?HJ 729-2014 環(huán)境信息系統安全技術(shù)規范

1 適用范圍

      本標準規定了環(huán)境信息系統的物理安全、網(wǎng)絡(luò )安全、主機安全、應用安全、數據安全與備份恢復、系統建設、系統運維、終端與辦公安全的安全要求。

      本標準適用于國家環(huán)境保護業(yè)務(wù)專(zhuān)網(wǎng)內的環(huán)境信息系統的規劃、設計、開(kāi)發(fā)、運行及維護等各個(gè)階段。

2 規范性引用文件

      本標準內容引用了下列文件或其中的條款。凡是不注明日期的引用文件，其有效版本適用于本標準。

      GB/T 5271.8-2001 信息技術(shù) 詞匯

      GB/T 17859-1999 計算機信息系統 安全保護等級劃分準則

      GB/T 20270-2006 信息安全技術(shù) 網(wǎng)絡(luò )基礎安全技術(shù)要求

      GB/T 20271-2006 信息安全技術(shù) 信息系統通用安全技術(shù)要求

      GB/T 20282-2006 信息安全技術(shù) 信息系統安全工程管理要求

      GB/T 20988-2007 信息系統災難恢復規范

      GB/T 21052-2007 信息安全技術(shù) 信息系統物理安全技術(shù)要求

      GB/T 22239-2008 信息系統安全等級保護基本要求

      GB/T 22240-2008 信息安全技術(shù) 信息系統安全等級保護定級指南

      GB/T 25070-2010 信息安全技術(shù) 信息系統等級保護安全設計技術(shù)要求

      GB/T 50052-2009 供配電系統設計規范

      GB/T 50174-2008 電子信息系統機房設計規范

      HJ 511-2009 環(huán)境信息化標準指南

3 術(shù)語(yǔ)和定義

      GB/T 5271.8-2001 第八部分 安全 中確立的術(shù)語(yǔ)和定義，以及下列術(shù)語(yǔ)和定義適用于本標準。

3.1 信息系統 information system

      用于采集、處理、存儲、傳輸、分發(fā)和部署信息的整個(gè)基礎設施、組織結構、人員和組件的總和。

3.2 信息系統安全 information system security

      使用合理安全措施保護信息系統中的信息在存儲、處理或傳輸等過(guò)程中不會(huì )被未授權用戶(hù)訪(fǎng)問(wèn)，并保障授權用戶(hù)能夠正常使用系統。

3.3 機密性 confidentiality

      數據所具有的特性，表示數據所達到的未提供或未泄露給未授權的個(gè)人、過(guò)程或其它實(shí)體的程度。

3.4 完整性 integrity

      保證信息及信息系統不會(huì )被有意地或無(wú)意地更改或破壞的特性。

3.5 可用性 availability

      保證信息和通信服務(wù)能夠按預期投入使用的特性。

3.6 安全域 security domain

      一個(gè)邏輯范圍或區域，在同一安全區域中的各信息單元具有相同或相近的安全等級或安全防護需求，安全服務(wù)的管理員定義和實(shí)施統一的安全策略。它是從安全策略的角度劃分的區域。

3.7 威脅 threat

      來(lái)自于信息系統外部的，能夠通過(guò)未授權訪(fǎng)問(wèn)、毀壞、泄露、數據修改和/或拒絕服務(wù)對信息系統造成潛在危害的任何環(huán)境或事件。

3.8 風(fēng)險 risk

      表現為一種可能性，由威脅發(fā)生的可能性、威脅所能導致的不利影響以及影響的嚴重程度共同決定。

4 保護對象

      環(huán)境信息系統安全保護的對象包括國家環(huán)境保護業(yè)務(wù)專(zhuān)網(wǎng)范圍內的信息網(wǎng)絡(luò )、業(yè)務(wù)系統、環(huán)境信息及其物理環(huán)境、支撐性基礎設施與安全設備設施等。

4.1 環(huán)境信息網(wǎng)絡(luò )

      環(huán)境信息系統安全保護的網(wǎng)絡(luò )對象是國家環(huán)境保護業(yè)務(wù)專(zhuān)網(wǎng)范圍內的各個(gè)信息網(wǎng)絡(luò )，國家環(huán)境保護業(yè)務(wù)專(zhuān)網(wǎng)包括國家、省、地市、縣四級，網(wǎng)絡(luò )結構如圖 1 所示。

 ??

圖 1 環(huán)境保護業(yè)務(wù)專(zhuān)網(wǎng)網(wǎng)絡(luò )結構示意圖

4.2 環(huán)境信息應用系統

      環(huán)境信息系統安全保護的業(yè)務(wù)對象是環(huán)境信息系統中運行的各類(lèi)環(huán)境業(yè)務(wù)應用系統，依據HJ511-2 009，環(huán)境信息系統按業(yè)務(wù)應用類(lèi)型可以分為環(huán)境保護核心業(yè)務(wù)應用系統和綜合應用系統兩大類(lèi)，其中：

      a) 環(huán)境保護核心業(yè)務(wù)應用系統包括環(huán)境監測管理、污染監控管理、生態(tài)保護管理、核安全與輻射管理、環(huán)境應急管理信息系統。各系統的作用分別為：

      1) 環(huán)境監測管理信息系統用于實(shí)現對全國環(huán)境質(zhì)量數據（包括環(huán)境空氣、地表水、地下水、聲環(huán)境、近岸海域、酸雨、沙塵暴等數據）的管理，并覆蓋生態(tài)監測、污染源監測等業(yè)務(wù)；

      2) 污染監控管理信息系統覆蓋污染控制管理、環(huán)境監察管理以及環(huán)境影響評價(jià)和環(huán)境統計等業(yè)務(wù)；

      3) 生態(tài)保護管理信息系統覆蓋區域生態(tài)環(huán)境管理、農村環(huán)境保護管理、生物多樣性保護等業(yè)務(wù)；

      4) 核安全與輻射管理信息系統覆蓋核設施與材料監督管理、放射源監督管理、輻射環(huán)境監測管理；

      5) 環(huán)境應急管理信息系統覆蓋環(huán)境應急指揮調度、環(huán)境應急監測管理、環(huán)境應急決策支持、環(huán)境應急現場(chǎng)處置管理、環(huán)境突發(fā)事件后評估等業(yè)務(wù)。

      b) 環(huán)境保護綜合應用系統包括各類(lèi)行政辦公管理信息系統、環(huán)境保護政府網(wǎng)站、環(huán)境科技管理信息系統、環(huán)境政策法規管理信息系統、環(huán)境財務(wù)與資產(chǎn)管理信息系統和環(huán)境外事管理信息系統等綜合性的、為核心業(yè)務(wù)應用系統提供支持與服務(wù)的應用系統。

4.3 環(huán)境信息

      環(huán)境信息系統安全保護的信息對象是環(huán)境信息系統中的各類(lèi)業(yè)務(wù)與辦公信息，其中信息類(lèi)型分為公開(kāi)信息和部門(mén)信息兩類(lèi)，根據不同類(lèi)別的信息應采取不同的保護措施，其中：

      公開(kāi)信息是在互聯(lián)網(wǎng)上可以向公眾完全開(kāi)放的環(huán)境信息，對公開(kāi)信息的保護應保證信息的完整性和可用性。

      部門(mén)信息只限于各級環(huán)境保護部門(mén)人員訪(fǎng)問(wèn)，主要包括不宜公開(kāi)的工作信息、政府的商業(yè)秘密、個(gè)人隱私等。部門(mén)信息分為部門(mén)公開(kāi)信息和部門(mén)受控信息兩種，部門(mén)公開(kāi)信息允許所有各級環(huán)境保護部門(mén)人員訪(fǎng)問(wèn)，部門(mén)受控信需要經(jīng)授權允許的各級環(huán)境保護部門(mén)人員才能訪(fǎng)問(wèn)。

5 安全目標

      環(huán)境信息系統安全目標是保持環(huán)境信息系統的持續可用和可靠，為國家環(huán)境保護工作正常運行提供有力的支撐，保護環(huán)境保護信息系統中的信息網(wǎng)絡(luò )、業(yè)務(wù)系統、環(huán)境信息及其物理環(huán)境、支撐性基礎設施與安全設備設施等，防止來(lái)自?xún)?、外部的非法攻擊與損壞。

      環(huán)境信息系統安全建設應符合國家的信息安全規范的相關(guān)要求，遵照國家等級保護的相關(guān)規定，參考國際上的安全標準，并且以風(fēng)險防范為核心加強環(huán)境信息安全保護建設。環(huán)境信息系統中有關(guān)安全保密問(wèn)題應遵守國家保密相關(guān)規定。

6 安全總體架構

      環(huán)境信息系統安全保障體系在風(fēng)險評估的基礎上，通過(guò)安全管理體系、安全技術(shù)體系的建設實(shí)現不同等級保護對象、不同安全域的安全保護。環(huán)境信息系統安全保障體系見(jiàn)圖 2。

更多標準內容點(diǎn)擊以下鏈接獲取標準全文:

下載地址:《HJ 729-2014 環(huán)境信息系統安全技術(shù)規范》