ICS 35.240.20 CCS L 79 黑 DB23 龙 江 省 地 方 标 准 DB23/T 2844—2021 电子政务云平台安全管理规范 2021 - 04 - 13 发布 黑龙江省市场监督管理局 发布 2021 - 05 - 12 实施 发布 DB23/T 2844-2021 前  言 本文件按照GB/T 1.1-2020给出的规则起草。 本文件以GW 0013—2017《政务云安全要求》为主要依据，根据国家要求，结合我省实际进行了适 当补充。 本文件由黑龙江省营商环境建设监督局提出并归口。 本文件起草单位：黑龙江省营商环境建设监督局、黑龙江省政务大数据中心、黑龙江省标准化研究 院、浪潮软件集团有限公司。 本文件主要起草人：张毅、李茂滨、段成钢、董月成、张维新、杨未圻、金营、孙雷、陈诗允、黄 振东、石剑峰、陈要武、杨大志、吕猛、王磊、李严、王艳君。 I DB23/T 2844-2021 电子政务云平台安全管理规范 1 范围 本文件规定了黑龙江省电子政务云平台安全管理的技术要求，描述了安全体系及责任划分、政务云 平台管理等。 本文件适用于黑龙江省各级政务云平台安全建设和安全管理，各级电子政务云管理单位、建设单位 及使用单位可参照执行。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 31168-2014 信息安全技术 云计算服务安全能力要求 GB/T 34078.1-2017 基于云计算的电子政务公共平台总体规范 第1部分：术语和定义 GW 0013-2017 政务云安全要求 3 术语和定义 GB/T 34078.1界定的以及下列术语和定义适用于本文件。 3.1 电子政务云平台 运用云计算技术，统筹利用机房资源、计算资源、存储资源、网络资源、信息资源、应用支撑等资 源，发挥云计算虚拟化、高可靠性、通用性、高可扩展性以及快速、按需、弹性的服务特征，为各政府 部门构建提供基础设施、支撑软件、应用系统、信息资源、运行保障和信息安全等服务的电子政务综合 性服务平台，简称政务云平台。 3.2 电子政务云监管平台 通过与电子政务云平台进行接口对接，获取监控数据资源，并对资源进行管理和展现的平台。 3.3 电子政务云管理部门 负责规划和推进电子政务云平台基础设施建设及资源服务的管理单位。 3.4 电子政务云监管部门 1 DB23/T 2844-2021 负责监管电子政务云平台建设和运行状态的管理单位。 3.5 云使用单位 利用电子政务云平台开展政务应用的各政务部门。 3.6 云服务商 电子政务云平台的承建单位，在电子政务云管理部门规划指导下，负责电子政务云资源池的建设和 维护，通过服务方式为各级政务部门提供计算、存储、网络及安全等各类基础设施资源满足云使用单位 上云需求。 4 缩略语 IaaS：基础设施即服务（Infrastructure as a Service） PaaS：平台即服务（Platform as a Service） SaaS：软件即服务（Software as a Service） RTO： 恢复时间目标 (Recovery Time Objective) RPO： 恢复点目标（Recovery Point Objective） API： 应用程序接口（Application Programming Interface） 5 安全体系 5.1 安全建设 5.1.1 政务云平台承载各级政府部门非涉密政务信息系统、政务数据资源和政务大数据应用。 5.1.2 出于安全性要求，政务云平台建设采取 1+N 的方式，即一个政务云监管平台和 N 家云服务商。 各云服务商应明确安全责任边界，各自保障政务云平台可靠运行，在安全体系保障下实现互联互通和信 息共享。各云服务商提供的政务云平台应具有兼容性，应用软件在政务云平台之间可实现跨平台的兼容 部署和调度。 5.1.3 优化承载政务云平台的传输网络，确保业务应用能够安全可靠运行，满足应用系统业务迁移及 未来新增上云需求。 5.1.4 云使用单位的应用系统部署到政务云平台后，安全管理责任主体不变，数据归属不变，安全管 理标准不变。政务云监管部门、云服务商、云使用单位要分别制定安全应急预案，协同开展应急演练， 相互配合做好重大安全事件的应急响应。 5.1.5 政务云平台的设施资源层、中间平台层和业务应用层都应在安全体系保障下为云使用单位提供 云服务。政务云监管平台对政务云平台的各个层面进行监控、计量和可用性管理。 5.2 安全架构 政务云平台分为互联网和政务外网两个区域，应在两个区域分别建立安全池。两区之间通过网闸等 设备进行隔离及数据交换。政务云平台与安全资源池深度对接，可通过政务云平台实现对安全资源池的 统一管理。通过政务云平台即可申请开通安全服务，满足云使用单位对于网络安全、主机安全、业务安 全、数据安全和管理安全的需求。 2 DB23/T 2844-2021 5.3 安全服务内容 云服务商可提供的安全服务内容有云防火墙、 DDoS高防、Web应用实时防护、Web安全监测、应用 性能监测、网页防篡改、主机加固、云主机杀毒、云主机防御、数据库审计、日志审计、SSL证书和CA 认证等，且服务内容应根据云使用单位需求持续性增加。 5.4 安全服务形式 云服务商以政务云服务目录形式提供安全服务，政务云监管部门进行审核并根据实际情况适当调整 目录内容，各云使用单位根据需要申请使用。 6 6.1 安全责任划分 安全边界 政务云平台包括云服务商和云使用单位两大责任主体，包含不同的服务模式和部署模式。主要的部 署模式包括共有云和专享云，主要的服务模式包括基础设施即服务、平台即服务和软件即服务。政务云 平台的安全由云服务商和云使用单位共同保障。针对不同服务模式，云服务商和云使用单位的安全责任 边界不同，由二者对云服务各组件的管理和控制权限范围决定各自的安全责任边界。 6.2 不同服务模式下的责任划分 政务云平台保护环境是平台上部署的软件及相关组件的集合，不同服务模式下的安全责任主体有所 不同，云服务商和云使用单位的安全责任应明确划分： a) 在 IaaS 模式下：云服务商向云使用单位提供计算资源、存储、网络等资源，提供访问云基础 设施的服务接口。IaaS 安全主要包括物理平台安全、边界安全、物理资源安全（网络安全、 主机安全、存储安全）、抽象控制安全、虚拟网络安全、虚拟存储安全、虚拟主机安全等。虚 拟化计算资源层的安全责任由云使用单位和云服务商分担。云使用单位负责自己部署的操作系 统、运行环境和应用的安全,对这些资源的操作、更新、配置的安全负责、其他由云服务商负 责； b) 在 PaaS 模式下：PaaS 位于 IaaS 之上，云服务商向云使用单位提供的是云基础设施之上的软 件开发和运行平台。PaaS 层增加的安全主要包括接口安全、开发环境安全、中间件安全、数 据库安全等。软件平台层的安全责任由云使用单位和云服务商分担。云使用单位负责自己开发 和部署的应用及其运行环境的安全，其他由云服务商负责； c) 在 SaaS 模式下：SaaS 位于 IaaS 和 PaaS 之上，云服务商向云使用单位提供的是运行在云基础 设施之上的应用软件。应提供独立的运行环境，用以交付完整的用户体验。SaaS 层增加的安 全主要是应用开发安全和应用安全。云使用单位应承担自身数据安全、客户端安全等相关责任， 其他由云服务商负责。 6.3 数据安全责任划分 无论采用何种服务模式，数据保护是关系到政务云平台能否安全可靠进行交互的关键，从应用系统 迁移开始就应保障应用系统和数据的安全。迁移上云后，对应用系统的访问，应采取身份认证、授权管 理、账户保护、数据加密、密钥管理、剩余信息清除、完整性校验、灾备与恢复、通信安全、安全审计、 数据交换安全等技术手段实现应用和数据的保护要求。云使用单位负责自身账号、密码、秘钥的安全保 护，其他数据安全由云服务商负责。 3 DB23/T 2844-2021 7 政务云平台安全技术要求 详见GW 0013-2017 第7章。在GW 0013-2017中，云服务客户为本文件云使用单位、云服务方为本文 件云服务商、政务云管理单位为本文件政务云监管部门。 8 政务云平台管理要求 8.1 云使用单位 云使用单位安全管理要求如下： a) 云使用单位向政务云平台进行应用系统迁移或部署时，应制定相关的技术方案，明确安全责任 边界及基于风险分析基础之上的安全计划和控制策略，从网络、主机、应用和数据安全及备份 恢复等方面提出具体要求，满足网络安全等级保护技术要求； b) 接受政务云监管部门对云使用单位安全工作的指导、监督、检查和考核； c) 云使用单位承担应用系统部署及管理，以及自身业务和数据安全、客户端安全等相关责任； d) 云使用单位应用系统迁移时，应对拟迁移至政务云平台的应用系统的敏感度和业务重要性进行 分析和评估，按照应用系统敏感度和业务重要性要求云服务商提供相应的安全防护能力，禁止 涉密数据迁移至云平台； e) 云使用单位的局域网及终端安全由各云使用单位自行负责； f) 云使用单位在政务云平台上的应用系统及内部系统之间的访问控制由云使用单位负责； g) 完成风险评估和损失评估后，安全策略应明确数据安全的要求，如数据副本的数量、存储的物 理位置，根据数据的重要程度明确数据备份的RPO和RTO，明确数据是否需要加密存储； h) 云使用单位管理员应使用安全受控的终端、多因素认证、复杂密码（至少14位），受限的访问 权限和传输加密的方式访问并管理政务云平台上的资源。 8.2 政务云管理部门 政务云管理部门管理要求如下： a) 受理、审核云使用单位向政务云平台部署或迁移应用系统的申请和方案； b) 规划、管理和监督政务云平台建设及运营，指导政务云监管部门开展安全检查、安全评估等监 督工作。 8.3 政务云监管部门 政务云监管部门管理要求如下： a) 监督云服务商执行安全配置，监测云服务商脆弱性管理情况和漏洞修补情况； b) 审核云服务商和云使用单位的网络安全应急预案； c) 论证云使用单位向政务云平台部署或迁移应用系统的技术方案、安全责任边界及基于风险分析 基础之上的安全计划和控制策略； d) 监督检查、考核评估云服务商的运维（安全监管）工作； e) 云使用单位部署的应用系统退出政务云平台时，监督云服务商履行相关责任和义务，确保退出 阶段的数据和业务安全； f) 负责管理政务云监管平台，通过监管平台对服务质量、服务安全等实施统