政务云安全能力要求.pdfVIP

政务云安全能力要求 1 范围 本文件规定了政务云安全能力要求，包括安全规划设计、安全保障要求和安全机制要求。 本文件适用于能够提供政务云安全规划及建设解决方案的服务商。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 5271.8—2001 信息技术 词汇 第8部分：安全 GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求 GB/T 31168—2014 信息安全技术 云计算服务安全能力要求 3 术语和定义 下列术语和定义适用于本文件。 3.1 政务云 government cloud 用于承载各级政务部门开展公共服务、社会管理的业务信息系统和数据，并满足跨部门业务系统、 数据共享和交换等的需要，提供IaaS、PaaS和SaaS服务的云计算服务。 3.2 安全审计 security audit 对数据处理系统记录与活动的独立的审查和检查，以测试系统控制的充分程度，确保符合已建立的 安全策略和操作过程，并对在控制、安全策略和过程中指示的变化提出建议。 [来源：GB/T 5271.8-2001,8.1.5] 4 缩略语 下列缩略语适用于本文件。 API：应用程序编程接口（Application Programming Interface） APT：高级持续性威胁（Advanced Persistent Threat） CVE：通用漏洞披露（Common Vulnerabilities Exposures） DDoS：分布式拒绝服务攻击（Distributed Denial of Service） 1 IaaS：基础设施即服务（Infrastructure as a Service） IDC：互联网数据中心（Internet Data Center） KMS：密钥管理服务（Key Management Service） NGFW：下一代防火墙（Next Generation Firewall） PaaS：平台即服务（Platform as a Service） RDP：远程桌面协议（Remote Desktop Protocol） SaaS：软件即服务（Software as a Service） SDK：软件开发工具包（ Software Development Kit ） SIEM：安全信息和事件管理（Security Information and Event Management） SoC：安全运营中心（Security Operations Center） SSH：安全外壳协议（Secure Shell） URL：统一资源定位系统（Uniform Resource Locator） VPC：虚拟私有云（Virtual Private Cloud） 5 政务云安全概述 5.1 安全角色 政务云安全服务指为各地政府建设政务云时提供相关安全能力，在政务云建设过程中，将会涉及政 府客户及安全服务商两类角色。 5.2 政务云安全框架 政务云安全能力要求从安全规划设计、安全保障要求和安全机制要求三个维度对政务云应具备的安 全能力进行规范。政务云安全框架见图1。 其中，安全规划设计提出政务云建设安全总体要求；安全保障要求从物理基础设施安全、主机安全、 网络安全、容器安全、业务支撑安全、数据安全、安全管理中心及安全服务等方面进行要求；安全机制 要求从安全管理制度、安全组织机制、安全人员管理、安全建设管理、安全运维管理等方面进行要求。 图1 政务云安全框架 6 安全规划设计 2 安全规划满足以下要求： ——应建立集中管理机制，具备数据和信息共享机制； ——应建设政务云平台