北京市移动电子政务安全技术规范

北京市移动电子政务安全技术规范内容摘要：

.......................... 13 前 言 本规范主要内容包括北京移动电子政务安全防护范围和内容、管理平台安全技术要求、委办局业务系统安全技术要求、通信平台安全技术要求和移动终端安全技术要求等内容，是北京市移动电子政务安全规划和建设的技术依据。 随着移动电子政务平台的建设，本规范将被不断补充和完善。 1 北京市移动电子政务安全技术要求 1 范围 本规范规定了移动电子政务相关的管理平台、通信平台、委 办局业务系统以及移动终端的安全技术要求。 本规范适用于北京市移动电子政务的安全设计和建设。 2 规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。 凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范，然而，鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。 凡是不注日期的引用文件，其最新版本适用于本规范。  《 GB 178591999 计算机信息系统安全保护划分准则》  《 GB/T248562020 信息安全技术 信息系统等级保护安全设计技术要求》  《 GBT 222402020信息安全技术 _信息系统安全等级保护定级指南》  《 GBT 222392020 信息安全技术 _信息系统安全等级保护基本要求》  《北京 DB11/T 第 1部分：格式》  《北京 DB11/T 第 2部分：应用接口》  《电子政务信息安全等级保护实施指南》  《北京市党政机关计算机网络与信息安全管理办法》（京办发［ 2020］ 27号文）  《北京市信息化工作领导小组关于加强信息安全保障工作的实施意见》（京办发 [2020]3号 ）  《北京市党政机关信息系统安全测评规范》（ DB11/T 1712020） 2 3 缩略语 缩略语 英文 中文解释 AAA Authentication,Authorization, Accounting 认证、授权、计费 4 概述 移动电子政务安全防护范围 北京市移动电子政务安全防护范围包括移动终端、通信平台、管理平台以及委办局业务系统。 北京市移动电子政务安全防护范围如图 1所示。 移 动 终 端委 办 局 业 务 系 统政 务 外 网管 理 平 台通 信 平 台 图 1 北京市移动电子政务安全防护范围 移动终端：移动电 子政务用户持有的移动终端，包括手机、移动执法设备等。 通信平台：电信运营商为移动电子政务提供的通信网络，包括基础通信系统、业务管理系统、服务接口等。 3 管理平台：承载包括 AAA 认证服务系统等移动电子政务管理系统的基础设施平台。 政务外网：即北京市电子政务外网。 目前政务外网已施行相关的安全防护措施。 不在本方案的保护范围之内。 未来，随着业务发展的需要，将在移动电子政务平台上建设移动政务共享域。 该共享域构建在北京移动电子政务平台之上，集中管理存放共享数据，共享域不属于任一委办局。 委办局业务系统：包括实现移动办公、 移动执法、公众服务等业务功能的应用系统。 移动电子政务安全防护内容 移动电子政务安全防护内容 移动电子政务安全防护内容如下： 管理平台安全防护 主要针对移动电子政务管理平台，从物理安全、计算环境安全、区域边界安全、通信网络安全以及安全管理方面进行安全防护。 通信平台安全防护 主要针对运营商提供的通信网络，从边界安全、业务安全进行安全防护。 委办局业务系统安全防护 主要针对各委办局业务系统，从边界安全和网络安全方面进行安全防护。 移动终端安全防护 主要针对用户持有的 移动终端，从身份鉴别、系统安全、数据完整性和保密性等方面进行安全防护。 4 5 管理平台安全技术要求 物理安全要求 移动电子政务物理安全应满足信息系统安全等级保护第三级系统物理安全要求。 具体参见《信息安全技术 信息系统安全等级保护基本要求》 GB/T 22239— 2020 第 章节。 计算环境安全要求 北京市移动电子政务管理平台计算环境是指管理平台中 AAA 系统、网络实名接入认证系统以及与这些系统相关提供支撑的设施等。 针对这些计算环境应该满足以下安全技术要求： 1. 应严格限制承载移动电子政务的管理系统主机的操作系统、数据库系统的用户权限并进行权限合理分配，并限制不同用户对系统文件和数据库表等客体的访问权限。 2. 应启用承载移动电子政务的管理系统主机的操作系统审计功能，对安全事件相关的用户、资源、时间、类型和结果等信息进行记录。 3. 应启用承载移动电子政务的管理系统主机的数据库审计功能，对用户、数据库表、时间等信息进行记录。 4. 应对承载移动电子政务的管理系统主机的操作系统、数据库系统的安全事件集中存储、管理和关联分析。 5. 应对承载移动电子政务的管理系统主机进行恶意代码防护，保证程序 的可信执行。 区域边界安全要求 北京市移动电子政务的管理平台外部边界包括管理平台与通信平台之间的边 5 界、管理平台与北京市政务外网之间边界，其内部边界包括管理平台通信网络和管理系统计算环境之间的边界。 针对这些边界应该满足以下安全要求： 1. 在管理平台与通信平台之间的边界，管理平台与北京市政务外网之间边界应设置边界访问控制设备，并制定边界访问控制策略，屏蔽无关的服务。 2. 应对由管理平台接入北京市政务外网的用户身份发起鉴权认证，验证用户身份的合法性，保证授权用户能够接入北京市政务外网。 3. 应对不同类型的用户实现不同的 鉴权方式。