DB11/T 948.12-2013 标准规范下载简介和预览
DB11/T 948.12-2013 电梯运行安全监测信息管理系统技术规范 第12部分:系统信息安全规范简介:
DB11/T 948.12-2013 是北京市电梯运行安全监测信息管理系统技术规范的第12部分,主要关注的是系统信息安全规范。这份规范的出台,主要是为了提升电梯运行安全监测信息管理系统的安全性,保护用户信息和系统数据,防止未经授权的访问、修改或破坏。
这份规范可能包括以下几个方面:
1. 系统安全策略:规定系统的安全策略,如访问控制策略,数据加密策略等,以保证数据的完整性、机密性和可用性。
2. 身份验证与授权:明确用户的身份验证方法和权限分配规则,确保只有经过授权的用户才能访问系统。
3. 数据保护:规定数据的备份、恢复和防丢失策略,以及数据的加密和解密规范,防止数据泄露或被恶意篡改。
4. 安全审计:要求系统能够记录和追踪用户操作,以便在发生安全事件时进行追踪和调查。
5. 安全更新与维护:规定系统软件的安全更新和维护规则,及时修补可能的安全漏洞。
6. 应急响应:制定安全事件的应急响应计划,包括事件的报告、调查、处理和恢复等步骤。
7. 法规遵从:确保系统的设计和运行符合相关的信息安全法规和标准。
这份规范的实施,对于提升电梯运行的安全性,保护用户隐私,保障社会公共安全具有重要意义。
DB11/T 948.12-2013 电梯运行安全监测信息管理系统技术规范 第12部分:系统信息安全规范部分内容预览:
lspecificationsforlifts,escalatorsandmovingwalksoperation safety monitoringinformation management system
DB11/T 948.122013
范围. 规范性引用文件, 术语和定义 缩略语 系统信息安全总体框架 物理安全 电梯数据采集端安全 网络安全 应用安全 10数据安全
DB11/T 948.122013
DBJ 14-077-2011 居住建筑太阳能热水系统一体化应用技术规程电梯运行安全监测信息管理系统技术规范
本部分规定了电梯运行安全监测信息管理系统的信息安全技术要求。 本部分适用于电梯运行安全监测信息管理系统的规划,新建、改建、扩建工程的设计和验收。
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T20273信息安全技术数据库管理系统安全技术要求 GB/T22239信息安全技术信息系统安全等级保护基本要求 GB/T24856信息安全技术信息系统等级保护安全设计技术要求
下列缩略语适用于本部分: VPN:虚拟专网(VirtualPrivateNetwork) RD:独立磁盘穴余阵列(redundant array of independent disks)
DB11/T 948.122013
5系统信息安全总体框架
图1电梯运行安全监测信息管理系统信息安全技术框架图
1.1区级平台、市级平台信息系统所在的机房应设置专人值守,控制、鉴别和记录进人人员; 1.2进入市级平台信息系统所在机房的来访人员应经过相关负责部门的申请和审批流程,并且 和监控其活动范围。
6.2.1区级平台、市级平台信息系统的服务器、交换机等主要设备应放置在机房内; 6.2.2 设备或主要部件应固定,并设置明显的标记: 6.2.3 市级平台信息系统所在机房应安装防盗报警装置: 6.2.4 前端数据采集设备应具备防盗报警装置。 6.3防雷击 6.3.1 信息系统机房、前端设备所在的建筑应安装避雷装置; 6.3.2机房应设置交流电源地线
DB11/T 948.122013
6.4.1市级平台信息系统机房应设置灭火设备和火灾自动报警系统; 6.4.2水管安装,不应穿过机房屋顶和活动地板下; 6.4.3应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; 6.4.4应采取措施防止机房(包括信息系统机房和前端设备所在的机房)内水蒸气结露和地下积水的 转移与渗透。 6.5区级平台、市级平台信息系统机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备 运行所允许的范围之内
6.6.1应在区级平台、市级平台的机房供电线路上配置稳压器和过电压防护设备; 6.6.2市级平台机房应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
6.6.1应在区级平台、市级平台的机房供电线路上配置稳压器和过电压防护设备;
1应采用本系列标准第3部分规定的采集设备编码+MAC地址绑定的方式,实现电梯数据采集设 份认证。
图2电梯运行安全监测信息管理系统传输网络结构图
启用端口绑定等方式对接入系统传输网络的用户、设备进行网络层的可信接入认证机制,保证 平台、区级平台等信息系统用户、设备的真实可靠。
DB11/T 948.122013
8.3.1应在应用平台信息系统应用服务器、数据库服务器所在的网络边界部署防火墙等访问控制设备, 根据安全策略提供明确的允许/拒绝访问,控制粒度为网段级; 8.3.2对访问应用平台网络区域的终端,应采用“MAC+端口绑定”等技术方式来防止地址欺骗; 3.3.3应对应用服务器、数据库服务器之间的安全边界开启访问控制策略,控制粒度为端口级: 3.4数据汇聚层向区、市级应用平台上报数据、区级平台与市级平台数据交换时,应对文件类型及格 式进行限定
8.5.1应对应用平台信息系统应用服务器、数据库服务器所处的网络区域接入交换机旁路 全审计设备,对网络流量、用户行为等进行日志记录;
8.7.1应用平台部署在互联网时,应在应用平台信息系统网络边界处对恶意代码进行检测和清除,及 时维护恶意代码库的升级和检测系统的更新; 8.7.2数据汇聚层、应用平台中的服务器应安装防病毒软件,并及时更新软件版本和恶意代码库; 8.7.3采用的防病毒产品应具有计算机信息系统安全专用产品销售许可证; 3.7.4应制定《电梯运行安全监测管理信息平台计算机病毒防治管理制度》,针对平台管理人员进行 计算机病毒防治管理培训。 8.8在数据汇聚层与应用平台双方通信时,应采用校验码技术、特定的文件格式、特定协议或等同强 度的技术手段等进行传输,保证通信过程中的数据完整性,
8.7.1应用平台部署在互联网时,应在应用平台信息系统网络边界处对恶意代码进行检测和清除,及 时维护恶意代码库的升级和检测系统的更新;
9.1.1平台应提供对采集设备身份鉴别功能
DB11/T 948.122013
9.1.2应对接入应用平台的采集端设备(“采集设备编码+MAC”与“应用平台中注册的可信设备识别 码”比对等方案)进行可信检验,确保接入平台的采集设备真实可信,防止恶意非法终端接入; 9.1.3针对登录应用平台的用户,应基于数字证书等严格的强身份认证措施,应用平台需提供专用的 登录控制模块,或者将登录控制模块集成到统一的门户认证系统中,应对登录应用平台的用户进行身份 标识和鉴别,应为不同用户分配不同的用户名,不能多人使用同一用户名; 9.1.4应用平台应提供身份标识唯一和鉴别信息复杂度检查功能,保证应用平台中不存在重复用户身 份标识; 9.1.5应用平台的系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应定期更换,用户名和 口令不应相同; 9.1.6应用平台应提供登录失败处理功能,可采取结束会话、限制非法登录或自动退出等措施:
9.1.6应用平台应提供登录失败处理功能,可采取结束会话、限制非法登录或自动退出等措施:
2.1市级平台应提供统一的门户,门户应具有鉴权机制,依据登录人员的不同身份展现不同的 2.2应用平台应具备身份认证与授权管理系统,实现用户的统一身份认证及资源的统一授权管 2.3通过外部网络对应用平台进行访问时应使用安全方式接入,宜对用户采用数字证书等强制 式,应根据维保部门、使用单位等用户和应用平台之间的访问规则,决定对系统中资源的访问, 制粒度应为单个用户;
2.4应根据应用平台管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所 来小权限:
9.2.5应实现操作系统和数据库系统特权用户的权限分离
9.2.6应及时删除应用平台中多余的、过期的帐户,避免共享帐户的
9.2.6应及时删除应用平台中多余的、过期的帐户,避免共享帐户的存在。
DB11/T 948.122013
9.5.2应采用SSLVPN技术确保应用平台远程接入用户的通信完整性。
TB 10209-2002 铁路给水排水施工规范9.5.2应采用SSLVPN技术确保应用平台远程接入用户的通信完整性。
10.1至少采用RD1策略来存储数据。
10.2数据备份与恢复
10.2.1监测数据备份与恢复
《不间断电源设备(UPS) 第3部分:确定性能的方法和试验要求 GB/T 7260.3-2003》10.2.2故障图像片段备份与恢复
10.2.2.1故障图像片段应以文件形式提供备份与恢复机制,备份策略采用完全备份与增量备份结合的 方式,完全数据备份至少每2个月1次,应用平台信息系统发生故障时,能够实现恢复; 10.2.2.2可选用磁盘、磁带、光盘等作为数据备份介质; 10.2.2.3应制定数据备份与恢复计划,每年可至少进行1次的数据恢复演练。 10.3数据存储设备宜采用穴余设计。