DB 36- T 1099-2018 電子政務云平臺安全規(guī)范

ICS35.240

L64

DB36

江西省地方標準

DB36/T1099—2018

電子政務云平臺安全規(guī)范

SecurityspecificationsforE-governmentcloudplatform

2018-12-29發(fā)布2019-07-01實施

江西省市場監(jiān)督管理局發(fā)布

DB36/T1099—2018

電子政務云平臺安全規(guī)范

1范圍

本標準規(guī)定了電子政務云平臺業(yè)務區(qū)域劃分、安全技術要求和安全管理要求。

本標準適用于電子政務云平臺管理單位和資源使用單位，各設區(qū)市政務外網和政務云建設運維管理

單位參照執(zhí)行。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T20271信息安全技術信息系統(tǒng)通用安全技術要求

GB/Z20986信息安全技術信息安全事件分類分級指南

GB/T22239信息安全技術信息系統(tǒng)安全等級保護基本要求

GB/T34080.1基于云計算的電子政務公共平臺安全規(guī)范第1部分:總體要求

GA/T1390.2信息安全技術網絡安全等級保護基本要求

DB36/T979電子政務外網安全接入平臺技術規(guī)范

GW0013政務云安全要求

GW0202國家電子政務外網安全接入平臺技術規(guī)范

GW0205國家電子政務外網跨網數據安全交換技術要求與實施指南

3術語和定義

GB/T22239、GB/T20271、GB/Z20986、GB/T34080.1、GA/T1390.2、DB36/T979、GW0013、GW

0202、GW0205確定的及下列術語和定義適應于本文件。

3.1

政務外網

服務于各級黨委、人大、政府、政協、法院和檢察院等政務部門，滿足其經濟調節(jié)、市場監(jiān)管、社

會管理和公共服務等方面需要的政務公用網絡。政務外網支持跨地區(qū)、跨部門的業(yè)務應用、信息共享和

業(yè)務協同，以及不需在政務內網上運行的業(yè)務，與互聯網邏輯隔離。

3.2

云服務客戶方

使用電子政務云平臺開展電子政務業(yè)務和處理、存儲數據的組織（或機構）及相關事業(yè)單位，包括

單位內部業(yè)務使用人員及對云相關云資源和安全的管理人員。

3.3

1

DB36/T1099—2018

云服務提供方

為各級政務部門提供計算、存儲、網絡及安全等各類電子政務云平臺資源和服務的提供商，負責執(zhí)

行云服務提供方業(yè)務運營和相關管理工作。

3.4

云管理平臺

為電子政務云平臺提供資源管理和服務管理，能夠對計算/存儲/網絡等基礎設施資源（IaaS）、應

用/開發(fā)/數據平臺（PaaS）和軟件架構整合服務（SaaS）進行管理。

3.5

云計算基礎設施

由硬件資源和資源抽象控制組件構成的支撐云計算的基礎設施。硬件資源包括所有的物理計算資

源，即服務器（CPU、內存等）、存儲組件（硬盤等）、網絡組件（路由器、防火墻、交換機、網絡鏈

路和接口等）及其他物理計算基礎元素。資源抽象控制組件對物理計算資源進行軟件抽象，云服務提供

方通過這些組件提供和管理對物理計算資源的訪問。

3.6

虛擬專有云

提供一個邏輯隔離的區(qū)域，搭建一個安全可靠、可自主定義的環(huán)境。在該區(qū)域中部署獨立的服務資

源，并根據業(yè)務需求定義虛擬環(huán)境，包括定義網絡拓撲、創(chuàng)建子網、虛擬機存儲資源和劃分安全組等。

3.7

控制器

包括虛擬化監(jiān)視器、SDN控制器、存儲虛擬化控制器和策略管理控制器等進行物理資源抽象管理的

資源管理和策略管理系統(tǒng)。

3.8

跨網數據交換系統(tǒng)

基于網絡隔離技術的無協議數據同步系統(tǒng)，綜合利用設備認證、數據格式檢查、病毒檢查等安全措

施，實現兩個不同網絡業(yè)務區(qū)服務器之間數據同步。

4縮略語

IaaS基礎設施即服務（InfrastructureasaService）

PaaS平臺即服務（PlatformasaService）

SaaS軟件即服務（SoftwareasaService）

VM虛擬機（VirtualMachine）

VPC虛擬專有云(VirtualPrivateCloud)

MPLS多協議標簽交換(Multi-ProtocolLabelSwitching)

VPN虛擬專用網絡（VirtualPrivateNetwork）

2

DB36/T1099—2018

SDN軟件定義網絡（SoftwareDefinedNetwork）

API應用程序編程接口（ApplicationProgrammingInterface）

NFV網絡功能虛擬化（NetworkFunctionVirtualization）

DNS域名系統(tǒng)（DomainNameSystem）

SNMP簡單網絡管理協議（SimpleNetworkManagementProtocol）

CA證書授權（CertificateAuthority）

ISP互聯網服務提供商（InternetServiceProvide）

RTO恢復時間目標(RecoveryTimeObjective)

RPO恢復點目標（RecoveryPointObjective）

5業(yè)務區(qū)域劃分

5.1政務外網城域網

政務外網城域網連接同級各政務部門，云服務客戶方可通過城域網訪問電子政務云平臺內相關部門

內部的信息系統(tǒng)和公共區(qū)信息系統(tǒng)。政務云業(yè)務區(qū)域劃分見圖1所示。

互聯互聯網政務外

網區(qū)互聯網網區(qū)

政務外網

廣域網

認證、授權、VPN網關集群

安全網關管理等SSL/IPSec

防護安全接入平臺

防火墻IPS/IDSWAF抗DDOS安全審計

運

城域網核心

維

管

數據中心核心交換安全

跨網數據隔

防護防火墻IPS/IDSWAF抗DDOS安全審計理

離交換系統(tǒng)區(qū)

數據中心核心交換

互聯網業(yè)務區(qū)

公共業(yè)務區(qū)部門業(yè)務區(qū)

互聯網區(qū)存儲資源池

政務外網區(qū)存儲資源池

圖1政務云業(yè)務區(qū)域劃分圖

5.2安全接入平臺

3

DB36/T1099—2018

政務用戶在互聯網或移動專線網絡訪問省電子政務云平臺的部門業(yè)務和公共區(qū)業(yè)務必須通過安全

接入平臺接入，接入平臺具備數字認證、授權管理、VPN接入、移動設備管理和移動應用管理等功能，

為各類智能移動終端和遠程辦公用戶提供可信的安全接入和實時的業(yè)務訪問。

5.3安全防護

安全防護區(qū)對省電子政務云平臺承載的門戶網站和信息系統(tǒng)提供安全防護，其安全防護要求應按網

絡安全等級保護第三級的國家標準要求進行保護。

5.4政務云

5.4.1互聯網業(yè)務區(qū)

互聯網業(yè)務區(qū)主要為公眾和企業(yè)提供互聯網門戶網站服務和政務服務，由于門戶網站群分屬各不同

的政務部門，其安全要求各有不同，對網站和信息系統(tǒng)應根據不同的安全級別進行分等級防護。

5.4.2公共業(yè)務區(qū)

公共業(yè)務區(qū)主要實現跨部門、跨地區(qū)的信息共享、數據交換及業(yè)務協同，提供政務部門內部的公共

服務。禁止從互聯網直接訪問本區(qū)域的各信息系統(tǒng)和數據，與部門業(yè)務區(qū)邏輯隔離并應做好相應的訪問

控制，本區(qū)域部署的應用系統(tǒng)應結合自身實際情況按網絡安全等級保護要求進行分級并實施保護。

5.4.3部門業(yè)務區(qū)

部門業(yè)務區(qū)主要承載各云服務客戶方部署或遷移的信息系統(tǒng)，云服務客戶方可按要求部署在不同的

VPC，VPC之間采用VPN技術隔離，應根據信息系統(tǒng)的安全等級進行防護。可按云服務客戶方對信息系統(tǒng)

的安全要求分為二級信息系統(tǒng)等級保護區(qū)域和三級信息系統(tǒng)等級保護區(qū)域，若云服務客戶方同時擁有二

級業(yè)務和三級業(yè)務，應確保不同等級的信息系統(tǒng)采用訪問控制策略。

5.4.4存儲資源池

以存儲塊或分布式存儲方式，將數據離散的存儲在資源池中，并按要求可對相關重要數據進行加密

存儲，并將互聯網區(qū)的業(yè)務和政務業(yè)務在計算資源及網絡資源物理分開，如存儲資源池共用，則需保證

數據安全可控，對存儲資源池進行統(tǒng)一管理和調度。

5.4.5云資源管理區(qū)

提供云資源管理和物理資源抽象，以及日常運維所必須的運維系統(tǒng)和認證管理系統(tǒng)。通過資源管理

區(qū)實現對各類云資源的實時監(jiān)控、管理、預警和應急處置，并對虛擬機遷移、資源彈性擴展、業(yè)務使用

情況及運維操作人員進行實時監(jiān)控和審計。

6安全技術要求

6.1總體要求

6.1.1各類政務業(yè)務必須部署在物理設施獨立的云計算平臺上，不得依托公有云部署；

6.1.2云計算基礎設施按網絡安全等級保護三級（或以上）要求建設和保護；

6.1.3所有應用系統(tǒng)遷移或部署到電子政務云上前必須進行測試，并向云服務管理方出具第三方機構

的測試報告?zhèn)浒福?/p>

4

DB36/T1099—2018

6.1.4所有在電子政務云平臺部署的應用系統(tǒng)必須在6個月內通過第三方測評機構組織的網絡安全等

級保護測評工作，并將測評報告復印件提交政務云服務管理方備案。

6.2IaaS安全

6.2.1物理平臺安全

環(huán)境安全、設備安全、介質安全、冗余備份及隔離等基本安全防護要求按照GB/T22239和GA/T1390.2

執(zhí)行。

6.2.2邊界安全

6.2.2.1ISP邊界安全，省電子政務云平臺與ISP的邊界安全防護由云服務提供方負責，滿足網絡安

全等級保護第三級的防護標準，同時采取有效措施及基于行為和實時的監(jiān)控手段，保證省電子政務云平

臺及承載信息系統(tǒng)的網絡和數據安全。

6.2.2.2專線邊界安全，政務人員通過互聯網或電信運營商的VPDN專線訪問省電子政務云平臺相關業(yè)

務時，應使用省電子政務外網安全接入平臺，安全接入平臺按GW0202-2014和DB36/T979—2017建

設，由云服務提供方負責維護和管理。

6.2.2.3互聯網邊界安全，在與公眾互聯網運營商互通的接口部署流量清洗設備，抵御來自互聯網的

DDoS攻擊、webshell攻擊、木馬病毒等各類惡意攻擊。同時，外部和內部網絡應提供冗余連接和帶寬

預留，進行流量控制和過濾。具有基于惡意行為攻擊實時監(jiān)控、未知威脅檢測發(fā)現和安全態(tài)勢感知能力。

對跨境數據傳輸等異常情況進行攔截、告警并溯源，協助云服務客戶方分析原因并處置；對web應用安

全漏洞進行檢測發(fā)現和攻擊防御；對云主機主動散播和被操縱主機的被動有害信息散播行為進行防護、

清除并告警。能實現對各類接入設備、用戶的綜合安全審計；對各種邊界設備進行鑒別和驗證，使所有

邊界設備置于統(tǒng)一的管理和配置之下。

6.2.3網絡設備防護

6.2.3.1口令管理

6.2.3.1.1對登陸網絡設備的用戶應進行身份鑒別，刪除默認用戶或修改默認用戶的口令，根據管理

需要開設用戶，不得使用缺省口令、空口令、弱口令。

6.2.3.1.2主要網絡設備對同一用戶應支持多種鑒別技術進行身份鑒別。通過本地控制臺管理主要網

絡設備時，采用身份鑒別技術。通過遠程方式登陸主要網絡設備，采用兩種或兩種以上組合的鑒別技術

進行身份鑒別。

6.2.3.1.3身份鑒別信息應具有不易被冒用的特點，口令具有復雜度要求并定期更換?？诹顟菙底?、

大寫字母、小寫字母、特殊字符中任意三種的組合。管理員用戶口令長度至少為8位，至少每季度更換

1次，舊的口令1年內不得重新使用。

6.2.3.2登陸管理

6.2.3.2.1限制網絡設備的管理員登陸地址。

6.2.3.2.2所有需遠程管理和監(jiān)控的網絡設備應開啟SNMPV3協議，對暫不支持SNMPV3協議的網絡

設備可先開通其V2或V1協議，并將其部署在非核心位置，以便在設備更新時優(yōu)先替換。

6.2.3.2.3需遠程管理和監(jiān)控的網絡設備應開通SNMPTrap，Trap報警信息應就近上報給本安全域管

理系統(tǒng)。

6.2.3.2.4具有登陸失敗處理功能，可采取結束會話、限制非法登陸次數和當網絡登陸連續(xù)超時自動

登出等措施，能夠對登陸失敗事件做出統(tǒng)一審計。

5

DB36/T1099—2018

6.2.3.2.5實現設備特權用戶的權限分離。

6.2.4虛擬網絡安全

6.2.4.1利用虛擬防火墻功能，實現虛擬環(huán)境下的邏輯分區(qū)邊界防護和分段的集中管理和配置。

6.2.4.2虛擬網絡安全策略能靈活支持虛擬機的加入、遷移或離開。

6.2.4.3虛擬交換機應啟用虛擬端口的限速功能，通過定義平均帶寬、峰值帶寬和流量突發(fā)大小，實

現端口級別的流量控制，同時禁止虛擬機端口使用混雜模式進行網絡通訊嗅探。

6.2.4.4對虛擬網絡的重要日志進行監(jiān)視和審計，及時發(fā)現異常登錄和操作。

6.2.4.5在創(chuàng)建虛擬機的同時，根據具體的網絡拓撲，在虛擬網卡和虛擬交換機上配置防火墻。

6.2.5虛擬機安全

6.2.5.1基本要求

6.2.5.1.1虛擬機采用通過國家安全測評認證的操作系統(tǒng)。

6.2.5.1.2實現虛擬主機的訪問控制和身份鑒別，以及特權用戶的權限分離；身份鑒別信息具有不易

被冒用的特點，口令具有一定復雜度（長度至少8位，是數字、大寫字母、小寫字母、特殊字符中任意

三種的組合），并定期（更換周期小于60d）更換。

6.2.5.1.3對虛擬主機的管理員登陸地址進行限制；具有登陸失敗處理功能，可采取結束會話、限制

登錄失敗次數和當網絡登陸連接超時自動退出等措施。

6.2.5.2管理要求

6.2.5.2.1當虛擬主機進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽。

6.2.5.2.2虛擬主機的安全日志應在本地或外部設備上進行記錄、輸出、存儲，并及時、定期審計。

6.2.5.2.3根據管理用戶的角色分配權限，實現管理用戶對設備的權限分離，僅授予管理用戶所需的最

小權限。

6.2.5.2.4能對休眠虛擬機的系統(tǒng)安全狀態(tài)進行監(jiān)控。

6.2.5.2.5虛擬主機防護支持與云管理平臺集成，確保虛擬主機防護自動化部署。

6.2.6存儲安全

6.2.6.1基本要求

6.2.6.1.1存儲設備根據承載業(yè)務數據的安全需求，制定合理的存儲策略，不同安全級別的數據存在不

同的存儲空間中。

6.2.6.1.2存儲設備應提供完整數據訪問權限控制、實時安全監(jiān)控、故障自動切換和熱升級等功能。

6.2.6.1.3承載數據的加密存儲對云服務客戶方和數據庫是完全透明的，可以根據需要進行明文和密

文的轉換工作。

6.2.6.1.4能提供有效的虛擬機鏡像文件加載保護機制，保證即使虛擬機鏡像被竊取，非法用戶也無

法直接在其他計算資源進行掛卷運行。提供有效的硬盤保護機制，保證即使硬盤被竊取，

非法用戶也無法從硬盤中獲取有效的用戶數據。

6.2.6.1.5能針對政務云平臺內不同云服務客戶方的存儲數據進行有效隔離，防止政務云不同云服務

客戶方間非授權訪問敏感數據。

6.2.6.2管理要求

6.2.6.2.1對用戶鑒別信息、審計日志等關鍵信息予以完整性和保密性保護。

6

DB36/T1099—2018

6.2.6.2.2云服務提供方與云服務客戶方一起提出可行的信息系統(tǒng)和數據遷移方案，明確數據鏡像（或

副本）及數據備份的要求，滿足云服務客戶方對數據安全的要求。

6.2.6.2.3如果云服務客戶方的服務終止，云服務提供方應通知云服務客戶方，并給云服務客戶方

提供至少一個月的時間進行數據的遷移或下載，并保證刪除后的數據不可恢復。

6.2.6.2.4按云服務客戶方的要求，對重要信息系統(tǒng)和數據在政務云上應采用加密的方式存儲和備份，

存儲在云服務客戶方端或存放在其他備份云平臺上的數據，應采用多因素認證配合才允許進行修改或刪

除，同時政務云服務提供方至少每年對重要信息系統(tǒng)的數據配合云服務客戶方進行數據恢復的測試。

6.2.6.2.4由云服務客戶方決定自身業(yè)務數據是否加密。應對物理主機或用戶、密鑰生成簽名進行身

份認證。應采用訪問控制機制，云服務客戶方所持有資源的任何訪問需要檢測資源的請求者是否具備訪

問的權限，防止多云服務客戶方間的非授權訪問。

6.2.6.2.5采取相應技術措施對存儲資源池或分布式存儲集群的訪問進行實時的控制，對異常情況實

時告警，并及時通知云服務提供商、運維人員和云服務客戶方管理人員。

6.2.7抽象控制安全

6.2.7.1控制器安全主要包括身份認證、授權管理和操作審計，具有行為的鑒別、訪問控制及異常行

為的實時預警功能，并通過安全審計進行分析、溯源、定位及安全預警。

6.2.7.2針對云服務提供方管理員和云服務客戶方管理員，分別設置不同的職責和權限，對管理員的

身份進行多因素認證，所有操作進行審計。

6.2.7.3云服務提供方提供的控制器（如虛擬化和SDN）應開放標準的API接口供云服務客戶方自行

選擇通用的安全解決方案。

6.2.7.4控制器（如SDN控制器）應具備冗余能力，保證政務云中的管理系統(tǒng)提供持續(xù)使用的能力。

6.2.7.5云服務客戶方的管理員對資源調度使用應具備與云服務提供方管理員聯合審批及安全接入的

功能，如專用終端、堡壘機、專用賬戶、強密碼和多因素身份驗證。

6.3PaaS安全

6.3.1PaaS安全要求

PaaS安全應滿足7.2的要求。

6.3.2接口安全

6.3.2.1采用密碼技術，保障資源訪問的API接口安全。

6.3.2.2對開放的API接口的調用行為及數據異常情況的監(jiān)控和告警，發(fā)現問題及時通知云服務客戶

方，并協助云服務客戶方及時處置。

6.3.2.3對政務云中間件，應用開發(fā)的API接口接入進行安全測控和異常分析，以及對開發(fā)環(huán)境的安

全檢測。

6.3.2.4對中間件、數據庫及應用開發(fā)的API接口標準化，并通過政務云服務管理方正式發(fā)布。

6.3.3開發(fā)環(huán)境安全

6.3.3.1對開發(fā)環(huán)境提供給云服務客戶方的數據庫、中間件等服務進行定期的漏洞監(jiān)測，及時執(zhí)行補

丁更新。

6.3.3.2對云服務客戶方的應用系統(tǒng)軟件及使用情況進行監(jiān)測，對應用系統(tǒng)代碼漏洞或異常需及時通

知云服務客戶方，并督促其及時整改。

7

DB36/T1099—2018

6.3.3.3對開發(fā)環(huán)境中數據庫/中間件服務的使用，端口的開放及使用過程進行實時監(jiān)測和控制，保證

政務云的安全。

6.3.3.4對云服務客戶方上傳的文件、鏡像和開發(fā)工具進行安全檢測，防止其VPC內部的擴散，影響

云環(huán)境安全運行。

6.3.4中間件安全

6.3.4.1安裝其適用的所有安全補丁。

6.3.4.2啟用訪問控制功能，依據安全策略控制云服務客戶方對中間件服務的訪問。

6.3.4.3對應用部署的中間件服務狀態(tài)進行實時監(jiān)控，并對云服務客戶方訪問中間件服務的過程進行

實時監(jiān)控。

6.3.4.4對云服務客戶方登錄訪問中間件服務的所有訪問和操作行為進行審計，以便事后追查。

6.3.5數據庫安全

6.3.5.1及時驗證并更新安全補丁。

6.3.5.2通過保障帳號和密碼安全、服務配置安全、審計安全，管理擴展存儲過程、傳輸保護配置、

服務端口和網絡連接安全配置、數據庫應用系統(tǒng)的安全設置提高數據庫的安全性。

6.3.5.3提供應用部署的數據庫服務狀態(tài)實時監(jiān)控；通過建設數據庫審計系統(tǒng)對數據庫訪問和操作行

為進行審計，以便事后追查。

6.3.5.4提供應用部署的中間件服務狀態(tài)實時監(jiān)控，并對云服務客戶方訪問中間件服務的過程進行實

時監(jiān)控。

6.3.5.5啟用訪問控制功能，依據安全策略控制云服務客戶方對數據庫服務的訪問；通過設置系統(tǒng)、

網絡、安全管理員和安全審計員等管理人員及職責，按照最小權限的安全策略明確各自的職責。

6.4SaaS安全

6.4.1SaaS安全要求

SaaS安全應滿足7.3的要求。

6.4.2應用安全

應用安全防護要求按GB/T22239、GA/T1390.2和GB/T34080.1執(zhí)行。

6.4.3應用開發(fā)安全

應用開發(fā)安全防護要求按照GB/T20271和GB/T34080.1執(zhí)行。

6.5數據保護要求

6.5.1應用遷移安全

6.5.1.1云服務客戶方對擬遷移至電子政務云平臺應用系統(tǒng)的敏感度和業(yè)務重要性進行分析和評估，

按照應用系統(tǒng)敏感度和業(yè)務重要性要求云服務提供方提供相應的安全防護能力，禁止將涉密數據遷移至

電子政務云平臺。

6.5.1.2云服務提供方配合云服務客戶方對電子政務云平臺進行全面風險評估，確保電子政務云平臺

的安全防護能力不低于擬遷移信息系統(tǒng)的安全保護等級。

8

DB36/T1099—2018

6.5.1.3采用專線或加密隧道技術承載云服務客戶方業(yè)務數據的遷移，數據遷移時對云服務客戶方的

身份進行認證識別，采用訪問控制措施保證遷移路徑的安全可靠并對遷移來的數據執(zhí)行惡意代碼檢測和

清除。

6.5.1.4采用密碼技術保證云服務客戶方終端與云環(huán)境通信過程中的完整性；云服務客戶方應優(yōu)先將

備份系統(tǒng)中的數據遷移至電子政務云平臺。

6.5.1.5云服務提供方應提供應用測試環(huán)境，在云服務客戶方遷移完成后對部署在電子政務云平臺上

的業(yè)務進行全面的可用性測試。

6.5.2身份認證與授權

6.5.2.1對登錄訪問應用服務（技術服務、業(yè)務服務、數據服務）的云服務客戶方進行身份識別和鑒

別。

6.5.2.2啟用身份鑒別、云服務客戶方身份標識唯一性檢查、云服務客戶方身份鑒別信息復雜度檢查

以及登錄失敗處理功能，并根據安全策略配置相關參數。

6.5.2.3啟用訪問控制功能，依據安全策略控制云服務客戶方對應用服務（技術服務、業(yè)務服務、數

據服務）、文件（配置文件、日志文件、鏡像文件）等客體的訪問；

6.5.2.4基于單位、角色控制的資源訪問權限，并支持細度的權限控制（修改、只讀、無權限），授

予云服務客戶方所需的最小權限；授予不同角色為完成各自承擔任務所需的最小權限，并在它們之間形

成相互制約的關系；

6.5.2.5對重要信息資源設置敏感標簽，并依據安全策略嚴格控制云服務客戶方對有敏感標記重要信

息資源的操作，并做好相關審計記錄。

6.5.3賬戶保護

6.5.3.1基本要求

6.5.3.1.1定期針對數據保護、重要信息資源訪問進行測試，并驗證政務云具備相關的取證和分析能

力，包括實時事件的記錄，磁盤鏡像，內存快照和自身的元數據（包括存儲位置、歷史數據、文件記錄

等）。

6.5.3.1.2平臺禁止明文存儲口令數據。

6.5.3.1.3提供登錄失敗處理功能，采取結束會話、限制非法登錄次數和自動退出等措施。

6.5.3.2權限管理

6.5.3.2.1云服務客戶方的賬戶和密碼禁止泄露給第三方，至少3個月更改一次密碼，使用復雜密碼

且密碼位數不少于8位。

6.5.3.2.2云服務客戶方禁止給云服務提供方提供自己的賬號權限（或開放接入能力）及密鑰口令，

讓云服務提供方能夠接入云服務客戶方自己的重要信息系統(tǒng)中，例如云服務客戶方的高等級業(yè)務。

6.5.3.2.3根據業(yè)務特點，云服務提供方應區(qū)分系統(tǒng)管理員、安全管理員及安全審計員等各管理員角

色，不可兼任。

6.5.3.3傳輸管理

6.5.3.3.1云服務客戶方應使用安全受控的終端、雙因子認證，受限的訪問權限和傳輸加密的方式訪

問并管理云上的資源。

9

DB36/T1099—2018

6.5.3.3.2云服務提供方在對云進行管理或對云服務客戶方資產進行故障診斷或技術支持及遠程操

作時應控制管理員的權限，及系統(tǒng)和數據的訪問特權，防止云服務提供方權限的濫用。對于已經批準的

臨時特權，應有記錄并在3個月內予以撤銷。

6.5.4數據加密

6.5.4.1基本要求

6.5.4.1.1支持基于硬件密碼設備的數據加密機制，所使用的硬件密碼設備和密碼算法必須符合國家

標準和國家密碼管理局的相關要求。

6.5.4.1.2對應用系統(tǒng)中的重要數據應采取密碼機制保護措施，以保證數據的保密性和完整性。

6.5.4.1.3提供數據庫加解密服務，并具有電子政務云平臺承載海量數據處理能力，并可配置數據項、

數據隔離等數據加密要求，支持基于用戶角色的關鍵業(yè)務數據的加密存儲服務。

6.5.4.1.4支持行、列級的細顆粒度加解密，并對高碰撞性字段進行加解密，支持主流數據庫的加解

密。

6.5.4.1.5支持單實例多用戶的數據加密、隔離要求。

6.5.4.1.6保證系統(tǒng)管理數據（如索引文件、云服務客戶方信息及密鑰等）、鑒別信息和重要業(yè)務數

據（如用戶隱私數據）存儲和傳輸的完整性和保密性。

6.5.4.2管理要求

6.5.4.2.1云服務客戶方管理員客戶端到電子政務云平臺之間的遠程數據傳輸應采取加密機制保護和

隔離措施。

6.5.4.2.2云服務客戶方數據加密所使用的密鑰由用戶管理。

6.5.4.2.3在電子政務云平臺構建硬件密碼資源池，供云服務客戶方使用。

6.5.4.2.4政務云平臺負責硬件密碼資源的分配，確保只有云服務客戶方的VPC才能訪問所分配的密

碼資源。

6.5.4.2.5云服務客戶方的硬件密碼資源為獨占方式，禁止不同云服務客戶方共享硬件密碼資源，政

務云應確保不同云服務客戶方間的隔離。

6.5.4.2.6云服務客戶方可以通過遠程網絡管理自己的密碼資源和密鑰，在管理時應經過基于硬件介

質的身份認證，所有通訊數據應被加密。

6.5.4.2.7政務云應提供一種或多種技術手段，使云服務客戶方可以使用密鑰基礎設施對敏感數據進

行加密，可選的方式包括卷加密、數據庫加密、應用系統(tǒng)調用API加密等。

6.5.4.2.8在云服務客戶方訪問敏感數據服務時，應調用加密算法模塊，對整個報文或會話過程進行

加密，保證通信保密性。

6.5.5密鑰管理

6.5.5.1基本要求

6.5.5.1.1密鑰的生成、存儲、使用和管理應符合國家密碼管理局關于商用密碼的相關管理要求和國

家標準。

6.5.5.1.2政務云可以自建統(tǒng)一的密鑰管理系統(tǒng)，也可以選擇支持第三方密鑰管理系統(tǒng)（如電子政務

外網CA），或支持用戶自行管理密鑰，所使用的密鑰管理系統(tǒng)應當符合國家密碼管理局的相關要求。

6.5.5.1.3密鑰在停止使用后，必須及時銷毀且不可恢復。

6.5.5.1.4加密密鑰應在專門的密鑰生成系統(tǒng)或密鑰基礎設施中生成，密鑰數據必須密文存儲且與業(yè)

務數據存儲分離，關鍵密鑰如主密鑰、簽名密鑰等需存放在安全介質中或密鑰基礎設施中。且關鍵密鑰

10

DB36/T1099—2018

在云平臺上使用時，必須存放于密鑰基礎設施中。非關鍵密鑰信息如會話密鑰等應以密文形式保存在密

碼資源外部，但不能在任何情況下以明文形式出現在密碼資源外部。

6.5.5.2管理要求

6.5.5.2.1政務云平臺應對云服務客戶方提供密碼設備服務，平臺負責密鑰基礎設施的資源分配和網

絡連通，云服務客戶方負責對密鑰基礎設施進行配置，政務云平臺所提供的密鑰基礎設施服務應當設置

嚴格的鑒別機制，保證只有云服務客戶方才能對密鑰基礎設施進行配置，且只有云服務客戶方的應用才

能使用云服務客戶方的密鑰基礎設施。

6.5.5.2.2政務云平臺應確保云服務客戶方密鑰在使用中處于獨立的安全環(huán)境或云服務客戶方專用密

鑰基礎設施中。

6.5.5.2.3政務云平臺應提供安全的證書更新機制，確保云服務客戶方加密資源釋放時，云服務客戶

方證書被撤銷。

6.5.5.2.4政務云自建的統(tǒng)一密鑰管理系統(tǒng)，必須確保不同云服務客戶方間的密鑰隔離，政務云平臺

所使用的密鑰和云服務客戶方密鑰禁止在同一系統(tǒng)中進行管理，政務云平臺的服務管理人員和密鑰管理

人員不得兼任。

6.5.5.2.5未經云服務客戶方明確授權，政務云平臺禁止查詢、修改、刪除云服務客戶方密鑰及相關

信息。

6.5.6剩余信息清除

6.5.6.1用戶存儲空間清除,應保證虛擬機用戶的磁盤存儲空間被釋放或再分配給其他用戶前得到完

全清除，不能通過軟件工具恢復。

6.5.6.2管理文件空間清除,應確保虛擬機監(jiān)視器（Hypervisor）和云管理平臺內的文件、目錄、數據

庫記錄和其他資源等所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。

6.5.6.3鑒別信息清除,應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全

清除。

6.5.6.4快照信息清除,在遷移或刪除虛擬機后應確保鏡像文件、快照文件等數據的清除以及備份數據

清除。

6.5.6.5虛擬機內存清除,應保證虛擬機的內存被釋放或再分配給其他虛擬機前得到完全清除。

6.5.6.6設備置零,集中存儲過重要信息的存儲部件在報廢、維修、重新利用前，應采取技術手段進行

硬件置零處理。

6.5.6.7云服務客戶方不再使用電子政務云平臺資源后，云服務提供方應清除相關數據且不可恢復。

6.5.7備份與災難恢復

6.5.7.1提供數據本地備份與恢復功能，按照備份策略定期備份，備份介質場外存放；提供異地實時

備份功能，利用通信網絡將數據實時備份至災備中心。

6.5.7.2建設同城災備中心，距離主數據中心距離在50公里以內。電子政務云平臺應具備基本等同的

業(yè)務處理能力并通過高速鏈路（雙運營商的雙鏈路，單鏈路的帶寬不低于500Mb/s）；實時同步數據，

可同時分擔業(yè)務及管理系統(tǒng)的而運行，并可切換運行，災難環(huán)境下支持災難應急切換。

6.5.7.3建立異地災備中心，距離電子政務云平臺200公里以外。配備災難恢復所需的通信線路（雙

運營商的雙鏈路，單鏈路的帶寬不低于500Mb/s）、網絡設備和數據處理設備，只做數據級備份。

6.5.7.4滿足數據恢復和重建目標的需求。通過確定備份時間、技術、介質和場外存放方式，以保證

達到RPO和RTO的要求，具體標準通過云服務提供方，云服務客戶方和云服務管理方三方確定。

11

DB36/T1099—2018

6.5.8數據完整性校驗

6.5.8.1提供虛擬機鏡像文件完整性校驗功能，對虛擬機鏡像被篡改能及時發(fā)現并告警。

6.5.8.2對虛擬機配置文件、虛擬機模板、云服務客戶方賬戶數據、管理員及權限等管理數據采取數

據保護措施，經完整性校驗后方能部署使用。

6.5.9通信安全

6.5.9.1采用由密碼技術支持的完整性校驗機制或具有相應安全強度的其他安全機制，以實現通信網

絡數據傳輸完整性保護。

6.5.9.2采用由密碼技術支持的保密性保護機制或具有相應安全強度的其他安全機制，以實現網絡數

據傳輸保密性保護。

6.5.9.3通過對連接到通信網絡的設備進行認證，確保接入通信網絡的設備真實可信，防止設備的非

法接入。

6.5.10安全審計

6.5.10.1所有的審計手段應具備統(tǒng)一的時間戳，保持審計的時間標記一致。

6.5.10.2確保日志存儲中有足夠的存儲空間可保存半年以上，且必須定期歸檔并予以標記。

6.5.10.3對于異常的審計結果定期提供報告，并驗證異常事件。

6.5.10.4確保日志包括日期，時間戳，源地址，目的地址，各種可分析的元素，同時對于收集的日志

的格式，具備統(tǒng)一規(guī)范化的手段。

6.5.10.5從云服務客戶方行為審計、資源變更審計和管理操作審計等三方面，保證政務云處于可控狀

態(tài)。

6.5.11數據同步

6.5.11.1互聯網區(qū)VPC內信息系統(tǒng)和數據與政務外網區(qū)VPC內信息系統(tǒng)和數據實施數據同步應通過跨

網數據交換系統(tǒng)實現，跨網數據交換系統(tǒng)應按照GW0205要求建設。

6.5.11.2采取嚴格的安全隔離和訪問控制策略。

6.5.11.3跨網數據交換系統(tǒng)中的數據格式、內容及流量等做到實時監(jiān)測和實時控制；其訪問控制策略

的制定、實施和管理由云服務客戶方與云服務提供方管理員共同負責。

6.5.11.4跨網數據交換系統(tǒng)應滿足政務云環(huán)境下的各類彈性要求。如前后端部門/業(yè)務非對稱性的接

入，要求安全接入系統(tǒng)可以提供靈活的部署方式，提供彈性的資源調度模式，提供基于部門/業(yè)務的強

安全隔離的安全數據交換方式。

6.5.12數據共享與交換

部門間VPC之間和公共區(qū)VPC之間的數據共享與交換，應制定不同信息系統(tǒng)及數據庫相關字段級的共

享與交換規(guī)則，按政務信息資源目錄的要求，實現不同虛擬專有云（VPC）之間的應用系統(tǒng)、數據庫、

視頻等需要通過細粒度的路由策略進行訪問范圍限制，同時在路由可達的基礎之上，利用防火墻或虛擬

防火墻對跨VPC的訪問流量進行訪問控制，達到跨部門的數據共享與交換。

7政務云管理要求

7.1云服務客戶方

12

DB36/T1099—2018

7.1.1向電子政務云進行信息系統(tǒng)遷移時或部署信息系統(tǒng)時，應制定相關的技術方案，明確安全責任

邊界及基于風險分析基礎之上的安全計劃和控制策略，從網絡、主機、應用和數據安全及備份恢復等方

面提出具體要求，滿足信息系統(tǒng)安全等級保護技術要求。

7.1.2完成風險評估和損失評估后，安全策略應明確數據安全的要求，如數據副本的數量、存儲的物

理位置，根據數據的重要程度明確數據備份的RPO和RTO，明確數據是否需要加密存儲。

7.1.3應用遷移時，應對擬遷移至電子政務云平臺的應用系統(tǒng)的敏感度和業(yè)務重要性進行分析和評估，

按照應用系統(tǒng)敏感度和業(yè)務重要性要求云服務提供方提供相應的安全防護能力，禁止涉密數據遷移至電

子政務云平臺。

7.1.4承擔應用系統(tǒng)部署及管理，以及自身業(yè)