電子政務(wù)云安全規(guī)范

ICSFORMTEXT點(diǎn)擊此處添加ICS號FORMTEXT點(diǎn)擊此處添加中國標(biāo)準(zhǔn)文獻(xiàn)分類號FORMTEXT?????DBFORMTEXT36DB36/TFORMTEXTXXXXX—FORMTEXTXXXXFORMTEXT?????FORMTEXT電子政務(wù)云安全規(guī)范FORMTEXTSecurityRequirementsforE-governmentCloudPlatformFORMTEXT?????FORMDROPDOWNFORMTEXT?????FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX發(fā)布FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX實(shí)施FORMTEXT江西省質(zhì)量技術(shù)監(jiān)督局???發(fā)布DB36/TXXXXX—XXXX32073前??言 錯誤！未定義書簽。14950引??言 II260521范圍 1130452規(guī)范性引用文件 1141323術(shù)語與定義 166474縮略語 2190375政務(wù)云業(yè)務(wù)區(qū)劃分 3311166政務(wù)云安全參考模型 429587政務(wù)云安全技術(shù)要求 653228政務(wù)云管理要求 148570附錄A（資料性附錄）政務(wù)云VPC之間跨網(wǎng)數(shù)據(jù)交換方法示例 174013附錄B（資料性附錄）政務(wù)云安全事件分類分級規(guī)范 19電子政務(wù)云安全規(guī)范范圍本標(biāo)準(zhǔn)包括了政務(wù)云概述及安全功能區(qū)域劃分、安全參考模型、政務(wù)云安全技術(shù)要求和管理要求等內(nèi)容。本標(biāo)準(zhǔn)適用于政務(wù)云規(guī)劃設(shè)計、設(shè)備選型、建設(shè)實(shí)施、運(yùn)行維護(hù)和管理，各設(shè)區(qū)市政務(wù)外網(wǎng)政務(wù)云建設(shè)運(yùn)維管理單位參照執(zhí)行。規(guī)范性引用文件GB/T25069信息安全技術(shù)術(shù)語GB/T29246信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯（ISO/IEC27000）GB/T22239信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求GB/T31167信息安全技術(shù)云計算服務(wù)安全指南GB/T31168信息安全技術(shù)云計算服務(wù)安全能力要求GB/T20271信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GA/T1390.2信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求GW0013—2017政務(wù)云安全要求ISO/IEC17788信息技術(shù)云計算 概述和詞匯術(shù)語與定義GB/T25069、GB/T29246、GB/T22239、GB/T31167、GB/T31168、GB/T20271、ISO/IEC17788、GW0013—2017確定的術(shù)語和定義適應(yīng)于本規(guī)范。政務(wù)外網(wǎng)政務(wù)外網(wǎng)是服務(wù)于各級黨委、人大、政府、政協(xié)、法院和檢察院等政務(wù)部門，滿足其經(jīng)濟(jì)調(diào)節(jié)、市場監(jiān)管、社會管理和公共服務(wù)等方面需要的政務(wù)公用網(wǎng)絡(luò)。政務(wù)外網(wǎng)支持跨地區(qū)、跨部門的業(yè)務(wù)應(yīng)用、信息共享和業(yè)務(wù)協(xié)同，以及不需在政務(wù)內(nèi)網(wǎng)上運(yùn)行的業(yè)務(wù)，與互聯(lián)網(wǎng)邏輯隔離。政務(wù)云運(yùn)用云計算技術(shù)，依托省電子政務(wù)外網(wǎng)統(tǒng)一網(wǎng)絡(luò)平臺構(gòu)建，面向政務(wù)部門提供計算存儲資源、支撐軟件、信息資源和應(yīng)用系統(tǒng)的高效、安全政務(wù)基礎(chǔ)設(shè)施。用于承載各級政務(wù)部門開展公共服務(wù)、社會管理等電子政務(wù)業(yè)務(wù)信息系統(tǒng)和數(shù)據(jù)，及政務(wù)門戶網(wǎng)站的云計算基礎(chǔ)設(shè)施，可根據(jù)不同業(yè)務(wù)和需求提供IaaS、PaaS、SaaS服務(wù)。云服務(wù)客戶在政務(wù)云中，云服務(wù)客戶指使用政務(wù)云的各級政務(wù)部門（指各級黨委、人大、政府、政協(xié)、法院和檢察院等政務(wù)部門），即使用云計算基礎(chǔ)設(shè)施開展電子政務(wù)業(yè)務(wù)和處理、存儲數(shù)據(jù)的組織（或機(jī)構(gòu)）及相關(guān)事業(yè)單位，包括單位內(nèi)部業(yè)務(wù)使用人員及對云相關(guān)云資源和安全的管理人員。云服務(wù)方管理、運(yùn)營、支撐云計算的計算基礎(chǔ)設(shè)施及軟件，通過服務(wù)方式將云計算的資源交付給客戶。在政務(wù)云中，云服務(wù)方指為各級政務(wù)部門提供計算、存儲、網(wǎng)絡(luò)及安全等各類云計算基礎(chǔ)設(shè)施資源、相關(guān)軟件和服務(wù)的提供商，及負(fù)責(zé)執(zhí)行云服務(wù)方業(yè)務(wù)運(yùn)營和相關(guān)管理工作。云管理平臺 為整個云計算基礎(chǔ)設(shè)施提供資源管理和服務(wù)管理，能夠?qū)Υ鎯?計算/網(wǎng)絡(luò)/系統(tǒng)等基礎(chǔ)設(shè)施資源（IaaS）、應(yīng)用/開發(fā)/數(shù)據(jù)平臺（PaaS）和軟件架構(gòu)整合服務(wù)（SaaS）進(jìn)行管理。一般情況下，由云計算基礎(chǔ)設(shè)施服務(wù)方提供，也可由第三方提供云管理平臺。云計算基礎(chǔ)設(shè)施 由硬件資源和資源抽象控制組件構(gòu)成的支撐云計算的基礎(chǔ)設(shè)施。硬件資源包括所有的物理計算資源，即服務(wù)器（CPU、內(nèi)存等）、存儲組件（硬盤等）、網(wǎng)絡(luò)組件（路由器、防火墻、交換機(jī)、網(wǎng)絡(luò)鏈路和接口等）及其他物理計算基礎(chǔ)元素。資源抽象控制組件對物理計算資源進(jìn)行軟件抽象，云服務(wù)方通過這些組件提供和管理對物理計算資源的訪問。虛擬專有云提供一個邏輯隔離的區(qū)域，搭建一個安全可靠、可自主定義的環(huán)境。在該區(qū)域中部署獨(dú)立的服務(wù)資源，并根據(jù)業(yè)務(wù)需求定義虛擬環(huán)境，包括定義網(wǎng)絡(luò)拓?fù)?、?chuàng)建子網(wǎng)、虛擬機(jī)存儲資源和劃分安全組等。部門業(yè)務(wù)區(qū)每個云服務(wù)客戶有一個VPC，公共區(qū)和互聯(lián)網(wǎng)區(qū)可以是多個云服務(wù)客戶共享的VPC。控制器 包括虛擬化監(jiān)視器、SDN控制器、存儲虛擬化控制器和策略管理控制器等進(jìn)行物理資源抽象管理的資源管理和策略管理系統(tǒng)?？缇W(wǎng)數(shù)據(jù)交換系統(tǒng) 跨網(wǎng)數(shù)據(jù)交換是一種基于網(wǎng)絡(luò)隔離技術(shù)的無協(xié)議數(shù)據(jù)同步系統(tǒng)，綜合利用設(shè)備認(rèn)證、數(shù)據(jù)格式檢查、病毒檢查等安全措施，實(shí)現(xiàn)兩個不同網(wǎng)絡(luò)業(yè)務(wù)區(qū)服務(wù)器之間數(shù)據(jù)同步?？捎赏饨粨Q服務(wù)器和內(nèi)交換服務(wù)器及相關(guān)隔離設(shè)備組成，支持?jǐn)?shù)據(jù)庫、文件、圖像數(shù)據(jù)及請求響應(yīng)數(shù)據(jù)的安全交換?？s略語IaaS基礎(chǔ)設(shè)施即服務(wù)（InfrastructureasaService）PaaS平臺即服務(wù)（PlatformasaService）SaaS軟件即服務(wù)（SoftwareasaService）VM虛擬機(jī)（VirtualMachine）VPC虛擬專有云(VirtualPrivateCloud)MPLS多協(xié)議標(biāo)簽交換(Multi-ProtocolLabelSwitching)VPN虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork）SDN軟件定義網(wǎng)絡(luò)（SoftwareDefinedNetwork）API應(yīng)用程序編程接口（ApplicationProgrammingInterface）NFV網(wǎng)絡(luò)功能虛擬化（NetworkFunctionVirtualization）RTO恢復(fù)時間目標(biāo)(RecoveryTimeObjective)RPO恢復(fù)點(diǎn)目標(biāo)（RecoveryPointObjective）政務(wù)云業(yè)務(wù)區(qū)劃分政務(wù)云業(yè)務(wù)區(qū)域劃分圖政務(wù)外網(wǎng)城域網(wǎng)政務(wù)外網(wǎng)城域網(wǎng)連接同級各政務(wù)部門，云服務(wù)客戶可通過城域網(wǎng)各自的MPLSVPN分別訪問政務(wù)云內(nèi)相關(guān)部門內(nèi)部的信息系統(tǒng)和公共區(qū)信息系統(tǒng)。各政務(wù)部門通常以專線接入當(dāng)?shù)卣?wù)外網(wǎng)城域網(wǎng)，并通過城域網(wǎng)不同VPN實(shí)現(xiàn)政務(wù)云及互聯(lián)網(wǎng)的訪問。政務(wù)云業(yè)務(wù)區(qū)域劃分見圖1所示。安全接入平臺安全接入平臺是政務(wù)用戶通過互聯(lián)網(wǎng)或移動專線網(wǎng)絡(luò)訪問政務(wù)云的部門業(yè)務(wù)和公共區(qū)業(yè)務(wù)的唯一接入通道，接入平臺應(yīng)具備數(shù)字認(rèn)證、授權(quán)管理、VPN接入、移動設(shè)備管理和移動應(yīng)用管理等功能，為各類智能移動終端和遠(yuǎn)程辦公用戶提供可信的安全接入和實(shí)時的業(yè)務(wù)訪問。安全防護(hù)本防護(hù)區(qū)是互聯(lián)網(wǎng)用戶訪問政務(wù)云上的門戶網(wǎng)站、部署在互聯(lián)網(wǎng)上的應(yīng)用系統(tǒng)和政務(wù)人員統(tǒng)一訪問互聯(lián)網(wǎng)的安全防護(hù)區(qū)域，其安全防護(hù)要求按網(wǎng)絡(luò)安全等級保護(hù)第三級的國家標(biāo)準(zhǔn)要求進(jìn)行保護(hù)。政務(wù)云互聯(lián)網(wǎng)業(yè)務(wù)區(qū)互聯(lián)網(wǎng)業(yè)務(wù)區(qū)主要為公眾和企業(yè)提供互聯(lián)網(wǎng)門戶網(wǎng)站服務(wù)和政務(wù)服務(wù)，由于門戶網(wǎng)站群分屬各不同的政務(wù)部門，其安全要求各有不同，對網(wǎng)站和信息系統(tǒng)可根據(jù)不同的安全級別進(jìn)行分等級防護(hù)。公共業(yè)務(wù)區(qū)公共業(yè)務(wù)區(qū)主要實(shí)現(xiàn)跨部門、跨地區(qū)的信息共享、數(shù)據(jù)交換及業(yè)務(wù)協(xié)同，提供政務(wù)部門內(nèi)部的公共服務(wù)。禁止從互聯(lián)網(wǎng)直接訪問本區(qū)域的各信息系統(tǒng)和數(shù)據(jù)，與部門業(yè)務(wù)區(qū)邏輯隔離并應(yīng)做好相應(yīng)的訪問控制，本區(qū)域部署的信息系統(tǒng)可結(jié)合自身實(shí)際情況按國家等級保護(hù)要求進(jìn)行分級并實(shí)施保護(hù)。部門業(yè)務(wù)區(qū)部門業(yè)務(wù)區(qū)主要承載各云服務(wù)客戶部署或遷移的信息系統(tǒng)，云服務(wù)客戶可按要求部署在不同的VPC，VPC之間采用VPN技術(shù)隔離，應(yīng)根據(jù)信息系統(tǒng)的安全等級進(jìn)行防護(hù)?？砂丛品?wù)客戶對信息系統(tǒng)的安全要求分為二級信息系統(tǒng)等級保護(hù)區(qū)域和三級信息系統(tǒng)等級保護(hù)區(qū)域，若云服務(wù)客戶同時擁有二級業(yè)務(wù)和三級業(yè)務(wù)，應(yīng)確保不同等級的信息系統(tǒng)采用訪問控制策略。存儲資源池云計算中的存儲池一般是以存儲塊或分布式存儲方式，將數(shù)據(jù)離散的存儲在資源池中，并按要求可對相關(guān)重要數(shù)據(jù)進(jìn)行加密存儲，并將互聯(lián)網(wǎng)區(qū)的業(yè)務(wù)和政務(wù)業(yè)務(wù)在計算資源及網(wǎng)絡(luò)資源物理分開，如存儲資源池共用，則需保證數(shù)據(jù)安全可控，對存儲資源池進(jìn)行統(tǒng)一管理和調(diào)度。云資源管理區(qū)為整個政務(wù)云系統(tǒng)提供云資源管理和物理資源抽象，以及日常運(yùn)維所必須的運(yùn)維系統(tǒng)和認(rèn)證管理系統(tǒng)。通過資源管理區(qū)實(shí)現(xiàn)對各類云資源的實(shí)時監(jiān)控、管理、預(yù)警和應(yīng)急處置，并對虛擬機(jī)遷移、資源彈性擴(kuò)展、業(yè)務(wù)使用情況及運(yùn)維操作人員進(jìn)行實(shí)時監(jiān)控和審計。政務(wù)云安全參考模型政務(wù)云安全參考模型政務(wù)云服務(wù)模式概述IaaS服務(wù)模式下，云服務(wù)方向客戶提供計算資源、存儲、網(wǎng)絡(luò)等資源，提供訪問云基礎(chǔ)設(shè)施的服務(wù)接口?？蛻艨稍谶@些資源上部署或運(yùn)行操作系統(tǒng)、中間件和應(yīng)用軟件等。客戶通常不能管理或控制云基礎(chǔ)設(shè)施，但能控制自己部署的操作系統(tǒng)、存儲、應(yīng)用和數(shù)據(jù)，也能部分控制使用的網(wǎng)絡(luò)組件，如虛擬防火墻。IaaS安全主要包括物理平臺安全、邊界安全、物理資源安全（網(wǎng)絡(luò)安全、主機(jī)安全、存儲安全）、抽象控制安全、虛擬網(wǎng)絡(luò)安全、虛擬存儲安全、虛擬主機(jī)安全等。PaaS服務(wù)模式下，云服務(wù)方向客戶提供的是運(yùn)行在云基礎(chǔ)設(shè)施之上的軟件開發(fā)和運(yùn)行平臺，如：標(biāo)準(zhǔn)的開發(fā)語言與工具、數(shù)據(jù)訪問、中間件、數(shù)據(jù)庫及通用接口等。云服務(wù)客戶可利用該平臺開發(fā)和部署自己的軟件。云服務(wù)客戶通常不能管理或控制支撐平臺運(yùn)行所需的底層資源，如網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫和存儲等，但可對應(yīng)用的運(yùn)行環(huán)境進(jìn)行配置，控制自己部署的應(yīng)用。PaaS位于IaaS之上，用以與應(yīng)用開發(fā)框架、中間件以及數(shù)據(jù)庫、消息隊(duì)列等功能集成。PaaS層增加的安全主要包括接口安全、開發(fā)環(huán)境安全、中間件安全、數(shù)據(jù)庫安全等。SaaS服務(wù)模式下，云服務(wù)方向客戶提供的是運(yùn)行在云基礎(chǔ)設(shè)施之上的應(yīng)用軟件。云服務(wù)客戶不需要購買、開發(fā)軟件，即可利用不同設(shè)備上的客戶端（如WEB瀏覽器）或程序接口進(jìn)行網(wǎng)絡(luò)訪問并使用云服務(wù)方提供的應(yīng)用軟件，如電子郵件系統(tǒng)、協(xié)同辦公系統(tǒng)等。云服務(wù)客戶通常不能管理或控制支撐應(yīng)用軟件運(yùn)行的底層資源，如網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲等，但可對應(yīng)用軟件進(jìn)行有限的配置管理。SaaS位于IaaS和PaaS之上，它能夠提供獨(dú)立的運(yùn)行環(huán)境，用以交付完整的用戶體驗(yàn)，包括內(nèi)容、展現(xiàn)、應(yīng)用和管理能力。SaaS層增加的安全主要是應(yīng)用開發(fā)安全和應(yīng)用安全。數(shù)據(jù)保護(hù)要求概述無論采用何種政務(wù)云服務(wù)模式，政務(wù)云中的政務(wù)數(shù)據(jù)保護(hù)是關(guān)系到政務(wù)云能否提供安全可靠的服務(wù)交互的關(guān)鍵，從信息系統(tǒng)遷移開始就要考慮應(yīng)用系統(tǒng)和數(shù)據(jù)的安全問題，遷移到云上后，對應(yīng)用系統(tǒng)的訪問，應(yīng)采取身份認(rèn)證、授權(quán)管理、賬戶保護(hù)、數(shù)據(jù)加密、密鑰管理、剩余信息清除、完整性校驗(yàn)、災(zāi)備與恢復(fù)、通信安全、安全審計、數(shù)據(jù)交換安全等技術(shù)手段實(shí)現(xiàn)應(yīng)用和數(shù)據(jù)的保護(hù)要求。政務(wù)云安全管理要求概述政務(wù)云的安全管理角色分為云服務(wù)客戶、政務(wù)云管理單位和云服務(wù)方，在政務(wù)云的安全管理過程中，應(yīng)結(jié)合三方的角色，合理劃分權(quán)限和責(zé)任，充分考慮各方在政務(wù)云安全管理和使用工作中的互補(bǔ)性，實(shí)現(xiàn)各方的職能定位，共同協(xié)作，保障政務(wù)云整體的安全防護(hù)能力。云服務(wù)提供方應(yīng)與政務(wù)云管理單位、政務(wù)部門（云服務(wù)客戶）簽訂安全保障協(xié)議，明確責(zé)任及管理邊界，云計算資源使用情況，資源配套管理、安全策略制定和業(yè)務(wù)連續(xù)性等要求。政務(wù)云安全技術(shù)要求總體要求各類政務(wù)業(yè)務(wù)應(yīng)部署在物理設(shè)施獨(dú)立的政務(wù)云上，不得部署在公有云上；政務(wù)云計算基礎(chǔ)設(shè)施應(yīng)按網(wǎng)絡(luò)安全等級保護(hù)國家標(biāo)準(zhǔn)中的第三級等級保護(hù)要求建設(shè)和保護(hù)；政務(wù)云上承載互聯(lián)網(wǎng)門戶網(wǎng)站及部署在互聯(lián)網(wǎng)上的信息系統(tǒng)計算和網(wǎng)絡(luò)資源，從云計算核心交換機(jī)以下，在物理上（宿主機(jī)和交換機(jī)）與其他VPC分開部署，根據(jù)系統(tǒng)預(yù)設(shè)的調(diào)度策略進(jìn)行資源調(diào)度和遷移。對于已建的政務(wù)云，應(yīng)對互聯(lián)網(wǎng)VPC的業(yè)務(wù)實(shí)時監(jiān)測、控制和管理，尤其是對跨VPC數(shù)據(jù)共享與交換訪問控制的實(shí)時監(jiān)控；所有對各類資源的操作必須通過云資源管理區(qū)，并對管理員操作進(jìn)行審計。要求業(yè)務(wù)流量與管理流量分開，應(yīng)能實(shí)現(xiàn)并區(qū)分運(yùn)維管理人員、云服務(wù)客戶管理員及公務(wù)人員訪問業(yè)務(wù)和對各類資源的管理和控制；云服務(wù)方應(yīng)提供對各信息系統(tǒng)的核心或敏感數(shù)據(jù)加密存儲的功能，應(yīng)按照國家密碼管理有關(guān)規(guī)定使用和管理政務(wù)云平臺的密鑰設(shè)施，并按規(guī)定生成、使用和管理密鑰；應(yīng)對云服務(wù)客戶管理員賬戶及政務(wù)云的管理數(shù)據(jù)單獨(dú)加密存儲，重點(diǎn)保護(hù)。其密鑰的使用和管理應(yīng)符合國家密碼管理局的有關(guān)規(guī)定；重要部門的信息系統(tǒng)在分地域部署云計算基礎(chǔ)設(shè)施時，應(yīng)將計算、網(wǎng)絡(luò)和存儲設(shè)施采用分布式部署方式部署在遠(yuǎn)端并進(jìn)行統(tǒng)一管理；明確遠(yuǎn)程管理責(zé)任，云服務(wù)方需要對計算資源進(jìn)行遠(yuǎn)程管理時，云管理單位有權(quán)對所有遠(yuǎn)程維護(hù)和診斷活動進(jìn)行審計并進(jìn)行定期或不定期審查；云計算環(huán)境應(yīng)具備基于行為的實(shí)時安全監(jiān)控、策略控制、安全事件主動發(fā)現(xiàn)和預(yù)警、態(tài)勢感知及安全事件及時處置的能力；云服務(wù)方應(yīng)定期向政務(wù)云管理單位提交各云服務(wù)客戶安全情況及資源使用率情況的報告；對重點(diǎn)云服務(wù)客戶的信息系統(tǒng)和數(shù)據(jù)應(yīng)能重點(diǎn)進(jìn)行安全保障，實(shí)時監(jiān)控異常情況并預(yù)警；政務(wù)云應(yīng)具備分級管理和控制的能力，VPC內(nèi)部信息系統(tǒng)之間的訪問控制及數(shù)據(jù)使用等管理權(quán)限應(yīng)開放給云服務(wù)客戶，云服務(wù)方應(yīng)具備對資源使用情況實(shí)時監(jiān)測、發(fā)現(xiàn)異常、預(yù)警和協(xié)助處置的能力；所有應(yīng)用系統(tǒng)正式遷移或部署到政務(wù)云上前應(yīng)進(jìn)行測試、其應(yīng)用系統(tǒng)源代碼的定制化部分應(yīng)向政務(wù)云管理單位備案；云服務(wù)客戶擁有本單位VPC內(nèi)部信息系統(tǒng)和數(shù)據(jù)完整的使用權(quán)和管理權(quán)。IaaS安全物理平臺安全環(huán)境安全、設(shè)備安全、介質(zhì)安全、冗余備份及隔離等基本安全防護(hù)要求應(yīng)按《信息安全技術(shù)信息安全等級保護(hù)基本要求》（GB/T22239）和《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GA/T1390.2）中的相關(guān)要求執(zhí)行。邊界安全7.2.2.1ISP邊界政務(wù)云與互聯(lián)網(wǎng)服務(wù)提供商（ISP）的邊界安全防護(hù)應(yīng)由云服務(wù)提供商負(fù)責(zé)，滿足網(wǎng)絡(luò)安全等級保護(hù)第三級的防護(hù)標(biāo)準(zhǔn)，同時采取有效措施及基于行為和實(shí)時的監(jiān)控手段，保證政務(wù)云、互聯(lián)網(wǎng)門戶網(wǎng)站、相關(guān)信息系統(tǒng)的網(wǎng)絡(luò)和數(shù)據(jù)的安全。7.2.2.2電信運(yùn)營商專線通過互聯(lián)網(wǎng)實(shí)現(xiàn)移動智能終端安全接入政務(wù)云時，應(yīng)部署安全接入平臺，如使用電信運(yùn)營商的VPDN專線時，云服務(wù)提供商應(yīng)負(fù)責(zé)維護(hù)和管理，并滿足如下技術(shù)要求。安全接入平臺的要求應(yīng)參照《國家電子政務(wù)外網(wǎng)安全接入平臺技術(shù)規(guī)范》(GW0202-2014)；根據(jù)云服務(wù)客戶的業(yè)務(wù)需求，通過安全接入平臺，實(shí)現(xiàn)政務(wù)人員通過移動網(wǎng)絡(luò)訪問政務(wù)云相關(guān)業(yè)務(wù)的需求及滿足政務(wù)業(yè)務(wù)主動推送到指定終端的需求。7.2.2.3互聯(lián)網(wǎng)邊界防護(hù)應(yīng)提供異常流量清洗服務(wù)，具備防范來自互聯(lián)網(wǎng)的DDoS攻擊、webshell攻擊、木馬病毒等各類惡意攻擊。同時，外部和內(nèi)部網(wǎng)絡(luò)應(yīng)提供冗余連接和帶寬預(yù)留，進(jìn)行流量控制和過濾；應(yīng)具有基于惡意行為攻擊實(shí)時監(jiān)控和安全態(tài)勢感知能力；對跨境數(shù)據(jù)傳輸?shù)犬惓Ｇ闆r進(jìn)行攔截、告警并溯源，協(xié)助云服務(wù)客戶分析原因并處置；應(yīng)能對云主機(jī)主動散播和被操縱主機(jī)的被動有害信息散播行為進(jìn)行防護(hù)、清除并告警；應(yīng)具有對未知威脅進(jìn)行檢測發(fā)現(xiàn)的能力，并且具有對web應(yīng)用安全漏洞進(jìn)行檢測發(fā)現(xiàn)和攻擊防御的能力；應(yīng)對已發(fā)現(xiàn)的攻擊行為制定并執(zhí)行安全策略，發(fā)現(xiàn)問題及時通知信息系統(tǒng)的責(zé)任單位并配合采取措施，消除安全隱患。網(wǎng)絡(luò)安全訪問控制、攻擊防范、網(wǎng)絡(luò)審計、安全檢測等要求按網(wǎng)絡(luò)安全等級保護(hù)第三級中的網(wǎng)絡(luò)與通信部分的要求執(zhí)行；提供網(wǎng)絡(luò)訪問控制使云服務(wù)客戶實(shí)現(xiàn)網(wǎng)絡(luò)分段和隔離，包括網(wǎng)絡(luò)過濾功能，禁止云服務(wù)客戶的遠(yuǎn)程管理訪問到非其VPC的IP地址；數(shù)據(jù)遠(yuǎn)程傳輸保護(hù)：用戶客戶端到政務(wù)云平臺之間的遠(yuǎn)程數(shù)據(jù)傳輸應(yīng)采取保護(hù)和隔離措施；除了部署傳統(tǒng)的基于特征庫的防御手段外，政務(wù)云環(huán)境應(yīng)具備針對APT、零日漏洞利用、定向攻擊等高級威脅檢測能力，識別在政務(wù)云環(huán)境中的滲透、擴(kuò)散、數(shù)據(jù)竊取等行為；應(yīng)具備防火墻與安全監(jiān)控系統(tǒng)的聯(lián)動與防火墻策略遷移的能力，以方便云服務(wù)客戶違規(guī)行為的及時阻斷、清除安全威脅；除了部署傳統(tǒng)的基于特征庫的防御手段外，政務(wù)云環(huán)境還需要具備基于大數(shù)據(jù)技術(shù)的威脅檢測、判斷和關(guān)聯(lián)分析能力，能夠從全攻擊鏈整體對安全威脅發(fā)生發(fā)展進(jìn)行識別、分析和評估；應(yīng)具備安全分析和可視化能力，至少可以提供安全事件展示、攻擊路徑展示等，并提供多維分析展示（例如：IP地址、郵件、文件、域名、受威脅資產(chǎn)等多個維度）。主機(jī)安全政務(wù)云所有宿主機(jī)和虛擬機(jī)采用的操作系統(tǒng)均應(yīng)滿足《信息安全技術(shù)信息安全等級保護(hù)基本要求》（GB/T22239）和《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GA/T1390.2）的相關(guān)安全要求；應(yīng)采用雙因子認(rèn)證方式對物理主機(jī)（數(shù)字證書IP地址或FC端口地址）或用戶（數(shù)字證書和口令）進(jìn)行身份認(rèn)證；對主機(jī)的管理、操作等應(yīng)通過堡壘機(jī)等技術(shù)手段，對管理員進(jìn)行權(quán)限控制和審計。存儲安全為防止數(shù)據(jù)的永久丟失，云服務(wù)方應(yīng)積極采取措施，與云服務(wù)客戶一起提出可行的信息系統(tǒng)和數(shù)據(jù)遷移方案，明確數(shù)據(jù)鏡像（或副本）及數(shù)據(jù)備份的要求，滿足云服務(wù)客戶對數(shù)據(jù)安全的要求；如果云服務(wù)客戶的服務(wù)終止，云服務(wù)方應(yīng)通知云服務(wù)客戶，并應(yīng)給云服務(wù)客戶提供至少一個月的時間進(jìn)行數(shù)據(jù)的遷移或下載，并保證刪除后的數(shù)據(jù)不可恢復(fù)；按云服務(wù)客戶的要求，對重要信息系統(tǒng)和數(shù)據(jù)在政務(wù)云上應(yīng)采用加密的方式存儲和備份，存儲在云服務(wù)客戶端或存放在其他備份云平臺上的數(shù)據(jù)，應(yīng)采用多因素認(rèn)證配合才允許進(jìn)行修改或刪除，同時政務(wù)云服務(wù)方應(yīng)至少每年對重要信息系統(tǒng)的數(shù)據(jù)配合云服務(wù)客戶進(jìn)行數(shù)據(jù)恢復(fù)的測試；應(yīng)對用戶鑒別信息、審計日志等關(guān)鍵信息予以完整性和保密性保護(hù)；應(yīng)能針對政務(wù)云平臺內(nèi)不同云服務(wù)客戶的存儲數(shù)據(jù)進(jìn)行有效隔離，防止政務(wù)云不同云服務(wù)客戶間非授權(quán)訪問敏感數(shù)據(jù)；應(yīng)由云服務(wù)客戶決定自身業(yè)務(wù)數(shù)據(jù)是否加密；存儲設(shè)備應(yīng)具有工業(yè)級的高可靠性設(shè)計，支持并發(fā)訪問，保證政務(wù)云平臺各云服務(wù)客戶的業(yè)務(wù)不間斷，并應(yīng)防止非授權(quán)訪問；應(yīng)對物理主機(jī)或用戶、密鑰生成簽名進(jìn)行身份認(rèn)證；應(yīng)采用訪問控制機(jī)制，云服務(wù)客戶所持有資源的任何訪問需要檢測資源的請求者是否具備訪問的權(quán)限，防止多云服務(wù)客戶間的非授權(quán)訪問；應(yīng)采取相應(yīng)技術(shù)措施對存儲資源池或分布式存儲集群的訪問進(jìn)行實(shí)時的控制，對異常情況應(yīng)實(shí)時告警，并及時通知云服務(wù)提供商、運(yùn)維人員和云服務(wù)客戶管理人員。抽象控制安全控制器安全主要包括身份認(rèn)證、授權(quán)管理和操作審計，具有行為的鑒別、訪問控制及異常行為的實(shí)時預(yù)警功能，并應(yīng)通過安全審計進(jìn)行分析、溯源、定位及安全預(yù)警；針對云服務(wù)方管理員和云服務(wù)客戶管理員，分別設(shè)置不同的職責(zé)和權(quán)限，對管理員的身份進(jìn)行多因素認(rèn)證，所有操作應(yīng)進(jìn)行審計；云服務(wù)方提供的控制器（如虛擬化和SDN）應(yīng)開放標(biāo)準(zhǔn)的API接口供云服務(wù)客戶自行選擇通用的安全解決方案；控制器（如SDN控制器）應(yīng)具備冗余能力，保證政務(wù)云中的管理系統(tǒng)提供持續(xù)使用的能力；云服務(wù)客戶的管理員對資源調(diào)度使用應(yīng)具備與云服務(wù)方管理員聯(lián)合審批及安全接入的功能，如專用終端、堡壘機(jī)、專用賬戶、強(qiáng)密碼和多因素身份驗(yàn)證。虛擬網(wǎng)絡(luò)應(yīng)實(shí)現(xiàn)云計算環(huán)境業(yè)務(wù)網(wǎng)絡(luò)與管理網(wǎng)絡(luò)的有效隔離，包括云服務(wù)客戶使用的基礎(chǔ)設(shè)施、云服務(wù)方的管理網(wǎng)絡(luò)以及內(nèi)部局域網(wǎng)。應(yīng)制定各應(yīng)用系統(tǒng)的訪問控制策略并實(shí)時監(jiān)控策略的有效性；部門業(yè)務(wù)區(qū)中，云服務(wù)方應(yīng)為不同的云服務(wù)客戶分配不同的VPC，每個VPC之間不能直接進(jìn)行通信，同時解決不同云服務(wù)客戶間可能產(chǎn)生的地址重疊問題；云服務(wù)客戶的局域網(wǎng)邊界通過接入路由器接入電子政務(wù)外網(wǎng)的城域網(wǎng)，在網(wǎng)絡(luò)上應(yīng)將各云服務(wù)客戶用MPLSVPN進(jìn)行隔離，在政務(wù)云側(cè)為每個VPN接入的云服務(wù)客戶分配不同的路由表。通過路由或ACL訪問控制列表對應(yīng)每個云服務(wù)客戶的VPN，實(shí)現(xiàn)云服務(wù)客戶網(wǎng)絡(luò)的隔離；云服務(wù)方應(yīng)具備為每個云服務(wù)客戶提供獨(dú)立安全服務(wù)的能力，明確安全服務(wù)的功能、性能、實(shí)現(xiàn)的安全目標(biāo)及在政務(wù)云上的部署位置，如虛擬防火墻、虛擬IPS等，其安全防護(hù)設(shè)備的安全策略應(yīng)與云服務(wù)客戶共享，應(yīng)對安全策略實(shí)施的有效性進(jìn)行監(jiān)測和控制；云服務(wù)客戶擁有VPC內(nèi)部信息系統(tǒng)和數(shù)據(jù)完整的使用權(quán)和管理權(quán)。虛擬主機(jī)虛擬機(jī)的隔離、漏洞發(fā)現(xiàn)與修復(fù)、安全配置及訪問控制等策略，應(yīng)滿足不同云服務(wù)客戶信息系統(tǒng)的安全需求。其安全策略及訪問控制權(quán)限應(yīng)由云服務(wù)客戶自行決定；云服務(wù)客戶內(nèi)部信息系統(tǒng)虛擬機(jī)之間的訪問控制及實(shí)時安全監(jiān)測應(yīng)能發(fā)現(xiàn)異常，通知云服務(wù)客戶并及時處置。對虛擬機(jī)的訪問、遷移、動態(tài)擴(kuò)展及使用狀態(tài)應(yīng)做好審計和記錄；云服務(wù)方應(yīng)根據(jù)云服務(wù)客戶要求開通虛擬機(jī)，并保證虛擬機(jī)的正常使用。應(yīng)具備實(shí)時監(jiān)測的能力，及時向云服務(wù)客戶提供安全事件取證、溯源、定位及處置的能力；云服務(wù)方應(yīng)提供虛擬機(jī)之間可配置的訪問控制機(jī)制，使同一云服務(wù)客戶的不同虛擬機(jī)之間可以設(shè)置訪問控制策略；虛擬機(jī)出現(xiàn)異常，云服務(wù)方應(yīng)及時采取有效措施，保證云服務(wù)客戶業(yè)務(wù)不中斷；應(yīng)為云服務(wù)客戶提供配置安全和完成補(bǔ)丁修復(fù)的虛擬機(jī)模板，避免新的虛擬機(jī)被分配同樣的弱口令；承載網(wǎng)絡(luò)安全等級保護(hù)第三級應(yīng)用系統(tǒng)的虛擬機(jī)，應(yīng)對其進(jìn)行加固，并對重要信息資源進(jìn)行標(biāo)記；虛擬機(jī)遷移或動態(tài)擴(kuò)展時，應(yīng)做好資源變更記錄和審計；云服務(wù)客戶應(yīng)確認(rèn)云服務(wù)方或應(yīng)用開發(fā)方對虛擬機(jī)的操作系統(tǒng)（包括操作系統(tǒng)補(bǔ)丁升級）、虛擬網(wǎng)絡(luò)配置以及虛擬安全配置的修復(fù)；應(yīng)確保每個云服務(wù)客戶都有獨(dú)立的計算資源，其中包括CPU、內(nèi)存、存儲、外設(shè)和地址空間等；云服務(wù)方應(yīng)根據(jù)云服務(wù)客戶需求，具備對VPC內(nèi)部虛擬機(jī)所承載的不同業(yè)務(wù)進(jìn)行劃子區(qū)域或安全組的能力，及時發(fā)現(xiàn)并阻斷VPC內(nèi)部的惡意攻擊；應(yīng)具備將VPC內(nèi)部流量通過隧道等技術(shù)導(dǎo)出到物理或虛擬安全防護(hù)設(shè)備的能力；安全防護(hù)設(shè)備應(yīng)具備根據(jù)業(yè)務(wù)可彈性、快速生效和可被軟件定義的池化安全處理能力。虛擬存儲所有云服務(wù)客戶的信息系統(tǒng)應(yīng)按照安全要求，掛載到存儲資源池相應(yīng)的邏輯分區(qū)中；云服務(wù)客戶擁有VPC內(nèi)部信息系統(tǒng)和數(shù)據(jù)完整的使用權(quán)和管理權(quán)。PaaS安全PaaS安全要求PaaS安全除滿足7.2條對IaaS安全的要求外，還應(yīng)滿足如下要求。接口安全應(yīng)采用密碼技術(shù)，保障資源訪問的API接口安全；應(yīng)對開放的API接口的調(diào)用行為及數(shù)據(jù)異常情況的監(jiān)控和告警，發(fā)現(xiàn)問題及時通知云服務(wù)客戶，并協(xié)助云服務(wù)客戶及時處置；應(yīng)對政務(wù)云中間件，應(yīng)用開發(fā)的API接口接入進(jìn)行安全測控和異常分析，以及對開發(fā)環(huán)境的安全檢測；應(yīng)對中間件、數(shù)據(jù)庫及應(yīng)用開發(fā)的API接口標(biāo)準(zhǔn)化，并通過政務(wù)云管理單位正式發(fā)布。開發(fā)環(huán)境安全應(yīng)對開發(fā)環(huán)境提供給云服務(wù)客戶的數(shù)據(jù)庫、中間件等服務(wù)進(jìn)行定期的漏洞監(jiān)測，及時執(zhí)行補(bǔ)丁更新；應(yīng)對云服務(wù)客戶的應(yīng)用系統(tǒng)軟件及使用情況進(jìn)行監(jiān)測，對應(yīng)用系統(tǒng)代碼漏洞或異常應(yīng)及時通知云服務(wù)客戶，并督促其及時整改；應(yīng)對開發(fā)環(huán)境中數(shù)據(jù)庫/中間件服務(wù)的使用，端口的開放及使用過程進(jìn)行實(shí)時監(jiān)測和控制，保證政務(wù)云的安全；應(yīng)對云服務(wù)客戶上傳的文件、鏡像和開發(fā)工具進(jìn)行安全檢測，防止其VPC內(nèi)部的擴(kuò)散，影響云環(huán)境安全運(yùn)行。中間件安全安裝其適用的所有安全補(bǔ)??；應(yīng)啟用訪問控制功能，依據(jù)安全策略控制云服務(wù)客戶對中間件服務(wù)的訪問；應(yīng)對應(yīng)用部署的中間件服務(wù)狀態(tài)進(jìn)行實(shí)時監(jiān)控，并對云服務(wù)客戶訪問中間件服務(wù)的過程進(jìn)行實(shí)時監(jiān)控；應(yīng)對云服務(wù)客戶登錄訪問中間件服務(wù)的所有訪問和操作行為進(jìn)行審計，以便事后追查。數(shù)據(jù)庫安全應(yīng)及時驗(yàn)證并更新安全補(bǔ)??；應(yīng)通過保障帳號和密碼安全、服務(wù)配置安全、審計安全，管理擴(kuò)展存儲過程、傳輸保護(hù)配置、服務(wù)端口和網(wǎng)絡(luò)連接安全配置、數(shù)據(jù)庫應(yīng)用系統(tǒng)的安全設(shè)置提高數(shù)據(jù)庫的安全性；應(yīng)提供應(yīng)用部署的數(shù)據(jù)庫服務(wù)狀態(tài)實(shí)時監(jiān)控；應(yīng)通過建設(shè)數(shù)據(jù)庫審計系統(tǒng)對數(shù)據(jù)庫訪問和操作行為進(jìn)行審計，以便事后追查；應(yīng)提供應(yīng)用部署的中間件服務(wù)狀態(tài)實(shí)時監(jiān)控，并對云服務(wù)客戶訪問中間件服務(wù)的過程進(jìn)行實(shí)時監(jiān)控；在云服務(wù)客戶訪問敏感數(shù)據(jù)服務(wù)時，應(yīng)調(diào)用加密算法模塊，對整個報文或會話過程進(jìn)行加密，保證通信保密性；應(yīng)啟用訪問控制功能，依據(jù)安全策略控制云服務(wù)客戶對數(shù)據(jù)庫服務(wù)的訪問；通過設(shè)置系統(tǒng)、網(wǎng)絡(luò)、安全管理員和安全審計員等管理人員及職責(zé)，按照最小權(quán)限的安全策略明確各自的職責(zé)。SaaS安全SaaS安全要求SaaS安全除滿足7.3節(jié)所述的PaaS安全外，還應(yīng)滿足如下要求。應(yīng)用安全應(yīng)用安全防護(hù)要求按《信息安全技術(shù)信息安全等級保護(hù)基本要求》（GB/T22239）和《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GA/T1390.2）中的相關(guān)要求執(zhí)行。應(yīng)用開發(fā)安全應(yīng)用開發(fā)安全防護(hù)要求按國標(biāo)《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271）中的相關(guān)要求執(zhí)行。數(shù)據(jù)保護(hù)要求應(yīng)用遷移安全云服務(wù)客戶應(yīng)對擬遷移至云計算平臺應(yīng)用系統(tǒng)的敏感度和業(yè)務(wù)重要性進(jìn)行分析和評估，按照應(yīng)用系統(tǒng)敏感度和業(yè)務(wù)重要性要求云服務(wù)方提供相應(yīng)的安全防護(hù)能力，禁止將涉密數(shù)據(jù)遷移至政務(wù)云平臺；云服務(wù)方應(yīng)配合云服務(wù)客戶對政務(wù)云平臺進(jìn)行全面風(fēng)險評估，確保政務(wù)云平臺的安全防護(hù)能力不低于擬遷移信息系統(tǒng)的安全保護(hù)等級；應(yīng)采用專線或加密隧道技術(shù)承載云服務(wù)客戶業(yè)務(wù)數(shù)據(jù)的遷移，數(shù)據(jù)遷移時應(yīng)對云服務(wù)客戶的身份進(jìn)行認(rèn)證識別，采用訪問控制措施保證遷移路徑的安全可靠并對遷移來的數(shù)據(jù)執(zhí)行惡意代碼檢測和清除；應(yīng)采用密碼技術(shù)保證云服務(wù)客戶終端與云環(huán)境通信過程中的完整性；云服務(wù)客戶應(yīng)優(yōu)先將備份系統(tǒng)中的數(shù)據(jù)遷移至政務(wù)云平臺；云服務(wù)方應(yīng)提供應(yīng)用測試環(huán)境，在云服務(wù)客戶遷移完成后對部署在政務(wù)云平臺上的業(yè)務(wù)進(jìn)行全面的可用性測試。身份認(rèn)證與授權(quán)應(yīng)對登錄訪問應(yīng)用服務(wù)（技術(shù)服務(wù)、業(yè)務(wù)服務(wù)、數(shù)據(jù)服務(wù)）的云服務(wù)客戶進(jìn)行身份識別和鑒別；應(yīng)啟用身份鑒別、云服務(wù)客戶身份標(biāo)識唯一性檢查、云服務(wù)客戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)；應(yīng)啟用訪問控制功能，依據(jù)安全策略控制云服務(wù)客戶對應(yīng)用服務(wù)（技術(shù)服務(wù)、業(yè)務(wù)服務(wù)、數(shù)據(jù)服務(wù)）、文件（配置文件、日志文件、鏡像文件）等客體的訪問；基于單位、角色控制的資源訪問權(quán)限，并支持細(xì)度的權(quán)限控制（修改、只讀、無權(quán)限），應(yīng)授予云服務(wù)客戶所需的最小權(quán)限；應(yīng)授予不同角色為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系；應(yīng)對重要信息資源設(shè)置敏感標(biāo)簽，并依據(jù)安全策略嚴(yán)格控制云服務(wù)客戶對有敏感標(biāo)記重要信息資源的操作，并做好相關(guān)審計記錄。賬戶保護(hù)應(yīng)定期針對數(shù)據(jù)保護(hù)、重要信息資源訪問進(jìn)行測試，并驗(yàn)證政務(wù)云具備相關(guān)的取證和分析能力，包括實(shí)時事件的記錄，磁盤鏡像，內(nèi)存快照和自身的元數(shù)據(jù)（包括存儲位置、歷史數(shù)據(jù)、文件記錄等）；云服務(wù)客戶的賬戶和密碼禁止泄露給第三方，至少三個月應(yīng)更改一次密碼，使用復(fù)雜密碼且密碼位數(shù)不少于14位；云服務(wù)客戶應(yīng)使用安全受控的終端、雙因子認(rèn)證，受限的訪問權(quán)限和傳輸加密的方式訪問并管理云上的資源；云服務(wù)客戶禁止給云服務(wù)方提供自己的賬號權(quán)限（或開放接入能力）及密鑰口令，讓云服務(wù)方能夠接入云服務(wù)客戶自己的重要信息系統(tǒng)中，例如云服務(wù)客戶的高等級業(yè)務(wù)；云服務(wù)方在對云進(jìn)行管理或?qū)υ品?wù)客戶資產(chǎn)進(jìn)行故障診斷或技術(shù)支持及遠(yuǎn)程操作時應(yīng)控制管理員的權(quán)限，及系統(tǒng)和數(shù)據(jù)的訪問特權(quán)，防止云服務(wù)方權(quán)限的濫用。對于已經(jīng)批準(zhǔn)的臨時特權(quán)，應(yīng)有記錄并在3個月內(nèi)予以撤銷；根據(jù)業(yè)務(wù)特點(diǎn)，云服務(wù)方應(yīng)區(qū)分系統(tǒng)管理員、安全管理員及安全審計員等各管理員角色，不可兼任；平臺禁止明文存儲口令數(shù)據(jù)；應(yīng)提供登錄失敗處理功能，采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施。數(shù)據(jù)加密應(yīng)保證系統(tǒng)管理數(shù)據(jù)（如索引文件、云服務(wù)客戶信息及密鑰等）、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)（如用戶隱私數(shù)據(jù)）存儲和傳輸?shù)耐暾院捅Ｃ苄?；云服?wù)客戶管理員客戶端到政務(wù)云平臺之間的遠(yuǎn)程數(shù)據(jù)傳輸應(yīng)采取加密機(jī)制保護(hù)和隔離措施；對應(yīng)用系統(tǒng)中的重要數(shù)據(jù)應(yīng)采取密碼機(jī)制保護(hù)措施，以保證數(shù)據(jù)的保密性和完整性；應(yīng)支持基于硬件密碼設(shè)備的數(shù)據(jù)加密機(jī)制，所使用的硬件密碼設(shè)備和密碼算法應(yīng)當(dāng)符合國家標(biāo)準(zhǔn)和國家密碼管理局的相關(guān)要求；云服務(wù)客戶數(shù)據(jù)加密所使用的密鑰應(yīng)由用戶管理；政務(wù)云平臺可在云平臺中構(gòu)建硬件密碼資源池，供云服務(wù)客戶使用；政務(wù)云平臺負(fù)責(zé)硬件密碼資源的分配，應(yīng)確保只有云服務(wù)客戶的VPC才能訪問所分配的密碼資源；云服務(wù)客戶的硬件密碼資源應(yīng)為獨(dú)占方式，禁止不同云服務(wù)客戶共享硬件密碼資源，政務(wù)云應(yīng)確保不同云服務(wù)客戶間的隔離；云服務(wù)客戶可以通過遠(yuǎn)程網(wǎng)絡(luò)管理自己的密碼資源和密鑰，在管理時應(yīng)經(jīng)過基于硬件介質(zhì)的身份認(rèn)證，所有通訊數(shù)據(jù)應(yīng)被加密；政務(wù)云應(yīng)提供一種或多種技術(shù)手段，使云服務(wù)客戶可以使用密鑰基礎(chǔ)設(shè)施對敏感數(shù)據(jù)進(jìn)行加密，可選的方式包括卷加密、數(shù)據(jù)庫加密、應(yīng)用系統(tǒng)調(diào)用API加密等。密鑰管理密鑰的生成、存儲、使用和管理應(yīng)符合國家密碼管理局關(guān)于商用密碼的相關(guān)管理要求和國家標(biāo)準(zhǔn)；政務(wù)云可以自建統(tǒng)一的密鑰管理系統(tǒng)，也可以選擇支持第三方密鑰管理系統(tǒng)（如電子政務(wù)外網(wǎng)CA），或支持用戶自行管理密鑰，所使用的密鑰管理系統(tǒng)應(yīng)當(dāng)符合國家密碼管理局的相關(guān)要求；政務(wù)云平臺應(yīng)對云服務(wù)客戶提供密碼設(shè)備服務(wù)，平臺負(fù)責(zé)密鑰基礎(chǔ)設(shè)施的資源分配和網(wǎng)絡(luò)連通，云服務(wù)客戶負(fù)責(zé)對密鑰基礎(chǔ)設(shè)施進(jìn)行配置，政務(wù)云平臺所提供的密鑰基礎(chǔ)設(shè)施服務(wù)應(yīng)當(dāng)設(shè)置嚴(yán)格的鑒別機(jī)制，保證只有云服務(wù)客戶才能對密鑰基礎(chǔ)設(shè)施進(jìn)行配置，且只有云服務(wù)客戶的應(yīng)用才能使用云服務(wù)客戶的密鑰基礎(chǔ)設(shè)施；加密密鑰應(yīng)在專門的密鑰生成系統(tǒng)或密鑰基礎(chǔ)設(shè)施中生成，密鑰數(shù)據(jù)必須密文存儲且與業(yè)務(wù)數(shù)據(jù)存儲分離，關(guān)鍵密鑰如主密鑰、簽名密鑰等需存放在安全介質(zhì)中或密鑰基礎(chǔ)設(shè)施中。且關(guān)鍵密鑰在云平臺上使用時，必須存放于密鑰基礎(chǔ)設(shè)施中。非關(guān)鍵密鑰信息如會話密鑰等應(yīng)以密文形式保存在密碼資源外部，但不能在任何情況下以明文形式出現(xiàn)在密碼資源外部；政務(wù)云平臺應(yīng)確保云服務(wù)客戶密鑰在使用中處于獨(dú)立的安全環(huán)境或云服務(wù)客戶專用密鑰基礎(chǔ)設(shè)施中；政務(wù)云平臺應(yīng)提供安全的證書更新機(jī)制，確保云服務(wù)客戶加密資源釋放時，云服務(wù)客戶證書被撤銷；政務(wù)云自建的統(tǒng)一密鑰管理系統(tǒng)，應(yīng)確保不同云服務(wù)客戶間的密鑰隔離，政務(wù)云平臺所使用的密鑰和云服務(wù)客戶密鑰禁止在同一系統(tǒng)中進(jìn)行管理，政務(wù)云平臺的服務(wù)管理人員和密鑰管理人員不得兼任；未經(jīng)云服務(wù)客戶明確授權(quán)，政務(wù)云平臺禁止查詢、修改、刪除云服務(wù)客戶密鑰及相關(guān)信息；密鑰在停止使用后，必須及時銷毀且不可恢復(fù)。剩余信息清除用戶存儲空間清除：應(yīng)保證虛擬機(jī)用戶的磁盤存儲空間被釋放或再分配給其他用戶前得到完全清除，不能通過軟件工具恢復(fù)；管理文件空間清除：應(yīng)確保虛擬機(jī)監(jiān)視器（Hypervisor）和云管理平臺內(nèi)的文件、目錄、數(shù)據(jù)庫記錄和其他資源等所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除；鑒別信息清除：應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除；快照信息清除：在遷移或刪除虛擬機(jī)后應(yīng)確保鏡像文件、快照文件等數(shù)據(jù)的清除以及備份數(shù)據(jù)清除；虛擬機(jī)內(nèi)存清除：應(yīng)保證虛擬機(jī)的內(nèi)存被釋放或再分配給其他虛擬機(jī)前得到完全清除；設(shè)備置零：集中存儲過重要信息的存儲部件在報廢、維修、重新利用前，應(yīng)采取技術(shù)手段進(jìn)行硬件置零處理；云服務(wù)客戶將信息系統(tǒng)和數(shù)據(jù)退租后，云服務(wù)方應(yīng)清除相關(guān)數(shù)據(jù)且不可恢復(fù)。備份與災(zāi)難恢復(fù)同城系統(tǒng)備份的兩個數(shù)據(jù)中心之間距離應(yīng)在50公里以內(nèi)，信息系統(tǒng)能迅速恢復(fù)使用；異地數(shù)據(jù)備份與主用數(shù)據(jù)中心之間距離應(yīng)在200公里以外，只做數(shù)據(jù)級備份；應(yīng)滿足數(shù)據(jù)恢復(fù)和重建目標(biāo)的需求。通過確定備份時間、技術(shù)、介質(zhì)和場外存放方式，以保證達(dá)到RPO和RTO的要求，具體標(biāo)準(zhǔn)應(yīng)通過云服務(wù)方，云服務(wù)客戶和云管理單位三方確定；政務(wù)云數(shù)據(jù)備份及災(zāi)難恢復(fù)要求遵循GB/T30285《信息安全技術(shù)災(zāi)難恢復(fù)中心建設(shè)與運(yùn)維管理規(guī)范》及GB/T31500《信息安全技術(shù)存儲介質(zhì)數(shù)據(jù)恢復(fù)服務(wù)要求》。數(shù)據(jù)完整性校驗(yàn)應(yīng)提供虛擬機(jī)鏡像文件完整性校驗(yàn)功能，對虛擬機(jī)鏡像被篡改應(yīng)能及時發(fā)現(xiàn)并告警；應(yīng)對虛擬機(jī)配置文件、虛擬機(jī)模板、云服務(wù)客戶賬戶數(shù)據(jù)、管理員及權(quán)限等管理數(shù)據(jù)采取數(shù)據(jù)保護(hù)措施，經(jīng)完整性校驗(yàn)后方能部署使用。通信安全應(yīng)采用由密碼技術(shù)支持的完整性校驗(yàn)機(jī)制或具有相應(yīng)安全強(qiáng)度的其他安全機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)；應(yīng)采用由密碼技術(shù)支持的保密性保護(hù)機(jī)制或具有相應(yīng)安全強(qiáng)度的其他安全機(jī)制，以實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)；通過對連接到通信網(wǎng)絡(luò)的設(shè)備進(jìn)行認(rèn)證，確保接入通信網(wǎng)絡(luò)的設(shè)備真實(shí)可信，防止設(shè)備的非法接入。安全審計政務(wù)云的審計也是政務(wù)云能正常應(yīng)用的關(guān)鍵，除了對傳統(tǒng)的行為、數(shù)據(jù)庫、運(yùn)維人員等審計外，還需要根據(jù)云計算的特點(diǎn)，對遠(yuǎn)程操作管理、資源調(diào)度和彈性擴(kuò)展等進(jìn)行審計，其審計應(yīng)通過第三方的審計產(chǎn)品進(jìn)行獨(dú)立審計，審計要求包括：所有的審計手段應(yīng)具備統(tǒng)一的時間戳，保持審計的時間標(biāo)記一致；應(yīng)確保日志存儲中有足夠的存儲空間可保存半年以上，且必須定期歸檔并予以標(biāo)記；對于異常的審計結(jié)果應(yīng)定期提供報告，并驗(yàn)證異常事件；云服務(wù)客戶通過連接到政務(wù)外網(wǎng)城域網(wǎng)的線路訪問互聯(lián)網(wǎng)時，其互聯(lián)網(wǎng)出口的安全防護(hù)應(yīng)具備URL過濾能力。云服務(wù)方應(yīng)提供URL分類服務(wù)，以確保最新的網(wǎng)站類別定義；確保日志包括日期，時間戳，源地址，目的地址，各種可分析的元素，同時對于收集的日志的格式，應(yīng)具備統(tǒng)一規(guī)范化的手段；應(yīng)從云服務(wù)客戶行為審計、資源變更審計和管理操作審計等三方面，保證政務(wù)云處于可控狀態(tài)。數(shù)據(jù)同步互聯(lián)網(wǎng)區(qū)VPC內(nèi)信息系統(tǒng)和數(shù)據(jù)與部門VPC內(nèi)部數(shù)據(jù)或公共區(qū)VPC數(shù)據(jù)實(shí)施數(shù)據(jù)同步時，應(yīng)采取嚴(yán)格的安全隔離和訪問控制策略；安全數(shù)據(jù)交換系統(tǒng)中的數(shù)據(jù)格式、內(nèi)容及流量等應(yīng)做到實(shí)時監(jiān)測和實(shí)時控制。其訪問控制策略的制定、實(shí)施和管理由云服務(wù)客戶與云服務(wù)方管理員共同負(fù)責(zé)；安全數(shù)據(jù)交換系統(tǒng)應(yīng)滿足云環(huán)境下的各類彈性要求。如前后端部門/業(yè)務(wù)非對稱性的接入，要求安全接入系統(tǒng)可以提供靈活的部署方式，提供彈性的資源調(diào)度模式，提供基于部門/業(yè)務(wù)的強(qiáng)安全隔離的安全數(shù)據(jù)交換方式。政務(wù)云跨VPC數(shù)據(jù)同步方法見附錄A。數(shù)據(jù)共享與交換部門間VPC之間和公共區(qū)VPC之間的數(shù)據(jù)共享與交換，應(yīng)制定不同信息系統(tǒng)及數(shù)據(jù)庫相關(guān)字段級的共享與交換規(guī)則，按政務(wù)信息資源目錄的要求，實(shí)現(xiàn)不同虛擬專有云（VPC）之間的應(yīng)用系統(tǒng)、數(shù)據(jù)庫、視頻等需要通過細(xì)粒度的路由策略進(jìn)行訪問范圍限制，同時在路由可達(dá)的基礎(chǔ)之上，利用防火墻或虛擬防火墻對跨VPC的訪問流量進(jìn)行訪問控制。達(dá)到跨部門的數(shù)據(jù)共享與交換。政務(wù)云管理要求云服務(wù)客戶云服務(wù)客戶單位向政務(wù)云進(jìn)行信息系統(tǒng)遷移時或部署信息系統(tǒng)時，應(yīng)制定相關(guān)的技術(shù)方案，明確安全責(zé)任邊界及基于風(fēng)險分析基礎(chǔ)之上的安全計劃和控制策略，從網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)安全及備份恢復(fù)等方面提出具體要求，滿足信息系統(tǒng)安全等級保護(hù)技術(shù)要求；接受政務(wù)云管理部門對云服務(wù)客戶安全工作的指導(dǎo)、監(jiān)督、檢查和考核；云服務(wù)客戶承擔(dān)應(yīng)用系統(tǒng)部署及管理，以及自身業(yè)務(wù)和數(shù)據(jù)安全、客戶端安全等相關(guān)責(zé)任；云服務(wù)客戶應(yīng)用遷移時，應(yīng)對擬遷移至云計算平臺的應(yīng)用系統(tǒng)的敏感度和業(yè)務(wù)重要性進(jìn)行分析和評估，按照應(yīng)用系統(tǒng)敏感度和業(yè)務(wù)重要性要求云服務(wù)方提供相應(yīng)的安全防護(hù)能力，禁止涉密數(shù)據(jù)遷移至云平臺；云服務(wù)客戶的局域網(wǎng)及終端安全由各云服務(wù)客戶自行負(fù)責(zé)；云服務(wù)客戶在政務(wù)云上的信息系統(tǒng)及內(nèi)部系統(tǒng)之間的訪問控制由云服務(wù)客戶負(fù)責(zé)；完成風(fēng)險評估和損失評估后，安全策略應(yīng)明確數(shù)據(jù)安全的要求，如數(shù)據(jù)副本的數(shù)量、存儲的物理位置，根據(jù)數(shù)據(jù)的重要程度明確數(shù)據(jù)備份的RPO和RTO，明確數(shù)據(jù)是否需要加密存儲；云服務(wù)客戶管理員應(yīng)使用安全受控的終端、多因素認(rèn)證、復(fù)雜密碼（至少14位），受限的訪問權(quán)限和傳輸加密的方式訪問并管理政務(wù)云上的資源。政務(wù)云管理單位云管理單位監(jiān)督云服務(wù)方執(zhí)行安全配置，持續(xù)的脆弱性管理，及時修補(bǔ)漏洞，定期邀請第三方安全評估和滲透測試機(jī)構(gòu)對云服務(wù)和基礎(chǔ)設(shè)施進(jìn)行評估；云管理單位應(yīng)組織審查云服務(wù)方和云服務(wù)客戶的網(wǎng)絡(luò)安全應(yīng)急預(yù)案并確保云服務(wù)方進(jìn)行應(yīng)急演練，相互配合，以滿足云服務(wù)客戶對業(yè)務(wù)連續(xù)性的要求，例如制定關(guān)于云服務(wù)遭遇網(wǎng)絡(luò)攻擊造成基礎(chǔ)設(shè)施損失等事件的應(yīng)對措施；審定各云服務(wù)客戶單位向政務(wù)云進(jìn)行信息系統(tǒng)遷移時或部署信息系統(tǒng)時的技術(shù)方案、安全責(zé)任邊界及基于風(fēng)險分析基礎(chǔ)之上的安全計劃和控制策略；對政務(wù)云建設(shè)及運(yùn)營開展行政監(jiān)管，指導(dǎo)政務(wù)云服務(wù)機(jī)構(gòu)開展對政務(wù)云的運(yùn)維（安全監(jiān)管）工作，并負(fù)責(zé)監(jiān)督檢查、考核及相關(guān)服務(wù)費(fèi)用審定；在云服務(wù)客戶退出云計算服務(wù)時，監(jiān)督云服務(wù)方履行相關(guān)責(zé)任和義務(wù)，確保退出云計算服務(wù)階段的數(shù)據(jù)和業(yè)務(wù)安全；應(yīng)定期組織對云服務(wù)客戶的技術(shù)、安全及業(yè)務(wù)等方面的培訓(xùn)；應(yīng)明確政務(wù)云與政務(wù)外網(wǎng)的邊界，云服務(wù)客戶信息系統(tǒng)與政務(wù)云的邊界，及政務(wù)云上云服務(wù)客戶之間的邊界，以及相應(yīng)邊界訪問控制的策略、責(zé)任和安全要求。云服務(wù)方為云管理單位提供各類資源的使用報告，指導(dǎo)云服務(wù)客戶的資源申請和退訂；對云服務(wù)客戶定制培訓(xùn)計劃并提供定期的培訓(xùn)，培訓(xùn)內(nèi)容至少包括數(shù)據(jù)維護(hù)、系統(tǒng)維護(hù)和安全管理及事件處理流程要求等；為云服務(wù)客戶制定應(yīng)急預(yù)案及安全事件處置響應(yīng)計劃，對數(shù)據(jù)的使用進(jìn)行實(shí)時的監(jiān)測及審計；對開放云管理系統(tǒng)的API接口應(yīng)實(shí)時監(jiān)測，發(fā)現(xiàn)異常及時告警；為避免云計算管理員賬戶和云服務(wù)客戶管理員賬戶被惡意劫持，應(yīng)予重點(diǎn)保護(hù)，對管理員信息、登錄密碼等數(shù)據(jù)進(jìn)行加密保護(hù)，并做好備份；應(yīng)定期向政務(wù)云管理部門提交各云服務(wù)客戶安全情況TOP排名，資源使用率高、低的TOP排名及對重點(diǎn)云服務(wù)客戶的安全保障情況；云服務(wù)方應(yīng)有針對政務(wù)云服務(wù)的安全責(zé)任書面承諾，尤其對政務(wù)云上所有的數(shù)據(jù)不出省或按省政務(wù)云管理部門的要求作出承諾；應(yīng)對所有設(shè)備相關(guān)的安全策略定期或不定期備份，并制定管理辦法；云服務(wù)客戶終止服務(wù)后，對云服務(wù)客戶的信息系統(tǒng)、數(shù)據(jù)的處置，應(yīng)有書面協(xié)議，說明信息系統(tǒng)、數(shù)據(jù)、管理員的賬號密碼的處理過程及安全要求；要求政務(wù)云服務(wù)方對政務(wù)云應(yīng)進(jìn)行7*24小時的實(shí)時行為監(jiān)測，對已知特征的網(wǎng)絡(luò)攻擊行為進(jìn)行預(yù)警。能夠利用入侵節(jié)點(diǎn)的告警進(jìn)行匯總分析，發(fā)現(xiàn)不同告警日志內(nèi)在聯(lián)系，并對相關(guān)云服務(wù)客戶提出預(yù)警信息，對確定的信息安全事件，協(xié)助云服務(wù)客戶及時處置并形成事件處置報告報政務(wù)云