DB6301∕T 2-2020 信息资源安全通用要求

35.020L

78DB6301

6301/T

2—2020信息资源安全通用要求西宁市市场监督管理局 发

布DB6301/

T

2—2020 前 言

...........................................................................

III1

..............................................................................

12 规范性引用文件

....................................................................

13 术语和定义

........................................................................

14 共性安全要求

......................................................................

24.1 总则

............................................................................

24.2 密码技术要求

....................................................................

24.3 主机及网络技术要求

..............................................................

34.4 人员管理要求

....................................................................

35

............................................................

35.1 服务器维护

....................................................................

35.2 软件环境

......................................................................

45.3 安全事件处置要求

..............................................................

46

............................................................

46.1 前置机网络管理安全要求

........................................................

46.2 信息资源提供安全技术要求

......................................................

47

............................................................

47.1 前置机网络安全要求

............................................................

47.2 信息资源使用技术安全要求

......................................................

5DB6301/

T

2—2020 本标准按照GB/T1.1-2009给出的规则起草。本标准由西宁市大数据服务管理局提出。本标准由西宁市市场监督管理局归口。本标准起草单位:

杭州数梦工场科技有限公司。本标准主要起草人:

岩、杨兴海。IIDB6301/

T

2—20201范围求、信息资源提供方安全要求、信息资源使用方安全要求。息资源提供方及软件开发厂商等。2 规范性引用文件件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T

《信息系统安全等级保护基本要求》3 术语和定义下列术语和定义适用于本文件。3.1保密性

度。即信息只为授权用户使用。3.2可用性

usability数据或资源的特性，被授权实体按要求能访问和使用的数据源。3.3信息安全风险

risk

of

security人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件及其对组织造成的影响。3.4安全措施

保护资产、抵御脆弱性、降低安全事件的各种实践、规程及机制。3.5DB6301/

T

2—2020信息资源

resourse各级政务部门及具有公共属性的企事业单位在生产、生活过程中产生或获取的，以一定形式记录、保存的文件、资料、图表和数据等各类信息。3.6大数据

big

data处理的数据集。3.7信息资源共享交换平台 子系统进行信息/数据的传输及共享，建立中心数据库，完成信息资源的抽取、集中、加载、展现，构造统一的信息资源处理和交换等大数据服务功能的软硬件集合。3.8信息主体

信息资源进行各项活动的组成单元，为各级政务部门及具有公共属性的企事业单位。3.9信息技术专员

technology

理、维护及信息资源传输。3.10前置机

front-end

过来的非本单位信息资源的计算机，通常指信息主体与信息资源共享交换平台联通的最前端服务器。3.11组织

organization由作用不同的个体为实施共同的业务目标而建立的结构。4

共性安全要求4.1

信息资源提供方、使用方及管理方都应按照

22239-2019《信息系统安全等级保护基本要求》的要求，针对自主保护和重点保护原则的具体内容，都应遵守相关密码技术要求、网络技术要求及人员、信息资源管理的具体要求。DB6301/

T

2—20204.2

密码技术要求信息资源提供方、使用方及管理方应遵循以下要求：a)

密码长度不少于b)

密码由数字、标点、大小写字母和特殊符号组成，必须包含四种以上不同的类型，并具有必要的组合复杂度，不应使用连续或相同数字、字母组合和其它易于破译的组合作为密码；c)

密码不应以任何形式的明文存储，不应以明文形式在电子邮件、传真中传输；d)

用户应定期（至少每季度一次）进行密码修改，并且同一密码不能反复使用。4.3

主机及网络技术要求信息资源提供方、使用方及管理方应遵循以下要求：a)

信息资源服务器（包括业务单位前置机服务器）不应使用属于个人或未授权的各类存储介质或可移动的信息设备，如软盘、光盘、移动硬盘、U盘、笔记本电脑等；b)

所有接入信息资源共享交换平台网络的计算机均须保证安装有最新版本的防病毒软件及最新的病毒库；c)

接入信息资源共享交换平台网络的计算机不应在电子政务外网与互联网之间交叉使用。信息主体与信息资源共享交换平台对接需要在电子政务外网下使用，或采用专线接入方式与信息资源共享信息资源共享交换平台网络互联；d)

接入信息资源共享交换平台网络的计算机应关闭与业务无关的端口，停止与业务无关的服务；e)

在条件允许范围内，信息主体应采用防火墙或者网闸等设备对前置机进行保护。4.4

人员管理应遵循以下要求：a)

各信息主体应在本单位至少设立1名信息技术专员，同时应加强信息安全规章制度的教育培训，信息技术专员每年应进行至少一次安全培训；b)

未经授权，信息技术专员不得查询、修改、删除、新增信息资源，不得向第三方提供经信息共享交换平台获取的信息资源；c)

信息技术专员应对各种工作密码保密，不对外提供和泄露，不盗用他人密码；d)

信息技术专员应签订保密协议，对信息资源和系统架构严格保密；e)

信息技术专员内部调动至其他岗位或离职时，做好信息资源对接的交接工作并报备至信息资源共享交换平台管理部门。4.5

信息资源备份要求前置机信息资源保留至少一年以上，至少每季度进行一次全量备份。5

信息资源管理方安全要求5.1

服务器维护下：a)

服务器管理员负责服务器的日常操作维护工作，确认前置机和信息资源共享交换平台之间信息资源交换状态，应建立和保存服务器完整的技术文档和维护方案；DB6301/

T

2—2020b)

服务器按计划执行运维任务影响信息资源使用时，应提前24小时通知信息资源使用方做好相关2小时内通知信息资源使用方做好相关处理；c)

信息资源共享交换平台系统管理员应每天对信息资源交换情况进行检查，及时发现异常情况并做相应处理；c)

服务器管理员应每周对服务器及外围设备进行一次例行检查和维护；d)

每次更新升级程序时，应做好备份再进行操作，服务器宜进行双机热备份。5.2

软件环境信息资源共享交换平台服务器及与其互联的计算机除安装解压缩、杀毒软件等必要的应用软件外，不应安装游戏、聊天工具等与正常开展业务工作无关的软件。5.3

安全事件处置要求安全事件通常指影响信息资源共享交换平台正常开展业务的各类事件，包括软件故障，硬件故障，黑客入侵与攻击，其他不可预料的未知故障等。安全处理要求应考虑：a)

影响信息资源共享交换使用的安全事件，服务器管理员应尽快通知信息资源使用方、提供方；b)

服务器管理员在服务器发生安全事件时应做好记录，记录内容包括：事件发生的时间、事件现象、事件发生原因、事件影响范围、事件处置措施等。6 6.1

前置机网络管理安全要求信息资源提供方前置机的网络安全应遵循以下要求：a）信息资源提供方负责本单位信息资源共享交换前置机的安全；b)

确保数据链路的连通性，关闭无关的端口，同时设置固定IP地址对前置机数据库的访问；c)

有条件的信息主体将前置机与生产区隔离，网络环境中添加网闸或者防火墙设备。6.2

信息资源提供安全技术要求信息资源提供方在提供信息资源时应考虑：a)

信息资源提供方需停止提供已发布的共享信息资源时，应当提供正当理由说明并提前报信息资源共享交换平台管理方备案；b)

信息资源提供方采用前置机提供信息资源时，可采用首次全量，以后增量方式，保证生产库信息资源量与前置机数据库信息资源量一致，同时按照约定的周期定期查看信息资源是否推送到前置机数据库；c)

信息资源提供方按照提交的信息资源对接要求从库表结构、信息资源抽取方式、信息资源更新方式保证信息资源推送的准确、及时、完整；d)

业务生产库表结构与前置机数据库表结构的字段、字段类型、字段注释保持一致；e)

信息资源提供方采用接口方式提供信息资源时，应采用身份鉴别、访问权限控制、加密传输等安全措施；f)

信息资源提供方采用其他方式提供信息资源时，不宜使用电子邮件传输；g)

信息资源提供方应该配合信息资源共享交换平台管理方解决信息资源共享过程中出现的问题。DB6301/

T

2—20207

信息资源使用方安全要求7.1

前置机网络安全要求信息资源使用方的前置机的网络安全应遵循以下要求：a）信息资源使用方负责本单位信息资源共享交换前置机的安全；b)

确保数据链路的连通性，关闭无关的端口，同时设置固定IP地址对前置数据库的访问；c)

有条件的信息主体将前置机与生产区隔离，网络环境中添加网闸或者防火墙设备。7.2

信息资源使用技术安全要求信息资