電子政務云安全規(guī)范

ICSFORMTEXT點擊此處添加ICS號FORMTEXT點擊此處添加中國標準文獻分類號FORMTEXT?????DBFORMTEXT36DB36/TFORMTEXTXXXXX—FORMTEXTXXXXFORMTEXT?????FORMTEXT電子政務云安全規(guī)范FORMTEXTSecurityRequirementsforE-governmentCloudPlatformFORMTEXT?????FORMDROPDOWNFORMTEXT?????FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX發(fā)布FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX實施FORMTEXT江西省質量技術監(jiān)督局???發(fā)布DB36/TXXXXX—XXXX32073前??言 錯誤！未定義書簽。14950引??言 II260521范圍 1130452規(guī)范性引用文件 1141323術語與定義 166474縮略語 2190375政務云業(yè)務區(qū)劃分 3311166政務云安全參考模型 429587政務云安全技術要求 653228政務云管理要求 148570附錄A（資料性附錄）政務云VPC之間跨網數據交換方法示例 174013附錄B（資料性附錄）政務云安全事件分類分級規(guī)范 19電子政務云安全規(guī)范范圍本標準包括了政務云概述及安全功能區(qū)域劃分、安全參考模型、政務云安全技術要求和管理要求等內容。本標準適用于政務云規(guī)劃設計、設備選型、建設實施、運行維護和管理，各設區(qū)市政務外網政務云建設運維管理單位參照執(zhí)行。規(guī)范性引用文件GB/T25069信息安全技術術語GB/T29246信息技術安全技術信息安全管理體系概述和詞匯（ISO/IEC27000）GB/T22239信息安全技術 信息系統(tǒng)安全等級保護基本要求GB/T31167信息安全技術云計算服務安全指南GB/T31168信息安全技術云計算服務安全能力要求GB/T20271信息安全技術信息系統(tǒng)通用安全技術要求GA/T1390.2信息安全技術網絡安全等級保護基本要求GW0013—2017政務云安全要求ISO/IEC17788信息技術云計算 概述和詞匯術語與定義GB/T25069、GB/T29246、GB/T22239、GB/T31167、GB/T31168、GB/T20271、ISO/IEC17788、GW0013—2017確定的術語和定義適應于本規(guī)范。政務外網政務外網是服務于各級黨委、人大、政府、政協、法院和檢察院等政務部門，滿足其經濟調節(jié)、市場監(jiān)管、社會管理和公共服務等方面需要的政務公用網絡。政務外網支持跨地區(qū)、跨部門的業(yè)務應用、信息共享和業(yè)務協同，以及不需在政務內網上運行的業(yè)務，與互聯網邏輯隔離。政務云運用云計算技術，依托省電子政務外網統(tǒng)一網絡平臺構建，面向政務部門提供計算存儲資源、支撐軟件、信息資源和應用系統(tǒng)的高效、安全政務基礎設施。用于承載各級政務部門開展公共服務、社會管理等電子政務業(yè)務信息系統(tǒng)和數據，及政務門戶網站的云計算基礎設施，可根據不同業(yè)務和需求提供IaaS、PaaS、SaaS服務。云服務客戶在政務云中，云服務客戶指使用政務云的各級政務部門（指各級黨委、人大、政府、政協、法院和檢察院等政務部門），即使用云計算基礎設施開展電子政務業(yè)務和處理、存儲數據的組織（或機構）及相關事業(yè)單位，包括單位內部業(yè)務使用人員及對云相關云資源和安全的管理人員。云服務方管理、運營、支撐云計算的計算基礎設施及軟件，通過服務方式將云計算的資源交付給客戶。在政務云中，云服務方指為各級政務部門提供計算、存儲、網絡及安全等各類云計算基礎設施資源、相關軟件和服務的提供商，及負責執(zhí)行云服務方業(yè)務運營和相關管理工作。云管理平臺 為整個云計算基礎設施提供資源管理和服務管理，能夠對存儲/計算/網絡/系統(tǒng)等基礎設施資源（IaaS）、應用/開發(fā)/數據平臺（PaaS）和軟件架構整合服務（SaaS）進行管理。一般情況下，由云計算基礎設施服務方提供，也可由第三方提供云管理平臺。云計算基礎設施 由硬件資源和資源抽象控制組件構成的支撐云計算的基礎設施。硬件資源包括所有的物理計算資源，即服務器（CPU、內存等）、存儲組件（硬盤等）、網絡組件（路由器、防火墻、交換機、網絡鏈路和接口等）及其他物理計算基礎元素。資源抽象控制組件對物理計算資源進行軟件抽象，云服務方通過這些組件提供和管理對物理計算資源的訪問。虛擬專有云提供一個邏輯隔離的區(qū)域，搭建一個安全可靠、可自主定義的環(huán)境。在該區(qū)域中部署獨立的服務資源，并根據業(yè)務需求定義虛擬環(huán)境，包括定義網絡拓撲、創(chuàng)建子網、虛擬機存儲資源和劃分安全組等。部門業(yè)務區(qū)每個云服務客戶有一個VPC，公共區(qū)和互聯網區(qū)可以是多個云服務客戶共享的VPC?？刂破?包括虛擬化監(jiān)視器、SDN控制器、存儲虛擬化控制器和策略管理控制器等進行物理資源抽象管理的資源管理和策略管理系統(tǒng)?？缇W數據交換系統(tǒng) 跨網數據交換是一種基于網絡隔離技術的無協議數據同步系統(tǒng)，綜合利用設備認證、數據格式檢查、病毒檢查等安全措施，實現兩個不同網絡業(yè)務區(qū)服務器之間數據同步?？捎赏饨粨Q服務器和內交換服務器及相關隔離設備組成，支持數據庫、文件、圖像數據及請求響應數據的安全交換?？s略語IaaS基礎設施即服務（InfrastructureasaService）PaaS平臺即服務（PlatformasaService）SaaS軟件即服務（SoftwareasaService）VM虛擬機（VirtualMachine）VPC虛擬專有云(VirtualPrivateCloud)MPLS多協議標簽交換(Multi-ProtocolLabelSwitching)VPN虛擬專用網絡（VirtualPrivateNetwork）SDN軟件定義網絡（SoftwareDefinedNetwork）API應用程序編程接口（ApplicationProgrammingInterface）NFV網絡功能虛擬化（NetworkFunctionVirtualization）RTO恢復時間目標(RecoveryTimeObjective)RPO恢復點目標（RecoveryPointObjective）政務云業(yè)務區(qū)劃分政務云業(yè)務區(qū)域劃分圖政務外網城域網政務外網城域網連接同級各政務部門，云服務客戶可通過城域網各自的MPLSVPN分別訪問政務云內相關部門內部的信息系統(tǒng)和公共區(qū)信息系統(tǒng)。各政務部門通常以專線接入當地政務外網城域網，并通過城域網不同VPN實現政務云及互聯網的訪問。政務云業(yè)務區(qū)域劃分見圖1所示。安全接入平臺安全接入平臺是政務用戶通過互聯網或移動專線網絡訪問政務云的部門業(yè)務和公共區(qū)業(yè)務的唯一接入通道，接入平臺應具備數字認證、授權管理、VPN接入、移動設備管理和移動應用管理等功能，為各類智能移動終端和遠程辦公用戶提供可信的安全接入和實時的業(yè)務訪問。安全防護本防護區(qū)是互聯網用戶訪問政務云上的門戶網站、部署在互聯網上的應用系統(tǒng)和政務人員統(tǒng)一訪問互聯網的安全防護區(qū)域，其安全防護要求按網絡安全等級保護第三級的國家標準要求進行保護。政務云互聯網業(yè)務區(qū)互聯網業(yè)務區(qū)主要為公眾和企業(yè)提供互聯網門戶網站服務和政務服務，由于門戶網站群分屬各不同的政務部門，其安全要求各有不同，對網站和信息系統(tǒng)可根據不同的安全級別進行分等級防護。公共業(yè)務區(qū)公共業(yè)務區(qū)主要實現跨部門、跨地區(qū)的信息共享、數據交換及業(yè)務協同，提供政務部門內部的公共服務。禁止從互聯網直接訪問本區(qū)域的各信息系統(tǒng)和數據，與部門業(yè)務區(qū)邏輯隔離并應做好相應的訪問控制，本區(qū)域部署的信息系統(tǒng)可結合自身實際情況按國家等級保護要求進行分級并實施保護。部門業(yè)務區(qū)部門業(yè)務區(qū)主要承載各云服務客戶部署或遷移的信息系統(tǒng)，云服務客戶可按要求部署在不同的VPC，VPC之間采用VPN技術隔離，應根據信息系統(tǒng)的安全等級進行防護。可按云服務客戶對信息系統(tǒng)的安全要求分為二級信息系統(tǒng)等級保護區(qū)域和三級信息系統(tǒng)等級保護區(qū)域，若云服務客戶同時擁有二級業(yè)務和三級業(yè)務，應確保不同等級的信息系統(tǒng)采用訪問控制策略。存儲資源池云計算中的存儲池一般是以存儲塊或分布式存儲方式，將數據離散的存儲在資源池中，并按要求可對相關重要數據進行加密存儲，并將互聯網區(qū)的業(yè)務和政務業(yè)務在計算資源及網絡資源物理分開，如存儲資源池共用，則需保證數據安全可控，對存儲資源池進行統(tǒng)一管理和調度。云資源管理區(qū)為整個政務云系統(tǒng)提供云資源管理和物理資源抽象，以及日常運維所必須的運維系統(tǒng)和認證管理系統(tǒng)。通過資源管理區(qū)實現對各類云資源的實時監(jiān)控、管理、預警和應急處置，并對虛擬機遷移、資源彈性擴展、業(yè)務使用情況及運維操作人員進行實時監(jiān)控和審計。政務云安全參考模型政務云安全參考模型政務云服務模式概述IaaS服務模式下，云服務方向客戶提供計算資源、存儲、網絡等資源，提供訪問云基礎設施的服務接口?？蛻艨稍谶@些資源上部署或運行操作系統(tǒng)、中間件和應用軟件等?？蛻敉ǔ２荒芄芾砘蚩刂圃苹A設施，但能控制自己部署的操作系統(tǒng)、存儲、應用和數據，也能部分控制使用的網絡組件，如虛擬防火墻。IaaS安全主要包括物理平臺安全、邊界安全、物理資源安全（網絡安全、主機安全、存儲安全）、抽象控制安全、虛擬網絡安全、虛擬存儲安全、虛擬主機安全等。PaaS服務模式下，云服務方向客戶提供的是運行在云基礎設施之上的軟件開發(fā)和運行平臺，如：標準的開發(fā)語言與工具、數據訪問、中間件、數據庫及通用接口等。云服務客戶可利用該平臺開發(fā)和部署自己的軟件。云服務客戶通常不能管理或控制支撐平臺運行所需的底層資源，如網絡、服務器、操作系統(tǒng)、數據庫和存儲等，但可對應用的運行環(huán)境進行配置，控制自己部署的應用。PaaS位于IaaS之上，用以與應用開發(fā)框架、中間件以及數據庫、消息隊列等功能集成。PaaS層增加的安全主要包括接口安全、開發(fā)環(huán)境安全、中間件安全、數據庫安全等。SaaS服務模式下，云服務方向客戶提供的是運行在云基礎設施之上的應用軟件。云服務客戶不需要購買、開發(fā)軟件，即可利用不同設備上的客戶端（如WEB瀏覽器）或程序接口進行網絡訪問并使用云服務方提供的應用軟件，如電子郵件系統(tǒng)、協同辦公系統(tǒng)等。云服務客戶通常不能管理或控制支撐應用軟件運行的底層資源，如網絡、服務器、操作系統(tǒng)、存儲等，但可對應用軟件進行有限的配置管理。SaaS位于IaaS和PaaS之上，它能夠提供獨立的運行環(huán)境，用以交付完整的用戶體驗，包括內容、展現、應用和管理能力。SaaS層增加的安全主要是應用開發(fā)安全和應用安全。數據保護要求概述無論采用何種政務云服務模式，政務云中的政務數據保護是關系到政務云能否提供安全可靠的服務交互的關鍵，從信息系統(tǒng)遷移開始就要考慮應用系統(tǒng)和數據的安全問題，遷移到云上后，對應用系統(tǒng)的訪問，應采取身份認證、授權管理、賬戶保護、數據加密、密鑰管理、剩余信息清除、完整性校驗、災備與恢復、通信安全、安全審計、數據交換安全等技術手段實現應用和數據的保護要求。政務云安全管理要求概述政務云的安全管理角色分為云服務客戶、政務云管理單位和云服務方，在政務云的安全管理過程中，應結合三方的角色，合理劃分權限和責任，充分考慮各方在政務云安全管理和使用工作中的互補性，實現各方的職能定位，共同協作，保障政務云整體的安全防護能力。云服務提供方應與政務云管理單位、政務部門（云服務客戶）簽訂安全保障協議，明確責任及管理邊界，云計算資源使用情況，資源配套管理、安全策略制定和業(yè)務連續(xù)性等要求。政務云安全技術要求總體要求各類政務業(yè)務應部署在物理設施獨立的政務云上，不得部署在公有云上；政務云計算基礎設施應按網絡安全等級保護國家標準中的第三級等級保護要求建設和保護；政務云上承載互聯網門戶網站及部署在互聯網上的信息系統(tǒng)計算和網絡資源，從云計算核心交換機以下，在物理上（宿主機和交換機）與其他VPC分開部署，根據系統(tǒng)預設的調度策略進行資源調度和遷移。對于已建的政務云，應對互聯網VPC的業(yè)務實時監(jiān)測、控制和管理，尤其是對跨VPC數據共享與交換訪問控制的實時監(jiān)控；所有對各類資源的操作必須通過云資源管理區(qū)，并對管理員操作進行審計。要求業(yè)務流量與管理流量分開，應能實現并區(qū)分運維管理人員、云服務客戶管理員及公務人員訪問業(yè)務和對各類資源的管理和控制；云服務方應提供對各信息系統(tǒng)的核心或敏感數據加密存儲的功能，應按照國家密碼管理有關規(guī)定使用和管理政務云平臺的密鑰設施，并按規(guī)定生成、使用和管理密鑰；應對云服務客戶管理員賬戶及政務云的管理數據單獨加密存儲，重點保護。其密鑰的使用和管理應符合國家密碼管理局的有關規(guī)定；重要部門的信息系統(tǒng)在分地域部署云計算基礎設施時，應將計算、網絡和存儲設施采用分布式部署方式部署在遠端并進行統(tǒng)一管理；明確遠程管理責任，云服務方需要對計算資源進行遠程管理時，云管理單位有權對所有遠程維護和診斷活動進行審計并進行定期或不定期審查；云計算環(huán)境應具備基于行為的實時安全監(jiān)控、策略控制、安全事件主動發(fā)現和預警、態(tài)勢感知及安全事件及時處置的能力；云服務方應定期向政務云管理單位提交各云服務客戶安全情況及資源使用率情況的報告；對重點云服務客戶的信息系統(tǒng)和數據應能重點進行安全保障，實時監(jiān)控異常情況并預警；政務云應具備分級管理和控制的能力，VPC內部信息系統(tǒng)之間的訪問控制及數據使用等管理權限應開放給云服務客戶，云服務方應具備對資源使用情況實時監(jiān)測、發(fā)現異常、預警和協助處置的能力；所有應用系統(tǒng)正式遷移或部署到政務云上前應進行測試、其應用系統(tǒng)源代碼的定制化部分應向政務云管理單位備案；云服務客戶擁有本單位VPC內部信息系統(tǒng)和數據完整的使用權和管理權。IaaS安全物理平臺安全環(huán)境安全、設備安全、介質安全、冗余備份及隔離等基本安全防護要求應按《信息安全技術信息安全等級保護基本要求》（GB/T22239）和《信息安全技術網絡安全等級保護基本要求》（GA/T1390.2）中的相關要求執(zhí)行。邊界安全7.2.2.1ISP邊界政務云與互聯網服務提供商（ISP）的邊界安全防護應由云服務提供商負責，滿足網絡安全等級保護第三級的防護標準，同時采取有效措施及基于行為和實時的監(jiān)控手段，保證政務云、互聯網門戶網站、相關信息系統(tǒng)的網絡和數據的安全。7.2.2.2電信運營商專線通過互聯網實現移動智能終端安全接入政務云時，應部署安全接入平臺，如使用電信運營商的VPDN專線時，云服務提供商應負責維護和管理，并滿足如下技術要求。安全接入平臺的要求應參照《國家電子政務外網安全接入平臺技術規(guī)范》(GW0202-2014)；根據云服務客戶的業(yè)務需求，通過安全接入平臺，實現政務人員通過移動網絡訪問政務云相關業(yè)務的需求及滿足政務業(yè)務主動推送到指定終端的需求。7.2.2.3互聯網邊界防護應提供異常流量清洗服務，具備防范來自互聯網的DDoS攻擊、webshell攻擊、木馬病毒等各類惡意攻擊。同時，外部和內部網絡應提供冗余連接和帶寬預留，進行流量控制和過濾；應具有基于惡意行為攻擊實時監(jiān)控和安全態(tài)勢感知能力；對跨境數據傳輸等異常情況進行攔截、告警并溯源，協助云服務客戶分析原因并處置；應能對云主機主動散播和被操縱主機的被動有害信息散播行為進行防護、清除并告警；應具有對未知威脅進行檢測發(fā)現的能力，并且具有對web應用安全漏洞進行檢測發(fā)現和攻擊防御的能力；應對已發(fā)現的攻擊行為制定并執(zhí)行安全策略，發(fā)現問題及時通知信息系統(tǒng)的責任單位并配合采取措施，消除安全隱患。網絡安全訪問控制、攻擊防范、網絡審計、安全檢測等要求按網絡安全等級保護第三級中的網絡與通信部分的要求執(zhí)行；提供網絡訪問控制使云服務客戶實現網絡分段和隔離，包括網絡過濾功能，禁止云服務客戶的遠程管理訪問到非其VPC的IP地址；數據遠程傳輸保護：用戶客戶端到政務云平臺之間的遠程數據傳輸應采取保護和隔離措施；除了部署傳統(tǒng)的基于特征庫的防御手段外，政務云環(huán)境應具備針對APT、零日漏洞利用、定向攻擊等高級威脅檢測能力，識別在政務云環(huán)境中的滲透、擴散、數據竊取等行為；應具備防火墻與安全監(jiān)控系統(tǒng)的聯動與防火墻策略遷移的能力，以方便云服務客戶違規(guī)行為的及時阻斷、清除安全威脅；除了部署傳統(tǒng)的基于特征庫的防御手段外，政務云環(huán)境還需要具備基于大數據技術的威脅檢測、判斷和關聯分析能力，能夠從全攻擊鏈整體對安全威脅發(fā)生發(fā)展進行識別、分析和評估；應具備安全分析和可視化能力，至少可以提供安全事件展示、攻擊路徑展示等，并提供多維分析展示（例如：IP地址、郵件、文件、域名、受威脅資產等多個維度）。主機安全政務云所有宿主機和虛擬機采用的操作系統(tǒng)均應滿足《信息安全技術信息安全等級保護基本要求》（GB/T22239）和《信息安全技術網絡安全等級保護基本要求》（GA/T1390.2）的相關安全要求；應采用雙因子認證方式對物理主機（數字證書IP地址或FC端口地址）或用戶（數字證書和口令）進行身份認證；對主機的管理、操作等應通過堡壘機等技術手段，對管理員進行權限控制和審計。存儲安全為防止數據的永久丟失，云服務方應積極采取措施，與云服務客戶一起提出可行的信息系統(tǒng)和數據遷移方案，明確數據鏡像（或副本）及數據備份的要求，滿足云服務客戶對數據安全的要求；如果云服務客戶的服務終止，云服務方應通知云服務客戶，并應給云服務客戶提供至少一個月的時間進行數據的遷移或下載，并保證刪除后的數據不可恢復；按云服務客戶的要求，對重要信息系統(tǒng)和數據在政務云上應采用加密的方式存儲和備份，存儲在云服務客戶端或存放在其他備份云平臺上的數據，應采用多因素認證配合才允許進行修改或刪除，同時政務云服務方應至少每年對重要信息系統(tǒng)的數據配合云服務客戶進行數據恢復的測試；應對用戶鑒別信息、審計日志等關鍵信息予以完整性和保密性保護；應能針對政務云平臺內不同云服務客戶的存儲數據進行有效隔離，防止政務云不同云服務客戶間非授權訪問敏感數據；應由云服務客戶決定自身業(yè)務數據是否加密；存儲設備應具有工業(yè)級的高可靠性設計，支持并發(fā)訪問，保證政務云平臺各云服務客戶的業(yè)務不間斷，并應防止非授權訪問；應對物理主機或用戶、密鑰生成簽名進行身份認證；應采用訪問控制機制，云服務客戶所持有資源的任何訪問需要檢測資源的請求者是否具備訪問的權限，防止多云服務客戶間的非授權訪問；應采取相應技術措施對存儲資源池或分布式存儲集群的訪問進行實時的控制，對異常情況應實時告警，并及時通知云服務提供商、運維人員和云服務客戶管理人員。抽象控制安全控制器安全主要包括身份認證、授權管理和操作審計，具有行為的鑒別、訪問控制及異常行為的實時預警功能，并應通過安全審計進行分析、溯源、定位及安全預警；針對云服務方管理員和云服務客戶管理員，分別設置不同的職責和權限，對管理員的身份進行多因素認證，所有操作應進行審計；云服務方提供的控制器（如虛擬化和SDN）應開放標準的API接口供云服務客戶自行選擇通用的安全解決方案；控制器（如SDN控制器）應具備冗余能力，保證政務云中的管理系統(tǒng)提供持續(xù)使用的能力；云服務客戶的管理員對資源調度使用應具備與云服務方管理員聯合審批及安全接入的功能，如專用終端、堡壘機、專用賬戶、強密碼和多因素身份驗證。虛擬網絡應實現云計算環(huán)境業(yè)務網絡與管理網絡的有效隔離，包括云服務客戶使用的基礎設施、云服務方的管理網絡以及內部局域網。應制定各應用系統(tǒng)的訪問控制策略并實時監(jiān)控策略的有效性；部門業(yè)務區(qū)中，云服務方應為不同的云服務客戶分配不同的VPC，每個VPC之間不能直接進行通信，同時解決不同云服務客戶間可能產生的地址重疊問題；云服務客戶的局域網邊界通過接入路由器接入電子政務外網的城域網，在網絡上應將各云服務客戶用MPLSVPN進行隔離，在政務云側為每個VPN接入的云服務客戶分配不同的路由表。通過路由或ACL訪問控制列表對應每個云服務客戶的VPN，實現云服務客戶網絡的隔離；云服務方應具備為每個云服務客戶提供獨立安全服務的能力，明確安全服務的功能、性能、實現的安全目標及在政務云上的部署位置，如虛擬防火墻、虛擬IPS等，其安全防護設備的安全策略應與云服務客戶共享，應對安全策略實施的有效性進行監(jiān)測和控制；云服務客戶擁有VPC內部信息系統(tǒng)和數據完整的使用權和管理權。虛擬主機虛擬機的隔離、漏洞發(fā)現與修復、安全配置及訪問控制等策略，應滿足不同云服務客戶信息系統(tǒng)的安全需求。其安全策略及訪問控制權限應由云服務客戶自行決定；云服務客戶內部信息系統(tǒng)虛擬機之間的訪問控制及實時安全監(jiān)測應能發(fā)現異常，通知云服務客戶并及時處置。對虛擬機的訪問、遷移、動態(tài)擴展及使用狀態(tài)應做好審計和記錄；云服務方應根據云服務客戶要求開通虛擬機，并保證虛擬機的正常使用。應具備實時監(jiān)測的能力，及時向云服務客戶提供安全事件取證、溯源、定位及處置的能力；云服務方應提供虛擬機之間可配置的訪問控制機制，使同一云服務客戶的不同虛擬機之間可以設置訪問控制策略；虛擬機出現異常，云服務方應及時采取有效措施，保證云服務客戶業(yè)務不中斷；應為云服務客戶提供配置安全和完成補丁修復的虛擬機模板，避免新的虛擬機被分配同樣的弱口令；承載網絡安全等級保護第三級應用系統(tǒng)的虛擬機，應對其進行加固，并對重要信息資源進行標記；虛擬機遷移或動態(tài)擴展時，應做好資源變更記錄和審計；云服務客戶應確認云服務方或應用開發(fā)方對虛擬機的操作系統(tǒng)（包括操作系統(tǒng)補丁升級）、虛擬網絡配置以及虛擬安全配置的修復；應確保每個云服務客戶都有獨立的計算資源，其中包括CPU、內存、存儲、外設和地址空間等；云服務方應根據云服務客戶需求，具備對VPC內部虛擬機所承載的不同業(yè)務進行劃子區(qū)域或安全組的能力，及時發(fā)現并阻斷VPC內部的惡意攻擊；應具備將VPC內部流量通過隧道等技術導出到物理或虛擬安全防護設備的能力；安全防護設備應具備根據業(yè)務可彈性、快速生效和可被軟件定義的池化安全處理能力。虛擬存儲所有云服務客戶的信息系統(tǒng)應按照安全要求，掛載到存儲資源池相應的邏輯分區(qū)中；云服務客戶擁有VPC內部信息系統(tǒng)和數據完整的使用權和管理權。PaaS安全PaaS安全要求PaaS安全除滿足7.2條對IaaS安全的要求外，還應滿足如下要求。接口安全應采用密碼技術，保障資源訪問的API接口安全；應對開放的API接口的調用行為及數據異常情況的監(jiān)控和告警，發(fā)現問題及時通知云服務客戶，并協助云服務客戶及時處置；應對政務云中間件，應用開發(fā)的API接口接入進行安全測控和異常分析，以及對開發(fā)環(huán)境的安全檢測；應對中間件、數據庫及應用開發(fā)的API接口標準化，并通過政務云管理單位正式發(fā)布。開發(fā)環(huán)境安全應對開發(fā)環(huán)境提供給云服務客戶的數據庫、中間件等服務進行定期的漏洞監(jiān)測，及時執(zhí)行補丁更新；應對云服務客戶的應用系統(tǒng)軟件及使用情況進行監(jiān)測，對應用系統(tǒng)代碼漏洞或異常應及時通知云服務客戶，并督促其及時整改；應對開發(fā)環(huán)境中數據庫/中間件服務的使用，端口的開放及使用過程進行實時監(jiān)測和控制，保證政務云的安全；應對云服務客戶上傳的文件、鏡像和開發(fā)工具進行安全檢測，防止其VPC內部的擴散，影響云環(huán)境安全運行。中間件安全安裝其適用的所有安全補??；應啟用訪問控制功能，依據安全策略控制云服務客戶對中間件服務的訪問；應對應用部署的中間件服務狀態(tài)進行實時監(jiān)控，并對云服務客戶訪問中間件服務的過程進行實時監(jiān)控；應對云服務客戶登錄訪問中間件服務的所有訪問和操作行為進行審計，以便事后追查。數據庫安全應及時驗證并更新安全補??；應通過保障帳號和密碼安全、服務配置安全、審計安全，管理擴展存儲過程、傳輸保護配置、服務端口和網絡連接安全配置、數據庫應用系統(tǒng)的安全設置提高數據庫的安全性；應提供應用部署的數據庫服務狀態(tài)實時監(jiān)控；應通過建設數據庫審計系統(tǒng)對數據庫訪問和操作行為進行審計，以便事后追查；應提供應用部署的中間件服務狀態(tài)實時監(jiān)控，并對云服務客戶訪問中間件服務的過程進行實時監(jiān)控；在云服務客戶訪問敏感數據服務時，應調用加密算法模塊，對整個報文或會話過程進行加密，保證通信保密性；應啟用訪問控制功能，依據安全策略控制云服務客戶對數據庫服務的訪問；通過設置系統(tǒng)、網絡、安全管理員和安全審計員等管理人員及職責，按照最小權限的安全策略明確各自的職責。SaaS安全SaaS安全要求SaaS安全除滿足7.3節(jié)所述的PaaS安全外，還應滿足如下要求。應用安全應用安全防護要求按《信息安全技術信息安全等級保護基本要求》（GB/T22239）和《信息安全技術網絡安全等級保護基本要求》（GA/T1390.2）中的相關要求執(zhí)行。應用開發(fā)安全應用開發(fā)安全防護要求按國標《信息安全技術信息系統(tǒng)通用安全技術要求》（GB/T20271）中的相關要求執(zhí)行。數據保護要求應用遷移安全云服務客戶應對擬遷移至云計算平臺應用系統(tǒng)的敏感度和業(yè)務重要性進行分析和評估，按照應用系統(tǒng)敏感度和業(yè)務重要性要求云服務方提供相應的安全防護能力，禁止將涉密數據遷移至政務云平臺；云服務方應配合云服務客戶對政務云平臺進行全面風險評估，確保政務云平臺的安全防護能力不低于擬遷移信息系統(tǒng)的安全保護等級；應采用專線或加密隧道技術承載云服務客戶業(yè)務數據的遷移，數據遷移時應對云服務客戶的身份進行認證識別，采用訪問控制措施保證遷移路徑的安全可靠并對遷移來的數據執(zhí)行惡意代碼檢測和清除；應采用密碼技術保證云服務客戶終端與云環(huán)境通信過程中的完整性；云服務客戶應優(yōu)先將備份系統(tǒng)中的數據遷移至政務云平臺；云服務方應提供應用測試環(huán)境，在云服務客戶遷移完成后對部署在政務云平臺上的業(yè)務進行全面的可用性測試。身份認證與授權應對登錄訪問應用服務（技術服務、業(yè)務服務、數據服務）的云服務客戶進行身份識別和鑒別；應啟用身份鑒別、云服務客戶身份標識唯一性檢查、云服務客戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據安全策略配置相關參數；應啟用訪問控制功能，依據安全策略控制云服務客戶對應用服務（技術服務、業(yè)務服務、數據服務）、文件（配置文件、日志文件、鏡像文件）等客體的訪問；基于單位、角色控制的資源訪問權限，并支持細度的權限控制（修改、只讀、無權限），應授予云服務客戶所需的最小權限；應授予不同角色為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系；應對重要信息資源設置敏感標簽，并依據安全策略嚴格控制云服務客戶對有敏感標記重要信息資源的操作，并做好相關審計記錄。賬戶保護應定期針對數據保護、重要信息資源訪問進行測試，并驗證政務云具備相關的取證和分析能力，包括實時事件的記錄，磁盤鏡像，內存快照和自身的元數據（包括存儲位置、歷史數據、文件記錄等）；云服務客戶的賬戶和密碼禁止泄露給第三方，至少三個月應更改一次密碼，使用復雜密碼且密碼位數不少于14位；云服務客戶應使用安全受控的終端、雙因子認證，受限的訪問權限和傳輸加密的方式訪問并管理云上的資源；云服務客戶禁止給云服務方提供自己的賬號權限（或開放接入能力）及密鑰口令，讓云服務方能夠接入云服務客戶自己的重要信息系統(tǒng)中，例如云服務客戶的高等級業(yè)務；云服務方在對云進行管理或對云服務客戶資產進行故障診斷或技術支持及遠程操作時應控制管理員的權限，及系統(tǒng)和數據的訪問特權，防止云服務方權限的濫用。對于已經批準的臨時特權，應有記錄并在3個月內予以撤銷；根據業(yè)務特點，云服務方應區(qū)分系統(tǒng)管理員、安全管理員及安全審計員等各管理員角色，不可兼任；平臺禁止明文存儲口令數據；應提供登錄失敗處理功能，采取結束會話、限制非法登錄次數和自動退出等措施。數據加密應保證系統(tǒng)管理數據（如索引文件、云服務客戶信息及密鑰等）、鑒別信息和重要業(yè)務數據（如用戶隱私數據）存儲和傳輸的完整性和保密性；云服務客戶管理員客戶端到政務云平臺之間的遠程數據傳輸應采取加密機制保護和隔離措施；對應用系統(tǒng)中的重要數據應采取密碼機制保護措施，以保證數據的保密性和完整性；應支持基于硬件密碼設備的數據加密機制，所使用的硬件密碼設備和密碼算法應當符合國家標準和國家密碼管理局的相關要求；云服務客戶數據加密所使用的密鑰應由用戶管理；政務云平臺可在云平臺中構建硬件密碼資源池，供云服務客戶使用；政務云平臺負責硬件密碼資源的分配，應確保只有云服務客戶的VPC才能訪問所分配的密碼資源；云服務客戶的硬件密碼資源應為獨占方式，禁止不同云服務客戶共享硬件密碼資源，政務云應確保不同云服務客戶間的隔離；云服務客戶可以通過遠程網絡管理自己的密碼資源和密鑰，在管理時應經過基于硬件介質的身份認證，所有通訊數據應被加密；政務云應提供一種或多種技術手段，使云服務客戶可以使用密鑰基礎設施對敏感數據進行加密，可選的方式包括卷加密、數據庫加密、應用系統(tǒng)調用API加密等。密鑰管理密鑰的生成、存儲、使用和管理應符合國家密碼管理局關于商用密碼的相關管理要求和國家標準；政務云可以自建統(tǒng)一的密鑰管理系統(tǒng)，也可以選擇支持第三方密鑰管理系統(tǒng)（如電子政務外網CA），或支持用戶自行管理密鑰，所使用的密鑰管理系統(tǒng)應當符合國家密碼管理局的相關要求；政務云平臺應對云服務客戶提供密碼設備服務，平臺負責密鑰基礎設施的資源分配和網絡連通，云服務客戶負責對密鑰基礎設施進行配置，政務云平臺所提供的密鑰基礎設施服務應當設置嚴格的鑒別機制，保證只有云服務客戶才能對密鑰基礎設施進行配置，且只有云服務客戶的應用才能使用云服務客戶的密鑰基礎設施；加密密鑰應在專門的密鑰生成系統(tǒng)或密鑰基礎設施中生成，密鑰數據必須密文存儲且與業(yè)務數據存儲分離，關鍵密鑰如主密鑰、簽名密鑰等需存放在安全介質中或密鑰基礎設施中。且關鍵密鑰在云平臺上使用時，必須存放于密鑰基礎設施中。非關鍵密鑰信息如會話密鑰等應以密文形式保存在密碼資源外部，但不能在任何情況下以明文形式出現在密碼資源外部；政務云平臺應確保云服務客戶密鑰在使用中處于獨立的安全環(huán)境或云服務客戶專用密鑰基礎設施中；政務云平臺應提供安全的證書更新機制，確保云服務客戶加密資源釋放時，云服務客戶證書被撤銷；政務云自建的統(tǒng)一密鑰管理系統(tǒng)，應確保不同云服務客戶間的密鑰隔離，政務云平臺所使用的密鑰和云服務客戶密鑰禁止在同一系統(tǒng)中進行管理，政務云平臺的服務管理人員和密鑰管理人員不得兼任；未經云服務客戶明確授權，政務云平臺禁止查詢、修改、刪除云服務客戶密鑰及相關信息；密鑰在停止使用后，必須及時銷毀且不可恢復。剩余信息清除用戶存儲空間清除：應保證虛擬機用戶的磁盤存儲空間被釋放或再分配給其他用戶前得到完全清除，不能通過軟件工具恢復；管理文件空間清除：應確保虛擬機監(jiān)視器（Hypervisor）和云管理平臺內的文件、目錄、數據庫記錄和其他資源等所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除；鑒別信息清除：應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除；快照信息清除：在遷移或刪除虛擬機后應確保鏡像文件、快照文件等數據的清除以及備份數據清除；虛擬機內存清除：應保證虛擬機的內存被釋放或再分配給其他虛擬機前得到完全清除；設備置零：集中存儲過重要信息的存儲部件在報廢、維修、重新利用前，應采取技術手段進行硬件置零處理；云服務客戶將信息系統(tǒng)和數據退租后，云服務方應清除相關數據且不可恢復。備份與災難恢復同城系統(tǒng)備份的兩個數據中心之間距離應在50公里以內，信息系統(tǒng)能迅速恢復使用；異地數據備份與主用數據中心之間距離應在200公里以外，只做數據級備份；應滿足數據恢復和重建目標的需求。通過確定備份時間、技術、介質和場外存放方式，以保證達到RPO和RTO的要求，具體標準應通過云服務方，云服務客戶和云管理單位三方確定；政務云數據備份及災難恢復要求遵循GB/T30285《信息安全技術災難恢復中心建設與運維管理規(guī)范》及GB/T31500《信息安全技術存儲介質數據恢復服務要求》。數據完整性校驗應提供虛擬機鏡像文件完整性校驗功能，對虛擬機鏡像被篡改應能及時發(fā)現并告警；應對虛擬機配置文件、虛擬機模板、云服務客戶賬戶數據、管理員及權限等管理數據采取數據保護措施，經完整性校驗后方能部署使用。通信安全應采用由密碼技術支持的完整性校驗機制或具有相應安全強度的其他安全機制，以實現通信網絡數據傳輸完整性保護；應采用由密碼技術支持的保密性保護機制或具有相應安全強度的其他安全機制，以實現網絡數據傳輸保密性保護；通過對連接到通信網絡的設備進行認證，確保接入通信網絡的設備真實可信，防止設備的非法接入。安全審計政務云的審計也是政務云能正常應用的關鍵，除了對傳統(tǒng)的行為、數據庫、運維人員等審計外，還需要根據云計算的特點，對遠程操作管理、資源調度和彈性擴展等進行審計，其審計應通過第三方的審計產品進行獨立審計，審計要求包括：所有的審計手段應具備統(tǒng)一的時間戳，保持審計的時間標記一致；應確保日志存儲中有足夠的存儲空間可保存半年以上，且必須定期歸檔并予以標記；對于異常的審計結果應定期提供報告，并驗證異常事件；云服務客戶通過連接到政務外網城域網的線路訪問互聯網時，其互聯網出口的安全防護應具備URL過濾能力。云服務方應提供URL分類服務，以確保最新的網站類別定義；確保日志包括日期，時間戳，源地址，目的地址，各種可分析的元素，同時對于收集的日志的格式，應具備統(tǒng)一規(guī)范化的手段；應從云服務客戶行為審計、資源變更審計和管理操作審計等三方面，保證政務云處于可控狀態(tài)。數據同步互聯網區(qū)VPC內信息系統(tǒng)和數據與部門VPC內部數據或公共區(qū)VPC數據實施數據同步時，應采取嚴格的安全隔離和訪問控制策略；安全數據交換系統(tǒng)中的數據格式、內容及流量等應做到實時監(jiān)測和實時控制。其訪問控制策略的制定、實施和管理由云服務客戶與云服務方管理員共同負責；安全數據交換系統(tǒng)應滿足云環(huán)境下的各類彈性要求。如前后端部門/業(yè)務非對稱性的接入，要求安全接入系統(tǒng)可以提供靈活的部署方式，提供彈性的資源調度模式，提供基于部門/業(yè)務的強安全隔離的安全數據交換方式。政務云跨VPC數據同步方法見附錄A。數據共享與交換部門間VPC之間和公共區(qū)VPC之間的數據共享與交換，應制定不同信息系統(tǒng)及數據庫相關字段級的共享與交換規(guī)則，按政務信息資源目錄的要求，實現不同虛擬專有云（VPC）之間的應用系統(tǒng)、數據庫、視頻等需要通過細粒度的路由策略進行訪問范圍限制，同時在路由可達的基礎之上，利用防火墻或虛擬防火墻對跨VPC的訪問流量進行訪問控制。達到跨部門的數據共享與交換。政務云管理要求云服務客戶云服務客戶單位向政務云進行信息系統(tǒng)遷移時或部署信息系統(tǒng)時，應制定相關的技術方案，明確安全責任邊界及基于風險分析基礎之上的安全計劃和控制策略，從網絡、主機、應用和數據安全及備份恢復等方面提出具體要求，滿足信息系統(tǒng)安全等級保護技術要求；接受政務云管理部門對云服務客戶安全工作的指導、監(jiān)督、檢查和考核；云服務客戶承擔應用系統(tǒng)部署及管理，以及自身業(yè)務和數據安全、客戶端安全等相關責任；云服務客戶應用遷移時，應對擬遷移至云計算平臺的應用系統(tǒng)的敏感度和業(yè)務重要性進行分析和評估，按照應用系統(tǒng)敏感度和業(yè)務重要性要求云服務方提供相應的安全防護能力，禁止涉密數據遷移至云平臺；云服務客戶的局域網及終端安全由各云服務客戶自行負責；云服務客戶在政務云上的信息系統(tǒng)及內部系統(tǒng)之間的訪問控制由云服務客戶負責；完成風險評估和損失評估后，安全策略應明確數據安全的要求，如數據副本的數量、存儲的物理位置，根據數據的重要程度明確數據備份的RPO和RTO，明確數據是否需要加密存儲；云服務客戶管理員應使用安全受控的終端、多因素認證、復雜密碼（至少14位），受限的訪問權限和傳輸加密的方式訪問并管理政務云上的資源。政務云管理單位云管理單位監(jiān)督云服務方執(zhí)行安全配置，持續(xù)的脆弱性管理，及時修補漏洞，定期邀請第三方安全評估和滲透測試機構對云服務和基礎設施進行評估；云管理單位應組織審查云服務方和云服務客戶的網絡安全應急預案并確保云服務方進行應急演練，相互配合，以滿足云服務客戶對業(yè)務連續(xù)性的要求，例如制定關于云服務遭遇網絡攻擊造成基礎設施損失等事件的應對措施；審定各云服務客戶單位向政務云進行信息系統(tǒng)遷移時或部署信息系統(tǒng)時的技術方案、安全責任邊界及基于風險分析基礎之上的安全計劃和控制策略；對政務云建設及運營開展行政監(jiān)管，指導政務云服務機構開展對政務云的運維（安全監(jiān)管）工作，并負責監(jiān)督檢查、考核及相關服務費用審定；在云服務客戶退出云計算服務時，監(jiān)督云服務方履行相關責任和義務，確保退出云計算服務階段的數據和業(yè)務安全；應定期組織對云服務客戶的技術、安全及業(yè)務等方面的培訓；應明確政務云與政務外網的邊界，云服務客戶信息系統(tǒng)與政務云的邊界，及政務云上云服務客戶之間的邊界，以及相應邊界訪問控制的策略、責任和安全要求。云服務方為云管理單位提供各類資源的使用報告，指導云服務客戶的資源申請和退訂；對云服務客戶定制培訓計劃并提供定期的培訓，培訓內容至少包括數據維護、系統(tǒng)維護和安全管理及事件處理流程要求等；為云服務客戶制定應急預案及安全事件處置響應計劃，對數據的使用進行實時的監(jiān)測及審計；對開放云管理系統(tǒng)的API接口應實時監(jiān)測，發(fā)現異常及時告警；為避免云計算管理員賬戶和云服務客戶管理員賬戶被惡意劫持，應予重點保護，對管理員信息、登錄密碼等數據進行加密保護，并做好備份；應定期向政務云管理部門提交各云服務客戶安全情況TOP排名，資源使用率高、低的TOP排名及對重點云服務客戶的安全保障情況；云服務方應有針對政務云服務的安全責任書面承諾，尤其對政務云上所有的數據不出省或按省政務云管理部門的要求作出承諾；應對所有設備相關的安全策略定期或不定期備份，并制定管理辦法；云服務客戶終止服務后，對云服務客戶的信息系統(tǒng)、數據的處置，應有書面協議，說明信息系統(tǒng)、數據、管理員的賬號密碼的處理過程及安全要求；要求政務云服務方對政務云應進行7*24小時的實時行為監(jiān)測，對已知特征的網絡攻擊行為進行預警。能夠利用入侵節(jié)點的告警進行匯總分析，發(fā)現不同告警日志內在聯系，并對相關云服務客戶提出預警信息，對確定的信息安全事件，協助云服務客戶及時處置并形成事件處置報告報政務云