(高清版)GBT 34080.3-2021 基于云計算的電子政務(wù)公共平臺安全規(guī)范 第3部分：服務(wù)安全

ICS35.240.01GB/T34080.3—2021基于云計算的電子政務(wù)公共平臺安全規(guī)范第3部分：服務(wù)安全國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會IGB/T34080.3—2021 1 13術(shù)語和定義 14服務(wù)安全等級劃分 15服務(wù)安全要求 25.1服務(wù)訪問控制 25.1.1基本型服務(wù)安全要求 25.1.2加強型服務(wù)安全要求 25.1.3高等級服務(wù)安全要求 25.2服務(wù)傳遞保護(hù) 25.2.1基本型服務(wù)安全要求 25.2.2加強型服務(wù)安全要求 25.2.3高等級服務(wù)安全要求 35.3服務(wù)監(jiān)控 35.3.1基本型服務(wù)安全要求 35.3.2加強型服務(wù)安全要求 35.3.3高等級服務(wù)安全要求 35.4服務(wù)審計 35.4.1基本型服務(wù)安全要求 35.4.2加強型服務(wù)安全要求 35.4.3高等級服務(wù)安全要求 35.5服務(wù)變更 45.5.1基本型安全要求 45.5.2加強型服務(wù)安全要求 45.5.3高等級服務(wù)安全要求 45.6服務(wù)評估 45.6.1基本型服務(wù)安全要求 45.6.2加強型服務(wù)安全要求 45.6.3高等級服務(wù)安全要求 4參考文獻(xiàn) 5ⅢGB/T34080.3—2021GB/T34080《基于云計算的電子政務(wù)公共平臺安全規(guī)范》分為以下4個部分：——第1部分：總體要求；——第3部分：服務(wù)安全；本部分為GB/T34080的第3部分。本部分按照GB/T1.1—2009給出的規(guī)則起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任。本部分由中華人民共和國工業(yè)和信息化部(通信)提出并歸口。子科技集團(tuán)公司第二十八研究所、浙江華通云數(shù)據(jù)科技有限公司、中國信息通信研究院、博康智能信息金山網(wǎng)絡(luò)科技有限公司、北京元禾昆云科技有限公司、南京中冠科技服務(wù)有限公司。GB/T34080.3—2021電子政務(wù)發(fā)展正處于轉(zhuǎn)變發(fā)展方式、深化應(yīng)用和突出成效的關(guān)鍵轉(zhuǎn)型期。政府職能轉(zhuǎn)變和服務(wù)型政府建設(shè)對電子政務(wù)發(fā)展提出了更新、更高的要求。以云計算為代表的新興信息技術(shù)、產(chǎn)業(yè)、應(yīng)用不斷涌現(xiàn)，深刻改變了電子政務(wù)發(fā)展技術(shù)環(huán)境及條件。構(gòu)建基于云計算的電子政務(wù)公共平臺可以充分發(fā)揮既有資源的作用和新興信息技術(shù)潛能，加快電子政務(wù)發(fā)展創(chuàng)新，提高應(yīng)用支撐服務(wù)能力，增強安全保障為了使得服務(wù)使用機構(gòu)能夠從基于云計算的電子政務(wù)公共平臺獲得安全的、可用的和可持續(xù)的服務(wù)，GB/T34080的本部分規(guī)定了基于云計算的電子政務(wù)公共平臺在提供服務(wù)過程中的服務(wù)安全要求，以保障服務(wù)使用機構(gòu)對其數(shù)據(jù)和業(yè)務(wù)的管控。1GB/T34080.3—2021基于云計算的電子政務(wù)公共平臺安全規(guī)范第3部分：服務(wù)安全GB/T34080的本部分規(guī)定了基于云計算的電子政務(wù)公共平臺的服務(wù)安全等級和服務(wù)安全要素。本部分適用于基于云計算的電子政務(wù)公共平臺所提供服務(wù)的安全等級認(rèn)定及評估。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文GB/T31167—2014信息安全技術(shù)云計算服務(wù)安全指南GB/T34078.1—2017基于云計算的電子政務(wù)公共平臺總體規(guī)范第1部分：術(shù)語和定義GB/T34080.1—2017基于云計算的電子政務(wù)公共平臺安全規(guī)范第1部分：總體要求GB/T34080.2—2017基于云計算的電子政務(wù)公共平臺安全規(guī)范第2部分：信息資源安全GB/T34078.1—2017、GB/T34080.1—2017和GB/T34080.2—2017界定的以及下列術(shù)語和定義適用于本文件。3.13.2電子政務(wù)公共云平臺所提供服務(wù)的安全特性。3.3通過多個因素的組合來鑒別用戶的機制。4服務(wù)安全等級劃分根據(jù)GB/T31167—2014的6.4對政府業(yè)務(wù)分類的定義，電子政務(wù)公共云平臺服務(wù)安全等級可劃a)基本型服務(wù)安全：電子政務(wù)公共云平臺所提供的服務(wù)應(yīng)能夠滿足開展一般政務(wù)業(yè)務(wù)所具備的b)加強型服務(wù)安全：電子政務(wù)公共云平臺所提供的服務(wù)在具備基本型服務(wù)安全要求基礎(chǔ)上，應(yīng)2GB/T34080.3—2021能夠滿足開展重要政務(wù)業(yè)務(wù)所具備的安全能力；c)高等級服務(wù)安全：電子政務(wù)公共云平臺所提供的服務(wù)在具備加強型服務(wù)安全要求基礎(chǔ)上，應(yīng)能夠滿足開展關(guān)鍵政務(wù)業(yè)務(wù)所具備的安全能力。5服務(wù)安全要求5.1服務(wù)訪問控制5.1.1基本型服務(wù)安全要求基本型服務(wù)安全要求包括：a)應(yīng)對服務(wù)使用機構(gòu)的人員進(jìn)行身份認(rèn)證和鑒別；b)應(yīng)對服務(wù)賬號指定訪問權(quán)限和其他需要的屬性進(jìn)行鑒別；c)應(yīng)對服務(wù)啟用訪問控制功能和非法連接過濾功能，只允許合法的請求訪問；d)應(yīng)對服務(wù)的所有外部接口進(jìn)行標(biāo)識和保護(hù)，防止通過這些服務(wù)接口進(jìn)行攻擊；e)對服務(wù)未成功的登錄嘗試超過上限次數(shù)時，應(yīng)進(jìn)行鎖定賬戶、告警通知等訪問控制；f)應(yīng)對服務(wù)的遠(yuǎn)程訪問方式進(jìn)行授權(quán)控制，明確使用限制、配置和連接要求。5.1.2加強型服務(wù)安全要求加強型服務(wù)安全要求包括：a)應(yīng)對服務(wù)的賬號進(jìn)行基于角色的分域、分級、分權(quán)的訪問控制管理；b)應(yīng)對服務(wù)的賬戶增強安全技術(shù)保護(hù)，防止對賬戶信息的暴力破解；c)應(yīng)對服務(wù)的并發(fā)會話進(jìn)行控制，不準(zhǔn)許服務(wù)賬號有兩個或兩個以上的并發(fā)會話；d)應(yīng)對服務(wù)的遠(yuǎn)程訪問進(jìn)行多重條件限制，自動監(jiān)控和控制遠(yuǎn)程訪問會話，保證遠(yuǎn)程訪問會話的保密性和完整性；e)應(yīng)提供基于密碼的安全服務(wù)，加強對服務(wù)資源的訪問安全保護(hù)，保護(hù)服務(wù)資源的機密性、完整性和不可抵賴性。5.1.3高等級服務(wù)安全要求高等級服務(wù)安全要求包括：a)應(yīng)對服務(wù)使用機構(gòu)的人員進(jìn)行基于實名唯一標(biāo)識的認(rèn)證和多因子鑒別；b)應(yīng)對服務(wù)使用機構(gòu)的設(shè)備進(jìn)行基于終端唯一標(biāo)識的認(rèn)證和多因子鑒別；c)應(yīng)對提供服務(wù)所依托的服務(wù)資源進(jìn)行基于資源唯一標(biāo)識的認(rèn)證和多因子鑒別；d)應(yīng)對提供服務(wù)所依托的服務(wù)資源進(jìn)行統(tǒng)一訪問控制管理。5.2服務(wù)傳遞保護(hù)5.2.1基本型服務(wù)安全要求基本型服務(wù)安全要求包括：a)應(yīng)對服務(wù)來源進(jìn)行識別和保護(hù)，防止通過不明服務(wù)來源進(jìn)行攻擊；b)應(yīng)對服務(wù)傳遞過程中的內(nèi)容進(jìn)行安全技術(shù)保護(hù)，防止對服務(wù)傳遞內(nèi)容的暴力破解。5.2.2加強型服務(wù)安全要求加強型服務(wù)安全要求包括：3GB/T34080.3—2021b)應(yīng)對服務(wù)傳遞過程進(jìn)行監(jiān)控，對異常傳遞過程進(jìn)行報警。同5.2.1和5.2.2。5.3服務(wù)監(jiān)控5.3.1基本型服務(wù)安全要求基本型服務(wù)安全要求包括：c)應(yīng)對服務(wù)監(jiān)管中異常狀況進(jìn)行報警。5.3.2加強型服務(wù)安全要求加強型服務(wù)安全要求包括：a)應(yīng)及時審查和更新監(jiān)控策略及相關(guān)規(guī)程；b)應(yīng)結(jié)合服務(wù)評估結(jié)果和審計結(jié)果及時調(diào)整監(jiān)控策略。5.3.3高等級服務(wù)安全要求同5.3.1和5.3.2。5.4服務(wù)審計基本型服務(wù)安全要求包括：b)應(yīng)根據(jù)安全需求和服務(wù)使用機構(gòu)要求，制定可審計事件清單，記錄并維護(hù)審計記錄；c)應(yīng)對審計記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等；d)應(yīng)保證所提供審計數(shù)據(jù)的真實性；e)應(yīng)對審計記錄進(jìn)行審查和分析，定期提供審計分析報告。5.4.2加強型服務(wù)安全要求加強型服務(wù)安全要求包括：a)應(yīng)指定獨立的安全審計人員負(fù)責(zé)管理審計記錄，并在授予審計人員訪問權(quán)限之前對其進(jìn)行審查并定期復(fù)查；b)應(yīng)根據(jù)法律法規(guī)及服務(wù)使用機構(gòu)的要求進(jìn)行審計記錄的保存；c)應(yīng)定期審查和調(diào)整審計策略；d)當(dāng)法律法規(guī)、服務(wù)使用機構(gòu)需求或服務(wù)面臨的威脅環(huán)境發(fā)生變化時，應(yīng)及時調(diào)整審計策略；e)應(yīng)加強審計數(shù)據(jù)的保護(hù)。高等級服務(wù)安全要求包括：a)應(yīng)保證所提供審計數(shù)據(jù)的完整性；b)應(yīng)支持第三方審計。4GB/T34080.3—20215.5服務(wù)變更基本型安全要求要求包括：a)服務(wù)升級時，應(yīng)確保服務(wù)使用的連續(xù)性和一致性，同時服務(wù)使用機構(gòu)的數(shù)據(jù)不丟失；b)服務(wù)退出時，應(yīng)全部返還服務(wù)使用機構(gòu)的所有數(shù)據(jù)，同時銷毀服務(wù)使用機構(gòu)的數(shù)據(jù)，并確保數(shù)據(jù)不可恢復(fù)；c)服務(wù)遷移時，應(yīng)采取相關(guān)安全措施確保服務(wù)遷移過程中數(shù)據(jù)機密性和完整性，同時銷毀服務(wù)使用機構(gòu)的數(shù)據(jù)，并確保數(shù)據(jù)不可恢復(fù)；d)服務(wù)變更時，應(yīng)確保服務(wù)使用機構(gòu)對其數(shù)據(jù)的所有權(quán)不變，防止未授權(quán)的訪問和使用。5.5.2加強型服務(wù)安全要求應(yīng)提供自動化服務(wù)變更手段。5.5.3高等級服務(wù)安全要求服務(wù)升級和遷移時，當(dāng)數(shù)據(jù)完整性錯誤時，應(yīng)能夠采取相應(yīng)的恢復(fù)措施。5.6服務(wù)評估5.6.1基本型服務(wù)安全要求基本型服務(wù)安全要求包括：a)應(yīng)定期開展風(fēng)險評估，或者在服務(wù)變更時，或者在出現(xiàn)其他可能影響服務(wù)安全狀態(tài)的條件時，重新進(jìn)行風(fēng)險評估；b)