医疗机构混合云建设安全技术要求

1医疗机构混合云建设安全技术要求本标准规定了医疗机构选择使用混合云计算技术部署业务应用时，所需要考虑的安全技术要求，涵盖基础硬件安全、云管理平台、数据安全（包括患者隐私保护）、安全管理功能、安全技术管理要求、可选组件安全等内容。本标准适用于医疗机构的云服务提供者、云服务使用者、云服务合作伙伴、云服务维护者等。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是标注日期的引用文件，仅标注日期的版本适用于本文件。凡是不标注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T32400-2015信息技术云计算概览与词汇GB50174-2017数据中心设计规范GB/T22239信息安全技术网络安全等级保护基本要求GB/T31168信息安全技术云计算服务安全能力要求GB/T31167信息安全技术云计算服务安全指南3术语和定义下列术语和定义适用于本文件。3.1参与方Party一个或一组自然人或法人，无论该法人是否注册。3.2云计算CloudComputing一种通过网络将可伸缩、弹性共享的物理和虚拟资源池以按需自服务的方式供应和管理的模式。注：资源包括服务器、操作系统、网络、软件、3.3云服务CloudService通过云计算已定义的接口提供的一种或多种能力。3.4云服务提供者CloudServiceProvider2提供云服务的参与方。3.5云服务客户CloudServiceCustomer为使用云服务而处于一定业务关系中的参与方。3.6云服务用户CloudServiceUser云服务客户中使用云服务的自然人或实体代表。3.7云服务合作者CloudServicePartner支撑或协助云服务提供者活动，云服务客户活动，或者两者共同活动的参与方。3.8云平台Cloudplatform以抽象化和集中化的方式对云计算基础架构，平台和软件进行管理的工具和接口集合，通常通过API接口和网络控制台进行管理。3.9私有云PrivateCloud云服务仅被一个云服务客户使用，且资源被该云服务客户控制的一种云部署模型。3.10公有云PublicCloud云服务可被任意云服务客户使用，且资源被云服务提供者控制的一种云部署模型。3.11混合云HybridCloud至少包含两种不同的云部署模型的云部署模型。3.12基础设施即服务IaaS为云服务客户提供云能力类型中基础设施能力类型的一种云服务类别。33.13平台即服务PaaS为云服务客户提供云能力类型中的平台能力类型的一种云服务类型。3.14软件即服务SaaS为云服务客户提供云能力类型中的应用能力类型的一种云服务类型。3.15安全即服务SecaaS为云服务客户提供安全能力作为云服务的一种云服务类别。这包括专门的安全即服务提供商以及通用云计算提供商自带的安全特性，包括授权、杀毒、反恶意软件监听、入侵检测和安全事件管理等其他安全能力。3.16数据存储即服务DSaaS为云服务客户提供配置和使用数据存储及相关能力的一种云服务类别。3.17租户Tenant对一组物理和虚拟资源进行共享访问的一个或多个云服务客户。3.18多租户Multi-Tenant通过对物理和虚拟资源的分配实现多个租户以及他们的计算和数据彼此隔离和不可访3.19物理机服务BareMetalservice云服务提供者向云服务用户提供物理服务器硬件环境的一种云服务。3.20虚拟机服务VirtualMachineservice通过各种虚拟化技术，为云服务用户提供的操作系统和应用程序运行环境的统称。虚拟机通常会使用物理服务器资源。3.21虚拟化管理Hypervisor4从底层的物理资产中抽取资源，以创建资源池并进行集成管理的技术。3.22容器Container将应用程序的代码与相关配置文件、库以及运行应用所需的依赖项捆绑在一起的技术，使得开发人员和IT专业人员能够跨环境无缝部署应用程序。3.23资源池化ResourcePooling将云服务提供者的物理或虚拟资源集成起来服务于一个或多个云服务客户。3.24敏感数据SensitiveData指一旦泄露可能会对云服务客户或医疗机构造成损失的数据，包括但不限于：a)云服务客户敏感数据，如用户口令等；b)系统敏感数据，如系统密钥、关键系统管理数据等；c)其他需要保密的敏感业务数据，如医疗财务数据等；d)关键性的操作指令；e)系统主要配置文件；f)其他需要保密的数据。3.25患者个人隐私数据PatientPrivateData指在患者被充分告知并授权后，被云服务客户获取并处理，并存放在云服务提供者云计算环境中的，与患者有关的，一旦泄露可能会对患者造成损失的数据，包括但不限于：a)患者个人身份数据，如姓名、身份证号、住址、联系电话等个人信息；b)在治疗过程中获得或产生的患者健康信息，如病历信息等；c)其他在医疗服务过程中产生的与患者本人有关的信息,但不包括匿名化处理后的信3.26服务水平协议ServiceLevelAgreement,SLA服务提供者和客户之间就服务和服务目标达成的书面协议。3.27多因子认证Multi-factorauthentication，MFA是一种用户访问控制的方法，用户要通过两种以上的认证机制之后，才能得到身份认证和授权，使用资源。3.28虚拟私有云VirtualPrivateCloud，VPC为弹性云服务器构建隔离的、云服务用户自主配置和管理的虚拟网络环境，提升用户云中资源的安全性，简化用户的网络部署。云服务用户可以在VPC中定义安全组、VPN、IP5地址段、带宽等网络特性。云服务用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。4缩略语API应用程序编程接口（ApplicationProgrammingInterface）CPU中央处理单元（CentralProcessingUnit）DDoS分布式拒绝服务攻击（DistributedDenialofService）DoS拒绝服务（DenialofService）HTTPS安全超文本传输协议（HypertextTransferProtocolSecure）IP互联网协议（InternetProtocol）IaaS基础设施即服务（InfrastructureasaService）PaaS平台即服务（PlatformasaService）SaaS软件即服务（SoftwareasaService）Secaas安全即服务（SecurityasaService）SQL结构化查询语言（StructuredQueryLanguage）VPN虚拟专用网络（VirtualPrivateNetwork）VPC虚拟私有云（VirtualPrivateCloud）MFA多因子认证（Multi-factorauthentication）ACL用户访问控制列表（AccessControlLists）RTO数据恢复时间目标（RecoveryTimeObjective）RPO数据恢复点目标（RecoveryPointObjective）CASB云访问安全代理（CloudAccessSecurityBroker）DLP数据丢失防护（DataLosspreventiIAM身份识别与访问管理（Identityan5概述5.1云计算安全共担模型从宏观上讲，安全职责是与任何角色对于架构堆栈的控制程度相对应的，不同模式如下：——SaaS软件即服务安全职责：云服务提供者负责几乎所有的安全性，因为云服务用户只能访问和管理其订阅并使用的应用程序，无法更改应用程序。——PaaS平台即服务安全职责：云服务提供者负责平台服务的安全性，而云服务用户负责他们在平台服务上所部署的客户化应用，包括所有安全配置。——IaaS基础设施即服务安全职责：类似PaaS，云服务提供者负责基础架构基本的安全能力，而云服务用户负责他们建立在该基础设施上的其它组件的安全。6医疗机构在建立这种共享责任模式时，有如下两条建议：——云服务提供者应该清楚地设计、实施、记录其内部的安全控制和安全功能，并向云服务用户进行准确说明。——无论是什么云项目，建议医疗机构作为云服务用户应针对安全事项，建立一个责任矩阵。5.2混合云安全特性应通过路由、访问控制，甚至防火墙或两个网络之间的额外网络安全工具来实现隔离。出于管理和安全方面的原因，通常宜将混合连接最小化。6基础架构安全6.1机房安全6.1.1私有云安全要求应保证部署医疗机构私有云平台的物理数据中心及其全部附属设施符合GB50174-2017《数据中心设计规范》相关要求。6.1.2公有云安全要求公有云安全要求包括：——应保证用于服务医疗机构的公有云数据中心运行环境、数据存储和处理的物理设备、医疗机构业务运行所需的物理设备均位于中国境内；——应保证用于服务医疗机构的公有云运维和运营系统均部署在中国境内。6.2硬件设备安全6.2.1私有云安全要求私有云安全要求包括：7——应保证关键设备的冗余部署，以保证系统可用性和业务连续性；——应提供监控系统，实时监控私有云硬件设备的运行状态、资源使用状况，并能在异常情况出现时发出告警信息；——应保证有效的技术手段，对私有云硬件设备，尤其是存储介质在报废或更换时，能够确保对其上存储的数据完全清除。6.2.2公有云安全要求公有云安全要求包括：——应保证在云服务SLA中对系统高可用性配置和确保业务连续性能力作出承诺；——应保证当异常情况发生时，及时评估对云服务用户正常业务使用所带来的影响，采取必要措施减少损失，并第一时间通知云服务用户；——应保证公有云的硬件设备，尤其是存储介质在报废或更换时，确保对其上存储的数据完全清除。6.3网络安全6.3.1私有云安全要求私有云安全要求包括：——应支持网络架构冗余设计，包括通讯链路冗余及网络设备冗余；——应确保私有云平台的业务网络和云管理网络相互隔离；——应保证采取安全控制措施防止非授权设备连接至私有云平台的内部网络，同时防止私有云平台的物理服务器建立非授权外联（Internet）网络接口。6.3.2公有云安全要求公有云安全要求包括：——应支持为云服务用户提供专线接入服务或VPN接入服务；——应至少有三个不同的网络被隔离到专用硬件上，而相互之间没有功能或业务重叠：.服务网络：用于连接虚拟机之间以及互联网的网络。.存储网络：用于连接虚拟存储与虚拟机的存储网络。.管理网络：用于云平台管理和API流量控制的管理网络。7虚拟资源池安全7.1虚拟资源池管理平台安全7.1.1私有云安全要求应保证用户通过Web或API等接口访问私有云虚拟化资源池管理平台时采用可靠的身份认证措施。7.1.2公有云安全要求公有云安全要求包括：——应保证公有云管理平台的边界安全，防止针对管理平面的组件本身（如Web和API服务器）的攻击。它包括较低级别的网络防御以及针对应用程序攻击的更高级别的防御。8——应保证使用安全机制授权云服务用户访问公有云管理平台。应使用加密的、文件化的现有标准（如oAuth或HTTPS请求签名）。——应保证云服务用户（包括特权账户，甚至个人账户）通过Web或API等接口远程访问公有云管理平台时必须采用多因子认证（MFA）。——应提供日志、监控和告警功能，这既适用于云服务用户对自己的帐户行为进行管理，也适用于公有云管理人员日常服务管理中的工作。对异常事件发出告警是确保监控是对操作有前瞻指导性的重要安全控制措施，而不仅仅是事后的查看活动。应支持云服务用户通过API或其他访问机制在公有云平台上访问自己的活动日志，以便与其自身的安全日志记录系统进行集成。7.2虚拟计算资源池安全7.2.1访问控制安全私有云安全要求应对访问虚拟计算资源池的访问主体进行身份验证，包括但不限于基于共享密钥的身份验证、基于生物学特征的身份验证和基于公开密钥加密算法的身份验证。公有云安全要求公有云安全要求包括：——应支持医疗机构按照特定的业务要求，通过设定终端接入方式、网络地址范围等条件对终端登录进行限制；——应支持更具医疗机构特点的安全策略，设置登录终端的操作超时锁定；——应保证公有云平台管理员未经云服务用户授权，不可操作该租户的资源；——应支持多因子认证（MFA）。7.2.2安全审计私有云安全要求私有云安全要求包括：——应记录虚拟机等虚拟计算资源的运行状况、网络流量、用户行为等日志；——应支持安全审计所需要数据的提供和汇集。公有云安全要求公有云安全要求包括：——公有云服务者应按照政府或医疗机构的审计和检测需求，基于行业标准，明确界定范围和具体的被评估的控制列表完成第三方认证，并在跟被服务用户签署保密协议后，将认证报告提供给被服务用户查看。——公有云服务者必须随时间变化维护其认证或证明，并与被服务的客户主动沟通任何认证状态变化。7.2.3入侵侦测及防范私有云安全要求应支持检测虚拟机对宿主物理服务资源的异常访问，并及时进行告警。公有云安全要求9公有云安全要求包括：——应支持检测对虚拟机所在的宿主物理服务器的入侵行为，能够记录入侵的源IP、攻击类型、攻击时间，并在发生严重入侵事件时提供及时告警。——应对虚拟机启动程序、运行过程、重要配置文件等进行完整性保护，进行完成性检测，如发现完整性被破坏具有恢复的措施。7.2.4虚拟计算资源管理私有云安全要求私有云安全要求包括：——应保证不同虚拟机的内存资源相互隔离；——应支持监控虚拟机网络接口带宽；——应支持对虚拟机等计算资源进行资源监控，监控内容包括但不限于CPU利用率、带宽使用情况、内存利用率、虚拟机挂载的存储使用情况等；——应对监控信息的进一步集成提供支持。公有云安全要求公有云安全要求包括：——应保证虚拟机所获得的物理资源的相对隔离；——应保证某个虚拟机出现故障崩溃后，不影响统一宿主物理服务器上的其他虚拟机以及虚拟机管理平台；——应保证不同虚拟机之间的vCPU指令隔离；——应保证不同虚拟机之间的内存隔离；——应支持对虚拟机的运行状态、资源占用等信息进行监控，并支持通过API将监控信息提供给云服务用户进行进一步集成。7.3虚拟存储资源池安全7.3.1私有云安全要求私有云安全要求包括：——应支持多层级访问控制；——应支持对存储设备运行状况、用户行为等记录日志；——应支持安全审计所需要数据的提供和汇集。7.3.2公有云安全要求公有云安全要求包括：——应支持分布式存储的数据副本分布在不同的物理位置；——应保证公有云平台管理员未经云服务用户授权，不可操作该租户的资源；——应支持云服务用户访问存储资源的安全传输，包括客户端加密、网络加密（TLS/SFTP等）、基于代理的加密等；——应支持静态存储内容加密，加密密钥支持HSM/设备的密钥管理，虚拟设备/软件密钥管理，公有云服务提供者提供的密钥管理服务，混合型密钥管理（例如以HSM设备作为密钥信任根，将特定应用的密钥存放在公有云服务提供者提供的密钥管理服务中）等模式。7.4虚拟网络资源池安全7.4.1网络架构安全私有云安全要求应保证私有云网络架构冗余设计，避免单点故障。公有云安全要求公有云安全要求包括：——应支持多租户环境中不同租户网络，以及同一租户的不同网络之间的有效隔离；——应支持VPC以及相关的安全功能，云服务用户可以针对VPC完成创建、删除、自定义路由、自定义安全组、自定义用户访问列表ACL等；——应支持VPC之间以及VPC与其他网络之间建立VPN或专线连接。7.4.2访问控制安全私有云安全要求私有云安全要求包括：——应支持部署访问控制策略，实现虚拟机之间、虚拟机与云管理平台之间、虚拟机与外部互联网之间的安全访问控制；——应支持在管理网络上部署访问控制策略，实现云平台管理员访问云平台管理平面的安全控制；——应支持对云服务的远程管理访问的监控；——应支持对远程执行的特权命令进行限制。公有云安全要求公有云安全要求包括：——应支持在服务网络上部署访问控制策略，实现虚拟机之间、虚拟机与云管理平台之间、虚拟机与外部互联网之间的安全访问控制；——应支持在管理网络上部署访问控制策略，实现云平台管理员访问云平台管理平面的安全控制；——应支持在存储网络上部署访问控制策略，实现虚拟机与虚拟存储之间的安全控制；——应支持云服务使用者使用VPN访问公有云平台；——应支持云服务使用者自行划分子网并设置访问控制规则。7.4.3安全审计私有云安全要求私有云安全要求包括：——应记录虚拟网络的运行状况、网络流量、用户行为等日志；——应支持安全审计所需要数据的提供和汇集。公有云安全要求公有云安全要求包括：——公有云服务者应按照政府或医疗机构的审计和检测需求，基于行业标准，明确界定范围和具体的被评估的控制列表完成第三方认证，并在跟被服务用户签署保密协议后，将认证报告提供给被服务用户查看。——公有云服务者必须随时间变化维护其认证或证明并与被服务的客户主动沟通任何认证状态变化。7.4.4入侵侦测及防范私有云安全要求应支持识别、监控和处理虚拟机之间的异常流量。公有云安全要求公有云安全要求包括：——应支持对各类网络攻击行为进行监测，当监测到网络攻击行为时，记录攻击源IP，攻击类型，攻击时间，攻击流量等必要信息；——当支持云服务客户通过互联网提供医疗相关业务服务时，应支持Dos/DDoS攻击防护，支持通过清洗Dos/DDoS攻击流量，利用QoS等技术保障整个网络的可用性；——当支持云服务客户通过互联网提供医疗相关业务服务时，应支持检测Web应用漏洞，能够拦截SQL注入、XSS攻击等多种Web应用攻击。7.4.5恶意代码防范私有云安全要求应支持对病毒、木马、蠕虫、后门、逻辑炸弹等恶意代码的静态检测和行为监测，并对检测出的恶意代码进行控制隔离。公有云安全要求应具备防恶意代码能力，并周期性地更新防恶意代码软件版本和恶意代码库。8容器安全8.1容器基础设施安全加固8.1.1私有云安全要求私有云安全要求包括：——应具备主机系统软件漏洞检测能力；——应具备主机入侵侦测功能，包括但不限于异常登陆、恶意程序、账户破解，关键文件变更，后门等检测功能；——宜支持ACL资源访问控制；——宜支持RBAC访问控制。8.1.2公有云安全要求公有云安全要求包括：——应具备主机系统软件漏洞检测能力；——应具备主机入侵侦测功能，包括但不限于异常登陆、恶意程序、账户破解，关键文件变更，后门等检测功能；——宜支持ACL资源访问控制；——宜支持RBAC访问控制；——应支持多租户间部署，包括节点级别隔离（物理机、虚拟机进程资源隔离，网络隔离，数据隔离（包括但不限于日志、监控数据、存储资源等——宜支持容器平台业务面与控制管理面的网络分离；——宜支持容器和宿主机之间的网络访问限制；——宜支持容器间的网络访问限制。8.2容器镜像安全8.2.1私有云安全要求私有云安全要求包括：——应具备镜像扫描功能，包括但不限于已知漏洞扫描的扫描功能（并支持对扫描结果标签化标注，如危险等级、危险类别标注等漏洞修复指引功能，镜像漏洞管理功能（如针对已扫描镜像新发现漏洞的反向追踪，漏洞库的更新功能宜支持对接多个漏洞库的能力。——应具备镜像文件安全传输功能，如TLS加密等。——应具备镜像仓库管理功能，支持镜像访问的角色权限控制，支持对镜像仓库服务器IP做访问控制。8.2.2公有云安全要求公有云安全要求包括：——应具备镜像扫描功能，包括但不限于已知漏洞扫描的扫描功能（并支持对扫描结果标签化标注，如危险等级、危险类别标注等漏洞修复指引功能，镜像漏洞管理功能（如针对已扫描镜像新发现漏洞的反向追踪，漏洞库的更新功能宜支持对接多个漏洞库的能力。——应具备镜像文件安全传输功能，如TLS加密等。——应具备镜像仓库管理功能，支持镜像仓库与镜像扫描引擎的对接集成，支持镜像仓库访问策略自定义，包括管理镜像的推送、拉取权限等。——镜像仓库具备防DDos的能力。8.3容器运行时安全8.3.1私有云安全要求私有云安全要求包括：——应支持限定容器以非root权限运行；——应支持限制容器使用特权用户运行；——应支持对容器资源的强制访问控制配置策略。8.3.2公有云安全要求公有云安全要求包括：——支持限定容器以非root权限运行；——支持限制容器使用特权用户运行；——支持容器磁盘资源限制；——支持容器间网络流量的限制。9数据安全9.1数据在云环境中存储的安全规划9.1.1识别和判断数据的敏感程度与重要性医疗机构需要对数据进行识别，特别是针对以下两类敏感数据需要在云环境中重点关注和保护：a）患者个人隐私数据：包括患者姓名、出生日期、身份证号码、住址、电话号码、银行账号和口令等能够单独或者与其他信息结合识别该患者身份信息以及患者接受医疗服务的时间、地点等信息。b）患者就诊隐私数据：在医疗机构获得医疗服务时产生的疾病防治、健康管理等过程中产生的与健康医疗相关的数据均属于需要重点保护的数据。9.1.2控制数据进入云环境私有云安全要求应识别患者隐私数据及就诊隐私数据，按照国家与行业主管部门相关规定及标准进行保护。公有云安全要求如果选择公有云环境进行患者隐私数据及就诊隐私数据的存储及处理，则公有云存储和处理这些数据的物理服务器及存储设备必须位于中国境内。9.2保护和管理云环境数据9.2.1数据访问控制私有云安全要求私有云安全要求包括：——应保证最小访问授权原则，针对数据的访问进行授权和验证；——应保证对敏感数据的访问进行完整的授权访问日志记录，并支持必要的审计。公有云安全要求公有云安全要求包括：——应禁止公有云服务提供者未经云服务用户授权对云服务用户的数据进行任何形式的访问；——应保证对敏感数据的访问进行完整的授权访问日志记录，如必要时，需通过相关的医疗行业审计。9.2.2数据存储加密私有云安全要求私有云安全要求包括：应采用数据存储加密技术针对敏感数据进行加密存储，加密算法和加密强度应符合国家与医疗行业主管部门的相关要求和规定。公有云安全要求公有云安全要求包括：——应支持云服务用户根据国家与医疗行业主管部门的相关要求和规定自主选择加密算法和强度。——应支持针对不同的数据，可以使用不同的方法对数据存储进行加密，包括：.实例管理的加密：加密引擎在实例中运行，密钥存储在卷中，但受密码短语或密钥对保护；.外部管理加密：加密引擎在实例中运行，但密钥由外部管理，并根据请求发送给实例。——对象和文件存储：.客户端加密：当对象存储用作应用程序（包括移动应用程序）的后端时，使用嵌入在应用程序或客户端中的加密引擎对数据进行加密。.服务器端加密：数据在传输后在服务器（云）端进行加密，云提供商可以访问密钥并运行加密引擎。.代理加密：在此模型中，将卷连接到特殊实例或设备/软件，然后将实例连接到加密实例，代理处理所有加密操作，并且可以将密钥保存在内部或外部。——加密密钥支持HSM设备的密钥管理，虚拟设备/软件密钥管理，公有云服务提供者提供的密钥管理服务，混合型密钥管理（例如以HSM设备作为密钥信任根，将特定应用的密钥存放在公有云服务提供者提供的密钥管理服务中）等模式。9.2.3数据传输私有云安全要求私有云安全要求包括：——应采用技术手段保证患者个人隐私数据和就诊隐私数据传输的保密性；——应能够检测并保证数据在传输过程中的完整性。公有云安全要求公有云安全要求包括：——应支持云服务用户针对敏感数据、隐私数据、关键业务数据传输的保密性，加密强度符合国家与医疗行业主管部门相关规定。——应保证云服务用户与公有云平台之间数据传输的完整性。——应支持用于中转加密的选项供云服务用户选择，包括客户端加密，网络加密（TLS/SFTP等基于代理的加密（将加密代理放置在云消费者和云提供商之间的可信区域中，代理在将数据传输到公有云之前负责加密）。——应提供安全机制，支持云服务用户在接受公共的或不受信任的数据时，在处理或混合现有业务数据之前对其进行隔离并进行扫描清理工作。9.2.4数据迁移私有云安全要求私有云安全要求包括：——应在数据迁移前进行网络连接能力评估；——应做好数据迁移的数据备份及应急恢复处理等相关工作。公有云安全要求应提供技术保证支持及相应产品，支持云服务用户的数据迁移工作。9.2.5数据清除私有云安全要求私有云安全要求包括：——应保证分配给云服务用户使用的存储空间在被释放时被完全清除；——应保证在更换或报废存储介质时，应采取物理损坏磁盘等方式，防止数据被恢复。公有云安全要求公有云安全要求包括：——应保证存储空间被释放或被重新分配给其他租户使用前被完全清除。——应支持清除因服务合同终止等原因而可能产生的遗留数据，清除周期应与云服务用户协商，在服务合同中确定，并符合国家及医疗行业主管部门相关规定。9.3数据容灾及业务连续性支持医疗机构的云计算平台（包括私有云及公有云平台）应至少达到如下容灾能力：——RTO≦24小时；——RPO≦24小时；——可用性目标：每年非计划业务中断时间不超过4天，系统可用性至少达到99%。9.3.1数据备份私有云安全要求数据应至少每天进行一次完整备份。公有云安全要求公有云安全要求包括：——关键数据至少每天有一份数据备份副本存放于异地或同城可用区；——数据应至少每天进行一次完整备份，数据备份存放于同城可用区。9.3.2数据恢复处理私有云安全要求应支持从数据备份中完整恢复数据的能力，RTO=24小时，RPO=24小时。公有云安全要求应支持从数据备份中完整恢复数据的能力，RTO=24小时，RPO=24小时。9.3.3运维能力私有云安全要求私有云安全要求包括：——应制定完备的容灾数据恢复和业务恢复的流程并定期进行演练。——应支持对数据备份及容灾能力的集成化管理，包括全量备份、数据库日志备份、删除备份集、备份信息浏览、增量备份等；支持备份策略管理、新建和修改备份策略、删除备份策略、查询备份策略、启用及停用备份策略等；支持备份任务管理、支持任务查询、任务断点续作、失败任务跳过等。公有云安全要求公有云安全要求包括：——应支持从数据备份中完整恢复数据的能力，RTO=24小时，RPO=24小时；——应支持云服务客户建立容灾能力的集成化管理，提供必要的API接口。10身份及授权管理10.1私有云安全要求私有云安全要求包括：——应对云服务用户进行身份识别，识别信息具备唯一性；——应支持多因子认证（MFA）进行身份鉴别；——应支持云服务用户对身份识别后的用户进行权限分配；——应支持云服务用户配置访问控制策略，访问控制粒度主体达到用户级或进程级，访问控制客体粒度达到文件或数据库表级。10.2公有云安全要求公有云安全要求包括：——应对云服务用户进行身份识别，识别信息具备唯一性；——应支持多因子认证（MFA）进行身份鉴别；——应确保云管理用户最小权限授权，且务必使用多因子认证（MFA）进行身份鉴别；——应保证远程访问的安全型，使用多因子认证（MFA）进行身份鉴别；——应支持云服务用户对身份识别后的用户进行权限分配；——应支持云服务用户配置访问控制策略，访问控制粒度主体达到用户级或进程级，访问控制客体粒度达到文件或数据库表级；——应支持建立联邦身份管理，支持云服务用户建立跨不同系统或组织鉴别身份的过程，对业界主流的联邦身份管理标准提供支持，包括：SAML，OAuth，OpenID，XACML，SCIM等；——宜支持云服务用户建立RBAC授权模型，用于依赖于一个定义的角色建立授权；——宜支持云服务用户建立ABAC授权模型，允许进行更细粒度以及结合语境的多属性授权决策，例如角色、访问位置、认证方法等。11安全运维及监控11.1私有云安全要求私有云安全要求包括：——应支持远程运维，并使用国家密码管理部门要求的加密算法保证运维通信的保密性；——应支持对私有云环境的设备、资源、网络以及云服务进行实时监控，并支持对异常行为进行分析及告警。11.2公有云安全要求公有云安全要求包括：——应支持云服务用户管理员对部署在公有云上的云服务进行远程运维，并进行完整的——应支持对云服务用户所使用的云服务进行监控，并提供必要的API供用户进行监控信息集成。12公有云与私有云安全信息交互通道安全性12.1通道链路在医疗机构私有云/数据中心与选定的公有云之间