应用安全. 网络传输设施的安全监控与审计; 总局和省级节点VPN接入认证; 主机及应用环境中的总局的数据库访问控制与审计、 WEB页面防篡改、抵御垃圾邮件、漏洞扫描、数据备份等。 网络安全监控与审计:恶意/无意识的网络破坏行为将破坏系统环境,没有网络安全监控与审计,将制止、追踪这类破坏行为。 AAA认证管理:为远程VPN用户提供用户身份的鉴别。没有相应的高强度远程身份认证管理服务将无法保证远程访问的合法性。 垃圾邮件:作为重要的一个业务系统,垃圾邮件、病毒邮件的传播将极大的损害电子邮件系统。 数据库系统操作审计:数据库是系统中最重要的信息资产,没有审计机制,就无法及时发现、追查由于系统漏洞或程序设计引起的各类违规操作行为。 数据备份:公积金管理信息系统存在大量关键业务信 息,缺乏有效的数据备份将可能导致这些关键数据的损毁,造成巨大的损失。需要建立本地数据备份系统,如果时机成熟的话可以建立异地灾备中心进行存储备份。系统漏洞:服务器以及大量的终端设备的操作系统可能存在不同的安全漏洞,这些安全漏洞随时构成信息系统的致命威胁。 主页篡改:系统中的WEB网站所使用的操作系统以及软件的漏洞使WEB网站有被黑客攻击篡改的风险,被篡改的网页将给业务系统带来很大的安全隐患,造成信息丢 失、泄露等安全事件。
应用安全. API 访问控制、安全审计、通信完整性、通信保密性、端口安全检测;
应用安全. 身份鉴别:实现统一身份认证、单点登录和统一授权,敏感操作进行强身份认证。访问控制:使用基于角色的权限控制方式对系统资源的访问进行授权,支持根据业 务角色不同赋予权限,支持多功能模块、文件、报表的细颗粒度权限控制;严格限制默认账户的访问权限;权限分离应采用最小授权原则,授予用户完成承担任务所需的最小权限;系统支持对特权用户的权限分离,如将管理与审计赋予不同用户;具备对重要信息资源设置敏感标记的功能,并制定统一安全策略严格控制用户对有敏感标记的重要信息资源的操作访问。软件容错。 在人工输入或通过接❑进行输入时提供对输入数据的有效性检验;在功能实现上应支持回退的功能,允许按照操作序列进行回退;系统的支撑硬件和软件应具备故障状态监测和自动保护能力,在故障发生时自动保护当前所有状态并迅速恢复原来的工作状态。资源控制。
应用安全. 通过对平台业务需求调研,需要通过外网与医院业务系统进行数据传输,因此对数据传输的保密性和完整性有较高要求。本方案对业务服务器区的所有数据做了有效的备份,同时采用数字签名验证服务器对业务关键环节进行数字签名及验签,保证了数据的完整性。 平台的各类业务数据经过一定的加密算法进行存储和传输,在与政务外网的信息系统进行数据交换时,将加密后的数据通过安全交换区和省市信息资源共享交换平台进行。
应用安全. 采取相应的安全措施,如用户身份认证、权限管理、日志和安全审计等,以降低应用的安全风险。
应用安全. 通过应用管控、漏洞扫描、应用审计、运维审计、web应用防护、网页防篡改等技术措施对安全基础管理等应用系统进行安全防护,得2分; 2
应用安全. 等级保护安全配 置核查系统 对操作系统、中间件、网络设备、 安全设备、数据库等系统进行配置 7.2.5.6 网络安全管理 7.2.5.7 系统安全管理 序 号 适用产品 功能 等级保护基本要求三 级 的检查和加固 7 漏洞扫描系统 对操作系统、中间件、网络设备、安全设备、数据库等系统进行漏洞 的扫描检查。 7.2.5.6 网络安全管理 7.2.5.7 系统安全管理
应用安全. 应用层安全主要是对资源的有效性进行控制,管理和控制不同等级用户对信息资源和服务资源具有什么权限,其安全性策略包括用户和服务器间的双向身份认证、信息和服务资源的访问控制和访问资源的加密,并通过审计和记录机制,确保服务请求和资源访问的防抵赖。针对不动产登记数据整合和数据库建设项目的信息资源的安全级别的特点,其安全策略主要包括统一的身份认证、统一的权限管理、数据安全性、日记审计等。系统必须提供安全可靠的数据传输机制来保证数据的安全存储、传输和查看。
应用安全. GB/T 34080.4-2021) 《信息安全技术 政务信息共享数据安全技术要求》( GB/T 39477-2020) 《信息安全技术 云计算安全参考架构》(GB/T 35279-2017) 《基于云计算的电子政务公共平台服务规范 第 1 部分:服务分类与编码》(GB/T 34079.1-2021) 《基于云计算的电子政务公共平台服务规范 第 2 部分:应用部署和数据迁移》 (GB/T 34079.2-2021)
应用安全. 应用安全是每个系统与业务最紧密的部分,根据应急广播系统设计和等级保护相关安全要求,需要从身份鉴别、访问控制、应急广播内容的使用与存储、安全审计、通信完整性与保密性、软件容错以及资源控制等方面进行安全加固,保障系统应用层面的安全。同时,在应用安全方面应实现与国家应急广播系统卫星信号对接过程中的应用安全对接,在村村响的乡镇、村两级前端部署的应急广播适配器,应支持国家应急广播系统卫星信号和无线广播信号的应用安全体系接入。