杭州市权力阳光电子政务系统安全技术规范
依托电子政务构建规划行业行政权力阳光运行平台
作要 点 ) 在 随 后 几 年 内 ,. 央到 各 省 市逐 步 列 入 实 行 计 划表 。 江 苏 省 于 2 0 , 并 l中 J I 0 8年 度 发 文 ( 政 办 发 [0 8 5 )就 仃政 权 刚 苏 2 0 ]0 , J
度 , 象 并 构建 符 合 各 行 政 部 门使 用 的“ 泛 ” “ 适 ” 一般 性 业 务 审 批 系 统 , 质 推 动 电 子政 务 技 术 的 深 入发 抽 广 而 普 的 实
1电 子 政 务 和 行 政 权 力 阳 光 运 行 现 状
无 锡 市规 划 局 应 用 电子 政 务技 术 开展 信息 化 软 硬 件 建 设 起 步 较 早 , 以逐 年 制 定 完 善 的 规 章 制 度 为 基 础 。 有 一 系 列 砬 』 丰 埘 现 {f jJ 成 熟 的规 划 审 批 系 统 , 以无 锡 规 划 网 为 衷 现 和依 托 , 行政 权 力 阳光 运 行 中发 挥 着 重要 的 作 用 . 在 .
光透 明运 行 发 表 了工 作 意 见 , 市 县 大 多 根 据 实 际 情 况 , 2 0 各 于 0 9年 度 排 了时 间 表 行 政 权 力阳 比 透 明 运 行 平 台 的建 设 , 白 效 梳 是
理 各 级 行 政 审 批 事 项 的 良好 契 机 , 利 丁 从 源 头 发 , 一 制 清 理 和 规 范 各 类 行 政 权 力 ; 时 , 平 台 的 建 没 。 利 丁从 晦I 角 有 统 强 同 该 有 f { j
浙江省电子政务云建设方案
浙江省电子政务云建设方案清晨的阳光洒在键盘上,思绪随着敲击键盘的节奏跳跃,十年的方案写作经验,让我对电子政务云建设有着深入的理解和独到的见解。
下面,就让我以“浙江省电子政务云建设方案”为主题,为大家详细阐述一下我的想法。
一、项目背景随着信息技术的飞速发展,云计算作为新一代信息技术的重要组成部分,已经在各个领域得到了广泛的应用。
电子政务作为提升政府工作效率、优化政府服务的重要手段,也需要借助云计算的力量来实现资源的整合和优化。
浙江省作为我国东部沿海的经济大省,政府信息化建设走在前列,电子政务云建设更是势在必行。
二、项目目标本项目旨在构建一个高效、稳定、安全的电子政务云平台,实现政务信息资源的全面整合,提升政府工作效率,优化政府服务,为浙江省的经济发展和社会进步提供有力支撑。
三、项目内容1.构建云基础设施:以虚拟化技术为基础,构建一个可弹性扩展的云基础设施,满足政务业务的高效运行需求。
2.整合政务信息资源:对现有的政务信息资源进行梳理和整合,实现数据的共享和交换,提高政务信息资源的利用效率。
3.构建政务应用系统:以云计算技术为支撑,构建一批政务应用系统,满足政务业务的需求。
4.建立安全保障体系:采用多层次、全方位的安全保障措施,确保电子政务云平台的安全稳定运行。
5.建立运维管理体系:建立健全运维管理体系,确保电子政务云平台的正常运行。
四、项目实施方案1.项目启动:组织召开项目启动会,明确项目目标、任务分工和时间节点。
2.需求分析:对政务业务进行详细的需求分析,确定电子政务云平台的功能模块和性能指标。
3.设计方案:根据需求分析,设计电子政务云平台的整体架构和关键技术方案。
4.项目实施:按照设计方案,分阶段、分任务进行项目实施。
5.项目验收:项目完成后,组织专家进行验收,确保项目达到预期目标。
6.运维管理:建立健全运维管理体系,对电子政务云平台进行持续优化和改进。
五、项目风险及应对措施1.技术风险:云计算技术更新迭代较快,可能导致项目实施过程中技术选型不准确。
电子政务系统
电子政务方案清普电子政务系统由门户网站、政府信息公开系统、协同办公系统、政民互动平台、网上行政审批及监察系统和应用支撑平台六个系统所组成。
一、技术主要路线二、应用系统建设内容1、门户网站清普政府门户网站通过前台静态页面发布和后台动态管理的形式来提高整个系统的访问速度和稳定性。
前台主要页面有:1)主页主页是整个门户网站的所有栏目信息集中展现体,将所有信息按照资讯类、服务类、互动类和公开信息类进行划分,通过通栏、图文、动画、选项卡等形式来展现。
2)信息公开信息公开频道作为政府对外信息公开的主要区域,在这里通过简洁并且便于查询的方式来进行展现。
主要栏目有:最新公开、分类公开、和最新互动。
3)政民互动政民互动频道是公众与政府交流的主要场所,在这边公众可以在网上进行投诉、建议以及查询受理情况和结果,还可以对答复的结果进行评议。
主要栏目有:最新答复、最新反映、重点关注、办理统计、意见征集等。
4)招商引资招商引资是整个门户网站的主要频道之一,在这块所有的投资者都可以了解到整个开发区的经济、投资项目、重点项目建设以及将来的经济发展规划。
主要栏目包括:投资动态、投资环境、投资项目、投资政策、投资规划、投资程序、区域布局、外贸预警平台、在线咨询等。
5)办事大厅办事大厅在此为公众提供网上办事的服务平台,公众不光可以在此了解到相关部门的办理事项、流程,还可以在此进行网上申报和查询办理结果。
网站后台管理是支撑门户网站生成、内容填充、辅助管理用的,大体上可以划分为网站定义、信息管理、访问管理、信息统计这四大部分。
2、政府信息公开平台政府信息公开平台的主要目标是通过信息化手段加强政府信息公开工作的建设和管理。
以政府信息公开管理系统为基础,以网站为信息公开的最终数据展现平台,通过最新公开、最新工作互动、最新文件、分类公开等栏目来展现公开的数据;在后台通过信息公开栏目、信息体和流程的自定义,实现局机关各项信息公共的录入、审批、公布等受理过程的自动化和电子化,提高局机关的政务效率和公众满意度,充分发挥政府信息对人民群众生产、生活和经济社会活动的服务作用。
杭州市社会保险管理服务局关于进一步加强社会保险业务管理工作的通知
杭州市社会保险管理服务局关于进一步加强社会保险业务管理工作的通知文章属性•【制定机关】杭州市社会保险管理服务局•【公布日期】2009.10.22•【字号】杭社险综[2009]51号•【施行日期】2009.10.22•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】正文杭州市社会保险管理服务局关于进一步加强社会保险业务管理工作的通知(杭社险综[2009]51号)各参保单位:为进一步规范社会保险业务经办,优化管理服务,方便单位办事,根据有关规定,现就规范和简化社会保险业务有关事宜通知如下:一、简化职工参保登记变更手续1、范围和对象。
参加杭州市区社会保险的企业、民办非企业用人单位(以下简称用人单位)及其职工。
个体劳动者社会保险业务经办参照执行。
2、简化申报材料。
从2009年11月1日起,用人单位办理新增职工参保登记时,填报《杭州市社会保险新增参保职工申报表》,不再附报身份证复印件;办理参保人员停保,填报《杭州市社会保险参保职工减少申报表》时,不再附报解除(终止)劳动关系等有关材料。
简化申报材料后,用人单位仍应在规定时间内向社保经办机构申报参保人员变动情况,并对申报内容的真实性负相应法律责任。
二、积极推广“数字社保”工作1、实行职工养老保险参保缴费信息数字化。
目前,用人单位及参保人员可通过杭州市劳动保障信息网站,查询职工社会保险参保情况及个人账户等基本信息,在此基础上我局将推行“职工基本养老保险电子手册”,市区各级社保经办机构逐步设立自助查询服务设备,方便参保单位和参保人员打印参保缴费记录。
11月1日起,首次参保人员暂不核发《职工基本养老保险手册》,参保人员办理停保时也不再记载相关内容。
参保人员跨统筹地区流动转移养老保险的,在办理转移手续时仍予核发《职工基本养老保险手册》并登记相关参保信息。
2、规范网上办事,推行电子政务,方便业务办理。
为提高办事效率,方便用人单位办理社会保险事务,我局面向用人单位和个人,实施社会保险网上办事。
加强信息化发展 实现“权力阳光”
信 息技术通过 加强 内部 审 批 、监 管至外 部公示等 所 采 取的重要措 施 ,并提 出 了做好 “ 阳光规划” 信息化 的建议 。 【 关键字l南京 ;权力 阳光运行; 指标; 息技术 信
二 ,信息 化 保障权 力阳光 运行
1 、全 市 上 下 统 一 思 想 ,加 强 信 息 化 投 人
“ 力 阳光 运 行 ” 是 近些 年 来 我 国 反 腐 倡廉 所 提 出的 新 举 措 、 新 思 路 。简 而 言 之 ,既 权
是 以计算机网络为依托 ,以电子政务为载体 ,以制度建设为抓手 ,各职能部门以权 力梳理 为工作基础 ,通过事前、事中、事后三 个阶段 的全过程监 控,实现政府权力实施的全面公 开 ,保证行政权 力的透 明、高效、规范的网上运行。通过机 制保 障、制度约 束、技术辅助 , 为公众提供一个 良好的办事环境。如何通过 “ 信息技术辅助”为规划审批部门的权 力公开 提供 支撑 ,是此次探讨 的主要 内容 。
】 、升 级 改 造 电 子政 务系 统 自 2 0 世 纪 9 年 代市 规 划 局 实 现 网 络办 公 , 0 随
项权力事项登记备案 ,一经确认不得随意增加、删 除和修改 ,基本
内容包括 :办事流程 、附件材料 、法律依据 、办事机关 、联系电话等 。
并在全市部署管理下 。为每个权力事项按照一定 的逻辑原则都赋予唯
一
的 编 码 , 例 如 规 划 局 许 可 审 批 中 的 “ 址 意 见 书 ” 编 码 为 选
“S 10 0 H— 一0 l ,作 为 唯 一 标识 。 J 0 0 0 G XK 0 0 ” 2) 部 门通 过 权 力编 码 完 成 每 一 个 权 力 所 产 生 具 体 案 件 的上 报 各
国家电子政务外网标准
控制器 Controller 包括虚拟化监视器、SDN控制器、存储虚拟化控制器和策略管理控制器等进行物理资源抽象管理的 资源管理和策略管理系统。
3.9
跨网数据交换系统 Data Exchange Across Regional Networks 跨网数据交换是一种基于网络隔离技术的无协议数据同步系统,综合利用设备认证、数据格式检查、 病毒检查等安全措施,实现两个不同网络业务区服务器之间数据同步。可由外交换服务器和内交换服务 器及相关隔离设备组成,支持数据库、文件、图像数据及请求响应数据的安全交换。
II
政务云安全要求
1 范围
本标准适用政务云规划设计、设备选型、建设实施、运行维护和管理。为各级政务部门建设政务云 提供指导和参考。
本标准规定了云服务客户及政务云服务方应满足的安全基本要求。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注明日期的引用文件,仅所注日期的版本适用于本 文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
附录 A............................................................................... 17
政务云 VPC 之间跨网数据交换方法示例 .................................................. 17
3 术语与定义
下列术语和定义适用于本文件。
3.1
政务云 Government Cloud 用于承载各级政务部门开展公共服务、社会管理的业务信息系统和数据,并满足跨部门业务协同、 数据共享与交换等的需要,提供IaaS、PaaS和SaaS服务的云计算服务。
GW0202-2014 国家电子政务外网安全接入平台技术规范
引言
为了满足各级政务部门的移动办公、远程访问、现场执法以及相关企事业单位和工作人员利用公众 网络安全接入到政务外网的业务需求,规范中央、省(自治区、直辖市)、地(市)、县级政务外网建 设运维单位建设安全接入平台,特编制本规范。
II
国家电子政务外网安全接入平台技术规范
1 范围
本规范适用于指导各级政务外网建设运维单位进行安全接入平台的规划、设计、选型及实施等工作, 也可作为政务外网职能部门进行指导、监督和检查的依据。
移动终端管理系统 Mobile Device Management 移动终端管理系统为移动智能终端设备提供注册、激活、使用、淘汰各个环节的远程管理支撑,实 现用户身份与设备的绑定管理、设备安全策略配置管理、设备应用数据安全管理等功能
当前司法行政信息化建设存在的问题与对策
当前司法行政信息化建设存在的问题与对策大力加强司法行政信息化建设,是适应信息化社会发展的需要,是新形势下提高司法行政工作水平、充分发挥司法行政职能作用的需要,是提高队伍战斗力的需要.在去年召开的全国司法行政信息化建设工作会议上,司法部吴爱英部长强调,各级司法行政机关要大力推进司法行政信息化建设,努力提高信息技术在司法行政工作中的应用水平,为推进新形势下司法行政工作改革发展提供强有力的信息技术支撑.省厅、市局十分重视信息化建设,将其作为司法行政工作的重点之一,为全系统信息化建设提供经费保障与技术支持。
经过几年的努力,我区司法行政系统信息化建设有了较大发展,取得了显著成效,但也存在一些不容忽视的问题,必须研究出相应的对策加以解决。
一、全系统信息化建设的进展与成效1、组织管理工作不断加强。
2008年我局成立信息化工作领导小组,负责全系统信息化领导工作,下设办公室,负责全系统信息化工作的组织、协调和管理,各科室和直属单位根据各自职能,具体承担相关的信息化工作推进职责。
今年成立了局信息中心,明确了专人从事信息化建设的具体实施和日常管理工作。
2009年我局出台了《计算机网络信息系统使用管理制度》,制定了电子公文流转和存档制度,权力阳光运行电子政务管理制度,门户网站管理制度,局域网使用管理制度,信息采集、审核、发布和更新制度,计算机信息网络系统安全保密制度,设备使用及维护制度等,为信息化建设的规范运行提供了制度保障。
2、硬件建设投入力度不断加大.自2008年开始,我局按照信息化建设要求,加大信息化建设资金的投入,购置更新办公电脑,保证局机关每人一台。
同时,添置了配套使用的传真机、扫描仪、打印机、专线电话机等现代化办公设备,形成了与省市司法行政专网、区政府机关协同办公网、互联网的联通与使用的格局。
同时为各司法所配齐办公电脑、打印机、数码照像机、数码摄像机等办公设备,为其省司法行政专网线的铺设与电信部门签订长期使用合同并支付网络月租费用,为信息化建设奠定了良好的物质基础.3、办公自动化应用水平稳步提高。
积极构建权力阳光运行机制
信息 . 以帮助公 民“ 一站式” 问现有 式 、 访 工作 程序 、 组织 形式 等方 面都面 的政府信息 美国还提出建立全 国性 电子化信 息服务 以及跨 政府 部 门的 申请与纳税 处理 系统 和 电子 邮递 系 临着全新 的变革 。 而这些依靠政府 自 障。近年来 . 国家和省市 先后 出台了 政府信息公开制度 、 电子 签名法等一 电子政务发展发挥 了重要作用 . 但在
行 政 流 程更 加规 范 这样 . 之 相 适 统 与 构建行政权力 阳光 运行机制必须 系 列法律 、 法规 和规章 制度 , 为促 进 应 的权 力 阳 光 运 行 机 制 才 更 具 意 义 充 分 考 虑 到企 业 和市 民 的 需 求 . 为 把 和 现 实 价值
二 、 构 建 行 政 权 力 阳光 运 行机 在
反 腐 倡 廉
积极构 建 权 力 阳光运行 机 制
高和静
2 0 年 . 市 开 始 构 建 权 力 阳光 06 我 运 行 机 制 . 过 全 市 上 下 的 不 懈 探 索 通 和 实践 ,这 项 工 作 在 建 设 法 制 政府 、 显 著 . 经成 为 在 全 省 乃 至 全 国具 有 已
阳光机制的构建 . 绝不意味着要简单 追求硬件设施 的先进 . 也不是单纯为
计 .中国 目前 网络用户 中农 民仅 占 0 %.城市 网络普及率 是农 村的数 . 9
施 建设 .为 城 乡 居 民 建立 方便 接 入 、
了软 件 系 统 的特 色 . 是 强 调 电 子 政 百倍。 此 . 而 进一步加强信息基础设
和取得 的成功经验 . 增添 了我们 的信
杭州市人民政府办公厅关于印发杭州市智慧电子政务项目管理办法(试行)的通知-杭政办函〔2015〕10号
杭州市人民政府办公厅关于印发杭州市智慧电子政务项目管理办法(试行)的通知正文:----------------------------------------------------------------------------------------------------------------------------------------------------杭州市人民政府办公厅关于印发杭州市智慧电子政务项目管理办法(试行)的通知杭政办函〔2015〕10号各区、县(市)人民政府,市政府各部门、各直属单位:《杭州市智慧电子政务项目管理办法(试行)》已经市政府同意,现印发给你们,请认真遵照实施。
杭州市人民政府办公厅2015年2月15日杭州市智慧电子政务项目管理办法(试行)为进一步推动我市智慧电子政务建设,规范智慧电子政务项目的全过程管理,保证项目建设质量,提高政府投资效益,特制定本办法。
市智慧电子政务建设工作领导小组(以下简称领导小组)是全市智慧电子政务建设工作的领导机构,负责全市智慧电子政务建设工作。
领导小组办公室(设在市政府电子政务办)承担领导小组的日常工作。
一、项目范围智慧电子政务项目是指由各级(中央、省、市)财政资金投资(包括财政补助)的,以计算机技术和通信技术为主要手段的电子政务网络系统、电子政务应用系统以及政务数据资源开发利用、电子政务安全保障等工程,包括项目的新建、升级、改建和迁移。
涉及网络、服务器、机房等电子政务基础性设施提升、改造的运维类项目也统一纳入智慧电子政务项目管理范畴。
智慧电子政务项目应以政务资源开发利用为主线,以提高应用水平、发挥系统效能为重点,推动应用系统互联互通、数据共享和业务协同,在提高政务效能、改善社会管理和公共服务等方面发挥作用。
项目申报对象为市委、市人大常委会、市政府、市政协、市法院、市检察院的组成部门及直属单位。
二、项目库建设管理领导小组办公室牵头负责全市智慧电子政务项目库的建设和管理工作。
让权力在阳光下高效运行——杭州局构建权力阳光运行机制纪实
明确各管理事项各环节的办理依据 、办理 条件 、办理 内 容 、格 式文 书 、质 量标准 、监督 措施等 要素 ,切实规
作。经过一年多的努力 ,构建权力阳光运行机制工作取
得 明显成效 ,目前该局所有行政 审批业务实现了在网上 运行 ,极大 程度地促 进 了国土 资源各项 权力规 范 、透
光 下运 行 。犹 如 为 该 局 各 项 行 政 工 作 的 开展 铺 设 了一 条 阳光 快 速 轨 道 , 实现 行 政 效 能 与社 会 效益 双 提 升 ,拉 近 了政 府 与 百姓 的 距 离 ,可谓 是 实践 建 设 服 务 型 政 府 的 成功 典 范 。
让权力在阳光下高效运行
权 力运行 “ 晒场"
项 目受理 时间 、审批状态都 可以登陆 杭州市局 网站上查 询 ,而且在项 目审批完 成的 同时 ,申请单位还 会在第一 时间收到 办结短信通知——现在 建设用地项 目申报 单位只要将 申报材料从 杭州市局窗 口递入
或通过网上 申报 ,按 照办文的时限要 求,
市局 推进权力阳光 运行机 制建设提升 行政效能又一典型 实例 。近 年来 ,按 照行政 审批改革 的要求 。杭州市局通 过精简环节 、内部挖潜等手段 ,已将大宗土地登记时限
用。
标 准化 定 义 行 政 权 力规 范 运 行
行政审批程序 繁杂 、政府部 门办事效率不高 ,历来 被普遍认 为是深受计划经济体制影响的政府部 门痼疾 。
与此相对 照的服务型政府 ,是市场经济内在的要求 ,是
一
杭 州市局还结合党风廉政建设 ,推进阳光权 力运行
机 制建设 ,消除权力寻租的空间。通过梳 理具 有自由裁 量权 的审查审核行为 ,公开审查审核环节 和人 员。量化 工作标准 ,明确权力行使要求 ,制订下发了 《 州市 国 杭 土 资源局 重点 审查 岗位 情况 及工作 要求 ( 试行 )》、 《杭州市 国土 资源局 审查工 作廉政 规定 ( 试行 )》和 《 重点审查 岗位督查办法 》。进 一步 加强对重点审查事 项的管理 ,规范重点审查岗位人 员的行政 审批行为 ,实 现 了将 自由裁量权的事项具体 到每个 岗位每个人 ,将审 查要求细化到 每个 细节 。
杭州市人民政府办公厅关于印发杭州市网上政务大厅建设工作实施方案的通知-杭政办函[2014]65号
![杭州市人民政府办公厅关于印发杭州市网上政务大厅建设工作实施方案的通知-杭政办函[2014]65号](https://img.taocdn.com/s3/m/4c3005c2a48da0116c175f0e7cd184254b351b66.png)
杭州市人民政府办公厅关于印发杭州市网上政务大厅建设工作实施方案的通知正文:---------------------------------------------------------------------------------------------------------------------------------------------------- 杭州市人民政府办公厅关于印发杭州市网上政务大厅建设工作实施方案的通知(杭政办函〔2014〕65号)各区、县(市)人民政府,市各有关单位:《杭州市网上政务大厅建设工作实施方案》已经市政府同意,现印发给你们,请认真贯彻执行。
杭州市人民政府办公厅2014年5月7日杭州市网上政务大厅建设工作实施方案为集中力量建设以行政审批“一张网”为重点的杭州市网上政务大厅(以下简称市网上政务大厅),根据《浙江省人民政府办公厅关于印发浙江省网上政务大厅建设工作方案的通知》(浙政办发〔2014〕10号)、《浙江省网上政务大厅建设指南》的有关要求,特制定《杭州市网上政务大厅建设工作实施方案》(以下简称《实施方案》)。
一、建设目标深入贯彻党的十八届三中全会和省委十三届四次全会精神,围绕市委、市政府关于深化行政审批制度改革、加快转变政府职能的总体要求,顺应新兴信息技术和互联网发展趋势,着力建设集行政审批、便民服务、政务公开等功能于一体,市县联动的综合型公共服务平台,实现全市行政审批等服务管理事项“一站式”网上办理与“全流程”效能监督,逐步形成品牌一体化、服务规范化、体验便捷化、建设集约化、资源共享化的覆盖全市的网上“政务超市”。
本项目建设范围覆盖杭州市及区、县(市)政府部门,时间从2014年1月至2015年12月。
二、基本框架市网上政务大厅依托市电子政务外网,在整合全市政府门户网站群和各级行政服务中心、政府部门行政审批等电子政务系统的基础上,按照市和区、县(市)两级平台的模式构建。
政务云安全建设规范及相关建
要求在任何情况下,在所辖 的网络安全范围内均应做到 可控制、可管理、可追溯, 我们应该如何去做?
以上所有均属于被动防御,网络安全和互联网安全的范围,在网络空间安 全中,只能解决现在网络攻击及安全事件中的30%,另外的70%(如0day、 APT、各类未知攻击)怎么办?
地址:北京市西城区三里河路58号 邮编:100045 电话:010-68527618 68557203 传真:010-68533919
安全防御(传统)的主要手段及存在的问题
信息系统安全等级保护要求,网络信任体系及密码技术的应用
常规安全监测(网站、SOC、漏洞扫描、态势感知、舆情分析等)
定期检查、第三方测评、风险评估
网络拓扑要求简单、边界明确、安全有效
我们国家的现状:属于技术推动(如“专业”系统设计,“领先”产品 应用),再到战术和战略的自下而上的过程(造成用户和决策者被产品 “绑架”),而形成对理念和方法不屑一顾的状态
承载重要信息系统的宿主机和虚机应能进行服务的加固要求,尤其是针对第三级信息系统的 安全要求,是否需要对宿主机和虚机同时加固? 业务流与管理流分开,应区分运维管理人员、公务人员及公众访问类的业务 对于重要部门进行分布式部署宿主机和虚机及统一管理的可能性 跨区域的信息共享与交换要求(互联网区、共享区及各部门业务区之间)
明确云计算环境与外部的边界安全及内部各部分之间的安全问题如数据安全多租户之间的安全问题虚拟机迁移中数据证书及服务器加固等安全措施是否也随之迁移异构云计算环境间的数据共享与交换要求云操作系统的管理权限分配及审计的要求审计系统的部署及安全要求应具有分业务出审计报告的功能数字证书如何使用及对应用系统的支撑明确虚拟机之间或不同业务之间明确的边界访问控制策略多租户分级管理的要求及实现方式计算网络及存储资源随着业务的扩大而动态分配及弹性扩展开放的api接口及共用相同数据库中间件等的具体实施方案地址
互联网政务应用安全管理规定
互联网政务应用安全管理规定文章属性•【制定机关】中共中央网络安全和信息化委员会办公室,中央机构编制委员会办公室,工业和信息化部,公安部•【公布日期】2024.05.15•【文号】•【施行日期】2024.07.01•【效力等级】部门规范性文件•【时效性】尚未生效•【主题分类】公共信息网络安全监察,机关工作正文互联网政务应用安全管理规定(2024年2月19日中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部制定2024年5月15日发布)第一章总则第一条为保障互联网政务应用安全,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《党委(党组)网络安全工作责任制实施办法》等,制定本规定。
第二条各级党政机关和事业单位(简称机关事业单位)建设运行互联网政务应用,应当遵守本规定。
本规定所称互联网政务应用,是指机关事业单位在互联网上设立的门户网站,通过互联网提供公共服务的移动应用程序(含小程序)、公众账号等,以及互联网电子邮件系统。
第三条建设运行互联网政务应用应当依照有关法律、行政法规的规定以及国家标准的强制性要求,落实网络安全与互联网政务应用“同步规划、同步建设、同步使用”原则,采取技术措施和其他必要措施,防范内容篡改、攻击致瘫、数据窃取等风险,保障互联网政务应用安全稳定运行和数据安全。
第二章开办和建设第四条机关事业单位开办网站应当按程序完成开办审核和备案工作。
一个党政机关最多开设一个门户网站。
中央机构编制管理部门、国务院电信部门、国务院公安部门加强数据共享,优化工作流程,减少填报材料,缩短开办周期。
机关事业单位开办网站,应当将运维和安全保障经费纳入预算。
第五条一个党政机关网站原则上只注册一个中文域名和一个英文域名,域名应当以“”或“.政务”为后缀。
非党政机关网站不得注册使用“”或“.政务”的域名。
事业单位网站的域名应当以“.cn”或“.公益”为后缀。
让权力在阳光下运行
让权力在阳光下运行“权力”和“阳光”貌似毫不相干的词语,在胡锦涛总书记所做的党的十七大报告中第六部分有一句话:“确保权力正确行使,必须让权力在阳光下运行”,而使两个词紧紧联系在一起。
是啊,阳光是最好的防腐剂,一切腐败现象都是见不得阳光的,都是暗箱操作的结果。
增强权力运行的公开性和透明度,做到阳光决策、阳光行政、阳光监督,推动权力运行全过程、全方位地处于阳光之下,是避免权力运行失范、确保权力正确行使的治本之策。
一、让权力在阳光下运行是党执政兴国的必然选择权力从何而来,本质是什么?马克思指出,权力是社会关系的一种表现形式,在一定社会关系中,它表现为一方支配另一方的力量;从本质是说,国家权力是统治阶级“用一种普遍的形式、一种具有普遍的社会强制力量的形式来实现本阶级利益”。
具体到我国,就是我们党和各级国家权力机关作为权力的代行者,受人民委托,为人民服务,让人民监督,把权力运行的各个层次、各个领域和各个环节都置于阳光之下,确保将人民赋予的权力用来服务人民。
为了保证权力的正确行使,有效防止权力运行失控,必须建立完备规范的监控约束机制,对权力坚持以公开为原则、以制度为核心、以监督为保障,建立完善各级民主决策、民主管理、民主监督的长效机制,大力推进“阳光政务工程”建设,是新形势下进一步加强党风廉政建设的现实需要,对深入推进改革发展、维护社会稳定具有十分重要的意义。
阳光决策,就是坚持科学决策、民主决策、依法决策,让人民群众的意愿在决策中得到充分体现。
实现阳光决策,首先是健全民主集中制。
把集体领导与个人分工负责有机结合起来,坚持重大事项和重要人事任免由集体研究决定,防止“一言堂”,防止个人凌驾于组织之上。
其次是扩大人民群众的决策参与度。
按照扩大公民有序政治参与的要求,切实保障人民群众的知情权、参与权、表达权、监督权。
对涉及经济和社会发展全局的重大事项,广泛征求人民群众的意见,充分进行协商和协调;对专业性、技术性较强的重大事项,认真组织专家论证、技术咨询、决策评估;对与人民群众利益密切相关的重大事项,实行公示、听证等制度。
发挥信息技术作用监督行政权力运行
发挥信息技术作用 监督行政权力运行发挥信息网络技术在重要行政权力阳光运行中的作用,是电子政务时代发展的要求,是新形势下构建惩治和预防腐败体系的一个重大实践,也是推动住房公积金管理工作和提高服务质量的新举措。
一、推行电子监察系统的现实意义大力发展电子政务,推行电子监察系统,把科学技术尤其是信息网络技术运用到反腐倡廉各项工作中去,有利于程序的公开性、制度的严密性和工作的创新性,从而推动反腐倡廉工作向纵深发展。
长期以来,各级纪检监察机关认真履行职能,做了大量工作。
但由于监察任务非常繁重、人手力量有限,许多工作疲于应付。
通过把重要行政权力运行全部纳入统一网络,可以促进部门及其工作人员依法、廉洁、高效行使权力;可以改变监察方式方法,由被动向主动、事后向事前、应急向规范转变,大大提高监察成效。
当前,一些违纪违法案件之所以屡屡发生,就在于行政权力尤其是行政审批权、行政执法权、社会公共资金使用权等重要权力运行失去监督或缺乏有力监督。
通过发挥电子监察信息网络技术在权力运行中的作用,有利于增强权力运行的透明度,便于公民、法人和其他社会组织对行政机关及其工作人员进行监督,最大限度地减少行政审批的随意性和暗箱操作,是从源头上预防和解决腐败问题的重大举措。
二、以建设电子监察系统为着力点,促进住房公积金业务办理提质提速运用电子监察信息网络技术对权力运行进行监督,是一个大课题,主要是通过运用信息网络技术,建设电子监察平台,发挥其刚性约束作用,使住房公积金管理过程中权力运行“大小有边界、行使有依据、运行能公开、网上留痕迹、全程受监控”,从而有效规范行政权力,构筑廉政“防火墙”。
在总体架构上,针对住房公积金管理当前重要的容易出现问题的行政权力,如贷款审批权、支取办理权、资金调度权等重点和关键环节,认真分析权力运行的现状,发现工作流程、工作规则、规章制度、监督制约等方面的薄弱环节。
通过科学梳理、优化流程、固化程序、分级授权、网上同步监控,建设权力运行流程网上实施和对权力运行实时监督为核心的电子监察系统,逐步构筑起信息畅通、反应快捷、上下联动、监督有效的电子监察网络,促使权力公开、规范、高效运行,实现从源头上防治腐败的目的。
杭州市构建权力阳光运行机制调研报告
透 明度 、行政权 力运行 的效 率和行 政相 对人 办事 的
方 便性也 未能 随着现代 网络 技术 的发展 而得 到 同步 提 高 。因而 ,一 些领域 的违 法案件 仍然居 高不 下 ,
行政 权 力 网 上规 范 、透 明 、高 效 运 行 。 因其 具 有 普 适 性 , 已 引起 决 策 层 、社 会 和 理 论 研 究 者 的 极
大关 注 。
批 、资 源 配 置 、公共 服务 、效 能 监察 ” 四位 一 体
的综合 性政 府 服务平 台 ;开 通 了政府 门户 网站 ,在 行 政 审批领 域 构建 了 电子政 务 网络平 台 ,实行 网络
杭 州市构 建权 力 阳光
运 行机 制 调 研 报 止 H 徐宾 茅晨 铭 苏
编 者 按 :本 调 研 报告 按 照 《 州研 究 》2 1 年参 考 论题 “ 州建 立 健全 权 力 阳光 运 行机 制 杭 00 杭
研 究 ” 而 写 ,为杭 'l 0 9 k 市2 0 年反 腐 倡廉 建 设 重 点 专项 基 金项 目。 中 共杭 州市 委 副 书记 、 市纪 委 l t 书 记 叶 明 同志就 本 调 研 成 果 作 了专 门批 示 : “ 茅铭 晨 教授 的调 研 报告 很 有 理 论 与实 践价 值 ,应
义。
关 键 词 :行政 管 理方 式
权 力 阳光运 行
政府 建 设
电子 政 务
作者 茅铭 晨 ,浙 江财 经 学院 法 学院 教授 ( 邮政 编 码 3 0 1 1 0 8);徐 苏 宾 , 中共 杭 州市 纪委 副 书记 、杭 州市 监察 局局 长 ( 邮政编 码 3 2 )。 106 0
浙江省电子政务外网安全评估指标体系
浙江省电子政务外网安全评估指标体系电子政务是指政府通过电子媒体和电子技术的有效运用,满足公众对政府服务的需求,支撑政务信息化建设的基础性工作。
随着政府信息化的发展,电子政务外网已经成为公共安全中重要的环节,也是电子政务安全体系的重要组成部分。
由此,有效的电子政务安全评估指标体系对政府信息化安全建设的发展具有重要的作用。
针对电子政务外网安全评估指标体系,浙江省设计出一套完整的标准体系,以确保电子政务外网系统安全评估的准确性和可靠性。
根据这一评估体系,电子政务外网安全评估主要包括网络威胁防护能力评估、系统安全性能评估、系统稳定性评估、认证安全性评估以及安全日志管理评估等五个方面。
第一,网络威胁防护能力评估。
根据电子政务外网安全评估体系,浙江省重点关注的网络威胁防护能力评估项目包括:防火墙安全性评估、防病毒安全性评估、入侵检测安全性评估等多项,结合实际需求,形成一套完善的网络威胁防护能力评估体系。
第二,系统安全性能评估。
系统安全性能评估主要专注于电子政务外网系统安全性能的检测。
例如,安全口令设置、系统弱口令审计、数据库审计、文件安全审计、系统定期备份等,以确保系统安全性能评估体系的准确性和可靠性。
第三,系统稳定性评估。
系统稳定性评估旨在检测电子政务外网系统的运行稳定性,以确保系统的稳定和可用性。
它的内容包括:系统硬件部署和配置的审查、系统程序代码审查以及系统稳定性测试、监控等。
第四,认证安全性评估。
认证安全性评估主要指电子政务外网系统访问控制的安全性评估,它主要包括用户和设备认证、访问控制检查、审计检查以及访问控制测试等。
最后,安全日志管理评估。
安全日志管理评估主要关注电子政务外网系统安全日志的管理情况,它的内容包括:日志产生的方式、安全日志的及时性、安全日志的存储安全性以及安全日志的可追溯性等,以确保安全日志管理评估体系的可靠性和准确性。
浙江省电子政务外网安全评估指标体系是以网络威胁防护能力评估、系统安全性能评估、系统稳定性评估、认证安全性评估以及安全日志管理评估五个方面为基础组成的,旨在确保电子政务外网系统安全性评估的准确性和可靠性,建立政务信息化安全建设的基础。
浙江省电子政务外网安全评估指标体系
浙江省电子政务外网安全评估指标体系第一条本指标体系是浙江省电子政务外网安全评估的依据,是衡量外网安全状况的重要标准,旨在规范浙江省电子政务外网建设管理,提高电子政务外网建设质量,确保电子政务外网安全、可靠和高效运行。
1.外网基础设施安全评估,应当以国家《电子政务网络互联技术体制与规范》为依据。
《技术体制与规范》按照“国家统筹、地方负责、联合建设”的原则,规定了政务外网建设和运行管理的相关要求。
各市、县(市)人民政府应当24116、严格执行相关要求,确保信息安全和基础设施稳定运行。
2.外网服务器安全评估,应当以《中华人民共和国计算机信息系统安全保护条例》和国家有关部门颁布的技术标准为依据。
《条例》对信息安全等级保护、入侵检测、病毒防治、密码保护等内容做了明确的规定。
为进一步贯彻落实国家信息安全政策法规,根据国家有关部门颁布的技术标准,结合我省实际情况,确保外网信息安全,特制订外网服务器安全评估标准。
3.外网应用系统安全评估,应当以国家《电子政务标准体系表》为依据。
《标准体系表》包括了政务信息公开、电子政务管理、社会服务和公众参与四大领域中的23个业务模块,涵盖了外网面向社会服务的全部内容。
为提高政务外网应用系统安全性和应用能力,促进政务信息资源的有序共享,提高社会服务水平,根据国家信息安全政策法规,参考国家相关标准,参照政务信息公开相关评估办法,参照我省有关规定,确保电子政务外网应用系统安全。
4.外网主机安全评估,应当以国家信息安全政策法规为依据。
《中华人民共和国计算机信息系统安全保护条例》和国家有关部门颁布的技术标准,对计算机信息系统安全保护工作做出了规定。
为确保电子政务外网主机系统安全,确保数据及业务应用不受破坏,进一步推动我省电子政务发展,根据国家信息安全政策法规,参照信息公开标准,参照国家相关标准,确保电子政务外网主机系统安全。
5.外网数据资源安全评估,应当以国家信息安全政策法规和国家有关部门颁布的技术标准为依据。
关于阳光政务平台建设的分析研究
关于阳光政务平台建设的分析研究
王津
【期刊名称】《计算机时代》
【年(卷),期】2014(000)007
【摘要】如何推进电子政务建设,构建权力阳光机制,对新时期政府信息化工作是个严峻的挑战.文章主要阐明了切实打造阳光政务平台是解决当前电子政务建设问题的有效途径,指出打造阳光政务的关键是建设全省统一的网上办事大厅,分析了网上办事大厅的主要建设内容,探讨了如何构建统一的政务云计算平台等.只有按照规范建好阳光政务平台,才能真正实现政务公开,切实提高政府部门的行政效能和公共服务水平.
【总页数】3页(P73-74,77)
【作者】王津
【作者单位】浙江省人力资源和社会保障信息中心,浙江杭州310007
【正文语种】中文
【中图分类】TP399
【相关文献】
1.让监督纯净透明让政务在阳光下运作:建立福建质监的“阳光政务”——福建省质监系统纪检监察工作会议侧记 [J], 吴赳
2.阳光政务求高效——延安市行政审批管理处建设阳光政务纪实 [J], 张勇
3.让《阳光政务》牵手廉政建设传播正能量r——泸州电台《阳光政务》经验浅谈[J], 郭隆江
4.阳光润政务热线暖民心——以达州广播电视台《阳光政务》栏目为例 [J], 魏敏;刘咏韵;胡国辉;胡艺潇
5."互联网+政务服务"创新扩散的事件史分析
——以省级一体化网上政务服务平台建设为例 [J], 魏志荣;赵兴华
因版权原因,仅展示原文概要,查看原文内容请购买。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
杭州市权力阳光电子政务系统安全技术规范(草案)一、总体要求权力阳光电子政务系统的建设各方应从物理环境、网络平台、系统平台、业务应用以及运行管理等方面分析并提高系统的整体安全保障能力,总体要求包括:a)信息系统的物理环境应提供系统正常运行的场所,并保证硬件、通信链路、机房环境的物理安全。
b)系统应合理划分不同的网络区域,根据应用需求设置合理的访问控制策略,强化网络设备自身安全配置;c)操作系统、数据库须进行安全配置。
业务应用软件应根据安全需求开发安全功能,通过启用这些安全功能,达到保护应用信息的目的。
d)系统应对网络、可移动存储介质、光盘等病毒可能入侵的途径进行控制,并阻断病毒在系统内的传播。
e)系统中采用的安全产品必须选用经国家主管部门许可、并经国家认证机构认可的产品。
系统如采用密码技术及产品对非涉密信息进行加密保护或安全认证,所采用的密码技术或密码产品应符合《商用密码管理条例》的要求。
f)系统建设单位应针对系统应用状况建立安全管理制度,在统一的安全策略下对各类行为进行管理。
二、基本安全目标2.1.物理环境2.1.1.机房环境机房建设应满足国家标准GB/T 2887《电子计算机场地通用规范》、GB/T 9361《计算机场地安全要求》的要求。
2.1.2.硬件设施的物理安全构成信息系统的采购硬件、自制硬件及其组成零部件应符合国家规定的质量标准。
2.2. 网络平台2.2.1.网络边界系统应根据安全需求在与Internet以及市电子政务外网、资源专网等其他网络的网间互连处配置网关类设备实施访问控制,并对通信事件、操作事件进行审计。
2.2.2.网络内部结构根据应用需求在内部网路结构中划分服务器区等独立网段或子网,并在相关网络设备中配置安全策略进行隔离,实施对内部信息流的访问控制。
2.2.3.网络设备根据系统安全策略和应用需求对防火墙、路由器及交换机等网络设备实施安全配置。
防火墙、路由器及交换机的自身安全配置至少应包括下列内容:版本更新与漏洞修补、版本信息保护、身份鉴别、链接安全、配置备份、安全审计。
2.3. 系统软件2・3・1・操作系统操作系统应根据信息系统安全策略进行选择和安全配置,并定期进行操作系统的漏洞检测、补丁修补。
安全配置的内容包括:身份鉴别、用户权限分配、口令质量、鉴别失败处理、默认服务开放、终端限制、安全审计等。
2.3.2. 数据库数据库应该根据信息系统安全策略进行选择和安全配置,并定期进行数据库的漏洞检测、补丁修补。
安全配置的内容包括:身份鉴别、用户权限分配、口令质量、终端限制、安全审计、备份恢复策略等。
2.4. 应用软件业务应用的安全要求包括业务应用软件安全、应用信息保护和密码支持。
2.4.1. 通用应用软件Web服务器、邮件服务器等通用应用软件应该根据信息系统安全策略进行选择和安全配置,并及时升级补丁包。
安全配置的内容包括:身份鉴别、用户权限分配、口令质量等2.4.2.专用应用软件专用应用软件应具备身份鉴别、用户管理、访问控制、运行审计等安全功能,并定期进行版本维护及更新,以保护应用信息的安全。
2.4.3.应用信息保护应根据安全策略在应用信息的生成、处理、传输和存储等环节采取相应的保护措施。
2.4.4.密码支持当系统中采用密码技术实现对信息的保护时,无论是在网络传输、业务应用软件中,还是存储中,都应在密钥产生、密钥分配、密钥销毁、密钥备份与恢复等环节具备安全机制,保护密码技术的正确使用。
2.5. 运行维护2.5.1. 恶意代码防范系统应建立统一的恶意代码防范体系,并在相关服务器和业务终端上布置恶意代码防范设备或软件,有效防止服务器和业务终端遭受病毒、蠕虫、木马等恶意代码的感染及其在网络中的传播。
2.5.2.数据备份系统应建立数据备份制度,实现备份制度中既定的安全备份功能,以便在系统遭受破坏的情况下及时恢复应用信息。
根据应用信息对业务的影响程度,选择数据冷备份、数据热备份或系统备份中的一种或多种相结合的备份方式。
2.5.3.入侵检测及防护系统应在重要信息流经的网络和存有重要信息的主机上部署入侵监控或入侵防护系统,实时监视网络信息流和主机的可疑连接、系统日志、非法访问等活动,对系统中发现的异常行为及时报警或采取相应的阻断措施。
2.5.4.网络管理及安全审计系统中部署的网络管理及安全审计系统应实现对重要网络设备、安全设备、服务器及数据库系统的故障、负载及性能等运行状态信息进行采集监控、监控设备配置信息的变更和安全事件信息发生,设置合理的监控指标阈值、合理的审计规则和告警响应策略,并根据实际需求提供各类综合分析报2.5.5. 系统冗余在实时性及可用性要求较高的系统中,应对关键的网络链路、网络设备、服务器主机及数据库平台进行冗余备份,并进行合理的配置,当系统的某一节点发生故障时能在有效时间内进行切换分配,保证网络及系统相关服务正常运行。
三、具体安全要求3.1. 物理环境机房的环境条件、照明、接地、供电、建筑结构、媒体存放条件、监视防护设备等应满足GB/T 2887《电子计算机场地通用规范》4.3~4.9的要求。
机房的选址、防火、供配电、消防设施、防水、防静电、防雷击应满足GB/T 9361《计算机场地安全要求》4〜8的要求。
在防火、防雷击、防静电、监控设施等方面时,应经过相关专业机构的检测。
此外,还应检查以下内容:a) 提供短期的备用电力供应(如UPS);b)机房留有备用空间;c)设备防盗、防毁措施;d)通讯线路连接、设备标签、布线合理性;e)机房出入口配置门禁系统以及监控报警系统;f)机房出入记录,记录内容包括人员姓名、出入日期和时间,操作内容,携带物品等。
3.2. 网络平台3.2.1. 网络结构在系统内部网络和外部网络间配置访问控制设备或逻辑隔离设备以实现网络访问控制和网络间的信息交换,对访问控制/隔离设备的通信事件、操作事件进行审计。
合理设置访问控制/隔离设备的安全配置,确认安全功能的有效性。
具体安全要求如下:a)根据系统安全策略配置访问控制规则,实现对网络数据包的过滤及对网络访问行为的管理,并对发生的网络攻击或违规事件进行检测和告警;b)访问控制/隔离设备应实施用户权限的管理;c)开启审计功能,记录通过访问控制/隔离设备的信息内容或活动;d)定期查看日志,并对存储的日志进行有效的保护(如防止非法修改、删除,定期导出等) ;e)对具有文件传输控制能力的访问控制/隔离设备设置传输过滤列表。
应根据业务应用和安全策略对系统内部服务器区域进行逻辑划分或逻辑隔离,实现对信息流的访问控制和安全传输,在终端计算机与服务器之间进行访问控制,建立安全的访问路径。
对连接到存有重要信息的服务器,应采取网络层地址或数据链路层地址绑定的措施,防止地址欺骗当有重要信息通过公共网络进行传输时,应在传输线路中配置加密设备,以保证在公共网络上传输信息的保密性;禁止内部网络用户未授权与外部网络连接;如提供远程拨号或移动用户连接,应在系统入口处配置鉴别与认证服务器。
禁止非授权设备接入内部网络,尤其是服务器区域。
3.2.2. 路由器应根据系统安全策略配置相应的路由器安全配置,具体要求包括:a)保持路由器软件版本的更新,修补高风险的漏洞;b)禁止与应用无关的网络服务,关闭与应用无关的网络接口;c)对登录的用户进行身份标识和鉴别,身份标识唯一,不反馈鉴别信息;d)修改路由器默认用户的口令或禁止默认用户访问,用户口令应满足长度和复杂性要求,并对配置口令进行加密保护;e)当登录连接超时,应自动断开连接,并要求重新鉴别;f)对能够登录路由器的远程地址进行限制,关闭与应用无关的远程访问接口;g)对登录提示信息进行设置,不显示路由器型号、软件、所有者等信息;h)对路由配置进行备份,且对备份文件的读取实施访问控制;i)开启路由器日志功能,对修改访问控制列表、路由器配置等操作行为进行审计记录。
3.2.3. 交换机应根据系统安全策略配置相应的交换机安全配置,具体要求包括:a)保持交换机软件版本的更新,修补高风险的漏洞;b)禁止与应用无关的网络服务,关闭与应用无关的网络接口;c)对登录交换机的用户进行身份标识和鉴别,身份标识唯一,不反馈鉴别信息;d)修改交换机默认用户的口令或禁止默认用户访问,用户口令应满足长度和复杂性要求,并对配置口令进行加密保护;e)当用户登录连接超时,应自动断开连接,并要求重新鉴别;f)对能够登录交换机的远程地址进行限制,关闭与应用无关的远程访问接口;g)对登录提示信息进行设置,不显示交换机的型号、软件、所有者等信息;h)对交换机配置进行备份,且对备份文件的读取实施访问控制;i)开启交换机日志功能,对修改访问控制列表、交换机配置等操作行为进行审计记录。
3.3. 系统软件3.3.1. 操作系统信息系统应根据应用需求、安全需求选择操作系统,并实施安全配置。
具体要求如下:a)定期更新操作系统版本,修补漏洞;b)关闭与应用无关的服务、启动脚本或网络功能;c)对登录用户进行身份标识和鉴别;用户的身份标识唯一;d)身份鉴别如采用用户名/ 口令方式,应设置口令长度、复杂性和更新周期;e)修改默认用户的口令或禁止默认用户访问,禁止匿名访问或限制访问的范围;f)具有登录失败处理功能,当登录失败次数达到限制值时,应结束会话、锁定用户;g)实行特权用户的权限分离,按照最小授权原则,分别授予不同用户各自为完成自身承担任务所需的最小权限,并在他们之间形成相互制约的关系;h)对系统内的重要文件(如启动脚本文件、口令文件、服务配置文件)、服务、环境变量、进程等实施访问控制;i)系统管理员实施远程登录时,应使用强鉴别机制,且操作系统应记录详细的登录信息;j)通过设定终端接入方式、网络地址范围等条件限制终端的登录;k)对操作系统的安全事件进行审计,审计事件至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如修改文件、目录的访问控制、更改系统或服务的配置文件)、重要用户(如系统管理员、系统安全员、系统审计员)的各项操作进行审计;l)审计记录应包括日期和时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等;审计记录应受到保护避免受到未预期的删除、修改或覆盖;m)用户鉴别信息及与应用信息所在的存储空间,放或被释再分配给其他用户之前应完全清除;n)限制单个用户对系统资源的最大使用额度。
3.3.2. 数据库信息系统应根据应用需求、安全需求选择数据库,并实施安全配置。
具体要求如下:b)禁用或删除数据库不需要的存储过程;c)对访问数据库的用户进行身份标识和鉴别,身份标识唯一;d)身份鉴别如采用用户名/ 口令方式,应设置口令长度、复杂性和定期更新周期;e)当登录连接超时,自动退出登录会话并要求重新鉴别;f)修改默认用户的口令或禁止默认用户访问,防止数据库对象被Public权限用户访问;g)实行特权用户的权限分离,按照最小授权原则,分别授予不同用户各自为完成自身承担任务所需的最小权限,并在他们之间形成相互制约的关系;h)通过设定终端接入方式、网络地址范围等条件限制终端的登录;i)对数据库的安全事件进行审计,审计事件至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、数据字典访问、管理员用户实施的各项操作、对存储重要信息的数据表的各项操作;j)审计记录应包括:事件发生的时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等;k)审计记录应受到保护,避免受到未预期的删除、修改或覆盖。