6.2 共享數據交換安全要求

6.2.1 用戶管理

用戶管理功能應滿足用戶管理安全技術要求。共享數據交換服務方對政務信息共享交換用戶管理的安全要求包括：

a)應支持對用戶進行角色分立管理，設立管理角色、審計角色及操作角色；

b)應根據業務需求、管理范圍、組織架構等設置訪問控制策略，建立完整的用戶管理機制，能夠統一設置、統一注銷、統一鑒別、統一授權、集中鑒權、集中審計；

c)應實時將監測到的用戶行為和數據、權限、崗位等進行相關性分析；

d)應支持對特定數據的訪問主體進行實時授權和取消授權的管理方式；

e)應支持基于角色的用戶分組，并支持對用戶組整體管理。

6.2.2 授權管理

授權管理功能應滿足授權管理安全技術要求。共享交換過程中涉及的授權方(共享數據提供方、共享數據交換服務方)對授權管理的安全要求包括：

a)應支持針對用戶訪問權限、數據操作權限、應用訪問數據權限等維度的授權管理機制；

b)應支持基于數據分級分類的多級授權和操作監管；

c)應對權限范圍外的數據、應用的嘗試操作提出告警；

d)應支持資源文件、庫表、接口等各共享方式上不同粒度的權限控制；

e)資源目錄發布應獲得授權，明確授權目的和范圍，保留授權記錄，并遵照授權執行；

f)共享數據發布應獲得授權，明確授權目的和范圍，保留授權記錄，并遵照授權執行；

g)共享數據申請應獲得授權，明確授權目的和范圍，保留授權記錄，并遵照授權執行；

h)應遵循數據共享最小化原則，僅授權對業務必需的數據共享訪問；

i)應檢查有條件共享數據的使用請求符合規定條件；

j)應可設定授權的有效期并定期檢查授權的有效性；

k)應根據安全策略，生成共享數據訪問授權憑證、安全配置信息，并將這些配置信息安全分發到信息交換系統。

6.2.3 數據導出

6.2.3.1 數據脫敏

共享數據提供方在數據導出過程中對數據脫敏的安全要求包括：

a)應對敏感數據建立數據脫敏安全策略，并按照安全策略進行脫敏；

b)應能根據應用需要保留敏感數據的原數據格式、屬性或關聯；

c)應對數據脫敏操作過程進行記錄，記錄內容至少包括操作時間、操作人、操作對象等；

d)宜提供敏感數據檢查工具，對共享數據進行分析，發現敏感數據。

6.2.3.2 數據加密

共享數據提供方在數據導出過程中可采用符合GM/T0054等國家相關標準規定的密碼技術，對敏感數據加密保護后再導出。

6.2.3.3 權限標記

共享數據提供方在數據導出過程中應標記使用方使用敏感數據的權限。

6.2.3.4 安全策略檢查

共享數據提供方在數據導出過程中應建立檢查機制，保證共享數據安全策略正確配置與實施。

6.2.4 數據交換

6.2.4.1 事務標識

共享數據交換服務方在數據交換過程中應對每次數據交換指定唯一的交換事務標識。

6.2.4.2 身份鑒別

共享數據交換服務方在數據交換過程中對身份鑒別的安全要求包括：

a)應對數據交換兩端進行用戶身份鑒別或設備認證，保證數據交換兩端身份的真實性；

b)應采用如用戶名/口令、一次性口令、數字證書、標識密碼、生物特征等技術實現交換兩端的用戶身份鑒別；

c)在交換敏感數據時，應對數據訪問主體復合采用兩種或兩種以上鑒別技術進行身份鑒別；

d)應采用數字證書、標識密碼等方式實現設備認證；

e)僅對通信端設備認證時，應確定被授權使用方與被認證設備間關系的真實性，應在多方數據交換時對各接入方進行交叉認證；

f)應在安全周期范圍內對交換兩端定期重新認證；

g)應使用安全協議完成身份鑒別過程，鑒別失敗后應實施安全控制措施；

h)宜在安全周期范圍內對交換兩端持續實時評估安全風險，并根據風險等級適時發起身份鑒別。

6.2.4.3 訪問控制

共享數據交換服務方在數據交換過程中對訪問控制的安全要求包括：

a)應檢查對使用方數據交換操作的授權，并遵照授權策略執行訪問控制，拒絕不符合授權的訪問，保留授權檢驗記錄；

b)宜自動監視和控制遠程訪問會話，以檢測非授權的訪問行為。

6.2.4.4 安全傳輸

共享數據交換服務方在數據交換過程中對傳輸的安全要求包括：

a)應采用符合GM/T0054等國家相關標準規定的密碼技術，保證通信過程中數據的保密性和完整性；

b)應具備監控數據傳輸過程的能力，發現問題時及時告警并進行阻斷；

c)應在數據交換不完整時清除傳輸緩存數據；

d)應在交換完成后清除傳輸歷史緩存數據；

e)應定期檢查或評估數據傳輸的安全性和可靠性。

6.2.4.5 操作抗抵賴

共享數據交換服務方在數據交換過程中對操作抗抵賴的安全要求包括：

a)在交換敏感數據時，應由數據提供方對發出數據和時間戳進行數字簽名，數據使用方應校驗數據提供方數字簽名的合法性；

b)在交換敏感數據時，應由數據使用方對接收到的數據進行確認，確認消息應包括交換事務標識、交換數據摘要、時間戳、數據使用方的數字簽名，宜包括使用方對數據質量的確認，數據提供方應校驗數據使用方數字簽名的合法性。

6.2.4.6 過程追溯

共享數據交換服務方在數據交換過程中對過程追溯的安全要求包括：

a)應跟蹤和記錄數據交換過程，記錄項包括數據格式記錄、數據提供方記錄、共享數據服務方記錄、數據使用方記錄等。

b)數據格式記錄應包括但不限于：

1)本次數據交換事務唯一性標識；

2)本次數據交換開始時間、結束時間。

c)數據提供方記錄應包括但不限于：

1)數據提供方對交換數據的分級分類記錄；

2)數據提供方對數據使用方的身份鑒別記錄；

3)數據提供方對數據使用方的權限審核記錄；

4)數據提供方進行數據封裝的記錄，包括封裝過程記錄和封裝方式記錄；

5)數據提供方交付記錄；

6)前置系統刪除緩存數據的記錄。

d)共享數據服務方記錄應包括但不限于：

1)數據傳輸身份核驗記錄；

3)若數據傳輸過程存在異常，應有異常記錄、報警記錄等。

e)數據使用方記錄應包括但不限于：

1)數據使用方對數據提供方的身份鑒別記錄；

2)數據使用方的接收狀態記錄；

3)數據使用方的數據質量認定記錄。

f)應記錄敏感數據流轉的全過程及異常訪問追溯結果。

g)數據交換記錄日志應保存6個月以上，并保證敏感數據交換記錄日志的保密性。

6.2.4.7 級聯接口安全

共享數據交換服務方應采用符合GM/T0054等國家相關標準規定的密碼技術對共享交換系統間的級聯接口進行安全防護，保障通過級聯接口傳遞數據的保密性和完整性。

6.2.5 數據導入

6.2.5.1 故障恢復

共享數據使用方在共享數據導人過程中對故障恢復的安全要求包括：

a)應具有數據導人過程保護和回退機制，保證獲取過程中產生問題時能有效還原和恢復數據；

b)應具有故障恢復后數據自動加載能力。

6.2.5.2 數據質量控制

共享數據使用方在共享數據導人過程中對數據質量控制的安全要求包括：

a)應檢驗數據的質量，包括對數據格式和接口提出統一要求，并對獲取數據是否滿足要求做出認定；

b)應定義空缺值、內容沖突、不合規約束等數據源質量評價條件，并評價數據獲取質量。

6.2.5.3 數據分責

共享數據使用方在共享數據導入過程中，應對所獲取的共享數據進行梳理，按照數據提供方對共享數據的分級分類建立數據資產清單，標記數據資產的責任主體。