C 0115-2018 国家政务服务平台 安全接入检测要求(征求意见稿).pdf
《C 0115-2018 国家政务服务平台 安全接入检测要求(征求意见稿).pdf》由会员分享,可在线阅读,更多相关《C 0115-2018 国家政务服务平台 安全接入检测要求(征求意见稿).pdf(15页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、C0102 ICS 35.240.30 L 67 国 家 政 务 服 务 平 台 标 准国 家 政 务 服 务 平 台 标 准 C 0115-2018 国家政务服务平台 安全接入检测要求(征求意见稿)2018-XX-XX 发布 2018-XX-XX 实施 ZWFW 国务院办公厅国务院办公厅电子政务电子政务办公室办公室 发布发布 C 0115-2018 I 目 次 前 言.II 1 范围.1 2 规范性引用文件.1 3 国家政务服务平台安全接入检测总体要求.1 4 国家政务服务平台安全接入检测流程.1 5 国家政务服务平台安全接入检测细则.2 附 录 A(资料性附录)安全接入检测细则.3 C 0
2、115-2018 II 前 言 本标准按照 GB/T 1.1-2009 给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由 提出并归口。本标准起草单位:。本标准主要起草人:。C 0115-2018 1 国家政务服务平台安全接入检测要求 1 范围 本标准规定了国务院有关部门政务服务平台(业务办理系统)和各地区政务服务平台(以下简称“各地区各部门政务服务平台”)安全接入国家政务服务平台的检测要求,包括总体要求、检测流程和检测细则。本标准适用于各地区各部门政务服务平台。2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,
3、仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 22239 信息安全技术 网络安全等级保护基本要求(报批稿)GM/T 0054-2018 信息系统密码应用基本要求 GW0202-2014 国家电子政务外网安全接入平台技术规范 GW0205-2014 国家电子政务外网跨网数据安全交换技术要求与实施指南 C 0116-2018 国家政务服务平台网络安全保障要求 3 国家政务服务平台安全接入检测总体要求 各地区各部门政务服务平台接入国家政务服务平台,应满足以下要求:a)应通过网络安全等级保护测评,具体要求见GB/T 22239,并提供相应的
4、测评证书;b)应通过信息系统密码应用安全测评,具体要求见GM/T 0054-2018,并提供相应的测评证书;c)应依据附录A中安全接入检测细则的要求,由国务院办公厅电子政务办公室认可的第三方评估机构对各地区各部门政务服务平台进行安全接入检测,并将检测结果上报国家政务服务平台安全管理办公室复核;d)与国家政务服务平台进行数据交换和授权访问时,应对各类接入业务进行注册、监控与审计,并从链路、网络、主机、应用等方面采取必要的安全技术措施保障国家政务服务平台的网络安全,具体要求内容见GW0205-2014;e)应保证信息在接入过程中不被非法获取及篡改,具体要求内容见GW0202-2014;f)监控与审
5、计系统应具有级联上报功能,国家政务服务平台应对其他接入平台的主要运行参数及安全状况等情况进行集中监控与审计,具体要求内容见C 0116-2018。4 国家政务服务平台安全接入检测流程 各地区各部门政务服务平台应按要求开展安全接入检测工作,检测流程图见图1。C 0115-2018 2 图1 安全接入检测流程图 5 国家政务服务平台安全接入检测细则 各地区各部门政务服务平台应按国家政务服务平台安全接入检测细则的要求开展安全接入检测工作,检测范围包括平台所有业务系统和运行环境。安全接入检测细则见附录A。检测结果判定依据如下:a)基本要求中包含的检测项为一票否决项,任一项不满足则检测终止;b)打分项满
6、分为100分,得分低于90分则检测不通过;c)标“*”检测项要求必须满足,任一项不满足则检测不通过;d)最终检测结果由国家政务服务平台安全管理办公室予以判定。启动 检测结果是否达到接入要求 由第三方机构进行平台安全接入检测 提交国家政务服务平台安全管理办公室 国家政务服务平台安全管理办公室复核 复核结果是否达到接入要求 准许接入 国家政务服务平台 是 否 针对不满足项进行整改 是 否 完成 C 0115-2018 3 附 录 A(资料性附录)安全接入检测细则 表 A.1 给出了国家政务服务平台安全接入的检测细则。表 A1 安全接入检测细则表 序号 要求类别 要求项目 要求子项 要求小项 分值(
7、单位:分)是否满足 评分结果 备注 1 基本要求 网络安全等级保护基本要求-*满足网络安全等级保护(三级)基本要求,并提供专业机构颁发的测评证书 一票否决项 2 信息系统密码应用要求-*满足信息系统密码应用要求,并提供专业机构颁发的测评证书 一票否决项 3 技术要求(70 分)通信网络安全(5 分)网络架构安全(4 分)*关键设备应冗余部署,保证平台的高可用性 2 4 应根据业务应用功能、资产价值、资产所面临的风险划分安全区域,明确定义区域边界 1 5 采用云计算技术的平台应根据业务特点进行资源池划分并实现不同虚拟网络之间的隔离 1 6 通信链路安全(1 分)应采用冗余链路保证互联网区出口和公
8、共区出口链路的高可用性 1 7 区域边界安全(15)政务外网边界安全(3 分)*各级政务服务平台公共区边界应部署防火墙系统、入侵检测系统和安全审计系统等与政务外网进行逻辑隔离并对公共区进行安全防护 3 8 互联网边界安全(7 分)*应具备防范来自互联网的 DDoS 攻击、Web 攻击、木马病毒等各类恶意攻击的能力 3 9*应在互联网边界部署访问控制设备,设置最小化访问控制规则,细粒度需要达到端口级 2 C 0115-2018 4 序号 要求类别 要求项目 要求子项 要求小项 分值(单位:分)是否满足 评分结果 备注 10 应具备基于恶意攻击(包括未知新型攻击)的实时监测能力和安全态势感知能力
9、1 11 能对云主机主动散播和被操纵主机的被动有害信息散播行为进行检测、告警和清除 1 12 跨网交互安全(3 分)*应部署跨网数据安全交换系统实现互联网区和公共区信息数据安全交换及传输,应采用数据库同步和文件交换模式,系统应具有内容检查、格式过滤及病毒查杀等功能 3 13 域间安全(2 分)应在公共区、互联网区内严格划分安全域并通过防火墙或虚拟防火墙实现逻辑隔离;存放重要业务应用及用户核心数据的网段不能直接与外部系统连接,需要单独划分区域 2 14 计算环境安全(35)身份鉴别与访问控制(4 分)*应对各业务系统及其所依托的基础运行环境(包括且不限于:网络设备、安全设备、主机操作系统、数据库
10、操作系统、中间件等)的管理员账户进行身份验证 2 15 身份标识应具有唯一性;应配置账户密码安全策略,启用密码复杂度要求,密码长度最小值推荐 8 位,密码至少使用大写字母、小写字母、数字和非字母数字字符中的 3 种;开启系统账户登录失败处理策略,锁定阀值 5次,账户锁定时间 10 分钟 1 16 应采取 SSH、Https 或远程桌面(加密)方式进行远程管理,防止鉴别信息在网络传输过程中被窃听 0.5 17 应采用口令与动态令牌或数字证书等两种或两种以上组合的鉴别技术对用户进行身份鉴别 0.5 C 0115-2018 5 序号 要求类别 要求项目 要求子项 要求小项 分值(单位:分)是否满足
11、评分结果 备注 18 安全审计(3 分)*应配置各业务模块及其所依托的网络设备、安全设备、主机操作系统、数据库操作系统、中间件等基础设施的审计功能,审计范围覆盖每个用户及应用系统重要安全事件,审计内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等 2 19 应部署统一的日志收集、存储系统,确保审计记录的留存时间符合法律法规要求,留存时间应至少为 6 个月;能够对审计记录数据进行统计、查询、分析及生成审计报表;审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的正确性 1 20 恶意攻击防范(11 分)*应构建外围 Web 应用安全防护措施,对 SQL 注入、跨站攻
12、击、非法上传等行为进行阻断,从而抵御和过滤外部安全威胁 2 21*应针对服务界面和移动应用 APP 对外发布的 WEB 服务器,在服务器的操作系统内安装网页防篡改系统,防止服务页面内容被恶意篡改 2 22 应部署主机安全加固系统,采用主动防御机制,通过过滤、隔离、认证等技术,从操作系统核心层实现对操作系统的安全增强 2 23 应部署主机恶意代码防护系统,并保持恶意代码库实时更新 2 24 应具备主机防入侵能力,包括 APT 攻击、间谍软件等攻击的防护 1 25 应针对数据库攻击行为部署技术措施,进行有效检测和阻断,实现对数据库的安全防护 1 C 0115-2018 6 序号 要求类别 要求项目
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 0115-2018 国家政务服务平台 安全接入检测要求征求意见稿 0115 2018 国家 政务 服务 平台 安全 接入 检测 要求 征求意见
限制150内