DB50／T 956.4-2021  预警信息发布平台管理规范 第4部分：网络安全

5.2.2.1气象信息专网区通过专线受限接入电子政务外网区。 5.2.2.2应通过市级气象信息专网区连接互联网区。 5.2.2.3应通过区县电子政务外网区、区县气象信息专网区分别连接市级电子政务外网区、市级气象 信息专网区

5. 2. 3通信传输

形位公差标准应采用校验技术、密码技术保证通信过程中数据的完整性、保密性。密码技术要求按照GB/T39786 执行。

更件设备和软件系统应通过国家认证的安全性测试。

5.3.1.1应在气象信息专网区与互联网区、电子政务外网区的边界部署访问控制设备。 5.3.1.2应在气象信息专网区与电子政务外网区边界部署网络隔离设备。 5.3.1.3宜建立相应安全访问控制区域。

5. 3. 2 访问控制

5.3.2.1应按照预警信息发布平台网络区域安全需求，对网络安全设备进行安全策略配置 5.3.2.2应对移动终端设备进行接入认证。 5.3.2.3应保证只有授权的感知节点能接入

宜部署旁路检测设备，对网络中的数据流量进行 实时解析，能对网络攻击行为、异常流量等进行报 警。 应限制与感知节点设备通信的地址和设备

5. 3. 4 安全审讯

5.3.4.1应对预警信息发布平台业务人员和运维人员的行为分别进行记录。

3.4.1应对预警信息发布平台业务人员和运维人员的行为分别进行记录。 3.4.2记录包括行为时间、操作人员、操作类型、行为结果，

5.3.5安全计算环境

5.3. 6 身份鉴别

鉴别功能。宜扩展身份

5. 3. 7 访问控制

3.7.1应对预警信息发布平台业务人员设置相应操作权限。 3.7.2授权应遵循最小权限原则，细分业务管理员、业务信息发布员、业务信息审核员、普通 3.7.3预警信息的移动审核权限应只赋予有授权的设备。 3.7.4应保证预警信息发布平台迁移时，上述访问控制策略能随其迁移

DB50/T 956.42021

3.8.1应仅安装必要的组件和应用程序，关闭非必要的系统服务和默认共享，关闭非必要的高 和访问用户。 3.8.2对已知漏洞，应在经过充分测试评估后及时采取加固措施，

5.3.9.1应部署数据库审计、服务器审计、日志审计。 5.3.9.2应记录预警信息发布平台业务人员和运维人员对资源的访问、使用情况，并将监测数据送至 安全管理中心

5.3.9.1应部署数据库审计、服务器审计、日志审计。

5.3.10恶意代码防范

应对预警信息发布平台适用设备安装杀毒软件

5.3.11数据完整性和保密性

5.3.11.1应采用校验技术保证各网络区域中数据的完整性。 5.3.11.2应保证服务器迁移过程中数据的完整性。 5.3.11.3应采用密码技术、身份鉴别技术，对敏感数据实现加密访问。

5.3.12数据备份恢复

3.12.1应具有核心数据和业务功能的离线备份和恢复能力。 3.12.2应具有基于云的热几余备份能力。

5. 3. 13亢余设计

5. 4 安全管理中心

5. 4. 1系统管理

应部署安全管理模块，对业务管理员进行身份鉴别，只允许获得授权的设备和账号进行系统管

应具备对所有安全设备统一管理，对整体安全态势集中可视化展示、分析，对入侵和安全事件 控的能力。

6. 1 安全管理制度

包括但不限于以下制度： 安全责任制。设立安全负责人，制定安全管理文件； 日常管理操作规程； 安全巡检制度； 专项管理制度。包括物联网感知节点设备、敏感数据

6.2预警信息发布平台工作机构

6.2.1.1应遵循分级管理和属地管理原则。 6.2.1.2应设立网络安全管理部门和岗位，配备安全管理人员。 6.2.1.3应加强与安全服务机构的合作。

6.2.1.1应遵循分级管理和属地管理原则。

DB50/T956.4202

6.3.1应定期对安全管理人员进行安全意识教育和技术培训。 6.3.2应和安全管理人员签订保密协议。 6.3.3安全管理人员离岗后应立即终止其所有访问权限

6.4系统开发安全管理

6.4.1系统安全方案设计

6.4.1.1应明确安全体系架构、安全协议、访问控制和身份鉴别机制、加密方法、核心数据及数据保 护方法等。 6.4.1.2应由市预警信息发布平台工作机构统一设计。 6.4.1.3区县预警信息发布平台工作机构应通过书面方式向市预警信息发布平台工作机构提交软件区 域化建设申请。

6. 4. 2 系统开发

3.4.2.1应保证开发环境和正式运行环境的分离。 6.4.2.2应要求系统开发人员签署保密协议。 6.4.2.3应对所有接触敏感数据的人员进行登记。

6.4.2.1应保证开发环境和正式运行环境的分离。

6. 4. 3系统测试

6.4.3.1应要求系统开发单位提供源代码。 6.4.3.2应进行上线前系统测试，聘请有资质的测试机构完成系统漏洞扫描、安全性检测，并出具测 试报告。

6.4.4.1应要求系统承建单位提供建设过程文档、软件使用文档、系统部署文档、运行维护文档，并 对运行维护的技术人员进行相应技能培训。 6.4.4.2应要求预警信息发布平台中的数据、业务软件所有权和在质保期内的第三方插件使用权归委 托开发的预警信息发布平台工作机构

6.4.5安全等级测评

年应对预警信息发布平台进行一次安全等级测评

刊预警信息发布平台资产清单，至少每半年进行

DB50/T 956.42021

应由专人进行归档、登记、存储、销毁

6.5.3设备维护管理

应由专人定期进行维护管理。

应由专人定期进行维护管理。

6.5.4漏洞和风险管理

6.5.5网络和系统安全管理

安全检查，形成安全检查报告，并及时对检查发

6.5.5.2应对每日的运行维护工作进行日志记录 6.5.5.3应严格控制远程运维的开通，必须开通的远程运维，应更改默认远程连接端口。

部署文档应记录和保存基本配置信息，包括网络拓扑结构，服务器安装的组件、补丁，各设备 参数和系统配置流程。

应符合GB/T39786的要求。

应符合GB/T39786的要求。

汽车标准6.5.8数据共享管理

.5.9备份与恢复管理

6.5.9.1应根据数据的重要性和数据对预警信息发布平台运行的影响，制定预警信息发布平台数据备 份策略和恢复策略。 6.5.9.2应定期执行备份/恢复程序，定期检查和测试备份程序、备份介质的有效性

6.5. 10 安全事件处置

应制定安全事件处置制度，明确不同安全事件的报告、处置、响应流程。

6.5.11安全应急预案

6.5.11.1应制定安全应急预案勘探标准，明确应急处置流程。

DB50/T956.4202