智慧城市数据安全标准(样例).pdf

“智慧城市”
数 据 安 全 标 准
2
范围
本标准规定了城市数据中心的数据安全制度、数据完整性要求、
数据保密如下：
1）所有者（业务部门）：拥有数据的所有权；拥有对数据的处
置权利；
2）管理者（新区大数据管理部门）:管理大数据中心的相关数
据资产；负责数据的日常维护和管理；
3）访问者（用户）：在授权的范围内访问所需数据；确保访问
对象的机密性、完整性、可用性等。
数据完整性要求
数据完整性应符合以下要求：
21）确保所采取的数据管理和技术措施以及覆盖范围的完整
性；
2）应能够检测到网络设备操作系统、主机操作系统、数据库
管理系统和应用系统的系统管理数据、重要业务数据在传输
过程中完整性受到破坏，并在检测到完整性错误时采取必要
的恢复措施；
3）具备完整的用户访问、处理、删除数据信息的操作记录能
力，以备审计；
4）在传输数据时，经过不安全网络的（例如 INTERNET
网），需要对传输的数据信息提供完整性校验；
5）应具备完善的权限管理策略，支持权限最小化原则、合理
授权。
数据保密性要求
密码安全
密码的使用应该遵循以下原则：
1）不应将密码写下来或通过电子邮件传输；
2）不应使用缺省设置的密码；
3）不应将密码告知无关人员；
4）如果系统的密码泄漏了，应立即更改；
5）密码要以加密形式保存，加密算法强度要高，加密算法应不
可逆；
26）系统应强制指定密码的策略，包括密码的最短有效期、最长
有效期、最短长度、复杂性等；
7）在要求较高的情况下可以使用强度更高的认证机制；
8）应定时运行密码检查器检查口令强度，对于保存机密数据的
系统应每周检查一次口令强度。
密钥安全
密钥管理对于有效使用密码技术至关重要。密钥的丢失和泄露
可能会损害数据的保密性、重要性和完整性。因此，应采取加密技
术等措施来有效保护密钥，以免密钥被非法修改和破坏；还应对生
成、存储和归档保存密钥的设备采取物理保护。此外，必须使用经
过新区大数据管理部门批准的加密机制进行密钥分发，并记录密钥
的分发过程，以便审计跟踪，统一对密钥、证书进行管理。
密钥的管理应基于以下流程：
密钥产生：为不同的密码系统和不同的应用生成密钥；
密钥证书：生成并获取密钥证书；
密钥分发