标准规范下载简介
T/TAF 101.3-2021 冷链物流可信溯源服务技术要求 第3部分:信息系统安全.pdf简介:
T/TAF 101.3-2021 冷链物流可信溯源服务技术要求 第3部分:信息系统安全.pdf部分内容预览:
电信终端产业协会发布
列 引言, 范围 规范性引用文件 3术语和定义 4缩略语, 5信息系统安全要求 5.1鉴权与安全防护要求 5.2软件安全要求 5.3数据安全要求. 5.4通信安全要求, 5.5个人隐私信息安全要求 5.6系统审计安全要求 付录A(规范性)冷链物流追溯信息内容 附录B(规范性)特定物品冷链物流追溯信息内容
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由电信终端产业协会提出并归口。 本文件起草单位:百度在线网络技术(北京)有限公司、中国信息通信研究院、联想(北京)有限 公司、郑州信大捷安信息技术股份有限公司、四川长虹电子控股集团有限公司、青岛海信通信有限公司。 本文件主要起草人:王海棠、郭建领、吴月升、国炜、徐晓娜、李汝鑫、林巍巍、康亮、刘献伦、 刘为华、黄德俊、罗阿文、郑梁、高仁忠DG∕TJ08-2284-2018 城市道路和桥梁数据采集标准,
信息系统是冷链业务信息流的关键载体,从企业核心的企业资源计划(ERP)系统到过程管理的订 单管理系统(OMS)、仓库管理系统(WMS)、运输管理系统(TMS)与结算管理系统(BMS),信息系统 对冷链物流业务起着非常重要的支撑作用。但冷链物流是长链条场景,在整个作业过程中会涉及多类 数据的存储与访问需求,更会对接不同厂商、不同品牌、不同语言、不同架构、不同服务目标的信息 系统,因此为完善冷链物流长链条服务的可拓展性、流畅性、流转数据的安全性以及提供完整的信息 可溯源目标,就需要规范和约束数据传输、存储、访问、共享的技术要求,落实冷链物流过程中数据 产生到消亡的安全管控,实现可鉴权、可接入、可存储、可查询、可留痕、可分析、可共享的管理目 的。 因此,建议开展信息系统安全要求标准的立项,且该标准会作为冷链物流可信溯源服务技术系列规 范的一部分,完善标准体系化建设。 本文件作为冷链可信溯源服务技术系列规范的一部分,旨在对冷链物流过程中涉及到的信息系统的 通用安全技术要求进行约束,主要包括鉴权与安全防护要求、软件安全要求、数据安全要求、通信安全 要求、个人隐私信息安全要求、系统审计安全要求六个技术安全要求。
冷链物流可信溯源服务技术要求第3部分:信息系统安全
本文件规定了冷链物流可信溯源技术服务的信息系统(如ERP、OMS、WMS、TMS等)在鉴权接 件系统、数据、通信及个人隐私方面的安全要求。 本文件适用于冷链物流技术服务提供商规范信息系统安全防护能力,也适用于冷链物流运营者 方评估机构对信息系统安全防护能力进行评估时参考。
下列缩略语适用于本文件。
ERP:企业资源计划系统(EnterpriseResourcePlanning) OMS:订单管理系统(OrderManagementSystem) WMS:仓库管理系统(WarehouseManagementSystem) TMS:运输管理系统(TransportationManagementSystem) API:应用程序接(ApplicationProgrammingInterface)
5.1鉴权与安全防护要求
5.1.1身份认证与鉴权要求
信息系统中身份认证与鉴权应满足以下要求: a)应在用户登录系统之前进行鉴权,并在每次登录时就身份进行认证与鉴权; b 系统应具备远程控制请求的身份验证和接入认证机制,避免非法用户或应用控制系统,并对授 权用户的远程会话进行加密保护; 不同组织间通过API传输敏感数据时,应至少使用白名单(IP、域名等)方式进行控制,同 时应使用数字签名、开放标准认证(OAuth)等方式对调用的信息系统进行认证,确保对接口 调用的鉴权; d 密钥、身份凭证等认证信息应具有时效性并限定作用域,认证信息超时或超出作用域后应重新 分配
5. 1. 2 系统防护要求
信息系统防护应满足以下要求: a)应采取安全措施,防范会话劫持、重放、中间人、拒绝服务等攻击。 b) 系统应该具备防火墙,能够抵抗常见的攻击手段,避免过滤规则被绕过。 应在经过充分测试评估后,通过OTA更新、手动升级或其他方式进行安全漏洞修
冷链物流信息系统所涉及的数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等, 据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状 的能力。冷链物流信息系统数据安全除应遵守GB/T35273一2020中规定的要求外,同时还应满足以下 求: a)数据访间 ·应以最小化原则设置敏感数据访问权限,仅限特定用户/应用访问; 应使用密钥、身份凭证等鉴权认证机制保护采集到数据,严格校验访问者是否具有数据的 访问权限,禁止非授权访问、非法使用,防止出现数据泄露。 b) 数据存储 · 冷链物流追溯信息全程应保持信息记录的连续性和完整性,具备对数据完整性进行检测的 能力,并提供相应的恢复控制措施; 注:冷链物流追溯信息应至少包含附录A中定义的信息,食品、酒类、医药产品、化学品等特定物品可参照附录B 数据宜至少保存两年,法律法规另有规定的除外。 C数据修改 冷链物流追溯信息应从技术上保证不可篡改,确需修改的,应记录详细操作内容和数据更 改; 冷链物流系统中涉及到的敏感数据操作要有操作记录,操作日志保存时间不得短于记录保 留时间,确保可追溯。
5.5个人隐私信息安全要求
5.6系统审计安全要求
冷链物流信息系统审计安全应满足以下要求: a)冷链物流信息系统服务运营者应对数据使用保留日志记录T/CECS 688-2020 雷电预警系统技术规程,日志中包含敏感信息时,应对敏感 数据进行脱敏处理。 b)冷链物流信息系统中,对于敏感数据的异常操作(大量的删除、修改、导出、查询等)应进行
监控审计,及时发现异常操作。
附录 A (规范性) 冷链物流追溯信息内容 表A.1给出了冷链物流追溯应包含的信息内容。
表A.1冷链物流追溯信息内容
电信终端产业协会团体标准 冷链物流可信溯源服务技术要求第3部分:信息系统安全
TBT3434-2016 CN道岔制造技术条件电信终端产业协会团体标准 冷链物流可信溯源服务技术要求第3部分:信息系统安全