DB41T 1339-2016 智慧城市信息安全建设指南

ICS35.020L01DB41河南省地方标准DB41/T1339—2016智慧城市信息安全建设指南2016-12-29发布2017-03-29实施河南省质量技术监督局发布DB41/1339—2016I目次前言................................................................................II1范围..............................................................................12规范性引用文件....................................................................13术语和定义........................................................................14架构..............................................................................15技术安全要求......................................................................25.1基础设施安全要求..............................................................25.2网络传输安全技术..............................................................35.3数据存储安全..................................................................45.4计算环境安全..................................................................55.5应用服务安全..................................................................66运维安全要求......................................................................76.1环境管理......................................................................76.2资产管理......................................................................76.3介质管理......................................................................76.4设备管理......................................................................86.5监控管理和安全管理中心........................................................86.6网络安全管理..................................................................86.7系统安全管理..................................................................86.8意码防范管理..................................................................96.9密码管理......................................................................96.10安全事件处置.................................................................96.11应急预案管理.................................................................97管理安全要求......................................................................97.1建设监管......................................................................97.2过程管理.....................................................................107.3信息安全事件应急处置.........................................................107.4安全组织机构.................................................................117.5安全教育和培训...............................................................12图1智慧城市信息安全建设框架........................................................2DB41/1339—2016II前言本标准按照GB/T1.1-2009给出的规则起草。本标准由河南省工业和信息化委员会提出并归口。本标准由河南省信息安全产业协会（云安信息安全产业联盟）负责起草，河南山谷网安科技股份有限公司、河南拓普计算机网络工程有限公司、河南省信息化发展有限公司、郑州金惠计算机系统工程有限公司、郑州信大捷安信息技术股份有限公司、河南金明源信息技术有限公司、华为技术有限公司、北京奇虎科技有限公司、曙光信息产业股份有限公司、百年金海科技有限公司、河南宝通信息安全测评有限公司、河南博施盾网络技术有限公司、河南赛客信息技术有限公司、中国联通系统集成有限公司河南省分公司、河南元丰科技网络股份有限公司参与起草。本标准主要起草人：张震、张志鸿、王瑞民、杨志峰、魏强、杜学绘、朱琼。本标准参加起草人：谭晓生、陶耀东、庄青、吴江荣、崔昊、孙国忠、宋怀明、马现通、谷晶中、李善平、贾俊亮、张晨民、王秀清、彭天强、姚金龙、崔晶、程杰、李强、陈红军、陈光、周华杰、贾新、朱红生、胡道光、胡军峰、王浩、林向前、张连杰、王文芳、王云飞、杨龙。DB41/1339—20161智慧城市信息安全建设指南1范围本标准规定了智慧城市信息安全建设的术语和定义、架构、技术安全要求、运维安全要求和管理安全要求。本标准适用于智慧城市的信息安全建设。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T367-2001视频安防监控系统技术要求GB/T22240-2008信息安全技术信息系统安全等级保护实施指南GB/T28448-2012信息安全技术信息系统安全等级保护测评要求GB/T28514.3-2012支持IPv6的路由协议技术要求GB50174-2008电子信息系统机房设计规范公安部82号互联网安全保护技术措施规定3术语和定义下列术语和定义适用于本文件。3.1智慧城市是运用物联网、云计算、大数据、空间地理信息集成等新一代信息技术，促进城市规划、建设、管理和服务智慧化的新理念和新模式。3.2智慧城市信息安全在智慧城市建设范畴内，是指围绕信息技术的高度集成、信息资源的综合运用的线上和线下的信息安全，既包含传统的信息系统安全，也可以包含网络安全或网络空间安全。4架构智慧城市信息安全建设架构，包括技术安全要求、运维安全要求和管理安全要求，如图1所示。DB41/1339—20162应用服务安全身份鉴别、访问控制、安全审计、应用传输安全、抗抵赖、软件容错……计算环境安全数据存储安全网络传输安全基础设施安全运维安全要求管理安全要求身份鉴别、安全审计……访问控制、完整性机制、加密机制、安全审计、数据备份与恢复、剩余信息保护……网络架构、访问控制、安全审计、入侵检测、实体身份鉴别……感知设备安全、机房安全……技术安全要求图1智慧城市信息安全建设框架5技术安全要求5.1基础设施安全要求5.1.1感知设备5.1.1.1物理环境本项要求包括：a)感知设备部署环境满足稳定可靠的电力供应，具备防盗窃、防水、防潮等措施，能够保护感知设备免遭破坏；b)为感知设备在生存期提供稳定可靠的电力供应；c)提供技术和管理手段检测感知设备的供电情况。5.1.1.2感知设备防护本项要求包括：a)感知设备能固定在部署场所中，并设置明显的不易除去的标记；b)感知设备具备防盗窃和防破坏的措施；5.1.1.3感知模块身份认证本项要求包括：DB41/1339—20163a)感知设备在接入网络中具有唯一性网络身份标识；b)避免弱口令，并能够进行鉴别失败处理；c)感知设备应关闭不用的通信端口；d)感知设备接入的网络应具有限制感知设备接入的能力。5.1.1.4通信安全本项要求包括：a)感知设备使用无线电通信时，应符合工程建设国家标准（GB/T367-2001视频安防监控系统技术要求）；b)感知设备的通信协议支持传输完整性校验机制并启用该机制；c)能处理通信延时或中断；d)感知设备传输敏感信息时对传输数据进行加密。5.1.1.5系统安全本项要求包括：a)感知设备的系统用户应有唯一性标识，能对系统用户进行身份鉴别；b)具有执行能力的感知设备应能对下达指令的对象进行身份鉴别；c)应能够控制对感知数据的访问并规定对感知数据的访问模式；d)感知设备应能限制对其下达指令的对象；e)应能够开启和/或关闭审计功能；f)感知设备应能将指令的执行结果及异常及时反馈给通过身份鉴别的指令发送方。5.1.1.6采集数据安全本项要求包括：a)使用加密或其他保护措施，实现鉴别信息和重要数据的传输及存储的机密性；b)提供必要的隐私数据保护措施，防止隐私数据的泄露，应为感知数据产生真实性证据；c)能够提供支持，用来验证真实性证据和产生证据的感知设备身份；d)对于重要数据，应冗余部署感知设备进行采集，并采取一定算法保证采集数据可靠性。5.1.2机房安全机房安全应符合国家相关规定（GB50174-2008电子信息系统机房设计规范）。5.2网络传输安全技术5.2.1网络架构本项要求包括：a)保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；b)在业务终端与业务服务器之间进行路由控制建立安全的访问路径；c)根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；d)避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；DB41/1339—20164e)按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机；d)按照国家相关规定，能够提供支持中间系统到中间系统域内路由信息交换技术(GB/T28514.3-2012支持IPv6的路由协议技术要求)。5.2.2访问控制本项要求包括：a)在网络边界部署访问控制设备，启用访问控制功能；b)对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；c)按主体和客体之间的允许访问规则，决定允许或拒绝主体对客体的访问，控制粒度为单个主体和单个客