YDT 4570-2023政务云安全能力要求

ICS35.240

CCSL70

YD

中华人民共和国通信行业标准

YD/TXXXX—XXXX

政务云安全能力要求

Securitycapabilityrequirementsforgovernmentcloud

（报批稿）

XXXX-XX-XX发布XXXX-XX-XX实施

中华人民共和国工业和信息化部发布

YD/T—

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本文件由中国通信标准化协会提出并归口。

本文件起草单位：中国信息通信研究院、腾讯云计算（北京）有限责任公司、阿里云计算有限公司、

华为技术有限公司、浪潮云信息技术股份公司、深信服科技股份有限公司、北京金山云网络技术有限公

司、中兴通讯股份有限公司、新华三技术有限公司。

本文件主要起草人：栗蔚、徐恩庆、孙宗哲、张琳琳、罗欧、董恩然、车昕、吴佳兴、吴宁、王永

霞、邱伟、杨广贺、高巍、朱勇、张敏、贺进、饶飞、滕颖志、王萃娟、陶延进、李露、李悦、万晓兰。

II

YD/T—

政务云安全能力要求

1范围

本文件规定了政务云安全能力要求，包括安全规划设计、安全保障要求和安全机制要求。

本文件适用于能够提供政务云安全规划及建设解决方案的服务商。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T5271.8—2001信息技术词汇第8部分：安全

GB/T22239—2019信息安全技术网络安全等级保护基本要求

GB/T31168—2014信息安全技术云计算服务安全能力要求

3术语和定义

下列术语和定义适用于本文件。

3.1

政务云governmentcloud

用于承载各级政务部门开展公共服务、社会管理的业务信息系统和数据，并满足跨部门业务系统、

数据共享和交换等的需要，提供IaaS、PaaS和SaaS服务的云计算服务。

3.2

安全审计securityaudit

对数据处理系统记录与活动的独立的审查和检查，以测试系统控制的充分程度，确保符合已建立的

安全策略和操作过程，并对在控制、安全策略和过程中指示的变化提出建议。

[来源：GB/T5271.8-2001,8.1.5]

4缩略语

下列缩略语适用于本文件。

API：应用程序编程接口（ApplicationProgrammingInterface）

APT：高级持续性威胁（AdvancedPersistentThreat）

CVE：通用漏洞披露（CommonVulnerabilities&Exposures）

DDoS：分布式拒绝服务攻击（DistributedDenialofService）

1

YD/T—

IaaS：基础设施即服务（InfrastructureasaService）

IDC：互联网数据中心（InternetDataCenter）

KMS：密钥管理服务（KeyManagementService）

NGFW：下一代防火墙（NextGenerationFirewall）

PaaS：平台即服务（PlatformasaService）

RDP：远程桌面协议（RemoteDesktopProtocol）

SaaS：软件即服务（SoftwareasaService）

SDK：软件开发工具包（SoftwareDevelopmentKit）

SIEM：安全信息和事件管理（SecurityInformationandEventManagement）

SoC：安全运营中心（SecurityOperationsCenter）

SSH：安全外壳协议（SecureShell）

URL：统一资源定位系统（UniformResourceLocator）

VPC：虚拟私有云（VirtualPrivateCloud）

5政务云安全概述

5.1安全角色

政务云安全服务指为各地政府建设政务云时提供相关安全能力，在政务云建设过程中，将会涉及政

府客户及安全服务商两类角色。

5.2政务云安全框架

政务云安全能力要求从安全规划设计、安全保障要求和安全机制要求三个维度对政务云应具备的安

全能力进行规范。政务云安全框架见图1。

其中，安全规划设计提出政务云建设安全总体要求；安全保障要求从物理基础设施安全、主机安全、

网络安全、容器安全、业务支撑安全、数据安全、安全管理中心及安全服务等方面进行要求；安全机制

要求从安全管理制度、安全组织机制、安全人员管理、安全建设管理、安全运维管理等方面进行要求。

图1政务云安全框架

6安全规划设计

2

YD/T—

安全规划满足以下要求：

——应建立集中管理机制，具备数据和信息共享机制；

——应建设政务云平台安全防护体系，建设包含IaaS层、PaaS层、SaaS层的安全防护体系；

——政务云计算基础设施应遵循GB/T22239——2019中第三级等级保护要求建设和保护；

——应划分安全域，根据各委办局的业务特性、技术特性以及安全需求提供对应的安全设计及解决

方案；

——规划时应设计云计算平台管理流量与政府用户业务流量分离；

——应支持实现包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测；

——应具备政务云攻防对抗能力，具备云端威胁情报体系及云端决策体系。

7安全保障要求

7.1物理基础设施安全

物理基础设施基本安全防护要求应按GB/T22239——2019中8.1.1安全物理环境的相关要求执行。

7.2主机安全

主机安全满足以下要求：

——宿主机和虚拟机采用的操作系统均应符合GB/T22239——2019相关安全要求；

——应支持东西向隔离，通过设置访问控制策略，保护主机免受网络攻击、端口扫描等威胁；

——应支持双因子认证方式进行身份认证；

——应支持通过堡垒机等技术手段，对主机的运维管理等特权操作进行权限控制；

——应支持入侵检测，如异常登录检测、网站后门查杀、主机异常行为检测、关键文件篡改监测、

异常账号监测等功能；

——应支持对主流勒索、挖矿、DDoS木马等病毒的实时拦截；

——应支持木马文件检测，支持对各类恶意文件进行检测；

——应支持密码破解检测，支持RDP/SSH等应用的账号密码防暴力破解攻击拦截；

——应支持漏洞管理，支持对主机上高危漏洞检测及管理，如系统漏洞、应用组件漏洞、web类漏

洞；

——应支持虚拟层安全，提供用户间虚拟资源隔离能力，支持用户数据隔离，保障不同用户的网络、

内存、磁盘等资源均通过底层逻辑访问控制禁止互通互访；

——应支持宕机迁移，当检测到云服务器所在的宿主机发生故障时，启动保护性迁移把实例迁移到

正常的宿主机上，恢复实例正常运行。

7.3网络安全

政务云网络安全应具备科学的网络拓扑结构，并配有相应网络配置表，应对网络拓扑中的每个节点、

设备、接口能够动态监测。网络安全满足以下要求：

——访问控制、入侵防范、网络审计、安全检测等要求按GB/T22239——2019第三级要求中的8.1.3

安全区域边界的要求执行；

——应支持网络访问控制功能，实现网络分段和隔离，保障在不同VPC下，实现用户网络隔离：

•应支持专有网络VPC，支持基于隧道技术实现数据链路层的隔离；

•应支持自定义VPC网络的IP地址范围、网段、路由表和网关等；

•宜支持在不同VPC之间或VPC传统IDC间搭建通信通道。

3

YD/T—

——应具备以弹性IP为防护对象的入侵检测防御功能；并更新病毒库，定期检查；

——应在外部和内部网络之间提供冗余连接和带宽预留，进行流量控制和过滤；

——可对跨境数据传输等异常情况进行拦截、告警并溯源；

——应对各种边界设备进行鉴别和验证，并统一纳管；

——云防火墙应支持网络流量及安全事件日志存储功能，并满足GB/T22239——2019中

节网络和系统安全管理要求；

——应具备防火墙与安全监控系统的联动的能力，以便对违规行为及时阻断，清除安全威胁；

——应具备基于大数据技术的威胁检测、关联分析、溯源分析能力，具备APT、零日漏洞利用等高

级威胁检测能力，识别在政务云环境中的渗透、扩散、数据窃取等行为；

——应具备网络通信安全，数据传输时应受到HTTPS安全协议的加密保护；

——应具备安全分析和可视化能力，可提供安全事件展示、攻击路径展示等，并提供多维分析展示。

7.4容器安全

容器安全满足以下要求：

——应支持容器安全策略功能，支持在容器镜像、运行、网络等设置安全策略，发现风险并进行告

警、及时处置；

——应具备镜像检测功能，支持对镜像仓库中镜像进行检测，识别镜像中的漏洞并预警；

——可支持对容器镜像进行签名和校验，确保仅在容器平台上部署经过使用方签名确认的容器镜

像；

——应具备合规基线检测，支持对容器服务的合规配置、容器启动运行时的合规配置进行合规检测，

并输出检测报告；

——应支持容器运行时监测功能，发现容器内异常行为并进行实时告警，如恶意木马/病毒程序运

行，恶意文件访问等；

——可支持容器网络隔离，通过访问控制策略，支持对容器做7层访问检测和告警；

——应支持安全运行环境，在容器被恶意入侵时，防止入侵扩散和逃逸到主机；

——应支持容器入侵检测，如Web-CMS漏洞检测和修复、Webshell检测和修复、云查杀、进程异

常行为、异常网络连接、进程启动日志、网络连接日志等功能。

7.5业务支撑安全

业务支撑安全包括接口安全、中间件安全及数据库安全。

接口安全满足下述要求：

——应支持对开放的API接口的调用行为及数据异常情况的监控和告警；

——应支持对应用开发的API接入进行安全测控和异常分析；

——应支持中间件、数据库及应用开发的API接口标准化。

中间件安全满足下述要求：

——应支持访问控制功能，依据安全策略控制政府用户对中间件服务的访问；

——应支持对应用部署的中间件服务状态进行实时监控；

——应支持对政府用户登录访问中间件服务的所有访问和操作行为进行审计。

数据库安全满足下述要求：

——应支持验证并更新安全补丁；

——应支持保障帐号和密码安全、审计安全、数据库系统安全设置；

——应支持应用部署的数据库服务状态实时监控；

——应支持数据库审计系统对数据库访问和操作行为进行审计。

4

YD/T—

7.6数据安全

7.6.1基础要求

数据安全中数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护应符合GB/T

22239——2019第三级安全要求中相关规范。此外，还应支持数据存储、数据加密、数据脱敏、数据防

泄漏、数据销毁、数据安全审计等功能。

7.6.2数据存储

数据存储满足以下要求：

——应支持云数据库安全，支持配置防火墙策略，可采用白名单过滤机制对网络层进行隔离，支持

通过数据库实例权限控制保障用户数据库数据隔离；

——应支持数据可用性，可支持数据实时热备，冗余存储、异地备份等方式，同时采取多可用区设

计；

——应支持数据完整性，存储数据时采用多副本冗余存储和纠删码技术，在检测到完整性错误时立

即采取必要的恢复措施；

——应支持补丁热修复技术，通过补丁热修复技术使得系统缺陷或者漏洞的修复过程不需要用户重

启系统；

——应具备应急响应能力，能够提供突发安全事件分析报告和安全状况分析报告；

——应支持日志审计能力，支持数据异常使用监测，日志记录运维操作。

7.6.3数据加密

数据加密满足以下要求：

——应支持国产加密算法，包括SM1/SM2/SM3/SM4，支持向政府客户提供非对称与对称加密服务；

——应支持密钥管理服务（KMS），支持敏感数据加密，如密钥、证书、配置文件等；支持信封加

密服务，密钥轮转以及商用密钥和国密密钥托管；

——可支持基于硬件加密机的加密服务和SSL证书服务；

——应支持统一API多地阈高可用接入服务，支持java、python等多种语言SDK；

——应支持远程数据传输加密机制保护和隔离措施；

——应具备数据访问控制功能，具备链路加密功能。

7.6.4数据脱敏

数据脱敏满足以下要求：

——应支持对数据库中的敏感数据进行在线的屏蔽、变形、字符替换、随机替换等脱敏操作；

——应支持对web页面中的敏感数据进行动态脱敏操作；

——应支持数据水印技术，对web页面和文件进行水印操作，追溯泄露数据时间、范围、途径；

——应支持匿名化技术确保脱敏后数据无法被还原。

7.6.5数据防泄漏

数据防泄漏满足以下要求：

——应支持对敏感数据分级分类治理；

——应支持对敏感数据传输监测和拦截，支持对数据泄露检测与防护，如数据外发时提供检测、阻

断及告警功能；

——可支持文档外发节制管理，需经由用户身份认证，方可阅读文件，并可限制阅读次数和运用时

5

YD/T—

间；

——可支持文档权限管理系统对重要信息、涉密文件进行管理；

——宜支持基于正则表达式和AI技术对敏感数据分类，敏感数据类型应包含但不限于个人敏感信

息、设备敏感信息等。

7.6.6数据销毁

数据销毁满足以下要求：

——用户终止服务的时候，除非有特殊约定，安全服务商应该立即将用户数据彻底删除；

——服务过程中，如果用户提出数据删除要求，安全服务商应立即删除数据；

——如果用户提出清零要求时，安全服务商应提供相应的服务；

——在存储设备报废时，安全服务商应使用消磁、损毁等方式进行处理。

7.6.7数据安全审计

数据安全审计满足以下要求：

——应支持敏感数据操作审计，记录敏感数据访问行为并生成日志，对异常敏感数据操作行为支持

告警；

——应支持异常用户识别，如依托UEBA技术建立用户行为基线，识别异常用户并告警；

——应支持业务审计、运维审计，并生成审计报告。

7.7安全管理中心

7.7.1云平台安全治理

云平台安全治理满足以下要求：

——应支持违规监控和行为审计，支持识别违规行为，如垃圾邮件、传输病毒等；

——应支持网络层ACL访问控制，支持对网络攻击自动拦截；

——应支持网络日志合规与溯源，支持通过日志审计回溯安全时间，排查入侵、攻击等安全事件，

支持日志检索和管理功能，日志存储应超过180天；

——应支持IP、URL、域名黑白名单、一键断网等功能。

7.7.2运维操作审计

运维操作审计满足以下要求：

——可支持账号管理，支持统一账号管理策略，建立基于唯一身份表示的全局实名制管理；

——应遵循一人一账号原则，每个账号有明确的持有者。所有用户集中下发密码策略，强制要求设

置符合密码长度、复杂度要求的密码；

——应支持集中访问控制，支持通过集中访问控制，基于最小权限原则实现用户访问；

——应支持根据业务需求合理分配权限，根据风险将权限和角色设置为不同等级，并根据等级进行

不同层级的申请审批机制；

——应支持身份管理，针对不同角色使用身份认证系统进行账号生命周期管理。账号一旦分配，不

得共享账号并对账号做统一的登录管理、账号密码管理和访问控制。一旦用户离职、转岗或工

作内容发生变更，其使用或管理的各项账号资源，必须回收或移交；

——应支持集中安全审计，基于唯一身份标识，对用户操作行为审计，监控对目标设备的敏感操作。

7.7.3安全运营管理

6

YD/T—

安全运营管理满足以下要求：

——应支持接入第三方安全设施安全事件、网络流量日志、系统和引用日志等数据源，如：防火墙

日志、DNS服务的解析日志、服务器日志、应用日志、异常流量等；

——应支持安全态势可视化：

•应支持安全态势总览。支持展示安全风险情况，可以以自然天、自然周和自然月或近期某

时间段为周期进行统计,支持展示不同等级安全风险个数的历史趋势图,支持管理员获

取不同租户的安全态势；

•应支持资源安全态势可视化。统计各类资源总数，展示风险资源总数和风险资源处置情况，

展示资源存在的威胁和脆弱性的历史趋势图，如弱口令、漏洞、异常登录、恶意进程等；

•应支持网络安全态势可视化。展示网络安全威胁详细信息，如攻击来源地、攻击时间、攻

击类型分布等，展示威胁历史趋势图，如DDoS、DNS劫持、恶意加密流量等。

•应支持脆弱性态势可视化。支持统计操作系统、中间件等存在的漏洞，展示漏洞总体数量、

类型分布、危害等级等。

——应支持安全事件监控告警功能：

•应支持通过短信或者邮件等方式将告警信息推送给相关负责人；

•应支持对告警事件处理情况的跟踪和记录；

•应支持对安全威胁进行溯源，确定其攻击源头、攻击路径等信息。

——应支持统计报表功能：

•应支持报表查询及报表导出功能。

——应支持关联分析功能，支持对多源异构数据多维分析功能；

——宜支持运用机器学习算法，对全量数据开展多维度分析，及时预警，能够检测主机层、网络层

风险；

——应支持对网络安全事件处置流程自定义，并通过跟踪处置流程阻塞点，快速推动处置落实；

——应支持网络安全资源集中管理，如虚拟防火墙等安全资源的生成、拉起、关停、分配等；

——宜支持行为分析功能，支持用户行为分析，如异常访问、操作等行为；支持资源行为分析，能

够识别云主机异常行为、非法外联、流量异常等行为。

7.7.4威胁情报系统

威胁情报系统满足以下要求：

——可支持人工智能威胁识别，依托深度学习技术和样本训练环境监控各类变体攻击以及常见威胁

操作；

——应支持CVE规则库威胁识别，根据威胁攻击、恶意操作、sql注入的流量特征对安全时间进行

告警；

——应具备威胁情报数据库，包括黑域名、黑URL、黑样本、知识图谱等；

——应提供威胁情报，提供如基础安全数据、通用安全情报、暗网情报、病毒感染情报、僵尸网络

情报、挖矿利用情报；

——应对外提供查询接口，将情报应用于如防火墙、路由设备、SoC/SIEM、NGFW等安全产品；

——应支持威胁情报全生命周期管理，包括更新、导入、管理、查看。

7.8安全服务

安全服务要求应至少支持六个安全服务功能。

——应支持用户真实身份验证（实名认证）服务；

——应支持提供内容安全服务，如图片、视频、文字等多媒体的内容风险智能识别服务；

7

YD/T—

——应支持提供业务风险识别服务，解决用户注册、运营活动、交易、审核等关键业务中面临的欺

诈问题；

——应支持提供风险管理服务，对web网页、H5页面、APP、API进行防护，确保源站业务免受恶

意流量引发的数据泄露、业务欺诈等安全问题的影响；

——应提供等保咨询服务；

——应提供应急响应服务，包括提供已发生安全事件的事中、事后的取证、分析及提供解决方

——案等工作；

——应提供渗透测试服务，如对应用系统的安全性进行测试，验证是否泄露敏感信息，是否对关键

数据进行保护等；

——应支持安全风险评估服务；

——应提供代码审计服务；

——应提供安全演练及安全培训服务，如模拟特定安全事故，组织开展演练，定期开展安全培训，

对安全、运维人员开展操作、技术、流程三个维度的培训。

8安全机制要求

安全机制要求对安全服务商自身应具备的相关安全机制进行规范。满足以下要求：

——应具备安全管理制度，在管理制度建设、制定和发布方面应符合GB/T22239——2019中8.1.6

节要求；

——应具备安全组织机制，在策略与规程、安全组织、安全资源等方面应符合GB/T31168——2014

中13.1-13.5节要求；

——应具备安全人员管理，在人员筛选、离职、调动等方面应符合GB/T31168——2014中

13.6-13.12节要求；

——应具备安全建设管理机制，在安全方案设计、系统交付应符合GB/T22239——2019中、

节要求；

——应具备安全运维管理，应符合GB/T22239——2019中8.1.10、8.2.7节要求。

_________________________________

8

YD/T—

目次

前言..............................................................................................................................................................II

1范围.................................................................................................................................................................1

2规范性引用文件.............................................................................................................................................1

3术语和定义.....................................................................................................................................................1

4缩略语.............................................................................................................................................................1

5政务云安全概述.............................................................................................................................................2

5.1安全角色..................................................................................................................................................2

5.2政务云安全框架......................................................................................................................................2

6安全规划设计.................................................................................................................................................2

7安全保障要求.................................................................................................................................................3

7.1物理基础设施安全..................................................................................................................................3

7.2主机安全..................................................................................................................................................3

7.3网络安全..................................................................................................................................................3

7.4容器安全..................................................................................................................................................4

7.5业务支撑安全..........................................................................................................................................4

7.6数据安全..................................................................................................................................................5

7.7安全管理中心..........................................................................................................................................6

7.8安全服务..................................................................................................................................................7

8安全机制要求.................................................................................................................................................8

I

YD/T—

政务云安全能力要求

1范围

本文件规定了政务云安全能力要求，包括安全规划设计、安全保障要求和安全机制要求。

本文件适用于能够提供政务云安全规划及建设解决方案的服务商。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T5271.8—2001信息技术词汇第8部分：安全

GB/T22239—2019信息安全技术网络安全等级保护基本要求

GB/T31168—2014信息安全技术云计算服务安全能力要求

3术语和定义

下列术语和定义适用于本文件。

3.1

政务云governmentcloud

用于承载各级政务部门开展公共服务、社会管理的业务信息系统和数据，并满足跨部门业务系统、

数据共享和交换等的需要，提供IaaS、PaaS和SaaS服务的云计算服务。

3.2

安全审计securityaudit

对数据处理系统记录与活动的独立的审查和检查，以测试系统控制的充分程度，确保符合已建立的

安全策略和操作过程，并对在控制、安全策略和过程中指示的变化提出建议。

[来源：GB/T5271.8-2001,8.1.5]

4缩略语

下列缩略语适用于本文件。

API：应用程序编程接口（ApplicationProgrammingInterface）

APT：高级持续性威胁（AdvancedPersistentThreat）

CVE：通用漏洞披露（CommonVulnerabilities&Exposures）

DDoS：分布式拒绝服务攻击（DistributedDenialofService）

1

YD/T—

IaaS：基础设施即服务（InfrastructureasaService）

IDC：互联网数据中心（InternetDataCenter）

KMS：密钥管理服务（KeyManagementService）

NGFW：下一代防火墙（NextGenerationFirewall）

PaaS：平台即服务（PlatformasaService）

RDP：远程桌面协议（RemoteDesktopProtocol）

SaaS：软件即服务（SoftwareasaService）

SDK：软件开发工具包（SoftwareDevelopmentKit）

SIEM：安全信息和事件管理（SecurityInformationandEventManagement）

SoC：安全运营中心（SecurityOperationsCenter）

SSH：安全外壳协议（SecureShell）

URL：统一资源定位系统（UniformResourceLocator）

VPC：虚拟私有云（VirtualPrivateCloud）

5政务云安全概述

5.1安全角色

政务云安全服务指为各地政府建设政务云时提供相关安全能力，在政务云建设过程中，将会涉及政

府客户及安全服务商两类角色。

5.2政务云安全框架

政务云安全能力要求从安全规划设计、安全保障要求和安全机制要求三个维度对政务云应具备的安

全能力进行规范。政务云安全框架见图1。

其中，安全规划设计提出政务云建设安全总体要求；安全保障要求从物理基础设施安全、主机安全、

网络安全、容器安全、业务支撑安全、数据安全、安全管理中心及安全服务等方面进行要求；安全机制

要求从安全管理制度、安全组织机制、安全人员管理、安全建设管理、安全运维管理等方面进行要求。

图1政务云安全框架

6安全规划设计

2

YD/T—

安全规划满足以下要求：

——应建立集中管理机制，具备数据和信息共享机制；

——应建设政务云平台安全防护体系，建设包含IaaS层、PaaS层、SaaS层的安全防护体系；

——政务云计算基础设施应遵循GB/T22239——2019中第三级等级保护要求建设和保护；

——应划分安全域，根据各委办局的业务特性、技术特性以及安全需求提供对应的安全设计及解决

方案；

——规划时应设计云计算平台管理流量与政府用户业务流量分离；

——应支持实现包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测；

——应具备政务云攻防对抗能力，具备云端威胁情报体系及云端决策体系。

7安全保障要求

7.1物理基础设施安全

物理基础设施基本安全防护要求应按GB/T22239——2019中8.1.1安全物理环境的相关要求执行。

7.2主机安全

主机安全满足以下要求：

——宿主机和虚拟机采用的操作系统均应符合GB/T22239——2019相关安全要求；

——应支持东西向隔离，通过设置访问控制策略，保护主机免受网络攻击、端口扫描等威胁；

——应支持双因子认证方式进行身份认证；

——应支持通过堡垒机等技术手段，对主机的运维管理等特权操作进行权限控制；

——应支持入侵检测，如异常登录检测、网站后门查杀、主机异常行为检测、关键文件篡改监测、

异常账号监测等功能；

——应支持对主流勒索、挖矿、DDoS木马等病毒的实时拦截；

——应支持木马文件检测，支持对各类恶意文件进行检测；

——应支持密码破解检测，支持RDP/SSH等应用的账号密码防暴力破解攻击拦截；

——应支持漏洞管理，支持对主机上高危漏洞检测及管理，如系统漏洞、应用组件漏洞、web类漏

洞；

——应支持虚拟层安全，提供用户间虚拟资源隔离能力，支持用户数据隔离，保障不同用户的网络、

内存、磁盘等资源均通过底层逻辑访问控制禁止互通互访；

——应支持宕机迁移，当检测到云服务器所在的宿主机发生故障时，启动保护性迁移把实例迁移到

正常的宿主机上，恢复实例正常运行。

7.3网络安全

政务云网络安全应具备科学的网络拓扑结构，并配有相应网络配置表，应对网络拓扑中的每个节点、

设备、接口能够