用监管

物理（电磁）安全

图2智慧营区信息系统安全保密架构

6系统独立运行安全

6.1基本要求

智慧营区信息系统与其他网络不发生物理连接的，应从物理（电磁）安全、物联感知安全、网络安

全、系统（主机）安全、数据安全、应用安全、用户（终端）安全、安全保密管理8个方面规划设计，

同步制定智慧营区信息系统安全保密总体方案。

6.2物理（电磁）安全

6.2.1数据、监控中心机房环境

具有温、湿度控制和防尘、防静电、防水浸、防火患、防雷电，以及稳定电力供应、人员出入管控

等措施。

6.2.2设备选用

服务器、存储器、终端、交换机、路由器等应选用军队计算机及网络设备集中采购目录产品；安全

网关、防火墙、入侵防御等安全防护产品应取得军用信息安全产品认证证书。

6.2.3电磁安全

数据、监控中心和配置系统管理终端的办公场所应按作用范围配置相应数量的防辐射干扰装置。

6.3物联感知安全

6.3.1设备选用

视频监控、周界防护、电子巡逻、卡口识读等感知设备宜选用国产品牌，防火墙、入侵防御系统、

网关等安全防护产品学兔兔应取得军用信息安全产品认证证书。标准下载

6.3.2设备部署

视频监控摄像机、周界防护、电子巡逻、卡口识读等感知设备，宜部署在能够满足供电，及防盗窃、

防破坏、防水浸、防潮湿、防阻档、防干扰等要求的位置，并按要求做好防雷接地保护。

6.3.3设备接入

2

T/CPUMT017—2023

感知设备在接入网络中应具有唯一的网络身份标识，且能向接入网络证明其网络身份。

6.3.4通信传输

感知设备应启用通信完整性校验机制，具有通信延时和中断的处置机制；无线电通信应按国家和军

队规定频段使用，并具有防干扰能力。

6.3.5端口配置

禁用网络设备空闲端口，感知终端的无线网卡、蓝牙等冗余通信模块。

6.3.6访问控制

访问控制应符合下列要求：

a)感知接入设备应设置严格的访问控制规则；

b)删除多余或无效访问控制规则，优化访问控制列表。

6.3.7威胁监控

应在感知层、传输层、应用层等交换节点采取非法入侵、违规外联监控措施，对恶意通信与代码实

现深度包检测。

6.3.8数据存储

物联感知数据应按数据分类进行存储，可参考T/CPUMT016—2023附录A。

6.3.9安全管理

具备入网设备类型、数量监控统计、网上传输消息、指令等异常发现、鉴别、报警等功能。

6.4网络安全

网络安全应符合下列要求：

a)智慧营区信息系统（营区内部网）与营区接入网（营区通用办公网、业务应用网、政务网、

互联网等）物理隔离，相关数据交换通过光盘实现，该光盘应及时销毁不应重复使用；

b)智慧营区信息系统应具有网络访问控制、入侵检测，安全审计以及网络化病毒查杀等功能；

c)禁用网络、终端空闲端口，交换机端口与用户计算机媒体访问控制（MAC）地址绑定，关闭

系统提供的暂不需要的服务和默认共享；

d)云计算系统的管理层、资源层和应用层之间，以及不同虚拟资源集群之间应逻辑隔离，禁止

虚拟机通过网络访问宿主机资源。

6.5系统（主机）安全

系统（主机）安全应符合下列要求：

a)云主机、服务器、虚拟机应安装并及时更新主机一体化安全防御软件、网络版防病毒软件，

物理机、虚拟机操作系统、数据库管理系统等基础软件应有完备的售后技术支持与服务；

b)服务器、终端应安装主机安全管理类软件，使用口令密码、电子钥匙登录，禁用外联设备端

口，监控外设使用、网络访问、文件操作等行为；

c)数据库访问操作及数据导入、导出和共享应按最小化知悉原则进行，且有身份认证、授权控

制、监控统计、日志审计等措施；

d)建立基础、应用软件黑白名单制度，严控违规安装或接入使用。

学兔兔6.6数据安全标准下载

数据安全应符合下列要求：

a)具备数据备份与恢复能力；

b)具备虚拟机迁移过程的数据完整性保护能力；

c)具备虚拟机与计算、存储、网络等物理资源之间的绑定或限定能力；

3

T/CPUMT017—2023

d)系统数据应分类存储，且具有与系统密级相适应的加密措施和授权访问控制机制；

e)数据推送应有安全监测、隐私保护等安全措施；

f)数据共享应具备共享策略设置等功能，同时采取身份认证、授权控制、日志审计、监控统计

等安全措施；

g)具备数据定期归档及无效数据删除等功能。

6.7应用安全

应用安全应符合下列要求：

a)基础软件应安装并及时更新补丁程序，应用系统更新升级包应经过安全性测试；

b)云平台管理员、云服务方仅在各自权限范围内收集审计数据；

c)虚拟机作为服务提供