<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/Z 24294.1—2018信息安全技術 基于互聯網電子政務信息安全實施指南 第1部分:總則
    展開或關閉
    前言
    前言
    引言
    引言
    1 范圍
    1 范圍
    2 規范性引用文件
    2 規范性引用文件
    3 術語和定義
    3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9
    4 縮略語
    4 縮略語
    5 基于互聯網電子政務信息安全參考模型
    5.1 安全參考模型 5.2 安全策略 5.3 識別安全需求 5.4 安全設計 5.5 安全實施 5.6 安全評估
    6 基于互聯網電子政務信息安全技術體系
    6.1 安全技術體系 6.2 公鑰基礎設施 6.3 安全互聯與接入控制、邊界防護 6.4 區域安全 6.5 終端安全 6.6 應用安全 6.7 安全管理 6.8 安全服務
    7 體系的實施原則
    7.1 按需保護原則 7.2 權限最小化原則 7.3 信息分類防護原則 7.4 系統分域控制原則
    8 體系的實施架構
    8.1 數據集中模式下的體系實施架構 8.2 數據分布存儲模式下的體系實施架構 8.3 移動辦公模式下的體系實施架構
    9 體系實施的關鍵環節
    9.1 系統分域防控 9.2 統一認證授權 9.3 接入控制與安全交換 9.4 終端安全防護
    10 體系的風險評估
    10.1 客戶訪談 10.2 文檔信息核查 10.3 建設方案分析 10.4 方案實施情況核查 10.5 工具檢測 10.6 評估結論
    附錄A
    A.1 信息分類方法 A.2 信息分類防護的實施 A.3 敏感信息防示例 A.4 內部公開信息防護示例 A.5 外部公開信息防護示例
    附錄B
    B.1 VPN系統 B.2 統一身份認證與授權管理系統 B.3 域間信息安全交換系統 B.4 終端安全防護系統 B.5 惡意代碼防范系統 B.6 網頁防篡改系統 B.7 安全審計系統 B.8 入侵檢測系統 B.9 漏洞掃描系統 B.10 應急響應與備份恢復系統

    8.2 數據分布存儲模式下的體系實施架構

    GB/Z 24294.1—2018信息安全技術 基于互聯網電子政務信息安全實施指南 第1部分:總則 /

    8.2.1 基本結構

    在互聯網電子政務系統建設中,依據應用需求,有些地市級政府部門仍有部分數據分散存儲在縣區信息中心,即數據分布存儲模式。數據分布存儲模式下,由于地市/縣區/鄉鎮的數據進行了物理隔離,因此,為實現數據安全共享,宜進行安全的信息匯總與信息傳輸。數據分布存儲模式下互聯網電子政務安全體系實施架構的示意如圖4所示。

    在數據分布存儲模式下,地市與縣區分別建設數據中心,實現數據的物理隔離。根據系統與信息的敏感程度與安全功能的不同,地市數據中心將安全域劃分為內部數據處理區、公開數據處理區、安全管理區、安全服務區四區域,進行系統部署與數據存儲,它與下轄的地市委辦局進行安全互聯,實現地市級安全政務辦公。較大的縣區級單位可以設立自己的數據中心,其安全域劃分參考地市級數據中心安全域的劃分方式,它與下轄的鄉鎮行政辦公區域進行安全互聯,實現縣區級安全政務辦公。縣區級數據中心與地市級數據中心通過VPN網關進行安全互聯,配置安全交換節點,安全實時地將政務數據進行匯總與處理,實現信息安全交換與共享。

    8.2.2.1  安全政務網絡平臺

    在互聯網電子政務數據分布存儲模式下,通過VPN設備與VPN管理系統,基于互聯網構建出地市級安全政務網絡平臺、縣區級安全政務網絡平臺,同時支持本層本級遠程用戶的移動安全接入與訪問,支持跨層跨級用戶的移動安全接入與訪問,最終構建出能夠進行安全互聯互通的分層分級安全政務網絡平臺。

    8.2.2.2  VPN分層分級管理

    保護地市級數據中心的高性能VPN網關與地市委辦局的普通VPN網關進行安全互聯,應實施地市級統一的VPN安全管理,包括地市級VPN用戶與設備可視化管理、VPN隧道管理、安全關聯管理與協商、安全策略管理、安全審計等內容。

    保護縣區級數據中心的縣區級VPN網關與下轄鄉鎮級VPN網關進行安全互聯,應實施縣區級統一的VPN安全管理,包括縣區級VPN用戶與設備可視化管理、VPN隧道管理、安全關聯管理與協商、安全策略管理、安全審計等內容。

    8.2.2.3 地市級與縣區級VPN安全隧道構建

    為實現縣區級與地市級數據安全匯總與上報,應在地市級高性能VPN網關與縣區級VPN網關之間構建安全隧道,支持下級VPN隧道與上級VPN隧道的安全級聯。各層各級VPN設備應能夠進行互聯互通,具有層間安全策略配置、安全隧道構建等功能。

    8.2.2.4 跨層跨級VPN訪問管理

    由于分布式數據存儲模式中VPN設備采用分層管理方式,在VPN動態拓撲關系構建方面,既要支持本級用戶的移動安全接入與安全政務辦公,又要支持跨級用戶的移動安全接入、跨級跨域VPN設備的安全互聯,構建動態可擴展的VPN拓撲關系,使跨層跨級安全訪問成為可能。

    8.2.3 安全政務辦公平臺

    在數據分布存儲模式下,應采用分層分級權限管理與分層分級安全信息交換與共享等方法,構建物理分布存儲模式下的安全政務辦公平臺。

    8.2.3.1 跨層跨級權限管理

    在數據分布存儲模式下,對用戶、資源、角色、權限管理宜分層分級完成,應采用數字證書實現分層分級的身份認證,構建地市級政務流程與縣區級政務流程,實現分層分級的安全政務辦公。

    在政務模式下,應支持跨層跨級用戶的身份認證與安全訪問。通過基于數字證書的統一身份認證與授權管理系統,實現跨層跨級用戶與角色的映射、跨層跨級權限管理,達到跨層跨級身份認證與跨層跨級用戶訪問的目標。

    8.2.3.2 安全信息交換與共享

    地市級數據中心需要向縣區級數據中心推送政務信息,縣區級數據中心需要向地市數據中心上報基層數據,地市級數據中心與縣區級數據中心之間存在著信息安全共享需求。為確保兩級部門數據進行安全的信息共享,必須確保數據能夠進行受控安全交換。

    a) 文件級受控交換——如果兩級政府部門之間需要共享的數據是文件,宜選用面向文件的安全交換方式,通過定制所交換文件的類型、目錄、粒度,實現文件級信息安全共享。

    b) 數據庫級受控交換——如果兩級政府部門之間需要共享的數據是數據庫,宜選用面向數據庫的安全交換方式,通過定制所交換數據庫的表單、字段,實現數據庫級信息安全共享。

    c) 選擇交換模式——根據交換與共享任務的需要,選擇點對點交換模式或訂閱/發布交換模式。當只存在上級政府部門與少數下級部門信息安全共享需求時,宜采用點對點交換模式;當存在上級政府部門與多個下級部門信息安全共享需求時,宜采用訂閱/發布模式。

    d) 定制交換策略——定制交換信息的流向、交換任務名稱、交換任務類型、交換任務內容等交換策略,保證兩級政府部門受控、單向、安全的信息交換。

    e) 啟動專用交換進程——在兩級數據中心交換節點間配置安全交換節點,啟動專用交換進程,啟動交換任務,進行信息安全交換,防范惡意進程對共享信息的竊取與攻擊。

    f) 交換過程監管——對交換內容進行提取、轉換與過濾、交換進程行為進行評估、交換內容進行審計與追蹤,實現兩級政府部門交換行為的可管可控。

    8.2.4 可信公共服務平臺

    在該模式下,應保證兩級政府部門公共服務平臺的可信性與可靠性,對上報與傳送的信息進行逐級審核與把關,逐級防止對公共服務平臺的攻擊與篡改,具有有效的逐級恢復能力。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    安全俠
    Reserved 1.2k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类