GB/T40640.2-2021
化学品管理信息化第2部分:信息安全
Informationalizedmanagementofchemicals—Part2:Informationsecurity
- 中国标准分类号(CCS)G07
- 国际标准分类号(ICS)71
- 实施日期2022-05-01
- 文件格式PDF
- 文本页数10页
- 文件大小1.05M
以图片形式预览化学品管理信息化第2部分:信息安全
化学品管理信息化第2部分:信息安全
国家标准 GB/40640.2一2021 化学品管理信息化第2部分;信息安全 nformationalizedmanagementofehemieals一Part2:Informationseeurity 2021-10-11发布 2022-05-01实施 国家市场监督管理总局 发布 国家标涯花警理委员会国家标准
GB;/T40640.2一2021 前 言 本文件按照GB/T1.1一2020<标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草
本文件是GB/T40640《化学品管理信息化》)的第2部分
GB/T40640《化学品管理信息化已经发 布了以下部分 第1部分;数据交换; 第2部分:信息安全; 第3部分:电子标签应用 第4部分:化学品定位系统通用规范 第5部分;化学品数据中心 请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别专利的责任
本文件由全国危险化学品管理标准化技术委员会(SAc/Tc251)提出并归口
本文件起草单位-化工经济技术发展中心.合肥海关,安散省征信股份有限公 司、合肥诚益信息科技有限公司、重庆知行数联智能科技有限责任公司有油化工股份有眼公司前 岛安全工程研究院,青岛卫戈斯供应链管理有眼公司、上海化工院检测有限公司广东发川智慧物流股 份有限公司,中山市利达斯供应链管理有限公司、佛山小林智慧科技发展有限公司、江门市泽信润业科 技有限公司、华峰集团有限公司、江阴澄星实业集团有限公司、国化低碳技术工程中心、生态环境部固体 废物与化学品管理技术中心
本文件主要起草人;刘振、盛旋、周典兵、,郑平、俞阳国、商照聪、温涛、张蕾、孙昊、刘建围、杨杰群、 傅强、包剑,施红勋、冷敢源、周鉴、曹梦然、林海川、赖博、雷初泽、黄贤业、王波
GB/T40640.2一2021 引 言 信息化是实现化学品管理现代化的重要手段
随着物联网及大数据应用技术的发展,现代信息技 术的应用为提升管理效率,促进信息共享、消除管理盲区、有效遏制化学品事故发生提供了技术支撑
在这方面,我国已经建立了化学品管理信息化的国家标准体系
在该标准体系中,GB/T40640《化学品管理信息化》是规范我国相关机构从事化学品管理信息化系 统建设开发活动时的方法和依据,拟由五部分构成,目的在于确立实施化学品管理信息数据交换、维护 信息安全、电子标签应用、定位系统应用以及化学品数据中心建设时的方法和依据 第1部分:数据交换; 第2部分:信息安全 第3部分电子标签应用 第4部分化学品定位系统通用规范 第5部分化学品数据中心 本文件是GB/T40640(化学品管理信息化)的第?部分
信息安全是实现管理信息化的基础,有效 的信息安全管理可以提高信息化管理系统的隐私性、真实性、完整性、可用性,避免对系统服务连续性产 生不利影响
本次制定对化学品管理信息化有美的信息安全要求进行了详细的规定.以更好的规范和 促进化学品管理信息化系统相关建设
GB;/T40640.2一2021 化学品管理信息化第2部分:信息安全 范围 本文件规定了化学品管理信息化信息安全的基本要求和技术要求
本文件适用于化学品管理信息化的信息安全管理
规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款
其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件
GB/T2887计算机场地通用规范 GB/T5271.8信息技术词汇第8部分;安全 GB17859计算机信息系统安全保护等级划分准则 GB/T20269信息安全技术信息系统安全管理要求 GB/T20270 信息安全技术网络基础安全技术要求 信息安全技术信息系统物理安全技术要求 GB/T21052 GB/T2080信息技术安全技术信息安全管理体系 要求 信息安全技术网络安全等级保护定级指南 GB/T22240 GB/T30283信息安全技术信息安全服务分类 术语和定义 GB/T5271.8,GB17859界定的以及下列术语和定义适用于本文件
3.1 访问控制accesscontrol 按确定的规则,对实体之间的访问活动进行控制、防止未授权使用资源的安全机制
3.2 令牌tokens 由系统创建的包含登录进程返回的安全标识符和由本地安全策略分配给用户和用户的安全组的特 权列表
基本要求 4.1安全目标 4.1.1应通过整体安全体系规划,综合运用各种安全技术和手段,从侵害程度、侵害对象两个方面划分 化学品信息管理系统的信息安全等级,其安全要求应不低于对应安全等级应符合GB17859和 GB/T22240的规定
4.1.2在化学品信息采集、信息存储、信息加工、信息交换、信息应用、信息消亡过程中应研究目标化学
GB/T40640.2一2021 品的信息安全特征,确定相对应的安全目标,分为静态安全目标和动态安全目标
4.1.3静态安全目标保证系统实体平台安全,应包括整个系统的物理环境、系统软硬件结构和可用的 信息资源
4.1.4动态安全目标保障系统的软环境安全,应包括安全管理、安全服务、安全意识和人员的安全专业 素质 4.2安全体系 信息安全体系应包扬 安全管理;建立信息安全管理相关的制度和规定,实现管理上的安全; a b) 安全服务建立信息安全体系不仅应依靠现有的安全机制和设备,还应全方位地提供各类安全 服务 数据安全:保证数据库的安全和数据本身及网络传输安全 c d 应用系统安全;系统内部的应用安全,是系统实现时最被关注的部分:; 软件平台安全:保证软件平台系统(如操作系统和应用系统基础服务软件等)安全; e fD 网络安全;把被保护的网络从自由开放、无边界的环境中独立出来,使网络成为可控制,可管理 的内部系统; 物理安全:从物理上保证系统设备的安全
g 4.3安全管理 4.3.1化学品信息管理系统和监管平台应建立一套完善的安全管理方案,并贯穿信息安全的各层次 包括安全制度管理和安全目标管理
4.3.2应从建立完善机房管理、网络管理、数据管理、设备管理、应急处理、人员管理,技术资料管理等 方面加强安全制度管理
4.3.3应按照资源管理目标,对信息系统涉及的物理资源、网络资源、信息资源实施统一的资源分配 并根据资源重要程度确定安全等级和安全管理范围
4.3.4应按照GB/T20269和GB/T22080的要求,安排专门人员负责以保证安全管理制度实施
4.3.5应展开对最新安全技术的跟踪研究,加强安全技术进行交流、探讨,优化安全管理策略 4.3.6应加强与已有的防火墙、防病毒、数据备份等安全设施的紧密配合
4.4安全服务 4.4.1安全服务应包括安全咨询、安全工程实施、安全技术培训和安全维护,应符合GB/T30283的 要求 信息安全不是安全产品的简单集合,而是一项系统工程并有其专业体系,应采用先进科学的知 4.4.2 识结构进行全面细致地把握
4.4.3信息安全系统存在固有弱点,即使最微小的安全漏洞都可能引发整个网络系统的崩溃
且系统 安全只是暂时的、静态的,应通过持续全面的安全服务进行加强
技术要求 S 5.1物理安全 5.1.1根据不同的目标对象,物理安全包括 a 环境安全,对系统所在环境的安全保护,如区域保护和灾难保护 D)设备安全,主要包括设备的防盗、防毁、防电磁信息辐射泄漏,防止线路截获,抗电磁干扰及电
GB;/T40640.2一2021 源保护 媒介安全,包括媒介本身的安全及媒介数据的安全
5.1.2环境安全应符合GB/T2887的要求,物理安全应符合GB/T21052的要求
5.2网络安全 5.2.1一般要求 网络安全应符合GB/T20270的要求
5.2.2网络冗余 5.2.2.1应采用网络冗余、系统隔离、访问控制,加密、安全监测、网络扫描等技术手段来保障化学品信 息系统的网络安全
应通过网络冗余解决网络系统单点故障对关键性的网络线路,设备采用双备份或多备份的方 5.2.2.2 式
网络运行时,应对运营状态相互实时监控并自动调整,当网络的一段或一点发生故障,或者网络信 息流量突变时应能在有效时间内进行切换分配 5.2.3 系统隔离 应划分物理隔离和逻辑隔离,应结合信息安全等级划分合理的网络安全边界,实现不同安全级别的 网络或信息媒介不能相互访问
应针对应用系统特点和化学品信息的特征采取相应的隔离措施
5.2.4访问控制 5.2.4.1对于网络不同信任域,应根据双向控制或有限访问的原则加强访问控制,有效控制受控的子网 或主机访问权限和信息流向
5.2.4.2对网络对象,应解决网络的边界控制和网络内部的控制,根据有限访问的原则对网络资源进行 合理配置,对信息流向应根据安全需求实现单向或双向控制
5.2.4.3访问控制最重要的设备是防火墙,宜安置在不同安全域出人口处,对进出网络的信息包进行过 滤并按安全策略进行信息流控制,同时实现网络地址转换,实时信息告警等功能,高级防火墙还应实现 基于用户的细粒度的访问控制
5.2.5加密 应采用加密手段防止网络上的窃听、泄漏、篡改和破坏
加密应从三个层次来实现 链路层加密应侧重通信链路而不考虑信源和信宿,对网络高层主体透明; a 网络层加密应采用网络安全协议,具备加密、认证双重功能,并应在系统的服务器间通信采取 b 此协议; 应用层加密应根据实际业务的应对处理、传输和存储的数据采取多种加密算法进行加密保护 5.2.6安全监测 应采用安全监测寻找未授权的网络访问尝试和违规行为包括但不限于网络系统的扫描、预警、阻 断、记录、跟踪
网络扫描监测系统应具有实时、自适应、主动识别和响应等特征
5.2.7网络扫描 应采用网络扫描对网络设备的安全漏洞进行检测和分析,包括但不限于网络通信服务、路由器、防 火墙,邮件、WEB服务器,从而识别能被人侵者利用非法进人的网络漏洞
网络扫描系统应对检测到的
GB/T40640.2一2021 漏洞信息形成详细报告,包括位置,详细描述和建议的改进方案,有效检测和管理安全风险信息
5.3软件平台安全 5.3.1影响软件平台安全性的因素主要包含操作系统安全漏洞和病毒
5.3.2在操作系统安装的时候应使用平台软件厂商提供的安全漏洞扫描工具进行漏洞扫描;在新漏洞 信息发布的时候,应利用软件平台厂商提供的更新服务安装相应的漏洞补丁,即时保障系统安全
5.3.3应采取专业的防病毒解决方案,实现从网络、服务器、客户机三个方面的立体防范
对于重大的 安全漏洞和病毒,应及时向统管理员发出安全警告信并提供相应应对措施
5.4应用系统安全 5.4.1应用系统安全设计原则 5.4.1.1 有限授权 系统设计应实现基于角色的权限控制,用户只能进行与当前身份角色相应的操作和访问权限范围 内的数据
对于没有授权的操作和数据,用户无法执行和访问
5.4.1.2全面确认 对于用户进行的每一个操作,系统应对用户当前身份和权限进行确认,并对用户每次提交的数据进 行完整性和合法性校验
5.4.1.3功能分级控制 5.4.1.3.1应实现管理工作的分级管理,系统管理员负责所管理系统的整体系统管理、版本管理等工 作;实际业务管理员负责其他业务系统的管理
5.4.1.3.2应实现对涉及实际业务的系统功能的分级控制,普通用户具有普通的操作权限;高级用户在 普通用户所有操作权限的基础上,具有其他高级操作功能权限
5.4.1.4安全跟踪 5.4.1.4.1系统应具有安全跟踪和告警框架,保证与安全相关事件的跟踪
5.4.1.4.2在安全事件发生时,对于符合一定策略的事件应能够自动预警,以系统预定的方式提示相应 人员,并采取措施实现系统资源的自我保护 5.4.1.4.3应能够记录发生的安全事件,宜对记录的安全事件提供审计和分析功能
5.4.2组织结构与角色管理 5.4.2.1 系统权限宜依据角色进行分级划分,保证适当的用户访问到适当的资源和操作
用户只能进 行和当前身份角色相应的操作和访问权限范围内的数据
对于没有授权的操作和数据,用户无法执行 和访问
5.4.2.2基于角色的权限管理应做到完整的独立于应用基于实际组织结构的管理功能以及具有灵活 的管理方式和高可维护性
系统应支持集中式管理或分级管理 注:集中式管理,即由一个管理员负责所有组织结构、角色管理
分级管理,即仅由系统管理员管理部门创建和其 他应集中管理的功能,其他部分则由具体部门管理员进行管理
5.4.2.3统一的组织和角色管理应与组织结构形成直接对应关系,其主要功能包括 单位部门管理 a b)统一添加删除维护单位信息;
GB;/T40640.2一2021 设置部门间的上下级关系和同级部门间排序; c d) 职能管理; 设置单位和部门职能相关信息,主要包括部门介绍、部门主要职能、部门主要职能 ee f 角色与岗位管理; 设置各单位的角色(岗位); g h) 设置角色(岗位)与用户的关联关系; 设置角色(岗位)相关工作职能范围介绍
5.4.3统一认证与授权服务 5.4.3.1设计目标 设计目标应包括以下内容: 登录账户管理及个人信息管理, a b 账户的添加维护、登录认证以及多个应用系统间访问的一次登录; 完整的独立于应用、基于业务逻辑的授权管理功能 c d)灵活的管理方式和高可维护性
5.4.3.2设计结构 图1给出了统一认证与授权服务管理结构,包括以下内容 a 验证管理服务,负责用户账户,密码等的维护和登录认证,以及为一次登录提供支持 b个性化服务,负责用户相关个性化数据的存储和提供查询、维护接口 c 组织结构服务,为应用程序提供下属部门的树形组织架构服务,提供组织结构的统一管理和维 护接口 d 授权服务,如前面设计目标中所述,建立用户功能管理、授权机制,并提供给应用系统相应开发 接口,系统授权支持基于角色的授权模型、存取控制列表(ACL)方式以及自定义授权模型多 等安全模型; 资源服务,对系统中的功能和应经过验证才能访问的事物提供统一的注册登记服务
未经过 资源服务登记,不应在授权服务中设置资源与角色的访问关联,也不应使应用系统获得相应的 资源授权访问验证服务; 审计服务,对系统中与用户操作相关的事件进行记录和跟踪,并提供相关的查询统计服务
统一认证 个性化 夏 验证管理 Databuse 组织结构 早 应用程序 授权 资源 LDAP 审计 图1认证管理服务结构图
GB/T40640.2一2021 5.4.4一次登录 应采用统一的认证授权模块,以支持一点登录多个子系统访问的功能
多个应用系统间一次登录 指用户访问不同域名(虚拟目录)应用,只应登录一次
图2给出了一次登录实现原理 应用 ooo 网络 s 验证 发 求 养" 点 求内 鼎示请 e 输入登录信息 写入cookie保存令牌 读取Cookie中令牌 登录认证服务 Mpaspom 学必 为 访 间 求验证 显 S 茶" 家 s 来 为客 ooo 应用2 标引序号说明 用户请求访间应用1的内容 -应用1无法验证用户,应向登录认证服务请求验证用户; 用户输人登录信息; 登录认证服务读取数据库中的信息.验证用户
如果验证成功,应向用户本地浏览器写人辨别用户身份的缓 存数据(Ccookie),保存登录成功后的唯一,有时间期限、代表用户身份的访问令牌 登录认证服务向应用1传递用户登录成功的信息,并应在信息中包含用户登录后的身份 应用1向用户输出用户要访问的信息; 用户请求访问应用2的内容; 应用2无法辨别用户身份,应向登录认证服务请求验证用户; 登录认证服务读取用户本地的cCookie,获取用户身份令牌; 登录认证服务向应用2传递用户登录成功的信息,并应在信息中包含用户登录后的身份 10 11 应用2向用户输人用户要访问的信息
图2一次登录实现原理图 5.4.5日志与报警 5.4.5.1应根据化学品信息安全管理的需要,记录用户每一次或重要操作形成日志,并提供相应的分析 功能
5.4.5.2系统宜具有自动预警功能
对于非法操作,系统根据设定的操作级别采用设定的形式自动报 警(如给系统管理员发送电子邮件、短消息、在线消息),并根据定制的策略实现资源的自我保护功能(如 锁定账户、锁定要访问的资源、锁定访问IP)
GB;/T40640.2一2021 5.5数据安全 5.5.1应采用可信赖的数据库系统,确保数据库系统的运行安全,并通过对数据库账户和访问权限范 围设置实现安全访问策略
5.5.2应确保存储在数据库的数据和服务器文件数据本身的安全,采取的保护措施包括但不限于安装 反病毒软件、建立可靠的数据备份与灾难恢复系统以及对重要数据采取加密保护
化学品管理信息化第2部分:信息安全GB/T40640.2-2021
随着信息化技术的飞速发展,化学品管理信息化已经成为化工行业不可或缺的组成部分。然而,数据安全问题一直是化学品管理信息化的重要难题。 GB/T40640.2-2021是中国化学工业协会制定的化学品管理信息化信息安全标准,该标准适用于化学品生产、储存、销售、运输等方面的信息安全保护。标准通过详细描述了化学品管理信息化中信息安全保护的基本要求、技术措施和应急处理等方面,确保了化学品管理信息化中信息资源的完整性、可用性和保密性。 该标准明确规定了涉及化学品管理信息化的系统建设、网络安全、数据传输、用户身份验证、数据备份恢复、信息安全事件应急响应等方面的技术要求和管理措施。同时,还明确了化学品管理信息化中涉及信息安全的各种风险和威胁,并提出了对应的防范、监测和处理措施。 遵循GB/T40640.2-2021标准,可以有效保障化学品管理信息化系统的信息安全,预防和应对各类信息安全事件,减少信息系统被攻击或数据泄露的风险和损失。同时,也有利于促进化学品管理行业信息化水平的提升,推动化学品行业更好地适应信息化时代的发展趋势。 总之,GB/T40640.2-2021是化学品管理信息化领域中不可或缺的一部分,值得各位专业人士认真研究和应用。
