中华人民共和国国家标准
GB/T 34080.4-2021
Security specification of electronic government mon platformbased on cloud puting-Part 4:Application security
国家标准化管理委员会 国家市场监督管理总局 发布
目次
前言引言1范围2规范性引用文件3术语和定义4缩略语.5公共平台应用安全威胁分析5.2应用威胁分析 5.1应用脆弱性分析6公共平台应用安全实施6.1 述 26.2 实施准备6.3 应用开发 36.4 应用迁移部署6 5 应用试运行6.6 应用交付6.7应用下线7公共平台应用安全运维7.1基本要求7.2合作平台/网站连接安全 7.3应急预案7.4安全评估8公共平台应用安全管理8.1述8.2 应用基础数据管理8.3 应用动态资源管理8.4 应用业务状态管理8.5 应用访问日志管理8.6应用系统功能管理 -88.7 惩罚机制9公共平台应用安全测试 10参考文献
前言
GB/T34080《基于云计算的电子政务公共平台安全规范》分为以下4个部分:
第1部分:总体要求:第2部分:信息资源安全:第3部分:服务安全: 第4部分:应用安全.
本部分为GB/T34080的第4部分.
本部分按照GB/T1.1-2009给出的规则起草.
本部分由中华人民共和国工业和信息化部(通信)提出并归口.
本部分起草单位:西安未来国际信息股份有限公司、中国信息通信研究院、中国联合网络通信集团有限公司、曙光云计算集团有限公司、国云科技股份有限公司
本部分主要起草人:白峰、石友康、刘述、张磊、张辉、石慧、刘镝、寇金锋、贾玉栋、熊梦.
引言
电子政务发展正处于转变发展方式、深化应用和突出成效的关键转型期.政府职能转变和服务型政府建设对电子政务发展提出了更新、更高的要求.以云计算为代表的新兴信息技术、产业、应用不断涌现,深刻改变了电子政务应用服务发展技术环境及条件,构建基于云计算的电子政务公共平台可以安全保障能力,减少重复建设、避免各自为政和信息孤岛.
应用服务是指政务部门直接使用电子政务公共平台上提供的各种应用服务软件,快速实现业务应用的服务,电子政务公共平台要统一规划、设计、开发和部署政府网站系统、邮件系统、即时通讯、电子公文传输系统、电子签章系统、办公系统等通用应用服务软件,供各政务部门按需调用.电子政务公共 平台服务提供机构要充分考虑云计算技术应用带来的应用安全风险,针对可能出现的数据丢失与泄露.共享技术漏润、不安全的应用程序接口等问题,设计相应的应用安全保护措施.
基于云计算的电子政务公共平台 安全规范第4部分:应用安全
1范围
GB/T34080的本部分规定了基于云计算的电子政务公共平台的应用安全实施、应用安全运维、应用安全管理和应用安全测试.
注:除非特殊说明.以下各章中“电子政务公共平台”公共平台“均指“基于云计算的电子政务公共平台”.
2规范性引用文件
下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅注日期的版本适用于本文件.凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件.
GB/T34078.1一2017基于云计算的电子政务公共平台总体规范第1部分:术语和定义GB/T34080.1一2017基于云计算的电子政务公共平台安全规范第1部分:总体要求
3术语和定义
GB/T34078.1-2017和GB/T34080.1-2017界定的以及下列术语和定义适用于本文件.
应用安全application security
电子政务公共平台上提供的完成电子政务应用功能的应用软件及相关组件的安全.
4缩略语
下列缩略语适用于本文件.FTP:文件传输协议(File Transfer Protocol)SSH:安全外壳协议(Secure Shell)WWW :万维网(World Wide Web)
5公共平台应用安全威胁分析
5.1应用脆弱性分析
应用脆弱性包括技术舱弱性和管理胞弱性两个方面.应用的脆弱性分析应包括但不限于表1所列范围.
