注册

国家标准计划《信息安全技术 政府门户网站系统安全技术指南》由 TC260(全国信息安全标准化技术委员会)归口 ,主管部门为国家标准化管理委员会

主要起草单位 北京信息安全测评中心中电数据服务有限公司首都之窗运营管理中心等

目录

基础信息

计划号
20201687-T-469
制修订
修订
项目周期
18个月
下达日期
2020-04-01
申报日期
2019-09-26
公示开始日期
2020-01-07
公示截止日期
2020-01-21
标准类别
安全
国际标准分类号
35.040
35 信息技术、办公机械
35.040 字符集和信息编码
归口单位
全国信息安全标准化技术委员会
执行单位
全国信息安全标准化技术委员会
主管部门
国家标准化管理委员会

起草单位

目的意义

政府网站是了解民生、解决百姓问题及宣传大政方针的最广阔、最便捷的平台。

作为政府治理和公共服务的重要工具,政府网站正在努力向提供个性化服务、开放式架构、大数据支撑、多渠道拓展等方向发展,不断提升政府服务能力,推进政府治理体系和治理能力现代化。

但作为一种新技术、新模式和新理念,云计算、大数据技术下的政府网站应用在规划、 建设、实施、运维、管理等环节的风险隐患正在发生改变,亟需与之相匹配的规范加以引导和约束。

开展该标准的修订工作,完善技术措施、丰富安全管理保障要求,以有效应对政府网站入云等新型运营模式,以及网站服务对象多元化、系统结构复杂化和数据集中化等应用新形势,切实保障政府网站系统安全运行,着力解决当前政府网站类安全标准内容交叉、技术滞后等问题。

范围和主要技术内容

范围:本标准对GB/T 31506-2015《信息安全技术 政府门户网站系统安全技术指南》进行修订,规定了政府网站系统的安全技术和安全管理控制措施。 主要技术内容:1.结构调整:拟将原标准中基本级技术措施和增强级技术内容合并,以加粗方式体现级差内容,新增加“安全管理措施”章节。另外,拟调整原标准中“安全技术措施”的结构,并且修改具体技术措施相关要求。原标准中技术措施包括运行支撑、物理安全、边界安全、服务器安全、管理终端安全、web应用安全、域名安全、内容发布及数据安全、攻击防范、安全监控与应急响应,修订后的技术措施内容包括运行支撑、基础设施安全、通用软件安全、应用安全、管理终端安全、数据安全、域名安全和移动安全。2.内容调整:拟调整原标准中“运行支撑”章节的内容为部署安全、性能保障,以及新增集中安全管理方面的恶意代码防范、补丁管理、安全审计方面的内容;调整原标准中物理安全、边界安全、服务器安全内容为机房、网络、边界、设备安全;调整原标准中数据库安全、中间件安全内容为开源软件组件安全方面的相关内容;根据现有国家政策和标准对域名备案、变更、监测、评估等方面的要求,修改原标准中域名安全部门的内容。3.新增内容:拟在原标准Web应用安全内容的基础上,新增密钥使用、网站交互逻辑、网站接口使用等内容;在原标准管理终端安全内容的基础上,新增云计算平台管理等内容;在原标准数据安全内容的基础上,新增网站标识使用、个人信息安全保护等内容;新增移动安全方面的内容。4.附录调整:拟删除原附录A高级安全技术措施,调整后的附录内容为政府网站系统典型构成。