DB2201∕T 31-2023 政务云服务与接入安全管理规范

ICS35.020

CCSL09

2201

长春市地方标准

DB2201/T31—2023

政务云服务与接入安全管理规范

ManagementspecificationforE-governmentcloudserviceandaccesssecurity

2023-04-27发布2023-05-01实施

长春市市场监督管理局发布

DB2201/T31—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。

本文件由长春市政务服务和数字化建设管理局提出并归口。

本文件主要起草单位：长春市政务服务和数字化建设管理局、杭州安恒信息技术股份有限公司。

本文件主要起草人：刘竞雄、丁慧东、柳羽辉、孟红月、刘烁、冷皓、戚志军、李艳、王正伟、

牛经男、杨涛、李艳、李朋超、靳书鹏。

I

DB2201/T31—2023

政务云服务与接入安全管理规范

1范围

本文件规定了政务云服务提供者为满足政务云安全接入时的物理和基础安全、应用和数据安全、运

营安全，以及政务云服务使用者接入政务云时的应用安全、数据安全和运营安全等内容。

本文件适用于政务云服务与接入安全的管理工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069信息安全技术术语

GB/T32400信息技术云计算概览与词汇

GB/T35295信息安全技术大数据术语

GB/T39786信息安全技术信息系统密码应用基本要求

3术语和定义

GB/T25069、GB/T32400和GB/T35295界定的以及下列术语和定义适用于本文件。

政务云服务提供者E-governmentcloudserviceprovider

提供政务云环境和配套相关服务的供应方。

政务云服务使用者E-governmentcloudserviceusers

使用政务云环境资源和服务用于搭建部署系统的使用方。

云计算cloudcomputing

通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的模式。

注:资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。

[来源：GB/T31167—2014,3.1]

4缩略语

下列缩略语适用于本文件。

VPN：虚拟专用网(VirtualPrivateNetwork)

DDoS：拒绝服务(DistributedDenialofService)

SSL：安全套接层（SecureSocketLayer）

WAF：Web应用防护系统（WebApplicationFirewall）

1

DB2201/T31—2023

5政务云服务提供者

物理和基础安全

5.1.1应有授权机制，对进出机房人员和运维人员有审核和记录，应定期更新账号和身份认证，运维

和审计人员职责分离。

5.1.2对生产网和非生产网应进行物理隔离，运维人员应通过安全设备登录。

5.1.3硬件环境应符合GB/T39786的要求。

5.1.4特定服务器应具备系统可信和应用可信功能，满足云服务使用者对可信计算环境的需求。

5.1.5应定期对提供的操作系统和镜像模板进行加固。

5.1.6应提供VPN服务，以供政务云服务使用者进行维护。

5.1.7应提供防火墙服务，对租户实例进行端口控制。

5.1.8提供抗DDos和精细化Web应用层资源耗尽型攻击防护。

5.1.9应对每个租户实例资源独立使用，租户实例服务器释放后，原有磁盘和内存空间应数字清零。

5.1.10应将多个计算节点的虚拟机在系统层面进行隔离。

5.1.11应对运维平台账号强密码统一管理，定期审计，人员变动应收回资源重新设置分配。

5.1.12应根据业务需要合理分配用户权限，实行申请、使用和回收机制。

5.1.13应对政务云变更做流程化管理，具备应急和恢复预案，定期组织专家开展攻防演练。

应用和数据安全

5.2.1宜提供漏洞扫描服务并出具报告，指导政务云使用者进行漏洞验证和漏洞修复。

5.2.2应提供代码审计服务、Web应用防护服务，限制爬虫对上云业务系统的数据遍历。

5.2.3应对数据库进行审计，提供敏感数据保护产品。

5.2.4应定期对数据进行完整性扫描。

5.2.5应保证数据的高可用性，提供多副本、系统备份、故障热迁移、负载均衡等多重保护。

5.2.6应提供数据传输、存储的加密服务。

5.2.7应提供使用SSL证书相关的技术支持和帮助。

运营安全

5.3.1应建立态势感知平台对威胁进行分析和响应。

5.3.2应提供主机配置核查服务并根据配置核查结果，调整防火墙策略，不应使用高危端口。

5.3.3应提供日志审计和数据库审计服务并定期配合完成审计。

5.3.4可提供渗透测试服务。

6政务云服务使用者

应用安全

6.1.1按照政务云服务提供者漏洞扫描结果及时进行漏洞验证和漏洞修复。

6.1.2在系统部署上云前应进行代码审计，并对高危漏洞进行整改。

6.1.3对业务系统和配置文件采取强加密算法进行加密。

6.1.4配合政务云服务提供者完成WAF配置时域名和证书的申请、部署工作。

2

DB2201/T31—2023

6.1.5上云业务系统账号应对使用人员进行真实身份验证且使用强密码登陆；对沉淀用户进行限制，

直到再次进行真实身份验证才可继续使用。

6.1.6在上云业务系统中对异常遍历行为进行分析和处置。

数据安全

6.2.1按照数据类型对数据进行分级分类。

6.2.2用于开发、测试、对接等用途的数据应进行数据脱敏。

6.2.3定期进行数据校验，确保数据可用性和完整性。

6.2.4使用加密传输、存储。

6.2.5采用SSL证书。

运营安全

6.3.1配合政务云服务提供者完成安全事件的处置和溯源。

6.3.2根据政务云服务提供者主机配置核查结果，对上云业务系统进行合规配置，加固操作系统。

6.3.3配合政务云服务提供者完成日志审计和数据库审计。

3

DB2201/T31—2023

参考文献

[1]GB/T22239—2019信息安全技术网络安全等级保护基本要求

[2]GB/T31168—2014信息安全技术云计算服务安全能力要求

[3]GB/T33780—2017基于云计算的电子政务公共平台技术规范

[4]GB/T34078—2017基于云计算的