35.070CCS L

06

DB36江 西 省 地 方 標 準DB36/T

電子政務共享數據統一交換平臺安全接入技術規范Security

access

of

data

2021-12-31

發布 2022-06-01

實施江西省市場監督管理局 發

布DB36/T

1540—2021 前言

................................................................................

II1

范圍

..............................................................................

12

規范性引用文件

....................................................................

13

術語和定義

........................................................................

14

總體要求

..........................................................................

25

接入概述

..........................................................................

36

安全保障

..........................................................................

37

終端要求

..........................................................................

58

賬戶管理

..........................................................................

59

故障報修

..........................................................................

6IDB36/T

1540—2021 本文件按照GB/T

草。請注意本文件的某些內容可能涉及專利，本文件的發布機構不承擔識別這些專利的責任。本文件由江西省發展和改革委員會提出并歸口。本文件起草單位：江西省信息中心。本文件起草人：杜軍龍、曹成立、何黎明、周劍濤、龍映輝、文劍、熊良、張靜、張茜、邵海春、涂旭青、章維德、王演、袁小樂、占曉華。IIDB36/T

1540—20211

范圍本文件規范了江西省電子政務共享數據統一交換平臺安全接入的總體要求、接入概述、安全保障、終端要求、賬戶管理、故障報修等內容。系統安全接入交換平臺的基本流程。2

規范性引用文件件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T

21063.6 政務信息資源目錄體系

第6部分：技術管理要求；GB/T

22239

網絡安全等級保護基本要求；DB36/T

1124 政務信息資源目錄編制規范；DB36/T

1179 政務數據共享技術規范。3

術語和定義下列術語和定義適用于本文件。3.1電子政務外網

extranet其經濟調節、市場監管、社會管理和公共服務等方面需要的政務公用網絡。電子政務外網支持跨地區、邏輯隔離。3.2江西省電子政務共享數據統一交換平臺

Unified

exchange

platform

of

e-government

shared

in

Jiangxi

現了跨部門、跨區域、跨層級的電子政務數據共享交換支撐平臺，具體可通過DB36/T

1179中的技術管理要求定義相關功能。3.3政務信息資源

information

resources息資源。3.4政務信息資源目錄

of

government

information

resources1DB36/T

1540—2021于控制和管理信息資源。3.5前置節點

Front

息資源的共享交換。3.6資源目錄分類

catalog

classification按照GB/T

1124中的資源目錄分類和管理，規范和指導政務信息資源目錄的編制。3.7政務共享類型

sharing

type部門共享使用的政務信息資源屬于無條件共享類;可提供給相關政務部門共享使用或僅能夠部分提供給所有政務部門共享使用的政務信息資源屬于有條件共享類;不宜提供給其他政務部門共享使用的政務信息資源屬于不予共享類。3.8資源提供方

provider通過江西省電子政務共享數據統一交換平臺政務共享門戶提供政務信息資源的全省各級政務部門，負責本部門信息資源的規劃、注冊、審核、發布以及對資源需求方訂單的審核。3.9資源需求方

demander通過江西省電子政務共享數據統一交換平臺數據共享門戶訂閱并獲取政務信息資源的全省各級政務部門。3.10用戶單位

User

unit使用江西省電子政務共享數據統一交換平臺的全省各級政務部門。3.11運維單位

Operation

and

maintenance

unit江西省電子政務共享數據統一交換平臺運營及維護單位。4

總體要求4.1

管理劃分全省統一的交換平臺的管理結構由省、市二級交換平臺組成，主要包含內容如下：信息資源目錄信息以及市級共享平臺接入的政務信息資源目錄信息；原則上不另行建設交換平臺，采取接入市級平臺的方式進行共享。2DB36/T

1540—20214.2

接入鏈路接入全省電子政務共享數據統一交換平臺需接入電子政務外網區的專用鏈路且符合相關的技術條件，保障全省各級政務部門電子政務外網區的安全穩定運行。4.3

管理單位技術要求。5

接入概述5.1

接入部門經允許任何單位和個人不得接入交換平臺。5.2

接入申請換平臺。5.3

同級接入轄縣（市、區）政務部門接入市級交換平臺。5.4

接入流程接入交換平臺的步驟如下：1)用戶單位向本級交換平臺管理單位提出接入、變更和注銷申請，并填寫交換平臺接入申請表；2)本級交換平臺管理單位對用戶單位的申請進行審核；位說明拒接理由。對注銷申請平臺業務，按操作流程注銷該用戶單位的交換平臺業務。6

安全保障6.1

安全保障措施6.1.1

交換安全措施交換平臺支持庫表數據、文件數據的交換以及服務接口數據交換，主要提供以下安全措施：傳輸加密措施；均衡配置，保障數據交換及服務調用的正常運行；3)實時監控數據交換通道、服務接口的運行情況，出現問題及時告警；況等信息，以支持防抵賴；5)服務代理應支持

HTTPS

協議。6.1.2

存儲安全措施交換平臺主要存儲目錄數據和資源提供方授權平臺存儲的數據，分別歸集到目錄系統和資源中心，在數據存儲和處理過程中應提供但不限于以下安全保障措施：3DB36/T

1540—2021對登錄用戶進行身份標識和鑒別，登錄控制機制要保證任何應用不能繞過登錄模塊而直接訪問系統；2)對歸集的數據進行完整性校驗、安全性檢查；3)對數據操作按照最小授權原則進行權限控制；4)監控數據操作整體流程，提供數據使用過程、系統日志的審計。6.1.3

數據安全措施標記，采取不同強度的控制措施：1)數據資源分類分級存儲，對存儲區域隔離防護，對敏感和重要數據應采用國密算法加密保護；2)對數據定期進行備份，對敏感和重要數據采取異地備份方式備份，并定期進行數據恢復演練；3)對數據進行安全監控與分析，及時發現數據安全風險；4)原則上資源提供方需對敏感數據進行脫敏處理。6.1.4

發布安全措施政務信息資源對外發布應提供但不限于以下安全保障措施:1)對資源需求方進行授權和身份驗證；2)建立統一的用戶管理機制；3)對涉及隱私的數據脫敏后發布；4)發布平臺應針對SQL攻擊、網頁爬蟲工具、網頁篡改等提供對應的安全防護措施；5)提供審計功能，記錄數據發布行為和用戶訪問行為。6.1.5

運維安全措施在運維管理方面應提供但不限于以下安全保障措施:1)明確安全管理人員、崗位及職責，防止特權用戶；2)禁止在開發、測試、分析過程中直接操縱原始數據，嚴格按照權限使用脫敏數據；3)禁止直接實施系統配置或變更，應在獲得授權并進行測試后實施；4)使用統一分配的終端，必要時安裝數據防泄漏軟件；5)采用第三方服務時應簽訂保密協議，并建立安全事件預警、通報和應急響應機制。6.1.6

防護安全措施在數據缺失和泄密防護方面應采取但不限于以下措施:1)明確資源提供方、交換平臺管理單位對信息內容的保密審查責任；2)開展網絡泄密竊密監測，并為主管部門開展監測提供必要的接口；3)交換平臺接入終端應當標注“禁止處理涉密信息”的標志。6.1.7

其他安全措施統完整性有關的特定的安全脆弱性，分析其存在的缺陷和漏洞，提出補救措施；

等級保護測評，依據測評報告制定整改措施并組織落實；3)應用國產商用密碼技術來保證數據的機密性和實體身份的真實性。6.2

資源安全要求6.2.1

資源提供安全要求

當通過終端上傳或下載信息時，應滿足但不限于以下安全要求:1)使用固定的終端，加強登記管理；4DB36/T

1540—2021碼組合須包含英文字母大小寫、數字、特殊字符任意兩種以上；3)終端安裝數據防泄漏軟件；4)終端安裝防病毒軟件。

當通過服務接口方式提供數據服務時，應滿足但不限于以下安全要求：1)對涉及隱私保護、重要敏感數據的共享，優先采用服務接口方式；2)通過服務接口參數設置等方式實現來源識別、訪問控制等功能；3)在邊界設置訪問策略；4)對重要業務數據采取基于國密算法的安全保障措施；5)服務接口應支持HTTPS協議。

當通過前置交換方式交換數據庫表和文件數據時，應滿足但不限于以下安全要求:1)保證數據內容的真實性；2)對數據分類分級，明確共享范圍，指定數據接收方；3)對重要數據采用基于國密算法的安全保障措施；4)原則上資源提供方需對敏感數據進行脫敏處理。6.2.2

資源使用安全要求按照共享范圍和方式使用數據，并妥善保管。

終端要求當通過終端上傳或下載信息時應滿足但不限于以下安全要求:1)使用固定的終端，加強登記管理；碼組合須包含英文字母大小寫、數字、特殊字符任意兩種以上；3)終端安裝數據防泄漏軟件；4)終端安裝防病毒軟件。

對所獲得的共享數據進行存儲和處理的過程中，應滿足但不限于以下安全要求:1)對數據操作按照最小授權原則進行權限控制；2)監控數據操作整體流程，提供審計功能；3)數據資源分類分級存儲，對存儲區域隔離防護，對重要數據采用基于國密算法的安全保障措施，對敏感數據進行脫敏處理；4)存儲和處理共享數據的信息系統，應按照國家等級保護要求進行管理；備安全審計。7

終端要求毒庫，并定期對終端進行安全掃描。8

賬戶管理8.1

賬戶管理5DB36/T