杭州企业自助建站系统,自贡建设投资有限公司网站,烟台网站建设招聘,最新消息范围
本标准规定了办公信息系统的安全基本技术要求。
本标准适用于指导党政部门的办公信息系统建设#xff0c;包括在系统设计、产品采购、系统集成等方面应遵循的基本原则#xff0c;以及应满足的基本技术要求。涉密办公信息系统的建设管理应依据相关国家保密法规和标准要…范围
本标准规定了办公信息系统的安全基本技术要求。
本标准适用于指导党政部门的办公信息系统建设包括在系统设计、产品采购、系统集成等方面应遵循的基本原则以及应满足的基本技术要求。涉密办公信息系统的建设管理应依据相关国家保密法规和标准要求实施。
规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件仅注日期的版本适用于本文件。凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件。
GB/T 2887-2011 计算机场地通用规范
GB/T 18018 信息安全技术 路由器安全技术要求
GB 18030-2005 信息技术 中文编码字符集
GB/T 20272 信息安全技术 操作系统安全技术要求
GB/T 20273 信息安全技术 数据库管理系统安全技术要求
GB/T 20275-2013 信息安全技术 入侵检测系统技术要求和测试评价方法
GB/T 20281-2015 信息安全技术 防火墙技术要求和测试评价方法
GB/T 21028-2007 信息安全技术 服务器安全技术要求
GB/T 21050-2007 信息安全技术 网络交换机安全技术要求评估保证级3
GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求
GB/T 25069-2010 信息安全技术 术语
GB/T 26856-2011 信息技术 中文办公软件基础要求及符合性测试规范
GB/T 28452-2012 信息安全技术 应用软件系统通用安全技术要求
GB/T 29240-2012 信息安全技术 终端计算机通用安全技术要求与测试评价方法
GB/T 33190-2016 电子文件存储与交换格式 版式文档
术语和定义
GB/T 25069-2010中界定的以及下列术语和定义适用于本文件。
办公信息系统 office information system
办公信息系统由服务器、桌面PC、操作系统、数据库管理系统、应用服务器中间件、办公软件、网络设施、应用软件系统等软硬件组成通过数据的收集、存储、传递、管理和处理等手段提供办公服务的信息系统。
用户相关信息 user related information
使用办公信息系统的自然人或法人的信息及其元数据。用户相关信息包括用户个人信息办公信息系统中用户生成的文档、程序、多媒体资料用户通信的内容、地址、时间产品的配置、运行及位置数据等。
第三方测试机构 third party test organization
与产品供应方、产品应用方等相关各方均独立的专业测试机构。
缩略语
下列缩略语适用于本文件
BIOS基本输入输出系统Basic Input Output System
CA认证授权Certificate Authority
CPU中央处理器 Central Processing Unit
PC个人计算机Personal Computer
USB通用串行总线Universal Serial Bus
基本原则
标准符合原则
办公信息系统所采用的软硬件产品在功能性、性能、可靠性、安全性等方面应符合相关的国家标准。
开放兼容原则
办公信息系统所采用的软硬件产品应在同类产品之间可替换并支持两种或以上操作系统架构相关产品之间应具备良好的兼容适配性保证办公信息系统的互操作性和可移植性。
安全性原则
办公信息系统软硬件产品提供商应当为其产品、服务持续提供安全维护不得在产品中预置、加载禁用安全机制或绕过安全机制的功能承诺在产品维护升级更新活动中不侵害用户信息安全收集用户信息前应取得用户的明示同意不将搜集掌握的用户相关信息在境外存储和处理不得泄露和非法使用在规定或者当事人约定的期限内不得终止提供安全维护。
功能最小化原则
办公信息系统所采用的软硬件产品的功能应满足办公实际需求相关产品应支持从功能上进行裁剪避免与办公应用无关的冗余功能。
透明可验证原则
办公信息系统所采用的软硬件产品应接受国家认定的第三方测试机构的检测和验证以证明其与相关标准的符合性厂商应为检测验证提供其产品的相关接口、协议、加密方式等第三方测试机构在检测和验证过程中应维护企业知识产权、商业秘密和用户信息不得将企业提供的技术细节用于检测和验证以外的目的。
技术要求
概述
本章对办公信息系统部署和运维的物理环境提出了要求并对办公信息系统的重要组成部分包括基础软硬件产品、网络设施、应用软件系统提出了要求。
物理环境
办公信息系统的物理环境应满足以下要求
a) 办公信息系统部署、运维的机房建设应符合GB/T 2887-2011的相应要求
b) 办公信息系统部署、运维的物理环境应符合GB/T 21052-2007的相应要求。
基础软硬件产品
硬件产品
服务器
服务器硬件指标
服务器硬件指标应符合GB/T 21028-2007中第三级及以上安全要求。
BIOS
服务器的BIOS要求主要包括
a) BIOS的配置界面应支持中文显示
b) BIOS应支持固件软件安全升级
c) 针对CPU及芯片组固件驱动、操作系统内核等BIOS应支持上述设备经过国家认可的第三方CA机构颁发的代码签名验证。
桌面PC
桌面PC硬件指标
桌面PC硬件指标主要包括
a) 应符合GB/T 29240-2012中安全技术要求第三级及以上要求
b) 应提供禁止无线网络模块、红外模块、蓝牙模块、接入USB设备的功能。
BIOS
桌面PC的BIOS要求主要包括
a) BIOS的配置界面应支持中文显示
b) BIOS应支持固件软件安全升级
c) 针对CPU及芯片组固件驱动、操作系统内核等BIOS应支持上述设备经过国家认可的第三方CA机构颁发的代码签名验证。
软件产品
操作系统
操作系统的技术要求主要包括
a) 字符编码应符合GB 18030-2005的规定
b) 操作系统及操作系统相关的安全部件应符合GB/T 20272中的三级及以上要求
c) 应拥有灵活的访问控制策略提供文件系统完整性检查工具监视重要的文件和目录发生的改变
d) 应提供操作系统防火墙配置工具
e) 应支持口令、数字证书等多种身份认证机制
f) 应支持底层BIOS对操作系统的安全验证及启动
g) 不应自行安装不带有有效证书签名的软件和固件组件
h) 应建立策略来管理软件的安装防止未授权软件安装
i) 应强制执行最低限度密码复杂度保障账户安全
j) 应在操作系统中安装防篡改保护程序保护系统组件和系统服务
k) 应支持进程级独立的安全审计功能能够记录所有成功和不成功的操作
l) 应支持保护系统残留信息安全
m) 不应存在隐蔽接口不应加载能够禁用安全机制或绕过安全机制的组件
n) 操作系统厂商应为产品测试提供所供应产品的接口、协议、加密方式等
o) 操作系统厂商应支持按用户的需求对所供应产品的功能进行裁剪。
数据库管理系统
数据库管理系统的技术要求主要包括
a) 字符编码应符合GB 18030-2005的规定
b) 应符合GB/T 20273的规定
c) 数据库管理系统厂商应为与其他厂商数据库之间的数据迁移提供支持
d) 不应存在隐蔽接口不应加载能够禁用安全机制或绕过安全机制的组件
e) 数据库管理系统厂商应为产品测试提供所供应产品的接口、协议、加密方式等
f) 数据库管理系统厂商应支持根据用户需求对所供应产品的功能进行裁剪。
应用服务器中间件
应用服务器中间件的技术要求主要包括
a) 字符编码应符合GB 18030-2005的规定
b) 应支持对应用的部署、调试和卸载应提供对系统性能进行监控和调优、日志管理的管理工具宜提供支持Web组件开发的可视化集成开发工具
c) 应支持保证数据源恢复和保证事务一致性的系统故障恢复能力
d) 应支持对进出的网络数据流进行实时监控
e) 应支持对登录用户进行身份标识和鉴别
f) 应支持访问控制功能控制用户对服务器数据的访问
g) 不应存在隐蔽接口不应加载能够禁用安全机制或绕过安全机制的组件
h) 应用服务器中间件厂商应为产品测试提供所供应产品的接口、协议、加密方式等
i) 应用服务器中间件厂商应支持按用户需求对所供应产品的功能进行裁剪。
办公软件
办公软件的技术要求主要包括
a) 字符编码应符合GB 18030-2005的规定
b) 应符合GB/T 26856-2011的规定
c) 版式文档应符合GB/T 33190-2016的规定
d) 应提供支持多种浏览器的插件
e) 应提供对文件进行加密的选项
f) 不应存在隐蔽接口不应加载能够禁用安全机制或绕过安全机制的组件
g) 办公软件厂商应为产品测试提供所供应产品的接口、协议、加密方式等
h) 办公软件厂商应支持根据用户需求对所供应产品的功能进行裁剪。
网络设施
主要网络设备
交换机
交换机应符合GB/T 21050-2007的规定。
路由器
路由器应符合GB/T 18018中第三级安全要求的规定。
主要安全设备
防火墙
防火墙应符合GB/T 20281-2015的规定。
入侵检测系统
入侵检测系统应符合GB/T 20275-2013中技术要求部分的规定。
应用软件系统
功能性
应用软件系统应坚持功能最小化原则基本功能要求如下
a) 系统应支持公文管理功能 应支持公文流转功能可包含拟稿、核稿、编辑、审核、撤销、退回、签发、选择下一环节、发送、签收、会签、登记、拟办、审阅、分办、承办、办结、归档等 应支持增加和删除附件功能 应支持流程跟踪和查看功能 应支持添加正文功能 应支持保存公文草稿、查询公文、删除公文功能 应支持催办设置功能。 c) 系统应支持归档管理功能 应支持公文归档功能 应支持归档查询功能。 d) 系统应支持公告功能 应支持公告的新建、修改、删除、发布功能。 e) 系统应支持通知功能 应支持通知的新建、修改、删除、发布功能。 f) 系统应支持会议管理功能 应支持会议室管理功能包括新建、修改、删除、查询会议室 应支持会议安排功能包括新建、修改、删除、查询、打印会议信息。 g) 系统应支持个人工作区功能 应支持个人待办、个人已办功能。 h) 系统应支持个人信息管理功能 应支持修改个人信息功能 应支持修改个人密码功能。 i) 系统应支持在线人员列表功能 应支持在线人员的姓名、所属部门、职位信息等。 j) 系统应支持后台管理员用户管理员支持用户管理、统一权限管理等功能 应支持用户的新建、修改、删除功能 应支持基于功能授权功能 应支持基于用户授权功能。
安全性
应用软件系统安全性技术要求如下
a) 应符合GB/T 28452-2012中应用软件系统安全技术要求第三级及以上要求
b) 不应存在隐蔽接口不应加载能够禁用安全机制或绕过安全机制的组件
c) 应在用户明示同意后方可收集用户相关信息并在收集用户相关信息时显示提示信息
d) 在应用软件系统维护升级更新活动中不得侵害用户信息安全。
可靠性
应用软件系统可靠性技术要求如下
a) 系统应支持7×24h的稳定无故障运行
b) 系统应支持数据有效性检验功能保证输入的数据格式或长度符合系统设定的要求
c) 对于用户非法的输入或操作系统不崩溃、不退出
d) 系统应支持自动保护功能当故障发生时能自动保护当前所有状态保证系统能够进行恢复。
易用性
应用软件系统易用性技术要求如下
a) 系统应提供用户使用手册且手册中的功能描述与软件的实际功能一致
b) 系统研制过程中形成的所有文档语言简练、前后一致、易于理解以及语句无歧义
c) 系统页面布局要合理不宜过于密集或过于空旷合理利用空间
d) 系统的提示、警告、或错误说明应该清楚、明了、恰当避免歧义
e) 编辑页面中的必输项应给出标识
f) 对于用户非法的输入或操作系统应给予提示信息且提示信息能引导用户进行正确输入或操作
g) 对可能造成数据无法恢复的操作系统应给予提示信息给用户放弃选择的机会
h) 日期类型数据输入应提供日历选择功能
i) 系统应支持CtrlA全选、CtrlC拷贝、CtrlV粘贴、CtrlX剪切、CtrlZ撤消等快捷操作
j) 对于有多个输入框的页面系统应支持通过Tab键变更光标焦点按照从左到右、从上到下的原则。
_________________________________
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kwzaDdKF-1691328184650)(http://public.host.github5.com/media/fengmian.png)]
延伸阅读
更多内容 可以 办公信息系统安全基本技术要求. 进一步学习
联系我们
GB 40881-2021 煤矿低浓度瓦斯管道输送安全保障系统设计规范.pdf
