DB3502∕T 047.3-2019 公共安全管理平台总体技术规范 第3部分：安全保障要求

DB3502/T DB3502/T

—2019公共安全管理平台总体技术规范第

3

部分：安全保障要求Specification

of

for

public

—Part

3:Requirements

of

security 厦门市市场监督管理局 发

布DB3502/T

047.3—2019 前

言

..............................................................................

II引

言

.............................................................................

III1

..............................................................................

12 规范性引用文件

....................................................................

13 术语和定义

........................................................................

14 总体要求

..........................................................................

15 技术要求

..........................................................................

1DB3502/T

047.3—2019 DB3502/T

—2019《公共安全管理平台总体技术规范》分为3部分：——第1部分：总体架构；——第2部分：总体功能要求；——第3部分：安全保障要求。本部分为

—20193部分。本部分按照GB/T

1.1—给出的规则起草。本部分由厦门市城市公共安全管理领导小组办公室提出并归口。厦门市信息中心、厦门市美亚柏科信息股份有限公司。亚杰、陈锦荣、陈成威、李童、林立南。IIDB3502/T

047.3—2019 公共安全管理平台按照

22239—2019级安全保护能力进行安全建设。本部分根据现有的政务云平台安全防护基础设施现状，在GB/T

22239—2019《信息安全技术网络安全等级保护基本要求》第8章的基础上,对安全通信网络、安全区域边界、安全计算环境、安全管理中心、集中管控的部分控制项要求进行具体描述和细化。IIIDB3502/T

047.3—2019

1 范围DB3502/T

—2019的本部分规定了公共安全管理平台的安全保障要求。DB3502/T

—2019的本部分适用于公共安全管理平台的安全建设和监督管理。2 规范性引用文件凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB

17859

计算机信息系统安全保护等级划分准则GB/T

信息技术

安全技术

信息技术安全评估准则

第3部分：安全保障组件GB/T

20279

信息安全技术

网络和终端隔离产品技术要求GB/T

20988—2007

信息安全技术

信息系统灾难恢复规范GB/T

22239—2019

信息安全技术网络安全等级保护基本要求GB/T

25069

信息安全技术术语DB3502/T

047.1—2019

公共安全管理平台总体技术规范

第1部分：总体架构3 术语和定义GB

17859、GB/T

18336.3、GB/T

20279、GB/T

和

047.1—2019界定的术语和定义适用于本文件。4 总体要求公共安全管理平台安全保障应遵循GB/T

22239—第8章的第三级基本要求，并满足本部分第5章的技术要求。5 技术要求5.1 安全通信网络公共安全管理平台依托政务云平台建设，通信网络安全防护保障依赖政务云平台。5.2 安全区域边界5.2.1 边界防护本项要求包括：DB3502/T

047.3—2019a) 访问控制设备；b) 边界防火墙应满足

GB/T

22239—

规定的第三级安全保护能力关于安全区域边界的安全控制项要求，并及时对防火墙规则和病毒库进行调整和升级。5.2.2 安全审计日志记录和审计记录的保存时长至少为12个月。5.3 安全计算环境5.3.1安全防护支撑公共安全管理平台运行的服务器应安装能及时更新升级的安全防护软件。5.3.2 身份鉴别本项要求包括：a) 复杂度进行检查，保证应用系统中不存在重复的用户身份标识，身份鉴别信息不易被冒用；b) 强制登录用户在初始登录时修改系统管理员分发的密码；c) 用户密码长度不少于

8

位，且必须包含字母、数字和特殊字符；d) 识/口令模式和手机号码/验证码两种模式，重要应用模块实行人脸识别进行二次身份验证；e) 用户允许使用最近三个常用

IP

IP

地址则强制用户使用手机号码/验证码模式登录；f) 用户登录失败次数达到

3

次后，强制锁定用户

15

分钟，锁定期间该用户将限制登录系统；g) 除系统管理员外，禁止登录用户修改本用户的密码；h) 除系统管理员外，同一用户仅允许同时在一个终端上登录系统。5.3.3 访问控制本项要求包括：a) 访问控制主体的粒度为用户级，客体的粒度为文件、数据库表级和字段级；b) 对接平台的外部业务系统应达到

GB/T

22239—2019

规定的第二级及以上安全等级保护要求；c) 与平台对接、实时进行数据交互的外部系统应提供不少于

3

个月的审计记录。5.3.4 安全审计日志记录和审计记录的保存时长至少为12个月。5.3.5 资源控制本项要求包括：a) 系统的最大并发会话连接数限制为

2000,

每秒最大并发事务数限制为

；b) 一个会话处理进程占用的最大资源不超过

30%；c) 单个用户对系统资源的最大使用限度为

；d)单个账户多重并发会话数不超过

20

个；e) 用，网络发生拥堵时应优先保障主要应用服务；f) 用户超过

分钟未操作系统，将自动退出系统。5.3.6 数据安全及备份恢复5.3.6.1 数据保密性DB3502/T

047.3—2019对公民身份信息、活动信息等敏感数据，应进行加密存储。5.3.6.2 数据备份恢复本项要求包括：a)灾难恢复能力应达到

GB/T

20988—2007

规定的灾难恢复能力等级第

2

级以上的要求；b) 备份；c) 采用反向代理技术实现

统应保证硬件冗余，避免关键节点存在单点故障。5.4 安全管理中心5.4.1 系统管理本项要求包括：a) 系统管理员用户数不多于

5

个；b) 系统管理员采取人脸识别加口令验证方式进行身份鉴别；c) 系统管理员用户口令长度不少于

12

位，且必须包含大小写字母、数字和特殊字符，每

3

个月更换一次。5.4.2 审计和安全管理本项要求包括：a) 审计管理员和安全管理员用户分别不多于

2

b)审计管理员和安全管理