标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
SZDB/Z 329-2018 警务云终端系统建设与管理规范SZDB/Z 329—2018 5.2公安无线虚拟专网应具备二次鉴权认证机制,鉴权过程实现域名、手机号、IMSI、用户帐号、密 令,终端串码、IP等多因子捆绑认证。 5.3通信运营商的VPDN/APN系统应通过国家信息安全测评,满足信息系统安全保障级二级或以上。
6.1.1设备应具有中华人民共和国工业和信息化部颁发的有效的《电信设备进网许可证》 6.1.2设备应为国产品牌
外观应符合以下要求: a)产品表面不应有明显的凹痕、破损、划痕、变形和污染等; b)表面涂镀层应均匀,无起泡、龟裂、脱落和磨损现象; c)金属零部件无锈蚀及其他机械损伤 供下
DB65T 3460-2012 地理标志产品 哈密大枣6.4设备功能及性能要求
6.4.1操作系统:应使用经过安全加固的双系统软件,包括互联网系统和安全系统,两个操作系统同 时独立运行,切换时间不应超过3S。 6.4.2安全系统:应预装终端设备管理软件、接入认证安全客户端软件等必要的应用程序;不应预装 与公安业务无关的应用软件。 6.4.3视频率应不小于25帧/s。 6.4.4屏幕最大亮度不低于350cd/m²,对比度应不低于500:1。 6.4.5 设备的可靠性应符合GB/T9813.1一2016的规定。设备的平均无故障工作时间(MTBF)不小于 5000h。 6.4.6应具备电源保护措施功能
6.4.6应具备电源保护措施功能。
6.4.7 功能控制要求:
b)应支持对I/0接口屏蔽功能,防止非授权移动设备使用 c)扩展卡槽或外置设备仅能读取指定的安全加密卡; d)应具备WiFi热点扫描功能。
.8其他要求应符合GA/T818一2009中4.1的
SZDB/Z 3292018
6.5.1具备移动数据通信功能,支持4G并向下兼容3G、2G。 6.5.2支持公安无线虚拟专网通过边界平台安全接入公安信息网。 6.5.3支持互联网系统和安全系统分别同时接入互联网和公安无线虚拟专网, 耳互相隔离
6.6.1电气安全性要
6.6.1.1抗电强度
应符合GB4943.1一2011中5.2的相关规定
6.6.1.2绝缘电阻
设备的电源插头或电源引入端与外壳裸露金属部件之间的绝缘电阻,常规环境条件下应不小于100M Q,在湿热条件下应不小于5MQ。
6.6.1.3泄漏电流
6.6.2信息安全要求
应符合GB/T9813.1一2016中4.4的相关规定,设备接入公安无线虚拟专网应遵循相应技术规范。
6.6.2.2身份鉴别管理要求
身份鉴别鉴定管理应符合以下要求: a)应支持指纹或人脸等生物识别技术进行开机身份认证; b)在安全系统中应支持基于安全加密卡(含内置安全芯片)和SIM/RUIM/USIM卡相绑定的设备认 证; c)应支持密码长度、复杂度、更换周期、最大解锁错误次数的管理; d)应实现终端系统弱口令检测与告警。
6. 6. 2. 3 安全隔离要求
安全隔离应符合以下要求
DB/Z329—2018 a)警务云终端安装有相互隔离的两个系统,两个系统没有主次,是并列关系,分为互联网系统和 安全系统; b)警务云终端从底层实施隔离,具备安全加固、功能裁剪及禁止ROOT、刷机等功能; c)警务云终端两个系统的系统数据、应用数据、用户数据完全隔离; d)警务云终端两个系统独立运行、独立控制,互不交换数据; e)应具备相应安全技术措施,可检测并阻断安全系统访问互联网的行为,并阻止通过互联网系统 对安全系统的渗透。
6.6.2.4访问控制要求
访问控制应符合以下要求: a)安全系统中WLAN、蓝牙应通过移动终端管理平台进行授权网络连接和数据通信: b)应确保安全系统仅能运行移动终端管理平台授权的应用。 V
6.6.2.5数据安全要求
数据安全应符合以下要求: a)应确保安全系统中的敏感数据加密存储; b)应确保安全系统访问公安无线虚拟专网指定应用的数据加密传输; c)应保证用户数据不被未授权用户查阅或修改
5.6.2.6安全加密卡(含内置安全芯片)要求
6.6.2.7安全和审计要求
安全和审计应符合以下要求: a)对于可执行程序,应确保在通过防篡改检查后才能被操作系统执行;对于业务数据,应采用可 信的校验机制,保证数据传输、存储过程中的完整性; b)应能防范恶意代码的运行,实现主动防御机制,保障工作站、服务器、边界所存储和传输的数 据安全性; c)应能获取设备运行的审计日志; d)应能获取用户操作的审计日志; e)应支持向统一管理平台报送用户操作的审计日志。
7移动警务云平台建设规范
移动警务云平台是支撑警务云终端应用运行和管理的基本技术支撑系统,以及与其配套
7.2移动警务云平台的功能
SZDB/Z 3292018
移动警务云平台主要包括以下功能: a)为移动应用安全、稳定运行提供最基础的运行支撑服务,为移动应用用户提供通用便利支撑服 务; b)为移动应用全生命周期规范管理提供技术支撑服务,构建移动应用良好的管理、评价、共享、 支撑机制。
.3移动警务云平台的构成
云平台由应用管理支撑系统和应用运行支撑系统
7.4应用管理支撑系统
应用管理支撑系统分为开发管理和应用 两部分。开发管理功能由应用开发资源服务子系 。应用管理功能由移动应用管理及发布子系统、移动互联网应用管理及发布子系统和应用部署监 统承担。 6
系统功能应包括以下内容: a)应用开发资源服务子系统:对应用开发者提供开发资源上传、检索、下载和知识库服务; b)移动应用管理及发布子系统:提供行业移动应用的注册、审核、发布、撤销等全生命周期管理 功能;提供对本地移动应用及其使用情况的汇聚功能,并按照统一标准开放接口,供应用部署 监测子系统自动采集; c)移动互联网应用管理及发布子系统:提供移动互联网应用的注册、检测、审核、发布、撤销等 全生命周期管理功能;提供对移动互联网应用及其使用情况的汇聚功能,并按照统一标准开放 接口,供应用部署监测子系统自动采集; d)应用部署监测子系统:按照统一标准接口,定期从移动互联网应用管理及发布子系统和移动应 用管理及发布予系统中采集移动应用及其使用情况,并具备统计分析功能。
7.5应用运行支撑系统
应用运行支撑系统包括统一认证授权子系统、移动信息资源服务子系统、应用监测评估子系 名认证子系统。
7. 5. 2 系统功能
系统功能应包括以下内容: a)统一认证授权子系统:实现用户统一身份认证、应用访问授权、单点登录等功能: b)移动信息资源服务子系统:实现统一的数据资源标准接口及数据授权访问; c)应用监测评估子系统:实现行为审计、业务分析与综合评估等功能; d)实名认证子系统:实现移动互联网用户实名认证功能。
SZDB/Z329—2018
移动警务云平台应结合公安信息网业务系统和公安基层需求,基于警务云终端快速开发、集成 用功能。
SN/T 5392-2021 苹果牛眼果腐病菌检疫鉴定方法8. 2APP 应用开发要求
APP应用开发应符合以下要求: a)用户授权访问控制:应对用户进行基于角色的授权和访问控制。用户的信息访问授权应遵循“最 小权限原则”和“特权分散原则”; b)系统权限访问控制:应按照“最小权限原则”限定终端系统权限访问,不得申请开放本应用不 需要的终端系统权限(如启用定位功能、打开摄像头、读取通讯录等)义 c)日志管理与安全审计:应按照统一要求,对用户登录/退出、关键数据操作等行为记录日志。应 用日志应保留用户身份信息,满足历史信息可倒查要求,并按照规范提交集中管控中心; d)应用数据加密存储:移动应用应按照规范对重要数据进行加密存储: e)资源访问接口要求:应遵循资源提供方的技术接口及管理规范。
应符合以下要求: a)应用基本信息注册:每个新发布的应用,应在移动应用支撑平台中配置相关的应用信息; b)应用日志信息注册:对于应用的每次访问,移动应用支撑平台应记录具体的操作内容、操作人、 操作时间; c)系统服务:基于公安信息网向独立应用提供的基于平台的接口; d)消息服务:每个需要消息推送的应用,应配置对应的服务号,通过服务号把消息推送出去;对 于服务号的配置,通过管理平台统一创建; e)日志服务:提供查询自身应用的日志信息接口
终端系统管理总体要求应包括以下内容: a)统一账号及登录验证,严格授权访问,实现单点登录等; b)详细记录操作日志,汇聚业务采集数据,深化数据挖掘分析; c)制定完善的研发、运维、使用、安保、共享等管理制度,并实现电子化、自动化监测和控制; d)安全管理服务应对通信网络、区域边界、计算环境的保护部件进行标记管理、策略管理、授权 管理。
终端安全管理应包括以下措施: a)终端不存储数据。所有数据应存放在云端,终端仅缓存组织架构信息,不存储业务数据;终端 丢失后,安全系统应有数据自动删除机制; b)数字证书。对需与公安信息网交换数据且可能涉及公安工作秘密的警务应用,应强制实施数字 证书认证,建立专用通信路径;
SZDB/7 3292018
c)移动终端管理管控。定制研发并在安全系统预装移动终端管理工具,提供警务应用安全沙箱和 加密通讯隧道,实施终端认证和访问控制,实现远程监控、远程擦除、预警锁定、手机找回、 禁止运行非可信程序等; d)应确保连续输入10次错误的认证信息,自动删除本机的配置信息
专网分为终端侧、运营商侧和公安机关侧三段链路。专网安全管理应包括以下内容: a)终端安全系统侧应限制唯一网络接入点,仅限接入公安无线虚拟专网,不可接入互联网或其他 网络; b)运营商侧由AAA服务器对终端进行域名、手机号码、IMSI捆绑鉴权认证; c)公安机关自建AAA服务器对终端进行严格的域名、手机号、IMSI、用户名、密令、终端串码(MEID IMEI)、IP地址共七项信息关联验证,并在L2TP网络服务器部署应用层防火墙和访问控制策 略,实现安全保障
边界安全管理应包括以下内容: a)边界访问控制。采用防火墙部件等的访问控制策略,对进出安全边界的数据信息进行控制,阻 止非授权访问;采用安全隔离交换部件进行强隔离,进行安全数据交换; b)边界包过滤。通过检查数据包的源地址、目的地址、传输层协议、请求的服务等GB/T 8878-2014 棉针织内衣,确定是否允 许该数据包进出边界; c)边界安全审计。进入和流出信息流进行安全检查,禁止违反系统安全策略的信息流经过边界; 实施严格、精细的安全边界日志审计,做到“记录留在边界”、入口有详细日志; d)边界完整性保护。发现和阻断违规外联,控制节点接入,实时发现并阻断入侵行为