DB36∕T 1099-2018 电子政务云平台安全规范

ICS35.240L64DB36江西省地方标准DB36/T1099—2018电子政务云平台安全规范SecurityspecificationsforE-governmentcloudplatform2018-12-29发布2019-07-01实施江西省市场监督管理局发布DB36/T1099—2018I目次前言..............................................................................II引言.............................................................................III1范围..............................................................................12规范性引用文件....................................................................13术语和定义........................................................................14缩略语............................................................................25业务区域划分......................................................................36安全技术要求......................................................................47政务云管理要求...................................................................12DB36/T1099—2018II前言本标准按照GB/T1.1—2009的规定编写。本标准由江西省发展和改革委员会提出并归口。本标准起草单位：江西省信息中心。本标准主要起草人：金俊平、杜军龙、刘浪、周剑涛、袁振武、罗文康、刘芳芳、张彤、宋子阳、胡坚勇、龚松、占晓华。DB36/T1099—2018III引言江西省电子政务云平台（简称电子政务云平台）是运用云计算技术，依托省电子政务外网统一网络平台构建，面向政务部门提供计算存储资源、支撑软件、信息资源和应用系统的高效、安全政务基础设施。用于承载各级政务部门开展公共服务、社会管理等电子政务业务信息系统和数据，及政务门户网站的云计算基础设施，可根据不同业务和需求提供IaaS、PaaS、SaaS服务。本规范是为了江西省各地区政务部门开展政务云服务提供安全和管理，提供技术标准和制度管理的依据DB36/T1099—20181电子政务云平台安全规范1范围本标准规定了电子政务云平台业务区域划分、安全技术要求和安全管理要求。本标准适用于电子政务云平台管理单位和资源使用单位，各设区市政务外网和政务云建设运维管理单位参照执行。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T20271信息安全技术信息系统通用安全技术要求GB/Z20986信息安全技术信息安全事件分类分级指南GB/T22239信息安全技术信息系统安全等级保护基本要求GB/T34080.1基于云计算的电子政务公共平台安全规范第1部分:总体要求GA/T1390.2信息安全技术网络安全等级保护基本要求DB36/T979电子政务外网安全接入平台技术规范GW0013政务云安全要求GW0202国家电子政务外网安全接入平台技术规范GW0205国家电子政务外网跨网数据安全交换技术要求与实施指南3术语和定义GB/T22239、GB/T20271、GB/Z20986、GB/T34080.1、GA/T1390.2、DB36/T979、GW0013、GW0202、GW0205确定的及下列术语和定义适应于本文件。3.1政务外网服务于各级党委、人大、政府、政协、法院和检察院等政务部门，满足其经济调节、市场监管、社会管理和公共服务等方面需要的政务公用网络。政务外网支持跨地区、跨部门的业务应用、信息共享和业务协同，以及不需在政务内网上运行的业务，与互联网逻辑隔离。3.2云服务客户方使用电子政务云平台开展电子政务业务和处理、存储数据的组织（或机构）及相关事业单位，包括单位内部业务使用人员及对云相关云资源和安全的管理人员。3.3DB36/T1099—20182云服务提供方为各级政务部门提供计算、存储、网络及安全等各类电子政务云平台资源和服务的提供商，负责执行云服务提供方业务运营和相关管理工作。3.4云管理平台为电子政务云平台提供资源管理和服务管理，能够对计算/存储/网络等基础设施资源（IaaS）、应用/开发/数据平台（PaaS）和软件架构整合服务（SaaS）进行管理。3.5云计算基础设施由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施。硬件资源包括所有的物理计算资源，即服务器（CPU、内存等）、存储组件（硬盘等）、网络组件（路由器、防火墙、交换机、网络链路和接口等）及其他物理计算基础元素。资源抽象控制组件对物理计算资源进行软件抽象，云服务提供方通过这些组件提供和管理对物理计算资源的访问。3.6虚拟专有云提供一个逻辑隔离的区域，搭建一个安全可靠、可自主定义的环境。在该区域中部署独立的服务资源，并根据业务需求定义虚拟环境，包括定义网络拓扑、创建子网、虚拟机存储资源和划分安全组等。3.7控制器包括虚拟化监视器、SDN控制器、存储虚拟化控制器和策略管理控制器等进行物理资源抽象管理的资源管理和策略管理系统。3.8跨网数据交换系统基于网络隔离技术的无协议数据同步系统，综合利用设备认证、数据格式检查、病毒检查等安全措施，实现两个不同网络业务区服务器之间数据同步。4缩略语IaaS基础设施即服务（InfrastructureasaService）PaaS平台即服务（PlatformasaService）SaaS软件即服务（SoftwareasaService）VM虚拟机（VirtualMachine）VPC虚拟专有云(VirtualPrivateCloud)MPLS多协议标签交换(Multi-ProtocolLabelSwitching)VPN虚拟专用网络（VirtualPrivateNetwork）DB36/T1099—20183SDN软件定义网络（SoftwareDefinedNetwork）API应用程序编程接口（ApplicationProgrammingInterface）NFV网络功能虚拟化（NetworkFunctionVirtualization）DNS域名系统（DomainNameSystem）SNMP简单网络管理协议（SimpleNetworkManagementProtocol）CA证书授权（CertificateAuthority）ISP互联网服务提供商（InternetServiceProvide）RTO恢复时间目标(RecoveryTimeObjective)RPO恢复点目标（RecoveryPointObjective）5业务区域划分5.1政务外网城域网政务外网城域网连接同级各政务部门，云服务客户方可通过城域网访问电子政务云平台内相关部门内部的信息系统和公共区信息系统。政务云业务区域划分见图1所示。互联网互联网认证、授权、网关管理等VPN网关集群SSL/IPSec安全接入平台城域网核心数据中心核心交换安全防护防火墙IPS/IDSWAF抗DDOS安全审计公共业务区部门业务区政务外网区存储资源池政务外网广域网运维管理区防火墙IPS/IDSWAF抗DDOS安全审计安全防护数据中心核心交换互联网业务区互联网区存储资源池互联网区政务外网区跨网数据隔离交换系统图1政务云业务区域划分图5.2安全接入平台DB36/T1099—20184政务用户在互联网或移动专线网络访问省电子政务云平台的部门业务和公共区业务必须通过安全接入平台接入，接入平台具备数字认证、授权管理、VPN接入、移动设备管理和移动应用管理等功能，为各类智能移动终端和远程办公用户提供可信的安全接入和实时的业务访问。5.3安全防护安全防护区对省电子政务云平台承载的门户网站和信息系统提供安全防护，其安全防护要求应按网络安全等级保护第三级的国家标准要求进行保护。5.4政务云5.4.1互联网业务区互联网业务区主要为公众和企业提供互联网门户网站服务和政务服务，由于门户网站群分属各不同的政务部门，其安全要求各有不同，对网站和信息系统应根据不同的安全级别进行分等级防护。5.4.2公共业务区公共业务区主要实现跨部门、跨地区的信息共享、数据交换及业务协同，提供政务部门内部的公共服务。禁止从互联网直接访问本区域的各信息系统和数据，与部门业务区逻辑隔离并应做好相应的访问控制，本区域部署的应用系统应结合自身实际情况按网络安全等级保护要求进行分级并实施保护。5.4.3部门业务区部门业务区主要承载各云服务客户方部署或迁移的信息系统，云服务客户方可按要求部署在不同的VPC，VPC之间采用VPN技术隔离，应根据信息系统的安全等级进行防护。可按云服务客户方对信息系统的安全要求分为二级信息系统等级保护区域和三级信息系统等级保护区域，若云服务客户方同时拥有二级业务和三级业务，应确保不同等级的信息系统采用访问控制策略。5.4.4存储资源池以存储块或分布式存储方式，将数据离散的存储在资源池中，并按要求可对相关重要数据进行加密存储，并将互联网区的业务和政务业务在计算资源及网络资源物理分开，如存储资源池共用，则需保证数据安全可控，对存储资源池进行统一管理和调度。5.4.5云资源管理区提供云资源管理和物理资源抽象，以及日常运维所必须的运维系统和认证管理系统。通过资源管理区实现对各类云资源的实时监控、管理、预警和应急处置，并对虚拟机迁移、资源弹性扩展、业务使用情况及运维操作人员进行实时监控和审计。6安全技术要求6.1总体要求6.1.1各类政务业务必须部署在物理设施独立的云计算平台上，不得依托公有云部署；6.1.2云计算基础设施按网络安全等级保护三级（或以上）要求建设和保护；6.1.3所有应用系统迁移或部署到电子政务云上前必须进行测试，并向云服务管理方出具第三方机构的测试报告备案；DB36/T1099—201856.1.4所有在电子政务云平台部署的应用系统必须在6个月内通过第三方测评机构组织的网络安全等级保护测评工作，并将测评报告复印件提交政务云服务管理方备案。6.2IaaS安全6.2.1物理平台安全环境安全、设备安全、介质安全、冗余备份及隔离等基本安全防护要求按照GB/T22239和GA/T1390.2执行。6.2.2边界安全6.2.2.1ISP边界安全，省电子政务云平台与ISP的边界安全防护由云服务提供方负责，满足网络安全等级保护第三级的防护标准，同时采取有效措施及基于行为和实时的监控手段，保证省电子政务云平台及承载信息系统的网络和数据安全。6.2.2.2专线边界安全，政务人员通过互联网或电信运营商的VPDN专线访问省电子政务云平台相关业务时，应使用省电子政务外网安全接入平台，安全接入平台按GW0202-2014和DB36/T979—2017建设，由云服务提供方负责维护和管理。6.2.2.3互联网边界安全，在与公众互联网运营商互通的接口部署流量清洗设备，抵御来自互联网的DDoS攻击、webshell攻击、木马病毒等各类恶意攻击。同时，外部和内部网络应提供冗余连接和带宽预留，进行流量控制和过滤。具有基于恶意行为攻击实时监控、未知威胁检测发现和安全态势感知能力。对跨境数据传输等异常情况进行拦截、告警并溯源，协