ICS 35.020 CCS L 70 湖 DB42 北 省 地 方 标 准 DB42/T 1865.5—2022 政府网站集约化建设规范 第 5 部分：系统安全 Specification for intensive construction of government websites— Part5：System security 2022 - 04 - 25 发布 湖北省市场监督管理局 2022 - 06 - 25 实施 发 布 DB42/T 1865.5—2022 目  次 前言................................................................................................................................................................... III 1 范围................................................................................................................................................................. 1 2 规范性引用文件............................................................................................................................................. 1 3 术语和定义..................................................................................................................................................... 1 4 安全架构......................................................................................................................................................... 1 5 安全物理环境................................................................................................................................................. 2 6 网络安全......................................................................................................................................................... 2 7 安全防护......................................................................................................................................................... 3 8 平台监控......................................................................................................................................................... 4 9 数据恢复与备份............................................................................................................................................. 5 10 安全管理....................................................................................................................................................... 6 参考文献............................................................................................................................................................... 7 I DB42/T 1865.5—2022 前  言 本文件按GB/T 1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。 本文件是DB42/T 1865《政府网站集约化建设规范》的第5部分。DB42/T 1865已发布了以下部分： ——第1部分：平台建设； ——第2部分：网站建设； ——第3部分：信息资源； ——第4部分：数据交换； ——第5部分：系统安全； ——第6部分：运维管理。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由湖北省政务管理办公室提出并归口。 本文件起草单位： 湖北省大数据中心、湖北省标准化与质量研究院、湖北日报传媒集团、拓尔思 信息技术股份有限公司、湖北省楚天云有限公司。 本文件主要起草人：顾鑫、江艳玲、涂俊、周硙、麦清涛、李君黎、张晓枫、肖诗荣、彭成明、饶 飘雪、冯金平。 本文件实施应用中的疑问，可咨询湖北省政务管理办公室，联系电话：027-88226037，邮箱： [email protected]； 对 本 标 准 的 有 关 修 改 意 见 建 议 ， 请 反 馈 至 湖 北 省 大 数 据 中 心 ， 联 系 电 话 ： 027-88224152，邮箱：[email protected]。 III DB42/T 1865.5—2022 引  言 随着大数据、云计算等新兴技术和理念的发展，大数据思维和应用已经开始逐渐渗透到公共管理和 政府治理范畴内，改变了政府信息的收集、加工、存储、传递、反馈和利用的过程管理方式。为进一步 加强政府网站管理，引领各级政府网站创新发展，2017年5月，国务院办公厅印发的《政府网站发展指 引》中明确要求“要通过统一标准体系、统一技术平台、统一安全防护、统一运维监管，集中管理信息 数据，集中提供内容服务，实现政府网站资源优化融合、平台整合安全、数据互认共享、管理统筹规范、 服务便捷高效”。政府网站集约化标准普遍适用于政府网站安全、建设和组织管理工作，拟由六部分构 成。 ——第1部分：平台建设。用于省政务管理办公室对政府网站集约化平台建设按照统一规范要求全 面开展集约化工作，包括平台构成、集约模式、技术要求、平台功能、平台安全和平台指标。 ——第2部分：网站建设。用于省政务管理办公室对政府网站集约化建设包括政府门户网站和部门 网站在内的在互联网上开办具有信息发布、解读回应、办事服务、互动交流等网站功能。 ——第3部分：信息资源。适用于湖北省、市州各级政府部门开展政府网站及部门网站的建设提供 了建设和管理。 ——第4部分：数据交换。适用于对我省政府网站集约化数据进行技术层面上的规范管理，厘清数 据共享交换层级、流转路径和交换方式等相关要求。 ——第5部分：系统安全。适用于从标准制定、系统架构、云服务管理模式、用户体验创新以及配 套支撑等方面进行了全面探索和创新。 ——第6部分：运维管理。目的在于规定了湖北省政府网站集约化运维管理组织、运维内容、第三 方机构管理和监督考核。 V DB42/T 1865.5—2022 政府网站集约化建设规范 第 5 部分：系统安全 1 范围 本文件提出了政府网站集约化系统安全架构、安全物理环境、网络安全、安全防护、平台监控、数 据恢复与备份和安全管理相关内容。 本文件适用于指导政府部门开展网站系统安全防护工作，也可作为对政府网站系统实施安全检查的 依据。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 2887 计算机场地通用规范 GB/T 9361 计算机场地安全要求 GB/T 31167 云计算服务安全指南 GB/T 31168 云计算服务安全能力要求 GB/T 35273 信息安全技术 个人信息安全规范 3 术语和定义 下列的术语和定义适用于本文件。 3.1 政府网站 government website 政府网站包括政府门户网站和部门网站。是各级政府及其部门、派出机构和承担行政职能的事业单 位在互联网上开办的，具有信息发布、解读回应、办事服务、互动交流等功能的网站。 3.2 政府网站系统 website system of government 包含集约化平台、政府网站及支撑其运行的物理环境、网络环境、软硬件及产生和发布的信息等。 4 安全架构 4.1 4.1.1 政府网站架构 逻辑结构 政府网站不仅是代表政府形象的主要窗口，更是政府服务于公众、向公众发布信息的主要渠道，是 实现公众与政府进行互动的主要载体。政府网站系统逻辑结构如图 1 所示。 1 DB42/T 1865.5—2022 图 1 政府网站系统逻辑结构 政府网站系统可依托政务云及其他类型数据中心等基础设施来建立网站系统，并建立安全保障系统 (包括网页防篡改系统、安全审计系统、恶意代码防范系统、补丁更新下载系统等)来保障网站系统安全， 同时与其他政务系统进行安全资源共享与交换。 普通互联网用户（包括电脑终端用户、移动用户等）通过互联网访问政府网站，使用公共政务服务。 政府行政办公用户通过互联网访问网站进行数据共享和业务处理。运维管理终端用户通过 VPN 等方式对 网站系统进行远程安全管理。 4.2 安全目标 政府网站系统的安全防护工作应实现