林業(yè)信息化安全規(guī)范目 次前言 III范圍 1規(guī)性用1術(shù)和1物安全 2網(wǎng)安全 2數(shù)安全 3應(yīng)安全 7安管制度 8人安管理 9附錄A（資性）絡(luò)全件置10附錄B（資性）絡(luò)全件置11附錄C（資性）絡(luò)全件12附錄D（資性）絡(luò)全件置報(bào)告 13I林業(yè)信息化安全規(guī)范范圍本文件適用于林業(yè)信息化安全建設(shè)和管理。文件。GB/T2887計(jì)算機(jī)場(chǎng)地通用規(guī)范GB/T9361計(jì)算機(jī)場(chǎng)地安全要求GB/T18019GB/T18020GB/T18794.3信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架第3部分：訪問控制框架GB/T20269信息安全技術(shù)信息系統(tǒng)安全管理要求GB/T20275信息安全技術(shù)入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T20281信息安全技術(shù)防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T20282信息安全技術(shù)信息系統(tǒng)安全工程管理要求GB/T20988信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范GB/T20984信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T25069信息安全技術(shù)術(shù)語GB/T35273信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T25069、GB/T35273界定的以及下列術(shù)語和定義適用于本文件。保密性confidentiality使信息不泄露給未授權(quán)的個(gè)人、實(shí)體、進(jìn)程，或不被其利用的特性。攻擊者attacker黑客hackers泛指對(duì)網(wǎng)絡(luò)或聯(lián)網(wǎng)系統(tǒng)進(jìn)行未授權(quán)訪問的人。1人員出入機(jī)房應(yīng)安排專人負(fù)責(zé)、控制、鑒別和記錄，應(yīng)符合GB/T9361的要求。防雷機(jī)房所在建筑應(yīng)具備防雷設(shè)施，防雷應(yīng)符合GB/T9361的要求。防火機(jī)房應(yīng)設(shè)置滅火設(shè)備，機(jī)房防火應(yīng)符合GB/T9361的要求。防水防水應(yīng)符合GB/T9361的要求。防塵防塵應(yīng)符合GB/T2887的要求。防靜電防靜電應(yīng)符合GB/T9361的要求。機(jī)房應(yīng)設(shè)置必要的溫、濕度控制設(shè)施。溫濕度控制應(yīng)符合GB/T2887的要求。空氣調(diào)節(jié)應(yīng)符合GB/T9361的要求。應(yīng)符合GB/T2887、GB/T9361的要求。應(yīng)繪制完整的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，有相應(yīng)的網(wǎng)絡(luò)配置表，包含設(shè)備IP地址等主要信息，并及時(shí)更新。應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)需要，保證網(wǎng)絡(luò)的帶寬滿足數(shù)據(jù)傳輸需要。防火墻GB/T18019GB/T18020GB/T202812支持動(dòng)態(tài)IPVPN入侵檢測(cè)系統(tǒng)選擇成熟、先機(jī)、知名的品牌，應(yīng)符合GB/T20275的要求，還應(yīng)具備以下功能：報(bào)警；DDoSWebVPNGB/T18794.3林業(yè)數(shù)據(jù)分級(jí)應(yīng)符合GB/T22239的要求，遵循統(tǒng)一的分級(jí)要素，制定本級(jí)林業(yè)數(shù)據(jù)分級(jí)。林業(yè)數(shù)據(jù)的分級(jí)按照安全事件后的影響對(duì)象、程度、范圍進(jìn)行分級(jí)。影響對(duì)象包括黨政機(jī)關(guān)、企事業(yè)單位和社會(huì)組織、自然人。影響程度包括輕微影響、一般影響和嚴(yán)重影響。3影響范圍可分為較大影響范圍和較小影響范圍。對(duì)林業(yè)數(shù)據(jù)分級(jí)時(shí)充分考慮數(shù)據(jù)的敏感性來確定林業(yè)數(shù)據(jù)的級(jí)別。（（第三級(jí)（高敏感）：發(fā)生安全事件后對(duì)影響對(duì)象的工作運(yùn)作、資產(chǎn)權(quán)益、人身安全產(chǎn)生嚴(yán)重影響。分級(jí)要素與數(shù)據(jù)級(jí)別的對(duì)應(yīng)關(guān)系，見表1。表1數(shù)據(jù)分級(jí)矩陣表影響程度影響范圍較小影響范圍較大影響范圍輕微影響第一級(jí)第一級(jí)一般影響第二級(jí)第二級(jí)嚴(yán)重影響第三級(jí)第三級(jí)根據(jù)政務(wù)數(shù)據(jù)安全級(jí)別，數(shù)據(jù)安全實(shí)施分級(jí)管理。第一級(jí)數(shù)據(jù)應(yīng)符合GB/T22239的要求。第二級(jí)和第三級(jí)數(shù)據(jù)應(yīng)符合GB/T22239及本文件6.2.2、6.2.3、6.2.4、6.2.5的要求。個(gè)人信息數(shù)據(jù)安全管理應(yīng)符合GB/T35273的要求。應(yīng)配備數(shù)據(jù)安全崗位人員，承擔(dān)數(shù)據(jù)安全工作。人員管理要求見表2。表2人員管理要求管理領(lǐng)域管理要求第二級(jí)第三級(jí)崗位人員配備應(yīng)配備數(shù)據(jù)安全崗位人員，明確各崗位工作職責(zé)，細(xì)化日常工作內(nèi)容，承擔(dān)數(shù)據(jù)安全工作√√應(yīng)明確單位各部門人員的安全責(zé)任，建立數(shù)據(jù)安全考核懲戒措施√√培訓(xùn)教育應(yīng)定期針對(duì)數(shù)據(jù)安全崗位人員開展數(shù)據(jù)安全培訓(xùn)，培訓(xùn)內(nèi)容應(yīng)考慮數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)、數(shù)據(jù)安全運(yùn)營、數(shù)據(jù)安全合規(guī)等方面√√應(yīng)定期針對(duì)所有崗位人員開展數(shù)據(jù)安全培訓(xùn)，培訓(xùn)內(nèi)容應(yīng)考慮數(shù)據(jù)安全相關(guān)管理制度、規(guī)范、標(biāo)準(zhǔn)、流程等方面√√應(yīng)對(duì)培訓(xùn)結(jié)果實(shí)施考核，確保培訓(xùn)的效果√√4表2人員管理要求（續(xù)）管理領(lǐng)域管理要求第二級(jí)第三級(jí)人員安全管理應(yīng)對(duì)數(shù)據(jù)相關(guān)崗位人員選用進(jìn)行背景、資質(zhì)審查、技能考核，確保人員具有勝任數(shù)據(jù)安全崗位工作的能力√√在人員崗位變動(dòng)時(shí)，應(yīng)與其明確數(shù)據(jù)安全保密責(zé)任與要求√√數(shù)據(jù)相關(guān)崗位人員應(yīng)實(shí)施輪崗、權(quán)限分離、多人共管等管理措施√3。表3制度流程管理要求管理領(lǐng)域管理要求第二級(jí)第三級(jí)管理制度應(yīng)明確各級(jí)數(shù)據(jù)安全管理范圍，制定符合業(yè)務(wù)戰(zhàn)略的，滿足本級(jí)數(shù)據(jù)安全要求的安全目標(biāo)、管理策略、方針和原則√√應(yīng)依據(jù)國家和湖南省關(guān)于數(shù)據(jù)安全的要求，制定數(shù)據(jù)安全管理制度，考慮數(shù)據(jù)采集、傳輸存儲(chǔ)、加工、共享、開放、銷毀各環(huán)節(jié)相關(guān)的安全保護(hù)√√開展合規(guī)管理，應(yīng)持續(xù)識(shí)別法律法規(guī)并轉(zhuǎn)化為數(shù)據(jù)安全制度要求，規(guī)避法律合規(guī)風(fēng)險(xiǎn)√管理流程應(yīng)制定數(shù)據(jù)安全的管理流程，考慮數(shù)據(jù)分級(jí)、數(shù)據(jù)共享、數(shù)據(jù)開放、數(shù)據(jù)導(dǎo)入數(shù)據(jù)導(dǎo)出、數(shù)據(jù)銷毀等方面√√應(yīng)建立數(shù)據(jù)安全投訴渠道及處理流程√制度流程的管理應(yīng)將數(shù)據(jù)安全制度、流程發(fā)布，開展培訓(xùn)和宣貫√√應(yīng)定期審核和更新數(shù)據(jù)安全制度和流程√√在組織架構(gòu)、技術(shù)架構(gòu)或者業(yè)務(wù)服務(wù)發(fā)生重大變化時(shí)，應(yīng)及時(shí)評(píng)估數(shù)據(jù)安全制度流程的適用性，并修訂√4。表4技術(shù)措施管理要求管理領(lǐng)域管理要求第二級(jí)第三級(jí)數(shù)據(jù)采集應(yīng)明確數(shù)據(jù)采集原則、目的與用途、范圍與方式、周期與頻率和保存期限√√應(yīng)對(duì)數(shù)據(jù)源、數(shù)據(jù)采集的環(huán)境、設(shè)施、技術(shù)采取必要的安全機(jī)制和管控措施，對(duì)產(chǎn)生數(shù)據(jù)的數(shù)據(jù)源進(jìn)行鑒別和記錄√√數(shù)據(jù)傳輸應(yīng)采用滿足數(shù)據(jù)傳輸安全策略的安全控制措施，如安全通道、可信通道、數(shù)據(jù)加密等√√數(shù)據(jù)存儲(chǔ)應(yīng)提供數(shù)據(jù)備份與恢復(fù)功能，考慮數(shù)據(jù)存儲(chǔ)的保密性、完整性√√應(yīng)建立數(shù)據(jù)邏輯存儲(chǔ)隔離授權(quán)機(jī)制√√5表4技術(shù)措施管理要求（續(xù)）管理領(lǐng)域管理要求第二級(jí)第三級(jí)應(yīng)實(shí)施數(shù)據(jù)用戶身份標(biāo)識(shí)與鑒別、數(shù)據(jù)訪問控制等安全控制措施√√應(yīng)具備對(duì)數(shù)據(jù)存儲(chǔ)媒體訪問和操作行為的安全審計(jì)能力√√數(shù)據(jù)加工應(yīng)依據(jù)數(shù)據(jù)使用目的建立訪問控制機(jī)制，限定用戶可訪問數(shù)據(jù)范圍，具備完整的數(shù)據(jù)使用操作記錄√√應(yīng)具備數(shù)據(jù)脫敏支持工具或服務(wù)組件，根據(jù)需要將數(shù)據(jù)脫敏后使用√√應(yīng)具備數(shù)據(jù)加工過程的風(fēng)險(xiǎn)監(jiān)測(cè)和處理能力√數(shù)據(jù)共享應(yīng)對(duì)請(qǐng)求共享的終端、用戶或服務(wù)組件進(jìn)行身份鑒別√√應(yīng)對(duì)數(shù)據(jù)共享過程記錄日志，及時(shí)清除共享過程中緩存的數(shù)據(jù)√√應(yīng)對(duì)數(shù)據(jù)共享過程進(jìn)行監(jiān)控√√應(yīng)采用數(shù)據(jù)加密、安全通道等安全措施保護(hù)數(shù)據(jù)共享過程中的數(shù)據(jù)√數(shù)據(jù)開放涉及個(gè)人信息的數(shù)據(jù)開放內(nèi)容，應(yīng)根據(jù)業(yè)務(wù)對(duì)個(gè)人信息進(jìn)行必要的加密處理√√應(yīng)具備對(duì)異常或高風(fēng)險(xiǎn)數(shù)據(jù)訪問行為的智能化識(shí)別和預(yù)警能力√數(shù)據(jù)銷毀采用可靠技術(shù)手段及時(shí)銷毀符合銷毀條件的數(shù)據(jù)，確保數(shù)據(jù)不可還原√√應(yīng)通過規(guī)范運(yùn)營管控工作，控制日常數(shù)據(jù)安全風(fēng)險(xiǎn)，DC。5。表5數(shù)據(jù)安全運(yùn)營管控要求管理領(lǐng)域管理要求第二級(jí)第三級(jí)數(shù)據(jù)資產(chǎn)管理應(yīng)定期梳理數(shù)據(jù)資產(chǎn)情況，形成數(shù)據(jù)資產(chǎn)清單√√應(yīng)明確數(shù)據(jù)資產(chǎn)梳理周期，定期更新數(shù)據(jù)資產(chǎn)清單√√數(shù)據(jù)分級(jí)應(yīng)對(duì)存量或新采集的數(shù)據(jù)進(jìn)行分級(jí)，將數(shù)據(jù)的分級(jí)結(jié)果形成清單√√應(yīng)定期評(píng)審及更新數(shù)據(jù)分級(jí)結(jié)果√√數(shù)據(jù)權(quán)限管理應(yīng)按照業(yè)務(wù)需求和安全策略為用戶配置合理的數(shù)據(jù)權(quán)限，考慮最小授權(quán)和角色權(quán)限制約等要求，建立數(shù)據(jù)權(quán)限分配表√√應(yīng)嚴(yán)格執(zhí)行數(shù)據(jù)權(quán)限審批流程，登記記錄√√應(yīng)定期對(duì)數(shù)據(jù)權(quán)限進(jìn)行清查，人員崗位變動(dòng)后及時(shí)變更權(quán)限√√應(yīng)通統(tǒng)一管理權(quán)限審批、記錄等事項(xiàng)√√數(shù)據(jù)操作管理應(yīng)嚴(yán)格執(zhí)行數(shù)據(jù)重要操作（如批量修改、拷貝、下載等）的審批流程，保留審批記錄以及數(shù)據(jù)操作記錄√√應(yīng)統(tǒng)一管理重要操作的審批、執(zhí)行和記錄等事項(xiàng)√數(shù)據(jù)安全監(jiān)測(cè)與審計(jì)應(yīng)建立數(shù)據(jù)安全監(jiān)審機(jī)制，對(duì)系統(tǒng)日志進(jìn)行分析，及時(shí)發(fā)現(xiàn)高風(fēng)險(xiǎn)和違規(guī)操作，及時(shí)核實(shí)和處理√√應(yīng)對(duì)系統(tǒng)日志進(jìn)行統(tǒng)一收集與關(guān)聯(lián)分析，對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)實(shí)時(shí)監(jiān)測(cè)預(yù)警√6表5數(shù)據(jù)安全運(yùn)營管控要求（續(xù)）管理領(lǐng)域管理要求第二級(jí)第三級(jí)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估應(yīng)定期開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，評(píng)估的內(nèi)容考慮數(shù)據(jù)平臺(tái)的安全風(fēng)險(xiǎn)、數(shù)據(jù)業(yè)務(wù)的安全風(fēng)險(xiǎn)、人員操作風(fēng)險(xiǎn)、數(shù)據(jù)使用風(fēng)險(xiǎn)等方面√√對(duì)評(píng)估發(fā)現(xiàn)的問題，應(yīng)整改并實(shí)現(xiàn)閉環(huán)管理√√數(shù)據(jù)安全事件與應(yīng)急管理宜制定數(shù)據(jù)安全應(yīng)急預(yù)案，明確數(shù)據(jù)安全事件（如發(fā)生數(shù)據(jù)泄漏事件）的上報(bào)流程和處置方法等√√宜向相關(guān)人員培訓(xùn)數(shù)據(jù)安全應(yīng)急預(yù)案，并定期開展演練，宜根據(jù)演練的結(jié)果或單位組織架構(gòu)、業(yè)務(wù)等的變化情況，及時(shí)更新應(yīng)急預(yù)案√√應(yīng)利用先進(jìn)的技術(shù)手段或工具檢測(cè)重要用戶數(shù)據(jù)在傳輸過程中完整性是否受到破壞。應(yīng)能夠?qū)χ匾獢?shù)據(jù)進(jìn)行備份和恢復(fù)，數(shù)據(jù)備份恢復(fù)應(yīng)符合如下要求：GB/T20988流程。應(yīng)用系統(tǒng)安全設(shè)計(jì)應(yīng)符合GB/T22239的要求，根據(jù)業(yè)務(wù)軟件設(shè)計(jì)要求，進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)。應(yīng)建立完備的身份認(rèn)證機(jī)制，可接入到統(tǒng)一認(rèn)證中心。GA7IP應(yīng)對(duì)業(yè)務(wù)系統(tǒng)的登錄行為、業(yè)務(wù)操作以及系統(tǒng)運(yùn)行狀態(tài)進(jìn)行記錄與保存。Jsontoken.2WebIPIPV4IPV6兼容。主。安全管理制度應(yīng)包括：GB/T20269GB/T20282應(yīng)按照已確定的安全等級(jí)對(duì)已建成的信息系統(tǒng)定期進(jìn)行風(fēng)險(xiǎn)評(píng)估和等級(jí)測(cè)評(píng)，符合2098489附錄A（資料性）網(wǎng)絡(luò)安全事件處置上報(bào)信息系統(tǒng)運(yùn)營使用單位名稱報(bào)告時(shí)間報(bào)告人聯(lián)系電話通訊地址電子郵件信息系統(tǒng)名稱事發(fā)時(shí)間事件描述初步判定事件類型安全攻擊□計(jì)算機(jī)病毒事件□特洛伊木馬事件□僵尸網(wǎng)絡(luò)事件□混合程序攻擊事件□網(wǎng)頁內(nèi)嵌惡意代碼事件□拒絕服務(wù)攻擊事件□后門攻擊事件□漏洞攻擊事件□網(wǎng)絡(luò)掃描竊聽事件□網(wǎng)絡(luò)釣魚事件□干擾事件□信息篡改事件□信息假冒事件□信息泄露事件□信息竊取事件□信息丟失事件□其他設(shè)備設(shè)施故障□服務(wù)器□數(shù)據(jù)庫□網(wǎng)絡(luò)設(shè)備□安全設(shè)備□線路□應(yīng)用系統(tǒng)□操作系統(tǒng)□盜竊或破壞□雷擊□失火□漏水或返潮□靜電□溫濕度□電力供應(yīng)□電磁干擾□其他信息安全風(fēng)險(xiǎn)□網(wǎng)絡(luò)端口被監(jiān)聽□IP地址欺騙□TCP序號(hào)襲擊□病毒□黑客□賬號(hào)管理混亂□缺乏分級(jí)管理□FTP存在風(fēng)險(xiǎn)□便攜性移動(dòng)設(shè)備控制不嚴(yán)□其他造成的影響□業(yè)務(wù)中斷□系統(tǒng)破壞□數(shù)據(jù)流失□其他影響范圍□單臺(tái)主機(jī)□多臺(tái)主機(jī)□整個(gè)信息系統(tǒng)□整個(gè)局域網(wǎng)□其他初步判定的事件等級(jí)I級(jí)□II級(jí)□III級(jí)預(yù)案執(zhí)行情況與結(jié)果存在的問題和改進(jìn)的意見10附錄B（資料性）網(wǎng)絡(luò)安全事件處置分析表B.1第三方網(wǎng)絡(luò)安全事件分析表第三方機(jī)構(gòu)單位名稱聯(lián)系人聯(lián)系電話傳真電子郵件信息系統(tǒng)運(yùn)營使用單位單位名稱聯(lián)系人聯(lián)系電話傳真電子郵件信息系統(tǒng)名稱事發(fā)時(shí)間事件描述初步判定的事件類型安全攻擊□計(jì)算機(jī)病毒事件□特洛伊木馬事件□僵尸網(wǎng)絡(luò)事件□混合程序攻擊事件□網(wǎng)頁內(nèi)嵌惡意代碼事件□拒絕服務(wù)攻擊事件□后門攻擊事件漏洞攻擊事件□網(wǎng)絡(luò)掃描竊聽事件□網(wǎng)絡(luò)釣魚事件□干擾事件□信息篡改事件□信息假冒事件□信息泄露事件□信息竊取事件□信息丟失事件□其他設(shè)備設(shè)施故障□服務(wù)器□數(shù)據(jù)庫□網(wǎng)絡(luò)設(shè)備□安全設(shè)備□線路□應(yīng)用系統(tǒng)□操作系統(tǒng)□盜竊或破壞□雷擊□失火□漏水或返潮□靜電□溫濕度□電力供應(yīng)□電磁干擾□其他□網(wǎng)絡(luò)端口被監(jiān)聽□IP地址欺騙□TCP序號(hào)襲擊□病毒□黑客□賬號(hào)管理混亂□缺乏分級(jí)管理□FTP存在風(fēng)險(xiǎn)□便攜性移動(dòng)設(shè)備控制不嚴(yán)□其他之前是否出現(xiàn)過類似情況□是（如果是說明發(fā)生時(shí)間及被破壞系統(tǒng)的名稱）□否分析網(wǎng)絡(luò)安全事件的發(fā)展趨勢(shì)初步判定的事件等級(jí)□特別重大事件□重大事件□較大事件□一般事件11附錄C（）表C.1網(wǎng)絡(luò)安全事件備案表事件發(fā)現(xiàn)單位單位名稱通訊地址省 地(區(qū)、市、州) 縣(區(qū)、市)聯(lián)系人聯(lián)系電話傳真電子郵件信息系統(tǒng)運(yùn)營使用單位單位名