DB36T 1099-2018 电子政务云平台安全规范　　

DB36SecurityspecificationsforE-government江西省市场监督管理局发布I 1 1 1 2 3 4 1电子政务云平台安全规范本标准规定了电子政务云平台业务区域划分、安全技术要求和安全GB/T20271信息安全技术信息系统通用安全技术要求GB/Z20986信息安全技术信息安全事件分类分级指南GB/T22239信息安全技术信息系统安全等级保护基本要求GB/T34080.1基于云计算的电子政务公共平台GW0202国家电子政务外网安全接入平台GW0205国家电子政务外网跨网数据安全交换技术要求与实2由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施。硬件资源包括所有的物理计算资源，即服务器（CPU、内存等）、存储组件（硬盘等）、网络组件（路由器、防火墙、交换机、网络链包括虚拟化监视器、SDN控制器、存储虚拟化控制器和策略管理控制器等进行物理资源抽象管理的施，实现两个不同网络业务区服务器之间数4缩略语IaaS基础设施即服务（InfrastructuPaaS平台即服务（PlatformVM虚拟机（VirtualMachVPN虚拟专用网络（VirtualPrivateNetw3SDN软件定义网络（SoftwareDefineAPI应用程序编程接口（ApplicationProgramNFV网络功能虚拟化（NetworkFunctionVirtualization）DNS域名系统（DomainNameSysSNMP简单网络管理协议（SimpleNetworkManagementCA证书授权（CertificateAutISP互联网服务提供商（InteRTO恢复时间目标(RecoveryTimeObjecRPO恢复点目标（RecoveryPointObjec5.1政务外网城域网运维管理区运维管理区4政务用户在互联网或移动专线网络访问省电子政务云平台的部门业务和公共区业务必须通过安全接入平台接入，接入平台具备数字认证、授权管理、VPN接入、移动设备管理和移动应用管理等功能，为各类智能移动终端和远程办公用户提供可信的安全接入和实时的业务5.4政务云控制，本区域部署的应用系统应结合自身实际情况按网络安全等级保护要求进行分级并实施保VPC，VPC之间采用VPN技术隔离，应根据信息系统的安全等级进行防护。可按云服务客户方对信息系统级业务和三级业务，应确保不同等级的信息系统采用访问控制策略。数据安全可控，对存储资源池进行统一管理6.1.3所有应用系统迁移或部署到电子政务云上前必须进行测试，并向云服务管理方出具第三56.1.4所有在电子政务云平台部署的应用系统必须务时，应使用省电子政务外网安全接入平台，安全接入平台按6.2.2.3互联网边界安全，在与公众互联网运营商互通的接口部署流量清洗设备，抵御来自互DDoS攻击、webshell攻击、木马病毒等各类恶意攻击。同时，6.2.3.1.1对登陆网络设备的用户应进行身份鉴别，删除默认用户或修改默认用户的口令，根6.2.3.1.2主要网络设备对同一用户应支持多种鉴别技术进行身份鉴别。通过本地控制台管理6.2.3.2.1限制网络设备的管6.2.3.2.4具有登陆失败处理功能，可采取结束会话、限制非法登陆次数和当网络登陆连续超66.2.4.1利用虚拟防火墙功能，实现虚拟环境下的逻辑分区边界防护和分段的集中管6.2.4.2虚拟网络安全策略能灵活支持虚拟机的加入、迁6.2.4.3虚拟交换机应启用虚拟端口的限速功能，通过定义平均带宽、峰值带宽和流量突发大现端口级别的流量控制，同时禁止虚拟机端口使用混杂模式进行6.2.4.4对虚拟网络的重要日志进行监视和审计，及时发现异常登6.2.4.5在创建虚拟机的同时，根据具体的网络拓扑，在虚拟网卡和虚拟交换机上配置6.2.5.1.1虚拟机采用通过国家安全测评认证的6.2.5.1.2实现虚拟主机的访问控制和身份鉴别，以及特权用户的权限分离；身份鉴别信息具三种的组合），并定期（更换周期小于60d）更换。6.2.5.1.3对虚拟主机的管理员登陆地址进行限制；具有登陆失6.2.5.2.1当虚拟主机进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃6.2.5.2.2虚拟主机的安全日志应在本地或外部设备上进行记录、输出、存储，并及时、定期审6.2.5.2.5虚拟主机防护支持与云管理平台集成，确保虚拟6.2.6.1.2存储设备应提供完整数据访问权限控制、实时安全监控、故障自动切换和热6.2.6.1.3承载数据的加密存储对云服务客户方和数据库是完全透明的，可以根据6.2.6.1.4能提供有效的虚拟机镜像文件加载保护机制，保证即法直接在其他计算资源进行挂卷运行。提供有效的硬盘保护机制，保证即使硬6.2.6.1.5能针对政务云平台内不同云服务客户方的存储数据进6.2.6.2.1对用户鉴别信息、审计日志等关键信息予以完整性和保密性7副本）及数据备份的要求，满足云服务客户方6.2.6.2.3如果云服务客户方的服务终止，云服务提供方应通知云服务客户方，并给云服务提供至少一个月的时间进行数据的迁移或下载，并保证删除后的数除，同时政务云服务提供方至少每年对重要信息系统的数据配合云服务客户方进行数据恢复的6.2.7.1控制器安全主要包括身份认证、授权管理和操作审计，具有行为的鉴别、访问控制及为的实时预警功能，并通过安全审计进行分析、溯源、定位6.2.7.2针对云服务提供方管理员和云服务客户方管理员，分别设置不同的职责和权限，对管6.2.7.3云服务提供方提供的控制器（如虚拟化和SDN）应6.2.7.5云服务客户方的管理员对资源调度使用应具备与云服务提供方管理员联合审批及安全功能，如专用终端、堡垒机、专用账户、强密码和多6.3.2.2对开放的API接口的调用行为及数据异常情况的监控和告警，发现问题及6.3.2.3对政务云中间件，应用开发的API接口接入进行安全测控和异常6.3.2.4对中间件、数据库及应用开发的6.3.3.1对开发环境提供给云服务客户方的数据库、中间件等服务进行定期的漏洞监测，及时执行补6.3.3.2对云服务客户方的应用系统软件及使用情况进行监测，对应用系统代码漏洞或异常需及时通86.3.4.2启用访问控制功能，依据安全策略控制云服务客户方对中间件服务6.3.4.3对应用部署的中间件服务状态进行实时监控，并对云服务客户方访问中间件服务的过6.3.4.4对云服务客户方登录访问中间件服务的所有6.3.5.2通过保障帐号和密码安全、服务配置安全、审计6.3.5.3提供应用部署的数据库服务状态实时监控；通过建设数据库审计系统对数据库访问6.3.5.4提供应用部署的中间件服务状态实时监控，并对云服务客户方访问中间件服务的过6.3.5.5启用访问控制功能，依据安全策略控制云服务客应用安全防护要求按GB/T22239、GA/应用开发安全防护要求按照GB/T20271和GB/T3406.5.1.1云服务客户方对拟迁移至电子6.5.1.2云服务提供方配合云服务客户方对电子政务云平台进行全面风险评估，确保电子政96.5.1.3采用专线或加密隧道技术承载云服务客户方业务数据的迁移，数据迁移时对云服务6.5.1.4采用密码技术保证云服务客户方终端与云环境通信过程中的完整性；云服务客户方6.5.1.5云服务提供方应提供应用测试环境，在云服务客户方迁移完成后对部署在电子政务6.5.2.1对登录访问应用服务（技术服务、业务服务、数据服务）的云服务客户方进行身份6.5.2.2启用身份鉴别、云服务客户方身份标识唯一性检查、云服务客户方身份鉴别信息复6.5.2.3启用访问控制功能，依据安全策略控制云服务客户方对应用服务（技术服6.5.2.4基于单位、角色控制的资源访问权限，并支持细度的权限控制（修改、只读、），6.5.2.5对重要信息资源设置敏感标签，并依据安全策略严格控制云服务客户方对有敏感标6.5.3.1.1定期针对数据保护、重要信息资源访问进行测试，并验证政务云具备相关的取证和6.5.3.1.3提供登录失败处理功能，采取结束会6.5.3.2.1云服务客户方的账户和密码禁止泄露给让云服务提供方能够接入云服务客户方自己的重要信息系统中，例如云服务客户方的高等6.5.3.2.3根据业务特点，云服务提供方应区分系统管理员、安全管理员及安全审计员等各管理员角6.5.3.3.1云服务客户方应使用安全受控的终端、双因子认证，受限的访问权限和传输加密6.5.3.3.2云服务提供方在对云进行管理或对云服务客户方资产进行故障诊断或技术支持及6.5.4.1.1支持基于硬件密码设备的数据加密机制，所使用的硬件密码设备和密码算法必须6.5.4.1.2对应用系统中的重要数据应采取密码机制保护措施，以保证数据的保密性和完整数据隔离等数据加密要求，支持基于用户角色的关键业务数据的6.5.4.1.4支持行、列级的细颗粒度加解密，并对高碰撞性字段进行加解密，支持主流数据库的6.5.4.1.5支持单实例多用户的数据加密、6.5.4.1.6保证系统管理数据（如索引文件、云服务客户方信息及密钥等）、鉴别信息和重6.5.4.2.1云服务客户方管理员客户端到电子政务云平台之间的远程数据传输应采取加密机6.5.4.2.2云服务客户方数据加密所使用的密钥由用户管理。6.5.4.2.3在电子政务云平台构建硬件密码资源池，供云服务客户方使用。6.5.4.2.5云服务客户方的硬件密码资源为独占方式，禁止不同云服务客户方共享硬件密码资源，政6.5.4.2.6云服务客户方可以通过远程网络管理自己的密码资源和密钥，在管理时应经过基于硬件介6.5.4.2.7政务云应提供一种或多种技术手段，使云服务客户方可以使用密钥基础设施对敏感数据进6.5.4.2.8在云服务客户方访问敏感数据服务时，应调用加密算法模块，对整个报文或会话过程进行6.5.5.1.1密钥的生成、存储、使用和管理应符合国家密码管理局关于商用密码的相关管理要求6.5.5.1.2政务云可以自建统一的密钥管理系统，也可以选择支持第三方密钥管理系统（如电外网CA），或支持用户自行管理密钥，所使用6.5.5.1.3密钥在停止使用后，必须及时销毁且6.5.5.1.4加密密钥应在专门的密钥生成系统或密钥基础设施中生成，密钥数据必须密文存储且码资源外部，但不能在任何情况下以明文形式出现在密码资源6.5.5.2.1政务云平台应对云服务客户方提供密码设备服务，平台负责密钥基础设施的资源6.5.5.2.2政务云平台应确保云服务客户方密钥在使用中处于独立的安全环境或云服务客户6.5.5.2.3政务云平台应提供安全的证书更新机制，确保云服务客户方加密资源释放时，云6.5.5.2.4政务云自建的统一密钥管理系统，必须确保不同云服务客户方间的密钥隔离，政6.5.5.2.5未经云服务客户方明确授权，政务云平台禁止查询、修改、删除云服务客户方密6.5.6.1用户存储空间清除,应保证虚拟机用户的磁盘存储空间被释放或再分配给其他库记录和其他资源等所在的存储空间，被释放或重新分配给其他用户前得到6.5.6.3鉴别信息清除,应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到6.5.6.5虚拟机内存清除,应保证虚拟机的内存被释放或再分配给其他虚拟机前得到完6.5.6.7云服务客户方不再使用电子政务云平台资源后，云6.5.7.1提供数据本地备份与恢复功能，按照备份策略定期备份，备份介质场外存放；提供异）；可同时分担业务及管理系统的而运行，并可切换运行，灾难环境下支持灾难6.5.7.3建立异地灾备中心，距离电运营商的双链路，单链路的带宽不低于500Mb/s）、网络设备和6.5.7.4满足数据恢复和重建目标的需求。通过确定备份时间、技术、介质和场外存放方式，6.5.8.1提供虚拟机镜像文件完整性校验功6.5.8.2对虚拟机配置文件、虚拟机模板、云服务客户方账户数据、管理员及权限等管理数6.5.9.1采用由密码技术支持的完整性校验机制或具有相应安全强度的其他安全机制，以实6.5.9.2采用由密码技术支持的保密性保护机制或具有相应安全强度的其他安全机制，以实6.5.9.3通过对连接到通信网络的设备进行认证，确保接入通信网络的设备真实可信，防止6.5.10.1所有的审计手段应具备统一的时间戳，保持审计的时间标记6.5.10.2确保日志存储中有足够的存储空间可保存半年以上，且必须定期归档并予以标6.5.10.3对于异常的审计结果定期提供报告，并验证异6.5.11.1互联网区VPC内信息系统和数据与政务外网区VPC内信息系统和6.5.11.2采取严格的安全隔离和访问6.5.11.4跨网数据交换系统应满足政务云环境下的各类弹性要求。如前后端部门/业务非对称入，要求安全接入系统可以提供灵活的部署方式，提供弹性的资源调度模式，提供基于部门/业享与交换规则，按政务信息资源目录的要求防火墙对跨VPC的访问流量进行访问控制，达到跨部门的数据共7.1.1向电子政务云进行信息系统迁移时或部署信息系统时，应制定相关的技术方案，明面提出具体要求，满足信息系统安全等级保护技7.1.2完成风险评估和损失评估后，安全策略应明确数据安全的要求，如数据副本的数量理位置，根据数据的重要程度明确数据备份的RPO和RTO，明确数据是否需要加密存储。7.1.4承担应用系统部署及管理，以及自身业务和数据安全、客户端安全等相关责任。接7.1.5云服务客户方自行负责在电子政务云平台上的信息系统及内部系统之间的访问控制7.2.1监督云服务提供方执行安全配置，持续的脆弱性管理，及时修补漏洞，定期邀请第7.2.2组织审查云服务提供