DB32／T 2776-2015标准规范下载简介

DB32／T 2776-2015 生态环境监控系统建设规范 安全体系简介：

DB32/T 2776-2015《生态环境监控系统建设规范》是江苏省的一项地方标准，主要针对生态环境监控系统的建设提出了一系列的技术要求和指导原则，确保系统的有效运行和数据的准确可靠。其中，关于安全体系的简介可能包括以下几个方面：

1. 安全策略：明确系统安全的总体策略，包括安全目标、安全原则和安全策略。

2. 安全架构：设计安全的系统架构，包括物理安全、网络安全、系统安全和应用安全等各层面。

3. 认证与授权：实施用户身份认证和权限管理，确保只有授权用户才能访问系统和数据。

4. 数据保护：对敏感数据进行加密存储和传输，防止数据泄露。

5. 安全审计：建立安全审计机制，记录并分析操作行为，以便追踪问题和防止恶意行为。

6. 安全更新：定期更新系统和软件，修复已知的安全漏洞。

7. 应急响应：制定安全事件的应急响应计划，包括事件发现、报告、处理和恢复等步骤。

8. 安全培训：定期对用户进行安全知识培训，提高用户的安全意识。

请注意，具体的详细内容可能需要查阅该标准的全文。由于我是一个，无法实时获取和更新具体的文档内容，因此提供的信息可能会有误差或不完整性。若需要详细信息，建议直接查阅标准文档或咨询相关专业人士。

DB32／T 2776-2015 生态环境监控系统建设规范 安全体系部分内容预览：

5.3.7管理维护计算子域

管理维护计算域安全保护应符合5.2.4的要求。

5.3.8外来接入计算子域

JC∕T 844-2007 水泥工业用立式辊磨机5.3.8.1入网身份鉴别

来接入计算域安全身份鉴别参照5.2.3.1

5. 3. 8. 2 主机访问控制

5.3.8.2.1应控制已获得授权的外 机对其它计算域的访问范围

5. 3. 8. 3主机入侵防范

应确保已获得授权的外来计算机已安装最新的操作系统补工

应确保已获得授权的外来计算机已安装最新的操作系统补工。

5. 3.8. 4主机恶意代码防范

5.3.8.4.1应确保已获得授权的外来计算 防意代软件， 并保证恶意代码库已更新。

5.3.8.4.1应确保已获得授权的外来计算

安全界保护的原则是禁止各计算域区的数据通信，根据需要设置相应的访问权限，并在需要开 权限的通信信道上实施相应的技术保护。根据计算域区的访问关系，安全边界划分见图2。

6. 2. 1网络访问控制

6.2.1.1应在网络边界部署访问控制设备，启用访问控制功能。 6.2.1.2应在网络边界通过IP地址翻译技术，隐藏内部网络结构。 6.2.1.3应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 6.2.1.4应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议 命令级的控制。 6.2.1.5应在会话处于非活跃一定时间或会话结束后终止网络连接。 6.2.1.6应根据互联网信息服务计算域、互联网信息收集计算域、互联网终端计算机的实际网络需求 划分网络带宽，保障重要系统获得必要的网络资源。 6.2.1.7应限制互联监测点上传数据的IP地址。 6.2.1.8通过互联网拨号访问到内部网络时应必需通过加密信道的方式，根据用户需要分配账号与口 令，并限制访问范围。 6.2.1.9通过互联网拨号访问到内部网络时应限制计算机与互联网产生非加密的信息传输。 6. 2. 1.10 通过互联网拨号访问到内部网络时应断开互联网其它的通信连接

6.2.2网络入侵防范

6.2.3网络恶意代码防范

6.2.3.1应在网络边界处对恶意代码进行检测和清除

6.3互联网服务器边界

6.3.1网站安全防范

6.3.1.1应过滤针对HTTP攻击的通信内容

6.3.2邮件系统安全防范

6.5内联网服务器边界

6.5.1网络访问控制

6.5.1.1应在网络边界部署访问控制设备，根据应用关系启用访问控制功能。 6.5.1.2应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级 6.5.1.3应在会话处于非活跃一定时间或会话结束后终止网络连接。 6.5.1.4应根据内部信息系统实际网络需求划分网络带宽，保障重要系统获得必要的网络资源。

6.5.2网络入侵防范

网络入侵防范安全要求应符合6.2.2的规定

数据中心安全保护要求应符合6.5.1的规定。

6.7.1网络访问控制

6.7.1.1应在网络边界部署访问控制设备，根据应用关系启用访问控制功能： 6.7.1.2应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级； 6.7.1.3应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议 命令级的控制： 6.7.1.4应在会话处于非活跃一定时间或会话结束后终止网络连接

6.7.1.4应在会话处于非活跃一定时间或会话结束后终止网络连接： 6.7.1.5应限制外联网直接访问内联网络的IP地址。

6.7.2网络入侵防范

入侵防范要求应符合6.2.2的规定。

7.1.1应根据信息系统的安全保护等级选择基本安全措施，并依据风险分析的结果补充和调整安全措 施。 7.1.2应指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工 作计划。 7.1.3应根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安 全管理策略、总体建设规划和详细设计方案，并形成配套文件。 7.1.4应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建 设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定，经过批准后，才能正式实施。

7.1.1应根据信息系统的安全保护等级选择基本安全措施，并依据风险分析的结果补充和调整安全指 施。 7.1.2应指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工 作计划。 7.1.3应根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安 全管理策略、总体建设规划和详细设计方案，并形成配套文件。 7.1.4应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建 设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定，经过批准后，才能正式实施。

7.1.5应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策 略、总体建设规划、详细设计方案等相关配套文件

7.2.1应确保安全产品采购和使用符合国家的有关规定。 7.2.2应确保密码产品采购和使用符合国家密码主管部门的要求。 7.2.3应指定或授权专门的部门负责相关产品的采购。 7.2.4应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单

7.3.1应确保开发环境与实际运行环境物理分开，开发人员和测试人员分离，测试数据和测试结果受 到控制。 7.3.2应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则。 7.3.3应制定代码编写安全规范，要求开发人员参照规范编写代码。 7.3.4 应确保提供软件设计的相关文档和使用指南，并由专人负责保管。 7.3.5应确保对程序资源库的修改、更新、发布进行授权和批准。

7.4.1应根据开发需求检测软件质量。 7.4.2应在软件安装之前检测软件包中可能存在的恶意代码。 7.4.3应要求开发单位提供软件设计的相关文档和使用指南。 7.4.4应要求开发单位提供软件源代码，并审查软件中可能存在的后门

7.5.1应指定或授权专门的部门或人员负责工程实施过程的管理 7.5.2应制定详细的工程实施方案控制实施过程，并要求工程实施单位能正式地执行安全工程过程， 7.5.3应制定工程实施方面的管理制度，明确说明实施过程的控制方法和人员行为准则。

7. 5. 4测试验收

7.5.4.1应委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告。 7.5.4.2在测试验收前应根据设计方案或合同要求等制订测试验收方案，在测试验收过程中应详细 录测试验收结果，并形成测试验收报告。 7.5.4.3应对系统测试验收的控制方法和人员行为准则进行书面规定。 7.5.4.4应指定或授权专门的部门负责系统测试验收的管理，并按照管理规定的要求完成系统测试验 收工作。 7.5.4.5应组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认。

7. 5. 5 系统交何

5.1应制定详细的系统交付清单， 并根据交付清单对所交接的设备、软件和文档等进行清点。 5.2应对负责系统运行维护的技术人员进行相应的技能培训

7.5.5.3应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档。 7.5.5.4应对系统交付的控制方法和人员行为准则进行书面规定。 7.5.5.5应指定或授权专门的部门负责系统交付的管理工作，并按照管理规定的要求完成系统交付工 作。

安全过程是信息安全的重要保障，由策略、保护、检测、响应、恢复五个方面组成CJ∕T 190-2004铝塑复合管用卡压式管件，其相互间的流 程关系如图3。

图3信息安全过程保护流程图

应根据组织机构及系统结构、信息系统安全特性、威胁来原与类型、系统用户范围、终端类型 可行的信息安全策略，安全策略内容应符合附录A的规定。

应根据本部分第4章、第5章的要求及8.2安全策略制定的相应内容，对信息系统实施具体的安 设施、系统加固及安全策略的设置

4.1应成立安全监测中心，监测生态环境监控系统的运行状态，统计系统运行规律并分析安全 体安全监控对象为：

服务器； 网络设备CPU:

9.1.1应指定专人每天对机房配电、空调、温湿度控制等重要基础设施工作状态进行检查CJJ 224-2014 城镇给水预应力钢筒混凝土管管道工程技术规程，记录检查 情况。 9.1.2每半年应由设备提供商或服务提供商对机房的配电、空调、温湿度控制等重要基础设备的健康 状况进行检测，并出具检测报告。 9.1.3进入机房的来访人员应经过相关管理部分负责人的审批，并在内部人员的陪同下进入机房

9.2.1应编制与信息系统相关的资产清单，包括资产责任部门、重要程度和所处位置等内容 9.2.2每年应对信息系统相关的资产进行清查。 9.2.3信息系统相关资产因维修、外借、废弃等需带离，应通过相关管理人员批准

9.3.1应指定专人每天检查机房内的网络设备、服务器、监控设备等的运行状态，并记求客类设备运 行情况。 9.3.2应登记主要设备、服务器的使用年限，重点监测已过质保期、超负荷运行的设备、服务器的运 行情况。 9.3.3应建立设备的操作规程，指导设备管理、启动、停止、加电、断电等操作。 9.3.4应建立设备的出入审批流程，必须经过审批后才能将设备带离机房或办公地点。 9.3.5服务器及各类网络设备需待带出维修需重点控制存储介质带出，必须将存储介质带出时需经过 相关管理人员审批，并有专人参与整个维修过程