DB32T-政務(wù)“一朵云”安全管理體系規(guī)范 第1部分：安全運(yùn)行監(jiān)測

DB32/TXXXX—XXXXDB32/TXXXX—XXXX前??言 4引??言 51范圍 62規(guī)范性引用文件 63術(shù)語和定義 64縮略語 75總體框架 76基本原則 87基本要求 88資產(chǎn)監(jiān)測 99風(fēng)險(xiǎn)監(jiān)測 910可用性監(jiān)測 1011安全事件監(jiān)測 1012重保與應(yīng)急 1113安全協(xié)同 1114安全檢查 1215供應(yīng)鏈安全 1316運(yùn)行效果評價(jià) 1317安全審計(jì) 1418安全管理 14前??言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利，本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由江蘇省數(shù)字政府標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。本文件起草單位：江蘇省大數(shù)據(jù)管理中心。本文件主要起草人：吳中東、忻超、黃敏、劉堯、楊揚(yáng)、王文娟、劉鑫、蔡一凡、谷和啟。引??言為加強(qiáng)統(tǒng)籌規(guī)劃，全面提升全省政務(wù)云服務(wù)能力和安全運(yùn)行水平，促進(jìn)政務(wù)信息基礎(chǔ)設(shè)施建設(shè)可持續(xù)發(fā)展，根據(jù)《省政府關(guān)于加快統(tǒng)籌推進(jìn)數(shù)字政府高質(zhì)量建設(shè)的實(shí)施意見》（蘇政發(fā)〔2022〕44號）《江蘇省政務(wù)“一朵云”建設(shè)總體方案》（蘇政發(fā)〔2023〕36號）的要求，建立健全全省政務(wù)“一朵云”安全保障體系，提升安全防護(hù)能力，制定本標(biāo)準(zhǔn)。本文件基于全省政務(wù)“一朵云”安全架構(gòu)，建立健全安全管理體系、主動(dòng)防護(hù)能力、安全合規(guī)評估和安全運(yùn)維保障四位一體的立體縱深安全防護(hù)體系，達(dá)到管理可執(zhí)行、技術(shù)可落地、合規(guī)可監(jiān)管、安全可運(yùn)維。擬由3個(gè)部分組成：——第1部分：安全運(yùn)行監(jiān)測?！?部分：密碼應(yīng)用技術(shù)要求。——第3部分：密碼應(yīng)用安全性評估。政務(wù)“一朵云”安全管理體系規(guī)范第1部分：安全運(yùn)行監(jiān)測范圍本標(biāo)準(zhǔn)規(guī)定了政務(wù)云安全運(yùn)行監(jiān)測工作的總體要求、基本原則、基本要求、資產(chǎn)監(jiān)測、風(fēng)險(xiǎn)監(jiān)測、可用性監(jiān)測、安全事件監(jiān)測等內(nèi)容。本標(biāo)準(zhǔn)適用于指導(dǎo)政務(wù)云管理機(jī)構(gòu)開展政務(wù)云安全運(yùn)行管理工作。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239-2019信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB/T39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求GB/T39204-2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求GB/T31168-2023信息安全技術(shù)云計(jì)算服務(wù)安全能力要求術(shù)語和定義GB/T25069-2022和GB/T5271.8界定的以及下列術(shù)語和定義適用于本文件。安全監(jiān)測securitymonitoring以信息安全事件為核心，通過對網(wǎng)絡(luò)和安全設(shè)備日志、系統(tǒng)運(yùn)行數(shù)據(jù)等信息的實(shí)時(shí)采集，以關(guān)聯(lián)分析等方式，實(shí)現(xiàn)對監(jiān)測對象進(jìn)行風(fēng)險(xiǎn)識別、威脅發(fā)現(xiàn)、安全事件實(shí)時(shí)報(bào)警及可視化展現(xiàn)。安全審計(jì)securityaudit對信息系統(tǒng)記錄與活動(dòng)的獨(dú)立評審和考察，以測試系統(tǒng)控制的充分程度，確保對于既定安全策略和運(yùn)行規(guī)程的符合性，發(fā)現(xiàn)安全違規(guī)，并在控制、安全策略和過程等方面提出改進(jìn)建議。風(fēng)險(xiǎn)評估riskassessment風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價(jià)的整個(gè)過程。供應(yīng)鏈supplychain將多個(gè)資源和過程聯(lián)系在一起，并根據(jù)服務(wù)協(xié)議或其他采購協(xié)議建立連續(xù)供應(yīng)關(guān)系的組織系列。政務(wù)云e-governmentcloud運(yùn)用云計(jì)算技術(shù)，統(tǒng)籌利用機(jī)房、計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、安全、應(yīng)用支撐等軟硬件設(shè)備，發(fā)揮云計(jì)算虛擬化、高可靠性、高通用性、高可擴(kuò)展性及快速、按需、彈性服務(wù)等特征，為政府領(lǐng)域信息系統(tǒng)提供基礎(chǔ)設(shè)施、支撐軟件、運(yùn)行保障和信息安全等綜合服務(wù)平臺(tái)。主動(dòng)防御activecyberdefense以應(yīng)對攻擊行為的監(jiān)測發(fā)現(xiàn)為基礎(chǔ)，主動(dòng)采取收斂暴露面、捕獲、溯源、干擾和阻斷等措施，開展攻防演習(xí)和威脅情報(bào)工作，提升對網(wǎng)絡(luò)威脅與攻擊行為的識別、分析和防御能力?？s略語下列縮略語適用于本文件。API：應(yīng)用程序編程接口（applicationprogramminginterface）APT：高級持續(xù)性威脅（advancedpersistentthreat）DC：數(shù)據(jù)中心（datacenter）DDoS：分布式拒絕服務(wù)（distributeddenialofservice）IP：網(wǎng)際互連協(xié)議（internetprotocol）SLA：服務(wù)水平協(xié)議（servicelevelagreement）總體框架加強(qiáng)政務(wù)云等基礎(chǔ)設(shè)施安全管理，持續(xù)提升安全運(yùn)行監(jiān)測能力和水平，提高安全風(fēng)險(xiǎn)預(yù)判、應(yīng)對、處置能力，保障政務(wù)云及云上承載信息系統(tǒng)安全穩(wěn)定運(yùn)行，支撐數(shù)字政府建設(shè)高質(zhì)量發(fā)展。政務(wù)云安全運(yùn)行監(jiān)測框架如圖1所示。圖1政務(wù)云安全運(yùn)行監(jiān)測框架基本原則管理與技術(shù)并重原則強(qiáng)化管理與技術(shù)各環(huán)節(jié)銜接保障，提升專業(yè)能力水平，充實(shí)安全人才隊(duì)伍，加強(qiáng)外包人員管理，切實(shí)增強(qiáng)云基礎(chǔ)設(shè)施安全運(yùn)行能力。目標(biāo)與結(jié)果導(dǎo)向原則明確安全運(yùn)行總體目標(biāo)，完善對運(yùn)行監(jiān)測、預(yù)警、處置過程評估，加強(qiáng)對運(yùn)行全生命周期閉環(huán)管理。主動(dòng)性原則增強(qiáng)安全管理主動(dòng)性，提升運(yùn)行監(jiān)測預(yù)警能力，將防御模式由被動(dòng)發(fā)現(xiàn)向主動(dòng)監(jiān)測轉(zhuǎn)變，實(shí)現(xiàn)防御效果顯著提升。常態(tài)化原則加強(qiáng)平戰(zhàn)結(jié)合運(yùn)行模式管理，堅(jiān)持運(yùn)行監(jiān)測工作常態(tài)化，持續(xù)開展日常監(jiān)測、預(yù)警、通報(bào)、處置等工作，做好應(yīng)急時(shí)期響應(yīng)處置和重要時(shí)期安全保障。一體化原則構(gòu)建基礎(chǔ)設(shè)施全方位一體化安全防護(hù)體系，完善運(yùn)行監(jiān)測支撐能力平臺(tái)工具，明確運(yùn)行管理制度流程，形成運(yùn)行監(jiān)測協(xié)同聯(lián)動(dòng)機(jī)制?；疽舐氊?zé)分工政務(wù)云運(yùn)行管理機(jī)構(gòu)負(fù)責(zé)政務(wù)云平臺(tái)安全建設(shè)、運(yùn)行及管理，支撐政務(wù)云使用部門實(shí)施信息系統(tǒng)上云安全建設(shè)、安全測評等工作，同時(shí)加強(qiáng)對政務(wù)云邊界、接入訪問等進(jìn)行安全監(jiān)測、檢查。政務(wù)云使用部門負(fù)責(zé)本單位云上信息系統(tǒng)和數(shù)據(jù)的安全建設(shè)、運(yùn)維、管理，落實(shí)安全主體責(zé)任，開展信息系統(tǒng)安全監(jiān)測，做好自查自糾等工作。安全保護(hù)基本能力要求整體要求應(yīng)按要求開展政務(wù)云基礎(chǔ)設(shè)施安全保護(hù)工作，構(gòu)建技術(shù)、管理、運(yùn)維等方面的安全能力體系，為安全運(yùn)行監(jiān)測工作開展提供基礎(chǔ)能力支撐。技術(shù)要求應(yīng)參照GB/T22239、GB/T31168等標(biāo)準(zhǔn)的相關(guān)要求，建設(shè)政務(wù)云平臺(tái)邊界訪問控制、云內(nèi)訪問控制、邊界入侵防范、云內(nèi)入侵防范、惡意代碼防范、安全審計(jì)、身份鑒別、鏡像和快照保護(hù)、代碼和開源組件檢測、數(shù)據(jù)加密、數(shù)據(jù)備份與恢復(fù)、個(gè)人信息保護(hù)等防護(hù)能力，完善云平臺(tái)的基本安全能力。管理要求應(yīng)參照GB/T22239、GB/T31168、GB/T39786等標(biāo)準(zhǔn)的相關(guān)要求，制定安全工作的總體方針和策略，明確總體目標(biāo)、范圍、原則和安全框架。建立政務(wù)云基礎(chǔ)設(shè)施管理制度、操作規(guī)程，形成由方針策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的安全管理制度體系。應(yīng)設(shè)置指導(dǎo)管理安全工作的管理機(jī)構(gòu)，設(shè)立安全崗位，明確崗位職責(zé)和能力要求，配備安全人員，建立并實(shí)施安全考核及監(jiān)督問責(zé)機(jī)制。運(yùn)維要求應(yīng)參照GB/T22239、GB/T31168、GB/T39786等標(biāo)準(zhǔn)的相關(guān)要求開展政務(wù)云基礎(chǔ)設(shè)施安全運(yùn)維工作，包括但不限于資產(chǎn)管理、介質(zhì)管理、設(shè)備維護(hù)管理、漏洞和風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)和系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置管理、應(yīng)急預(yù)案管理、外包運(yùn)維服務(wù)商管理等。運(yùn)行監(jiān)測基本能力要求應(yīng)圍繞人員、工具、流程等開展運(yùn)行監(jiān)測，配備專職人員，構(gòu)建平臺(tái)工具，制定業(yè)務(wù)流程，建立主動(dòng)防御機(jī)制，按要求開展資產(chǎn)監(jiān)測、風(fēng)險(xiǎn)監(jiān)測、可用性監(jiān)測、安全事件監(jiān)測、重保與應(yīng)急、安全協(xié)同、安全檢查、供應(yīng)鏈安全、運(yùn)行效果評價(jià)、安全審計(jì)、安全管理等工作。應(yīng)設(shè)置安全運(yùn)行監(jiān)測崗位，配置專職人員，人員應(yīng)符合崗位能力要求。應(yīng)建立支撐開展掃描檢測、日志采集、流量分析、系統(tǒng)對接、常態(tài)化運(yùn)行監(jiān)測的平臺(tái)工具，建立基于運(yùn)行監(jiān)測結(jié)果，組織開展預(yù)警通報(bào)、重大保障、應(yīng)急處置、安全協(xié)同、考核評估的平臺(tái)工具。應(yīng)建立落實(shí)常態(tài)化監(jiān)測預(yù)警、快速響應(yīng)的機(jī)制，制定監(jiān)測預(yù)警和信息通報(bào)制度，明確預(yù)警報(bào)告、響應(yīng)和處置等流程，形成監(jiān)測、研判、預(yù)警、響應(yīng)、處置、反饋、歸檔的完整流程閉環(huán)。應(yīng)建立主動(dòng)防御機(jī)制，針對監(jiān)測發(fā)現(xiàn)的安全事件或威脅，及時(shí)發(fā)出安全警示。建立漏洞信息、威脅信息等情報(bào)信息的共享機(jī)制。提高主動(dòng)發(fā)現(xiàn)攻擊的能力，開展主動(dòng)防御工作。資產(chǎn)監(jiān)測整體要求監(jiān)測范圍應(yīng)覆蓋政務(wù)云平臺(tái)，云邊界，網(wǎng)絡(luò)出入口，云租戶等。應(yīng)能及時(shí)發(fā)現(xiàn)資產(chǎn)的上線、下線等變更情況，在72小時(shí)內(nèi)完成資產(chǎn)清單更新。應(yīng)能對多種來源的資產(chǎn)數(shù)據(jù)進(jìn)行統(tǒng)一融合匯總，進(jìn)行資產(chǎn)維度的風(fēng)險(xiǎn)評估、可視化展示、報(bào)表輸出，挖掘資產(chǎn)安全問題。應(yīng)能基于資產(chǎn)標(biāo)識信息，通過資產(chǎn)和漏洞情報(bào)數(shù)據(jù)碰撞分析，快速評估漏洞影響資產(chǎn)范圍。資產(chǎn)類型應(yīng)能發(fā)現(xiàn)政務(wù)云平臺(tái)資產(chǎn)，包括云主機(jī)、云存儲(chǔ)、云網(wǎng)絡(luò)、云安全組件、云數(shù)據(jù)庫、操作系統(tǒng)、中間件、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等。應(yīng)能發(fā)現(xiàn)政務(wù)云邊界資產(chǎn)，包括網(wǎng)絡(luò)設(shè)備、通信設(shè)備、網(wǎng)絡(luò)安全設(shè)備等。應(yīng)能發(fā)現(xiàn)政務(wù)云接入終端資產(chǎn)。應(yīng)能發(fā)現(xiàn)政務(wù)云租戶資產(chǎn)，包括云主機(jī)、云網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、中間件、數(shù)據(jù)庫、API接口等。風(fēng)險(xiǎn)監(jiān)測整體要求應(yīng)能監(jiān)測政務(wù)云平臺(tái)及云租戶的主要安全風(fēng)險(xiǎn)，包括但不限于弱口令、漏洞、高危端口、安全基線過低、過程性惡意行為、異常行為、數(shù)據(jù)高危操作、其他未知風(fēng)險(xiǎn)等，應(yīng)能在24小時(shí)內(nèi)發(fā)現(xiàn)存在的隱患。弱口令識別應(yīng)能檢測賬號弱口令，包括但不限于內(nèi)置規(guī)則、密碼字典、機(jī)器學(xué)習(xí)等檢測方式。漏洞監(jiān)測應(yīng)能識別高、中、低危安全漏洞。高危端口監(jiān)測應(yīng)能探測高危端口對外暴露情況，包括但不限于22端口、80端口、443端口、3389端口等。安全基線監(jiān)測應(yīng)能探測不合規(guī)基線及錯(cuò)誤配置，包括但不限于身份訪問控制、安全審計(jì)等方面。過程性惡意行為監(jiān)測應(yīng)能發(fā)現(xiàn)過程性惡意行為，包括但不限于掃描探測、隱患利用、域名仿冒、釣魚郵件、暴力破解等。異常行為監(jiān)測應(yīng)能發(fā)現(xiàn)異常行為，包括但不限于高頻登錄嘗試、異常時(shí)間登錄等。數(shù)據(jù)高危操作監(jiān)測應(yīng)能識別數(shù)據(jù)高危操作行為，包括但不限于違規(guī)外聯(lián)、文件導(dǎo)出下載、非授信IP數(shù)據(jù)庫繞行、超級管理員賬號遠(yuǎn)程登陸、API未授權(quán)訪問、數(shù)據(jù)庫導(dǎo)出、數(shù)據(jù)庫高危操作等。其他未知風(fēng)險(xiǎn)監(jiān)測應(yīng)能基于威脅情報(bào)，識別未知風(fēng)險(xiǎn)，包括但不限于APT攻擊、勒索病毒等?？捎眯员O(jiān)測政務(wù)云平臺(tái)政務(wù)云平臺(tái)應(yīng)具備有效的容災(zāi)備份機(jī)制，包括但不限于主備容災(zāi)、雙活容災(zāi)、多DC容災(zāi)等。應(yīng)能監(jiān)測政務(wù)云平臺(tái)物理層和虛擬化層的資源可用性，對象包括但不限于計(jì)算處理能力、內(nèi)存處理能力、硬盤處理能力等，使用率應(yīng)不超過75%，同時(shí)應(yīng)監(jiān)測虛擬化軟件的可用性。應(yīng)能監(jiān)測政務(wù)云平臺(tái)的可用性，建立政務(wù)云平臺(tái)SLA，關(guān)鍵節(jié)點(diǎn)全年可用率（全年可用時(shí)長/全年總時(shí)長）不低于99.999%。政務(wù)云出入口網(wǎng)絡(luò)政務(wù)云出入口網(wǎng)絡(luò)包括政務(wù)外網(wǎng)出入口、互聯(lián)網(wǎng)出入口等，應(yīng)具備有效的線路及核心設(shè)備冗余機(jī)制。應(yīng)能監(jiān)測政務(wù)云出入口網(wǎng)絡(luò)的可用性，應(yīng)建立政務(wù)云出入口網(wǎng)絡(luò)SLA，全年可用率（全年可用時(shí)長/全年總時(shí)長）不低于99.999%。政務(wù)云內(nèi)網(wǎng)絡(luò)政務(wù)云內(nèi)網(wǎng)絡(luò)應(yīng)具備有效的核心設(shè)備及組件冗余機(jī)制。應(yīng)能監(jiān)測政務(wù)云內(nèi)網(wǎng)絡(luò)的可用性，應(yīng)建立政務(wù)云內(nèi)網(wǎng)絡(luò)SLA，全年可用率（全年可用時(shí)長/全年總時(shí)長）不低于99.999%。政務(wù)關(guān)鍵應(yīng)用政務(wù)關(guān)鍵應(yīng)用應(yīng)具備有效的容災(zāi)備份機(jī)制。按要求對政務(wù)關(guān)鍵應(yīng)用開展壓力測試，基于測試結(jié)果優(yōu)化資源分配。應(yīng)能監(jiān)測政務(wù)關(guān)鍵應(yīng)用的可用性，應(yīng)建立政務(wù)關(guān)鍵應(yīng)用SLA，全年可用率（全年可用時(shí)長/全年總時(shí)長）不低于99.999%。政務(wù)核心數(shù)據(jù)庫核心數(shù)據(jù)庫應(yīng)具備有效的容災(zāi)備份機(jī)制，包括但不限于主備容災(zāi)、雙活容災(zāi)、多DC容災(zāi)等。應(yīng)能監(jiān)測核心數(shù)據(jù)庫的可用性，應(yīng)建立政務(wù)核心數(shù)據(jù)庫SLA，全年可用率（全年可用時(shí)長/全年總時(shí)長）不低于99.999%。安全事件監(jiān)測整體要求應(yīng)通過流量解析、日志分析等技術(shù)手段對政務(wù)云平臺(tái)及云租戶進(jìn)行7*24小時(shí)安全事件監(jiān)測，及時(shí)發(fā)現(xiàn)安全事件。惡意程序事件應(yīng)能發(fā)現(xiàn)惡意程序事件，包括但不限于計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬、僵尸網(wǎng)絡(luò)、網(wǎng)頁內(nèi)嵌惡意代碼、勒索軟件、挖礦病毒等。網(wǎng)絡(luò)攻擊事件應(yīng)能發(fā)現(xiàn)網(wǎng)絡(luò)攻擊事件，包括但不限于DDoS攻擊、域名解析異常、流量劫持、廣播欺詐、主機(jī)失陷、APT攻擊等。數(shù)據(jù)安全事件應(yīng)能發(fā)現(xiàn)數(shù)據(jù)安全事件，包括但不限于數(shù)據(jù)篡改、數(shù)據(jù)泄露、數(shù)據(jù)竊取、隱私侵犯等。信息內(nèi)容安全事件應(yīng)能發(fā)現(xiàn)內(nèi)容安全事件，包括但不限于反動(dòng)宣傳、暴恐宣傳、色情傳播等。異常行為事件應(yīng)能發(fā)現(xiàn)異常行為事件，包括但不限于云平臺(tái)訪問異常、云平臺(tái)及邊界流量異常、云平臺(tái)高風(fēng)險(xiǎn)操作等。設(shè)備設(shè)施故障事件應(yīng)能發(fā)現(xiàn)設(shè)備設(shè)施故障事件，包括但不限于云平臺(tái)硬件故障、軟件故障、過載等。重保與應(yīng)急重大保障在重要活動(dòng)、會(huì)議期間，應(yīng)設(shè)立專門負(fù)責(zé)加強(qiáng)安全響應(yīng)的保障組織，開展專項(xiàng)活動(dòng)，制定工作規(guī)范，確保政務(wù)云基礎(chǔ)設(shè)施安全運(yùn)行。應(yīng)將重保活動(dòng)劃分為準(zhǔn)備階段、實(shí)戰(zhàn)階段、總結(jié)階段等環(huán)節(jié)，在各環(huán)節(jié)落實(shí)檢查自查，及時(shí)通報(bào)預(yù)警安全隱患，處置安全事件，管理監(jiān)測過程結(jié)果數(shù)據(jù)，落實(shí)報(bào)告管理、信息共享、輿情報(bào)送等工作。應(yīng)基于可視化態(tài)勢大屏等工具平臺(tái)開展專項(xiàng)安全監(jiān)測和分析研判，及時(shí)預(yù)警可能造成重大影響的風(fēng)險(xiǎn)和隱患，重點(diǎn)部門、重點(diǎn)崗位保持24小時(shí)值班，及時(shí)發(fā)現(xiàn)和處置安全事件隱患。應(yīng)在重保期間組織協(xié)同技術(shù)支撐單位、政務(wù)云基礎(chǔ)設(shè)施服務(wù)商、安全專家等，提升重大活動(dòng)整體安全保障能力。應(yīng)急響應(yīng)應(yīng)急管理應(yīng)明確應(yīng)急管理組織、職責(zé)和工作機(jī)制等。應(yīng)落實(shí)安全應(yīng)急工作責(zé)任制，明確安全事件應(yīng)急領(lǐng)導(dǎo)機(jī)構(gòu)與職責(zé)，辦事機(jī)構(gòu)與職責(zé)，各單位部門職責(zé)，將責(zé)任落實(shí)到具體部門、崗位和個(gè)人。應(yīng)建立健全應(yīng)急工作機(jī)制，制定安全應(yīng)急管理規(guī)范，明確安全事件的預(yù)防、監(jiān)測、報(bào)告和應(yīng)急處置等的工作流程。應(yīng)急預(yù)案應(yīng)制定應(yīng)急預(yù)案并開展預(yù)案培訓(xùn)與演練。應(yīng)制定并管理安全突發(fā)事件處置場景預(yù)案，圍繞政務(wù)云關(guān)鍵業(yè)務(wù)的可持續(xù)運(yùn)行保障進(jìn)行個(gè)性化預(yù)案編排和執(zhí)行流程配置。加強(qiáng)安全應(yīng)急預(yù)案的培訓(xùn)，提高防范意識及技能，每年應(yīng)至少組織1次預(yù)案培訓(xùn)。定期組織演練，檢驗(yàn)和完善預(yù)案，提高實(shí)戰(zhàn)能力，每年應(yīng)至少組織1次預(yù)案演練。應(yīng)急處置應(yīng)對安全事件開展應(yīng)急處置，按要求進(jìn)行事件上報(bào)、響應(yīng)和總結(jié)調(diào)查。政務(wù)云安全事件發(fā)生后，應(yīng)立即啟動(dòng)應(yīng)急預(yù)案，實(shí)施先期處置并及時(shí)報(bào)送信息。屬于較大、重大或特別重大安全事件的，應(yīng)當(dāng)于1小時(shí)內(nèi)進(jìn)行報(bào)告。應(yīng)按相關(guān)預(yù)案開展應(yīng)急處置工作，加強(qiáng)技術(shù)手段運(yùn)用，實(shí)現(xiàn)快速響應(yīng)，及時(shí)將事態(tài)發(fā)展變化情況及應(yīng)急處置結(jié)果上報(bào)。應(yīng)急結(jié)束后應(yīng)組織調(diào)查處理和總結(jié)評估，總結(jié)調(diào)查報(bào)告應(yīng)對事件的起因、性質(zhì)、影響、責(zé)任等進(jìn)行分析評估，提出處理意見和改進(jìn)措施。總結(jié)調(diào)查工作應(yīng)在應(yīng)急響應(yīng)結(jié)束后30天內(nèi)完成。安全協(xié)同縱向協(xié)同應(yīng)積極、主動(dòng)配合上級主管單位的安全管理工作，包括工作指揮、指令協(xié)同、安全檢查、考核評估等。應(yīng)依規(guī)及時(shí)、準(zhǔn)確向上級主管單位報(bào)告安全監(jiān)測數(shù)據(jù)。應(yīng)及時(shí)、全面向上級主管單位報(bào)告較大及以上級別安全事件。應(yīng)及時(shí)向下級單位發(fā)布風(fēng)險(xiǎn)預(yù)警，進(jìn)行日常通報(bào)，開展通報(bào)處置。針對潛在威脅事件，應(yīng)能向下級單位發(fā)布預(yù)警信息，預(yù)警發(fā)布內(nèi)容宜包括事件性質(zhì)、威脅方式、影響范圍、涉及對象、影響程度、防范對策等信息，同時(shí)對預(yù)警的接收狀態(tài)進(jìn)行跟蹤確認(rèn)，確保預(yù)警信息被及時(shí)接收確認(rèn)，達(dá)到主動(dòng)預(yù)警防范的效果。應(yīng)能持續(xù)獲取預(yù)警發(fā)布機(jī)構(gòu)的安全預(yù)警信息，按規(guī)定通報(bào)給相關(guān)人員和部門，分析、研判相關(guān)事件或威脅對政務(wù)云基礎(chǔ)設(shè)施可能造成損害的程度，必要時(shí)啟動(dòng)應(yīng)急預(yù)案。應(yīng)主動(dòng)采取措施對預(yù)警進(jìn)行協(xié)同響應(yīng)，當(dāng)安全隱患得以控制或消除時(shí)，執(zhí)行預(yù)警解除流程。應(yīng)能監(jiān)測發(fā)現(xiàn)安全隱患、事件，通報(bào)至對應(yīng)單位，推動(dòng)開展暴露面收斂、隱患排查等主動(dòng)防御工作，形成通報(bào)處置業(yè)務(wù)閉環(huán)。橫向協(xié)同應(yīng)落實(shí)安全監(jiān)管要求，與網(wǎng)信、公安等主管部門建立溝通工作機(jī)制，配合開展安全檢查工作。針對潛在威脅事件，應(yīng)能向同級相關(guān)單位發(fā)布預(yù)警信息。涉及跨區(qū)域安全事件時(shí)，應(yīng)能按需展開與同級單位的事件協(xié)查、分析研判、形成分析報(bào)告等。安全檢查整體要求應(yīng)制定安全檢查計(jì)劃，定期開展安全檢查工作，并能根據(jù)重大保障等時(shí)期的實(shí)際情況進(jìn)行調(diào)整。應(yīng)建立檢查事項(xiàng)庫，包括但不限于漏洞掃描、滲透測試、基線核查、代碼檢測、開源組件檢測、數(shù)據(jù)安全檢查、運(yùn)維安全檢查等。漏洞掃描應(yīng)檢查漏洞掃描工作開展情況，漏洞掃描的頻率、覆蓋范圍、漏洞發(fā)現(xiàn)、修復(fù)、報(bào)送情況等。漏洞掃描的頻率應(yīng)不低于每季度一次，范圍應(yīng)至少覆蓋政務(wù)云平臺(tái)、核心系統(tǒng)。滲透測試應(yīng)檢查滲透測試工作開展情況，滲透測試的頻率、覆蓋范圍、漏洞發(fā)現(xiàn)、修復(fù)、報(bào)送情況等。滲透測試的頻率應(yīng)不低于每半年一次，范圍應(yīng)至少覆蓋核心系統(tǒng)?；€核查應(yīng)檢查基線核查工作開展情況，基線核查的頻率、覆蓋范圍、配置缺陷發(fā)現(xiàn)及修復(fù)加固情況等?；€核查的頻率應(yīng)不低于每半年一次，范圍應(yīng)至少覆蓋政務(wù)云平臺(tái)、核心系統(tǒng)。代碼檢測應(yīng)檢查代碼檢測工作開展情況，代碼檢測的覆蓋范圍、源代碼缺陷檢出及整改情況等。政務(wù)關(guān)鍵信息系統(tǒng)上線及重大變更前應(yīng)進(jìn)行代碼檢測，范圍應(yīng)至少覆蓋核心系統(tǒng)。開源組件檢測應(yīng)檢查開源組件檢測工作開展情況，開源組件檢測的頻率、覆蓋范圍、開源組件漏洞檢出及整改、開源組件許可協(xié)議情況等。開源組件檢測的頻率應(yīng)不低于每年一次，范圍應(yīng)至少覆蓋核心系統(tǒng)。數(shù)據(jù)安全檢查應(yīng)檢查云上數(shù)據(jù)安全運(yùn)行工作開展情況，安全檢測的頻率、覆蓋范圍、檢出問題及整改情況等。云上數(shù)據(jù)安全檢查的頻率應(yīng)不低于每年一次，范圍應(yīng)至少覆蓋核心系統(tǒng)、數(shù)據(jù)庫及API接口。運(yùn)維安全檢查應(yīng)檢查運(yùn)維安全工作開展情況，運(yùn)維安全檢查頻率、覆蓋范圍、檢出及整改情況等。運(yùn)維安全包括但不限于機(jī)房環(huán)境、設(shè)備運(yùn)行狀態(tài)、設(shè)備維保期限、云平臺(tái)運(yùn)行狀態(tài)、云平臺(tái)資源管理、賬號使用情況、運(yùn)維人員管理、告警監(jiān)測分析與策略優(yōu)化等。運(yùn)維安全檢查的頻率應(yīng)不低于每季度一次，范圍應(yīng)至少覆蓋政務(wù)數(shù)據(jù)中心服務(wù)器、網(wǎng)絡(luò)設(shè)備及安全設(shè)備。供應(yīng)鏈安全供應(yīng)商要求應(yīng)調(diào)查政務(wù)云基礎(chǔ)設(shè)施供應(yīng)商及人員背景、保密協(xié)議簽訂、安全教育培訓(xùn)等情況。應(yīng)調(diào)查供應(yīng)商類型應(yīng)包括但不限于咨詢、設(shè)計(jì)、集成、運(yùn)維、測評、改進(jìn)等各環(huán)節(jié)供應(yīng)商。應(yīng)調(diào)查人員類型應(yīng)包括但不限于項(xiàng)目經(jīng)理、外派運(yùn)維人員、實(shí)施人員、監(jiān)理人員、開發(fā)人員、測評人員、設(shè)計(jì)人員等。應(yīng)調(diào)查保密協(xié)議簽訂情況，協(xié)議內(nèi)容應(yīng)包括但不限于安全責(zé)任、保密內(nèi)容、保密期限、獎(jiǎng)懲機(jī)制等。應(yīng)明確供應(yīng)商安全責(zé)任和義務(wù)，包括但不限于加強(qiáng)對提供產(chǎn)品的設(shè)計(jì)、研發(fā)、生產(chǎn)、交付等環(huán)節(jié)的安全管理，聲明不非法獲取用戶數(shù)據(jù)、不非法控制和操作用戶系統(tǒng)和設(shè)備，不利用用戶對產(chǎn)品的依賴性謀取不正當(dāng)利益或迫使用戶更新?lián)Q代、無正當(dāng)理由不中斷產(chǎn)品供應(yīng)或必要的技術(shù)支持服務(wù)等。應(yīng)對供應(yīng)商人員加強(qiáng)賬號權(quán)限管控、資源訪問控制管理及操作行為監(jiān)管。供應(yīng)商應(yīng)對涉及的運(yùn)維后門、特權(quán)賬號重置及其他特權(quán)管理技術(shù)進(jìn)行技術(shù)交底，并提供關(guān)閉方式。對于被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施的，應(yīng)加強(qiáng)如下要求。應(yīng)建立和維護(hù)合格供應(yīng)商目錄。應(yīng)選擇有保障的供應(yīng)商，防范出現(xiàn)因政治、外交、貿(mào)易等非技術(shù)因素導(dǎo)致產(chǎn)品和服務(wù)供應(yīng)中斷的風(fēng)險(xiǎn)。應(yīng)強(qiáng)化采購渠道管理，保持采購的產(chǎn)品和服務(wù)來源的穩(wěn)定或多樣性。供應(yīng)鏈要求應(yīng)開展軟件源代碼安全檢測、開源組件檢測、容器鏡像檢測等，或由供應(yīng)商提供第三方機(jī)構(gòu)出具的相應(yīng)檢測報(bào)告，并在正式上線前進(jìn)行漏洞檢查。采購和使用的產(chǎn)品和服務(wù)應(yīng)符合相關(guān)國家標(biāo)準(zhǔn)要求。使用的產(chǎn)品和服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)及時(shí)采取措施消除風(fēng)險(xiǎn)隱患,涉及重大風(fēng)險(xiǎn)的應(yīng)按規(guī)定向相關(guān)部門報(bào)告。應(yīng)參照《云計(jì)算服務(wù)安全評估辦法》要求，對政務(wù)云服務(wù)商開展安全評估的情況進(jìn)行監(jiān)督核查。對于被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施的，應(yīng)加強(qiáng)如下要求。采購網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄中的設(shè)備產(chǎn)品時(shí)，應(yīng)采購?fù)ㄟ^國家檢測認(rèn)證的設(shè)備和產(chǎn)品。采購、使用的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)通過國家網(wǎng)絡(luò)安全審查。應(yīng)要求網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者對網(wǎng)絡(luò)產(chǎn)品和服務(wù)研發(fā)、制造過程中涉及的實(shí)體擁有或控制的已知技術(shù)專利等知識產(chǎn)權(quán)獲得10年以上授權(quán)，或在網(wǎng)絡(luò)產(chǎn)品和服務(wù)使用期內(nèi)獲得持續(xù)授權(quán)。應(yīng)要求網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者提供中文版運(yùn)行維護(hù)、二次開發(fā)等技術(shù)資料。運(yùn)行效果評價(jià)云環(huán)境效果應(yīng)核查云基礎(chǔ)設(shè)施高危端口暴露、云平臺(tái)邊界違規(guī)外聯(lián)等云環(huán)境安全效果情況。應(yīng)核查政務(wù)云基礎(chǔ)設(shè)施高危端口暴露情況，按季度進(jìn)行匯總，并采取有效措施防范高危端口利用。應(yīng)核查政務(wù)云平臺(tái)邊界違規(guī)外聯(lián)情況，按季度進(jìn)行匯總，并采取有效措施阻斷違規(guī)外聯(lián)。漏洞效果應(yīng)核查年度周期內(nèi)政務(wù)云基礎(chǔ)設(shè)施中危及以上漏洞數(shù)量、及時(shí)修復(fù)率等，涉及影響業(yè)務(wù)安全運(yùn)行的漏洞應(yīng)立即采取補(bǔ)救措施。應(yīng)核查中危及以上漏洞發(fā)現(xiàn)數(shù)量等情況。應(yīng)核查中危及以上漏洞及時(shí)修復(fù)率，高危漏洞應(yīng)在3天內(nèi)完成修復(fù)，及時(shí)修復(fù)率不低于98%，中危漏洞應(yīng)在5天內(nèi)完成修復(fù)，及時(shí)修復(fù)率不低于95%，存在嚴(yán)重安全隱患且未按期修復(fù)時(shí)，政務(wù)云運(yùn)行管理機(jī)構(gòu)可關(guān)閉系統(tǒng)對外網(wǎng)絡(luò)策略，中止提供云資源服務(wù)。事件效果應(yīng)核查年度周期內(nèi)政務(wù)云基礎(chǔ)設(shè)施發(fā)生一般、較大、重大、特別重大及國家通報(bào)的安全事件的次數(shù)。應(yīng)核查發(fā)生特別重大安全事件的情況，扼制損害程度和影響范圍的擴(kuò)大，確保不發(fā)生特別重大安全事故。應(yīng)核查發(fā)生重大安全事件的情況，扼制損害程度和影響范圍的擴(kuò)大，確保不發(fā)生重大安全事故。應(yīng)核查發(fā)生較大安全事件的情況，扼制較大安全事件發(fā)生率，開展有效處置，防范事件升級。應(yīng)核查發(fā)生一般安全事件的情況，扼制一般安全事件發(fā)生率，開展有效處置，防范事件升級。應(yīng)核查國家通報(bào)的本地區(qū)高危隱患和安全事件情況，確保不發(fā)生安全事故。專項(xiàng)工作成效應(yīng)核查年度周期內(nèi)政務(wù)云基礎(chǔ)設(shè)施運(yùn)行管理單位開展攻防演習(xí)、安全檢查等專項(xiàng)工作情況。應(yīng)核查在省級政務(wù)云基礎(chǔ)設(shè)施安全攻防演練中所發(fā)現(xiàn)問題的整改修復(fù)情況。應(yīng)核查在各種省級安全檢查中的表現(xiàn)情況、政務(wù)云基礎(chǔ)設(shè)施的可用性情況。安全審計(jì)審計(jì)計(jì)劃應(yīng)建立常態(tài)化安全審計(jì)機(jī)制，審計(jì)工作開展頻率應(yīng)不低于每月1次，范圍至少應(yīng)覆蓋政務(wù)云平臺(tái)、云租戶。人員配置應(yīng)配備專職審計(jì)人員或采購安全審計(jì)服務(wù)。應(yīng)劃分審計(jì)管理員、系統(tǒng)管理員、安全管理員等獨(dú)立的運(yùn)維管理角色，僅審計(jì)管理員具備審計(jì)權(quán)限，僅系統(tǒng)管理員具備日常管理權(quán)限，僅安全管理員具備賬戶管理權(quán)限。開展情況應(yīng)建立統(tǒng)一的日志采集和存儲(chǔ)工具，確保日志審計(jì)記錄留存時(shí)間不低于6個(gè)月，應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等。應(yīng)對安全策略及安全制度進(jìn)行審查，對日志進(jìn)行審計(jì)分析，對運(yùn)維人員日常操作進(jìn)行監(jiān)督審計(jì)。應(yīng)對管理員賬號的敏感操作行為進(jìn)行審計(jì)，審計(jì)是否有對應(yīng)的管理審批記錄等，應(yīng)對特權(quán)賬號的使用情況進(jìn)行審計(jì)。應(yīng)對可能影響政務(wù)云基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行的重大變更進(jìn)行審計(jì)，審計(jì)是否符合流程規(guī)范要求，重大變更包括但不限于云配置變更、云數(shù)據(jù)庫高危操