DB32T 5073.1-2025政務(wù)“一朵云”安全管理體系規(guī)范 第1部分：安全運(yùn)行監(jiān)測(cè)

CCSL70江蘇省地方標(biāo)準(zhǔn)政務(wù)“一朵云”安全管理體系規(guī)范安全運(yùn)行監(jiān)測(cè)Securitymanagementsystemspecificationforthe"cloud"ofgovernmentaffairs—Part1:Securityoperationmonitoring江蘇省市場(chǎng)監(jiān)督管理局中國標(biāo)準(zhǔn)出版社發(fā)布出版Ⅰ前言 Ⅲ引言 Ⅳ 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 5總體框架 6基本要求 7資產(chǎn)監(jiān)測(cè) 8可用性監(jiān)測(cè) 9風(fēng)險(xiǎn)監(jiān)測(cè) 10安全事件監(jiān)測(cè) 11重大保障與應(yīng)急響應(yīng) 12安全協(xié)同 13供應(yīng)鏈安全 14安全檢查 15運(yùn)行效果評(píng)價(jià) 16安全審計(jì) 17安全監(jiān)測(cè)管理 參考文獻(xiàn) Ⅲ本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件是DB32/T5073《政務(wù)“一朵云”安全管理體系規(guī)范》的第1部分。DB32/T5073已經(jīng)發(fā)布了以下部分：——第1部分：安全運(yùn)行監(jiān)測(cè)；——第2部分：密碼應(yīng)用技術(shù)要求；——第3部分：密碼應(yīng)用安全性評(píng)估。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由江蘇省數(shù)據(jù)局提出并組織實(shí)施。本文件由江蘇省數(shù)據(jù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)（JS/TC88）歸口。本文件起草單位：江蘇省大數(shù)據(jù)管理中心。俞黎斌。Ⅳ引言為加強(qiáng)統(tǒng)籌規(guī)劃，全面提升江蘇省政務(wù)云服務(wù)能力和安全運(yùn)行水平，促進(jìn)政務(wù)信息基礎(chǔ)設(shè)施建設(shè)可持續(xù)發(fā)展，根據(jù)《省政府關(guān)于加快統(tǒng)籌推進(jìn)數(shù)字政府高質(zhì)量建設(shè)的實(shí)施意見》《江蘇省政務(wù)“一朵云”建設(shè)總體方案》的要求，建立健全江蘇省政務(wù)“一朵云”安全保障體系，提升安全防護(hù)能力，制定本文件。DB32/T5073《政務(wù)“一朵云”安全管理體系規(guī)范》分為以下3個(gè)部分：——第1部分：安全運(yùn)行監(jiān)測(cè)；——第2部分：密碼應(yīng)用技術(shù)要求；——第3部分：密碼應(yīng)用安全性評(píng)估。1政務(wù)“一朵云”安全管理體系規(guī)范第1部分：安全運(yùn)行監(jiān)測(cè)本文件規(guī)定了政務(wù)云安全運(yùn)行監(jiān)測(cè)工作的總體框架、基本要求、資產(chǎn)監(jiān)測(cè)、可用性監(jiān)測(cè)、風(fēng)險(xiǎn)監(jiān)測(cè)、安全事件監(jiān)測(cè)等內(nèi)容。本文件適用于政務(wù)云管理機(jī)構(gòu)和使用單位開展安全運(yùn)行監(jiān)測(cè)工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T5271.8信息技術(shù)詞匯第8部分：安全GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T25069信息安全技術(shù)術(shù)語GB/T29246信息安全技術(shù)信息安全管理體系概述和詞匯GB/T31168信息安全技術(shù)云計(jì)算服務(wù)安全能力要求GB/T37988信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB/T39786信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求GB/T39204信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求3術(shù)語和定義GB/T25069—2022、GB/T5271.8、GB/T29246—2023界定的以及下列術(shù)語和定義適用于本文件。安全監(jiān)測(cè)securitymonitoring以信息安全事件為核心，通過對(duì)網(wǎng)絡(luò)和安全設(shè)備日志、系統(tǒng)運(yùn)行數(shù)據(jù)等信息的實(shí)時(shí)采集，以關(guān)聯(lián)分析等方式，實(shí)現(xiàn)對(duì)監(jiān)測(cè)對(duì)象進(jìn)行風(fēng)險(xiǎn)識(shí)別、威脅發(fā)現(xiàn)、安全事件實(shí)時(shí)報(bào)警及可視化展現(xiàn)的過程。安全審計(jì)securityaudit對(duì)信息系統(tǒng)記錄與活動(dòng)進(jìn)行獨(dú)立評(píng)審和考查的行為，以測(cè)試系統(tǒng)控制的充分程度，確保對(duì)于既定安全策略和運(yùn)行規(guī)程的符合性，發(fā)現(xiàn)安全違規(guī)，并在控制、安全策略和過程等方面提出改進(jìn)建議。供應(yīng)鏈supplychain將多個(gè)資源和過程聯(lián)系在一起，并根據(jù)服務(wù)協(xié)議或其他采購協(xié)議建立連續(xù)供應(yīng)關(guān)系的組織系列。2政務(wù)云e-governmentcloud運(yùn)用云計(jì)算技術(shù)，統(tǒng)籌利用機(jī)房、計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、安全、應(yīng)用支撐等軟硬件設(shè)備，發(fā)揮云計(jì)算虛擬化、高可靠性、通用性、高擴(kuò)展性，以及快速、按需、彈性的服務(wù)等特征，為政務(wù)信息系統(tǒng)提供基礎(chǔ)設(shè)施、支撐軟件、運(yùn)行保障和信息安全等的綜合服務(wù)平臺(tái)。資源、應(yīng)用支撐等資源”，用“為政務(wù)信息系統(tǒng)提供基礎(chǔ)設(shè)施、支撐軟件、運(yùn)行保障和信息安全等的綜合服務(wù)平臺(tái)”取代“為各政務(wù)部門構(gòu)建提供基礎(chǔ)設(shè)施、支撐軟件、應(yīng)用系統(tǒng)、信息資源、運(yùn)行保障和信息安全等服務(wù)的電子政務(wù)綜合性服務(wù)平臺(tái)”。政務(wù)“一朵云”the"cloud"ofgovernmentaffairs在省級(jí)行政區(qū)域統(tǒng)一建設(shè)和部署的政務(wù)云（3.4依托電子政務(wù)外網(wǎng)和互聯(lián)網(wǎng)，運(yùn)用云計(jì)算技術(shù)和智能化工具，為該區(qū)域各類電子政務(wù)的業(yè)務(wù)應(yīng)用系統(tǒng)提供計(jì)算資源、存儲(chǔ)資源、服務(wù)支撐、安全保障等共性服務(wù)的新型信息基礎(chǔ)設(shè)施。4縮略語下列縮略語適用于本文件。API：應(yīng)用程序編程接口（ApplicationProgrammingInterface）APT：高級(jí)持續(xù)性威脅（AdvancedPersistentThreat）DDoS：分布式拒絕服務(wù)（DistributedDenialofService）IP：網(wǎng)際互連協(xié)議（InternetProtocol）SLA：服務(wù)水平協(xié)議（ServiceLevelAgreement）5總體框架政務(wù)云安全運(yùn)行監(jiān)測(cè)框架基于政務(wù)“一朵云”安全架構(gòu)進(jìn)行設(shè)計(jì)，如圖1所示?；疽蟀踩Ｗo(hù)基本能力要求運(yùn)行監(jiān)測(cè)基本能力要求資產(chǎn)監(jiān)測(cè)運(yùn)行效果評(píng)價(jià)云環(huán)境效果漏洞效果事件效果專項(xiàng)工作成效安全審計(jì)審計(jì)計(jì)劃人員配置開展情況風(fēng)險(xiǎn)監(jiān)測(cè)整體要求重保與應(yīng)急重大保障應(yīng)急響應(yīng)安全協(xié)同資產(chǎn)監(jiān)測(cè)運(yùn)行效果評(píng)價(jià)云環(huán)境效果漏洞效果事件效果專項(xiàng)工作成效安全審計(jì)審計(jì)計(jì)劃人員配置開展情況風(fēng)險(xiǎn)監(jiān)測(cè)整體要求重保與應(yīng)急重大保障應(yīng)急響應(yīng)安全協(xié)同縱向協(xié)同橫向協(xié)同供應(yīng)鏈安全供應(yīng)商要求供應(yīng)鏈要求安全檢查整體要求漏洞掃描滲透測(cè)試整體要求資產(chǎn)類型整體要求資產(chǎn)類型可用性檢測(cè)云平臺(tái)云入口網(wǎng)絡(luò)弱口令惡意程序事件高危漏洞網(wǎng)絡(luò)攻擊事件高危端口基線核查安全基線數(shù)據(jù)安全事件安全基線代碼檢測(cè)過程性惡意行為信息內(nèi)容安全事件異常行為數(shù)據(jù)高危操作其他未知風(fēng)險(xiǎn)開源組件監(jiān)測(cè)異常行為數(shù)據(jù)高危操作其他未知風(fēng)險(xiǎn)云內(nèi)虛擬網(wǎng)絡(luò)異常事件設(shè)備設(shè)施故障事件關(guān)鍵應(yīng)用核心數(shù)據(jù)庫數(shù)據(jù)安全檢查異常事件設(shè)備設(shè)施故障事件關(guān)鍵應(yīng)用核心數(shù)據(jù)庫運(yùn)維安全檢查安全預(yù)算管理安全合規(guī)管理安全管理組織安全人員管理安全管理安全預(yù)算管理安全合規(guī)管理安全管理組織安全人員管理安全管理制度圖1政務(wù)云安全運(yùn)行監(jiān)測(cè)框架36基本要求6.1安全保護(hù)基本能力要求應(yīng)按照GB/T22239、GB/T31168等相關(guān)要求建設(shè)安全保護(hù)基本能力，包括：a）政務(wù)云運(yùn)行管理機(jī)構(gòu)負(fù)責(zé)政務(wù)云平臺(tái)安全建設(shè)、運(yùn)行及管理，開展政務(wù)云基礎(chǔ)設(shè)施安全保護(hù)工作，構(gòu)建技術(shù)、管理、運(yùn)維等方面的安全能力體系，為安全運(yùn)行監(jiān)測(cè)工作開展提供基礎(chǔ)能力支撐；b）政務(wù)云使用單位負(fù)責(zé)本單位云上信息系統(tǒng)和數(shù)據(jù)的安全建設(shè)、運(yùn)維、管理。6.1.2技術(shù)要求技術(shù)要求包括：a）政務(wù)云運(yùn)行管理機(jī)構(gòu)應(yīng)建設(shè)政務(wù)云平臺(tái)邊界訪問控制、云內(nèi)訪問控制、邊界入侵防范、云內(nèi)入侵防范、惡意代碼防范、安全審計(jì)、身份鑒別、鏡像和快照保護(hù)、數(shù)據(jù)加密、數(shù)據(jù)備份與恢復(fù)等安全防護(hù)能力；b）政務(wù)云使用單位應(yīng)充分利用政務(wù)云安全能力，按照相應(yīng)網(wǎng)絡(luò)安全等級(jí)保護(hù)級(jí)別的安全要求構(gòu)建本單位云上信息系統(tǒng)安全防護(hù)體系。6.1.3管理要求管理要求包括：a）政務(wù)云運(yùn)行管理機(jī)構(gòu)應(yīng)建立政務(wù)云基礎(chǔ)設(shè)施管理制度、操作規(guī)程，形成由方針策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的安全管理制度體系。應(yīng)設(shè)置指導(dǎo)管理安全工作的機(jī)構(gòu)，設(shè)立安全崗位，明確崗位職責(zé)和能力要求，配備安全人員，建立并實(shí)施安全考核及監(jiān)督問責(zé)機(jī)制；b）政務(wù)云使用單位應(yīng)落實(shí)本單位云上信息系統(tǒng)安全主體責(zé)任，指定系統(tǒng)安全負(fù)責(zé)人，報(bào)政務(wù)云運(yùn)行管理機(jī)構(gòu)備案。6.1.4運(yùn)維要求運(yùn)維要求包括：a）政務(wù)云運(yùn)行管理機(jī)構(gòu)應(yīng)開展政務(wù)云基礎(chǔ)設(shè)施安全運(yùn)維工作，包括但不限于資產(chǎn)管理、介質(zhì)管理、設(shè)備維護(hù)管理、漏洞和風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)和系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置管理、應(yīng)急預(yù)案管理、外包運(yùn)維服務(wù)商管理等；b）政務(wù)云使用單位應(yīng)開展本單位云上信息系統(tǒng)安全運(yùn)維工作，包括但不限于資產(chǎn)管理、介質(zhì)管理、設(shè)備維護(hù)管理、漏洞和風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)和系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置管理、應(yīng)急預(yù)案管理、外包運(yùn)維服務(wù)商管理等。6.2運(yùn)行監(jiān)測(cè)基本能力要求6.2.1政務(wù)云運(yùn)行管理機(jī)構(gòu)應(yīng)圍繞人員、工具、流程等開展運(yùn)行監(jiān)測(cè)，配備專職人員，構(gòu)建平臺(tái)工具，制定業(yè)務(wù)流程，建立主動(dòng)防御機(jī)制，按要求開展資產(chǎn)監(jiān)測(cè)、風(fēng)險(xiǎn)監(jiān)測(cè)、可用性監(jiān)測(cè)、安全事件監(jiān)測(cè)、重保與應(yīng)46.2.2政務(wù)云使用單位應(yīng)按照相應(yīng)網(wǎng)絡(luò)安全等級(jí)保護(hù)級(jí)別的安全要求，開展本單位云上信息系統(tǒng)安全運(yùn)行監(jiān)測(cè)工作，包括但不限于資產(chǎn)監(jiān)測(cè)、風(fēng)險(xiǎn)監(jiān)測(cè)、可用性監(jiān)測(cè)、安全事件監(jiān)測(cè)、重保與應(yīng)急、安全協(xié)同、安全檢查、供應(yīng)鏈安全、運(yùn)行效果評(píng)價(jià)、安全審計(jì)、安全管理等工作。7資產(chǎn)監(jiān)測(cè)7.1.1監(jiān)測(cè)范圍應(yīng)覆蓋政務(wù)云平臺(tái)、云邊界、網(wǎng)絡(luò)出入口、云上信息系統(tǒng)等。7.1.2應(yīng)及時(shí)發(fā)現(xiàn)資產(chǎn)的上線、下線等變更情況，在72h內(nèi)完成資產(chǎn)清單更新。7.1.3應(yīng)對(duì)多種來源的資產(chǎn)數(shù)據(jù)進(jìn)行統(tǒng)一融合匯總，快速進(jìn)行資產(chǎn)維度的風(fēng)險(xiǎn)評(píng)估、可視化展示、報(bào)表輸出，挖掘資產(chǎn)安全問題。7.1.4應(yīng)基于資產(chǎn)標(biāo)識(shí)信息，及時(shí)通過資產(chǎn)和漏洞情報(bào)數(shù)據(jù)碰撞分析，快速評(píng)估漏洞影響資產(chǎn)范圍。7.2資產(chǎn)類型應(yīng)能發(fā)現(xiàn)的資產(chǎn)類型，包括但不限于以下部分：b）政務(wù)云邊界資產(chǎn)，包括網(wǎng)絡(luò)設(shè)備、通信設(shè)備、網(wǎng)絡(luò)安全設(shè)備等；c）政務(wù)云接入終端資產(chǎn)；d）政務(wù)云使用單位云上信息系統(tǒng)資產(chǎn)，包括云主機(jī)、云網(wǎng)絡(luò)、中間件、數(shù)據(jù)庫、API接口等。8可用性監(jiān)測(cè)8.1政務(wù)云平臺(tái)8.1.1政務(wù)云平臺(tái)應(yīng)具備有效的容災(zāi)備份機(jī)制，包括但不限于主備容災(zāi)、雙活容災(zāi)、多DC容災(zāi)等。8.1.2應(yīng)監(jiān)測(cè)政務(wù)云平臺(tái)物理層和虛擬化層的資源可用性，對(duì)象包括但不限于計(jì)算處理能力、內(nèi)存處理能力、硬盤處理能力等，使用率應(yīng)不超過75%，同時(shí)應(yīng)監(jiān)測(cè)虛擬化軟件的可用性。8.1.3應(yīng)監(jiān)測(cè)政務(wù)云平臺(tái)的可用性，建立政務(wù)云平臺(tái)SLA，關(guān)鍵節(jié)點(diǎn)全年可用率（全年可用時(shí)長/全年總時(shí)長）不低于99.99%。8.2政務(wù)云出入口網(wǎng)絡(luò)8.2.1政務(wù)云出入口網(wǎng)絡(luò)包括政務(wù)外網(wǎng)出入口、互聯(lián)網(wǎng)出入口等，應(yīng)具備有效的線路及核心設(shè)備冗余機(jī)制。8.2.2應(yīng)監(jiān)測(cè)政務(wù)云出入口網(wǎng)絡(luò)的可用性，建立政務(wù)云出入口網(wǎng)絡(luò)SLA，全年可用率（全年可用時(shí)長/全年總時(shí)長）不低于99.99%。8.3政務(wù)云內(nèi)網(wǎng)絡(luò)8.3.1政務(wù)云內(nèi)網(wǎng)絡(luò)應(yīng)具備有效的核心設(shè)備及組件冗余機(jī)制。8.3.2應(yīng)監(jiān)測(cè)政務(wù)云內(nèi)網(wǎng)絡(luò)的可用性，應(yīng)建立政務(wù)云內(nèi)網(wǎng)絡(luò)SLA，全年可用率（全年可用時(shí)長/全年總時(shí)長）不低于99.99%。59風(fēng)險(xiǎn)監(jiān)測(cè)9.1整體要求應(yīng)監(jiān)測(cè)政務(wù)云平臺(tái)及云上信息系統(tǒng)的主要安全風(fēng)險(xiǎn)，包括但不限于弱口令、漏洞、高危端口、安全基線過低、過程性惡意行為、異常行為、數(shù)據(jù)高危操作、其他未知風(fēng)險(xiǎn)等，應(yīng)在24h內(nèi)發(fā)現(xiàn)存在的隱患。9.2弱口令識(shí)別應(yīng)檢測(cè)賬號(hào)弱口令，包括但不限于內(nèi)置規(guī)則、密碼字典攻擊、人工智能等檢測(cè)方式。9.3漏洞監(jiān)測(cè)9.4高危端口監(jiān)測(cè)應(yīng)探測(cè)高危端口對(duì)外暴露情況，包括但不限于數(shù)據(jù)庫端口、遠(yuǎn)程桌面端口、FTP服務(wù)端口等。9.5安全基線監(jiān)測(cè)應(yīng)探測(cè)不合規(guī)基線及錯(cuò)誤配置，包括但不限于身份訪問控制、安全審計(jì)等方面。9.6過程性惡意行為監(jiān)測(cè)應(yīng)發(fā)現(xiàn)過程性惡意行為，包括但不限于掃描探測(cè)、隱患利用、域名仿冒、釣魚郵件、暴力破解等。9.7異常行為監(jiān)測(cè)應(yīng)發(fā)現(xiàn)異常行為，包括但不限于高頻登錄嘗試、異常時(shí)間登錄等。9.8數(shù)據(jù)高危操作監(jiān)測(cè)應(yīng)識(shí)別數(shù)據(jù)高危操作行為，包括但不限于違規(guī)外聯(lián)、文件導(dǎo)出下載、非授信IP數(shù)據(jù)庫繞行、超級(jí)管理員賬號(hào)遠(yuǎn)程登陸、API未授權(quán)訪問、數(shù)據(jù)庫導(dǎo)出、數(shù)據(jù)庫高危操作等。9.9其他未知風(fēng)險(xiǎn)監(jiān)測(cè)應(yīng)基于威脅情報(bào)，識(shí)別未知風(fēng)險(xiǎn)，包括但不限于APT攻擊、勒索病毒等。9.10政務(wù)關(guān)鍵應(yīng)用9.10.1政務(wù)關(guān)鍵應(yīng)用應(yīng)具備有效的容災(zāi)備份機(jī)制。9.10.2按要求對(duì)政務(wù)關(guān)鍵應(yīng)用開展壓力測(cè)試，基于測(cè)試結(jié)果優(yōu)化資源分配。9.10.3應(yīng)監(jiān)測(cè)政務(wù)關(guān)鍵應(yīng)用的可用性，應(yīng)建立政務(wù)關(guān)鍵應(yīng)用SLA，全年可用率（全年可用時(shí)長/全年總時(shí)長）不低于99.99%。9.11政務(wù)核心數(shù)據(jù)庫9.11.1核心數(shù)據(jù)庫應(yīng)具備有效的容災(zāi)備份機(jī)制，包括但不限于主備容災(zāi)、雙活容災(zāi)、多DC容災(zāi)等。69.11.2應(yīng)監(jiān)測(cè)核心數(shù)據(jù)庫的可用性，應(yīng)建立政務(wù)核心數(shù)據(jù)庫SLA，全年可用率（全年可用時(shí)長/全年總時(shí)長）不低于99.99%。10安全事件監(jiān)測(cè)應(yīng)通過流量解析、日志分析等技術(shù)手段對(duì)政務(wù)云平臺(tái)及云上信息系統(tǒng)進(jìn)行7×24h安全事件監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)安全事件。10.2惡意程序事件應(yīng)發(fā)現(xiàn)惡意程序事件，包括但不限于計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬、僵尸網(wǎng)絡(luò)、網(wǎng)頁內(nèi)嵌惡意代10.3網(wǎng)絡(luò)攻擊事件APT攻擊等。10.4數(shù)據(jù)安全事件應(yīng)發(fā)現(xiàn)數(shù)據(jù)安全事件，包括但不限于數(shù)據(jù)篡改、數(shù)據(jù)泄露、數(shù)據(jù)竊取、隱私侵犯等。10.5信息內(nèi)容安全事件應(yīng)發(fā)現(xiàn)內(nèi)容安全事件，包括但不限于反動(dòng)宣傳、暴恐宣傳、色情傳播等。10.6異常事件應(yīng)發(fā)現(xiàn)異常事件，包括但不限于訪問異常、流量異常、高風(fēng)險(xiǎn)操作等。10.7設(shè)備設(shè)施故障事件應(yīng)發(fā)現(xiàn)設(shè)備設(shè)施故障事件，包括但不限于云平臺(tái)硬件故障、軟件故障、過載等。11重大保障與應(yīng)急響應(yīng)11.1.1在春節(jié)、國慶等重要活動(dòng)、會(huì)議期間，應(yīng)設(shè)立專門負(fù)責(zé)加強(qiáng)安全響應(yīng)的保障組織，開展專項(xiàng)活動(dòng)，制定工作規(guī)范，確保政務(wù)云基礎(chǔ)設(shè)施安全運(yùn)行。11.1.2應(yīng)將重大保障活動(dòng)劃分為準(zhǔn)備階段、實(shí)戰(zhàn)階段、總結(jié)階段等環(huán)節(jié)，在各環(huán)節(jié)落實(shí)檢查自查，及時(shí)通報(bào)預(yù)警安全隱患，處置安全事件，管理監(jiān)測(cè)過程結(jié)果數(shù)據(jù)，落實(shí)報(bào)告管理、信息共享、輿情報(bào)送等工作。11.1.3應(yīng)基于可視化態(tài)勢(shì)大屏等工具平臺(tái)開展專項(xiàng)安全監(jiān)測(cè)和分析研判，及時(shí)預(yù)警可能造成重大影響的風(fēng)險(xiǎn)和隱患，重點(diǎn)部門、重點(diǎn)崗位保持24h值班，及時(shí)發(fā)現(xiàn)和處置安全事件隱患。11.1.4應(yīng)在重大保障期間組織協(xié)同技術(shù)支撐單位、政務(wù)云基礎(chǔ)設(shè)施服務(wù)商、安全專家等，提升重大活動(dòng)整體安全保障能力。711.2應(yīng)急響應(yīng)應(yīng)明確應(yīng)急管理組織、職責(zé)和工作機(jī)制等，包括：a）應(yīng)落實(shí)安全應(yīng)急工作責(zé)任制，明確安全事件應(yīng)急領(lǐng)導(dǎo)機(jī)構(gòu)與職責(zé)，辦事機(jī)構(gòu)與職責(zé)，各單位部門職責(zé)，將責(zé)任落實(shí)到具體部門、崗位和個(gè)人；b）應(yīng)建立健全應(yīng)急工作機(jī)制，制定安全應(yīng)急管理規(guī)范，明確安全事件的預(yù)防、監(jiān)測(cè)、報(bào)告和應(yīng)急處置等的工作流程。應(yīng)制定應(yīng)急預(yù)案并開展預(yù)案培訓(xùn)與演練，包括：a）應(yīng)制定并管理安全突發(fā)事件處置場(chǎng)景預(yù)案，圍繞政務(wù)云關(guān)鍵業(yè)務(wù)的可持續(xù)運(yùn)行保障進(jìn)行個(gè)性化預(yù)案編排和執(zhí)行流程配置；b）加強(qiáng)安全應(yīng)急預(yù)案的培訓(xùn)，提高防范意識(shí)及技能，每年應(yīng)至少組織1次預(yù)案培訓(xùn)；c）定期組織演練，檢驗(yàn)和完善預(yù)案，提高實(shí)戰(zhàn)能力，每年應(yīng)至少組織1次預(yù)案演練。應(yīng)對(duì)安全事件開展應(yīng)急處置，按要求進(jìn)行事件上報(bào)、響應(yīng)和總結(jié)調(diào)查，包括：a）政務(wù)云安全事件發(fā)生后，應(yīng)立即啟動(dòng)應(yīng)急預(yù)案，實(shí)施先期處置并及時(shí)報(bào)送信息，屬于較大、重大或特別重大安全事件的，應(yīng)當(dāng)于1h內(nèi)進(jìn)行報(bào)告。b）應(yīng)按相關(guān)預(yù)案開展應(yīng)急處置工作，加強(qiáng)技術(shù)手段運(yùn)用，實(shí)現(xiàn)快速響應(yīng)，及時(shí)將事態(tài)發(fā)展變化情況及應(yīng)急處置結(jié)果上報(bào)。c）應(yīng)急結(jié)束后應(yīng)組織調(diào)查處理和總結(jié)評(píng)估，總結(jié)調(diào)查報(bào)告應(yīng)對(duì)事件的起因、性質(zhì)、影響、責(zé)任等進(jìn)行分析評(píng)估，提出處理意見和改進(jìn)措施?？偨Y(jié)調(diào)查工作應(yīng)在應(yīng)急響應(yīng)結(jié)束后30d內(nèi)完成。12安全協(xié)同12.1.1應(yīng)積極、主動(dòng)配合上級(jí)主管單位的安全管理工作，包括工作指揮、指令協(xié)同、安全檢查、考核評(píng)估等。12.1.2應(yīng)及時(shí)、準(zhǔn)確向上級(jí)主管單位報(bào)告安全監(jiān)測(cè)數(shù)據(jù)。12.1.3應(yīng)及時(shí)、全面向上級(jí)主管單位報(bào)告較大及以上級(jí)別安全事件。12.1.4應(yīng)及時(shí)向下級(jí)單位發(fā)布風(fēng)險(xiǎn)預(yù)警，進(jìn)行日常通報(bào)，開展通報(bào)處置，包括：a）針對(duì)潛在威脅事件，應(yīng)向下級(jí)單位發(fā)布預(yù)警信息，預(yù)警發(fā)布內(nèi)容宜包括事件性質(zhì)、威脅方式、影響范圍、涉及對(duì)象、影響程度、防范對(duì)策等信息，同時(shí)對(duì)預(yù)警的接收狀態(tài)進(jìn)行跟蹤確認(rèn)，確保預(yù)警信息被及時(shí)接收確認(rèn)，達(dá)到主動(dòng)預(yù)警防范的效果；b）應(yīng)持續(xù)獲取預(yù)警發(fā)布機(jī)構(gòu)的安全預(yù)警信息，按規(guī)定通報(bào)給相關(guān)人員和部門，分析、研判相關(guān)事件或威脅對(duì)政務(wù)云基礎(chǔ)設(shè)施可能造成損害的程度，必要時(shí)啟動(dòng)應(yīng)急預(yù)案；c）應(yīng)主動(dòng)采取措施對(duì)預(yù)警進(jìn)行協(xié)同響應(yīng)，當(dāng)安全隱患得以控制或消除時(shí)，執(zhí)行預(yù)警解除流程；d）應(yīng)監(jiān)測(cè)發(fā)現(xiàn)安全隱患、事件，通報(bào)至對(duì)應(yīng)單位，推動(dòng)開展暴露面收斂、隱患排查等主動(dòng)防御工作，形成通報(bào)處置業(yè)務(wù)閉環(huán)。812.2.1應(yīng)落實(shí)安全監(jiān)管要求，與網(wǎng)信、公安等主管部門建立溝通工作機(jī)制，配合開展安全檢查工作。12.2.2針對(duì)潛在威脅事件，應(yīng)向同級(jí)相關(guān)單位發(fā)布預(yù)警信息。12.2.3涉及跨區(qū)域安全事件時(shí)，應(yīng)按需展開與同級(jí)單位的事件協(xié)查、分析研判、形成分析報(bào)告等。13供應(yīng)鏈安全13.1供應(yīng)商要求13.1.1應(yīng)調(diào)查政務(wù)云基礎(chǔ)設(shè)施供應(yīng)商及人員背景、保密協(xié)議簽訂、安全教育培訓(xùn)等情況，包括：a）應(yīng)調(diào)查供應(yīng)商類型應(yīng)包括但不限于咨詢、設(shè)計(jì)、集成、運(yùn)維、測(cè)評(píng)、改進(jìn)等各環(huán)節(jié)供應(yīng)商；b）應(yīng)調(diào)查人員類型應(yīng)包括但不限于項(xiàng)目經(jīng)理、外派運(yùn)維人員、實(shí)施人員、監(jiān)理人員、開發(fā)人員、測(cè)評(píng)人員、設(shè)計(jì)人員等；c）應(yīng)調(diào)查保密協(xié)議簽訂情況，協(xié)議內(nèi)容應(yīng)包括但不限于安全責(zé)任、保密內(nèi)容、保密期限、獎(jiǎng)懲機(jī)制等。13.1.2應(yīng)明確供應(yīng)商安全責(zé)任和義務(wù)，包括但不限于加強(qiáng)對(duì)提供產(chǎn)品的設(shè)計(jì)、研發(fā)、生產(chǎn)、交付等環(huán)節(jié)的安全管理，聲明不非法獲取用戶數(shù)據(jù)、不非法控制和操作用戶系統(tǒng)和設(shè)備，不利用用戶對(duì)產(chǎn)品的依賴性謀取不正當(dāng)利益或迫使用戶更新?lián)Q代、無正當(dāng)理由不中斷產(chǎn)品供應(yīng)或必要的技術(shù)支持服務(wù)等。13.1.3應(yīng)對(duì)供應(yīng)商人員加強(qiáng)賬號(hào)權(quán)限管控、資源訪問控制管理及操作行為監(jiān)管。13.1.4供應(yīng)商應(yīng)對(duì)涉及的運(yùn)維后門、特權(quán)賬號(hào)重置及其他特權(quán)管理技術(shù)進(jìn)行技術(shù)交底，并提供關(guān)閉方式。13.1.5對(duì)于被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施的，應(yīng)加強(qiáng)如下要求：a）應(yīng)建立和維護(hù)合格供應(yīng)商目錄。應(yīng)選擇有保障的供應(yīng)商，防范出現(xiàn)因政治、外交、貿(mào)易等非技術(shù)因素導(dǎo)致產(chǎn)品和服務(wù)供應(yīng)中斷的風(fēng)險(xiǎn)；b）應(yīng)強(qiáng)化采購渠道管理，保持采購的產(chǎn)品和服務(wù)來源的穩(wěn)定或多樣性。13.2供應(yīng)鏈要求13.2.1應(yīng)開展軟件源代碼安全檢測(cè)、開源組件檢測(cè)、容器鏡像檢測(cè)等，或由供應(yīng)商提供第三方機(jī)構(gòu)出具的相應(yīng)檢測(cè)報(bào)告，并在正式上線前進(jìn)行漏洞檢查。13.2.2采購和使用的產(chǎn)品和服務(wù)應(yīng)符合國家相關(guān)標(biāo)準(zhǔn)要求。13.2.3使用的產(chǎn)品和服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)及時(shí)采取措施消除風(fēng)險(xiǎn)隱患，涉及重大風(fēng)險(xiǎn)的應(yīng)按規(guī)定向相關(guān)部門報(bào)告。13.2.4按照《云計(jì)算服務(wù)安全評(píng)估辦法》要求，對(duì)政務(wù)云服務(wù)商開展安全評(píng)估的情況進(jìn)行監(jiān)督核查。13.2.5對(duì)于被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施的，應(yīng)加強(qiáng)如下要求：a）采購網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄中的設(shè)備產(chǎn)品時(shí)，應(yīng)采購?fù)ㄟ^國家檢測(cè)認(rèn)證的設(shè)備和產(chǎn)品；b）采購、使用的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)通過國家網(wǎng)絡(luò)安全審查；c）應(yīng)要求網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)研發(fā)、制造過程中涉及的實(shí)體擁有或控制的已知技術(shù)專利等知識(shí)產(chǎn)權(quán)獲得10年以上授權(quán)，或在網(wǎng)絡(luò)產(chǎn)品和服務(wù)使用期內(nèi)獲得持續(xù)授權(quán)；d）應(yīng)要求網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者提供中文版運(yùn)行維護(hù)、二次開發(fā)等技術(shù)資料。914安全檢查調(diào)整。14.1.2應(yīng)建立檢查事項(xiàng)庫，包括但不限于漏洞掃描、滲透測(cè)試、基線核查、代碼檢測(cè)、開源組件檢測(cè)、數(shù)據(jù)安全檢查、運(yùn)維安全檢查等。14.2.1應(yīng)檢查漏洞掃描工作開展情況，漏洞掃描的頻率、覆蓋范圍、漏洞發(fā)現(xiàn)、修復(fù)、報(bào)送情況等。14.2.2漏洞掃描的頻率應(yīng)不低于每季度一次，范圍應(yīng)至少覆蓋政務(wù)云平臺(tái)、核心系統(tǒng)，執(zhí)行時(shí)應(yīng)不影響信息系統(tǒng)正常運(yùn)行。14.3.1應(yīng)檢查滲透測(cè)試工作開展情況，滲透測(cè)試的頻率、覆蓋范圍、漏洞發(fā)現(xiàn)、修復(fù)、報(bào)送情況等。14.3.2滲透測(cè)試的頻率應(yīng)不低于每半年一次，范圍應(yīng)至少覆蓋核心系統(tǒng)，執(zhí)行時(shí)應(yīng)不影響信息系統(tǒng)正常運(yùn)行。14.4.1應(yīng)檢查基線核查工作開展情況，基線核查的頻率、覆蓋范圍、配置缺陷發(fā)現(xiàn)及修復(fù)加固情況等。14.4.2基線核查的頻率應(yīng)不低于每半年一次，范圍應(yīng)至少覆蓋政務(wù)云平臺(tái)、核心系統(tǒng)。14.5.1應(yīng)檢查代碼檢測(cè)工作開展情況，代碼檢測(cè)的覆蓋范圍、源代碼缺陷檢出及整改情況等。14.5.2政務(wù)關(guān)鍵信息系統(tǒng)上線及重大變更前應(yīng)進(jìn)行代碼檢測(cè)，范圍應(yīng)至少覆蓋核心系統(tǒng)。14.6開源組件檢測(cè)14.6.1應(yīng)檢查開源組件檢測(cè)工作開展情況，開源組件檢測(cè)的頻率、覆蓋范圍、開源組件漏洞檢出及整改、開源組件許可協(xié)議情況等。14.6.2開源組件檢測(cè)的頻率應(yīng)不低于每年一次，范圍應(yīng)至少覆蓋核心系統(tǒng)。14.7數(shù)據(jù)安全檢查況等。14.7.2云上數(shù)據(jù)安全檢查的頻率應(yīng)不低于每年一次，范圍應(yīng)至少覆蓋核心系統(tǒng)、數(shù)據(jù)庫及API接口。14.8運(yùn)維安全檢查14.8.1應(yīng)檢查運(yùn)維安全工作開展情況，運(yùn)維安全檢查頻率、覆蓋范圍、檢出及整改情況等。運(yùn)維安全包括但不限于機(jī)房環(huán)境、設(shè)備運(yùn)行狀態(tài)、設(shè)備維保期限、云平臺(tái)運(yùn)行狀態(tài)、云平臺(tái)資源管理、賬號(hào)使用情況、運(yùn)維人員管理、告警監(jiān)測(cè)分析與策略優(yōu)化等。14.8.2運(yùn)維安全檢查的頻率應(yīng)不低于每季度一次，范圍應(yīng)至少覆蓋政務(wù)數(shù)據(jù)中心服務(wù)器、網(wǎng)絡(luò)設(shè)備及安全設(shè)備和信息系統(tǒng)檢出問題整改情況。15運(yùn)行效果評(píng)價(jià)15.1云環(huán)境效果應(yīng)核查云基礎(chǔ)設(shè)施高危端口暴露、云平臺(tái)邊界違規(guī)外聯(lián)等云環(huán)境安全效果情況，包括：a）應(yīng)核查政務(wù)云基礎(chǔ)設(shè)施高危端口暴露情況，按季度進(jìn)行匯總，并采取有效措施防范高危端口利用；b）應(yīng)核查政務(wù)云平臺(tái)邊界違規(guī)外聯(lián)情況，按季度進(jìn)行匯總，并采取有效措施阻斷違規(guī)外聯(lián)；15.2漏洞效果應(yīng)核查年度周期內(nèi)政務(wù)云基礎(chǔ)設(shè)施中危及以上漏洞數(shù)量、及時(shí)修復(fù)率等，涉及影響業(yè)務(wù)安全運(yùn)行的漏洞應(yīng)立即采取補(bǔ)救措施，包括：a）應(yīng)核查中危及以上漏洞發(fā)現(xiàn)數(shù)量等情況；b）應(yīng)核查中危及以上漏洞及時(shí)修復(fù)率，高危漏洞應(yīng)在3d內(nèi)完成修復(fù)，及時(shí)修復(fù)率不低于98%，中危漏洞應(yīng)在5d內(nèi)完成修復(fù)，及時(shí)修復(fù)率不低于95%，存在嚴(yán)重安全隱患且未按期修復(fù)時(shí)，政務(wù)云運(yùn)行管理機(jī)構(gòu)關(guān)閉系統(tǒng)對(duì)外網(wǎng)絡(luò)策略，中止提供云資源服務(wù)。15.3事件效果應(yīng)核查年度周期內(nèi)政務(wù)云基礎(chǔ)設(shè)施發(fā)生一般、較大、重大、特別重大及國家通報(bào)的安全事件的次數(shù)：a）應(yīng)核查發(fā)生特別重大安全事件的情況，扼制損害程度和影響范圍的擴(kuò)大，確保不發(fā)生特別重大安全事故；b）應(yīng)核查發(fā)生重大安全事件的情況，扼制損害程度和影響范圍的擴(kuò)大，確保不發(fā)生重大安全事故；c）應(yīng)核查發(fā)生較大安全事件的情況，扼制較大安全事件發(fā)生率，開展有效處置，防范事件升級(jí)；d）應(yīng)核查發(fā)生一般安全事件的情況，扼制一般安全事件發(fā)生率，開展有效處置，防范事件升級(jí)；e）應(yīng)核查國家通報(bào)的本地區(qū)高危隱患和安全事件情況，確保不發(fā)生安全事故。15.4專項(xiàng)工作成效應(yīng)核查年度周期內(nèi)政務(wù)云基礎(chǔ)設(shè)施運(yùn)行管理單位開展攻防演習(xí)、安全檢查等專項(xiàng)工作情況。a）應(yīng)核查在政務(wù)云基礎(chǔ)設(shè)施安全攻防演練中所發(fā)現(xiàn)問題的整改修復(fù)情況；b）應(yīng)核查在各種政務(wù)云安全檢查中的表現(xiàn)情況、政務(wù)云基礎(chǔ)設(shè)施的可用性情況。16安全審計(jì)應(yīng)建立常態(tài)化安全審計(jì)機(jī)制，審計(jì)工作開展頻率應(yīng)不低于每月1次，范圍至少應(yīng)覆蓋政務(wù)云平臺(tái)、云上信息系統(tǒng)。16.2人員配置16.2.1應(yīng)配備專職審計(jì)人員或采購安全審計(jì)服務(wù)。16.2.2應(yīng)劃分審計(jì)管理員、系統(tǒng)管理員、安全管理員等獨(dú)立的運(yùn)維管理角色，僅審計(jì)管理員具備審計(jì)權(quán)限，僅系統(tǒng)管理員具備日常管理權(quán)限，僅安全管理員具備賬戶管理權(quán)限。16.3開展情況16.3.1應(yīng)建立統(tǒng)一的日志采集和存儲(chǔ)工具，確保日志審計(jì)記錄留存時(shí)間不低于6個(gè)月，應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等。審計(jì)。16.3.3應(yīng)對(duì)管理員賬號(hào)的敏感操作行為進(jìn)行審計(jì)，審計(jì)是否有對(duì)應(yīng)的管理審批記錄等，應(yīng)對(duì)特權(quán)賬號(hào)的使用情況進(jìn)行審計(jì)。16.3.4應(yīng)對(duì)可