标准规范下载简介：

内容预览由机器从pdf转换为word，准确率92%以上，供参考

DLT1527-2016 用电信息安全防护技术规范

物理访问控制应满足如下要求： a 机房各出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员。 b）进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。 C） 应对机房划分区域进行管理，区域和区域之间应用物理方式隔断，在重要区域前设置或安装过 渡区域。 d 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。 e） 应对用电信息系统各类设备予以正确的维护，确保其持续的可用性和完整性。

7.1.3防盗窃和防破坏

防盗窃和防破坏应满足如下要求： a）应将主要设备放置在机房内。 b）应将设备或主要部件进行固定SY/T 6597-2014 油气管道内检测技术规范，并设置明显的不易除去的标记。 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。 d），应对介质分类标识，存储在介质库或档案室中。 e）应利用光、电等技术设置机房防盗报警系统。

应对机房设置监控报警系统。 g 应加强智能电能表等量测设备的防破坏措施，避免用户私自打开或配置量测设备，影响量 据的可用性。

防雷击应满足如下要求： a）机房建筑应设置避雷装置。 b）应设置防雷保安器，防止感应雷。 C 机房应设置交流电源地线。 d）对安装在室外的量测设备或安装外置天线的设备应考虑防雷措施，避免雷击造成设备的损坏

防火应满足如下要求： a）机房应设置火灾自动消防系统，能够自动检测火情、自动报警、自动灭火。 b）机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。 c）机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。

防水和防潮应满足如下要求： a）主机房尽量避开水源，与主机房无关的给排水管道不得穿过主机房，与主机房相关的给排水管 道必须有可靠的防渗漏措施。 b）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 c）应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 d）应安装敏感的检测仪表或元件，对机房进行防水检测和报警

防静电应满足如下要求： a）主要设备采用必要的接地防静电措施 b）机房应采用防静电地板

7.1.8 温、湿度控制

温、湿度控制应满足如下要求： 机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

电力供应应满足如下要求： 应在机房供电线路上配置稳压器和过电压防护设备。 b）应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求。 c）设置穴余或并行的电力电缆线路为计算机系统供电，输入电源应采用双路自动切换供电方式 d）应建立备用供电系统。

电磁防护应满足如下要求！

a）电源线和通信线缆应隔离铺设，避免互相干扰。 b）应采用接地方式防止外界电磁干扰和设备寄生耦合干扰。 c）应对关键设备和磁介质实施电磁屏蔽。

访问控制应满足如下要求： a）应在网络边界部署访问控制设备，启用访问控制功能。 b）访问控制设备应能根据会话状态信息为数据流提供明确的允许或拒绝访问的能力，控制粒度为 端口级。 C 应按用户和系统之间的访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为 单个用户。以拨号或VPN等方式接入网络的，应采用强认证方式，并对用户访问权限进行严 格限制。 d 拨号访问服务及服务器均应使用经安全加固的达到国家三级等级保护要求的操作系统，客户端 应使用经安全加固的操作系统，并采取加密、数字证书认证和访问控制等安全防护措施。 e） 应限制具有拨号、VPN等访问权限的用户数量。 f) 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FETP、TELNET、SMTP、POP3等

协议命令级的控制。 g 应在会话处于非活跃一定时间或会话结束后终止网络连接 h）在互联网出口和核心网络接口处应限制网络最大流量数及网络连接数 i 重要网段应采取技术手段防止地址欺骗。

7.2.4边界完整性检查

边界完整性检查应满足如下要求： a）应能够对非授权设备私自连到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断。 b 应能够对内部网络用户私自连到外部网络的行为进行检查，准确定出位置，并对其进行有效 阻断。

7.2.6恶意代码防范

恶意代码防范应满足如下要求： a）应在网络边界处对恶意代码进行检测和清除。 b）应维护恶意代码库的升级和检测系统的更新。

代码防范应满足如下要求： 应在网络边界处对恶意代码进行检测和清除。 应维护恶意代码库的升级和检测系统的更新。

7.2.7网络设备防护

网络设备防护应满足如下要求： a）应对登录网络设备的用户进行身份鉴别。 6） 应对网络设备的管理员登录地址进行限制。 C 网络设备标识应唯一，同一网络设备的用户标识应唯一，禁止多个人员共用一个账号。 d）身份鉴别信息应不易被冒用，口令复杂度应满足要求并定期更换，应修改默认用户和口令，不 得使用默认口令。口令长度不得小于8位，要求是字母和数字或特殊字符的混合，不得与用户 名相同。口令应定期更换，并加密存储。 e）主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别。 f 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退 出等措施， g）当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听

DL/T15272016 h） 应实现设备特权用户的权限分离，系统不支持的应部署日志服务器保证管理员的操作能够被审 计，并且网络特权用户管理员无权对审计记录进行操作。 1 应封闭不需要的网络端口，关闭不需要的网络服务。如需使用SNMP服务，应采用安全性增强 版本，并应设定复杂的Community控制字段，不使用Public、Private等默认字段。

身份鉴别应满足如下要求： a） 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。 6 操作系统和数据库系统的管理用户身份鉴别信息应不易被冒用，口令复杂度应满足要求并定期 更换，口令长度不得小于8位，且为字母、数字或特殊字符的混合组合，用户名和口令禁止 相同。 ） 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施，限制同 用户连续失败登录次数。 d 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。 f 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。

访问控制应满足如下要求： · 应启用访问控制功能，依据安全策略控制用户对资源的访问。 应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。 应实现操作系统和数据库系统特权用户的权限分离。 应限制默认账户的访问权限，并要求用户首次登录时重命名系统默认账户，修改这些账户的默 认口令。 应定期对账户进行管理，及时删除多余的、过期的账户，避免共享账户的存在。 应对重要信息资源设置敏感标记，系统不支持设置敏感标记的，应采用专用安全设备生成敏感 标记，用以支持强制访问控制机制。 应依据安全策略严格控制用户对有敏感标记的重要信息资源的操作。

g）应保护审计进程，避免受到未预期的中断

7.3.4剩余信息保护

DL/T15272016

剩余信息保护应满足如下要求： a）应保证操作系统和数据库系统用户的鉴别信息所在的存储空间被释放或再分配给其他用户前 得到完全清除，无论这些信息是存放在硬盘上还是内存中。 b 应确保系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户 前得到完全清除。

7.3.6恶意代码防范

恶意代码防范应满足如下要求： a）应在本机安装防恶意代码软件或独立部署恶意代码防护设备，并及时更新防恶意代码软件版本 和恶意代码库。 b）应支持防恶意代码的统一管理。 C）主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。

资源控制应满足如下要求： 应通过设定终端接入方式、网络地址范围等条件限制终端登录。 b） 应根据安全策略设置登录终端的操作超时锁定。 应根据需要限制单个用户对系统资源的最大或最小使用限度。 d） 应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况。 e 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。 应关闭或拆除主机的软盘驱动、光盘驱动、USB接口、串行口等，确需保留的必须通过安全管 理平台实施严格管理。 应采取措施控制桌面终端对移动硬盘、优盘等移动介质的使用，禁止桌面终端与手机、相机等 外部设备连接

DL/T1527—2016

身份鉴别应满足如下要求： a） 应提供专用的登录控制模块对登录用户进行身份标识和鉴别。 6 应用系统用户身份鉴别信息应不易被冒用，口令复杂度应满足要求并定期更换，应提供用户身 份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，用户在第 一次登录系统时修改分发的初始口令，口令长度不得小于8位，且为字母、数字或特殊字符的 混合组合，用户名和口令禁止相同，应用软件不得明文存储口令数据。 C 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。 d 应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理 功能，并根据安全策略配置相关参数。 在与用户互动建立连接时，应鉴别用户身份，防止信息泄露。

访问控制应满足如下要求： a）应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问。 b） 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作。 C 应由授权主体配置访问控制策略，并严格限制默认账户的访问权限。 应授予不同账户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。 e 应对权限的赋予、变更、撤销制定严格的审核、批准、操作流程，权限变动经相关人员审核批 准后方可执行或生效。 应依据权限最小化原则对用户赋予适当的权限，执行角色分离，禁止多人共用账号，并定期进 行权限复核。 名 仅对必要的用户赋予远程互动接入权限，对于接入用户的权限应进行严格限制，由相关负责人 授权后方可开通，并依据其业务访问需求制定访问控制策略。 h）应依据安全策略严格控制用户对有敏感标记的重要信息资源的操作

7.4.4剩余信息保护

剩余信息保护应满足如下要求： a）应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论这些 息是存放在硬盘上还是在内存中。 b）应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他目

通信完整性应满足如下要求： a）应采用数字签名技术保证通信的完整性。 b）系统应能够检测到管理数据、认证信息和重要业务数据在传输过程中的完整性是否受到破坏。 C）系统在检测到完整性错误时应能采取必要的恢复措施

通信保密性应满足如下要求： a）在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证。 应采用认证、加密等技术措施实现数据的远方安全传输以及纵向边界的安全防护，包含以下几 点要求： 1）应在用电信息系统主站侧配置国家密码管理局认可的密码机设备，实现数据的加密和解 密，密码机设备必须集成有对称密码算法和非对称密码算法； 2） 应在智能采集终端中采用国家密码管理局认可的硬件安全模块实现数据的加密和解密，智 能采集终端的硬件安全模块应采用同时集成有国家密码管理局认可的对称密码算法和非 对称密码算法的安全模块： 3 应在智能电能表中采用国家密码管理局认可的硬件安全模块以实现数据的加密和解密，智 能电能表采用的硬件安全模块内部应至少集成有国家密码管理局认可的对称密码算法。 C 经网络传输的用户名、口令等认证信息应杜绝明文传输。

抗抵赖应满足如下要求： a）应具有日志记录并结合身份认证技术在请求的情况下为数据原发者或接收者提供数据原发证 据的功能。 b） 应具有日志记录并结合身份认证技术在请求的情况下为数据原发者或接收者提供数据接收证 据的功能。

软件容错应满足如下要求： a）应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或 合系统设定要求。 b）应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。

资源控制应满足如下要求： a） 当应用系统的通信双方中的一方在一段时间内未作响应时，另一方应能够自动结束会话。 6） 应能够对系统的最大并发会话连接数进行限制。 C） 应能够对单个账户的多重并发会话进行限制。 d） 应能够对一个时间段内可能的并发会话连接数进行限制。 应能够对一个访问账户或一个请求进程占用的资源分配最大限额和最小限额。 f 应能够对系统服务水平降低到预先规定的最小值进行检测和报警。

数据完整性应满足如下要求： a）、应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中的完整性是否受到破坏， 并在检测到完整性错误时采取必要的恢复措施。 b 应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中的完整性是否受到破坏， 并在检测到完整性错误时采取必要的恢复措施，

数据保密性应满足如下要求： a）应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输的保密性。 b）.应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据存储的保密性。 所有应用安全设备（密码机和安全模块）应完全受控，由专门机构管理、制作和发放，并采用 经过国家密码管理局批准的加密方式、密码算法和密钥管理技术来增强安全保障。 1 应用层应采用对称密码算法与非对称密码算法相结合的混合密码系统，对称密码算法可选用国 密SM1或SM4算法，非对称密码算法可选用SM2算法。

数据备份与恢复应满足如下要求： a）应提供数据本地备份与恢复功能，对重要信息进行备份，数据备份至少每天一次，已有数据备 份可完全恢复至备份执行时状态，并对备份可恢复性进行定期演练，备份介质需要场外存放。 b）应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地。 c）应提供主要网络设备、通信线路和数据处理系统的硬件穴余，保证系统的高可用性。

管理制度应满足如下要求： a）应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安 全框架等。 b）应对安全管理活动中的各类管理内容建立安全管理制度。 c）应对要求管理人员或操作人员执行的日常管理操作建立操作规程。 d）应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。

制定和发布应满足如下要求： a）应指定或授权专门的部门或人员负责安全管理制度的制定。 b） 安全管理制度应具有统一的格式，并进行版本控制。 应组织相关人员对制定的安全管理制度进行论证和审定。 d 安全管理制度应通过正式、有效的方式发布。 e 安全管理制度应注明发布范围，并对收发文进行登记

人员配备应满足如下要求：

a）应配备一定数量的系统管理员、网络管理员、安全管理员等。 b）·每个电力企业应配备专职安全管理员，不可兼任。 c）关键事务岗位应配备多人共同管理。

资金保障应满足如下要求： a）应保障落实信息系统安全建设、运维、监督检查和等级保护测评的资金。 b）系统建设资金筹措方案和年度系统维护经费应包括信息安全保障资金项且

授权和审批应满足如下要求： a）应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。 b）应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审 批过程，对重要活动建立逐级审批制度。 应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息。 d）应针对关键活动建立审批流程，由批准人签字确认，并存档备查

审核和检查应满足如下要求： a）安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。 b）应由内部人员或上级单位定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、 安全配置与安全策略的一致性、安全管理制度的执行情况等。 C） 应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结 果进行通报。 d）应制定安全审核和安全检查制度规范，定期按照程序进行安全审核和安全检查活动。

人员录用应满足如下要求： ）应指定或授权专门的部门或人员负责人员录用。 b）应严格规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查，对其所 有的技术技能进行考核。

DL/T15272016

c）应与安全管理员、系统管理员、网络管理员等关键岗位的人员签署保密协议。 d）应与安全管理员、系统管理员、网络管理员等关键岗位的人员签署岗位安全协议

人员离岗应满足如下要求： a）应严格规范人员离岗过程，及时收回离岗员工的所有访问权限。 b）应收回各种身份证件、钥匙、徽章等，以及机构提供的软件、硬件设备。 只有在收回访问权限和各种证件、设备等之后方可办理调离手续，关键岗位人员离岗须承诺调 离后的保密义务后方可离开

人员考核应满足如下要求： a）应定期对各个岗位的人员进行安全技能及安全认知的考核。 D 应对安全管理员、系统管理员、网络管理员、信息安全主管或专责等关键岗位的人员进行全面 严格的安全审查和技能考核。 c）应对考核结果进行记录并保存。

A.3.4安全意识教育和培训

安全意识教育和培训应满足如下要求： a）应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。 b） 应对安全责任和惩戒措施进行书面规定并告知相关人员，对违反违背安全策略和规定的人员进 行惩戒。 C 应按照行业信息安全要求，对定期安全教育和培训进行书面规定，针对不同岗位制定不同的培 训计划，对信息安全基础知识、岗位操作规程等的培训应至少每年举办一次。 d） 应对安全教育和培训的情况和结果进行记录并归档保存。

A.3.5外部人员访问管理

外部人员访问管理应满足如下要求： ）应确保在外部人员访问受控区域前先提出书面申请，批准后由专人全程陪同或监督，并登 ）对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定，并按照规定

A.4系统安全建设管理

A.4.2 安全方案设讯

安全方案设计应满足如下要求：

DL/T15272016

a）应根据系统的安全防护目标选择基本安全措施，并依据风险分析的结果补充和调整安全措施。 b）应指定和授权专门的部门对信息系统的安全建设进行总体规划，制订近期和远期的安全建设工 作计划。 C 应根据信息系统的安全子域划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、 安全管理策略、总体建设规划和详细设计方案，并形成配套文件。 d 应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建 设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定，并且经过批准后， 才能正式实施， e） 应根据等级测评、安全评估的结果每年定期调整和修订总体安全策略、安全技术框架、安全管 理策略、总体建设规划、详细设计方案等相关配套文件。

A.4.3产品采购和使用

产品采购和使用应满足如下要求： a）应确保安全产品采购和使用符合国家的有关规定。 b）应确保密码产品采购和使用符合国家密码主管部门的要求。 c）应指定或授权专门的部门负责产品的采购。 d）应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单。 e）电力系统专用信息安全产品应经行业主管部门指定的安全机构测评方可采购使用。

QYYF 0001S-2014 云南雍福天下品牌投资管理有限公司 辣木叶茶（含茶制品）A.4.4自行软件开发

自行软件开发应满足如下要求： a）应确保开发环境与实际运行环境物理分开，开发人员和测试人员分离，测试数据和测试结果受 到控制。 b）应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则。 c）应制定代码编写安全规范，要求开发人员参照规范编写代码。 d）应确保提供软件设计的相关文档和使用指南，并由专人负责保管。 e）应确保对程序资源库的修改、更新、发布进行授权和批准。

A.4.5外包软件开发

外包软件开发应满足如下要求： a）应根据开发要求检测软件质量。 b）应在软件安装之前检测软件包中可能存在的恶意代码。 c）应要求开发单位提供软件设计的相关文档和使用指南。 d）外包开发的软件应在本单位存有源代码备份，并已通过软件后门等安全性检测

工程实施应满足要求： a）应指定或授权专门的部门或人员负责工程实施过程的管理。 b）应制定详细的工程实施方案控制实施过程，并要求工程实施单位能正式地执行安全工程过程 c）应制定工程实施方面的管理制度，明确说明实施过程的控制方法和人员行为准则。

测试与验收应满足如下要求

NB/T 34015-2013 生物质炊事大灶通用技术条件DL/T 15272016

a 应委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告。 在测试验收前应根据设计方案或合同要求等制定测试验收方案，在测试验收过程中应详细记录 测试验收结果，并形成测试验收报告。 应对系统测试验收的控制方法和人员行为准则进行书面规定。 d）应指定或授权专门的部门负责系统测试验收的管理，并按照管理规定的要求完成系统测试验收 工作。 e） 应组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认。

系统交付应满足如下要求： 应制定详细的系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点。 应对负责系统运行维护的技术人员每年进行相应的技能培训，对安全教育和培训的情况和结果 进行记录并归档保存。 c）应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档。 d）应对系统交付的控制方法和人员行为准则进行书面规定。 e）应指定或授权专门的部门负责系统交付的管理工作，并按照管理规定的要求完成系统交付工作，