资源描述
DB3502/T 福 建 省 厦 门 市 地 方 标 准 DB3502/T 047.3 2019 公共安全 管理平台 总体技术 规范 第3 部分:安全保 障要求 Specification of general technology for public security management platform Part 3:Requirements of platform security 2019-09-10 发布 2019-10-01 实施 厦 门 市 市 场 监 督 管 理 局 发布 DB3502/T 047.3 2019 I 目 次 前 言.II 引 言.III 1 范围.1 2 规 范性 引 用 文件.1 3 术 语和 定义.1 4 总 体要 求.1 5 技 术要 求.1 DB3502/T 047.3 2019 II 前 言 DB3502/T 047 2019 公 共安全 管理 平台 总体 技术 规范 分为3部 分:第1部 分:总体 架构;第2部 分:总体 功能 要 求;第3部 分:安全 保障 要 求。本部分 为DB3502/T 047 2019的第3部 分。本部分 按照GB/T 1.1 2009 给出 的规 则起 草。本部分 由厦 门市 城市 公共 安全管 理领 导小 组办 公室 提出并 归口。本部分 起草 单位:厦 门市 城 市公共 安全 管理 领导 小组 办公室、厦 门市 公安 局、厦 门市标 准化 研究 院、厦门市 信息 中心、厦 门市 美亚柏 科信 息股 份有 限公 司。本部分 主要 起草 人:龚浩 杰、张 若峰、王 东、陈志 飞、王 剑、许琨、柯 国鸿、王春 燕、连志 阳、洪亚杰、陈锦 荣、陈成 威、李童、林立 南。DB3502/T 047.3 2019 III 引 言 公共安 全管 理平 台按 照GB/T 22239 2019 信息 安全 技术网 络安 全等 级保 护基 本要求 规 定的 第三级 安 全 保 护能 力 进行 安 全建 设。本 部分 根 据现 有 的政 务 云 平 台安 全 防护 基 础设 施 现 状,在GB/T 222392019 信 息安 全技 术网 络安全 等级 保护 基本 要求 第8 章的 基础 上,对 安全 通信网 络、安全 区域 边界、安全计 算环 境、安全 管理 中心、集中 管控 的部 分控 制项要 求进 行具 体描 述和 细化。DB3502/T 047.3 2019 1 公 共安全 管理平台 总体技 术规范 第 3 部分:安全保 障要求 1 范围 DB3502/T 047 2019 的 本 部分规 定了 公共 安全 管理 平台的 安全 保障 要求。DB3502/T 047 2019 的 本 部分适 用于 公共 安全 管理 平台的 安全 建设 和监 督管 理。2 规范性 引用 文件 下列文 件对 于本 文件 的应 用是必 不可 少的。凡 是注 日 期的引 用文 件,仅注 日期 的 版本适 用于 本文 件。凡是不 注日 期的 引用 文件,其最 新版 本(包括 所有 的修改 单)适用 于本 文件。GB 17859 计算 机信 息系 统 安全保 护等 级划 分准 则 GB/T 18336.3 信息 技术 安全技 术 信息 技术 安全 评 估准则 第3 部分:安 全保 障组件 GB/T 20279 信 息安 全技 术 网络 和终 端隔 离产 品技 术 要求 GB/T 20988 2007 信息 安 全技术 信 息系 统灾 难恢 复 规范 GB/T 22239 2019 信息 安 全技术 网络 安全 等级 保护 基本要 求 GB/T 25069 信 息安 全技 术 术语 DB3502/T 047.1 2019 公 共安全 管理 平台 总体 技术 规范 第1部 分:总体 架构 3 术语和 定义 GB 17859、GB/T 18336.3、GB/T 20279、GB/T 25069 和DB3502/T 047.1 2019 界定的 术语 和定 义适用于本 文件。4 总体要 求 公 共 安 全 管 理平 台 安 全保障 应 遵循GB/T 22239 2019 第8 章 的 第 三 级基 本 要 求,并 满 足 本 部分 第5章的技 术要 求。5 技术要 求 5.1 安全通 信网 络 公共安 全管 理平 台依 托政 务云平 台建 设,通信 网络 安全防 护保 障依 赖政 务云 平台。5.2 安全区 域边 界 5.2.1 边界防 护 本项要 求包 括:DB3502/T 047.3 2019 2 a)公共安 全管 理平 台在 政务 云平台 总体 安全 防护 的基 础上,应在 公共 安全 域边 界 部署防 火墙 作为访问控 制设 备;b)边界防 火墙 应满 足 GB/T 22239 2019 规定 的第 三级 安全保 护能 力关 于安 全区 域边界 的安 全 控制项要 求,并及 时 对 防火 墙规则 和病 毒库 进行 调整 和升级。5.2.2 安全审 计 日志记 录和 审计 记录 的保 存时长 至少 为12 个月。5.3 安全计 算环 境 5.3.1 安全防 护 支撑公 共安 全管 理平 台运 行的服 务器 应安 装能 及时 更新升 级的 安全 防护 软件。5.3.2 身份鉴 别 本项要 求包 括:a)应采用 专用 的登 录控 制模 块对登 录用 户进 行身 份标 识和鉴 别,对用 户身 份唯 一 标识和 鉴别 信息复杂度 进行 检查,保 证应 用系统 中不 存在 重复 的用 户身份 标识,身 份鉴 别信 息不易 被冒 用;b)强制登 录用 户在 初始 登录 时修改 系统 管理 员分 发的 密码;c)用户密 码长 度不 少 于 8 位,且必 须包 含字 母、数字 和特殊 字符;d)采用口 令认 证技 术加 滑块 验 证码 的组 合鉴 别技 术实 现用户 身份 鉴别,口 令认 证 技术支 持身 份标识/口 令模 式和 手机 号码/验证码 两种 模式,重 要应 用模块 实行 人脸 识别 进行 二次身 份验 证;e)用户允 许使 用最 近三 个常 用 IP 地址 登录 系统,如果 使用非 常 用 IP 地址 则强 制 用户使 用手 机号码/验 证码 模式 登录;f)用户登 录失 败次 数达 到 3 次后,强制 锁定 用 户15 分 钟,锁 定期 间该 用户 将限 制登录 系统;g)除系统 管理 员外,禁 止登 录用户 修改 本用 户的 密码;h)除 系统 管理 员外,同 一用 户仅允 许同 时在 一个 终端 上登录 系统。5.3.3 访问控 制 本项要 求包 括:a)访问控 制主 体的 粒度 为用 户级,客体 的粒 度为 文件、数据 库表 级和 字段 级;b)对接平 台的 外部 业务 系统 应达 到 GB/T 22239 2019 规定的 第二 级及 以上 安全 等级保 护要 求;c)与平台 对接、实 时进 行数 据交互 的外 部系 统应 提供 不少 于 3 个 月的 审计 记录。5.3.4 安全审 计 日志记 录和 审计 记录 的保 存时长 至少 为12 个月。5.3.5 资源控 制 本项要 求包 括:a)系统的 最大 并发 会话 连接 数限制 为 2000,每 秒最 大 并发事 务数 限制 为500;b)一个会 话处 理进 程占 用的 最大资 源不 超 过30%;c)单个用 户对 系统 资源 的最 大使用 限度 为30%;d)单个账 户多 重并 发会 话数 不超 过 20 个;e)平台的 应用 服务 重要 次序 从高到 低分 别为 系统 登 录、业 务协 同、专题 应用 和 接口服 务、视 频调用,网 络发 生拥 堵时 应优 先保障 主要 应用 服务;f)用户超 过 30 分 钟未 操作 系 统,将 自动 退出 系统。5.3.6 数据安 全及 备份 恢复 5.3.6.1 数据保 密性 DB3502/T 047.3 2019 3 对公民 身份 信息、活 动信 息等敏 感数 据,应进 行加 密存储。5.3.6.2 数据备 份恢 复 本项要 求包 括:a)灾难恢 复能 力应 达 到 GB/T 20988 2007 规定 的灾 难 恢复能 力等 级 第2 级 以上 的要求;b)日志数 据、采集 数据、基 础数据、主 题数 据、业务 数据和 知识 库数 据采 用每 日全量 备份 的策 略备份;c)采用反 向代 理技 术实 现 web 集群 服务 的负 载均 衡,支 撑数据 存储、处理、运 算 及应急 处置 的系统应保 证硬 件冗 余,避免 关键节 点存 在单 点故 障。5.4 安全管 理中 心 5.4.1 系统管 理 本项要 求包 括:a)系统管 理员 用户 数不 多 于5 个;b)系统管 理员 采取 人脸 识别 加口令 验证 方式 进行 身份 鉴别;c)系统管 理员 用户 口令 长度 不少 于 12 位,且必 须包 含 大小写 字母、数 字和 特殊 字符,每 3 个月更换一 次。5.4.2 审计和 安全 管理 本项要 求包 括:a)审计管 理员 和安 全管 理员 用户分 别不 多 于2 人;b)审计管 理员 和安 全管 理员 采取人 脸识 别加 口令 验证 方式进 行身 份鉴 别;c)审计管 理员 和安 全管 理员 用户口 令长 度不 少于 12 位,且必 须包 含大 小写 字母、数字 和特 殊字符,每3 个 月更 换一 次。5.4.3 安全审计 日志记 录和 审计 记录 的保 存时长 不少 于12 个月。5.5 集中管 控 构建平 台运 维监 测中 心,对重要 服务 器、核心 应用(系统 登录、业务 协同、短信服 务)、核心 数据库、交 换通 道、接口 服务、数据 汇聚 等运 行情 况进 行实时 监测,对 异常 实时 告警。
展开阅读全文