ICS 35.240.90 CCS L 67 23 黑龙江省 地方 标准 DB 23/T 3868.2—2024 教育新型基础设施建设 第2部分：网络安全管理规范 2024 - 08 - 30发布 2024 - 09 - 29实施 黑龙江省市场监督管理局 发布 DB 23/T 3868.2 —2024 I 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 本文件是 DB23/T 3868《教育新型基础设施建设》的第 2部分。DB23/T 3868已经发布了以下部分 ： ──教育新型基础设施建设 第1部分：高校数字校园建设规范 ──教育新型基础设施建设 第2部分：网络安全管理规范 ──教育新型基础设施建设 第3部分：业务应用安全规范 ──教育新型基础设施建设 第4部分：数据治理规范 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由黑龙江省教育厅提出并归口。 本文件起草单位：东北林业大学、哈尔滨安天系统安全技术有限公司、黑龙江省教育厅、哈尔滨工 业大学、哈尔滨工程大学、黑龙江大学、哈尔滨医科大学、哈尔滨市网络安全应急指挥保障中心。 本文件主要起草人：李清锋、徐晓航、周锋、胡全、辛毅、石笑朋、吴宇平、董海涛、金旭东、张 其梁、毛力伟、 尹尚书、 孙洪磊、王磊、邢丽刃。 DB 23/T 3868.2 —2024 1 教育新型基础设施建设 第2部分：网络安全管理规范 1 范围 本文件规定了教育新型基础设施建设网络安全管理的缩略语、总体要求、基础设施安全管理、信息 资产安全管理、漏洞管理、数据安全管理、信息终端安全管理、网络安全审计管理等内容。 本文件适用于教育新型基础设施建设中的网络安全管理。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 20986 —2023 信息安全技术 网络安全事件分类分级指南 GB/T 25069 信息安全技术 术语 GB/T 42453 —2023 信息安全技术 网络安全态势感知通用技术要求 GB/T 43697 数据安全技术 数据分类分级规则 3 术语和定义 下列术语和定义适用于本文件。 网络安全 通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于 稳定可靠运行的状态，以及保障数据的完整性、保密性、可用性的能力。 [来源：GB/T 20986 —2023，3.3] 威胁信息 基于证据的知识，用于描述现有或可能出现的威胁，从而实现对威胁的响应和预防。 [来源：GB/T 42453 —2023，3.2] 4 缩略语 下列缩略语适用于本文件。 IT：信息技术（ Information Technology ） SDN：软件定义网络（ Software Defined Network） VLAN：虚拟局域网（ Virtual Local Area Network ） UPS：不间断电源（ Uninterrupted Power Supply ） API：应用程序 编程接口（Application Programming Interface ） IP：网际互连协议（ Internet Protocol ） DB 23/T 3868.2 —2024 2 5 总体要求 组织管理 应符合但不限于以下要求： a) 明确网络安全管理机构，确立网信职能部门和技术支持部门； b) 建立上下联动机制，配合上级部门落实文件政策的宣贯执行，内部之间沟通与协调合作，共同 处置网络安全问题。 制度建设 应符合但不限于以下要求： a) 制定网络安全管理办法和管理策略，包括信息安全管理办法、网络安全事件应急预案、监测预 警通报制度、数据安全管理办法等； b) 定期组织相关部门和人员对网络安全相关制度的合理性和适用性进行评估，对不符合最新政 策要求的制度进行修订。 人员管理 应符合但不限于以下要求： a) 配备网络安全专业技术人员，开展网络安全管理和应急响应工作； b) 对IT服务外包人员 进行安全管理，并签署保密协议，及时回收 IT服务外包人员的管理权限。 安全培训 应符合但不限于以下要求： a) 制定年度安全培训计划，开展对本单位员工的网络安全通识教育培训和专业技术人员的专项 技能培训； b) 制定网络安全事件应急预案 和演练方案，定期开展网络安全应急演练，根据演练结果及时 修订 应急预案 。 6 基础设施安全管理 基本要求 应符合但不限于以下要求： a) 网络和设备应实时在线，用户能稳定访问和使用； b) 应采取各种技术手段保护数据，防止数据泄漏，包括恶意攻击、内部误操作等； c) 采用最小化原则，只允许授权用户和设备访问网络和资源； d) 通过持续监控，实时监测安全威胁，提前预警可能的风险； e) 在发生安全事件时， 能迅速定位问题、及时处理、减少损失，并具备灾难恢复的能力； f) 数据中心机房配备 UPS，确保备用电力能在断电情况下至少提供 2 h的运行保障，使用冗余电 缆，并实行双路市电供电策略。 边界管理 应符合但不限于以下要求： a) 部署下一代防火墙、入侵防御系统及网络隔离等技术来保护内部网络； DB 23/T 3868.2 —2024 3 b) 使用新一代网络架构技术（如 SDN）或VLAN隔离技术实现网络分段和隔离； c) 通过值班值守、监控告警和门禁系统等措施来防止数据中心物理安全未经授权的访问，对授权 用户访问数据进行留存。 7 信息资产安全管理 应符合但不限于以下要求： a) 定期采取信息资产发现技术，统计内部网络与公有云上属于本单位的各类信息资产，建设信息 资产管理平台； b) 梳理互联网暴露面的信息资产，统计云上信息资产，包括云上资产 API访问控制、权限等； c) 清理非必要云上信息资产，及时清理非本单位域名、非本单位 IP的信息资产 ，并实施备案； d) 定期进行信息资产的更新及威胁监测活动，利用漏洞和威胁信息来探测和鉴别 信息资产可能 存在的安全脆弱性并及时修复； e) 通过信息资产上线前的渗透测试、修复整改、安全复测，上线运行、动态跟踪，下线处置，进 行信息资产全生命周期管理； f) 根据信息资产的分类统计、组件开放统计、互联网访问情况、漏洞变化趋势等，定期输出组织 信息资产安全风险报告。 8 漏洞管理 应符合但不限于以下要求： a) 搭建安全漏洞管理平台，梳理和统计各类安全漏洞，持续动态跟进、及时修复； b) 实现信息资产漏洞全生命周期管理，包括漏洞发现、通报预警、漏洞修复、漏洞复测、漏洞复 盘等阶段； c) 定期对操作系统、业务应用、数据库应用等进行漏洞扫描，对重要信息资产不定期开展渗透测 试； d) 实施漏洞风险等级划分，根据风险级别确定漏洞修复顺序，将存在高风险漏洞的信息资产限制 互联网访问，待修复整改完毕开放互联网访问； e) 安全漏洞管理平台与威胁信息联动， 快速响应组织内部信息资产涉及的漏洞情况、 组件情况等， 及时进行修复或加固工作。 9 数据安全管理 应符合但不限于以下要求： a) 数据采集应确保数据的合法性和安全性； b) 收集个人信息时应明确其用途并提供隐私保护说明，征求相关使用人同意； c) 数据传输过程采取通道加密和内容加密等技术措施，对数据作完整性校验； d) 通过数据加密、数据访问控制和数据脱敏等必要的安全控制措施，防止数据的丢失、泄露、毁 损或未授权的访问； e) 按照“最小必要、职责分离”要求明确数据录入、查询、备份、下载以及修改和删除等权限； f) 信息资产下线时，对数据开展低级格式化、存储介质报废等方式； g) 数据安全管理过程明确数据采集、传输、存储、处理、交换、销毁的数据生存周期； h) 教育系统数据分类分级符合 GB/T 43697 要求。 DB 23/T 3868.2 —2024 4 10 信息终端安全管理 应符合但不限于以下要求： a) 按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的要求明确终端的主管单位、运维单位 和使用者； b) 检测和识别非授权接入设备和非授权终端的接入行为； c) 采取必要的技术措施实现终端恶意代码查杀、数据泄露防护、端点检测和响应 ； d) 阻断非授权接入设备或非授权终端； e) 依照终端类型安装正版操作系统，定期开展终端安全漏洞扫描并修复。 11 网络安全审计管理 通过已部署的操作系统、数据库、业务应用、中间件、网络设备、安全设备和终端等日志进行统一 管理和审计，并基于已知的告警策略，对触发的告警按照标准化的处置流程进行快速应急响应，应符合 但不限于以下要求： a) 在网络边界、重要网络节点进行安全审计，审