T-COSOCC 020-2024 信息技術(shù)應(yīng)用創(chuàng)新 數(shù)字政務(wù)平臺(tái)安全要求

Informationtechnologyapplicationinnovation—SecurityrequirementsofdigitalI 2 2 2 25.6部署安全要求 3 3 3 3 4 4 5 5 5 6本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定以信息技術(shù)應(yīng)用創(chuàng)新為代表的新興信息技術(shù)正催生新的產(chǎn)業(yè)與應(yīng)用模式，進(jìn)而深刻改變了數(shù)字政力，減少不必要的重復(fù)建設(shè)，并且有效避免各部門(mén)之間信息共享不暢所導(dǎo)致的信息T/COSOCC019《信息技術(shù)應(yīng)用創(chuàng)新數(shù)字政務(wù)平臺(tái)技術(shù)要求》與T/COSOCC020《信息技術(shù)應(yīng)用創(chuàng)新等關(guān)鍵要素的基礎(chǔ)上，分別從技術(shù)和安全角度提出了信息技術(shù)應(yīng)用創(chuàng)新數(shù)字政務(wù)平臺(tái)的要求。其中1信息技術(shù)應(yīng)用創(chuàng)新數(shù)字政務(wù)平臺(tái)安全要求本文件適用于數(shù)字政務(wù)平臺(tái)安全相關(guān)的設(shè)計(jì)、建設(shè)、運(yùn)營(yíng)和管理，其他應(yīng)用平臺(tái)可參考使GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)GB/T28827.4信息技術(shù)服務(wù)運(yùn)行維護(hù)第4部分：數(shù)據(jù)中心服GB/T33562信息安全技術(shù)安全域名系統(tǒng)GB/T35273信息安全技術(shù)個(gè)人信息GB/T39477信息安全技術(shù)政務(wù)信息共享數(shù)據(jù)安全技T/COSOCC013信息技術(shù)應(yīng)用創(chuàng)新數(shù)據(jù)安全通GB/T22239、GB/T25069界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.13.2運(yùn)行規(guī)程的符合性，發(fā)現(xiàn)安全違規(guī)，并在控制、4縮略語(yǔ)HTTP：超文本傳輸協(xié)議（HypertextTransferProtocHTTPS：超文本傳輸安全協(xié)議（HypertextTransferVPN：虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwoWeb：萬(wàn)維網(wǎng)（WorldWideWeb）2數(shù)字政務(wù)平臺(tái)的基礎(chǔ)安全要求應(yīng)按照GB/T5.2物理環(huán)境安全要求a)支持通過(guò)設(shè)置門(mén)禁系統(tǒng)、環(huán)境感知控制、動(dòng)力控制、視頻監(jiān)控、不間斷物理破壞；電源線與通信線纜應(yīng)隔離鋪設(shè)，避免產(chǎn)生相互d)對(duì)業(yè)務(wù)連續(xù)性要求較高的系統(tǒng)，應(yīng)設(shè)置2條及以上的冗余電力電纜線路，并提供緊a)支持采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整e)使用內(nèi)容分發(fā)網(wǎng)絡(luò)服務(wù)時(shí)，應(yīng)禁止服務(wù)商將域名解析地址指向境外節(jié)點(diǎn)；3b)使用云計(jì)算服務(wù)時(shí)，應(yīng)部署搭建獨(dú)立的資源池，實(shí)現(xiàn)與其他租戶、應(yīng)用資源的安全隔離；5.7信創(chuàng)云系統(tǒng)安全要求機(jī)鏡像、快照完整性校驗(yàn)功能，防止虛擬機(jī)鏡像被惡意篡改或非法訪g)云存儲(chǔ)服務(wù)應(yīng)提供3個(gè)以上的可用副h)信創(chuàng)云系統(tǒng)上的軟硬件在部署前應(yīng)進(jìn)行兼容性測(cè)試和安全測(cè)試，并根據(jù)兼容性特征滿足國(guó)產(chǎn)數(shù)字政務(wù)平臺(tái)的數(shù)據(jù)安全應(yīng)符合GB/T39477、T/COSOCC01并建立相應(yīng)的安全管理策略，保障敏感數(shù)據(jù)在共享過(guò)程中的聯(lián)，脫密操作過(guò)程進(jìn)行日志記錄，對(duì)敏感數(shù)據(jù)的使用應(yīng)經(jīng)過(guò)二次授權(quán)，并進(jìn)行授權(quán)審置數(shù)據(jù)、重要個(gè)人信息）在使用過(guò)程中的完整性和保密性；f)具備本地?cái)?shù)據(jù)備份和恢復(fù)功能，支持異數(shù)字政務(wù)平臺(tái)上提供的完成數(shù)字政務(wù)平臺(tái)服務(wù)、數(shù)據(jù)共享等應(yīng)用功能的所有國(guó)產(chǎn)化應(yīng)用軟件和相4b)支持采用安全套接層/安全傳輸層（SSL/TLS）、HTTPS、安全文件傳輸協(xié)議（SFTP）、互聯(lián)網(wǎng)c)支持采用加密傳輸機(jī)制對(duì)重要信息進(jìn)行傳輸，采用完整性檢查對(duì)業(yè)務(wù)的重要數(shù)據(jù)或敏感數(shù)據(jù)進(jìn)行檢查，采用抗抵賴攻擊技術(shù)對(duì)重要的數(shù)據(jù)共享、交互信息進(jìn)行安全保護(hù)；行數(shù)據(jù)備份、制定回退方案和應(yīng)急預(yù)案，更新相應(yīng)的基接口調(diào)用過(guò)程的操作日志，并采用加密機(jī)制保證接口數(shù)據(jù)的私密h)部署網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)（WAF）、運(yùn)行時(shí)應(yīng)用程序自我保護(hù)（RASP）等應(yīng)用安全防護(hù)設(shè)b)支持對(duì)服務(wù)的遠(yuǎn)程訪問(wèn)方式進(jìn)行授權(quán)控制和多重條件限c)支持對(duì)所有的外部接口進(jìn)行標(biāo)識(shí)和保護(hù)，并對(duì)非法接口調(diào)用進(jìn)行過(guò)濾或阻斷；d)支持對(duì)服務(wù)的并發(fā)會(huì)話進(jìn)行控制，d)安全審計(jì)功能應(yīng)覆蓋到每個(gè)系統(tǒng)管理員，日志記錄所有系統(tǒng)管理員的行為操作和對(duì)安全事件f)支持獨(dú)立保存并定期備份安全審計(jì)記錄，安全審計(jì)記錄和5證登錄系統(tǒng)、安全審計(jì)系統(tǒng)等進(jìn)行檢查和監(jiān)測(cè)，對(duì)異常狀況進(jìn)行報(bào)警、告知和阻斷；進(jìn)行監(jiān)測(cè)，對(duì)分布式拒絕服務(wù)（DDoS）攻擊、結(jié)構(gòu)化查詢語(yǔ)言（SQL）注入、跨站腳本攻擊、e)支持定期組織相關(guān)人員對(duì)監(jiān)測(cè)活動(dòng)產(chǎn)生的數(shù)據(jù)進(jìn)行查詢、f)制定安全事件報(bào)告和處置管