DB50∕T 956.4-2021 预警信息发布平台管理规范 第4部分：网络安全

ICS07.060

CCSA47

DBDB50/T5956.4—02021

重庆市地方标准

DB50/T956.4—2021

预警信息发布平台管理规范

第4部分：网络安全

2021-09-30发布2022-01-01实施

重庆市市场监督管理局发布

DB50/T956.4—2021

目次

前言.......................................................................................................................................................................II

1范围.....................................................................................................................................................................1

2规范性引用文件.................................................................................................................................................1

3术语和定义.........................................................................................................................................................1

4预警信息发布平台网络安全建设概述.............................................................................................................2

5安全技术建设要求.............................................................................................................................................2

6安全管理建设要求.............................................................................................................................................5

参考文献.................................................................................................................................................................8

I

DB50/T956.4—2021

前  言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件是DB50/T956《预警信息发布平台管理规范》的第4部分。DB50/T956已发布了以下部分：

——第1部分：业务职能和岗位设置；

——第2部分：信息发布规范；

——第3部分：数据格式。

本文件由重庆市气象局提出并归口。

本文件起草单位：重庆市人工影响天气办公室（重庆市预警信息发布中心）。

本文件主要起草人：李剑莉、龙治平、周浩、王俭、豆俊川、蔡敏敏、罗永夔。

II

DB50/T956.4—2021

预警信息发布平台管理规范

第4部分：网络安全建设

1范围

本文件规定了预警信息发布平台的安全技术和安全管理要求。

本文件适用于市、区县、乡镇、村预警信息发布平台的安全建设和监督管理。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本使用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T22239-2019信息安全技术网络安全等级保护基本要求

GB/T31167-2014信息安全技术云计算服务安全指南

GB/T39786-2021信息安全技术信息系统密码应用基本要求

3术语和定义

下列术语和定义适用于本文件。

3.1

网络安全cybersecurity

通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于

稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

[来源:GB/T22239-2019,3.1]

3.2

基础信息网络basicinformationnetwork

平台正常运转所需的信息传输通道。

3.3

云计算cloudcomputing

通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的模式。

注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。

[来源:GB/T31167-2014,3.1]

3.4

1

DB50/T956.4—2021

移动互联mobilecommunication

采用无线通信技术将移动终端接入网络的过程。

[来源:GB/T22239-2019,3.9,有修改]

3.5

安全保护能力securityprotectionability

能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。

[来源:GB/T22239-2019,3.2]

3.6

网络区域networkarea

根据工作和应用需求,预警信息发布平台内划分的具有相同安全访问控制、边界控制策略的子网或

网络。

4预警信息发布平台网络安全建设概述

4.1保护的对象

预警信息发布平台使用到的基础信息网络、云计算平台、大数据应用/平台/资源、物联网和采用移

动互联技术的系统。

4.2总体要求

应在满足GB/T22239-2019的第三级安全保护能力要求基础上，同时满足安全技术建设要求和安全

管理建设要求。

5安全技术建设要求

5.1安全物理环境

5.1.1基础设施选择

5.1.1.1应采用云计算基础设施，混合云方式建设，且达到网络安全等级第三级安全保护能力的要求。

5.1.1.2云计算基础设施应位于中国境内。

5.1.1.3数据库服务器、地图服务器等宜使用物理服务器，其余服务器或存储资源宜使用虚拟服务器。

5.1.2物联网感知节点设备物理环境

应满足节点设备正常工作的参数要求。

5.2安全通信网络

5.2.1网络区域划分

5.2.1.1按照网络区域安全需求，将基础信息网络从高到低-划分为电子政务外网区、气象信息专网区、

互联网区。其中电子政务外网区和气象信息专网区又分为市级和区县级。

5.2.1.2预警信息发布平台核心组件应部署在电子政务外网区。

5.2.1.3可根据业务需要将网络区域进一步细化。

2

DB50/T956.4—2021

5.2.2网络架构

5.2.2.1气象信息专网区通过专线受限接入电子政务外网区。

5.2.2.2应通过市级气象信息专网区连接互联网区。

5.2.2.3应通过区县电子政务外网区、区县气象信息专网区分别连接市级电子政务外网区、市级气象

信息专网区。

5.2.3通信传输

应采用校验技术、密码技术保证通信过程中数据的完整性、保密性。密码技术要求按照GB/T39786

执行。

5.2.4可信验证

硬件设备和软件系统应通过国家认证的安全性测试。

5.3安全区域边界

5.3.1边界防护

5.3.1.1应在气象信息专网区与互联网区、电子政务外网区的边界部署访问控制设备。

5.3.1.2应在气象信息专网区与电子政务外网区边界部署网络隔离设备。

5.3.1.3宜建立相应安全访问控制区域。

5.3.2访问控制

5.3.2.1应按照预警信息发布平台网络区域安全需求，对网络安全设备进行安全策略配置。

5.3.2.2应对移动终端设备进行接入认证。

5.3.2.3应保证只有授权的感知节点能接入。

5.3.3入侵防范

宜部署旁路检测设备，对网络中的数据流量进行实时解析，能对网络攻击行为、异常流量等进行报

警。

应限制与感知节点设备通信的地址和设备。

5.3.4安全审计

5.3.4.1应对预警信息发布平台业务人员和运维人员的行为分别进行记录。

5.3.4.2记录包括行为时间、操作人员、操作类型、行为结果。

5.3.5安全计算环境

5.3.6身份鉴别

应内置身份鉴别功能。宜扩展身份鉴别机制。

5.3.7访问控制

5.3.7.1应对预警信息发布平台业务人员设置相应操作权限。

5.3.7.2授权应遵循最小权限原则，细分业务管理员、业务信息发布员、业务信息审核员、普通用户。

5.3.7.3预警信息的移动审核权限应只赋予有授权的设备。

5.3.7.4应保证预警信息发布平台迁移时，上述访问控制策略能随其迁移。

3

DB50/T956.4—2021

5.3.8入侵防范

5.3.8.1应仅安装必要的组件和应用程序，关闭非必要的系统服务和默认共享，关闭非必要的高危端

口和访问用户。

5.3.8.2对已知漏洞，应在经过充分测试评估后及时采取加固措施。

5.3.9安全审计

5.3.9.1应部署数据库审计、服务器审计、日志审计。

5.3.9.2应记录预警信息发布平台业务人员和运维人员对资源的访问、使用情况，并将监测数据送至

安全管理中心。

5.3.10恶意代码防范

应对预警信息发布平台适用设备安装杀毒软件。

5.3.11数据完整性和保密性

5.3.11.1应采用校验技术保证各网络区域中数据的完整性。

5.3.11.2应保证服务器迁移过程中数据的完整性。

5.3.11.3应采用密码技术、身份鉴别技术，对敏感数据实现加密访问。

5.3.12数据备份恢复

5.3.12.1应具有核心数据和业务功能的离线备份和恢复能力。

5.3.12.2应具有基于云的热冗余备份能力。

5.3.13冗余设计

应对核心服务器、数据存储和重要网络节点采用多台设备，多条线路，实现相互备份。

5.4安全管理中心

5.4.1系统管理

应部署安全管理模块，对业务管理员进行身份鉴别，只允许获得授权的设备和账号进行系统管理操

作。

5.4.2集中管理

应具备对所有安全设备统一管理，对整体安全态势集中可视化展示、分析，对入侵和安全事件预警、

管控的能力。

6安全管理建设要求

6.1安全管理制度

包括但不限于以下制度：

——安全责任制。设立安全负责人，制定安全管理文件；

——日常管理操作规程；

——安全巡检制度；

——专项管理制度。包括物联网感知节点设备、敏感数据。

4

DB50/T956.4—2021

6.2预警信息发布平台工作机构

6.2.1.1应遵循分级管理和属地管理原则。

6.2.1.2应设立网络安全管理部门和岗位，配备安全管理人员。

6.2.1.3应加强与安全服务机构的合作。

6.3安全管理人员

6.3.1应定期对安全管理人员进行安全意识教育和技术培训。

6.3.2应和安全管理人员签订保密协议。

6.3.3安全管理人员离岗后应立即终止其所有访问权限。

6.4系统开发安全管理

6.4.1系统安全方案设计

6.4.1.1应明确安全体系架构、安全协议、访问控制和身份鉴别机制、加密方法、核心数据及数据保

护方法等。

6.4.1.2应由市预警信息发布平台工作机构统一设计。

6.4.1.3区县预警信息发布平台工作机构应通过书面方式向市预警信息发布平台工作机构提交软件区

域化建设申请。

6.4.2系统开发

6.4.2.1应保证开发环境和正式运行环境的分离。

6.4.2.2应要求系统开发人员签署保密协议。

6.4.2.3应对所有接触敏感数据的人员进行登记。

6.4.3系统测试

6.4.3.1应要求系统开发单位提供源代码。

6.4.3.2应进行上线前系统测试，聘请有资质的测试机构完成系统漏洞扫描、安全性检测，并出具测

试报告。

6.4.4系统交付

6.4.4.1应要求系统承建单位提供建设过程文档、软件使用文档、系统部署文档、运行维护文档，并

对运行维护的技术人员进行相应技能培训。

6.4.4.2应要求预警信息发布平台中的数据、业务软件所有权和在质保期内的第三方插件使用权归委

托开发的预警信息发布平台工作机构。

6.4.5安全等级测评

每年应对预警信息发布平台进行一次安全等级测评。

6.5安全运维管理

6.5.1资产管理

应编制预警信息发布平台资产清单，至少每半年进行一次更新。

6.5.2介质管理

5

DB50/T956.4—2021

应由专人进行归档、登记、存储、销毁。

6.5.3设备维护管理

应由专人定期进行维护管理。

6.5.4漏洞和风险管理

应定期进行安全检查，形成安全检查报告，并及时对检查发现的问题进行整改。

6.5.5网络和系统安全管理

6.5.5.1应制定重要设备和关键进程的配置和操作手册，运行维护人员依据手册进行操作。

6.5.5.2应对每日的运行维护工作进行日志记录。

6.5.5.3应严格控制远程运维的开通，必须开通的远程运维，应更改默认远程连接端口。

6.5.6配置管理

部署文档应记录和保存基本配置信息，包括网络拓扑结构，服务器安装的组件、补丁，各设备的配

置参数和系统配置流程。

6.5.7密码管理

应符合GB/T39786的要求。

6.5.8数据共享管理

应做好预警信息发布平台工作机构提供数据共享服务的登记。登记内容应包括开通时间、使用部门、

数据种类、共享方式、用户名、密码、联系人、联系电话。

6.5.9备份与恢复管理

6.5.9.1应根据数据的重要性