DB13／T 3000-2019信息安全技术 电子财务云安全保护技术与管理规范.pdf

ICS 35.030 L 09 DB13 河北省地方标准 DB 13/T 30002019 信息安全技术 电子政务云安全保护 技术与管理规范 2019-07-04 发布 2019-08-01 实施 河北省市场监督管理局 发 布 DB13/T 30002019 I 目 次 前言.II 引言.III 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 电子政务云安全保护技术要求.1 5 电子政务云安全保护管理要求.10 参考文献.23 DB13/T 30002019 II 前 言 本标准按照GB/T 1.1-2009给出的规则起草。本标准由河北省工业和信息化厅提出并归口。本标准起草单位：河北省信息安全测评中心、杭州华三通信技术有限公司、中国联合网络通信有限公司河北省分公司、衡水市人民政府政务服务和公共资源交易管理办公室、河北省委党校（河北行政学院）、河北工程大学信息与电气工程学院。本标准主要起草人：牛占冀、陶卫江、张凤臣、闫利平、黄亮、刘艳、姜彧、王辙、蒋啸龙、胡金岭、梁志、孟宪辉、龙涛、李鹏、高凡、王淑婧、李娜、李陶钧、李韦、王子强、陈永军、姚会亭、苏桂敏、郑丹、种健、黄远。DB13/T 30002019 III 引 言 为了规范云服务商、云租户和监管部门的行为，减少安全威胁，依据相关法律、法规和标准，制定本标准。电子政务云的安全管理要求分为技术要求和管理要求。本标准在GB/T 222392008等技术类标准的基础上，根据现有技术的发展水平，提出和规定了电子政务云的最低安全技术要求和管理要求，即技术与管理规范。本标准即适用于电子政务云的安全测评，又适用于指导电子政务云的安全建设和管理，以及电子政务云安全主管部门的监督检查。DB13/T 30002019 1 信息安全技术 电子政务云安全保护技术与管理规范 1 范围 本标准规定了电子政务云安全保护物理安全、网络安全、主机安全、应用安全、数据安全五个方面的技术要求和安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面的管理要求。本标准适用于相关组织和机构电子政务云安全保护的管理指导和评估。2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 31167-2014 信息安全技术 云计算服务安全指南 GB/T 31168-2014 信息安全技术 云计算服务安全能力要求 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 3 术语和定义 GB/T 31167-2014、GB/T 31168-2014和GB/T 22239-2008中界定的及以下术语和定义适用于本文件。3.1 安全保护能力 security protection ability 系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。3.2 电子政务云 E-government cloud 电子政务云结合了云计算技术的特点，通过信息化手段在政务上实现各种业务流程办理和职能服务，为政府各级部门提供可靠的基础IT服务平台。3.3 电子政务云安全保护能力 应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能，应符合国家网络安全等级保护制度的有关要求。4 电子政务云安全保护技术要求 4.1 物理安全 4.1.1 物理位置的选择 DB13/T 30002019 2 本项目包括但不限于：a)机房场地应选择在具有防震、防风和防雨等能力的建筑内；b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁；c)确保机房位于中国境内；d)确保云计算服务器及运行关键业务和数据的物理设备位于中国境内；4.1.2 物理访问控制 本项目包括但不限于：a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员。b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。c)应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域。d)重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。e)制定和维护具有机房访问权限的人员名单。f)及时从授权访问名单中删除不再需要访问机房的人员。g)根据职位、角色以及访问的必要性对机房进行细粒度的物理访问授权。h)除对机房出入口实施访问控制外，云服务商还应严格限制对云计算平台设备的物理接触。4.1.3 防盗窃和防破坏 本项目包括但不限于：a)应将主要设备放置在机房内。b)应将设备或主要部件进行固定，并设置明显的不易除去的标记。c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。d)应对介质分类标识，存储在介质库或档案室中。e)应利用光、电等技术设置机房防盗报警系统。f)应对机房设置监控报警系统。4.1.4 防雷击 本项目包括但不限于：a)机房建筑应设置避雷装置。b)应设置防雷保安器，防止感应雷。c)机房应设置交流电源地线。4.1.5 防火 本项目包括但不限于：a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。具体温湿度要求可参照 GB 2887-2011 中的要求。b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。c)机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。4.1.6 防水和防潮 本项目包括但不限于：a)水管安装，不得穿过机房屋顶和活动地板下；DB13/T 30002019 3 b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。d)应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。4.1.7 防静电 本项目包括但不限于：a)主要设备应采用必要的接地防静电措施。b)机房应采用防静电地板。4.1.8 温湿度控制 本项目包括但不限于：机房应设置温、湿度自动调节设施，具体温湿度要求可参照GB 2887-2011中的要求。4.1.9 电力供应 本项目包括但不限于：a)应在机房供电线路上配置稳压器和过电压防护设备。b)应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求。c)应设置冗余或并行的电力电缆线路为计算机系统供电。d)应建立备用电力设备。e)为云计算平台配备应急照明设备并进行维护，并可在断电的情况下触发，应急照明包括机房内的紧急通道和疏散通道指示牌。4.1.10 设备 建立重要设备台帐，明确设备所有权，并确定责任人。4.1.11 电磁防护 本项目包括但不限于：a)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰。b)电源线和通信线缆应隔离铺设不少于 45 cm。c)应对关键设备和磁介质实施电磁屏蔽。4.2 网络安全 4.2.1 结构安全 本项目包括但不限于：a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。b)应保证网络各个部分的带宽满足业务高峰期需要。c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径。d)应绘制与当前运行情况相符的网络拓扑结构图。e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段。DB13/T 30002019 4 g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。h)应实现不同云租户之间网络资源的隔离，并避免网络资源的过量占用。i)应绘制与当前运行情况相符的虚拟网络拓扑结构图，并能对虚拟网络资源、网络拓扑进行实时更新和集中监控。j)应保证虚拟机只能接收到目的地址包括自己地址的报文。k)应保证云平台管理流量与云租户业务流量分离。l)应能识别、监控虚拟机之间、虚拟机与物理机之间、虚拟机与宿主机之间的流量。m)应提供开放接口，允许接入第三方安全产品，实现云租户的网络之间、安全区域之间、虚拟机之间的网络安全防护。n)应根据云租户的业务需求定义安全访问路径。4.2.2 访问控制 本项目包括但不限于：a)应在网络边界部署访问控制设备，启用访问控制功能。b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。c)应对进出网络的信息内容进行过滤，实现对应用层 HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制。d)应在会话处于非活跃一定时间或会话结束后终止网络连接。e)应限制网络最大流量数及网络连接数。f)重要网段应采取技术手段防止地址欺骗。g)应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。h)应限制具有拨号访问权限的用户数量。i)应在虚拟网络边界部署访问控制设备，并设置访问控制规则。j)应依据安全策略控制虚拟机间的访问。k)应实时监视云服务远程连接，并在发现未授权连接时，采取阻断、溯源等适当的应对措施。l)应对远程执行特权命令进行限制，采取严格的保护措施并进行审计。m)当进行远程管理时，管理终端和云平台边界设备之间应建立双向身份验证机制。4.2.3 安全审计 本项目包括但不限于：a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)应能够根据记录数据进行分析，并生成审计报表。d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。e)应根据云服务方和云租户的职责划分，收集各自控制部分的审计数据。f)应为安全审计数据的汇集提供接口，并可供第三方审计。g)应能够根据记录数据进行分析，并生成审计报表。h)应根据云服务方和云租户的职责划分，实现各自管理部分的集中审计。4.2.4 边界完整性检查 DB13/T 30002019 5 本项目包括但不限于：a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断。b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。c)允许外部公开直接访问的组件、服务等应划分在一个与内部网络逻辑隔离的子网络上，并确保允许外部人员访问的组件与允许客户（租户）访问的组件在逻辑层面实现严格的网络隔离。d)应支持对虚拟机的 DHCP 隔离，防止该虚拟机通过安装的 DHCP 软件，为其他虚拟机分配 IP地址，影响其他虚拟机的正常运行。4.2.5 入侵防范 本项目包括但不限于：a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等。b)当检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。c)应能检测到云租户对外的攻击行为，并能记录攻击类型、攻击时间、攻击流量。d)应具备对异常流量的识别、监控和处理能力。e)应对发布到互联网的敏感信息进行实时监测和告警。4.2.6 恶意代码防范 本项目包括但不限于：a)应在网络边界处对恶意代码进行检测和清除。b)应维护恶意代码库的升级和检测系统的更新。4.2.7 网络设备防护 本项目包括但不限于：a)应对登录网络设备的用户进行身份鉴别。b)应对网络设备的管理员登录地址进行限制。c)网络设备用户的标识应唯一。d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别。e)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换。f)应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。g)当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。h