DB14T 1938-2019 政务信息资源数据共享交换平台(外网)安全技术规范

3政务信息资源数据共享交换平台(外网)安全技术规范件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。信息安全技术信息安全事件分类分级指南信息安全技术信息系统安全等级保护基本要求信息安全技术信息系统安全等级保护定级指南以下简称“资源”,是政务部门在履行职责过程中制作或获取的，以一定形式记录、保存的文件、资料、图表和数据等各类信息资源，包括政务部门直接或通过第三方依法采集的、依法授权管理的和因履行职责需要依托政务信息系统形成的信息资源等。44.1.1共享交换平台应对数据库表、文件、文件夹以及服务接口数据交换提供但不限于以下安全措施：a)对资源提供方和资源需求方进行身份及权限验证，避免非法请求；c)实时监控前置节点数据交换和服务系统负载情况，适时根据负载增加服务器配置或进行负载均衡配置，保障数据交换及服务调用的正常运行；d)实时监控数据交换通道、服务接口的运行情况，出现问题及时告警；4.1.2共享交换平台主要存储目录数据和资源提供方授权平台存储的数据，分别归集到目录系统和资b)对归集的数据进行完整性校验、安全检查；g)对数据定期备份，对敏感和重要数据采取异地备份方式，定期进行数据恢复演练；4.1.3政务信息资源对外发布应提供但不限于以下安全保障措施：d)发布平台应针对SQL注入攻击a)明确安全管理人员、岗位及职责，防止特权用户；b)禁止开发、测试、分析过程中直接操纵原始数据，严格按照权限使用脱敏数据；d)使用统一分配的终端，必要时安装数据防泄露软件；4.1.5在失泄密防护方面应采取但不限于以下措施：5c)共享交换平台接入终端应当标注禁止处理涉密信息的标志。a)对应用系统进行系统运行的安全性检测分析，通过扫描应用系统中与鉴别、授权、访问控制和系统完整性有关的特定的安全脆弱性，分析其存在的缺陷和漏洞，提出补救措施；b)各级平台应按照GB/T22239、GB/T22240的要求，对共享交换平台进行等级评定，依据评定b)妥善保管账号密码及数字证书，安排专人使用和管理，密码必须满足复杂度要求并定期更换，密码组合须包含英文字母大小写、数字、特殊字符任意两种以上；d)终端安装防病毒软件。当通过服务接口方式提供数据服务时，应满足但不限于以下安全要求：a)对涉及隐私保护、重要敏感数据的共享，优先采用服务接口方式；b)通过服务接回参数设置等方式实现来源识别、访问控制等功能；d)对重要业务数据采取基于国密算法的安全保障措施；a)保证数据内容的真实性；b)对数据分类分级，明确共享范d)对敏感数据进行脱敏处理。a)使用固定的终端，加强登记管理；c)终端安装数据防泄露软件；d)终端安装防病毒软件。b)监控数据操作整体流程，提供审计功能；6d)对敏感数据进行脱敏处理；e)存储和处理共享数据的信息系统，应按照等级保护要求进行管理。4.2.3资源提供方、共享交换平台、资源需求方，各自应在数据交换5.1.1结合共享交换平台的实际情况，分析事件对平台的破坏程度，所造成后5.1.2根据共享交换平台的各类安全事件列表，调查各类安全事件的类型、对平台的影响5.1.3根据调查和分析结果C结合安全事件对共享交换平台、政务部门、平台管理单位等利益相关各5.3.2按照应