TCWEC 38-2023 水利信息系统运维管理软件测评规程

摘要：本文件规定了水利信息系统运维管理软件测评的基本原则、测评内容、测评方法及测评报告要求。本文件适用于水利行业信息系统中运维管理软件的测评工作，其他行业可参照执行。
Title：Code for Operation and Maintenance Management Software Evaluation of Water Conservancy Information System
中国标准分类号：M80
国际标准分类号：35.080

TCWEC 38-2023《水利信息系统运维管理软件测评规程》在原有标准基础上进行了多处更新，其中关于“系统安全测试”的要求变化尤为显著。相较于旧版标准，新版更加强调了对运维管理软件的安全性评估深度与广度。本文将聚焦于“系统安全测试”这一条文，探讨其在实际应用中的具体操作方法。

首先，在新版标准中，“系统安全测试”不仅包括传统的身份认证、访问控制等基础内容，还新增了数据加密传输、日志审计以及漏洞扫描等内容。这意味着运维管理软件需要从多个维度确保系统的安全性，而不仅仅局限于用户登录环节。

以数据加密传输为例，根据TCWEC 38-2023的规定，所有敏感信息在网络上传输时都必须采用至少AES-128位以上的加密算法。在实际应用过程中，企业应首先确认所使用的通信协议是否支持此类高级别的加密方式。如果现有系统不满足要求，则需升级相关组件或更换设备。同时，还需要定期检查加密证书的有效期，并及时更新以防过期导致安全隐患。

此外，对于日志审计部分，新版标准要求记录所有重要的操作事件并保存至少六个月以上。这有助于事后追溯问题来源。在实施时，建议建立专门的日志服务器集中存储这些信息，并设置合理的权限限制只有授权人员才能查看相关内容。另外，可以引入自动化工具来分析日志文件，快速定位异常行为。

最后，在进行漏洞扫描之前，应当制定详细的计划明确目标范围及频率。通常情况下，每月至少执行一次全面扫描，而在重大变更后则需立即开展专项检查。扫描结果应及时反馈给开发团队修复，并且要保持跟踪直至完全消除风险。

登陆阅读剩余内容

登陆 注册