标准规范下载简介
Q/GDW 1597-2015 国家电网公司应用软件系统通用安全要求.pdfICS 29.240
O/GDW 国家电网公司企业标准
Q/GDW1597—2015 代替Q/GDW5972011
DB5227/T 25-2010 农村沼气发酵技术规程国家电网公司应用软件系统通用安全要习
Commonsecurityrequirementforapplicationsoftwaresystemof StateGridCorporationofChina
前言.. 范围. 2 规范性引用文件 术语和定义 概述... 通用安全技术要求 5.1基本型安全技术要求 5.2增强型安全技术要求 6通用安全保障要求 编制说明...
为规范国家电网公司应用软件系统的安全性,实现信息安全与软件系统同步规划、同步建设、同步 运行,结合当前国内外信息安全形势及国家电网公司对应用软件系统提出的安全要求,对Q/GDW 97一2011《国家电网公司应用软件通用安全要求》进行修订形成本标准。 本标准代替Q/GDW597一2011,与Q/GDW597一2011相比,主要技术性差异如下: 增加了第4章“概述”; 增加了第6章“通用安全保障要求”; 在“基本型安全技术要求”和“增强型安全技术要求”中分别增加了关于会话管理、安全漏洞 和外部接口的要求。 删除了原标准第4章“适用对象”; 删除了原标准第5章“应用软件系统安全目标”: 删除了原标准第6章“通用安全管理要求”; 删除了原标准第8章“附则”; 删除了“通用安全技术要求”中关于与基础环境的交互和安全实施的内容: 一删除了“基本型安全技术要求”中关于资源控制、备份和恢复的内容: 删除了“增强型安全技术要求”中关于备份和恢复的内容: 修改了“范围”; 修改了“术语和定义”; 一对“通用安全技术要求”中各条款的描述进行了修改和细化。 本标准由国家电网公司信息通信部提出并解释。 本标准由国家电网公司科技部归口。 本标准起草单位:中国电力科学研究院、国网湖北省电力公司。 本标准主要起草人:陈艳红、刘楠、李凌、严敏辉、单松玲、罗宾、刘莹、宋小芹、黄杰、赵莹、 陈文秀、王杰、方晓文、郭旭、邱意民、张、毛澍、黄伟、张盈、陈刚、吕苏、李文静、张志伟、李 扯岐、徐亮、范永、刘强、欧阳利剑、仓甜。 本标准2011年5月首次发布,2015年11月第一次修订。 本标准在执行过程中的意见或建议反馈至国家电网公司科技部
为规范国家电网公司应用软件系统的安全性,实现信息安全与软件系统同步规划、同步建设、同步 运行,结合当前国内外信息安全形势及国家电网公司对应用软件系统提出的安全要求,对Q/GDW 597一2011《国家电网公司应用软件通用安全要求》进行修订形成本标准。 本标准代替Q/GDW597一2011,与Q/GDW597一2011相比,主要技术性差异如下: 增加了第4章“概述”; 增加了第6章“通用安全保障要求”; 在“基本型安全技术要求”和“增强型安全技术要求”中分别增加了关于会话管理、安全漏洞 和外部接口的要求。 一删除了原标准第4章“适用对象”; 删除了原标准第5章“应用软件系统安全目标”; 删除了原标准第6章“通用安全管理要求”; 删除了原标准第8章“附则”; 删除了“通用安全技术要求”中关于与基础环境的交互和安全实施的内容: 一删除了“基本型安全技术要求”中关于资源控制、备份和恢复的内容; 删除了“增强型安全技术要求”中关于备份和恢复的内容: 修改了“范围”; 修改了“术语和定义”; 一对“通用安全技术要求”中各条款的描述进行了修改和细化。 本标准由国家电网公司信息通信部提出并解释。 本标准由国家电网公司科技部归口。 本标准起草单位:中国电力科学研究院、国网湖北省电力公司。 本标准主要起草人:陈艳红、刘楠、李凌、严敏辉、单松玲、罗宾、刘莹、宋小芹、黄杰、赵莹、 陈文秀、王杰、方晓文、郭旭、邱意民、张、毛澍、黄伟、张盈、陈刚、吕苏、李文静、张志伟、李 让岐、徐亮、范永、刘强、欧阳利剑、仓甜。 本标准2011年5月首次发布,2015年11月第一次修订。 本标准在执行过程中的意见或建议反馈至国家电网公司科技部
网公司应用软件系统通用安全要求
本标准规定了国家电网公司应用软件系统投运前需要满足的安全技术要求和安全保障要求 本标准适用于国家电网公司管理信息大区的应用软件系统
本标准定义了应用软件系统投运前应实现的安全技术要求和安全保障要求的集合。在实际应用中 应基于应用软件系统的运行环境、主要威胁、安全等级和业务功能特性等因素确定要求子集GB 51359-2019-T:石油化工厂际管道工程技术标准(无水印,带书签),并对选 的依据进行明确说明
5.1基本型安全技术要求
a 应用软件系统应提供专用的或采用统一的登录控制模块对用户进行身份标识和鉴别,鉴别过程 应在服务端完成; b 应用软件系统应提供用户身份标识唯一性检查功能,保证系统中不存在重复标识的用户; 应用软件系统不应内置匿名账号,应按实名制原则创建账号,保证账号具有可追溯性; d) 应用软件系统应根据用户账号使用周期分为长期使用账号和临时使用账号; 应用软件系统应根据用户账号使用状态分为激活账号、休眠账号和已注销账号: f 应用软件系统应仅允许授权的管理员配置账号扫描策略,依据策略定期自动扫描账号,并对3 个月及以上未使用的账号进行锁定或将其转为休眠账号:
Q/GDW15972015
a)应用软件系统应提供专用的或采用统一的权限管理模块实现访问控制功能,并依据安全策略控 制用户对客体的访问权限; b 应用软件系统应仅允许授权的管理员配置访问控制策略,并根据访问控制策略限制用户对客体 的访问权限: C) 应用软件系统应仅充许未授权用户具有最低级别的权限,如修改自身信息的权限和有限的查询 权限; d) 应用软件系统应设置独立的系统管理员角色、审计管理员角色、业务配置员角色,其中系统管 理员角色、审计管理员角色应为系统内置角色; e) 应用软件系统应保证系统管理员角色仅具有用户管理、角色管理、权限管理、配置定制等系统 管理权限; f 应用软件系统应保证审计管理员角色仅具有监控其他各类用户的操作轨迹及对审计数据进行 管理、监视和运行维护的权限; 应用软件系统应保证业务配置员角色仅具有系统组织架构管理及对各类参数、主数据、功能项 等基础配置的权限; h 应用软件系统应设置独立的业务操作员角色,该类角色为系统的最终业务用户,不具有任何管 理权限; i) 在有互斥业务要求的情况下,应用软件系统应保证有互斥业务的权限不能授予同一个业务用 户; j) 应用软件系统可设置业务管理员角色和业务审计员角色,其中,业务管理员仅能对业务类用户 的权限进行管理,业务审计员仅能够监控业务类用户的操作轨迹及对业务日志进行管理、监视 和运行维护操作; k)应用软件系统应保证不同角色间权限互斥,且不能将不同的角色授予同一用户
a) 应用软件系统应提供专用的或采用统一的权限管理模块实现访问控制功能,并依据安全策略控 制用户对客体的访问权限: 6 应用软件系统应仅充许授权的管理员配置访问控制策略,并根据访问控制策略限制用户对客体 的访问权限: C) 应用软件系统应仅充许未授权用户具有最低级别的权限TB/T 3290-2013标准下载,如修改自身信息的权限和有限的查询 权限; 应用软件系统应设置独立的系统管理员角色、审计管理员角色、业务配置员角色,其中系统管 理员角色、审计管理员角色应为系统内置角色; e) 应用软件系统应保证系统管理员角色仅具有用户管理、角色管理、权限管理、配置定制等系统 管理权限; f) 应用软件系统应保证审计管理员角色仅具有监控其他各类用户的操作轨迹及对审计数据进行 管理、监视和运行维护的权限; 8 应用软件系统应保证业务配置员角色仅具有系统组织架构管理及对各类参数、主数据、功能项 等基础配置的权限; h 应用软件系统应设置独立的业务操作员角色,该类角色为系统的最终业务用户,不具有任何管 理权限; 在有互斥业务要求的情况下,应用软件系统应保证有互斥业务的权限不能授予同一个业务用 户; j) 应用软件系统可设置业务管理员角色和业务审计员角色,其中,业务管理员仅能对业务类用户 的权限进行管理,业务审计员仅能够监控业务类用户的操作轨迹及对业务日志进行管理、监视 和运行维护操作: k)应用软件系统应保证不同角色间权限互斥,且不能将不同的角色授予同一用户
1)应用软件系统应根据访问时间、访问客户端地址等条件对用户登录进行访问控制