DB 4407_T 84-2021 政府部门“双随机、一公开”社会管理抽查系统+第5部分：安全规范.docxVIP

ICS 03.016 CCS A 00 4407 江 门 市 地 方 标 准 DB 4407/T 84—2021 政府部门双随机、一公开社会管理抽查系统 第 5 部分：安全规范 Spot check system for “Two random selections and one informational publicity” for Spot check system for “Two random selections and one informational publicity” for market management in government agencies—Part 5: Safety specifications 2021 - 09- 27 发布 2021 - 09- 27 实施 江门市市场监督管理局??发 布 DB 4407/T 84 DB 4407/T 84—2021 DB 4407/T 84 DB 4407/T 84—2021 目 次 前言 II 范围 1 规范性引用文件 1 术语和定义 1 缩略语 1 HTTP hypertext transfer protocol 1 HTTPS hyper text transfer protocol over secure socket layer 1 API application programming interface 1 SQL structured query language 1 VPN virtual private network 1 总体要求 2 安全技术要求 2 物理和网络安全 2 接入安全 2 主机安全 2 应用安全 2 数据安全 3 账号安全 4 密码安全 4 安全管理要求 4 安全组织管理架构 4 建立安全管理制度 4 安全运维要求 4 安全运营保障 4 安全预警与预案 4 突发事件处理 5 安全监控要求 5 参考文献 6 I 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。 本文件由江门市市场监督管理局提出并归口。 本文件起草单位：江门市市场监督管理局、广东省江门市质量技术监督标准与编码所。 本文件主要起草人：曾捷、许宇旌、李丽珊、侯玙莹、梁淑玲、文灼光、龚伟恒、范志平、黄型纳、黄智锋。 II II 政府部门双随机、一公开社会管理抽查系统 第 5 部分：安全规范 范围 本标准规定了“双随机、一公开”系统的安全总体要求、安全技术要求、安全管理要求、安全运维要求和安全监管要求。 本标准适用于“双随机、一公开”系统的安全建设和运营、各部门业务应用接入“双随机、一公开” 系统的安全管理。 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 DB4407/T 76—2021 政府部门“双随机、一公开”社会管理工作术语 DB4407/T 80—2021 政府部门“双随机、一公开”社会管理抽查系统 第1部分：总体规范 3 术语和定义 3 术语和定义 DB4407/T 76—2021界定的术语和定义适用于本文件。 4 缩略语 下列缩略语适用于本文件。 HTTP hypertext transfer protocol 超文本传送协议。 HTTPS hyper text transfer protocol over secure socket layer 超文本传输安全协议。 API application programming interface 应用程序编程接口。 SQL structured query language 结构化查询语言。 VPN virtual private network 虚拟专用网络。 1 总体要求 “双随机、一公开”系统的技术和管理应满足网络安全等级保护基本要求和信息系统密码应用基本要求，从安全技术、安全管理、安全运维和安全监管等方面，为“双随机、一公开”系统的安全稳定运行建立完整的安全保障体系。 安全技术要求 物理和网络安全 “双随机、一公开”系统应部署并运行于江门市“数字政府”政务云平台，保障物理和网络安全。 接入安全 使用终端接入政务外网、“双随机、一公开”系统进行政务工作处理时，应保证信道安全及身份认证安全。安全管控要求要素见表1： 主机安全系统应定期对虚拟服务器进行安全评估，评估对象包括但不限于服务器操作系统、中间件、数据库等，评估方法包括但不限于漏洞扫描、基线配置核查等，并根据评估结果及时进行安全加固。 主机安全 系统应定期对虚拟服务器进行安全评估，评估对象包括但不限于服务器