信息安全技术 云平台运维管理规范征求意见稿

ICS点击此处添加ICS号

CCS点击此处添加CCS号

团体标准

T/XXXXXXX—XXXX

信息安全技术云平台运维管理规范

InformationSecurityTechnologyCloudPlatformOperationandMaintenance

ManagementSpecifications

（征求意见稿）

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

XXXX-XX-XX发布XXXX-XX-XX实施

  发布

T/XXXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由××××提出。

本文件由××××归口。

本文件起草单位：

本文件主要起草人：

II

T/XXXXXXX—XXXX

信息安全技术云平台运维管理规范

1范围

本文件规定了云平台运维服务内容、运行保障服务、安全服务保障及应急预警服务等内容。

本文件适用于云平台的运维管理。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T28827.1-2019信息技术服务运行维护第1部分：通用要求

GB/T28827.2-2019信息技术服务运行维护第2部分：交付规范

GB/T28827.3-2019信息技术服务运行维护第3部分：应急响应规范

GB/T28827.4-2019信息技术服务运行维护第4部分：数据中心服务要求

GB/T28827.6-2019信息技术服务运行维护第6部分：应用系统服务要求

GB/T31168-2014信息安全技术云计算服务安全能力要求

GB/T32400-2015信息技术云计算概览和词汇

GB/T36326-2018信息技术云计算云服务运营通用要求

GB/T37740-2019信息技术云计算云平台间应用和数据迁移指南

3术语和定义

下列术语和定义适用于本文件。

云平台cloudplatform

基于硬件资源和软件资源服务提供计算、网络和存储能力，最大限度实现数据资源共享、节约运行

成本、负载能力提高、维护度降低的综合性平台。

云计算服务cloudcomputingservices

将大量用网络连接的计算资源统一管理与调度，使用户通过网络按需、易扩展的方式获得所需的基

础设施级服务（IaaS），平台级服务（PaaS）和软件级服务（SaaS）的方式。

数据存储即服务datastorageasaservice；DSaaS

为云服务客户提供配置和使用数据存储及相关能力的一种云服务类别。

[GB/T32400-2015,定义3.2.22]

运维管理Q&Mmanagement

确保对变化的业务需求与运行环境进行及时有效地支持，以保护数据安全、维护网络稳定、提升用

户体验，实现基于ITIL的流程框架、运维自动化的管理模式。

可维护性maintainability

应用系统能修改以排除故障、改进性能或其他属性或适应变更了的环境的容易程度。

[GB/T11457-2006,定义2.903]

网络安全等级保护networksecuritylevelprotection

1

T/XXXXXXX—XXXX

对云平台信息系统中的各类信息分等级实行安全保护，包括对使用的安全产品实行按等级管理，以

及对信息安全事件分等级进行响应、处置。

安全接入平台secureaccessplatform

外部网络访云平台内部部门业务和公共区业务的统一认证接入平台区域，区域内部署认证授权系统、

VPN接入网关、移动设备管理系统等，为各类智能移动终端和远程办公用户提供可信的安全接入和业务

访问。

云服务商cloudserviceprovider

云计算服务的供应商，提供计算、存储、网络及安全等各类云计算基础设施资源、相关软件和服务。

云服务客户cloudservicecustomer

使用云平台开展业务和处理、存储数据的参与方。

4运维服务内容

机房运维服务

机房运维管理应符合GB/T28827.4的规定，还应遵循以下要求：

a)建立巡检制度，运维人员应定期进入机房巡检，并做好记录；

b)对机房相关设备进行监控，并提供事件或故障发生时的相应支持；

c)提供优化改善服务，对机房的安全性及可靠性升级改善。

数据中心运维服务

数据中心运行维护内容是指针对对象的调研评估、例行操作，响应支持和优化改善。按GB/T

28827.2-2012的规定，数据中心运行维护内容包括:

a)调研评估:对运行维护对象的运行状况进行分析和评估，并提出方案建议。

b)例行操作:

1)监控:对运行维护对象的动态指标、静态指标示、运行状况和发展趋势等进行记录、分析；

2)预防性检查:对监控记录、运行条件和运行状况进行检查和趋势分析，发现其脆弱性,以

消除或改进；

3)常规作业:对运行维护对象进行的日常维护，包括定期维护、配置备份、数据备份、数据

恢复、定期重启等活动。

c)响应支持:

1)事件驱动响应:由于外部事件、系统事件或安全事件，导致运行维护对象整体或部分性

能下降、功能丧失，而触发的将运行维护对象恢复到正常状态的活动；

2)服务请求响应:由于需方提出各类服务请求，引发的需要针对运行维护对象、服务级别

做出调整或修改的响应型服务，可能涉及服务级别、服务范围、技术资源、服务提供方

式等的变更；

3)应急响应:依据GB/T28827.3-2012规定的应急响应服务，执行数据中心EOP。

d)优化改善：

1)适应性改进:为保持运行维护对象在新环境中可持续运行而实施的优化改进；

2)增强性改进:采取改进措施，增强数据中心的安全性、可用性和可靠性；

3)预防性改进:检测和纠正维护对象运行过程中潜在的问题或缺陷。

服务器运维服务

服务器运维服务应包括但不限于：

a)应提供对服务器的整体运行情况、电源工作情况、CPU工作情况、内存工作情况、硬盘工作

情况、接口工作情况进行监控并做好工作记录；

2

T/XXXXXXX—XXXX

b)应提供对服务器的预防检查服务，包括：服务器的资源分配情况和策略、CPU使用峰值情况、

内存使用峰值情况、文件系统空间使用情况、网络情况等；

c)应提供服务器运维过程中系统微码升级、配置文件备份、过期日志和文件系统清理、服务器

硬盘配置检查、更换控制器电池、系统重启等服务；

d)在服务器运维过程中，应提供事件驱动响应和服务请求响应等服务支持。

存储设备运维服务

存储设备运维服务应包括但不限于：

a)应提供对存储设备的控制器工作情况、电源设备工作情况、数据存储介质工作情况、设备接

口工作情况、存储设备介质空间使用情况、读写速率情况、读写命中率情况进行监控并做好

工作记录；

b)应提供对存储设备的预防检查服务，包括：存储速率情况、读、写缓存分配比例情况、数据

读、写命中率情况、存储硬盘空间使用情况、存储系统日志情况、磁带池使用情况；

c)应提供存储设备运维过程中系统微码升级、更换控制器电池、介质读、写正常性测试、配置

文件备份、过期运行日志清理、链路端口访问测试等服务；

d)在存储设备运维过程中，应提供事件驱动响应和服务请求响应等服务支持。

运维账号管理

运维人员账号管理要求应包括但不限于：

a)人工核实新申请账号，包括姓名、电话、邮箱和所属机构，并做好记录；

b)对长期未使用的账号进行定期清理；

c)明确分配运维人员的账号权限。

5运行服务保障

队伍管理

根据运维服务内容和流程确定岗位设置与职责分配，专职人员应满足以下要求：

a)应获得平台技术提供商对应技术能力等级认证，满足平台运维服务需求；

b)应建立外部培训机制，参与平台技术提供商运维技术培训，确保运维管理人员技术和能力与

平台迭代同步；

c)应建立内部培训机制，运维管理人员参加业务、技术、安全培训，岗位考核合格持证上岗；

d)应针对平台服务需求，设立相应的专职岗位，按业务要求分配具有对应能力的运维人员；

e)应建立运维人员与顾客良好沟通机制，快速响应顾客需求，及时解决各类故障。

制度管理

应针对运维管理内容及流程，制定相应运维管理机制，实现工作规范化，包括但不限于以下管理制

度：

a)应对机房安全管理活动中的各项设施设备建立基础设施安全管理制度；

b)应对工作人员日常操作流程建立日常运维管理规范；

c)应对文档信息内容建立知识信息安全管理制度体系。

知识管理

应建立完善的文档管理体系，制定技术操作手册或实施方案，包括但不限于以下管理要求：

a)明确各系统和基础技术领域的文档管理重点，并定期进行总结归纳；

b)应对运维服务活动过程及运行维护对象的状态进行记录，形成服务文档；

c)建立文档管理制度，并设置专业人员进行管理。

供应商管理

对候选供应商进行筛查与分类，具体包括以下内容：

3

T/XXXXXXX—XXXX

a)建立供应商协调管理制度，对供应商支持运维服务的相关活动进行统一管理，实现供方自身

服务能力与外部服务能力一体化的管理；

b)应在合同中明确供应商需承担的责任、义务，并规定服务要求和范围等内容；

c)与供应商签署保密协议与承诺书，承诺产品不存在恶意代码或未授权的功能，提供功能应符

合有关技术规范和技术指引；

d)应建立供应商信息共享机制，明确供应商在数据交换、数据调用、软件开发过程中应接受的

信息安全检查；

e)应建立供应商评估机制，针对供应商的服务质量、合同履行情况、人员工作情况等形成评价

报告，并跟踪和记录改进情况。

资产管理

应确保硬件设备的可用性和安全性，对硬件设备提供资源管理服务，具体包括以下内容：

a)应建立设备管理制度，明确到设备管理责任人，并建立制度的制定、发布、更新机制，定期

修订和完善；

b)应在设备投入使用前对设备进行必要的验证性测试，并保留测试记录；

c)设备应设专人管理，并根据设备使用年限定期盘点，对设备状态进行监控和更新；

d)编制设备清单，内容至少包括设备名称、设备编号、购置时间、设备使用年限、设备主要参

数、设备参数、设备状态、设备保修期、设备用途等。

6安全服务保障

网络安全管理

在网络安全层面保障客户云资源不受非法入侵、攻击等访问，应满足以下要求：

a)云平台不应承载高于其安全保护等级的业务应用系统，并应实现不同云服务客户虚拟网络之

间的隔离；

b)云平台应根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力；

c)云服务客户业务可以按照需求自主设置安全策略，包括定义访问路径、选择安全组件、配置

安全策略，以保证云平台管理流量与云服务客户业务流量分离；

d)云平台应提供开放接口或开放性安全服务，允许云服务客户接入第三方安全产品或在云平台

选择第三方安全服务。

管理区安全要求

根据网络业务及安全自身的需要，将网络管理系统、安全管理系统、应用服务等信息系统部署在管

理区，并设置与之相适应的访问控制策略，具体要求如下：

a)根据网络结构、管理分界，原则上采用国家、省二级或国家、省、地（市）三级分域分级的

管理方式，根据实际需要设置分级权限，实现对网络的灵活管理；

b)应绘制与当前运行情况相符的网络拓扑结构图、有相应的网络配置表，包含设备IP地址等主

要信息，并及时更新、妥善保管并做好备份，且不得对外公开；

c)网管网络应与业务网络逻辑隔离，确保网管数据的安全；

d)应按日、周、月、季、年或按管理部门的要求出具安全运行报告，并对相关病毒攻击、信息

安全事件提出建议；

e)应具备异构安全管理系统的互联功能，实现相关管理数据的共享、分析，为全网的安全事件

应急响应、安全事件预警提供技术支撑。

计算环境安全管理

当远程管理云平台中设备时，管理终端和云平台之间应建立双向身份验证机制，满足以下要求：

a)云服务提供商的云存储服务应保证云服务客户数据存在若干个可用的副本，各副本之间的内

容应保持一致；

4

T/XXXXXXX—XXXX

b)应为云服务客户将业务系统及数据迁移到其他云平台和本地系统提供技术手段，并协助完成

迁移过程；

c)应能够检测虚拟机之间的资源隔离失效状态，并进行告警；

d)应能检测出非授权新建虚拟机或者重新启用虚拟机，并进行告警；

e)应能够检测恶意代码感染及在虚拟机间蔓延的情况，并进行告警；

f)在使用密码技术保证虚拟机迁移过程中发生故障时，应能够继续提供一部分功能，保证能够

实施必要的措施。

数据安全管理

应制订数据备份与恢复机制、策略、规范和应急保障措施，对数据储存安全进行保护，具体包括以

下要求：

a)建立符合数据分类要求的数据备份与恢复机制，满足不同级别数据的存储安全需求，保障不

同数据存储过程的保密性、完整性、可用性和可追溯性；

b)提供快照服务、快照保护、防止快照中的数据被非法访问；

c)提供数据迁移技术支持，保证用户数据迁移的安全、可靠。

运维安全管理

运维安全管理应符合GB/T34077.3的要求，还应满足以下要求：

a)云平台的运维地点应位于中国境内，境外对境内云计算平台实施运维操作应遵循国家相关规

定；

b)云平台运维过程产生的配置数据、日志信息等存储于中国境内，如需出境应遵循国家相关规

定；

c)应建立安全运维制度，对运维人员工作场所进行制定，并对运维场所人员出入进行记录；

d)对运维专线使用进行管理，非运维人员不得使用运维网络。

7应急预警服务

应设立应急处置部门，明确部门管理宗旨、管理内容、管理要求与管理方法；

应根据安全事件的影响程度和范围，制定有效应急预案，并定期开展应急预案演练以确保有效性；

应在故障事后形成应急事务处理报告，归纳总结突发事件产生原因、解决办法、处理流程及后续

改进措施。

5

T/XXXXXXX—XXXX

目次

1范围................................................................................1

2规范性引用文件......................................................................1

3术语和定义..........................................................................1

4运维服务内容........................................................................2

机房运维服务....................................................................2

数据中心运维服务................................................................2

服务器运维服务..................................................................2

存储设备运维服务................................................................3

运维账号管理....................................................................3

5运行服务保障........................................................................3

队伍管理........................................................................3

制度管理........................................................................3

知识管理........................................................................3

供应商管理......................................................................3

资产管理........................................................................4

6安全服务保障........................................................................4

网络安全管理....................................................................4

管理区安全要求..................................................................4

计算环境安全管理................................................................4

数据安全管理....................................................................5

运维安全管理....................................................................5

7应急预警服务........................................................................5

I

T/XXXXXXX—XXXX

信息安全技术云平台运维管理规范

1范围

本文件规定了云平台运维服务内容、运行保障服务、安全服务保障及应急预警服务等内容。

本文件适用于云平台的运维管理。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T28827.1-2019信息技术服务运行维护第1部分：通用要求

GB/T28827.2-2019信息技术服务运行维护第2部分：交付规范

GB/T28827.3-2019信息技术服务运行维护第3部分：应急响应规范

GB/T28827.4-2019信息技术服务运行维护第4部分：数据中心服务要求

GB/T28827.6-2019信息技术服务运行维护第6部分：应用系统服务要求

GB/T31168-2014信息安全技术云计算服务安全能力要求

GB/T32400-2015信息技术云计算概览和词汇

GB/T36326-2018信息技术云计算云服务运营通用要求

GB/T37740-2019信息技术云计算云平台间应用和数据迁移指南

3术语和定义

下列术语和定义适用于本文件。

云平台cloudplatform

基于硬件资源和软件资源服务提供计算、网络和存储能力，最大限度实现数据资源共享、节约运行

成本、负载能力提高、维护度降低的综合性平台。

云计算服务cloudcomputingservices

将大量用网络连接的计算资源统一管理与调度，使用户通过网络按需、易扩展的方式获得所需的基

础设施级服务（IaaS），平台级服务（PaaS）和软件级服务（SaaS）的方式。

数据存储即服务datastorageasaservice；DSaaS

为云服务客户提供配置和使用数据存储及相关能力的一种云服务类别。

[GB/T32400-2015,定义3.2.22]

运维管理Q&Mmanagement

确保对变化的业务需求与运行环境进行及时有效地支持，以保护数据安全、维护网络稳定、提升用

户体验，实现基于ITIL的流程框架、运维自动化的管理模式。

可维护性maintainability

应用系统能修改以排除故障、改进性能或其他属性或适应变更了的环境的容易程度。

[GB/T11457-2006,定义2.903]

网络安全等级保护networksecuritylevelprotection

1

T/XXXXXXX—XXXX

对云平台信息系统中的各类信息分等级实行安全保护，包括对使用的安全产品实行按等级管理，以

及对信息安全事件分等级进行响应、处置。

安全接入平台secureaccessplatform

外部网络访云平台内部部门业务和公共区业务的统一认证接入平台区域，区域内部署认证授权系统、

VPN接入网关、移动设备管理系统等，为各类智能移动终端和远程办公用户提供可信的安全接入和业务

访问。