DB23/T 3649.3-2023 政府网站建设管理规范 第3部分：集约化平台安全防护

ICS35.240

CCSL60

23

黑龙江省地方标准

DB23/T3649.3—2023

政府网站建设管理规范第3部分：集约化

平台安全防护

2023-11-30发布2023-12-29实施

黑龙江省市场监督管理局  发布

DB23/T3649.3—2023

目次

前言..................................................................................II

1范围.................................................................................1

2规范性引用文件.......................................................................1

3术语和定义...........................................................................1

4安全防护总体要求.....................................................................1

5安全技术措施要求.....................................................................2

6安全管理措施要求....................................................................10

7安全定级与测评......................................................................12

I

DB23/T3649.3—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件是DB23/T3649《政府网站建设管理规范》的第3部分。DB23/T3649已经发布了以下部分：

——第1部分：集约化平台基本要求

——第2部分：统一信息资源库

——第3部分：集约化平台安全防护

——第4部分：集约化平台与政务服务平台对接

——第5部分：网站

——第6部分：元数据

——第7部分：集约化平台内容安全审核

——第8部分：集约化平台运维

——第9部分：集约化平台政府数据共享开放

——第10部分：集约化平台互动交流

——第11部分：集约化平台政务信息公开

本文件由黑龙江省人民政府办公厅提出并归口。

本文件起草单位：黑龙江省数字经济研究会，黑龙江省标准化研究院。

本文件主要起草人：杨陆、刘琳、吕秋梦。

II

DB23/T3649.3—2023

政府网站建设管理规范第3部分：集约化平台安全防护

1范围

本文件给出了了省、市（地）两级政府网站集约化管理平台的安全防护总体框架以及安全技术措施、

安全管理措施、安全定级与测评要求。

本文件适用于黑龙江省省级、市（地）级政府网站集约化平台安全防护体系建设。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T22239-2019信息安全技术网络安全等级保护基本要求

GB/T22240-2020信息安全技术网络安全等级保护定级指南

GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求

3术语和定义

GB/T22239-2019界定的以及下列术语和定义适用于本文件。

3.1

网站用户

网站的访问者，既包括来自外部、访问获取网站资源的前台用户，也包括负责网站系统管理、内容

管理的后台用户。

3.2

网络安全

通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于

稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

[来源：GB/T22239-2019，3.1]

3.3

安全防护能力

能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。

[来源：GB/T22239-2019，3.2]

4安全防护总体要求

4.1安全防护目标

政府网站集约化平台安全防护工作应包括：

a)提升网页防篡改及监测、恢复能力，降低网页防篡改的安全风险；

1

DB23/T3649.3—2023

b)提高入侵防范能力及系统可用性，降低网站服务中断的安全风险；

c)强化数据安全管控措施，降低网站敏感信息泄露的安全风险；

d)构建纵深防御体系，降低网站被恶意控制的安全风险。

4.2安全防护架构

集约化管理平台安全防护体系应符合GB∕T25070-2019、GB∕T22239-2019等信息安全规范性文件

要求，落实等级保护制度。

应基于政务云建设统一安全防护体系，与集约化管理平台建设同步规划、同步建设、同步实施。按

照等保三级标准设计建设安全防护体系。

整体架构如图1所示。

图1平台安全防护架构示意图

5安全技术措施要求

5.1物理安全

平台物理部署环境应满足GB∕T22239-2019中第8章的要求。集约化管理平台宜统一部署在政务云

上，集约化管理平台部署环境应与其他业务系统进行隔离，若部署在政务云平台时须采用独立虚拟资源

池，或者通过技术措施实现和统一资源池内的其他业务系统逻辑隔离。

5.2网络安全

5.2.1网络链路安全

集约化管理平台部署的网络架构及通信链路安全应满足以下要求：

a)为支撑集约化管理平台运转的关键设备提供硬件冗余措施，关键设备包括但不限于出口路由

器、核心交换机、应用及数据库服务器等；

b)政府网站、集约化管理平台、统一信息资源库等应部署在不同区域中；

2

DB23/T3649.3—2023

c)采用负载均衡、分布式部署等方式实现链路和主机层的负载均衡，链路层面至少应实现多条

互联网联络之间的负载均衡，主机层面应实现多应用服务器之间的应用负载均衡；

d)部署由不同互联网接入服务商提供的冗余互联网接入链路；

e)平台对外提供服务应设置符合实际需求的互联网独享带宽，并支持根据网站的日均网页访问

量（次）及业务高峰期（包括日高峰及高峰日）访问量调整出口带宽。

5.2.2上网行为管理

集约化平台应建设上网行为管理系统，在各个安全自治域及其中的主机均部署/安装上网行为管理

系统。具体应符合下列要求：

a)提供上网行为审计功能，对集约化平台中的业务模块及其所依托的网络设备、安全设备、主

机操作系统、数据库系统、集约化平台等进行安全审计；

b)提供上网行为管控功能，对前台用户的注册、登录、关键业务操作等行为进行记录，内容包

括但不限于用户姓名、手机号码、注册时间、注册地址、登录时间、登录地址、操作用户信

息、操作时间、操作内容及操作结果等。对后台管理用户的登录、操作行为等行为进行记录，

内容包括但不限于用户登录时间、登录地址以及编辑、操作等行为发生时的用户信息、时间、

地址、内容和结果等；

c)提供访问控制功能，授予集约化平台各类用户为完成各自承担任务所需的最小权限，对集约

化平台上不同网站运营者之间的后台内容管理用户进行严格的网络权限划分。

5.3边界安全

5.3.1互联网边界安全

集约化管理平台安全部署应划分网络安全区域，严格设置访问策略，建立安全访问路径。应在集约

化管理平台与互联网的边界处部署防火墙等边界隔离设备，并配置合理的边界访问控制策略，实现集约

化管理平台与互联网之间的逻辑隔离。边界防护策略包括但不限于以下内容：

a)互联网边界隔离设备的默认过滤策略应设置为禁止任意访问；

b)仅允许互联网用户访问应用服务器提供的HTTP（HTTPS）服务等指定的服务和端口；

c)限制集约化管理平台中服务器主动访问互联网；

d)仅允许认证用户访问平台服务器提供的管理平台、内容管理、统一信息资源库等指定的服务

和端口；

e)限制集约化管理平台中的服务器主动访问内部网络，仅允许访问内部网络提供的指定交互业

务、补丁更新、病毒库更新等服务；

f)限制边界隔离设备的远程管理方式。如需要采用远程管理方式时，应采用SSH等加密方式进

行设备的远程管理，并适当增加边界隔离设备系统管理员账号鉴别口令的强度和更新频率，

或采用数字证书等高强度鉴别方式；

g)集约化管理平台应具备互联网全流量的安全审计能力。

5.3.2安全域边界安全

集约化管理平台应部署跨网数据安全交换系统，实现互联网区和内部其他区域的安全隔离及信息双

向交换，系统应具有内容过滤、格式检查及病毒查杀等功能。应采用在交换设备上划分VLAN或部署安全

域边界防火墙等方式实现集约化管理平台所在安全域与其他业务系统所在安全域之间的逻辑隔离。具体

包括但不限于下列措施：

3