《政務“一朵云”安全管理體系規(guī)范 第1部分：安全運行監(jiān)測（征求意見稿）》

備案號：江DB32（征求意見稿）江蘇省市場監(jiān)督管理局發(fā)布DB32/TXXXX—XXXX前言.............................................................錯誤！未定義書簽。引言.............................................................錯誤！未定義書簽。1范圍...............................................................錯誤！未定義書簽。2規(guī)范性引用文件.....................................................錯誤！未定義書簽。3術(shù)語和定義.........................................................錯誤！未定義書簽。4縮略語.............................................................錯誤！未定義書簽。5總體框架...........................................................錯誤！未定義書簽。6基本原則...........................................................錯誤！未定義書簽。7基本要求...........................................................錯誤！未定義書簽。8資產(chǎn)監(jiān)測...........................................................錯誤！未定義書簽。9風險監(jiān)測...........................................................錯誤！未定義書簽。10可用性監(jiān)測........................................................錯誤！未定義書簽。11安全事件監(jiān)測......................................................錯誤！未定義書簽。12重保與應急........................................................錯誤！未定義書簽。13安全協(xié)同..........................................................錯誤！未定義書簽。14安全檢查..........................................................錯誤！未定義書簽。15供應鏈安全........................................................錯誤！未定義書簽。16運行效果評價......................................................錯誤！未定義書簽。17安全審計..........................................................錯誤！未定義書簽。18安全管理..........................................................錯誤！未定義書簽。DB32/TXXXX—XXXX前言本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起請注意本文件的某些內(nèi)容可能涉及專利，本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由江蘇省數(shù)字政府標準化技術(shù)委員會提出并歸口。本文件起草單位：江蘇省大數(shù)據(jù)管理中心。本文件主要起草人：吳中東、忻超、黃敏、劉堯、楊揚、王文娟、劉鑫、蔡一凡、谷和啟。DB32/TXXXX—XXXX為加強統(tǒng)籌規(guī)劃，全面提升全省政務云服務能力和安全運行水平，促進政務信息基礎設施建設可持續(xù)發(fā)展，根據(jù)《省政府關(guān)于加快統(tǒng)籌推進數(shù)字政府高質(zhì)量建設的實施意見》（蘇政發(fā)〔2022〕44號）《江蘇省政務“一朵云”建設總體方案》（蘇政發(fā)〔2023〕36號）的要求，建立健全全省政務“一朵云”安全保障體系，提升安全防護能力，制定本標準。本文件基于全省政務“一朵云”安全架構(gòu)，建立健全安全管理體系、主動防護能力、安全合規(guī)評估和安全運維保障四位一體的立體縱深安全防護體系，達到管理可執(zhí)行、技術(shù)可落地、合規(guī)可監(jiān)管、安全可運維。擬由3個部分組成：——第1部分：安全運行監(jiān)測?！?部分：密碼應用技術(shù)要求。——第3部分：密碼應用安全性評估。1DB32/TXXXX—XXXX政務“一朵云”安全管理體系規(guī)范第1部分：安全運行監(jiān)測本標準規(guī)定了政務云安全運行監(jiān)測工作的總體要求、基本原則、基本要求、資產(chǎn)監(jiān)測、風險監(jiān)測、可用性監(jiān)測、安全事件監(jiān)測等內(nèi)容。本標準適用于指導政務云管理機構(gòu)開展政務云安全運行管理工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239-2019信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB/T39786-2021信息安全技術(shù)信息系統(tǒng)密碼應用基本要求GB/T39204-2022信息安全技術(shù)關(guān)鍵信息基礎設施安全保護要求GB/T31168-2023信息安全技術(shù)云計算服務安全能力要求3術(shù)語和定義GB/T25069-2022和GB/T5271.8界定的以及下列術(shù)語和定義適用于本文件。3.1安全監(jiān)測securitymonitoring以信息安全事件為核心，通過對網(wǎng)絡和安全設備日志、系統(tǒng)運行數(shù)據(jù)等信息的實時采集，以關(guān)聯(lián)分析等方式，實現(xiàn)對監(jiān)測對象進行風險識別、威脅發(fā)現(xiàn)、安全事件實時報警及可視化展現(xiàn)。3.2安全審計securityaudit對信息系統(tǒng)記錄與活動的獨立評審和考察，以測試系統(tǒng)控制的充分程度，確保對于既定安全策略和運行規(guī)程的符合性，發(fā)現(xiàn)安全違規(guī)，并在控制、安全策略和過程等方面提出改進建議。3.3風險評估riskassessment風險識別、風險分析和風險評價的整個過程。3.4供應鏈supplychain將多個資源和過程聯(lián)系在一起，并根據(jù)服務協(xié)議或其他采購協(xié)議建立連續(xù)供應關(guān)系的組織系列。2DB32/TXXXX—XXXX3.5政務云e-governmentcloud運用云計算技術(shù)，統(tǒng)籌利用機房、計算、存儲、網(wǎng)絡、安全、應用支撐等軟硬件設備，發(fā)揮云計算虛擬化、高可靠性、高通用性、高可擴展性及快速、按需、彈性服務等特征，為政府領域信息系統(tǒng)提供基礎設施、支撐軟件、運行保障和信息安全等綜合服務平臺。3.6主動防御activecyberdefense以應對攻擊行為的監(jiān)測發(fā)現(xiàn)為基礎，主動采取收斂暴露面、捕獲、溯源、干擾和阻斷等措施，開展攻防演習和威脅情報工作，提升對網(wǎng)絡威脅與攻擊行為的識別、分析和防御能力。4縮略語下列縮略語適用于本文件。API：應用程序編程接口（applicationprogramminginterface）APT：高級持續(xù)性威脅（advancedpersistentthreat）DC：數(shù)據(jù)中心（datacenter）DDoS：分布式拒絕服務（distributeddenialofservice）IP：網(wǎng)際互連協(xié)議（internetprotocol）SLA：服務水平協(xié)議（servicelevelagreement）5總體框架加強政務云等基礎設施安全管理，持續(xù)提升安全運行監(jiān)測能力和水平，提高安全風險預判、應對、處置能力，保障政務云及云上承載信息系統(tǒng)安全穩(wěn)定運行，支撐數(shù)字政府建設高質(zhì)量發(fā)展。政務云安全運行監(jiān)測框架如圖1所示。3DB32/TXXXX—XXXX圖1政務云安全運行監(jiān)測框架6基本原則6.1管理與技術(shù)并重原則強化管理與技術(shù)各環(huán)節(jié)銜接保障，提升專業(yè)能力水平，充實安全人才隊伍，加強外包人員管理，切實增強云基礎設施安全運行能力。6.2目標與結(jié)果導向原則明確安全運行總體目標，完善對運行監(jiān)測、預警、處置過程評估，加強對運行全生命周期閉環(huán)管理。6.3主動性原則增強安全管理主動性，提升運行監(jiān)測預警能力，將防御模式由被動發(fā)現(xiàn)向主動監(jiān)測轉(zhuǎn)變，實現(xiàn)防御效果顯著提升。6.4常態(tài)化原則加強平戰(zhàn)結(jié)合運行模式管理，堅持運行監(jiān)測工作常態(tài)化，持續(xù)開展日常監(jiān)測、預警、通報、處置等工作，做好應急時期響應處置和重要時期安全保障。6.5一體化原則構(gòu)建基礎設施全方位一體化安全防護體系，完善運行監(jiān)測支撐能力平臺工具，明確運行管理制度流程，形成運行監(jiān)測協(xié)同聯(lián)動機制。7基本要求4DB32/TXXXX—XXXX7.1職責分工7.1.1政務云運行管理機構(gòu)負責政務云平臺安全建設、運行及管理，支撐政務云使用部門實施信息系統(tǒng)上云安全建設、安全測評等工作，同時加強對政務云邊界、接入訪問等進行安全監(jiān)測、檢查。7.1.2政務云使用部門負責本單位云上信息系統(tǒng)和數(shù)據(jù)的安全建設、運維、管理，落實安全主體責任，開展信息系統(tǒng)安全監(jiān)測，做好自查自糾等工作。7.2安全保護基本能力要求7.2.1整體要求應按要求開展政務云基礎設施安全保護工作，構(gòu)建技術(shù)、管理、運維等方面的安全能力體系，為安全運行監(jiān)測工作開展提供基礎能力支撐。7.2.2技術(shù)要求應參照GB/T22239、GB/T31168等標準的相關(guān)要求，建設政務云平臺邊界訪問控制、云內(nèi)訪問控制、邊界入侵防范、云內(nèi)入侵防范、惡意代碼防范、安全審計、身份鑒別、鏡像和快照保護、代碼和開源組件檢測、數(shù)據(jù)加密、數(shù)據(jù)備份與恢復、個人信息保護等防護能力，完善云平臺的基本安全能力。7.2.3管理要求應參照GB/T22239、GB/T31168、GB/T39786等標準的相關(guān)要求，制定安全工作的總體方針和策略，明確總體目標、范圍、原則和安全框架。建立政務云基礎設施管理制度、操作規(guī)程，形成由方針策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的安全管理制度體系。應設置指導管理安全工作的管理機構(gòu)，設立安全崗位，明確崗位職責和能力要求，配備安全人員，建立并實施安全考核及監(jiān)督問責機制。7.2.4運維要求應參照GB/T22239、GB/T31168、GB/T39786等標準的相關(guān)要求開展政務云基礎設施安全運維工作，包括但不限于資產(chǎn)管理、介質(zhì)管理、設備維護管理、漏洞和風險管理、網(wǎng)絡和系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置管理、應急預案管理、外包運維服務商管理等。7.3運行監(jiān)測基本能力要求應圍繞人員、工具、流程等開展運行監(jiān)測，配備專職人員，構(gòu)建平臺工具，制定業(yè)務流程，建立主動防御機制，按要求開展資產(chǎn)監(jiān)測、風險監(jiān)測、可用性監(jiān)測、安全事件監(jiān)測、重保與應急、安全協(xié)同、安全檢查、供應鏈安全、運行效果評價、安全審計、安全管理等工作。a)應設置安全運行監(jiān)測崗位，配置專職人員，人員應符合崗位能力要求。b)應建立支撐開展掃描檢測、日志采集、流量分析、系統(tǒng)對接、常態(tài)化運行監(jiān)測的平臺工具，建立基于運行監(jiān)測結(jié)果，組織開展預警通報、重大保障、應急處置、安全協(xié)同、考核評估的平臺工具。c)應建立落實常態(tài)化監(jiān)測預警、快速響應的機制，制定監(jiān)測預警和信息通報制度，明確預警報告、響應和處置等流程，形成監(jiān)測、研判、預警、響應、處置、反饋、歸檔的完整流程閉環(huán)。d)應建立主動防御機制，針對監(jiān)測發(fā)現(xiàn)的安全事件或威脅，及時發(fā)出安全警示。建立漏洞信息、威脅信息等情報信息的共享機制。提高主動發(fā)現(xiàn)攻擊的能力，開展主動防御工作。8資產(chǎn)監(jiān)測8.1整體要求8.1.1監(jiān)測范圍應覆蓋政務云平臺，云邊界，網(wǎng)絡出入口，云租戶等。8.1.2應能及時發(fā)現(xiàn)資產(chǎn)的上線、下線等變更情況，在72小時內(nèi)完成資產(chǎn)清單更新。8.1.3應能對多種來源的資產(chǎn)數(shù)據(jù)進行統(tǒng)一融合匯總，進行資產(chǎn)維度的風險評估、可視化展示、報表輸出，挖掘資產(chǎn)安全問題。5DB32/TXXXX—XXXX8.1.4應能基于資產(chǎn)標識信息，通過資產(chǎn)和漏洞情報數(shù)據(jù)碰撞分析，快速評估漏洞影響資產(chǎn)范圍。8.2資產(chǎn)類型8.2.1應能發(fā)現(xiàn)政務云平臺資產(chǎn)，包括云主機、云存儲、云網(wǎng)絡、云安全組件、云數(shù)據(jù)庫、操作系統(tǒng)、中間件、服務器、網(wǎng)絡設備、安全設備等。8.2.2應能發(fā)現(xiàn)政務云邊界資產(chǎn)，包括網(wǎng)絡設備、通信設備、網(wǎng)絡安全設備等。8.2.3應能發(fā)現(xiàn)政務云接入終端資產(chǎn)。8.2.4應能發(fā)現(xiàn)政務云租戶資產(chǎn)，包括云主機、云網(wǎng)絡、應用系統(tǒng)、中間件、數(shù)據(jù)庫、API接口等。9風險監(jiān)測9.1整體要求應能監(jiān)測政務云平臺及云租戶的主要安全風險，包括但不限于弱口令、漏洞、高危端口、安全基線過低、過程性惡意行為、異常行為、數(shù)據(jù)高危操作、其他未知風險等，應能在24小時內(nèi)發(fā)現(xiàn)存在的隱患。9.2弱口令識別應能檢測賬號弱口令，包括但不限于內(nèi)置規(guī)則、密碼字典、機器學習等檢測方式。9.3漏洞監(jiān)測應能識別高、中、低危安全漏洞。9.4高危端口監(jiān)測應能探測高危端口對外暴露情況，包括但不限于22端口、80端口、443端口、3389端口等。9.5安全基線監(jiān)測應能探測不合規(guī)基線及錯誤配置，包括但不限于身份訪問控制、安全審計等方面。9.6過程性惡意行為監(jiān)測應能發(fā)現(xiàn)過程性惡意行為，包括但不限于掃描探測、隱患利用、域名仿冒、釣魚郵件、暴力破解等。9.7異常行為監(jiān)測應能發(fā)現(xiàn)異常行為，包括但不限于高頻登錄嘗試、異常時間登錄等。9.8數(shù)據(jù)高危操作監(jiān)測應能識別數(shù)據(jù)高危操作行為，包括但不限于違規(guī)外聯(lián)、文件導出下載、非授信IP數(shù)據(jù)庫繞行、超級管理員賬號遠程登陸、API未授權(quán)訪問、數(shù)據(jù)庫導出、數(shù)據(jù)庫高危操作等。9.9其他未知風險監(jiān)測應能基于威脅情報，識別未知風險，包括但不限于APT攻擊、勒索病毒等。10可用性監(jiān)測10.1政務云平臺10.1.1政務云平臺應具備有效的容災備份機制，包括但不限于主備容災、雙活容災、多DC容災等。10.1.2應能監(jiān)測政務云平臺物理層和虛擬化層的資源可用性，對象包括但不限于計算處理能力、內(nèi)存處理能力、硬盤處理能力等，使用率應不超過75%，同時應監(jiān)測虛擬化軟件的可用性。10.1.3應能監(jiān)測政務云平臺的可用性，建立政務云平臺SLA，關(guān)鍵節(jié)點全年可用率（全年可用時長/全年總時長）不低于99.999%。10.2政務云出入口網(wǎng)絡6DB32/TXXXX—XXXX10.2.1政務云出入口網(wǎng)絡包括政務外網(wǎng)出入口、互聯(lián)網(wǎng)出入口等，應具備有效的線路及核心設備冗余機制。10.2.2應能監(jiān)測政務云出入口網(wǎng)絡的可用性，應建立政務云出入口網(wǎng)絡SLA，全年可用率（全年可用時長/全年總時長）不低于99.999%。10.3政務云內(nèi)網(wǎng)絡10.3.1政務云內(nèi)網(wǎng)絡應具備有效的核心設備及組件冗余機制。10.3.2應能監(jiān)測政務云內(nèi)網(wǎng)絡的可用性，應建立政務云內(nèi)網(wǎng)絡SLA，全年可用率（全年可用時長/全年總時長）不低于99.999%。10.4政務關(guān)鍵應用10.4.1政務關(guān)鍵應用應具備有效的容災備份機制。10.4.2按要求對政務關(guān)鍵應用開展壓力測試，基于測試結(jié)果優(yōu)化資源分配。10.4.3應能監(jiān)測政務關(guān)鍵應用的可用性，應建立政務關(guān)鍵應用SLA，全年可用率（全年可用時長/全年總時長）不低于99.999%。10.5政務核心數(shù)據(jù)庫10.5.1核心數(shù)據(jù)庫應具備有效的容災備份機制，包括但不限于主備容災、雙活容災、多DC容災等。10.5.2應能監(jiān)測核心數(shù)據(jù)庫的可用性，應建立政務核心數(shù)據(jù)庫SLA，全年可用率（全年可用時長/全年總時長）不低于99.999%。11安全事件監(jiān)測11.1整體要求應通過流量解析、日志分析等技術(shù)手段對政務云平臺及云租戶進行7*24小時安全事件監(jiān)測，及時發(fā)現(xiàn)安全事件。11.2惡意程序事件應能發(fā)現(xiàn)惡意程序事件，包括但不限于計算機病毒、網(wǎng)絡蠕蟲、特洛伊木馬、僵尸網(wǎng)絡、網(wǎng)頁內(nèi)嵌惡意代碼、勒索軟件、挖礦病毒等。11.3網(wǎng)絡攻擊事件應能發(fā)現(xiàn)網(wǎng)絡攻擊事件，包括但不限于DDoS攻擊、域名解析異常、流量劫持、廣播欺詐、主機失陷、APT攻擊等。11.4數(shù)據(jù)安全事件應能發(fā)現(xiàn)數(shù)據(jù)安全事件，包括但不限于數(shù)據(jù)篡改、數(shù)據(jù)泄露、數(shù)據(jù)竊取、隱私侵犯等。11.5信息內(nèi)容安全事件應能發(fā)現(xiàn)內(nèi)容安全事件，包括但不限于反動宣傳、暴恐宣傳、色情傳播等。11.6異常行為事件應能發(fā)現(xiàn)異常行為事件，包括但不限于云平臺訪問異常、云平臺及邊界流量異常、云平臺高風險操作等。11.7設備設施故障事件應能發(fā)現(xiàn)設備設施故障事件，包括但不限于云平臺硬件故障、軟件故障、過載等。12重保與應急7DB32/TXXXX—XXXX12.1重大保障12.1.1在重要活動、會議期間，應設立專門負責加強安全響應的保障組織，開展專項活動，制定工作規(guī)范，確保政務云基礎設施安全運行。12.1.2應將重?；顒觿澐譃闇蕚潆A段、實戰(zhàn)階段、總結(jié)階段等環(huán)節(jié)，在各環(huán)節(jié)落實檢查自查，及時通報預警安全隱患，處置安全事件，管理監(jiān)測過程結(jié)果數(shù)據(jù)，落實報告管理、信息共享、輿情報送等工作。12.1.3應基于可視化態(tài)勢大屏等工具平臺開展專項安全監(jiān)測和分析研判，及時預警可能造成重大影響的風險和隱患，重點部門、重點崗位保持24小時值班，及時發(fā)現(xiàn)和處置安全事件隱患。12.1.4應在重保期間組織協(xié)同技術(shù)支撐單位、政務云基礎設施服務商、安全專家等，提升重大活動整體安全保障能力。12.2應急響應12.2.1應急管理應明確應急管理組織、職責和工作機制等。a)應落實安全應急工作責任制，明確安全事件應急領導機構(gòu)與職責，辦事機構(gòu)與職責，各單位部門職責，將責任落實到具體部門、崗位和個人。b)應建立健全應急工作機制，制定安全應急管理規(guī)范，明確安全事件的預防、監(jiān)測、報告和應急處置等的工作流程。12.2.2應急預案應制定應急預案并開展預案培訓與演練。a)應制定并管理安全突發(fā)事件處置場景預案，圍繞政務云關(guān)鍵業(yè)務的可持續(xù)運行保障進行個性化預案編排和執(zhí)行流程配置。b)加強安全應急預案的培訓，提高防范意識及技能，每年應至少組織1次預案培訓。c)定期組織演練，檢驗和完善預案，提高實戰(zhàn)能力，每年應至少組織1次預案演練。12.2.3應急處置應對安全事件開展應急處置，按要求進行事件上報、響應和總結(jié)調(diào)查。a)政務云安全事件發(fā)生后，應立即啟動應急預案，實施先期處置并及時報送信息。屬于較大、重大或特別重大安全事件的，應當于1小時內(nèi)進行報告。b)應按相關(guān)預案開展應急處置工作，加強技術(shù)手段運用，實現(xiàn)快速響應，及時將事態(tài)發(fā)展變化情況及應急處置結(jié)果上報。c)應急結(jié)束后應組織調(diào)查處理和總結(jié)評估，總結(jié)調(diào)查報告應對事件的起因、性質(zhì)、影響、責任等進行分析評估，提出處理意見和改進措施?？偨Y(jié)調(diào)查工作應在應急響應結(jié)束后30天內(nèi)完成。13安全協(xié)同13.1縱向協(xié)同13.1.1應積極、主動配合上級主管單位的安全管理工作，包括工作指揮、指令協(xié)同、安全檢查、考核評估等。13.1.2應依規(guī)及時、準確向上級主管單位報告安全監(jiān)測數(shù)據(jù)。13.1.3應及時、全面向上級主管單位報告較大及以上級別安全事件。13.1.4應及時向下級單位發(fā)布風險預警，進行日常通報，開展通報處置。a)針對潛在威脅事件，應能向下級單位發(fā)布預警信息，預警發(fā)布內(nèi)容宜包括事件性質(zhì)、威脅方式、影響范圍、涉及對象、影響程度、防范對策等信息，同時對預警的接收狀態(tài)進行跟蹤確認，確保預警信息被及時接收確認，達到主動預警防范的效果。b)應能持續(xù)獲取預警發(fā)布機構(gòu)的安全預警信息，按規(guī)定通報給相關(guān)人員和部門，分析、研判相關(guān)事件8DB32/TXXXX—XXXX或威脅對政務云基礎設施可能造成損害的程度，必要時啟動應急預案。c)應主動采取措施對預警進行協(xié)同響應，當安全隱患得以控制或消除時，執(zhí)行預警解除流程。d)應能監(jiān)測發(fā)現(xiàn)安全隱患、事件，通報至對應單位，推動開展暴露面收斂、隱患排查等主動防御工作，形成通報處置業(yè)務閉環(huán)。13.2橫向協(xié)同13.2.1應落實安全監(jiān)管要求，與網(wǎng)信、公安等主管部門建立溝通工作機制，配合開展安全檢查工作。13.2.2針對潛在威脅事件，應能向同級相關(guān)單位發(fā)布預警信息。13.2.3涉及跨區(qū)域安全事件時，應能按需展開與同級單位的事件協(xié)查、分析研判、形成分析報告等。14安全檢查14.1整體要求14.1.1應制定安全檢查計劃，定期開展安全檢查工作，并能根據(jù)重大保障等時期的實際情況進行調(diào)整。14.1.2應建立檢查事項庫，包括但不限于漏洞掃描、滲透測試、基線核查、代碼檢測、開源組件檢測、數(shù)據(jù)安全檢查、運維安全檢查等。14.2漏洞掃描14.2.1應檢查漏洞掃描工作開展情況，漏洞掃描的頻率、覆蓋范圍、漏洞發(fā)現(xiàn)、修復、報送情況等。14.2.2漏洞掃描的頻率應不低于每季度一次，范圍應至少覆蓋政務云平臺、核心系統(tǒng)。14.3滲透測試14.3.1應檢查滲透測試工作開展情況，滲透測試的頻率、覆蓋范圍、漏洞發(fā)現(xiàn)、修復、報送情況等。14.3.2滲透測試的頻率應不低于每半年一次，范圍應至少覆蓋核心系統(tǒng)。14.4基線核查14.4.1應檢查基線核查工作開展情況，基線核查的頻率、覆蓋范圍、配置缺陷發(fā)現(xiàn)及修復加固情況等。14.4.2基線核查的頻率應不低于每半年一次，范圍應至少覆蓋政務云平臺、核心系統(tǒng)。14.5代碼檢測14.5.1應檢查代碼檢測工作開展情況，代碼檢測的覆蓋范圍、源代碼缺陷檢出及整改情況等。14.5.2政務關(guān)鍵信息系統(tǒng)上線及重大變更前應進行代碼檢測，范圍應至少覆蓋核心系統(tǒng)。14.6開源組件檢測14.6.1應檢查開源組件檢測工作開展情況，開源組件檢測的頻率、覆蓋范圍、開源組件漏洞檢出及整改、開源組件許可協(xié)議情況等。14.6.2開源組件檢測的頻率應不低于每年一次，范圍應至少覆蓋核心系統(tǒng)。14.7數(shù)據(jù)安全檢查14.7.1應檢查云上數(shù)據(jù)安全運行工作開展情況，安全檢測的頻率、覆蓋范圍、檢出問題及整改情況等。14.7.2云上數(shù)據(jù)安全檢查的頻率應不低于每年一次，范圍應至少覆蓋核心系統(tǒng)、數(shù)據(jù)庫及API接口。14.8運維安全檢查14.8.1應檢查運維安全工作開展情況，運維安全檢查頻率、覆蓋范圍、檢出及整改情況等。運維安全包括但不限于機房環(huán)境、設備運行狀態(tài)、設備維保期限、云平臺運行狀態(tài)、云平臺資源管理、賬號使用情況、運維人員管理、告警監(jiān)測分析與策略優(yōu)化等。14.8.2運維安全檢查的頻率應不低于每季度一次，范圍應至少覆蓋政務數(shù)據(jù)中心服務器、網(wǎng)絡設備及安全設備。15供應鏈安全9DB32/TXXXX—XXXX15.1供應商要求15.1.1應調(diào)查政務云基礎設施供應商及人員背景、保密協(xié)議簽訂、安全教育培訓等情況。a)應調(diào)查供應商類型應包括但不限于咨詢、設計、集成、運維、測評、改進等各環(huán)節(jié)供應商。b)應調(diào)查人員類型應包括但不限于項目經(jīng)理、外派運維人員、實施人員、監(jiān)理人員、開發(fā)人員、測評人員、設計人員等。c)應調(diào)查保密協(xié)議簽訂情況，協(xié)議內(nèi)容應包括但不限于安全責任、保密內(nèi)容、保密期限、獎懲機制等。15.1.2應明確供應商安全責任和義務，包括但不限于加強對提供產(chǎn)品的設計、研發(fā)、生產(chǎn)、交付等環(huán)節(jié)的安全管理，聲明不非法獲取用戶數(shù)據(jù)、不非法控制和操作用戶系統(tǒng)和設備，不利用用戶對產(chǎn)品的依賴性謀取不正當利益或迫使用戶更新?lián)Q代、無正當理由不中斷產(chǎn)品供應或必要的技術(shù)支持服務等。15.1.3應對供應商人員加強賬號權(quán)限管控、資源訪問控制管理及操作行為監(jiān)管。15.1.4供應商應對涉及的運維后門、特權(quán)賬號重置及其他特權(quán)管理技術(shù)進行技術(shù)交底，并提供關(guān)閉方15.1.5對于被認定為關(guān)鍵信息基礎設施的，應加強如下要求。a)應建立和維護合格供應商目錄。應選擇有保障的供應商，防范出現(xiàn)因政治、外交、貿(mào)易等非技術(shù)因素導致產(chǎn)品和服務供應中斷的風險。b)應強化采購渠道管理，保持采購的產(chǎn)品和服務來源的穩(wěn)定或多樣性。15.2供應鏈要求15.2.1應開展軟件源代碼安全檢測、開源組件檢測、容器鏡像檢測等，或由供應商提供第三方機構(gòu)出具的相應檢測報告，并在正式上線前進行漏洞檢查。15.2.2采購和使用的產(chǎn)品和服務應符合相關(guān)國家標準要求。15.2.3使用的產(chǎn)品和服務存在安全缺陷、漏洞等風險時，應及時采取措施消除風險隱患,涉及重大風險的應按規(guī)定向相關(guān)部門報告。15.2.4應參照《云計算服務安全評估辦法》要求，對政務云服務商開展安全評估的情況進行監(jiān)督核查。15.2.5對于被認定為關(guān)鍵信息基礎設施的，應加強如下要求。a)采購網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄中的設備產(chǎn)品時，應采購通過國家檢測認證的設備和產(chǎn)b)采購、使用的網(wǎng)絡產(chǎn)品和服務，可能影響國家安全的，應通過國家網(wǎng)絡安全審查。c)應要求網(wǎng)絡產(chǎn)品和服務的提供者對網(wǎng)絡產(chǎn)品和服務研發(fā)、制造過程中涉及的實體擁有或控制的已知技術(shù)專利等知識產(chǎn)權(quán)獲得10年以上授權(quán)，或在網(wǎng)絡產(chǎn)品和服務使用期內(nèi)獲得持續(xù)授權(quán)。d)應要求網(wǎng)絡產(chǎn)品和服務的提供者提供中文版運行維護、二次開發(fā)等技術(shù)資料。16運行效果評價16.1云環(huán)境效果應核查云基礎設施高危端口暴露、云平臺邊界違規(guī)外聯(lián)等云環(huán)境安全效果情況。a)應核查政務云基礎設施高危端口暴露情況，按季度進行匯總，并采取有效措施防范高危端口利用。b)應核查政務云平臺邊界違規(guī)外聯(lián)情況，按季度進行匯總，并采取有效措施阻斷違規(guī)外聯(lián)。16.2漏洞效果應核查年度周期內(nèi)政務云基礎設施中危及以上漏洞數(shù)量、及時修復率等，涉及影響業(yè)務安全運行的漏洞應立即采取補救措施。a)應核查中危及以上漏洞發(fā)現(xiàn)數(shù)量等情況。b)應核查中危及以上漏洞及時修復率，高危漏洞應在3天內(nèi)完成修復，及時修復率不低于98%，中DB32/TXXXX—XXXX危漏洞應在5天內(nèi)完成修復，及時修復率不低于95%，存在嚴重安全隱患且未按期修復時，政務云運行管理機構(gòu)可關(guān)閉系統(tǒng)對外網(wǎng)絡策略，中止提供云資源服務。16.3事件效果應核查年度周期內(nèi)政務云基礎設施發(fā)生一般、較大、重大、特別重大及國家通報的安全事件的次數(shù)。a)應核查發(fā)生特別重大安全事件的情況，扼制損害程度和影響范圍的擴大，確保不發(fā)生特別重大安全事故。b)應核查發(fā)生重大安全事件的情況，扼制損害程度和影響范圍的擴大，確保不發(fā)生重大安全事故。c)應核查發(fā)生較大安全事件的情況，扼制較大安全事件發(fā)生率，開展有效處置，防范事件升級。d)應核查發(fā)生一般安全事件的情況，扼制一般安全事件發(fā)生率，開展有效處置，防范事件升級。e)應核查國家通報的本地區(qū)高危隱患和安全事件情況，確保不發(fā)生安全事故。16.4專項工作成效應核查年度周期內(nèi)政務云基礎設施運行管理單位開展攻防演習、安全檢查等專項工作情況。a)應核查在省級政務云基礎設施安全攻防演練中所發(fā)現(xiàn)問題的整改修復情況。b)應核查在各種省級安全檢查中的表現(xiàn)情況、政務云基礎設施的可用性情況。17安全審計17.1審計計劃應建立常態(tài)化安全審計機制，審計工作開展頻率應不低于每月1次，范圍至少應覆蓋政務云平臺、云租戶。17.2人員配置17.2.1應配備專職審計人員或采購安全審計服務。17.2.2應劃分審計管理員、系統(tǒng)管理員、安全管理員等獨立的運維管理角色，僅審計管理員具備審計權(quán)限，僅系統(tǒng)管理員具備日常管理權(quán)限，僅安全管理員具備賬戶管理權(quán)限。17.3開展情況17.3.1應建立統(tǒng)一的日志采集和存儲工具，確保日志審計記錄留存時間不低于6個月，應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。17.3.2應對安全