ICS 33. 040 M 10 DB61 陕 長西 省地 電方标准 —2020 DB 61/T 1350—2020 1350- DB 61/T 体育赛事信息化建设技术规范 网络与信息安全 Technical specification for informatization in sports games- Network and information security 地方标准信息服务平台 2020 -09-15发布 2020-10-15实施 陕西省市场监督管理局 发布 DB61/T 1350—2020 目 次 前言 范围.. 2规范性引用文件. 3术语和定义. 4赛前安全要求.. 5赛时安全要求 6 赛后安全要求. 地方标准 DB61/T 1350—2020 前言 本标准按照GB/T1.1—2009给出的规则起草。 本标准由陕西省工业和信息化厅提出并归口。 本标准起草单位：西安邮电大学、陕西省信息化工程研究院、陕西省大数据集团有限公司、陕西艾 特智慧信息技术有限公司、西安东升科技有限公司、陕西山利信息科技有限公司。 本标准主要起草人：朱志祥、张勇、潘正泰、吴晨、黄仕富、罗伟锋、姚映东、张军科、张宁、魏 鹏飞。 本标准由陕西省信息技术标准化技术委员会负责解释。 本标准首次发布。 联系信息如下： 单位：陕西省信息技术标准化技术委员会 电话：029-87303602 地址：陕西省信息化中心14层 邮编：710075 地方标准 II DB61/T1350—2020 体育赛事信息化建设技术规范网络与信息安全 1范围 本标准规定了了体育赛事信息系统的赛前、赛时和赛后的网络与信息安全要求。 本标准适用于体育赛事信息系统的网络与信息安全设计、实施、评测、服务、验收等方面。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T222402020信息安全技术网络安全等级保护定级指南 GB/T22239—2019信息安全技术网络安全等级保护基本要求 GB/T250702019信息安全技术网络安全等级保护安全设计技术要求 GB/T36323—2018信息安全技术工业控制系统安全管理基本要求 GB/T50326—2017建设工程项目管理规范 DB61/T1346体育赛事信息化建设技术规范总则 3术语和定义 DB61/T1346界定的术语和定义适用于本文件。 4美 赛前安全要求 4.1咨询与设计 4.1.2体育赛事组织管理部门应委托专业的第三方安全服务机构负责体育赛事网络与信息安全咨询与 设计工作。 4.1.3安全服务机构应对体育赛事所涉及的场馆进行摸底排查，结合体育赛事的特点、规模、影响范 围进行风险识别与分析，并根据GB/T22240一2020确定体育赛事信息系统的信息安全等级保护级别， 并根据GB/T250702019和GB/T222392019等相关标准制定设计文件。 4.1.4应组织体育赛事管理、公安、网信等相关部门和安全技术专家对设计文件的合理性和正确性进 行论证和审定。 4.1.5应在体育赛事信息系统需求分析时同步进行系统安全性需求分析，并在体育赛事信息系统设计 时同步进行系统安全性设计。 4.2采购与外包安全 4.2.2应在采购前对产品进行选型测试，确定产品的候选范围，并将候选目录下发到相关部门。 1 DB61/T 1350—2020 4.2.3体育赛事信息化产品的采购应选用集中采购模式，以便于统一品牌或统一服务。 4.2.4应依据安全可靠的原则采购信息化产品。 4.2.5体育赛事信息系统运行所需要的各种软件必须是来源可靠的正版软件。 4.3安全实施 4.3.1网络与信息安全实施应与体育赛事信息系统建设工作同步进行，建设实施过程应遵循GB/T 50326-2017的规定。 4.3.2安全实施单位应制定详细的建设实施方案与工程实施管理制度，对建设实施过程进行管理控制。 4.3.3体育赛事组织管理部门应委托第三方工程监理对体育赛事网络与信息安全实施过程进行监督。 4.3.4体育赛事信息系统开发商应确保开发过程的安全，并按照安全需求设计文件开发相应的安全功 能模块。 4.3.5体育赛事信息系统上线前应委托第三方安全服务机构进行安全性检测工作，通过后才能上线试 运行。 4.4资产管理 4.4.1应建立体育赛事信息资产安全管理制度，明确体育赛事资产的分类和分级方法，以及不同类别 和不同级别资产的管理措施，规范资产的变更管理流程和要求。 4.4.2应对体育赛事信息化所涉及的资产进行采集，包括软硬件设备及信息系统等，建立详细的资产 清单，包括资产责任部门、重要程度和所处位置等内容。 4.4.3应对体育赛事信息资产的变更建立变更流程和审批责任制，重要资产的变更应提交变更方案并 通过相关专家评审后方可实施变更。 4.4.4应通过有效手段对体育赛事信息化资产进行监控，及时掌握资产变动信息。 4.4.5体育赛事开赛前一周应对信息化资产进行冻结，不再进行任何形式的资产变更。 4.5专项安全防护 4.5.1控制系统安全 标准 行规范。 4.5.1.2应加强工控系统和公共网络的连接管理，断开所有不必要的连接；确实需要的连接应加强登 记管理，并采取必要的安全防护措施加以防护。 4.5.1.3体育赛事工控系统组网时应同步规划、同步建设、同步运行安全防护措施。 4.5.1.4体育赛事工控系统应采用有线方式组网，确实需要无线组网的应采取严格的身份认证、安全 监测等防护措施进行安全防护。 4.5.1.5体育赛事工控系统远程管理时应采取虚拟专用网、数据加密等措施确保通信安全。 4.5.1.6应加强体育赛事工控系统的配置管理，包括账号管理、口令管理、端口管理、服务管理等。 4.5.2传感器安全 4.5.2.1应为传感器的物联网访问建立身份验证机制，可通过基于角色的访问控制和审计来实施身份 验证策略。 4.5.2.2应对通过物联网传输的传感器的关键数据进行加密处理，确保未被入侵和篡改。 2