1、ICS:35.240.01 M 67 福建省地方标准DB35/T 17452018电子政务外网应用安全保障技术规范 Technological Standards on Application Security of E-Government Extranet DB352018-02-05 发布 2018-05-05 实施福建省质量技术监督局福建省质量技术监督局 发 布 发 布 DB35/T 17452018 I 目 次 前言.II 引言.III 1 范围.1 2 规范性引用文件.1 3 术语与定义.1 4 缩略语.2 5 安全目标.3 6 第二级安全保障要求.3 6.1 物理安全.3 6.2
2、 网络安全.3 6.3 主机安全.5 6.4 应用安全.6 6.5 数据安全及备份恢复.12 6.6 安全管理.12 7 第三级安全保障要求.13 7.1 物理安全.13 7.2 网络安全.13 7.3 主机安全.14 7.4 应用安全.15 7.5 数据安全及备份恢复.21 7.6 安全管理.22 附录 A(资料性附录)政务外网架构及安全域划分.23 DB35/T 17452018 II 前 言 本规范按照 GB/T 1.12009标准化工作导则 第 1 部分:标准的结构和编写所规定的编写格式起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本规范由福建省网
3、络与信息安全测评中心提出,由福建省信息化标准化技术委员会归口。本规范起草单位:福建六壬网安股份有限公司、福建省网络与信息安全测评中心、福建省网络计算与智能信息处理重点实验室。本规范主要起草人:郭文忠、王琦、高松涛、康仲生、蔡滨海、陈羽中、刘延华、钟尚平、陈旺茂、林子忠、林崟。DB35/T 17452018 III 引 言 为保障福建省电子政务外网相关业务应用系统安全稳定运行,规范省电子政务外网业务应用系统安全建设行为,避免建设中出现重复建设、错误建设等情况,参照关于加强信息安全保障工作的意见、电子政务信息安全等级保护实施指南等国家标准和文件,为提高应用电子政务外网信息的安全性、完整性、可用性、
4、可控性与可审查性以及综合安全防范能力,为电子政务外网应用安全提供技术指导,特制定本规范。DB35/T 17452018 1 电子政务外网应用安全保障技术规范 1 范围 本规范规定了福建省电子政务外网应用安全的术语和定义、缩略语、安全目标、第二级及第三级安全保障技术要求。本规范适用于福建省电子政务外网的应用与管理。2 规范性引用文件 下列文件对本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB 17859 计算机信息系统安全保护等级划分准则 GB/T 222392008 信息系统安全等级保护基本要求
5、 GB/T 222402008 信息安全技术 信息系统安全等级保护定级指南 GB/T 250582010 信息安全技术 信息系统安全等级保护实施指南 GB/T 250692010 信息安全技术 术语 3 术语与定义 下列术语和定义适用于本规范。3.1 电子政务外网安全体系 security system for electronic government external network 电子政务建设网络环境下的安全模型、技术、结构及其关系的总体构架。3.2 逻辑隔离 logic isolation 逻辑隔离是一种不同网络间的安全防护措施,被隔离的两端仍然存在物理上数据通道连线。3.3 公用网
6、络区 public network area 公用网络区采用统一分配公共IP地址,是实现各部门、各地区互联互通,为跨地区、跨部门的业务应用提供数据共享与交换的网络支撑平台。3.4 专用网络区 private network area DB35/T 17452018 2 依托国家政务外网基础设施,为特定需求的部门或业务设置VPN区域,主要满足部门横向、纵向业务的需要,实现部委、省、地(市)和县端到端业务和数据的互联互通,实现与其他业务之间的逻辑隔离。3.5 互联网接入区 internet access area 是各级政务部门通过逻辑隔离安全接入互联网的网络区域,满足各级政务部门访问互联网的需要
7、。同时也是移动办公的公务人员通过政务外网数字证书,经网关认证后安全接入政务外网的途径。3.6 文件数据 file data 主要指办公文档、文本文档、视频文件、图片文件、图纸文件等。3.7 请求命令与响应数据 request and response data 基于服务器之间一方发送的请求数据和另一方返回的响应数据所形成的应用交互协议数据,这里主要指应用服务器与数据库服务器之间、应用服务器与文件服务器之间的请求命令与响应数据。3.8 信息摆渡 information ferry 信息传输时,信息先由信息源所在的网络一端传输至中间缓存区域,同时物理断开中间缓存区域与信息目的地所在网络的连接;随后
8、在信道上物理断开信息源所在网络与中间缓存区域的连接,接通中间缓存区域与信息目的所在网络的传输信道,将信息传输至信息目的地所在网络。在任一时刻,中间缓存区域只与一端网络相连。3.9 网闸 gap 一种信息安全隔离设备,位于两个不同物理网络或安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换。3.10 单向光闸 unilateral optical gap 结合网闸技术和光传输技术的一种信息安全隔离设备,其特性是利用光的单向传播特性进行信息传输,确保信息在物理传导上的单向性,同时具有网闸的协议转换手段和信息摆渡方式。4 缩略语 下列缩略语适用于本文件。DNS:域名系统(Domain Na
9、me System)DKIM:域密钥识别邮件(DomainKeys Identified Mail)FTP:文件传输协议(File Transfer Protocol)HTTP:超文本传送协议(Hypertext Transport Protocol)HTTP(S):基于SSL的HTTP(HTTP Over SSL)DB35/T 17452018 3 ISP:互联网服务提供商(Internet Service Provider)IMAP:邮件访问协议(Internet Mail Access Protocol)POP3:邮局协议版本3(Post Office Protocol Version
10、3)PIN:个人标识密码(Personal Identification Number)SSH:安全外壳协议(Secure Shell)SMTP:简单邮件传输协议(Simple Mail Transfer Protocol)SPF:发送方策略框架(Sender Policy Framework)SM2:商密2(Shang Mi 2)SM9:商密9(Shang Mi 9)SQL:结构化查询语言(Structured Query Language)SSL:安全套接层(Secure Sockets Layer)VPN:虚拟专用网络(Virtual Private Network)XSS:跨站脚本攻击
11、(Cross Site Scripting)5 安全目标 5.1 合理管理和分配网络资源,防止滥用网络资源导致网络瘫痪;5.2 抵御病毒、恶意代码等对信息系统发起的恶意破坏和攻击,保障网络系统硬件、软件稳定运行;5.3 提高入侵防范能力及系统可用性,降低应用服务中断的安全风险;5.4 强化数据安全管控措施,降低敏感信息泄露的安全风险;5.5 保护重要数据的存储与传输安全,防止数据被篡改,建立数据备份机制和提高容灾能力;5.6 构建统一的安全管理与监控机制,统一配置、调控整个网络的安全问题,提高安全预警能力,加强安全应急事件的处理能力,实现网络与信息安全的可控性;5.7 建立认证体系保障网络行为
12、的真实可信以及可审查性,并建立基于角色的访问控制机制。6 第二级安全保障要求 6.1 物理安全 物理安全措施应符合GB/T 222392008中“6.1.1 物理安全”的要求。6.2 网络安全 网络安全措施应符合GB/T 222392008中“6.1.2 网络安全”的要求。6.2.1 安全域划分 福建省电子政务外网二级应用系统涉及公用网络区、互联网接入区及专用网络区三个网络区,安全域的划分详见附录A。6.2.2 公用网络区 6.2.2.1 跨域交换技术 6.2.2.1.1 公用业务服务器应采用统一规划的 IP 地址,保证跨部门、跨地区业务的交换与共享;DB35/T 17452018 4 6.2
13、.2.1.2 应根据所部署系统的重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照管理和控制要求为各子网、网段分配地址段;6.2.2.1.3 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵时候优先保护重要业务的畅通;6.2.2.1.4 根据业务需要选择数据交换流向,防止安全级别较高的数据信息向安全级别较低的区域流动;6.2.2.1.5 支持对跨域数据安全交换的行为、安全事件和交换内容等进行安全审计;6.2.2.1.6 当公用网络区的主机、服务器需要从互联网接入区和专用网络区获取数据时,可采用防火墙、路由控制、网闸、数字证书等相关设备或技术措施。6.2.2.2
14、 边界安全策略 6.2.2.2.1 公用网络区与互联网接入区之间采用VPN技术进行逻辑隔离,二个区域的数据和系统不能直接访问;6.2.2.2.2 公用网络区与专用网接入区之间采用VPN技术进行逻辑隔离,二个区域的数据和系统不能直接访问;6.2.2.2.3 通过互联网或其他公众通信网络对公用网络区的信息系统进行远程访问时,可采用VPN网关、信道加密,以及数字证书、IP地址绑定、审计等安全措施;6.2.2.2.4 应仅允许公用网络区用户及单位内部用户终端访问指定的应用服务及端口,如开放80(HTTP服务)、443(HTTPS服务),关闭其他端口,无特殊需要,禁止开放;6.2.2.2.5 应对进出公
15、用网络区的数据流进行监控、分析和审计。6.2.3 互联网接入区 6.2.3.1 跨域交换技术 6.2.3.1.1 根据业务需要可选择数据交换流向,防止安全级别较高的数据信息向安全级别较低的区域流动;6.2.3.1.2 当互联网接入区的主机、服务器需要从公用网络区获取数据时,应采用防火墙、路由控制、网闸、数字证书等相关安全措施;6.2.3.1.3 支持对跨域数据安全交换的行为、安全事件和交换内容等进行安全审计。6.2.3.2 边界安全策略 6.2.3.2.1 互联网接入区与公用网络区之间采用VPN技术进行逻辑隔离,二个区域的数据和系统不能直接访问;6.2.3.2.2 互联网接入区与互联网提供商(
16、ISP)互联时,在互联网出入口应部署防火墙、入侵检测、防DDOS攻击、防病毒等安全防护设备;6.2.3.2.3 应仅允许互联网用户及单位内部普通用户终端访问指定的服务和端口,关闭其他端口,无特殊需要,禁止开放;6.2.3.2.4 应对互联网接入区出入口实施流量控制、行为审计、入侵检测等检测与管理工作。6.2.4 专用网络区 6.2.4.1 跨域交换技术 6.2.4.1.1 专用网络区内业务数据流向禁止安全级别较高的数据信息向安全级别较低的区域流动;6.2.4.1.2 支持对跨域数据安全交换的行为、安全事件和交换内容等进行安全审计;DB35/T 17452018 5 6.2.4.1.3 对不同安
17、全级别的数据增加标签,并控制所有非该安全级别的主体对其进行读写访问,以继续保持不同安全域间的数据隔离;6.2.4.1.4 当专用网络区的主机、服务器需要从公用网络区获取数据时,应采用防火墙、路由控制、网闸、数字证书等相关设备或技术措施。6.2.4.2 边界安全策略 6.2.4.2.1 在接入边界处设置网关或防火墙等边界访问控制设备,防止非法用户业务流的进入;6.2.4.2.2 专用网络区与公用网络区之间采用VPN技术进行逻辑隔离,二个区域的数据和系统不能直接访问;6.2.4.2.3 通过互联网或其他公众通信网络接入VPN时,应采用政务外网数字证书、加密传输、安全网关等安全技术措施;6.2.4.
18、2.4 应仅允许接入VPN用户或终端访问指定的应用服务及端口,如开放80(HTTP服务)、443(HTTPS服务),关闭其他端口,无特殊需要,禁止开放;6.2.4.2.5 应对进出专用网络区的数据流进行监控、分析和审计;6.2.4.2.6 非本部门的用户不能直接访问这个区域的数据和信息系统。6.3 主机安全 主机安全措施应符合GB/T 222392008中“6.1.3 主机安全”的要求。6.3.1 系统设置 6.3.1.1 最小化安装 操作系统和数据库系统遵循最小化安装原则,仅安装业务所需的服务、组件和软件等。6.3.1.2 身份鉴定 6.3.1.2.1 可采用用户名/口令等鉴别机制实现服务器
19、操作系统及数据库系统的身份鉴别;6.3.1.2.2 口令应由大小写字母、数字及特殊字符组成,普通用户的口令长度不短于8个字符,系统管理员用户的口令长度不短于10个字符,且每6个月至少修改一次;6.3.1.2.3 应采取措施防范口令暴力破解攻击,可采用设置登录延时、限制最大登录失败次数、锁定帐号等措施。6.3.1.3 访问控制 6.3.1.3.1 针对服务器操作系统及数据库系统应设置用户访问控制策略,至少分为系统管理员(只能对系统进行维护)、安全管理员(只能进行策略配置和安全设置)、安全审计员(只能维护审计信息)等,为不同用户授予其完成各自承担任务所需的最小权限,限制超级管理员等默认角色或用户的
20、访问权限;6.3.1.3.2 应及时清除服务器操作系统及数据库系统中的无用帐号、默认账号,不应出现多人共用同一个系统账号的情况;6.3.1.3.3 应限制网站Web服务器、数据库服务器等重要服务器的远程管理;6.3.1.3.4 服务器操作系统及数据库系统需要远程进行管理时,采用SSH等安全方式实现;6.3.1.3.5 应仅开启业务所需的最少服务及端口。DB35/T 17452018 6 6.3.1.4 安全审计 6.3.1.4.1 应实现服务器操作系统及数据库系统的安全审计,对系统远程管理、账号登录、策略更改、对象访问、服务访问、系统事件、账号管理等行为及WWW、FTP等重要服务访问进行审计,
21、并设置审计日志大小的阈值以及达到阈值的处理方式(覆盖、自动转存等);6.3.1.4.2 针对安全审计记录及审计策略设置必要的访问控制以避免未授权的删除、修改或覆盖等;6.3.1.4.3 审计记录应独立保存,保存时间不少于6个月。6.3.2 系统更新 6.3.2.1 应统一采购、部署正版软件以及相关服务,并定期开展系统漏洞扫描工作;6.3.2.2 应通过操作系统软件、数据库系统软件官方网站或其他合法渠道获得补丁程序,并在补丁程序通过安全测试后及时更新。6.3.3 病毒防护 6.3.3.1 防病毒软件的部署应该由点及面,全方位进行部署,彻底截断病毒入侵的途径;6.3.3.2 开启实时检测,保障在病
22、毒入侵时可以随时发现并清除;6.3.3.3 定期进行病毒库升级,在重大病毒事件发生时,做到实时升级,确保系统防病毒软件的病毒库是最新的;6.3.3.4 每月进行服务器和客户端全磁盘查杀病毒;6.3.3.5 建立病毒防范的日常管理机制和审查机制;6.3.3.6 一旦发现重大病毒应立即查杀,并上报主管领导或上级主管部门;6.3.3.7 对于染毒次数、杀毒次数、杀毒后果应进行详细记录。6.4 应用安全 6.4.1 应用的安全要求 6.4.1.1 身份鉴别 6.4.1.1.1 应采用数字证书、用户名/口令、短信、动态口令等 1 种以上用户身份认证方式;6.4.1.1.2 应提供专用的登录控制模块对登录
23、用户进行身份标识和鉴别;6.4.1.1.3 口令应由大小写字母、数字及特殊字符组成,普通用户的口令长度不短于8个字符,系统管理员用户的口令长度不短于10个字符,且每6个月至少修改一次;6.4.1.1.4 应采取措施防范口令暴力破解攻击,可采用设置登录延时、限制最大失败登录次数、锁定帐号等措施;6.4.1.1.5 应提供用户身份标识唯一和鉴别信息复杂度检查功能,可根据安全策略配置相关参数;6.4.1.1.6 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;6.4.1.1.7 鉴别信息在存储和传输时进行保护。6.4.1.2 访问控制 6.4.1.2.1 应提供访问控制功能
24、,依据安全策略控制用户对文件、数据库表等客体的访问;6.4.1.2.2 基于数字证书的访问控制,需先通过验证数字证书来确认是否具有访问系统的权限;6.4.1.2.3 支持通过用户名、数字证书方式对系统管理员和操作员进行身份认证,认证支持政务外网数字证书,应通过政务外网现有认证体系进行认证也可离线认证;6.4.1.2.4 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;DB35/T 17452018 7 6.4.1.2.5 自主访问控制以用户身份标识并控制对客体的访问,阻止非授权用户对客体的访问,可以有多个自主访问控制功能,但其访问控制策略必须具有一致性;6.4.1.2.6
25、自主访问控制策略提供用户按照确定的访问控制策略对自身创建的客体的访问进行控制的功能;6.4.1.2.7 应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;6.4.1.2.8 应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。6.4.1.3 安全审计 6.4.1.3.1 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;6.4.1.3.2 应保证无法删除、修改或覆盖审计记录;6.4.1.3.3 审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等;6.4.1.3.4 当检测到有安全侵害事件时,生成实时报警信息,并根据报警
26、策略在告警事件发生时触发告警。6.4.1.4 通信完整性 6.4.1.4.1 应用系统数据传输可采用数字证书、数字签名等技术方式来保证数据传输的完整性;6.4.1.4.2 应采用校验码技术保证通信过程中数据的完整性。6.4.1.5 通信保密性 6.4.1.5.1 在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;6.4.1.5.2 应对通信过程中的敏感信息字段进行加密;6.4.1.5.3 所配置的密码或其他相应的安全机制,对需要进行存储或传输保密性保护的用户数据进行加密。6.4.1.6 软件容错 6.4.1.6.1 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输
27、入的数据格式或长度符合系统设定要求;6.4.1.6.2 在故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的应急措施。6.4.1.7 资源控制 6.4.1.7.1 当应用系统的通信双方中的一方在30min内未作任何响应,另一方应能够自动结束会话;6.4.1.7.2 应对单个帐户的多重并发会话进行限制;6.4.1.7.3 应对应用系统的最大并发会话连接数进行限制。6.4.1.8 会话管理 6.4.1.8.1 会话过程中不允许修改的信息,必须作为会话状态的一部分在服务器端存储和维护;6.4.1.8.2 禁止使用客户端提交的未经审核的信息来给会话信息赋值,防止会话信息被篡改;6.4.1
28、.8.3 用户登录后必须分配新的会话标识,不能继续使用用户登录前所使用的标识;6.4.1.8.4 当用户退出时,必须清除该用户的会话信息;6.4.1.8.5 会话超时后应清除会话信息且超时时间不超过30 min。DB35/T 17452018 8 6.4.1.9 内容安全 6.4.1.9.1 对外提供应用服务的平台不应向公众发布不良信息;6.4.1.9.2 对恶意非法访问统一跳转至报错提示页面;6.4.1.9.3 对公众提供应用服务的平台应对向公众发布的各种文本信息内容进行实时的过滤,以阻止不良信息的传播、应采用技术或人工手段有效防止其他类型(图像、音频、视频等)不良信息通过业务网络向公众传播
29、。阻止网页篡改、越权访问信息等各类企图,或者及时发现并恢复受到篡改的网站页面。6.4.1.10 敏感数据保护 6.4.1.10.1 敏感数据(比如密码、密钥等)必须加密存储、加密传输;6.4.1.10.2 禁止在隐藏域中存放明文形式的敏感数据。6.4.1.11 应用安全防护 6.4.1.11.1 能够根据内容对HTTP请求和响应进行过滤;6.4.1.11.2 应对SQL注入精确报警和主动防御;6.4.1.11.3 应对XSS攻击精确报警和主动防御;6.4.1.11.4 满足策略自定义设置,阻断恶意注入攻击(SQL注入、XSS攻击、目录遍历、信息泄漏);6.4.1.11.5 应对侦测到的网络安全
30、攻击具备阻断访问的能力。6.4.2 数据库 6.4.2.1 访问控制要求 6.4.2.1.1 用数据库目录表、存取控制表、能力表等确定主体对客体的访问权限;6.4.2.1.2 应允许命名用户以用户和(或)用户组的身份规定并控制对客体的共享,并阻止非授权用户读取信息;6.4.2.1.3 所有数据库引擎实例都由安装该实例的过程中指定的实例名标识,应用程序必须提供准备连接的计算机的名称和实例名;6.4.2.1.4 自主访问控制的粒度应是用户级、表级、记录级、字段级;6.4.2.1.5 自主访问控制应与身份鉴别和审计相结合,通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问。6.4.2.2
31、数据库身份认证 6.4.2.2.1 进入数据库系统的用户,先进行操作系统身份认证;6.4.2.2.2 当用户远程直接登录到数据库管理系统或与数据库服务器进行访问连接时,应进行用户认证;6.4.2.2.3 数据库管理系统应明确用户标识;6.4.2.2.4 操作系统应确保任何用户不能通过数据库以外的使用方式获取和破坏数据库用户的标识和认证信息;6.4.2.2.5 鉴别信息应是不可见的,并在存储和传输时有安全保护;6.4.2.2.6 数据库系统应保证用户以安全的方式和途径使用数据库系统的标识和认证信息;6.4.2.2.7 数据库用户标识信息应在数据库系统的整个生命期有效,被撤消的用户账号的UID不得
32、再次使用。6.4.2.3 数据库的安全审计 DB35/T 17452018 9 6.4.2.3.1 安全审计功能的设计应与用户标识与鉴别、自主访问控制等安全功能的设计紧密结合;6.4.2.3.2 提供审计日志、潜在侵害分析、基本审计查阅和有限审计查阅、安全审计事件选择以及受保护的审计踪迹存储等功能;6.4.2.3.3 能够生成、维护及保护审计过程,使其免遭修改、非法访问及破坏,特别要保护审计数据,要严格限制未经授权的用户访问;6.4.2.3.4 能够创建并维护一个对受保护客体访问的审计跟踪,保护审计记录不被未授权的访问、修改和破坏。6.4.2.4 运行安全 6.4.2.4.1 系统在设计时不应
33、留有“后门”。即不应以维护、支持或操作需要为借口,设计有违反或绕过安全规则的任何类型的入口和文档中未说明的任何模式的入口;6.4.2.4.2 安全结构应是一个独立的、严格定义的系统软件的一个子集,并应防止外部干扰和破坏,如修改其代码或数据结构;6.4.2.4.3 应提供设置和升级配置参数的安装机制,在初始化和对与安全有关的数据结构进行保护之前,应对用户和管理员的安全策略属性进行定义;6.4.2.4.4 当数据库管理系统安装完成后,在普通用户访问之前,系统应配置好初始用户、管理员职责、审计参数、系统审计跟踪设置以及对客体的合适的访问控制。6.4.2.5 数据库备份 数据库应至少每天备份一次。6.
34、4.3 邮件应用 6.4.3.1 身份认证 6.4.3.1.1 应支持安全性增强的账户口令密码认证,满足下列要求:a)账户口令密码应为字母、数字、符号的混用组合,且不少于 8 个字符;b)应具备账户口令密码自动检查功能,禁止使用弱账户口令密码;c)账户口令密码存储不得采用明文方式,若采用数字摘要方式存储账户口令密码,应加入随机性;d)账户口令密码应可设定有效期,超过有效期后不能登录;e)应具备口令密码防暴力破解功能,对 Web、POP3、SMTP 和 IMAP 等登录访问方式,当口令密码错误次数超过设定值后,应锁定该账户或禁止对应 IP 访问;6.4.3.1.2 应具备身份认证异常处理功能,如
35、不在常用地区登陆提示等措施。6.4.3.2 访问控制 6.4.3.2.1 应具备用户分类功能,如分为管理员和邮件用户;6.4.3.2.2 应能对各类用户赋予不同的权限;6.4.3.2.3 应在通过身份认证机制认证用户身份后,方可允许用户访问授权的功能;6.4.3.2.4 应具备管理员访问过程操作日志。6.4.3.3 用户审计 DB35/T 17452018 10 6.4.3.3.1 应具备管理员行为审计功能,审计内容应包括操作时间、管理员帐户、登录 IP 地址、地理位置、登录方式、操作内容与结果等信息;6.4.3.3.2 应具备邮件用户登录行为审计功能,审计内容应包括:登录时间、邮件用户账户、
36、登录IP 地址、地理位置、登录方式等信息;6.4.3.3.3 应具备邮件用户发送邮件行为审计功能,审计内容应包括发送时间、收件人、邮件主题、投递状态、是否撤回等信息;6.4.3.3.4 应具备邮件用户接收邮件行为审计功能,审计内容应包括收取时间、发件人、邮件主题、阅读状态等信息;6.4.3.3.5 应具备邮件用户账户关键配置修改行为审计功能,审计内容应包括时间、操作帐户、修改内容、修改结果等信息;6.4.3.3.6 审计数据至少保存一年。6.4.3.4 接口安全 6.4.3.4.1 与第三方应用系统接口应采用身份认证机制,验证接口调用方身份的合法性;6.4.3.4.2 与第三方应用系统接口的会
37、话应设置生命周期,防止接口被恶意调用;6.4.3.4.3 应对第三方应用系统接口调用的数据进行合法性检测,防止基于注入式、跨站请求伪造、模式验证、输入输出编码等的攻击;6.4.3.4.4 应对第三方应用系统接口设定资源使用权限,限定可访问的数据范围;6.4.3.4.5 应记录接口调用过程的操作日志。6.4.3.5 收发过程保护 6.4.3.5.1 应具备邮件过滤功能,能接收或拒收指定域的邮件;6.4.3.5.2 应具备防邮件中继功能,能拒绝转发或仅转发来自指定 IP 地址或子网、目标为指定子网、来自指定域、来自指定邮件地址、来自指定用户名等的邮件;6.4.3.5.3 应具备邮件审批功能,能根据
38、发件人、收件人、主题、内容、附件内容、附件格式等邮件特征创建审批条件,满足审批条件的邮件需要经过审批员审批之后才能被投递/弹回/拒收(发)/转寄/抄送;6.4.3.5.4 应支持 SPF 机制检测邮件数据源。6.4.4 Web 应用 6.4.4.1 内容发布 6.4.4.1.1 网站内容管理模块应提供内容审核功能,并提供网站内容编辑与审核发布权限分离的功能;6.4.4.1.2 网站系统应仅面向经身份验证的注册用户提供信息发布功能,且提供信息经审核人员审核后才能发布的功能选项。6.4.4.2 网页防篡改 根据网站规模和信息发布方式选择相应的网页防篡改产品,至少对网站关键的静态页面(首页)和动态页
39、面进行监控和保护。6.4.4.3 网站状态监控 6.4.4.3.1 可利用网站状态监控系统或人工监控的方式,实时监测网站运行状态,对网站异常状况进行实时报警和处置。网站页面监测深度宜不少于主页访问路径下的第 2 层;DB35/T 17452018 11 6.4.4.3.2 应定期对网站应用程序、操作系统及数据库、管理终端进行全面漏洞扫描,根据扫描结果判断网站存在的安全风险,及时调整监测策略。6.4.4.4 网站挂马监控 应利用木马监控系统或第三方安全服务及时发现网站挂马事件并及时处理。6.4.4.5 网站内容篡改监控 应利用网页防篡改系统、人工自检或第三方安全服务及时发现网站篡改事件并迅速处理
40、。6.4.4.6 源代码安全 6.4.4.6.1 在网站需求设计阶段,应制定代码安全编写规范,约束特定语言相关的编程规则,对应用程序代码存在的常见安全缺陷提出规范要求;6.4.4.6.2 在网站开发阶段,应遵循制订的代码安全编写规范,并在网站投入使用前委托第三方专业机构对网站应用程序源代码进行全面的安全审查。6.4.4.7 系统更新 6.4.4.7.1 应定期针对应用程序或代码、Web 应用服务器(IIS、Apache 等)、FTP 等网络应用程序进行漏洞扫描,及时修补存在的安全漏洞;6.4.4.7.2 当应用程序的版本需要变更时,应经过验证、审核及批准,并保存相应记录。6.4.4.8 应急响
41、应 6.4.4.8.1 接入单位可根据其应用系统的具体特点,并按照福建省网络安全事件应急预案文件要求,制定应急响应预案。应急响应预案应包含总则、角色及职责、预防和预警机制、响应分级、处置流程、保障措施等内容;6.4.4.8.2 应综合分析各类安全事件可能造成的影响,破坏程度和恢复周期等多方面因素,有针对性地制定、维护网站不同事件的应急预案,每一年至少开展各典型类别安全事件的应急演练一次;6.4.4.8.3 可建立应急值班制度,工作时间内安排专人 8 小时值班。8 小时工作时间以外,安排专人通过电话、邮件等方式进行预警通报。遇到重大节日或敏感时期,应安排 24 小时值班,并定期进行信息报送;6.
42、4.4.8.4 信息安全事件发生时,应按照应急预案的要求及时组织应急处置并记录。6.4.5 DNS 服务 6.4.5.1 域名注册管理 6.4.5.1.1 应向本属地的政务外网管理中心注册域名。对于部门用户接入网站,各申请单位也可向上级单位注册域名,但需要在本属地外网管理中心备案;6.4.5.1.2 对于有特殊需求的用户,也可直接向国家外网工程办申请三级子域,但需要在本属地外网管理中心备案;6.4.5.1.3 应遵循国家有关监督审批流程开展域名变更、解析地址变更等工作;各级政务部门应规范使用国家政务外网域名,并向本级政务外网管理中心提出域名注册、变更、撤销等要求;6.4.5.1.4 域名宜由英
43、文字母(大小写等价)、数字(09)和连接符(-)组合组成,域名的命名应符合下列要求:DB35/T 17452018 12 a)名称长度不应超过 25 个字符;b)不应使用含有“CHINA”、“CHINESE”、“CN”、“NATIONAL”等字样的名称;c)不应使用公众知晓的其他国家或地区名称、外国地名、国际组织名称;d)不应使用行业名称或商品的通用名称;e)不应使用他人已在中国注册过的企业名称或者商标名称;f)不应使用对国家、社会或者公共利益有损害的名称。6.4.5.1.5 各级政府组成部门在政务外网设置服务器后,应将服务器的 IP 地址和对应的域名在省电子政务外网网管中心注册。6.4.5.
44、2 域名信息管理 6.4.5.2.1 应指定专人对域名信息进行管理,妥善保存域名系统或第三方域名托管平台的用户名及口令信息,口令应由大小写字母、数字及特殊字符组成,长度不短于 8 位,且每 6 个月至少修改一次;6.4.5.2.2 应规范域名信息的变更管理,当域名信息需要变化时,应经审核批准后,由指定专人负责实施并及时记录。6.5 数据安全及备份恢复 6.5.1 数据完整性 应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。6.5.2 数据保密性 应采用加密或其他保护措施实现鉴别信息的存储保密性。6.5.3 数据访问 6.5.3.1 应用程序访问数据须经授权和身份认证;6.5.3.
45、2 实现控制,以限制对非结构化数据的访问;6.5.3.3 应保护数据的导出。6.5.4 数据交换 根据业务需要选择数据交换对象及数据交换流向,如单向数据交换、双向数据交换。按交换对象种类,可分为数据库数据、文件数据、流媒体数据、请求命令与响应数据:a)数据库数据交换 1)单向数据传输采用单向光闸或网闸作为唯一连接通道;2)双向数据传输采用网闸作为唯一连接通道。b)文件数据交换 1)单向数据传输采用单向光闸或网闸作为唯一连接通道;2)双向数据传输采用网闸作为唯一连接通道。c)流媒体数据交换 1)流媒体数据交换采用流媒体网闸或者光闸作为唯一连接通道;2)流媒体网闸应具备流媒体协议转换、流媒体控制信
46、令的过滤和检查功能。d)请求命令与响应数据交换 请求命令与响应数据交换采用网闸作为唯一连接通道。6.6 安全管理 DB35/T 17452018 13 安全管理措施应符合GB/T 222392008中“6.2 管理要求”的要求。7 第三级安全保障要求 7.1 物理安全 物理安全措施应符合GB/T 222392008中“7.1.1 物理安全”的要求。7.2 网络安全 网络安全措施应符合GB/T 222392008中“7.1.2 网络安全”的要求。7.2.1 安全域划分 福建省电子政务外网三级应用系统涉及公用网络区、互联网接入区及专用网络区等三个网络区,安全域的划分详见附录A。7.2.2 公用网络
47、区 7.2.2.1 跨域交换技术 7.2.2.1.1 跨域交换技术应符合本标准“6.2.2.1.16.2.2.1.5”的要求;7.2.2.1.2 当公用网络区的主机/服务器需要从互联网接入区和专用网络区获取数据时,应采用安全隔离设备、防火墙、路由策略、身份认证、设备认证、日志审计等相关设备或技术措施。7.2.2.2 边界安全策略 边界安全策略应符合本标准“6.2.2.2”的要求。7.2.3 互联网接入区 7.2.3.1 跨域交换技术 跨域交换技术应符合本标准“6.2.3.1”的要求。7.2.3.2 边界安全策略 7.2.3.2.1 边界安全策略应符合本标准“6.2.3.2.16.2.3.2.4
48、”的要求;7.2.3.2.2 互联网接入区的隔离设备的默认过滤策略应设置为禁止任意访问;7.2.3.2.3 应限制系统中的服务器主动访问互联网;7.2.3.2.4 应限指定的IP地址访问网站服务器提供的内容管理、系统管理等服务和端口;7.2.3.2.5 应限制系统中的服务器主动访问单位内部网络、仅允许访问单位内部网络提供的指定交互业务、补丁更新、病毒库升级等服务;7.2.3.2.6 在管理设备的会话处于非活跃状态5min后或会话结束后终止网络连接;7.2.3.2.7 应限制边界隔离设备的远程管理方式。若需要采用远程管理方式时,应采用SSH等加密方式进行设备的远程管理,并适当增加边界隔离设备系统
49、管理员账号鉴别口令的强度和更新频率,或采用数字证书等高强度鉴别方式。7.2.4 专用网络区 DB35/T 17452018 14 7.2.4.1 跨域交换技术 跨域交换技术应符合本标准“6.2.4.1”的要求。7.2.4.2 边界安全策略 边界安全策略应符合本标准“6.2.4.2”的要求。7.3 主机安全 7.3.1 系统选用 应选择自主可控、安全可靠的正版操作系统或借助第三方安全加固工具和服务对操作系统和数据库系统的内核、服务、应用、端口等进行安全加固。7.3.2 系统设置 7.3.2.1 最小化安装 最小化安装应符合本标准“6.3.1.1”的要求。7.3.2.2 身份鉴别 7.3.2.2.
50、1 可采用用户名/口令等鉴别机制实现服务器操作系统及数据库系统的身份鉴别;7.3.2.2.2 口令应由大小写字母、数字及特殊字符组成。普通用户的口令长度不短于 10 位,系统管理员用户的口令长度不短于 12 位,且每 3 个月至少更新一次;7.3.2.2.3 应采取措施防范口令暴力破解攻击,应设置登录延时、限制最大失败登录次数、锁定账号等措施,认证失败 3 次锁定 10 min,累计认证失败 6 次锁定 30min,累计认证失败 10 次锁定 24 小时;7.3.2.2.4 用于身份认证的用户名和口令在传输时应进行加密;7.3.2.2.5 存储的用户名和口令应进行加密保护;7.3.2.2.6
浙ICP备2021020529号-1 | 浙B2-20240490 
