SZSD01 0010—2024政务信息系统零信任网络安全应用要求.docx

政务信息系统零信任网络安全应用要求1葩围本文件现定了政务信&系统容信任网络安全应用总体原则、应用要求和管理要求.本文件适用于政务信思系统写信任网络安全建设和运维管理，2规葩性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款，其中，注11期的引用文件，仅该H期对应的版本适用于本文件：不注H期的引用文件.其最新版本(包括所有的蟋改单)适用于本文件.GB/T22239信息安全技术网络安全等级保护基本要求GB/T25069信恩安全技术术语GB/T28827.I信息技术服务运行维护第1部分：通用要求GB/T35282信息安全技术电子政务移动办公系统安全技术规范GB/T36626信息安全技术信息系统安全运维管理指南GB/T40692政务信息系统定义和葩围3术语和定义GB/T25069.GB/T40692界定的术谱和定义适用于本文件.4缩略语以下缩略谱适用于本文件.APIs应用程序接口(pplicationProgramInterface)DDos：分布式拒绝服务(DistributedDenialofService)DGAs域名生成算法(DoaiainGenerateAlgorithm)H5：第5代超文本标记语言(FifthHypcrTextMarkup1.anuao>HTTP：超文本传输协议(HyperTextTransferProtocol)HrTpS:基于安全嵌套层的超文本传输协议(HyperTextTransferProtocoloverSecureSocket1.ayer)PUP：超文本预处理器(HypertextPreprocessor)SDK：软件开发工具包(SoftwareDevelopmentKit)SRP；软件定义边界(SofSareDefinedPerieeter)S1.B：服务器负胡均衡(Server1.oadBalancing)SQ1.：结构化杳询语言<(StructuredQuery1.anguage)SS1.：安全嵌套层<SecureSockets1.ayer)TCP：传ft控制协议(TransmissionControlProtocol)UI)P:用户数据IR协议(UserDatagraaProtocol)SZSD0100102024WIFI：无线网络(UirekSSFidelity)5总体原则政务信息系统零信任网络安全应用应遵循以下原则：a）最小特权原则：用户和设各仪旎获过必要的访问权限,以最大程度地减少攻击而提高卿络安全的可挑性；b）动态访问控制原则：建立基于环境评估的动态访问控制策略，结合网络环境、用户行为、终端环境等因素挣续评侪访问主体,根据评估结果对访问主体进行动态授权：c）实时赛控和响应原则：对网络流量和安全事件进行实时监控和响应.发现问遨立即处理,防止恶JS攻击扩散：d）多层次验证和审批原则：主体访问时，庖进行多曳身份脸证和授权审批.以保it访问的合法性和安全性：e）应用与数据分离原则：对政务信息系统前培应用和后端数据进行分层解糊，实现政务信息系统分层授权和可信访问控制；f）日志留存原则：记录并保存零信任两络安全应用的行为,如访问主体和访问齐体而应的访问、策略卜发、策略执行，以及涉及的敏感行为等。6零信任网络安全应用要求61已建政务信息系统6.11工作流程已建政芬伯息系统出伯任网络安全应用应包括网络安全能力板理、政务伯息系统改造和网络安全应用骁证测试等环节，工作流程如图1所示。己建政务信息系统等信任网络安全应用示例见附录A。01已建政务信息系统零信任网络安全应用工作流程612网络安全能力梳理