ICS 35.040 CCS L 80 34 安徽省地方 标准 DB34/T 4452—2023 智慧社区网络安全建设要求 Construction specification for smart community of cyber security 2023 - 07 - 31发布 2023 - 08 - 31实施 安徽省市场监督管理局 发布 DB34/T 4452—2023 I 前言 本文件按照GB/T 1.1—2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由安徽省公安厅提出并归口。 本文件起草单位：合肥市公安局、合肥天帷信息安全技术有限公司。 本文件主要起草人： 冯响林、夏海军、 唐珂、杨波、王亮、汪正文、 袁宁、方雪峰、王亭亭、 郝雪 元、刘创、朱其泰、胡兴元、 武建双、刘洋、刘军、王跃宏、李从鸣、孙伟旗、姚国龙、刘玉华、刘菖、 宋超、王雅莉、 张戈、余俊、闫亚坤、王璞、方俊、朱兆鹏、 葛传武、 尹瑞瑞、吴强、王晨、陆昊、胡 清峰、朱杨梅、曹禺。 DB34/T 4452—2023 1 智慧社区网络安全建设要求 1 范围 本文件确立了智慧社区网络安全建设 的基本要求， 规定了网络 基础设施、数据资源、应用平台的 网 络安全建设要求 。 本文件适用于智慧社区网络安全建设 。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 22240 信息安全技术 网络安全等级保护定级指南 GB/T 35273 信息安全技术 个人信息安全规范 GB/T 39786 信息安全技术 信息系统密码应用基本要求 3 术语和定义 下列术语和定义适用于本文件。 3.1 智慧社区 smart community 利用物联网、云计算、大数据、人工智能等新一代信息技术，融合社区场景下的人、事、地、物、 情、组织等多种数据资源，提供面向政府、物业、居民和企业的社区管理与服务类应用，提升社区管理与服务的科学化、智能化、精细化水平，实现共建、共治、共享管理模式的一种社区。 [来源：DB34/T 3820 —2021，3.1] 3.2 应用平台 application platform 支撑智慧社区业务运行和功能实现的所有应用软件及其运行的软件环境的集合。 4 基本要求 应制定网络安全建设的总体方针和目标，明确网络安全建设的主要任务和原则。 4.1 应建立健全网络安全相关管理制度，加强技术支撑手段建设。 4.2 应建立网络安全事件通报处置机制。 4.3 应依据 GB/T 22240 确定智慧社区网络 安全保护等级。 4.4 应依据 GB/T 22239 、GB/T 39786 制定网络安全 建设和设计 方案。 4.5 应明确网络安全建设的责任主体 ，建立网络安全组织 机构，明确网络安全责任人。 4.6 DB34/T 4452—2023 2 应针对不同岗位，制定不同的专业培训计划，包括 安全知识 、安全技术、安全标准、安全要求、 4.7 法律责任和业务控制措施等。 应建立风险管理机制 ，在建设过程中 开展风险评估， 分析安全风险、选择安全措施 。 4.8 应制定测试和 接收标准，在接收前进行 测试，并对建设过程的 规范性文档进行验收 。 4.9 5 网络基础设施 分类 5.1 根据网络基础设施应用场景分为网络通信设施（如光纤、电缆、路由器、交换机等 ）、计算存储设 施（如数据中心、计算节点等）、感知终端设施（如传感器、安防监控、智能机器人等）、用户终端设 施（如专用计算机、移动通讯设备等）。 网络通信设施 5.2 5.2.1 应建设符合安全要求的 通信线缆、网络设备 。 5.2.2 应明确网络架构具体组网方式，光纤应部署至指定位置，提供稳定的带宽需求 。 5.2.3 应单独进行无线网络组网，并在网络边界处部署安全网关。 计算存储设施 5.3 5.3.1 应满足 GB/T 22239 相应等级的安全要求 。 5.3.2 应具备备份恢复能力。 感知终端设施 5.4 5.4.1 感知终端箱体应具备必要的防雷、防水、防潮、防尘等功能。 5.4.2 应具备一定的防物理拆卸措施，且设置有明显的不易去除的唯一性标识 。 5.4.3 应能够限制与设备通信的目标地址。 5.4.4 应提供设备认证 功能，保证只有授权的设备可以接入 。 5.4.5 应限制移动存储介质的使用，并对各类智能终端的外设接口进行限制或移除。 用户终端设施 5.5 5.5.1 应具备用户身份鉴别、认证功能 。 5.5.2 采用人脸识别等生物特征进行身份鉴别的公用终端 ，用户数据访问 按照最小化 授权原则进行管 理。 6 数据资源 分类 6.1 根据数据资源生存周期，将数据资源分为收集阶段数据资源、存储阶段数据资源、使用阶段数据资 源、传输阶段数据资源、提供阶段数据资源、销毁阶段数据资源。 收集阶段 6.2 6.2.1 应建立数据分类分级管理制度。 6.2.2 应明确数据资产所有者以及最终责任人。 DB34/T 4452—2023 3 6.2.3 应建立数据资源目录，根据数据分类和管理策略对数据进行分级保护。 6.2.4 个人信息数据应经授权后方能采集 。 存储阶段 6.3 6.3.1 应采用多种数据备份方式，关键数据资源存储应采用国家密码主管部门推荐的加密算法进行加 密。 6.3.2 应当采取技术措施和其他必要措施，确保其收集的个人信息安全。 使用阶段 6.4 6.4.1 应采取措施对重要数据资源处理进行访问控制、安全审计等。 6.4.2 应采用一定的技术手段 （如敏感字段屏蔽等方式） ， 实现对智慧社区敏感数据资源的数据脱敏 。 6.4.3 应按规定开展转换、汇聚、分析等数据加工活动 。 6.4.4 应采用适当的安全保护措施，确保所公布数据的完整性。 传输阶段 6.5 6.5.1 应采取适当措施 ，保证数据传输的 完整性和保密性。 6.5.2 应按规定 保证跨网络、跨部门、跨行业、跨系统数据交互时的数据安全。 提供阶段 6.6 6.6.1 对于数据跨境提供使用的，应遵循国家相关规定和相关标准的要求 。 6.6.2 应按规定向他人提供数据 ，并取得 个人信息主体同意 。 6.6.3 委托第三方开展数据处理活动的，应 对数据处理活动进行监督。 销毁阶段 6.7 6.7.1 应根据安全保护等级 建立数据销毁方法、 技术和管控措施 。 6.7.2 应对销毁过程进行 记录并归档。 7 应用平台 应满足 GB/T 22239 相应等级的安全要求 。 7.1 涉及个人信息的，应 满足 GB/T 35273 的安全要求，确保个人信息安全 。 7.2 应采取必要措施保障应用平台全生命周期的供应链安全。 7.3 应建设安全的应用数据 传输通道 。 7.4 应按规定进行安全测试 及漏洞修复 。 7.5 应采取适当的备份恢复措施。 7.6