率、促进数据应用。
5.中介服务信息共享。建立中介机构数据库,收录政务服务涉及的中介机构,为推进中介服务市场的服务、收费、管理、竞争等规范化提供信息化支持,逐步建成中介机构诚信体系建设。
(六)安全保障体系。
按照国家信息安全等级保护相关规定以及国家保密管理和密码管理有关要求,充分利用省电子政务外网和省级政务云已有安全基础设施,构建全省一体化政务服务安全保障体系,确保政务数据安全和公民个人数据合法应用。 1.遵循国家信息安全等级保护三级相关规范以及国家保密管理和密码管理的有关要求,建立健全“互联网+政务服务”安全保障体系。整体考虑、顶层规划“互联网+政务服务”安全保障体系的建设,按照信息系统安全等级保护要求构建数据存储环境、应用系统环境、运行管理机制,确保政务数据安全和公民个人数据合法应用。安全保障体系要与“互联网+政务服务”应用系统同步建设,对所建安全保障体系要进行重点保护、实施动态调整。安全保障体系的组成: ——物理安全。一是机房安全。采用门禁控制系统、摄像头在线监控。二是应急灾难备份恢复。对机房的电源、重要主机、存储、重要线路等重要设备的冗余设计,要进行系统级的整体数据备份设计。
- 37 -
——网络安全。在不同的安全域边界部署防火墙系统,在上下级网络边界部署VPN虚拟专用网关设备,可在核心交换区部署IPS入侵防御系统,在相应的设备上根据自身网络结构配置相应的安全策略,保障必要的数据和服务交换安全。 ——数据安全。一是在必要的网络边界部署加密设备,保障数据网络传输安全。二是各级政务服务系统的数据库管理系统要做好数据库自身的安全配置,登录账户要专人专管,密码要实现数字和字母符号混合设置并定期更换,防止外网和内网用户直接访问和恶意攻击。三是数据存储备份恢复系统。要定期做好本地多种方式的重要数据备份和异地的远程数据备份。备份恢复工作要专人负责,责任到人。四是用户名、口令等关键信息应当加强安全保护。
——系统安全。一是部署计算机病毒防范体系,由病毒监测中心和各个主机上的病毒防治终端构成,实时监测系统中的各类病毒,防止各类攻击。二是对主机中的操作系统进行相应的口令设置、权限配置,对系统操作日志进行周期性转储审计工作。三是漏洞扫描和补丁分发。通过漏洞扫描系统和补丁分发系统可以主动发现系统、数据库、应用服务系统存在的安全漏洞,并修复安全漏洞。
——应用安全。一是网页防篡改。对标准应用的HTTP服务部署网页防篡改系统,防止黑客对网页文件的攻击。二是对用户身份进行统一管理,对应用服务资源进行访问控制,
- 38 -
对用户行为进行追溯审计。三是加强对网页挂马、SQL注入、漏洞利用等攻击的防护。四是加强应用代码的安全管理。五是按照法律要求,监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。 2.对电子证照、网上支付等重要系统和关键环节进行全流程安全监控。电子证照、网上身份认证、网上支付等重要系统和关键环节是“互联网+政务服务”技术体系建设和运行的关键,对这些系统和重要环节的安全性应给予端到端的全过程监控,及时发现和解决问题隐患,以确保关键业务正常运行。
3.重视数据交换和信息共享存在的安全风险,完善开放接口的安全防护能力。数据交换和信息共享是“互联网+政务服务”技术体系得以发挥作用乃至正常运转的核心能力。任何数据交换和信息共享过程都会对系统的安全性带来影响。应采取有针对性的安全措施,完善开放接口的安全防护能力,对数据交换和信息共享环节给予端到端的全过程监控,及时发现和解决问题隐患,以确保关键业务正常运行。
4.加大对平台中各类公共信息、个人隐私等重要数据的保护力度。加强平台中各类公共信息、个人隐私等重要数据的安全防护,建立数据安全规范。在系统后台对每类数据的安全属性进行必要的定义和设置,详细规定数据的开放范围和开放力度,并严格执行相应的权限管理。
- 39 -
(七)运维保障体系。
通过健全运维组织和管理机制,制定运维管理制度,建设综合运维管理系统,构建完善的运维保障体系。
1.建全运维组织体系。建立全省一体化政务服务平台专职运维团队,明确运维管理职责,建立各部门联络沟通机制,制定应急处理预案,加强运维管理培训,建立考核评价体系。
2.规范全过程运维管理。运维管理过程中结合省级政务云的相关要求,各参与要素的行为准则和工作程序应制度化、规范化,提供高质量运维服务。例如:制定机房出入管理制度,机房监控日志保存制度,数据库管理、备份、恢复管理制度,网络设备配置管理制度,系统管理制度,突发应急事件处理流程,机房资产管理规范等。
3.建设综合运维管理系统。依照省级政务云相关运维流程,建设综合运维管理系统,实现对网络设备、主机设备、存储设备、终端设备,以及基础软件、应用软件等资源的综合管理和运行状态监控,支持运维服务流程标准化管理。
(八)制度和标准体系。
遵循国家政务服务平台管理制度和标准规范,按照我省实际需求,制定符合全省实际的政务服务平台运行管理、操作管理、接口标准等制度规范和技术标准,规范全省一体化政务服务平台建设运行管理,根据建设运行情况逐步完善相关规范和制度。
- 40 -
1.标准体系。全省一体化政务服务平台体系框架主要包括总体标准、管理标准、技术标准、数据标准、业务应用标准、服务标准、安全标准、保密标准等。初期主要建立管理标准、服务标准和技术标准等几类急需的标准。编制标准应建立在充分调研、广泛论证的基础上,同时兼顾各部门已制定执行的行业标准。
2.管理标准。
序号 管理标准 《四川一体化政务服务平台运行维护管理办法》 主要内容 用于规范各级政府部门及全省一体化政务服务平台的用户在提供和使用全省一体化政务服务平台服务过程中的职能、职责和行为准则,以及奖惩规定。 用于规范各级政府部门通过全省一体化政务服务平台1 2 《四川一体化政务服务平台政府数据开放管理办法》 开放数据的类型、程度以及问责考核规定。 《四川统一身份认证体系接入管理办法》 用于规范各级政府部门的政务服务系统接入省统一身份认证体系的方式、流程以及退出机制等。 3 3.服务标准。 序号 1 服务标准 《四川一体化政务服务平台网上办事程度评价规范》 《四川一体化政务服务平台数据开放服务规范》 主要内容 用于网上办事深度和服务水平的考核,采用等级评定的方法对每个网上公开的服务事项进行评价。 为规范全省一体化政务服务平台数据开放服务的可靠性、有效性、安全性制定本办法。 2 4.技术标准。 序号 技术标准 《四川一体化政务服务平台对接技术规范》 主要内容 用于规范全省一体化政务服务平台与其他系统对接的技术要求,包括对接目标、对接方式、对接内容、交换频率、技术接口等。 1 - 41 -