YC_T 495-2014烟草行业信息系统安全等级保护实施规范.pdf

ICS 65.16068 XYC备案号：44828—2014中华人民共和国烟草行业标准YC/T495—2014烟草行业信息系统安全等级保护实施规范Implementation specifications for classified protection of informationsystem of tobacco industry2014-03-24发布2014-04-15实施国家烟草专卖局发布 YC/T 495—2014目次前言范围规范性引用文件3术语和定义烟草行业信息系统安全等级保护实施流程信息系统安全保护等级技术防护安全管理10附录A(规范性附录)烟草行业信息系统安全等级保护基本要求13附录B（资料性附录)安全目标实施措施示例.5附录C（资料性附录)安全风险分析表.0附录D（资料性附录）烟草行业信息系统应急演练基本要求参考文献86 YC/T 495—2014所示。表2业务信息类型、系统服务范围与安全保护等级的关系业务信息类型系统服务范围局部性区域性全局性公开信息第一级第二级或第三饭第三级不含专卖管理、生产、营销等专有信息第一级或第二级第二级或第三级第三级专有信息含专卖管理、生产、营销等专有信息第二级第二级或第三级第三级重要信息第二级或第三级第三级第三级承载信息为公开信息、系流服务范围为局部性的信息系统度定为第承载信息为会开信息、系统服务范围为区域性的信息系统应定为第二级或第三级；承载信息公开信息、系统服务范围为全局性的信息系统应定为第三级，承载信为不含专卖管理、生产、营销等专有信息、系统服务范围为局部性的信息系统应定为第-发或第二级承载信息男不含专卖管理，生产置销等专有信息，系统服务范围为区城性的信息系统应定为第级或第三级；承吉找信息为不含专管理、营销系统服务范册为全全局性的信息系统应定为第三级产、营销等专有信息系统服务范围为扇部性的信息系统应定为第承载信息为含专卖管理生产营销等专有信息、系统服务范围为区域性的信息务统应定为第二级或第三级；承载信息为含专卖管理、生产，营销等专有信息，系统服务范围为全局性的信息系统应定为第三级；承载信息专重要信息、系统服务范围为局部性的信息系统应定为第级或第三级；承载信息为重要信息系统服务范围为区城性的信息系统应定为第三级承载信息为重要信息、系统服务范围为全局性的信息系统应定为第主级。6技术防护6.1支撑环境保护6.1.1机房环境保护行业各单位机房环境应符合附录A中的第三级基本安全要求，参见附录B中的B,1进行建设、防护，包括但不限于以下内容，应对机房进行区域划分，安装电子门禁系统、防盗报警系统和视频监控系统：机房应配备UPS，采用双路供电方式，并建立备用供电系统；应部署火灾自动消防系统；应部署机房环境监控系统，对空调、UPS、门禁系统等的运行状况以及机房供配电、漏水、温湿度、烟雾等情况进行实时监控，并提供报警功能： YC/T 495—2014机房应配备机房专用空调电源线和通信线缆应隔离铺设。6.1.2网络环境保护行业各单位网络环境应符合附录A的第三级基本安全要求，参见B,2进行建设、防护，包括但不限于以下内容应根据网络结构、业务需求和区域安全防护要求划分网络区域；应提供核心网络设备、通信链路的允余：应配置QoS(服务质量)或具有带宽/流量管理能力，对通信链路带宽进行优先级分配；应具有对人侵事件防护能力，在发生较严重人侵事件时应提供报警及防护；应具有病毒防护能力，对阅络恶意代码进行检测和阻断，对防病毒软件进行统一管理、统一升级；应采用用户：密码和行业数字证书相结合的方式，对要录网络设备的用户进行身份鉴别，6.1.3应用支撑环境保护应用支撑不境底按照信息系统的安全保护等级进行建设、防护，符合附求A中相应级别的基本安全要求，同时还应见B3进行建设，防护，包括妞不限于以下内容：采用用户名/密码和行业数字证书相络奇的方式，对登录服务器操作系统和数据库系统的用进行身份鉴别；提售服务器的室立具值服务器防瘤毒能方：对用户终端集中究理，统安装防病毒软件、统安装系航补丁等对程动存储介质管理，重要数据应存储在专用的移动存储介质中，并对重要数据进行保腾性处理；应对移动终端接网络系钱进行控制程6.2应用款件安全应用软件开发应按照信息系统的安全保护等级进行建设、防护，符合附录人中相应级别的基本安全要求。安全保护事级定为第二级（含）以上的信息系统还应参见B,4、5进看建设、防护，安全保护等级定为第三级（含）以工的信息系靠还应包括但不限于以下内容应采用用户名/密码和行业数字证书相结合的方式，对登录应用系统的用户进行身份鉴别；应提供身份鉴别、用户身份标识唯一、鉴别信息复杂度检查、用户登录失败处理、用户操作超时限制、并发会话连接数限制和数据有效性校验等功能；应提供访问控制功能，具有限制用户访问系统功能、业务信息