GB∕T 39477-2020 信息安全技術(shù) 政務信息共享 數(shù)據(jù)安全技術(shù)要求

ICS35.040L80中華人民共和國國家標準信息安全技術(shù)政務信息共享數(shù)據(jù)安全技術(shù)要求Iv國家市場監(jiān)督管理總局國家標準化管理委員會GB／T39477—2020前言 引言 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 5政務信息共享安全框架 5.1政務信息共享交換業(yè)務模型 5.2政務信息共享數(shù)據(jù)安全技術(shù)要求框架 6數(shù)據(jù)安全技術(shù)要求 6.1共享數(shù)據(jù)準備安全要求 6.2共享數(shù)據(jù)交換安全要求 6.3共享數(shù)據(jù)使用安全要求 7基礎設施安全技術(shù)要求 7.3政務信息共享交換云平臺 7.4前置交換子系統(tǒng) 7.5資源共享網(wǎng)站 附錄A（資料性附錄）政務信息共享交換平臺一般框架 附錄B（資料性附錄）政務信息共享交換模式 參考文獻 ⅠGB／T39477—2020本標準按照GB/T1.1—2009給出的規(guī)則起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任。本標準由全國信息安全標準化技術(shù)委員會(SAC/TC260)提出并歸口。本標準起草單位：國家信息中心、深圳奧聯(lián)信息安全技術(shù)有限公司、中國電子技術(shù)標準化研究院、公安部信息安全等級保護評估中心、國家保密科技測評中心、中國信息安全測評中心、國家信息技術(shù)安全研究中心、上海市大數(shù)據(jù)中心、清華大學、四川大學、中國電子科技網(wǎng)絡信息安全有限公司、中國電子科技集團公司電子科學研究院、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、全知科技（杭州）有限責任公司、亞信科技（成都）有限公司、北京安華金和科技有限公司、杭州數(shù)夢工場科技有限公司、陜西省信息化工程研究院、廣東京信軟件科技有限公司、北京信息安全測評中心、杭州美創(chuàng)科技有限公司。孫暉。ⅡGB／T39477—2020為解決政務信息共享交換工作開展過程中數(shù)據(jù)泄露、數(shù)據(jù)濫用等問題，本標準制定政務信息共享交換過程的數(shù)據(jù)安全技術(shù)要求，指導政務信息共享交換數(shù)據(jù)安全體系建設，增強政務信息共享交換的數(shù)據(jù)安全保障能力。1GB／T39477—2020信息安全技術(shù)政務信息共享數(shù)據(jù)安全技術(shù)要求本標準提出了政務信息共享數(shù)據(jù)安全要求技術(shù)框架，規(guī)定了政務信息共享過程中共享數(shù)據(jù)準備、共享數(shù)據(jù)交換、共享數(shù)據(jù)使用階段的數(shù)據(jù)安全技術(shù)要求以及相關(guān)基礎設施的安全技術(shù)要求。本標準適用于指導各級政務信息共享交換平臺數(shù)據(jù)安全體系建設，規(guī)范各級政務部門使用政務信息共享交換平臺交換非涉及國家秘密數(shù)據(jù)安全保障工作。2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239—2019信息安全技術(shù)網(wǎng)絡安全等級保護基本要求GB/T25069信息安全技術(shù)術(shù)語GB/T31168—2014信息安全技術(shù)云計算服務安全能力要求GB/T35273信息安全技術(shù)個人信息安全規(guī)范GM/T0054信息系統(tǒng)密碼應用基本要求3術(shù)語和定義GB/T25069界定的以及下列術(shù)語和定義適用于本文件。3.1數(shù)據(jù)安全采用技術(shù)和管理措施來保護數(shù)據(jù)的保密性、完整性和可用性等。3.2政務信息共享因履行職責需要使用其他政務部門政務信息資源和為其他政務部門提供政務信息資源的行為。3.3共享數(shù)據(jù)提供方在政務信息共享過程中，為其他部門提供政務信息資源并且是資源責任主體的政務部門或組織機構(gòu)。3.4共享數(shù)據(jù)交換服務方在政務信息共享過程中，為各政務信息共享交換主體提供政務信息共享交換技術(shù)支持和服務的組織機構(gòu)。3.5共享數(shù)據(jù)使用方在政務信息共享過程中，根據(jù)履行職責需要，使用其他部門共享資源的政務部門或組織機構(gòu)。2GB／T39477—20203.6資源目錄通過對政務信息資源依據(jù)規(guī)范的元數(shù)據(jù)描述，按照一定的分類方法進行排序和編碼的一組信息。注：資源目錄是用來描述各個政務信息資源的特征，以便于對政務信息資源的檢索、定位與獲取。3.7敏感數(shù)據(jù)由權(quán)威機構(gòu)確定的受保護的信息數(shù)據(jù)。注：敏感信息數(shù)據(jù)的泄露、修改、破壞或丟失會對人或事產(chǎn)生可預知的損害。3.8數(shù)據(jù)召回因安全等原因?qū)μ囟〝?shù)據(jù)進行回收處理，數(shù)據(jù)使用方對標記為召回的數(shù)據(jù)進行銷毀，并停止對數(shù)據(jù)使用的過程。3.9數(shù)據(jù)血緣關(guān)系數(shù)據(jù)在產(chǎn)生、處理、流轉(zhuǎn)到消亡過程中，數(shù)據(jù)之間形成的可回溯的關(guān)聯(lián)關(guān)系。溯源信息數(shù)據(jù)處理過程中記錄的可實現(xiàn)追蹤數(shù)據(jù)來源的信息。4縮略語下列縮略語適用于本文件。高級持續(xù)性威脅(因特網(wǎng)協(xié)議(安全外殼協(xié)議(5政務信息共享安全框架5.1政務信息共享交換業(yè)務模型政務信息共享由共享數(shù)據(jù)提供方、共享數(shù)據(jù)交換服務方與共享數(shù)據(jù)使用方三方參與，由共享數(shù)據(jù)準備、共享交換和共享數(shù)據(jù)使用三個階段組成。政務信息共享交換業(yè)務模型如圖1所示。共享數(shù)據(jù)提供方是共享數(shù)據(jù)權(quán)益主體，共享數(shù)據(jù)交換服務方是政務信息共享交換平臺的建設和運維主體，共享數(shù)據(jù)使用方是共享數(shù)據(jù)使用的責任主體。政務信息共享交換平臺的一般框架參見附錄A。在共享數(shù)據(jù)準備階段，共享數(shù)據(jù)提供方根據(jù)共享業(yè)務需求完成共享數(shù)據(jù)歸集、數(shù)據(jù)分級分類后，形成資源目錄并管理數(shù)據(jù)共享方式，持續(xù)進行共享數(shù)據(jù)維護，準備好以批量交換數(shù)據(jù)、提供數(shù)據(jù)查詢服務、提供核驗、統(tǒng)計、分析類綜合數(shù)據(jù)服務等方式對外提供共享數(shù)據(jù)，構(gòu)建共享數(shù)據(jù)更新和失效召回機制，對已失效的數(shù)據(jù)及時召回。共享數(shù)據(jù)提供方采用數(shù)據(jù)源鑒別、數(shù)據(jù)分級分類、資源目錄管理和共享數(shù)據(jù)維護等技術(shù)手段完成共享數(shù)據(jù)準備，保證共享數(shù)據(jù)準確、完整、可用和來源真實。在共享數(shù)據(jù)交換階段，共享數(shù)據(jù)使用方利用政務信息共享交換平臺進行共享數(shù)據(jù)查詢，提出共享數(shù)據(jù)訪問申請和登記。在共享數(shù)據(jù)交換服務方對資源訪問申請進行審核并完成授權(quán)或者根據(jù)需要由共享數(shù)據(jù)提供方進行審批、共享數(shù)據(jù)交換服務方審核并完成授權(quán)后，共享數(shù)據(jù)提供方對準備好的共享數(shù)據(jù)進行數(shù)據(jù)導出，根據(jù)需要共享數(shù)據(jù)交換服務方提供數(shù)據(jù)交換服務，共享數(shù)據(jù)使用方獲取并導入數(shù)據(jù)。共享數(shù)據(jù)交換服務方采用身份鑒別、訪問控制、安全傳輸、過程追溯等技術(shù)手段，保證政務信息共享交換過程3GB／T39477—2020交換實體可信、數(shù)據(jù)傳輸安全、交換行為記錄可追查。在共享數(shù)據(jù)使用階段，共享數(shù)據(jù)使用方在完成數(shù)據(jù)獲取后，可進一步通過數(shù)據(jù)處理、數(shù)據(jù)存儲、數(shù)據(jù)備份等數(shù)據(jù)服務機制構(gòu)建政務信息資源，可在審核允許的使用方式和范圍內(nèi)，為其他部門提供綜合數(shù)據(jù)共享服務，并根據(jù)管理要求對過期和召回的共享數(shù)據(jù)進行數(shù)據(jù)銷毀，根據(jù)共享數(shù)據(jù)提供方的要求，對數(shù)據(jù)使用過程進行數(shù)據(jù)使用監(jiān)測和反饋。共享數(shù)據(jù)使用方根據(jù)共享數(shù)據(jù)的安全要求，采用訪問控制、數(shù)據(jù)加密、安全存儲、安全銷毀等技術(shù)手段保障數(shù)據(jù)使用安全。共享數(shù)據(jù)交換服務方對經(jīng)過政務信息共享交換平臺開展的數(shù)據(jù)共享業(yè)務，針對系統(tǒng)、業(yè)務、安全、數(shù)據(jù)使用監(jiān)測反饋等內(nèi)容進行監(jiān)管統(tǒng)計，保證共享交換服務持續(xù)、穩(wěn)定、可靠運行。政務信息共享交換平臺除了在共享數(shù)據(jù)提供方與使用方間提供數(shù)據(jù)共享交換服務外，也可經(jīng)授權(quán)后，基于歸集處理后的政務信息數(shù)據(jù)提供二次共享服務。政務信息共享交換模式以及政務信息共享交換平臺多種業(yè)務模型的對應關(guān)系參見附錄B。圖1政務信息共享交換業(yè)務模型5.2政務信息共享數(shù)據(jù)安全技術(shù)要求框架政務信息共享數(shù)據(jù)安全技術(shù)要求框架由數(shù)據(jù)安全技術(shù)要求和基礎設施安全技術(shù)要求兩部分組成。政務信息共享數(shù)據(jù)安全技術(shù)要求框架如圖2所示。4GB／T39477—2020圖2政務信息共享數(shù)據(jù)安全技術(shù)要求框架數(shù)據(jù)安全技術(shù)要求體系涵蓋共享數(shù)據(jù)準備、共享數(shù)據(jù)交換和共享數(shù)據(jù)使用三個階段中各功能集合所需的安全技術(shù)要求。共享數(shù)據(jù)準備階段的功能集合和對應的數(shù)據(jù)安全技術(shù)要求項目如下，以保證共享數(shù)據(jù)準備和維護過程中數(shù)據(jù)安全可控：a)共享數(shù)據(jù)歸集：數(shù)據(jù)源鑒別；b)數(shù)據(jù)分級分類：分級分類；c)資源目錄管理：資源目錄安全；d)共享數(shù)據(jù)維護：數(shù)據(jù)質(zhì)量控制、數(shù)據(jù)存儲加密、數(shù)據(jù)存儲隔離、數(shù)據(jù)更新和召回。共享數(shù)據(jù)交換階段的功能集合和對應的數(shù)據(jù)安全技術(shù)要求項目如下，以保證共享數(shù)據(jù)在交換過程中的保密性、完整性以及操作的不可否認性和可追溯性：a)用戶管理：用戶管理安全；b)授權(quán)管理：授權(quán)管理安全；c)數(shù)據(jù)導出：數(shù)據(jù)脫敏、數(shù)據(jù)加密、權(quán)限標記、安全策略檢查；d)數(shù)據(jù)交換：事務標記、身份鑒別、訪問控制、安全傳輸、操作抗抵賴、過程追溯、級聯(lián)接口安全；e)數(shù)據(jù)導入：故障恢復、數(shù)據(jù)質(zhì)量控制、數(shù)據(jù)分責。共享數(shù)據(jù)使用階段的功能集合和對應的數(shù)據(jù)安全技術(shù)要求項目如下，以實現(xiàn)共享數(shù)據(jù)使用過程的5GB／T39477—2020安全保護：a)數(shù)據(jù)處理：身份鑒別、訪問控制、授權(quán)管理安全、數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)防泄露、分布式處理安全、數(shù)據(jù)處理溯源、數(shù)據(jù)分析安全、安全審計；b)數(shù)據(jù)存儲：存儲安全、數(shù)據(jù)防護、數(shù)據(jù)加密、安全審計；c)數(shù)據(jù)備份：備份安全、保存與恢復；d)數(shù)據(jù)銷毀：數(shù)據(jù)銷毀安全；e)數(shù)據(jù)使用監(jiān)管：使用監(jiān)管安全?；A設施安全技術(shù)要求明確了政務信息共享交換業(yè)務的基礎網(wǎng)絡、云平臺、前置交換子系統(tǒng)和資源共享網(wǎng)站等方面的安全防護要求，為政務信息共享交換業(yè)務提供基礎的安全保障支撐。6數(shù)據(jù)安全技術(shù)要求6.1共享數(shù)據(jù)準備安全要求共享數(shù)據(jù)歸集功能應滿足數(shù)據(jù)源鑒別安全技術(shù)要求。共享數(shù)據(jù)提供方在歸集共享數(shù)據(jù)過程中應采用身份鑒別、數(shù)據(jù)源認證等安全機制保障共享數(shù)據(jù)來源的真實性。數(shù)據(jù)分級分類功能應滿足分級分類安全技術(shù)要求。共享數(shù)據(jù)提供方對數(shù)據(jù)進行分級分類的安全要求包括：a)應按照政務信息資源分級分類相關(guān)要求對共享數(shù)據(jù)分級分類并進行標記，根據(jù)標記可對數(shù)據(jù)安全等級進行識別，并保留標記記錄；b)應按照數(shù)據(jù)級別確定并實施所必要的安全管理策略和保障措施；c)應對共享數(shù)據(jù)分級分類的變更進行記錄，并通知相關(guān)數(shù)據(jù)使用方；d)應按照數(shù)據(jù)級別明確使用方對共享數(shù)據(jù)的使用權(quán)限。資源目錄管理功能應滿足資源目錄安全技術(shù)要求。共享數(shù)據(jù)準備階段對資源目錄管理的安全要求包括：a)共享數(shù)據(jù)提供方使用共享數(shù)據(jù)交換服務方提供的服務對資源目錄進行管理，安全要求包括：1)應按照數(shù)據(jù)類別或主題形成數(shù)據(jù)資源目錄；2)應定義資源目錄對應數(shù)據(jù)資源的內(nèi)容、安全分級與共享方式；3)應對資源目錄發(fā)布進行審核，檢查資源目錄的規(guī)范性、準確性；4)應對目錄對應的共享資源建立相應的安全管理策略，保障敏感數(shù)據(jù)在共享過程中的保密性和完整性；5)應對資源目錄共享類型變更、目錄遷移等操作進行授權(quán)審計。b)共享數(shù)據(jù)交換服務方提供的資源目錄管理服務的安全要求包括：1)應構(gòu)建資源目錄發(fā)布的審核機制，明確發(fā)布審核流程；2)在資源目錄發(fā)布過程中，應對共享數(shù)據(jù)提供方進行身份鑒別；3)應對資源目錄發(fā)布過程進行詳細記錄，包括發(fā)布日期和時間、發(fā)布人、審批人、發(fā)布資源詳細內(nèi)容等；4)應保證資源目錄在傳輸過程中信息的保密性和完整性。6GB／T39477—2020共享數(shù)據(jù)提供方在維護共享數(shù)據(jù)過程中應建立共享數(shù)據(jù)質(zhì)量控制機制，對共享數(shù)據(jù)進行定期維護，保證所提供的共享數(shù)據(jù)完整準確、及時有效。共享數(shù)據(jù)提供方在維護共享數(shù)據(jù)過程中可采用符合GM/T0054等國家相關(guān)標準規(guī)定的密碼技術(shù)，對敏感數(shù)據(jù)進行加密存儲保護。共享數(shù)據(jù)提供方在維護共享數(shù)據(jù)過程中對數(shù)據(jù)存儲隔離的安全要求包括：a)應對數(shù)據(jù)存儲環(huán)境進行分域分級設計；b)應根據(jù)數(shù)據(jù)重要性、量級、使用頻率等因素將數(shù)據(jù)分域分級存儲。共享數(shù)據(jù)提供方在維護共享數(shù)據(jù)過程中應具備共享數(shù)據(jù)更新和失效數(shù)據(jù)召回機制。6.2共享數(shù)據(jù)交換安全要求用戶管理功能應滿足用戶管理安全技術(shù)要求。共享數(shù)據(jù)交換服務方對政務信息共享交換用戶管理的安全要求包括：a)應支持對用戶進行角色分立管理，設立管理角色、審計角色及操作角色；b)應根據(jù)業(yè)務需求、管理范圍、組織架構(gòu)等設置訪問控制策略，建立完整的用戶管理機制，能夠統(tǒng)一設置、統(tǒng)一注銷、統(tǒng)一鑒別、統(tǒng)一授權(quán)、集中鑒權(quán)、集中審計；c)應實時將監(jiān)測到的用戶行為和數(shù)據(jù)、權(quán)限、崗位等進行相關(guān)性分析；d)應支持對特定數(shù)據(jù)的訪問主體進行實時授權(quán)和取消授權(quán)的管理方式；e)應支持基于角色的用戶分組，并支持對用戶組整體管理。授權(quán)管理功能應滿足授權(quán)管理安全技術(shù)要求。共享交換過程中涉及的授權(quán)方（共享數(shù)據(jù)提供方、共享數(shù)據(jù)交換服務方）對授權(quán)管理的安全要求包括：a)應支持針對用戶訪問權(quán)限、數(shù)據(jù)操作權(quán)限、應用訪問數(shù)據(jù)權(quán)限等維度的授權(quán)管理機制；b)應支持基于數(shù)據(jù)分級分類的多級授權(quán)和操作監(jiān)管；c)應對權(quán)限范圍外的數(shù)據(jù)、應用的嘗試操作提出告警；d)應支持資源文件、庫表、接口等各共享方式上不同粒度的權(quán)限控制；e)資源目錄發(fā)布應獲得授權(quán)，明確授權(quán)目的和范圍，保留授權(quán)記錄，并遵照授權(quán)執(zhí)行；f)共享數(shù)據(jù)發(fā)布應獲得授權(quán)，明確授權(quán)目的和范圍，保留授權(quán)記錄，并遵照授權(quán)執(zhí)行；g)共享數(shù)據(jù)申請應獲得授權(quán)，明確授權(quán)目的和范圍，保留授權(quán)記錄，并遵照授權(quán)執(zhí)行；h)應遵循數(shù)據(jù)共享最小化原則，僅授權(quán)對業(yè)務必需的數(shù)據(jù)共享訪問；i)應檢查有條件共享數(shù)據(jù)的使用請求符合規(guī)定條件；j)應可設定授權(quán)的有效期并定期檢查授權(quán)的有效性；7GB／T39477—2020k)應根據(jù)安全策略，生成共享數(shù)據(jù)訪問授權(quán)憑證、安全配置信息，并將這些配置信息安全分發(fā)到信息交換系統(tǒng)。共享數(shù)據(jù)提供方在數(shù)據(jù)導出過程中對數(shù)據(jù)脫敏的安全要求包括：a)應對敏感數(shù)據(jù)建立數(shù)據(jù)脫敏安全策略，并按照安全策略進行脫敏；b)應能根據(jù)應用需要保留敏感數(shù)據(jù)的原數(shù)據(jù)格式、屬性或關(guān)聯(lián)；c)應對數(shù)據(jù)脫敏操作過程進行記錄，記錄內(nèi)容至少包括操作時間、操作人、操作對象等；d)宜提供敏感數(shù)據(jù)檢查工具，對共享數(shù)據(jù)進行分析，發(fā)現(xiàn)敏感數(shù)據(jù)。共享數(shù)據(jù)提供方在數(shù)據(jù)導出過程中可采用符合GM/T0054等國家相關(guān)標準規(guī)定的密碼技術(shù)，對敏感數(shù)據(jù)加密保護后再導出。共享數(shù)據(jù)提供方在數(shù)據(jù)導出過程中應標記使用方使用敏感數(shù)據(jù)的權(quán)限。共享數(shù)據(jù)提供方在數(shù)據(jù)導出過程中應建立檢查機制，保證共享數(shù)據(jù)安全策略正確配置與實施。共享數(shù)據(jù)交換服務方在數(shù)據(jù)交換過程中應對每次數(shù)據(jù)交換指定唯一的交換事務標識。共享數(shù)據(jù)交換服務方在數(shù)據(jù)交換過程中對身份鑒別的安全要求包括：a)應對數(shù)據(jù)交換兩端進行用戶身份鑒別或設備認證，保證數(shù)據(jù)交換兩端身份的真實性；b)應采用如用戶名／口令、一次性口令、數(shù)字證書、標識密碼、生物特征等技術(shù)實現(xiàn)交換兩端的用戶身份鑒別；c)在交換敏感數(shù)據(jù)時，應對數(shù)據(jù)訪問主體復合采用兩種或兩種以上鑒別技術(shù)進行身份鑒別；d)應采用數(shù)字證書、標識密碼等方式實現(xiàn)設備認證；e)僅對通信端設備認證時，應確定被授權(quán)使用方與被認證設備間關(guān)系的真實性，應在多方數(shù)據(jù)交換時對各接入方進行交叉認證；f)應在安全周期范圍內(nèi)對交換兩端定期重新認證；g)應使用安全協(xié)議完成身份鑒別過程，鑒別失敗后應實施安全控制措施；h)宜在安全周期范圍內(nèi)對交換兩端持續(xù)實時評估安全風險，并根據(jù)風險等級適時發(fā)起身份鑒別。共享數(shù)據(jù)交換服務方在數(shù)據(jù)交換過程中對訪問控制的安全要求包括：a)應檢查對使用方數(shù)據(jù)交換操作的授權(quán)，并遵照授權(quán)策略執(zhí)行訪問控制，拒絕不符合授權(quán)的訪問，保留授權(quán)檢驗記錄；8GB／T39477—2020b)宜自動監(jiān)視和控制遠程訪問會話，以檢測非授權(quán)的訪問行為。共享數(shù)據(jù)交換服務方在數(shù)據(jù)交換過程中對傳輸?shù)陌踩蟀ǎ篴)應采用符合GM/T0054等國家相關(guān)標準規(guī)定的密碼技術(shù)，保證通信過程中數(shù)據(jù)的保密性和完整性；b)應具備監(jiān)控數(shù)據(jù)傳輸過程的能力，發(fā)現(xiàn)問題時及時告警并進行阻斷；c)應在數(shù)據(jù)交換不完整時清除傳輸緩存數(shù)據(jù)；d)應在交換完成后清除傳輸歷史緩存數(shù)據(jù)；e)應定期檢查或評估數(shù)據(jù)傳輸?shù)陌踩院涂煽啃?。共享?shù)據(jù)交換服務方在數(shù)據(jù)交換過程中對操作抗抵賴的安全要求包括：a)在交換敏感數(shù)據(jù)時，應由數(shù)據(jù)提供方對發(fā)出數(shù)據(jù)和時間戳進行數(shù)字簽名，數(shù)據(jù)使用方應校驗數(shù)據(jù)提供方數(shù)字簽名的合法性；b)在交換敏感數(shù)據(jù)時，應由數(shù)據(jù)使用方對接收到的數(shù)據(jù)進行確認，確認消息應包括交換事務標識、交換數(shù)據(jù)摘要、時間戳、數(shù)據(jù)使用方的數(shù)字簽名，宜包括使用方對數(shù)據(jù)質(zhì)量的確認，數(shù)據(jù)提供方應校驗數(shù)據(jù)使用方數(shù)字簽名的合法性。共享數(shù)據(jù)交換服務方在數(shù)據(jù)交換過程中對過程追溯的安全要求包括：a)應跟蹤和記錄數(shù)據(jù)交換過程，記錄項包括數(shù)據(jù)格式記錄、數(shù)據(jù)提供方記錄、共享數(shù)據(jù)服務方記錄、數(shù)據(jù)使用方記錄等。b)數(shù)據(jù)格式記錄應包括但不限于：1)本次數(shù)據(jù)交換事務唯一性標識；2)本次數(shù)據(jù)交換開始時間、結(jié)束時間。c)數(shù)據(jù)提供方記錄應包括但不限于：1)數(shù)據(jù)提供方對交換數(shù)據(jù)的分級分類記錄；2)數(shù)據(jù)提供方對數(shù)據(jù)使用方的身份鑒別記錄；3)數(shù)據(jù)提供方對數(shù)據(jù)使用方的權(quán)限審核記錄；4)數(shù)據(jù)提供方進行數(shù)據(jù)封裝的記錄，包括封裝過程記錄和封裝方式記錄；5)數(shù)據(jù)提供方交付記錄；6)前置系統(tǒng)刪除緩存數(shù)據(jù)的記錄。d)共享數(shù)據(jù)服務方記錄應包括但不限于：1)數(shù)據(jù)傳輸身份核驗記錄；2)數(shù)據(jù)傳輸過程記錄，記錄內(nèi)容至少包括：端點標識、IP地址、數(shù)據(jù)長度、傳輸時間等；3)若數(shù)據(jù)傳輸過程存在異常，應有異常記錄、報警記錄等。e)數(shù)據(jù)使用方記錄應包括但不限于：1)數(shù)據(jù)使用方對數(shù)據(jù)提供方的身份鑒別記錄；2)數(shù)據(jù)使用方的接收狀態(tài)記錄；3)數(shù)據(jù)使用方的數(shù)據(jù)質(zhì)量認定記錄。f)應記錄敏感數(shù)據(jù)流轉(zhuǎn)的全過程及異常訪問追溯結(jié)果。g)數(shù)據(jù)交換記錄日志應保存6個月以上，并保證敏感數(shù)據(jù)交換記錄日志的保密性。9GB／T39477—2020共享數(shù)據(jù)交換服務方應采用符合GM/T0054等國家相關(guān)標準規(guī)定的密碼技術(shù)對共享交換系統(tǒng)間的級聯(lián)接口進行安全防護，保障通過級聯(lián)接口傳遞數(shù)據(jù)的保密性和完整性。共享數(shù)據(jù)使用方在共享數(shù)據(jù)導入過程中對故障恢復的安全要求包括：a)應具有數(shù)據(jù)導入過程保護和回退機制，保證獲取過程中產(chǎn)生問題時能有效還原和恢復數(shù)據(jù)；b)應具有故障恢復后數(shù)據(jù)自動加載能力。共享數(shù)據(jù)使用方在共享數(shù)據(jù)導入過程中對數(shù)據(jù)質(zhì)量控制的安全要求包括：a)應檢驗數(shù)據(jù)的質(zhì)量，包括對數(shù)據(jù)格式和接口提出統(tǒng)一要求，并對獲取數(shù)據(jù)是否滿足要求做出認定；b)應定義空缺值、內(nèi)容沖突、不合規(guī)約束等數(shù)據(jù)源質(zhì)量評價條件，并評價數(shù)據(jù)獲取質(zhì)量。共享數(shù)據(jù)使用方在共享數(shù)據(jù)導入過程中，應對所獲取的共享數(shù)據(jù)進行梳理，按照數(shù)據(jù)提供方對共享數(shù)據(jù)的分級分類建立數(shù)據(jù)資產(chǎn)清單，標記數(shù)據(jù)資產(chǎn)的責任主體。6.3共享數(shù)據(jù)使用安全要求共享數(shù)據(jù)使用方在共享數(shù)據(jù)處理過程中對身份鑒別的安全要求包括：a)應對訪問數(shù)據(jù)處理系統(tǒng)、服務器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、備份系統(tǒng)的管理員進行身份鑒別；b)應建立用戶口令長度、口令生存周期、口令復雜度等口令管理策略，保證基于口令的身份鑒別安全性；c)應對敏感數(shù)據(jù)或重要模塊的操作復合采用兩種或兩種以上的鑒別技術(shù)進行身份認證。共享數(shù)據(jù)使用方在共享數(shù)據(jù)處理過程中對訪問控制的安全要求包括：a)應針對服務器系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等重要系統(tǒng)設置用戶訪問控制策略，為不同用戶授予其完成各自承擔任務所需的最小權(quán)限，限制超級管理員等默認角色；b)應及時清除系統(tǒng)中無用賬號、默認賬號，杜絕多人共用同一個系統(tǒng)賬號的情況；c)用戶和管理員賬號應采用實名認證，實現(xiàn)追責溯源；d)應阻斷對數(shù)據(jù)、應用、系統(tǒng)等的任何非授權(quán)訪問，提出告警并記錄審計日志；e)應限制對重要服務器的遠程管理，若需要遠程管理時應采用SSH等安全方式實現(xiàn)；f)應只開啟業(yè)務所需的最少系統(tǒng)服務及端口，并定期核查。共享數(shù)據(jù)使用方在共享數(shù)據(jù)處理過程中對授權(quán)管理的安全要求包括：GB／T39477—2020a)應明確授權(quán)目的和范圍，保留授權(quán)記錄，并遵照授權(quán)執(zhí)行；b)應采用技術(shù)措施防止數(shù)據(jù)受到未授權(quán)的使用；c)對敏感數(shù)據(jù)的使用應經(jīng)過二次授權(quán)，并進行授權(quán)審計。共享數(shù)據(jù)使用方在共享數(shù)據(jù)處理過程中對數(shù)據(jù)脫敏的安全要求包括：a)應根據(jù)不同的業(yè)務、應用、部門等采用不同的數(shù)據(jù)脫敏方式對數(shù)據(jù)處理過程中產(chǎn)生的敏感數(shù)據(jù)進行數(shù)據(jù)脫敏；b)應實現(xiàn)動態(tài)適配不同數(shù)據(jù)類型的數(shù)據(jù)脫敏機制；c)應建立對敏感數(shù)據(jù)脫敏有效性的評價機制，實現(xiàn)效果量化管理。共享數(shù)據(jù)使用方在共享數(shù)據(jù)處理過程中應建立共享數(shù)據(jù)業(yè)務的數(shù)據(jù)透明加密處理能力。共享數(shù)據(jù)使用方在共享數(shù)據(jù)處理過程中對數(shù)據(jù)防泄漏的安全要求包括：a)應按數(shù)據(jù)分級分類預先對每類數(shù)據(jù)設置訪問策略、傳播策略和傳播范圍等；b)應采取技術(shù)措施防止所有數(shù)據(jù)在未授權(quán)條件下的下載、復制、截屏等方式的數(shù)據(jù)輸出，同時應采取措施防止敏感數(shù)據(jù)泄露；c)應禁止數(shù)據(jù)處理過程中調(diào)試信息的輸出；d)應防止數(shù)據(jù)處理過程中日志記錄數(shù)據(jù)的泄露。共享數(shù)據(jù)使用方在共享數(shù)據(jù)處理過程中對分布式處理的安全要求包括：a)應具有數(shù)據(jù)分布式處理每個計算節(jié)點和用戶安全屬性的周期性確認能力，保障分布式處理預定義安全策略的一致性；b)應建立分布式處理過程中不同數(shù)據(jù)副本節(jié)點的更新檢測機制，實現(xiàn)節(jié)點數(shù)據(jù)拷貝的一致性。共享數(shù)據(jù)使用方在對共享數(shù)據(jù)處理過程中對數(shù)據(jù)處理溯源的安全要求包括：a)應支持溯源信息采集。采集信息包含但不限于以下內(nèi)容：處理人員、處理系統(tǒng)IP地址、處理時間、處理方式等，且采集的信息溯源應能追蹤到源數(shù)據(jù)；b)應支持溯源信息存儲，存儲時間至少6個月；c)應對關(guān)鍵溯源信息進行備份，并采取安全措施對溯源信息進行保護。共享數(shù)據(jù)使用方在處理共享數(shù)據(jù)過程中應提供有效的網(wǎng)絡安全分析和數(shù)據(jù)安全分析算法或工具，如惡意代碼檢測、網(wǎng)絡取證分析、異常流量監(jiān)測、安全情報分析、用戶行為分析、數(shù)據(jù)校驗校核等。共享數(shù)據(jù)使用方在共享數(shù)據(jù)處理過程中對審計的安全要求包括：a)應對數(shù)據(jù)使用及處理全過程進行主體行為審計；b)應對數(shù)據(jù)庫操作記錄、系統(tǒng)日志進行主體行為審計；GB／T39477—2020c)應跟蹤和記錄數(shù)據(jù)匯集、分發(fā)等過程信息，并支持數(shù)據(jù)溯源；d)應保存日志記錄和審計報告至少6個月。共享數(shù)據(jù)使用方在共享數(shù)據(jù)存儲過程中對存儲的安全要求包括：a)應對數(shù)據(jù)存儲環(huán)境進行分域分級設計；b)應根據(jù)數(shù)據(jù)重要性、量級、使用頻率等因素將數(shù)據(jù)分域分級存儲；c)應對敏感數(shù)據(jù)分布式存儲；d)宜對敏感數(shù)據(jù)設置在線雙活或多活存儲機制；e)應按照GB/T35273的要求存儲個人信息，防止個人信息通過關(guān)聯(lián)分析等技術(shù)手段被恢復；f)應在存儲個人生物識別特征信息時，按照GB/T35273的要求采用技術(shù)措施確保信息安全后再進行存儲，例如僅存儲個人生物識別特征信息的摘要；g)應建立數(shù)據(jù)冗余一致性校驗策略。共享數(shù)據(jù)使用方在共享數(shù)據(jù)存儲過程中對數(shù)據(jù)防護的安全要求包括：a)應支持數(shù)據(jù)邏輯存儲，滿足不同數(shù)據(jù)類型、容量和用戶的邏輯存儲管理；b)應支持數(shù)據(jù)邏輯存儲授權(quán)與操作；c)應建立分層的邏輯存儲授權(quán)管理和授權(quán)操作規(guī)則，實現(xiàn)對數(shù)據(jù)邏輯存儲結(jié)構(gòu)的分層和分級保護；d)應對訪問用戶進行身份鑒別和權(quán)限控制，并對用戶權(quán)限變更進行審核并記錄；e)應為存儲系統(tǒng)安全管理員提供用戶標識與鑒別策略、數(shù)據(jù)訪問控制策略，包括訪問控制時效的管理和驗證，以及接入數(shù)據(jù)存儲的合法性和安全性認證；f)應嚴格限制批量修改、拷貝、下載等操作的權(quán)限；g)應提供控制機制限制獲得訪問權(quán)的用戶將數(shù)據(jù)傳遞給非授權(quán)的用戶；h)應對訪問通道進行授權(quán)許可和訪問方式限制；i)應建立敏感數(shù)據(jù)防護區(qū)域或敏感數(shù)據(jù)集群管控訪問方式；j)應具備數(shù)據(jù)泄露的發(fā)現(xiàn)、阻斷等安全機制；k)應進行數(shù)據(jù)血緣關(guān)系梳理，建立數(shù)字表字段級的上下游關(guān)系，建立不同數(shù)據(jù)源數(shù)據(jù)合并的分共享數(shù)據(jù)使用方在共享數(shù)據(jù)存儲過程中對數(shù)據(jù)加密的安全要求包括：a)應對敏感數(shù)據(jù)采用加密技術(shù)，加密存儲于數(shù)據(jù)庫、文件系統(tǒng)和存儲介質(zhì)上；b)應根據(jù)需求對數(shù)據(jù)庫采取整庫加密、表加密、字段加密等方式；c)應采用符合GM/T0054等國家相關(guān)標準規(guī)定的密碼技術(shù)；d)宜根據(jù)需求實現(xiàn)數(shù)據(jù)分級加密。共享數(shù)據(jù)使用方在共享數(shù)據(jù)存儲過程中對審計的安全要求包括：a)應對數(shù)據(jù)存儲過程的身份鑒別、策略管理、備份作業(yè)、恢復作業(yè)等事件，以及管理員和用戶的各GB／T39477—2020類操作進行安全審計；b)審計記錄至少應包括事件的日期和時間、事件類型、主體身份、事件內(nèi)容、事件的結(jié)果（如成功或失?。┑葍?nèi)容；c)應保證只有經(jīng)過授權(quán)的人員才能查詢和訪問相應的審計記錄，并且只有經(jīng)過授權(quán)的管理員才能對審計記錄進行檢索、導出和刪除操作；d)應保存日志記錄和審計報告至少6個月。共享數(shù)據(jù)使用方對共享數(shù)據(jù)進行備份的安全要求包括：a)應制定數(shù)據(jù)的備份策略和恢復策略，備份策略至少指明備份數(shù)據(jù)的放置場所、介質(zhì)替換頻率、數(shù)據(jù)離站運輸方法、備份周期／頻率、備份范圍等；b)應具備本地數(shù)據(jù)備份與恢復功能，備份介質(zhì)場外存放，敏感數(shù)據(jù)備份時應進行加密；c)應對敏感數(shù)據(jù)采取異地備份方式，利用通信網(wǎng)絡將數(shù)據(jù)定時批量傳送至備用場地，備份傳輸時應采用加密機制保護；d)應支持數(shù)據(jù)管理系統(tǒng)的系統(tǒng)級備份和回滾，應根據(jù)數(shù)據(jù)安全等級要求確定備份周期，最長不超e)應具備驗證備份數(shù)據(jù)可用性的能力。共享數(shù)據(jù)使用方對共享數(shù)據(jù)進行保存和恢復的安全要求包括：a)對于原始數(shù)據(jù)、敏感數(shù)據(jù)應按國家法律規(guī)定期限保存，可以采用離線備份和歸檔方式保存；b)應根據(jù)數(shù)據(jù)安全等級要求確定故障應用系統(tǒng)應急接管的時間，最長不超過5min;c)應設置數(shù)據(jù)恢復策略，結(jié)構(gòu)化數(shù)據(jù)可采用數(shù)據(jù)庫回滾方式，非結(jié)構(gòu)化數(shù)據(jù)恢復可采用日志備份恢復和文件系統(tǒng)備份恢復相結(jié)合方式；d)數(shù)據(jù)管理系統(tǒng)備份應保存3個連續(xù)的版本以上，恢復可采用系統(tǒng)回滾方式；e)應具備將備份數(shù)據(jù)恢復到與備份對象不同的主機或目錄中的功能，支持在虛擬機之間、物理機之間以及虛擬機與物理機之間的數(shù)據(jù)遷移；f)應支持選擇不同備份時間點的備份數(shù)據(jù)進行恢復；g)應支持選擇全部或部分備份數(shù)據(jù)進行恢復；h)在數(shù)據(jù)恢復過程中應進行數(shù)據(jù)完整性校驗。數(shù)據(jù)銷毀功能應滿足數(shù)據(jù)銷毀安全技術(shù)要求。共享數(shù)據(jù)使用方對共享數(shù)據(jù)銷毀的安全要求包括：a)應建立符合數(shù)據(jù)銷毀策略和管理制度的銷毀審批機制，記錄審批過程；b)應在銷毀審批后以不可逆方式銷毀數(shù)據(jù)內(nèi)容；c)應對數(shù)據(jù)銷毀處理過程相關(guān)的操作進行記錄，以滿足安全審計的要求。6.3.5數(shù)據(jù)使用監(jiān)管數(shù)據(jù)使用監(jiān)管功能應滿足使用監(jiān)管安全技術(shù)要求。在共享數(shù)據(jù)使用過程中，各方對數(shù)據(jù)使用監(jiān)管的安全要求包括：a)共享數(shù)據(jù)提供方應基于國家相關(guān)法律法規(guī)對數(shù)據(jù)使用和分析處理的相關(guān)要求建立數(shù)據(jù)使用監(jiān)GB／T39477—2020管機制，約束數(shù)據(jù)使用方對共享數(shù)據(jù)的正當使用；b)共享數(shù)據(jù)使用方應對共享數(shù)據(jù)使用行為進行記錄，并按照約定的數(shù)據(jù)使用規(guī)則進行行為模型或策略模型等匹配檢查，對異常使用進行即時發(fā)現(xiàn)、告警并制止；c)共享數(shù)據(jù)使用方應建立數(shù)據(jù)使用反饋機制，對數(shù)據(jù)資產(chǎn)變化、訪問行為、數(shù)據(jù)流向、數(shù)據(jù)敏感程度變化等向共享數(shù)據(jù)提供方或共享數(shù)據(jù)交換服務方進行反饋；d)共享數(shù)據(jù)交換服務方應對接收的共享數(shù)據(jù)使用方的數(shù)據(jù)使用監(jiān)管反饋進行統(tǒng)計分析，對異常使用進行告警，并通過有效通知機制告知共享數(shù)據(jù)提供方。7基礎設施安全技術(shù)要求支撐政務信息共享交換業(yè)務的基礎網(wǎng)絡、云平臺系統(tǒng)、前置交換子系統(tǒng)、資源共享網(wǎng)站等基礎設施的通用安全要應符合GB/T22239—2019中的第三級安全要求。7.2基礎網(wǎng)絡除通用要求外，有共享交換需求的各部門局域網(wǎng)還應符合國家電子政務外網(wǎng)安全標準。7.3政務信息共享交換云平臺除通用要求外，政務信息共享交換云平臺的安全要求還包括：a)應滿足GB/T31168—2014中的增強級安全要求；b)應對數(shù)據(jù)采集終端、數(shù)據(jù)源設備與政務信息共享交換云平臺的邊界進行認證；c)應實現(xiàn)政務信息共享交換云平臺不同用戶間的邏輯隔離；d)應對容器采用保護機制防止越權(quán)逃逸；e)應具備基于云平臺的整體防護機制，包括防病毒、入侵防御、訪問控制等；f)應提供對應用數(shù)據(jù)資源操作的安全審計，審計數(shù)據(jù)應隔離存放；g)應實現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡設備等的防病毒、系統(tǒng)補丁集中管理；h)應具備對整個平臺基礎環(huán)境的實時安全監(jiān)測、事件分析、威脅預警能力。7.4前置交換子系統(tǒng)除通用要求外，前置交換子系統(tǒng)的安全要求還包括：a)應具備對數(shù)據(jù)交換過程管控的機制，實現(xiàn)實時監(jiān)控，并對數(shù)據(jù)完整性、合法性等進行校驗；b)應進行主機安全加固；c)應實現(xiàn)授權(quán)登錄、系統(tǒng)鑒權(quán)、過程管控；d)應具備日志審計管理分析功能；e)應具備整體防護機制，包括防止病毒、滲透入侵、APT、惡意攻擊等。7.5資源共享網(wǎng)站除通用要求外，資源共享網(wǎng)站的安全要求還包括：a)應符合政府網(wǎng)站建設與管理規(guī)范、電子政務門戶網(wǎng)站建設的相關(guān)標準要求；b)應保障網(wǎng)站應用安全、域名安全；c)應具備對網(wǎng)站的實時監(jiān)控能力和應急響應機制；d)應具備對用戶訪問行為審計的能力。GB／T39477—2020附錄A（資料性附錄）政務信息共享交換平臺一般框架政務信息共享交換平臺作為政務信息資源共享交換的樞紐部署在國家電子政務外網(wǎng)公共區(qū)，為國家級政府部門及地方單位提供信息資源目錄匯集管理、信息資源共享交換、業(yè)務協(xié)同應用支撐等服務。政務信息共享交換平臺由國家、省級、地市級等多級數(shù)據(jù)共享交換平臺組成。如圖A.1所示，各級共享交換平臺橫向?qū)铀爡^(qū)域政務部門信息資源，縱向多級連通，形成橫向聯(lián)通、縱向貫通的數(shù)據(jù)共享交換體系。圖A.1政務信息共享交換平臺數(shù)據(jù)共享交換體系如圖A.2所示，政務信息共享交換平臺與資源共享業(yè)務相關(guān)的業(yè)務核心系統(tǒng)包括：資源共享網(wǎng)站、資源目錄系統(tǒng)、共享信息管理系統(tǒng)、信息交換系統(tǒng)以及歸集信息管理系統(tǒng)。具體如下：a)資源共享網(wǎng)站是共享交換平臺在政務外網(wǎng)上的門戶，提供可共享數(shù)據(jù)展示、在線檢索、資源申請等服務；b)資源目錄系統(tǒng)提供政務信息資源的目錄編輯、管理等功能；c)共享信息管理系統(tǒng)提供政務共享數(shù)據(jù)的共享接口管理、資源訪問申請與請求審核等功能，并指派信息交換系統(tǒng)完成所需的信息交換；d)信息交換系統(tǒng)是支撐跨部門、跨區(qū)域、跨層級的信息共享及業(yè)務協(xié)同的服務系統(tǒng)。其圍繞各類應用，滿足部門間的信息匯聚和傳遞、在線實時信息的交換、部門間業(yè)務協(xié)同等需求。信息交換系統(tǒng)主要包括交換管理、交換傳輸、前置交換和交換橋接等部件；GB／T39477—2020e)歸集信息管理系統(tǒng)負責收集政務信息數(shù)據(jù)并進行集中管理，通過數(shù)據(jù)歸集、數(shù)據(jù)清洗、數(shù)據(jù)分析、數(shù)據(jù)存儲等數(shù)據(jù)服務機制構(gòu)建政務信息資源基礎庫、主題庫等，為各個部門提供綜合數(shù)據(jù)共享服務能力。圖A.2政務信息共享交換平臺一般框架GB／T39477—2020附錄B（資料性附錄）政務信息共享交換模式政務信息共享交換有如下三種模式：a)直通模式：共享數(shù)據(jù)使用方通過政務信息共享交換平臺的服務進行資源查詢、定位后，向共享交換平臺提出資源訪問申請。共享交換平臺對資源訪問申請進行審核。在共享交換平臺對資源訪問申請完成授權(quán)或者根據(jù)需要由共享數(shù)據(jù)提供方完成授權(quán)后，資源數(shù)據(jù)從共享數(shù)據(jù)提供方直接傳遞到共享數(shù)據(jù)使用方。b)代理模式：共享數(shù)據(jù)使用方通過政務信息共享交換平臺的服務進行資源查詢、定位后，向共享交換平臺提出資源訪問申請。共享交換平臺對資源訪問申請進行審核。在共享交換平臺對資源訪問申請完成授權(quán)或者根據(jù)需要由共享數(shù)據(jù)提供方完成授權(quán)后，共享數(shù)據(jù)提供方將申請所需的數(shù)據(jù)傳遞到共享交換平臺的信息交換系統(tǒng)并進一步傳遞給共享數(shù)據(jù)使用方。c)服務模式：政務信息共享交換平臺從各共享數(shù)據(jù)提供方收集授權(quán)的資源數(shù)據(jù)后，進行數(shù)據(jù)處理，形成并存儲各類基礎庫、主題庫等資源數(shù)據(jù)。共享數(shù)據(jù)使用方通過共享交換平臺的服務進行資源查詢、定位后，向共享交換平臺提出資源訪問申請，然后共享交換平臺對資源訪問申請進行審核，審核通過后共享數(shù)據(jù)使用方通過授權(quán)