国资国企网络应用资产监管 第1部分：指南

国资国企网络应用资产监管第1部分：指南范围本文件确立了国资国企网络应用资产监管的基本要求和资产分类，并规定了国资国企网络应用资产监管的风险监测、风险预警、风险通报、应急处置、安全加固。本文件适用于为国资国企网络应用资产监管。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。DB34/T4522.1-2023国资国企在线监管信息系统数据元第1部分：国有企业组织机构类术语和定义下列术语和定义适用于本文件。3.1国资国企网络应用资产Networkapplicationassetsofstate-ownedassetsandenterprises国资国企对互联网开放的各类应用程序。基本要求国资国企监管对象应建立网络安全监管组织体系和管理体系；企业基本信息按附录A要求填写，并报上级监管部门。资产国资国企网络应用资产包括：名称、域名、互联网IP地址、移动应用、接口。监管监管内容对国资国企网络应用资产的监管包括风险监测、风险预警、风险通报、应急处置、安全加固等内容。风险监测名称风险监测主要包括：身份认证与访问控制风险监测、输入验证与数据处理风险监测、会话管理风险监测、加密与安全传输风险监测、配置安全风险监测、日志记录与监控风险监测、代码安全风险监测、依赖组件安全风险监测、业务逻辑风险监测、可靠性和可用性风险监测等。域名风险监测主要包括：证书监测、域名解析记录监测、域名历史记录追踪监测等。互联网IP风险监测主要包括：IP开放端口服务监测、风险端口与服务监测、IP的反向DNS解析监测、IP威胁情报监测等。移动应用风险监测主要包括：移动应用程序的数据隐私监测、移动应用程序的用户权限管理监测、移动应用程序的应用接口监测，以及应用程序的代码可信度和恶意行为监测等。接口风险监测主要包括：应用接口的认证和授权机制监测、应用接口的参数验证和输入过滤监测、应用接口的安全日志监测、应用接口的访问频率和访问限制监测、应用接口的数据保护和隐私保护监测等。6.3风险预警主要包括：风险监测预警、威胁情报收集与分析预警、预警信息发布等。 6.4风险通报主要包括：定期风险通报、突发风险事件通报等。6.5应急处置主要包括：事件评估、应急响应、事件控制与处置、系统修复与恢复、事件调查与分析、事件总结与复盘等。6.6安全加固主要包括：开展系统安全评估和漏洞扫描、数据备份，以及定期开展网络安全宣传培训，制定网络安全应急预案，定期开展安全应急演练等。

附录A（规范性）企业基本信息A.1企业基本信息，见表A.1表A.1企业基本信息表项目内容说明企业名称境内企业的单位名称，已注册登记企业以《企业法人营业执照》证书上全称为准；境外企业的单位名称以当地法律文件的企业全称为准，语言不限。统一社会信用代码特指境内企业的法人和其他组织统一社会信用代码。企业类型应符合DB34/T4522.1-2023中附录A.1《企业类型代码表》规定办公地址企业详细的办公地址第一责任人职务党委（党组）主要负责人第一责任人姓名直接责任人职务一般为党委班子成员直接责任人