GB/T 34080.3-2021 基于云计算的电子政务公共平台安全规范 第3部分:服务安全.pdf
- 文档部分内容预览:
3.1基本型服务安全要求
基本型服务安全要求包括: a)应制定服务安全监控策略和规范,规定监控的主体、范围、责任等内容; b)应实时监测服务的资源、重要行为、运行状态、安全事件等; c)应对服务监管中异常状况进行报警。
基本型服务安全要求包括: a)应制定服务安全监控策略和规范,规定监控的主体、范围、责任等内容; b)应实时监测服务的资源、重要行为、运行状态、安全事件等; )应对服务监管中异常状况进行报警,
5.3.2加强型服务安全要求
钢管标准加强型服务安全要求包括: )应及时审查和更新监控策略及相关规程 b)应结合服务评估结果和审计结果及时调整监控策略
5.3.3高等级服务安全要求
同 5.3.1 和 5.3.2
同5.3.1和5.3.2。
5.4.1基本型服务安全要求
基本型服务安全要求包括: 应制定审计策略和规范,包括审计主体、范围、人员、责任等内容; b) 应根据安全需求和服务使用机构要求,制定可审计事件清单,记录并维护审计记录; 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等; 应保证所提供审计数据的真实性; 应对审计记录进行审查和分析,定期提供审计分析报告
5.4.2加强型服务安全要求
加强型服务安全要求包括: a 应指定独立的安全审计人员负责管理审计记录,并在授予审计人员访问权限之前对其进行审 查并定期复查; b) 应根据法律法规及服务使用机构的要求进行审计记录的保存; 应定期审查和调整审计策略; d) 当法律法规、服务使用机构需求或服务面临的威胁环境发生变化时,应及时调整审计策略; e 应加强审计数据的保护,
5.4.3高等级服务安全要求
高等级服务安全要求包括: a)应保证所提供审计数据的完整性 b)应支持第三方审计
高等级服务安全要求包括 应保证所提供审计数据的完整性; 6)应支持第三方审计
5.5.1基本型安全要求
基本型安全要求要求包括: a) 服务升级时,应确保服务使用的连续性和一致性,同时服务使用机构的数据不丢失; b) 服务退出时,应全部返还服务使用机构的所有数据,同时销毁服务使用机构的数据,并确保数 据不可恢复; c 服务迁移时,应采取相关安全措施确保服务迁移过程中数据机密性和完整性,同时销毁服务使 用机构的数据,并确保数据不可恢复; d) 服务变更时,应确保服务使用机构对其数据的所有权不变,防止未授权的访问和使用
5.5.2加强型服务安全要求
应提供自动化服务变更手段。
5.5.3高等级服务安全要求
5.6.1基本型服务安全要求
基本型服务安全要求包括: a) 应定期开展风险评估,或者在服务变更时,或者在出现其他可能影响服务安全状态的条件时, 重新进行风险评估 b)应将风险评估结果记录在风险评估报告中,并将风险评估结果发布至相关人员; 应根据风险评估报告,有针对性地对服务进行安全整改
5.6.2加强型服务安全要求
5.3高等级服务安全要求
应引入第三方机构开展安全服务认证和评估工作,对服务安全进行评价
GB/T34080.3—2021
云计算的电子政务公共平台总体规范第2部分:
中华人民共和国国家标湘
CB/T34080.4—202
基于云计算的电子政务公共平台
GB/T34080.4—2021
GB/T34080《基于云计算的电子政务公共平台安全规范》分为以下4个部分: 第1部分:总体要求; 第2部分:信息资源安全; 第3部分:服务安全; 一第4部分:应用安全, 本部分为GB/T34080的第4部分 本部分按照GB/T1.1一2009给出的规则起草。 本部分由中华人民共和国工业和信息化部(通信)提出并归口, 本部分起草单位:西安未来国际信息股份有限公司、中国信息通信研究院、中国联合网络通信集团 有限公司、曙光云计算集团有限公司、国云科技股份有限公司 本部分主要起草人.白峰、石友康、刘述、张磊、张辉、石慧、刘镐、寇金锋、贾玉栋、熊梦
电子政务发展正处于转变发展方式、深化应用和突出成效的关键转型期。政府职能转变和服务型 政府建设对电子政务发展提出了更新、更高的要求。以云计算为代表的新兴信息技术、产业、应用不断 涌现,深刻改变了电子政务应用服务发展技术环境及条件。构建基于云计算的电子政务公共平台可以 充分发挥既有资源的作用和新兴信息技术潜能,加快电子政务发展创新,提高应用支撑服务能力,增强 安全保障能力,减少重复建设、避免各自为政和信息孤岛 应用服务是指政务部门直接使用电子政务公共平台上提供的各种应用服务软件,快速实现业务应 用的服务。电子政务公共平台要统一规划、设计、开发和部署政府网站系统、邮件系统、即时通讯、电子 公文传输系统、电子签章系统、办公 务软件,供各政务部门按需调用。电子政务公共 平台服务提供机构要充分考虑云计算技术应用带来的应用安全风险,针对可能出现的数据丢失与泄露, 共享技术漏洞、不安全的应 用安全保护措施
GB/T34080.4—2021
基于云计算的电子政务公共平台 安全规范第4部分:应用安全
GB/T34080的本部分规定了基于云计算的电子政务公共平台的应用安全实施、应用安全运维、应 用安全管理和应用安全测试。 本部分适用于基于云计算的电子政务公共平台上所提供的应用的安全建设、实施和管理过程。 注:除非特殊说明,以下各章中“电子政务公共平台”、“公共平台”均指“基于云计算的电子政务公共平台”。 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T34078.1一2017基于云计算的电子政务公共平台总体规范第1部分:术语和定义 GB/T34080.1一2017基于云计算的电子政务公共平台安全规范第1部分:总体要求
GB/T34080的本部分规定了基于云计算的电子政务公共平台的应用安全实施、应用安全运维、应 用安全管理和应用安全测试。 本部分适用于基于云计算的电子政务公共平台上所提供的应用的安全建设、实施和管理过程, 注:除非特殊说明,以下各章中“电子政务公共平台”、“公共平台”均指“基于云计算的电子政务公共平台”。
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T34078.1一2017基于云计算的电子政务公共平台总体规范第1部分:术语和定义 GB/T34080.1一2017基于云计算的电子政务公共平台安全规范 第1部分:总体要求
3.1 应用安全applicationsecurity 电子政务公共平台上提供的完成电子政务应用功能的所有应用软件及相关组件的安全
5公共平台应用安全威胁分析
c)应做好应用配置管理系统的访问权限控制
6.3.1组件通信安全
数据库安全要求包括: a 应明确数据库相关的用户管理、资源管理、特权管理和角色管理,明确各种用户的资源权限,并 建立规范的权限文档; b) 数据库原则上应及时更新重要补丁,在安装补丁前应先在测试环境进行,提前进行数据备份, 充分准备回退方案和应急预案; 数据库的配置应符合相应的基线配置要求; d 应及时修改数据库的默认密码或将默认账号锁定、删除; e 数据库的账号应根据业务和维护需要进行合理分配,避免账号共用
容错设计要求包括: a)应用软件应包含各模块的出错处理设计: b 应用软件应包含可能出现的各种异常情况的安全处理设计; C 应用软件应包含抗网络攻击的能力的设计及系统脆弱性分析; d)应用软件应包含对于应用软件本身的资源及服务的优先保障设计
安全隔离要求包括: 公共平台服务提供机构应保证不同服务使用机构的业务系统、虚拟机、虚拟网络、虚拟存储之间的 安全隔离。
安全隔离要求包括: 公共平台服务提供机构应保证不同服务使用机构的业务系统、虚拟机、虚拟网络、虚拟存储 安全隔离。
应用迁移部署要求包括: )应制定迁移部署计划,并对相关人员进行安全培训; 6)应进行配置设计,实现资源提供、资源配置和配置方案生成服务 c)应进行包含但不限于安全配置、整体安全功能联调等安全建设:
以用迁移 水包括: a)应制定迁移部署计划,并对相关人员进行安全培训: b)应进行配置设计,实现资源提供、资源配置和配置方案生成服务; C)应进行包含但不限于安全配置、整体安全功能联调等安全建设:
d)应在用迁移前明确业务应用迁移所需的各类资源的需求,按照业务部门使用电子政务公共平 台资源的深度,提供资源配置; e 在应用迁移之前应对应用进行漏洞扫描、代码审计等安全检查,确保迁移应用的安全; f)应制定应用迁移部署的应急预案和回退机制; g)应保证应用系统迁移至电子政务公共平台的业务可用性及业务连续性
应用试运行要求包括: a)应模拟实际运行情况对应用进行全面的安全测试; b)应加强试运行期间的安全监测,全面查看各种日志信息,以便能及时发现问题并进行整改; c)应提高试运行期间的数据备份频率,以便出现问题时能尽可能地恢复丢失的数据。
应用试运行要求包括: )应模拟实际运行情况对应用进行全面的安全测试 b)应加强试运行期间的安全监测,全面查看各种日志信息,以便能及时发现问题并进行整 c)应提高试运行期间的数据备份频率,以便出现问题时能尽可能地恢复丢失的数据。
应用交付要求包括: a 应制定详细的应用交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; b 应对负责应用运行维护的技术人员进行相应的技能培训; C) 应指定或授权专门的部门负责应用交付的管理工作,并按照管理规定的要求完成应用交付 工作
应用交付要求包括: a 应制定详细的应用交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; b 应对负责应用运行维护的技术人员进行相应的技能培训; 应指定或授权专门的部门负责应用交付的管理工作,并按照管理规定的要求完成应用交 工作,
应用下线要求包括: a)应根据下线应用明确应用下线过程中的各角色职责分工,确保应用下线过程不影响平台及其 他应用的正常运行,做好应用下线的各项保障工作; b 应制定详细的移交清单,应根据移交清单返还服务使用机构的应用数据信息(包括历史数据和 归档数据); 应彻底删除服务使用机构的数据信息及所有备份,对服务使用机构的数据存储介质应彻底 清理; 根据应用下线后的处理情况配合服务使用机构做好相应的衔接工作,如应用迁移至其他云上, 或应用废弃,应按照相关规定做好应用的 销和数据留存工作
7公共平台应用安全运维
基本要求包括: a 基线配置:应制定并实施应用配置管理管理计划,应包括应用基线配置策略、软件使用与限制 策略等,并将该策略分发至开发人员和运维人员,按照配置要求制定、记录并维护应用系统当 前的基线配置。 b)授权与控制:应对电子政务公共平台应用系统的安全功能和安全相关信息的访问进行明确授 权。严格限制特权账号分配,确保应用系统能够阻止非特权用户执行特权功能,以防禁止、绕 过、或替代已实施的安全措施, c) 补丁管理:制定并实施应用补丁管理计划,应包括应用补丁修复策略、版本升级策略等,并将该 策略分发至开发人员和运维人员,在安装前测试与安全缺陷相关的软件和固件升级包,验证其 是否有效.以及验证其对电子政务平台可能带来的副作用
d)变更管理:应制定变更管理策略,明确应用受控配置列表,实施变更之前,对应用系统的变更项 进行分析,根据安全影响分析结果进行批准或否决,并记录变更决定。 存储备份:应提供应用及应用数据的备份与恢复功能,保证备份存储的机密性和完整性,通过 访问控制功能控制用户组/用户对备份数据的访问,防止数据的非授权访问和修改。 安全审计:应通过网络行为审计、主机审计、数据库审计和业务数据等方式对应用进行安全审 计,对电子政务公共平台上的应用活动或行为统一进行系统的、独立的检查验证,并制定和维 护审计记录。 安全监控:应能够实时有效地对平台上的应用的运行状态进行监控,能够检测出针对应用系统 的非授权连接使用,保障安全运维状态的有效管理
7.2合作平台/网站连接安全
接口安全要求包括: a)与合作平台/网站连接的接口应采用身份认证机制,验证接口调用方身份的合法性; b)与合作平台/网站连接的会话应设置生命周期,防止接口被恶意调用; c) 应对与合作平台/网站连接接口调用的数据进行合法性检测,防止基于注入式、跨站请求伪造 模式验证、输人输出编码等的攻击: d 应对与合作平台/网站连接接口设定资源使用权限,限定可访问的数据范围; e) 应记录接口调用过程的操作日志; f 与合作平台/网站连接接口应采用加密机制,保证数据的私密性
7.2.2 统一身份认证
统一身份认证要求包括: a 应要求对用户身份和权限认证,以保障合法访问资源; b)系统应支持基于第三方开发的统一用户管理,避免不同应用系统中用户信息不一致现象,可减 少应用系统用户管理的随意性,提高用户身份信息的真实性: C 应支持统一身份认证,支持基于权威第三方认证系统,提高用户身份鉴别的权威性: d 应同时支持基于口令和证书等多种认证方式,对于普通工作人员可采用口令方式认证,从事较 高敏感级别业务的用户采用证书方式进行强认证; 应支持单点登录功能,提供统一的用户登录接口,避免重复认证,减少认证服务负担
7.2.3统一授权管理与访问控制
统一授权管理与访问控制要求包括: a) 支持第三方统一授权管理,对安全政务办公系统内的功能模块进行授权,应具有和统一授权管 理系统的权限同步等必要接口; b) 支持基于功能模块的访问控制,根据用户角色动态生成系统功能菜单,要求动态生成的功能菜 单应不少于三级; c 在具有工作流的应用系统中,应支持基于工作流的访问控制,根据流程中定义的权限,进一步 对用户权限进行限制; d 应支持用户类型识别技术,要求执行重要操作的政务人员应是持key用户,防止重要业务的操 作权限被攻击者非法获取。如每次进行公文签批时都要重新判定政务人员是否是持key 用户
7.2.4统一运维管理
统一运维管理要求包括: a)应提供公共平台运维故障事件运维; b)应能够分级采集公共平台的运行状态数据,并支持向多级平台自动上报其运行状态数据; c)应支持监测运行在公共平台上业
应急预案要求包括: a 应建立健全应用安全建设预案,加强对公共平台的日常监测、监控,强化安全管理,对可能引发 信息安全事件的有关信息,要认真收集、分析判断,发现有异常情况时,及时处理并逐级报告; b 文件和数据库应备份,备份采用完全备份策略与部分备份策略相结合,备份数据应短时间可恢 复至正常运行; 应保持与应用开发商沟通渠道的畅通,确保在应急处理过程中遇到困难或问题时能及时获得 相关开发商的技术支援; 每年应至少两次按照应急预案,执行应急演练计划,并且在演练开始之前通知应用系统的用户 和相关部门; 应记录和核查应急演练结果,并根据需要修正应急响应计划
安全评估要求包括: )应定期或在应用系统或运行环境发生重大变更(包括发现新的威胁和漏洞)时,进行风险评估; 应将评估结果记录在风险评估报告中,并将风险评估结果发布至相关负责人; 应根据风险评估报告,有针对性地对公共平台的相关应用系统软件等进行安全整改,将风险 降低。
8公共平台应用安全管理
电子政务公共平合应用安全管 应用访问日志管理、应用系统功能管 送训机制
8.2应用基础数据管理
应用基础数据管理要求包括: a)公共平台应实现应用基础数据的集中管理,包括基础数据本地存储以及有关数据本地进行增 加、删除、修改等操作的功能,本地存储基础数据应实时保持与电子政务公共平台上线的实际 业务应用相一致,并且基础数据本地存储时间应不少于12个月, b 公共平台应支持采用XML或XLS等常见数据格式进行基础数据导人和导出。对于导人的 数据,平台应进行本地数据冲突校验,避免因导人数据可能出现的错漏与既有数据产生冲突。
8.3应用动态资源管理
8.3.1动态资源使用日志记录
动态资源适用日志记录要求包括:
GB/T34080.4—2021
a)公共平台应基于用户对电子政务公共平台虚拟资源、网络资源(IP地址和域名)的成功操作行 为,形成用户动态资源使用日志,用户动态资源使用日志包括:用户编号,用户可用资源变更时 间[精确到秒(s),对应时间用户提供应用服务的域名列表,用户拥有的公网IP地址列表及公 网IP地址资源对应的虚拟资源编号、虚拟资源类型 b)平台所记录的用户动态资源使用日志保存时间应满足国家和行业主管部门所规定的要求,并 且在规定的保存时间内,若用户名下有动态资源,则留存快照数应≥1
8.3.2动态资源使用日志查询
动态资源使用日志查询要求包括: a 公共平台应支持以单个用户编号及查询时间(即明确起止时间点的查询时段,时间跨度以不大 于30d为宜)为条件对动态资源使用日志有关学段内容的精确查询、检索功能,依据单个用户 编号及查询时间,平台应至少上报:用户编号、用户查询时间段内所有可用的域名信息列表、用 户拥有的公网IP地址列表及公网IP地址资源对应的虚拟资源编号、虚拟资源类型 b)应支持以单个IP地址及查询时间(即明确起止时间点的查询时段,时间跨度以不大于30d为 宜)为条件对动态资源使用志有关字段内容的精确查询、检索功能。依据单个IP地址及查 询时间,平台应至少上报:查询时间段内网络资源所属用户编号、对应的虚拟资源编号、虚拟资 源类型。 C 应支持以单个域名及查询时间(即明确起止时间点的查询时段,时间跨度以不大于30d为宜) 为条件对网络资源操作日志有关字段内容的精确查询、检索功能,依据单个域名及查询时间, 平台应至少上报:查询时间段内网络资源所属用户编号
8.4应用业务状态管理
8.4.1应用活跃状态监测管理
量监测,对通过电子政务公共平台接入的活跃域名、活跃IP、活跃应用等信息进行统计,形成 活跃资源监测记录。对活跃域名监测 记录应包括发现的活跃域名、首次采集时间、最后活跃时 间、24h累计访问量、IP地址;对于泛解析的域名,平台应合并监测记录至上级域名, b 对活跃IP及应用端口监测记录应包括发现的活跃IP、应用端口、传输层协议类型(TCP UDP)、首次采集时间、最后活跃时间、24h累计访间量 应支持通过访问量对活跃域名及活跃IP进行排序,以反映相应资源的活跃程度。同时,平台 应实现活跃资源监测记录的本
3.4.2应用异常状态监测
应用异常状态检测管理要求包括: 电子政务公共平台应能基于基础数据记录、动态资源使用日志及活跌资源监测记录,对电子政 务公共平台租户接入的IP地址进行全面的监测,自动实时发现异常的IP地址接人、未启用 未分配状态的IP地址接人等异常情况,并形成异常监测记录。 b)异常监测记录应包括:发现异常的IP地址、登记使用方式和实际使用方式、发现时间/处置时 间、当前状态(已处置或未处置)等监测信息, 异常监测结果应按“零报告”的要求定时向电子政务公共平台维护人员、租户上报,即未监测有 异常结果时,应上报零个
)对于监测发现的异常情,如在 上报周期内即完成处置。应实现基础数据监测异常记录
8.5应用访问日志管理
8.5.1访问日志记录功解
访问日志记录功能要求包括: a 对于可通过传输层协议或应用层协议头信息区分会话特征的数据流量,平台应以会话为单位 记录访问日志,记录信息至少应包括源IP、目的IP、源端口(通过这两个网络资源可以反查到 它的虚拟资源和物理资源)、目的端口、访问时间起始时间,精确到秒(s),使用域名的访问需 留存域名,属于浏览类协议的访问需留存URL。 b)对于采用加密方式的会话,记录的访问日志应至少包括源IP、目的IP、源端口、目的端口、访问 时间L起始时间,精确到秒(s), C 对于无法通过传输层协议或应用层协议报文头内容区分会话特征的数据流量,平台应以数据 流(源IP、目的IP、源端口、目的端口均相同,速率大于1顿/s且持续时间大于10s的数据流 量)为单位记录访问日志,记录信息至少应包括源IP、目的IP、源端口、目的端口、起始访问时 间L起始时间,精确到秒(s)」、持续时长L精确到秒(s)
8.5.2日志查询方式
日志查询方式要求包括: 电子政务公共平台应支持对访间日志记录有关字段内容的精确查询、检索功能
8.5.3日志记录查询结果
日志记录查询结果要求包括: a 依据源IP地址、源端口及查询时间,平台应至少上报:目的IP地址、目的端口、用户访间URL (仅浏览类协议的访问志)、用户访问应用程序(仅应用程序的访问间目志)、访问时间: b 依据源IP地址及查询时间,平台应至少上报:目的IP地址、目的端口、用户访问URL(仅浏览 类协议的访问日志)、用户访问应用程序(仅可识别应用程序的访问日志)、访问间时间; C 依据目的IP地址、目的端口及查询时间,平台应至少上报:源IP地址、源端口、用户访问URL (仅浏览类协议的访问日志)、用户访问应用程序(仅可识别应用程序的访问日志)、访问时间; d 依据用户访问URL(仅浏览类协议的访问日志)及查询时间,平台应至少上报:源IP地址、源 端口、目的IP地址、目的端口、访问时间
8.5.4日志留存时间
日志留存时间要求包括: 电子政务公共平台所记录访问日志的保存时间应满足国家和行业主管部门所规定的要求
8.6应用系统功能管理
权限管理要求包括: a)应实现对系统管理人员、操作人员、维护人员的身份认证和权限管理,根据不同的角色授予相 应的权限,未经授权的用户不得使用平台的相应功能; b)应严格限制默认账号的权限,各账号应依据最小授权原则授予为完成各自承担任务所需的
GB/T34080.4—2021
权限; C 应记录系统登录和操作日志,记录至少应包括登录/操作账号、时间、登录用户IP及操作内 容等; d 应对下发指令及其执行状态进行有效保护,防止受到未授权的干扰与影响,且平台应能根据下 发指令中的可读标记,来实现平台侧全部用户对特定指令及其执行结果的权限控制
运行维护要求包括: a) 应实现各子系统、组件程序的集中配置管理勘探标准,对各系统、服务程序的运行状态进行实时监控,为 系统的正常运行提供保障; 应能对系统设备及接口状态进行持续监测,并按业务经营单位为单位,定期上报系统运行状态 蓝测结果(上报周期10min)
8.7.1违法违规应用管理
违法违规应用管理要求包括: a 应具备通过与公共平台服务使用机构本地的应用备案记录、违法应用记录等数据进行比对的 方式,自动实现对未备案应用和违法违规应用的监测、处置等功能。 b 应支持违法应用列表本地管理功能,并能自动更新监管部门下发的违法网站应用、免过滤网站 应用列表(域名形式)。违法违规应用监测记录应包括:违法违规应用的域名、IP、服务内容、违 法违规情况、24h累计访问量、记录时间(最后访问时间)、当前状态(已处置或未处置)、处置 人账号。其中,处置人账号为实施处置操作的用户登录名。 c) 违法违规应用监测记录应定时上报给电子政务公共平台管理维护人员。 d)对于监测发现的违法违规应用,如在一个上报周期内处置状态发生变化,平台应基于处置状态 应生成至少两条独立的记录并上报。如一个上报周期内没有监测到新增的违法违规网站,平 台应按“零报告”要求上报监测结果(即上报当前监测时段内违法违规网站监测记录结果为零 的报告)。 e) 应实现监测记录的本地存储功能,保存时间不少于60日,并支持查询功能
8.7.2违法信息监测和处置
违法信息检测和处置要求包括: 1 公共平台应支持通过监管部门下发违法信息监测/过滤指令的方式,至少实现基于IP地址(使 用特定源/目的IP的数据包或会话)、源/目的端口(使用特定源/目的端口的数据包会话)、传 输层协议类型(TCP/UDP)、域名、URL使用特定URL所指向的资源)、关键词、多媒体哈希 值(特定图片、视频、音频文件的哈希值)(可选)规则的违法信息管理功能。 b) 应对所有符合违法信息监测/过滤规则的TCP和UDP协议流量进行监测、过滤处置, 应确保在信息安全指令管理功能的实现过程中,按照下发指令的优先级高于平台本地指令、过 滤指令的优先级高于监测指令的原则,根据相关指令的优先级实现规则冲突校验和提醒功能 d 违法信息监测/过滤记录应至少包括源/目的IP、源/目的端口、违法信息、首次触发时间、最近 触发时间、触发指令次数以及触发的指令标识,对浏览类应用还需记录URL。对于符合违法 信息监测/过滤规则指定域名、URL的页面或页面标题或正文含有违法信息监测/过滤规则指
存)。 e 对于页面中含有违法信息监测/过滤规则的页面,平台应在当日的首次监测过滤记录保存相应 页面的快照(包括页面文本、图片、视频、音频) 平台可选支持基于违法信息监测、过滤规则的代理发现功能,并记录代理类型和代理IP。对 于生效的违法信息监测、过滤指令,平台至少应缓存有关监测、过滤记录直至完成上报
存)。 e 对于页面中含有违法信息监测/过滤规则的页面,平台应在当日的首次监测过滤记录保存相应 页面的快照(包括页面文本、图片、视频、音频) 平台可选支持基于违法信息监测、过滤规则的代理发现功能,并记录代理类型和代理IP。对 于生效的违法信息监测、过滤指令,平台至少应缓存有关监测、过滤记录直至完成上报
电气安全标准9公共平台应用安全测试
公共平台应用安全测试要求包括: a)应通过多种身份鉴别,验证用户身份标示的唯一性; b) 应使用安全扫描工具进行安全扫描,检测平台应用是否存在网络钓鱼,跨站点攻击,SQL注人 等安全隐惠; 测试各个应开放业务系统的接口,能够进行源代码审查; d)应对应用的数据库安全进行测试,包括但不限于用户操作、用户权限、数据的加密等; e) 应对应用构件库和构件封装进行安全测试,测试内容包括但不限于认证管理、访问控制、构件 上传、构件交付等; 应对业务应用的支撑环境进行安全测试,测试内容包括但不限于不同的业务节点的安全域内 安全域外迁移等; g 应对业务应用的资源进行安全测试,测试内容包括但不限于访问控制、会话压力、资源分配、资 源授权认证、密钥管理、资源控制等
....- 电子标准
- 相关专题: 电子政务