政务云平台监管规范

政务云平台监管规范范围本文件规定了XX省省级及市州级政务云监管平台的监管框架、数据接口、安全管理、运行维护要求。本文件适用于指导省级及市州级政务云监管平台建设，也可作为政务云监管平台测试验收依据。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T31168-2014信息安全技术云计算服务安全能力要求术语和定义下列术语和定义适用于本文件。

云计算cloudcomputing通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的模式。注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。[来源：GB/T31168-2014，3.1]云服务商cloudserviceprovider云计算服务的供应方。注：云服务商管理、运营、支撑云计算的基础设施及软件，通过网络交付云计算的资源。[来源：GB/T31168-2014，3.3]云计算基础设施cloudcomputinginfrastructure由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施。注：硬件资源包括所有的物理计算资源，包括服务器（CPU、内存等）、存储组件（硬盘等）、网络组件（路由器、防火墙、交换机、网络链路和接口等）及其他物理计算基础元素。资源抽象控制组件对物理计算资源进行软件抽象，云服务商通过这些组件提供和管理对物理计算资源的访问。[来源：GB/T31168-2014，3.5]云计算平台cloudcomputingplatform云服务商提供的云计算基础设施及其上的服务软件的集合。[来源：GB/T31168-2014，3.6]政务云平台governmentcloudplatform承载政务部门开展公共服务、社会管理的业务信息系统和数据的云计算平台。政务云监管平台governmentcloudsupervisionplatform用于监控政务云平台数据的平台系统。政务云平台监管governmentcloudplatformsupervision依托政务云监管平台开展的一系列政务云平台监管工作。监管数据supervisiondata政务云监管平台开展政务云平台监管所需的、从全省政务云平台采集的相关数据的集合。政务云服务商governmentcloudserviceprovider政务云平台的建设运维单位

政务云监管平台服务商governmentcloudsupervisionplatformserviceprovider政务云监管平台的运维管理单位。

政务云使用单位governmentclouduser使用政务云平台服务的部门单位。政务云主管单位governmentcloudCompetentunit 政务云服务商服务采购及管理单位。政务云监管框架政务云监管平台通过明确监管框架、数据接口、安全管理、运维维护等要求，实现全省政务云平台监管数据统一汇聚和政务云监管平台的统一规范。政务云监管框架图政务云监管平台与相关责任机构及平台的关系逻辑见图1。省级政务云平台由省级云服务商建设及运维，省级政务云监管平台由省级政务云监管平台服务商建设及运维。市州级政务云平台由市州级云服务商建设及运维，市州级政务云监管平台由市州级政务云监管平台服务商建设及运维。图1政务云监管框架图省级政务云平台直接向省级政务云监管平台提供监管数据，接受省级政务云监管平台的监管。市州级政务云平台优先向市州级政务云监管平台提供监管数据，接受市州级政务云监管平台的监管。无市州级政务云监管平台时，建议由市州级政务云主管单位牵头建设市州级政务云平台监管数据汇总平台后，再统一向省级政务云监管平台提供监管数据。省级政务云监管平台主要由资源监管、安全监管、应用监管、费用监管及数据接口等功能组成，地市级政务云监管平台可参考省级政务云平台进行建设。政务云监管平台应支持通过数据接口主动上报数据和被动拉取数据等数据对接方式。政务云监管平台汇聚监管数据后，可向相关政务云主管单位提供资源监管、安全监管、应用监管、费用监管等能力。政务云监管角色与职责XX省政务云平台监管平台相关机构及其职责如下：省级政务云主管单位：负责全省电子政务基础设施统筹规划和指导监督。负责省级政务云的规划建设、服务采购、监督评价和费用结算等工作。负责省级政务云服务商与省级政务云监管平台服务商的管理。省级政务云监管平台服务商：负责省级政务云监管平台的建设、运行维护和安全保障，协助省级政务云主管单位开展全省政务云监管工作。负责省内各级政务云平台相关监管数据的采集汇聚、统计分析。负责全省监管数据接口的协商制定，即监管数据的内容、格式、频率、要求等。省级政务云服务商：负责省级政务云平台的建设、运行维护和安全保障，配合使用单位做好信息系统迁移部署及运维保障等工作。负责向省级政务云监管方按约定的内容、形式、频率、机制等提供监管数据，并根据省级政务云监管方反馈建议对相关的管理和技术措施进行整改。市州级政务云主管单位：负责市州级政务云的规划建设、服务采购、监督评价和费用结算等工作。负责市州级政务云服务商与市州级政务云监管平台服务商的管理。市州级政务云监管平台服务商：负责市州级政务云监管平台的建设、运行维护和安全保障，协助市州级政务云主管单位开展本级政务云监管工作。负责市州级政务云平台相关监管数据的采集汇聚、统计分析。负责向省级政务云监管方按约定的内容、形式、频率、机制等同步监管数据。市州级政务云服务商：负责市州级政务云平台的建设、运行维护和安全保障，并配合使用单位做好信息系统迁移部署及运维保障等工作。负责向市州级或省级政务云监管平台服务商按约定的内容、形式、频率、机制等提供监管数据；政务云监管平台功能要求资源监管要求政务云监管平台资源监管功能：应支持查看政务云使用单位的云资源使用情况，支持实时获取政务云平台资源现状；应支持政务云平台资源的统计分析，提供资政务云平台资源稽核；可支持政务云平台资源操作的审计展示等功能。应用监管要求政务云监管平台应用监管功能：应支持从应用系统维度查看云资源使用情况、安全现状；应支持应用系统的资源使用效率监控，提供应用系统的云资源优化配置建议；可支持创建应用系统的上云时间计划，可根据时间计划提供定期排查、自动提醒等功能。安全监管要求政务云监管平XX全监管功能：应支持政务云使用单位的云上安全现状的概览与展示；应支持应用系统的等保与关基的评XX果填报，可支持对未完成填报的应用系统进行提醒；应支持云平台及云租户相关安全事件的统计分析和呈现；可支持云平台环境安全性评估；可支持云平台及云租户的资产脆弱性监管和下发通知通报等功能。费用监管要求 政务云监管平台费用监管功能：应支持政务云使用单位的费用预算录入和统计展示；应支持按云平台、使用部门单位维度的预算占比设置和预算超额提醒；应支持部门单位已用政务云平台服务的订单记录查看和费用统计等功能。数据接口要求基本要求政务云监管平台数据接口基本要求如下：应符合统一的数据格式与交互参数，应提供防错、容错、合法性校验等机制；应兼容过往版本；服务端应采用s加密方式连接，客户端应具备身份认证和加密措施：平台不应支持可绕过系统安全机制访问平台或数据的接口：平台接口访问操作应有记录日志，日志内容应符合审计要求。对接方式政务云平台可通过以下方式与政务云监管平台完成数据对接：被动拉取：政务云监管平台通过数据接口，按照统一数据格式实时查询各级政务云平台监管数据；主动上报：各级政务云平台通过统一消息中间件向政务云监管平台主动上报监管数据。数据指标政务云监管平台数据接口对接的数据指标包括：云平台基础信息、云租户基础信息、云平台主机信息、云平台网络信息、云平XX全服务信息、云平台基础设施信息、云租户数据库服务信息、云租户存储服务信息、云资源操作日志、云租户备份服务信息、业务基础数据、资源监管数据、应用监管数据、安全监管数据、费用监管数据。云平台基础信息：包括政务云平台相关的服务组件基本信息、服务组件状态、服务组件类型、虚拟CPU总量、虚拟CPU使用量、内存总量、内存使用量、IP总量、IP使用量、存储资源池信息、存储资源总量、存储资源分配情况等。云租户基础信息：包括政务云平台租户相关的租户信息、租户状态、用户信息、用户状态等。云平台主机信息：包括政务云平台虚拟主机相关的云主机基本信息、云主机镜像信息、云主机网卡信息、云主机安全组信息、云主机状态、云主机启动时间、云主机停止时间、云主机创建时间、云主机更新时间、云主机CPU使用率、云主机内存使用率、云主机运行时长、云主机电源状态、云主机健康状态、云主机网卡信息、云主机磁盘信息、云主机告警信息、云主机使用云硬盘信息、云主机使用镜像信息、云主机规格信息等。云平台网络信息：包括政务云平台虚拟网络服务相关的虚拟网络基本信息、虚拟网络状态、虚拟网络IP资源池信息、虚拟网络子网信息、虚拟网络网卡信息、虚拟网络路由信息、虚拟路由器映射信息、虚拟网络安全组信息、虚拟私有云（VPC）信息、虚拟防火墙服务信息、虚拟防火墙策略信息、虚拟防火墙规则信息、虚拟拦截记录日志、虚拟负载均衡服务信息、虚拟负载均衡健康状态、虚拟VPN服务信息、互联网带宽服务信息等。云平XX全服务信息：包括政务云平台提供的安全服务相关的虚拟WEB应用防火墙服务信息、虚拟WEB应用防火墙事件日志、虚拟防病毒服务信息、云主机安全防护服务信息、虚拟堡垒机服务信息、虚拟堡垒机服务信息、漏洞扫描服务信息等。云平台基础设备信息：包括政务云平台基础设备相关的服务器基本信息、服务器运行状态数据、物理服务器基本信息、物理服务器运行状态、云存储设备基本信息、云存储设备运行状态、网络设备基本信息、网络设备运行状态数据、安全设备基本信息、安全设备告警数据等。云租户数据库服务信息：包括政务云平台租户使用的政务云平台虚拟数据库服务相关的关系型数据库实例基本信息、关系型数据库实例状态、关系型数据库实例网络信息、关系型数据库实例类型、关系型数据库实例所在区域、关系型数据库实例所属租户、关系型数据库版本、关系型数据库类型、关系型数据库配置信息、非关系型数据库实例基本信息、非关系型数据库实例状态、非关系型数据库实例类型、非关系型数据库实例所在区域、非关系型数据库实例所属租户、非关系型数据库版本、非关系型数据库类型、非关系型数据库配置信息等。云租户存储服务信息：包括政务云平台租户使用的政务云平台虚拟存储服务相关的对象存储服务基本信息、对象存储服务类型、对象存储服务所属租户、对象存储服务使用量、文件存储服务基本信息、文件存储服务类型、文件存储服务协议、文件存储服务所属租户、文件存储服务状态、文件存储服务使用量等。云资源操作日志：包括政务云平台资源操作记录相关的操作事件基本信息、操作事件类型、操作事件信息描述、操作事件响应结果、操作事件操作对象、操作事件触发账号等。云租户备份服务信息：包括政务云平台租户相关的云备份基本信息、云备份状态、云备份大小、云备份数据类型、云备份创建时间等。业务基础数据：包括政务云平台使用部门单位相关的基本信息、注册账号列表、已用云平台信息、已用云平台状态、已用云平台接口地址、已用云资源池信息等。资源监管数据：包括政务云使用部门单位相关的已用云资源情况、已用云主机情况、已用物理服务器情况、已用非计算资源情况、已用云主机历史数据、已用物理服务器历史数据等。应用监管数据：包括政务云使用部门单位业务应用系统相关的基本信息、已用云主机情况、已用物理服务器情况、已用物理服务器情况、已用非计算资源（托管设备、安全服务等）情况等。安全监管数据：包括政务云使用部门单位及其业务应用系统相关的威胁告警日志、威胁告警数量、安全漏洞信息、安全漏洞数量等。费用监管数据：包括政务云使用部门单位及其业务应用系统相关的支出费用信息、费用结算方式、支出费用所属月份等。安全管理要求政务云平XX全管理方面应符合GB/T22239-2019第三级相关要求，还应满足以下要求：采集传输安全政务云监管平台采集传输监管数据时：应对监管数据的传输方和接收方的身份及权限进行验证。应通过电子政务外网进行传输监管数据，确保数据传输通道的安全可靠。应采用校验技术或密码技术保证平台数据传输过程的完整性。应采用密码技术保证平台数据在传输过程的保密性。应支持记录平台数据传输过程，记录的保存周期不少于6个月。存储处理安全政务云监管平台存储处理监管数据时：平台管理人员、数据操作人员等重要人员账号，可采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别。应采用校验技术或密码技术保证监管数据在存储处理过程中的完整性。应按照最小授权原则对平台账号进行权限控制。应支持对监管数据相关操作进行记录，记录保存周期不少于6个月。访问控制的粒度，主体应达到用户级或进程级，客体应达到文件级、数据库表级；敏感及重要的监管数据可使用数据加密技术。应确保存存有监管数据的存储空间被释放或重新分配前得到完全清除。应仅采集和保存监管必需的用户个人信息：应禁止未授权访问和非法使用用户个人信息；信息发布管理政务云监管平台发布相关信息时：应对涉及监管数据的信息发布采取必要的授权和审核。应对涉及个人隐私数据的信息发布采取必要的脱敏措施。应对信息发布页面采取必要的安全保护措施。应支持对信息发布过程进行记录，记录保存周期不少于6个月。运行维护要求政务云监管平台服务商日常运行维护政务云监管平台时：应根据业务需求配置平台运行管理参数，包括但不限于日志管理、监控告警、校时管理、版本管理、