DB52/T 1542.2-2021 标准规范下载简介
DB52/T 1542.2-2021 政务服务平台 第2部分:应用技术规范.pdfICS 01.040.03 CCS A 12
B52/T 1542. 2—2
Governmentserviceplatform Part2:Applicationtechnical specifications
范围 规范性引用文件 术语和定义 缩略语 概述 统一接入技术 权限管理技术, 行为审计技术 统一身份认证技术 10统一电子印章技术 11统一电子证照技术
京19BJ1-1:工程做法.pdf本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件是DB52/T1542的第2部分。DB52/T1542已经发布了以下部分: 一第2部分:应用技术规范。 一第3部分:运维管理规范。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由贵州省大数据发展管理局提出。 本文件由贵州省大数据标准化技术委员会归口。 本文件起草单位:贵州省机械电子产品质量检验检测院、贵州省人民政府政务服务中心、中电科大 数据研究院有限公司(提升政府治理能力大数据应用技术国家工程实验室)、贵州省信息中心、云上贵 州大数据产业发展有限公司、贵阳块数据城市建设有限公司、贵州多彩宝互联网服务有限公司。 本文件主要起草人:张洋、刘彦嘉、张婧慧、王墩、高山、丁剑飞、昌攀、王儒强、邵建平、宿睿 智、唐昶、彭亚松、姚磊、詹威威、陆莹、刘军、李飞、刘汪洋、黄兵、徐明春、雷伟、杨通全、姚茂 峰、陈驰、常乒、张瑶、饶汉卿、冉成成、李科君、董厚泽。
务服务平台第2部分:应用技
本文件规定了政务服务平台应用技术的术语和定义、缩略语、概述、统一接入技术、权限管理技术 行为审计技术、统一身份认证技术、统一电子印章技术、统一电子证照技术。 本文件适用于政务服务平台的应用
5.1应用技术规范层级
应用技术规范在政务服务平台(以下简利 开发过程中的层级架构图见图1。
DB52/T 1542.22021
5.2应用技术规范内容
图1应用技术规范层级架构图
由统一接入技术规范、权限管理技术规范、行为审计技术规范、统一身份认证技术规范、统一电子 印章技术规范和统一电子证照技术规范组成。
6.1.1接入接口应支持XML和JSON数据格式要求。XML格式遵循XML1.0第5版规范,JSON格式遵循 RFC4627规范;支持JAVA、Python、C++、C#等主流的开发语言。 6.1.2接入接口应支持SDK或API模式,支持WebService、Restful两种接口风格,提供详细的接口 技术文档。 6.1.3业务应用系统支持兼容HTML5标准规范的浏览器,移动端APP程序支持Android和I0S操作系 统。
政务服务平台应用系统开发过程中,按照统一接入技术规范总体流程图进行操作,分为接口使月 一接入应用技术规范和接口提供方三种不同的角色,分阶段完成不同角色的职责,统一接入技术 程图见图2。
图2统一接入技术流程图
6.2.1应用系统在调用服务接口时,
7.1.1应用开发、操作、运维等人员由于各自职责/职能的不同,应制定与管理制度、管理规范协调配 套的功能访问权限,保障信息资源的安全访问和使用。 7.1.2应按照信息资源访问能力对应用开发、操作、运维等人员进行等级划分,在信息资源管理系统 中创建账户和分配权限,并将配置好的账户信息颁发给对应的应用开发、操作、运维等人员,约束用户 资源调用。 7.1.3应依托数据库系统平台提供的安全管理功能,结合友好的人机交互界面进行可视化管理。 7.1.4权限管理应包括应用开发、操作、运维等人员的增加、删除、修改功能,以及对读/写数据库权 限的授予、撤销、更改、资源访问账户配置管理、资源访问的审计和跟踪等功能。
DB52/T 1542.22021
a)系统应用访问权限:判断应用开发、操作、运维等人员是否具备访问系统的权限; b)功能访问权限:判断应用开发、操作、运维等人员是否具备功能的新增、修改、删除和查找权 限。
7.2.2 系统应用访问权限
应用开发、操作、运维等人员在调用政务服务平台的系统应用时,应通过调用如下接口获取用户 有指定系统访问权限: )权限访问列表接口:根据用户登录名称获取该用户所具有访问权限的应用列表: )权限验证接口:根据用户登录名称和应用标识,验证该用户是否具有此应用的访问权限
7.2.3功能访问权限
应用开发、操作、运维等人员在调用政务服务平台组成系统的功能接口时,功能访问权限由各应用 系统根据本系统的需求进行控制,应包括以下权限控制: a 功能权限控制:基于ACL、RBAC等多种方式实现权限控制,权限控制粒度应到每一个功能点, 基于角色可自由分配权限; b 菜单权限控制:基于角色、菜单实现用户菜单级的授权管理,实现菜单权限可自由分配; C)数据权限控制:根据业务需求,对数据进行分类,做到数据权限的控制。
在事前控制、过程监督、事后追溯和闭环整改的机制下记录、分析和检查用户行为及系统状况,判 断其是否符合预定的安全策略,通过分析和检查发现系统存在的安全漏洞、潜在的安全威胁,并对其造 成的后果进行分析和评估,根据审查结论进行整改,降低政务服务平台安全风险,并追求系统安全破坏 者的责任。
8. 2 行为审计分类
8.2.1业务数据日志记录
业务数据日志应记录以下几方面系统业务数据的操作信息: a) 客户端IP地址; b) 登录用户标识; C 行为分类,如用户行为、系统行为; d 动作名称,如登录、退出; e) 操作的应用系统名称; f) 操作结果,如成功、失败; g 操作安全级别,登录成功或退出安全级别为:1;登录失败安全级别为:10; h) 备注,
8. 2. 2 系统管理日志记录
系统管理员可进行菜单注册、角色维护、角色授权、人员授权等操作。系统管理日志记录 下几方面内容: a)客户端 IP 地址:
b)行为分类,如用户行为、系统行为等; c)动作名称,如增加、删除、修改、启动、停止等; d 操作的应用系统名称; 操作的对象; 操作结果,如成功、失败; g 操作安全级别,操作安全级别分为1~10级,操作行为对系统安全的影响越严重,安全级别越 高,数字越大; h)备注。
.2.3用户行为且志记
用户行为包括对数据的增加、删除、修改以及重要数据的查询。用户行为日志记录的内容应包括以 几个方面: a 客户端IP地址; b) 行为分类,如:用户行为、系统行为等; 动作名称,如:增加、删除、修改、启动、停止等; d 操作的应用系统名称; e) 操作的对象; 操作结果,如:成功、失败; g 操作安全级别,操作安全级别分为1~10级,操作行为对系统安全的影响越严重,安全级别越 高,数字越大; h)备注。
用户管理应实现政务服务平台应用环境下的统一用户身份管理,包括用户基本信息管理、组织机构 信息管理、认证凭证管理、账号生命周期管理等。用户管理应满足以下要求: a)支持用户集中管理和分级管理模式; b) 实现对原有政务服务平台的用户信息整合,构建完整、统一、可信的新用户资源信息库,可根 据应用需要进行数据同步; C 支持用户凭证、角色、机构等相关信息的管理; d 提供用户凭证信息生命周期的管理,支持凭证的创建、注销、修改、删除等操作; 提供用户注册功能,支持用户信息的批量导入; f 支持用户分组管理模式,可基于组织机构或角色对用户进行分组管理; g 按照管理、操作、审计三权分立的设计原则,针对不同的管理要求设立相应的平台管理员,应 用系统管理员和安全审计员三类管理角色,并提供增加、删除、修改、查询功能。
认证管理应实现对政务服务平台的认证整合,可以针对政务服务平台的不同安全需求,实现多种登 录认证方式,同时具有高级别认证方式向下兼容低级别认证方式的特性。认证管理应满足以下要求: a)依据政务服务平台的不同安全需求,制定不同的认证等级策略,如提供认证安全等级向下兼容 策略:
DB52/T 1542.22021
b)系统支持用户名/口令和数字证书两种登录认证方式,按GB/T25064一2010中的规定设计数字 证书: c)系统应具有可扩展性,可快速实现对动态口令、生物识别等其他认证方式的支持; d)安全认证服务的实现方式友好,通过认证服务接口,实现对用户身份的统一认证管理
授权管理应实现统一的访问控制和权限管理,降低政务服务平台维护的复杂度,减少人为原因造成 安全性缺失,保障政务服务平台维护的安全性和便利性。授权管理应满足以下要求: a)支持集中授权管理和分级授权管理模式; D 支持角色组管理机制,实现对用户的分组授权; 可按需对政务服务平台的授权粒度进行安全策略配置,支持政务服务平台的粗粒度授权和业务 角色级的细粒度授权; 支持分级授权管理模式[福建]中心渔港物流中心楼房灌注桩施工组织设计,可基于组织机构完成政务服务平台的分级授权管理; e 支持业务操作和安全审计权的分离,确保统一认证管理系统的自身运行安全。
应能实现对用户基本信息变更和访问控制授权操作进行电子化审批。审批管理应满足以下要求: a)每一步的审批记录及审批人都应被详细记录; b)应支持记录结果被综合查询和统计分析; c)关键的审批步骤应增加数字签名,达到确保责任落实到人的要求
10 统一电子印章技术
10.1电子印章数据格式
电子签章数据结构由待电子签章数据、电子印章所有者数字证书、签名算法标识、签名值和时间 选)组成,其数据结构见图3
图3电子签章数据结构图
D.2电子印章签章应用
图4待电子签章数据结构图
电子印章签章应用流程见图5。电子印章签章应用流程如下: a)准备电子印章,验证电子印章的正确性和有效性: 选择拟进行电子签章的电子印章,验证印章的正确性和有效性; 选择拟进行电子签章的电子印章所有者证书GB/T 40817.2-2021 核电主泵电机技术条件 第2部分:屏蔽泵异步电机.pdf,可验证电子印章所有者证书有效性。验证项 至少包括:证书信任链、证书有效期、密钥用法是否正确: