ICS 65.020.40 LY B65 中华人民共和国林业行业标准 LY/T2170—2013 林业信息系统安全评估准则 Security evaluation criterion of forestry information system 2013-10-17发布 2014-01-01实施 国家林业局 发布 LY/T2170—2013 目 次 前 言 引 I 1 范围 2 规范性引用文件 3 术语和定义 林业信息系统安全等级保护 4.1 林业信息系统安全保护等级 4.2 不同等级的安全保护能力 4.3 基本安全要求 4.4 基本技术要求的三种类型 5第一级基本要求及应对措施 .. 5.1 技术要求及应对措施 5.1,1 物理安全 5.1.2 网络安全 5.1.3 主机安全 5.1.4 应用安全 5.1.5 数据安全及备份恢复 5.2 管理要求及应对措施 5.2.1 安全管理制度 . 5.2.2 安全管理机构 5.2.3 人员安全管理 5.2.4 系统建设管理 5.2.5 系统运维管理 第二级基本要求及应对措施 6 6.1 技术要求及应对措施 6.1.1 物理安全 6.1.2 网络安全 6.1.3 主机安全 12 6.1.4 应用安全 13 6.1.5 数据安全及备份恢复 6.2 管理要求及应对措施· 6.2.1 安全管理制度 6.2.2 安全管理机构… 6.2.3 人员安全管理 6.2.4 系统建设管理 16 6.2.5 系统运维管理 18 第三级基本要求及应对措施 21 LY/T2170—2013 7.1 技术要求及应对措施 21 7.1.1 物理安全 21 7.1.2 网络安全 .·23 7.1.3 主机安全 .25 7.1.4 应用安全 27 7.1.5 数据安全及备份恢复 .29 7.2管理要求及应对措施... 29 7.2.1 安全管理制度 29 7.2.2 安全管理机构 7.2.3 人员安全管理 31 7,2.4 系统建设管理 32 7.2.5 系统运维管理 ：34 8第四级基本要求及应对措施· 8.1技术要求及应对措施 38 8.1.1 物理安全 38 网络安全 8.1.2 40 8.1.3 主机安全 42 8.1,4 应用安全 44 8.1.5 数据安全及备份恢复 46 8.2管理要求及应对措施 8.2.1 安全管理制度 8.2.2 安全管理机构 48 . 8.2.3 人员安全管理 .49 8.2.4 系统建设管理. 8.2.5 系统运维管理. 第五级基本要求. 56 附录A（规范性附录） 关于林业信息系统整体安全保护能力的要求 附录B(规范性附录） 林业重要信息系统安全要求的选择和使用 58 参考文献 59 II LY/T2170—2013 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准由全国林业信息数据标准化技术委员会（SAC/TC386）提出并归口。 本标准起草单位：国家林业局信息中心、中科信息安全共性技术国家工程研究中心有限公司。 本标准主要起草人：杨新民、乌日根、李淑芳、温战强、白莹、张洋、裴少亮、薛征宇。 LY/T2170—2013 引言 本标准依据国家信息安全等级保护管理规定制定。林业具有信息化程度高、业务持续性要求高、对 信息系统的容量和处理能力要求高的特点。本标准从林业实际情况出发，对《信息安全技术信息系统 安全等级保护基本要求》(GB/T22239—2008)的有关要求进行了明确、细化和调整，提出和规定了林业 不同等级信息系统的安全要求，并针对不同等级的安全要求提出了技术和管理方面的应对措施，适用于 指导林业按照等级保护要求进行安全建设、测评和监督管理。 本标准文字中，明确、细化和调整的内容以楷体字表示。 V