基本信息
发布历史
-
2023年12月
研制信息
- 起草单位:
- 济南市大数据局、中共济南市委网信办、济南市公安局、济南市自然资源和规划局、济南市应急局、山东省标准化研究院、国家网络软件产品质量监督检验中心(济南)、北京神州绿盟科技有限公司、北京启明星辰信息安全技术有限公司、深信服科技股份有限公司、中孚安全技术有限公司、山东正中信息技术股份有限公司、道普信息技术有限公司、杭州安恒信息技术股份有限公司、亚信科技(成都)有限公司、浪潮云信息技术股份公司、北京网猿科技有限公司
- 起草人:
- 王玮、李振、彭栋栋、韩霞、刘言杰、牛丽霞、孙东伟、宋涛、刘文涛、吴秀清、张英楠、、党斌、王曙光、公伟、党斌、黄飞、刘振国、赵治刚、杨文宏、任强、于志波、李文昌、路坤、张燕、李广贝、徐 猛、赵彬琦、刘鹏博、刘德莉、王明玺、魏丽丽、李玉婷、宋红涛、孟宪勇、张光坦、陈福康
- 出版信息:
- 页数:23页 | 字数:- | 开本: -
内容描述
ICS35.240.01
CCSL07
DB3701
济南市地方标准
DB3701/T49—2023
政务信息系统零信任网络安全应用要求
Governmentinformationsystem—Applicationrequirementsofcybersecurityforzero
trust
2023-12-29发布2024-01-29实施
济南市市场监督管理局 发布
DB3701/T49—2023
目次
前言..................................................................................II
引言.................................................................................III
1范围................................................................................1
2规范性引用文件......................................................................1
3术语和定义..........................................................................1
4缩略语..............................................................................1
5总体原则............................................................................2
6零信任网络安全应用要求..............................................................2
6.1已建政务信息系统................................................................2
6.2新建政务信息系统................................................................3
7网络安全应用管理要求................................................................4
附录A(资料性)已建政务信息系统零信任网络安全应用示例................................5
附录B(资料性)新建政务信息系统零信任网络安全应用示例................................8
附录C(资料性)政务信息系统零信任网络安全体系参考架构...............................13
参考文献..............................................................................17
I
DB3701/T49—2023
前言
本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由济南市大数据局提出、归口并组织实施。
II
DB3701/T49—2023
引言
2022年6月,国务院下发《关于加强数字政府建设的指导意见》(国发〔2022〕14号),提出构建
数字政府全方位安全保障体系,其中包括提升安全保障能力、建立健全动态监控、主动防御、协同响应
的数字政府安全技术保障体系。
为更好保障济南市政务信息系统网络安全,有必要在各部门、各区(县)政务信息系统建设运营中
借鉴零信任框架,加强政务信息系统零信任网络安全体系建设。本文件主要为各部门、各区(县)在政
务信息系统网络安全建设及运营过程中应用零信任提供规范和指导。
III
DB3701/T49—2023
政务信息系统零信任网络安全应用要求
1范围
本文件规定了政务信息系统零信任网络安全应用总体原则、应用要求和管理要求。
本文件适用于政务信息系统零信任网络安全建设和运维管理。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
GB/T22239信息安全技术网络安全等级保护基本要求
GB/T25069信息安全技术术语
GB/T28827.1信息技术服务运行维护第1部分:通用要求
GB/T35282信息安全技术电子政务移动办公系统安全技术规范
GB/T36626信息安全技术信息系统安全运维管理指南
GB/T40692政务信息系统定义和范围
3术语和定义
GB/T25069、GB/T40692界定的术语和定义适用于本文件。
4缩略语
以下缩略语适用于本文件。
API:应用程序接口(ApplicationProgramInterface)
DDos:分布式拒绝服务(DistributedDenialofService)
DGA:域名生成算法(DomainGenerateAlgorithm)
H5:第5代超文本标记语言(FifthHyperTextMarkupLanguage)
HTTP:超文本传输协议(HyperTextTransferProtocol)
HTTPS:基于安全嵌套层的超文本传输协议(HyperTextTransferProtocoloverSecureSocket
Layer)
PHP:超文本预处理器(HypertextPreprocessor)
SDK:软件开发工具包(SoftwareDevelopmentKit)
SDP:软件定义边界(SoftwareDefinedPerimeter)
SLB:服务器负载均衡(ServerLoadBalancing)
SQL:结构化查询语言((StructuredQueryLanguage)
SSL:安全嵌套层(SecureSocketsLayer)
TCP:传输控制协议(TransmissionControlProtocol)
UDP:用户数据报协议(UserDatagramProtocol)
1
DB3701/T49—2023
WIFI:无线网络(WirelessFidelity)
5总体原则
政务信息系统零信任网络安全应用应遵循以下原则:
a)最小特权原则:用户和设备只获得必要的访问权限,最大程度地减少攻击面;
b)动态访问控制原则:建立基于环境评估的动态访问控制策略,结合网络环境、用户行为、终
端环境等因素持续评估访问主体,根据评估结果对访问主体进行动态授权;
c)实时监控和响应原则:对网络流量和安全事件进行实时监控和响应,发现问题立即处理,防
止恶意攻击扩散;
d)多层次验证和审批原则:对访问主体的多重身份进行验证和授权审批,保证访问的合法性;
e)应用与数据分离原则:对政务信息系统前端应用和后端数据进行分层解耦,为实现政务信息
系统分层授权和可信访问控制提供支撑;
f)日志留存原则:记录并保存零信任网络安全应用的行为
6零信任网络安全应用要求
6.1已建政务信息系统
6.1.1工作流程
已建政务信息系统零信任网络安全应用工作流程包括网络安全能力梳理、政务信息系统改造和网络
安全应用验证测试等内容,如图1所示。具体应用示例见附录A。
图1已建政务信息系统零信任网络安全应用工作流程
6.1.2网络安全能力梳理
应对政务信息系统当前的网络安全能力进行梳理,包括但不限于以下内容:
a)用户情况;
b)设备、数据和应用等资产清单;
c)用户与政务信息系统,以及不同政务信息系统间的访问关系和访问权限。
6.1.3政务信息系统改造
2
DB3701/T49—2023
政务信息系统改造应遵循以下内容:
a)对用户与政务信息系统,以及不同政务信息系统间的访问关系和访问权限进行统一管理;
b)政务信息系统中的每项服务具备认证、授权和鉴权能力;
c)采用国密算法对政务信息系统数据进行加密传输;
d)可将政务信息系统与身份管理系统进行集成,并建立多种认证机制。
6.1.4网络安全应用验证测试
网络安全应用验证测试应遵循以下内容:
a)制定验证测试方案和测试用例,详细记录测试数据,形成测试报告;
b)指定或授权专门的部门负责验收;
c)组织相关部门和人员对验证测试报告进行复核。
6.1.5应用要求
网络安全应用应遵循以下内容:
a)根据网络安全能力梳理情况,制定零信任网络安全建设方案,并通过专家评审;
b)系统验证测试通过后,进行系统上线运行,开展相关人员的培训,移交系统建设过程文档及
系统运行维护文档;
c)对访问主体的身份、行为、网络环境、终端环境等因素进行持续风险评估,根据评估结果动
态调整访问主体对资源的访问权限,确保访问主体安全可信;
d)对不满足改造条件的政务信息系统,按照GB/T22239要求进行安全加固。
6.2新建政务信息系统
6.2.1工作流程
新建政务信息系统零信任网络安全应用工作流程包括政务信息系统设计开发、政务信息系统验证测
试和政务信息系统上线等内容,如图2所示。具体应用示例见附录B。
图2新建政务信息系统零信任网络安全应用工作流程
6.2.2政务信息系统设计开发
政务信息系统设计开发应遵循以下内容:
a)参考零信任网络安全体系参考架构进行系统设计开发(见附录C);
b)采用国密算法对政务信息系统数据进行加密传输;
c)宜使用云资源提供的零信任网
定制服务
推荐标准
- WW/T 0115-2023 可移动文物三维数字化采集与加工 2023-12-06
- WW/T 0114-2023 可移动文物二维数字化采集与加工 2023-12-06
- WW/T 0121-2023 馆藏文物保存环境检测 气体扩散采样测定方法 臭氧的测定 2023-12-06
- WW/T 0112-2023 博物馆信息公开指引 2023-12-06
- WW/T 0117-2023 石窟寺三维数字化采集与加工 2023-12-06
- WW/T 0116-2023 石窟寺二维数字化采集与加工 2023-12-06
- WW/T 0119-2023 馆藏文物保存环境监测 网络通信要求 2023-12-06
- WW/T 0111-2023 博物馆公共安全应急管理规范 2023-12-06
- WW/T 0120-2023 馆藏文物保存环境检测 气体扩散采样测定方法 二氧化氮、二氧化硫的测定 2023-12-06
- WW/T 0118-2023 馆藏文物保存环境监测 数据交换要求 2023-12-06