DB23-T 3649.3-2023 政府网站建设管理规范 第3部分：集约化平台安全防护

35.240

60

23 DB

23/T

政府网站建设管理规范

第

3

部分：集约化平台安全防护 黑龙江省市场监督管理局  发

布DB

3649.32023

II

10

12DB

3649.32023 本文件按照GB/T

1.1—2020《标准化工作导则

第1部分：标准化文件的结构和起草规则》的规定本文件是DB23/T

10

11

IIDB

3649.32023

GB/T

22239-2019

GB/T

GB/T

25070-2019

GB/T

3.13.2[来源：GB/T

22239-2019，3.1]3.3[来源：GB/T

22239-2019，3.2]

4.1

a)

DB

3649.32023b)

c)

d)

4.2

5.1

平台物理部署环境应满足GB∕T

22239-2019中第8章的要求。集约化管理平台宜统一部署在政务云5.2

a)

支撑集约管理平台转的关键备提供硬冗余措施关键设备括但不限出口路由b)

DB

3649.32023c)

用负载均、分布式署等方式现链路和机层的负均衡，链层面至少实现多条d)

e)

台对外提服务应设符合实际求的互联独享带宽并支持根网站的日网页访问

集约化平台应建设上网行为管理系统，在各个安全自治域及其中的主机均部署/安装上网行为管理a)

供上网行审计功能对集约化台中的业模块及其依托的网设备、安设备、主b)

供上网行管控功能对前台用的注册、录、关键务操作等为进行记，内容包但不限于户姓名、机号码、册时间、册地址、录时间、录地址、作用户信c)

供访问控功能，授集约化平各类用户完成各自担任务所的最小权，对集约5.3

a)

b)

c)

d)

允许认证户访问平服务器提的管理平、内容管、统一信资源库等定的服务e)

制集约化理平台中服务器主访问内部络，仅允访问内部络提供的定交互业f)

限制边界隔离设备的远程管理方式。如需要采用远程管理方式时，应采用

SSH

等加密方式进设备的远管理，并当增加边隔离设备统管理员号鉴别口的强度和新频率，g)

DB

3649.32023a)

府网站、台管理系应单独划安全域，在安全域界部署防墙或者虚防火墙实

IP

IP

b)

全域访问制设备的认过滤策应设置为止任意访，设置最化控制规，细粒度c)

用云计算境时，集化管理平应具备独的安全策配置能力包括定义问路径、d)

5.4

a)

用两种或种以上组的鉴别技，对系统户和管理账户进行份验证，括对网络备、安全备、主机作系统、据库基础行环境中系统用户户，确定理用户身b)

止使用系默认或匿账户，根实际需要建必须的理用户，时清除操系统及数c)

d)

对各类用启用登录时重鉴别设置登录时、限制大失败登次数、锁账号、连

a)

供访问控功能，授各类用户完成各自担任务所的最小权，限制默角色或用b)

对登录系统的

IP

和终端环境进行限制，仅允许授权范围内的

IP

地址和通过安全检查的管理c)

应限制

Web

服务器、数据库服务器等重要服务器的远程管理，开启业务所需的最少服务及端口。服务器操作系统及数据库系统需要远程进行管理时，应采用

SSH

等安全方式进行，并对DB

3649.32023

a)

服务器操系统及数库系统进安全审计对系统远管理、账登录、策更改、对

等的重要服务访问进行审计，并b)

c)

审计日志应包括每个用户及应用系统重要安全事件，如用户登录/退出、改变访问控制策略、d)

5.5

a)

b)

取技术措自动对接的管理终实行安全态检查，未通过安状态检查管理终端c)

ARP

d)

e)

IP

MAC

f)

理终端未授权不应过任何形连接外部络，应具相关技术段对管理端未经授g)

理终端不随意接入部移动存设备，应管理终端接外部移存储设备行为进行

DB

3649.320235.6

Web

a)

10

个字符，应每三个月提醒用户修改口令；b)

择高强度证方式的台注册用、后台内管理用户系统管理户宜采用种或两种上组合的别技术实用户身份别（动态令、生物证、数字书等），令长度不

12

c)

d)

制用户首登录时修初始口令当用户身鉴别信息失或失效，应采用术措施确e)

a)

b)

c)

d)

a)

对前台用的注册、录、关键务操作等为进行日记录，内包括但不于用户姓、手机号、注册时、注册地、登录时、登录地、操作用信息、操时间、操b)

c)

对系统管用户的登、账号及限管理等统管理操进行日志录，内容括但不限d)

e)

f)

g)

h)

a)

DB

3649.32023b)

c)

a)

定源代码全编写规，约束特语言相关编程规则并对应用序代码存的常见安b)

单元测试间和开发成后可实代码安全测试，并应用投入用前委托三方专业c)

应用系统署前应对进行安全险评估，使用过程定期进行全检测，时修补发d)

应定期针对应用系统、Web应用服务器等应用程序进行漏洞扫描，及时修补存在的安全漏洞；当应

a)

b)

c)

线接入设应开启接认证功能并支持采认证服务认证或国密码管理构批准的d)

e)

f)

能够检测到针对无线接入设备的网络扫描、DDoS

攻击、密钥破解、中间人攻击和欺骗攻击等g)

禁用无线接入设备和无线接入网关存在风险的功能，如：SSID

h)

AP

i)

5.6.8.1

应采取域名系统（DNS）安全协议技术、抗攻击技术等措施，防止域名被劫持、被冒用，确保域名商的境内节点。使用内容分发网络（CDN）服务的，应当要求服务商将境内用户的域名解析地址指向其DB

3649.320235.6.8.2

5.7

a)

台内容管系统应具提供内容辑与审核布权限分的功能，现内容采和审核发b)

a)

供错别字敏感词的前检查和醒功能，内容编辑护过程中动提醒错字、敏感b)

备对已发信息进行容安全监的能力，已经发布政府网站的不适宜容进行内

a)

府网站应立链接地的监测巡机制，确所有链接效可用，时清除不访问的链接地址，避免产生“错链”、“断链”；b)

府网站使外部链接经本网站办单位或办单位负人审核，得链接商网站、商c)

非政府网链接加强理，确需用非政府站资源链的，要加对相关页内容的实d)

e)

5.7.4.1

a)

b)

c)

约化管理台与其他务系统进数据交互，应限定据交互的式，并采密码技术d)

5.7.4.2

DB

3649.32023a)

b)

c)

d)

5.7.4.3

5.8

a)

b)

c)

a)

网络边界服务器、理终端等采取恶意码防范措，并及时新恶意代防范软件b)

c)

安装于服器及管理端的恶意码防范软设置为开自动启动定期对所本地存储d)

e)

服务器、维终端等采取恶意码防范措，实行统有效的病、木马等意代码防f)

过操作系软件、数系统软件方网站或他合法渠获得补丁序，并在丁程序通g)

用云计算务或虚拟部署时，具备虚拟与宿主机虚拟机与拟机之间异常行为

DB

3649.32023a)

b)

取实时监措施，包但不限于口扫描、力攻击、马后门攻、拒绝服攻击、缓冲区溢出攻击、IP

碎片攻击、网络蠕虫攻击、目录遍历攻击、SQL

注入、跨站脚本攻击等攻c)

d)

强物理安、人员意教育和培以及制定全策略、件响应计等控制措防御社会e)

集约化管平台的应程序、操系统及数库、管理端定期进全面扫描根据扫描f)

a)

持对网络服务器和作站的实病毒监控反病毒模从底层内与各种操系统、网、硬件、用环境密协调，确主动内核病毒入侵应时，反毒操作不伤及操作b)

够在中心制台上对个目标系监视病毒治情况。有实时治、统一管、分域管c)

d)

Aactive

e)

f)

g)

h)

i)

6.1

10DB

3649.32023a)

定包括但限于《安管理制度、《监控理制度》《漏洞和险管理制》、《恶代码防范理制度》《密码管制度》、备份与恢管理制度、《安全件处置制》、《应预案管理度》等安管理制度做好集约管理平台安全定级备案、检b)

定网络安工作的总方针和安策略，阐机构安全作的总体标、范围原则和安c)

定或授权门的部门人员负责全管理制的制定，过正式、效的方式布安全管d)

期对安全理制度的理性和适性进行论和审定，存在不足需要改进安全管理e)

安全管理动中的各管理内容立安全管制度，形由安全策、管理制、操作规f)

立政府网信息数据全保护制，收集、用用户信数据应当循合法、当、必要6.2

a)

b)

立网络安管理工作职能部门设置全面责安全管工作的负人岗位，备专职的c)

确系统变、重要操、物理访和系统接等的审批序，明确批部门、批人等信d)

强内部安管理部门人员之间及和外部全组织、家、厂商的合作和通，定期e)

定安全检计划，定进行全面查和常规全检查，保系统正稳定运行安全风险6.3

f)

定或授权门的部门人员负责员录用工，对被录人员的身、安全背、专业资g)

h)

时终止离人员的所访问权限取回各种份证件、匙、徽章及机构提的软硬件i)

办理严格的调离手续，在人员承诺调离后的保密义务后，方可离开；j)

据不同的位制定不的培训计，定各类人员行安全意识、位技能、安全基础知识、岗位操作规程等培训，并告知相关的安全责任和惩戒措施，定期进行技能考核；11DB

3649.32023k)

外部人员场进行严的管理，确入场专负责、申和备案、限分配和除、签署6.4

a)

置专门机或人员负平台及相应用的安技术运维障，做好硬件系统护、功能b)

c)

d)

断完善防击、防篡、防病毒安全防护施，加强常巡检和测，发现题或出现e)

立应急响机制，制应急预案向本地区本级政府站主