标准规范下载简介

SF／T 0036-2019 公证信息安全技术规范简介：

SF/T 0036-2019 是“中华人民共和国国家标准化管理委员会”发布的《公证信息安全技术规范》。这是一项信息安全技术标准，主要针对公证行业的信息安全提出了一套详细的要求和指南。

该标准旨在确保公证信息的安全，包括但不限于公证数据的保密性、完整性和可用性。公证机构在处理涉及个人信息、商业秘密等敏感信息的公证业务时，需要遵循此标准，以防止数据泄露、篡改或丢失，保护公众和相关主体的合法权益。

标准内容可能包括但不限于：数据加密技术的应用、访问控制策略、安全审计、灾难恢复计划、信息安全管理体系的建立和维护等。它对于提升公证行业的信息化管理水平，保障公证信息的合法、安全、有效管理具有重要意义。

SF／T 0036-2019 公证信息安全技术规范部分内容预览：

下列术语和定义适用于本文件。

下列术语和定义适用于本文件。

公证notarization 公证机构根据自然人、法人或者其他组织的申请，依照法定程序对民事法律行为、有法律意义的事 实和文书的真实性、合法性予以证明的活动。 3.1.2 公证机构notarialinstitutions 佐注设立不以营利为日的依注独立

公证notarization 公证机构根据自然人、法人或者其他组织的申请DBJ61-48-2008标准下载，依照法定程序对民事法律行为、有法 实和文书的真实性、合法性予以证明的活动。

公证事项notarizedmatters

SF/T 00362019

公证机构依据《中华人民共和国公证法》第十一条的规定，按照公证证明对象对所办理的公证业务 的细化分类

公证事务notarialaffairs 依据《中华人民共和国公证法》第土二条的规定，公证机构所办理的非证明业

证信息安全notarizationinformationsecur 证数据和信息化设施的安全。

数据保密性dataconfidentiality 非授权的用户、实体或过程对于信息无访问权限，从而保证涉密信息具有不被盗取或利用的特性。

一种加密过程不需要密钥，并且经过加密的数据无法被解密，只有输入相同的明文数据经过相同的 算法才能得到相同的密文的算法

附加在数据单元上的一些数据，或是对数据单元所作的密码交换（见“密码学”），这种数据或变 换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（例如接 收者）进行伪造。 [GB/T 9387.2—1995,定义3.3.26]

非对称密码技术asymmetriccryptographictechnique 使用两种相关变换的密码技术。 注：一种是由公开密钥定义的公开变换，另一种是由私有密钥定义的私有变换

下列缩略语适用于本文件。 CA证书认证机构（CertificateAuthority）

4公证信息安全对象和内容

信息安全对象包括公证事项、公证事务、公证数据和公证信息化设施，

SF/T 00362019

5.1信息安全建设基本要求

信息安全建设要求如下： a）应遵循GB/T17859、GB/T22240、GB/T22239和公通字［2007]43号的相关规定，并符合 行业所需要的其他要求：

SF/T 00362019

b）应根据信息的重要程度和不同类别，采取不同的保护措施，实施分类保护； c）应根据信息系统和数据的重要程度，进行分域存放，实施分域保护和域间安全交换，实施分域 控制。

5.2信息安全建设实施方法

信息安全建设应按照以下实施方法： ）依据信息安全等级保护的定级规则，确定电子公证信息的安全等级； 按照信息安全等级保护要求，确定与电子公证信息安全等级相对应的基本安全要求； 依据信息系统基本安全要求，并综合电子公证信息安全技术要求、信息系统所面临风险和实施 安全保护措施的成本，进行安全保护措施的制定，确定适用于电子公证信息的安全保护措施， 并依照本标准相关要求完成规划、设计、实施、验收和运行工作。

5.3信息安全防护等级

6.1物理安全基本要求

设备安全要求如下： a) 应妥善放置计算机、网络基础设施，机房内部应设有电视监控，安排专人值守，加强保护以降 低被破坏的风险，防止非法入侵； 6 应为设备提供可靠的运行支持，并通过容错和故障恢复等措施，支持信息系统实现不间断运行； C 应采取严格的保护措施存放核心数据的各类记录介质，防止被盗、被毁和受损。核心数据应长 期保存，并采取有效措施，防止被非法拷贝。

SF/T 00362019

网络访问控制要求如下： a）应使用经过授权的网络服务，防止不安全的网络连接影响电子公证的安全： b 应制定有关网络及网络服务的使用策略，并与访问控制策略保持一致。具体策略应规定以下内 容： 1） 应明确用户允许访问的网络和网络服务； 2） 应规定对用户访问网络和网络服务进行授权的程序； 3） 应具有对网络连接和网络服务的访问进行保护的管理控制措施和程序： 4）应保留对网络服务的访问日志，并根据信息的敏感程度确定日志的具体内容。 C 应基于访问控制策略和访问需求，根据不同的业务、应用及其所处理信息的敏感性和重要性， 并按照国家信息安全等级保护要求，将网络与信息系统划分成不同的逻辑安全区域，采取重点 防护、边界隔离的办法，重点加强安全域关键边界的安全保护和监控。同时通过隔离措施，过 滤域间业务，控制域间通信； 应制定并实施有效的端口保护措施，保护网络与信息系统的远程操作管理所使用的端口，防止 端口被未经授权访间或非法访间，并记录各端口的访间日志，

网络传输安全要求如下： a）应采取SSL、IPSec等加密控制措施，保障通过公共网络传输的数据机密性和完整性； b）应对网络安全状态进行持续监控，记录有关错误、故障和补救措施

7.4网络安全审计与监控

网络安全审计与监控要求如下： a）应对网络访问和使用情况进行审计和监控，以检测违反访问控制策略的活动； b）应记录相关证据。

7.5网络设备安全管理

网络设备安全管理要求如下： a 应明确许可设备管理权限，否则应禁止； b 应明确限定设备管理权限的变更，包括系统自动生效的变更和管理员批准生效的变更； 应经管理人员审查批准访问控制规则，方可执行； d 应依照每个系统的安全要求制定访问控制策略； 应依照与该系统相关的业务信息的类型制定访问控制策略。

8.1系统安全基本要求

SF/T 00362019

身份鉴别要求如下： a）每个用户应使用唯一的用户标识符，用户与其操作关联，并对其行为负责； b）因业务需要时允许使用用户组，应采取控制措施； c）授权用户访问的级别应给予业务目的，并符合安全策略，用户授权应遵循最小授权原则； d）用户访问权限应得到上级批准； 应及时修改或注销已经转岗或离职用户的访问权限； 应定期核查并删除多余、闲置或非法的账户。

操作系统安全应提供以下访问控制功能： a）验证用户身份； b）记录所有系统访问日志； c）限制用户连接时间。

数据库安全涉及到数据的完整性、保密性，应包括以下内容： a) 用户身份鉴别； b) 访问控制； c) 数据标记； d) 数据流控制； 安全审计； ? f) 备份与恢复。

中间件安全要求如下： a）应选用符合安全要求的中间件产品； b）应制定符合安全规范的用户身份鉴别方式、用户权限设置、操作规范、安全审计等相关措施； C）应实时监控中间件运行状态和通过中间件的数据。

B. 6 恶意代码防范

SF/T 00362019

g）应进行用户安全教育和培训，进行恶意软件攻击通报，制定系统恢复的管理程序，落实相关责 任； h）应从权威发布部门接受恶意软件相关信息，对可疑问题应及时上报

建筑工程计量与计价项目六工程造价软件应用9.1应用安全基本要求

应用访问控制要求如下： 应根据访问控制策略，控制用户访问应用系统和信息： b）应防止用户在未经授权的情况下使用能够超越系统或应用控制措施的工具和系统软件； 系统所有人和授权用户可对应用系统中的信息进行访问； d）应用系统对共享信息资源的访问应对其它系统的安全无影响； e 应确保处理敏感信息的应用系统只输出必要信息，输出结果只能被发送至授权的终端，应定期 检查此类输出

应用数据完整性包括输入数据验证、内部处理控制和输出控制验证，具体要求如下： a）输入数据验证 1）进行口令修改等输入操作时，应双重输入，并确认两次输入的口令一致才接受修改； 2） 应建立用于响应错误输入的程序； 应建立用于测试输入数据真实性的程序。 b) 内部处理控制 1 程序或进程中账户和口令应可修改； 2）应具备对口令猜测的防范机制和监控手段：

SF/T 00362019

3） 应避免应用程序以错误的顺序运行，防止出现故障后程序以不正常的流程运行； 应采用正确的故障恢复程序，确保正确处理数据： 5） 应采取会话控制或批次控制，确保更新前后数据文件状态的一致性； 6） 应检查执行操作前后对象是否正常； 7） 应验证系统生成的数据； 8 应检查上传、下载的数据或软件的完整性； 9 应检查文件与记录是否被篡改。 输出数据验证 1） 应验证输出数据在规定的赋值范围内： 2 输出数据应为用户或后续处理系统提供充足的信息，以确定信息的准确性、完整性、精确 性和分类级别： 3 应具有可以用来验证输出数据的测试程序

应用通讯加密包括加密技术使用策略、加密技术、数字签名、抗抵赖服务、密钥管理，具体要求如 加密技术使用策略 1）应具有密钥管理方法，在密钥丢失、泄露或损坏时恢复信息原文； 2 应具有策略实施、密钥管理的相关岗位和职责； 3） 应能正确确定合适的加密保护级别。 b） 加密技术 1 应符合国家有关加密技术的使用和进出口限制等方面的法律法规； 应根据风险评估确定保护级别，并以此确定加密算法的类型、属性，以及所用密钥的长度 应选择能够提供所需保护的合适的加密产品，加密产品应能实现安全的密钥管理。 C 数字签名 应充分保护私钥的机密性，防止窃取者伪造密钥持有人的签名； 2 应使用公钥证书保护公钥完整性： 3 用于数字签名的密钥应不同于用来加密内容的密钥； 应符合有关数字签名的法律法规。 d 抗抵赖服务 应根据公证业务流程规范与加密技术使用策略； 2） 应使用抗抵赖服务的业务并使用抗抵赖服务。 e） 密钥管理 应采取加密等安全措施来有效保护密钥； 2） 应对生成、存储和归档保存密钥的设备采取物理保护； 3 应使用经过批准的加密机制进行密钥分发，应记录密钥的分发过程； 4 应制定确切的密钥生存期，应在生存期内有效。生存期的长短应取决于使用环境及加密技 术； 5）应全国进行统一设计密匙管理

应用安全管理包括应用程序的部署及更新、应用系统源代码安全，具体要求如下： a）应用程序的部署及更新

GB∕T 15306.2-1994 陶瓷可转位刀片 带孔刀片尺寸SF/T 00362019