ICS35.240.01CCSL77青海省地DB63方標準DB/T2020—2022青海省市場監督管理局發布IDBT0—2022 2 3 DBT0—2022 6 DBT20—2022前言省市場監督管理局提出并歸口。單位：青海省市場監督管理局信息中心。楊勇、韓露、海省市場監督管理局監督實施。1DBT20—2022市場監管信息系統安全建設規范絡安全建設、于市場監管各級單位進行信息系統的安全建設和管理。范性引用文件，GBT2240信息安全技術網絡安全等級保護定級指南GB174-2017數據中心設計規范定義件。靠運行的狀態保障網絡數據的完整性、保密性、可用性能力。事件以及在遭到損害后能夠恢復先前狀態等的程度。態一個先前未知的狀態。2DBT20—2022事件進行統一監控分析和預警處理。到的各種安全事件進行綜合關聯分析后形成的報警事件。統目的的人機一體化系統。主要有五個基本功能，即對信息的輸入、存儲、處理、輸出和控制。行、維護的人員。的日常運行維護工作，包括網絡設備、安全保密產品、服務器和用戶終端、操作系統數據庫、涉刪除；網絡和系統的數據備份、運行情況監控；應急條件下的安全恢復。保密管理工作的人員。常安全保密管理工作，包括網絡和系統用戶權限的授予與撤銷；用戶操作行為的安全設計；安全事件的審計、分析和處理；應急條件下的安全恢復。人員。安全保密員的操作行為進行審計跟蹤、分析和監督檢查，及時發現違規行為，并定期4物理環境安全建設4.1物理位置選擇3DBT20—2022GB74-2017中4.1的規定執行。4.2物理訪問控制4.2.1機房出入口應配置電子門禁系統，控制、鑒別和記錄進入的人員。。4.3防物理破壞措施4.3.1防盜：應將設備或主要部件進行固定，并設置明顯的不易除去的標識。4.3.2防雷：應將各類機柜、設施和設備等通過接地系統安全接地。料。4.3.4防水：應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透，防止機房內水蒸氣結露和地下積生，靜電消除器、佩戴防靜電手環等。4.4電力供應保障措施系統供電。4.5機房電磁防護實施電磁屏蔽。通信網絡安全建設5.1網絡架構安全5.1.1應劃分不同的網絡安全區域，并按照方便管理和控制的原則為各網絡安全區域分配地址。域與其他網絡區域之間應采取安全、穩定、手段。5.1.3應考慮通信線路、關鍵網絡設備和關鍵計算設備的硬件冗余，保證系統的可用性。5.1.4應保證網絡設備的業務處理能力滿足業務峰值需要，保證網絡各個部分的帶寬滿足業務峰值需5.2通信傳輸安全可審查性。5.3可信驗證安全管理中心。安全建設4DBT20—2022邊界防護1.1應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信。1.2應能夠對非授權設備私自聯到內部網絡的行為進行檢查或限制。1.3應能夠對內部用戶非授權聯到外部網絡的行為進行檢查或限制。.4應限制無線網絡的使用，保證無線網絡通過受控的邊界設備接入內部網絡。訪問控制2.1應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則，默認情況下除允許通信外受控有通信。2.2應刪除多余或無效的訪問控制規則，優化訪問控制策略，并保證訪問控制規則數量最小化。4應能根據會話狀態信息為進出數據流提供明確的允許/拒絕訪問。2.5應對進出網絡的數據流實現基于應用協議和應用內容的訪問控制；解決系統內部應用端、維護問端、后臺部署端系統弱口令問題。入侵防范.1應在關鍵網絡節點處檢測、防止或限制從內部、外部發起的網絡攻擊行為。3.2應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行為。.3.3應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是新型網絡攻擊行為的分析。主機安全4.1應對操作系統進行特權用戶的特權分離(如系統管理員、應用管理員等)并提供專用登陸控制4.3應配置賬戶鎖定策略中的選項，如賬戶鎖定時間、賬戶鎖定閾值等實現結束會話、限制非法登4.4應根據管理用戶的角色對權限做出標準細致的劃分，并授予管理用戶的最小權限，每個用戶只權限。.4.5應通過系統安全日志以及設置安全審計，記錄和分析各用戶和系統活動操作記錄和信息資料。.4.6應在服務器上啟用“路由和遠程訪問”服務，并且依據服務器操作系統訪問控制的安全策略。操作系統設置為自動更新狀態，以便及時打補丁。應用安全5.1應實現在安全要求的基礎上，控制對信息、信息處理設施和業務過程的訪問。5.2應在訪問控制規則加以明確地說明，訪問控制規則應由正式的程序支持，并清晰地定義職責和5.3應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符求。4應對應用程序代碼進行惡意代碼掃描。5DBT20—2022應對應用程序代碼進行安全脆弱性分析。5.6當應用系統的通信雙方中的一方在一段時間內未作任何響應，另一方應能夠自動結束會話。惡意代碼和垃圾郵件6.1應在關鍵網絡節點處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制的升級和更新。6.2應在關鍵網絡節點處對垃圾郵件進行檢測和防護，并維護垃圾郵件防護機制的升級和更新。安全審計7.1應在網絡邊界、重要網絡節點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要7.3應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；應能對遠程訪問行為審計和數據分析。境安全建設身份鑒別1應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并2應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動施。3當進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽。4應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且別技術至少應使用密碼技術來實現。訪問權限控制1應對登錄的用戶分配賬戶和權限，重命名或刪除默認賬戶，修改默認賬戶的默認口令。應授予管理用戶所需的最小權限，實現管理用戶的權限分離。3應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則。訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級。漏洞防護應關閉不需要的系統服務、默認共享和高危端口。.2應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制。應能發現可能存在的已知漏洞，并在經過充分測試評估后，及時修補漏洞。病毒防范個人信息保護僅采集和保存業務必需的用戶個人信息，禁止未授權非法使用、訪問、采集用戶個人信息。6DBT20—2022安全管理中心建設1系統管理8.1.1應保證系統管理員通過管理工具或平臺進行系統管理操作，并對這些操作進行審計。.1.2應通過系統管理員對系統的資源和運行進行配置、控制和管理，包括用戶身份、資源配置、加、運行的異常處理、數據和設備的備份與恢復等。2審計管理8.2.1應保證安全審計管理員通過管理工具或平臺進行安全審計操作，并對這些操作進行審計。.2.2應通過審計管理員對審計記錄進行分析，并根據分析結果進行處理，包括根據安全審計策略對查詢等。3安全管理.3.1應對安全保密管理員進行身份鑒別，允許其通過特定的命令或操作界面進行安全管理操作，并作進行審計。進行授權，配置可信驗證策略等。4集中管理.4.1應劃分出特定的管理區域，對分布在網絡中的安全設備或安全組件進行管控。.4.2應能夠建立一條安全的信息傳輸路徑，對網絡中的安全設備或安全組件進行管理。4.3應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測。.4.4應對分散在各個設備上的審計數據進行收集匯總和集中分析，并保證審計記錄的留存時間符合.4.5應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理。9安全管理制度建設9.1制定管理制度9.1.1應制定網絡安全工作的總體方針和安全策略，闡明機構安全工作的總體目標、范圍、原則和安9.1.2應對安全管理活動中的各類管理內容建立安全管理制度，對管理人員或操作人員執行的日常管程。9.1.3應形成由安全策略、管理制度、操作規程、記錄表單等構成的全面的安全管理制度體系。9.1.4應指定或授權專門的部門或人員負責安全管理制度的制定。9.1.5應定期對安全管理制度的合理性和適用性進行論證和審定，對存在不足或需要改進的安全管理9.2設立安全管理機構9.2.1應設立網絡安全管理工作的職能部門，設立安全主管、安全管理各個方面的負責人崗位，并定7DBT20—20229.2.2應配備一定數量的系統管理員、審計管理員和安全管理員等；應根據各個部門和崗位的職責明事項、審批部門和批準人等。9.2.3應針對系統變更、重要操作、物理訪問和系統接入等事項建立審批程序，按照審批程序執行審對重要活動建立逐級審批制度。9.2.4應加強各類管理人員、組織內部機構和網絡安全管理部門之間的合作與溝通，定期召開協調會處理網絡安全問題。9.2.5應定期進行常規安全檢查，檢查內容包括系統日常運行、系統漏洞和數據備份等情況。9.2.6應定期進行全面安全檢查，檢查內容包括現有安全技術措施