标准规范下载简介
DLT1527-2016 用电信息安全防护技术规范恶意代码防范应满足如下要求: a)应在本机安装防恶意代码软件或独立部署恶意代码防护设备,并及时更新防恶意代码软件版本 和恶意代码库。 b)应支持防恶意代码的统一管理。 C)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。
资源控制应满足如下要求: 应通过设定终端接入方式、网络地址范围等条件限制终端登录。 b) 应根据安全策略设置登录终端的操作超时锁定。 应根据需要限制单个用户对系统资源的最大或最小使用限度。 d) 应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况。 e 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。 应关闭或拆除主机的软盘驱动、光盘驱动、USB接口、串行口等,确需保留的必须通过安全管 理平台实施严格管理。 应采取措施控制桌面终端对移动硬盘、优盘等移动介质的使用,禁止桌面终端与手机、相机等 外部设备连接
DL/T1527—2016
身份鉴别应满足如下要求: a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别。 6 应用系统用户身份鉴别信息应不易被冒用,口令复杂度应满足要求并定期更换,应提供用户身 份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,用户在第 一次登录系统时修改分发的初始口令,口令长度不得小于8位GH/T 1333-2021 真空低温油浴脱水设备.pdf,且为字母、数字或特殊字符的 混合组合,用户名和口令禁止相同,应用软件不得明文存储口令数据。 C 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。 d 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理 功能,并根据安全策略配置相关参数。 在与用户互动建立连接时,应鉴别用户身份,防止信息泄露。
访问控制应满足如下要求: a)应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问。 b) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作。 C 应由授权主体配置访问控制策略,并严格限制默认账户的访问权限。 应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。 e 应对权限的赋予、变更、撤销制定严格的审核、批准、操作流程,权限变动经相关人员审核批 准后方可执行或生效。 应依据权限最小化原则对用户赋予适当的权限,执行角色分离,禁止多人共用账号,并定期进 行权限复核。 名 仅对必要的用户赋予远程互动接入权限,对于接入用户的权限应进行严格限制,由相关负责人 授权后方可开通,并依据其业务访问需求制定访问控制策略。 h)应依据安全策略严格控制用户对有敏感标记的重要信息资源的操作
7.4.4剩余信息保护
剩余信息保护应满足如下要求: a)应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些 息是存放在硬盘上还是在内存中。 b)应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他目
通信完整性应满足如下要求: a)应采用数字签名技术保证通信的完整性。 b)系统应能够检测到管理数据、认证信息和重要业务数据在传输过程中的完整性是否受到破坏。 C)系统在检测到完整性错误时应能采取必要的恢复措施
通信保密性应满足如下要求: a)在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证。 应采用认证、加密等技术措施实现数据的远方安全传输以及纵向边界的安全防护,包含以下几 点要求: 1)应在用电信息系统主站侧配置国家密码管理局认可的密码机设备,实现数据的加密和解 密,密码机设备必须集成有对称密码算法和非对称密码算法; 2) 应在智能采集终端中采用国家密码管理局认可的硬件安全模块实现数据的加密和解密,智 能采集终端的硬件安全模块应采用同时集成有国家密码管理局认可的对称密码算法和非 对称密码算法的安全模块: 3 应在智能电能表中采用国家密码管理局认可的硬件安全模块以实现数据的加密和解密,智 能电能表采用的硬件安全模块内部应至少集成有国家密码管理局认可的对称密码算法。 C 经网络传输的用户名、口令等认证信息应杜绝明文传输。
抗抵赖应满足如下要求: a)应具有日志记录并结合身份认证技术在请求的情况下为数据原发者或接收者提供数据原发证 据的功能。 b) 应具有日志记录并结合身份认证技术在请求的情况下为数据原发者或接收者提供数据接收证 据的功能。
软件容错应满足如下要求: a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或 合系统设定要求。 b)应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。
资源控制应满足如下要求: a) 当应用系统的通信双方中的一方在一段时间内未作响应时,另一方应能够自动结束会话。 6) 应能够对系统的最大并发会话连接数进行限制。 C) 应能够对单个账户的多重并发会话进行限制。 d) 应能够对一个时间段内可能的并发会话连接数进行限制。 应能够对一个访问账户或一个请求进程占用的资源分配最大限额和最小限额。 f 应能够对系统服务水平降低到预先规定的最小值进行检测和报警。
数据完整性应满足如下要求: a)、应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中的完整性是否受到破坏, 并在检测到完整性错误时采取必要的恢复措施。 b 应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中的完整性是否受到破坏, 并在检测到完整性错误时采取必要的恢复措施,
数据保密性应满足如下要求: a)应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输的保密性。 b).应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据存储的保密性。 所有应用安全设备(密码机和安全模块)应完全受控,由专门机构管理、制作和发放,并采用 经过国家密码管理局批准的加密方式、密码算法和密钥管理技术来增强安全保障。 1 应用层应采用对称密码算法与非对称密码算法相结合的混合密码系统,对称密码算法可选用国 密SM1或SM4算法,非对称密码算法可选用SM2算法。
数据备份与恢复应满足如下要求: a)应提供数据本地备份与恢复功能,对重要信息进行备份,数据备份至少每天一次,已有数据备 份可完全恢复至备份执行时状态,并对备份可恢复性进行定期演练,备份介质需要场外存放。 b)应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地。 c)应提供主要网络设备、通信线路和数据处理系统的硬件穴余,保证系统的高可用性。
管理制度应满足如下要求: a)应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安 全框架等。 b)应对安全管理活动中的各类管理内容建立安全管理制度。 c)应对要求管理人员或操作人员执行的日常管理操作建立操作规程。 d)应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。
制定和发布应满足如下要求: a)应指定或授权专门的部门或人员负责安全管理制度的制定。 b) 安全管理制度应具有统一的格式,并进行版本控制。 应组织相关人员对制定的安全管理制度进行论证和审定。 d 安全管理制度应通过正式、有效的方式发布。 e 安全管理制度应注明发布范围,并对收发文进行登记
人员配备应满足如下要求:
a)应配备一定数量的系统管理员、网络管理员、安全管理员等。 b)·每个电力企业应配备专职安全管理员,不可兼任。 c)关键事务岗位应配备多人共同管理。
资金保障应满足如下要求: a)应保障落实信息系统安全建设、运维、监督检查和等级保护测评的资金。 b)系统建设资金筹措方案和年度系统维护经费应包括信息安全保障资金项且
授权和审批应满足如下要求: a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。 b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审 批过程,对重要活动建立逐级审批制度。 应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。 d)应针对关键活动建立审批流程,由批准人签字确认,并存档备查
审核和检查应满足如下要求: a)安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。 b)应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、 安全配置与安全策略的一致性、安全管理制度的执行情况等。 C) 应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结 果进行通报。 d)应制定安全审核和安全检查制度规范,定期按照程序进行安全审核和安全检查活动。
人员录用应满足如下要求: )应指定或授权专门的部门或人员负责人员录用。 b)应严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所 有的技术技能进行考核。
DL/T15272016
c)应与安全管理员、系统管理员、网络管理员等关键岗位的人员签署保密协议。 d)应与安全管理员、系统管理员、网络管理员等关键岗位的人员签署岗位安全协议
人员离岗应满足如下要求: a)应严格规范人员离岗过程,及时收回离岗员工的所有访问权限。 b)应收回各种身份证件、钥匙、徽章等,以及机构提供的软件、硬件设备。 只有在收回访问权限和各种证件、设备等之后方可办理调离手续,关键岗位人员离岗须承诺调 离后的保密义务后方可离开
人员考核应满足如下要求: a)应定期对各个岗位的人员进行安全技能及安全认知的考核。 D 应对安全管理员、系统管理员、网络管理员、信息安全主管或专责等关键岗位的人员进行全面 严格的安全审查和技能考核。 c)应对考核结果进行记录并保存。
A.3.4安全意识教育和培训
安全意识教育和培训应满足如下要求: a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。 b) 应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进 行惩戒。 C 应按照行业信息安全要求,对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培 训计划,对信息安全基础知识、岗位操作规程等的培训应至少每年举办一次。 d) 应对安全教育和培训的情况和结果进行记录并归档保存。
A.3.5外部人员访问管理
外部人员访问管理应满足如下要求: )应确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程陪同或监督,并登 )对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定
A.4系统安全建设管理
A.4.2 安全方案设讯
安全方案设计应满足如下要求:
DL/T15272016
a)应根据系统的安全防护目标选择基本安全措施,并依据风险分析的结果补充和调整安全措施。 b)应指定和授权专门的部门对信息系统的安全建设进行总体规划,制订近期和远期的安全建设工 作计划。 C 应根据信息系统的安全子域划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、 安全管理策略、总体建设规划和详细设计方案,并形成配套文件。 d 应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建 设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后, 才能正式实施, e) 应根据等级测评、安全评估的结果每年定期调整和修订总体安全策略、安全技术框架、安全管 理策略、总体建设规划、详细设计方案等相关配套文件。
A.4.3产品采购和使用
产品采购和使用应满足如下要求: a)应确保安全产品采购和使用符合国家的有关规定。 b)应确保密码产品采购和使用符合国家密码主管部门的要求。 c)应指定或授权专门的部门负责产品的采购。 d)应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。 e)电力系统专用信息安全产品应经行业主管部门指定的安全机构测评方可采购使用。
A.4.4自行软件开发
自行软件开发应满足如下要求: a)应确保开发环境与实际运行环境物理分开,开发人员和测试人员分离,测试数据和测试结果受 到控制。 b)应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。 c)应制定代码编写安全规范,要求开发人员参照规范编写代码。 d)应确保提供软件设计的相关文档和使用指南,并由专人负责保管。 e)应确保对程序资源库的修改、更新、发布进行授权和批准。
A.4.5外包软件开发
外包软件开发应满足如下要求: a)应根据开发要求检测软件质量。 b)应在软件安装之前检测软件包中可能存在的恶意代码。 c)应要求开发单位提供软件设计的相关文档和使用指南。 d)外包开发的软件应在本单位存有源代码备份,并已通过软件后门等安全性检测
工程实施应满足要求: a)应指定或授权专门的部门或人员负责工程实施过程的管理。 b)应制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程过程 c)应制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。
测试与验收应满足如下要求
DL/T 15272016
a 应委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告。 在测试验收前应根据设计方案或合同要求等制定测试验收方案,在测试验收过程中应详细记录 测试验收结果,并形成测试验收报告。 应对系统测试验收的控制方法和人员行为准则进行书面规定。 d)应指定或授权专门的部门负责系统测试验收的管理,并按照管理规定的要求完成系统测试验收 工作。 e) 应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。
系统交付应满足如下要求: 应制定详细的系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点。 应对负责系统运行维护的技术人员每年进行相应的技能培训,对安全教育和培训的情况和结果 进行记录并归档保存。 c)应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档。 d)应对系统交付的控制方法和人员行为准则进行书面规定。 e)应指定或授权专门的部门负责系统交付的管理工作,并按照管理规定的要求完成系统交付工作,
A.4.10 系统测评
系统测评应满足如下要求: a)在系统运行过程中,应至少每年对系统进行一次等级测评,发现不符合相应等级保护标准要求 的及时整改。 b) 应在系统发生变更时及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全 改造,发现不符合相应等级保护标准要求的及时整改。 应选择具有国家相关技术资质和安全资质,经电力行业信息安全测评中心批准的测评单位进行 等级测评。 d 应指定或授权专门的部门或人员负责等级测评的管理
A.4.11安全服务商选择
安全服务商选择应满足如下要求: a)应选择符合国家及行业有关规定的安全服务商开展安全服务。 b)应与选定的安全服务商签订安全协议,明确安全责任。 c)应与服务商签订安全服务合同,明确技术支持和服务承诺。
A.5系统安全运维管理
环境管理应满足如下要求: a 应指定专门的部门或人员定期对机房供配电、空调及温度、湿度控制等设施进行维护管理。 b)应指定部门负责机房安全,并配备机房安全管理人员,对机房的出入、服务器的开机或关机等 工作进行管理。 ) 应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面 的管理作出规定。 d· 应加强对办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应立即交 还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状 态和桌面上没有包含敏感信息的纸质文件等。
资产管理应满足如下要求: a)应编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。 应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和 使用的行为。 应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施。 d)应对信息分类与标识方法做出规定,并对信息的使用、传输和存储等进行规范化管理
介质管理应满足如下要求: a)应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面做出规定。 b)应建立移动存储介质安全管理制度,对移动存储介质的使用进行管控。 应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理。 d 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进 行登记记录,并根据存档介质的目录清单定期盘点。 e 应对存储介质的使用过程、送出维修以及销毁等进行严格的管理,对带出工作环境的存储介质 进行内容加密和监控管理,对送出维修或销毁的介质应首先清除介质中的敏感数据,对保密性 较高的存储介质未经批准不得自行销毁。 应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同。 名 对重要数据或软件采用加密介质存储,并根据所承载数据和软件的重要程度对介质进行分类和 标识管理,
设备管理应满足如下要求: a) 应对信息系统相关的各种设备(包括备份和穴余设备)、线路等指定专门的部门或人员定期进 行维护管理,每年至少维护一次。 b) 应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、 采购、发放和领用等过程进行规范化管理。 c 应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员
的责任、涉外维修和服务的审批、维修过程的监督控制等。 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作 规程实现主要设备(包括备份和穴余设备)的启动(停止)、加电(断电)等操作。 应确保信息处理设备必须经过审批才能带离机房或办公地点。
A.5.5监控管理和安全管理中心
监控管理和安全管理中心应满足如下要求: a 应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报 警,形成记录并妥善保存。 b 应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采 取必要的应对措施。 c) 应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中 管理。
A.5.6网络安全管理
网络安全管理应满足如下要求: 应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理 工作。 应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令 更新周期等方面作出规定。 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份。 应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞及时修补。 应实现设备的最小服务配置,并对配置文件进行定期离线备份。 应保证所有与外部系统的连接均得到授权和批准。 应依据安全策略允许或者拒绝便携式和移动式设备的网络接入。 应定期检香违反规定 违反网络安全策略的行为
A.5.7系统安全管理
系统安全管理应满足如下要求: 应根据业务需求和系统安全分析确定系统的访问控制策略。 b) 应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补。 C 应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件 进行备份后,方可实施系统补丁程序的安装。 d 应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面做出 具体规定。 e 应指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,权限 设定应当遵循最小授权原则。 f 应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、 参数的设置和修改等内容,严禁进行未经授权的操作。 g 应定期对运行日志和审计数据进行分析,以便及时发现异常行为
A.5.8恶意代码防范管
恶意代码防范管理应满足如下要求!
DL/T15272016
DL/T15272016
a) 应提高所有用户的防病毒意识,及时告知防病毒软件版本。在读取移动存储设备上的数据以及 网络上接收文件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行 病毒检查。 b) 应指定专人对网络和主机进行恶意代码检测并保存检测记录JC/T 2287-2014 玻璃纤维增强塑料快装脚手架, C 应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等做出明确规定。 d 应定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防 病毒网关上截获的危险病毒或恶意代码进行及时分析处理并报告。
密码管理应满足如下要求: 应建立密码使用管理制度,使用符合国家密码管理规定的密码技术和产品。
A.5.11备份与恢复管理
备份与恢复管理应满足如下要求: a)应识别需要定期备份的重要业务信息、系统数据及软件系统等。 b)应建立备份与恢复管理相关的安全管理制度,对备份信息的备份方式、备份频度、存储介质和 保存期等进行规范。 C) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略须 指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法。 应建立控制数据备份和恢复过程的程序,对备份过程进行记录,所有文件和记录应妥善保存。 e 应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成 备份的恢复。
总结经验教训DB11/T 513-2018 绿色施工管理规程,制定防止再次发生的补救措施, 过程形成的所有文件和记录均应妥善保不 对造成系统中断和造成信息泄密的安 件应采用不同的处理程序和报告程序。
A.5.13应急预案管理
155123.3054