杭州市权力阳光电子政务系统安全技术规范
依托电子政务构建规划行业行政权力阳光运行平台
作要 点 ) 在 随 后 几 年 内 ,. 央到 各 省 市逐 步 列 入 实 行 计 划表 。 江 苏 省 于 2 0 , 并 l中 J I 0 8年 度 发 文 ( 政 办 发 [0 8 5 )就 仃政 权 刚 苏 2 0 ]0 , J
度 , 象 并 构建 符 合 各 行 政 部 门使 用 的“ 泛 ” “ 适 ” 一般 性 业 务 审 批 系 统 , 质 推 动 电 子政 务 技 术 的 深 入发 抽 广 而 普 的 实
1电 子 政 务 和 行 政 权 力 阳 光 运 行 现 状
无 锡 市规 划 局 应 用 电子 政 务技 术 开展 信息 化 软 硬 件 建 设 起 步 较 早 , 以逐 年 制 定 完 善 的 规 章 制 度 为 基 础 。 有 一 系 列 砬 』 丰 埘 现 {f jJ 成 熟 的规 划 审 批 系 统 , 以无 锡 规 划 网 为 衷 现 和依 托 , 行政 权 力 阳光 运 行 中发 挥 着 重要 的 作 用 . 在 .
光透 明运 行 发 表 了工 作 意 见 , 市 县 大 多 根 据 实 际 情 况 , 2 0 各 于 0 9年 度 排 了时 间 表 行 政 权 力阳 比 透 明 运 行 平 台 的建 设 , 白 效 梳 是
理 各 级 行 政 审 批 事 项 的 良好 契 机 , 利 丁 从 源 头 发 , 一 制 清 理 和 规 范 各 类 行 政 权 力 ; 时 , 平 台 的 建 没 。 利 丁从 晦I 角 有 统 强 同 该 有 f { j
浙江省电子政务云建设方案
浙江省电子政务云建设方案清晨的阳光洒在键盘上,思绪随着敲击键盘的节奏跳跃,十年的方案写作经验,让我对电子政务云建设有着深入的理解和独到的见解。
下面,就让我以“浙江省电子政务云建设方案”为主题,为大家详细阐述一下我的想法。
一、项目背景随着信息技术的飞速发展,云计算作为新一代信息技术的重要组成部分,已经在各个领域得到了广泛的应用。
电子政务作为提升政府工作效率、优化政府服务的重要手段,也需要借助云计算的力量来实现资源的整合和优化。
浙江省作为我国东部沿海的经济大省,政府信息化建设走在前列,电子政务云建设更是势在必行。
二、项目目标本项目旨在构建一个高效、稳定、安全的电子政务云平台,实现政务信息资源的全面整合,提升政府工作效率,优化政府服务,为浙江省的经济发展和社会进步提供有力支撑。
三、项目内容1.构建云基础设施:以虚拟化技术为基础,构建一个可弹性扩展的云基础设施,满足政务业务的高效运行需求。
2.整合政务信息资源:对现有的政务信息资源进行梳理和整合,实现数据的共享和交换,提高政务信息资源的利用效率。
3.构建政务应用系统:以云计算技术为支撑,构建一批政务应用系统,满足政务业务的需求。
4.建立安全保障体系:采用多层次、全方位的安全保障措施,确保电子政务云平台的安全稳定运行。
5.建立运维管理体系:建立健全运维管理体系,确保电子政务云平台的正常运行。
四、项目实施方案1.项目启动:组织召开项目启动会,明确项目目标、任务分工和时间节点。
2.需求分析:对政务业务进行详细的需求分析,确定电子政务云平台的功能模块和性能指标。
3.设计方案:根据需求分析,设计电子政务云平台的整体架构和关键技术方案。
4.项目实施:按照设计方案,分阶段、分任务进行项目实施。
5.项目验收:项目完成后,组织专家进行验收,确保项目达到预期目标。
6.运维管理:建立健全运维管理体系,对电子政务云平台进行持续优化和改进。
五、项目风险及应对措施1.技术风险:云计算技术更新迭代较快,可能导致项目实施过程中技术选型不准确。
电子政务系统
电子政务方案清普电子政务系统由门户网站、政府信息公开系统、协同办公系统、政民互动平台、网上行政审批及监察系统和应用支撑平台六个系统所组成。
一、技术主要路线二、应用系统建设内容1、门户网站清普政府门户网站通过前台静态页面发布和后台动态管理的形式来提高整个系统的访问速度和稳定性。
前台主要页面有:1)主页主页是整个门户网站的所有栏目信息集中展现体,将所有信息按照资讯类、服务类、互动类和公开信息类进行划分,通过通栏、图文、动画、选项卡等形式来展现。
2)信息公开信息公开频道作为政府对外信息公开的主要区域,在这里通过简洁并且便于查询的方式来进行展现。
主要栏目有:最新公开、分类公开、和最新互动。
3)政民互动政民互动频道是公众与政府交流的主要场所,在这边公众可以在网上进行投诉、建议以及查询受理情况和结果,还可以对答复的结果进行评议。
主要栏目有:最新答复、最新反映、重点关注、办理统计、意见征集等。
4)招商引资招商引资是整个门户网站的主要频道之一,在这块所有的投资者都可以了解到整个开发区的经济、投资项目、重点项目建设以及将来的经济发展规划。
主要栏目包括:投资动态、投资环境、投资项目、投资政策、投资规划、投资程序、区域布局、外贸预警平台、在线咨询等。
5)办事大厅办事大厅在此为公众提供网上办事的服务平台,公众不光可以在此了解到相关部门的办理事项、流程,还可以在此进行网上申报和查询办理结果。
网站后台管理是支撑门户网站生成、内容填充、辅助管理用的,大体上可以划分为网站定义、信息管理、访问管理、信息统计这四大部分。
2、政府信息公开平台政府信息公开平台的主要目标是通过信息化手段加强政府信息公开工作的建设和管理。
以政府信息公开管理系统为基础,以网站为信息公开的最终数据展现平台,通过最新公开、最新工作互动、最新文件、分类公开等栏目来展现公开的数据;在后台通过信息公开栏目、信息体和流程的自定义,实现局机关各项信息公共的录入、审批、公布等受理过程的自动化和电子化,提高局机关的政务效率和公众满意度,充分发挥政府信息对人民群众生产、生活和经济社会活动的服务作用。
杭州市社会保险管理服务局关于进一步加强社会保险业务管理工作的通知
杭州市社会保险管理服务局关于进一步加强社会保险业务管理工作的通知文章属性•【制定机关】杭州市社会保险管理服务局•【公布日期】2009.10.22•【字号】杭社险综[2009]51号•【施行日期】2009.10.22•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】正文杭州市社会保险管理服务局关于进一步加强社会保险业务管理工作的通知(杭社险综[2009]51号)各参保单位:为进一步规范社会保险业务经办,优化管理服务,方便单位办事,根据有关规定,现就规范和简化社会保险业务有关事宜通知如下:一、简化职工参保登记变更手续1、范围和对象。
参加杭州市区社会保险的企业、民办非企业用人单位(以下简称用人单位)及其职工。
个体劳动者社会保险业务经办参照执行。
2、简化申报材料。
从2009年11月1日起,用人单位办理新增职工参保登记时,填报《杭州市社会保险新增参保职工申报表》,不再附报身份证复印件;办理参保人员停保,填报《杭州市社会保险参保职工减少申报表》时,不再附报解除(终止)劳动关系等有关材料。
简化申报材料后,用人单位仍应在规定时间内向社保经办机构申报参保人员变动情况,并对申报内容的真实性负相应法律责任。
二、积极推广“数字社保”工作1、实行职工养老保险参保缴费信息数字化。
目前,用人单位及参保人员可通过杭州市劳动保障信息网站,查询职工社会保险参保情况及个人账户等基本信息,在此基础上我局将推行“职工基本养老保险电子手册”,市区各级社保经办机构逐步设立自助查询服务设备,方便参保单位和参保人员打印参保缴费记录。
11月1日起,首次参保人员暂不核发《职工基本养老保险手册》,参保人员办理停保时也不再记载相关内容。
参保人员跨统筹地区流动转移养老保险的,在办理转移手续时仍予核发《职工基本养老保险手册》并登记相关参保信息。
2、规范网上办事,推行电子政务,方便业务办理。
为提高办事效率,方便用人单位办理社会保险事务,我局面向用人单位和个人,实施社会保险网上办事。
加强信息化发展 实现“权力阳光”
信 息技术通过 加强 内部 审 批 、监 管至外 部公示等 所 采 取的重要措 施 ,并提 出 了做好 “ 阳光规划” 信息化 的建议 。 【 关键字l南京 ;权力 阳光运行; 指标; 息技术 信
二 ,信息 化 保障权 力阳光 运行
1 、全 市 上 下 统 一 思 想 ,加 强 信 息 化 投 人
“ 力 阳光 运 行 ” 是 近些 年 来 我 国 反 腐 倡廉 所 提 出的 新 举 措 、 新 思 路 。简 而 言 之 ,既 权
是 以计算机网络为依托 ,以电子政务为载体 ,以制度建设为抓手 ,各职能部门以权 力梳理 为工作基础 ,通过事前、事中、事后三 个阶段 的全过程监 控,实现政府权力实施的全面公 开 ,保证行政权 力的透 明、高效、规范的网上运行。通过机 制保 障、制度约 束、技术辅助 , 为公众提供一个 良好的办事环境。如何通过 “ 信息技术辅助”为规划审批部门的权 力公开 提供 支撑 ,是此次探讨 的主要 内容 。
】 、升 级 改 造 电 子政 务系 统 自 2 0 世 纪 9 年 代市 规 划 局 实 现 网 络办 公 , 0 随
项权力事项登记备案 ,一经确认不得随意增加、删 除和修改 ,基本
内容包括 :办事流程 、附件材料 、法律依据 、办事机关 、联系电话等 。
并在全市部署管理下 。为每个权力事项按照一定 的逻辑原则都赋予唯
一
的 编 码 , 例 如 规 划 局 许 可 审 批 中 的 “ 址 意 见 书 ” 编 码 为 选
“S 10 0 H— 一0 l ,作 为 唯 一 标识 。 J 0 0 0 G XK 0 0 ” 2) 部 门通 过 权 力编 码 完 成 每 一 个 权 力 所 产 生 具 体 案 件 的上 报 各
国家电子政务外网标准
控制器 Controller 包括虚拟化监视器、SDN控制器、存储虚拟化控制器和策略管理控制器等进行物理资源抽象管理的 资源管理和策略管理系统。
3.9
跨网数据交换系统 Data Exchange Across Regional Networks 跨网数据交换是一种基于网络隔离技术的无协议数据同步系统,综合利用设备认证、数据格式检查、 病毒检查等安全措施,实现两个不同网络业务区服务器之间数据同步。可由外交换服务器和内交换服务 器及相关隔离设备组成,支持数据库、文件、图像数据及请求响应数据的安全交换。
II
政务云安全要求
1 范围
本标准适用政务云规划设计、设备选型、建设实施、运行维护和管理。为各级政务部门建设政务云 提供指导和参考。
本标准规定了云服务客户及政务云服务方应满足的安全基本要求。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注明日期的引用文件,仅所注日期的版本适用于本 文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
附录 A............................................................................... 17
政务云 VPC 之间跨网数据交换方法示例 .................................................. 17
3 术语与定义
下列术语和定义适用于本文件。
3.1
政务云 Government Cloud 用于承载各级政务部门开展公共服务、社会管理的业务信息系统和数据,并满足跨部门业务协同、 数据共享与交换等的需要,提供IaaS、PaaS和SaaS服务的云计算服务。
GW0202-2014 国家电子政务外网安全接入平台技术规范
引言
为了满足各级政务部门的移动办公、远程访问、现场执法以及相关企事业单位和工作人员利用公众 网络安全接入到政务外网的业务需求,规范中央、省(自治区、直辖市)、地(市)、县级政务外网建 设运维单位建设安全接入平台,特编制本规范。
II
国家电子政务外网安全接入平台技术规范
1 范围
本规范适用于指导各级政务外网建设运维单位进行安全接入平台的规划、设计、选型及实施等工作, 也可作为政务外网职能部门进行指导、监督和检查的依据。
移动终端管理系统 Mobile Device Management 移动终端管理系统为移动智能终端设备提供注册、激活、使用、淘汰各个环节的远程管理支撑,实 现用户身份与设备的绑定管理、设备安全策略配置管理、设备应用数据安全管理等功能
当前司法行政信息化建设存在的问题与对策
当前司法行政信息化建设存在的问题与对策大力加强司法行政信息化建设,是适应信息化社会发展的需要,是新形势下提高司法行政工作水平、充分发挥司法行政职能作用的需要,是提高队伍战斗力的需要.在去年召开的全国司法行政信息化建设工作会议上,司法部吴爱英部长强调,各级司法行政机关要大力推进司法行政信息化建设,努力提高信息技术在司法行政工作中的应用水平,为推进新形势下司法行政工作改革发展提供强有力的信息技术支撑.省厅、市局十分重视信息化建设,将其作为司法行政工作的重点之一,为全系统信息化建设提供经费保障与技术支持。
经过几年的努力,我区司法行政系统信息化建设有了较大发展,取得了显著成效,但也存在一些不容忽视的问题,必须研究出相应的对策加以解决。
一、全系统信息化建设的进展与成效1、组织管理工作不断加强。
2008年我局成立信息化工作领导小组,负责全系统信息化领导工作,下设办公室,负责全系统信息化工作的组织、协调和管理,各科室和直属单位根据各自职能,具体承担相关的信息化工作推进职责。
今年成立了局信息中心,明确了专人从事信息化建设的具体实施和日常管理工作。
2009年我局出台了《计算机网络信息系统使用管理制度》,制定了电子公文流转和存档制度,权力阳光运行电子政务管理制度,门户网站管理制度,局域网使用管理制度,信息采集、审核、发布和更新制度,计算机信息网络系统安全保密制度,设备使用及维护制度等,为信息化建设的规范运行提供了制度保障。
2、硬件建设投入力度不断加大.自2008年开始,我局按照信息化建设要求,加大信息化建设资金的投入,购置更新办公电脑,保证局机关每人一台。
同时,添置了配套使用的传真机、扫描仪、打印机、专线电话机等现代化办公设备,形成了与省市司法行政专网、区政府机关协同办公网、互联网的联通与使用的格局。
同时为各司法所配齐办公电脑、打印机、数码照像机、数码摄像机等办公设备,为其省司法行政专网线的铺设与电信部门签订长期使用合同并支付网络月租费用,为信息化建设奠定了良好的物质基础.3、办公自动化应用水平稳步提高。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
杭州市权力阳光电子政务系统安全技术规范(草案)一、总体要求权力阳光电子政务系统的建设各方应从物理环境、网络平台、系统平台、业务应用以及运行管理等方面分析并提高系统的整体安全保障能力,总体要求包括:a)信息系统的物理环境应提供系统正常运行的场所,并保证硬件、通信链路、机房环境的物理安全。
b)系统应合理划分不同的网络区域,根据应用需求设置合理的访问控制策略,强化网络设备自身安全配置;c)操作系统、数据库须进行安全配置。
业务应用软件应根据安全需求开发安全功能,通过启用这些安全功能,达到保护应用信息的目的。
d)系统应对网络、可移动存储介质、光盘等病毒可能入侵的途径进行控制,并阻断病毒在系统内的传播。
e)系统中采用的安全产品必须选用经国家主管部门许可、并经国家认证机构认可的产品。
系统如采用密码技术及产品对非涉密信息进行加密保护或安全认证,所采用的密码技术或密码产品应符合《商用密码管理条例》的要求。
f)系统建设单位应针对系统应用状况建立安全管理制度,在统一的安全策略下对各类行为进行管理。
二、基本安全目标2.1.物理环境2.1.1.机房环境机房建设应满足国家标准GB/T 2887《电子计算机场地通用规范》、GB/T 9361《计算机场地安全要求》的要求。
2.1.2.硬件设施的物理安全构成信息系统的采购硬件、自制硬件及其组成零部件应符合国家规定的质量标准。
2.2. 网络平台2.2.1.网络边界系统应根据安全需求在与Internet以及市电子政务外网、资源专网等其他网络的网间互连处配置网关类设备实施访问控制,并对通信事件、操作事件进行审计。
2.2.2.网络内部结构根据应用需求在内部网路结构中划分服务器区等独立网段或子网,并在相关网络设备中配置安全策略进行隔离,实施对内部信息流的访问控制。
2.2.3.网络设备根据系统安全策略和应用需求对防火墙、路由器及交换机等网络设备实施安全配置。
防火墙、路由器及交换机的自身安全配置至少应包括下列内容:版本更新与漏洞修补、版本信息保护、身份鉴别、链接安全、配置备份、安全审计。
2.3. 系统软件2・3・1・操作系统操作系统应根据信息系统安全策略进行选择和安全配置,并定期进行操作系统的漏洞检测、补丁修补。
安全配置的内容包括:身份鉴别、用户权限分配、口令质量、鉴别失败处理、默认服务开放、终端限制、安全审计等。
2.3.2. 数据库数据库应该根据信息系统安全策略进行选择和安全配置,并定期进行数据库的漏洞检测、补丁修补。
安全配置的内容包括:身份鉴别、用户权限分配、口令质量、终端限制、安全审计、备份恢复策略等。
2.4. 应用软件业务应用的安全要求包括业务应用软件安全、应用信息保护和密码支持。
2.4.1. 通用应用软件Web服务器、邮件服务器等通用应用软件应该根据信息系统安全策略进行选择和安全配置,并及时升级补丁包。
安全配置的内容包括:身份鉴别、用户权限分配、口令质量等2.4.2.专用应用软件专用应用软件应具备身份鉴别、用户管理、访问控制、运行审计等安全功能,并定期进行版本维护及更新,以保护应用信息的安全。
2.4.3.应用信息保护应根据安全策略在应用信息的生成、处理、传输和存储等环节采取相应的保护措施。
2.4.4.密码支持当系统中采用密码技术实现对信息的保护时,无论是在网络传输、业务应用软件中,还是存储中,都应在密钥产生、密钥分配、密钥销毁、密钥备份与恢复等环节具备安全机制,保护密码技术的正确使用。
2.5. 运行维护2.5.1. 恶意代码防范系统应建立统一的恶意代码防范体系,并在相关服务器和业务终端上布置恶意代码防范设备或软件,有效防止服务器和业务终端遭受病毒、蠕虫、木马等恶意代码的感染及其在网络中的传播。
2.5.2.数据备份系统应建立数据备份制度,实现备份制度中既定的安全备份功能,以便在系统遭受破坏的情况下及时恢复应用信息。
根据应用信息对业务的影响程度,选择数据冷备份、数据热备份或系统备份中的一种或多种相结合的备份方式。
2.5.3.入侵检测及防护系统应在重要信息流经的网络和存有重要信息的主机上部署入侵监控或入侵防护系统,实时监视网络信息流和主机的可疑连接、系统日志、非法访问等活动,对系统中发现的异常行为及时报警或采取相应的阻断措施。
2.5.4.网络管理及安全审计系统中部署的网络管理及安全审计系统应实现对重要网络设备、安全设备、服务器及数据库系统的故障、负载及性能等运行状态信息进行采集监控、监控设备配置信息的变更和安全事件信息发生,设置合理的监控指标阈值、合理的审计规则和告警响应策略,并根据实际需求提供各类综合分析报2.5.5. 系统冗余在实时性及可用性要求较高的系统中,应对关键的网络链路、网络设备、服务器主机及数据库平台进行冗余备份,并进行合理的配置,当系统的某一节点发生故障时能在有效时间内进行切换分配,保证网络及系统相关服务正常运行。
三、具体安全要求3.1. 物理环境机房的环境条件、照明、接地、供电、建筑结构、媒体存放条件、监视防护设备等应满足GB/T 2887《电子计算机场地通用规范》4.3~4.9的要求。
机房的选址、防火、供配电、消防设施、防水、防静电、防雷击应满足GB/T 9361《计算机场地安全要求》4〜8的要求。
在防火、防雷击、防静电、监控设施等方面时,应经过相关专业机构的检测。
此外,还应检查以下内容:a) 提供短期的备用电力供应(如UPS);b)机房留有备用空间;c)设备防盗、防毁措施;d)通讯线路连接、设备标签、布线合理性;e)机房出入口配置门禁系统以及监控报警系统;f)机房出入记录,记录内容包括人员姓名、出入日期和时间,操作内容,携带物品等。
3.2. 网络平台3.2.1. 网络结构在系统内部网络和外部网络间配置访问控制设备或逻辑隔离设备以实现网络访问控制和网络间的信息交换,对访问控制/隔离设备的通信事件、操作事件进行审计。
合理设置访问控制/隔离设备的安全配置,确认安全功能的有效性。
具体安全要求如下:a)根据系统安全策略配置访问控制规则,实现对网络数据包的过滤及对网络访问行为的管理,并对发生的网络攻击或违规事件进行检测和告警;b)访问控制/隔离设备应实施用户权限的管理;c)开启审计功能,记录通过访问控制/隔离设备的信息内容或活动;d)定期查看日志,并对存储的日志进行有效的保护(如防止非法修改、删除,定期导出等) ;e)对具有文件传输控制能力的访问控制/隔离设备设置传输过滤列表。
应根据业务应用和安全策略对系统内部服务器区域进行逻辑划分或逻辑隔离,实现对信息流的访问控制和安全传输,在终端计算机与服务器之间进行访问控制,建立安全的访问路径。
对连接到存有重要信息的服务器,应采取网络层地址或数据链路层地址绑定的措施,防止地址欺骗当有重要信息通过公共网络进行传输时,应在传输线路中配置加密设备,以保证在公共网络上传输信息的保密性;禁止内部网络用户未授权与外部网络连接;如提供远程拨号或移动用户连接,应在系统入口处配置鉴别与认证服务器。
禁止非授权设备接入内部网络,尤其是服务器区域。
3.2.2. 路由器应根据系统安全策略配置相应的路由器安全配置,具体要求包括:a)保持路由器软件版本的更新,修补高风险的漏洞;b)禁止与应用无关的网络服务,关闭与应用无关的网络接口;c)对登录的用户进行身份标识和鉴别,身份标识唯一,不反馈鉴别信息;d)修改路由器默认用户的口令或禁止默认用户访问,用户口令应满足长度和复杂性要求,并对配置口令进行加密保护;e)当登录连接超时,应自动断开连接,并要求重新鉴别;f)对能够登录路由器的远程地址进行限制,关闭与应用无关的远程访问接口;g)对登录提示信息进行设置,不显示路由器型号、软件、所有者等信息;h)对路由配置进行备份,且对备份文件的读取实施访问控制;i)开启路由器日志功能,对修改访问控制列表、路由器配置等操作行为进行审计记录。
3.2.3. 交换机应根据系统安全策略配置相应的交换机安全配置,具体要求包括:a)保持交换机软件版本的更新,修补高风险的漏洞;b)禁止与应用无关的网络服务,关闭与应用无关的网络接口;c)对登录交换机的用户进行身份标识和鉴别,身份标识唯一,不反馈鉴别信息;d)修改交换机默认用户的口令或禁止默认用户访问,用户口令应满足长度和复杂性要求,并对配置口令进行加密保护;e)当用户登录连接超时,应自动断开连接,并要求重新鉴别;f)对能够登录交换机的远程地址进行限制,关闭与应用无关的远程访问接口;g)对登录提示信息进行设置,不显示交换机的型号、软件、所有者等信息;h)对交换机配置进行备份,且对备份文件的读取实施访问控制;i)开启交换机日志功能,对修改访问控制列表、交换机配置等操作行为进行审计记录。
3.3. 系统软件3.3.1. 操作系统信息系统应根据应用需求、安全需求选择操作系统,并实施安全配置。
具体要求如下:a)定期更新操作系统版本,修补漏洞;b)关闭与应用无关的服务、启动脚本或网络功能;c)对登录用户进行身份标识和鉴别;用户的身份标识唯一;d)身份鉴别如采用用户名/ 口令方式,应设置口令长度、复杂性和更新周期;e)修改默认用户的口令或禁止默认用户访问,禁止匿名访问或限制访问的范围;f)具有登录失败处理功能,当登录失败次数达到限制值时,应结束会话、锁定用户;g)实行特权用户的权限分离,按照最小授权原则,分别授予不同用户各自为完成自身承担任务所需的最小权限,并在他们之间形成相互制约的关系;h)对系统内的重要文件(如启动脚本文件、口令文件、服务配置文件)、服务、环境变量、进程等实施访问控制;i)系统管理员实施远程登录时,应使用强鉴别机制,且操作系统应记录详细的登录信息;j)通过设定终端接入方式、网络地址范围等条件限制终端的登录;k)对操作系统的安全事件进行审计,审计事件至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如修改文件、目录的访问控制、更改系统或服务的配置文件)、重要用户(如系统管理员、系统安全员、系统审计员)的各项操作进行审计;l)审计记录应包括日期和时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等;审计记录应受到保护避免受到未预期的删除、修改或覆盖;m)用户鉴别信息及与应用信息所在的存储空间,放或被释再分配给其他用户之前应完全清除;n)限制单个用户对系统资源的最大使用额度。
3.3.2. 数据库信息系统应根据应用需求、安全需求选择数据库,并实施安全配置。
具体要求如下:b)禁用或删除数据库不需要的存储过程;c)对访问数据库的用户进行身份标识和鉴别,身份标识唯一;d)身份鉴别如采用用户名/ 口令方式,应设置口令长度、复杂性和定期更新周期;e)当登录连接超时,自动退出登录会话并要求重新鉴别;f)修改默认用户的口令或禁止默认用户访问,防止数据库对象被Public权限用户访问;g)实行特权用户的权限分离,按照最小授权原则,分别授予不同用户各自为完成自身承担任务所需的最小权限,并在他们之间形成相互制约的关系;h)通过设定终端接入方式、网络地址范围等条件限制终端的登录;i)对数据库的安全事件进行审计,审计事件至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、数据字典访问、管理员用户实施的各项操作、对存储重要信息的数据表的各项操作;j)审计记录应包括:事件发生的时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等;k)审计记录应受到保护,避免受到未预期的删除、修改或覆盖。