政务信息系统身份认证管理规范.docx

《政务信息系统身份认证管理规范.docx》由会员分享，可在线阅读，更多相关《政务信息系统身份认证管理规范.docx（10页珍藏版）》请在课桌文档上搜索。

1、ICS01.120CCSA00DB3205苏州市地方标准DB3205TXXX-XXXX政务信息系统身份认证管理规范ManagementSpecificationforidentityauthenticationingovernmentinformationsystem（报批稿）2023-XX-XX 实施2023-XX-XX发布苏州市市场监督管理局发布目次前言错误!未定义书签。1范围12规范性引用文件13术语和定义14概述15总体要求15.1用户信息管理15.2 身份数据管理25.3 认证与访问管理35.4 权限分类与权限管理35.5对接管理45.6安全运维管理4附录A（规范性）政务信息系统身份

2、认证管理自查记录表5本文件按照GB/T1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。本文件由苏州市大数据管理局提出并归口。本文件起草单位：苏州三六零安全科技有限公司。本文件主要起草人：王拥军、李强、杭宇、尹杰。政务信息系统身份认证管理规范1范围本文件规定了政务信息系统身份认证管理的基础工作、常规工作的要求。本文件适用于政务信息系统身份认证管理工作、系统新建、系统二次开发、系统各类用户、认证和权限的管理工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日

3、期的引用文件,仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T22239-2019信息安全技术网络安全等级保护基本要求3术语和定义下列术语和定义适用于本文件。0A：办公自动化(OfficeAutomation),是将现代化办公和计算机技术结合起来的一种新型的办公方式。0TP：一次性口令(OneTimePassword),指只能使用一次的密码。4概述在数字政府建设水平快速提升的进程中，信息系统使用部门在开展身份认证建设、管理、运维工作时，应充分考虑国家及行业的相关要求，结合自身的基础现状，明确管理目标，从用户信息、身份数据、认证与访问、权限

4、分类与权限管理、安全运维多个维护考虑，加强政务信息系统认证管理规范。5总体要求5.1 用户信息管理5.1.1 用户分类政务信息系统用户分类应按照下面几种属性进行分类管理，具体如下：一政务人员用户：指公务员、事业编、招聘合同工、临时工、借调人员、第三方服务人员等类型；公众用户：指政务人员用户之外的社会公众用户(自然人)，使用政府信息系统提供的面向公众的服务系统查询、办理相关的业务；系统和设备用户：指对政务信息系统进行访问的各类软硬件系统，用于应用、设备之间的访问与协同。5.1.2 用户信息定义政务信息系统用户信息是用于描述和验证用户身份的一组属性，是身份认证管理工作的核心管理对象，应按照下面几种

5、属性进行分类定义划分管理，具体如下：一政务人员用户：主要包括身份信息（身份证号码、手机号码、职务、邮箱等）和组织机构信息等；公众用户：主要包括身份信息（身份证号码、手机号码、性别、住址、邮箱）；系统和设备用户：主要包括系统/设备识别信息（系统/设备名称、类型、型号、序列号等）、部署位置信息、所属组织机构/所有者信息等。5.1.3 身份信息来源政务信息系统中政务人员用户信息、公众人员用户信息、系统/设备用户信息是识别用户的核心依据，应明确数据来源，规范管理，从而确保数据权威性和全局一致性。一政务人员用户信息：政府部门、委办局、直属事业单位等内部人员的身份信息以人事局为权威数据来源。各部门挂职、借

6、调人员用户须办理正式的挂职、借调手续，其中挂职人员用户信息由人事局收集的信息为权威数据来源，借调人员用户信息由所在单位收集的信息为权威数据来源；招聘合同工、借调人员、临时外聘人员用户、第三方服务人员由相关系统主导建设的单位自行收集的信息为权威数据来源；公众人员用户信息：以系统注册以及对接国家人口库作为权威数据来源；一一系统/设备用户信息：以信息系统/设备所属单位或所有者为权威数据来源。5.1.4 身份信息维护政务信息系统中各类身份信息权威数据获取和维护，由权威数据来源单位负责。应尽可能通过系统对接方式实时进行数据同步。暂时不具备条件的，应至少在数据发生变化五个工作日内完成人工同步或录入。5.1

7、.5 用户管理政务信息系统中用户管理应包括用户新增、调整、启用、停用、激活、删除等，具体如下：a）各部门、委办局和直属事业单位用户（包括政务人员、组织机构等）的创建和变更，由各单位部门系统管理员通过人事管理系统或政务OA系统提交申请，审批通过后由在相应的系统中创建；b）用户在使用应用时，由该应用部门系统管理员代为申请；对于已设立应用分支管理员的，可由各分支管理员分别在线提交本单位用户申请，部门系统管理员线上统一汇总审核后提出总体用户申请，等相应审批通过后进行创建：O相关设备、应用作为用户，其创建和变更由设备或应用的所有者单位或具体牵头使用单位向系统管理员申请；d）其他用户根据具体情况，由系统管

8、理员决定其分配和维护方式，并上报管理人员审批；e）根据国家信息安全和保密相关要求，用户需要使用数字证书进行真实性验证的，由部门系统管理员在用户申请环节按照苏州市政务云密码服务相关要求进行同步申请，证书制作、签发、维护、注销等管理工作遵循苏州市政务云密码服务相关要求进行管理。5.2 身份数据管理5.2.1账号密码管理身份标识应采用实名制管理，用户身份信息包括统一用户编码、用户名称、用户基本信息、用户身份认证信息、用户身份扩展信息等，遵循统一的命名规范。正式员工身份信息由人事部门负责确认，非正式员工身份信息由业务部门负责确认。a）用户账号管理： 由用户本人通过系统在线申请，审批通过后，由系统管理员

9、自动创建用户账号； 用户账号创建后在职期间内长期有效； 非正式职工的用户账号创建后，有效期为1年，或由系统管理员根据业务需要设置，有效期最长不超过2年。b）密码策略管理： 密码长度要求8位以上（含8位），数字，字母，特殊字符； 统一账号密码严禁包括弱密码，包括：admin.连续的三个字母或数字、用户名等； 连续输入五次错误密码后，将自动锁定该账号； 账号锁定超过五分钟，系统自动解锁账号； 每90天应更换一次密码，密码到期前10天，系统自动提示修改密码； 密码到期后，用户登录时需强制修改密码； 使用预留问题答案、邮件或手机短信等方式重置密码； 密码可通过系统管理员后台进行管理； 新用户创建密码通

10、过短信和邮件发送初始密码。5.2.2身份信息存储政务信息系统中存储了必要的用户身份信息，这些信息包含了很多个人隐私信息，比如身份证号、电话号码、邮箱等，为了避免信息泄露造成的风险，同时也为了应对日益严格的数据安全和隐私保护的法律法规，必须要制定相应的保护措施。保护措施参考GB/T22239-2019o5.3 认证与访问管理政务信息系统认证与访问管理应具备相应的认证方式并设置合理的认证等级，根据应用的重要程度强化用户身份核验的多种认证方式的组合，即将不同级别的认证方式按逻辑组成完整的认证环节。系统可为用户配置不同的认证链，在用户登录时进行调用。认证方式如下：a）账号密码+人脸；b）账号密码+OT

11、P+人脸；c）账号密码+手势+指纹+人脸；d）账号密码。5.4 权限分类与权限管理5.4.1权限分类政务信息系统权限分类应包括管理类用户权限和普通用户权限。管理类用户权限主要为管理员、审计员、普通用户，由系统主管部门按GB/T22239-2019相关要求，在系统中集中管理。普通用户权限按访问对象分类主要包括以下两类：a）应用访问权限：使用某个应用，或应用中某个功能或服务的权限，主要包括:入门权限即能够进入和访问某个应用的权限、功能权限即进入应用后，访问某个内部功能的权限。“功能权限”由各系统部分自主管理。b）数据访问权限：访问或使用某个数据资源的权限。5.4.2权限管理政务信息系统权限管理日常

12、管理规范，权限划分如下：a）纳入集中管理的权限，由各级系统管理员向上级系统管理员申请；b）各应用自主管理的权限，由各应用根据实际要求自行分配；O其他用户的权限由该用户需要访问的应用所属部门系统管理员代为申请。5.5 对接管理政务信息系统身份认证对接管理规范如下：a）政务信息系统必须保留必要接口打通省级统一身份管理平台，实时同步身份信息；b）政务信息系统严禁私自建立身份数据源，必须保留必要接口同市级身份管理平台对接，系统身份信息来源以人事局收集的信息为权威数据作为主要来源；c）政务信息系统如已存在身份管理系统，必须开放必要接口，提供给所需要的应用管理部门，避免重复建设；5.6 安全运维管理政务信

13、息系统管理员在日常安全运维管理应做到以下几点：a）应加强系统身份认证技术维护管理,做好运行监控工作，实时进行系统状态监控、汇集和诊断；做好自查记录（见附录A）；b）数据备份策略,应定期开展系统备份工作，妥善保管备份记录表和备份介质，每周检查介质的完好程度，按时更新，对不再使用的介质应进行销毁处理。每半年进行备份恢复测试，检查备份有效性和系统恢复能力：C）应严格控制系统变更，变更时须办理变更申请和审批手续；对系统运行产生影响的系统变更必须报信息化管理部审批；变更结束后，要保存好各类变更文档：d）系统正常停机应提前向信息化管理部提出申请，批准后方可执行，并于停机前1天通知用户。系统的启动、关闭应严

14、格按照操作流程和步骤由系统管理员负责完成；e）应建立系统应急预案。如遇突发事件，系统管理员在采取应急措施的同时，报告信息化管理部并通知所有用户；f）各单位信息化管理部门必须定期对本单位员工进行身份认证安全宣贯。用户应当遵守国家有关法律法规，不得从事危害国家安全、泄露国家秘密等违法犯罪活动。附录A（规范性）政务信息系统身份认证管理自查记录表表A.1给出了政务信息系统身份认证管理自查记录表。表A.1政务信息系统身份认证管理自查记录表自查项目序号自查要点自查结果集中身份管理1对所管理的所有身份信息进行集中的治理与存储，为其他应用系统发布或共享身份信息。确保用户身份标识在应用体系及用户全生命周期中具有

15、唯一性;能否提供用户管理、机构管理、应用管理、账号管理、权限管理、审计管理等统一管理措施。用户生命周期管理2用户在入职、离职、转岗、调岗等不同业务场景下身份信息的统一、一致和闭环管理，确保身份体系协同一致。用户数据同步3包括从上游应用系统同收身份数据、以及对下游应用系统供应身份数据。实现用户、机构、账号、权限等身份数据的同步。多源身份聚合，从一个身份数据源回收身份数据（含用户、机构数据），也能将分散在多个应用系统中的身份数据回收并聚合为权威身份数据的措施。认证方式与等级4对认证方式可划分不同的认证等级，每种等级的认证方式可根据业务系统的重要程度（级别，应用系统的级别要参考组织的实际情况）进行设

16、定。身份认证管理5包含统一身份认证服务、外部身份认证源、互信身份认证等措施；统一身份认证服务：可作为身份认证源对外提供统一身份认证服务或统一身份认证集成接口，具备RestfuKSAML.OAUth、Radius等身份认证集成接口;外部身份认证源：具备RADIUS认证服务器、ActiveDirectory（AD）认证源、办公类身份认证源、社交类身份认证源及第三方身份认证源；互信身份认证：能够与己有身份认证系统实现身份认证互信，包括单方互信和双方互信.应用安全等级6包含应用安全等级管理、身份认证级别管理等措施；应用安全等级管理：对应用系统进行风险安全级别的划分，可根据不同安全级别配置不同的身份鉴别

17、方式；身份认证级别管理：若访问应用时判断当前身份认证安全级别低于应用安全等级时，强制要求用户作二次身份认证。表A.1政务信息系统身份认证管理自查记录表（续）自查项目序号自查要点自查结果应用权限管理7菜单角色管理、菜单权限管理、多维度授权管理等措施。菜单角色管理：可自定义系统管理角色，包括身份管理员、系统管理员、审计管理员等角色；菜单权限管理：可不同管理角色查看、访问不同的系统菜单及数据范围，并允许将相关的管理权限再分配；不同维度授权管理：可按用户维度、组维度、机构维度、应用维度等进行权限的授予。角色级权限：可为用户分配应用角色级权限，包括机构、角色、群组、岗位等与用户关联的权限；授权方式8管理

18、员手工授权：管理员手工为用户分配或移除权限，可从用户、应用两个维度授权；用户属性授权：基于用户属性的自动授权，设置规则为满足条件的用户自动授予权限；角色/组授权：基于角色/组的自动授权，当用户加入角色/组时自动授予权限，当用户从角色/组中移除时自动回收用户权限；工作流授权：基于工作流的自动授权，用户自助申请权限，在领导或应用管理员审批通过后自动为用户开通权限。权限合规9权限合规具备合规规则、互斥规则、规则扫描、用户/应用合规情况查看等措施合规规则：配置基于岗位的应用系统权限规则：互斥规则：配置权限互斥规则，支持应用互斥、应用内角色互斥、应用间角色互斥；规则扫描：能根据已配置的合规规则、互斥规则

19、扫描检查所有授权数据；用户/应用合规情况查看：查看违反合规规则的用户授权/应用授权情况。风险感知10风险感知具备用户行为、终端环境、网络环境等风险感知；当终端触发相关策略时，及时上报风险事件：根据感知到的各类风险事件对用户进行可信评分等措施。访问行为管理11访问行为管理包含身份认证统计、账号使用情况统计等措施；身份认证统计:统计统一用户登录/登出应用系统身份认证数量及统计时间段内应用系统访问量；账号使用情况统计：时间段内活跃用户/非活跃用户统计排行。日志分析管理12日志分析管理包含操作日志、同步日志、身份认证日志、接口日志等措施；操作日志：系统管理员进行用户管理时，提供操作记录、操作内容监控；同步日志：在应用集成时，提供身份数据同步监控；身份认证日志：用户访问各应用系统资源时，对用户身份认证情况进行监控；接口日志：外部应用调用身份认证管理接口时，可对各接口使用情况进行监控。