DB14∕T 1938-2019 政務(wù)信息資源數(shù)據(jù)共享交換平臺（外網(wǎng)） 安全技術(shù)規(guī)范

政務(wù)信息資源數(shù)據(jù)共享交換平臺(外網(wǎng))安全技術(shù)規(guī)范山西省市場監(jiān)督管理局發(fā)布1 2 3 3 3 3 623政務(wù)信息資源數(shù)據(jù)共享交換平臺(外網(wǎng))安全技術(shù)規(guī)范本標準規(guī)定了政務(wù)信息資源數(shù)據(jù)共享交換平臺(外網(wǎng))(以下簡稱“共享交換平臺”或“平臺”)件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。信息安全技術(shù)信息安全事件分類分級指南信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南3術(shù)語和定義以下簡稱“資源”,是政務(wù)部門在履行職責(zé)過程中制作或獲取的以十定形式記錄、保存的文件、4b)對歸集的數(shù)據(jù)進行完整性校驗、安全檢查；c)對數(shù)據(jù)操作按照最小授權(quán)原則進行權(quán)限控制；5c)共享交換平臺接入終端應(yīng)當(dāng)標注禁止處理涉密信息的標志。4.1.6其他要求a)對應(yīng)用系統(tǒng)進行系統(tǒng)運行的安全性檢測分析，通過掃描應(yīng)用系統(tǒng)中與鑒別、授權(quán)、訪問控制和系統(tǒng)完整性有關(guān)的特定的安全脆弱性，分析其存在的缺陷和漏洞，提出補救措施；b)各級平臺應(yīng)按照GB/T22239、GB/T22240的要求，對共享交換平臺進行等級評定，依據(jù)評定等級開展安全測評，依據(jù)測評報告制定整改措施并組織落實；c)使用國密加密技術(shù)來保證數(shù)據(jù)的機密性和實體身份的真實性。4.2資源安全要求4.2.1資源提供安全要求當(dāng)通過終端上傳或下載信息時，應(yīng)滿足但不限于以下安全要求：a)使用固定的終端加強登記管理；b)妥善保管賬號密碼及數(shù)字證書，安排專人使用和管理，密碼必須滿足復(fù)雜度要求并定期更換，密碼組合須包含英女字母大小寫、數(shù)字、特殊字符任意兩種以上；c)終端安裝數(shù)據(jù)防泄露軟件；d)終端安裝防病毒軟件。當(dāng)通過服務(wù)接口方式提供數(shù)據(jù)服務(wù)時，應(yīng)滿足但不限于以下安全要求：a)對涉及隱私保護、重要敏感數(shù)據(jù)的共享，優(yōu)先采用服務(wù)接口方式；b)通過服務(wù)接面參數(shù)設(shè)置等方式實現(xiàn)來源識別、訪問控制等功能；c)在邊界設(shè)置IB訪問策略；d)對重要業(yè)務(wù)數(shù)據(jù)采取基于國密算法的安全保障措施；e)服務(wù)接口應(yīng)支持HTTPS協(xié)議。當(dāng)通過前置交換方式交換數(shù)據(jù)庫表和文件數(shù)據(jù)時，應(yīng)滿足但不限于以下安全要求：a)保證數(shù)據(jù)內(nèi)容的真實性；b)對數(shù)據(jù)分類分級，明確共享范圍，指定數(shù)據(jù)接收方；c)對重要數(shù)據(jù)采用基于國密算法的安全保障措施；d)對敏感數(shù)據(jù)進行脫敏處理。4.2.2資源使用安全要求按照共享范圍和方式使用數(shù)據(jù)，并妥善保管。當(dāng)通過終端上傳或下載信息時，應(yīng)滿足但不限于以下安全要求：a)使用固定的終端，加強登記管理；b)妥善保管賬號密碼及數(shù)字證書，安排專人使用和管理，密碼必須滿足復(fù)雜度要求并定期更換，密碼組合須包含英文字母大小寫、數(shù)字、特殊字符任意兩種以上；c)終端安裝數(shù)據(jù)防泄露軟件；d)終端安裝防病毒軟件。對所獲得的共享數(shù)據(jù)進行存儲和處理的過程中，應(yīng)滿足但不限于以下安全要求：a)對數(shù)據(jù)操作按照最小授權(quán)原則進行權(quán)限控制；b)監(jiān)控數(shù)據(jù)操作整體流程，提供審計功能；6c)數(shù)據(jù)資源分類分級存儲，對存儲區(qū)域隔離防護，對重要數(shù)據(jù)采用基于國密算法的安全保障措施；d)對敏感數(shù)據(jù)進行脫敏處理；e)存儲和處理共享數(shù)據(jù)的信息系統(tǒng)，應(yīng)按照等級保護要求進行管理。4.2.3資源提供方、共享交換平臺、資源需求方，各自應(yīng)在數(shù)據(jù)交換過程中完整記錄交換日志，以備安全審計。5安全事件應(yīng)急管理5.1安全事件分級5.1.1結(jié)合共享交換平臺的實際情況，分析事件對平臺的破壞程度，所造成后果的嚴重程度，將安全事件依次進行分級，應(yīng)符合GB/Z20986的要求。5.1.2根據(jù)共享交換平臺的各類安全事件列表，調(diào)查各類安全事件的類型、對平臺的影響程度以及安全事件的敏感程度等信息，分析對安全事件進行響應(yīng)恢復(fù)所需要的時間。5.1.3根據(jù)調(diào)查和分析結(jié)果c結(jié)合安全事件對共享交換平臺、政務(wù)部門、平臺管理單位等利益相關(guān)各方的危害程度等因素，確定安全事件等級，制定安全事件的報告程序。5.2制定應(yīng)急預(yù)案通過安全事件的等級分析，在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同安全事件的應(yīng)急處置方法。5.3建立響應(yīng)機制5.3.1對監(jiān)控到的安全事件按照安全事件上報程序進行報告，根據(jù)安全狀態(tài)分析報告對安全事件進行分析，明確安全事件等級。影響程度以及優(yōu)先級等，確定是否應(yīng)對安全事件啟動應(yīng)急預(yù)案。5.3.2按照應(yīng)急預(yù)案響應(yīng)機制對應(yīng)啟動應(yīng)急預(yù)案的安全事件進行安全事件處置。5.3.3在安全事件解決后對未知的安全事件進行事件記錄，分析安全記錄信息并補充所需信息，使未知的安全事件成為已知事