ICS 07.060 CCS A 47 DB50 DB50/T 956.4—2021 重 庆 市 地 方 标 准 DB50/T 956.4—2021 预警信息发布平台管理规范 第 4 部分：网络安全 2021-09-30 发布 2022-01-01 实施 重庆市市场监督管理局 发布 DB50/T 956.4—2021 目 次 前言....................................................................................................................................................................... II 1 2 3 4 5 6 范围..................................................................................................................................................................... 1 规范性引用文件................................................................................................................................................. 1 术语和定义......................................................................................................................................................... 1 预警信息发布平台网络安全建设概述............................................................................................................. 2 安全技术建设要求............................................................................................................................................. 2 安全管理建设要求............................................................................................................................................. 5 参考文献................................................................................................................................................................. 8 I DB50/T 956.4—2021 前  言 本文件按照GB/T 1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件是DB50/T 956《预警信息发布平台管理规范》的第4部分。DB50/T 956已发布了以下部分： ——第1部分：业务职能和岗位设置； ——第2部分：信息发布规范； ——第3部分：数据格式。 本文件由重庆市气象局提出并归口。 本文件起草单位：重庆市人工影响天气办公室（重庆市预警信息发布中心）。 本文件主要起草人：李剑莉、龙治平、周浩、王俭、豆俊川、蔡敏敏、罗永夔。 II DB50/T 956.4—2021 预警信息发布平台管理规范 第 4 部分：网络安全建设 1 范围 本文件规定了预警信息发布平台的安全技术和安全管理要求。 本文件适用于市、区县、乡镇、村预警信息发布平台的安全建设和监督管理。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本使用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 GB/T 31167-2014 信息安全技术 云计算服务安全指南 GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求 3 术语和定义 下列术语和定义适用于本文件。 3.1 网络安全 cybersecurity 通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于 稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。 [来源:GB/T 22239-2019,3.1] 3.2 基础信息网络 basic information network 平台正常运转所需的信息传输通道。 3.3 云计算 cloud computing 通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的模式。 注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。 [来源:GB/T 31167-2014,3.1] 3.4 1 DB50/T 956.4—2021 移动互联 mobile communication 采用无线通信技术将移动终端接入网络的过程。 [来源:GB/T 22239-2019,3.9,有修改] 3.5 安全保护能力 security protection ability 能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。 [来源:GB/T 22239-2019,3.2] 3.6 网络区域 network area 根据工作和应用需求,预警信息发布平台内划分的具有相同安全访问控制、边界控制策略的子网或 网络。 4 预警信息发布平台网络安全建设概述 4.1 保护的对象 预警信息发布平台使用到的基础信息网络、云计算平台、大数据应用/平台/资源、物联网和采用移 动互联技术的系统。 4.2 总体要求 应在满足GB/T 22239-2019的第三级安全保护能力要求基础上，同时满足安全技术建设要求和安全 管理建设要求。 5 安全技术建设要求 5.1 安全物理环境 5.1.1 基础设施选择 5.1.1.1 5.1.1.2 5.1.1.3 5.1.2 应采用云计算基础设施，混合云方式建设，且达到网络安全等级第三级安全保护能力的要求。 云计算基础设施应位于中国境内。 数据库服务器、地图服务器等宜使用物理服务器，其余服务器或存储资源宜使用虚拟服务器。 物联网感知节点设备物理环境 应满足节点设备正常工作的参数要求。 5.2 5.2.1 安全通信网络 网络区域划分 5.2.1.1 按照网络区域安全需求，将基础信息网络从高到低-划分为电子政务外网区、气象信息专网区、 互联网区。其中电子政务外网区和气象信息专网区又分为市级和区县级。 5.2.1.2 预警信息发布平台核心组件应部署在电子政务外网区。 5.2.1.3 可根据业务需要将网络区域进一步细化。 2 DB50/T 956.4—2021 5.2.2 网络架构 5.2.2.1 气象信息专网区通过专线受限接入电子政务外网区。 5.2.2.2 应通过市级气象信息专网区连接互联网区。 5.2.2.3 应通过区县电子政务外网区、区县气象信息专网区分别连接市级电子政务外网区、市级气象 信息专网区。 5.2.3 通信传输 应采用校验技术、密码技术保证通信过程中数据的完整性、保密性。密码技术要求按照GB/T 39786 执行。 5.2.4 可信验证 硬件设备和软件系统应通过国家认证的安全性测试。 5.3 安全区域边界 5.3.1 边界防护 5.3.1.1 5.3.1.2 5.3.1.3 5.3.2 访问控制 5.3.2.1 5.3.2.2 5.3.2.3 5.3.3 应在气象信息专网区与互联网区、电子政务外网区的边界部署访问控制设备。 应在气象信息专网区与电子政务外网区边界部署网络隔离设备。 宜建立相应安全访问控制区域。 应按照预警信息发布平台网络区域安全需求，对网络安全设备进行安全策略配置。 应对移动终端设备进行接入认证。 应保证只有授权的感知节点能接入。 入侵防范 宜部署旁路检测设备，对网络中的数据流量进行实时解析，能对网络攻击行为、异常流量等进行报 警。 应限制与感知节点设备通信的地址和设备。 5.3.4 安全审计 5.3.4.1 5.3.4.2 应对预警信息发布平台业务人员和运维人员的行为分别进行记录。 记录包括行为时间、操作人员、操作类型、行为结果。 5.3.5 安全计算环境 5.3.6 身份鉴别 应内置身份鉴别功能。宜扩展身份鉴别机制。 5.3.7 访问控制 5.3.7.1 5.3.7.2 5.3.7.3 5.3.7.4 应对预警信息发布平台业务人员设置相应操作权限。 授权应遵循最小权限原则，细分业务管理员、业务信息发布员、业务信息审核员、普通用户。 预警信息的移动审核权限应只赋予有授权的设备。 应保证预警信息发布平台迁移时，上述访问控制策略能随其迁移。 3 DB50/T 956.4—2021 5.3.8 入侵防范 5.3.8.1 应仅安装必要的组件和应用程序，关闭非必要的系统服务和默认共享，关闭非必要的高危端 口和访问用户。 5.3.8.2 对已知漏洞，应在经过充分测试评估后及时采取加固措施。 5.3.9 安全审计 5.3.9.1 应部署数据库审计、服务器审计、日志审计。 5.3.9.2 应记录预警信息发布平台业务人员和运维人员对资源的访问、使用情况，并将监测数据送至 安全管理中心。 5.3.10 恶意代码防范 应对预警信息发布平台适用设备安装杀毒软件。 5.3.11 数据完整性和保密性 5.3.11.1 应采用校验技术保证各网络区域中数据的完整性。 5.3.11.2 应保证服务器迁移过程中数据的完整性。 5.3.11.3 应采用密码技术、身份鉴别技术，对敏感数据实现加密访问。 5.3.12