資源描述:
《-重點用能單位能耗在線監(jiān)測系統(tǒng)安全規(guī)范-.beta》由會員上傳分享��,免費在線閱讀����,更多相關內容在教育資源-天天文庫�。
1、NECC-NHJC-08-2015重點用能單位能耗在線監(jiān)測系統(tǒng)安全規(guī)范(修訂稿)國家節(jié)能中心2015年4月修訂前言為貫徹貫徹落實《國家信息化領導小組關于加強信息安全保障工作的意見》和《關于信息安全等級保護工作的實施意見》�����、《信息安全等級保護管理辦法》���,重點能耗在線監(jiān)測系統(tǒng)的國家中心和地方(省級)中心及各企業(yè)端用能單位開展信息系統(tǒng)等級保護工作�����,保障重點用能單位能耗在線監(jiān)測系統(tǒng)安全�����,規(guī)范重點用能單位能耗在線監(jiān)測系統(tǒng)運維管理�����,依據(jù)《關于開展信息安全等級保護安全建設整改工作的指導意見》公信安[2009]1429號�、《信息安全技術信息系統(tǒng)安全等級保護基本要求》(GB/T222
2、39-2008)�����,特制定本規(guī)范��。國家節(jié)能中心根據(jù)重點用能單位能耗在線監(jiān)測系統(tǒng)試點建設情況���,組織對2014年8月發(fā)布的《重點用能單位能耗在線監(jiān)測系統(tǒng)安全規(guī)范(試行)》進行了修訂���,形成了本指南。本指南自2015年5月1日起實施���。本規(guī)范起草單位:國家節(jié)能中心����、中國空間技術研究院503所。目錄1適用范圍12規(guī)范性文件13術語和定義13.1敏感數(shù)據(jù)sensitivedata13.2風險risk13.3安全策略securitypolicy13.4安全需求securityrequirement23.5完整性integrity23.6可用性availability23.7弱口令we
3����、akpassword23.8國家節(jié)點23.9省級節(jié)點23.10能耗監(jiān)測端設備24系統(tǒng)信息安全保護概述34.1系統(tǒng)總體結構34.2安全防護設計框架44.2.1計算環(huán)境54.2.2區(qū)域邊界64.2.3通信網(wǎng)絡64.2.4安全管理中心74.2.5管理體系75安全設計規(guī)范85.1國家節(jié)點85.1.1物理安全85.1.2計算環(huán)境安全95.1.3區(qū)域邊界安全155.1.4通信網(wǎng)絡安全165.1.5安全管理中心175.1.6安全管理175.2省級節(jié)點265.2.1物理安全265.2.2計算環(huán)境安全275.2.3區(qū)域邊界安全315.2.4安全管理中心325.2.5安全管理325.3
4、能耗監(jiān)測端設備385.3.1結構安全及邊界防護385.3.2身份鑒別與訪問控制385.3.3安全審計395.3.4通信完整性與保密性395.3.5數(shù)據(jù)備份與恢復395.3.6安全維護管理39重點用能單位能耗在線監(jiān)測系統(tǒng)安全規(guī)范1適用范圍本規(guī)范依據(jù)國家《信息系統(tǒng)安全等級保護基本要求》和《信息系統(tǒng)等級保護安全設計技術要求》標準��,結合能耗在線監(jiān)測業(yè)務應用特點以及系統(tǒng)安全建設需要��,對能耗在線監(jiān)測系統(tǒng)信息安全體系架構采用分區(qū)分域設計����、對不同等級應用系統(tǒng)進行具體要求�����,以保障將國家等級保護要求融入��、落實到能源在線監(jiān)測系統(tǒng)的安全建設中��,提高能耗在線監(jiān)測系統(tǒng)網(wǎng)絡應用和系統(tǒng)信息安全防護
5���、水平����。本規(guī)范用于指導重點用能單位能耗在線監(jiān)測系統(tǒng)的國家中心和地方(省級)中心開展系統(tǒng)安全防護規(guī)劃及設計,也可作為對能耗在線監(jiān)測系統(tǒng)安全防護情況的監(jiān)督���、檢查和指導的依據(jù)����。2規(guī)范性文件下列文件中的條款通過本標準的引用而成為本標準的條款����,僅所注日期的版本適用于本文件。凡是不注日期的引用文件�,其最新版本適用于本標準?�!队嬎銠C信息系統(tǒng)安全保護等級劃分準則》(GB17859-1999)《信息安全技術信息安全風險評估規(guī)范》(GB/T20984-2007)《信息系統(tǒng)安全等級保護基本要求》(GB/T22239-2008)《信息系統(tǒng)安全保護等級定級指南》(GB/T22240-2008)
6��、《信息安全技術信息系統(tǒng)安全等級保護實施指南》(GB/T25058-2010)《信息系統(tǒng)等級保護安全設計技術要求》(GB/T25070-2010)《信息安全技術信息系統(tǒng)安全等級保護測評過程指南》(GB/T28449-2012)3術語和定義GB17859-1999����、GB/T22239-2008和GB/T25070-2010確立以及下列術語和定義適用于本標準。3.1敏感數(shù)據(jù)sensitivedata40敏感數(shù)據(jù)是指一旦泄露可能會對用戶造成損失的數(shù)據(jù)�����,包括但不限于:a)用戶敏感數(shù)據(jù),如用戶口令��、密鑰等����;b)系統(tǒng)敏感數(shù)據(jù),如系統(tǒng)的密鑰��、關鍵的系統(tǒng)管理數(shù)據(jù)���;c)其他需要保密的敏
7�����、感業(yè)務數(shù)據(jù);d)關鍵性的操作指令��;e)系統(tǒng)主要配置文件�����;f)其他需要保密的數(shù)據(jù)�。1.1風險risk某種威脅存在利用一種資產或若干資產的脆弱性使這些資產損失或破壞的可能性����。1.2安全策略securitypolicy主要指為信息系統(tǒng)安全管理制定的行動方針��、路線���、工作方式��、指導原則或程序�����。1.3安全需求securityrequirement為使設備�����、信息�����、應用及設施符合安全策略的要求而需要采取的保護類型及保護等級�����。1.4完整性integrity包括數(shù)據(jù)完整性和系統(tǒng)完整性�����。數(shù)據(jù)完整性表征數(shù)據(jù)所具有的特征�����,即無論數(shù)據(jù)形式作何變化�,數(shù)據(jù)的準確性和一致性均保持不變的程度;系統(tǒng)
