《DB61∕T 1350-2020 体育赛事信息化建设技术规范 网络与信息安全(陕西省).pdf》由会员分享,可在线阅读,更多相关《DB61∕T 1350-2020 体育赛事信息化建设技术规范 网络与信息安全(陕西省).pdf(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS 33.040M 10省 地陕 西DB61方 标 准DB 61/T 13502020体育赛事信息化建设技术规范 网络与信息安全Technical specification for informatization in sports games一 Network and information security2020-09-15 发布2020-10-15 实施陕西省市场监督管理局发布DB61/T 13502020目 次前言.II1 范围.12规范性引用文件.13术语和定义.14赛前安全要求.15赛时安全要求.36赛后安全要求.4IDB61/T 13502020 刖 B本标准按照GB/T
2、 1.12009给出的规则起草。本标准由陕西省工业和信息化厅提出并归口。本标准起草单位:西安邮电大学、陕西省信息化工程研究院、陕西省大数据集团有限公司、陕西艾 特智慧信息技术有限公司、西安东升科技有限公司、陕西山利信息科技有限公司。本标准主要起草人:朱志祥、张勇、潘正泰、吴晨、黄仕富、罗伟锋、姚映东、张军科、张宁、魏 鹏飞。本标准由陕西省信息技术标准化技术委员会负责解释。本标准首次发布。联系信息如下:单位:陕西省信息技术标准化技术委员会电话:029-87303602地址:陕西省信息化中心14层邮编:710075IIDB61/T 13502020体育赛事信息化建设技术规范网络与信息安全1范围本标
3、准规定了了体育赛事信息系统的赛前、赛时和赛后的网络与信息安全要求。本标准适用于体育赛事信息系统的网络与信息安全设计、实施、评测、服务、验收等方面。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 222402020GB/T 222392019GB/T 250702019GB/T 363232018GB/T 503262017信息安全技术网络安全等级保护定级指南 信息安全技术网络安全等级保护基本要求 信息安全技术网络安全等级保护安全设计技术要求 信息安全技术工业控制
4、系统安全管理基本要求 建设工程项目管理规范DB61/T 1346体育赛事信息化建设技术规范总则 3术语和定义DB61/T 1346界定的术语和定义适用于本文件。4赛前安全要求4.1 咨询与设计4.1.1 体育赛事组织管理部门应指定或授权专门的部门负责体育赛事的网络与信息安全管理工作。4.1.2 体育赛事组织管理部门应委托专业的第三方安全服务机构负责体育赛事网络与信息安全咨询与 设计工作。4.1.3 安全服务机构应对体育赛事所涉及的场馆进行摸底排查,结合体育赛事的特点、规模、影响范 围进行风险识别与分析,并根据GB/T 22240-2020确定体育赛事信息系统的信息安全等级保护级别,并根据GB/
5、T 250702019和GB/T 222392019等相关标准制定设计文件。4.1.4 应组织体育赛事管理、公安、网信等相关部门和安全技术专家对设计文件的合理性和正确性进 行论证和审定。4.1.5 应在体育赛事信息系统需求分析时同步进行系统安全性需求分析,并在体育赛事信息系统设计 时同步进行系统安全性设计。4.2 采购与外包安全4.2.1体育赛事组织管理部门应指定或授权专门的部门负责信息化产品的采购管理工作。4.2.2应在采购前对产品进行选型测试,确定产品的候选范围,并将候选目录下发到相关部门。1DB61/T 135020204.2.3体育赛事信息化产品的采购应选用集中采购模式,以便于统一品牌
6、或统一服务。4.2.4应依据安全可靠的原则采购信息化产品。4.2.5体育赛事信息系统运行所需要的各种软件必须是来源可靠的正版软件。4.2.6外包服务商应由体育赛事组织管理部门统一选择,并应符合国家及行业的相关规定。4.3安全实施4.3.1网络与信息安全实施应与体育赛事信息系统建设工作同步进行,建设实施过程应遵循GB/T 50326-2017 的规定。4.3.2安全实施单位应制定详细的建设实施方案与工程实施管理制度,对建设实施过程进行管理控制o4.3.3体育赛事组织管理部门应委托第三方工程监理对体育赛事网络与信息安全实施过程进行监督。4.3.4体育赛事信息系统开发商应确保开发过程的安全,并按照安
7、全需求设计文件开发相应的安全功 能模块。4.3.5体育赛事信息系统上线前应委托第三方安全服务机构进行安全性检测工作,通过后才能上线试 运行。4.4 资产管理4.4.1应建立体育赛事信息资产安全管理制度,明确体育赛事资产的分类和分级方法,以及不同类别 和不同级别资产的管理措施,规范资产的变更管理流程和要求。4.4.2应对体育赛事信息化所涉及的资产进行采集,包括软硬件设备及信息系统等,建立详细的资产 清单,包括资产责任部门、重要程度和所处位置等内容。4.4.3应对体育赛事信息资产的变更建立变更流程和审批责任制,重要资产的变更应提交变更方案并 通过相关专家评审后方可实施变更。4.4.4应通过有效手段
8、对体育赛事信息化资产进行监控,及时掌握资产变动信息。4.4.5体育赛事开赛前一周应对信息化资产进行冻结,不再进行任何形式的资产变更。4.5 专项安全防护4.5.1 控制系统安全4.5.1.1应按照GB/T 36323-2018的要求对体育赛事工控系统的安全连接、组网安全、配置管理等进 行规范。4.5.1.2应加强工控系统和公共网络的连接管理,断开所有不必要的连接;确实需要的连接应加强登 记管理,并采取必要的安全防护措施加以防护。4.5.1.3体育赛事工控系统组网时应同步规划、同步建设、同步运行安全防护措施。4.5.1.4体育赛事工控系统应采用有线方式组网,确实需要无线组网的应采取严格的身份认证
9、、安全 监测等防护措施进行安全防护。4.5.1.5体育赛事工控系统远程管理时应采取虚拟专用网、数据加密等措施确保通信安全。4.5.1.6应加强体育赛事工控系统的配置管理,包括账号管理、口令管理、端口管理、服务管理等。4.5.2传感器安全4.5.2.1应为传感器的物联网访问建立身份验证机制,可通过基于角色的访问控制和审计来实施身份 验证策略。4.5.2.2应对通过物联网传输的传感器的关键数据进行加密处理,确保未被入侵和篡改。2DB61/T 135020204.6测试与验收4.6.1体育赛事组织管理部门应指定或授权专门的部门负责系统测试与验收的管理工作。4.6.2测试与验收负责部门应在体育赛事网络
10、与信息系统建设完成后委托有资质的等级测评机构进行 等级测评,并出具等级测评报告。4.6.3测试与验收负责部门在建设完成后应根据设计方案或合同要求等制订验收方案,对网络与信息 安全建设进行初验,并在正式比赛完成后进行终验。4.6.4应组织相关部门和相关人员对系统测试与验收报告进行审定,并签字确认。4.6.5对于直接采购云服务的模式,云服务提供商应配合完成测试与验收工作。4.7赛前准备4.7.1体育赛事组织管理部门应委托专业的第三方安全服务机构负责体育赛事赛时期间的安全保障服 务工作,受委托安全服务机构应在体育赛事开赛前至少三个月入场实施安全服务。4.7.2安全服务机构应在单项系统测试和联调测试阶
11、段完成体育赛事信息系统的评估测试与加固,并 定期对评估测试与加固结果进行汇报。4.7.3安全服务机构应建立体育赛事期间的安全服务管理体系,包括安全服务管理制度、流程、操作 手册、应急预案等,并组织各相关方参与人员进行管理和技术的培训,培训内容包括管理制度、流程、专业技能等;培训完成后应进行相应的考核,并将考核结果记录并保存。4.7.4安全服务机构应针对赛事安全服务的事务处置进行演练,确保流程和技术的可靠性,并根据演 练的结果对管理流程和技术操作手册进行修订。4.7.5安全应急预案应通过有效途径向相关人员或部门进行下发,并在体育赛事开赛前至少组织三次 应急预案培训和演练,并根据培训和演练的结果对
12、应急预案进行修订,确保应急预案的可执行性。4.7.6体育赛事组织管理部门应加强和省市应急部门、公安、网信、消防等单位的沟通协调,必要时 组织多部门联合安全应急演练。5赛时安全要求5.1 安全值守5.1.1 受委托安全服务机构应对重要网络和信息系统实行7x24小时安全保障服务。5.1.2 应利用现场调度指挥中心,针对安全保障过程中的各类事件进行人员、物资等的协调与配备,确保各类事件能够得到及时的解决。5.1.3 应建立有效的赛时安全通信保障,可使用电话、无线对讲、内部即时通信、短信等手段,确保 各相关方沟通的及时性和安全性。5.2 安全监测5.2.1根据体育赛事安全监测预警的需求,建立并完善体育
13、赛事安全监测预警制度,通过相应的监测 技术和工具进行安全监测。5.2.2应明确监测对象、监测指标、监测频率,监测对象包括系统运行状态、网络、物理环境、业务 应用状态等。5.2.3应对安全监测数据进行集中管理,利用大数据处理技术进行关联、分析和预测,通过与威胁情 报的联动,实现动态安全感知和响应处置。5.2.4应对安全监测的情况进行评估总结,向相关负责人报告体育赛事网络与信息系统的安全状态。3DB61/T 135020205.3安全应急5.3.1应建立赛时安全应急团队,配备足够的技术人员,并建立安全应急专家组。5.3.2应为核心关键系统配备专业的应急保障小组,配备专业的技术人员。5.3.3应根据安全事件级别限定安全应急响应和处置的时间要求。5.3.4应为安全事件应急响应建立沟通汇报机制,明确不同级别安全事件上报的对象和范围。6赛后安全要求赛后安全要求包括:a)应对赛事信息系统数据进行安全处理;b)受委托安全服务机构应对服务期间的安全服务情况进行书面总结,形成安全服务报告,内容至 少包括:安全事件数量、事件描述、原因、影响分析和处置方式等相关信息;c)安全服务报告应提交到体育赛事主管部门进行备案。4