- 数据分析
- 数据治理
- 产品解决方案
- 行业解决方案
- 案例
- 数据资产入表
- 赋能中心
- 伙伴
- 关于
时间:2022-03-29来源:程序猿浏览数:386次
2022年3月28日,全国信息安全标准化技术委员会秘书处发布关于征求国家标准《信息安全技术 电子政务移动办公系统安全技术规范》(征求意见稿)意见的通知。在标准的编制说明中陈述了其修订的背景、目的和主要内容。
修订的背景首先,信息化发展催生移动政务新应用场景,目前在线政务服务用户规模达6.94亿,占网民的76.8%。
其次,新技术发展,移动办公模式实现方法多样。
第三,近几年国家极为重视网络安全问题,先后发布了《网络安全法》、《密码法》《数据安全法》《个人信息保护法》等法律,《网络安全等级保护基本要求》标准修订,《政务信息系统密码应用与安全性评估工作指南》发布,以及国务院办公厅关于印发全国一体化政务服务平台移动端建设指南的通知发布,对标最新的法律法规和指南,支撑相关要求的落地实施,需要对原标准做出适应性的修订。
第四,本标准名称为《信息安全技术 电子政务移动办公系统安全技术规范》,规范类标准都需要对安全技术要求提出相应的测试评价方法,因此需要对原标准进行修订,增加测试评价要求。
修订的目的标准是对国家标准GB/T 35282-2017《信息安全技术 电子政务移动办公 系统安全技术规范》的修订,旨在令标准适应于新的移动政务应用场景和新技术的发展。
标准修订的主要内容标准拟主要修订以下内容:
(1)原标准规定了移动终端安全、信道安全、移动接入安全和服务端安全应满足的技术要求。自标准发布后,出于信息系统等级保护技术体系的发展,本标准为保持与等级保护相关标准的一致,将该标准的范围扩展成了对移动终端安全、移动通信安全、移动接入安全、服务端安全、安全管理中心技术要求的规定。
(2)对政务移动办公系统基本结构进行修订,增加对政务办公场景和政务服务类应用场景的支持。政务移动办公系统主要包括两种业务类型:政务办公类和政务服务类。政务办公通常指政务办公人员使用移动终端上安装的政务应用程序,开展流程审批、业务管理、工作协同等办公应用。政务服务通常指社会公众使用移动终端上安装的政务应用程序,获取政务信息、开展网上办事、进行交流互动等政务服务类办公应用。
(3)补充完善电子政务移动办公系统主要安全风险分析,并修订了电子政务移动办公系统的安全技术框架。
(4)修订完善了移动终端安全、移动通信安全、移动接入安全、服务端安全等各部分的安全技术要求。
(5)按照网络安全等级保护2.0技术框架,增加“安全管理中心”一章, 修订移动终端管理、移动应用管理、数据安全管理等要求,新增安全监测、安全审计要求。
(6)新增加第十一章“测试评价方法”一章,对移动终端安全、移动通信安全、移动接入安全、服务端安全、安全管理中心的安全技术要求提出相应的测试评价方法。
政务办公类政务移动办公系统应符合本文件规定的全部技术要求和测试评 价方法。政务服务类政务移动办公系统不对社会公众使用的移动终端提安全要求,应符合本文件第6.2章节至第10章规定的政务应用程序安全、移动通信安全、移动接入安全、服务端安全和安全管理中心等相关技术要求和测试评价方法。
标准的第九章第五部分和第十章第三部分分别阐述了数据安全和数据安全管理相关的内容:
数据安全1 数据安全存储
a) 应对数据进行分类存储;
b) 应对存储的用户数据进行完整性和保密性保护,并配置访问控制策略;GB/T XXXXX—XXXX
c) 应采用校验技术或密码技术保证服务端重要数据在存储过程中的完整性,包括但不限于身份鉴别数据、重要数据和敏感个人信息等;
d) 应采用密码技术保证服务端数据在存储过程中的保密性,包括但不限于身份鉴别数据、重要数据和敏感个人信息等;
e) 宜采用移动终端虚拟化技术,实现政务应用程序及数据在虚拟移动服务端集中安装和存储。
2 数据防泄露
a) 应支持按照设定的数据分类分级规则,配置服务端数据防泄漏安全策略,对服务端政务数据访问行为和操作行为进行监测和审计;
b) 应建立数据脱敏安全策略,在数据共享和导出过程中对敏感数据进行脱敏处理;
c) 宜支持对政务数据文件进行安全展现,如按页加载、按页清除等;
d) 宜建立数据共享管控和数据泄露溯源机制;
e) 宜采用密码技术保证敏感数据提供给第三方机构进行处理过程中的保密性和完整性。
3 数据备份恢复
a) 应支持对服务端重要数据定期进行本地或异地备份,包括但不限于身份鉴别数据、重要数据和敏感个人信息等;
b) 应支持选择全部数据或部分数据备份方式,并用不同时间点的备份数据进行恢复,在数据恢复过程中应进行数据完整性校验;
c) 应提供服务端重要数据的异地实时备份和恢复功能;
d) 应对重要政务应用系统采用热冗余部署方式,保证系统的业务连续性。
4 剩余信息保护
a) 应保证重要数据、个人信息和身份鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
b) 应保证服务端所使用的内存和存储空间回收时得到完全清除;
c) 当用户注销账户时,应支持同步销毁该用户在服务端数据库中的用户个人数据及其备份。
数据安全管理a) 应支持多种格式数据文件的识别、导入、发布和下载,包括PNG、JPG、GIF、BMP、PDF、DOC、DOCX、XSL、CSV、TXT、HTML、OFD、WPS、ET、DPS、UOF等;
b) 应支持对政务数据和个人信息进行分类分级管理,并配置不同的数据访问控制策略,如读写、拷贝、下载等;
c) 应支持配置敏感数据和个人信息防泄露安全策略,支持敏感数据和个人信息的扫描、过滤、脱敏和外传阻断。
