GB/T 38249-2019 信息安全技術(shù) 政府網(wǎng)站云計(jì)算服務(wù)安全指南
- 發(fā)表時(shí)間:2023-03-21
- 來源:共立消防
- 人氣:
1 范圍
本標(biāo)準(zhǔn)給出了政府網(wǎng)站采用云計(jì)算服務(wù)過程中,在規(guī)劃準(zhǔn)備、部署遷移、運(yùn)行管理、服務(wù)退出等階段的安全技術(shù)措施和安全管理措施。
本標(biāo)準(zhǔn)適用于為采用云計(jì)算服務(wù),特別是社會(huì)化云計(jì)算服務(wù)的政務(wù)網(wǎng)站提供建設(shè)與運(yùn)營指導(dǎo)。
2 規(guī)范性引用文件
下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 25069 信息安全技術(shù) 術(shù)語
GB/T 31167 信息安全技術(shù) 云計(jì)算服務(wù)安全指南
GB/T 31168 信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求
GB/T 31506-2015 信息安全技術(shù) 政府門戶網(wǎng)站系統(tǒng)安全技術(shù)指南
3 術(shù)語和定義
GB/T 25069、GB/T 31167界定的以及下列術(shù)語和定義適用于本文件。
3.1
云服務(wù)代理商 cloud service agent
負(fù)責(zé)支撐或協(xié)助云服務(wù)客戶和其他云服務(wù)提供者之間進(jìn)行協(xié)商的參與方。
注:包括網(wǎng)站開發(fā)商、系統(tǒng)集成商、安全服務(wù)商等。
3.2
政府網(wǎng)站 government website
政府機(jī)構(gòu)為對(duì)外發(fā)布政務(wù)信息、提供在線服務(wù)、開展互動(dòng)交流等而建立的網(wǎng)站。
注:包括為用戶提供展示和交互功能的頁面及生成和處理頁面的應(yīng)用程序、中間件等。
4 概述
4.1 安全角色
云服務(wù)客戶采購和使用云計(jì)算服務(wù)的過程、參與的主要角色與關(guān)系見圖1。
圖1 角色與關(guān)系
主要角色包括:
a)云服務(wù)客戶,是政府網(wǎng)站的所有者或運(yùn)營者。
b)云服務(wù)商,是為云服務(wù)客戶提供政府網(wǎng)站相關(guān)云計(jì)算產(chǎn)品與服務(wù)的供應(yīng)商,通常為法人實(shí)體。
c)云服務(wù)代理商,是為云服務(wù)客戶提供網(wǎng)站開發(fā)、網(wǎng)站遷移、網(wǎng)站部署、安全保障等服務(wù)的提供商,具體可分為網(wǎng)站開發(fā)商、系統(tǒng)集成商、安全服務(wù)商等,其中:
1)網(wǎng)站開發(fā)商,為云服務(wù)客戶提供云計(jì)算平臺(tái)上網(wǎng)站開發(fā)服務(wù),負(fù)責(zé)網(wǎng)站的系統(tǒng)架構(gòu)、Web安全功能設(shè)計(jì)、代碼實(shí)現(xiàn)及源代碼安全、軟件部署安全等;
2)系統(tǒng)集成商,為云服務(wù)客戶提供系統(tǒng)集成服務(wù),可對(duì)遷移至云計(jì)算平臺(tái)的政府網(wǎng)站提供網(wǎng)站建設(shè)、遷移、運(yùn)維服務(wù)等;
3)安全服務(wù)商,為政府網(wǎng)站提供安全保障服務(wù),可提供安全咨詢、網(wǎng)站安全建設(shè)規(guī)劃、網(wǎng)站安全優(yōu)化、網(wǎng)站安全監(jiān)測(cè)防護(hù)、應(yīng)急響應(yīng)等服務(wù)。
d)第三方評(píng)估機(jī)構(gòu),是對(duì)云服務(wù)商與云服務(wù)客戶開展獨(dú)立的安全評(píng)估,并取得相應(yīng)評(píng)估資質(zhì)的組織。
注:云服務(wù)商和云服務(wù)代理商可能是同一個(gè)法人實(shí)體,也可能是不同的法人實(shí)體。網(wǎng)站開發(fā)商、系統(tǒng)集成商、安全服務(wù)商可能是同一個(gè)法人實(shí)體,也可能是不同的法人實(shí)體。
4.2 云計(jì)算服務(wù)生命周期
政府網(wǎng)站采用云計(jì)算服務(wù)的過程分為4個(gè)階段:
a)規(guī)劃準(zhǔn)備階段,云服務(wù)客戶對(duì)計(jì)劃遷移至云計(jì)算平臺(tái)的網(wǎng)站進(jìn)行需求分析,根據(jù)分析結(jié)果選擇服務(wù)商,簽訂服務(wù)合同,做好政府網(wǎng)站遷移至云的準(zhǔn)備工作;
b)部署遷移階段,云服務(wù)客戶負(fù)責(zé)組織網(wǎng)站遷移、切換、交付等工作,云服務(wù)商和云服務(wù)代理商配合遷移工作;
c)運(yùn)行管理階段,云服務(wù)客戶監(jiān)督云服務(wù)商和云服務(wù)代理商履行合同規(guī)定的責(zé)任義務(wù),對(duì)遷移至云計(jì)算平臺(tái)的政府網(wǎng)站做好安全防范和監(jiān)測(cè)工作,共同維護(hù)數(shù)據(jù)、業(yè)務(wù)及云計(jì)算環(huán)境的安全;
d)服務(wù)退出階段,云服務(wù)客戶要求云服務(wù)商履行相關(guān)責(zé)任和義務(wù),重點(diǎn)關(guān)注退出過程中數(shù)據(jù)和業(yè)務(wù)的安全。
5 規(guī)劃準(zhǔn)備
5.1 概述
規(guī)劃準(zhǔn)備階段,云服務(wù)客戶明確云計(jì)算的服務(wù)模式和部署模式,提出各項(xiàng)功能、性能及安全要求,明
確參與各方的角色與安全職責(zé),根據(jù)云計(jì)算服務(wù)和政府網(wǎng)站的特點(diǎn)進(jìn)行安全需求分析,選擇符合需求的云計(jì)算服務(wù),與云服務(wù)商簽訂合同,并組織云服務(wù)商制定政府網(wǎng)站遷移至云計(jì)算平臺(tái)的方案。
5.2 安全職責(zé)
5.2.1 云服務(wù)客戶
云服務(wù)客戶是政府網(wǎng)站信息安全的責(zé)任主體,其在規(guī)劃準(zhǔn)備階段的安全職責(zé)如下:
a)根據(jù)政府網(wǎng)站的功能、性能及安全指標(biāo)進(jìn)行云計(jì)算服務(wù)的需求分析,確定采用云計(jì)算服務(wù)的數(shù)據(jù)和業(yè)務(wù)范圍;
b)根據(jù)信息敏感程度、人員技能、業(yè)務(wù)需求的動(dòng)態(tài)性等要素進(jìn)行部署模式的選擇;
c)明確要求云服務(wù)商通過相關(guān)部門組織的云計(jì)算服務(wù)安全審查。
5.2.2 云服務(wù)商
云服務(wù)商在規(guī)劃準(zhǔn)備階段的安全職責(zé)如下:
a)確保云計(jì)算平臺(tái)符合云服務(wù)客戶要求和GB/T 31168相應(yīng)等級(jí)的云計(jì)算服務(wù)安全能力,并通過有關(guān)部門組織的云計(jì)算服務(wù)安全審查;
b)遵守黨政機(jī)關(guān)計(jì)算機(jī)信息系統(tǒng)的信息安全政策規(guī)定及網(wǎng)絡(luò)安全等級(jí)保護(hù)等相關(guān)標(biāo)準(zhǔn)要求,落實(shí)安全管理和防護(hù)措施;
c)根據(jù)政府網(wǎng)站的安全需求,制定網(wǎng)站遷移至云計(jì)算平臺(tái)的方案。
5.2.3 云服務(wù)代理商
云服務(wù)代理商在規(guī)劃準(zhǔn)備階段的安全職責(zé)如下:
a)向云服務(wù)客戶提供詳細(xì)的服務(wù)內(nèi)容清單,并明確相應(yīng)的服務(wù)流程、安全責(zé)任劃分等內(nèi)容;
b)在云服務(wù)客戶的組織下,與云服務(wù)商就其提供的服務(wù)內(nèi)容進(jìn)行分工和責(zé)任區(qū)分,并通過服務(wù)協(xié)議或者合同等進(jìn)行約束。
5.2.4 第三方評(píng)估機(jī)構(gòu)
第三方評(píng)估機(jī)構(gòu)在規(guī)劃準(zhǔn)備階段,可根據(jù)云服務(wù)客戶的委托,對(duì)云服務(wù)商遷移方案的可行性及安全性進(jìn)行評(píng)估。
5.3 需求分析
5.3.1 政府網(wǎng)站梳理
在政府網(wǎng)站采用云計(jì)算服務(wù)之前,云服務(wù)客戶對(duì)網(wǎng)站現(xiàn)有系統(tǒng)進(jìn)行梳理,確定遷移的系統(tǒng)邊界,形成網(wǎng)站現(xiàn)狀梳理報(bào)告,梳理內(nèi)容包括:
a)政府網(wǎng)站系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),包括:網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)設(shè)備型號(hào)、配置情況、使用情況、運(yùn)維情況等;
b)政府網(wǎng)站包含的應(yīng)用系統(tǒng),以及各應(yīng)用系統(tǒng)的計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)情況、基礎(chǔ)軟件配置情況、應(yīng)用系統(tǒng)部署架構(gòu)、高峰時(shí)段資源使用情況、系統(tǒng)運(yùn)維情況、技術(shù)支撐情況等;
c)系統(tǒng)數(shù)據(jù)備份及災(zāi)備系統(tǒng)情況,包括備份機(jī)制、備份策略等,進(jìn)行數(shù)據(jù)備份恢復(fù)演練;
d)有無特殊設(shè)備,如加密卡、網(wǎng)閘、視頻卡等。
5.3.2 政府網(wǎng)站遷移決策
云服務(wù)客戶根據(jù)安全風(fēng)險(xiǎn)分析情況與現(xiàn)狀梳理情況,做好政府網(wǎng)站遷移至云的決策分析,并形成決
策報(bào)告,決策分析過程可考慮的因素有:
a)參照網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南等國家標(biāo)準(zhǔn),對(duì)政府網(wǎng)站及數(shù)據(jù)重要性進(jìn)行分類定級(jí),全面系統(tǒng)評(píng)估采用云計(jì)算服務(wù)的安全風(fēng)險(xiǎn);
b)對(duì)于包含大量敏感信息和個(gè)人信息,以及直接影響黨政機(jī)關(guān)運(yùn)轉(zhuǎn)和公眾生活工作的關(guān)鍵業(yè)務(wù),或者核心業(yè)務(wù),在確保安全的前提下再考慮向云計(jì)算平臺(tái)遷移;
c)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)為四級(jí)及以上的政府網(wǎng)站不宜采用社會(huì)化云計(jì)算服務(wù)。
5.3.3 資源需求
云服務(wù)客戶要明確政府網(wǎng)站遷移至云的資源需求,包括計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源等,合理申請(qǐng)網(wǎng)站系統(tǒng)資源。可針對(duì)政府網(wǎng)站業(yè)務(wù)臨時(shí)性和周期性增加或減少的特點(diǎn),要求云服務(wù)商根據(jù)訪問需求動(dòng)態(tài)分配資源并按照實(shí)際占用的資源支付使用費(fèi)用。
5.3.4 安全要求
5.3.4.1 安全部署與隔離
云服務(wù)客戶根據(jù)政府網(wǎng)站的網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)情況確定相關(guān)技術(shù)和管理要求,制定外部和內(nèi)部用戶訪問政府網(wǎng)站的訪問控制策略、網(wǎng)站系統(tǒng)設(shè)備之間的訪問策略、與政務(wù)外網(wǎng)和互聯(lián)網(wǎng)間的數(shù)據(jù)共享交換策略。同時(shí),調(diào)查了解云服務(wù)商為滿足客戶網(wǎng)站系統(tǒng)合規(guī)及安全控制策略提供的安全措施,包括物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)和虛擬化等方面的安全措施,做好安全部署規(guī)劃。
若云服務(wù)客戶采用社會(huì)化云計(jì)算服務(wù)時(shí),云服務(wù)商要做好系統(tǒng)邊界的隔離,包括與其他租戶業(yè)務(wù)系統(tǒng)、虛擬機(jī)、虛擬網(wǎng)絡(luò)、虛擬存儲(chǔ)之間的安全隔離。
遷移后的政府網(wǎng)站防護(hù)水平不低于遷移前的安全防護(hù)水平。
5.3.4.2 Web應(yīng)用安全
遷移至云計(jì)算平臺(tái)的政府網(wǎng)站可依據(jù)GB/T 31506-2015的相關(guān)內(nèi)容實(shí)施Web應(yīng)用安全。
5.3.4.3 域名安全
政府網(wǎng)站的域名安全要注意以下幾點(diǎn):
a)選擇主管部門批準(zhǔn)的域名注冊(cè)服務(wù)機(jī)構(gòu)進(jìn)行域名注冊(cè)和域名托管,并進(jìn)行域名信息報(bào)備;
b)遵循國家有關(guān)監(jiān)督審批流程開展域名變更、解析地址變更等工作;
c)使用符合政府網(wǎng)站管理規(guī)定的域名;
d)加強(qiáng)域名相關(guān)信息的管理,防止域名被惡意篡改。
5.3.4.4 內(nèi)容安全
云服務(wù)客戶做好網(wǎng)站內(nèi)容發(fā)布的審核和審批,確保發(fā)布的內(nèi)容均屬于可對(duì)外公開信息。
5.3.5 需求報(bào)告
云服務(wù)客戶根據(jù)5.3.1~5.3.4分析形成需求報(bào)告,需求報(bào)告包括:
a)政府網(wǎng)站的安全保護(hù)等級(jí)要求、網(wǎng)站系統(tǒng)特定的安全要求;
b)云服務(wù)商提供的技術(shù)接口支持等需求;
c)云服務(wù)代理商提供的服務(wù)及產(chǎn)品等需求;
d)采取的安全管理措施等需求。
注:可在決策報(bào)告中包括需求報(bào)告的內(nèi)容。
以上為標(biāo)準(zhǔn)部分內(nèi)容,如需看標(biāo)準(zhǔn)全文,請(qǐng)到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。
- 2023-08-22消防維修保養(yǎng)記錄
- 2023-08-22消防設(shè)施維修維護(hù)
- 2023-08-19消防水池維修
- 2023-08-19消防水炮維修
- 2023-08-19消防線路維修
- 2023-08-19消防維保服務(wù)系統(tǒng)
- 2023-08-19消防主機(jī)維修維保大全
- 2023-08-19消防維保作用
- 2023-08-18消防維保工作聯(lián)系單
- 2023-08-18消防維保每年都要做嗎
- 2023-08-18 消防維保技術(shù)服務(wù)
- 2023-08-18消防主板維修
- 2023-08-18消防維保軟件
- 2023-08-18消防維保規(guī)章制度
- 2023-08-17消防檢測(cè)和維保
- 2023-08-17消防維保檢查
- IG541混合氣體滅火系統(tǒng)
IG541混合氣體滅火系統(tǒng):IG-541滅火系統(tǒng)采用的IG-541混合氣體滅火劑是由大氣層中的氮?dú)猓∟2)、氬氣(Ar)和二氧化碳(CO2)三種氣體分別以52%、40%、8%的比例混合而成的一種滅火劑
- 二氧化碳?xì)怏w滅火系統(tǒng)
二氧化碳?xì)怏w滅火系統(tǒng):二氧化碳?xì)怏w滅火系統(tǒng)由瓶架、滅火劑瓶組、泄漏檢測(cè)裝置、容器閥、金屬軟管、單向閥(滅火劑管)、集流管、安全泄漏裝置、選擇閥、信號(hào)反饋裝置、滅火劑輸送管、噴嘴、驅(qū)動(dòng)氣體瓶組、電磁驅(qū)動(dòng)
- 七氟丙烷滅火系統(tǒng)
七氟丙烷(HFC—227ea)滅火系統(tǒng)是一種高效能的滅火設(shè)備,其滅火劑HFC—ea是一種無色、無味、低毒性、絕緣性好、無二次污染的氣體,對(duì)大氣臭氧層的耗損潛能值(ODP)為零,是鹵代烷1211、130
- 手提式干粉滅火器
手提式干粉滅火器適滅火時(shí),可手提或肩扛滅火器快速奔赴火場,在距燃燒處5米左右,放下滅火器。如在室外,應(yīng)選擇在上風(fēng)方向噴射。使用的干粉滅火器若是外掛式儲(chǔ)壓式的,操作者應(yīng)一手緊握噴槍、另一手提起儲(chǔ)氣瓶上的
- 0消防維保收費(fèi)每平方多少錢
- 1GB/T 7588.1-2020 電梯制造與安裝安全規(guī)范 第1部分:乘客電梯和載貨電梯
- 2消防安全評(píng)估報(bào)告多久做一次
- 3GB 50160-2018 石油化工企業(yè)設(shè)計(jì)防火規(guī)范
- 4GB 4351.1-2005 手提式滅火器 第1部分:性能和結(jié)構(gòu)要求
- 5消防安全評(píng)估收費(fèi)標(biāo)準(zhǔn)
- 6GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求
- 7消防維保多長時(shí)間維保一次
- 8GB 50229-2019 火力發(fā)電廠與變電站設(shè)計(jì)防火標(biāo)準(zhǔn)
- 9消防維保是干什么的