DB36-T1540-2021-电子政务共享数据统一交换平台安全接入技术规范-江西省

ICS35.070CCSL06DB36江西省地方标准DB36/T1540—2021电子政务共享数据统一交换平台安全接入技术规范Securityaccessspecificationofe-governmentshareddataunifiedexchangeplatform2022-06-01实施发布江西省市场监督管理局DB36/T1540—2021目次前言................................................................................II1范围..............................................................................12规范性引用文件....................................................................13术语和定义........................................................................14总体要求..........................................................................25接入概述..........................................................................36安全保障..........................................................................37终端要求..........................................................................58账户管理..........................................................................59故障报修..........................................................................6IDB36/T1540—2021前言本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。本文件由江西省发展和改革委员会提出并归口。本文件起草单位：江西省信息中心。本文件起草人：杜军龙、曹成立、何黎明、周剑涛、龙映辉、文剑、熊良、张静、张茜、邵海春、涂旭青、章维德、王演、袁小乐、占晓华。IIDB36/T1540—2021电子政务共享数据统一交换平台安全接入技术规范1范围本文件规范了江西省电子政务共享数据统一交换平台安全接入的总体要求、接入概述、安全保障、终端要求、账户管理、故障报修等内容。本文件适用于指导全省各级政务部门完成信息系统与交换平台的对接，规范全省各级政务部门信息系统安全接入交换平台的基本流程。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T21063.6政务信息资源目录体系第6部分：技术管理要求；GB/T22239信息安全技术网络安全等级保护基本要求；DB36/T1124政务信息资源目录编制规范；DB36/T1179政务数据共享技术规范。3术语和定义下列术语和定义适用于本文件。3.1电子政务重要基础设施，是服务于各级党委、人大、政府、政协、法院和检察院等政务部门，满足其经济调节、市场监管、社会管理和公共服务等方面需要的政务公用网络。电子政务外网支持跨地区、跨部门的业务应用、信息共享和业务协同，以及不需在政务内网上运行的业务。电子政务外网与互联网逻辑隔离。江西省电子政务共享数据统一交换平台Unifiedexchangeplatformofe-governmentshareddatainJiangxiProvince建设在电子政务外网上，由覆盖省市县三级的交换中心和交换节点组成，按照统一的标准规范，实现了跨部门、跨区域、跨层级的电子政务数据共享交换支撑平台，具体可通过DB36/T1179中的技术管理要求定义相关功能。政务部门为履行管理国家行政事务和社会公共事务的职责而采集、加工、使用的信息资源；政务部门在业务过程中产生和生成的信息资源；由政务部门投资建设的信息资源以及由政务部门直接管理的信息资源。1DB36/T1540—2021记录政务信息资源结构和资源属性的数据体系。政务信息资源结构通过树状的目录结构，展现了政务信息资源之间的相互关系；政务信息资源属性描述了资源的管理属性，包括来源、去向、版本等，用于控制和管理信息资源。3.5前置节点Frontnode全省各级政务部门接入交换平台的前置机及相关软件，对接部门共享资源，实现政务部门间政务信息资源的共享交换。3.6资源目录分类Resourcecatalogclassification按照GB/T21063.6、DB36/T1124中的资源目录分类和管理，规范和指导政务信息资源目录的编制。3.7政务共享类型Governmentsharingtype政务信息资源按共享类型分为无条件共享、有条件共享、不予共享等三种类型。可提供给所有政务部门共享使用的政务信息资源属于无条件共享类;可提供给相关政务部门共享使用或仅能够部分提供给所有政务部门共享使用的政务信息资源属于有条件共享类;不宜提供给其他政务部门共享使用的政务信息资源属于不予共享类。3.8资源提供方Resourceprovider通过江西省电子政务共享数据统一交换平台政务共享门户提供政务信息资源的全省各级政务部门，负责本部门信息资源的规划、注册、审核、发布以及对资源需求方订单的审核。资源需求方Resourcedemander通过江西省电子政务共享数据统一交换平台数据共享门户订阅并获取政务信息资源的全省各级政务部门。使用江西省电子政务共享数据统一交换平台的全省各级政务部门。3.114总体要求全省统一的交换平台的管理结构由省、市二级交换平台组成，主要包含内容如下：1)省级交换平台包括直接在本省共享平台注册的政务信息资源目录信息、国家共享平台导入的政务信息资源目录信息以及市级共享平台接入的政务信息资源目录信息；2)市级交换平台包括直接在本级共享平台注册的政务信息资源目录信息、国家共享平台导入的政务信息资源目录信息、省级共享平台接入的政务信息资源目录信息以及县级政务信息资源目录信息。县级原则上不另行建设交换平台，采取接入市级平台的方式进行共享。2DB36/T1540—20214.2接入链路接入全省电子政务共享数据统一交换平台需接入电子政务外网区的专用链路且符合相关的技术条件，保障全省各级政务部门电子政务外网区的安全稳定运行。4.3管理单位管理单位负责全省电子政务共享数据统一交换平台的规划、建设和管理等工作，并授权运维单位承担交换平台的日常运行维护工作，为接入单位提供支撑服务。运维单位和接入单位应符合相关的管理和技术要求。5接入概述5.1接入部门全省各级政务部门以及法律、法规授权的具有管理公共事务职能的组织可以申请使用交换平台。未经允许任何单位和个人不得接入交换平台。5.2接入申请全省各级政务部门经本级交换平台管理单位审核同意后接入本级交换平台，原则上县级接入市级交换平台。5.3同级接入原则上采取本级接入的方式，省级单位和派驻各地方的直属机构接入省级交换平台，各设区市及所辖县（市、区）政务部门接入市级交换平台。5.4接入流程1)用户单位向本级交换平台管理单位提出接入、变更和注销申请，并填写交换平台接入申请表；2)本级交换平台管理单位对用户单位的申请进行审核；3)本级交换平台管理单位对符合条件的用户单位实施接入和变更交换平台，对不符合条件的用户单位说明拒接理由。对注销申请平台业务，按操作流程注销该用户单位的交换平台业务。6安全保障交换平台支持库表数据、文件数据的交换以及服务接口数据交换，主要提供以下安全措施：1)对资源提供方和资源需求方进行身份及权限验证，避免非法请求，提供前置节点认证，提供数据传输加密措施；2)实时监控前置节点数据交换和服务系统负载情况，适时根据负载情况增加服务器配置或进行负载均衡配置，保障数据交换及服务调用的正常运行；3)实时监控数据交换通道、服务接口的运行情况，出现问题及时告警；4)提供审计功能，记录交换及服务调用的时间、资源提供方、资源需求方、数据交换及接口调用情况等信息，以支持防抵赖；交换平台主要存储目录数据和资源提供方授权平台存储的数据，分别归集到目录系统和资源中心，在数据存储和处理过程中应提供但不限于以下安全保障措施：3DB36/T1540—20211)对操作人员进行双因子认证，采取安全措施防范口令暴力破解攻击，并提供专用的登录控制模块对登录用户进行身份标识和鉴别，登录控制机制要保证任何应用不能绕过登录模块而直接访问系统；2)对归集的数据进行完整性校验、安全性检查；3)对数据操作按照最小授权原则进行权限控制；4)监控数据操作整体流程，提供数据使用过程、系统日志的审计。6.1.3数据安全措施资源提供方有数据分类分级保护要求的，交换平台可按要求对数据的所有者、来源、敏感状态进行标记，采取不同强度的控制措施：1)数据资源分类分级存储，对存储区域隔离防护，对敏感和重要数据应采用国密算法加密保护；2)对数据定期进行备份，对敏感和重要数据采取异地备份方式备份，并定期进行数据恢复演练；3)对数据进行安全监控与分析，及时发现数据安全风险；4)原则上资源提供方需对敏感数据进行脱敏处理。6.1.4发布安全措施政务信息资源对外发布应提供但不限于以下安全保障措施:1)对资源需求方进行授权和身份验证；2)建立统一的用户管理机制；3)对涉及隐私的数据脱敏后发布；4)发布平台应针对SQL攻击、网页爬虫工具、网页篡改等提供对应的安全防护措施；5)提供审计功能，记录数据发布行为和用户访问行为。6.1.5运维安全措施在运维管理方面应提供但不限于以下安全保障措施:2)禁止在开发、测试、分析过程中直接操纵原始数据，严格按照权限使用脱敏数据；3)禁止直接实施系统配置或变更，应在获得授权并进行测试后实施；4)使用统一分配的终端，必要时安装数据防泄漏软件；5)采用第三方服务时应签订保密协议，并建立安全事件预警、通报和应急响应机制。1)明确资源提供方、交换平台管理单位对信息内容的保密审查责任；2)开展网络泄密窃密监测，并为主管部门开展监测提供必要的接口；3)交换平台接入终端应当标注“禁止处理涉密信息”的标志。1)对应用系统进行系统运行的安全性检测分析，通过扫描应用系统中与鉴别、授权、访问控制和系统完整性有关的特定的安全脆弱性，分析其存在的缺陷和漏洞，提出补救措施；2)各级交换平台应按照GB/T22239的要求，对交换平台进行等级评定，依据评定等级开展网络安全等级保护测评，依据测评报告制定整改措施并组织落实；3)应用国产商用密码技术来保证数据的机密性和实体身份的真实性。4DB36/T1540—20212)妥善保管账号密码及数字证书，安排专人使用和管理，密码必须满足复杂度要求并定期更换，密码组合须包含英文字母大小写、数字、特殊字符任意两种以上；3)终端安装数据防泄漏软件；4)终端安装防病毒软件。数据服务要求当通过服务接口方式提供数据服务时，应满足但不限于以下安全要求：1)对涉及隐私保护、重要敏感数据的共享，优先采用服务接口方式；2)通过服务接口参数设置等方式实现来源识别、访问控制等功能；3)在边界设置访问策略；4)对重要业务数据采取基于国密算法的安全保障措施；5)服务接口应支持HTTPS协议。交换安全要求当通过前置交换方式交换数据库表和文件数据时，应满足但不限于以下安全要求:1)保证数据内容的真实性；2)对数据分类分级，明确共享范围，指定数据接收方；3)对重要数据采用基于国密算法的安全保障措施；4)原则上资源提供方需对敏感数据进行脱敏处理。6.2.2资源使用安全要求按照共享范围和方式使用数据，并妥善保管。终端要求当通过终端上传或下载信息时应满足但不限于以下安全要求:1)使用固定的终端，加强登记管理；2)妥善保管账号密码及数字证书，安排专人使用和管理，密码必须满足复杂度要求并定期更换，密码组合须包含英文字母大小写、数字、特殊字符任意两种以上；3)终端安装数据防泄漏软件；2)监控数据操作整体流程，提供审计功能；3)数据资源分类分级存储，对存储区域隔离防护，对重要数据采用基于国密算法的安全保障措施，对敏感数据进行脱敏处理；4)存储和处理共享数据的信息系统，应按照国家等级保护要求进行管理；5)资源提供方、交换平台管理单位、资源