标准规范下载简介

LY／T 2170-2013 林业信息系统安全评估准则.pdf简介：

LY/T 2170-2013《林业信息系统安全评估准则》是由中国林业科学研究院主编，中华人民共和国林业部发布的关于林业信息系统的安全评估标准。这个标准的目的是为了规范林业信息系统（包括各种软件、硬件和网络环境）的安全评估工作，确保信息系统在设计、开发、运行和维护过程中，能够满足信息安全的要求，防止信息泄露、篡改、丢失等风险。

该准则涵盖了林业信息系统安全的多个方面，包括信息安全管理体系、网络安全、应用安全、数据安全、物理安全、人力资源安全等，通过定性和定量的方式对信息系统进行全面的安全评估。它根据信息系统的不同特性和风险，制定了详细的评估指标和评估方法，帮助企业、机构或组织识别和管理信息安全风险，提升整体的信息安全保障能力。

总的来说，LY/T 2170-2013是林业信息系统安全管理和评估的重要参考依据，对于保障林业信息系统的稳定运行，保护数据安全，防范信息安全风险具有重要意义。

LY／T 2170-2013 林业信息系统安全评估准则.pdf部分内容预览：

6.1.1.1物理位置的选择（G2)

机房和办公场地应选择在具有防震 的建筑内 a）应具有机房或机房所在建筑物符合当地抗震要求的相关证明 b）机房外墙壁应没有对外的窗户：否则，窗户应做密封、防水处理

[6.1.1.2物理访问控制(G2)

本项要求包括： a）机房出人口应安排专人值守，控制、鉴别和记录进人的人员； 1）机房出入应当安排专人负责管理； 2）没有门禁系统的机房应当安排专人在机房出人口控制、鉴别和记录人员的进出； 3）有门禁系统的机房，应当保存门禁系统的日志记录，并采用监控设备将机房人员进入情况 传输到值班点； b）需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围； 1）来访人员进入机房，应有审批流程，并记录带进带出的设备、进出时间、工作内容，并监控 其在限定的范围内工作，并有专人陪同； 2）机房出入口应进行视频监控DB64∕T 271-2003 建筑地基基础工程施工工艺标准，监控记录至少保留3个月。

6.1.1.3防盗窃和防破坏（G2)

本项要求包括： a）应将主要设备放置在机房内； b）应将设备或主要部件进行固定，并设置明显的不易除去的标记； 1）主要设备应当安装、固定在机柜内或机架上； 2）主要设备、机柜、机架等应有明显且不易除去的标识，如粘贴标签或铭牌； 应将通信线缆铺设在隐蔽处，可铺设在地下、管道或线槽中； d) 应对介质分类标识，存储在介质库或档案室中； e) 主机房应安装必要的防盗报警设施。

LY/T2170—2013

LY/T2170—2013

6.1.1.4防雷击（G2)

本项要求包括： a）机房建筑应设置避雷装置； 1）机房或机房所在大楼，应设计并安装防雷击措施，防雷措施应至少包括避雷针 器等； 2）应具有经国家防雷检测部门检测合格的相关证明； b）机房应设置交流电源地线

6.1.1.5防火(G2)

机房应设置灭火设备和火灾自动报警系统。 a）应至少达到GB50174一2008中B类电子信息系统机房设计规范的消防要求； b）机房的火灾自动报警系统应向当地公安消防部门备案。

6.1.1.6防水和防潮（G2）

本项要求包括： a）水管安装，不得穿过机房屋顶和活动地板下； 1）与机房设备无关的水管不得穿过机房屋顶和活动地板下； 2）机房屋顶和活动地板下铺有水管的，应采取有效防护措施。 b）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透； c）应采取措施防止机房内水蒸气结露和地下积水的转移与渗透

6.1.1.7防静电(G2)

关键设备应采用必要的接地防静电措施

6.1.1.8 温湿度控制(G2

机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所充许的范围之内。 a) 开机时机房温度应控制在22℃～24℃； 开机时机房相对湿度应控制在40%~55%； C) 停机时机房温度应控制在5℃~35℃； d）停机时机房相对混度应控制在40%~70%

机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所充许的范围之内。 a）开机时机房温度应控制在22℃～24℃； b）开机时机房相对湿度应控制在40%~55%； c）停机时机房温度应控制在5℃～35℃ d）停机时机房相对湿度应控制在40%~70%

6.1.1.9电力供应(A2)

本项要求包括： a 应在机房供电线路上配置稳压器和过电压防护设备； b）应提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求； 1）机房应配备UPS； 2）机房应自备或租用发电机；

本项要求包括： a）应在机房供电线路上配置稳压器和过电压防护设备； b）应提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求； 1）机房应配备UPS； 2）机房应自备或租用发电机； 3）UPS实际运行供电时间不少于备用供电系统启用时间的2倍。

6.1.1.10电磁防护(S2)

电源线和通信线缆应铺设在不同的桥架或管道，避免互相十扰。

电源线和通信线缆应铺设在不同的桥架或管道，避免互相干扰。

6.1.2.1结构安全（G2)

LY/T2170—2013

本项要求包括： a) 应保证关键网络设备的业务处理能力具备余空间，满足业务高峰期需要，关键网络设备的业 务处理能力至少为历史峰值的3倍： b 应保证接人网络和核心网络的带宽满足业务高峰期需要； c) 应绘制与当前运行情况相符的网络拓扑结构图，应绘制完整的网络拓扑结构图，有相应的网络 配置表，包含设备IP地址等主要信息，与当前运行情况相符，并及时更新； d) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段， 并按照方便管理和控制的原则为各子网、网段分配地址段

6.1.2.2访问控制(G2)

本项要求包括： 应在网络边界部署访问控制设备，启用访问控制功能； b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级；网络 边界访问控制设备应设定过滤规则集；规则集应涵盖对所有出入边界的数据包的处理方式， 对于没有明确定义的数据包，应缺省拒绝； c) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访间，控制粒 度为单个用户； d) 应限制具有拨号访问权限的用户数量，原则上不应通过互联网对重要信息系统进行远程维护 和管理。

5.1.2.3安全审计(G2)

6.1.2.4边界完整性检查（S2)

6.1.2.5入侵防范（G2)

应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区 文击、IP碎片攻击和网络蟠虫攻击等

6.1.2.6网络设备防护（G2)

本项要求包括： 应对登录网络设备的用户进行身份鉴别，应删除默认用户或修改默认用户的口令，根据管理 要开设用户，不得使用缺省口令、空口令、弱口令；

LY/T2170—2013

b）应对网络设备的管理员登录地址进行限制； ) 网络设备用户的标识应唯一； d) 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换； 1）口令应符合以下条件：数字、字母、符号混排，无规律的方式； 2） 管理员用户口令的长度至少为8位； 管理员用户口令至少每季度更换1次，更新的口令至少5次内不能重复； 4） 如果设备口令长度不支持8位或其他复杂度要求，口令应使用所支持的最长长度并适当 缩小更换周期；也可以使用动态密码卡等一次性口令认证方式； e) 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退 出等措施； f）当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听

6.1.3.1身份鉴别(S2)

a） 应对登录操作系统和数据库系统的用户进行身份标识和鉴别； 2 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并 定期更换： 1）口令应符合以下条件：数字、字母、符号混排，无规律的方式； 2）口令的长度至少为8位； 3）口令至少每季度更换1次，更新的口令至少5次内不能重复； 如果设备口令长度不支持8位或其他复杂度要求，口令应使用所支持的最长长度并适当 缩小更换周期；也可以使用动态密码卡等一次性口令认证方式； 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； 1 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听； 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。

b 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并 定期更换： 1）口令应符合以下条件：数字、字母、符号混排，无规律的方式；

6.1.3.2访问控制(S2)

本项要求包括： a）应启用访问控制功能，依据安全策略控制用户对资源的访问； b） 应实现操作系统和数据库系统特权用户的权限分离； 应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令； 1）系统无法修改访问权限的特殊默认账户，可不修改访问权限； 2）系统无法重命名的特殊默认账户，可不重命名； d）应及时删除多余的、过期的账户，避免共享账户的存在

6.1.3.3安全审计（G2）

6. 1.3.4入侵防范(G2)

操作系统应遵循最小安装的原则，仅安 持系统补丁及时得到更新，持续跟踪厂商提供的系统升级更新情况，应在经过充分的测试评估 补丁进行及时更新。

超高层钢框架-核心筒结构塔楼绿色施工方案6.1.3.5恶意代码防范（G2）

本项要求包括： a）应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库； 1）原则上所有主机应安装防恶意代码软件，系统不支持该要求的除外； 2）未安装防恶意代码软件的主机，应采取有效措施进行恶意代码防范： b）应支持防恶意代码软件的统一管理，

6.1.3.6资源控制（A2）

本项要求包括： a 应通过设定终端接入方式、网络地址范围等条件限制终端登录； 应根据安全策略设置登录终端的操作超时锁定； c）应限制单个用户对系统资源的最大或最小使用限度，

6.1.4.1身份鉴别(S2)

本项要求包括： a 应提供专用的登录控制模块对登录用户进行身份标识和鉴别； b)J 应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份 标识，身份鉴别信息不易被冒用； c）应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； d）应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处 理功能GB／T 38903-2020 工业园区物质流分析技术导则，并根据安全策略配置相关参数

6.1.4.2访问控制(S2)

本项要求包括： a） 应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问； b） 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作； c 应由授权主体配置访问控制策略，并严格限制默认账户的访问权限； d）应授予不同账户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。