DB32T 5073.1-2025政務“一朵云”安全管理體系規(guī)范 第1部分：安全運行監(jiān)測

CCSL70江蘇省地方標準政務“一朵云”安全管理體系規(guī)范安全運行監(jiān)測Securitymanagementsystemspecificationforthe"cloud"ofgovernmentaffairs—Part1:Securityoperationmonitoring江蘇省市場監(jiān)督管理局中國標準出版社發(fā)布出版Ⅰ前言 Ⅲ引言 Ⅳ 2規(guī)范性引用文件 3術語和定義 4縮略語 5總體框架 6基本要求 7資產(chǎn)監(jiān)測 8可用性監(jiān)測 9風險監(jiān)測 10安全事件監(jiān)測 11重大保障與應急響應 12安全協(xié)同 13供應鏈安全 14安全檢查 15運行效果評價 16安全審計 17安全監(jiān)測管理 參考文獻 Ⅲ本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。本文件是DB32/T5073《政務“一朵云”安全管理體系規(guī)范》的第1部分。DB32/T5073已經(jīng)發(fā)布了以下部分：——第1部分：安全運行監(jiān)測；——第2部分：密碼應用技術要求；——第3部分：密碼應用安全性評估。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由江蘇省數(shù)據(jù)局提出并組織實施。本文件由江蘇省數(shù)據(jù)標準化技術委員會（JS/TC88）歸口。本文件起草單位：江蘇省大數(shù)據(jù)管理中心。俞黎斌。Ⅳ引言為加強統(tǒng)籌規(guī)劃，全面提升江蘇省政務云服務能力和安全運行水平，促進政務信息基礎設施建設可持續(xù)發(fā)展，根據(jù)《省政府關于加快統(tǒng)籌推進數(shù)字政府高質(zhì)量建設的實施意見》《江蘇省政務“一朵云”建設總體方案》的要求，建立健全江蘇省政務“一朵云”安全保障體系，提升安全防護能力，制定本文件。DB32/T5073《政務“一朵云”安全管理體系規(guī)范》分為以下3個部分：——第1部分：安全運行監(jiān)測；——第2部分：密碼應用技術要求；——第3部分：密碼應用安全性評估。1政務“一朵云”安全管理體系規(guī)范第1部分：安全運行監(jiān)測本文件規(guī)定了政務云安全運行監(jiān)測工作的總體框架、基本要求、資產(chǎn)監(jiān)測、可用性監(jiān)測、風險監(jiān)測、安全事件監(jiān)測等內(nèi)容。本文件適用于政務云管理機構和使用單位開展安全運行監(jiān)測工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T5271.8信息技術詞匯第8部分：安全GB/T22239信息安全技術信息系統(tǒng)安全等級保護基本要求GB/T25069信息安全技術術語GB/T29246信息安全技術信息安全管理體系概述和詞匯GB/T31168信息安全技術云計算服務安全能力要求GB/T37988信息安全技術數(shù)據(jù)安全能力成熟度模型GB/T39786信息安全技術信息系統(tǒng)密碼應用基本要求GB/T39204信息安全技術關鍵信息基礎設施安全保護要求3術語和定義GB/T25069—2022、GB/T5271.8、GB/T29246—2023界定的以及下列術語和定義適用于本文件。安全監(jiān)測securitymonitoring以信息安全事件為核心，通過對網(wǎng)絡和安全設備日志、系統(tǒng)運行數(shù)據(jù)等信息的實時采集，以關聯(lián)分析等方式，實現(xiàn)對監(jiān)測對象進行風險識別、威脅發(fā)現(xiàn)、安全事件實時報警及可視化展現(xiàn)的過程。安全審計securityaudit對信息系統(tǒng)記錄與活動進行獨立評審和考查的行為，以測試系統(tǒng)控制的充分程度，確保對于既定安全策略和運行規(guī)程的符合性，發(fā)現(xiàn)安全違規(guī)，并在控制、安全策略和過程等方面提出改進建議。供應鏈supplychain將多個資源和過程聯(lián)系在一起，并根據(jù)服務協(xié)議或其他采購協(xié)議建立連續(xù)供應關系的組織系列。2政務云e-governmentcloud運用云計算技術，統(tǒng)籌利用機房、計算、存儲、網(wǎng)絡、安全、應用支撐等軟硬件設備，發(fā)揮云計算虛擬化、高可靠性、通用性、高擴展性，以及快速、按需、彈性的服務等特征，為政務信息系統(tǒng)提供基礎設施、支撐軟件、運行保障和信息安全等的綜合服務平臺。資源、應用支撐等資源”，用“為政務信息系統(tǒng)提供基礎設施、支撐軟件、運行保障和信息安全等的綜合服務平臺”取代“為各政務部門構建提供基礎設施、支撐軟件、應用系統(tǒng)、信息資源、運行保障和信息安全等服務的電子政務綜合性服務平臺”。政務“一朵云”the"cloud"ofgovernmentaffairs在省級行政區(qū)域統(tǒng)一建設和部署的政務云（3.4依托電子政務外網(wǎng)和互聯(lián)網(wǎng)，運用云計算技術和智能化工具，為該區(qū)域各類電子政務的業(yè)務應用系統(tǒng)提供計算資源、存儲資源、服務支撐、安全保障等共性服務的新型信息基礎設施。4縮略語下列縮略語適用于本文件。API：應用程序編程接口（ApplicationProgrammingInterface）APT：高級持續(xù)性威脅（AdvancedPersistentThreat）DDoS：分布式拒絕服務（DistributedDenialofService）IP：網(wǎng)際互連協(xié)議（InternetProtocol）SLA：服務水平協(xié)議（ServiceLevelAgreement）5總體框架政務云安全運行監(jiān)測框架基于政務“一朵云”安全架構進行設計，如圖1所示?；疽蟀踩Ｗo基本能力要求運行監(jiān)測基本能力要求資產(chǎn)監(jiān)測運行效果評價云環(huán)境效果漏洞效果事件效果專項工作成效安全審計審計計劃人員配置開展情況風險監(jiān)測整體要求重保與應急重大保障應急響應安全協(xié)同資產(chǎn)監(jiān)測運行效果評價云環(huán)境效果漏洞效果事件效果專項工作成效安全審計審計計劃人員配置開展情況風險監(jiān)測整體要求重保與應急重大保障應急響應安全協(xié)同縱向協(xié)同橫向協(xié)同供應鏈安全供應商要求供應鏈要求安全檢查整體要求漏洞掃描滲透測試整體要求資產(chǎn)類型整體要求資產(chǎn)類型可用性檢測云平臺云入口網(wǎng)絡弱口令惡意程序事件高危漏洞網(wǎng)絡攻擊事件高危端口基線核查安全基線數(shù)據(jù)安全事件安全基線代碼檢測過程性惡意行為信息內(nèi)容安全事件異常行為數(shù)據(jù)高危操作其他未知風險開源組件監(jiān)測異常行為數(shù)據(jù)高危操作其他未知風險云內(nèi)虛擬網(wǎng)絡異常事件設備設施故障事件關鍵應用核心數(shù)據(jù)庫數(shù)據(jù)安全檢查異常事件設備設施故障事件關鍵應用核心數(shù)據(jù)庫運維安全檢查安全預算管理安全合規(guī)管理安全管理組織安全人員管理安全管理安全預算管理安全合規(guī)管理安全管理組織安全人員管理安全管理制度圖1政務云安全運行監(jiān)測框架36基本要求6.1安全保護基本能力要求應按照GB/T22239、GB/T31168等相關要求建設安全保護基本能力，包括：a）政務云運行管理機構負責政務云平臺安全建設、運行及管理，開展政務云基礎設施安全保護工作，構建技術、管理、運維等方面的安全能力體系，為安全運行監(jiān)測工作開展提供基礎能力支撐；b）政務云使用單位負責本單位云上信息系統(tǒng)和數(shù)據(jù)的安全建設、運維、管理。6.1.2技術要求技術要求包括：a）政務云運行管理機構應建設政務云平臺邊界訪問控制、云內(nèi)訪問控制、邊界入侵防范、云內(nèi)入侵防范、惡意代碼防范、安全審計、身份鑒別、鏡像和快照保護、數(shù)據(jù)加密、數(shù)據(jù)備份與恢復等安全防護能力；b）政務云使用單位應充分利用政務云安全能力，按照相應網(wǎng)絡安全等級保護級別的安全要求構建本單位云上信息系統(tǒng)安全防護體系。6.1.3管理要求管理要求包括：a）政務云運行管理機構應建立政務云基礎設施管理制度、操作規(guī)程，形成由方針策略、管理制度、操作規(guī)程、記錄表單等構成的安全管理制度體系。應設置指導管理安全工作的機構，設立安全崗位，明確崗位職責和能力要求，配備安全人員，建立并實施安全考核及監(jiān)督問責機制；b）政務云使用單位應落實本單位云上信息系統(tǒng)安全主體責任，指定系統(tǒng)安全負責人，報政務云運行管理機構備案。6.1.4運維要求運維要求包括：a）政務云運行管理機構應開展政務云基礎設施安全運維工作，包括但不限于資產(chǎn)管理、介質(zhì)管理、設備維護管理、漏洞和風險管理、網(wǎng)絡和系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置管理、應急預案管理、外包運維服務商管理等；b）政務云使用單位應開展本單位云上信息系統(tǒng)安全運維工作，包括但不限于資產(chǎn)管理、介質(zhì)管理、設備維護管理、漏洞和風險管理、網(wǎng)絡和系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置管理、應急預案管理、外包運維服務商管理等。6.2運行監(jiān)測基本能力要求6.2.1政務云運行管理機構應圍繞人員、工具、流程等開展運行監(jiān)測，配備專職人員，構建平臺工具，制定業(yè)務流程，建立主動防御機制，按要求開展資產(chǎn)監(jiān)測、風險監(jiān)測、可用性監(jiān)測、安全事件監(jiān)測、重保與應46.2.2政務云使用單位應按照相應網(wǎng)絡安全等級保護級別的安全要求，開展本單位云上信息系統(tǒng)安全運行監(jiān)測工作，包括但不限于資產(chǎn)監(jiān)測、風險監(jiān)測、可用性監(jiān)測、安全事件監(jiān)測、重保與應急、安全協(xié)同、安全檢查、供應鏈安全、運行效果評價、安全審計、安全管理等工作。7資產(chǎn)監(jiān)測7.1.1監(jiān)測范圍應覆蓋政務云平臺、云邊界、網(wǎng)絡出入口、云上信息系統(tǒng)等。7.1.2應及時發(fā)現(xiàn)資產(chǎn)的上線、下線等變更情況，在72h內(nèi)完成資產(chǎn)清單更新。7.1.3應對多種來源的資產(chǎn)數(shù)據(jù)進行統(tǒng)一融合匯總，快速進行資產(chǎn)維度的風險評估、可視化展示、報表輸出，挖掘資產(chǎn)安全問題。7.1.4應基于資產(chǎn)標識信息，及時通過資產(chǎn)和漏洞情報數(shù)據(jù)碰撞分析，快速評估漏洞影響資產(chǎn)范圍。7.2資產(chǎn)類型應能發(fā)現(xiàn)的資產(chǎn)類型，包括但不限于以下部分：b）政務云邊界資產(chǎn)，包括網(wǎng)絡設備、通信設備、網(wǎng)絡安全設備等；c）政務云接入終端資產(chǎn)；d）政務云使用單位云上信息系統(tǒng)資產(chǎn)，包括云主機、云網(wǎng)絡、中間件、數(shù)據(jù)庫、API接口等。8可用性監(jiān)測8.1政務云平臺8.1.1政務云平臺應具備有效的容災備份機制，包括但不限于主備容災、雙活容災、多DC容災等。8.1.2應監(jiān)測政務云平臺物理層和虛擬化層的資源可用性，對象包括但不限于計算處理能力、內(nèi)存處理能力、硬盤處理能力等，使用率應不超過75%，同時應監(jiān)測虛擬化軟件的可用性。8.1.3應監(jiān)測政務云平臺的可用性，建立政務云平臺SLA，關鍵節(jié)點全年可用率（全年可用時長/全年總時長）不低于99.99%。8.2政務云出入口網(wǎng)絡8.2.1政務云出入口網(wǎng)絡包括政務外網(wǎng)出入口、互聯(lián)網(wǎng)出入口等，應具備有效的線路及核心設備冗余機制。8.2.2應監(jiān)測政務云出入口網(wǎng)絡的可用性，建立政務云出入口網(wǎng)絡SLA，全年可用率（全年可用時長/全年總時長）不低于99.99%。8.3政務云內(nèi)網(wǎng)絡8.3.1政務云內(nèi)網(wǎng)絡應具備有效的核心設備及組件冗余機制。8.3.2應監(jiān)測政務云內(nèi)網(wǎng)絡的可用性，應建立政務云內(nèi)網(wǎng)絡SLA，全年可用率（全年可用時長/全年總時長）不低于99.99%。59風險監(jiān)測9.1整體要求應監(jiān)測政務云平臺及云上信息系統(tǒng)的主要安全風險，包括但不限于弱口令、漏洞、高危端口、安全基線過低、過程性惡意行為、異常行為、數(shù)據(jù)高危操作、其他未知風險等，應在24h內(nèi)發(fā)現(xiàn)存在的隱患。9.2弱口令識別應檢測賬號弱口令，包括但不限于內(nèi)置規(guī)則、密碼字典攻擊、人工智能等檢測方式。9.3漏洞監(jiān)測9.4高危端口監(jiān)測應探測高危端口對外暴露情況，包括但不限于數(shù)據(jù)庫端口、遠程桌面端口、FTP服務端口等。9.5安全基線監(jiān)測應探測不合規(guī)基線及錯誤配置，包括但不限于身份訪問控制、安全審計等方面。9.6過程性惡意行為監(jiān)測應發(fā)現(xiàn)過程性惡意行為，包括但不限于掃描探測、隱患利用、域名仿冒、釣魚郵件、暴力破解等。9.7異常行為監(jiān)測應發(fā)現(xiàn)異常行為，包括但不限于高頻登錄嘗試、異常時間登錄等。9.8數(shù)據(jù)高危操作監(jiān)測應識別數(shù)據(jù)高危操作行為，包括但不限于違規(guī)外聯(lián)、文件導出下載、非授信IP數(shù)據(jù)庫繞行、超級管理員賬號遠程登陸、API未授權訪問、數(shù)據(jù)庫導出、數(shù)據(jù)庫高危操作等。9.9其他未知風險監(jiān)測應基于威脅情報，識別未知風險，包括但不限于APT攻擊、勒索病毒等。9.10政務關鍵應用9.10.1政務關鍵應用應具備有效的容災備份機制。9.10.2按要求對政務關鍵應用開展壓力測試，基于測試結果優(yōu)化資源分配。9.10.3應監(jiān)測政務關鍵應用的可用性，應建立政務關鍵應用SLA，全年可用率（全年可用時長/全年總時長）不低于99.99%。9.11政務核心數(shù)據(jù)庫9.11.1核心數(shù)據(jù)庫應具備有效的容災備份機制，包括但不限于主備容災、雙活容災、多DC容災等。69.11.2應監(jiān)測核心數(shù)據(jù)庫的可用性，應建立政務核心數(shù)據(jù)庫SLA，全年可用率（全年可用時長/全年總時長）不低于99.99%。10安全事件監(jiān)測應通過流量解析、日志分析等技術手段對政務云平臺及云上信息系統(tǒng)進行7×24h安全事件監(jiān)測，及時發(fā)現(xiàn)安全事件。10.2惡意程序事件應發(fā)現(xiàn)惡意程序事件，包括但不限于計算機病毒、網(wǎng)絡蠕蟲、特洛伊木馬、僵尸網(wǎng)絡、網(wǎng)頁內(nèi)嵌惡意代10.3網(wǎng)絡攻擊事件APT攻擊等。10.4數(shù)據(jù)安全事件應發(fā)現(xiàn)數(shù)據(jù)安全事件，包括但不限于數(shù)據(jù)篡改、數(shù)據(jù)泄露、數(shù)據(jù)竊取、隱私侵犯等。10.5信息內(nèi)容安全事件應發(fā)現(xiàn)內(nèi)容安全事件，包括但不限于反動宣傳、暴恐宣傳、色情傳播等。10.6異常事件應發(fā)現(xiàn)異常事件，包括但不限于訪問異常、流量異常、高風險操作等。10.7設備設施故障事件應發(fā)現(xiàn)設備設施故障事件，包括但不限于云平臺硬件故障、軟件故障、過載等。11重大保障與應急響應11.1.1在春節(jié)、國慶等重要活動、會議期間，應設立專門負責加強安全響應的保障組織，開展專項活動，制定工作規(guī)范，確保政務云基礎設施安全運行。11.1.2應將重大保障活動劃分為準備階段、實戰(zhàn)階段、總結階段等環(huán)節(jié)，在各環(huán)節(jié)落實檢查自查，及時通報預警安全隱患，處置安全事件，管理監(jiān)測過程結果數(shù)據(jù)，落實報告管理、信息共享、輿情報送等工作。11.1.3應基于可視化態(tài)勢大屏等工具平臺開展專項安全監(jiān)測和分析研判，及時預警可能造成重大影響的風險和隱患，重點部門、重點崗位保持24h值班，及時發(fā)現(xiàn)和處置安全事件隱患。11.1.4應在重大保障期間組織協(xié)同技術支撐單位、政務云基礎設施服務商、安全專家等，提升重大活動整體安全保障能力。711.2應急響應應明確應急管理組織、職責和工作機制等，包括：a）應落實安全應急工作責任制，明確安全事件應急領導機構與職責，辦事機構與職責，各單位部門職責，將責任落實到具體部門、崗位和個人；b）應建立健全應急工作機制，制定安全應急管理規(guī)范，明確安全事件的預防、監(jiān)測、報告和應急處置等的工作流程。應制定應急預案并開展預案培訓與演練，包括：a）應制定并管理安全突發(fā)事件處置場景預案，圍繞政務云關鍵業(yè)務的可持續(xù)運行保障進行個性化預案編排和執(zhí)行流程配置；b）加強安全應急預案的培訓，提高防范意識及技能，每年應至少組織1次預案培訓；c）定期組織演練，檢驗和完善預案，提高實戰(zhàn)能力，每年應至少組織1次預案演練。應對安全事件開展應急處置，按要求進行事件上報、響應和總結調(diào)查，包括：a）政務云安全事件發(fā)生后，應立即啟動應急預案，實施先期處置并及時報送信息，屬于較大、重大或特別重大安全事件的，應當于1h內(nèi)進行報告。b）應按相關預案開展應急處置工作，加強技術手段運用，實現(xiàn)快速響應，及時將事態(tài)發(fā)展變化情況及應急處置結果上報。c）應急結束后應組織調(diào)查處理和總結評估，總結調(diào)查報告應對事件的起因、性質(zhì)、影響、責任等進行分析評估，提出處理意見和改進措施。總結調(diào)查工作應在應急響應結束后30d內(nèi)完成。12安全協(xié)同12.1.1應積極、主動配合上級主管單位的安全管理工作，包括工作指揮、指令協(xié)同、安全檢查、考核評估等。12.1.2應及時、準確向上級主管單位報告安全監(jiān)測數(shù)據(jù)。12.1.3應及時、全面向上級主管單位報告較大及以上級別安全事件。12.1.4應及時向下級單位發(fā)布風險預警，進行日常通報，開展通報處置，包括：a）針對潛在威脅事件，應向下級單位發(fā)布預警信息，預警發(fā)布內(nèi)容宜包括事件性質(zhì)、威脅方式、影響范圍、涉及對象、影響程度、防范對策等信息，同時對預警的接收狀態(tài)進行跟蹤確認，確保預警信息被及時接收確認，達到主動預警防范的效果；b）應持續(xù)獲取預警發(fā)布機構的安全預警信息，按規(guī)定通報給相關人員和部門，分析、研判相關事件或威脅對政務云基礎設施可能造成損害的程度，必要時啟動應急預案；c）應主動采取措施對預警進行協(xié)同響應，當安全隱患得以控制或消除時，執(zhí)行預警解除流程；d）應監(jiān)測發(fā)現(xiàn)安全隱患、事件，通報至對應單位，推動開展暴露面收斂、隱患排查等主動防御工作，形成通報處置業(yè)務閉環(huán)。812.2.1應落實安全監(jiān)管要求，與網(wǎng)信、公安等主管部門建立溝通工作機制，配合開展安全檢查工作。12.2.2針對潛在威脅事件，應向同級相關單位發(fā)布預警信息。12.2.3涉及跨區(qū)域安全事件時，應按需展開與同級單位的事件協(xié)查、分析研判、形成分析報告等。13供應鏈安全13.1供應商要求13.1.1應調(diào)查政務云基礎設施供應商及人員背景、保密協(xié)議簽訂、安全教育培訓等情況，包括：a）應調(diào)查供應商類型應包括但不限于咨詢、設計、集成、運維、測評、改進等各環(huán)節(jié)供應商；b）應調(diào)查人員類型應包括但不限于項目經(jīng)理、外派運維人員、實施人員、監(jiān)理人員、開發(fā)人員、測評人員、設計人員等；c）應調(diào)查保密協(xié)議簽訂情況，協(xié)議內(nèi)容應包括但不限于安全責任、保密內(nèi)容、保密期限、獎懲機制等。13.1.2應明確供應商安全責任和義務，包括但不限于加強對提供產(chǎn)品的設計、研發(fā)、生產(chǎn)、交付等環(huán)節(jié)的安全管理，聲明不非法獲取用戶數(shù)據(jù)、不非法控制和操作用戶系統(tǒng)和設備，不利用用戶對產(chǎn)品的依賴性謀取不正當利益或迫使用戶更新?lián)Q代、無正當理由不中斷產(chǎn)品供應或必要的技術支持服務等。13.1.3應對供應商人員加強賬號權限管控、資源訪問控制管理及操作行為監(jiān)管。13.1.4供應商應對涉及的運維后門、特權賬號重置及其他特權管理技術進行技術交底，并提供關閉方式。13.1.5對于被認定為關鍵信息基礎設施的，應加強如下要求：a）應建立和維護合格供應商目錄。應選擇有保障的供應商，防范出現(xiàn)因政治、外交、貿(mào)易等非技術因素導致產(chǎn)品和服務供應中斷的風險；b）應強化采購渠道管理，保持采購的產(chǎn)品和服務來源的穩(wěn)定或多樣性。13.2供應鏈要求13.2.1應開展軟件源代碼安全檢測、開源組件檢測、容器鏡像檢測等，或由供應商提供第三方機構出具的相應檢測報告，并在正式上線前進行漏洞檢查。13.2.2采購和使用的產(chǎn)品和服務應符合國家相關標準要求。13.2.3使用的產(chǎn)品和服務存在安全缺陷、漏洞等風險時，應及時采取措施消除風險隱患，涉及重大風險的應按規(guī)定向相關部門報告。13.2.4按照《云計算服務安全評估辦法》要求，對政務云服務商開展安全評估的情況進行監(jiān)督核查。13.2.5對于被認定為關鍵信息基礎設施的，應加強如下要求：a）采購網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄中的設備產(chǎn)品時，應采購通過國家檢測認證的設備和產(chǎn)品；b）采購、使用的網(wǎng)絡產(chǎn)品和服務，可能影響國家安全的，應通過國家網(wǎng)絡安全審查；c）應要求網(wǎng)絡產(chǎn)品和服務的提供者對網(wǎng)絡產(chǎn)品和服務研發(fā)、制造過程中涉及的實體擁有或控制的已知技術專利等知識產(chǎn)權獲得10年以上授權，或在網(wǎng)絡產(chǎn)品和服務使用期內(nèi)獲得持續(xù)授權；d）應要求網(wǎng)絡產(chǎn)品和服務的提供者提供中文版運行維護、二次開發(fā)等技術資料。914安全檢查調(diào)整。14.1.2應建立檢查事項庫，包括但不限于漏洞掃描、滲透測試、基線核查、代碼檢測、開源組件檢測、數(shù)據(jù)安全檢查、運維安全檢查等。14.2.1應檢查漏洞掃描工作開展情況，漏洞掃描的頻率、覆蓋范圍、漏洞發(fā)現(xiàn)、修復、報送情況等。14.2.2漏洞掃描的頻率應不低于每季度一次，范圍應至少覆蓋政務云平臺、核心系統(tǒng)，執(zhí)行時應不影響信息系統(tǒng)正常運行。14.3.1應檢查滲透測試工作開展情況，滲透測試的頻率、覆蓋范圍、漏洞發(fā)現(xiàn)、修復、報送情況等。14.3.2滲透測試的頻率應不低于每半年一次，范圍應至少覆蓋核心系統(tǒng)，執(zhí)行時應不影響信息系統(tǒng)正常運行。14.4.1應檢查基線核查工作開展情況，基線核查的頻率、覆蓋范圍、配置缺陷發(fā)現(xiàn)及修復加固情況等。14.4.2基線核查的頻率應不低于每半年一次，范圍應至少覆蓋政務云平臺、核心系統(tǒng)。14.5.1應檢查代碼檢測工作開展情況，代碼檢測的覆蓋范圍、源代碼缺陷檢出及整改情況等。14.5.2政務關鍵信息系統(tǒng)上線及重大變更前應進行代碼檢測，范圍應至少覆蓋核心系統(tǒng)。14.6開源組件檢測14.6.1應檢查開源組件檢測工作開展情況，開源組件檢測的頻率、覆蓋范圍、開源組件漏洞檢出及整改、開源組件許可協(xié)議情況等。14.6.2開源組件檢測的頻率應不低于每年一次，范圍應至少覆蓋核心系統(tǒng)。14.7數(shù)據(jù)安全檢查況等。14.7.2云上數(shù)據(jù)安全檢查的頻率應不低于每年一次，范圍應至少覆蓋核心系統(tǒng)、數(shù)據(jù)庫及API接口。14.8運維安全檢查14.8.1應檢查運維安全工作開展情況，運維安全檢查頻率、覆蓋范圍、檢出及整改情況等。運維安全包括但不限于機房環(huán)境、設備運行狀態(tài)、設備維保期限、云平臺運行狀態(tài)、云平臺資源管理、賬號使用情況、運維人員管理、告警監(jiān)測分析與策略優(yōu)化等。14.8.2運維安全檢查的頻率應不低于每季度一次，范圍應至少覆蓋政務數(shù)據(jù)中心服務器、網(wǎng)絡設備及安全設備和信息系統(tǒng)檢出問題整改情況。15運行效果評價15.1云環(huán)境效果應核查云基礎設施高危端口暴露、云平臺邊界違規(guī)外聯(lián)等云環(huán)境安全效果情況，包括：a）應核查政務云基礎設施高危端口暴露情況，按季度進行匯總，并采取有效措施防范高危端口利用；b）應核查政務云平臺邊界違規(guī)外聯(lián)情況，按季度進行匯總，并采取有效措施阻斷違規(guī)外聯(lián)；15.2漏洞效果應核查年度周期內(nèi)政務云基礎設施中危及以上漏洞數(shù)量、及時修復率等，涉及影響業(yè)務安全運行的漏洞應立即采取補救措施，包括：a）應核查中危及以上漏洞發(fā)現(xiàn)數(shù)量等情況；b）應核查中危及以上漏洞及時修復率，高危漏洞應在3d內(nèi)完成修復，及時修復率不低于98%，中危漏洞應在5d內(nèi)完成修復，及時修復率不低于95%，存在嚴重安全隱患且未按期修復時，政務云運行管理機構關閉系統(tǒng)對外網(wǎng)絡策略，中止提供云資源服務。15.3事件效果應核查年度周期內(nèi)政務云基礎設施發(fā)生一般、較大、重大、特別重大及國家通報的安全事件的次數(shù)：a）應核查發(fā)生特別重大安全事件的情況，扼制損害程度和影響范圍的擴大，確保不發(fā)生特別重大安全事故；b）應核查發(fā)生重大安全事件的情況，扼制損害程度和影響范圍的擴大，確保不發(fā)生重大安全事故；c）應核查發(fā)生較大安全事件的情況，扼制較大安全事件發(fā)生率，開展有效處置，防范事件升級；d）應核查發(fā)生一般安全事件的情況，扼制一般安全事件發(fā)生率，開展有效處置，防范事件升級；e）應核查國家通報的本地區(qū)高危隱患和安全事件情況，確保不發(fā)生安全事故。15.4專項工作成效應核查年度周期內(nèi)政務云基礎設施運行管理單位開展攻防演習、安全檢查等專項工作情況。a）應核查在政務云基礎設施安全攻防演練中所發(fā)現(xiàn)問題的整改修復情況；b）應核查在各種政務云安全檢查中的表現(xiàn)情況、政務云基礎設施的可用性情況。16安全審計應建立常態(tài)化安全審計機制，審計工作開展頻率應不低于每月1次，范圍至少應覆蓋政務云平臺、云上信息系統(tǒng)。16.2人員配置16.2.1應配備專職審計人員或采購安全審計服務。16.2.2應劃分審計管理員、系統(tǒng)管理員、安全管理員等獨立的運維管理角色，僅審計管理員具備審計權限，僅系統(tǒng)管理員具備日常管理權限，僅安全管理員具備賬戶管理權限。16.3開展情況16.3.1應建立統(tǒng)一的日志采集和存儲工具，確保日志審計記錄留存時間不低于6個月，應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。審計。16.3.3應對管理員賬號的敏感操作行為進行審計，審計是否有對應的管理審批記錄等，應對特權賬號的使用情況進行審計。16.3.4應對可