贵州省政府网站安全规范

贵州省政府网站集约化安全规范政府网站安全规范2019年xx月xx日发布2019年xx月xx日实施贵州省人民政府办公厅发布范围本文件规定了政府网站安全职责划分及安全防护相关要求。本文件适用于政府网站安全设计、建设、防护、运维管理。规范性引用文件下列文件对于指导本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件；凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。DB52/T贵州省政府网站安全规范GB/T22239-2019《信息安全技术网络安全等级保护基本要求》GB/T22240-2020《信息安全技术网络安全等级保护定级指南》术语和定义3.1政府网站各级人民政府及其部门、派出机构和承担行政职能的事业单位在互联网上开办的，具备信息发布、解读回应、办事服务、互动交流等功能的网站。政府网站包括政府门户网站和政府部门网站。3.2贵州省政府网站集约化平台为政府网站集约化建设提供的统一政府网站技术平台，包含支撑全省政府网站运行的物理环境、网络环境、服务器操作系统和数据库系统等。3.3统一信息资源库对来自各级各部门政府网站的信息资源统一汇聚，实现统一分类、统一元数据、统一数据格式、统一管理、统一调用、统一监管。3.4网站安全通过采取必要措施，防范对网站的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网站处于稳定可靠运行的状态，以及保障网站数据的完整性、保密性、可用性的能力。3.5网站数据通过网站收集、存储、传输、处理和产生的各种电子数据。3.6个人信息以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。3.7移动终端在移动业务中使用的终端设备，包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备。3.8网站标识用于公众识别网站身份和系统安全的电子图形标识。党政机关网站标识是指党政机关向机构编制部门提出申请，经核准后统一颁发、包含可公开的单位基本信息和网上名称信息等内容并显示在网站显著位置的电子标识。3.9云上贵州系统平台贵州省自主搭建的全国首个实现政府数据“统筹存储、统筹共享、统筹标准和统筹安全”的关键信息基础设施，是全省政府数据“集聚、融通、应用”的重要支撑，为政府和企事业单位提供云计算、云储存、数据库、云安全及数据共享开放等服务，由云上贵州大数据产业发展有限公司（以下简称“云上贵州公司”）运营，云上贵州公司系云上贵州大数据（集团）有限公司（以下简称“云上贵州集团公司”）的全资子公司。3.10集约化平台运营方云上贵州及相关服务厂商。安全防护概述4.1安全防护目标4.1.1政府网站安全防护目标政府网站系统的特殊属性使其更容易遭到来自互联网的攻击。攻击者为了破坏政府形象、干扰政府工作秩序或窃取政府门户网站的敏感信息，采用Web应用攻击、拒绝服务攻击、暴力破解攻击、上传恶意木马等方式，实现篡改网页、中断服务、窃取信息、控制网站等攻击目标。政府网站的安全防护工作应重点实现以下目标：a）提升网页防篡改及监测、恢复能力，降低网页被篡改的安全风险；b）提高入侵防范能力及系统可用性，降低网站服务中断的安全风险；c）强化数据安全管控措施，降低网站敏感信息泄露的安全风险；d）构建纵深防御体系，降低网站被恶意控制的安全风险。4.1.2集约化平台安全防护目标贵州省政府网站集约化平台整体安全防护应当按照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级安全要求进行，即：能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾害、以及其他相当危害程度的威胁所造成的主要资源损害；能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快恢复绝大部分功能。4.2主要安全责任主体4.2.1主管单位责任省政府办公厅是全省政府网站的主管单位，负责对全省政府网站进行统筹规划和监督考核，做好安全管理、督查问责等管理工作；各级人民政府办公厅（室）承担本地区政府网站的相关安全管理职责；实行全系统垂直管理的部门开办的政府网站由本系统国务院部门办公厅（室）负责管理。4.2.2主办单位责任各级人民政府办公厅（室）是本级政府门户网站的主办单位，各级各部门是本部门政府网站的主办单位，承担网站的建设规划、组织保障、健康发展、安全管理等职责。4.2.3支撑单位责任根据全省政务信息化建设统一规划，支撑单位负责为全省政府网站及集约化平台提供统一的云计算、云存储、云管控、云安全、数据资源建设等服务，包含云上贵州系统平台提供的云计算基础设施及其服务软件的集合。4.2.4服务运维单位责任主办单位可按政府采购相关要求，通过购买服务等方式委托相关单位具体承担政府网站服务外包与运维工作，服务内容由双方自行约定，但应接受省内相关规定的统一管理。安全职责分析5.1安全职责整体分析图要改为架构图平台、支撑、主管、主办单位、图要改为架构图平台、支撑、主管、主办单位、1+3（办公厅、主办、支撑单位）+n图1集约化模式下政府网站安全界面详细安全管理职责分工见5.2贵州省政府网站安全管理职责分工小节。5.2贵州省政府网站安全管理职责分工控制范围决定安全责任边界，本文件对省人民政府办公厅、支撑单位、政府网站主办单位间的安全职责分工如下所示，具体职责及要求，详见各主体安全职责分工：表1贵州省政府网站安全管理职责分工贵州省政府网站安全管理职责分工内容事项安全职责分工省人民政府办公厅支撑单位政府网站主办单位集约化平台建设建设单位管理职能★☆承建单位实施职能☆★主办单位问题上报与反馈☆☆★安全物理环境集约化平台部署安全物理环境★主办单位安全物理环境★安全通信网络互联网安全（沟通协调）★☆☆云上贵州平台内部通信★VPN★密码技术加密（通用加密项）★本地端通信网络（接入设备内）★安全区域边界集约化平台安全区域边界★本单位安全区域边界★安全计算环境集约化平台★个性化应用★安全管理制度集约化平台安全管理制度（建设单位）★☆全省政府网站安全管理规范★☆☆集约化平台安全管理制度（承建单位）☆★本单位政府网站安全管理制度★网站服务运维商安全管理制度★安全管理机构集约化平台安全管理机构（建设单位）★☆全省政府网站安全管理领导机构★集约化平台安全管理机构（承建单位）★本单位政府网站安全管理机构★安全沟通协调加强与国家、省级各部门间沟通协调★加强全省主办单位间沟通协调★☆加强集约化平台各方间沟通协调★☆加强集约化平台供应链沟通协调★加强与网站服务运维单位沟通协调★加强与本地安全机构沟通协调★安全检查组织全省政府网站安全检查★☆组织集约化平台安全检查（建设单位）★☆实施集约化平台安全检查（承建单位）★实施政府网站安全检查☆★安全管理人员设置集约化平台安全管理人员（建设单位）★☆集约化平台安全管理人员（承建单位）★主办单位内部安全管理人员（承建单位）★安全运维管理集约化平台安全运维管理（建设单位）★☆集约化平台安全运维实施★政府网站安全运维管理☆★域名安全管理域名管理协调（主管单位）★域名安全管理协调★集中域名解析商选择与管理★☆域名集中解析安全管理（承建单位）★本单位域名管理★备注：1.上表中，对存在范围交叉的管理职责，按照“特殊优于一般”的解释效力，根据相关部门对政府网站的相关管理规定执行。2.上表中，对存在范围交叉的集约化平台建设安全职责、应用系统安全职责，需要借助操作日志、审计系统及具体事故分析等进行认定。3.上表中★代表主要责任主体，☆代表次要责任主体。5.3其他安全界面分析对政府网站自行接入与建设的个性化应用、网络优化等服务，政府网站主办单位与网站服务运维单位安全权责应根据内部管理机制、合同约定等自行划分。省人民政府办公厅安全管理职责6.1集约化平台建设安全管理6.1.1产品与服务采购6.1.1.1云服务商采购a）根据全省政务信息化建设统一规划，按程序选取云上贵州大数据产业发展有限公司作为云平台服务商，督促并确保云上贵州系统平台在集约化项目建设中满足GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级关于安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等要求；b）在云服务合同中规定云上贵州云服务的各项服务内容和具体技术指标；c）在云服务合同中规定云上贵州大数据产业发展有限公司的权限与责任，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等；d）在云服务合同中规定服务合约到期时，完整提供集约化平台、统一信息资源库及政府网站的客户数据，并承诺将相关数据在云上贵州系统平台上清除；e）与云上贵州大数据产业发展有限公司签署保密协议，不得泄露政府网站用户数据。6.1.1.2集约化平台服务商选择a）根据全省“一云一网一平台”统一规划，按程序选取云上贵州大数据产业发展有限公司作为集约化平台服务商，并保证选取过程符合国家的有关规定；b）与集约化平台其他相关服务商签订相关协议，明确集约化平台整个服务供应链各方需履行的网络安全相关义务；c）定期监督、评审和审核各类服务供应商提供的服务，并对其变更的服务内容加以控制。加以什么控制？加以什么控制？6.1.1.3其他产品与服务采购确保省人民政府办公厅自行组织的其他与集约化平台相关产品与服务的采购、使用符合国家有关规定，并应优先采用国产安全自主可控的软硬件产品。6.1.2集约化平台方案设计组织相关部门和有关安全专家对集约化平台整体安全规划及其配套文件的合理性和正确性进行论证和审定，经过批准后正式实施。6.1.3定级和备案a）以书面的形式说明集约化平台的安全保护等级及确定方法和理由；b）组织相关部门和有关安全技术专家对集约化平台定级结果的合理性和正确性进行论证和审定；c）保证集约化平台定级结果经过相关部门的批准；d）将集约化平台备案材料报主管部门和相应公安机关备案。6.1.4集约化平台建设实施a）省人民政府办公厅指定或授权专门部门及人员负责集约化工程实施过程的管理；b）制定安全工程实施方案控制工程实施过程；c）通过第三方工程监理控制项目的实施过程。6.1.5外包软件开发a）保证集约化平台开发单位提供软件设计文档和使用指南；b）保证集约化平台开发单位提供软件源代码。6.1.6集约化平台测试验收制订测试验收方案，并依据测试验收方案实施测试验收，形成测试验收报告。6.1.7系统交付a）制定或督促监理单位制定交付清单，并根据交付清单清点交接的设备、软件和文档等；b）督促监理单位要求集约化平台相关服务商对负责运行维护的技术人员进行相应的技能培训；c）制定或督促监理单位要求集约化平台服务商提供建设过程文档和运行维护文档。6.1.8等级保护评测6.1.8.1集约化平台等级保护评测a）定期组织对集约化平台进行等级测评，若发现不符合相应等级保护标准要求的，督促相关服务商及时整改；b）在集约化平台发生重大变更或级别发生变化时应组织进行等级测评；c）确保测评机构的选择符合国家有关规定。6.1.8.2协调政府网站等级保护评测根据全省政府网站各主办单位等保评测需求，协调支撑单位提供集约化平台已获得的等级保护评测报告等证明材料并督促其履行相关配合服务。6.1.9主办单位问题上报与反馈各主办单位在政府网站日常运维中，如发现遭受挂马、黑链接或其他安全问题时，应及时上报主管单位，主管单位上报至省人民政府办公厅；省人民政府办公厅受理问题后网站遭受挂马黑链接怎么解决？应及时响应。网站遭受挂马黑链接怎么解决？6.2安全管理制度6.2.1制定安全策略组织制定集约化平台安全工作的总体方针和安全策略，阐明安全工作的总体目标、范围、原则和安全框架等。6.2.2制安全管理制度6.2.2.1集约化平台安全管理a）根据网信部门相关规定，将集约化平台列为关键信息基础设施，建立各类安全管理制度，在严格执行等级保护制度的基础上，实行重点保护；b）对集约化平台管理人员或操作人员执行的日常管理操作建立操作规程；c）形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。6.2.2.2政府网站安全管理a）定期组织全省主办单位开展安全管理和技术防护措施检查；b）组织全省政府网站人员开展安全培训、安全教育、技术培训和技能考核，提高安全意识和防范水平；c）密切关注网信、电信主管等部门发布的系统漏洞、计算机病毒、网络攻击、网络侵入等预警和通报信息，并及时通报；d）对全省政府网站工作失职导致重大安全事故进行责任追究。6.2.2.3安全管理制度制定、发布、评审、宣贯培训a）指定或授权专门的部门或人员负责安全管理制度的制定；b）对安全管理制度应通过正式、有效的方式发布，并进行版本控制；c）定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需改进的安全管理制度进行修订；d）对正式发布的安全管理制度体系，进行宣贯培训。6.3安全管理机构6.3.1机构设置a）成立指导和管理集约化平台与政府网站安全工作的委员会或领导小组，其最高领导由省人民政府办公厅分管领导及以上领导担任或授权；b）明确集约化平台与政府网站安全管理工作的职能部门，明确部门职责；c）设立系统管理员、审计管理员和安全管理员等岗位，并明确各个工作岗位的职责。6.3.2人员配备a）为集约化平台配备一定数量的系统管理员、审计管理员和安全管理员等；b）配备专职安全管理员，不可兼任。备：后期如采用购买服务方式，集约化平台资产移交支撑单位后，除保留一定数量的系统管理员外，本项职责随之转移。6.3.3授权和审批a）明确集约化平台与政府网站相关各个部门、岗位所授权的审批事项、审批部门和批准人等；b）针对集约化平台系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行，对重要活动建立逐级审批制度；c）定期审查集约化平台与政府网站相关审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息。6.4安全管理沟通和合作a）加强与国家域名注册管理机构、省委网信办、省委编办、省大数据局、省通管局、省公安厅的协同合作，做好重要信息通报共享；b）加强集约化平台与政府网站相关各类管理人员、组织内部机构、各类供应商和政府网站主办单位之间的合作与沟通，定期召开协调会议，共同协作处理网络安全问题；c）加强与业界专家及安全组织的合作与沟通；d）建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息。6.5安全检查a）定期组织支撑单位进行常规安全检查，检查内容包括集约化平台运行、系统漏洞和数据备份等情况；b）定期组织支撑单位进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等；c）汇总安全检查数据，形成安全检查报告,并对安全检查结果进行通报；d）定期组织全省政府网站开展安全管理和技术防护措施检查。6.6安全管理人员6.6.1人员录用a）指定省人民政府办公厅内部专门的部门或人员负责集约化平台安全管理人员的录用；b）对被省人民政府办公厅内部录用人员的身份、安全背景、专业资格或资质等进行审查，对其所具有的技术技能进行考核；c）与被省人民政府办公厅内部录用人员签署保密协议，并与关键岗位人员签署岗位责任协议。6.6.2人员离岗a）及时终止离岗人员的集约化平台及政府网站所有访问权限，取回各种身份证件、钥匙、徽章、机构提供的硬件设备等；b）应办理严格的调离手续，并签订保密义务后方可离开。6.6.3安全意识教育和培训a）对集约化平台与政府网站相关各类人员进行安全意识教育和岗位技能培训，并告知相关的安全责任和惩戒措施；b）针对集约化平台与政府网站不同岗位制定不同的培训计划，对安全基础知识、岗位操作规程等进行培训；c）定期对不同岗位的人员进行技能考核。6.7安全运维管理6.7.1运维单位选择根据全省“一云一网一平台”建设模式，省人民政府办公厅将按程序选取云上贵州大数据产业发展有限公司作为运维单位，将由云上贵州公司按照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级中安全运维管理相关要求完成如下安全运维工作：a）环境管理b）介质管理c）设备维护管理d）漏洞和风险管理e）网络和系统安全管理f）恶意代码防范管理g）配置管理h）密码管理i）备份与恢复管理6.7.2资产管理a）编制并保存与集约化平台相关的资产清单，包括资产责任部门、重要程度和所处位置等内容；b）对集约化平台、政府网站等信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理。6.7.3变更管理a）明确集约化平台变更需求，变更前根据变更需求制定变更方案，变更方案经过评审、审批后方可实施；b）建立集约化平台变更的申报和审批控制程序，依据程序控制所有的变更，记录变更实施过程；c）建立中止变更并从失败变更中恢复的程序，明确过程控制方法和人员职责,必要时对恢复过程进行演练。6.7.4安全事件处置a）及时向安全管理部门报告所发现的安全弱点和可疑事件；b）制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程，规定安全事件的现场处理、事件报告和后期恢复的管理职责等；c）在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训；d）对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序。6.7.5应急预案管理a）规定统一的应急预案框架，包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容；b）省人民政府办公厅组织应急预案手册编制，制定集约化平台重要事件的应急预案，包括应急处理流程、系统恢复流程等内容，并向省公安厅备案；c）定期对系统相关的人员进行应急预案培训，并进行应急预案的演练，提高对网络攻击、病毒入侵、系统故障等风险的应急处置能力；d）定期对原有的应急预案重新评估，修订完善。6.8其他安全职责6.8.1域名安全管理a）统筹协调全省政府网站域名管理和业务指导，统一审核把关域名的注册、变更和注销工作；b）组织开展全省政府网站域名集中解析工作，按规定选择并委托具有应急灾备、抗攻击等能力的域名解析服务提供商进行域名解析；c）加强合同签订与管理，督促并确保域名集中解析服务商严格履行安全责任和义务；d）接收并及时处理国家域名注册管理机构发送的政府网站域名监测情况通报；e）组织集约化平台各方及全省政府网站主办单位定期开展政府网站域名服务应急演练；f）加大对政府网站域名安全问题的统筹协调力度，对于发现域名的违法违规行为，及时通报并协调相关部门按职责分工依法打击查处；g）将域名管理情况纳入常态化抽查范围，加大对不按流程注册、注销或擅自出租、出借、转让域名等违规情况的通报问责力度，造成严重后果的，对分管领导和有关责任人依法依规追究责任。6.8.2政府网站主办单位管理职责省人民政府办公厅作为政府网站主办单位的，适用政府网站主办单位安全管理职责。网站主办单位安全管理职责7.1安全基础设施a）负责本单位接入设备以内的网络、PC终端、移动终端等安全；b）配合搭建安全计算环境，如接入终端、网站管理后台等；c）建立内部终端安全防范制度，网站负责人、素材提供人员所用电脑及移动终端必须加强病毒、黑客安全防范、终端准入控制等措施，必须有相应的安全软件实施保护，确保电脑内的资料和账号密码的安全、可靠；d）定期查找本地端主机系统、网络设备及其他设备系统中存在的补丁漏洞和配置漏洞，进行加固，以保障系统的安全性。7.2安全通信网络a）遵从集约化平台提供的密码服务、VPN管理规定，按规定使用密码服务、VPN等；b）有条件的主办单位宜在本地端采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；c）全省政府网站建设需全面支持互联网协议第六版（IPv6），政府网站运行所需接入设备、移动终端、固定终端、安全设备、内部网络、专线等应逐步完成IPv6替换或改造。7.3网站安全管理a）各政府网站主办单位负责本单位政府网站的建设、开办、维护和日常管理工作，并接受省人民政府办公厅的业务指导和监督；b）主办单位加强自身网站域名安全的日常监测和定期检查评估，发现政府网站存在安全缺陷、漏洞等风险时，应当立即采取补救措施，并及时向上级主管部门报告；c）建立安全监测预警机制，实时监测网站内容、网站页面、网站数据等运行状态以及网站挂马、内容篡改等攻击情况，并及时将异常情况上报上级主管部门；d）加强日常巡检和监测，按要求定期对政府网站开展安全检测评估，确保网站平台安全、稳定、高效运行；e）在网信、公安等部门的指导下，加强网络安全监测预警技术能力建设，接受网络安全主管部门的网络安全监管；f）组织评估检测，可委托网络安全服务机构对本单位政府网站的安全性和可能存在的风险隐患每年至少进行一次检测评估，对发现的问题及时进行整改。7.4安全数据管理7.4.1网站内容安全管理a）建立内容发布审批体系及保密审查制度，拟发布的网站信息应按内部审核程序确认后发布，并对发布内容登记建档；指定人员负责对上传至集约化平台及实行服务外包的数据、业务进行保密审查，确保涉及国家秘密、工作秘密的业务与数据，不上传至集约化平台，不实行服务外包；b）政府网站因信息公开、数据开放以及公示、公告等需要公布企业、个人数据的，应当采取脱密、脱敏等措施，防止泄露国家秘密、商业秘密和个人信息；c）政府网站主办部门应当加强网站内容管理，政府网站内容素材提供业务部门应建立保密审查机制，信息发布前依照程序进行保密审查，明确需发布信息的公开属性；并定期清理、审查网站内容，发现其存储、管理、发布的内容含有违法内容的，应当及时处理并采取补救措施，情节严重的应当向上级主管部门报告；d）主办单位向集约化平台报送账户时，应分开提供内容编制、审核发布人员，实现网站内容编辑与审核发布权限分离。e）转载其他网站信息时应履行保密审查程序。7.4.2敏感信息安全保护a）基于政府网站采集数据应当具有合法目的和用途，遵循最小且必要和正当原则，服务提供者应当向用户明示并取得同意，不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，对其收集的用户信息严格保密，保证数据的真实性、完整性、保密性，并建立健全用户信息保护制度；b）对包含敏感信息和公民隐私信息、直接影响本单位运转和公众生活工作的关键业务，应在确保安全情况下实施服务外包。7.5安全管理人员a）各政府网站主办单位应当制订详细的工作人员管理制度，明确本单位政府网站安全责任人，明确人员的职责和权限，落实本单位政府网站安全保护责任；b）强化安全培训，定期对本单位网站服务单位相关人员进行安全教育、技术培训和技能考核，提高安全意识和防范水平；c）本单位政府网站被列为关键信息基础设施的，组织对关键岗位人员进行安全背景审查；被列为等级保护三级系统的，需进行“三员”审查；d）定期开展业务培训，提高人员素质，重点加强负责系统操作和维护工作的人员的培训考核工作，实行考核上岗制度；e）规范人员调离制度，做好保密义务承诺、资料退还、系统口令更换等必要的安全保密工作；f）严格设定访问和操作权限，实现系统管理、内容编辑、内容审核等用户的权限分离，明确外包服务商的人员用户权限；g）建立追责制度，对工作人员因工作失职导致安全事故的进行责任追究；h）向集约化平台报送用户时，应实现内部后台不同用户角色统一，统一解释的权限分离。角色统一，统一解释7.6安全管理制度7.6.1安全管理制度a）严格贯彻落实国家、部门及省级各类政府网站安全管理规范；b）建立健全本单位内部政府网站及新媒体安全管理制度，明确内部安全管理职责；c）对政府网站工作人员、素材提供人员、运维外包人员执行的日常管理操作建立操作规程及记录表单；d）建立政府网站内部审批制度，明确主办单位内部相关部门和人员岗位职责，明确授权审批事项、审批部门和批准人。对政府网站重要操作、重要变更、重大事项等事项建立审批程序，按照审批程序执行审批过程，对组织重要活动、敏感信息发布等重要事项建立逐级审批制度，并每年审查审批事项，及时更新需授权的审批事项、审批部门和审批人等；e）定期开展安全管理和技术防护措施检查；f）强化安全培训，加强对政府网站相关人员进行安全教育、技术培训和技能考核，提高安全意识和防范水平；g）密切关注网信、电信主管等部门发布的系统漏洞、计算机病毒、网络攻击、网络侵入等预警和通报信息，并及时响应；h）明确各主办单位内部安全管理机构，对因工作失职导致安全事故的进行责任追究。7.6.2安全等级保护a）按照网络安全法等法律法规和政策标准要求，贯彻落实网络安全等级保护制度，积极开展政府网站检测评估和安全建设；b）依据GB/T22240-2020《信息安全技术网络安全等级保护定级指南》自主确定本单位政府网站安全保护等级；c）选择等保测评单位对本单位政府网站进行评测，其中集约化平台相关建设内容已获得的等级保护评测报告等证明材料由支撑单位配合提供；d）接入集约化平台的个性化应用、政务业务系统、新增功能模块、外包开发功能等，应按照对应等级保护相关要求实施，接入前应通过技术与安全测试，测试未通过的不得上线提供服务。7.7安全运维管理a）建立健全安全事件报告及处理制度，发现政府网站存在安全缺陷、漏洞等风险时，应当立即采取补救措施，保存证据，并视安全突发事件的严重程度，及时向本级信息行业主管部门和省人民政府办公厅报告；b）主办单位应充分估计各种突发事件的可能性，参考贵州省人民政府发布的《贵州省人民政府集约化门户网站云平台安全事件应急预案》制定本单位政府网站应急响应方案，应急预案应与岗位责任制度相结合，保证应急响应方案的及时实施，并向本级政府网站主管单位和公安部门备案；c）定期组织开展应急演练，提高对网络攻击、系统故障等风险的应急处置能力；d）加强人工自检方式，对网站内容篡改情况进行实时监测和处置；e）鼓励有条件的主办单位自行采购木马监控系统、网页防篡改系统或第三方安全服务等方式对网站挂马情况、网站内容篡改情况进行实时监测和处置。7.8服务外包安全管理a）确保外包运维服务商的选择符合国家的有关规定；b）与选定的外包运维服务商签订相关的协议，明确约定外包运维的范围、工作内容；c）主办单位应按合同管理等有关要求，参考等级保护规范、贵州省政府网站安全管理相关规范等，明确双方安全和保密义务与责任，合同中应要求服务商加强对员工的安全和保密教育，自觉维护政府网站运行及内容安全等；d）保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力，并将能力要求在签订的协议中明确；e）在与外包运维服务商签订的协议中明确所有相关的安全要求。如可能涉及对敏感信息的访问、处理、存储要求，对IT基础设施中断服务的应急保障要求等；f）对直接参与政府网站运行管理的服务商人员应签订安全保密协议，必要时可对关键岗位进行安全背景审查；g）主办单位在实行服务外包前，需开展网站负责人员与相关业务部门人员进网络安全和保密教育培训，明示使用服务外包的安全保密风险。7.9网站外包运维服务商安全管理职责7.9.1外包运维服务商合同管理a）外包运维服务商安全管理职责主要由主办单位与外包运维服务商自行合同约定，外包运维服务商应与主办单位签订正式合同，明确约定外包运维的范围、工作内容，并在合同约定内容内从事相关工作；b）外包运维服务商在技术和管理方面均应具有按照主办单位政府网站等级保护要求开展安全运维工作的能力，并将能力要求在签订的协议中明确；c）外包运维服务商签订的协议中明确所有相关的安全要求，如可能涉及对敏感信息的访问、处理、存储要求、应急保障要求等；d）在服务合同中规定服务合约到期时，应完整提供主办单位所有相关网站数据，并承诺将相关数据在本单位存储上清除；e)在服务合同签订时应明确规定主办单位具有该单位数据的所有权，包括增加、删除、修改、查询和提供完整数据备份的接口。7.9.2安全运维管理基本要求a）应遵守政府部门网络安全政策规定、信息安全等级保护要求、技术标准，落实安全管理和防护措施，接受主办单位和网络安全主管部门的网络安全监管；b）建立终端安全防范制度，服务商内部从事网站外包服务的运维人员、技术开发人员、美工设计人员和信息采编人员所用电脑必须加强病毒、黑客安全防范措施，必须有相应的安全软件实施保护，确保电脑内的资料和账号密码的安全、可靠，网站运维终端应专人专用，并对接入设备以内的网络、PC终端、移动终端进行登记备案；c）发现政府网站存在安全缺陷、漏洞等风险时，应当立即采取补救措施，并及时告知网站主办单位；d）定期对政府网站网页代码进行安全分析和测试，识别并及时处理可能存在的恶意代码；e）应加强人工自检方式，对网站内容篡改情况进行实时监测和处置；f）集约化平台个性化应用、融合服务平台提供相关应用开发，在正式上线前需进行安全分析和测试，识别并及时处理可能存在的恶意代码；g）应保障主办单位对网站资源的访问、利用、支配，未经主办单位授权，不得访问、修改、披露、利用、转让、销毁主办单位数据；h）加强对内部员工的安全和保密教育，对网站操作人员、服务外包人员进行安全规定培训，提高作业人员安全意识，自觉维护政府网站运行及内容安全；i）需落实国家安全防护要求，在发生网络安全案件或重大事件时，及时向主办单位报告，配合开展调查工作；j）当发生重大信息安全事件时，注意保存证据，立即上报并参与事件调查处理；k）在合同或服务终止时，应按要求做好数据、文档等资源的移交和清除工作。7.9.3涉密信息与敏感信息管理a）运维服务人员严格遵守国家机关保密管理工作相关法律法规，保守在工作中所涉及到的秘密；b）运维服务人员不得将主办单位的秘密信息泄漏、告知、公布、发布、出版、传授、复制、转让给任何第三方或以其他任何方式予以披露；严禁将工作中的内部会议、谈话内容泄露给无关人员；严禁将工作中涉及到的相关项目技术方案及实施规划透露给无关人员；不得翻阅与工作无关的文件和资料，不得从事其它与合同无关的工作；c）运维服务人员如需接触主办单位的涉密网络或涉密设备，须事先申请，并遵守国家保密部门制定的相关使用规定。不得将从涉密网络或涉密设备上获得的信息透露给无关人员；严禁私自下载、拷贝涉密网络和涉密设备上的秘密和敏感信息；不得擅自携带记载含有国家秘密或工作秘密信息的硬盘、软盘和打印资料外出；严禁将工作中接触到各种信息系统的程序、口令、密钥等泄露给无关人员；d）运维服务人员在网站服务过程中，须将主要工作人员身份证留底备查；e）运维服务人员不得带领无关人员进入主办单位的办公场所。如要对政府网站进行修改设置等操作时，需告知用户方相关人员，并做好登记和工作记录；f）运维单位应与本单位具体服务人员签订安全保密协议，安全保密协议内容应听取网站主办单位意见，并向网站主办单位提供协议的副本等相关资料；g）如发生泄露国家秘密和工作秘密的事件时，运维服务人员须立即向网站主办单位报告，并积极协助网站主办单位及有关保密部门进行查处。7.9.4其他安全管理7.9.4.1假冒网站处置在日常运维、网民举报中发现假冒政府网站，及时上报政府网站主办单位，政府网站主办单位上报省人民政府办公厅，由省人民政府办公厅转有关单位处置。7.9.4.2知识产权保护在运维服务中使用正版软件，在信息内容发布过程中，避免知识产权纠纷。7.10其他安全管理7.10.1域名安全管理a）按照“谁开设、谁申请、谁使用、谁负责”的原则管理政府网站域名，按规定流程注册、变更、注销政府网站域名；b）不得将已注册的政府网站域名擅自转给其他单位或个人使用，闲置的域名要及时注销；c）本单位域名相关信息变更的，按规定及时报备政府网站域名信息变更情况。7.10.2知识产权保护在本单位政府网站、个性化应用中使用正版软件，在信息内容发布过程中，避免知识产权纠纷。支撑单位安全管理职责8.1安全物理环境参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.2安全通信网络8.2.1网络架构a）动态跟踪集约化平台及政府网站的性能需求，从网络带宽、负载均衡、服务器的处理能力、应用程序的并发处理能力等方面对网站性能予以保障，保证承载集约化平台的网络设备的业务处理能力满足业务高峰期需要；b）保证为集约化平台提供的网络各个部分的带宽（内部网络带宽、出口网络带宽）满足业务高峰期需要；c）为集约化平台划分单独的网络区域，并按照方便管理和控制的原则分配地址；d）避免将集约化平台部署网络区域部署在边界处，集约化平台部署网络区域与其他网络区域之间应采取可靠的技术隔离手段；e）如政府门户网站系统访问量较大或提供在线视频等服务，可以依据网站的日均页面访问量（次）及业务高峰期（包括日高峰及高峰日）访问量酌情调整出口带宽；f）为集约化平台提供云平台基础设施内部通信线路、关键网络设备和关键计算设备的硬件冗余，关键设备包括但不限于出口路由器、核心交换机、应用及数据库服务器等，保证集约化平台与统一信息资源库的可用性；g）集约化平台建设需全面支持互联网协议第六版（IPv6），政府网站及基于政府网站提供服务的系统与产品应全面支持IPv6访问，集约化平台建设功能模块、发布软件开发工具包(SDK)时应支持IPv6技术。8.2.2通信传输a）采用校验技术或密码技术保证通信过程中数据的完整性；b）采用密码技术保证通信过程中数据的保密性；c）至少部署2条由不同互联网接入服务商提供的互联网接入链路。8.2.3云服务要求a）为集约化平台提供的云服务及云平台的安全保护等级为三级及以上；b）实现集约化平台以及其他业务系统的虚拟网络之间的隔离；c）具有根据集约化平台业务需求提供通信传输、边界防护、入侵防范等安全机制的能力；d）具有根据集约化平台业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略等；e）提供开放接口或开放性安全服务，允许集约化平台接入第三方安全产品或支撑单位选择第三方安全服务。8.3安全区域边界8.3.1边界防护a）保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；b）能够对非授权设备私自联到集约化平台区域网络的行为进行检查或限制；c）保证无线网络通过受控的边界设备接入集约化平台区域网络；d）采用在交换设备上划分VLAN或部署安全域边界防火墙等方式实现集约化平台系统所在安全域与其他业务系统所在安全域之间的逻辑隔离。8.3.2访问控制a）在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；b）应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；c）对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；d）能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力；e）对进出网络的数据流实现基于应用协议和应用内容的访问控制；f）应通过对接“贵州省统一实名认证系统”用户单点登录；g)应建立网站应用程序与其他业务系统交互的数据列表，规范交互数据的内容及格式；h）宜采用身份鉴别、访问控制、加密传输、加密存储等安全措施确保业务数据交互过程的安全性。8.3.3入侵防范a）在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；b）在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；c）采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析；d）当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警；e）针对信息系统中的安全事件进行实时监控,监测和阻断端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等常见网络攻击行为，并监测和阻断目录遍历攻击等Web服务器漏洞攻击行为以及SQL注入、跨站脚本攻击等网站自身漏洞攻击行为。8.3.4恶意代码和垃圾邮件防范参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.3.5安全审计a）在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；b）针对政府网站前台用户的注册、登录、关键业务操作等行为日志进行记录，内容包括但不限于用户姓名、手机号码、注册时间、注册地址、登录时间、登录地址、操作用户信息、操作时间、操作内容及操作结果等；c）针对政府网站后台内容管理用户的登录、网站内容编辑、审核及发布等行为进行日志记录，内容包括但不限于用户登录时间、登录地址以及编辑、审核及发布等行为发生时的用户信息、时间、地址、内容和结果等；d）新增政府网站上线前，应由专业机构进行代码审计、漏洞扫描、渗透测试等安全测试工作。该项服务有限制，仅限深信服签订合同上的491家网站，其余资产等专项网站不在服务范围内。该项服务有限制，仅限深信服签订合同上的491家网站，其余资产等专项网站不在服务范围内。e）针对集约化平台及政府网站系统管理用户的登录、账号及权限管理等系统管理操作进行日志记录，内容包括但不限于网站用户登录时间、登录地址以及管理操作对象、操作内容、操作结果等；f）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；g）对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；h）能对远程访问的用户行为等单独进行行为审计和数据分析。8.3.6云服务要求8.3.6.1访问控制a）在虚拟化部署访问控制机制，并设置访问控制机制；b）在不同等级的网络区域边界部署访问控制机制,设置访问控制规则。8.3.6.2入侵防范a）能够检测到外界对集约化平台发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等；b）能够检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等；c）能够检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量；d）能够对检测到的网络攻击行为、异常流量情况时进行告警。8.3.6.3安全审计对云上贵州系统平台、集约化平台管理用户在远程管理时执行的特权命令进行审计，至少包括虚拟机删除、虚拟机重启。8.4安全计算环境8.4.1身份鉴别参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.4.2访问控制参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.4.3安全审计参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.4.4入侵防范参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.4.5恶意代码防范a）釆用免受恶意代码攻击的技术措施或主动免疫可信验证机制，及时识别入侵和病毒行为并将其有效阻断；b）对集约化平台的应用软件代码进行安全分析和测试，识别并及时处理可能存在的恶意代码；c）对个性化应用、融合服务接入的代码进行安全分析和测试，识别并及时处理可能存在的恶意代码。8.4.6数据完整性a）对重要数据、敏感数据进行分类管理，提供加密存储和传输的能力；b）应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；c）应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；d）部署相应的网页防篡改产品，对全省政府网站所有静态页面和动态页面进行监控和保护。8.4.7数据保密性参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.4.8数据备份恢复a）提供重要数据的本地数据备份与恢复功能；b）提供异地备份功能，利用通信网络将重要数据备份至备份场地；c）提供重要数据处理系统的热冗余，保证系统的高可用性；d）集约化平台及统一信息资源库的应用程序、系统数据（用户信息、发布信息等）、配置数据（网站应用、操作系统、数据库及网络、安全设备的配置信息等）及审计日志等宜定期进行备份，至少每周进行一次完全备份、每3个月实施一次备份恢复演练；e）针对内容发布、在线办事等网站关键业务的重要数据、个人信息及隐私信息，采取异地数据备份措施，将关键数据定时批量传送至备用场地。8.4.9剩余信息保护参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.4.10个人信息保护参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.4.11云服务要求a）身份鉴别：当远程管理云上贵州系统平台设备时，管理终端和云上贵州系统平台之间应建立双向身份验证机制；b）访问控制：保证当虚拟机迁移时，访问控制策略随其迁移；允许省人民政府办公厅设置不同虚拟机之间的访问控制策略；c）入侵防范：能检测虚拟机之间的资源隔离失效，并进行告警；应能检测非授权新建虚拟机或者重新启用虚拟机，并进行告警；能够检测恶意代码感染及在虚拟机间蔓延的情况，并进行告警；d）镜像和快照保护：1）针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务；2）提供虚拟机镜像、快照完整性校验功能，防止虚拟机镜像被恶意篡改；。e）数据完整性和保密性：1）确保省人民政府办公厅数据、用户个人信息等存储于中国境内，如需出境应遵循国家相关规定；2）确保只有在省人民政府办公厅授权下，支撑单位或第三方才具有省人民政府办公厅数据的管理权限；3）使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性，并在检测到完整性受到破坏时采取必要的恢复措施；4）支持省人民政府办公厅部署密钥管理解决方案，保证省人民政府办公厅自行实现数据的加解密过程。f）数据备份恢复：1）省人民政府办公厅应在本地保存其业务数据的备份；2）提供查询省人民政府办公厅数据及备份存储位置的能力；3）云服务商的云存储服务应保证省人民政府办公厅数据存在若干个可用的副本，各副本之间的内容应保持一致；4）为省人民政府办公厅将集约化平台业务系统及数据迁移到其他云计算平台和本地系统提供技术手段，并协助完成迁移过程。g）剩余信息保护：1）保证虚拟机所使用的内存和存储空间回收时得到完全清除；2）省人民政府办公厅删除政府网站业务应用数据时，支撑单位应将云存储中所有副本删除。8.4.12应用安全a）设置严格的访问控制策略，防止集约化平台后台管理系统暴露在互联网中；b）部署必要的安全防护设备，应对病毒感染、恶意攻击、网页篡改和漏洞利用等风险，对全省政府网站运行情况进行监测；c）加强集约化平台管理终端的安全管理，定期开展安全检查，防止管理终端成为集约化平台管理系统的风险入口；d）在集约化平台中严格设定访问和操作权限，实现系统管理、内容编辑、内容审核等用户的权限分离；e）要对管理用户的操作行为进行记录；f）不少于每季度1次对集约化平台应用程序、操作系统及数据库、管理终端进行全面扫描，发现潜在安全风险并及时处置；g）建立安全监测预警机制，实时监测集约化平台的应用系统、统一资源库数据等运行状态，异常情况进行报警和处置；h）对主办单位用户操作、管理用户操作等建立运行日志，留存运行日志不少于六个月；i）严格管理集约化平台及统一信息资源库存储的信息数据，通过磁盘阵列、网页加速服务等方式定期、全面备份网站数据，提升容灾备份能力；j）集约化平台提供技术手段辅助进行网站发布内容的过滤。8.5安全管理中心8.5.1系统管理参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.5.2审计管理参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.5.3安全管理参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.5.4集中管控参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.5.5云服务要求a）能够对物理资源和虚拟资源按照策略做统一管理调度与分配；b）保证支撑单位管理流量与集约化平台业务流量分离；c）根据支撑单位和集约化平台运营方的职责划分，收集各自控制部分的审计数据并实现各自的集中审计；d）根据支撑单位和集约化平台运营方的职责划分，实现各自控制部分，包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测。8.6安全管理制度参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.7安全管理机构8.7.1岗位设置a）成立云上贵州系统平台内部指导和管理网络安全工作的委员会或领导小组，其最高领导由单位主管领导担任或授权；b）设立网络安全管理工作的职能部门，制定部门和部门领导职责；c）设立系统管理员、审计管理员和安全管理员等岗位，并定义部门及各个工作岗位的职责。8.7.2人员配备参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.7.3授权和审批参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.7.4沟通和合作参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.7.5审核和检查参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.8安全管理人员参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.9集约化平台安全建设管理8.9.1定级和备案协助省人民政府办公厅分析集约化平台的安全保护等级需求。8.9.2安全方案设计a）根据安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施；b）根据集约化平台的安全保护等级进行安全整体规划和安全方案设计,设计内容应包含密码技术相关内容，并形成配套文件；c）参与省人民政府办公厅组织的安全方案论证和审定。8.9.3产品采购和使用a）为集约化平台提供的网络产品和服务应通过网信部门组织的安全审查，为平台提供的关键设备和安全专用产品需通过安全认证和安全检测；b）确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求；c）确保政府网站及集约化平台IPV6产品采购和使用符合国家的有关规定。8.9.4自行软件开发参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.9.5外包软件开发参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.9.6工程实施a）指定或授权内部专门的部门或人员负责集约化工程实施过程的管理；b）在集约化项目实施中，制定安全工程实施方案，控制工程实施过程；c）在集约化项目实施中，接受第三方工程监理单位的监督和管理。8.9.7测试验收参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.9.8系统交付a）根据合同要求完成交付物，并制定交付清单；b）对负责运行维护的技术人员进行相应的技能培训；c）提供建设过程文档和运行维护文档。8.9.9等级测评定期配合省人民政府办公厅进行等级测评，发现不符合相应等级保护标准要求的，配合整改。8.9.10服务供应商选择a）确保云上贵州系统平台供应链服务商的选择符合国家有关规定；b）根据省人民政府办公厅授权，选择集约化模式下政府网站运行相关服务供应商，确保服务供应商的选择符合国家的有关规定；c）与选定的服务供应商签订相关协议，明确整个服务供应链各方需履行的网络安全相关义务；定期监督、评审和审核服务供应商提供的服务；d）将供应链安全事件信息或安全威胁信息及时传达到省人民政府办公厅；e）将供应商的重要变更及时传达到省人民政府办公厅，并评估变更带来的安全风险，采取措施对风险进行控制。8.10安全运维管理8.10.1环境管理参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.10.2资产管理a）编制并保存与集约化平台相关的资产清单，包括资产责任部门、重要程度和所处位置等内容；b）根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施；c）对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理；d）在云服务合同中规定服务合约到期时，完整提供政府网站集约化相关数据，并承诺相关数据在云计算平台上清除。8.10.3介质管理参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.10.4设备维护管理参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.10.5漏洞和风险管理参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.10.6网络和系统安全管理参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.10.7恶意代码防范管理a）提高所有用户的防恶意代码意识，对外来计算机或存储设备接入系统前进行恶意代码检查等；b）定期验证防范恶意代码攻击的技术措施的有效性；c）利用木马监控系统或第三方安全服务等方式对网站挂马情况进行实时监测和处置；d）利用网页防篡改系统或第三方安全服务等方式,对网站内容篡改情况进行实时监测和处置。8.10.8配置管理参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.10.9密码管理参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.10.10 变更管理参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.10.11备份与恢复管理参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级保护相关要求执行。8.10.12安全事件处置a）建立安全监测预警机制，实时监测集约化平台的硬件环境、软件环境、支撑环境等运行状态以及网站挂马、内容篡改等攻击情况，对异常情况进行报警和处置；b）及时向省人民政府办公厅与安全管理部门报告所发现的安全弱点和可疑事件；c）制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程，规定安全事件的现场处理、事件报告和后期恢复的管理职责等；d）在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训；e）