国资国企网络应用资产监管 第1部分：指南（征求意见稿）.docx

Q/LB.□XXXXX-XXXX

国资国企网络应用资产监管

第1部分：指南

Supervisionofstate-ownedassetsandstate-ownedenterprisescyberapplicationassetsPart1:Guidelines

（征求意见稿）FORMDROPDOWN

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施

FORMTEXT安徽省市场监督管理局??发布

ICS

FORMTEXT35.240

CCS

FORMTEXTL76

FORMTEXT34

FORMTEXT安徽省地方标准

DBFORMTEXT34/TFORMTEXTXXXX—FORMTEXTXXXX

FORMTEXT?????

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施

FORMTEXT安徽省市场监督管理局??发布

STYLEREF标准文件_文件编号DB34/TXXXX—XXXX

PAGE1

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件为DB34/TXXXX—XXXX国资国企网络应用资产监管标准的第1部分，现已完成了第1部分指南和第2部分网络应用资产分类的编写。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由安徽省人民政府国有资产监督管理委员会信息中心提出。

本文件由安徽省人民政府国有资产监督管理委员会归口。

本文件起草单位：安徽省人民政府国有资产监督管理委员会信息中心

本文件的主要起草人：

国资国企网络应用资产监管

第1部分：指南

范围

本文件确立了国资国企网络应用资产监管的基本要求和资产分类，并规定了国资国企网络应用资产监管的风险监测、风险预警、风险通报、应急处置、安全加固。

本文件适用于为国资国企网络应用资产监管。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其必威体育精装版版本(包括所有的修改单)适用于本文件。

DB34/T4522.1-2023国资国企在线监管信息系统数据元第1部分：国有企业组织机构类

术语和定义

下列术语和定义适用于本文件。

3.1

国资国企网络应用资产Networkapplicationassetsofstate-ownedassetsandenterprises

国资国企对互联网开放的各类应用程序。

基本要求

国资国企监管对象应建立网络安全监管组织体系和管理体系；

企业基本信息按附录A要求填写，并报上级监管部门。

资产

国资国企网络应用资产包括：名称、域名、互联网IP地址、移动应用、接口。

监管

监管内容

对国资国企网络应用资产的监管包括风险监测、风险预警、风险通报、应急处置、安全加固等内容。

风险监测

名称风险监测

主要包括：身份认证与访问控制风险监测、输入验证与数据处理风险监测、会话管理风险监测、加密与安全传输风险监测、配置安全风险监测、日志记录与监控风险监测、代码安全风险监测、依赖组件安全风险监测、业务逻辑风险监测、可靠性和可用性风险监测等。

域名风险监测

主要包括：证书监测、域名解析记录监测、域名历史记录追踪监测等。

互联网IP风险监测

主要包括：IP开放端口服务监测、风险端口与服务监测、IP的反向DNS解析监测、IP威胁情报监测等。

移动应用风险监测

主要包括：移动应用程序的数据隐私监测、移动应用程序的用户权限管理监测、移动应用程序的应用接口监测，以及应用程序的代码可信度和恶意行为监测等。

接口风险监测

主要包括：应用接口的认证和授权机制监测、应用接口的参数验证和输入过滤监测、应用接口的安全日志监测、应用接口的访问频率和访问限制监测、应用接口的数据保护和隐私保护监测等。

6.3风险预警

主要包括：风险监测预警、威胁情报收集与分析预警、预警信息发布等。

6.4风险通报

主要包括：定期风险通报、突发风险事件通报等。

6.5应急处置

主要包括：事件评估、应急响应、事件控制与处置、系统修复与恢复、事件调查与分析、事件总结与复盘等。

6.6安全加固

主要包括：开展系统安全评估和漏洞扫描、数据备份，以及定期开展网络安全宣传培训，制定网络安全应急预案，定期开展安全应急