TCPUMT017-2023智慧營(yíng)區(qū)安全要求

ICS35.020

CCSL70

團(tuán)體標(biāo)準(zhǔn)

T/CPUMT017—2023

智慧營(yíng)區(qū)安全要求

Smartcamp—Requirementsforsecurity

學(xué)兔兔標(biāo)準(zhǔn)下載

2023-12-20發(fā)布2023-12-20實(shí)施

中國(guó)和平利用軍工技術(shù)協(xié)會(huì)發(fā)布

T/CPUMT017—2023

目次

前言.................................................................................II

引言................................................................................III

1范圍...............................................................................1

2規(guī)范性引用文件.....................................................................1

3術(shù)語和定義.........................................................................1

4概述...............................................................................1

5安全保密架構(gòu).......................................................................1

6系統(tǒng)獨(dú)立運(yùn)行安全...................................................................2

6.1基本要求.......................................................................2

6.2物理（電磁）安全...............................................................2

6.3物聯(lián)感知安全...................................................................2

6.4網(wǎng)絡(luò)安全.......................................................................3

6.5系統(tǒng)（主機(jī)）安全...............................................................3

6.6數(shù)據(jù)安全.......................................................................3

6.7應(yīng)用安全.......................................................................4

6.8用戶（終端）安全...............................................................4

6.9安全保密管理...................................................................4

7網(wǎng)絡(luò)集成使用安全...................................................................4

8防護(hù)等級(jí)調(diào)整.......................................................................4

圖1智慧營(yíng)區(qū)系列團(tuán)體標(biāo)準(zhǔn)邏輯關(guān)系...................................................III

圖2智慧營(yíng)區(qū)信息系統(tǒng)安全保密架構(gòu).....................................................2

學(xué)兔兔標(biāo)準(zhǔn)下載

I

T/CPUMT017—2023

引言

智慧營(yíng)區(qū)覆蓋范圍廣泛，包括物理、信息、認(rèn)知等各類空間環(huán)境。本系列文件從信息空間入手，先

行對(duì)其中涉及的基于行政與安全管理活動(dòng)的智慧營(yíng)區(qū)信息系統(tǒng)建設(shè)提出規(guī)范性要求,旨在推動(dòng)營(yíng)區(qū)管理

模式創(chuàng)新，進(jìn)一步提升管理效率和服務(wù)水平。

本系列文件是綜合機(jī)關(guān)、部隊(duì)、院校、科研院(所)、醫(yī)院(療養(yǎng)院)、后方倉庫營(yíng)區(qū)和機(jī)場(chǎng)、港口，

以及干休所等營(yíng)區(qū)的通用性需求制定的基本型標(biāo)準(zhǔn)。由總體框架、建設(shè)要求、應(yīng)用要求、數(shù)據(jù)處理服務(wù)

要求、安全要求、運(yùn)維管理要求和評(píng)價(jià)指南7份文件組成，是智慧營(yíng)區(qū)信息系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、應(yīng)

用的基本遵循。智慧營(yíng)區(qū)系列團(tuán)體標(biāo)準(zhǔn)邏輯關(guān)系見圖1。

評(píng)

價(jià)

指評(píng)價(jià)內(nèi)容評(píng)價(jià)類型評(píng)價(jià)指標(biāo)評(píng)價(jià)方法評(píng)價(jià)手段評(píng)價(jià)實(shí)施

南

應(yīng)

用

要應(yīng)用架構(gòu)應(yīng)用功能操作使用部署應(yīng)用

求

建

設(shè)建設(shè)內(nèi)容竣工驗(yàn)收

要功能架構(gòu)

求

數(shù)據(jù)處理服務(wù)要求安全要求運(yùn)維管理要求

數(shù)據(jù)服務(wù)數(shù)據(jù)處理平數(shù)據(jù)采集系統(tǒng)獨(dú)立運(yùn)行運(yùn)維管運(yùn)維管理運(yùn)維支持

數(shù)據(jù)存儲(chǔ)安全保密架構(gòu)運(yùn)維管運(yùn)維管理

架構(gòu)臺(tái)功能架構(gòu)處理安全理架構(gòu)對(duì)象數(shù)據(jù)

標(biāo)準(zhǔn)規(guī)范與網(wǎng)絡(luò)集成使用運(yùn)維業(yè)運(yùn)維管…

數(shù)據(jù)管理數(shù)據(jù)應(yīng)用數(shù)據(jù)共享防護(hù)等級(jí)調(diào)整

性能指標(biāo)安全務(wù)系統(tǒng)理實(shí)施......

總

體目標(biāo)與原則總體架構(gòu)功能架構(gòu)總體要求

框

架

圖1智慧營(yíng)區(qū)系列團(tuán)體標(biāo)準(zhǔn)邏輯關(guān)系

——T/CPUMT013—2023《智慧營(yíng)區(qū)總體框架》，確立了智慧營(yíng)區(qū)信息系統(tǒng)建設(shè)目標(biāo)與原則，給

出了智慧營(yíng)區(qū)信息系統(tǒng)總體架構(gòu)和功能架構(gòu)，規(guī)定了智慧營(yíng)區(qū)信息系統(tǒng)的總體要求，在系列標(biāo)

準(zhǔn)中起引領(lǐng)性作用，為智慧營(yíng)區(qū)信息系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、應(yīng)用、安全、運(yùn)維、評(píng)價(jià)提供宏

學(xué)兔兔觀指導(dǎo)。標(biāo)準(zhǔn)下載

——T/CPUMT014—2023《智慧營(yíng)區(qū)建設(shè)要求》，給出了智慧營(yíng)區(qū)信息系統(tǒng)建設(shè)的功能架構(gòu)，規(guī)

定了建設(shè)內(nèi)容、竣工驗(yàn)收等要求。旨在解決智慧營(yíng)區(qū)信息系統(tǒng)“建什么、怎么建”的問題。

——T/CPUMT015—2023《智慧營(yíng)區(qū)應(yīng)用要求》，給出了智慧營(yíng)區(qū)信息系統(tǒng)的應(yīng)用架構(gòu)，規(guī)定了

智慧營(yíng)區(qū)信息系統(tǒng)的應(yīng)用功能、操作使用、部署應(yīng)用等要求。旨在解決智慧營(yíng)區(qū)信息系統(tǒng)“用

什么、怎么用”的問題。

III

T/CPUMT017—2023

——T/CPUMT016—2023《智慧營(yíng)區(qū)數(shù)據(jù)處理服務(wù)要求》，給出了智慧營(yíng)區(qū)信息系統(tǒng)數(shù)據(jù)服務(wù)架

構(gòu)和數(shù)據(jù)處理平臺(tái)功能架構(gòu)，規(guī)定了基礎(chǔ)設(shè)施、數(shù)據(jù)采集處理、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)管理、數(shù)據(jù)應(yīng)

用、數(shù)據(jù)共享、標(biāo)準(zhǔn)規(guī)范和性能指標(biāo)等要求。旨在解決營(yíng)區(qū)信息系統(tǒng)數(shù)據(jù)“采集處理、應(yīng)用共

享”的問題。

——T/CPUMT017—2023《智慧營(yíng)區(qū)安全要求》，給出了智慧營(yíng)區(qū)信息系統(tǒng)安全保密架構(gòu)，規(guī)定

了智慧營(yíng)區(qū)信息系統(tǒng)獨(dú)立運(yùn)行安全、網(wǎng)絡(luò)集成使用安全、防護(hù)等級(jí)調(diào)整等要求。旨在解決智慧

營(yíng)區(qū)信息系統(tǒng)“防什么、怎么防”的問題。

——T/CPUMT018—2023《智慧營(yíng)區(qū)運(yùn)維管理要求》，給出了智慧營(yíng)區(qū)信息系統(tǒng)的運(yùn)維管理架構(gòu)，

規(guī)定了智慧營(yíng)區(qū)信息系統(tǒng)的運(yùn)維管理對(duì)象、運(yùn)維數(shù)據(jù)支持、運(yùn)維業(yè)務(wù)系統(tǒng)、運(yùn)維管理實(shí)施等要

求。旨在解決智慧營(yíng)區(qū)信息系統(tǒng)“管什么、怎么管”的問題。

——T/CPUMT019—2023《智慧營(yíng)區(qū)評(píng)價(jià)指南》，給出了智慧營(yíng)區(qū)信息系統(tǒng)評(píng)價(jià)內(nèi)容、評(píng)價(jià)類型、

評(píng)價(jià)指標(biāo)、評(píng)價(jià)方法、評(píng)價(jià)手段和評(píng)價(jià)實(shí)施等指南。旨在解決智慧營(yíng)區(qū)信息系統(tǒng)“評(píng)什么、怎

么評(píng)”的問題。

以上7份文件相互聯(lián)系、相互支撐、各有側(cè)重，從不同專業(yè)領(lǐng)域共同規(guī)范智慧營(yíng)區(qū)信息系統(tǒng)規(guī)劃、

設(shè)計(jì)、建設(shè)、應(yīng)用、安全、運(yùn)維、評(píng)價(jià)等工作。

學(xué)兔兔標(biāo)準(zhǔn)下載

IV

T/CPUMT017—2023

智慧營(yíng)區(qū)安全要求

1范圍

本文件給出了智慧營(yíng)區(qū)信息系統(tǒng)安全保密架構(gòu)，規(guī)定了智慧營(yíng)區(qū)信息系統(tǒng)獨(dú)立運(yùn)行安全、網(wǎng)絡(luò)集成

使用安全、防護(hù)等級(jí)調(diào)整等要求。

本文件適用于智慧營(yíng)區(qū)信息系統(tǒng)安全保密規(guī)劃設(shè)計(jì)、建設(shè)應(yīng)用、以及系統(tǒng)全生命周期安全保密管理。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T34942信息安全技術(shù)云計(jì)算服務(wù)安全能力評(píng)估方法

T/CPUMT013—2023智慧營(yíng)區(qū)總體框架

T/CPUMT016—2023智慧營(yíng)區(qū)數(shù)據(jù)處理服務(wù)要求

3術(shù)語和定義

GB/T22239、GB/T34942和T/CPUMT013—2023界定的以及下列術(shù)語和定義適用于本文件。

3.1

物理隔離physicalisolation

被隔離網(wǎng)絡(luò)與網(wǎng)絡(luò)，網(wǎng)絡(luò)和設(shè)備之間沒有有線或無線實(shí)體連接，雙方數(shù)據(jù)導(dǎo)入導(dǎo)出不存在任何事前

協(xié)商交換的邏輯關(guān)系。

3.2

邏輯隔離logicisolation

被隔離雙方之間的數(shù)據(jù)交換在保證有線或無線連接的情況下，通過事先協(xié)商的邏輯關(guān)系，僅被要求

的信息可以傳輸。

4概述

通過“人防、技防、物防”手段的綜合運(yùn)用，以及與智慧營(yíng)區(qū)信息系統(tǒng)安全管理分系統(tǒng)建設(shè)運(yùn)行,

實(shí)現(xiàn)對(duì)網(wǎng)內(nèi)安全防護(hù)資源的統(tǒng)一管理調(diào)度、安全策略的統(tǒng)一制發(fā)、安全態(tài)勢(shì)的統(tǒng)一掌控和異常情況的實(shí)

時(shí)告警、安全問題的聯(lián)動(dòng)處置、違規(guī)行為的審計(jì)追溯，確保系統(tǒng)穩(wěn)定、可靠、安全運(yùn)行。

5安全保密架構(gòu)

智慧營(yíng)區(qū)信息系統(tǒng)安全保密等級(jí)按軍隊(duì)有關(guān)規(guī)定確定。安全保密架構(gòu)包括物理（電磁）安全、物聯(lián)

感知安全、網(wǎng)絡(luò)安全、系統(tǒng)（主機(jī)）安全、數(shù)據(jù)安全、應(yīng)用安全、用戶（終端）安全、安全保密管理8

學(xué)兔兔個(gè)方面。安全保密架構(gòu)見圖2。標(biāo)準(zhǔn)下載

1

T/CPUMT017—2023

用戶（終端）安全

安全保密

管理

應(yīng)用安全

安全管理

數(shù)據(jù)安全

系統(tǒng)（主機(jī)）安全

保密管理

網(wǎng)絡(luò)安全

物聯(lián)感知安全

應(yīng)用監(jiān)管

物理（電磁）安全

圖2智慧營(yíng)區(qū)信息系統(tǒng)安全保密架構(gòu)

6系統(tǒng)獨(dú)立運(yùn)行安全

6.1基本要求

智慧營(yíng)區(qū)信息系統(tǒng)與其他網(wǎng)絡(luò)不發(fā)生物理連接的，應(yīng)從物理（電磁）安全、物聯(lián)感知安全、網(wǎng)絡(luò)安

全、系統(tǒng)（主機(jī)）安全、數(shù)據(jù)安全、應(yīng)用安全、用戶（終端）安全、安全保密管理8個(gè)方面規(guī)劃設(shè)計(jì)，

同步制定智慧營(yíng)區(qū)信息系統(tǒng)安全保密總體方案。

6.2物理（電磁）安全

6.2.1數(shù)據(jù)、監(jiān)控中心機(jī)房環(huán)境

具有溫、濕度控制和防塵、防靜電、防水浸、防火患、防雷電，以及穩(wěn)定電力供應(yīng)、人員出入管控

等措施。

6.2.2設(shè)備選用

服務(wù)器、存儲(chǔ)器、終端、交換機(jī)、路由器等應(yīng)選用軍隊(duì)計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備集中采購目錄產(chǎn)品；安全

網(wǎng)關(guān)、防火墻、入侵防御等安全防護(hù)產(chǎn)品應(yīng)取得軍用信息安全產(chǎn)品認(rèn)證證書。

6.2.3電磁安全

數(shù)據(jù)、監(jiān)控中心和配置系統(tǒng)管理終端的辦公場(chǎng)所應(yīng)按作用范圍配置相應(yīng)數(shù)量的防輻射干擾裝置。

6.3物聯(lián)感知安全

6.3.1設(shè)備選用

視頻監(jiān)控、周界防護(hù)、電子巡邏、卡口識(shí)讀等感知設(shè)備宜選用國(guó)產(chǎn)品牌，防火墻、入侵防御系統(tǒng)、

網(wǎng)關(guān)等安全防護(hù)產(chǎn)品學(xué)兔兔應(yīng)取得軍用信息安全產(chǎn)品認(rèn)證證書。標(biāo)準(zhǔn)下載

6.3.2設(shè)備部署

視頻監(jiān)控?cái)z像機(jī)、周界防護(hù)、電子巡邏、卡口識(shí)讀等感知設(shè)備，宜部署在能夠滿足供電，及防盜竊、

防破壞、防水浸、防潮濕、防阻檔、防干擾等要求的位置，并按要求做好防雷接地保護(hù)。

6.3.3設(shè)備接入

2

T/CPUMT017—2023

感知設(shè)備在接入網(wǎng)絡(luò)中應(yīng)具有唯一的網(wǎng)絡(luò)身份標(biāo)識(shí)，且能向接入網(wǎng)絡(luò)證明其網(wǎng)絡(luò)身份。

6.3.4通信傳輸

感知設(shè)備應(yīng)啟用通信完整性校驗(yàn)機(jī)制，具有通信延時(shí)和中斷的處置機(jī)制；無線電通信應(yīng)按國(guó)家和軍

隊(duì)規(guī)定頻段使用，并具有防干擾能力。

6.3.5端口配置

禁用網(wǎng)絡(luò)設(shè)備空閑端口，感知終端的無線網(wǎng)卡、藍(lán)牙等冗余通信模塊。

6.3.6訪問控制

訪問控制應(yīng)符合下列要求：

a)感知接入設(shè)備應(yīng)設(shè)置嚴(yán)格的訪問控制規(guī)則；

b)刪除多余或無效訪問控制規(guī)則，優(yōu)化訪問控制列表。

6.3.7威脅監(jiān)控

應(yīng)在感知層、傳輸層、應(yīng)用層等交換節(jié)點(diǎn)采取非法入侵、違規(guī)外聯(lián)監(jiān)控措施，對(duì)惡意通信與代碼實(shí)

現(xiàn)深度包檢測(cè)。

6.3.8數(shù)據(jù)存儲(chǔ)

物聯(lián)感知數(shù)據(jù)應(yīng)按數(shù)據(jù)分類進(jìn)行存儲(chǔ)，可參考T/CPUMT016—2023附錄A。

6.3.9安全管理

具備入網(wǎng)設(shè)備類型、數(shù)量監(jiān)控統(tǒng)計(jì)、網(wǎng)上傳輸消息、指令等異常發(fā)現(xiàn)、鑒別、報(bào)警等功能。

6.4網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全應(yīng)符合下列要求：

a)智慧營(yíng)區(qū)信息系統(tǒng)（營(yíng)區(qū)內(nèi)部網(wǎng)）與營(yíng)區(qū)接入網(wǎng)（營(yíng)區(qū)通用辦公網(wǎng)、業(yè)務(wù)應(yīng)用網(wǎng)、政務(wù)網(wǎng)、

互聯(lián)網(wǎng)等）物理隔離，相關(guān)數(shù)據(jù)交換通過光盤實(shí)現(xiàn)，該光盤應(yīng)及時(shí)銷毀不應(yīng)重復(fù)使用；

b)智慧營(yíng)區(qū)信息系統(tǒng)應(yīng)具有網(wǎng)絡(luò)訪問控制、入侵檢測(cè)，安全審計(jì)以及網(wǎng)絡(luò)化病毒查殺等功能；

c)禁用網(wǎng)絡(luò)、終端空閑端口，交換機(jī)端口與用戶計(jì)算機(jī)媒體訪問控制（MAC）地址綁定，關(guān)閉

系統(tǒng)提供的暫不需要的服務(wù)和默認(rèn)共享；

d)云計(jì)算系統(tǒng)的管理層、資源層和應(yīng)用層之間，以及不同虛擬資源集群之間應(yīng)邏輯隔離，禁止

虛擬機(jī)通過網(wǎng)絡(luò)訪問宿主機(jī)資源。

6.5系統(tǒng)（主機(jī)）安全

系統(tǒng)（主機(jī)）安全應(yīng)符合下列要求：

a)云主機(jī)、服務(wù)器、虛擬機(jī)應(yīng)安裝并及時(shí)更新主機(jī)一體化安全防御軟件、網(wǎng)絡(luò)版防病毒軟件，

物理機(jī)、虛擬機(jī)操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等基礎(chǔ)軟件應(yīng)有完備的售后技術(shù)支持與服務(wù)；

b)服務(wù)器、終端應(yīng)安裝主機(jī)安全管理類軟件，使用口令密碼、電子鑰匙登錄，禁用外聯(lián)設(shè)備端

口，監(jiān)控外設(shè)使用、網(wǎng)絡(luò)訪問、文件操作等行為；

c)數(shù)據(jù)庫訪問操作及數(shù)據(jù)導(dǎo)入、導(dǎo)出和共享應(yīng)按最小化知悉原則進(jìn)行，且有身份認(rèn)證、授權(quán)控

制、監(jiān)控統(tǒng)計(jì)、日志審計(jì)等措施；

d)建立基礎(chǔ)、應(yīng)用軟件黑白名單制度，嚴(yán)控違規(guī)安裝或接入使用。

學(xué)兔兔6.6數(shù)據(jù)安全標(biāo)準(zhǔn)下載

數(shù)據(jù)安全應(yīng)符合下列要求：

a)具備數(shù)據(jù)備份與恢復(fù)能力；

b)具備虛擬機(jī)遷移過程的數(shù)據(jù)完整性保護(hù)能力；

c)具備虛擬機(jī)與計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等物理資源之間的綁定或限定能力；

3

T/CPUMT017—2023

d)系統(tǒng)數(shù)據(jù)應(yīng)分類存儲(chǔ)，且具有與系統(tǒng)密級(jí)相適應(yīng)的加密措施和授權(quán)訪問控制機(jī)制；

e)數(shù)據(jù)推送應(yīng)有安全監(jiān)測(cè)、隱私保護(hù)等安全措施；

f)數(shù)據(jù)共享應(yīng)具備共享策略設(shè)置等功能，同時(shí)采取身份認(rèn)證、授權(quán)控制、日志審計(jì)、監(jiān)控統(tǒng)計(jì)

等安全措施；

g)具備數(shù)據(jù)定期歸檔及無效數(shù)據(jù)刪除等功能。

6.7應(yīng)用安全

應(yīng)用安全應(yīng)符合下列要求：

a)基礎(chǔ)軟件應(yīng)安裝并及時(shí)更新補(bǔ)丁程序，應(yīng)用系統(tǒng)更新升級(jí)包應(yīng)經(jīng)過安全性測(cè)試；

b)云平臺(tái)管理員、云服務(wù)方僅在各自權(quán)限范圍內(nèi)收集審計(jì)數(shù)據(jù)；

c)虛擬機(jī)作為服務(wù)提供