DB510100T 138.7-2014 社區(qū)綜合管理與服務(wù)信息化技術(shù)規(guī)范 第7部分：信息安全　　

社區(qū)綜合管理與服務(wù)信息化技術(shù)規(guī)范第7部分：信息安全成都市質(zhì)量技術(shù)監(jiān)督局發(fā)布IDB510100/T138.7—2014前言 1 13術(shù)語與定義 14縮略語 25安全要求 26客戶端安全 27通信網(wǎng)絡(luò)安全 2 27.2通信線路 28服務(wù)器端安全 28.1物理安全 28.2應(yīng)用系統(tǒng)安全 68.3數(shù)據(jù)安全及備份恢復(fù) 79信息應(yīng)用安全 7DB510100/T138.7—2014DB510100/T138《社區(qū)綜合管理與服務(wù)信息化技術(shù)規(guī)范》分為8個部分：——第1部分：總體架構(gòu)；——第2部分：數(shù)據(jù)采集；——第3部分：業(yè)務(wù)流程；——第4部分：代碼集；——第5部分：數(shù)據(jù)元；——第6部分：接口；——第7部分：信息安全；——第8部分：系統(tǒng)運(yùn)維服務(wù)。本部分為DB510100/T138的第7部分。本部分按照GB/T1.1-2009給出的規(guī)則起草。本部分由成都市民政局提出并歸口。本部分由四川省質(zhì)量技術(shù)監(jiān)督局批準(zhǔn)。本部分起草單位：成都市標(biāo)準(zhǔn)化研究院、成都市民政局、成都川大科鴻新技術(shù)研究所。本部分主要起草人：胡昌川、江維、任雁、高偉、李茂春、周海波、淳坦、肖毅。1DB510100/T138.7—2014社區(qū)綜合管理與服務(wù)信息化技術(shù)規(guī)范服務(wù)器端安全和信息應(yīng)用安全。本部分適用于成都市行政區(qū)域內(nèi)城鄉(xiāng)社區(qū)及建制村綜合管理與服務(wù)信息化建設(shè)。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。50057-2010建筑物防雷設(shè)計規(guī)范50174-2008電子信息系統(tǒng)機(jī)房設(shè)計規(guī)范50343-2012建筑物電子信息系統(tǒng)防雷技術(shù)規(guī)范3術(shù)語與定義蠕蟲[GB/T25069-2010,定義2.1.26]3.2入侵對一網(wǎng)絡(luò)或系統(tǒng)的未經(jīng)授權(quán)的訪問，即對系統(tǒng)的有意無意的未經(jīng)授權(quán)的訪問(包括針對信息的惡意活動)。[GB/T25069-2010,定義2.1.27]3.3攻擊在信息系統(tǒng)中，對系統(tǒng)或信息進(jìn)行破壞、泄露、變更或使其喪失功能的嘗試(包括竊取數(shù)據(jù))。[GB/T25069-2010,定義2.2.1.58]3.42DB510100/T138.7—2014審計對記錄或行為進(jìn)行獨(dú)立的檢查，以確保能與既定的控制措施、策略和操作程序相符合，同時給出在控制措施、策略或程序方面的修改建議。TCP/IP:傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TransmissionControlProtocol/InternetProtocol)XSS:跨站腳本攻擊(Cross-SiteScript)5安全要求社區(qū)綜合管理與服務(wù)信息安全由客戶端安全、通信網(wǎng)絡(luò)安全、服務(wù)器端安全和信息應(yīng)用安全組成，——客戶端用于用戶提交業(yè)務(wù)請求，主要為PC客戶端，以及各種手持終端等設(shè)備，客戶端安全見第——通信網(wǎng)絡(luò)實現(xiàn)客戶端請求和服務(wù)器端響應(yīng)的信息交互，其最大特點(diǎn)是開放性，可有效降低社區(qū)綜合管理成本和提高管理便利性，但容易受到來自網(wǎng)絡(luò)的安全威脅，通信網(wǎng)絡(luò)安全見第7章；——服務(wù)器端用于提供系統(tǒng)核心業(yè)務(wù)處理，應(yīng)充分利用各種先進(jìn)的物理安全技術(shù)、主機(jī)安全技術(shù)、訪問控制技術(shù)、密碼技術(shù)、系統(tǒng)漏洞檢測技術(shù)和黑客防范技術(shù)等技術(shù)，在保護(hù)的信息資源前端建立多道嚴(yán)密的安全防線，服務(wù)器端安全見第8章；——信息應(yīng)用安全對信息的使用方進(jìn)行制度約束，確保信息的保密性，信息應(yīng)用安全見第9章。6客戶端安全——應(yīng)采取有效措施提升客戶端環(huán)境的安全級別，例如在線殺毒服務(wù)、安全監(jiān)測工具等。——當(dāng)發(fā)現(xiàn)客戶端存在重大安全缺陷或安全威脅時，應(yīng)在系統(tǒng)發(fā)布預(yù)警通知，并通過短信、郵件等方式提醒用戶。7通信網(wǎng)絡(luò)安全7.1.1應(yīng)使用TCP/IP協(xié)議，實現(xiàn)客戶端和服務(wù)器端的通信。7.1.2應(yīng)使用強(qiáng)壯的加密算法保護(hù)客戶端與服務(wù)器端之間的連接，保證數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性。應(yīng)采取必要措施，保證通信線路暢通，防止線路截獲事件發(fā)生。8服務(wù)器端安全8.1物理安全3DB510100/T138.7—20148.1.1物理環(huán)境安全8.1.1.1物理位置及設(shè)備布置要求8.1.1.2溫濕度要求8.1.1.3噪聲、電磁干擾、振動及靜電要求8.1.1.4建筑與結(jié)構(gòu)要求8.1.1.5空氣調(diào)節(jié)要求8.1.1.6供配電要求8.1.1.7防靜電要求8.1.1.8接地要求8.1.1.9電磁屏蔽要求8.1.1.10消防要求8.1.1.11防雷擊要求應(yīng)符合GB50057-2010和GB50343-2012的有關(guān)規(guī)定。8.1.1.12物理訪問控制要求8.1.1.12.1機(jī)房出入口應(yīng)安排專人值守，控制、鑒別和記錄進(jìn)入的人員。8.1.1.12.2重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。8.1.1.13.1應(yīng)將主要設(shè)備放置在機(jī)房內(nèi)。8.1.1.13.2應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記。8.1.1.13.3應(yīng)將通信線纜鋪設(shè)在隱蔽處。4DB510100/T138.7—2014期的需要。數(shù)據(jù)庫服務(wù)器等主機(jī)。有一定的復(fù)雜度并定期更換。動退出等措施。的安全性。擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。8.1.2.4.2當(dāng)檢測到攻擊行為時，應(yīng)記錄攻擊源IP、攻擊類型、攻擊目標(biāo)和攻擊8.1.2.5.1應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄。5DB510100/T138.7—2014其他與審計相關(guān)的信息。專人專用，禁止共享賬號和密碼。網(wǎng)絡(luò)傳輸過程中被竊聽。侵行為監(jiān)控等，能夠記錄入侵的源IP、攻擊類型、攻擊目標(biāo)和攻擊時間。不必要的功能。在使用前應(yīng)進(jìn)行測試。志記錄。6DB510100/T138.7—20148.2.1.1應(yīng)用系統(tǒng)登錄時禁止文明顯示密碼，應(yīng)使用相同位數(shù)的同一特殊字符(如*和#)代替。8.2.1.3應(yīng)具有防范暴力破解靜態(tài)密碼的保護(hù)措施，例如在登錄時使用圖形驗證碼，其中驗證碼應(yīng)包含數(shù)字和字母；驗證碼由服務(wù)器端隨機(jī)產(chǎn)生；驗證碼采取圖片底紋干擾、顏色變換、防范惡意代碼自動識別；驗證碼具有一定時效性。8.2.1.8退出登錄或關(guān)閉瀏覽器頁面后，應(yīng)立即終8.2.4.3應(yīng)對一個時間段內(nèi)可能的并發(fā)連接數(shù)進(jìn)行限制。8.2.5WEB安全防范要求——上述操作禁止僅在客戶端進(jìn)行，在服務(wù)器端亦需進(jìn)行驗證；——數(shù)據(jù)庫系統(tǒng)應(yīng)盡量使用存儲過程或參數(shù)化查詢，并嚴(yán)格定義數(shù)據(jù)庫用戶的角色和權(quán)限。8.2.5.2防范跨站腳本攻擊(XSS),主要包括：7DB510100/T