1、中华人民共和国国家环境保护标准 HJ 771-2015 环境保护主管部门网站 建设与维护技术导则 Technical Guideline for Construction and Maintenance of Government Website for Environmental Protection (发布稿) 本电子版为发布稿。请以中国环境科学出版社出版的正式标准文本为准。 2015-11-20 发布 2016-01-01 实施 发布环 境 保 护 部 I目 次 前 言. . II1 适用范围. . 12 规范性引用文件. . 13 术语和定义. . 14 符号和缩略语. . 25 内容
2、规范. . 26 网站设计. . 77 运行维护要求. . 118 安全要求. . 119 标准实施. . 13II前 言 为贯彻中华人民共和国环境保护法 、 中华人民共和国政府信息公开条例和环境信息公开办法(试行) ,规范各级环境保护行政主管部门网站的建设和日常运行,保障和促进环境信息公开,制定本标准。 本标准规定了各级环境保护行政主管部门网站内容、设计、性能、安全等方面的建设与日常运行维护的技术要求。 本标准为首次发布。 本标准由环境保护部科技标准司组织制订。 本标准主要起草单位:环境保护部信息中心。 本标准环境保护部 2015 年 11 月 20 日批准。 本标准自 2016 年 1 月
3、 1 日起实施。 本标准由环境保护部解释。1环境保护主管部门网站建设与维护技术导则 1 适用范围 本标准规定了各级环境保护行政主管部门网站内容、设计、性能、安全等方面的建设与日常运行维护的技术要求。 本标准适用于国务院和地方各级人民政府环境保护主管部门网站的建设与维护。 2 规范性引用文件 本标准内容引用了下列文件中的条款。凡是不注日期的引用文件,其有效版本适用于本标准。 GB 50174 电子计算机机房设计规范 GB/T 9361 计算站场地安全要求 GB/T 2887 电子计算机场地通用规范 GB/T 20270 信息安全技术 网络基础安全技术要求 GB/T 20271 信息安全技术 信息
4、系统通用安全技术要求 GB/T 20272 信息安全技术 操作系统安全技术要求 GB/T 22239 信息安全技术 信息系统安全等级保护基本要求 中华人民共和国政府信息公开条例(中华人民共和国国务院令 第 492 号) 中国互联网络域名管理办法 (中华人民共和国信息产业部令 第 30 号) 政府信息公开目录系统实施指引(试行) (国办秘函 2009 6 号) 中国互联网络域名注册暂行管理办法 (国信办 1997 027 号) 政府网站内容格式规范( CNGOV/ST2005-001) 信息安全等级保护管理办法(公通字 2007 43 号) 3 术语和定义 下列术语和定义适用于本标准。 3.1
5、环境保护行政主管部门网站 government website for environmental protection 各级环境保护行政主管部门利用互联网向公众提供各类环境信息、在线服务、政民互动等功能和服务而建立的网站。 3.2 政府网站信息公开 information disclosure through government website 行政机关对其在履行职责过程中制作或者获取的并以一定形式记录、 保存的信息通过政府网站进行及时、准确地公开发布。 3.3 在线服务 on-line service 通过政府网站提供行政许可事项服务、环境行政服务事项及其他社会公益性便民服务。 3.4
6、政民互动 intercommunication between the government and the public 2通过政府网站实现政府与公众的互动交流,引导公众参与公共事务管理,及时了解社情民意。 3.5 一站式服务 one-stop service 通过政府网站在线服务功能获得包括办事指南浏览、办事表格下载、相关材料上传、处理状态与结果查询等多环节、多内容的集成服务。 3.6 场景式服务 wizard service 政府网站针对特定服务主题,完全模拟真实办事场景方式,主动为用户提供高度针对性服务的一种方式。 3.7 域名 domain name 用于识别和定位互联网上计算机的层
7、次结构式字符标识, 与该计算机的互联网协议 ( IP)地址相对应。 3.8 多媒体 multimedia 文字、图形、图像、视频、音频等多种信息载体的统称。 3.9 网站地图 sitemap 用来说明网站结构、栏目和内容等信息的网页,可以使用户快速了解网站结构,方便浏览查找相关内容。 3.10 信息系统安全等级保护 classified protection of information system 根据信息系统应用业务重要程度及其实际安全需求, 实行分级、 分类、 分阶段实施保护,保障信息安全和系统安全正常运行的一整套制度。 等级保护的核心是对信息系统特别是对业务应用系统安全分等级,按标准
8、进行建设、管理和监督。 4 符号和缩略语 XML: 可扩展标记语言( Extensible Markup Language) SOA: 面向服务的体系结构( Service-Oriented Architecture) GIS: 地理信息系统( Geographic Information System) 5 内容规范 5.1 信息公开 5.1.1 信息公开的栏目设置 环境保护行政主管部门网站信息公开包含组织机构类、法律法规类、规划计划类、环境标准规范类、政府文件类、环境质量类、环境管理业务类、动态新闻类、其他类栏目。 35.1.1.1 组织机构类栏目 组织机构类栏目包含本部门机构职能、内设机
9、构、相关派出机构及直属单位名称、职能及联系方式、本部门领导信息等。 5.1.1.2 法律法规类栏目 a) 国务院环境保护行政主管部门网站法律法规类栏目包含环境保护相关法律、行政法规、国务院规范性文件、部门规章及其修改、解释、解读等信息; b) 地方各级环境保护行政主管部门网站法律法规类栏目除包含国家环境保护相关法律法规外, 还包含所在地区制定的环境保护相关地方法规、 地方政府规章及其修改、解释、解读等信息。 5.1.1.3 规划计划类栏目 a) 国务院环境保护行政主管部门网站规划计划类栏目包含国家环境保护中长期发展规划、专项规划、行动计划等信息; b) 地方各级环境保护行政主管部门网站规划计划
10、类栏目包含地方制定的重要发展规划及相关信息。 5.1.1.4 环境标准规范类栏目 a) 国务院环境保护行政主管部门网站环境标准规范类栏目公布各类国家环境保护标准及其相关信息,包括标准名称、编号、实施时间、标准文本,以及制定或实施标准的规范性文件、标准征求意见稿等相关信息,并公布地方环境质量标准和污染物排放标准备案登记信息。 b) 地方各级环境保护行政主管部门网站环境标准规范类栏目除包含相关国家环境保护标准信息外,还应依法公布所属省、自治区、直辖市制定的地方环境质量标准和污染物排放标准名称、编号、实施时间、标准文本及其实施文件,以及其他环保地方标准相关信息。 c) 各级环境保护行政主管部门网站环
11、境标准规范类栏目可公布相关行业技术政策、最佳可行技术指南、技术指南等技术文件信息。 5.1.1.5 政府文件类栏目 政府文件在信息公开目录系统中按主题、公文文种类型进行分类发布。 a) 国务院环境保护行政主管部门网站政府文件类栏目包含本部门发布的公告、 令、 函、文件、办公厅文件、办公厅函等信息; b) 地方各级环境保护行政主管部门网站政府文件类栏目包含本部门发布的公告、函、文件、办公室文件等信息。 5.1.1.6 环境质量类栏目 a) 国务院环境保护行政主管部门网站环境质量类栏目包含全国环境状况公报、反映全国环境质量状况的相关报告、全国重点流域水环境质量信息及重点城市水、大气、噪声、固体废物
12、等信息; 4b) 地方各级环境保护行政主管部门网站环境质量类栏目包含本行政区域环境质量报告、重点流域水环境质量信息及重点地区水、大气、噪声、固体废物等信息。 5.1.1.7 环境管理业务类栏目 根据各级环境保护行政主管部门的机构职能情况设置环境科技管理、污染源监测、环境影响评价、污染防治、自然生态、核与辐射安全、环境监察执法、环境污染事故与应急管理、国际环境合作、环境信息化、环境宣传教育等环境管理业务类栏目,按照国家和地方最新发布的信息公开政策文件要求发布相关信息。 5.1.1.8 动态新闻类栏目 a) 国务院环境保护行政主管部门网站动态新闻类栏目包含党和国家领导人有关环境保护工作的政务活动、
13、重要讲话等(宜公开的)、本部门领导政务活动、工作动态、派出机构及直属单位重要工作动态、各省重要工作动态等信息; b) 地方各级环境保护行政主管部门网站动态新闻类栏目包含本部门及下级部门重要工作动态及政务活动等信息,并可选择部分国务院环境保护行政主管部门网站重要工作动态公开。 5.1.1.9 其他类栏目 在本部门职责范围内设置其他类相应栏目,包括以下方面信息: a) 本部门公务员招录、干部任免及工作人员招考等相关人事信息; b) 本部门财政资金预决算与相关审计信息、政府采购与招标信息、重大项目审批等相关信息; c) 本部门信息公开专栏,包含本部门信息公开制度、指南、目录、年度报告等信息; d)
14、其他需要社会公众广泛知晓或参与的信息。 5.1.2 信息公开的展现方式 5.1.2.1 政府信息公开目录系统 环境保护行政主管部门网站应按照中华人民共和国政府信息公开条例、政府信息公开目录系统实施指引(试行)的要求建设政府信息公开目录系统。 a) 国务院环境保护行政主管部门网站建设本部门信息公开目录系统发布信息; b) 省级环境保护行政主管部门网站建设或依托本级政府的信息公开目录系统发布信息; c) 地市级及以下环境保护行政主管部门网站可结合各地实际情况,建设或依托本级政府、上级部门的政府网站信息公开目录系统发布信息。 5.1.2.2 其他业务栏目 /子网站 没有纳入政府信息公开目录系统内而又
15、应向社会发布的信息, 可通过组织成子网站或栏目的方式对外发布。 a) 国务院环境保护行政主管部门网站建设子网站或按栏目发布此类信息; b) 省级及地市级环境保护行政主管部门网站建设子网站或按栏目发布此类信息; 5c) 县级环境保护行政主管部门网站按栏目发布此类信息。 5.2 在线服务 5.2.1 在线服务的构成 环境保护行政主管部门网站的在线服务内容包括环境行政许可事项和环境行政服务事项。 a) 按照各级环境保护行政主管部门实施的行政许可事项及依据目录,提供环境行政许可事项在线办事服务; b) 根据各级环境保护行政主管部门职能范围,提供行政服务事项的在线办事服务。 5.2.2 在线服务的实现要
16、素 a) 国务院环境保护行政主管部门网站建设在线服务平台提供在线办事服务; b) 省级环境保护行政主管部门网站建设或依托本级政府的在线服务平台提供在线办事服务; c) 地市级及以下环境保护行政主管部门网站可结合各地实际情况,建设或依托本级政府、上级部门政府网站的在线服务平台提供在线办事服务。 在线服务一般包括办事指南、表格下载、网上申报与办理、在线查询、结果反馈等实现要素。在线服务实现方式,层级不超过 2级。 5.2.2.1 办事指南 环境保护行政主管部门网站提供办事指南服务。 a) 办事指南包括办理事项名称、办理依据、提交材料、办理流程、收费标准及依据、办理时限、办理机构、办理地址等信息;
17、b) 办事指南内容应准确无误,及时更新。 5.2.2.2 表格下载 提供办理事项所需的表格、申请书以及示范文本等文档的下载服务。 a) 提供的表格、申请书应准确无误,方便下载; b) 对于非规范文档,提供相应的表格示范文本和填表说明; c) 提供的表格、申请书和示范文本支持常用办公软件进行编辑处理。 5.2.2.3 网上申报与办理 结合本地环境信息化发展水平,就具体事项提供以下不同深度的网上申报与办理服务。 a) 第一阶段:网上预约服务,实现用户网上提交办事申请、预约办理时间; b) 第二阶段:网上申报和受理服务,实现网上受理办事申请、进行办事材料预审; c) 第三阶段:网上申报和办理服务,实
18、现网上受理办事申请、办事材料,网上查询办理状态和结果反馈全流程办理服务。 5.2.2.4 在线查询 根据各自网站的实际情况,提供办事过程状况与办事结果的在线查询服务。 6a) 根据业务办理的实际情况,提供办事过程状况和办事结果的在线查询服务。事项的办理过程查询信息与实际办理过程情况保持一致; b) 提供信息列表、数据库查询等多种查询方式。 5.2.2.5 结果反馈 根据各自网站的实际情况,提供办理事项的结果反馈服务。 a) 规范结果公示格式,主动公开办理事项的办理结果。受理事项未获批准的,详细告知申请人未获批准的原因以及法律依据; b) 办理事项的结果公示在办理结果产生后及时在网站上公开。 5
19、.3 政民互动 5.3.1 政民互动栏目建设 环境保护行政主管部门网站政民互动类栏目包括咨询投诉类、意见征集类、在线交流类等。 5.3.1.1 咨询投诉类 5.3.1.1.1 咨询投诉类栏目形式 咨询投诉类栏目形式包括领导信箱、网上咨询、网上投诉等。 5.3.1.1.2 咨询投诉类栏目建设要求 a) 咨询类栏目的基本功能是受理公众对环保法规、规章、办事程序等问题的咨询; b) 投诉类栏目的基本功能是受理公众对环境违法问题的举报和投诉等; c) 咨询投诉类栏目明确咨询投诉问题的答复时间、处理流程和质量要求,并在规定时限内由相关单位反馈处理结果; d) 咨询投诉类栏目应用的系统具有稳定、合理、灵活
20、的业务处理流程,以及过滤、分类、统计、查询、回复、转发和打印等功能,以便顺利地实现各个子系统之间的数据调度。 5.3.1.2 意见征集类 5.3.1.2.1 意见征集类栏目形式 意见征集类栏目形式包括公示调查、网上评论、网上听证等。 5.3.1.2.2 意见征集类栏目建设要求 a) 意见征集类栏目的基本功能是征集公众对政府环保决策、环保热点问题的意见和建议等; b) 意见征集类栏目围绕当前环保重点工作和公众关注环保热点问题设置征集主题,并定期更新; 7c) 意见征集类栏目及时对公众征集情况分析汇总,并公开征集结果和公众意见采纳情况。 5.3.1.3 在线交流类 5.3.1.3.1 在线交流类栏
21、目形式 在线交流类栏目形式包括在线访谈、网上论坛、微博、微信等。 5.3.1.3.2 在线交流类栏目建设要求 a) 在线交流类栏目的基本功能是宣传政府环保工作、鼓励公众积极参与环境保护事业; b) 在线交流类栏目围绕当前环保重点工作和公众关注环保热点问题设置交流主题,并定期更新; c) 在线交流类栏目能实现对交流内容的审核,保障交流活动有序进行; d) 在线交流类栏目注重舆情引导,满足公众的释疑解惑需求。 5.3.2 政民互动的实现方式 a) 国务院环境保护行政主管部门网站建设政民互动平台受理投诉、解答咨询、征集公众或社会意见; b) 省级环境保护行政主管部门网站建设或依托本级政府的政民互动平
22、台受理投诉、解答咨询、征集公众或社会意见; c) 地市级及以下环境保护行政主管部门网站可结合各地实际情况,建设或依托本级政府、上级环境保护行政主管部门网站的政民互动平台受理投诉、解答咨询、征集公众或社会意见。 6 网站设计 6.1 结构设计 6.1.1 栏目设计 a) 栏目设计清晰合理,方便公众便捷获取所需内容; b) 栏目名称规范准确、避免歧义。 6.1.2 导航设计 a) 建立统一的站内导航服务,实现不同栏目之间的有机联结; b) 提供业务相关网站的站外导航服务,方便公众使用,链接可正常访问。 6.2 展现形式设计 6.2.1 网站名称 环境保护行政主管部门网站名称使用各级环境保护行政主管
23、部门全称。 86.2.2 域名 a) 域名设置符合中国互联网络域名管理办法的相关规定; b) 已有网站域名的,可保留原域名,宜使用双域名,原域名可用于跳转。 6.2.2.1 英文域名 a) 国务院环境保护行政主管部门网站英文域名使用 ; b) 省级环境保护行政主管部门网站英文域名使用 或 或,其中 xx为各省行政区域名简称 (如北京市环境保护局网站的域名为)。各省、自治区、直辖市行政区域名简称参见中国互联网络域名注册暂行管理办法; c) 省级以下环境保护行政主管部门网站可使用省级环境保护行政主管部门网站分配的子域名或本级人民政府网站分配的子域名。 6.2.2.2 中文域名 a) 国务院环境保护
24、行政主管部门网站中文域名使用中华人民共和国环境保护部 .政务; b) 省级及以下各级地方环境保护行政主管部门网站中文域名使用 xx.政务或 xx.政务 .cn,其中 xx为各级环境保护行政主管部门名称全名(如北京市环境保护局网站中文域名为北京市环境保护局 .政务或北京市环境保护局 .政务 .cn)。 6.2.3 页面设计 6.2.3.1 页面展现 a) 页面设计布局科学、重点突出、美观大方、简洁庄重; b) 页面层级合理规划、深度适中; c) 各层级页面的布局风格统一协调,并且包含相应的功能设置; d) 页面展现具有首页、栏目页、内容页等不同层级页面中的几种或全部形式。 6.2.3.1.1 首
25、页页面展现 a) 首页内容紧密围绕环保工作特点和重要业务范围,突出信息公开、在线服务、政民互动等功能; b) 首页的基本构成要素包含栏目导航、 专题特色栏目快速链接、 重要栏目的主要内容、相关链接等信息; c) 首页展现各类功能性应用,如信息查询、关键词搜索、信息订阅等功能; d) 首页文字准确、直观、易识别。 6.2.3.1.2 栏目页面展现 a) 栏目页的基本构成要素包含栏目导航、栏目分类及其分类文章列表等; b) 栏目页支持与首页和其它页面的相互切换。 6.2.3.1.3 内容页面展现 9a) 内容页的基本构成要素包含标题、正文、作者、发表日期、来源等信息; b) 内容页明显标示文章所属
26、的栏目分类,并能够直接返回到首页和所属栏目页面。 6.2.3.2 页眉页尾文件 a) 在网站页眉标明网站中英文名称; b) 在网站页尾放置党政机关网站统一标识, 标注主办单位、 技术支持单位、 联系方式、ICP备案编号、公网安备编号等信息。 6.2.4 语言版本 提供简体中文版本,可根据用户需求提供繁体中文版、外文版。 a) 繁体版的内容与简体中文版内容相对应,信息完整、准确; b) 外文版的内容包含部门概况、部门职能介绍等内容。 6.3 网站辅助功能设计 6.3.1 查询检索功能 提供数据库查询和网站检索功能服务。查询和检索功能或链接放置在网站首页较明显处。 6.3.1.1 数据库查询 提供
27、环保信息数据库查询服务,如环境质量信息查询、环境保护标准查询、环境相关业务名录及名单查询等。具体要求如下: a) 网站数据库提供关键信息的查询功能; b) 网站数据库所提供的信息及时、准确; c) 网站数据库定期更新信息。 6.3.1.2 网站检索功能 提供网站信息全文检索服务,具体要求如下: a) 信息检索符合政府网站内容格式规范中有关检索系统的要求; b) 信息检索提供支持任意词组查询的简单检索,视实际情况提供支持核心元数据组合查询的高级检索; c) 信息检索与网站内容保持同步更新; d) 信息检索结果准确。 6.3.2 多媒体发布功能 提供多媒体发布服务,提供新闻、会议、相关专题等图片下
28、载、 flash、音频和视频的在线播放功能,实现多媒体信息及时发布更新。 6.3.3 帮助功能 提供网站地图帮助功能。 10a) 网站地图页面包括网站架构、首页栏目及各级子栏目链接; b) 网站栏目链接能正常访问。 6.3.4 日志分析功能 采用成熟的日志分析技术, 实现网站浏览量、 用户行为等统计分析功能。 具体要求如下: a) 网站首页可设置网站统计栏目; b) 网站提供对网站流量、 访问者来源等内容的统计分析和对网站内容的深度挖掘分析服务。 6.3.5 个性化定制服务 视实际需要,提供个性化信息定制服务。 a) 提供网站界面的总体模块类型和布局形式的定制服务; b) 提供网站具体信息内容
29、的定制服务。 6.3.6 移动终端应用服务 视实际需要,提供移动终端应用服务。 a) 提供网站移动终端访问指南; b) 实现信息主动推送功能。 6.3.7 地理信息系统 (GIS)服务 视实际需要,提供地理信息系统 ( GIS) 应用服务。 a) 提供环境信息 GIS综合发布平台界面; b) 提供环境质量监测信息; c) 提供环境污染源基础信息; d) 提供环境质量数据统计分析功能。 6.3.8 无障碍服务 视实际需要,提供无障碍服务。 a) 提供无障碍强化导航功能,支持全键盘操作、栏目跳转及区域跳转等; b) 提供语义化的辅助提示语音功能; c) 提供无障碍网站浏览辅助功能,如无障碍纯文本转
30、换模式、文字大小控制功能、高对比度显示功能、辅助线辅助功能、界面控制功能、界面重置功能等。 6.3.9 其它辅助功能 视实际需要,提供其他辅助功能如单点登录功能,实现统一认证,一站服务等。 6.4 网站信息分类设计 环境保护行政主管部门网站信息分类设计坚持“以人为本”的原则,从以下角度考虑: a) 内容访问角度:按服务对象组织网站栏目,便于公众、企业等不同网站用户访问; b) 内容组织角度:按内容类别组织栏目,内容类别再按多个层次进行分类组织。 117 运行维护要求 7.1 基本运行指标 a) 提供 724小时的连续运行,平均年故障时间不超过 72小时,平均故障修复时间不超过 2小时; b)
31、正常响应时间不超过 3秒。 7.2 技术规范性要求 a) 兼容主流浏览器; b) 文字编码宜采用 UTF-8标准; c) 数据和信息交换格式符合 XML数据交换标准:数据格式以 XML格式为主,结合关系化、结构化、标准化、消息化的技术,支持各种类型的数据交换,包括文本数据、WEB数据、矢量地图、影像、视频、音频等;数据模板采用以 XSL格式定义的数据模板;数据规则采用以 XML、 XSL、 XInclude等格式定义的数据规则; d) 互操作服务接口符合 Web服务机制和 HTTP标准。 7.3 网站系统运行维护要求 a) 明确上网信息内容、信息发布格式、信息采集、编辑、审核、发布等各环节流程
32、等要求,保障信息发布的及时性、准确性和规范性; b) 用户访问日志保存时间不少于 2年; c) 定期进行系统检测与升级,检测周期不超过一个月; d) 定期进行数据和系统配置备份,重要数据每日进行增量备份,每周进行完全备份,每月进行异地备份。 7.4 网站相关技术要求 a) 考虑采用网站群技术,实现主网站与各子网站、子网站间的信息共享,实现站点间的数据调度与交换; b) 采用 SOA架构体系进行构建,以 Web Services技术体系为应用服务核心,支持数据整合和数据共享交换模式,适当考虑门户整合、应用整合和服务整合; c) 后台管理采用内容管理技术,实现网站内容采集、编辑、存储、审核、发布、
33、归档、销毁等管理功能; d) 考虑可维护性、可管理性、可扩充性、可移植性、移动终端自适应性、大数据应用等要求。 7.5 测试要求 a) 正式发布前,进行全面功能测试和相关安全测试; b) 定期对网站服务内容和服务功能进行有效性测试,及时发现和修改网站错误。 8 安全要求 8.1 基本要求 12环境保护行政主管部门网站应按照当地公安部门对重要信息系统的安全要求进行备案,并按照备案的等保级别实施网站的安全防护。 a) 根据 信息安全等级保护管理办法 、 GB/T 25070、 GB/T 25058、 GB/T 22239、 GB/T 22240的相关规定,确定政府网站的安全保护等级; b) 根据网
34、站安全保护等级,制定网站安全建设方案、测试方案,以及网站整体安全管理策略等。 c) 网站全年重大安全事故不应超过 3次,网站恢复正常时间不应超过 1个小时;重大安全事故包括但不限于:网站无法访问、网站虽可访问但重要数据丢失或被窃取、篡改;网页被篡改涉及政治言论、悬挂政治标识;数据损坏;发布或传播政治敏感信息等。 8.2 物理安全 a) 机房建设应符合 GB/T 2887、 GB 50174、 GB/T 9361等技术要求; b) 硬件设备应符合相关产品安全标准; c) 通信线路应有必要的冗余和备份。 8.3 网络安全 a) 网络基础设施建设应符合 GB/T 20270等技术要求; b) 应合理
35、规划网络安全区域,安全区域间应制定严格的访问控制策略; c) 应采用防火墙、入侵检测等安全防护措施对安全区域进行安全防护; d) 应对网络设备及其用户进行标识和鉴别; e) 应对网络设备的运行状况、网络流量、用户行为等进行安全审计。 8.4 操作系统安全 a) 操作系统应符合 GB/T 20271、 GB/T 20272等技术要求; b) 应遵循操作系统最小安装原则,仅安装必要的组件和应用程序; c) 应定期更新操作系统,并及时安装各种安全补丁程序; d) 应严格限制操作系统默认账户和匿名账户的使用,定期更换账户口令,口令应符合复杂性要求; e) 应严格设置操作系统访问控制策略,禁止所有不必要
36、的访问权限; f) 应采用防病毒、漏洞扫描等安全防护措施对操作系统进行安全防护。 8.5 应用安全 a) 应用系统建设应符合 GB/T 20271技术要求; b) 应用系统的功能设计应符合相关安全标准,编码应符合安全规范; c) 应用系统可采用数字证书、动态口令等技术对用户进行标识和鉴别,对用户行为进行监控和审计; d) 应用系统的用户名和口令应符合复杂性要求; e) 应用系统应具备访问控制功能,制定安全访问策略,严格管理远程访问权限。 8.6 数据安全 13a) 应采用数据分级管理措施,对不同级别的数据应分别制定访问控制策略; b) 应采用数据加密、内容防篡改等安全防护措施,防治敏感数据被非法访问、修改和破坏; c) 应采用数据备份和恢复措施,提高网站灾难恢复能力。 9 标准实施 本标准由各级环境保护行政主管部门组织实施。
