(高清版)DB2201∕T 31-2023 政务云服务与接入安全管理规范　

2201ManagementspecificationforI本文件由长春市政务服务和数字化建设管理局提出本文件主要起草单位：长春市政务服务和数字化建设管理局、杭州安恒信息技术股份有限公司。本文件主要起草人：刘竞雄、丁慧东、柳羽辉、孟红月、刘烁、冷皓、戚志军、李艳、王正伟、1政务云服务与接入安全管理规范营安全，以及政务云服务使用者接入政务云时的应用安全、数据安全和GB/T25069、GB/T32400和GB/T35295界定的以及下列术语和定义适用于本文件。政务云服务提供者E-governmentcloudservicepr政务云服务使用者E-governmentcloudservice4缩略语VPN：虚拟专用网(VirtualPrivateNetwork)SSL：安全套接层（SecureSocketWAF：Web应用防护系统（WebApplicationFirewall）25.1.1应有授权机制，对进出机房人员和运维人员有审核和记录，应定期更新账号和身份认证，运维5.1.2对生产网和非生产网应进行物理隔离，运维人员应通过安全设备登录。5.1.3硬件环境应符合GB/T39786的要求。5.1.4特定服务器应具备系统可信和应用可信功能，满足云服务使用者对可信计算环境的需求。5.1.5应定期对提供的操作系统和镜像模板进行加固。5.1.6应提供VPN服务，以供政务云服务使用者进行维护。5.1.7应提供防火墙服务，对租户实例进行端口控制。5.1.8提供抗DDos和精细化Web应用层资源耗尽型攻击防护。5.1.9应对每个租户实例资源独立使用，租户实例服务器释放后，原有磁盘和内存空间应数字清零。5.1.10应将多个计算节点的虚拟机在系统层面进行隔离。5.1.11应对运维平台账号强密码统一管理，定期审计，人员变动应收回资源重新设置分配。5.1.12应根据业务需要合理分配用户权限，实行申请、使用和回收机制。5.1.13应对政务云变更做流程化管理，具备应急和恢复预案，定期组织专家开展攻防演练。5.2.1宜提供漏洞扫描服务并出具报告，指导政务云使用者进行漏洞验证和漏洞修复。5.2.2应提供代码审计服务、Web应用防护服务，限制爬虫对上云业务系统的数据遍历。5.2.3应对数据库进行审计，提供敏感数据保护产品。5.2.4应定期对数据进行完整性扫描。5.2.5应保证数据的高可用性，提供多副本、系统备份、故障热迁移、负载均衡等多重保护。5.2.6应提供数据传输、存储的加密服务。5.2.7应提供使用SSL证书相关的技术支持和帮助。5.3.1应建立态势感知平台对威胁进行分析和响应。5.3.2应提供主机配置核查服务并根据配置核查结果，调整防火墙策略，不应使用高危端口。5.3.3应提供日志审计和数据库审计服务并定期配合完成审计。5.3.4可提供渗透测试服务。6.1.1按照政务云服务提供者漏洞扫描结果及时进行漏洞验证和漏洞修复。6.1.2在系统部署上云前应进行代码审计，并对高危漏洞进行整改。6.1.3对业务系统和配置文件采取强加密算法进行加密。6.1.4配合政务云服务提供者完成WAF配置时域名和证书的申请36.1.6在上云业务系统中对异常遍历行为进行分析6.2.3定期进行数据校验，确保数据可用性和6.3.1配合政务云服务提