ICS 35.240.20 L 70 DB43 湖 南 省 地 方 标 准 DB43/T 1871—2020 政府网站集约化管理平台安全防护规范 Security protection specifications for the intensive management platforms of government websites 2020-11-27发布 湖南省市场监督管理局 2020-12-30实施 发 布 DB43/T 1871—2020 目 次 前言 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·Ⅲ 1 范围 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·1 2 规范性引用文件 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·1 3 术语和定义 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·1 4 安全防护架构 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·2 5 安全技术要求 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·2 6 安全管理要求 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·9 参考文献 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 12 I DB43/T 1871—2020 II DB43/T 1871—2020 前 言 本文件按照 GB/T 1.1—2020 给出的规则起草。 本文件由湖南省政务管理服务局提出并归口。 本文件起草单位：湖南省人民政府发展研究中心、湖南省质量和标准化研究院、湖南金智标准科技 发展有限公司。 本文件主要起草人：严洁、张海寅、盛甫、庄宁、饶宇雄、盛立新、陈坚、姜海彬、邓伟林、杨 铁军。 III DB43/T 1871—2020 IV DB43/T 1871—2020 政府网站集约化管理平台安全防护规范 1 范围 本文件规定了湖南省政府网站集约化管理平台安全防护架构、安全技术、安全管理的基本要求。 本文件适用于省、市（州）两级政府网站集约化管理平台安全防护体系建设。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求 GB/T 22240—2020 信息安全技术 网络安全等级保护定级指南 GB/T 29765—2013 信息安全技术 数据备份与恢复产品技术要求与测试评价方法 GM/T 0054—2018 信息系统密码应用基本要求 3 术语和定义 下列术语和定义适用于本文件。 3.1 政府网站 各级人民政府及其部门、派出机构和承担行政职能的事业单位在互联网上开办的，具有信息发布、 解读回应、办事服务、互动交流等功能的网站。 3.2 政府网站集约化管理平台 将一定范围内的政府网站集中到一起，形成技术统一、功能统一、结构统一、资源归集汇聚的一站 式、面向多服务对象、多渠道、多层级、多部门的政府网站集群平台。 3.3 政府网站统一信息资源库 指通过一定规则对政府网站信息资源进行统一入库存储、维护管理、监管分析，并对外提供信息汇 聚、数据转换、交换共享等服务的资源管理平台。 3.4 网站用户 指网站的访问者，既包括来自外部、访问获取网站资源的前台用户，也包括负责网站系统管理、内 容管理的后台用户。 3.5 网络安全 指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处 1 DB43/T 1871—2020 于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。 3.6 安全保护能力 指能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。 4 安全防护架构 4.1 概况 集约化管理平台安全防护体系应落实网络安全等级保护制度。应基于政务云建设统一安全防护体 系，与集约化管理平台建设同步规划、同步建设、同步运行。整体架构如图 1 所示。 图 1 平台安全防护架构图 4.2 安全措施 省、市（州）两级集约化平台应严格按照网络安全等级保护三级要求和密码应用安全基本要求设计 建设安全防护体系，并符合本文件明确的安全措施。 5 安全技术要求 5.1 物理安全 集约化管理平台应统一部署在政务云上，平台物理部署环境应满足 GB/T 22239—2019 中第三级关 于物理环境的要求。 5.2 边界安全 5.2.1 互联网边界安全 集约化管理平台安全部署应划分网络安全区域，严格设置访问控制策略，建立安全访问路径。应在 集约化管理平台与互联网的边界处部署防火墙等边界隔离设备，并配置合理的边界访问控制策略，实现 2 DB43/T 1871—2020 集约化管理平台与互联网之间的逻辑隔离。边界防护策略包括但不限于以下内容： ——互联网边界隔离设备的默认过滤策略应设置为禁止任意访问； ——应仅允许互联网用户访问应用服务器提供的 HTTP（HTTPS）服务等指定的服务和端口； ——应限制集约化管理平台中的服务器主动访问互联网； ——应仅允许认证用户访问平台服务器提供的管理平台、内容管理、统一信息资源库等指定的服务 和端口； ——应限制集约化管理平台中的服务器主动访问内部网络，仅允许访问内部网络提供的指定交互业 务、补丁更新、病毒库升级等服务； ——应限制边界隔离设备的远程管理方式。若需要采用远程管理方式时，应采用加密方式进行设备 的远程管理，或采用数字证书等高强度鉴别方式； ——集约化管理平台应具备互联网流量的安全检测能力。 5.2.2 安全域边界安全 5.2.2.1 集约化管理平台在网络边界处应部署跨网数据安全交换系统，实现互联网和内部业务网络的 安全隔离及信息交换。 5.2.2.2 在内部业务网络内，应采用在交换设备上划分 VLAN 或部署安全域边界