本文件规定了电子政务云平台安全管理的技术要求,描述了安全体系及责任划分、政务云平台管理等。
本文件适用于各级政务云平台安全建设和安全管理,各级电子政务云管理单位、建设单位及使用单位可参照执行。
政务云平台承载各级政府部门非涉密政务信息系统、政务数据资源和政务大数据应用。出于安全性要求,政务云平台建设采取1+N的方式,即一个政务云监管平台和N家云服务商。各云服务商应明确安全责任边界,各自保障政务云平台可靠运行,在安全体系保障下实现互联互通和信息共享。各云服务商提供的政务云平台应具有兼容性,应用软件在政务云平台之间可实现跨平台的兼容部署和调度。
政务云平台分为互联网和政务外网两个区域,应在两个区域分别建立安全池。两区之间通过网闸等设备进行隔离及数据交换。政务云平台与安全资源池深度对接,可通过政务云平台实现对安全资源池的统一管理。通过政务云平台即可申请开通安全服务,满足云使用单位对于网络安全、主机安全、业务安全、数据安全和管理安全的需求。
云服务商可提供的安全服务内容有云防火墙、DDoS高防、Web应用实时防护、Web安全监测、应用性能监测、网页防篡改、主机加固、云主机杀毒、云主机防御、数据库审计、日志审计、SSL证书和CA认证等,且服务内容应根据云使用单位需求持续性增加。
政务云平台包括云服务商和云使用单位两大责任主体,包含不同的服务模式和部署模式。主要的部署模式包括共有云和专享云,主要的服务模式包括基础设施即服务、平台即服务和软件即服务。政务云平台的安全由云服务商和云使用单位共同保障。针对不同服务模式,云服务商和云使用单位的安全责任边界不同,由二者对云服务各组件的管理和控制权限范围决定各自的安全责任边界。
电子政务云平台安全管理规范
(全文略)
云服务商安全管理要求如下:
a)云服务商的云管平台应接入政务云监管平台,实现统一的运行监管、宏观调度、资源监控和安全审计。发生安全事件时,通过监管平台及时通知政务云监管部门;
b)接受政务云监管部门对安全工作的指导、监督、检查和考核;
c)具备GB/T31168《信息安全技术云计算服务安全能力要求》中的安全服务能力;
e)为云使用单位定制培训计划并提供定期的培训,培训内容至少包括数据维护、系统维护和安全管理及事件处理流程要求等;
f)为云使用单位制定应急预案及安全事件处置响应计划,对数据的使用进行实时的监测及审计;
g)与本单位负责云服务的技术人员或指派的代维机构和人员签订保密协议,确保不泄露政务云平台承载的信息;
h)严格限制云服务管理员的管理权限,按职能划分系统管理员、网络管理员、安全管理员及审计员等,明确各管理员的岗位职责和作业流程。需要远程管理时,应限制权限,并进行审计,防止云服务管理权限的滥用;
j)针对网络、系统和业务,均应提供实时监测、分析、预警和应急处置的服务,保证各类业务的连续性。包括对开放云管理系统API接口的实时监测,发现异常及时告警;
k)可提供基于应用的漏洞检测、行为及数据异常情况的告警,发现问题及时通知云使用单位,并协助云使用单位及时处置;
n)云使用单位终止服务后,对云使用单位的应用系统、数据的处置,应有书面协议,说明应用系统、数据、管理员的账号密码的处理过程及安全要求。