DB23-T 3649.3-2023 政府網(wǎng)站建設(shè)管理規(guī)范 第3部分：集約化平臺(tái)安全防護(hù)

35.240

60

23 DB

23/T

政府網(wǎng)站建設(shè)管理規(guī)范

第

3

部分：集約化平臺(tái)安全防護(hù) 黑龍江省市場(chǎng)監(jiān)督管理局??發(fā)

布DB

3649.32023

II

10

12DB

3649.32023 本文件按照GB/T

1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則

第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定本文件是DB23/T

10

11

IIDB

3649.32023

GB/T

22239-2019

GB/T

GB/T

25070-2019

GB/T

3.13.2[來(lái)源：GB/T

22239-2019，3.1]3.3[來(lái)源：GB/T

22239-2019，3.2]

4.1

a)

DB

3649.32023b)

c)

d)

4.2

5.1

平臺(tái)物理部署環(huán)境應(yīng)滿足GB∕T

22239-2019中第8章的要求。集約化管理平臺(tái)宜統(tǒng)一部署在政務(wù)云5.2

a)

支撐集約管理平臺(tái)轉(zhuǎn)的關(guān)鍵備提供硬冗余措施關(guān)鍵設(shè)備括但不限出口路由b)

DB

3649.32023c)

用負(fù)載均、分布式署等方式現(xiàn)鏈路和機(jī)層的負(fù)均衡，鏈層面至少實(shí)現(xiàn)多條d)

e)

臺(tái)對(duì)外提服務(wù)應(yīng)設(shè)符合實(shí)際求的互聯(lián)獨(dú)享帶寬并支持根網(wǎng)站的日網(wǎng)頁(yè)訪問(wèn)

集約化平臺(tái)應(yīng)建設(shè)上網(wǎng)行為管理系統(tǒng)，在各個(gè)安全自治域及其中的主機(jī)均部署/安裝上網(wǎng)行為管理a)

供上網(wǎng)行審計(jì)功能對(duì)集約化臺(tái)中的業(yè)模塊及其依托的網(wǎng)設(shè)備、安設(shè)備、主b)

供上網(wǎng)行管控功能對(duì)前臺(tái)用的注冊(cè)、錄、關(guān)鍵務(wù)操作等為進(jìn)行記，內(nèi)容包但不限于戶姓名、機(jī)號(hào)碼、冊(cè)時(shí)間、冊(cè)地址、錄時(shí)間、錄地址、作用戶信c)

供訪問(wèn)控功能，授集約化平各類用戶完成各自擔(dān)任務(wù)所的最小權(quán)，對(duì)集約5.3

a)

b)

c)

d)

允許認(rèn)證戶訪問(wèn)平服務(wù)器提的管理平、內(nèi)容管、統(tǒng)一信資源庫(kù)等定的服務(wù)e)

制集約化理平臺(tái)中服務(wù)器主訪問(wèn)內(nèi)部絡(luò)，僅允訪問(wèn)內(nèi)部絡(luò)提供的定交互業(yè)f)

限制邊界隔離設(shè)備的遠(yuǎn)程管理方式。如需要采用遠(yuǎn)程管理方式時(shí)，應(yīng)采用

SSH

等加密方式進(jìn)設(shè)備的遠(yuǎn)管理，并當(dāng)增加邊隔離設(shè)備統(tǒng)管理員號(hào)鑒別口的強(qiáng)度和新頻率，g)

DB

3649.32023a)

府網(wǎng)站、臺(tái)管理系應(yīng)單獨(dú)劃安全域，在安全域界部署防墻或者虛防火墻實(shí)

IP

IP

b)

全域訪問(wèn)制設(shè)備的認(rèn)過(guò)濾策應(yīng)設(shè)置為止任意訪，設(shè)置最化控制規(guī)，細(xì)粒度c)

用云計(jì)算境時(shí)，集化管理平應(yīng)具備獨(dú)的安全策配置能力包括定義問(wèn)路徑、d)

5.4

a)

用兩種或種以上組的鑒別技，對(duì)系統(tǒng)戶和管理賬戶進(jìn)行份驗(yàn)證，括對(duì)網(wǎng)絡(luò)備、安全備、主機(jī)作系統(tǒng)、據(jù)庫(kù)基礎(chǔ)行環(huán)境中系統(tǒng)用戶戶，確定理用戶身b)

止使用系默認(rèn)或匿賬戶，根實(shí)際需要建必須的理用戶，時(shí)清除操系統(tǒng)及數(shù)c)

d)

對(duì)各類用啟用登錄時(shí)重鑒別設(shè)置登錄時(shí)、限制大失敗登次數(shù)、鎖賬號(hào)、連

a)

供訪問(wèn)控功能，授各類用戶完成各自擔(dān)任務(wù)所的最小權(quán)，限制默角色或用b)

對(duì)登錄系統(tǒng)的

IP

和終端環(huán)境進(jìn)行限制，僅允許授權(quán)范圍內(nèi)的

IP

地址和通過(guò)安全檢查的管理c)

應(yīng)限制

Web

服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等重要服務(wù)器的遠(yuǎn)程管理，開(kāi)啟業(yè)務(wù)所需的最少服務(wù)及端口。服務(wù)器操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)需要遠(yuǎn)程進(jìn)行管理時(shí)，應(yīng)采用

SSH

等安全方式進(jìn)行，并對(duì)DB

3649.32023

a)

服務(wù)器操系統(tǒng)及數(shù)庫(kù)系統(tǒng)進(jìn)安全審計(jì)對(duì)系統(tǒng)遠(yuǎn)管理、賬登錄、策更改、對(duì)

等的重要服務(wù)訪問(wèn)進(jìn)行審計(jì)，并b)

c)

審計(jì)日志應(yīng)包括每個(gè)用戶及應(yīng)用系統(tǒng)重要安全事件，如用戶登錄/退出、改變?cè)L問(wèn)控制策略、d)

5.5

a)

b)

取技術(shù)措自動(dòng)對(duì)接的管理終實(shí)行安全態(tài)檢查，未通過(guò)安狀態(tài)檢查管理終端c)

ARP

d)

e)

IP

MAC

f)

理終端未授權(quán)不應(yīng)過(guò)任何形連接外部絡(luò)，應(yīng)具相關(guān)技術(shù)段對(duì)管理端未經(jīng)授g)

理終端不隨意接入部移動(dòng)存設(shè)備，應(yīng)管理終端接外部移存儲(chǔ)設(shè)備行為進(jìn)行

DB

3649.320235.6

Web

a)

10

個(gè)字符，應(yīng)每三個(gè)月提醒用戶修改口令；b)

擇高強(qiáng)度證方式的臺(tái)注冊(cè)用、后臺(tái)內(nèi)管理用戶系統(tǒng)管理戶宜采用種或兩種上組合的別技術(shù)實(shí)用戶身份別（動(dòng)態(tài)令、生物證、數(shù)字書(shū)等），令長(zhǎng)度不

12

c)

d)

制用戶首登錄時(shí)修初始口令當(dāng)用戶身鑒別信息失或失效，應(yīng)采用術(shù)措施確e)

a)

b)

c)

d)

a)

對(duì)前臺(tái)用的注冊(cè)、錄、關(guān)鍵務(wù)操作等為進(jìn)行日記錄，內(nèi)包括但不于用戶姓、手機(jī)號(hào)、注冊(cè)時(shí)、注冊(cè)地、登錄時(shí)、登錄地、操作用信息、操時(shí)間、操b)

c)

對(duì)系統(tǒng)管用戶的登、賬號(hào)及限管理等統(tǒng)管理操進(jìn)行日志錄，內(nèi)容括但不限d)

e)

f)

g)

h)

a)

DB

3649.32023b)

c)

a)

定源代碼全編寫(xiě)規(guī)，約束特語(yǔ)言相關(guān)編程規(guī)則并對(duì)應(yīng)用序代碼存的常見(jiàn)安b)

單元測(cè)試間和開(kāi)發(fā)成后可實(shí)代碼安全測(cè)試，并應(yīng)用投入用前委托三方專業(yè)c)

應(yīng)用系統(tǒng)署前應(yīng)對(duì)進(jìn)行安全險(xiǎn)評(píng)估，使用過(guò)程定期進(jìn)行全檢測(cè)，時(shí)修補(bǔ)發(fā)d)

應(yīng)定期針對(duì)應(yīng)用系統(tǒng)、Web應(yīng)用服務(wù)器等應(yīng)用程序進(jìn)行漏洞掃描，及時(shí)修補(bǔ)存在的安全漏洞；當(dāng)應(yīng)

a)

b)

c)

線接入設(shè)應(yīng)開(kāi)啟接認(rèn)證功能并支持采認(rèn)證服務(wù)認(rèn)證或國(guó)密碼管理構(gòu)批準(zhǔn)的d)

e)

f)

能夠檢測(cè)到針對(duì)無(wú)線接入設(shè)備的網(wǎng)絡(luò)掃描、DDoS

攻擊、密鑰破解、中間人攻擊和欺騙攻擊等g)

禁用無(wú)線接入設(shè)備和無(wú)線接入網(wǎng)關(guān)存在風(fēng)險(xiǎn)的功能，如：SSID

h)

AP

i)

5.6.8.1

應(yīng)采取域名系統(tǒng)（DNS）安全協(xié)議技術(shù)、抗攻擊技術(shù)等措施，防止域名被劫持、被冒用，確保域名商的境內(nèi)節(jié)點(diǎn)。使用內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）服務(wù)的，應(yīng)當(dāng)要求服務(wù)商將境內(nèi)用戶的域名解析地址指向其DB

3649.320235.6.8.2

5.7

a)

臺(tái)內(nèi)容管系統(tǒng)應(yīng)具提供內(nèi)容輯與審核布權(quán)限分的功能，現(xiàn)內(nèi)容采和審核發(fā)b)

a)

供錯(cuò)別字敏感詞的前檢查和醒功能，內(nèi)容編輯護(hù)過(guò)程中動(dòng)提醒錯(cuò)字、敏感b)

備對(duì)已發(fā)信息進(jìn)行容安全監(jiān)的能力，已經(jīng)發(fā)布政府網(wǎng)站的不適宜容進(jìn)行內(nèi)

a)

府網(wǎng)站應(yīng)立鏈接地的監(jiān)測(cè)巡機(jī)制，確所有鏈接效可用，時(shí)清除不訪問(wèn)的鏈接地址，避免產(chǎn)生“錯(cuò)鏈”、“斷鏈”；b)

府網(wǎng)站使外部鏈接經(jīng)本網(wǎng)站辦單位或辦單位負(fù)人審核，得鏈接商網(wǎng)站、商c)

非政府網(wǎng)鏈接加強(qiáng)理，確需用非政府站資源鏈的，要加對(duì)相關(guān)頁(yè)內(nèi)容的實(shí)d)

e)

5.7.4.1

a)

b)

c)

約化管理臺(tái)與其他務(wù)系統(tǒng)進(jìn)數(shù)據(jù)交互，應(yīng)限定據(jù)交互的式，并采密碼技術(shù)d)

5.7.4.2

DB

3649.32023a)

b)

c)

d)

5.7.4.3

5.8

a)

b)

c)

a)

網(wǎng)絡(luò)邊界服務(wù)器、理終端等采取惡意碼防范措，并及時(shí)新惡意代防范軟件b)

c)

安裝于服器及管理端的惡意碼防范軟設(shè)置為開(kāi)自動(dòng)啟動(dòng)定期對(duì)所本地存儲(chǔ)d)

e)

服務(wù)器、維終端等采取惡意碼防范措，實(shí)行統(tǒng)有效的病、木馬等意代碼防f)

過(guò)操作系軟件、數(shù)系統(tǒng)軟件方網(wǎng)站或他合法渠獲得補(bǔ)丁序，并在丁程序通g)

用云計(jì)算務(wù)或虛擬部署時(shí)，具備虛擬與宿主機(jī)虛擬機(jī)與擬機(jī)之間異常行為

DB

3649.32023a)

b)

取實(shí)時(shí)監(jiān)措施，包但不限于口掃描、力攻擊、馬后門(mén)攻、拒絕服攻擊、緩沖區(qū)溢出攻擊、IP

碎片攻擊、網(wǎng)絡(luò)蠕蟲(chóng)攻擊、目錄遍歷攻擊、SQL

注入、跨站腳本攻擊等攻c)

d)

強(qiáng)物理安、人員意教育和培以及制定全策略、件響應(yīng)計(jì)等控制措防御社會(huì)e)

集約化管平臺(tái)的應(yīng)程序、操系統(tǒng)及數(shù)庫(kù)、管理端定期進(jìn)全面掃描根據(jù)掃描f)

a)

持對(duì)網(wǎng)絡(luò)服務(wù)器和作站的實(shí)病毒監(jiān)控反病毒模從底層內(nèi)與各種操系統(tǒng)、網(wǎng)、硬件、用環(huán)境密協(xié)調(diào)，確主動(dòng)內(nèi)核病毒入侵應(yīng)時(shí)，反毒操作不傷及操作b)

夠在中心制臺(tái)上對(duì)個(gè)目標(biāo)系監(jiān)視病毒治情況。有實(shí)時(shí)治、統(tǒng)一管、分域管c)

d)

Aactive

e)

f)

g)

h)

i)

6.1

10DB

3649.32023a)

定包括但限于《安管理制度、《監(jiān)控理制度》《漏洞和險(xiǎn)管理制》、《惡代碼防范理制度》《密碼管制度》、備份與恢管理制度、《安全件處置制》、《應(yīng)預(yù)案管理度》等安管理制度做好集約管理平臺(tái)安全定級(jí)備案、檢b)

定網(wǎng)絡(luò)安工作的總方針和安策略，闡機(jī)構(gòu)安全作的總體標(biāo)、范圍原則和安c)

定或授權(quán)門(mén)的部門(mén)人員負(fù)責(zé)全管理制的制定，過(guò)正式、效的方式布安全管d)

期對(duì)安全理制度的理性和適性進(jìn)行論和審定，存在不足需要改進(jìn)安全管理e)

安全管理動(dòng)中的各管理內(nèi)容立安全管制度，形由安全策、管理制、操作規(guī)f)

立政府網(wǎng)信息數(shù)據(jù)全保護(hù)制，收集、用用戶信數(shù)據(jù)應(yīng)當(dāng)循合法、當(dāng)、必要6.2

a)

b)

立網(wǎng)絡(luò)安管理工作職能部門(mén)設(shè)置全面責(zé)安全管工作的負(fù)人崗位，備專職的c)

確系統(tǒng)變、重要操、物理訪和系統(tǒng)接等的審批序，明確批部門(mén)、批人等信d)

強(qiáng)內(nèi)部安管理部門(mén)人員之間及和外部全組織、家、廠商的合作和通，定期e)

定安全檢計(jì)劃，定進(jìn)行全面查和常規(guī)全檢查，保系統(tǒng)正穩(wěn)定運(yùn)行安全風(fēng)險(xiǎn)6.3

f)

定或授權(quán)門(mén)的部門(mén)人員負(fù)責(zé)員錄用工，對(duì)被錄人員的身、安全背、專業(yè)資g)

h)

時(shí)終止離人員的所訪問(wèn)權(quán)限取回各種份證件、匙、徽章及機(jī)構(gòu)提的軟硬件i)

辦理嚴(yán)格的調(diào)離手續(xù)，在人員承諾調(diào)離后的保密義務(wù)后，方可離開(kāi)；j)

據(jù)不同的位制定不的培訓(xùn)計(jì)，定各類人員行安全意識(shí)、位技能、安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等培訓(xùn)，并告知相關(guān)的安全責(zé)任和懲戒措施，定期進(jìn)行技能考核；11DB

3649.32023k)

外部人員場(chǎng)進(jìn)行嚴(yán)的管理，確入場(chǎng)專負(fù)責(zé)、申和備案、限分配和除、簽署6.4

a)

置專門(mén)機(jī)或人員負(fù)平臺(tái)及相應(yīng)用的安技術(shù)運(yùn)維障，做好硬件系統(tǒng)護(hù)、功能b)

c)

d)

斷完善防擊、防篡、防病毒安全防護(hù)施，加強(qiáng)常巡檢和測(cè)，發(fā)現(xiàn)題或出現(xiàn)e)

立應(yīng)急響機(jī)制，制應(yīng)急預(yù)案向本地區(qū)本級(jí)政府站主