GB/Z 24294.3-2017《信息安全技术 基于互联网电子政务信息安全实施指南 第3部分：身份认证与授权管理》

GB/Z 24294.3-2017《信息安全技术 基于互联网电子政务信息安全实施指南 第3部分：身份认证与授权管理》基本信息

标准号：GB/Z 24294.3-2017

中文名称：《信息安全技术 基于互联网电子政务信息安全实施指南 第3部分：身份认证与授权管理》

发布日期：2017-05-31    

实施日期：2017-12-01

发布部门：中华人民共和国国家质量监督检验检疫总局  中国国家标准化管理委员会    

提出单位：全国信息安全标准化技术委员会(SAC/TC 260)    

归口单位：全国信息安全标准化技术委员会(SAC/TC 260)    

起草单位：解放军信息工程大学、中国电子技术标准化研究所、北京天融信科技有限公司、郑州信大捷安信息技术股份有限公司

起草人：陈性元、杜学绘、孙奕、夏春涛、曹利峰、张东巍、任志宇、罗锋盈、上官晓丽、董国华    

中国标准分类号：L80数据加密

国际标准分类号：35.040字符集和信息编码

GB/Z 24294.3-2017《信息安全技术 基于互联网电子政务信息安全实施指南 第3部分：身份认证与授权管理》介绍

中华人民共和国国家质量监督检验检疫总局与中国国家标准化管理委员会于2017年5月31日发布了GB/Z 24294.3-2017《信息安全技术 基于互联网电子政务信息安全实施指南 第3部分：身份认证与授权管理》标准，并于2017年12月1日正式实施。

一、标准概述

GB/Z 24294.3-2017标准是《信息安全技术 基于互联网电子政务信息安全实施指南》系列标准的第三部分，专注于身份认证与授权管理。该标准旨在为电子政务系统提供一套科学、合理的安全实施指南，确保用户身份的真实性、合法性和唯一性，以及对电子政务资源的合理授权。

二、标准主要内容

1、身份认证

身份认证是确保用户身份真实性和合法性的关键环节。标准规定了身份认证的基本原则、技术要求和管理要求。在基本原则方面，强调了身份认证的安全性、可靠性和互操作性。技术要求包括但不限于认证方式的选择、认证数据的保护、认证过程的监控等。管理要求则涉及到认证策略的制定、认证系统的维护和更新等方面。

2、授权管理

授权管理是确保用户对电子政务资源合理访问的重要措施。标准对授权管理的流程、策略和实施提出了具体要求。流程要求明确了从用户请求到授权决策的整个流程，包括用户身份的验证、权限的分配、访问的控制等环节。策略要求则强调了授权策略的制定应基于最小权限原则，确保用户仅获得完成其任务所需的最小权限。实施要求则涉及到授权系统的构建、权限的分配和监控等方面。

三、标准实施的意义

1、提升电子政务安全性

通过实施GB/Z 24294.3-2017标准，可以有效提升电子政务系统的安全性。身份认证和授权管理的规范化实施，可以防止未授权用户访问敏感数据，减少信息泄露的风险。

2、保障用户合法权益

标准化的身份认证和授权管理流程，有助于保障用户的合法权益。用户可以通过标准的认证流程，确保其身份得到确认，从而获得相应的服务和资源。

3、促进电子政务健康发展

标准的实施有助于电子政务的健康发展。通过规范信息安全实施，可以提高电子政务系统的稳定性和可靠性，增强公众对电子政务系统的信任，从而推动电子政务的广泛应用。