ICS_35.240.99 LS B 20 中华人民共和国粮食行业标准 LS/T 1807—2017 粮食信息安全技术规范 Security specificationfor graininformation system 2017-03-10发布 2017-06-01实施 国家粮食局 发布 LS/T1807—2017 目 次 前言 范围 1 2 规范性引用文件 术语和定义 3 4 缩略语 5 信息安全保护对象 总体要求 6 7 安全管理 安全技术 8 9 粮食专业领域安全技术 参考文献 10 LS/T 1807—2017 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准由国家粮食局提出。 本标准由全国粮油标准化技术委员会（SAC/TC270)归口。 本标准起草单位：航天信息股份有限公司、湖北省粮食局、北京天融信科技股份有限公司。 本标准主要起草人：李其均、宋玉玲、罗秀春、施展、王千喜、周贵来。 LS/T1807—2017 粮食信息安全技术规范 1范围 本标准规定了粮食信息安全保护对象、粮食信息安全技术及安全管理的基本要求。部署在电子政 务外网的相关安全建设由电子政务外网保障，部署在电子政务内网的相关安全建设由电子政务内网保 障。本标准重点闸述的是各级粮食行政管理部门、粮食企业及其他涉粮机构在企业内部网、互联网交互 时的安全要求。 本标准适用于粮食信息化项目的规划、设计、建设、运维和评估。 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T20518信息安全技术公钥基础设施数字证书格式 GB/T22239 信息安全技术信息系统安全等级保护基本要求 GB/T222401 信息安全技术信息系统安全等级保护定级指南 GB/T31167—2014 信息安全技术云计算服务安全指南 GB/T31168—2014 信息安全技术云计算服务安全能力要求 3 术语和定义 下列术语和定义适用于本文件。 3.1 安全域 securitydomain 同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络 或系统。 3.2 粮食云计算平台 graincloudcomputingplatform 云计算基础设施和其上运行的粮食信息化软件的集合。 3.3 粮食物联网 grain internetof things 通过专用传感器对储粮环境和粮食的数量、质量进行在线监测的传感器网络系统。 4缩略语 下列缩略语适用于本文件。 VPN：虚拟专用网络（VirtualPrivateNetwork） PKI/CA：公钥基础设施/认证中心(PublicKeyInfrastructure/CertificateAuthority) 4A：统一安全管理的身份认证、授权、审计和账号（Authentication，Account，Authorization， 1 LS/T1807—2017 Audit) 5信息安全保护对象 5 主要包括粮食信息网络、信息系统、粮食信息及其物理环境、支撑性基础设施与安全设备设施等。 5.1 信息网络 被保护网络对象包括粮食业务管理范围内的各个信息网络，分别运行于电子政务内网、电子政务外 网、企业内部网、互联网四个不同的网络中。 5.2信息系统 被保护业务对象是粮食信息系统中运行的各类粮食业务应用系统，粮食信息系统按业务应用类型 分为粮食企业业务管理应用系统和粮食行政管理应用系统；按照架构分为国家级粮食管理平台（简称 “国家级平台”）、省级粮食管理平台（简称“省级平台”）、企业粮食管理平台。粮食企业业务管理应用系 统运行在企业内网、互联网；粮食行政管理应用系统，分别运行在电子政务内网、电子政务外网和互 联网。 5.3粮食信息 被保护的信息对象是各类粮食业务信息，可分为公开信息和非公开信息，非公开信息中包含各类敏 感信息。不同的信息类别，应设定不同的安全保护等级措施。 对于公开信息，主要是防篡改、防丢失；对于敏感信息，除防篡改、防丢失外，还需增加防止未经授权 的披露、滥用和销毁。 5.3.1公开信息 包括但不限于： 粮食生产、粮食加工、粮油市场、粮食消费、储粮环境、社会经济等信息。 5.3.2粮食敏感信息 包括但不限于： 应该公开，但正式发布前不宜泄漏的信息，如招投标、规划、统计、预算等过程信息； b) 粮食行政执法过程中生成的不宜公开的记录文件： c) 粮食企业的地理位置信息； (P 粮食企业的商业秘密； (a 粮食行政管理部门的人事规划和工作章程，人员能力评价等信息； f) 售粮人银行卡、身份证、结算资金等信息； 粮食库存量、质量、轮换计划、粮食应急预案等信息 6 总体要求 从安全管理、安全技术、粮食专业领域安全技术三个方面提出粮食信息系统的安全要求，其架构如 图1所示 粮食行政管理部门、粮食企业和其他涉粮机构应按照国家信息安全主管部门的要求对粮食信息系 统进行定级，并根据定级情况达到相应的安全要求。粮食企业业务管理应用系统应符合GB/T22240 2 LS/T1807—2017 国家信息安全保护等级二级或二级以上标准，跨省或覆盖全省的粮食行政管理应用系统，应符合安全保 护等级三级标准。 应用安全 粮食云安全 安全制度与流程 电子认证 数据安全 粮食物联网安全 网络安全 安全管理 网络安全管理 数据加密 主机安全 移动互联网安全 安全运维 物理安全 边界安全 粮食专业领域安全技术要素 般安全技术要素 粮食信息安全技术要素 图1 粮食信息安全框架 安全管理 安全管理的制度、机构、人员、系统建设、运维服务等，应符合GB/T22239、GB/T22240的要求。 8 安全技术 粮食信息系统的安全技术应符合GB/T22239、GB/T22240的通用要求外，还应满足以下技术 要求。 8.1 物理安全 8.1.1 办公场地改造的机房 针对收纳库、中心库等粮食企业从办公场地改建的机房，至少应具备： 机房和办公场地应具有防风、防雨的设计； a) b) 空调水管安装不得穿过机房房顶或活动地板下； c) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透； (P 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透； e) 机房建筑应设置避雷装置； f) 供电电源应具有良好接地； g) 应具有防盗窃、防破坏的监控报警装置和安全管理措施； h) 机房应设置灭火器材； i) 电源线和通信缆应隔离铺设，避免互相干扰； 3 LS/T1807—2017 j) 收储企业的备用电力供应，至少应满足收购业务在断电情况下的正常运行； k) 应保持机房和办公场地的干净卫生，计算机设备灰尘较多时，应采取负压清理方式，灰尘较少 时，可采用普通清理方式； 1) 配线架、服务器机架应有显著的标识； m） 独立机房可配置电子门禁系统，控制、鉴别和记录进入的人员。 8.1.2仓房外的强电、弱电机柜 包括但不限于： a)J 应有良好的防雨设计； b) 应具有漏电、过载、短路保护装置； c) 应对机柜内的线缆、开关或其他控制单元有显著的标识，通过标识，可追溯相关图纸、检修记 录、责任人等。 8.2网络安全 8.2.1库区网络布线 包括但不限于： a） 粮库内网网络的综合布线宜采用光纤环网等可靠的网络链路； b) 应在每个仓房门口设置一个信息节点； c) 信息节点应安装在仓房外的防水防尘的弱电箱内。 8.2.2结构安全 包括但不限于： a) 与省级管理平台连接的企业，应有固定的IP地址； b) 应绘制与当前运行情况相符的网络拓扑结构图； c) 应保证接人网络和核心网络的带宽满足业务高峰期需要，如远程视频监管的需要； (P 应根据业务类别、重要性和所涉及信息程度等因素，划分不同子网或网段，并按照方便管理和 控制的原则为各子网、网段分配地址段； 重要网段不得直接连接外部信息系统，重要网段与其他网段之间应采取可靠的技术隔离手段。 8.2.3访问控制 包括但不限于： a) 应利用网闸、VPN、防火墙等技术确定外部边界，实现安全可靠的外部网络互联； b） 应利用身份认证技术实现分层管理，将内部安全域的信息分等级划分，禁止低安全域的用户/ 业务非授权访问高安全域用户/业务； 应具备网络性能保护机制，防止对网络资源的滥用，确保网络资源的合理使用； c (P 应具备网络接人认证的能力，确保只有授权的终端才能接入网络。 8.2.4安全审计 应对网络系统中的网络设备运行状况、网络流量、用户行为进行审计。 8.2.5入侵防范 应在网络边界防范端口扫描、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、网络螨虫等攻击