国家电子政务外网标准

国家电子政务外网标准GW0013—20172017-03-30发布2017-05-01实施政务云安全要求SecurityRequirementsforGovernmentCloud国家电子政务外网管理中心电子政务云集成与应用国家工程实验室发布目次前言.............................................................................I引言............................................................................II政务云安全要求.......................................................................11范围...............................................................................12规范性引用文件.....................................................................13术语与定义.........................................................................14缩略语.............................................................................35政务云概述及业务区域划分...........................................................35.1政务云概述.....................................................................45.2政务云功能区域划分.............................................................46政务云安全参考模型.................................................................56.1政务云服务模式概述.............................................................56.2数据保护要求概述...............................................................66.3政务云安全管理要求概述.........................................................67政务云安全技术要求.................................................................67.1总体要求.......................................................................67.2IaaS安全........................................................................77.3PaaS安全......................................................................107.4SaaS安全......................................................................107.5数据保护要求..................................................................118政务云管理要求....................................................................148.1云服务客户....................................................................148.2政务云管理单位................................................................158.3云服务方......................................................................15附录A...............................................................................17政务云VPC之间跨网数据交换方法示例..................................................17I前言本标准按照GB/T1.1-2009给出的规则及政务云安全的实际需求起草。本标准由电子政务云集成与应用国家工程实验室提出。本标准由国家电子政务外网管理中心归口。本标准主要起草单位：国家电子政务外网管理中心、新华三集团、华为技术有限公司、曙光信息产业股份有限公司、中国科学院信息工程研究所、中国电子技术标准化研究院、中电长城网际系统应用有限公司、中电科华云信息技术有限公司、北京中软华泰信息技术有限责任公司、杭州迪普科技股份有限公司、兴唐通信科技有限公司、北京江南天安科技有限公司、上海汉邦京泰数码技术有限公司、华信咨询设计研究院有限公司、阿里云计算有限公司、杭州合众数据技术有限公司、太极计算机股份有限公司。本标准主要起草人：周民、杨绍亮、邵国安、徐云、梁鹏、韩帅、任飞、李彦宾、史翔宇、黄敏、张云星、陈驰、杨瑛、闵京华、葛超、朱星、赵勇、路剑华、孟斌、李国、肖国玉、栗金芬、陈雪秀、李丹丹、钱春巍、郭峰、陈楠、陈龙、曹亮、毛群飞、任伟。II引言政务云在管理、建设和运维过程中有其自身的安全要求，需要在国家标准的基础上提出有针对性的安全要求。本标准是相关云计算国家标准在电子政务应用方面的安全要求补充，在遵守国家相关法律法规、中央网信办相关管理办法及等级保护的前提下，为指导全国各级政务部门开展政务云服务提供安全和管理依据，保证政务云服务的安全要求。本标准主要包括政务云概述及安全功能区域划分、安全参考模型、政务云安全技术要求和管理要求等内容。1政务云安全要求1范围本标准适用政务云规划设计、设备选型、建设实施、运行维护和管理。为各级政务部门建设政务云提供指导和参考。本标准规定了云服务客户及政务云服务方应满足的安全基本要求。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注明日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T20271信息安全技术信息系统通用安全技术要求GB/T22239信息安全技术信息系统安全等级保护基本要求GB/T25069信息安全技术术语GB/T29246信息技术安全技术信息安全管理体系概述和词汇（ISO/IEC27000）GB/T31167信息安全技术云计算服务安全指南GB/T31168信息安全技术云计算服务安全能力要求ISO/IEC17788信息技术云计算概述和词汇3术语与定义下列术语和定义适用于本文件。3.1政务云GovernmentCloud用于承载各级政务部门开展公共服务、社会管理的业务信息系统和数据,并满足跨部门业务协同、数据共享与交换等的需要，提供IaaS、PaaS和SaaS服务的云计算服务。3.2云服务客户CloudTenant在政务云中，云服务客户指使用政务云的各级政务部门（指各级党委、人大、政府、政协、法院和检察院等政务部门），即使用云计算基础设施开展电子政务业务和处理、存储数据的组织（或机构）及相关事业单位。包括单位内部业务使用人员及对云相关云资源和安全的管理人员。3.3政务云管理单位GovernmentCloudManagementUnit2是政务云的行政监管单位，负责政务云平台的规划、应用、监督、管理及对云服务方的考核，审核云服务客户的政务云平台使用需求，受理政务云平台建设方案备案及服务费用的审核。3.4云服务方CloudServiceParty管理、运营、支撑云计算的计算基础设施及软件，通过服务方式将云计算的资源交付给客户。在政务云中，云服务方指为各级政务部门提供计算、存储、网络及安全等各类云计算基础设施资源、相关软件和服务的提供商，及负责执行云服务方业务运营和相关管理工作。3.5云管理平台CloudManagementPlatform为整个云计算基础设施提供资源管理和服务管理，能够对存储/计算/网络/系统等基础设施资源（IaaS）、应用/开发/数据平台（PaaS）和软件架构整合服务（SaaS）进行管理。一般情况下，由云计算基础设施服务方提供，也可由第三方提供云管理平台。3.6云计算基础设施CloudComputingInfrastructure由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施。硬件资源包括所有的物理计算资源，即服务器（CPU、内存等）、存储组件（硬盘等）、网络组件（路由器、防火墙、交换机、网络链路和接口等）及其他物理计算基础元素。资源抽象控制组件对物理计算资源进行软件抽象，云服务方通过这些组件提供和管理对物理计算资源的访问。3.7虚拟专有云VPC-VirtualPrivateCloud提供一个逻辑隔离的区域，搭建一个安全可靠、可自主定义的环境。在该区域中部署独立的服务资源，并根据业务需求定义虚拟环境，包括定义网络拓扑、创建子网、虚拟机存储资源和划分安全组等。部门业务区每个云服务客户有一个VPC，公共区和互联网区可以是多个云服务客户共享的VPC。3.8控制器Controller包括虚拟化监视器、SDN控制器、存储虚拟化控制器和策略管理控制器等进行物理资源抽象管理的资源管理和策略管理系统。3.9跨网数据交换系统DataExchangeAcrossRegionalNetworks跨网数据交换是一种基于网络隔离技术的无协议数据同步系统，综合利用设备认证、数据格式检查、病毒检查等安全措施，实现两个不同网络业务区服务器之间数据同步。可由外交换服务器和内交换服务器及相关隔离设备组成，支持数据库、文件、图像数据及请求响应数据的安全交换。34缩略语IaaS基础设施即服务（InfrastructureasaService）PaaS平台即服务（PlatformasaService）SaaS软件即服务（SoftwareasaService）VM虚拟机（VirtualMachine）VPC虚拟专有云(VirtualPrivateCloud)MPLS多协议标签交换(Multi-ProtocolLabelSwitching)VPN虚拟专用网络（VirtualPrivateNetwork）SDN软件定义网络（SoftwareDefinedNetwork）API应用程序编程接口（ApplicationProgrammingInterface）NFV网络功能虚拟化（NetworkFunctionVirtualization）RTO恢复时间目标(RecoveryTimeObjective)RPO恢复点目标（RecoveryPointObjective）5政务云概述及业务区域划分图1政务云业务区域划分图45.1政务云概述政务云是承载各级政务部门的门户网站、政务业务应用系统和数据的云计算基础设施，用于政务部门公共服务、社会管理、数据共享与交换、跨部门业务协同和应急处置等政务应用。政务云对政府管理和服务职能进行精简、优化、整合，并通过信息化手段在政务上实现各种业务流程办理和职能服务。政务云的建设有利于减少