ICS35.240.01GB/T34080.4—2021基于云計算的電子政務公共平臺安全規范第4部分：應用安全國家市場監督管理總局國家標準化管理委員會GB/T34080.4—2021 I Ⅱ 5.1應用脆弱性分析 5.2應用威脅分析 26公共平臺應用安全實施 26.2實施準備 26.3應用開發 36.4應用遷移部署 3 46.6應用交付 46.7應用下線 47公共平臺應用安全運維 47.1基本要求 47.2合作平臺/網站連接安全 57.3應急預案 67.4安全評估 68公共平臺應用安全管理 6 6 68.3應用動態資源管理 68.4應用業務狀態管理 78.5應用訪問日志管理 88.6應用系統功能管理 88.7懲罰機制 99公共平臺應用安全測試 IGB/T34080.4—2021GB/T34080《基于云計算的電子政務公共平臺安全規范》分為以下4個部分：——第1部分：總體要求；——第3部分：服務安全；本部分為GB/T34080的第4部分。本部分按照GB/T1.1—2009給出的規則起草。本部分由中華人民共和國工業和信息化部(通信)提出并歸口。GB/T34080.4—2021電子政務發展正處于轉變發展方式、深化應用和突出成效的關鍵轉型期。政府職能轉變和服務型政府建設對電子政務發展提出了更新、更高的要求。以云計算為代表的新興信息技術、產業、應用不斷涌現，深刻改變了電子政務應用服務發展技術環境及條件。構建基于云計算的電子政務公共平臺可以充分發揮既有資源的作用和新興信息技術潛能，加快電子政務發展創新，提高應用支撐服務能力，增強應用服務是指政務部門直接使用電子政務公共平臺上提供的各種應用服務軟件，快速實現業務應公文傳輸系統、電子簽章系統、辦公系統等通用應用服務軟件，供各政務部門按需調用。電子政務公共平臺服務提供機構要充分考慮云計算技術應用帶來的應用安全風險，針對可能出現的數據丟失與泄露、共享技術漏洞、不安全的應用程序接口等問題，設計相應的應用安全保護措施。1GB/T34080.4—2021基于云計算的電子政務公共平臺安全規范第4部分：應用安全GB/T34080的本部分規定了基于云計算的電子政務公共平臺的應用安全實施、應用安全運維本部分適用于基于云計算的電子政務公共平臺上所提供的應用的2規范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文GB/T34078.1—2017基于云計算的電子政務公共平臺總體規范第1部分：術語和定義GB/T34080.1—2017基于云計算的電子政務公共平臺安全規范第1部分：總體要求GB/T34078.1—2017和GB/T34080.1—2017界定的以及下列術語和定義適用于本文件。3.1電子政務公共平臺上提供的完成電子政務應用功能的所有應用軟件及相關組件的安全。4縮略語下列縮略語適用于本文件。FTP:文件傳輸協議(FileTransferProtocol)SSH:安全外殼協議(SecureShell)WWW:萬維網(WorldWideWeb)5公共平臺應用安全威脅分析應用脆弱性包括技術脆弱性和管理脆弱性兩個方面。應用的脆弱性分析應包括但不限于表1所列范圍。2GB/T34080.4—2021表1脆弱性類別類別范圍技術脆弱性包括應用系統功能規劃、部署、資源配置的缺陷等；系統網絡保護和恢復能力的缺陷、安全技術措施和策略等方面的漏洞等；系統后臺維護和訪問相關授權、管理等方面的安全漏洞，以及授權接入的口令、方式、安全連接、用戶鑒別、代理等訪問控制方面存在的漏洞隱患等；相關數據信息在存放、使用、傳送、備份、保存、恢復等環節的安全保護技術缺陷和安全策略的漏洞等管理脆弱性包括相關的方案和預案、人員、保障、組織等安全機制和管理制度在制定和實施等環節的漏洞和缺陷，可分為安全管理機構方面(如崗位設置、授權和審批程序、溝通和合作等),安全管理制度方面(如管理制度及相應的評審和修訂等),人員安全管理方面(如人員錄用、上崗、安全培訓、組織、訪問控制等),建設管理方面(如安全方案不完善、軟件開發不符合程序、工程實施未進行安全驗收或驗收不嚴格等),運維管理方面(如安全隔離管理、技術支持、關鍵性能指標監控、攻擊防范措施、數據備份和恢復、訪問控制、操作管理、應急保障措施等)5.2應用威脅分析應用的威脅根據來源可分為技術威脅和人為威脅。根據威脅的動機，人為威脅又可分為惡意和非惡意兩種。應用威脅分析應包括但不限于表2所列范圍。表2威脅類別類別范圍技術威脅包括承載應用的公共平臺基礎設施資源相關故障，未充分考慮冗余、可靠性及安全、服務需求等原因，妨礙相關功能完全實現的缺陷或隱患而造成的安全事件等；錯誤響應和恢復等；相關數據、信息在備份、保存、處理過程中發生的差錯、損壞、丟失等；其他突發、異常事件的沖擊和數據擁塞等人為威脅惡意人員包括針對相關應用系統的惡意擁塞，針對服務等相關數據和信息的攔截、篡改、刪除等攻擊行為和惡意掃描、監聽、截獲等嗅探行為；惡意代碼、病毒等；非授權訪問、越權操作等；偽造和欺騙等；物理攻擊，損壞、盜竊等非惡意人員包括誤操作；無作為、技能不足等；相關數據、信息無意泄漏，數據損壞和丟失等；組織、安全管理制度不完善、制度推行不力、缺乏資源等非規范安全管理等6公共平臺應用安全實施電子政務公共平臺的應用安全實施基本流程涵蓋：實施準備、應用開發、應用遷移部署、應用試運實施準備要求包括：a)應制定詳細的應用開發人員配置計劃，對應用實施相關人員進行安全培訓指導；b)應確定應用開發所需庫及相應的版本，搭建并使用內網隔離的應用配置管理系統；3GB/T34080.4—2021c)應做好應用配置管理系統的訪問權限控制。6.3應用開發組件通信安全要求包括：a)應采用安全通信協議對重要數據進行安全傳輸(尤其是賬號、口令信息),如使用SSL/TLS、HTTPS、SFTP和IPSec等安全協議進行通信；b)終端與服務器端之間的WWW服務，宜使用HTTPS安全通信協議；c)終端與服務器端之間的FTP服務，宜使SFTP安全通信協議；d)終端與服務器端之間的Telnet服務，宜使SSH安全通信協議；e)終端應用程序應采用加密傳輸機制對重要信息進行傳輸；f)終端應用程序應采用完整性檢查對業務的重要數據或敏感數據進行檢查；g)終端應用程序應采用抗抵賴攻擊技術對重要的交互信息進行保護；h)終端應用程序應使用固定的通信端口。數據庫安全要求包括：a)應明確數據庫相關的用戶管理、資源管理、特建立規范的權限文檔；b)數據庫原則上應及時更新重要補丁，在安裝補丁前應先在測試環境進行，提前進行數據備份，充分準備回退方案和應急預案；c)數據庫的配置應符合相應的基線配置要求；d)應及時修改數據庫的默認密碼或將默認賬號鎖定、刪除；e)數據庫的賬號應根據業務和維護需要進行合理分配，避免賬號共用。容錯設計要求包括：a)應用軟件應包含各模塊的出錯處理設計；b)應用軟件應包含可能出現的各種異常情況的安全處理設計；c)應用軟件應包含抗網絡攻擊的能力的設計及系統脆弱性分析；d)應用軟件應包含對于應用軟件本身的資源及服務的優先保障設計。安全隔離要求包括：公共平臺服務提供機構應保證不同服務使用機構的業務系統、虛擬機、虛擬網絡、虛擬存儲之間的安全隔離。6.4應用遷移部署應用遷移部署要求包括：a)應制定遷移部署計劃，并對相關人員進行安全培訓；b)應進行配置設計，實現資源提供、資源配置和配置方案生成服務；c)應進行包含但不限于安全配置、整體安全功能聯調等安全建設；4GB/T34080.4—2021d)應在用遷移前明確業務應用遷移所需的各類資源的需求，按照業務部門使用電子政務公共平e)在應用遷移之前應對應用進行漏洞掃描、代碼審計等安全檢查，確保遷移應用的安全；f)應制定應用遷移部署的應急預案和回退機制；g)應保證應用系統遷移至電子政務公共平臺的業務可用性及業務連續性。6.5應用試運行應用試運行要求包括：a)應模擬實際運行情況對應用進行全面的安全測試；b)應加強試運行期間的安全監測，全面查看各種日志信息，以便能及時發現問題并進行整改；c)應提高試運行期間的數據備份頻率，以便出現問題時能盡可能地恢復丟失的數據。6.6應用交付應用交付要求包括：a)應制定詳細的應用交付清單，并根據交付清單對所交接的設備、軟件和文檔等進行清點；b)應對負責應用運行維護的技術人員進行相應的技能培訓；c)應指定或授權專門的部門負責應用交付的管理工作，并按照管理規定的要求完成應用交付工作。6.7應用下線應用下線要求包括：a)應根據下線應用明確應用下線過程中的各角色職責分工，確保應用下線過程不影響平臺及其他應用的正常運行，做好應用下線的各項保障工作；b)應制定詳細的移交清單，應根據移交清單返還服務使用機構的應用數據信息(包括歷史數據和歸檔數據);c)應徹底刪除服務使用機構的數據信息及所有備份，對服務使用機構的數據存儲介質應徹底清理；d)根據應用下線后的處理情況配合服務使用機構做好相應的銜接工作，如應用遷移至其他云上，或應用廢棄，應按照相關規定做好應用的注銷和數據留存工作。7公共平臺應用安全運維7.1基本要求基本要求包括：a)基線配置：應制定并實施應用配置管理管理計劃，應包括應用基線配置策略、軟件使用與限制策略等，并將該策略分發至開發人員和運維人員，按照配置要求制定、記錄并維護應用系統當前的基線配置。b)授權與控制：應對電子政務公共平臺應用系統的安全功能和安全相關信息的訪問進行明確授權。嚴格限制特權賬號分配，確保應用系統能夠阻止非特權用戶執行特權功能，以防禁止、繞策略分發至開發人員和運維人員，在安裝前測試與安全缺陷相關的軟件和固件升級包，驗證其是否有效，以及驗證其對電子政務平臺可能帶來的副作用。5GB/T34080.4—2021進行分析，根據安全影響分析結果進行批準或否決，e)存儲備份：應提供應用及應用數據的備份與恢復功能，保證備份存儲的機密性和完整性，通過訪問控制功能控制用戶組/用戶對備份數據的訪問，防止數據的非授權訪問和修改。f)安全審計：應通過網絡行為審計、主機審計、數據庫審計和業務數據等方式對應用進行安全審計，對電子政務公共平臺上的應用活動或行為統一進行系統的、獨立的檢查驗證，并制定和維g)安全監控：應能夠實時有效地對平臺上的應用的運行狀態進行監控，能夠檢測出針對應用系統的非授權連接使用，保障安全運維狀態的有效管理。7.2合作平臺/網站連接安全接口安全要求包括：a)與合作平臺/網站連接的接口應采用身份認證機制，驗證接口調用方身份的合法性；b)與合作平臺/網站連接的會話應設置生命周期，防止接口被惡意調用；c)應對與合作平臺/網站連接接口調用的數據進行合法性檢測，防止基于注入式、跨站請求偽造、d)應對與合作平臺/網站連接接口設定資源使用權限，限定可訪問的數據范圍；e)應記錄接口調用過程的操作日志；f)與合作平臺/網站連接接口應采用加密機制，保證數據的私密性。統一身份認證要求包括：a)應要求對用戶身份和權限認證，以保障合法訪問資源；b)系統應支持基于第三方開發的統一用戶管理，避免不同應用系統中用戶信息不一致現象，可減少應用系統用戶管理的隨意性，提高用戶身份信息的真實性；c)應支持統一身份認證，支持基于權威第三方認證系統，提高用戶身份鑒別的權威性；d)應同時支持基于口令和證書等多種認證方式，對于普通工作人員可采用口令方式認證，從事較高敏感級別業務的用戶采用證書方式進行強認證；e)應支持單點登錄功能，提供統一的用戶登錄接口，避免重復認證，減少認證服務負擔。7.2.3統一授權管理與訪問控制統一授權管理與訪問控制要求包括：a)支持第三方統一授權管理，對安全政務辦公系統內的功能模塊進行授權，應具有和統一授權管理系統的權限同步等必要接口；b)支持基于功能模塊的訪問控制，根據用戶角色動態生成系統功能菜單，要求動態生成的功能菜單應不少于三級；c)在具有工作流的應用系統中，應支持基于工作流的訪問控制，根據流程中定義的權限，進一步對用戶權限進行限制；d)應支持用戶類型識別技術，要求執行重要操作的政務人員應是持key用戶，防止重要業務的操作權限被攻擊者非法獲取。如每次進行公文簽批時都要重新判定政務人員是否是持key用戶。6GB/T34080.4—2021統一運維管理要求包括：a)應提供公共平臺運維故障事件運維；b)應能夠分級采集公共平臺的運行狀態數據，并支持向多級平臺自動上報其運行狀態數據；c)應支持監測運行在公共平臺上業務應用的運行狀況，并支持相關業務系統的管理。7.3應急預案應急預案要求包括：b)文件和數據庫應備份，備份采用完全備份策略與部分備份策略相結合，備份數據應短時間可恢復至正常運行；c)應保持與應用開發商溝通渠道的暢通，確保在應急處理過程中遇到困難或問題時能及時獲得相關開發商的技術支援；d)每年應至少兩次按照應急預案，執行應急演練計劃，并且在演練開始之前通知應用系統的用戶e)應記錄和核查應急演練結果，并根據需要修正應急響應計劃。安全評估要求包括：a)應定期或在應用系統或運行環境發生重大變更(包括發現新的威脅和漏洞)時，進行風險評估；b)應將評估結果記錄在風險評估報告中，并將風險評估結果發布至相關負責人；c)應根據風險評估報告，有針對性地對公共平臺的相關應用系統軟件等進行安全整改，將風險降低。8公共平臺應用安全管理8.1概述電子政務公共平臺應用安全管理包括應用基礎數據管理、應用動態資源管理、應用業務狀態管理、8.2應用基礎數據管理應用基礎數據管理要求包括：a)公共平臺應實現應用基礎數據的集中管理，包括基礎數據本地存儲以及有關數據本地進行增加、刪除、修改等操作的功能，本地存儲基礎數據應實時保持與電子政務公共平臺上線的實際業務應用相一致，并且基礎數據本地存儲時間應不少于12個月。b)公共平臺應支持采用XML或XLS等常見數據格式進行基礎數據導入和導出。對于導入的數據，平臺應進行本地數據沖突校驗，避免因導入數據可能出現的錯漏與既有數據產生沖突。8.3應用動態資源管理8.3.1動態資源使用日志記錄動態資源適用日志記錄要求包括：7GB/T34080.4—2021a)公共平臺應基于用戶對電子政務公共平臺虛擬資源、網絡資源(IP地址和域名)的成功操作行間[精確到秒(s)],對應時間用戶提供應用服務的域名列表，用戶擁有的公網IP地址列表及公網IP地址資源對應的虛擬資源編號、虛擬資源類型。b)平臺所記錄的用戶動態資源使用日志保存時間應滿足國家和行業主管部門所規定的要求，并且在規定的保存時間內，若用戶名下有動態資源，則留存快照數應≥1。8.3.2動態資源使用日志查詢動態資源使用日志查詢要求包括：a)公共平臺應支持以單個用戶編號及查詢時間(即明確起止時間點的查詢時段，時間跨度以不大于30d為宜)為條件對動態資源使用日志有關字段內容的精確查詢、檢索功能，依據單個用戶戶擁有的公網IP地址列表及公網IP地址資源對應的虛擬資源編號、虛擬資源類型。b)應支持以單個IP地址及查詢時間(即明確起止時間點的查詢時段，時間跨度以不大于30d為宜)為條件對動態資源使用日志有關字段內容的精確查詢、檢索功能。依據單個IP地址及查源類型。c)應支持以單個域名及查詢時間(即明確起止時間點的查詢時段，時間跨度以不大于30d為宜)為條件對網絡資源操作日志有關字段內容的精確查詢、檢索功能，依據單個域名及查詢時間，平臺應至少上報：查詢時間段內網絡資源所屬用戶編號。8.4應用業務狀態管理應用活躍狀態監測管理要求包括：a)平臺應對電子政務公共平臺租戶擁有的所有互聯網出入口鏈路上傳送的公共信息數據進行全量監測，對通過電子政務公共平臺接入的活躍域名、活躍IP、活躍應用等信息進行統計，形成活躍資源監測記錄。對活躍域名監測記錄應包括發現的活躍域名、首次采集時間、最后活躍時b)對活躍IP及應用端口監測記錄應包括發現的活躍IP、應用端口、傳輸層協議類型(TCP/c)應支持通過訪問量對活躍域名及活躍IP進行排序，以反映相應資源的活躍程度。同時，平臺應實現活躍資源監測記錄的本地存儲功能，保存時間不少于30日，并支持查詢功能。8.4.2應用異常狀態監測管理應用異常狀態檢測管理要求包括：a)電子政務公共平臺應能基于基礎數據記錄、動態資源使用日志及活躍資源監測記錄，對電子政務公共平臺租戶接入的IP地址進行全面的監測，自動實時發現異常的IP地址接入、未啟用/未分配狀態的IP地址接入等異常情況，并形成異常監測記錄。b)異常監測記錄應包括：發現異常的IP地址、登記使用方式和實際使用方式、發現時間/處置時間、當前狀態(已處置或未處置)等監測信息。8GB/T34080.4—2021d)對于監測發現的異常情況，如在一個上報周期內即完成處置。應實現基礎數據監測異常記錄的本地存儲功能，保存時間不少于60日，并支持查詢功能。8.5應用訪問日志管理訪問日志記錄功能要求包括：a)對于可通過傳輸層協議或應用層協議頭信息區分會話特征的數據流量，平臺應以會話為單位記錄訪問日志，記錄信息至少應包括源IP、目的IP、源端口(通過這兩個網絡資源可以反查到它的虛擬資源和物理資源)、目的端口、訪問時間[起始時間，精確到秒留存域名，屬于瀏覽類協議的訪問需留存URL。c)對于無法通過傳輸層協議或應用層協議報文頭內容區分會話特征的數據流量，平臺應以數據流(源IP、目的IP、源端口、目的端口均相同，速率大于1幀/s且持續時間大于10s的數據流間[起始時間，精確到秒(s)]、持續時長[精確到秒(s)]。日志查詢方式要求包括：電子政務公共平臺應支持對訪問日志記錄有關字段內容的精確查詢、檢索功能。日志記錄查詢結果要求包括：a)依據源IP地址、源端口及查詢時間，平臺應至少上報：目的IP地址、目的端口、用戶訪問URL(僅瀏覽類協議的訪問日志)、用戶訪問應用程序(僅應用程序的訪問日志)、訪問時間；b)依據源IP地址及查詢時間，平臺應至少上報：目的IP地址、目的端口、用戶訪問URL(僅瀏覽類協議的訪問日志)、用戶訪問應用程序(僅可識別應用程序的訪問日志)、訪問時間；(僅瀏覽類協議的訪問日志)、用戶訪問應用程序(僅可識別應用程序的訪問日志)、訪問時間；d)依據用戶訪問URL(僅瀏覽類協議的訪問日志)及查詢時間，平臺應至少上報：源IP地址、源日志留存時間要求包括：電子政務公共平臺所記錄訪問日志的保存時間應滿足國家和行業主管部門所規定的要求。8.6應用系統功能管理權限管理要求包括：a)應實現對系統管理人員、操作人員、維護人員的身份認證和權限管理，根據不同的角色授予相應的權限，未經授權的用戶不得使用平臺的相應功能；b)應嚴格限制默認賬號的權限，各賬號應依據最小授權原則授予為完成各自承擔任務所需的9GB/T34080.4—2021權限；c)應記錄系統登錄和操作日志，記錄至少應包括登錄/操作賬號、時間、登錄用戶IP及操作內d)應對下發指令及其執行狀態進行有效保護，防止受到未授權的干擾與影響，且平臺應能根據下發指令中的可讀標記，來實現平臺側全部用戶對特定指令及其執行結果的權限控制。運行維護要求包括：系統的正常運行提供保障；b)應能對系統設備及接口狀態進行持續監測，并按業務經營單位為單位，定期上報系統運行狀態監測結果(上報周期10min)。8.7懲罰機制8.7.1違法違規應用管理違法違規應用管理要求包括：a)應具備通過與公共平臺服務使用機構本地的應用備案記錄、違法應用記錄等數據進行比對的方式，自動實現對未備案應用和違法違規應用的監測、處置等功能。b)應支持違法應用列表本地管理功能，并能自動更新監管部門下發的違法網站應用、免過濾網站法違規情況、24h累計訪問量、記錄時間(最后訪問時間)、當前狀態(已處置或未處置)、處置人賬號。其中，處置人賬號為實施處置操作的用戶登錄名。c)違法違規應用監測記錄應定時上報給電子政務公共平臺管理維護人員。d)對于監測發現的違法違規應用，如在一個上報周期內處置狀態發生變化，平臺應基于處置狀態應生成至少兩條獨立的記錄并上報。如一個上報周期內沒有監測到新增的違法違規網站，平臺應按“