ICS03.100.01 A02 中华人民共和国国家标准 GB/T26318—2010 物 流网络信息系统风险与防范 Logisticsnetworkinformationsystemsriskandprevention 2011-01-14发布 2011-05-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 物流网络信息系统技术原则和风险分类 2 ……………………………………………………………… 5 物流基础数据风险与防范措施 8 ………………………………………………………………………… 6 实体风险与防范措施 10 …………………………………………………………………………………… 7 硬件风险与防范措施 12 …………………………………………………………………………………… 8 软件风险与防范措施 14 …………………………………………………………………………………… 9 管理风险与防范措施 20 …………………………………………………………………………………… 参考文献 24 …………………………………………………………………………………………………… ⅠGB/T26318—2010 前 言 本标准按照GB/T1.1—2009给出的规则起草。 本标准由中华人民共和国商务部提出并归口。 本标准起草单位:浙江双马国际货运有限公司、深圳市联合纵横国际货运代理有限公司、新景程国 际物流有限公司、中国国际电子商务有限公司、全国国际货运代理标准化技术委员会、中外运长航集团 有限公司、中国海运(集团)总公司、中国中钢集团公司、锦程物流(集团)公司、北京交通大学、中钢国际 货运有限公司、上海宝霖国际危险品物流有限公司、福建金航国际货运代理有限公司厦门分公司、上海 港虹信息科技有限公司、厦门通程物流有限公司、内蒙古安快物流集团、新时代保险经纪有限公司、新疆 德鲁亚国际物流有限公司、新疆托木尔货运代理有限责任公司。 本标准主要起草人:林忠、王喜富、蒋寒松、胡荣、杨爽、陈峥、冯建萍、杨旭、景洪德、张海峰、陈智勇、 李莉丽。 ⅢGB/T26318—2010 引 言 本标准通过对物流信息资产、面临的威胁、资产存在的脆弱性以及脆弱性被威胁利用后所产生的实 际负面影响等进行识别、分析,从而得到资产、威胁和脆弱性相映射的资产价值、威胁等级和薄弱点等级 等,转化成以提示的形式给出了物流基础数据风险、实体风险、硬件风险、软件风险和管理风险五个方面 的主要风险来源和相应的防范措施,以对付威胁、减少脆弱性、限制意外事件影响,实现以下一种或多种 功能:预防、延迟、阻止、检测、限制、修正、恢复、监控以及意识性提示或强化。 当前,由于我国中、小物流企业占多数,而企业规模、服务水平、人员素质、地域等差异不一,导致企 业在信息化建设和技术运用与其实际的经营规模、业务范围、流程和管理之间发展不平衡,制约了企业 和行业的信息化的发展,加大了企业的运营风险。本标准旨在提高中、小物流企业的物流网络信息风险 防范的能力。 ⅣGB/T26318—2010 物流网络信息系统风险与防范 1 范围 本标准规定了物流网络信息系统的风险评估、安全防范措施和安全管理要求。 本标准适用于我国物流企业对信息系统或物流信息系统公共服务平台进行规范与管理,并可作为 相关机构对物流网络信息系统进行安全评价的依据。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T20984—2007 信息安全技术 信息安全风险评估规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 资产 asset 对组织具有价值的信息或资源,是安全策略保护的对象。 [GB/T20984—2007,定义3.1] 3.2 资产价值 assetvalue 资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。 [GB/T20984—2007,定义3.2] 3.3 威胁 threat 可能导致对系统或组织危害的不希望事故潜在起因。 [GB/T20984—2007,定义3.17] 3.4 薄弱点 vulnerability 资产或资产组中能被威胁利用的弱点。 3.5 风险 risk 特定的威胁利用资产的一种或一组薄弱点,导致资产的损害的潜在的可能性,即特定威胁事件发生 的可能性与后果的结合。 3.6 信息系统的风险 informationsystemrisk 特定的威胁利用信息资产的漏洞或弱点从而造成对资产的一种潜在损害,包括信息资产、威胁和自 身的漏洞或弱点三个组成部分。 注:信息系统风险的严重程度可用资产受损害的程度与威胁发生的概率的乘积来衡量。 1GB/T26318—2010 3.7 物流网络信息系统 logisticsnetworkinformationsystem 以计算机技术和通信技术结合为基础,通过对物流相关信息的收集、加工、处理、存储和传递来达到 对物流活动的有效控制管理,并为企业提供信息分析和决策支持的人机系统。 3.8 风险评估 riskassessment 对信息和信息处理设施的威胁(threat)、影响(impact)和薄弱点(vulnerability)及三者发生的可能 性的评估。 注:风险评估是网络安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞 进行逐项检查(目标可以是工作站、服务器、交换机、数据库应用等各种对象),然后根据扫描结果向系统管理员 提供周密可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。 3.9 风险管理 riskmanagement 以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。风险管理是一个识 别、控制、降低或消除安全风险的活动,通过风险评估来识别风险大小,通过制定信息安全方针,采取适 当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。在风险管 理方面应考虑控制费用与风险之间的平衡。 4 物流网络信息系统技术原则和风险分类 4.1 物流网络信息系统示例 物流网络信息系统是物流实体网络的重要支撑,伴随物流基础设施网络、实体服务网络而相应收 集、加工、处理、存储和传递有关用户需求信息、市场动态、物流服务、企业内部业务处理情况等各类信 息,有效地管理物流服务的各个环节,能够提供诸如结算功能、实时的客户查询功能以及各种接口模块 等,并为企业提供信息分析和决策支持。由于物流基础设施网络、实体服务网络、服务技术、服务范围、 服务层次、服务程度、服务区域等的不同,物流网络信息系统也因此根据不同企业的需求,以有不同层 次、不同程度的应用和不同子系统构成,诸如以下示例中不同功能的系统有着不同的构成。 示例1:跨境、跨区域贸易物流商务协同平台,对贸易物流流程中需要进行交换的数据进行整理、分析和归类,增强 各类数据的继承性,最大程度降低手工数据填写工作,提高信息交换的效率和准确性,并实现与生产方,采购方,物流服 务提供方,承运人、港口、海关、检验检疫等业务平台的数据交互,见图1。 图1 跨境、跨区域贸易物流商务协同平台 2GB/T26318—2010 示例2:综合管理应用平台,为货主、承运人、物流服务提供方提供货物运输的执行、监控、追踪功能,是支持多网点、 多机构、多功能作业的综合管理物流网络信息系统,见图2。 图2 综合管理应用平台 示例3:航线运价平台,从多方面、多角度、多形式地提供起运港、目的港、承运人、航线、箱型/数量、运价整合的物流 网络信息的子系统,见图3。 图3 航线运价平台 3GB/T26318—2010 示例4:单证管理平台,对整个贸易物流环节中所涉及到单证进行综合管理及信息化处理的物流网络信息子系统, 见图4。 图4 单证管理平台 示例5:保险管理平台,涵盖承运人责任保险、物流责任保险、货运代理责任保险、提单责任保险辅以货物运输保险、 财产保险的物流网络信息子系统,见图5。 图5 保险管理平台 4GB/T26318—2010