GB/Z 24294.1—2018信息安全技術 基于互聯網電子政務信息安全實施指南 第1部分:總則A.5 外部公開信息防護示例
A.5.1 身份認證
存儲和處理公開信息的政務服務系統實現基于口令方式的身份認證功能,對信息的發布者和管理者進行基于口令的身份認證,對信息的訪問者和其余人員不進行身份認證。
A.5.2 存儲安全
A.5.2.1 信息分類存儲
符合安全信息分類存儲要求,將公開信息單獨存放于公開數據處理區。
A.5.2.2 備份與恢復
建立系統備份和恢復機制,對關鍵的政務服務系統進行備份和破壞后的恢復。
A.5.3 應用安全
A.5.3.1 信息發布審核
基于信息發布審核的防護措施主要包括如下4個方面:
a)設置信息發布審核管理員角色,對發布信息的內容進行審查。
b)信息發布審核管理員角色,應是持數字證書的用戶。
c)面向公眾發布的信息要經過管理員審核,只有經過審核的信息才能向公眾發布。
d)依照《中華人民共和國保守國家秘密法》以及其他法律、法規和國家有關規定對擬公開的政府信息進行審查。
A.5.3.2 信息安全交換
由于業務需要,行政審批、投訴等公開信息會進入到內部數據處理區進行辦理,此時公開數據處理區和內部數據處理區之間的信息處理應符合信息安全交換要求。
A.5.3.3 網頁防篡改
部署網頁防篡改系統,對非法篡改行為進行實時檢測,及時恢復正確網頁,產生報警信息。
A.5.3.4 信息處理終端安全防護
存儲和處理公開信息的政務服務系統應安裝防病毒軟件,防止病毒傳播。
A.5.4 安全審計
對政務信息的發布操作應進行日志記錄,日志內容至少包括發布審批人員、審批時間、審批結果、信息發布人員、發布信息內容等內容。
推薦文章: