1 范圍

      本文件規(guī)定了化學(xué)品管理信息化信息安全的基本要求和技術(shù)要求。

      本文件適用于化學(xué)品管理信息化的信息安全管理。

2 規(guī)范性引用文件

      下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 2887 計算機場地通用規(guī)范

      GB/T 5271.8 信息技術(shù) 詞匯 第8部分：安全

      GB 17859 計算機信息系統(tǒng) 安全保護等級劃分準(zhǔn)則

      GB/T 20269 信息安全技術(shù) 信息系統(tǒng)安全管理要求

      GB/T 20270 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求

      GB/T 21052 信息安全技術(shù) 信息系統(tǒng)物理安全技術(shù)要求

      GB/T 22080 信息技術(shù) 安全技術(shù) 信息安全管理體系 要求

      GB/T 22240 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護定級指南

      GB/T 30283 信息安全技術(shù) 信息安全服務(wù) 分類

3 術(shù)語和定義

      GB/T 5271.8、GB 17859 界定的以及下列術(shù)語和定義適用于本文件。

3.1

      訪問控制 access control

      按確定的規(guī)則，對實體之間的訪問活動進行控制、防止未授權(quán)使用資源的安全機制。

3.2

      令牌 tokens

      由系統(tǒng)創(chuàng)建的包含登錄進程返回的安全標(biāo)識符和由本地安全策略分配給用戶和用戶的安全組的特權(quán)列表。

4 基本要求

4.1 安全目標(biāo)

4.1.1 應(yīng)通過整體安全體系規(guī)劃，綜合運用各種安全技術(shù)和手段，從侵害程度、侵害對象兩個方面劃分化學(xué)品信息管理系統(tǒng)的信息安全等級，其安全要求應(yīng)不低于對應(yīng)安全等級應(yīng)符合GB 17859和GB/T 22240的規(guī)定。

4.1.2 在化學(xué)品信息采集、信息存儲、信息加工、信息交換、信息應(yīng)用、信息消亡過程中應(yīng)研究目標(biāo)化學(xué)品的信息安全特征，確定相對應(yīng)的安全目標(biāo)，分為靜態(tài)安全目標(biāo)和動態(tài)安全目標(biāo)。

4.1.3 靜態(tài)安全目標(biāo)保證系統(tǒng)實體平臺安全，應(yīng)包括整個系統(tǒng)的物理環(huán)境、系統(tǒng)軟硬件結(jié)構(gòu)和可用的信息資源。

4.1.4 動態(tài)安全目標(biāo)保障系統(tǒng)的軟環(huán)境安全，應(yīng)包括安全管理、安全服務(wù)、安全意識和人員的安全專業(yè)素質(zhì)。

4.2 安全體系

      信息安全體系應(yīng)包括：

      a）安全管理：建立信息安全管理相關(guān)的制度和規(guī)定，實現(xiàn)管理上的安全；

      b）安全服務(wù)：建立信息安全體系不僅應(yīng)依靠現(xiàn)有的安全機制和設(shè)備，還應(yīng)全方位地提供各類安全服務(wù)；

      c) 數(shù)據(jù)安全：保證數(shù)據(jù)庫的安全和數(shù)據(jù)本身及網(wǎng)絡(luò)傳輸安全；

      d) 應(yīng)用系統(tǒng)安全：系統(tǒng)內(nèi)部的應(yīng)用安全，是系統(tǒng)實現(xiàn)時最被關(guān)注的部分；

      e）軟件平臺安全：保證軟件平臺系統(tǒng)（如操作系統(tǒng)和應(yīng)用系統(tǒng)基礎(chǔ)服務(wù)軟件等）安全；

      f) 網(wǎng)絡(luò)安全：把被保護的網(wǎng)絡(luò)從自由開放、無邊界的環(huán)境中獨立出來，使網(wǎng)絡(luò)成為可控制、可管理的內(nèi)部系統(tǒng)；

      g）物理安全：從物理上保證系統(tǒng)設(shè)備的安全。

4.3 安全管理

4.3.1 化學(xué)品信息管理系統(tǒng)和監(jiān)管平臺應(yīng)建立一套完善的安全管理方案，并貫穿信息安全的各層次，包括安全制度管理和安全目標(biāo)管理。

4.3.2 應(yīng)從建立完善機房管理、網(wǎng)絡(luò)管理、數(shù)據(jù)管理、設(shè)備管理、應(yīng)急處理、人員管理、技術(shù)資料管理等方面加強安全制度管理。

4.3.3 應(yīng)按照資源管理目標(biāo)，對信息系統(tǒng)涉及的物理資源、網(wǎng)絡(luò)資源、信息資源實施統(tǒng)一的資源分配，并根據(jù)資源重要程度確定安全等級和安全管理范圍。

4.3.4 應(yīng)按照GB/T 20269和GB/T 22080的要求，安排專門人員負責(zé)以保證安全管理制度實施。

4.3.5 應(yīng)展開對最新安全技術(shù)的跟蹤研究，加強安全技術(shù)進行交流、探討，優(yōu)化安全管理策略。

4.3.6 應(yīng)加強與已有的防火墻、防病毒、數(shù)據(jù)備份等安全設(shè)施的緊密配合。

4.4 安全服務(wù)

4.4.1 安全服務(wù)應(yīng)包括安全咨詢、安全工程實施、安全技術(shù)培訓(xùn)和安全維護，應(yīng)符合GB/T 30283的要求。

4.4.2 信息安全不是安全產(chǎn)品的簡單集合，而是一項系統(tǒng)工程并有其專業(yè)體系，應(yīng)采用先進科學(xué)的知識結(jié)構(gòu)進行全面細致地把握。

4.4.3 信息安全系統(tǒng)存在固有弱點，即使最微小的安全漏洞都可能引發(fā)整個網(wǎng)絡(luò)系統(tǒng)的崩潰。且系統(tǒng)安全只是暫時的、靜態(tài)的，應(yīng)通過持續(xù)全面的安全服務(wù)進行加強。

5 技術(shù)要求

5.1 物理安全

5.1.1 根據(jù)不同的目標(biāo)對象，物理安全包括：

      a）環(huán)境安全，對系統(tǒng)所在環(huán)境的安全保護，如區(qū)域保護和災(zāi)難保護；

      b）設(shè)備安全，主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護；

      c）媒介安全，包括媒介本身的安全及媒介數(shù)據(jù)的安全。

5.1.2 環(huán)境安全應(yīng)符合GB/T 2887的要求，物理安全應(yīng)符合GB/T 21052的要求。

5.2 網(wǎng)絡(luò)安全

5.2.1 一般要求

      網(wǎng)絡(luò)安全應(yīng)符合GB/T 20270的要求。

5.2.2 網(wǎng)絡(luò)冗余

5.2.2.1 應(yīng)采用網(wǎng)絡(luò)冗余、系統(tǒng)隔離、訪問控制、加密、安全監(jiān)測、網(wǎng)絡(luò)掃描等技術(shù)手段來保障化學(xué)品信息系統(tǒng)的網(wǎng)絡(luò)安全。

5.2.2.2 應(yīng)通過網(wǎng)絡(luò)冗余解決網(wǎng)絡(luò)系統(tǒng)單點故障，對關(guān)鍵性的網(wǎng)絡(luò)線路、設(shè)備采用雙備份或多備份的方式。網(wǎng)絡(luò)運行時，應(yīng)對運營狀態(tài)相互實時監(jiān)控并自動調(diào)整，當(dāng)網(wǎng)絡(luò)的一段或一點發(fā)生故障，或者網(wǎng)絡(luò)信息流量突變時應(yīng)能在有效時間內(nèi)進行切換分配。

5.2.3 系統(tǒng)隔離

      應(yīng)劃分物理隔離和邏輯隔離，應(yīng)結(jié)合信息安全等級劃分合理的網(wǎng)絡(luò)安全邊界，實現(xiàn)不同安全級別的網(wǎng)絡(luò)或信息媒介不能相互訪問。應(yīng)針對應(yīng)用系統(tǒng)特點和化學(xué)品信息的特征采取相應(yīng)的隔離措施。

5.2.4 訪問控制

5.2.4.1 對于網(wǎng)絡(luò)不同信任域，應(yīng)根據(jù)雙向控制或有限訪問的原則加強訪問控制，有效控制受控的子網(wǎng)或主機訪問權(quán)限和信息流向。

5.2.4.2 對網(wǎng)絡(luò)對象，應(yīng)解決網(wǎng)絡(luò)的邊界控制和網(wǎng)絡(luò)內(nèi)部的控制，根據(jù)有限訪問的原則對網(wǎng)絡(luò)資源進行合理配置，對信息流向應(yīng)根據(jù)安全需求實現(xiàn)單向或雙向控制。

5.2.4.3 訪問控制最重要的設(shè)備是防火墻，宜安置在不同安全域出入口處，對進出網(wǎng)絡(luò)的信息包進行過濾并按安全策略進行信息流控制，同時實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換、實時信息告警等功能，高級防火墻還應(yīng)實現(xiàn)基于用戶的細粒度的訪問控制。

5.2.5 加密

      應(yīng)采用加密手段防止網(wǎng)絡(luò)上的竊聽、泄漏、篡改和破壞。加密應(yīng)從三個層次來實現(xiàn)：

      a）鏈路層加密應(yīng)側(cè)重通信鏈路而不考慮信源和信宿，對網(wǎng)絡(luò)高層主體透明；

      b）網(wǎng)絡(luò)層加密應(yīng)采用網(wǎng)絡(luò)安全協(xié)議，具備加密、認證雙重功能，并應(yīng)在系統(tǒng)的服務(wù)器間通信采取此協(xié)議；

      c）應(yīng)用層加密應(yīng)根據(jù)實際業(yè)務(wù)的應(yīng)對處理、傳輸和存儲的數(shù)據(jù)采取多種加密算法進行加密保護。

5.2.6 安全監(jiān)測

      應(yīng)采用安全監(jiān)測尋找未授權(quán)的網(wǎng)絡(luò)訪問嘗試和違規(guī)行為，包括但不限于網(wǎng)絡(luò)系統(tǒng)的掃描、預(yù)警、阻斷、記錄、跟蹤。網(wǎng)絡(luò)掃描監(jiān)測系統(tǒng)應(yīng)具有實時、自適應(yīng)、主動識別和響應(yīng)等特征。

5.2.7 網(wǎng)絡(luò)掃描

      應(yīng)采用網(wǎng)絡(luò)掃描對網(wǎng)絡(luò)設(shè)備的安全漏洞進行檢測和分析，包括但不限于網(wǎng)絡(luò)通信服務(wù)、路由器、防火墻、郵件、WEB服務(wù)器，從而識別能被入侵者利用非法進入的網(wǎng)絡(luò)漏洞。網(wǎng)絡(luò)掃描系統(tǒng)應(yīng)對檢測到的漏洞信息形成詳細報告，包括位置、詳細描述和建議的改進方案，有效檢測和管理安全風(fēng)險信息。

5.3 軟件平臺安全

5.3.1 影響軟件平臺安全性的因素主要包含操作系統(tǒng)安全漏洞和病毒。

5.3.2 在操作系統(tǒng)安裝的時候應(yīng)使用平臺軟件廠商提供的安全漏洞掃描工具進行漏洞掃描；在新漏洞信息發(fā)布的時候，應(yīng)利用軟件平臺廠商提供的更新服務(wù)安裝相應(yīng)的漏洞補丁，即時保障系統(tǒng)安全。

5.3.3 應(yīng)采取專業(yè)的防病毒解決方案，實現(xiàn)從網(wǎng)絡(luò)、服務(wù)器、客戶機三個方面的立體防范。對于重大的安全漏洞和病毒，應(yīng)及時向統(tǒng)管理員發(fā)出安全警告信并提供相應(yīng)應(yīng)對措施。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。