DB14∕T 1938-2019 政务信息资源数据共享交换平台（外网） 安全技术规范

政务信息资源数据共享交换平台(外网)安全技术规范山西省市场监督管理局发布1 2 3 3 3 3 623政务信息资源数据共享交换平台(外网)安全技术规范本标准规定了政务信息资源数据共享交换平台(外网)(以下简称“共享交换平台”或“平台”)件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。信息安全技术信息安全事件分类分级指南信息安全技术信息系统安全等级保护基本要求信息安全技术信息系统安全等级保护定级指南3术语和定义以下简称“资源”,是政务部门在履行职责过程中制作或获取的以十定形式记录、保存的文件、4b)对归集的数据进行完整性校验、安全检查；c)对数据操作按照最小授权原则进行权限控制；5c)共享交换平台接入终端应当标注禁止处理涉密信息的标志。4.1.6其他要求a)对应用系统进行系统运行的安全性检测分析，通过扫描应用系统中与鉴别、授权、访问控制和系统完整性有关的特定的安全脆弱性，分析其存在的缺陷和漏洞，提出补救措施；b)各级平台应按照GB/T22239、GB/T22240的要求，对共享交换平台进行等级评定，依据评定等级开展安全测评，依据测评报告制定整改措施并组织落实；c)使用国密加密技术来保证数据的机密性和实体身份的真实性。4.2资源安全要求4.2.1资源提供安全要求当通过终端上传或下载信息时，应满足但不限于以下安全要求：a)使用固定的终端加强登记管理；b)妥善保管账号密码及数字证书，安排专人使用和管理，密码必须满足复杂度要求并定期更换，密码组合须包含英女字母大小写、数字、特殊字符任意两种以上；c)终端安装数据防泄露软件；d)终端安装防病毒软件。当通过服务接口方式提供数据服务时，应满足但不限于以下安全要求：a)对涉及隐私保护、重要敏感数据的共享，优先采用服务接口方式；b)通过服务接面参数设置等方式实现来源识别、访问控制等功能；c)在边界设置IB访问策略；d)对重要业务数据采取基于国密算法的安全保障措施；e)服务接口应支持HTTPS协议。当通过前置交换方式交换数据库表和文件数据时，应满足但不限于以下安全要求：a)保证数据内容的真实性；b)对数据分类分级，明确共享范围，指定数据接收方；c)对重要数据采用基于国密算法的安全保障措施；d)对敏感数据进行脱敏处理。4.2.2资源使用安全要求按照共享范围和方式使用数据，并妥善保管。当通过终端上传或下载信息时，应满足但不限于以下安全要求：a)使用固定的终端，加强登记管理；b)妥善保管账号密码及数字证书，安排专人使用和管理，密码必须满足复杂度要求并定期更换，密码组合须包含英文字母大小写、数字、特殊字符任意两种以上；c)终端安装数据防泄露软件；d)终端安装防病毒软件。对所获得的共享数据进行存储和处理的过程中，应满足但不限于以下安全要求：a)对数据操作按照最小授权原则进行权限控制；b)监控数据操作整体流程，提供审计功能；6c)数据资源分类分级存储，对存储区域隔离防护，对重要数据采用基于国密算法的安全保障措施；d)对敏感数据进行脱敏处理；e)存储和处理共享数据的信息系统，应按照等级保护要求进行管理。4.2.3资源提供方、共享交换平台、资源需求方，各自应在数据交换过程中完整记录交换日志，以备安全审计。5安全事件应急管理5.1安全事件分级5.1.1结合共享交换平台的实际情况，分析事件对平台的破坏程度，所造成后果的严重程度，将安全事件依次进行分级，应符合GB/Z20986的要求。5.1.2根据共享交换平台的各类安全事件列表，调查各类安全事件的类型、对平台的影响程度以及安全事件的敏感程度等信息，分析对安全事件进行响应恢复所需要的时间。5.1.3根据调查和分析结果c结合安全事件对共享交换平台、政务部门、平台管理单位等利益相关各方的危害程度等因素，确定安全事件等级，制定安全事件的报告程序。5.2制定应急预案通过安全事件的等级分析，在统一的应急预案框架下制定不同安全事件的应急处置方法。5.3建立响应机制5.3.1对监控到的安全事件按照安全事件上报程序进行报告，根据安全状态分析报告对安全事件进行分析，明确安全事件等级。影响程度以及优先级等，确定是否应对安全事件启动应急预案。5.3.2按照应急预案响应机制对应启动应急预案的安全事件进行安全事件处置。5.3.3在安全事件解决后对未知的安全事件进行事件记录，分析安全记录信息并补充所需信息，使未知的安全事件成为已知事