DBJ50-T-197-2014重庆市城乡建设领域信息安全规范

重庆市工程建设标准重庆市城乡建设领域信息安全规范施行日期：2014年10月1日重庆市城乡建设委员会文件重庆市城乡建设委员会关于发布《重庆市城乡建设领域基础数据标准》和《重庆市城乡建设领域信息安全规范》的通知现批准《重庆市城乡建设领域基础数据标准》和《重庆市城乡建设领域信息安全规范》为我市工程建设推荐性标准，编号分别为：DBJ50/T-196-2014、DBJ50/T-197-2014,自2014年10月1日起施行。本规程由重庆市城乡建设委员会负责管理，重庆市建设信息中心负责具体技术内容解释。重庆市城乡建设委员会二O一四年七月一日关于同意重庆市《建筑外墙外保温系统用饰面砂浆应用技术规程》等五项地方标准备案的函建标标备〔2014J152号重庆市城乡建设委员会科技教育处你处《关于工程建设地方标准备案的请示》(2014年7月7日)收悉。经研究，同意该五项标准作为“中华人民共和国工程建设地方标准”备案，其备案号为：《建筑外墙外保温系统用饰面砂浆应用技术规程》J12744-2014《重庆市城乡建设领域基础数据标准》J12745-2014《重庆市城乡建设领域信息安全规范》J12746-2014《高强混凝土抗压强度检测技术规程》J12747-2014《设施栽培园林植物病虫害防治技术规范》J12748-2014该五项标准的备案号，将刊登在国家工程建设标准化信息网和近期出版的《工程建设标准化》刊物上。住房和城乡建设部标准定额司二O一四年七月二十三日根据重庆市城乡建设委员会《关于下达2012年重庆市工程建设标准制订、修订项目计划的通知》渝建发[2012]119号的要求，标准编制项目组通过认真查阅资料和广泛的调查研究，参考已有国家标准和行业标准，在充分讨论的基础上，以《中华人民共和国电子签名法》、《中华人民共和国计算机信息系统安全保护条据机密性及身份认证规范；5.病毒防范与防火墙；6.信息系统数本规范由重庆市城乡建设委员会负责管理，重庆市建设信息中心负责具体内容的解释。在本规范的实施过程中，希望各单位注意收集资料，总结经验，并将需要修改、补充的意见或建议送交重庆市建设信息中心(地址：重庆市渝中区长江一路58号，邮编：400014,电话：023+63671020,传真：023—63672019),以便以后修订时参考。本规范主编单位、主要起草人和审查专家：主要起草人：黄长明蒲晓明王成良陈轩王春乐审查专家：陈庄张京街陈阿林，丁晓明刘维忠 1 23信息安全等级 53.1信息安全保护等级 53.2信息安全保护策略 74数据加密及电子身份认证 94.1数据加密 94.2电子身份认证 5病毒防范与网络安全 5.1病毒防范 5.2网络安全 6信息系统数据库备份、恢复 196.1一般规定 6.2数据备份、归档和恢复原则 196.3存储、备份设备及相关设备管理 216.4运维管理流程 227信息系统数据库灾难恢复 257.1灾难恢复的组织机构 257.2灾难恢复的规划 25本规范用词说明 34引用标准名录 条文说明 371Generalprovisions 12Terms 23Informationsafetygrade 53.1Informationsafetyprotectiongrade 53.2Informationsafetyprotectionstrategy 74Dataencryptionandelectronicauthentication 94.1Dataencryption 94.2Electronicauthentication 5Anti-virusandnetworksecurity 135.2Networksecurity 146Specificationfordatabasebackupandrestoration 196.1Generalprovisions 196.2Principleofdatabackuparchiveandrestoration 6.3Management/ofstorage,backupandrelatedequipments 216.4Processofoperationandmaintenancemanagement 227Specificationfordatabasedisasterrecovery 257.1Disasterorganization 257.2Planningofdisasterrecovery 25Explanationofwording 34Normativestandards 35Explanationofprovisions 11.0.1为确保重庆市城乡建设领域信息系统基础数据的安全，切实实现重庆市城乡建设领域信息的安全规范要求，建立信息安全的保障体系，制定本规范。1.0.2本规范适用于重庆市建设领域各企事业单位在信息化过程中的信息安全要求，包括数据加密、数据备份、电子身份认证和数据灾难恢复等的数据安全防范准则和安全保障机制。1.0.3本规范规定了企事业单位业务数据和管理数据的基本安全技术要求。当本标准与国家法律、行政法规的规定相抵触时，应按照国家法律、行政法规的规定执行。数据安全实施规范除应按本规范执行外，符合国家现行有关标准的规定。22.0.1数据机密性dataconfidentiality机密性是指信息不能被非授权者、实体或进程利用或泄露的特性。2.0.2数据完整性dataintegrity数据完整性是指数据未遭受以未授权方式所作的篡改或未经授权使用的特性。2.0.3电子身份认证electronicauthentication电子身份认证是指为保证网络数字信息安全而建立的一种信任及信任验证机制，它利用数字证书技术实现各类实体在网上信息交流及业务活动中的身份证明。2.0.4数字签名digitalsighature数字签名是利用密码技术以数字证书的形式对信息系统中的关键数据进行加密运算，采用规范化的程序和科学化的方法，对签名人的身份及信息的认可。2.0.5恢复时间目标recoverytimeobjective(RTO)灾难发生后，从IT系统宕机导致业务停顿之刻开始，到IT系统恢复至可以支持各部门运作、业务恢复运营之时，此两点之间的时间段称为RTO。2.0.6恢复点目标recoverypointobjective(RPO)恢复点目标是指一个过去的时间点，当灾难或紧急事件发生时，数据可以恢复到的时间点。2.0.7灾难备份中心backupcenterfordisasterrecovery用于灾难发生后接替主系统进行数据处理和支持关键业务功能运作的场所，可提供灾难备份系统、备用的基础设施和专业技术支持及运行维护管理能力。32.0.8灾难备份backupcenterfordisaster为灾难恢复而对数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份的过程。2.0.9灾难备份系统backupsystemfordisasterrecovery用于灾难恢复目的，由数据备份系统、备用数据处理系统和备用的网络系统组成的信息系统。2.0.10业务影响分析businessimpactanalysis分析业务功能及相关信息系统资源、评估特定灾难对各种业务功能影响的过程。2.0.11数据备份策略databackupstrategy为了达到数据恢复和重建目标所确定的备份步骤和行为。通过确定备份时间、技术、介质和场外存放方式，以保证达到恢复时间目标和恢复点目标。2.0.12灾难恢复disasterrecovery为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程。2.0.13主系统prmarysystem正常情况下支持组织日常运作的信息系统。包括主数据、主数据处理系统和主网络。2.0.14主中心prinarycenter主系统所在的数据中心。2.0.15公钥基础设施publickeyinfrastructure(PKI)公钥基础设施是用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。2.0.16多信息平台multiinformationplatform(MIP)多信息平台是一个可广泛应用于办公管理、协作沟通及资源调配等方面的信息平台，也是一个信息管理系统。2.0.17主机总线适配器hostbusadapter(HBA)4主机总线适配器是一个使计算机在服务器和存储装置间提供输入/输出(I/O)处理和物理连接的电路板和/或集成电路适配器。2.0.18安全审计安全审计指由专业审计人员对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并作出相应评价。安全审计涉及四个基本要素：控制目标、安全漏洞、控制措施和控制测试。2.0.19防水墙防水墙，是一种防止内部信息泄漏的安全系统。网络、外设接口、存储介质和打印机构成信息泄漏的全部途径。防水墙针对这四种泄密途径，在事前、事中、事后进行全面防护。其与防病毒产品、外部安全产品一起构成完整的网络安全体系。53信息安全等级3.1信息安全保护等级3.1.1信息安全保护等级的划分可用来度量信息系统遭受破坏的程序。重庆市建设领域信息系统的安全保护等级分为以下五1Level1:信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利2Level2:信息系统受到破坏后；会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。3Level3:信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。4Level4:信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害。或者对国家安全造成严重损害。5Level5:信息系统受到破坏后，会对国家安全造成特别严重损害。3.1.2信息系统的安全等级保护应根据信息系统安全定级情况来确保信息系统具有相应等级的基本安全保护能力，不同安全等级的信息系统要求具有不同的安全保护能力，即第一级信息系统应该具有与第一级安全保护要求相符的能力，第二级信息系统应该具有与第二级安全保护要求相符的能力，以此类推。3.1.3针对上述5个不同安全保护等级，信息系统应具备相应的安全保护能力，描述如下：1对于Level1:本级的计算机信息系统可信计算基通过隔6离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破系统可信计算基实施了粒度更细的自主访问控制，它通过登录规3对于Level3:计算机信息系统可信计算基具有系统审计保护级所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误。4对于Level4:计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上，它要求将Level3系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设施管理；增强了配置管理控制，系统具有相当的抗渗5对于Level5;计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的；必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在其构造时，排除那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能；扩充审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。系统具有很高的抗渗透能力。73.2信息安全保护策略3.2.1第一级系统的安全保护应实现定级系统的自主访问控制，使系统用户对其所属客体具有自我保护的能力。3.2.2用户规模小的建设领域企业信息系统应在系统安全保护等级Level1的基础上；用户规模中等以上的建设领域企业信息系统应在系统安全保护等级Level2的基础上。3.2.3重庆市城乡建设领域的Level1信息系统安全保护策略应以身份鉴别为基础，提供用户和(或)用户组对文件及数据库表的自主访问控制，以实现用户与数据的隔离，使用户具备自主安全保护的能力；以包过滤手段提供区域边界保护；以数据校验和恶意代码防范等手段提供数据和系统的完整性保护。信息安全保护策略包括第一级的安全计算环境和安全区域边界两个部分1安全计算环境保护策略应包括用户身份鉴别、自主访问控制、用户数据完整性保护、恶意代码防范。2安全区域边界保护策略应包括区域边界包过滤、区域边界恶意代码防范。3.2.4重庆市城乡建设领域的Level2信息系统安全保护策略应以身份鉴别为基础，提供单个用户和(或)用户组对共享文件、数据库表等的自主访问控制；以包过滤手段提供区域边界保护；加强数据校验和恶意代码防范手段，同时通过增加系统安全审计、客体安全重用等功能，使用户对自己的行为负责，提供用户数据保密性和完整性保护，以增强系统的安全保护能力。信息安全保护策略包括第二级的安全计算环境、安全区域边界、安全通信网络及安全管理中心四个部分的内容。1安全计算环境保护策略应包括用户身份鉴别、自主访问8控制、系统安全审计、用户数据完整性保护、用户数据保密性保2安全区域边界保护策略应包括区域边界包过滤、区域边界安全审计、区域边界恶意代码防范、区域边界完整性保护。3安全通信网络保护策略应包括通信网络安全审计、通信网络数据传输完整性保护、通信网络数据传输保密性保护。4安全管理中心保护策略包括系统管理、审计管理。3.2.5重庆市城乡建设领域的Level3信息系统安全保护策略应构造非形式化的安全策略模型，对主、客体进行安全标记，表明主、客体的级别分类和非级别分类的组合，以此为基础，按照强制访问控制规则实现对主体及其客体的访问控制。信息安全保护策略包括第三级的安全计算环境、安全区域边界、安全通信网络及安全管理中心四个部分的内容。1安全计算环境保护策略应包括用户身份鉴别、自主访问控制、标记和强制访问控制、系统安全审计、用户数据完整性保信执行保护。2安全区域边界保护策略应包括区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整3安全通信网络保护策略应包括通信网络安全审计、通信网络数据传输完整性保护、通信网络数据传输保密性保护、通信网络可信接入保护。4安全管理中心保护策略应包括系统管理、安全管理、审计管理。94数据加密及电子身份认证4.1数据加密4.1.1数据加密实现对所保护数据的加/解密，保证数据在传输和存储中，没有被授权的人无法获取真实的信息。所有的机密数据都必须由国内加密技术实现。加密算法的安全级别定义。安全级别4.1.2根据重庆市城乡建设领域信息系统的具体需求，数据加密应使用如下加密策略。具体规范应符合表4.1.2的规定。项目数据加密安全等级传统基准标准较高超高OA系统用户口令□OA系统内公文□QA系统关键数据OOA系统邮件□□门户网站系统管理员密码□□□O□□OO4.1.3重庆市建设领域信息系统的安全保护服务需要嵌入到信息系统安全的协议中，可以在信息安全系统上真正应用且能够抗击对信息安全系统的攻击，因此，重庆市建设领域信息系统在保密协议上应做到以下几点：1取得保密通信协议软件的源码。2仔细研究保密通信协议源码，取消其中不使用的部分，以防隐蔽信道的攻击。3自行设计符合标准的安全保密协议软件。4自行设计所需的经国家密码管理委员会认可的密码算法。5将安全保密协议嵌入信息安全系统协议中，完成自行设计的、又符合标准的安全保密功能。4.2电子身份认证4.2.1根据重庆市建设领域信息系统身份认证的实际需求，身份认证规范应包括以下4项内容。1鉴别信息。身份鉴别信息包括口令和证书，其规则如下1)每个授权用户必须具有唯一的用户标识和唯一的身份鉴别信息。2)如果进行用户和系统之间的相互身份鉴别，则系统也必须具有唯一的身份鉴别信息。3)用户和系统的身份鉴别信息必须是不可伪造的。4)身份鉴别信息如口令必须是保密存储和传输的，必须使用经过可信方签名的方法来构成证书。2鉴别过程。在用户请求访问系统资源时至少进行一次身份鉴别，必要时可反复鉴别。应包括以下内容：1)尽可能提供用户和系统之间的相互身份鉴别。2)必须构造一个符合规范的身份鉴别过程的用户接口，以防止用户的偶然泄密。3)对用户的身份鉴别结果应进行审计跟踪。4)需保证审计跟踪信息不能被未授权的更改或破坏。3鉴别失败处理。身份鉴别类产品必须提供对身份鉴别失败的处理功能。应包括以下内容：1)失败的用户身份鉴别尝试次数达到规定的数值时，必须能够中止用户与系统之间的会话过程。2)必须对身份鉴别失败事件进行审计跟踪。3)需保证审计信息不能被未授权更改或破坏。4数字签名技术。重庆市建设领域信息系统的数字签名方案应采用公开密钥加密算法且有公证的签名，并且包含以下几个要素：1)公证机构，参与签名过程起公证作用的实体。网络中可有专用的数字签名公证机构，也可利用网络控制中心等机构来行使这一职能。2)加密算法，数字签名方案中可采用秘密密钥加密算法，也可采用公开密钥加密算法，采用不同的算法将影响到方案的结构。数字签名采用公钥加密技术。3)消息空间，即将被签署的文件。文件已经用适合于签名的代码形式存储在网络内。4)签名协议，签名参与者各方共同遵守的步骤。协议影响到整个数字签名技术是否能满足不变性、可识别性和可辨论性要求。5.1病毒防范5.1.1重庆市建设领域信息系统计算机病毒防范应建立合理的计算机病毒防范体系和制度。及时发现计算机病毒侵入；采取有效的手段阻止计算机病毒的传播和破坏；恢复受影响的计算机系统和数据。5.1.2重庆市建设领域信息系统应从技术和管理两个层面防范计算机病毒。计算机病毒的防范策略如下：1对单机病毒的防范对策应包括以下内容：1)选择一个功能完善的单机版防杀计算机病毒软件，单机防杀计算机病毒软件应能满足以下要求：(a)计算机病毒检测扫描器应包括对磁盘文件的扫描和对系统进行动态的实时监控两部分内容。(b)动态实时监控来进行防毒。通过虚拟设备程序或系统设备程序形式而不是传统的驻留内存方式进行实时监控。(c)计算机病毒软件应使用多种识别技术来检测已知计算机病毒，可采用启发性分析或系统完整性检验等方法来检测未知计算机病毒的存在。(d)具有病毒清除能力。(e)应经常性地升级病毒特征代码库。可通过云方式实现病毒特征代码库的升级。(f)在对文件清除病毒前，具有文件备份功能。(g)可设定定时扫描。2)防护工作应包括如下内容：(a)安装正式版本的防杀计算机病毒软件，并定期升级。(b)经常更新计算机病毒特征代码库。(c)备份系统中重要的数据和文件。(d)在浏览器中设置合适的因特网安全级别，防范来自网络的恶意代码。(e)对外来存储介质的软件等都应先进行查杀计算机病(f)启用防杀计算机病毒软件的实时监控功能。2对于网络计算机防护，必须建立多层次网络防范架构并对各个内网严加防范，同网管结合起来。包括：因特网接入口、外网上的服务器、各内网的中心服务器等。应采用以下网络计算机病毒防范措施：1)在因特网接入口处安装防火墙式防杀计算机病毒产品。2)在外网单独设立一台服务器，安装服务器版的网络防杀计算机病毒软件，并对整个网络进行实时监控。3)在外网的各个服务器上安装相应的计算机病毒防护软件。4)外网上如果有工作站，需要进行单机防范布防。5)内网中的工作站参考单机防范的要点进行布防。6)建立严格的规章制度和操作规范，定期检查各防范点的工作状态。5.2网络安全5.2.1防火墙通常处于企事业单位的内部局域网与外网之间，限制外网对内部网络的访问以及管理内部用户访问外网的权限。1防火墙安全等级分为三级：Level1:能够抵御各种基本的拒绝服务攻击，检测和记录端口扫描行为，抵御各种IP攻击；拦截木马攻击行为；支撑系统不含任何安全漏洞；在非正常关机的情况下，安全策略恢复到关机Level2:能够抵御各种典型的拒绝服务攻击，检测和记录漏洞扫描行为；检测并拦截激活的蠕虫、木马、间谍软件等恶意代码；构建于安全增强的操作系统之上。Level3:能够抵御网络扫描行为，不返回扫描信息。支持黑名单或特征匹配等方式的垃圾邮件拦截策略配置；检测并拦截各种恶意代码，支持检测告警；构建于安全操作系统之上。2防火墙的运行与维护包括以下内容：1)防火墙在缺省配置下，应符合遵循“内部网络用户最大权限，外部网络用户最小权限”或者“没有明确允许的就拒绝”的配置原则；如果不能满足上述要求，“拒绝所有服务”的原则应适用。此时防火墙拒绝所有的服务，包括内部网络主动发起的访问外部网络的请求；如果某种服务缺省情况下被提供，则应遵循“安全第一，服务次之”的原则，不能存在通过缺省配置而使得防火墙产生安全漏洞。2)防火墙必须保证设备本身的运行稳定可靠，应包括：防火墙在各种应用环境下均不应该出现死机或者重启等现象；防火墙具有检测及快速恢复机制；防火墙应提供多机备份功能，即多台防火墙共同工作，其中一个防火墙作为主设备运行，当主设备发生故障时，其它的从设备应该能够自动接替主设备的位置进行工作，最大程度的保证防火墙的可靠运行，设备的切换时间不超过103)防火墙在维护及功能升级方面应达到：防火墙应尽量采用机构自身的操作系统；因防火墙软件本身的漏洞而导致某种功能工作不正常的情况下，能及时提供软件本身的升级版本或补丁；如出现防火墙软件本身不支持某种功能，应能及时提供升级版本；在出现防火墙的软件升级版本对于防火墙的硬件平台有其他需求的情况下(即原先的硬件平台不能满足升级版本的需求),允许同时进行硬件的升级。3重庆市城乡建设领域信息安全系统应根据自身发展需求。在建设信息安全系统时，采用适合自己的防火墙等级。5.2.2防水墙系统建设的目标应包括：1信息泄漏防范，防止在内部网主机上，通过网络、存储介质、打印机等媒介，有意或无意扩散本地机密信息；系统用户可管理和记录用户登录系统的信息，为日后的安全审计提供依据；2系统资源安全管理，限制系统软硬件的安装、卸载，控制特定程序的运行，限制系统进入安全模式，控制文件的重命名和删除等操作；3系统实时运行状况监控，通过实时抓取并记录内部网主机的屏幕，来监视内部人员的安全状况，威慑怀有恶意的内部人员，并在安全问题发生后，提供分析其来源的依据，在必要时，也可直接控制涉及安全问题的主机的I/0设备，如键盘、鼠标等。信息安全审计，记录内网安全审计信息，并提供内网主机使用状况、安全事件分析等。防水墙系统的主要功能必须包含高强度数据加解密功能、监控功能、授权功能和审计功能。5.2.3安全审计类型分为：系统级审计、应用级审计和用户级审计。1审计系统成为追踪入侵、恢复系统的直接证据。审计系统的安全应包括审计事件查阅安全和存储安全。审计事件的查阅必须受到严格的限制，避免日志被篡改。应通过以下措施保护查阅安全：1)审计查阅。审计系统只为专门授权用户提供查阅日志和分析结果的功能。2)有限审计查阅。审计系统只能提供对内容的读权限，拒绝读以外权限的访问。3)可选审计查阅。在有限审计查阅的基础上，限制查阅权限及范围。审计事件的存储安全具体要求为：1)保护审计记录的存储。存储系统要求对日志事件具有保护功能，以防止未授权的修改和删除，并具有检测修改及删除操作的功能。2)保证审计数据的可用性。保证审计存储系统正常安全使用，并在遭受意外时，可防止或检测审计记录的修改，在存储介质出现故障时，能确保记录另存储且不被破坏。3)防止审计数据丢失。在审计踪迹超过预定值或存满时，应采取相应的措施防止数据丢失，如忽略可审计事件、只允许记录有特殊权限的事件、覆盖以前记录、停止工作或另存为备份等。2保护审查审计数据1)保护审计数据应严格限制在线访问审计日志。除了系统管理员用于检查访问之外，其他任何人员都无权访问审计日志，更应严禁非法修改审计日志以确保审计跟踪数据的完整性。审计跟踪信息的保密性应进行严格保护，应利用强访问控制和加密技术。2)审查审计数据审计跟踪的审查与分析可分为事后检查、定期检查和实时检查。审查人员应清楚如何发现异常活动。通过用户识别码、终端识别码、应用程序名、日期时间等参数来检索审计跟踪记录并生成所需的审计报告。3安全审计实施主要步骤1)确定安全审计，申请审计工作包括：审计原因、内容、范围、重点、必要的升级与纠正、支持数据和审计所需人才2)做好审计计划，审计计划包括审计内容的详细描述、关键时间、参与人员和独立机构等。3)查阅审计历史，审计中应查阅以前的审计记录，通过对比查找安全漏洞隐患和规程，采取安全防范措施。同时保管好审计相关资源和规章制度等。4)划定审计范畴，审计范围之间必须有联系，审计范畴的划定应着重在资产、规程和政策方面。5)提出改进意见，安全审计最后应提出相应的提高安全防范的建议，便于实施。6.1一般规定6.1.1重庆市城乡建设领域信息系统数据库备份和恢复管理的范围包括：确定关键系统的备份和恢复方针及原则；系统软件、应用软件及业务数据、配置数据等的备份和恢复；备份介质的存放和归档管理；系统及数据恢复演练；备份和恢复流程的评估和维护；归档数据的查询；备份和恢复所需存储设备的监控和管理。不包括：硬件、网络的备份和恢复(属于业务连续性管理);业务系统的在线数据冗余(属于业务可用性管理)。6.1.2城乡建设领域信息系统数据备份和恢复工作由备份管理员负责组织、协调，并按照既定计划和策略督促相关人员执行。6.2数据备份、归档和恢复原则6.2.1数据备份原则1备份和恢复时间、性能应符合各系统服务级别的规定，各系统服务级别由系统所在单位与系统使用部门商议。2应考虑主机系统(操作系统、工具软件、数据库系统软件、应用等)变化的频率，全备份的频率应与业务系统变化频率成正3当主机系统发生较大更改时，应马上对主机系统进行一次全备份。4应考虑全备份的容量，全备份的频率应与其备份容量成反比。5系统全备份方式适用于使用小型机设备的系统，使用PC20服务器的系统建议采用克隆系统应急盘方式。6对应用软件等程序文件：当系统配置数据发生变动时，应马上备份，备份介质保留至下一次系统全备份。当生产环境中的应用软件将发生变动时，应对变动前的应用软件进行备份。该种情况下的备份一般情况下由各系统管理员自行准备资源完成。7对数据库进行在线备份的系统，原则上要求周日为0级备份(冷备份)。8对业务数据备份：在网络带宽和存储设备允许的前提下，可以采用集中备份和恢复管理的方式，否则采用分布备份和恢复管理方式。在数据库故障时能够快速恢复数据是选择备份方式的一个重要因素。应该采用多种备份方式(如采用块方式和文本方式等),以保证除了使用备份系统进行恢复外，还可在本地备份机上直接恢复应用，如特别关键应用，建议考虑增加异地的恢复方式。除了用于恢复外，备份介质还应方便存档数据查询、恢复演练、新系统测试、审计检查等使用。重点保留月末、季末、年末、结息日、新系统切换等重点时间的数据。9对数据库备份：为了保护最近产生的数据，必须连续备份数据库逻辑日志。在业务数据的两次连续0级备份之间，应该进行业务数据逻辑日志的备份。10应该根据数据容量/备份持续时间来决定采用每日0级备份，或定期0级备份十每日增量备份方式(增量备份分为对上次0级备份的增量、对上次增量的增量两种)。如果每日0级备份的备份和恢复时间符合要求，建议采用每日0级备份方式；否则采用每周0级备份十每日增量备份方式。备份介质保留一个备份周期。11区别维持关键业务运行的数据(如仅仅包含账户数据、客户信息、交易数据，不含历史数据),并每日单独备份，剩余数据同样单独备份。考虑到是快速恢复数据，故该类数据不宜过大。12所有的备份介质都要贴上清晰的标签，标签应包含介质21编号(或序号)、备份内容、备份日期时间、备份人员等内容；数据备份在制作、传递、转移过程中，必须填写《数据备份登记表》或《数据转移保存登记表》,详细记录备份数据制作、传递、转移的全部过程与责任人；数据备份的存放处必须符合防火、防水、防磁的安全要求；保存期在一年以上的备份磁带应半年进行重写或重绕处理；长期保存的磁带应记录使用次数，保证介质在规定的次数内使用；归档数据备份介质应该实施异地存放，建议存放至银行保险箱或档案室(必须和主机房不在同一建筑物内，如分支机构办公场所)。6.2.2数据归档原则1归档数据一般包括程序文件、数据文件，一般不包括数据库归档日志、逻辑备份数据(如在线备份)。2归档数据完整性的基本原则：进行数据恢复后，系统在简单配置后可直接使用。3对有数据长期保留需求的系统，只进行系统的0级备份的归档，以确保数据有效性和可恢复性。6.2.3数据恢复原则1要使用脚本来进行备份和恢复，尽量避免手工操作；尽量安排在非工作时间备份。2在备份和恢复操作流程发生变动时，应该对操作人员进行培训；进行恢复演练的频率与流程变化的频率成正比；进行实际恢复演练的频率与恢复失败的频率(考核指标之一)成正比。3所有对生产系统和数据的恢复都要预先得到批准；对存档备份介质的调阅需要登记，并且只能拷贝不能外借。6.3存储、备份设备及相关设备管理1存储设备：中央数据存储系统和中央备份存储系统；备份管理员负责：每天检查存储设备控制器产生的信息，每周至少一22次现场检查存储设备及相关部件运行状况，并将检查记录包含在周报中。2备份设备，磁带库设备要求制定驱动器自动清洗策略，由备份管理员负责：定期检查策略执行是否正常，每周至少一次现场检查磁带库及相关部件运行状况，并将检查记录包含在周报中；根据备份策略或用户需求调整，及时调整磁带库设备的资源分配。3相关设备，备份管理员负责：每周至少一次现场检查光纤通道交换机及相关部件运行情况，并将检查记录包含在周报中；每月协助系统管理员对主机总线适配器卡的运行情况进行检查，包括双通道、负载均衡功能是否正常以及操作系统是否出现类似光纤通道报警信息；交换机调整、划分及相关资源调配。6.4运维管理流程6.4.1数据备份异常的预警机制；对于连续两次备份失败的系统，机构备份管理员应以邮件、短信或电话方式知会二级备份管理员或相关系统管理员及该管理平台IT部门负责人，系统管理员应积极采取相关措施，二级备份管理员及机构备份管理员应配合，确保当天晚上数据备份成功。若连续三次备份失败，机构备份管理员应将该信息抄送至系统责任单位财务负责人、机构IT管理者。6.4.2系统日常维护流程：备份系统的服务器端操作，由备份管理员负责，客户端操作由相关责任人负责，备份管理员协助完成。6.4.3备份情况通报流程：机构备份管理员每天上午10点前将前一天晚上数据备份情况在MIP上公布(周六备份情况在周一通报),每周备份管理员将一周备份情况进行总结并发布至MIP,内容包括本周备份数据量、备份有效性总结、故障处理情况等。每月进行一次系统运行情况总结，上报至机构IT管理者，内容包括23备份有效性情况、故障处理汇总及分析、系统运行趋势分析及系统改进合理化建议等。对于备份失败的系统，以邮件、短信或电话方式通知二级备份管理员及其上级领导并给出初步诊断结果和建议操作；二级备份管理员应立即联系相关系统管理员，系统管理员应在当天配合备份管理员查找问题。若数据连续两天没有备份成功，第三天需要系统管理员与备份管理员一起确定系统的备份方式，若为数据库的在线备份失败，应采取冷备份，若因数据库没有正确启停，需系统管理员在策略中约定的时间手工启停数据库，保证当晚数据备份成功。如二级备份管理员及系统管理员对备份失败问题一天内查不出原因，机构备份管理员应协调相关资源协助处理。6.4.4备份系统日常运维管理流程：包括备份系统及相关设备日常检查及故障处理。备份管理员每天对备份系统软件日志进行查看，如系统出现的报警或故障信息，当天反馈至技术后台支持经理，如超过2天不能解决，应上报至基础运维管理中心高级经理，并联系相关外部技术支持人员。如超过4天不能解决，应上报至机构IT管理者。6.4.5备份和恢复策略初次申请流程：由系统管理员提出备份和恢复策略并填写《备份和恢复需求》、《系统备份信息表》和《备份和恢复策略和原则》,系统业务责任人对《备份和恢复需求》进行确认，二级平台备份管理员审查，机构备份管理员审核，并在备份系统中实施，备份管理员直属领导及基础运维管理中心负责人备案。6.4.6备份和恢复策略变更流程：由系统管理员提出变更后的备份和恢复策略并填写《备份和恢复需求》、《系统备份信息表》和《备份和恢复策略和原则》,系统业务责任人对《备份和恢复需求》进行确认，二级平台备份管理员审查，机构备份管理员审核，并在备份系统中实施，备份管理员直属领导及基础运维管理中心负责人备案。6.4.7备份数据常规恢复流程：常规恢复指在数据测试环境覆盖、恢复演练等要求下进行数据恢复。不允许在凌晨进行数据恢复，如需进行数据恢复，需要以邮件方式发送请求至机构备份管理员，由备份管理员安排恢复时间和协助恢复。如系统管理员自行恢复，导致正常备份工作受到影响，将追究相关管理员责任。6.4.8日常备份和归档管理流程：机构备份管理员进行日常备份信息，备份管理员直属领导对归档进行审核和数据抽查，基础运维管理中心负责人备案。6.4.9备份介质存放管理流程：机构备份管理员对归档的备份介质(目前为磁带)进行异地存放，并填写《数据转移保存登记表》,备份管理员直属领导审查，基础运维管理中心负责人备案。6.4.10系统和数据恢复演练流程：包括所有非灾难恢复性质的数据恢复流程。机构或二级平台备份管理员提交《系统和数据恢复演练计划》,同时准备好演练的环境和介质，系统管理员将系统和数据恢复至预定位置，并进行系统和数据恢复结果进行验证，6.4.11存档数据查询流程：由存档数据查询人提交《存档数据查询申请表》,系统业务责任人审核，系统管理员准备恢复所需硬件、软件等资源，二级备份管理员或机构备份管理员准备恢复环境和备份介质，系统管理员进行数据恢复对恢复系统和数据进行可用性确认，系统业务责任人对恢复系统和数据进行正确性验证，并通知查询人进行数据查询。257信息系统数据库灾难恢复7.1灾难恢复的组织机构7.1.1信息系统的使用或管理组织(以下简称“组织”)应结合其日常组织机构建立灾难恢复组织机构，并明确其职责。其中一些人可负责两种或多种职责，一些职位可由多人担任(灾难恢复预案中应明确他们的替代顺序)。灾难恢复的组织机构由管理、业务、技术和行政后勤等人员组成，一般可设为灾难恢复领导小组、灾难恢复规划实施组和灾难恢复日常运行组。组织可聘请具有相应资质的外部专家协助灾难恢复实施工作，也可委托具有相应资质的外部机构承担实施组以及日常运行组的部分或全部工作。7.1.2组织应评估灾难恢复规划过程的风险、筹备所需资源、确定详细任务及时间表、监督和管理规划活动、跟踪和报告任务进展以及进行问题管理和变更管理。7.1.3组织应与相关管理部门、设备及服务提供商、电信、电力和新闻媒体等保持联络和协作，以确保在灾难发生时能及时通报准确情况和获得适当支持。7.1.4灾难恢复的等级评定、灾难恢复预案的制定，应按有关规定进行审计和备案。7.2灾难恢复的规划7.2.1信息系统的灾难恢复工作，包括灾难恢复规划和灾难备份中心的日常运行、关键业务功能在灾难备份中心的恢复和重续运行，以及主系统的灾后重建和回退工作，还涉及突发事件发生后的应急响应。其中，灾难恢复规划是一个周而复始、持续改进26的过程，包含以下四个阶段：1)灾难恢复需求的确定；2)灾难恢复策略的制定；3)灾难恢复策略的实现；4)灾难恢复预案的制定、落实和管理。7.2.2在确定灾难恢复需求时，应包括以下内容：1风险分析：标识信息系统的资产价值，识别信息系统面临的自然的和人为的威胁，识别信息系统的脆弱性，分析各种威胁发生的可能性并定量或定性描述可能造成的损失，识别现有的风险防范和控制措施。通过技术和管理手段，防范或控制信息系统的风险。依据防范或控制风险的可行性和残余风险的可接受程度，确定对风险的防范和控制措施。信息系统风险评估方法可参考GB/T20984《信息安全风险评估指南》。2业务影响分析应包括以下两方面内容：1)分析业务功能和相关资源配置。对组织的各项业务功能及各项业务功能之间的相关性进行分析，确定支持各种业务功能的相应信息系统资源及其它资源，明确相关信息的保密性、完整性和可用性要求。2)评估中断影响。应采用如下的定量和/或定性的方法，对各种业务功能的中断造成的影响进行评估。(a)定量分析：以量化方法，评估业务功能的中断可能给组织带来的直接经济损失和间接经济损失；(b)定性分析：运用归纳与演绎、分析与综合以及抽象与概括等方法，评估业务功能的中断可能给组织带来的非经济损失，包括组织的声誉、顾客的忠诚度、员工的信心、社会和政治影响等。3根据风险分析和业务影响分析的结果，确定灾难恢复目1)关键业务功能及恢复的优先顺序；2)灾难恢复时间范围，即RTO和RPO的范围。7.2.3在制定灾难恢复策略时，应考虑以下因素：271灾难恢复策略制定要素包括以下三方面内容：1)支持灾难恢复各个等级所需的资源(以下简称“灾难恢复资源”)可分为如下7个要素：(a)数据备份系统：一般由数据备份的硬件、软件和数据备份介质(以下简称“介质”)组成，如果是依靠电子传输的数据备份系统，还包括数据备份线路和相应的通信设备；(c)备用网络系统：最终用户用来访问备用数据处理系统的网络，包含备用网络通信设备和备用数据通信线路；(d)备用基础设施：灾难恢复所需的、支持灾难备份系统运行的建筑、设备和组织，包括介质的场外存放场所、备用的机房及灾难恢复工作辅助设施，以及容许灾难恢复人员连续停留的生活设施；(e)专业技术支持能力：对灾难恢复系统的运转提供支撑和综合保障的能力，以实现灾难恢复系统的预期目标。包括硬件、系统软件和应用软件的问题分析和处理能力、网络系统安全运行管理能力、沟通协调能力等；(f)运行维护管理能力：包括运行环境管理、系统管理、安全管理和变更管理等；(g)灾难恢复预案。2)根据灾难恢复目标，按照灾难恢复资源的成本与风险可能造成的损失之间取得平衡的原则(以下简称“成本风险平衡原则”),确定每项关键业务功能的灾难恢复策略，不同的业务功能可采用不同的灾难恢复策略。3)灾难恢复策略应包括：(a)灾难恢复资源的获取方式；28(b)灾难恢复能力等级(见GB/T20988—2007信息系统灾难恢复规范附录A),或灾难恢复资源各要素的具体要求。2灾难恢复资源的获取方式应包括以下七方面：1)数据备份系统可由组织自行建设，也可通过租用其它机构的系统而获取。2)备用数据处理系统可选用以下三种方式之一来获取备用数据处理系统：(a)事先与厂商签订紧急供货协议；(b)事先购买所需的数据处理设备并存放在灾难备份中心或安全的设备仓库；(c)利用商业化灾难备份中心或签有互惠协议的机构已有的兼容设备。3)备用网络系统可通过上面2)所述方式获取；备用数据通信线路可使用自有数据通信线路或租用公用数据通信线路。4)备用基础设施可选用以下三种方式来获取：(a)由组织所有或运行；(b)多方共建或通过互惠协议获取；(c)租用商业化灾难备份中心的基础设施。5)专业技术支持能力可选用以下几种方式来获取：(a)灾难备份中心设置专职技术支持人员；(b)与厂商签订技术支持或服务合同；(c)由主中心技术支持人员兼任；但对于RTO较短的关键业务功能，应考虑到灾难发生时交通和通信的不正常，造成技术支持人员无法提供有效支持的情况。6)可选用以下对灾难备份中心的运行维护管理模式：(a)自行运行和维护；(b)委托其它机构运行和维护。29(c)灾难恢复预案(a)由组织独立完成；(b)聘请具有相应资质的外部专家指导完成；(c)委托具有相应资质的外部机构完成。3灾难恢复资源要求包括以下几方面的内容：(a)数据备份的范围；(b)数据备份的时间间隔；(c)数据备份的技术及介质：(d)数据备份线路的速率及相关通信设备的规格和要求。2)组织应根据关键业务功能的灾难恢复对备用数据处理系统的要求和未来发展的需要，按照成本风险平衡原则，确定备用数据处理系统的：(a)数据处理能力；(b)与主系统的兼容性要求；(c)平时处于就绪还是运行状态。3)组织应根据关键业务功能的灾难恢复对网络容量及切换时间的要求和未来发展的需要，按照成本风险平衡原则，选择备用数据通信的技术和线路带宽，确定网络通信设备的功能和容量，保证灾难恢复时，最终用户能以一定速率连接到备用数据处理系统。4)组织应根据灾难恢复目标，按照成本风险平衡原则，确定对备用基础设施的要求，包括：(a)与主中心的距离要求；(b)场地和环境(如面积、温度、湿度、防火、电力和工作时间等)要求；(c)运行维护和管理要求。5)组织应根据灾难恢复目标，按照成本风险平衡原则，确30定灾难备份中心在软件、硬件和网络等方面的技术支持要求，包括技术支持的组织架构、各类技术支持人员的数量和素质等要求。6)组织应根据灾难恢复目标，按照成本风险平衡原则，确定灾难备份中心运行维护管理要求，包括运行维护管理组织7)组织应根据需求分析的结果，按照成本风险平衡原则，明确灾难恢复预案的：(a)整体要求；(b)制定过程的要求；(c)教育、培训和演练要求；(d)管理要求。7.2.4灾难恢复策略包括1)灾难备份系统技术方案；2)灾难备份中心选择和建设；3)专业技术支持能力实现；4)运行维护能力实现。1灾难备份系统技术方案包括技术方案设计、系统开发和系统安装测试三部分内容。1)根据灾难恢复策略制定相应的灾难备份系统技术方案，包含数据备份系统、备用数据处理系统和备用的网络系统。技术方案中所设计的系统，应：(a)获得同主系统相当的安全保护；(b)具有可扩展性；(c)考虑其对主系统可用性和性能的影响。2)为确保技术方案满足灾难恢复策略的要求，应由组织的相关部门对技术方案进行确认和验证，并记录和保存验证及确认的结果。按照确认的灾难备份系统技术方案进行开发，实现所要求的数据备份系统、备用数据处理系统和备用网络系统。3)按照经过确认的技术方案，灾难恢复规划实施组应制定31各阶段的系统安装及测试计划，以及支持不同关键业务功能的系统安装及测试计划，并组织最终用户共同进行测试。确认以下各项功能可正确实现：(a)数据备份及数据恢复功能；(b)在限定的时间内，利用备份数据正确恢复系统、应用软件及各类数据，并可正确恢复各项关键业务功能；(c)客户端可与备用数据处理系统通信正常。2灾难备份中心建设包括选址原则和基础设施要求两部分1)选择或建设灾难备份中心时，应根据风险分析的结果，避免灾难备份中心与主中心同时遭受同类风险。灾难备份中心包括同城和异地两种类型，以规避不同影响范围的灾难风险；灾难备份中心应具有数据备份和灾难恢复所需的通信、电力等资源，以及方便灾难恢复人员和设备到达的交通条件；灾难备份中心应根据统筹规划、资源共享、平战结合的原则，合理地布局。2)新建或选用灾难备份中心的基础设施时：(a)计算机机房应符合有关国家标准的要求；(b)工作辅助设施和生活设施应符合灾难恢复目标的要求。3组织应根据灾难恢复策略的要求，获取对灾难备份系统的专业技术支持能力。灾难备份中心应建立相应的技术支持组织，定期对技术支持人员进行技能培训。4为了达到灾难恢复目标，灾难备份中心应建立各种操作规程和管理制度，用以保证：1)数据备份的及时性和有效性；2)备用数据处理系统和备用网络系统处于正常状态，并与主系统的参数保持一致；3)有效的应急响应、处理能力。7.2.5灾难恢复的每个等级均应按具体要求制定相应的灾难恢32复预案，并进行落实和管理。1灾难恢复预案的制定应遵循以下原则：1)完整性；灾难恢复预案(以下称预案)应包含灾难恢复的整个过程，以及灾难恢复所需的尽可能全面的数据和资料；2)易用性：预案应运用易于理解语言和图表，并适合在紧急情况下使用；3)明确性：预案应采用清晰的结构，对资源进行清楚的描述，工作内容和步骤应具体，每项工作应有明确的责任人；4)有效性：预案应尽可能满足灾难发生时进行恢复的实际需要，并保持与实际系统和人员组织的同步更新；5)兼容性：灾难恢复预案应与其它应急预案体系有机结合。2在灾难恢复预案制定原则的指导下，其制定过程如下：1)起草：参照GB/T20988-2007信息系统灾难恢复规范附录B,灾难恢复预案框架，按照风险分析和业务影响分析所确定的灾难恢复内容，根据灾难恢复能力等级的要求，结合组织其它相关的应急预案，撰写出灾难恢复预案的初稿；2)评审：组织应对灾难恢复预案初稿的完整性、易用性、明确性、有效性和兼容性进行严格的评审。评审应有相应的流程保证；3)测试：应预先制定测试计划，在计划中说明测试的案例。测试应包含基本单元测试、关联测试和整体测试。测试的整个过程应有详细的记录，并形成测试报告；4)完善：根据评审和测试结果，纠正在初稿评审过程和测试中发现的问题和缺陷，形成预案的审批稿；5)审核和批准：由灾难恢复领导小组对审批稿进行审核和批准，确定为预案的执行稿。3为了使相关人员了解信息系统灾难恢复的目标和流程，熟悉灾难恢复的操作规程，组织应按以下要求，组织灾难恢复预33案的教育、培训和演练：1)在灾难恢复规划的初期就应开始灾难恢复观念的宣传教育工作；2)预先对培训需求进行评估，包括培训的频次和范围，开发和落实相应的培训/教育课程，保证课程内容与预案的要求相一致，事后保留培训的记录；3)预先制定演练计划，在计划中说明演练的场景；4)演练的整个过程应有详细的记录，并形成报告；5)每年应至少完成一次有最终用户参与的完整演练。4经过审核和批准的灾难恢复预案，应按照以下原则进行保存和分发：1)由专人负责；2)具有多份拷贝在不同的地点保存；3)分发给参与灾难恢复工作的所有人员；4)在每次修订后所有拷贝统一更新，并保留一套，以备查5)日版本应按有关规定销毁。为了保证灾难恢复预案的有效性，应从以下方面对灾难恢复预案进行严格的维护和变更管理：1)业务流程的变化、信息系统的变更、人员的变更都应在灾难恢复预案中及时反映；2)预案在测试、演练和灾难发生后实际执行时，其过程均应有详细的记录，并应对测试、演练和执行的效果进行评估，同时对预案进行相应的修订；3)灾难恢复预案应定期评审和修订，至少每年一次。34本规范用词说明1为便于在执行本规范条文时区别对待，对要求严格程度不同的用词说明如下：3)表示允许稍有选择，在条件许可时首先应这样做的：4)表示有选择，在一定条件下可以这样做的用词，采用2条文中指明应按其它有关标准执行的写法为“应符合引用标准名录1《信息安全技术操作系统安全评估准则》GB/T200082《信息安全技术数据库管理系统安全技术要求》GB/T202733《信息安全技术防火墙技术要求和测试评价方法》GB/T202814《信息安全技术信息系统安全管理要求》GB/T202695《信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》GB/T202766《信息安全技术信息系统灾难恢复规范》GB/T209887《信息安全技术信息安全事件分类分级指南》GB/Z209868《信息安全技术信息安全风险评估规范》GB/T209849《信息安全技术信息系统安全等级保护基本要求》GB/T2223910《信息安全技术信息安全风险评估规范》GB/T2098411《信息技术词汇第8部分：安全》GB/T5271.812《信息技术安全管理指南》GB/T19715.113《信息技术信息安全管理实用规则》GB/T1971614《信息技术安全技术信息安全事件管理指南》GB/Z2098515《计算机场地安全要求》GB/T936116《电子计算机场地通用规范》GB/T288717《计算机信息系统安全专用产品分类原则》GA16318《中华人民共和国公共安全行业标准》GA216.119《计算机信息系统安全保护等级划分准则》GB17859重庆市城乡建设领域信息安全规范DBJ50/T-197-2014 413信息安全等级 423.1信息安全保护等级 423.2信息安全保护策略 424数据加密及电子身份认证 434.1数据加密 4.2电子身份认证 5病毒防范与网络安全 445.1病毒防范 445.2网络安全 44 456.2数据备份、归档和恢复原则 456.3