标准规范下载简介
DB14/T 2546-2022 政府网站集约化平台 安全基本要求.pdfICS35.080 CCS L 73
山西省市场监督管理局发布
建筑给排水设计制图、表达要点、技术知识汇总.pdfDB 14/T 25462022
范围. 规范性引用文件 术语和定义. 安全物理环境 网络安全.. 安全防护.. 数据备份与恢复
DB 14/T25462022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件由山西省政务信息管理局提出、组织实施和监督检查。 本文件由山西省市场监督管理局对标准的组织实施情况进行监督检查。 本文件由山西省电子政务信息标准化技术委员会归口。 本文件主要起草单位:山西省人民政府办公厅政务信息中心、山西省信息产业技术研究院有限公司。 本文件主要起草人:杨勇斌、张青云、申利华、上官学奎、刘宁、郭自强、马瑾男、张颖、徐卉、 温静、刘东航、王忠民、王渊、邢玮琦。
DB 14/T 25462022
网站集约化平台安全基本要求
本文件规定了政府网站集约化平台的安全物理环境、网络安全、安全防护、数据备份与恢复相 基本要求。 本文件适用于省、市、县(区)政府网站集约化平台的建设,
下列术语和定义适用于本文件,
政府网站 各级政府及其部门、派出机构和承担行政职能的事业单位在互联网上开办的,具有信息发布、解读 回应、办事服务、互动交流等功能的网站
通过统一标准体系、统一技术平台、统一安全防护、统一运维监管、集中管理信息数据、集中提供 内容服务,将一定范围内的政府网站集中到一起,形成资源优化融合、平台整合安全、数据互认共享、 管理统筹规范的政府网站一体化平台。
政府网站统一信息资源库
安全物理环境包括但不限于: a) 机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录出入人员:
DB 14/T25462022
b) 应将设备或主要部件进行固定,并设置明显的不易除去的标识; C) 应将各类机柜、设施和设备等通过接地系统安全接地; 2 机房应设置灭火设备; e) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; f 应设置必要的温湿度调节设施,使机房温湿度的变化在设备运行所允许的范围之内; g) 应在机房供电线路上配置稳压器和过电压防护设备。
网络结构包括但不限于: a) 1. 政府网站集约化平台如采用主机托管或主机租用方式建设运行,应选择由当地政府集中建设 的信创数据中心; b)政府网站集约化平台使用的信创云计算服务,应按照GB/T31167要求提供计算资源、存储资 源、网络资源,实现与其他政务租户、非政务租户资源的安全隔离; c)1 政府网站集约化平台的网站服务程序、后台管理程序、数据库系统应分网络区域分开部署,
网络性能包括但不限于: a) 1 政府网站集约化平台对外提供服务的互联网独享带宽应不低于100Mbps/200Mbps。共享带宽条 件下,网站互联网出口HTTP/HTTPS协议带宽应不低于100Mbps/200MbpS; b) 1 政府网站集约化平台应采用负载均衡、分布式部署等方式实现多条互联网接入链路之间、多 应用服务器之间、多数据库服务器之间等的负载均衡,
数据库安全包括但不限于: a 应选择国产安全数据库,并对数据库系统进行安全加固; b) 数据库系统应遵循最小安装原则,仅安装应用必需的服务、组件等
DB 14/T 25462022
C 应及时修改数据库系统的默认密码或将默认账号锁定、删除,按照相应的基线配置要求对数 据库系统进行配置。口令应由大小写字母、数字及特殊字符组成。普通用户的口令长度不宜 短于10个字符,系统管理员用户的口令长度不宜短于12个字符,且每一个月至少修改一次; H) 2 应按照最小权限原则设计数据库角色和权限,并将相应账号分配给对应的用户,避免账号共 用和权限滥用; ? 应支持用户设定仅允许服务器从VPC内部访问数据库服务; f) 应提供白名单设置功能防撞栏施工方案,用户可以设置IP白名单,仅允许指定源IP访问用户的数据库实例 服务。
身份鉴别包括但不限于: 2 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求 ? 并定期更换; b) 2 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自 动退出等相关措施; C) 应采用口令、密码技术、生物特征识别技术等两种或两种以上组合的鉴别技术对用户进行身 份鉴别,且其中一种鉴别技术应使用密码技术来实现。
网页防纂改包括但不限于: a 1 应提供必要的防纂改服务,保证网站页面安全; OD) 应能够对网页文件被访问时进行完整性检查包括但不限于静态网页文件(HTML/CSS文件)、 图像文件(GIF/JPG/PNG/BMP文件)、动态脚本文件(ASP/JSP/PL/PHP文件)、多媒体文件 (WAV/MP3/FLS/MPEG文件)、二进制可执行实体(CGI/DLL/EXE文件)、其他所有可以在URI 中访问/下载的文件;
网页防篡改包括但不限于: a) 2 应提供必要的防篡改服务,保证网站页面安全; O0) 应能够对网页文件被访问时进行完整性检查包括但不限于静态网页文件(HTML/CSS文件 图像文件(GIF/JPG/PNG/BMP文件)、动态脚本文件(ASP/JSP/PL/PHP文件)、多媒体 (WAV/MP3/FLS/MPEG文件)、二进制可执行实体(CGI/DLL/EXE文件)、其他所有可以在 中访问/下载的文件:
DB 14/T25462022
6.6其他安全防护要求
其他安全防护要求包括但不限于: a) 定期进行安全演练; b) 应修改或删除默认账户,修改默认账户的默认口令 C) 应及时删除离职人员账户; d) 应对重要功能开展源代码备份工作
数据备份与恢复包括但不限于: a) 应提供重要数据的本地数据备份与恢复功能; D) 应提供异地备份功能,利用通信网络将重要数据备份至备份场地; C) 1 应提供重要数据处理系统的热究余杭锦后旗三道桥镇新渠村四级油路施工组织设计,保证系统的高可用性; d) 1 政府网站及统一信息资源库的应用程序、系统数据(用户信息、发布信息等)、配置数据(网 站应用、操作系统、数据库及网络、安全设备的配置信息等)及审计日志等宜定期进行备份, 应每周进行一次完全备份、每3个月实施一次备份恢复演练; e) 1 针对内容发布等网站关键业务的重要数据、个人信息及隐私信息,应采取异地数据备份措施 将关键数据定时批量传送至备用场地。