《大数据平台安全保障规范.docx》由会员分享,可在线阅读,更多相关《大数据平台安全保障规范.docx(21页珍藏版)》请在优知文库上搜索。
1、ICS35.0201.70DB61方标准DB61TXXXXXXXX大数据平台安全保障规范(征求意见稿)GeneralRequirementsForSecurityOfBigDataPlatform202X -XX-XX 实施202X-XX-XX发布陕西省市场监督管理局目次_Toc38526888前言I1范围12规范性引用文件13术语和定义14安全保障概述25安全建设要求错误!未定义书签。6安全管理要求37安全技术要求58安全运行要求8参考文献12,Z,1刖百本标准按照GB/T1.12009给出的规则起草。本标准由陕西省工业和信息化厅提出并归口。本标准起草单位:陕西省网络与信息安全测评中心。本标
2、准主要起草人:本标准由陕西省信息安全标准化技术委员会负责解释。大数据平台安全保障规范1范围本标准规定了大数据平台的安全保障规范。本标准可为政府部门、企事业单位等组织机构构建安全可靠的大数据平台提供参考,也适用于第三方机构对大数据平台的安全保障能力进行审查和评估。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T22239信息安全技术网络安全等级保护基本要求GB/T37973信息安全技术大数据安全管理指南GB/T35274信息安全技术大数据服务安全能力要求GB/T35
3、589信息技术大数据技术参考模型GB/T35295信息技术大数据术语GB/T25069信息安全技术术语3术语和定义GB/T25069和GB/T35295界定的以及下列术语和定义适用于本文件。3.1大数据bigdata具有数量巨大、种类多样、流动速度快、特征多变等特性,并且难以用传统数据体系结构和数据处理技术进行有效组织、存储、计算、分析和管理的数据集。3.2大数据平台bigdataplatform采用分布式存储和计算技术,提供大数据的访问和处理,支持大数据应用安全高效运行的软硬件集合,包括监视大数据的存储、输入/输出、操作控制等大数据服务软硬件基础设施。3.3大数据系统bigdatasyste
4、m包括大数据使用者、大数据服务提供者、大数据应用和大数据平台的信息系统。3.4数据生命周期dataIifecycl数据从产生,经过数据采集、数据传输、数据存储、数据处理(包括计算、分析、可视化等)、数据交换,直至数据销毁等各种生存形态的演变过程。3.5大数据服务bigdataservice支撑机构或个人对大数据采集、存储、使用和数据价值发现等数据生命周期相关的各种数据服务和系统服务。注:大数据服务一般面对的是海量、异构、快速变化的结构化、半结构化和非结构化数据服务,且通过底层可伸缩的大数据平台和上层各种大数据应用的系统服务提供。4安全保障概述4.1 总体要求本标准从安全管理、技术、运行角度规定
5、了大数据平台安全保隙规范,以保障大数据平台的系统服务安全可靠地运行。a)安全管理要求包括安全策略、管理制度、制定和发布、评审和修订、岗位设置、人员配备等12个要求类;b)安全技术要求包括边界防护、身份鉴别、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计等12个要求类;c)安全运行要求包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理等13个要求类。4.2 安全保障框架系安全保障总体框架是大数据平台安全运行的基础支撑,可有效指导大数据平台安全管理、技术与运行活动。安全管理是安全防护、安全运营有序进行的前提,为大数据平台安全技术防护提供策略,组织实施大数据平台
6、技术管理和运营。安全技术是建立纵深防御体系,为大数据平台安全管理提供技术支持,动态应对大数据平台安全风险。安全运行是对大数据平台系统运行状态的监测、维护与监督检查,能对安全事件进行报告、应急处置与恢复,以确保大数据平台在发生安全事件时较快恢复到原有状态,并维持大数据平台的各项业务安全有序地运行。安全技术要求安全管理要求安全管理制度组织机构管理岗位设置人员配招边界防护访问控制身份鉴别入侵防范术支持恶意代码和垃圾邮件防范安全审计授权和审批11沟通和合作数据完整性人员安全管理指导支持/数据备份恢复剩余信息保护个人信息保护提供服务人员录用11人员离岗安全意识教育I外部人员访问和培训管理提供服务安全运行
7、要求环境管理|资产管理口介质管理11设备维护管理|漏洞和风险管区图1大数据平台安全保障框架5安全管理要求1.1 安全管理制度1.1.1 安全策略应制定大数据平台安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。1.1.2 管理制度本项要求包括:a)应对大数据平台安全管理活动中的各类管理内容建立安全管理制度;b)应对大数据平台管理人员或操作人员执行的日常管理操作建立操作规程;C)应制定大数据平台安全追责制度,定期对责任部门和安全岗位组织安全检查,形成检查报告;d)应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的大数据平台安全管理制度体系。1.1.3 制
8、定和发布本项要求包括:a)应指定或授权专门的部门或人员负责大数据平台安全管理制度的制定;b)大数据平台安全管理制度应通过正式、有效的方式发布,并进行版本控制。应定期对大数据平台安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。1.2 组织机构管理5. 2.1岗位设置本项要求包括:a)应成立指导和管理大数据平台安全工作的管理组织机构,明确大数据平台安全岗位和岗位用户职责;b)应建立大数据平台安全领导小组,指定机构最高管理者或授权代表担任小组组长,并明确组长责任与权力;c)应建立机构内部监督管理职能部门,对大数据平台和各用户操作行为进行安全监督管理;d)应设立
9、大数据平台安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;e)应明确大数据平台相关重要岗位及其角色安全要求,建立重要岗位角色清单和授权机制;D应设置专职的大数据平台安全岗位,建立规范化的大数据平台安全保护、评估及考核专职队伍。6. 2.2人员配备本项要求包括:a)应配备一定数量的系统管理员、审计管理员和安全管理员等;b)应配备专职安全管理员,不可兼任。7. 2.3授权和审批本项要求包括:a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要
10、活动建立逐级审批制度;0应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。5. 2.4沟通和合作本项要求包括:a)应加强各类管理人员、组织内部机构和大数据平台安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理大数据平台安全问题;b)应加强与大数据平台安全职能部门、各类供应商、业界专家及安全组织的合作与沟通;C)应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。5.3人员安全管理5. 3.1人员录用a)应制定大数据平台人力资源安全策略,明确不同岗位人员在数据生命周期各阶段数据服务和系统服务相关的工作范畴和安全管控措施;b)应指定或授权专门
11、的部门或人员负责人员录用;0应在录用重要岗位人员前对其进行背景调查,确保符合相关的法律、法规、合同和道德要求,并与所有涉及大数据平台岗位人员签订安全责任协议;d)应对被录用人员的身份、安全背景、专业资格或资质等进行审查,对其所具有的技术技能进行考核;e)应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议。本项要求包括:a)应在重要岗位人员调离或终止劳动合同时,与其签订保密协议;b)应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;C)应办理严格的调离手续,并承诺调离后的保密义务后方可离开。5. 3.3安全意识教育和培训本项要求包括:a)应制定大数
12、据平台安全岗位人员的安全培训计划,并对培训计划定期审核和更新;b)应制定关键岗位转岗、岗位升级等相应的人员安全培训计划,并对培训计划定期审核和更新;C)应按计划对相关人员开展安全意识教育培训,包括政策、法律、法规、标准等合规性培训,并对培训结果进行评价、记录和归档;d)应根据不同安全岗位要求,开展大数据平台安全实际操作技能培训与考核,并告知相关的安全责任和惩戒措施;6. 3.4外部人员访问管理本项要求包括:a)应在外部人员物理访问大数据平台受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案;b)应在外部人员接入大数据平台受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限,
13、并登记备案;c)外部人员离场后应及时清除其所有的大数据平台访问权限;d)获得大数据平台系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息。6安全技术要求6.1 边界防护本项要求包括:a)应在大数据平台与外网边界处部署相应的网络攻击检测防护设备;b)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;C)应能够对非授权设备私自联到内部网络的行为进行检查或限制;d)应能够对内部用户非授权联到外部网络的行为进行检查或限制;e)应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。6.2 身份鉴别本项要求包括:a)应对登录的用户进行身份标识和鉴
14、别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;O当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。6.3 访问控制本项要求包括:a)对外提供服务的大数据平台,平台或第三方只有在大数据应用授权下才可以对大数据应用的数据资源进行访问、使用和管理;b)应提供设置数据安全标记功能,基于安全标记的授权和访问控制措施,满足细粒授权访问控制管理能力
15、要求;C)涉及重要数据接口、重要服务接口的调用,应实施访问控制,包括但不限于数据处理、使用、分析、导出、共享、交换等相关操作;d)应能对不同客户的大数据应用实施标识和鉴别;e)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;D应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;g)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;h)应对进出网络的数据流实现基于应用协议和应用内容的访问控制;i)应对登录的用户分配账户和权限;j)应重命名或删除默认账户,修改默认账户的默认口令;k)应及时删除或停用多余的、过期的账户,避免共享账户的存在;1)应授予管理用户所需的最小权限,实现管理用户的权限分离;m)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。7. 4入侵防范本项要求包括:a)应在大数据平台关
免费区 