GBT 34080.1-2017 基于云计算的电子政务公共平台安全规范 第1部分总体要求
- 文档部分内容预览:
GBT 34080.1-2017 基于云计算的电子政务公共平台安全规范 第1部分总体要求
GB/T 34080.12017
h)电子政务公共平台安全测试,包括基础环境服务安全测试、数据承载服务安全测试和业务支撑 服务安全测试。
政务公共平台基础环境5
5.1.1网络拓扑结构安全
网络拓扑结构安全的具体要求如下: a)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径,业务终端和业务服务器 应放置在不同的子网内; b)应绘制与当前运行情况相符的完整的网络拓扑结构图市政图纸、图集,有相应的网络配置表,包含设备IP地 址等主要信息,并及时更新; c) 网络拓扑结构应做到对设备、节点、端口变化的动态检测与发现; 网段划分时,应根据所承载的政务业务系统的工作职能、重要性和涉及信息的重要程度等因 素,在充分调研互联互通、网络隔离等需求的基础上,划分网段,分配地址。
5.1.2网络访问控制
网络访问控制的具体要求如下: a)应在网络边界部署访问控制设备,启用访问控制功能; b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力; 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等 协议控制; d) 应关闭远程拨号访问功能; e)应设置访问控制机制,对外部用户通过公众互联网访问电子政务公共平台中设备提供相对安 全的访问通道,例如通过安全VPN方式; ()) 应在会话处于非活跃时间或会话结束后终止网络连接; g)应限制网络最大流量数及网络连接数; h)重要网段应采取技术手段防止地址欺骗; 应具备用户和系统之间的访问控制能力,能够控制允许或拒绝用户对进行资源访问,控制粒度 为单个地址或端口等标识; D 应设置统一的网络访问策略,网络访问策略应基于与之配套的网络安全信任体系; k)应对平台资源访问的认证、账号、授权组件实施统一管理。
5.1.3网络互联互通
网络互联互通的具体要求如下: 同等级电子政务系统之间的安全保障:各系统在同等安全等级的基础上进行对等访问控制,协 商确定边界防护措施和数据交换安全措施,保障电子政务系统间互联互通的安全。 不同等级电子政务系统间的安全保障:各系统在按照自身安全等级进行相应保护的基础上,协 商对相互连接的保护。高安全等级的系统要充分考虑引入低安全等级系统后带来的风险,采 取有效措施进行控制。
安全审计的具体要求如下!
安全审计的具体要求如下:
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; b)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的 信息; C 应能够根据记录数据进行分析,并生成审计报表; d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等; e 应定义审计跟踪极限的阅值,当存储空间接近极限时,能提前告警,并采取必要的措施避免出 现无法记录审计事件的情况; f)应根据信息系统的统一安全策略,实现集中审计,时钟保持与时钟服务器同步
5.1.5边界完整性检查
入侵防范的具体要求如下: a)电子政务公共平台在其IP承载网层面应具有抵御常见网络攻击、差错防范和处理的设计,在 网络边界部署和启用攻击、人侵防范技术手段(如防火墙、入侵检测等安全设备),防范针对电 子政务公共平台设备和系统的常见攻击及入侵(如,端口扫描、木马后门、DoS/DDoS攻击、缓 冲区溢出攻击、IP碎片攻击、网络端虫等);相关软件应及时安装补丁,定期检查更新,及时消 除可能的隐患; b) 电子政务公共平台及其承载政务业务系统应当限制和禁用可能造成漏洞的服务和端口; 当检测到攻击行为时,应记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件 时应提供报警及自动采取相应动作;可使用与防火墙联动的入侵检测系统,检测到攻击行为时 与防火墙联动阻断攻击; d)建 建议部署流量清洗设备阻止拒绝服务攻击; ) 应防止同一电子政务公共平台的租户窃取关键数据; 建议部署安全网络设备支持恶意代码检测和阻断,并能支持更新恶意代码库。
5.1.7网络设备防护
网络设备防护的具体要求如下: a)应对登录网络设备的用户进行身份鉴别,应删除默认用户或修改默认用户的口令,根据管理需 要开设用户,不得使用缺省口令、空口令、弱口令。 b)应对网络设备的管理员登录地址进行限制。
GB/T 34080.12017
d)主要网络设备应对同一用户支持多种鉴别技术来进行身份鉴别: 1)通过本地控制台管理主要网络设备时,应采用身份鉴别技术; 2)以远程方式登录主要网络设备,应采用两种或两种以上组合的鉴别技术进行身份鉴别。 e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换: 1)口令应符合以下条件:数字、大写字母、小写字母、符号混排,无规律的方式; 2) 管理员用户口令的长度至少为8位; 3) 管理员用户口令至少每季度更换1次,旧口令1年内不得重用; 4)可使用动态密码卡等一次性口令认证方式。 f) 所有需远程管理和监控的网络设备应开通SNMPv3协议,对于暂时不支持SNMPv3版本的 网络设备可先开通其v1或v2版本,并将其部署于非核心位置,以便在设备更新时优先替换。 g) 所有需远程管理和监控的网络设备应开通SNMPTrap,Trap报警信息应就近上报给本安全 域管理系统。 h)J 应提供并启用用户鉴别信息复杂度检查功能,保证身份鉴别信息不易被冒用。 应采用加密方式存储用户的口令信息。 D 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退 出等措施,应能够对登录失败事件做出统一审计。 K) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃取: 1)采用专用的访问线路; 2)其他加密方式的远程访问方式。 1) 应实现设备特权用户的权限分离。
互联网接人的具体要求如下: a) 应在与公众互联网运营商互通的接口部署流量清洗设备,抵御拒绝服务攻击; b)应对各类接入网络设备进行鉴别和验证,使所有接入系统网络设备置于统一的管理和配置 之下; c)应部署互联网接入网关设备,实现互联网安全终端和接入用户的身份鉴别和访问控制; d)互联网接人与电子政务公共平台传输网的数据交换,应采取有效的安全隔离措施进行; e) 应实现对各类接人设备、用户的综合安全审计。
5.1.9移动/无线网络接入
移动/无线网络接人的具体要求如下: a)移动接入网络应选择自主可控的移动网络。 移动网络接入应选择自主可控的安全认证协议。 通过移动接入网关、防火墙等设备,实现移动/无线接入网络安全访问控制。 a) 应对各类接入设备进行鉴别和验证,使所有接人设备置于统一的管理和配置之下。 应对移动/无线网络与电子政务公共平台的数据交换采取有效的安全隔离措施: 1 应可将采集的重要数据以及监控系统运行的相关信息传输给电子政务公共平台; 2) 应可从电子政务公共平台查询或下载所需的业务相关数据; 3) 应通过加密的安全传输通道进行数据交换; 4) 应严格限制可以进行交换的协议、数据类型; 5) 应依据预先制定的安全策略对交换的数据进行实时检查和过滤,阻止交换过程中电子 务公共平台内部被侵人或病毒传人的隐患。
f)应实现对各类接入设备、用户的综合安全审计。
5.1.10虚拟网络及设备安全
GB/T34080.12017
虚拟网络及设备安全的具体要求如下: a)应利用虚拟防火墙功能,实现虚拟环境下的逻辑分区边界防护和分段的集中管理和配置; b)应利用现有虚拟基础架构容器(主机、虚拟交换机、虚拟局域网)作为逻辑信任分区或组织 分区; c)虚拟网络安全策略应能灵活支持虚拟机的加入、离开或迁移; d)虚拟交换机应启用虚拟端口的限速功能,通过定义平均带宽、峰值带宽和流量突发大小,实现 端口级别的流量控制,同时应禁止虚拟机端口使用混杂模式进行网络通信膜探; e) 应对虚拟网络的重要日志进行监视和审计,及时发现异常登录和操作; f 应在创建客户虚拟机的同时,根据具体的拓扑和可能的通信模式,在虚拟网卡和虚拟交换机上 配置防火墙,提高客户虚拟机的安全性
5.2主机资源通用安全
身份鉴别的具体要求如下: a)应对登录操作系统的用户进行身份标识和鉴别。 b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并 定期更换: 1)口令应符合以下条件:数字、大写字母、小写字母、符号混排,无规律的方式; 2)[ 口令的长度至少为8位; 3) 口令至少每季度更换1次,旧口令1年内不得重用; 4)可以使用动态密码卡等一次性口令认证方式。 应提供并启用用户鉴别信息复杂度检查功能,保证身份鉴别信息不易被用。 d)J 应采用加密方式存储用户的口令信息。 e) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。 ) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性: 1) 应为操作系统的不同用户分配不同的用户名; 2)应为数据库系统的不同用户分配不同的用户名。 h) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别: 1)通过本地控制台管理主机设备时,应采用身份鉴别技术; 2)以远程方式登录主机设备,应采用两种或两种以上组合的鉴别技术进行身份鉴别
5.2.2主机访问控制
主机访问控制的具体要求如下: 应启用访问控制功能,依据安全策略控制用户对资源的访问。 b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小 权限。 c)应实现操作系统和数据库系统特权用户的权限分离。 d)应严格限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令:
GB/T 34080.12017
1)系统无法修改访问权限的特殊默认账户,可不修改访问权限; 2)系统无法重命名的特殊默认账户,可不重命名。 应及时删除多余的、过期的账户,避免共享账户的存在。 f) 能够检查内部网络主机通过采用双网卡跨接外部网络。 g)应对重要信息资源设置敏感标记。 h)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作
安全审计的具体要求如下: a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户,应在保证系统 运行安全和效率的前提,启用系统审计或采用第三方安全审计产品实现审计要求; 6 审计内容应包括重要用户各种行为、系统资源的异常使用和重要系统命令的使用等系统内重 要的安全相关事件; c)审计记录应包括日期和时间、类型、主体标识、客体标识、事件详细信息和事件的结果等; d)应保护审计进程,避免受到未预期的中断; e)应保护审计记录,避免受到未预期的删除、修改或覆盖等,审计记录应至少保存6个月; f)应能够统一设置安全审计策略,实现集中审计。
5.2.4剩余信息保护
剩余信息保护的具体要求如下: a)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户 前得到完全清除,无论这些信息是存放在硬盘上还是在内存中; b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用 户前得到完全清除。
入侵防范的具体要求如下: a)应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源P、攻击的类型、攻击的目 的、攻击的时间,并在发生严重入侵事件时提供报警,针对重要服务器的入侵行为检测可通过 网络级或主机级人侵检测系统等方式实现; b 应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施,如不能 正常恢复,应停止有关服务,并提供报警; c)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方 式保持系统补丁及时得到更新;持续跟踪商提供的系统升级更新情况,应在经过充分的测试 评估后对必要的系统补丁进行及时更新;通过对操作系统升级补丁来减少系统漏洞; d) 应采用专业安全工具对主机系统(包括虚拟机管理器、操作系统、数据库系统等)定期评估并 加固
5.2.6恶意代码防范
a)主机应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;对于恶意代码防 范软件不支持操作系统情况,应采取其他有效措施进行恶意代码防范; b)应支持防恶意代码的统一升级,统一日志报表管理:
主机中的恶意代码防范软件,应具备对特定重要业务主机的可信应用、重要目录文件的锁定功 能,以防止恶意代码的侵人以及重要文件篡改; d) 应能够对主机中重要应用程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的 措施,如不能正常恢复,应停止有关服务,并提供报警
资源控制的具体要求如下: a)应根据安全策略设置登录终端的操作超时锁定; b)应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况; c)应限制单个用户对系统资源的最大使用限度; d)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警,重要服务器的CPU利用 率、内存、磁盘存储空间等指标超过
5.3虚拟主机资源安全
5.3.1虚拟机基础安全
虚拟机基础安全的具体要求如下: 虚拟机宿主操作系统应选择安全可靠,且通过国家安全测评认证的操作系统。 应实现虚拟主机的访问控制和身份鉴别,以及特权用户的权限分离。 身份鉴别信息应具有不易被冒用的特点;口令应有一定复杂度(长度至少8位,是数字、大写字 母、小写字母、特殊字符中任意三种的组合),并定期(更换周期小于60天)更换。 虚拟主机采用集中的证书池管理,作为虚拟主机认证的信任源。 应对虚拟主机的管理员登录地址进行限制。 虚拟主机应具有登录失败处理功能,可采取结束会话、限制登录失败次数和当网络登录连接超 时自动退出等措施。 当对虚拟主机进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。 对虚拟主机的远程访问应采用安全协议: 1)使用的SNMP协议原则应使用SNMPv3并支持VACM和USM等安全机制; 2)对于远程登录应使用SSH以及其他相关加密和认证算法,对于Web管理应使用SSL/ TLS等安全协议; 3)3 支持的SNMP、SSH等服务的应用应在非必要情况下关闭和禁用,应使用SNMP协议的 相关设备应加强对SNMPwrite写操作的管理控制,可采用增加Community的复杂度或 是采用ACL控制等其他方式。 平台虚拟主机的安全日志应在本地或外部设备上进行记录、输出、存储,并及时、定期审计: 1)日志审计范围应该覆盖自身操作维护记录; 2)对外部发起行为的记录,应形成、储存相关的审计文档。 应根据管理用户的角色分配权限,实现管理用户对设备的权限分离,仅授予管理用户所需的最 小权限。 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。 应能够根据记录数据进行分析,并生成审计报表。 n)应保护审计进程,避免受到未预期的中断。 ) 应具备虚拟化系统故障的高效检测和恢复机制。 应能对休眠虚拟机的系统安全状态进行监控
P)应保证虚拟机镜像的完整性和可靠性。 Q)虚拟机审计还应包括: 1)电源状态(开启、关闭、暂停、恢复)的操作记录等; 2)对硬件配置的更改,登录尝试、权限变更、用户对数据的访问和业务的操作记录等
5.3.2虚拟机操作系统
虚拟机操作系统的具体要求如下: a)虚拟机操作系统应在虚拟化层面提供安全相关接口; b)虚拟机操作系统接口应开放源代码,并通过国家权威认证机构的源代码安全审查; c)虚拟机操作系统管理软件应兼容多种虚拟化实现方式,提供虚拟层控制接口,
5.3.3虚拟机配置与加固
虚拟机配置与加固的具体要求如下: a)应通过及时更新虚拟化软件补丁,提升虚拟化主机的安全; b)应通过对电子政务公共平台的资源监控管理,控制虚拟机所消耗的服务器资源,保障受到攻击 的虚拟机不会对在同一台物理主机运行上的其他虚拟机造成影响; c)应限制虚拟机到物理主机的通信,防止拒绝服务攻击
5.3.4虚拟机安全防护
虚拟机安全防护的具体要求如下: a)应支持对所承载业务的虚拟主机进行归类,并以机柜为单位进行无边界安全防护; b)虚拟安全防护措施应资源化、组件化,并能按需动态部署; c) 虚拟主机防护应支持分布式部署,多个虚拟主机防护可以进行分级防护策略定制和下发,满足 基于安全域防护措施的联动,整个电子政务公共平台的多个安全组件应支持协同防御。 d)单个虚拟主机防护系统应至少支持对60台虚拟主机的防护: e) 虚拟主机的安全防护组件均应集成到安全组件容器中,并应可对外提供相应的安全组件管理、 配置、通信、远程监控、日志采集和策略下发接口; f) 虚拟主机防护应支持与虚拟化资源管理电子政务公共平台的集成,确保虚拟主机防护自动化 部署; g) 虚拟主机防护系统应支持与跨域认证系统的集成,以进行统一的策略下发与集成; h)电子政务公共平台应提供虚拟主机的密钥应用管理功能,且能够允许用户对加密算法、强度和 方式等参数的可选配置; 应实现对常见针对虚拟机的恶意攻击的安全防护; i 应避免虚拟机共同体之间通过共同访问资源进行恶意攻击
5.4.1终端通用接入安全
终端通用接人安全的具体要求如下: a 电子政务公共平台应对接入终端提供统一的安全保障措施,并由电子政务公共平台提供技术 支撑和一体化的技术工具,终端用户自已实施安全防护; 电子政务公共平台应部署统一的功能模块/网关设备负责终端的接人识别、认证授权等,且应 采用两种或两种以上组合的鉴别技术来进行身份鉴别,其中一项认证应是基于证书进行认证;
GB/T34080.1—2017
c)终端接人设备应设置唯一的编号,并满足终端认证管理要求; d)对于接人平台的终端应进行统一授权管理,分配不同的访问控制权限; e)对于允许接人平台的终端用户数量应设置数量限制; f)平台对终端的认证授权等数据交换过程应采取加密措施,防止数据泄漏; g)应通过及时更新终端系统补丁,提升终端的安全; h)应定期对终端做授权认证,防止终端授权过期继续使用或非法盗用; i) 应定期检查有线终端接入线路的安全性,并输出审计报告; 终端接人电子政务公共平台后,网络通信内容应采用加密方式保障机密性; k)应通过设定终端接人方式、网络地址范围等条件限制终端登录; 终端接入电子政务公共平台后,应限制该终端的访问权限,并限制其他设备与该终端的非授权 通信。
c)终端接人设备应设置唯一的编号,并满足终端认证管理要求; d)对于接人平台的终端应进行统一授权管理,分配不同的访问控制权限; e)对于允许接人平台的终端用户数量应设置数量限制; f)平台对终端的认证授权等数据交换过程应采取加密措施,防止数据泄漏; g)应通过及时更新终端系统补丁,提升终端的安全; h)应定期对终端做授权认证,防止终端授权过期继续使用或非法盗用; i 应定期检查有线终端接入线路的安全性,并输出审计报告; 终端接人电子政务公共平台后,网络通信内容应采用加密方式保障机密性; k)应通过设定终端接人方式、网络地址范围等条件限制终端登录; 终端接人电子政务公共平台后,应限制该终端的访问权限,并限制其他设备与该终端的非授权 通信。
5.4.2虚拟终端专属接入安全
虚拟终端专属接人安全的具体要求如下: a)应控制和检查接人虚拟终端的资源申请要求是否符合总体资源申请限制; b)应动态监控接入虚拟终端所消耗的服务器资源,保障受到攻击的虚拟机不会对在同一台物理 主机运行上的其他虚拟机造成影响; c)应检查虚拟终端的接入网络申请是否符合目前的安全域划分要求; d)应控制虚拟机到物理主机的通信,防止虚拟终端发起拒绝服务攻击
移动网络环境下终端专属接人安全的具体要求如下: a)移动设备接人电子政务公共平台应采用两种或两种以上组合的鉴别技术身份鉴别,并且身份 鉴别信息至少有一种是不可伪造的。 b)移动设备认证通过后确保身份信息和移动设备硬件捆绑,并具有唯一性。 c)移动设备接人电子政务公共平台后访问的信息应可控: 1)在移动设备上不保存,并应用程序关闭后可以清除缓存: 2) 移动设备接入电子政务公共平台后访问的信息应加密传输: 3). 移动设备接入电子政务公共平台后应限制通过非授权方式复制、传播,包括拷贝、截屏、短 信等行为; 4)移动设备接入电子政务公共平台后访问的数据应防止信息从移动设备之上泄露出去。 d)电子政务公共平台应具备手段拒绝系统被破修
电子政务公共平台的物理环境安全应符合国家标准GB50174一2008与GB50462—2008的
5.5.2物理位置的选择
物理位置的选择的具体要求如下: a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内: 1)机房或机房所在建筑物应具有符合当地抗需要求的相关证明:
GB/T34080.12017
2)机房外墙壁如果有窗户,应采用双层固定窗,并作密封、防水处理。 b) 机房场地应避免设在建筑物内用水设备的下层或隔壁;如果机房周围有用水设备,应当有防渗 水和疏导措施。 c) 机房场地设置在建筑物项层、地下室、或者高层的,应采取必要的安全措施: 1)机房场地设在建筑物顶层,应采取有效的防水措施和固定措施; 2)机房场地设在建筑物地下室的,应采取有效的防水措施; 3)机房场地设在建筑物高层的,应对设备采取有效固定措施。 d) 机房不应选在已知地震带上。 e) 机房应远离电气化铁路、高压电站、发射电台及上空有航线等场所。 f) 机房应避免临近闹市区、重大军事自标等场所
5.5.3物理环境出入控制
5.5.4物理环境周边安全
5.5.4.1电力供应
电力供应的具体要求如下: a)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求;机房应配备UPS, UPS实际供电能力能够满足设备在断电情况下正常运行2h以上; b)配电柜、箱应有短路、过流保护,其紧急断电按钮与火灾报警联锁
5.5.4.2电磁防护
电磁防护的具体要求如下: a)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰; b)机房或机房所在的大楼应接地措施,并且接地电阻应小于1Q; c) 应对关键区域实施电子屏蔽; d)电源线和通信线缆应隔离铺设,电源线和通信线缆应铺设在不同的桥架或管道,避免互相干扰。
6电子政务公共平台业务和数据支撑安全保障
数据传输的具体要求如下:
数据传输的具体要求如下:
GB/T34080.12017
a)应通过采用VPN和数据传输加密等技术,实现从电子政务公共平台承载业务系统数据传输 通道的安全; b)应采用SSH、SSL等方式为电子政务公共平台内部的维护管理提供数据加密通道,保障管理 信息安全; c) 应采用加密或其他有效措施实现虚拟机镜像文件、系统管理数据、鉴别信息和重要业务数据传 输保密性; d) 应能够检测到虚拟机镜像文件、系统管理数据、鉴别信息和重要业务数据在传输过程中完整性 受到破坏,并在检测到完整性错误时采取必要的恢复措施; e)J 应能够支持国家密码管理机构要求的通信加解密算法和签名验签。
数据存储的具体要求如下: a)应采用加密技术或其他保护措施实现虚拟机镜像文件、系统管理数据、鉴别信息和重要业务数 据等数据资源的存储保密性。 b)电子政务公共平台应对承载数据进行机密性保护: 1)电子政务公共平台应支持基于用户密钥的数据加密,并支持用户对加密算法、强度和方式 等参数的可选配置; 2)敏感数据加密存储应可配置; 3)承载数据应实现对不同颗粒度(行、列)重要敏感数据的加解密。 c)承载数据的加密存储应对最终用户和数据库是完全透明的,可以根据需要进行明文和密文的 转换工作。 d)应提供有效的虚拟机镜像文件加载保护机制,保证即使虚拟机镜像被窃取,非法用户也无法直 接在其他计算资源进行挂卷运行。 e) 应提供有效的硬盘保护形式,保证即使硬盘被窃取,非法用户也无法从硬盘中获取有效的用户 数据。 f 应能够检测到虚拟机镜像文件、系统管理数据、鉴别信息和重要业务数据在存储过程中完整性 受到破坏,并在检测到完整性错误时采取必要的恢复措施。 g)在安全等级可接受的环境中再次使用介质之前应清除介质上已有的数据,且所有内部存储、缓 存或其他可用的存储都应清除于净,以防对先前信息的访问
数据迁移的具体要求如下: a)应提供不同电子政务公共平台间的数据迁移能力; b) 数据迁移准备应制定迁移方案,并进行迁移方案可行性评估与风险评估,确定制定数据迁移风 险控制措施,做好数据备份以及恢复相关工作,应保证数据迁移不影响业务应用的连续性; 数据迁移包括在线迁移和离线迁移,重要敏感数据要求支持在线数据迁移和离线迁移,其他数 据要求在线迁移; d) 数据迁移方式应以自动迁移为主,手动迁移为辅; e) 数据迁移验证应进行数据一致性校验,并保证业务系统正常运行; 数据恢复应保证数据还原至原始数据库和数据状态; g) 应进行数据迁移前的网络连接能力评估,保证数据迁移的快速、安全实施; h) 应避免敏感机密数据的复制和物理迁移; ) 各部门迁移到电子政务公共平台中心的存储设备应一并纳入资源池,其资产隶属关系不变,并
GB/T 34080.12017
由电子政务公共平台统一管理,集中使用
数据销毁的具体要求如下: a) 应能够提供手段受控导出因数据在不同电子政务公共平台间迁移、业务终止、自然灾害、合同 终止等遗留的数据; b) 应能够提供手段协助清除因数据在不同电子政务公共平台间迁移、业务终止、自然灾害、合同 终止等遗留的数据; c)应提供手段清除数据的所有副本; d)应提供技术手段禁止被销毁数据的恢复。
备份和恢复的具体要求如下: a)应提供数据本地备份与恢复功能,按照备份策略定期备份,备份介质场外存放。 b 应建设生产备份中心和同城灾备中心,即双活中心。双活中心应具备基本等同的业务处理能 力并通过高速链路实时同步数据,日常情况下可同时分担业务及管理系统的运行,并可切换运 行,灾难情况下应支持灾备应急切换,保持业务连续运行。 C 应建立异地灾难备份中心,配备灾难恢复所需的通信线路、网络设备和数据处理设备,提供业 务应用的实时无缝切换且距离电子政务公共平台300km以外。 d) 灾备中心至电子政务公共平台的网络应采用双运营商的双链路,且每一条链路带宽不低于 500 Mb/s。 e 应提供异地实时备份功能,利用通信网络将数据实时备份至灾难备份中心。 f)应提供快速的虚拟机恢复能力。 g)应支持基于磁盘的备份与恢复
存储设备的具体要求如下: a 应根据承载数据业务的安全需求,制定合理的存储策略,不同安全级别的数据应存放在不同的 存储空间中; b)服务器应提供磁盘穴余安全; c)存储设备应提供完整数据访问权限控制; d)存储设备应提供实时的安全监控; e)存储设备应支持故障自动切换; f)存储设备应支持热升级
目录服务的具体要求如下: )目录服务的共享应提供加密措施,并可配置访问控制措施 和授权机制,并支持目录服务开放可控的要求
务的具体要求如下: 录服务的共享应提供加密措施,并可配置访问控制措施; 录服务的交换应提供认证机制和授权机制,并支持目录服务开放可控的要求。
6.2业务部署支撑安全
6.2.1通用应用服务软件
通用应用服务软件的具体要求如下!
通用应用服务软件的具体要求如下:
GB/T 34080.1—2017
a) 应提供自主访问控制功能,依据安全策略控制用户对文件、数据库表等的访问; b) 应提供安全通道保障供业务系统选择使用; 应能够对一个业务应用占用的资源分配最大限额; d)应将电子政务公共平台所部署应用的认证、账号、授权组件化; 应对电子政务公共平台所部署应用系统进行审计; ) 电子政务公共平台应用服务器应支持双向认证,避免网络钓鱼; g)业务系统试运行前应经过安全检查与安全扫描,通过后再接人电子政务公共平台; h)业务运营期间应定期对业务系统承载的电子政务公共平台资源进行检查和审核: 业务系统要求运行中不存在功能以外的数据调用; 2 业务系统应运行在自主可控的中间件之上。
6.2.2应用的认证授权
应用的认证授权的具体要求如下: a) 应对同一用户提供两种或两种以上组合的鉴别技术实现用户身份鉴别; b)应提供用户跨安全域的交叉认证 c) 应提供认证登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; d) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理 功能,并可根据安全策略配置相关参数; e) 电子政务公共平台对所交付的资源应支持统一的授权管理和使用权限的一次分配,满足电子 政务公共平台资源交付可用性要求; f) 单点登录认证与CA认证中心应边界清晰、责权分明,要求CA认证中心与单点登录认证系统 由不同的承担方建设; g) 业务资源接人要求结合跨域认证与授权进行应用系统资源的分配及权限控制; h) 认证、账号、授权管理应组件化,组件之间支持数据同步,并由电子政务公共平台统一管理; i)认证系统应支持对承载的应用和资源的认证
6.2.3应用开发环境
应用开发环境的具体要求如下: a)业务应用系统的开发环境资源访问应受控; b)业务应用系统的开发环境应在经过认证授权后才可接入电子政务公共平台进行测试; c) 业务系统的电子政务公共平台开发接口应经过安全测试; d)业务系统的接口应开放,能够进行代码审查; e) 应支持业务系统组件式开发,各个组件均能进行独立的安全检测; f) 应提供业务系统的安全威胁扫描。
6.2.4数据库安全环境
数据库安全环境的具体要求如下: a)数据库应建立严格用户认证机制; b)数据库应限制用户只能进行经过授权的操作; 应提供数据库加解密引擎池,并具有电子政务公共平台承载海量数据处理能力,并可配置数据 项、数据隔离等的数据加密要求,支持基于用户角色的关键业务数据的加密存储服务; dE 电子政务公共平台所承载数据的数据库系统应支持行、列级的细颗粒度加解密,并对高碰撞性 字段进行加解密,支持主流数据库的加解密:
GB/T 34080.12017
e)数据库加解密应对应用系统提供完善、灵活的集成接口,并对数据持久层提供良好的支持; f 应使用虚拟化技术构建高性能的数据库加解密组件,避免大数据量的数据库加解密而影响数 据库性能; g)应支持单实例多用户的数据加密、隔离要求
6.2.5构件库和构件封装
构件库和构件封装的具体要求如下: a)构件库运行要求支持统一认证机制和访问控制措施; b)构件库的封装者身份应可追溯; c)构件入库要求审核机制,保证构件运行正常、边界清晰; d)要求提供构件上传、获取,使用验证机制。 e)构件封装过程要求与运行环境一致; f)构件运行环境需要明确说明,并通过构件环境测试,构件运行前出具测试报告
6.2.6应用迁移支撑
应用迁移支撑的具体要求如下: a)应保证业务迁移不影响原来的业务应用不受影响; b)业务应用迁移应事先做迁移方案,并对风险和资源做评估: c)对于重要业务系统应先在电子政务公共平台备份运行该系统,待备份系统运行稳定后,再将备 份系统切换为生产系统; d)核心业务节点应在安全域内受控迁移,不能在安全域间迁移; e)重要业务节点可在安全域内自由迁移,不能在安全域间迁移; f)一般业务节点可在安全域内自由迁移,应在安全域间受控迁移; g)不同安全级别的资源池之间禁止业务迁移; h)关键电子政务公共平台支撑节点不可迁移,应支持基于虚拟化的容灾热备
6.2.7业务支撑资源安全
业务支撑资源安全的具体要求如下: a)业务系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话。 b)用户登录应用系统后在规定的时间内未执行任何操作,应自动退出系统。 厂 应能够对业务应用系统的最大并发会话连接数进行限制。 d) 应能够对单个账户的多重并发会话进行限制。 e)应能够对一个时间段内可能的并发会话连接数进行限制。 f)应能够对一个访问账户或一个请求进程占用的资源分配最大限额和最小限额。 应能够对业务系统服务水平降低到预先规定的最小值进行检测和报警。 a) 应提供服务优先级设定功能,并在安装后根据安全策略设定访问账户或请求进程的优先级,根 据优先级分配系统资源。 业务资源应配置有别,并可在资源接人端对所属资源进行二次分配。 业务虚拟资源应安全可控: 1) 虚拟资源不发生泄露; 2) 虚拟资源管理有序可控; 3) 虚拟资源的交付提供资源的授权; 4) 虚拟资源的接入提供身份鉴别和访问控制措施:
5)虚拟资源接人端采用VPN确保传输通道的安全。 k)应支持不同域的资源共享
6.2.8应用VPN支撑
GB/T34080.1—2017
应用VPN支撑的具体要求如下: 接人电子政务公共平台的部门应能对政务应用根据电子政务公共平台间的安全连接、电子政 务公共平台与租户、主机之间要求动态建立VPN和分配VPN实例; b)接人电子政务公共平台的部门应能监控、管理其所属的VPN,并能管理VPN的用户账户; c)应对电子政务公共平台上的所有VPN统一进行配置和监控; d)VPN应在业务所在安全域内部署密钥池管理,密钥归电子政务公共平台服务提供方或主机责 任方所有,并统一由密钥应用服务管理
运行许可的具体要求如下: a)业务运行的申请应根据审批流程,由专人进行业务运行的审批,并出具运行测试报告; b)业务运行的释放过程应根据审批流程设备安装技术、工艺,由专人进行业务运行释放的监管,最终出具业务运行释 放报告归档
版权管理的具体要求如下: )电子政务公共平台虚拟化环境应对运行第三方虚拟化软件、业务组件和业务系统的版权进行 审查,要求出具运行版本测试报告; b)版权授权应支持按电子政务公共平台内运行实例的个数进行授权。
基础环境隔离的具体要求如下: a)电子政务外网应与互联网逻辑隔离,如使用防火墙或VPN等边界设备隔离。 b)电子政务内网应与互联网物理隔离,电子政务内网应与电子政务外网物理隔离。 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采 取可靠的技术隔离手段。 d) 应对机房划分区域,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡 区域: 1)机房按照消防要求和管理要求进行合理分区,区域和区域之间设置物理隔离装置; 2) 机房设置专门的过渡区域,用于设备的交付或安装; 3)重大业务应用所处机架必须有相应的专门位置存放; 4)重要区域包括:主机房、辅助区、支持区等功能区域。 e)应定义策略以在分区边界之间对网络流量进行桥接、设置防火墙保护策略并加以隔离。
虚拟主机隔离的具体要求如下 a)物理主机上的多个虚拟主机应隶属同一个安全域,禁止跨安全域部署
GB/T 34080.12017
b) 虚拟主机之间的信息交互应按其安全属性要求选择建立VPN安全通道、身份鉴别或访问控制。 c) 应提供存储空间级安全隔离,根据不同存储区域划分不同安全级别。 电子政务公共平台应实现网络逻辑隔离: 1)应提供基于虚拟机安全组的网络隔离,虚拟机之间应采用VLAN和不同的IP网段的方 式进行逻辑上的隔离; 2)4 每个虚拟机支持安全策略配置。 e) 应设置隔离措施实现虚拟机资源之间的安全隔离: 1)应提供CPU调度隔离、内部网络隔离、不同虚拟机的内存隔离、不同虚拟机的存储隔离; 2) 应只允许符合安全策略的虚拟机之间实现互相访问资源。
业务与数据隔离的具体要求如下: a)客户端到电子政务公共平台之间的用户数据传输应采用私有VPN进行数据隔离; b)应对虚拟主机进行加固,保证不同主机之间的数据处理隔离; c)新上线应用和已有应用提供数据层的数据隔离,并通过配置虚拟资源隔离系统实现; d)应提供有效的虚拟机间内存隔离等机制,避免来自同一宿主机上的其他虚拟机破坏数据完整性; e)不同用户数据应根据业务需要进行隔离; )不同安全域及部门专属业务域之间应实现配置化的跨域认证与授权; g 应对电子政务公共平台所部署应用,建立针对安全域之间、应用服务器之间通信的密钥服务管 理系统; h) 安全域内应部署独立的主机密钥池管理,密钥归电子政务公共平台服务提供方或主机所有者 方所有阀门标准,并支持统一的密钥应用的管理。
8电子政务公共平台等级安全保障
8.1网络和主机资源等级安全保障
....- 电子标准
- 相关专题: 云计算