Q/GDW 1775-2012 标准规范下载简介
Q/GDW 1775-2012 互联网环境下的数据安全传输技术规范.pdfQ/GDW1775—2012
互联网环境下的数据安全传输技术规范
别百 范围. 规范性引用文件· 术语与定义 4符号、代号和缩略语 安全防护总体框架. 6安全防护要求 附录A(资料性附录) 互联网传专输典型应用场景 编制说明
QX/T 498-2019标准下载互联网环境下的数据安全传输技术规范
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T20270一2006信息安全技术网路基础安全技术要求 YD/T1466—2006IP安全协议(IPSec)技术要求
以下缩略语适用于本标售 DOS/DDOS拒绝服务/分布式拒绝服务(DenialofService/DistributedDenialofService) IPSecIP安全协议(IPSecurity) SSL安全套接层(SecureSocketLayer) TLS传输层安全(TransportLayerSecurity) VPN虚拟专用网络 (Virtual Private Network)
应用场景参照附录A,基于互联网的信息安全传输主要从终端安全、传输安全和边界安全三个方面
针对信息安全传输部分,对客户端程序、口令保护、登录控制和身份鉴别辅助安全措施提出以下安全 要求:
6. 1.1客户端程序安全
国家电网公发布的客户端程序应采取以下安全措施: a 客户端程序上线前及上线后版本更新时应进行严格的代码安全测试。如客户端程序是外包第三方 机构开发,应要求开发商通过权威测试机构进行代码安全测试; 客户端程序应具有抗逆向分析、抗反汇编等安全性防护措施,防范攻击者对客户端程序的调试、 分析和算改: C 客户端程序的临时文件中不应出现务安全的口令、密钥及业务数据等信息,临时文件包括但不 限于cookies 客户端程序应防范恶意程序获取或篡改交互数据,如使用浏览器接口保护控件进行安全防范: e)客户端程序应保护在客户端启动的数据传输和交互的进程,防止非法程序获取该进程的访问权限
6. 1. 3 登录控制
国家电网公司对外服务类系统应为终端用户提供以下登录控制措施: a)应限制连续失败登录次数,例如5次以下,超过限定次数应锁定登录权限; b)退出登录或客户端程序、浏览器页面关闭后,应立即终止会话,保证无法通过后退、直接输入访 问地址等方式重新进入登录后的业务信息页面; c)退出登录时应提示用户取下专用辅助安全设备,例如,USBKey
身份鉴别辅助安全措施要
应采取两种或两种以上组合的鉴别技术对应用系统登录用户进行身份鉴别,可采用USBKey,文件
6. 1. 4. 1USB Key 要求
DB22/T 2229-2018标准下载a)USBKey应符合国家密码管理局《智能IC卡及智能密码钥匙密码应用接口规范》的要求; b)USBKey应支持SM1、SM2等国家密码管理局认可的加密算法; c)USBKey应通过权威测试机构的安全检测。
6.1.4.2文件证书要求
文件证书应采用X.509v3的格式:
b)文件证书DN编码项应符合国家电网公司统一数字证书编码要求。 6.1.4.3动态口令卡/令牌要求 a)动态口令长度至少为6位; b)动态口令卡/令牌应与客户唯一绑定: c)动态口令卡应使用涂层覆盖等方法保护口令; d)动态口令卡应设置有效期,超过有效期应作废; e)动态口令卡的口令位置坐标应由服务器端随机生成: f)动态口令令牌应通过权威测试机构的安全检测; 去应经过国家主管部门认定
1.4.3动态口令卡/令牌
a)手机动态口令开通时NB/T 20523-2018 核电文件档案管理要求,应验证客户身份并登记手机 有效验证: b)手机动态口令应设置有效期,超过有效期应立即作废;