ICS 35.240 L 64 DB36 江 西 省 地 方 标 准 DB 36/ T 1099—2018 电子政务云平台安全规范 Security specifications for E-government cloud platform 2018 - 12 - 29 发布 江西省市场监督管理局 2019 -07-01 实施 发 布 DB36/T 1099—2018 目 次 前 言 .............................................................................. II 引 言 ............................................................................. III 1 范围 .............................................................................. 1 2 规范性引用文件 .................................................................... 1 3 术语和定义 ........................................................................ 1 4 缩略语 ............................................................................ 2 5 业务区域划分 ...................................................................... 3 6 安全技术要求 ...................................................................... 4 7 政务云管理要求 ................................................................... 12 I DB36/T 1099—2018 前 言 本标准按照GB/T 1.1—2009的规定编写。 本标准由江西省发展和改革委员会提出并归口。 本标准起草单位：江西省信息中心。 本标准主要起草人：金俊平、杜军龙、刘浪、周剑涛、袁振武、罗文康、刘芳芳、张彤、宋子阳、 胡坚勇、龚松、占晓华。 II DB36/T 1099—2018 引 言 江西省电子政务云平台（简称电子政务云平台）是运用云计算技术，依托省电子政务外网统一网络 平台构建，面向政务部门提供计算存储资源、支撑软件、信息资源和应用系统的高效、安全政务基础设 施。用于承载各级政务部门开展公共服务、社会管理等电子政务业务信息系统和数据，及政务门户网站 的云计算基础设施，可根据不同业务和需求提供IaaS、PaaS、SaaS服务。 本规范是为了江西省各地区政务部门开展政务云服务提供安全和管理，提供技术标准和制度管理的 依据 III DB36/T 1099—2018 电子政务云平台安全规范 1 范围 本标准规定了电子政务云平台业务区域划分、安全技术要求和安全管理要求。 本标准适用于电子政务云平台管理单位和资源使用单位，各设区市政务外网和政务云建设运维管理 单位参照执行。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 20271 信息安全技术 信息系统通用安全技术要求 GB/Z 20986 信息安全技术 信息安全事件分类分级指南 GB/T 22239 信息安全技术 信息系统安全等级保护基本要求 GB/T 34080.1 基于云计算的电子政务公共平台安全规范 第 1 部分:总体要求 GA/T 1390.2 信息安全技术 网络安全等级保护基本要求 DB36/T 979 电子政务外网安全接入平台技术规范 GW 0013 政务云安全要求 GW 0202 国家电子政务外网安全接入平台技术规范 GW 0205 国家电子政务外网跨网数据安全交换技术要求与实施指南 3 术语和定义 GB/T 22239、GB/T 20271、GB/Z 20986、GB/T 34080.1、GA/T 1390.2、DB36/T 979、GW 0013、GW 0202、GW 0205确定的及下列术语和定义适应于本文件。 3.1 政务外网 服务于各级党委、人大、政府、政协、法院和检察院等政务部门，满足其经济调节、市场监管、社 会管理和公共服务等方面需要的政务公用网络。政务外网支持跨地区、跨部门的业务应用、信息共享和 业务协同，以及不需在政务内网上运行的业务，与互联网逻辑隔离。 3.2 云服务客户方 使用电子政务云平台开展电子政务业务和处理、存储数据的组织（或机构）及相关事业单位，包括 单位内部业务使用人员及对云相关云资源和安全的管理人员。 3.3 1 DB36/T 1099—2018 云服务提供方 为各级政务部门提供计算、存储、网络及安全等各类电子政务云平台资源和服务的提供商，负责执 行云服务提供方业务运营和相关管理工作。 3.4 云管理平台 为电子政务云平台提供资源管理和服务管理，能够对计算/存储/网络等基础设施资源（IaaS）、应 用/开发/数据平台（PaaS）和软件架构整合服务（SaaS）进行管理。 3.5 云计算基础设施 由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施。硬件资源包括所有的物理计算资 源，即服务器（CPU、内存等）、存储组件（硬盘等）、网络组件（路由器、防火墙、交换机、网络链 路和接口等）及其他物理计算基础元素。资源抽象控制组件对物理计算资源进行软件抽象，云服务提供 方通过这些组件提供和管理对物理计算资源的访问。 3.6 虚拟专有云 提供一个逻辑隔离的区域，搭建一个安全可靠、可自主定义的环境。在该区域中部署独立的服务资 源，并根据业务需求定义虚拟环境，包括定义网络拓扑、创建子网、虚拟机存储资源和划分安全组等。 3.7 控制器 包括虚拟化监视器、SDN控制器、存储虚拟化控制器和策略管理控制器等进行物理资源抽象管理的 资源管理和策略管理系统。 3.8 跨网数据交换系统 基于网络隔离技术的无协议数据同步系统，综合利用设备认证、数据格式检查、病毒检查等安全措 施，实现两个不同网络业务区服务器之间数据同步。 4 缩略语 IaaS PaaS SaaS VM VPC MPLS VPN 2 基础设施即服务（Infrastructure as a Service） 平台即服务（Platform as a Service） 软件即服务（Software as a Service） 虚拟机（Virtual Machine） 虚拟专有云 (Virtual Private Cloud) 多协议标签交换 (Multi-Protocol Label Switching) 虚拟专用网络（Virtual Private Network） DB36/T 1099—2018 SDN API NFV DNS SNMP CA ISP RTO RPO 软件定义网络（Software Defined Network） 应用程序编程接口（Application Programming Interface） 网络功能虚拟化（Network Function Virtualization） 域名系统（Domain Name System） 简单网络管理协议（Simple Network Management Protocol） 证书授权（Certificate Authority） 互联网服务提供商（Internet Service Provide） 恢复时间目标(Recovery Time Objective) 恢复点目标（Recovery Point Objective） 5 业务区域划分 5.1 政务外网城域网 政务外网城域网连接同级各政务部门，云服务客户方可通过城域网访问电子政务云平台内相关部门 内部的信息系统和公共区信息系统。政务云业务区域划分见图1所示。 互联 网区 政务外 网区 互联网 互联网 政务外网 广域网 安全 防护 认证、授权、 VPN网关集群 网关管理等 SSL/IPSec 防火墙 IPS/IDS WAF 抗DDOS 安全审计 安全接入平台 城域网核心 数据中心核心交换 跨网数据隔 离交换系统 安全 防护 防火墙 IPS/IDS WAF 抗DDOS 安全审计 运 维 管 理 区 数据中心核心交换 互联网业务区 公共业务区 部门业务区 互联网区存储资源池 政务外网区存储资源池 图 1 政务云业务区域划分图 5.2 安全接入平台 3 DB36/T 1099—2018 政务用户在互联网或移动专线网络访问省电子政务云平台的部门业务和公共区业务必须通过安全 接入平台接入，接入平台具备数字认证、授权管理、VPN接入、移动设备管理和移动应用管理等功能， 为各类智能移动终端和远程办公用户提供可信的安全接入和实时的业务访问。 5.3 安全防护 安全防护区对省电子政务云平台承载的门户网站和信息系统提供安全防护，其安全防护要求应按网 络安全等级保护第三级的国家标准要求进行保护。 5.4 政务云 5.4.1 互联网业务区 互联网业务区主要为公众和企业提供互联网门户网站服务和政务服务，由于门户网站群分属各不同 的政务部门，其安全要求各有不同，对网站和信息系统应根据不同的安全级别进行分等级防护。 5.4.2 公共业务区 公共业务区主要实现跨部门、跨地区的信息共享、数据交换及业务协同，提供政务部门内部的公共 服务。禁止从互联网直接访问本区域的各信息系统和数据，与部门业务区逻辑隔离并应做好相应的访问 控制，本区域部署的应用系统应结合自身实际情况按网络安全等级保护要求进行分级并实施保护。 5.4.3 部门业务区 部门业务区主要承载各云服务客户方部署或迁移的信息系统，云服务客户方可按要求部署在不同的 VPC，VPC之间采用VPN技术隔离，应根据信息系统的安全等级进行防护。可按云服务客户方对信息系统 的安全要求分为二级信息系统等级保护区域和三级信息系统等级保护区域，若云服务客户方同时拥有二 级业务和三级业务，应确保不同等级的信息系统采用访问控制策略。 5.4.4 存储资源池 以存储块或分布式存储方式，将