ICS 35.020 CCS L 09 2201 长春市 地方标准 DB2201/T 31—2023 政务云服务与接入安全管理规范 Management specification for E -government cloud service and access security 2023 - 04 - 27发布 2023 - 05 - 01实施 长春市市场监督管理局 发布 DB2201/T 31 —2023 I 前言 本文件按照 GB/T 1.1—2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。 本文件由长春市政务服务和数字化建设管理局提出并归口。 本文件主要起草单位：长春市政务服务和数字化建设管理局、杭州安恒信息技术股份有限公司。 本文件主要起草人：刘竞雄、丁慧东、柳羽辉、孟红月、刘烁、冷皓、戚志军、李艳、王正伟、 牛经男、杨涛、李艳、李朋超、靳书鹏。 DB2201/T 31—2023 1 政务云服务与接入安全管理规范 1 范围 本文件规定了政务云服务提供者为满足政务云安全接入时 的物理和基础安全、应用和数据安全、运 营安全，以及政务云服务使用者接入政务云时的应用安全、数据 安全和运营安全等内容。 本文件适用于政务云服务与接入安全的 管理工作 。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069 信息安全技术 术语 GB/T 32400 信息技术 云计算 概览与词汇 GB/T 35295 信息安全技术 大数据 术语 GB/T 39786 信息安全技术 信息系统密码应用基本要求 3 术语和定义 GB/T 25069 、GB/T 32400 和 GB/T 35295 界定的以及下列术语和定义适用于本文件。 政务云服务提供者 E-government cloud service provider 提供政务云环境和配套相关服务的供应方。 政务云服务使用者 E-government cloud service users 使用政务云环境资源和服务用于搭建部署系统的使用方。 云计算 cloud computing 通过网络访问可扩展的、灵活的物理或虚拟共享资源池 ，并按需自助获取和管理资源的模式。 注: 资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。 [来源：GB/T 31167—2014,3.1] 4 缩略语 下列缩略语适用于本文件。 VPN：虚拟专用网 (Virtual Private Network) DDoS：拒绝服务 (Distributed Denial of Service) SSL：安全套接层（ Secure Socket Layer ） WAF：Web应用防护系统（ Web Application Firewall ） DB2201/T 31 —2023 2 5 政务云服务提供者 物理和基础安全 5.1.1 应有授权机制，对进出机房人员和运维人员有审核和记录，应定期更新账号和身份认证，运维 和审计人员职责分离。 5.1.2 对生产网和非生产网应进行物理隔离，运维人员应通过安全设备登录。 5.1.3 硬件环境应符合 GB/T 39786 的要求。 5.1.4 特定服务器应具备系统可信和应用可信功能，满足云服务使用者对可信计算环境的需求。 5.1.5 应定期对提供的操作系统和镜像模板进行加固。 5.1.6 应提供 VPN 服务，以供政务云服务使用者进行维护。 5.1.7 应提供防火墙服务，对租户实例进行端口控制。 5.1.8 提供抗 DDos 和精细化 Web 应用层资源耗尽型攻击防护。 5.1.9 应对每个租户实例资源独立使用，租户实例服务器释放后，原有磁盘和内存空间应数字清零。 5.1.10 应将多个计算节点的虚拟机在系统 层面进行隔离。 5.1.11 应对运维平台账号强密码统一管理，定期审计，人员变动应收回资源重新设置分配。 5.1.12 应根据业务需要合理分配用户权限，实行申请、使用和回收机制。 5.1.13 应对政务云变更做流程化管理，具备应急和恢复预案，定期组织专家开展攻防演练。 应用和数据安全 5.2.1 宜提供漏洞扫描服务并出具报告，指导政务云使用者进行漏洞验证和漏洞修复。 5.2.2 应提供代码审计服务、 Web 应用防护服务，限制爬虫对上云业务系统的数据遍历。 5.2.3 应对数据库进行审计，提供敏感数据保护产品。 5.2.4 应定期对数据进行完整性扫描。 5.2.5 应保证数据的高可用性，提供多副本、系统备份、故障热迁移、负载均衡等多重保护。 5.2.6 应提供数据传输、存储的加密服务。 5.2.7 应提供使用 SSL证书相关的技术支持和帮助。 运营安全 5.3.1 应建立态势感知平台对威胁进行分析和响应。 5.3.2 应提供主机配置核查服务并根据配置核查结果，调整防火墙策略，不应使用高危端口。 5.3.3 应提供日志审计和数据库审计服务并定期配合完成审计。 5.3.4 可提供渗透测试服务。 6 政务云服务使用者 应用安全 6.1.1 按照政务云服务提供者漏洞扫描结果及时进行漏洞验证和漏洞修复。 6.1.2 在系统部署上云前应进行代码审计，并对高危漏洞进行整改。 6.1.3 对业务系统和配置文件采取强加密算法进行加密。 6.1.4 配合政务云服务提供者完成 WAF 配置时域名和证书的申请、部署工作。 DB2201/T 31 —2023 3 6.1.5 上云业务系统账号应对使用人员进行真实身份验证且使用强密码登陆；对沉淀用户进行限制， 直到再次进行真实身份验证才可继续使用。 6.1.6 在上云业务系统中对异常遍历行为进行分析和处置。 数据安全 6.2.1 按照数据类型对数据进行分级分类。 6.2.2 用于开发、测试、对接等用途的数据应进行数据脱敏。 6.2.3 定期进行数据校验，确保数据可用性和完整性。 6.2.4 使用加密传输、存储。 6.2.5 采用 SSL 证书。 运营安全 6.3.1 配合政务云服务提供者完成安全事件的处置和溯源。 6.3.2 根据政务云服务提供者主机配置核查结果，对上云业务系统进行合规配置，加固操作系统。 6.3.3 配合政务云服务提供者完成日志审计和数据库审计。