产品信息安全 产品信息安全认证.pdf
《产品信息安全 产品信息安全认证.pdf》由会员分享,可在线阅读,更多相关《产品信息安全 产品信息安全认证.pdf(12页珍藏版)》请在文库网上搜索。
1、生成服务; c) 应进行包含但不限于安全配置、整体安全功能联调等安全建设; 3 GB/ T 34080.4-2021 d) 应在用迁移前明确业务应用迁移所需的各类资源的需求,按照业务部门使用电子政务公共平 台资源的深度,提供资源配置; e) 在应用迁移之前应对应用进行漏洞扫描、代码审计等安全检查,确保迁移应用的安全; f) 应制定应用迁移部署的应急预案和回退机制; g) 应保证应用系统迁移至电子政务公共平台的业务可用性及业务连续性。 6.5 应用试运行 应用试运行要求包括: a) 应模拟实际运行情况对应用进行全面的安全测试; b) 应加强试运行期间的安全监测,全面查看各种日志信息,以便能及时发
2、现问题并进行整改; c) 应提高试运行期间的数据备份频率,以便出现问题时能尽可能地恢复丢失的数据。 6.6 应用交付 应用交付要求包括: a) 应制定详细的应用交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; b) 应对负责应用运行维护的技术人员进行相应的技能培训1; c) 应指定或授权专门的部门负责应用交付的管理工作,并按照管理规定的要求完成应用交付 工作。 6.7 应用下线 应用下线要求包括: a) 应根据下线应用明确应用下线过程中的各角色职责分工,确保应用下线过程不影响平台及其 他应用的正常运行,做好应用下线的各项保障工作; b) 应制定详细的移交清单,应根据移交清单返还服
3、务使用机构的应用数据信息(包括历史数据和 归档数据); c) 应彻底删除服务使用机构的数据信息及所有备份,对服务使用机构的数据存储介质应彻底 清理; d) 根据应用下线后的处理情况配合服务使用机构做好相应的衔接工作,如应用迁移至其他云上, 或应用废弃,应按照相关规定做好应用的注销和数据留存工作。 7 公共平台应用安全运维 7.1 基本要求 4 基本要求包括: a) 基线配置:应制定并实施应用配置管理管理计划,应包括应用基线配置策略、软件使用与限制 策略等,并将该策略分发至开发人员和运维人员,按照配置要求制定、记录并维护应用系统当 前的基线配置。 b) 授权与控制:应对电子政务公共平台应用系统的
4、安全功能和安全相关信息的访问进行明确授 权。严格限制特权账号分配,确保应用系统能够阻止非特权用户执行特权功能,以防禁止、绕 过、或替代己实施的安全措施。 c) 补丁管理:制定并实施应用补丁管理计划,应包括应用补丁修复策略、版本升级策略等,并将该 策略分发至开发人员和运维人员,在安装前测试与安全缺陷相关的软件和固件升级包,验证其 是否有效,以及验证其对电子政务平台可能带来的副作用。 GB/T 34080.4-2021 d) 变更管理:应制定变更管理策略,明确应用受控配置列表,实施变更之前,对应用系统的变更项 进行分析,根据安全影响分析结果进行批准或否决,并记录变更决定。 巳)存储备份:应提供应用
5、及应用数据的备份与恢复功能,保证备份存储的机密性和完整性,通过 访问控制功能控制用户组/用户对备份数据的访问,防止数据的非授权访问和修改。 f) 安全审计:应通过网络行为审计、主机审计、数据库审计和业务数据等方式对应用进行安全审 计,对电子政务公共平台上的应用活动或行为统一进行系统的、独立的检查验证,并制定和维 护审计记录。 g) 安全监控:应能够实时有效地对平台上的应用的运行状态进行监控,能够检测出针对应用系统 的非授权连接使用,保障安全运维状态的有效管理。 7.2 合作平台/网站连接安全 7.2.1 接口安全 接口安全要求包括: a) 与合作平台/网站连接的接口应采用身份认证机制,验证接口
6、调用方身份的合法性; b) 与合作平台/网站连接的会话应设置生命周期,防止接口被恶意调用; c) 应对与合作平台/网站连接接口调用的数据进行合法性检测,防止基于注入式、跨站请求伪造、 模式验证、输入输出编码等的攻击; d) 应对与合作平台/网站连接接口设定资源使用权限,限定可访问的数据范围; 巳)应记录接口调用过程的操作日志; f) 与合作平台/网站连接接口应采用加密机制,保证数据的私密性。 7.2.2 统一身份认证 统一身份认证要求包括: a) 应要求对用户身份和权限认证,以保障合法访问资源; b) 系统应支持基于第三方开发的统一用户管理,避免不同应用系统中用户信息不一致现象,可减 少应用系
7、统用户管理的随意性,提高用户身份信息的真实性; c) 应支持统一身份认证,支持基于权威第三方认证系统,提高用户身份鉴别的权威性; d) 应同时支持基于口令和证书等多种认证方式,对于普通工作人员可采用口令方式认证,从事较 高敏感级别业务的用户采用证书方式进行强认证; e) 应支持单点登录功能,提供统一的用户登录接口,避免重复认证,减少认证服务负担。 7.2.3 统一授权管理与访问控制 统一授权管理与访问控制要求包括: a) 支持第三方统一授权管理,对安全政务办公系统内的功能模块进行授权,应具有和统一授权管 理系统的权限同步等必要接口; b) 支持基于功能模块的访问控制,根据用户角色动态生成系统功
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 产品信息安全 产品信息安全认证 产品信息 安全 认证