CCSL70江蘇省地方標準政務“一朵云”安全管理體系規范安全運行監測Securitymanagementsystemspecificationforthe"cloud"ofgovernmentaffairs—Part1:Securityoperationmonitoring江蘇省市場監督管理局中國標準出版社發布出版Ⅰ前言 Ⅲ引言 Ⅳ 2規范性引用文件 3術語和定義 4縮略語 5總體框架 6基本要求 7資產監測 8可用性監測 9風險監測 10安全事件監測 11重大保障與應急響應 12安全協同 13供應鏈安全 14安全檢查 15運行效果評價 16安全審計 17安全監測管理 參考文獻 Ⅲ本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。本文件是DB32/T5073《政務“一朵云”安全管理體系規范》的第1部分。DB32/T5073已經發布了以下部分：——第1部分：安全運行監測；——第2部分：密碼應用技術要求；——第3部分：密碼應用安全性評估。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由江蘇省數據局提出并組織實施。本文件由江蘇省數據標準化技術委員會（JS/TC88）歸口。本文件起草單位：江蘇省大數據管理中心。俞黎斌。Ⅳ引言為加強統籌規劃，全面提升江蘇省政務云服務能力和安全運行水平，促進政務信息基礎設施建設可持續發展，根據《省政府關于加快統籌推進數字政府高質量建設的實施意見》《江蘇省政務“一朵云”建設總體方案》的要求，建立健全江蘇省政務“一朵云”安全保障體系，提升安全防護能力，制定本文件。DB32/T5073《政務“一朵云”安全管理體系規范》分為以下3個部分：——第1部分：安全運行監測；——第2部分：密碼應用技術要求；——第3部分：密碼應用安全性評估。1政務“一朵云”安全管理體系規范第1部分：安全運行監測本文件規定了政務云安全運行監測工作的總體框架、基本要求、資產監測、可用性監測、風險監測、安全事件監測等內容。本文件適用于政務云管理機構和使用單位開展安全運行監測工作。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T5271.8信息技術詞匯第8部分：安全GB/T22239信息安全技術信息系統安全等級保護基本要求GB/T25069信息安全技術術語GB/T29246信息安全技術信息安全管理體系概述和詞匯GB/T31168信息安全技術云計算服務安全能力要求GB/T37988信息安全技術數據安全能力成熟度模型GB/T39786信息安全技術信息系統密碼應用基本要求GB/T39204信息安全技術關鍵信息基礎設施安全保護要求3術語和定義GB/T25069—2022、GB/T5271.8、GB/T29246—2023界定的以及下列術語和定義適用于本文件。安全監測securitymonitoring以信息安全事件為核心，通過對網絡和安全設備日志、系統運行數據等信息的實時采集，以關聯分析等方式，實現對監測對象進行風險識別、威脅發現、安全事件實時報警及可視化展現的過程。安全審計securityaudit對信息系統記錄與活動進行獨立評審和考查的行為，以測試系統控制的充分程度，確保對于既定安全策略和運行規程的符合性，發現安全違規，并在控制、安全策略和過程等方面提出改進建議。供應鏈supplychain將多個資源和過程聯系在一起，并根據服務協議或其他采購協議建立連續供應關系的組織系列。2政務云e-governmentcloud運用云計算技術，統籌利用機房、計算、存儲、網絡、安全、應用支撐等軟硬件設備，發揮云計算虛擬化、高可靠性、通用性、高擴展性，以及快速、按需、彈性的服務等特征，為政務信息系統提供基礎設施、支撐軟件、運行保障和信息安全等的綜合服務平臺。資源、應用支撐等資源”，用“為政務信息系統提供基礎設施、支撐軟件、運行保障和信息安全等的綜合服務平臺”取代“為各政務部門構建提供基礎設施、支撐軟件、應用系統、信息資源、運行保障和信息安全等服務的電子政務綜合性服務平臺”。政務“一朵云”the"cloud"ofgovernmentaffairs在省級行政區域統一建設和部署的政務云（3.4依托電子政務外網和互聯網，運用云計算技術和智能化工具，為該區域各類電子政務的業務應用系統提供計算資源、存儲資源、服務支撐、安全保障等共性服務的新型信息基礎設施。4縮略語下列縮略語適用于本文件。API：應用程序編程接口（ApplicationProgrammingInterface）APT：高級持續性威脅（AdvancedPersistentThreat）DDoS：分布式拒絕服務（DistributedDenialofService）IP：網際互連協議（InternetProtocol）SLA：服務水平協議（ServiceLevelAgreement）5總體框架政務云安全運行監測框架基于政務“一朵云”安全架構進行設計，如圖1所示。基本要求安全保護基本能力要求運行監測基本能力要求資產監測運行效果評價云環境效果漏洞效果事件效果專項工作成效安全審計審計計劃人員配置開展情況風險監測整體要求重保與應急重大保障應急響應安全協同資產監測運行效果評價云環境效果漏洞效果事件效果專項工作成效安全審計審計計劃人員配置開展情況風險監測整體要求重保與應急重大保障應急響應安全協同縱向協同橫向協同供應鏈安全供應商要求供應鏈要求安全檢查整體要求漏洞掃描滲透測試整體要求資產類型整體要求資產類型可用性檢測云平臺云入口網絡弱口令惡意程序事件高危漏洞網絡攻擊事件高危端口基線核查安全基線數據安全事件安全基線代碼檢測過程性惡意行為信息內容安全事件異常行為數據高危操作其他未知風險開源組件監測異常行為數據高危操作其他未知風險云內虛擬網絡異常事件設備設施故障事件關鍵應用核心數據庫數據安全檢查異常事件設備設施故障事件關鍵應用核心數據庫運維安全檢查安全預算管理安全合規管理安全管理組織安全人員管理安全管理安全預算管理安全合規管理安全管理組織安全人員管理安全管理制度圖1政務云安全運行監測框架36基本要求6.1安全保護基本能力要求應按照GB/T22239、GB/T31168等相關要求建設安全保護基本能力，包括：a）政務云運行管理機構負責政務云平臺安全建設、運行及管理，開展政務云基礎設施安全保護工作，構建技術、管理、運維等方面的安全能力體系，為安全運行監測工作開展提供基礎能力支撐；b）政務云使用單位負責本單位云上信息系統和數據的安全建設、運維、管理。6.1.2技術要求技術要求包括：a）政務云運行管理機構應建設政務云平臺邊界訪問控制、云內訪問控制、邊界入侵防范、云內入侵防范、惡意代碼防范、安全審計、身份鑒別、鏡像和快照保護、數據加密、數據備份與恢復等安全防護能力；b）政務云使用單位應充分利用政務云安全能力，按照相應網絡安全等級保護級別的安全要求構建本單位云上信息系統安全防護體系。6.1.3管理要求管理要求包括：a）政務云運行管理機構應建立政務云基礎設施管理制度、操作規程，形成由方針策略、管理制度、操作規程、記錄表單等構成的安全管理制度體系。應設置指導管理安全工作的機構，設立安全崗位，明確崗位職責和能力要求，配備安全人員，建立并實施安全考核及監督問責機制；b）政務云使用單位應落實本單位云上信息系統安全主體責任，指定系統安全負責人，報政務云運行管理機構備案。6.1.4運維要求運維要求包括：a）政務云運行管理機構應開展政務云基礎設施安全運維工作，包括但不限于資產管理、介質管理、設備維護管理、漏洞和風險管理、網絡和系統安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置管理、應急預案管理、外包運維服務商管理等；b）政務云使用單位應開展本單位云上信息系統安全運維工作，包括但不限于資產管理、介質管理、設備維護管理、漏洞和風險管理、網絡和系統安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置管理、應急預案管理、外包運維服務商管理等。6.2運行監測基本能力要求6.2.1政務云運行管理機構應圍繞人員、工具、流程等開展運行監測，配備專職人員，構建平臺工具，制定業務流程，建立主動防御機制，按要求開展資產監測、風險監測、可用性監測、安全事件監測、重保與應46.2.2政務云使用單位應按照相應網絡安全等級保護級別的安全要求，開展本單位云上信息系統安全運行監測工作，包括但不限于資產監測、風險監測、可用性監測、安全事件監測、重保與應急、安全協同、安全檢查、供應鏈安全、運行效果評價、安全審計、安全管理等工作。7資產監測7.1.1監測范圍應覆蓋政務云平臺、云邊界、網絡出入口、云上信息系統等。7.1.2應及時發現資產的上線、下線等變更情況，在72h內完成資產清單更新。7.1.3應對多種來源的資產數據進行統一融合匯總，快速進行資產維度的風險評估、可視化展示、報表輸出，挖掘資產安全問題。7.1.4應基于資產標識信息，及時通過資產和漏洞情報數據碰撞分析，快速評估漏洞影響資產范圍。7.2資產類型應能發現的資產類型，包括但不限于以下部分：b）政務云邊界資產，包括網絡設備、通信設備、網絡安全設備等；c）政務云接入終端資產；d）政務云使用單位云上信息系統資產，包括云主機、云網絡、中間件、數據庫、API接口等。8可用性監測8.1政務云平臺8.1.1政務云平臺應具備有效的容災備份機制，包括但不限于主備容災、雙活容災、多DC容災等。8.1.2應監測政務云平臺物理層和虛擬化層的資源可用性，對象包括但不限于計算處理能力、內存處理能力、硬盤處理能力等，使用率應不超過75%，同時應監測虛擬化軟件的可用性。8.1.3應監測政務云平臺的可用性，建立政務云平臺SLA，關鍵節點全年可用率（全年可用時長/全年總時長）不低于99.99%。8.2政務云出入口網絡8.2.1政務云出入口網絡包括政務外網出入口、互聯網出入口等，應具備有效的線路及核心設備冗余機制。8.2.2應監測政務云出入口網絡的可用性，建立政務云出入口網絡SLA，全年可用率（全年可用時長/全年總時長）不低于99.99%。8.3政務云內網絡8.3.1政務云內網絡應具備有效的核心設備及組件冗余機制。8.3.2應監測政務云內網絡的可用性，應建立政務云內網絡SLA，全年可用率（全年可用時長/全年總時長）不低于99.99%。59風險監測9.1整體要求應監測政務云平臺及云上信息系統的主要安全風險，包括但不限于弱口令、漏洞、高危端口、安全基線過低、過程性惡意行為、異常行為、數據高危操作、其他未知風險等，應在24h內發現存在的隱患。9.2弱口令識別應檢測賬號弱口令，包括但不限于內置規則、密碼字典攻擊、人工智能等檢測方式。9.3漏洞監測9.4高危端口監測應探測高危端口對外暴露情況，包括但不限于數據庫端口、遠程桌面端口、FTP服務端口等。9.5安全基線監測應探測不合規基線及錯誤配置，包括但不限于身份訪問控制、安全審計等方面。9.6過程性惡意行為監測應發現過程性惡意行為，包括但不限于掃描探測、隱患利用、域名仿冒、釣魚郵件、暴力破解等。9.7異常行為監測應發現異常行為，包括但不限于高頻登錄嘗試、異常時間登錄等。9.8數據高危操作監測應識別數據高危操作行為，包括但不限于違規外聯、文件導出下載、非授信IP數據庫繞行、超級管理員賬號遠程登陸、API未授權訪問、數據庫導出、數據庫高危操作等。9.9其他未知風險監測應基于威脅情報，識別未知風險，包括但不限于APT攻擊、勒索病毒等。9.10政務關鍵應用9.10.1政務關鍵應用應具備有效的容災備份機制。9.10.2按要求對政務關鍵應用開展壓力測試，基于測試結果優化資源分配。9.10.3應監測政務關鍵應用的可用性，應建立政務關鍵應用SLA，全年可用率（全年可用時長/全年總時長）不低于99.99%。9.11政務核心數據庫9.11.1核心數據庫應具備有效的容災備份機制，包括但不限于主備容災、雙活容災、多DC容災等。69.11.2應監測核心數據庫的可用性，應建立政務核心數據庫SLA，全年可用率（全年可用時長/全年總時長）不低于99.99%。10安全事件監測應通過流量解析、日志分析等技術手段對政務云平臺及云上信息系統進行7×24h安全事件監測，及時發現安全事件。10.2惡意程序事件應發現惡意程序事件，包括但不限于計算機病毒、網絡蠕蟲、特洛伊木馬、僵尸網絡、網頁內嵌惡意代10.3網絡攻擊事件APT攻擊等。10.4數據安全事件應發現數據安全事件，包括但不限于數據篡改、數據泄露、數據竊取、隱私侵犯等。10.5信息內容安全事件應發現內容安全事件，包括但不限于反動宣傳、暴恐宣傳、色情傳播等。10.6異常事件應發現異常事件，包括但不限于訪問異常、流量異常、高風險操作等。10.7設備設施故障事件應發現設備設施故障事件，包括但不限于云平臺硬件故障、軟件故障、過載等。11重大保障與應急響應11.1.1在春節、國慶等重要活動、會議期間，應設立專門負責加強安全響應的保障組織，開展專項活動，制定工作規范，確保政務云基礎設施安全運行。11.1.2應將重大保障活動劃分為準備階段、實戰階段、總結階段等環節，在各環節落實檢查自查，及時通報預警安全隱患，處置安全事件，管理監測過程結果數據，落實報告管理、信息共享、輿情報送等工作。11.1.3應基于可視化態勢大屏等工具平臺開展專項安全監測和分析研判，及時預警可能造成重大影響的風險和隱患，重點部門、重點崗位保持24h值班，及時發現和處置安全事件隱患。11.1.4應在重大保障期間組織協同技術支撐單位、政務云基礎設施服務商、安全專家等，提升重大活動整體安全保障能力。711.2應急響應應明確應急管理組織、職責和工作機制等，包括：a）應落實安全應急工作責任制，明確安全事件應急領導機構與職責，辦事機構與職責，各單位部門職責，將責任落實到具體部門、崗位和個人；b）應建立健全應急工作機制，制定安全應急管理規范，明確安全事件的預防、監測、報告和應急處置等的工作流程。應制定應急預案并開展預案培訓與演練，包括：a）應制定并管理安全突發事件處置場景預案，圍繞政務云關鍵業務的可持續運行保障進行個性化預案編排和執行流程配置；b）加強安全應急預案的培訓，提高防范意識及技能，每年應至少組織1次預案培訓；c）定期組織演練，檢驗和完善預案，提高實戰能力，每年應至少組織1次預案演練。應對安全事件開展應急處置，按要求進行事件上報、響應和總結調查，包括：a）政務云安全事件發生后，應立即啟動應急預案，實施先期處置并及時報送信息，屬于較大、重大或特別重大安全事件的，應當于1h內進行報告。b）應按相關預案開展應急處置工作，加強技術手段運用，實現快速響應，及時將事態發展變化情況及應急處置結果上報。c）應急結束后應組織調查處理和總結評估，總結調查報告應對事件的起因、性質、影響、責任等進行分析評估，提出處理意見和改進措施。總結調查工作應在應急響應結束后30d內完成。12安全協同12.1.1應積極、主動配合上級主管單位的安全管理工作，包括工作指揮、指令協同、安全檢查、考核評估等。12.1.2應及時、準確向上級主管單位報告安全監測數據。12.1.3應及時、全面向上級主管單位報告較大及以上級別安全事件。12.1.4應及時向下級單位發布風險預警，進行日常通報，開展通報處置，包括：a）針對潛在威脅事件，應向下級單位發布預警信息，預警發布內容宜包括事件性質、威脅方式、影響范圍、涉及對象、影響程度、防范對策等信息，同時對預警的接收狀態進行跟蹤確認，確保預警信息被及時接收確認，達到主動預警防范的效果；b）應持續獲取預警發布機構的安全預警信息，按規定通報給相關人員和部門，分析、研判相關事件或威脅對政務云基礎設施可能造成損害的程度，必要時啟動應急預案；c）應主動采取措施對預警進行協同響應，當安全隱患得以控制或消除時，執行預警解除流程；d）應監測發現安全隱患、事件，通報至對應單位，推動開展暴露面收斂、隱患排查等主動防御工作，形成通報處置業務閉環。812.2.1應落實安全監管要求，與網信、公安等主管部門建立溝通工作機制，配合開展安全檢查工作。12.2.2針對潛在威脅事件，應向同級相關單位發布預警信息。12.2.3涉及跨區域安全事件時，應按需展開與同級單位的事件協查、分析研判、形成分析報告等。13供應鏈安全13.1供應商要求13.1.1應調查政務云基礎設施供應商及人員背景、保密協議簽訂、安全教育培訓等情況，包括：a）應調查供應商類型應包括但不限于咨詢、設計、集成、運維、測評、改進等各環節供應商；b）應調查人員類型應包括但不限于項目經理、外派運維人員、實施人員、監理人員、開發人員、測評人員、設計人員等；c）應調查保密協議簽訂情況，協議內容應包括但不限于安全責任、保密內容、保密期限、獎懲機制等。13.1.2應明確供應商安全責任和義務，包括但不限于加強對提供產品的設計、研發、生產、交付等環節的安全管理，聲明不非法獲取用戶數據、不非法控制和操作用戶系統和設備，不利用用戶對產品的依賴性謀取不正當利益或迫使用戶更新換代、無正當理由不中斷產品供應或必要的技術支持服務等。13.1.3應對供應商人員加強賬號權限管控、資源訪問控制管理及操作行為監管。13.1.4供應商應對涉及的運維后門、特權賬號重置及其他特權管理技術進行技術交底，并提供關閉方式。13.1.5對于被認定為關鍵信息基礎設施的，應加強如下要求：a）應建立和維護合格供應商目錄。應選擇有保障的供應商，防范出現因政治、外交、貿易等非技術因素導致產品和服務供應中斷的風險；b）應強化采購渠道管理，保持采購的產品和服務來源的穩定或多樣性。13.2供應鏈要求13.2.1應開展軟件源代碼安全檢測、開源組件檢測、容器鏡像檢測等，或由供應商提供第三方機構出具的相應檢測報告，并在正式上線前進行漏洞檢查。13.2.2采購和使用的產品和服務應符合國家相關標準要求。13.2.3使用的產品和服務存在安全缺陷、漏洞等風險時，應及時采取措施消除風險隱患，涉及重大風險的應按規定向相關部門報告。13.2.4按照《云計算服務安全評估辦法》要求，對政務云服務商開展安全評估的情況進行監督核查。13.2.5對于被認定為關鍵信息基礎設施的，應加強如下要求：a）采購網絡關鍵設備和網絡安全專用產品目錄中的設備產品時，應采購通過國家檢測認證的設備和產品；b）采購、使用的網絡產品和服務，可能影響國家安全的，應通過國家網絡安全審查；c）應要求網絡產品和服務的提供者對網絡產品和服務研發、制造過程中涉及的實體擁有或控制的已知技術專利等知識產權獲得10年以上授權，或在網絡產品和服務使用期內獲得持續授權；d）應要求網絡產品和服務的提供者提供中文版運行維護、二次開發等技術資料。914安全檢查調整。14.1.2應建立檢查事項庫，包括但不限于漏洞掃描、滲透測試、基線核查、代碼檢測、開源組件檢測、數據安全檢查、運維安全檢查等。14.2.1應檢查漏洞掃描工作開展情況，漏洞掃描的頻率、覆蓋范圍、漏洞發現、修復、報送情況等。14.2.2漏洞掃描的頻率應不低于每季度一次，范圍應至少覆蓋政務云平臺、核心系統，執行時應不影響信息系統正常運行。14.3.1應檢查滲透測試工作開展情況，滲透測試的頻率、覆蓋范圍、漏洞發現、修復、報送情況等。14.3.2滲透測試的頻率應不低于每半年一次，范圍應至少覆蓋核心系統，執行時應不影響信息系統正常運行。14.4.1應檢查基線核查工作開展情況，基線核查的頻率、覆蓋范圍、配置缺陷發現及修復加固情況等。14.4.2基線核查的頻率應不低于每半年一次，范圍應至少覆蓋政務云平臺、核心系統。14.5.1應檢查代碼檢測工作開展情況，代碼檢測的覆蓋范圍、源代碼缺陷檢出及整改情況等。14.5.2政務關鍵信息系統上線及重大變更前應進行代碼檢測，范圍應至少覆蓋核心系統。14.6開源組件檢測14.6.1應檢查開源組件檢測工作開展情況，開源組件檢測的頻率、覆蓋范圍、開源組件漏洞檢出及整改、開源組件許可協議情況等。14.6.2開源組件檢測的頻率應不低于每年一次，范圍應至少覆蓋核心系統。14.7數據安全檢查況等。14.7.2云上數據安全檢查的頻率應不低于每年一次，范圍應至少覆蓋核心系統、數據庫及API接口。14.8運維安全檢查14.8.1應檢查運維安全工作開展情況，運維安全檢查頻率、覆蓋范圍、檢出及整改情況等。運維安全包括但不限于機房環境、設備運行狀態、設備維保期限、云平臺運行狀態、云平臺資源管理、賬號使用情況、運維人員管理、告警監測分析與策略優化等。14.8.2運維安全檢查的頻率應不低于每季度一次，范圍應至少覆蓋政務數據中心服務器、網絡設備及安全設備和信息系統檢出問題整改情況。15運行效果評價15.1云環境效果應核查云基礎設施高危端口暴露、云平臺邊界違規外聯等云環境安全效果情況，包括：a）應核查政務云基礎設施高危端口暴露情況，按季度進行匯總，并采取有效措施防范高危端口利用；b）應核查政務云平臺邊界違規外聯情況，按季度進行匯總，并采取有效措施阻斷違規外聯；15.2漏洞效果應核查年度周期內政務云基礎設施中危及以上漏洞數量、及時修復率等，涉及影響業務安全運行的漏洞應立即采取補救措施，包括：a）應核查中危及以上漏洞發現數量等情況；b）應核查中危及以上漏洞及時修復率，高危漏洞應在3d內完成修復，及時修復率不低于98%，中危漏洞應在5d內完成修復，及時修復率不低于95%，存在嚴重安全隱患且未按期修復時，政務云運行管理機構關閉系統對外網絡策略，中止提供云資源服務。15.3事件效果應核查年度周期內政務云基礎設施發生一般、較大、重大、特別重大及國家通報的安全事件的次數：a）應核查發生特別重大安全事件的情況，扼制損害程度和影響范圍的擴大，確保不發生特別重大安全事故；b）應核查發生重大安全事件的情況，扼制損害程度和影響范圍的擴大，確保不發生重大安全事故；c）應核查發生較大安全事件的情況，扼制較大安全事件發生率，開展有效處置，防范事件升級；d）應核查發生一般安全事件的情況，扼制一般安全事件發生率，開展有效處置，防范事件升級；e）應核查國家通報的本地區高危隱患和安全事件情況，確保不發生安全事故。15.4專項工作成效應核查年度周期內政務云基礎設施運行管理單位開展攻防演習、安全檢查等專項工作情況。a）應核查在政務云基礎設施安全攻防演練中所發現問題的整改修復情況；b）應核查在各種政務云安全檢查中的表現情況、政務云基礎設施的可用性情況。16安全審計應建立常態化安全審計機制，審計工作開展頻率應不低于每月1次，范圍至少應覆蓋政務云平臺、云上信息系統。16.2人員配置16.2.1應配備專職審計人員或采購安全審計服務。16.2.2應劃分審計管理員、系統管理員、安全管理員等獨立的運維管理角色，僅審計管理員具備審計權限，僅系統管理員具備日常管理權限，僅安全管理員具備賬戶管理權限。16.3開展情況16.3.1應建立統一的日志采集和存儲工具，確保日志審計記錄留存時間不低于6個月，應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。審計。16.3.3應對管理員賬號的敏感操作行為進行審計，審計是否有對應的管理審批記錄等，應對特權賬號的使用情況進行審計。16.3.4應對可