1 范圍

      本文件規定了化學品管理信息化信息安全的基本要求和技術要求。

      本文件適用于化學品管理信息化的信息安全管理。

2 規范性引用文件

      下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 2887 計算機場地通用規范

      GB/T 5271.8 信息技術 詞匯 第8部分：安全

      GB 17859 計算機信息系統 安全保護等級劃分準則

      GB/T 20269 信息安全技術 信息系統安全管理要求

      GB/T 20270 信息安全技術 網絡基礎安全技術要求

      GB/T 21052 信息安全技術 信息系統物理安全技術要求

      GB/T 22080 信息技術 安全技術 信息安全管理體系 要求

      GB/T 22240 信息安全技術 網絡安全等級保護定級指南

      GB/T 30283 信息安全技術 信息安全服務 分類

3 術語和定義

      GB/T 5271.8、GB 17859 界定的以及下列術語和定義適用于本文件。

3.1

      訪問控制 access control

      按確定的規則，對實體之間的訪問活動進行控制、防止未授權使用資源的安全機制。

3.2

      令牌 tokens

      由系統創建的包含登錄進程返回的安全標識符和由本地安全策略分配給用戶和用戶的安全組的特權列表。

4 基本要求

4.1 安全目標

4.1.1 應通過整體安全體系規劃，綜合運用各種安全技術和手段，從侵害程度、侵害對象兩個方面劃分化學品信息管理系統的信息安全等級，其安全要求應不低于對應安全等級應符合GB 17859和GB/T 22240的規定。

4.1.2 在化學品信息采集、信息存儲、信息加工、信息交換、信息應用、信息消亡過程中應研究目標化學品的信息安全特征，確定相對應的安全目標，分為靜態安全目標和動態安全目標。

4.1.3 靜態安全目標保證系統實體平臺安全，應包括整個系統的物理環境、系統軟硬件結構和可用的信息資源。

4.1.4 動態安全目標保障系統的軟環境安全，應包括安全管理、安全服務、安全意識和人員的安全專業素質。

4.2 安全體系

      信息安全體系應包括：

      a）安全管理：建立信息安全管理相關的制度和規定，實現管理上的安全；

      b）安全服務：建立信息安全體系不僅應依靠現有的安全機制和設備，還應全方位地提供各類安全服務；

      c) 數據安全：保證數據庫的安全和數據本身及網絡傳輸安全；

      d) 應用系統安全：系統內部的應用安全，是系統實現時最被關注的部分；

      e）軟件平臺安全：保證軟件平臺系統（如操作系統和應用系統基礎服務軟件等）安全；

      f) 網絡安全：把被保護的網絡從自由開放、無邊界的環境中獨立出來，使網絡成為可控制、可管理的內部系統；

      g）物理安全：從物理上保證系統設備的安全。

4.3 安全管理

4.3.1 化學品信息管理系統和監管平臺應建立一套完善的安全管理方案，并貫穿信息安全的各層次，包括安全制度管理和安全目標管理。

4.3.2 應從建立完善機房管理、網絡管理、數據管理、設備管理、應急處理、人員管理、技術資料管理等方面加強安全制度管理。

4.3.3 應按照資源管理目標，對信息系統涉及的物理資源、網絡資源、信息資源實施統一的資源分配，并根據資源重要程度確定安全等級和安全管理范圍。

4.3.4 應按照GB/T 20269和GB/T 22080的要求，安排專門人員負責以保證安全管理制度實施。

4.3.5 應展開對最新安全技術的跟蹤研究，加強安全技術進行交流、探討，優化安全管理策略。

4.3.6 應加強與已有的防火墻、防病毒、數據備份等安全設施的緊密配合。

4.4 安全服務

4.4.1 安全服務應包括安全咨詢、安全工程實施、安全技術培訓和安全維護，應符合GB/T 30283的要求。

4.4.2 信息安全不是安全產品的簡單集合，而是一項系統工程并有其專業體系，應采用先進科學的知識結構進行全面細致地把握。

4.4.3 信息安全系統存在固有弱點，即使最微小的安全漏洞都可能引發整個網絡系統的崩潰。且系統安全只是暫時的、靜態的，應通過持續全面的安全服務進行加強。

5 技術要求

5.1 物理安全

5.1.1 根據不同的目標對象，物理安全包括：

      a）環境安全，對系統所在環境的安全保護，如區域保護和災難保護；

      b）設備安全，主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護；

      c）媒介安全，包括媒介本身的安全及媒介數據的安全。

5.1.2 環境安全應符合GB/T 2887的要求，物理安全應符合GB/T 21052的要求。

5.2 網絡安全

5.2.1 一般要求

      網絡安全應符合GB/T 20270的要求。

5.2.2 網絡冗余

5.2.2.1 應采用網絡冗余、系統隔離、訪問控制、加密、安全監測、網絡掃描等技術手段來保障化學品信息系統的網絡安全。

5.2.2.2 應通過網絡冗余解決網絡系統單點故障，對關鍵性的網絡線路、設備采用雙備份或多備份的方式。網絡運行時，應對運營狀態相互實時監控并自動調整，當網絡的一段或一點發生故障，或者網絡信息流量突變時應能在有效時間內進行切換分配。

5.2.3 系統隔離

      應劃分物理隔離和邏輯隔離，應結合信息安全等級劃分合理的網絡安全邊界，實現不同安全級別的網絡或信息媒介不能相互訪問。應針對應用系統特點和化學品信息的特征采取相應的隔離措施。

5.2.4 訪問控制

5.2.4.1 對于網絡不同信任域，應根據雙向控制或有限訪問的原則加強訪問控制，有效控制受控的子網或主機訪問權限和信息流向。

5.2.4.2 對網絡對象，應解決網絡的邊界控制和網絡內部的控制，根據有限訪問的原則對網絡資源進行合理配置，對信息流向應根據安全需求實現單向或雙向控制。

5.2.4.3 訪問控制最重要的設備是防火墻，宜安置在不同安全域出入口處，對進出網絡的信息包進行過濾并按安全策略進行信息流控制，同時實現網絡地址轉換、實時信息告警等功能，高級防火墻還應實現基于用戶的細粒度的訪問控制。

5.2.5 加密

      應采用加密手段防止網絡上的竊聽、泄漏、篡改和破壞。加密應從三個層次來實現：

      a）鏈路層加密應側重通信鏈路而不考慮信源和信宿，對網絡高層主體透明；

      b）網絡層加密應采用網絡安全協議，具備加密、認證雙重功能，并應在系統的服務器間通信采取此協議；

      c）應用層加密應根據實際業務的應對處理、傳輸和存儲的數據采取多種加密算法進行加密保護。

5.2.6 安全監測

      應采用安全監測尋找未授權的網絡訪問嘗試和違規行為，包括但不限于網絡系統的掃描、預警、阻斷、記錄、跟蹤。網絡掃描監測系統應具有實時、自適應、主動識別和響應等特征。

5.2.7 網絡掃描

      應采用網絡掃描對網絡設備的安全漏洞進行檢測和分析，包括但不限于網絡通信服務、路由器、防火墻、郵件、WEB服務器，從而識別能被入侵者利用非法進入的網絡漏洞。網絡掃描系統應對檢測到的漏洞信息形成詳細報告，包括位置、詳細描述和建議的改進方案，有效檢測和管理安全風險信息。

5.3 軟件平臺安全

5.3.1 影響軟件平臺安全性的因素主要包含操作系統安全漏洞和病毒。

5.3.2 在操作系統安裝的時候應使用平臺軟件廠商提供的安全漏洞掃描工具進行漏洞掃描；在新漏洞信息發布的時候，應利用軟件平臺廠商提供的更新服務安裝相應的漏洞補丁，即時保障系統安全。

5.3.3 應采取專業的防病毒解決方案，實現從網絡、服務器、客戶機三個方面的立體防范。對于重大的安全漏洞和病毒，應及時向統管理員發出安全警告信并提供相應應對措施。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。