DB23_T 3649.3—2023政府网站建设管理规范+第3部分：集约化平台安全防护.docxVIP

ICS35.240

23CCSL60

23

黑 龙 江 省 地 方 标 准

DB23/T3649.3—2023

政府网站建设管理规范第3部分：集约化平台安全防护

2023-11-30发布 2023-12-29实施

黑龙江省市场监督管理局??发布

DB23/T3649.3

DB23/T3649.3—2023

PAGE\*ROMAN

PAGE\*ROMANII

目 次

前言 II

范围 1

规范性引用文件 1

术语和定义 1

安全防护总体要求 1

安全技术措施要求 2

安全管理措施要求 10

安全定级与测评 12

前 言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件是DB23/T3649《政府网站建设管理规范》的第3部分。DB23/T3649已经发布了以下部分：

——第1部分：集约化平台基本要求

——第2部分：统一信息资源库

——第3部分：集约化平台安全防护

——第4部分：集约化平台与政务服务平台对接

——第5部分：网站

——第6部分：元数据

——第7部分：集约化平台内容安全审核

——第8部分：集约化平台运维

——第9部分：集约化平台政府数据共享开放

——第10部分：集约化平台互动交流

——第11部分：集约化平台政务信息公开

本文件由黑龙江省人民政府办公厅提出并归口。

本文件起草单位：黑龙江省数字经济研究会，黑龙江省标准化研究院。本文件主要起草人：杨陆、刘琳、吕秋梦。

DB23/T3649.3

DB23/T3649.3—2023

PAGE

PAGE10

政府网站建设管理规范第3部分：集约化平台安全防护

范围

本文件给出了了省、市（地）两级政府网站集约化管理平台的安全防护总体框架以及安全技术措施、安全管理措施、安全定级与测评要求。

本文件适用于黑龙江省省级、市（地）级政府网站集约化平台安全防护体系建设。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T

22239-2019

信息安全技术网络安全等级保护基本要求

GB/T

22240-2020

信息安全技术网络安全等级保护定级指南

GB/T

25070-2019

信息安全技术网络安全等级保护安全设计技术要求

术语和定义

GB/T22239-2019界定的以及下列术语和定义适用于本文件。

3.1

网站用户

网站的访问者，既包括来自外部、访问获取网站资源的前台用户，也包括负责网站系统管理、内容

管理的后台用户。

3.2

网络安全

通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

[来源：GB/T22239-2019，3.1]

3.3

安全防护能力

能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。[来源：GB/T22239-2019，3.2]

安全防护总体要求

安全防护目标

政府网站集约化平台安全防护工作应包括：

提升网页防篡改及监测、恢复能力，降低网页防篡改的安全风险；

提高入侵防范能力及系统可用性，降低网站服务中断的安全风险；

强化数据安全管控措施，降低网站敏感信息泄露的安全风险；

构建纵深防御体系，降低网站被恶意控制的安全风险。

安全防护架构

集约化管理平台安全防护体系应符合GB∕T25070-2019、GB∕T22239-2019等信息安全规范性文件要求，落实等级保护制度。

应基于政务云建设统一安全防护体系，与集约化管理平台建设同步规划、同步建设、同步实施。按照等保三级标准设计建设安全防护体系。

整体架构如图1所示。

图1 平台安全防护架构示意图

安全技术措施要求

物理安全

平台物理部署环境应满足GB∕T22239-2019中第8章的要求。集约化管理平台宜统一部署在政务云上，集约化管理平台部署环境应与其他业务系统进行隔离，若部署在政务云平台时须采用独立虚拟资源池，或者通过技术措施实现和统一资源池内的其他业务系统逻辑隔离。

网络安全

网络链路安全

集约化管理平台部署的网络架构及通信链路安全应满足以下要求：

为支撑集约化管理平台运转的关键设备提供硬件冗余措施，关键设备包括但不限于出口路由器、核心交换机、应用及数据库服务器等；

政府网站、集约化管理平台、统一信息资源库等应部署在不同区域中；

采用负载均衡、分布式部署等方式实现链路和主机层的负载均衡，