DB23/T 2837-2021 黑龙江“全省事”移动政务服务平台总体规范.pdf
- 文档部分内容预览:
互联网统一身份认证系统,为用户提供统一的实名认证服务,实现面向自然人、法人的实名制 注册与统一用户管理功能; 省级电子证照管理系统,将纸质证照电子化,实现证照信息全省跨区域、跨部门、跨行业互认 和共享; C 业务办理系统,其他第三方业务系统通过接入黑龙江“全省事”的办件和便民服务接口,向自 然人、法人提供在线的办件数据信息查询服务; 黑龙江政务服务平台工作门户,为全省政务服务工作人员提供统一的投诉咨询处理服务,将群 众的投诉、建议、咨询、反馈和评价等数据受理转办,形成上下覆盖、部门联动和标准统一的 政务服务咨询投诉体系; e 政务服务事项管理系统,为黑龙江省政务服务平台提供政务服务事项信息。自然人、法人可网 上办理的事项经过用户注册和登录认证后可进行事项办理
黑龙江“全省事”为自然人、法人提供政务服务,包含5大部分功能:首页功能、服务功能、办 “我的”功能和咨询功能。黑龙江“全省事”功能结构见图2。
图2黑龙江“全省事”功能结构
黑龙江“全省事”APP的登录和退出功能需要与互联网统一身份认证系统进行交互,通过该系统对 用户信息进行必要的核验。登录/退出功能的流程见图3。
变电站标准规范范本图3登录/退出功能流
.4.1黑龙江“全省事”服务功能需要与第三方业务系统进行交互,由第三方业务系统经互联网统一身 分认证系统认证后对便民服务进行受理,流程见图4。
服务功能包括: a) 站点切换,全省站点间进行切换; b) 服务分类,根据不同主题展示便民服务; c) 服务列表,分类展示便民服务; d)服务搜索,提供便民服务搜索; e)市场主体信息,在页面中进行查询。
图4 服务功能流程图
黑龙江“全省事”服务功能需要与第三方业务系统进行交互,可网办的事项由第三方业务系统 理,受理过程中需要通过省级电子证照管理系统获取证照信息,办事功能流程见图5
办事功能包括: a)站点切换,省内站点间进行切换; 台 b) 事项搜索,搜索可办理事项; C 事项分类,根据不同分类展示事项; d) 事项详情, 展示事项具体内容; e) 事项收藏,对事项进行收藏; f) 在线办事,对可以网上办理的事项进行在线办理。
办事功能包括: a)站点切换,省内站点间进行切换; b) 事项搜索,搜索可办理事项; c) 事项分类,根据不同分类展示事项; d 事项详情,展示事项具体内容; e) 事项收藏,对事项进行收藏; f)在线办事,对可以网上办理的事项进
“我的”功能提供以下内容: 设置,个性化应用配置; b)我的办件,对正在办理和已办结的事项进行查看和办理; 我的收藏,展示收藏的事项; d)我的投诉,对已办理过的事项进行投诉; 我的咨询,咨询办理事项的业务信息; 我的证照,查看电子证照的信息和亮证功能; 我的社保卡,管理和查看电子社保卡; 我的建议,对办理事项提出建议; 用户登录,提供自然人和法人用户的登录功能; 我的评价,对历史办件的评价信息进行查看; 实名认证,对实名认证信息进行完善。
黑龙江“全省事”便民功能应提供以下内容: a)服务分类,根据不同主题展示便民服务; b)服务列表,使用列表展示不同分类的便民服务。
与第三方应用系统进行交互时应对接口访问安全性进行设计,建议使用两种鉴权模式: a)安全鉴权:请求签名机制,双方以安全方式存储通讯密钥; b)白名单鉴权:接口白名单,接口的开放针对黑龙江省移动政务服务加入白名单。
为保护数据黑龙江“全省事”在建设时应根据实际业务情况,对输出的数据进行脱敏处理 展示,
黑龙江“全省事”为保障应用的并发能力和承载移动政务高访问量,要求应用的服务端接 接口缓存。
全省事”的所有页面底部都应注明“本服务由某
黑龙江“全省事”对系统支持要求,需兼容主流移动设备,确保开发的应用可适配大部分主流尺寸 的屏幕,给予用户良好的使用体验,
3.8.1禁止应用前端直接调用外部服务资源,包括但不限于应用提供单位开放的外网应用系统数据接 口,降低应用提供单位原始接口暴露的风险,同时要求保障接口调用和数据传输的安全。通常应用服务 不应直接调用外部服务。 3.8.2对于应用服务页面内容引用的静态资源(JS文件、CSS文件、图片等),这部分资源应随应用服 务部署在省级电子政务云平台互联网区,通常情况下不使用外链资源
应对应用支撑、业务应用和数据保护等进行风险分析和业务影响分析,衡量确定灾难恢复目标,制 定平台灾难恢复预案,定期组织演练,保证关键业务持续运行并减少非计划岩机时间。应定期编制信息 安全事件情况报告。
9.1.3安全事件处置
应制定安全事件报告和处置管理制度。根据有害程序事件、网络攻击事件、信息破坏事件、信息内 容安全事件、设备设施故障、灾害性事件和其他事件等安全事件类型,应制定安全事件报告和响应处理 程序,确定事件的报告流程,响应和处置的范围,以及处理方法和规定安全事件的报告和恢复的管理职 责。
9. 2. 1总体要求
9. 2.2 基础设施安全要求
安全标准2.3应用支撑安全要求
9.2.3.1接口安全:采用安全密钥技术,保障资源访问的AP1接口安全。 9.2.3.2数据库安全:及时验证并更新安全补丁。应采用但不限于通过保障帐号和密码安全、服务端口 和网络连接安全配置和数据库应用系统的安全设置来提高数据库的安全性
9.2.4业务应用安全要求
4.1应用安全:应用安全防护要求按GB/T22239执行。 4.2中间件安全:应安装其适用的所有安全补丁。应对应用部署的中间件服务状态进行实时监控
9.2.5数据保护要求
9.2.5.1身份认证与授权:应对登录访问应用服务的用户方进行身份识别和鉴别。 9.2.5.2账户保护:应定期针对数据保护、重要信息资源访问进行测试。平台禁止明文存储口令数据。 提供登录失败处理功能,采取结束会话、限制非法登录次数和自动退出等措施。 .2.5.3数据加密:应对应用系统中的重要数据采取加密机制保护措施,以保证数据的保密性和完整性 9.2.5.4备份与灾难恢复:应提供数据备份与恢复功能,按照备份策略定期备份。主从服务器应实时同 步数据,可同时分担业务及管理系统的运行,并可切换运行
10. 2运维管理制度
建立健全移动政务服务平台运维工作管理、技术规范和操作规程等运维制度钢筋工程,应包含变更管理流程 事件管理流程和安全保密制度等。
黑龙江“全省事”运维团队运维内容应包括但不限于对基础软件、应用软件和信息资源等的运维 具体如下: a)基础软件运维应包括但不限于操作系统维护、数据库系统维护和中间件等工具软件维护等: b)应用软件运维应包括但不限于系统日常维护、系统故障检测及排除、系统重部署及调试和系经 性能优化等: c)信息资源运维应包括但不限于对数据处理、数据备份和迁移等。
....- 相关专题: 政务