DB52/T 1542.2-2021 标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
DB52/T 1542.2-2021 政务服务平台 第2部分:应用技术规范.pdf7.1.1应用开发、操作、运维等人员由于各自职责/职能的不同,应制定与管理制度、管理规范协调配 套的功能访问权限,保障信息资源的安全访问和使用。 7.1.2应按照信息资源访问能力对应用开发、操作、运维等人员进行等级划分,在信息资源管理系统 中创建账户和分配权限,并将配置好的账户信息颁发给对应的应用开发、操作、运维等人员,约束用户 资源调用。 7.1.3应依托数据库系统平台提供的安全管理功能,结合友好的人机交互界面进行可视化管理。 7.1.4权限管理应包括应用开发、操作、运维等人员的增加、删除、修改功能,以及对读/写数据库权 限的授予、撤销、更改、资源访问账户配置管理、资源访问的审计和跟踪等功能。
DB52/T 1542.22021
a)系统应用访问权限:判断应用开发、操作、运维等人员是否具备访问系统的权限; b)功能访问权限:判断应用开发、操作、运维等人员是否具备功能的新增、修改、删除和查找权 限。
GB/T 37927-2019 科研信用信息征集规范7.2.2 系统应用访问权限
应用开发、操作、运维等人员在调用政务服务平台的系统应用时,应通过调用如下接口获取用户 有指定系统访问权限: )权限访问列表接口:根据用户登录名称获取该用户所具有访问权限的应用列表: )权限验证接口:根据用户登录名称和应用标识,验证该用户是否具有此应用的访问权限
7.2.3功能访问权限
应用开发、操作、运维等人员在调用政务服务平台组成系统的功能接口时,功能访问权限由各应用 系统根据本系统的需求进行控制,应包括以下权限控制: a 功能权限控制:基于ACL、RBAC等多种方式实现权限控制,权限控制粒度应到每一个功能点, 基于角色可自由分配权限; b 菜单权限控制:基于角色、菜单实现用户菜单级的授权管理,实现菜单权限可自由分配; C)数据权限控制:根据业务需求,对数据进行分类,做到数据权限的控制。
在事前控制、过程监督、事后追溯和闭环整改的机制下记录、分析和检查用户行为及系统状况,判 断其是否符合预定的安全策略,通过分析和检查发现系统存在的安全漏洞、潜在的安全威胁,并对其造 成的后果进行分析和评估,根据审查结论进行整改,降低政务服务平台安全风险,并追求系统安全破坏 者的责任。
8. 2 行为审计分类
8.2.1业务数据日志记录
业务数据日志应记录以下几方面系统业务数据的操作信息: a) 客户端IP地址; b) 登录用户标识; C 行为分类,如用户行为、系统行为; d 动作名称,如登录、退出; e) 操作的应用系统名称; f) 操作结果,如成功、失败; g 操作安全级别,登录成功或退出安全级别为:1;登录失败安全级别为:10; h) 备注,
8. 2. 2 系统管理日志记录
系统管理员可进行菜单注册、角色维护、角色授权、人员授权等操作。系统管理日志记录 下几方面内容: a)客户端 IP 地址:
b)行为分类,如用户行为、系统行为等; c)动作名称,如增加、删除、修改、启动、停止等; d 操作的应用系统名称; 操作的对象; 操作结果,如成功、失败; g 操作安全级别,操作安全级别分为1~10级,操作行为对系统安全的影响越严重,安全级别越 高,数字越大; h)备注。
.2.3用户行为且志记
用户行为包括对数据的增加、删除、修改以及重要数据的查询。用户行为日志记录的内容应包括以 几个方面: a 客户端IP地址; b) 行为分类,如:用户行为、系统行为等; 动作名称,如:增加、删除、修改、启动、停止等; d 操作的应用系统名称; e) 操作的对象; 操作结果,如:成功、失败; g 操作安全级别,操作安全级别分为1~10级,操作行为对系统安全的影响越严重,安全级别越 高,数字越大; h)备注。
用户管理应实现政务服务平台应用环境下的统一用户身份管理,包括用户基本信息管理、组织机构 信息管理、认证凭证管理、账号生命周期管理等。用户管理应满足以下要求: a)支持用户集中管理和分级管理模式; b) 实现对原有政务服务平台的用户信息整合,构建完整、统一、可信的新用户资源信息库,可根 据应用需要进行数据同步; C 支持用户凭证、角色、机构等相关信息的管理; d 提供用户凭证信息生命周期的管理,支持凭证的创建、注销、修改、删除等操作; 提供用户注册功能,支持用户信息的批量导入; f 支持用户分组管理模式,可基于组织机构或角色对用户进行分组管理; g 按照管理、操作、审计三权分立的设计原则,针对不同的管理要求设立相应的平台管理员,应 用系统管理员和安全审计员三类管理角色,并提供增加、删除、修改、查询功能。
认证管理应实现对政务服务平台的认证整合,可以针对政务服务平台的不同安全需求,实现多种登 录认证方式,同时具有高级别认证方式向下兼容低级别认证方式的特性。认证管理应满足以下要求: a)依据政务服务平台的不同安全需求,制定不同的认证等级策略,如提供认证安全等级向下兼容 策略:
DB52/T 1542.22021
b)系统支持用户名/口令和数字证书两种登录认证方式,按GB/T25064一2010中的规定设计数字 证书: c)系统应具有可扩展性,可快速实现对动态口令、生物识别等其他认证方式的支持; d)安全认证服务的实现方式友好,通过认证服务接口,实现对用户身份的统一认证管理
授权管理应实现统一的访问控制和权限管理,降低政务服务平台维护的复杂度,减少人为原因造成 安全性缺失,保障政务服务平台维护的安全性和便利性。授权管理应满足以下要求: a)支持集中授权管理和分级授权管理模式; D 支持角色组管理机制,实现对用户的分组授权; 可按需对政务服务平台的授权粒度进行安全策略配置,支持政务服务平台的粗粒度授权和业务 角色级的细粒度授权; 支持分级授权管理模式,可基于组织机构完成政务服务平台的分级授权管理; e 支持业务操作和安全审计权的分离,确保统一认证管理系统的自身运行安全。
应能实现对用户基本信息变更和访问控制授权操作进行电子化审批。审批管理应满足以下要求: a)每一步的审批记录及审批人都应被详细记录; b)应支持记录结果被综合查询和统计分析; c)关键的审批步骤应增加数字签名,达到确保责任落实到人的要求
10 统一电子印章技术
10.1电子印章数据格式
电子签章数据结构由待电子签章数据、电子印章所有者数字证书、签名算法标识、签名值和时间 选)组成,其数据结构见图3
图3电子签章数据结构图
D.2电子印章签章应用
图4待电子签章数据结构图
电子印章签章应用流程见图5。电子印章签章应用流程如下: a)准备电子印章,验证电子印章的正确性和有效性: 选择拟进行电子签章的电子印章,验证印章的正确性和有效性; 选择拟进行电子签章的电子印章所有者证书,可验证电子印章所有者证书有效性。验证项 至少包括:证书信任链、证书有效期、密钥用法是否正确:
DB52/T 1542.22021
图5电子印章签章应用流程图
10.3电子印章验章应用流程
电子印章验章应用流程如下: a)验证电子签章数据格式的正确性:
电子印章验章应用流程如下: a)验证电子签章数据格式的正确性:
图6电子印章验章应用流程图
DB52/T 1542.22021
b)验证电子签章签名是否正确; c) 验证电子印章所有者证书是否存在于电子印章所有者列表中; d) 验证电子印章的有效性; e 验证电子印章所有者数字证书有效性; f) 验证签章时间有效性; g) 验证原文杂凑: h) 验证时间戳有效性; i 如果上述各步骤验证均有效,那么电子印章验章结果为有效JJF(闽) 1067-2014 旋转辊筒式磨耗机校准规范,可正常退出验章流程。
11. 1电子证照检索
电子证照检索应满足以下要求: a)可根据持证主体和证照类型检索证照; b)持证主体是自然人时主要使用公民身份号码,是法人或其他组织时主要使用统一社会信用代 码; c)检索结果中应包含符合GB/T36904—2018规定的电子证照标识。
电子证照获取应满足以下要求: a)可获取该证照的多项元数据信息; b)可请求下载该证照的电子证照原件或加注件; c)获取证照信息或电子证照文件前应获得持证主体直接或间接的授权
11. 3电子证照验证
电子证照验证应满足以下要求: a)可对给定的证照元数据信息进行核对; b)可对给定的电子证照文件进行真伪验证及管理状态核对
11. 4 持续服务能力
是供证照共享服务时应同时承诺该服务的性能和质量满足使用方实施业务的要求,包括但不限于 )服务的持续时间 )提供检索GB 51066-2014 工业企业干式煤气柜安全技术规范,获取和验证功能服务的平均请求响应时间; )证照共享服务的并发响应能力