LS/T 1807-2017糧食信息安全技術(shù)規(guī)范

ICS3524099

B20..

中華人民共和國(guó)糧食行業(yè)標(biāo)準(zhǔn)

LS/T1807—2017

糧食信息安全技術(shù)規(guī)范

Securityspecificationforgraininformationsystem

2017-03-10發(fā)布2017-06-01實(shí)施

國(guó)家糧食局發(fā)布

LS/T1807—2017

目次

前言

…………………………Ⅰ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………1

信息安全保護(hù)對(duì)象

5………………………2

總體要求

6…………………2

安全管理

7…………………3

安全技術(shù)

8…………………3

糧食專業(yè)領(lǐng)域安全技術(shù)

9…………………5

參考文獻(xiàn)

……………………10

LS/T1807—2017

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由國(guó)家糧食局提出

。

本標(biāo)準(zhǔn)由全國(guó)糧油標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口

(SAC/TC270)。

本標(biāo)準(zhǔn)起草單位航天信息股份有限公司湖北省糧食局北京天融信科技股份有限公司

:、、。

本標(biāo)準(zhǔn)主要起草人李其均宋玉玲羅秀春施展王千喜周貴來(lái)

:、、、、、。

Ⅰ

LS/T1807—2017

糧食信息安全技術(shù)規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了糧食信息安全保護(hù)對(duì)象糧食信息安全技術(shù)及安全管理的基本要求部署在電子政

、。

務(wù)外網(wǎng)的相關(guān)安全建設(shè)由電子政務(wù)外網(wǎng)保障部署在電子政務(wù)內(nèi)網(wǎng)的相關(guān)安全建設(shè)由電子政務(wù)內(nèi)網(wǎng)保

,

障本標(biāo)準(zhǔn)重點(diǎn)闡述的是各級(jí)糧食行政管理部門糧食企業(yè)及其他涉糧機(jī)構(gòu)在企業(yè)內(nèi)部網(wǎng)互聯(lián)網(wǎng)交互

。、、

時(shí)的安全要求

。

本標(biāo)準(zhǔn)適用于糧食信息化項(xiàng)目的規(guī)劃設(shè)計(jì)建設(shè)運(yùn)維和評(píng)估

、、、。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式

GB/T20518

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求

GB/T22239

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南

GB/T22240

信息安全技術(shù)云計(jì)算服務(wù)安全指南

GB/T31167—2014

信息安全技術(shù)云計(jì)算服務(wù)安全能力要求

GB/T31168—2014

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件

。

31

.

安全域securitydomain

同一環(huán)境內(nèi)有相同的安全保護(hù)需求相互信任并具有相同的安全訪問(wèn)控制和邊界控制策略的網(wǎng)絡(luò)

、、

或系統(tǒng)

。

32

.

糧食云計(jì)算平臺(tái)graincloudcomputingplatform

云計(jì)算基礎(chǔ)設(shè)施和其上運(yùn)行的糧食信息化軟件的集合

。

33

.

糧食物聯(lián)網(wǎng)graininternetofthings

通過(guò)專用傳感器對(duì)儲(chǔ)糧環(huán)境和糧食的數(shù)量質(zhì)量進(jìn)行在線監(jiān)測(cè)的傳感器網(wǎng)絡(luò)系統(tǒng)

、。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件

。

虛擬專用網(wǎng)絡(luò)

VPN:(VirtualPrivateNetwork)

公鑰基礎(chǔ)設(shè)施認(rèn)證中心

PKI/CA:/(PublicKeyInfrastructure/CertificateAuthority)

統(tǒng)一安全管理的身份認(rèn)證授權(quán)審計(jì)和賬號(hào)

4A:、、(Authentication,Account,Authorization,

1

LS/T1807—2017

Audit)

5信息安全保護(hù)對(duì)象

主要包括糧食信息網(wǎng)絡(luò)信息系統(tǒng)糧食信息及其物理環(huán)境支撐性基礎(chǔ)設(shè)施與安全設(shè)備設(shè)施等

、、、。

51信息網(wǎng)絡(luò)

.

被保護(hù)網(wǎng)絡(luò)對(duì)象包括糧食業(yè)務(wù)管理范圍內(nèi)的各個(gè)信息網(wǎng)絡(luò)分別運(yùn)行于電子政務(wù)內(nèi)網(wǎng)電子政務(wù)外

,、

網(wǎng)企業(yè)內(nèi)部網(wǎng)互聯(lián)網(wǎng)四個(gè)不同的網(wǎng)絡(luò)中

、、。

52信息系統(tǒng)

.

被保護(hù)業(yè)務(wù)對(duì)象是糧食信息系統(tǒng)中運(yùn)行的各類糧食業(yè)務(wù)應(yīng)用系統(tǒng)糧食信息系統(tǒng)按業(yè)務(wù)應(yīng)用類型

,

分為糧食企業(yè)業(yè)務(wù)管理應(yīng)用系統(tǒng)和糧食行政管理應(yīng)用系統(tǒng)按照架構(gòu)分為國(guó)家級(jí)糧食管理平臺(tái)簡(jiǎn)稱

;(

國(guó)家級(jí)平臺(tái)省級(jí)糧食管理平臺(tái)簡(jiǎn)稱省級(jí)平臺(tái)企業(yè)糧食管理平臺(tái)糧食企業(yè)業(yè)務(wù)管理應(yīng)用系

“”)、(“”)、。

統(tǒng)運(yùn)行在企業(yè)內(nèi)網(wǎng)互聯(lián)網(wǎng)糧食行政管理應(yīng)用系統(tǒng)分別運(yùn)行在電子政務(wù)內(nèi)網(wǎng)電子政務(wù)外網(wǎng)和互

、;,、

聯(lián)網(wǎng)

。

53糧食信息

.

被保護(hù)的信息對(duì)象是各類糧食業(yè)務(wù)信息可分為公開(kāi)信息和非公開(kāi)信息非公開(kāi)信息中包含各類敏

,,

感信息不同的信息類別應(yīng)設(shè)定不同的安全保護(hù)等級(jí)措施

。,。

對(duì)于公開(kāi)信息主要是防篡改防丟失對(duì)于敏感信息除防篡改防丟失外還需增加防止未經(jīng)授權(quán)

,、;,、,

的披露濫用和銷毀

、。

531公開(kāi)信息

..

包括但不限于

:

糧食生產(chǎn)糧食加工糧油市場(chǎng)糧食消費(fèi)儲(chǔ)糧環(huán)境社會(huì)經(jīng)濟(jì)等信息

、、、、、。

532糧食敏感信息

..

包括但不限于

:

應(yīng)該公開(kāi)但正式發(fā)布前不宜泄漏的信息如招投標(biāo)規(guī)劃統(tǒng)計(jì)預(yù)算等過(guò)程信息

a),,、、、;

糧食行政執(zhí)法過(guò)程中生成的不宜公開(kāi)的記錄文件

b);

糧食企業(yè)的地理位置信息

c);

糧食企業(yè)的商業(yè)秘密

d);

糧食行政管理部門的人事規(guī)劃和工作章程人員能力評(píng)價(jià)等信息

e),;

售糧人銀行卡身份證結(jié)算資金等信息

f)、、;

糧食庫(kù)存量質(zhì)量輪換計(jì)劃糧食應(yīng)急預(yù)案等信息

g)、、、。

6總體要求

從安全管理安全技術(shù)糧食專業(yè)領(lǐng)域安全技術(shù)三個(gè)方面提出糧食信息系統(tǒng)的安全要求其架構(gòu)如

、、,

圖所示

1。

糧食行政管理部門糧食企業(yè)和其他涉糧機(jī)構(gòu)應(yīng)按照國(guó)家信息安全主管部門的要求對(duì)糧食信息系

、

統(tǒng)進(jìn)行定級(jí)并根據(jù)定級(jí)情況達(dá)到相應(yīng)的安全要求糧食企業(yè)業(yè)務(wù)管理應(yīng)用系統(tǒng)應(yīng)符合

,。GB/T22240

2

LS/T1807—2017

國(guó)家信息安全保護(hù)等級(jí)二級(jí)或二級(jí)以上標(biāo)準(zhǔn)跨省或覆蓋全省的糧食行政管理應(yīng)用系統(tǒng)應(yīng)符合安全保

,,

護(hù)等級(jí)三級(jí)標(biāo)準(zhǔn)

。

圖1糧食信息安全框架

7安全管理

安全管理的制度機(jī)構(gòu)人員系統(tǒng)建設(shè)運(yùn)維服務(wù)等應(yīng)符合的要求

、、、、,GB/T22239、GB/T22240。

8安全技術(shù)

糧食信息系統(tǒng)的安全技術(shù)應(yīng)符合的通用要求外還應(yīng)滿足以下技術(shù)

GB/T22239、GB/T22240,

要求

。

81物理安全

.

811辦公場(chǎng)地改造的機(jī)房

..

針對(duì)收納庫(kù)中心庫(kù)等糧食企業(yè)從辦公場(chǎng)地改建的機(jī)房至少應(yīng)具備

、,:

機(jī)房和辦公場(chǎng)地應(yīng)具有防風(fēng)防雨的設(shè)計(jì)

a)、;

空調(diào)水管安裝不得穿過(guò)機(jī)房房頂或活動(dòng)地板下

b);

應(yīng)采取措施防止雨水通過(guò)機(jī)房窗戶屋頂和墻壁滲透

c)、;

應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透

d);

機(jī)房建筑應(yīng)設(shè)置避雷裝置

e);

供電電源應(yīng)具有良好接地

f);

應(yīng)具有防盜竊防破壞的監(jiān)控報(bào)警裝置和安全管理措施

g)、;

機(jī)房應(yīng)設(shè)置滅火器材

h);

電源線和通信纜應(yīng)隔離鋪設(shè)避免互相干擾

i),;

3

LS/T1807—2017

收儲(chǔ)企業(yè)的備用電力供應(yīng)至少應(yīng)滿足收購(gòu)業(yè)務(wù)在斷電情況下的正常運(yùn)行

j),;

應(yīng)保持機(jī)房和辦公場(chǎng)地的干凈衛(wèi)生計(jì)算機(jī)設(shè)備灰塵較多時(shí)應(yīng)采取負(fù)壓清理方式灰塵較少

k),,,

時(shí)可采用普通清理方式

,;

配線架服務(wù)器機(jī)架應(yīng)有顯著的標(biāo)識(shí)

l)、;

獨(dú)立機(jī)房可配置電子門禁系統(tǒng)控制鑒別和記錄進(jìn)入的人員

m),、。

812倉(cāng)房外的強(qiáng)電弱電機(jī)柜

..、

包括但不限于

:

應(yīng)有良好的防雨設(shè)計(jì)

a);

應(yīng)具有漏電過(guò)載短路保護(hù)裝置

b)、、;

應(yīng)對(duì)機(jī)柜內(nèi)的線纜開(kāi)關(guān)或其他控制單元有顯著的標(biāo)識(shí)通過(guò)標(biāo)識(shí)可追溯相關(guān)圖紙檢修記

c)、,,、

錄責(zé)任人等

、。

82網(wǎng)絡(luò)安全

.

821庫(kù)區(qū)網(wǎng)絡(luò)布線

..

包括但不限于

:

糧庫(kù)內(nèi)網(wǎng)網(wǎng)絡(luò)的綜合布線宜采用光纖環(huán)網(wǎng)等可靠的網(wǎng)絡(luò)鏈路

a);

應(yīng)在每個(gè)倉(cāng)房門口設(shè)置一個(gè)信息節(jié)點(diǎn)

b);

信息節(jié)點(diǎn)應(yīng)安裝在倉(cāng)房外的防水防塵的弱電箱內(nèi)

c)。

822結(jié)構(gòu)安全

..

包括但不限于

:

與省級(jí)管理平臺(tái)連接的企業(yè)應(yīng)有固定的地址

a),IP;

應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

b);

應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期需要如遠(yuǎn)程視頻監(jiān)管的需要

c),;

應(yīng)根據(jù)業(yè)務(wù)類別重要性和所涉及信息程度等因素劃分不同子網(wǎng)或網(wǎng)段并按照方便管理和

d)、,,

控制的原則為各子網(wǎng)網(wǎng)段分配地址段

、;

重要網(wǎng)段不得直接連接外部信息系統(tǒng)重要網(wǎng)段與其他網(wǎng)段之間應(yīng)采取可靠的技術(shù)隔離手段

e),。

823訪問(wèn)控制

..

包括但不限于

:

應(yīng)利用網(wǎng)閘防火墻等技術(shù)確定外部邊界實(shí)現(xiàn)安全可靠的外部網(wǎng)絡(luò)互聯(lián)

a)、VPN、,;

應(yīng)利用身份認(rèn)證技術(shù)實(shí)現(xiàn)分層管理將內(nèi)部安全域的信息分等級(jí)劃分禁止低安全域的用戶

b),,/

業(yè)務(wù)非授權(quán)訪問(wèn)高安全域用戶業(yè)務(wù)

/;

應(yīng)具備網(wǎng)絡(luò)性能保護(hù)機(jī)制防止對(duì)網(wǎng)絡(luò)資源的濫用確保網(wǎng)絡(luò)資源的合理使用

c),,;

應(yīng)具備網(wǎng)絡(luò)接入認(rèn)證的能力確保只有授權(quán)的終端才能接入網(wǎng)絡(luò)

d),。

824安全審計(jì)

..

應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況網(wǎng)絡(luò)流量用戶行為進(jìn)行審計(jì)

、、。

825入侵防范

..

應(yīng)在網(wǎng)絡(luò)邊界防范端口掃描木馬后門攻擊拒絕服務(wù)攻擊緩沖區(qū)溢出攻擊網(wǎng)絡(luò)蠕蟲(chóng)等攻擊

、、、、

4

LS/T1807—2017

行為

。

83主機(jī)安全

.

應(yīng)符合的要求

GB/T22240。

84數(shù)據(jù)安全

.

包括但不限于

:

糧食企業(yè)的業(yè)務(wù)數(shù)據(jù)應(yīng)至少保存一個(gè)儲(chǔ)糧周期且不少于年相關(guān)政策有要求的還應(yīng)滿足相

a)5;,

關(guān)政策文件要求

;

存儲(chǔ)空間不足時(shí)應(yīng)逐步刪除視頻數(shù)據(jù)保留業(yè)務(wù)數(shù)據(jù)

b),,;

應(yīng)具有本地的數(shù)據(jù)備份在糧食輪換期應(yīng)增加備份次數(shù)備份介質(zhì)應(yīng)場(chǎng)地外存放

c),,;

應(yīng)加強(qiáng)備份介質(zhì)的安全管理

d)。

85應(yīng)用安全

.

包括但不限于

:

糧食信息系統(tǒng)應(yīng)實(shí)現(xiàn)基于糧食行業(yè)數(shù)字證書體系的用戶身份認(rèn)證并要求實(shí)現(xiàn)

a)PKI/CA,4A

的應(yīng)用系統(tǒng)安全體系確保本地應(yīng)用系統(tǒng)的信息安全

,;

應(yīng)根據(jù)人員的崗位職責(zé)授予不同賬戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限并在他們之間形

b),,

成相互制約的關(guān)系

;

應(yīng)及時(shí)刪除或禁用多余賬號(hào)測(cè)試賬號(hào)過(guò)期賬號(hào)避免共享賬號(hào)過(guò)期賬號(hào)的使用

c)、、,、。

9糧食專業(yè)領(lǐng)域安全技術(shù)

91糧食物聯(lián)網(wǎng)安全

.

糧食物聯(lián)網(wǎng)的設(shè)計(jì)和實(shí)施除了應(yīng)遵循一般的物理安全主機(jī)安全網(wǎng)絡(luò)安全數(shù)據(jù)安全和應(yīng)用安全

,、、、

的技術(shù)要求外其安全性還應(yīng)具有

,:

感知節(jié)點(diǎn)應(yīng)通過(guò)接口通過(guò)身份認(rèn)證和授權(quán)訪問(wèn)確認(rèn)其身份真實(shí)性和正確性以及訪問(wèn)控制

a),,,

的準(zhǔn)確性后才能接入到網(wǎng)絡(luò)中

,;

大型糧庫(kù)糧油加工企業(yè)或物流中心可采用工業(yè)防火墻網(wǎng)閘等設(shè)備對(duì)糧食業(yè)務(wù)管理網(wǎng)絡(luò)和

b)、,、

工業(yè)控制網(wǎng)絡(luò)進(jìn)行邏輯隔離

;

對(duì)于出入庫(kù)數(shù)據(jù)錄入數(shù)據(jù)的變更不能以超級(jí)用戶或其他高權(quán)限用戶直接操作數(shù)據(jù)庫(kù)修改系

c),,

統(tǒng)應(yīng)提供完整的變更流程記錄數(shù)據(jù)錄入審核變更的全過(guò)程信息并形成數(shù)據(jù)變更報(bào)表

,、、,;

應(yīng)當(dāng)遵循客觀性原則不得修改偽造糧食物聯(lián)網(wǎng)的原始采集數(shù)據(jù)

d),、;

糧食物聯(lián)網(wǎng)系統(tǒng)應(yīng)保留操作日志訪問(wèn)日志通過(guò)審計(jì)人員賬戶訪問(wèn)時(shí)間操作內(nèi)容等日志信

e)、,、、

息追蹤定位非授權(quán)訪問(wèn)行為

,;

系統(tǒng)日志應(yīng)能記錄設(shè)備的現(xiàn)場(chǎng)手動(dòng)操作與遠(yuǎn)程操作日志結(jié)合形成完整的設(shè)備操作日志

f),,;

糧食信息化技術(shù)支撐單位遠(yuǎn)程或本地進(jìn)行系統(tǒng)升級(jí)時(shí)應(yīng)制定變更計(jì)劃明確變更時(shí)間變更

g),,、

內(nèi)容變更驗(yàn)證變更責(zé)任人等事項(xiàng)應(yīng)對(duì)原有版本和當(dāng)前版本軟件數(shù)據(jù)備份到物理介質(zhì)并

、、,、,

留有相關(guān)記錄

。

92糧食云安全

.

921云計(jì)算平臺(tái)的使用范圍

..

包括但不限于

:

5

LS/T1807—2017

對(duì)于涉密的糧食信息系統(tǒng)信息的處理保存?zhèn)鬏斃脩?yīng)按照國(guó)家保密法規(guī)執(zhí)行不得使用

a),、、、,

政務(wù)云或其他公有云服務(wù)平臺(tái)中的優(yōu)先級(jí)確定

[GB/T31167—2014];

涉及糧食信息敏感信息程度較多的信息系統(tǒng)或關(guān)鍵業(yè)務(wù)系統(tǒng)可采用社區(qū)云或私有云計(jì)算平

b),

臺(tái)也可按照傳統(tǒng)方式自建系統(tǒng)運(yùn)行

,;

交通偏遠(yuǎn)網(wǎng)絡(luò)通信條件差的基層收納點(diǎn)采用云計(jì)算平臺(tái)應(yīng)確保網(wǎng)絡(luò)中斷后還有備用的技

c)、,,,

術(shù)手段和措施完成各環(huán)節(jié)的信息采集和業(yè)務(wù)處理不影響糧食收購(gòu)業(yè)務(wù)

,,。

922云計(jì)算的安全責(zé)任認(rèn)定

..

糧食信息化平臺(tái)遷入云計(jì)算平臺(tái)后其安全責(zé)任并未轉(zhuǎn)移仍需承擔(dān)云計(jì)算平臺(tái)上的數(shù)據(jù)和業(yè)務(wù)的

,,

最終安全責(zé)任中的云計(jì)算服務(wù)安全管理基本要求

[GB/T31167—2014]。

923云服務(wù)商的選擇

..

包括但不限于

:

對(duì)于擬遷入云計(jì)算平臺(tái)的系統(tǒng)應(yīng)對(duì)其信息和業(yè)務(wù)進(jìn)行分析按照信息的敏感程度和業(yè)務(wù)的重

a),,

要程度選擇相應(yīng)安全能力水平的云服務(wù)商

;

糧食云計(jì)算客戶應(yīng)通過(guò)合同明確云服務(wù)商的責(zé)任和義務(wù)強(qiáng)調(diào)客戶對(duì)數(shù)據(jù)和業(yè)務(wù)系統(tǒng)運(yùn)行狀

b),

態(tài)的知情權(quán)應(yīng)要求云計(jì)算平臺(tái)提供必要的監(jiān)管接口和日志查詢功能建立有效的審查檢查

;,、

機(jī)制實(shí)現(xiàn)對(duì)云計(jì)算服務(wù)的有效監(jiān)管

,。

924云計(jì)算平臺(tái)客戶端的安全要求

..

糧食云客戶應(yīng)管控自身的客戶端系統(tǒng)應(yīng)

,:

不得向云計(jì)算平臺(tái)和相關(guān)系統(tǒng)傳送惡意程序垃圾數(shù)據(jù)以及其他可能影響云計(jì)算正常運(yùn)行的

a),,

代碼

;

不得對(duì)云計(jì)算平臺(tái)進(jìn)行網(wǎng)絡(luò)攻擊竊取或篡改數(shù)據(jù)資料

b)、;

不得通過(guò)云平臺(tái)從事違背國(guó)家信息安全的非法活動(dòng)

c)。

925云平臺(tái)的安全威脅

..

包括但不限于

:

糧食云服務(wù)環(huán)境下需具備應(yīng)對(duì)處理傳統(tǒng)信息安全威脅的技術(shù)手段和措施包括主機(jī)安全威

a),,

脅網(wǎng)絡(luò)安全威脅以及應(yīng)用安全威脅

、、;

應(yīng)處理虛擬化帶來(lái)的新的安全威脅包括虛擬化平臺(tái)虛擬機(jī)與虛擬機(jī)的網(wǎng)絡(luò)管理租戶與租

b),、、

戶之間的安全隔離

;

云計(jì)算模式下云計(jì)算的設(shè)施層物理環(huán)境硬件層物理設(shè)備資源抽象層和控制層都處于

c),()、()、

云服務(wù)商的完全控制之下所有安全設(shè)施由云服務(wù)商承擔(dān)對(duì)其安全性要求應(yīng)按照

,,,

執(zhí)行應(yīng)用軟件層軟件平臺(tái)層的安全保障措施和傳統(tǒng)信息安全保障措

GB/T31168—2014。、,

施相同

。

93移動(dòng)互聯(lián)網(wǎng)安全

.

移動(dòng)互聯(lián)網(wǎng)應(yīng)用帶來(lái)的安全風(fēng)險(xiǎn)應(yīng)從移動(dòng)終端安全移動(dòng)應(yīng)用安全敏感信息防泄漏等方面防范

,、、。

931移動(dòng)終端安全

..

應(yīng)對(duì)涉糧的移動(dòng)終端進(jìn)行全生命周期管理其安全性要求如下

,:

對(duì)移動(dòng)終端的系統(tǒng)功能進(jìn)行限制

a);

6

LS/T1807—2017

建立領(lǐng)用登記歸還制度

b)、;

涉糧應(yīng)用在檢測(cè)到運(yùn)行環(huán)境處于越獄或等非安全環(huán)境時(shí)應(yīng)及時(shí)提出安全警示必要

c)ROOT,,

時(shí)可以終止運(yùn)行

;

應(yīng)支持遠(yuǎn)程終端控制如果移動(dòng)終端發(fā)生丟失被盜可遠(yuǎn)程進(jìn)行設(shè)備密碼更改設(shè)備鎖機(jī)警告

d),,、、

信息發(fā)送數(shù)據(jù)擦除等操作保護(hù)設(shè)備和數(shù)據(jù)安全

、,;

應(yīng)定位跟蹤移動(dòng)終端提供受管設(shè)備的集中式管理和多維度統(tǒng)計(jì)信息的可視化展現(xiàn)

e)、,;

應(yīng)防范自帶設(shè)備風(fēng)險(xiǎn)防止自帶設(shè)備不合規(guī)造成信息泄露通過(guò)移動(dòng)設(shè)備結(jié)論碼電話號(hào)碼等

f),,、,

確保系統(tǒng)內(nèi)只有授權(quán)的終端

。

932移動(dòng)應(yīng)用安全

..

包括但不限于

:

應(yīng)通過(guò)黑白名單限制移動(dòng)應(yīng)用程序下載及訪問(wèn)提供安全相關(guān)封裝工具和確保已有應(yīng)

a),SDK,

用及新開(kāi)發(fā)應(yīng)用均能運(yùn)行在安全的容器環(huán)境中應(yīng)避免使用有漏洞的開(kāi)源第三方應(yīng)用組件及

,

代碼嚴(yán)格限制第三方組件自身數(shù)據(jù)收集功能

,;

用戶身份鑒別或密碼設(shè)定找回應(yīng)進(jìn)行二次鑒權(quán)避免用戶身份被冒領(lǐng)如系統(tǒng)注冊(cè)信息校

b)、,,,

驗(yàn)短信驗(yàn)證碼指紋等

、、;

不宜通過(guò)第三方賬戶進(jìn)行認(rèn)證

c);

不宜用移動(dòng)終端采集或處理涉及售糧人銀行卡號(hào)金額支付以及庫(kù)存量等信息

d)、、;

應(yīng)提供應(yīng)用安全掃描和加固若發(fā)現(xiàn)未指定的非涉糧應(yīng)用可立刻禁止訪問(wèn)并發(fā)送警告信息

e),,;

不應(yīng)訪問(wèn)移動(dòng)終端中非業(yè)務(wù)必需的文件和數(shù)據(jù)

f);

不開(kāi)啟與服務(wù)無(wú)關(guān)的功能

g);

未向用戶明示并經(jīng)用戶同意不得擅自收集糧食業(yè)務(wù)信息智能倉(cāng)儲(chǔ)管理數(shù)據(jù)等

h),、;

對(duì)于科研需要的數(shù)據(jù)應(yīng)當(dāng)遵循合法正當(dāng)必要原則明示收集使用信息的目的方式和范圍

i),、、,、,

并經(jīng)用戶同意

;

與糧庫(kù)照明通風(fēng)等與控制系統(tǒng)有關(guān)的移動(dòng)應(yīng)用以及倉(cāng)儲(chǔ)管理等移動(dòng)應(yīng)用在用戶權(quán)限控制

j)、,,

的基礎(chǔ)上應(yīng)增加地理圍欄限制限制對(duì)糧食自動(dòng)控制系統(tǒng)的數(shù)據(jù)資源網(wǎng)絡(luò)資源設(shè)備的

,,、、

訪問(wèn)

;

輸入敏感信息時(shí)應(yīng)使用經(jīng)過(guò)第三方專業(yè)機(jī)構(gòu)檢測(cè)的安全軟鍵盤確保敏感信息不被移動(dòng)終端

k),,

的其他應(yīng)用程序竊取

;

應(yīng)通過(guò)簽名標(biāo)識(shí)移動(dòng)終端應(yīng)用程序的來(lái)源和發(fā)布者保證用戶所下載的移動(dòng)應(yīng)用來(lái)源于糧食

l),

技術(shù)支撐單位

。

933終端敏感信息防泄漏

..

包括但不限于

:

對(duì)于協(xié)同辦公倉(cāng)儲(chǔ)業(yè)務(wù)管理庫(kù)存監(jiān)管行政執(zhí)法類的移動(dòng)應(yīng)用應(yīng)加強(qiáng)對(duì)敏感文檔的內(nèi)容泄

a)、、、,

露防護(hù)包括文檔內(nèi)容加密及安全傳送

,;

設(shè)備離開(kāi)指定的地理區(qū)域后限制文檔訪問(wèn)

b);

限制文檔保存復(fù)制編輯打印等操作

c)、、、;

限制第三方應(yīng)用瀏覽文檔內(nèi)容通過(guò)實(shí)時(shí)同步及安全共享提高協(xié)作效率

d);;

對(duì)后臺(tái)任務(wù)列表中的預(yù)覽界面應(yīng)采取模糊或其他防護(hù)措施

e);

敏感信息的存儲(chǔ)應(yīng)進(jìn)行加密或不可逆變換密碼算法應(yīng)采用官方發(fā)布中自帶算法庫(kù)如

f),SDK,

使用第三方算法庫(kù)應(yīng)對(duì)其安全性進(jìn)行驗(yàn)證密碼算法應(yīng)符合國(guó)家密碼管理局的相關(guān)要求

,,;

有條件的情況下可采取數(shù)字簽名技術(shù)

g),。

7

LS/T1807—2017

94電子認(rèn)證

.

941基本要求

..

包括但不限于

:

糧食信息系統(tǒng)應(yīng)采用電子認(rèn)證服務(wù)以實(shí)現(xiàn)各個(gè)業(yè)務(wù)系統(tǒng)中的身份認(rèn)證完整性保密性抗抵

a),、、,

賴等安全要求

;

糧食行政管理部門應(yīng)該以省為最小單位選擇糧食或者其他具有電子認(rèn)證服務(wù)許可證

b),CA《》

的電子認(rèn)證服務(wù)機(jī)構(gòu)提供電子認(rèn)證服務(wù)

;

為糧食信息系統(tǒng)提供電子認(rèn)證服務(wù)的提供商需接入國(guó)家根與之構(gòu)成完整可信證書鏈

c)CA,。

942電子認(rèn)證的應(yīng)用范圍

..

包括但不限于

:

庫(kù)存監(jiān)管系統(tǒng)

a);

地磅碼單的電子簽章系統(tǒng)

b);

各項(xiàng)統(tǒng)計(jì)系統(tǒng)

c);

各級(jí)儲(chǔ)備糧管理系統(tǒng)

d)。

943電子認(rèn)證服務(wù)要求

..

包括但不限于

:

電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)結(jié)合糧食信息系統(tǒng)外部用戶和內(nèi)部用戶的實(shí)際需求提供證書申請(qǐng)證書

a),、

發(fā)放證書更新證書吊銷證書解鎖密鑰恢復(fù)和證書查詢等證書業(yè)務(wù)服務(wù)和相關(guān)技術(shù)支持

、、、、

服務(wù)

;

電子認(rèn)證服務(wù)機(jī)構(gòu)在糧食信息系統(tǒng)開(kāi)展服務(wù)時(shí)應(yīng)制定針對(duì)糧食管理平臺(tái)的數(shù)據(jù)同步接

b),CA

口實(shí)現(xiàn)數(shù)字證書和黑名單的同步上傳

,。

944證書格式和載體要求

..

電子認(rèn)證服務(wù)機(jī)構(gòu)發(fā)放的數(shù)字證書格式證書介質(zhì)應(yīng)符合相關(guān)要求