GB/T 34080.3-2021
基本信息
标准号:
GB/T 34080.3-2021
中文名称:基于云计算的电子政务公共平台安全规范 第3部分:服务安全
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:6563823
相关标签:
基于
计算
电子政务
公共
平台
安全
规范
服务
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 34080.3-2021.Security specification of electronic government common platform based on cloud computing-Part 3 :Service security.
1范围
GB/T 34080的本部分规定了基于云计算的电子政务公共平台的服务安全等级和服务安全要素。
GB/T 34080.3适用于基于云计算的电子政务公共平台所提供服务的安全等级认定及评估。
注:除非特殊说明,以下各章中“电子政务公共平台”均指“基于云计算的电子政务公共平台”。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改)适用于本文件。
GB/T 31167-2014信息安全技术云计算服 务安全指南
GB/T 34078.1-2017基于云计算的电子政务公共平台总体规范第 1部分:术语和定义
GB/T 34080.1-2017基于 云计算的电子政务公共平台安全规范第1部分:总体要求
GB/T 34080.2-2017 基于云计算的电子政务公共平台安全规范第2 部分:信息资源安全
3术语和定义
GB/T 34078.1-2017、GB/T 34080.1-2017和GB/T 34080.2-2017 界定的以及下列术语和定义适用于本文件。
3.
服务变更 service change
包括服务升级、迁移、退出在内的变更。
3.2
服务安全 service security
电子政务公共云平台所提供服务的安全特性。
3.3
多因子鉴别 multi-factor authentication
通过多个因素的组合来鉴别用户的机制。
注:多个因素包括但不限于下列各个因素:口令、口令卡、U盾、指纹、虹膜、短信验证码等。
标准内容
ICIS35.240.01
中华人民共和国国家标准
GB/T34080.3—2021
基于云计算的电子政务公共平台安全规范
第3部分:服务安全
Security specification of electronic government common platformbased on cloud computing-Part 3:Service security2021-03-09发布
国家市场监督管理总局
国家标准化管理委员会
2021-10-01实施
-riKacerKAca-
规范性引用文件
术语和定义
服务安全等级划分
5服务安全要求
5.1服务访问控制
5.1.1、基本型服务安全要求
5.1.2加强单服务安全要求
高等级服务安全要求
5.2服务传递保护
基本型服务安企要求
加强型服务安全要求
高等级服务安全要求
5.3服务监控
基木型服务安全要求
加强型服务安全要求
高等级服务安全要求
5.4服务计
基本服务安全要求
加强型服务安全要求
高等级服务安全要求
5.5服务安更
基木型安全要求
加强型服务安全要求
高等级服务安全要求
5.6服务评估
基本型服务安全要求
加强型服务安全要求
高等级服务安全要求
参号文献
rrKaeerKAca-
GB/T 34080.3—2021
-riKacerKAca-
GB/T34080.3—2021
GB/T31080\基于云算的心子政务公共平台安全规范》分为以下4个部分:第1部分:总体要求;
第2部分:信息资源安全:
第3部分:服务安全
第4部分:应用安全。
本部分为GB/T34080的第3部分
本部分按照GB/T1.1一2009给出的规则起草,请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任,本部分山中华人民共和同1业和信息化部(通信)提出并归。本部分起草单位:陕西省信息化工程研究院、华为技术有限公司、天津大海科技有限公可、中国电于科技集团公司篇二十八研究所、渐江华通云数据科技有限公司、中国信息通信研究院、博康智能信息技术有限公司西安邮电人学、工业和信息化部电了第万研究所,西安未米国际信息股份有限公司,北京金山网络科技有限公司、北京元禾昆公科技有限公司、南京中冠科技服务有限公司。本部分主要起草人:葛学锋、朱志祥、肖跃宙、工盾、崔吴、张春晖、马洪军、贺江敏、徐鸣、张磊、刘述,柳旭东、宋智军、戴向东、闫长睿。rrKaeerkAca-
GB/T34080.3—2021
出子政务发展正处于转变发展方式、深化应用和突出成效的关键转型期。政府职能转变和服务型政府建设对电子政务发展提出了新更高的要求。以云计算为代表的新兴借息技术产业、应用不断涌现,深刻改变了电了政务发展技术环境及条件。构建基丁云计算的电子政务公共平台可以充分发挥既有资源的作用和新兴信息技术潜能,加快电子政务发展创新,提高应用支撑服务能力,增强安全保障能力,减少重复建设,避免各自为政和信息证岛为了使得服务使用机构能够从基于云计算的电了政务公共平台获得安全的、可用的和可持续的服务,GB/T31080的本部分规定了基于云计算伪电子政务公共平台在提供服务过程中的服务安全要求,以保障服务使用机构对其数据和业务的管控v
rrKaeerkAca
1范围
基于云计算的电子政务公共平台安全规范第3部分:服务安全
GB/T34080.3—2021
GB/T34089的本部分现定了基于云计算的电了政务公共平台的股务安全等级和服务安全要素,本部分适用于基于云计算的电子政务公共平台所提供服务的安全等级认定及评估。注:除非特殊说明,以下各章中“电子政务公共平台\均指“基于云计算的电子收务公共平台”。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用义件,仅注日期的版本适用于本义件。凡是不注日期的引用文件,其最新版本(包括所右的修改)适用于本文件。GH/T311672014信息安全技术2计算服务安全指南GB/T34078.12017基于云计算的电子政务公共平台总体规范第1部分:术语和定义GB/T34089.1一2017基于云计算的电子政务公儿平台安全规范第1部分:息体要求GB/134080.2一2017基」2计算的电子政务公共平台安全规范第2部分:信息资源安全3术语和定义
GB/T31078.1—2017,GB/T34C80.1—2017和GB/T34080.2—2017界定的以及下列术语和定义适用于本文件。
服务变更
service change
包括服务升级,迁移,退出在内的变更。3.2
服务安全
service security
电了政务公共云平台所提供服务的安全特性。3.3
多因子鉴别
multi-factor authentication
通过多个因系的组合米鉴别用户的机制:注:多个因素包括但不限十下列各个因素:口令、口令卡,U盾,指纹,膜、短信验让码等,4服务安全等级划分
根据GB/T31167.2014的6.4对政府业务分类的定义,电于政务公共云平台服务安全等级可划分为以下一级:
基本型服务安全:电子政务公具云平台所提供的服务应能够满足开展般政务业务所具备服安全能力;
b)加损型服务安全:电了政务公共云平台所提供的服务在具备基本型服务安全要求基础上,应1
rKaeerkAca-
GB/T 34080.3—2021
能够满足开展重要政务业务所具各的安全能力:高等级服务安全:电子政务公共公平台所提供的服务在具各加强型服务安全要求基础上,应能够满足开展关链政务业务所具备的安全能力。5服务安全要求
5.1服务访问控制
5.1.1基本型服务安全要求
基本型服务安全要求包括:
应对服务使用机构的人员进行身份认证和鉴别;b)
应对服务账号指定访间权限和其他需安的属性迎行鉴别;应对服务启用访问控制功能和非法连接过滤功能,只允许合法的请求访问;应对服务的所有外部接口进行标识和保护,防止通过这些服务接门进行攻击:d)
对服务未成功的登录尝试超过上限款数时,应进行锁定账户、告警通知等访问控制应对服务的远程访间方式进行授权控制,明确使用限制、置和连接要求5.1.2加强型服务安全要求
加强型服务安全要求包括:
应对服务的账号进行基于角色的分域、分级、分权的访问控制管理;a
应对服务的账户增强安全技术保护,防止对账户信息的暴力破解:e
应对服务的并发会话进行控制,不准许服务账号有两个或两个以上的并发会活:d)
应对服务的远程访问进行多重条件限制,自动监择和择制远程访问会话,保证远程访问会话的保密性和完整性;
应提供基密码的安全服务,加强对服务资源的访问安全保护,保护服务资源的机密性、完整e
性和不可抵赖性,
3高等级服务安全要求
高等级服务安全要求包括:
应对服务使用机构的人员进行基」实名唯一标识的认证和多因子鉴别a
b)应对服务使用机构的设备进行基于终端唯标识的认证和多因子鉴别;c
虚对提供服务所依托的服务资源进行基于资源唯一标识的认证和多因子鉴别d)应对提供服务所依托的服务资源进行统一访间控制件理5.2服务传递保护
5.2.1基本型服务安全要求
基本型服务安全要求包据:
a)应对服务来源进行识别和保护,防止通过不明服务来源进行攻击;b)应对服务传递过程中的内容进行安全技术保护,防止对服务传递内容的暴力破解。5.2.2加强型服务安全要求
加强型服务安全要求包括:
应对服务传递过程中的攻击行为进行有效拦俄,防止攻击,勘持,纂改:2
rKaeerkAca-
b)应对服务传逆过程进行监控,对异常传递过程进行报警5.2.3高等级服务安全要求
同 5.2.1和 5.2.2。
5.3服务监控
5.3.1基本型服务安全要求
基本型服务安全要求包括:
应制定服务安全监控策略和规范,规定监控的主体、范国、责任等内容;a
b)应实时监测服务的资源、重要行为、运行状态、安企事件等;应对服务监管中异常状况进行报警。2加强型服务安全要求
加强型服务安全求包括:
应及时中查和史新监控策略及相关规程;a)
b)应结合服务评估结果和审计结果及时调整监控策略5.3.3高等级服务安全要求
同5.3.1和5.3.2
服务审计
基本型服务安全要求
基本型服务安全要求包括:
应制定中计策略和规范,包据中订主体、范间、人员、责任等内容:GB/T34080.3—2021
应根据安全需求和服务便用机构要求,制定可审计事件清单,记录并维护审计记录;应对中计记录进行保护,避免受到末预期的除、修改或覆盖等:应保证所提供审计数据的真实性:虚对审计记录进行审查和分析,定期提供审计分析报告。2加强型服务安全要求
加强型服务安全要求包括:
应指定独立的安全审计人员负责管理审计让记录,并在授予审计人员访间权限之前对其进行审查开定期复查:
成根据法律法规及服务使用机构的要求进行审计记求的保存c
应定期审查和调整审计策略:
当法律法规、服务使用机构需求或服务而临的威胁环境发生变化时,应及时调整审计策略:d
应加强中计数据的保护。
高等级服务安全要求
高等级服务安全要求包括:
a)应保证所提供审计数据的完整性;应支持第三方中计,
-rrKaeerkAca-
GB/T 34080.3—2021
服务变更
基本型安全要求
基本型安全要求要求包括:
服务升级时,应确保服务使用的连续性和·致性,同时服务使用机构的数据不丢失;b)
服务退出时,应全部返还服务使用机构的所有数据,同时销毁服务使用机构的数据,并确保数据不可恢复:
服务迁移时,应采取相美安全措施确保服务迁移过程小数据机密性和完整性·同时销毁服务使e
用机构的数据,并确保数据不可恢复;d)服务变更时应确保服务使用机构对其数据的所有权不变·防止未授权的访问和使用。5.5.2
加强型服务安全要求
应提供自动化服务变更于段。
3高等级服务安全要求
服务升级和迁移时,当数据完整性销识时,应能够采最相应的恢复措施5.6服务评估
基本型服务安全要求
基本型服务安全要求包括:
应定期并展风险评估,或者在服务变史时,或者在出现其他可能影响服务安全状态的条件时,a
重新进行风险评估;
应将风险评估结果记录在风险评估报告中,并将风险评估结果发布至相关人员;b)bzxz.net
应根据风险评估报告,有针对性地对服务进行安全整改5.6.2加强型服务安全要求
3高等级服务安全要求
应引人第三方机构开展安全服务认证和评估工作,对服务安全进行评价4
-rrKaeerkca-
GB/T34078.2
参考文献
GB/T34080.3—2021
第2部分:顶层设计导则
基于云计算的电了政务公共平台总体舰范rrKaeerkAca-
GB/T34080.3-2021
中华人民共和国
国家标淮
基于云计算的电子政务公共平台第3部分:服务安全
安全规范
GB/T 34030,3—2021
中国标准出版社出版发行
北京市朝阳区刘平里西街甲2号(100029)北京市西城区二里河北街16号(130#)网址:spe.org.cn
服务热线:40-168-3010)
2021年3月第一版
书号:155066:1-65777
版权专有
-rrKaeerkAca-
侵权必究
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。