DB61T-体育赛事信息化建设技术规范-网络与信息安全.docx

ICSP备案号:陕西省地DB/T61方标准DB61TXXXX2019体育赛事信息化建设技术规范网络与信息安全TechnicalspecificationforInformatizationinSportsGamesNetworkandInformationSecurity（送审稿）*.*发布实施陕西省市场监督管理局发布目次目次I前言II1范围32规范性引用文件33术语和定义34赛前安全要求34.1咨询与设计34.2采购与外包安全44.3安全实施44.4资产管理44.5专项安全防护54.6测试与验收54.7赛前准备55赛时安全要求65.1安全值守65.2安全监测65.3安全应急66赛后安全要求7本规范依据GB/T1.1-2009给出的规则起草。本规范由陕西省工业和信息化厅提出并归口。本规范起草单位：西安邮电大学、陕西省信息化工程研究院、陕西省大数据集团有限公司、陕西艾特信息化工程咨询有限责任公司、西安东升科技有限公司、陕西山利信息科技有限公司。本规范主要起草人：朱志祥、张勇、潘正泰、吴晨、黄仕富、罗伟锋、宋文文、姚映东、张军科、张宁。本规范由陕西省工业和信息化厅负责解释释。本规范为首次发布。联系信息：单位：电话：地址：电子邮箱：体育赛事信息化建设技术规范网络与信息安全1范围本规范提出了体育赛事信息系统的网络与信息安全要求与技术规范。本规范适用于指导体育赛事信息系统的网络与信息安全设计、实施、评测、服务、验收等方面。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。DB61TXXXXl体育赛事信息化建设技术规范总则DB61/TXXXX6体育赛事信息化建设技术规范运行维护3术语和定义DB61TXXXXl体育赛事信息化建设技术规范总则中界定的术语和定义适用于本文件。4概述体育赛事网络与信息安全应符合国家等级保护相关要求，按照体育赛事的阶段从赛前、赛时和赛后提出安全要求。赛前安全要求包括咨询与设计、采购与外包安全、安全实施、资产管理、专项安全防护、测试与验收，赛前准备等；赛时安全要求包括安全值守、安全监测和安全应急。5赛前安全要求5. 1咨询与设计体育赛事的咨询与设计安全要求包括：a）体育赛事组织管理部门应指定或授权专门的部门负责体育赛事的网络与信息安全管理工作；b）应委托专业的第三方安全服务机构负责体育赛事网络与信息安全咨询与设计工作；c）应对体育赛事所涉及的场馆进行摸底排查，结合体育赛事的特点、规模、影响范围进行风险识别与分析，并根据分析的结果确定信息安全等级保护级别，在相应等级保护基本要求的基础上制定网络与信息安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划方案和详细设计方案，并形成配套文件；d）应组织体育赛事管理、公安、网信等相关部门和安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划方案和详细设计方案等相关文件的合理性和正确性进行论证和审定，必要时应上报体育赛事主管部门审核；e）体育赛事核心应用系统应部署在竞赛专网中，需要面向公众提供服务的应用系统应部署在赛事互联网中。竞赛专网与赛事互联网应根据安全需求进行物理隔离或者逻辑隔离；并对体育赛事网络的访问控制、安全审计、入侵防范、恶意代码检测等进行合理规划；f）应在规划时对体育赛事信息系统运行所需的带宽和设备的性能进行评估，以保证体育赛事业务高峰期的需要；g）应在体育赛事信息系统需求分析时同步进行系统安全性需求分析，并在体育赛事信息系统规划时同步进行系统安全性规划。5.2 采购与外包安全体育赛事的采购与外包安全要求包括：a）体育赛事组织管理部门应指定或授权专门的部门负责信息化产品的采购管理工作；b）应在采购前对产品进行选型测试，确定产品的候选范围，并将候选目录下发到相关部门；C）体育赛事信息化产品的采购应选用集中采购模式，以便于统一品牌或统一服务；d）应依据安全可靠的原则采购信息化产品，优先选择自主可控产品；e）体育赛事信息系统运行所需要的各种软件必须是来源可靠正版软件，严禁使用测试版和盗版软件；f）外包服务商应由体育赛事组织管理部门统一选择，并应符合国家及行业的相关规定；g）应与外包服务商签订服务合同或协议，明确双方的工作边界、权利以及责任；h）未经体育赛事组织管理部门同意，外包服务商不得将服务工作转包。5.3 安全实施体育赛事的安全实施要求包括：a）网络与信息安全实施应与体育赛事基础设施建设工作同步进行，建设实施过程应遵循GB/T50326-2017建设工程项目管理规范：b）安全实施单位应制定详细的建设实施方案与工程实施管理制度,对建设实施过程进行管理控制；C）体育赛事组织管理部门应委托第三方工程监理对体育赛事网络与信息安全实施过程进行监督；d）应严格按照设计方案实施网络安全建设，主要内容包括访问控制、DDOS防护、安全审计、入侵防范、Web防护、网络病毒防护、漏洞检测等，以确保网络安全方面能够满足相应等级的安全要求；e）应严格按照设计方案实施主机与系统安全防护建设，包括操作系统安全防护、数据库系统安全防护两个方面，具体内容包括身份认证、安全审计、访问控制、入侵防范、恶意代码防范、终端安全防护等，以确保主机与系统安全能够满足相应等级的安全要求；f）体育赛事信息系统开发商应确保开发过程的安全，并严格按照安全需求设计规范开发相应的安全功能模块；g）体育赛事信息系统上线前应委托第三方安全服务机构进行安全扫描、代码审计、渗透测试、专项后门检查等安全性检测工作，信息系统开发商应根据检测结果进行相应的修复完善，复测通过后才能上线试运行，确保信息系统的安全性符合规范。5. 4资产管理体育赛事的资产管理安全要求包括：a）应建立体育赛事信息资产安全管理制度，明确体育赛事资产的分类和分级方法，以及不同类别和不同级别资产的管理措施，规范资产的变更管理流程和要求；b）应对体育赛事信息化所涉及的资产进行采集，包括软硬件设备及信息系统等，建立详细的资产清单，包括资产责任部门、重要程度和所处位置等内容；c）应对体育赛事信息资产的变更建立变更流程和审批责任制，重要资产的变更应提交变更方案并通过相关专家评审后方可实施变更；d）体育赛事开赛前一周应对信息化资产进行冻结，不再进行任何形式的资产变更；e）应通过有效手段对体育赛事信息化资产进行监控，及时掌握资产状态信息，并在资产发生变更时进行告警。5.5 专项安全防护5. 5.1控制系统安全体育赛事的工业控制系统安全要求包括：a）应制定工控安全管理制度，对体育赛事工控系统的安全连接、组网安全、配置管理等进行规范；b）应加强工控系统和公共网络的连接管理，断开所有不必要的连接；确实需要的连接应加强登记管理，并采取必要的安全防护措施加以防护；C）体育赛事工控系统组网时应同步规划、同步建设、同步运行安全防护措施；d）体育赛事工控系统应采用有线方式组网，确实需要无线组网的应采取严格的身份认证、安全监测等防护措施进行安全防护；e）体育赛事工控系统远程管理时应采取虚拟专用网、数据加密等措施确保通信安全；f）应加强体育赛事工控系统的配置管理，包括账号管理、口令管理、端口管理、服务管理等。6. 5.2传感器安全体育赛事的物联传感器安全要求包括：a）应为传感器的物联网访问建立身份验证机制，可通过基于角色的访问控制和审计来实施身份验证策略；b）应对通过物联网传输的传感器的关键数据进行加密处理；c）应对传感器设备进行监控和检查，确保设备未被入侵和篡改。5.6 测试与验收体育赛事的测试与验收安全要求包括：a）体育赛事组织管理部门应指定或授权专门的部门负责系统测试与验收的管理工作；b）测试与验收负责部门应在体育赛事网络与信息系统建设完成后委托第三方测评单位进行安全性评测，并出具安全评测报告；c）第三方测评单位在测试验收前应根据设计方案或合同要求等制订测试验收方案，在测试验收过程中应详细记录测试验收结果，并形成测试验收报告；d）应建立问题跟踪管理机制，对测试过程中发现的问题进行记录，并对问题的解决过程进行跟踪管理，确保测试发现的问题得到及时的修复和加固；e）应组织相关部门和相关人员对系统测试与验收报告进行审定，并签字确认；f）对于直接采购云服务的模式，云服务提供商应提供第三方安全检测报告，以证明其网络与信息安全防护能力是否满足要求。5.7 赛前准备体育赛事的赛前准备安全要求包括：a）受委托安全服务机构应在体育赛事开赛前至少三个月入场实施安全服务；b）应针对赛事安全服务的事务，组织各相关方参与人员进行管理和技术的培训，培训内容包括管理制度、流程、专业技能等；培训完成后应进行相应的考核，并将考核结果记录并保存；c）应针对赛事安全服务的事务处置进行演练，确保流程和技术的可靠性，并根据演练的结果对管理流程和技术操作手册进行修订；d）安全应急预案应通过有效途径向相关人员、角色或部门进行下发，并在体育赛事开赛前至少组织三次应急预案培训和演练，并根据培训和演练的结果对应急预案进行修订，确保应急预案的可执行性；e）体育赛事组织管理部门应加强和省市应急部门、公安、网信、消防等单位的沟通协调，必要时组织多部门联合安全应急演练，为体育赛事赛时期间的安全应急响应提供保障。6赛时安全要求6.1 安全值守体育赛事的安全值守要求包括：a）体育赛事组织管理部门应委托专业的第三方安全服务机构负责体育赛事赛时期间的安全保障服务工作；b）受委托安全服务机构应建立体育赛事期间的安全服务管理体系，包括安全服务管理制度、流程、操作手册等，并组织入场服务人员进行培训和演练，确保安全服务管理体系的有效可靠；c）受委托安全服务机构应对重要网络和信息系统实行7X24小时安全保障服务；d）应建立有效的赛时安全保隙沟通机制，可使用电话、无线对讲、内部即时通信、短信等手段，确保安全保障各相关方沟通的及时性和安全性；e）应建立现场调度指挥中心，针对安全保障过程中的各类事件进行及时的人员、物资等的协调与配备，确保各类事件能够得到及时的解决。6.2 安全监测体育赛事的安全监测要求包括：a）根据体育赛事安全监测预警的需求和相关标准规范的要求，建立并完善体育赛事安全监测预警制度，通过相应的监测技术和工具，能够自主进行安全监测；b）应明确监测对象、监测指标、监测频率，监测对象包括系统运行状态、网络、物理环境、业务应用状态等；c）应能够对体育赛事信息资产的可用性进行监测，包括网络可用性、服务器可用性、数据库可用性、系统可用性等，能够在可用性不满足要求时进行告警；d）应能够对体育赛事通信系统进行监测，包括网络通信、无线通信、卫星通信等，并能够在通信系统出现故障时及时进行告警；e）应能够对提供互联网服务的体育赛事信息系统进行页面和内容的篡改监测，并在发生篡改时及时进行告警；f）应对安全监测数据进行集中管理，利用大数据处理技术进行关联、分析和预测，通过与威胁情报的联动，实现动态安全感知和响应处置；g）应能够对互联网上体育赛事舆情进行监测分析，包括网站、论坛、微信、QQ等相关平台，并能够在监测到舆情热点时进行告警提示，提高舆情处置的效率；h）赛前每月、赛时期间每周对安全监测的情况进行评估总结，向相关负责人报告体育赛事网络与信息系统的安全状态。6.3 安全应急体育赛事的安全应急要求包括：a）应建立赛时安全应急团队，配备足够的技术人员，并建立由各层面专家组成的安全应急专家组,确保能够在安全事件发生时提供足够的技术支持；b）应为核心关键系统配备专门的应急保隙小组，配备专业的技术人员；c）应根据安全事件级别限定安全应急响应和处置的时间要求，确保突发安全事件对体育赛事的影响降到最低；d）应为安全事件应急响应建立沟通汇报机制，明确不同级别安全事件上报的对象和范围；e）安全应急的应急预案、事件分类分级、应急响应流程等相关安全要求参照体育赛事信息化建设要求与技术规范运行维护中应急响应部分。7赛后安全要求体育赛事的赛后安全要求包括：a）体育赛事结束后，应对赛事信息系统数据进行妥善处理，避免敏感数据泄漏造成安全事件；b）体育赛事结束后，受委托安全服务机构应对安全服务期间的安全服务情况进行书面总结，编写安全服务报告，内容至少包括：安全事件数量、事件描述、原因、影响分析和处置方式等相关信息；C）体育赛事组织管理部门应对安全服务报告进行审核分析，吸取经验教训，在下一次体育赛事组织工作中进行改进，提高体育赛事网络与信息安全防护水平；d）体育赛事安全服务报告应提交到体育赛事主管部门进行备案。