貴州省政府網(wǎng)站安全規(guī)范

貴州省政府網(wǎng)站集約化安全規(guī)范政府網(wǎng)站安全規(guī)范2019年xx月xx日發(fā)布2019年xx月xx日實施貴州省人民政府辦公廳發(fā)布范圍本文件規(guī)定了政府網(wǎng)站安全職責劃分及安全防護相關(guān)要求。本文件適用于政府網(wǎng)站安全設計、建設、防護、運維管理。規(guī)范性引用文件下列文件對于指導本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件；凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。DB52/T貴州省政府網(wǎng)站安全規(guī)范GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》GB/T22240-2020《信息安全技術(shù)網(wǎng)絡安全等級保護定級指南》術(shù)語和定義3.1政府網(wǎng)站各級人民政府及其部門、派出機構(gòu)和承擔行政職能的事業(yè)單位在互聯(lián)網(wǎng)上開辦的，具備信息發(fā)布、解讀回應、辦事服務、互動交流等功能的網(wǎng)站。政府網(wǎng)站包括政府門戶網(wǎng)站和政府部門網(wǎng)站。3.2貴州省政府網(wǎng)站集約化平臺為政府網(wǎng)站集約化建設提供的統(tǒng)一政府網(wǎng)站技術(shù)平臺，包含支撐全省政府網(wǎng)站運行的物理環(huán)境、網(wǎng)絡環(huán)境、服務器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)等。3.3統(tǒng)一信息資源庫對來自各級各部門政府網(wǎng)站的信息資源統(tǒng)一匯聚，實現(xiàn)統(tǒng)一分類、統(tǒng)一元數(shù)據(jù)、統(tǒng)一數(shù)據(jù)格式、統(tǒng)一管理、統(tǒng)一調(diào)用、統(tǒng)一監(jiān)管。3.4網(wǎng)站安全通過采取必要措施，防范對網(wǎng)站的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)站處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)站數(shù)據(jù)的完整性、保密性、可用性的能力。3.5網(wǎng)站數(shù)據(jù)通過網(wǎng)站收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。3.6個人信息以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。3.7移動終端在移動業(yè)務中使用的終端設備，包括智能手機、平板電腦、個人電腦等通用終端和專用終端設備。3.8網(wǎng)站標識用于公眾識別網(wǎng)站身份和系統(tǒng)安全的電子圖形標識。黨政機關(guān)網(wǎng)站標識是指黨政機關(guān)向機構(gòu)編制部門提出申請，經(jīng)核準后統(tǒng)一頒發(fā)、包含可公開的單位基本信息和網(wǎng)上名稱信息等內(nèi)容并顯示在網(wǎng)站顯著位置的電子標識。3.9云上貴州系統(tǒng)平臺貴州省自主搭建的全國首個實現(xiàn)政府數(shù)據(jù)“統(tǒng)籌存儲、統(tǒng)籌共享、統(tǒng)籌標準和統(tǒng)籌安全”的關(guān)鍵信息基礎設施，是全省政府數(shù)據(jù)“集聚、融通、應用”的重要支撐，為政府和企事業(yè)單位提供云計算、云儲存、數(shù)據(jù)庫、云安全及數(shù)據(jù)共享開放等服務，由云上貴州大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司（以下簡稱“云上貴州公司”）運營，云上貴州公司系云上貴州大數(shù)據(jù)（集團）有限公司（以下簡稱“云上貴州集團公司”）的全資子公司。3.10集約化平臺運營方云上貴州及相關(guān)服務廠商。安全防護概述4.1安全防護目標4.1.1政府網(wǎng)站安全防護目標政府網(wǎng)站系統(tǒng)的特殊屬性使其更容易遭到來自互聯(lián)網(wǎng)的攻擊。攻擊者為了破壞政府形象、干擾政府工作秩序或竊取政府門戶網(wǎng)站的敏感信息，采用Web應用攻擊、拒絕服務攻擊、暴力破解攻擊、上傳惡意木馬等方式，實現(xiàn)篡改網(wǎng)頁、中斷服務、竊取信息、控制網(wǎng)站等攻擊目標。政府網(wǎng)站的安全防護工作應重點實現(xiàn)以下目標：a）提升網(wǎng)頁防篡改及監(jiān)測、恢復能力，降低網(wǎng)頁被篡改的安全風險；b）提高入侵防范能力及系統(tǒng)可用性，降低網(wǎng)站服務中斷的安全風險；c）強化數(shù)據(jù)安全管控措施，降低網(wǎng)站敏感信息泄露的安全風險；d）構(gòu)建縱深防御體系，降低網(wǎng)站被惡意控制的安全風險。4.1.2集約化平臺安全防護目標貴州省政府網(wǎng)站集約化平臺整體安全防護應當按照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級安全要求進行，即：能夠在統(tǒng)一安全策略下防護免受來自外部有組織的團體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災害、以及其他相當危害程度的威脅所造成的主要資源損害；能夠及時發(fā)現(xiàn)、監(jiān)測攻擊行為和處置安全事件，在自身遭到損害后，能夠較快恢復絕大部分功能。4.2主要安全責任主體4.2.1主管單位責任省政府辦公廳是全省政府網(wǎng)站的主管單位，負責對全省政府網(wǎng)站進行統(tǒng)籌規(guī)劃和監(jiān)督考核，做好安全管理、督查問責等管理工作；各級人民政府辦公廳（室）承擔本地區(qū)政府網(wǎng)站的相關(guān)安全管理職責；實行全系統(tǒng)垂直管理的部門開辦的政府網(wǎng)站由本系統(tǒng)國務院部門辦公廳（室）負責管理。4.2.2主辦單位責任各級人民政府辦公廳（室）是本級政府門戶網(wǎng)站的主辦單位，各級各部門是本部門政府網(wǎng)站的主辦單位，承擔網(wǎng)站的建設規(guī)劃、組織保障、健康發(fā)展、安全管理等職責。4.2.3支撐單位責任根據(jù)全省政務信息化建設統(tǒng)一規(guī)劃，支撐單位負責為全省政府網(wǎng)站及集約化平臺提供統(tǒng)一的云計算、云存儲、云管控、云安全、數(shù)據(jù)資源建設等服務，包含云上貴州系統(tǒng)平臺提供的云計算基礎設施及其服務軟件的集合。4.2.4服務運維單位責任主辦單位可按政府采購相關(guān)要求，通過購買服務等方式委托相關(guān)單位具體承擔政府網(wǎng)站服務外包與運維工作，服務內(nèi)容由雙方自行約定，但應接受省內(nèi)相關(guān)規(guī)定的統(tǒng)一管理。安全職責分析5.1安全職責整體分析圖要改為架構(gòu)圖平臺、支撐、主管、主辦單位、圖要改為架構(gòu)圖平臺、支撐、主管、主辦單位、1+3（辦公廳、主辦、支撐單位）+n圖1集約化模式下政府網(wǎng)站安全界面詳細安全管理職責分工見5.2貴州省政府網(wǎng)站安全管理職責分工小節(jié)。5.2貴州省政府網(wǎng)站安全管理職責分工控制范圍決定安全責任邊界，本文件對省人民政府辦公廳、支撐單位、政府網(wǎng)站主辦單位間的安全職責分工如下所示，具體職責及要求，詳見各主體安全職責分工：表1貴州省政府網(wǎng)站安全管理職責分工貴州省政府網(wǎng)站安全管理職責分工內(nèi)容事項安全職責分工省人民政府辦公廳支撐單位政府網(wǎng)站主辦單位集約化平臺建設建設單位管理職能★☆承建單位實施職能☆★主辦單位問題上報與反饋☆☆★安全物理環(huán)境集約化平臺部署安全物理環(huán)境★主辦單位安全物理環(huán)境★安全通信網(wǎng)絡互聯(lián)網(wǎng)安全（溝通協(xié)調(diào)）★☆☆云上貴州平臺內(nèi)部通信★VPN★密碼技術(shù)加密（通用加密項）★本地端通信網(wǎng)絡（接入設備內(nèi)）★安全區(qū)域邊界集約化平臺安全區(qū)域邊界★本單位安全區(qū)域邊界★安全計算環(huán)境集約化平臺★個性化應用★安全管理制度集約化平臺安全管理制度（建設單位）★☆全省政府網(wǎng)站安全管理規(guī)范★☆☆集約化平臺安全管理制度（承建單位）☆★本單位政府網(wǎng)站安全管理制度★網(wǎng)站服務運維商安全管理制度★安全管理機構(gòu)集約化平臺安全管理機構(gòu)（建設單位）★☆全省政府網(wǎng)站安全管理領導機構(gòu)★集約化平臺安全管理機構(gòu)（承建單位）★本單位政府網(wǎng)站安全管理機構(gòu)★安全溝通協(xié)調(diào)加強與國家、省級各部門間溝通協(xié)調(diào)★加強全省主辦單位間溝通協(xié)調(diào)★☆加強集約化平臺各方間溝通協(xié)調(diào)★☆加強集約化平臺供應鏈溝通協(xié)調(diào)★加強與網(wǎng)站服務運維單位溝通協(xié)調(diào)★加強與本地安全機構(gòu)溝通協(xié)調(diào)★安全檢查組織全省政府網(wǎng)站安全檢查★☆組織集約化平臺安全檢查（建設單位）★☆實施集約化平臺安全檢查（承建單位）★實施政府網(wǎng)站安全檢查☆★安全管理人員設置集約化平臺安全管理人員（建設單位）★☆集約化平臺安全管理人員（承建單位）★主辦單位內(nèi)部安全管理人員（承建單位）★安全運維管理集約化平臺安全運維管理（建設單位）★☆集約化平臺安全運維實施★政府網(wǎng)站安全運維管理☆★域名安全管理域名管理協(xié)調(diào)（主管單位）★域名安全管理協(xié)調(diào)★集中域名解析商選擇與管理★☆域名集中解析安全管理（承建單位）★本單位域名管理★備注：1.上表中，對存在范圍交叉的管理職責，按照“特殊優(yōu)于一般”的解釋效力，根據(jù)相關(guān)部門對政府網(wǎng)站的相關(guān)管理規(guī)定執(zhí)行。2.上表中，對存在范圍交叉的集約化平臺建設安全職責、應用系統(tǒng)安全職責，需要借助操作日志、審計系統(tǒng)及具體事故分析等進行認定。3.上表中★代表主要責任主體，☆代表次要責任主體。5.3其他安全界面分析對政府網(wǎng)站自行接入與建設的個性化應用、網(wǎng)絡優(yōu)化等服務，政府網(wǎng)站主辦單位與網(wǎng)站服務運維單位安全權(quán)責應根據(jù)內(nèi)部管理機制、合同約定等自行劃分。省人民政府辦公廳安全管理職責6.1集約化平臺建設安全管理6.1.1產(chǎn)品與服務采購6.1.1.1云服務商采購a）根據(jù)全省政務信息化建設統(tǒng)一規(guī)劃，按程序選取云上貴州大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司作為云平臺服務商，督促并確保云上貴州系統(tǒng)平臺在集約化項目建設中滿足GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級關(guān)于安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心等要求；b）在云服務合同中規(guī)定云上貴州云服務的各項服務內(nèi)容和具體技術(shù)指標；c）在云服務合同中規(guī)定云上貴州大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司的權(quán)限與責任，包括管理范圍、職責劃分、訪問授權(quán)、隱私保護、行為準則、違約責任等；d）在云服務合同中規(guī)定服務合約到期時，完整提供集約化平臺、統(tǒng)一信息資源庫及政府網(wǎng)站的客戶數(shù)據(jù)，并承諾將相關(guān)數(shù)據(jù)在云上貴州系統(tǒng)平臺上清除；e）與云上貴州大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司簽署保密協(xié)議，不得泄露政府網(wǎng)站用戶數(shù)據(jù)。6.1.1.2集約化平臺服務商選擇a）根據(jù)全省“一云一網(wǎng)一平臺”統(tǒng)一規(guī)劃，按程序選取云上貴州大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司作為集約化平臺服務商，并保證選取過程符合國家的有關(guān)規(guī)定；b）與集約化平臺其他相關(guān)服務商簽訂相關(guān)協(xié)議，明確集約化平臺整個服務供應鏈各方需履行的網(wǎng)絡安全相關(guān)義務；c）定期監(jiān)督、評審和審核各類服務供應商提供的服務，并對其變更的服務內(nèi)容加以控制。加以什么控制？加以什么控制？6.1.1.3其他產(chǎn)品與服務采購確保省人民政府辦公廳自行組織的其他與集約化平臺相關(guān)產(chǎn)品與服務的采購、使用符合國家有關(guān)規(guī)定，并應優(yōu)先采用國產(chǎn)安全自主可控的軟硬件產(chǎn)品。6.1.2集約化平臺方案設計組織相關(guān)部門和有關(guān)安全專家對集約化平臺整體安全規(guī)劃及其配套文件的合理性和正確性進行論證和審定，經(jīng)過批準后正式實施。6.1.3定級和備案a）以書面的形式說明集約化平臺的安全保護等級及確定方法和理由；b）組織相關(guān)部門和有關(guān)安全技術(shù)專家對集約化平臺定級結(jié)果的合理性和正確性進行論證和審定；c）保證集約化平臺定級結(jié)果經(jīng)過相關(guān)部門的批準；d）將集約化平臺備案材料報主管部門和相應公安機關(guān)備案。6.1.4集約化平臺建設實施a）省人民政府辦公廳指定或授權(quán)專門部門及人員負責集約化工程實施過程的管理；b）制定安全工程實施方案控制工程實施過程；c）通過第三方工程監(jiān)理控制項目的實施過程。6.1.5外包軟件開發(fā)a）保證集約化平臺開發(fā)單位提供軟件設計文檔和使用指南；b）保證集約化平臺開發(fā)單位提供軟件源代碼。6.1.6集約化平臺測試驗收制訂測試驗收方案，并依據(jù)測試驗收方案實施測試驗收，形成測試驗收報告。6.1.7系統(tǒng)交付a）制定或督促監(jiān)理單位制定交付清單，并根據(jù)交付清單清點交接的設備、軟件和文檔等；b）督促監(jiān)理單位要求集約化平臺相關(guān)服務商對負責運行維護的技術(shù)人員進行相應的技能培訓；c）制定或督促監(jiān)理單位要求集約化平臺服務商提供建設過程文檔和運行維護文檔。6.1.8等級保護評測6.1.8.1集約化平臺等級保護評測a）定期組織對集約化平臺進行等級測評，若發(fā)現(xiàn)不符合相應等級保護標準要求的，督促相關(guān)服務商及時整改；b）在集約化平臺發(fā)生重大變更或級別發(fā)生變化時應組織進行等級測評；c）確保測評機構(gòu)的選擇符合國家有關(guān)規(guī)定。6.1.8.2協(xié)調(diào)政府網(wǎng)站等級保護評測根據(jù)全省政府網(wǎng)站各主辦單位等保評測需求，協(xié)調(diào)支撐單位提供集約化平臺已獲得的等級保護評測報告等證明材料并督促其履行相關(guān)配合服務。6.1.9主辦單位問題上報與反饋各主辦單位在政府網(wǎng)站日常運維中，如發(fā)現(xiàn)遭受掛馬、黑鏈接或其他安全問題時，應及時上報主管單位，主管單位上報至省人民政府辦公廳；省人民政府辦公廳受理問題后網(wǎng)站遭受掛馬黑鏈接怎么解決？應及時響應。網(wǎng)站遭受掛馬黑鏈接怎么解決？6.2安全管理制度6.2.1制定安全策略組織制定集約化平臺安全工作的總體方針和安全策略，闡明安全工作的總體目標、范圍、原則和安全框架等。6.2.2制安全管理制度6.2.2.1集約化平臺安全管理a）根據(jù)網(wǎng)信部門相關(guān)規(guī)定，將集約化平臺列為關(guān)鍵信息基礎設施，建立各類安全管理制度，在嚴格執(zhí)行等級保護制度的基礎上，實行重點保護；b）對集約化平臺管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；c）形成由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的安全管理制度體系。6.2.2.2政府網(wǎng)站安全管理a）定期組織全省主辦單位開展安全管理和技術(shù)防護措施檢查；b）組織全省政府網(wǎng)站人員開展安全培訓、安全教育、技術(shù)培訓和技能考核，提高安全意識和防范水平；c）密切關(guān)注網(wǎng)信、電信主管等部門發(fā)布的系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等預警和通報信息，并及時通報；d）對全省政府網(wǎng)站工作失職導致重大安全事故進行責任追究。6.2.2.3安全管理制度制定、發(fā)布、評審、宣貫培訓a）指定或授權(quán)專門的部門或人員負責安全管理制度的制定；b）對安全管理制度應通過正式、有效的方式發(fā)布，并進行版本控制；c）定期對安全管理制度的合理性和適用性進行論證和審定,對存在不足或需改進的安全管理制度進行修訂；d）對正式發(fā)布的安全管理制度體系，進行宣貫培訓。6.3安全管理機構(gòu)6.3.1機構(gòu)設置a）成立指導和管理集約化平臺與政府網(wǎng)站安全工作的委員會或領導小組，其最高領導由省人民政府辦公廳分管領導及以上領導擔任或授權(quán)；b）明確集約化平臺與政府網(wǎng)站安全管理工作的職能部門，明確部門職責；c）設立系統(tǒng)管理員、審計管理員和安全管理員等崗位，并明確各個工作崗位的職責。6.3.2人員配備a）為集約化平臺配備一定數(shù)量的系統(tǒng)管理員、審計管理員和安全管理員等；b）配備專職安全管理員，不可兼任。備：后期如采用購買服務方式，集約化平臺資產(chǎn)移交支撐單位后，除保留一定數(shù)量的系統(tǒng)管理員外，本項職責隨之轉(zhuǎn)移。6.3.3授權(quán)和審批a）明確集約化平臺與政府網(wǎng)站相關(guān)各個部門、崗位所授權(quán)的審批事項、審批部門和批準人等；b）針對集約化平臺系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項建立審批程序，按照審批程序執(zhí)行，對重要活動建立逐級審批制度；c）定期審查集約化平臺與政府網(wǎng)站相關(guān)審批事項，及時更新需授權(quán)和審批的項目、審批部門和審批人等信息。6.4安全管理溝通和合作a）加強與國家域名注冊管理機構(gòu)、省委網(wǎng)信辦、省委編辦、省大數(shù)據(jù)局、省通管局、省公安廳的協(xié)同合作，做好重要信息通報共享；b）加強集約化平臺與政府網(wǎng)站相關(guān)各類管理人員、組織內(nèi)部機構(gòu)、各類供應商和政府網(wǎng)站主辦單位之間的合作與溝通，定期召開協(xié)調(diào)會議，共同協(xié)作處理網(wǎng)絡安全問題；c）加強與業(yè)界專家及安全組織的合作與溝通；d）建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。6.5安全檢查a）定期組織支撐單位進行常規(guī)安全檢查，檢查內(nèi)容包括集約化平臺運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；b）定期組織支撐單位進行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；c）匯總安全檢查數(shù)據(jù)，形成安全檢查報告,并對安全檢查結(jié)果進行通報；d）定期組織全省政府網(wǎng)站開展安全管理和技術(shù)防護措施檢查。6.6安全管理人員6.6.1人員錄用a）指定省人民政府辦公廳內(nèi)部專門的部門或人員負責集約化平臺安全管理人員的錄用；b）對被省人民政府辦公廳內(nèi)部錄用人員的身份、安全背景、專業(yè)資格或資質(zhì)等進行審查，對其所具有的技術(shù)技能進行考核；c）與被省人民政府辦公廳內(nèi)部錄用人員簽署保密協(xié)議，并與關(guān)鍵崗位人員簽署崗位責任協(xié)議。6.6.2人員離崗a）及時終止離崗人員的集約化平臺及政府網(wǎng)站所有訪問權(quán)限，取回各種身份證件、鑰匙、徽章、機構(gòu)提供的硬件設備等；b）應辦理嚴格的調(diào)離手續(xù)，并簽訂保密義務后方可離開。6.6.3安全意識教育和培訓a）對集約化平臺與政府網(wǎng)站相關(guān)各類人員進行安全意識教育和崗位技能培訓，并告知相關(guān)的安全責任和懲戒措施；b）針對集約化平臺與政府網(wǎng)站不同崗位制定不同的培訓計劃，對安全基礎知識、崗位操作規(guī)程等進行培訓；c）定期對不同崗位的人員進行技能考核。6.7安全運維管理6.7.1運維單位選擇根據(jù)全省“一云一網(wǎng)一平臺”建設模式，省人民政府辦公廳將按程序選取云上貴州大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司作為運維單位，將由云上貴州公司按照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級中安全運維管理相關(guān)要求完成如下安全運維工作：a）環(huán)境管理b）介質(zhì)管理c）設備維護管理d）漏洞和風險管理e）網(wǎng)絡和系統(tǒng)安全管理f）惡意代碼防范管理g）配置管理h）密碼管理i）備份與恢復管理6.7.2資產(chǎn)管理a）編制并保存與集約化平臺相關(guān)的資產(chǎn)清單，包括資產(chǎn)責任部門、重要程度和所處位置等內(nèi)容；b）對集約化平臺、政府網(wǎng)站等信息分類與標識方法作出規(guī)定，并對信息的使用、傳輸和存儲等進行規(guī)范化管理。6.7.3變更管理a）明確集約化平臺變更需求，變更前根據(jù)變更需求制定變更方案，變更方案經(jīng)過評審、審批后方可實施；b）建立集約化平臺變更的申報和審批控制程序，依據(jù)程序控制所有的變更，記錄變更實施過程；c）建立中止變更并從失敗變更中恢復的程序，明確過程控制方法和人員職責,必要時對恢復過程進行演練。6.7.4安全事件處置a）及時向安全管理部門報告所發(fā)現(xiàn)的安全弱點和可疑事件；b）制定安全事件報告和處置管理制度,明確不同安全事件的報告、處置和響應流程，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復的管理職責等；c）在安全事件報告和響應處理過程中,分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗教訓；d）對造成系統(tǒng)中斷和造成信息泄漏的重大安全事件應采用不同的處理程序和報告程序。6.7.5應急預案管理a）規(guī)定統(tǒng)一的應急預案框架，包括啟動預案的條件、應急組織構(gòu)成、應急資源保障、事后教育和培訓等內(nèi)容；b）省人民政府辦公廳組織應急預案手冊編制，制定集約化平臺重要事件的應急預案，包括應急處理流程、系統(tǒng)恢復流程等內(nèi)容，并向省公安廳備案；c）定期對系統(tǒng)相關(guān)的人員進行應急預案培訓，并進行應急預案的演練，提高對網(wǎng)絡攻擊、病毒入侵、系統(tǒng)故障等風險的應急處置能力；d）定期對原有的應急預案重新評估，修訂完善。6.8其他安全職責6.8.1域名安全管理a）統(tǒng)籌協(xié)調(diào)全省政府網(wǎng)站域名管理和業(yè)務指導，統(tǒng)一審核把關(guān)域名的注冊、變更和注銷工作；b）組織開展全省政府網(wǎng)站域名集中解析工作，按規(guī)定選擇并委托具有應急災備、抗攻擊等能力的域名解析服務提供商進行域名解析；c）加強合同簽訂與管理，督促并確保域名集中解析服務商嚴格履行安全責任和義務；d）接收并及時處理國家域名注冊管理機構(gòu)發(fā)送的政府網(wǎng)站域名監(jiān)測情況通報；e）組織集約化平臺各方及全省政府網(wǎng)站主辦單位定期開展政府網(wǎng)站域名服務應急演練；f）加大對政府網(wǎng)站域名安全問題的統(tǒng)籌協(xié)調(diào)力度，對于發(fā)現(xiàn)域名的違法違規(guī)行為，及時通報并協(xié)調(diào)相關(guān)部門按職責分工依法打擊查處；g）將域名管理情況納入常態(tài)化抽查范圍，加大對不按流程注冊、注銷或擅自出租、出借、轉(zhuǎn)讓域名等違規(guī)情況的通報問責力度，造成嚴重后果的，對分管領導和有關(guān)責任人依法依規(guī)追究責任。6.8.2政府網(wǎng)站主辦單位管理職責省人民政府辦公廳作為政府網(wǎng)站主辦單位的，適用政府網(wǎng)站主辦單位安全管理職責。網(wǎng)站主辦單位安全管理職責7.1安全基礎設施a）負責本單位接入設備以內(nèi)的網(wǎng)絡、PC終端、移動終端等安全；b）配合搭建安全計算環(huán)境，如接入終端、網(wǎng)站管理后臺等；c）建立內(nèi)部終端安全防范制度，網(wǎng)站負責人、素材提供人員所用電腦及移動終端必須加強病毒、黑客安全防范、終端準入控制等措施，必須有相應的安全軟件實施保護，確保電腦內(nèi)的資料和賬號密碼的安全、可靠；d）定期查找本地端主機系統(tǒng)、網(wǎng)絡設備及其他設備系統(tǒng)中存在的補丁漏洞和配置漏洞，進行加固，以保障系統(tǒng)的安全性。7.2安全通信網(wǎng)絡a）遵從集約化平臺提供的密碼服務、VPN管理規(guī)定，按規(guī)定使用密碼服務、VPN等；b）有條件的主辦單位宜在本地端采取防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡侵入等危害網(wǎng)絡安全行為的技術(shù)措施；c）全省政府網(wǎng)站建設需全面支持互聯(lián)網(wǎng)協(xié)議第六版（IPv6），政府網(wǎng)站運行所需接入設備、移動終端、固定終端、安全設備、內(nèi)部網(wǎng)絡、專線等應逐步完成IPv6替換或改造。7.3網(wǎng)站安全管理a）各政府網(wǎng)站主辦單位負責本單位政府網(wǎng)站的建設、開辦、維護和日常管理工作，并接受省人民政府辦公廳的業(yè)務指導和監(jiān)督；b）主辦單位加強自身網(wǎng)站域名安全的日常監(jiān)測和定期檢查評估，發(fā)現(xiàn)政府網(wǎng)站存在安全缺陷、漏洞等風險時，應當立即采取補救措施，并及時向上級主管部門報告；c）建立安全監(jiān)測預警機制，實時監(jiān)測網(wǎng)站內(nèi)容、網(wǎng)站頁面、網(wǎng)站數(shù)據(jù)等運行狀態(tài)以及網(wǎng)站掛馬、內(nèi)容篡改等攻擊情況，并及時將異常情況上報上級主管部門；d）加強日常巡檢和監(jiān)測，按要求定期對政府網(wǎng)站開展安全檢測評估，確保網(wǎng)站平臺安全、穩(wěn)定、高效運行；e）在網(wǎng)信、公安等部門的指導下，加強網(wǎng)絡安全監(jiān)測預警技術(shù)能力建設，接受網(wǎng)絡安全主管部門的網(wǎng)絡安全監(jiān)管；f）組織評估檢測，可委托網(wǎng)絡安全服務機構(gòu)對本單位政府網(wǎng)站的安全性和可能存在的風險隱患每年至少進行一次檢測評估，對發(fā)現(xiàn)的問題及時進行整改。7.4安全數(shù)據(jù)管理7.4.1網(wǎng)站內(nèi)容安全管理a）建立內(nèi)容發(fā)布審批體系及保密審查制度，擬發(fā)布的網(wǎng)站信息應按內(nèi)部審核程序確認后發(fā)布，并對發(fā)布內(nèi)容登記建檔；指定人員負責對上傳至集約化平臺及實行服務外包的數(shù)據(jù)、業(yè)務進行保密審查，確保涉及國家秘密、工作秘密的業(yè)務與數(shù)據(jù)，不上傳至集約化平臺，不實行服務外包；b）政府網(wǎng)站因信息公開、數(shù)據(jù)開放以及公示、公告等需要公布企業(yè)、個人數(shù)據(jù)的，應當采取脫密、脫敏等措施，防止泄露國家秘密、商業(yè)秘密和個人信息；c）政府網(wǎng)站主辦部門應當加強網(wǎng)站內(nèi)容管理，政府網(wǎng)站內(nèi)容素材提供業(yè)務部門應建立保密審查機制，信息發(fā)布前依照程序進行保密審查，明確需發(fā)布信息的公開屬性；并定期清理、審查網(wǎng)站內(nèi)容，發(fā)現(xiàn)其存儲、管理、發(fā)布的內(nèi)容含有違法內(nèi)容的，應當及時處理并采取補救措施，情節(jié)嚴重的應當向上級主管部門報告；d）主辦單位向集約化平臺報送賬戶時，應分開提供內(nèi)容編制、審核發(fā)布人員，實現(xiàn)網(wǎng)站內(nèi)容編輯與審核發(fā)布權(quán)限分離。e）轉(zhuǎn)載其他網(wǎng)站信息時應履行保密審查程序。7.4.2敏感信息安全保護a）基于政府網(wǎng)站采集數(shù)據(jù)應當具有合法目的和用途，遵循最小且必要和正當原則，服務提供者應當向用戶明示并取得同意，不得收集與其提供的服務無關(guān)的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，對其收集的用戶信息嚴格保密，保證數(shù)據(jù)的真實性、完整性、保密性，并建立健全用戶信息保護制度；b）對包含敏感信息和公民隱私信息、直接影響本單位運轉(zhuǎn)和公眾生活工作的關(guān)鍵業(yè)務，應在確保安全情況下實施服務外包。7.5安全管理人員a）各政府網(wǎng)站主辦單位應當制訂詳細的工作人員管理制度，明確本單位政府網(wǎng)站安全責任人，明確人員的職責和權(quán)限，落實本單位政府網(wǎng)站安全保護責任；b）強化安全培訓，定期對本單位網(wǎng)站服務單位相關(guān)人員進行安全教育、技術(shù)培訓和技能考核，提高安全意識和防范水平；c）本單位政府網(wǎng)站被列為關(guān)鍵信息基礎設施的，組織對關(guān)鍵崗位人員進行安全背景審查；被列為等級保護三級系統(tǒng)的，需進行“三員”審查；d）定期開展業(yè)務培訓，提高人員素質(zhì)，重點加強負責系統(tǒng)操作和維護工作的人員的培訓考核工作，實行考核上崗制度；e）規(guī)范人員調(diào)離制度，做好保密義務承諾、資料退還、系統(tǒng)口令更換等必要的安全保密工作；f）嚴格設定訪問和操作權(quán)限，實現(xiàn)系統(tǒng)管理、內(nèi)容編輯、內(nèi)容審核等用戶的權(quán)限分離，明確外包服務商的人員用戶權(quán)限；g）建立追責制度，對工作人員因工作失職導致安全事故的進行責任追究；h）向集約化平臺報送用戶時，應實現(xiàn)內(nèi)部后臺不同用戶角色統(tǒng)一，統(tǒng)一解釋的權(quán)限分離。角色統(tǒng)一，統(tǒng)一解釋7.6安全管理制度7.6.1安全管理制度a）嚴格貫徹落實國家、部門及省級各類政府網(wǎng)站安全管理規(guī)范；b）建立健全本單位內(nèi)部政府網(wǎng)站及新媒體安全管理制度，明確內(nèi)部安全管理職責；c）對政府網(wǎng)站工作人員、素材提供人員、運維外包人員執(zhí)行的日常管理操作建立操作規(guī)程及記錄表單；d）建立政府網(wǎng)站內(nèi)部審批制度，明確主辦單位內(nèi)部相關(guān)部門和人員崗位職責，明確授權(quán)審批事項、審批部門和批準人。對政府網(wǎng)站重要操作、重要變更、重大事項等事項建立審批程序，按照審批程序執(zhí)行審批過程，對組織重要活動、敏感信息發(fā)布等重要事項建立逐級審批制度，并每年審查審批事項，及時更新需授權(quán)的審批事項、審批部門和審批人等；e）定期開展安全管理和技術(shù)防護措施檢查；f）強化安全培訓，加強對政府網(wǎng)站相關(guān)人員進行安全教育、技術(shù)培訓和技能考核，提高安全意識和防范水平；g）密切關(guān)注網(wǎng)信、電信主管等部門發(fā)布的系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等預警和通報信息，并及時響應；h）明確各主辦單位內(nèi)部安全管理機構(gòu)，對因工作失職導致安全事故的進行責任追究。7.6.2安全等級保護a）按照網(wǎng)絡安全法等法律法規(guī)和政策標準要求，貫徹落實網(wǎng)絡安全等級保護制度，積極開展政府網(wǎng)站檢測評估和安全建設；b）依據(jù)GB/T22240-2020《信息安全技術(shù)網(wǎng)絡安全等級保護定級指南》自主確定本單位政府網(wǎng)站安全保護等級；c）選擇等保測評單位對本單位政府網(wǎng)站進行評測，其中集約化平臺相關(guān)建設內(nèi)容已獲得的等級保護評測報告等證明材料由支撐單位配合提供；d）接入集約化平臺的個性化應用、政務業(yè)務系統(tǒng)、新增功能模塊、外包開發(fā)功能等，應按照對應等級保護相關(guān)要求實施，接入前應通過技術(shù)與安全測試，測試未通過的不得上線提供服務。7.7安全運維管理a）建立健全安全事件報告及處理制度，發(fā)現(xiàn)政府網(wǎng)站存在安全缺陷、漏洞等風險時，應當立即采取補救措施，保存證據(jù)，并視安全突發(fā)事件的嚴重程度，及時向本級信息行業(yè)主管部門和省人民政府辦公廳報告；b）主辦單位應充分估計各種突發(fā)事件的可能性，參考貴州省人民政府發(fā)布的《貴州省人民政府集約化門戶網(wǎng)站云平臺安全事件應急預案》制定本單位政府網(wǎng)站應急響應方案，應急預案應與崗位責任制度相結(jié)合，保證應急響應方案的及時實施，并向本級政府網(wǎng)站主管單位和公安部門備案；c）定期組織開展應急演練，提高對網(wǎng)絡攻擊、系統(tǒng)故障等風險的應急處置能力；d）加強人工自檢方式，對網(wǎng)站內(nèi)容篡改情況進行實時監(jiān)測和處置；e）鼓勵有條件的主辦單位自行采購木馬監(jiān)控系統(tǒng)、網(wǎng)頁防篡改系統(tǒng)或第三方安全服務等方式對網(wǎng)站掛馬情況、網(wǎng)站內(nèi)容篡改情況進行實時監(jiān)測和處置。7.8服務外包安全管理a）確保外包運維服務商的選擇符合國家的有關(guān)規(guī)定；b）與選定的外包運維服務商簽訂相關(guān)的協(xié)議，明確約定外包運維的范圍、工作內(nèi)容；c）主辦單位應按合同管理等有關(guān)要求，參考等級保護規(guī)范、貴州省政府網(wǎng)站安全管理相關(guān)規(guī)范等，明確雙方安全和保密義務與責任，合同中應要求服務商加強對員工的安全和保密教育，自覺維護政府網(wǎng)站運行及內(nèi)容安全等；d）保證選擇的外包運維服務商在技術(shù)和管理方面均應具有按照等級保護要求開展安全運維工作的能力，并將能力要求在簽訂的協(xié)議中明確；e）在與外包運維服務商簽訂的協(xié)議中明確所有相關(guān)的安全要求。如可能涉及對敏感信息的訪問、處理、存儲要求，對IT基礎設施中斷服務的應急保障要求等；f）對直接參與政府網(wǎng)站運行管理的服務商人員應簽訂安全保密協(xié)議，必要時可對關(guān)鍵崗位進行安全背景審查；g）主辦單位在實行服務外包前，需開展網(wǎng)站負責人員與相關(guān)業(yè)務部門人員進網(wǎng)絡安全和保密教育培訓，明示使用服務外包的安全保密風險。7.9網(wǎng)站外包運維服務商安全管理職責7.9.1外包運維服務商合同管理a）外包運維服務商安全管理職責主要由主辦單位與外包運維服務商自行合同約定，外包運維服務商應與主辦單位簽訂正式合同，明確約定外包運維的范圍、工作內(nèi)容，并在合同約定內(nèi)容內(nèi)從事相關(guān)工作；b）外包運維服務商在技術(shù)和管理方面均應具有按照主辦單位政府網(wǎng)站等級保護要求開展安全運維工作的能力，并將能力要求在簽訂的協(xié)議中明確；c）外包運維服務商簽訂的協(xié)議中明確所有相關(guān)的安全要求，如可能涉及對敏感信息的訪問、處理、存儲要求、應急保障要求等；d）在服務合同中規(guī)定服務合約到期時，應完整提供主辦單位所有相關(guān)網(wǎng)站數(shù)據(jù)，并承諾將相關(guān)數(shù)據(jù)在本單位存儲上清除；e)在服務合同簽訂時應明確規(guī)定主辦單位具有該單位數(shù)據(jù)的所有權(quán)，包括增加、刪除、修改、查詢和提供完整數(shù)據(jù)備份的接口。7.9.2安全運維管理基本要求a）應遵守政府部門網(wǎng)絡安全政策規(guī)定、信息安全等級保護要求、技術(shù)標準，落實安全管理和防護措施，接受主辦單位和網(wǎng)絡安全主管部門的網(wǎng)絡安全監(jiān)管；b）建立終端安全防范制度，服務商內(nèi)部從事網(wǎng)站外包服務的運維人員、技術(shù)開發(fā)人員、美工設計人員和信息采編人員所用電腦必須加強病毒、黑客安全防范措施，必須有相應的安全軟件實施保護，確保電腦內(nèi)的資料和賬號密碼的安全、可靠，網(wǎng)站運維終端應專人專用，并對接入設備以內(nèi)的網(wǎng)絡、PC終端、移動終端進行登記備案；c）發(fā)現(xiàn)政府網(wǎng)站存在安全缺陷、漏洞等風險時，應當立即采取補救措施，并及時告知網(wǎng)站主辦單位；d）定期對政府網(wǎng)站網(wǎng)頁代碼進行安全分析和測試，識別并及時處理可能存在的惡意代碼；e）應加強人工自檢方式，對網(wǎng)站內(nèi)容篡改情況進行實時監(jiān)測和處置；f）集約化平臺個性化應用、融合服務平臺提供相關(guān)應用開發(fā)，在正式上線前需進行安全分析和測試，識別并及時處理可能存在的惡意代碼；g）應保障主辦單位對網(wǎng)站資源的訪問、利用、支配，未經(jīng)主辦單位授權(quán)，不得訪問、修改、披露、利用、轉(zhuǎn)讓、銷毀主辦單位數(shù)據(jù)；h）加強對內(nèi)部員工的安全和保密教育，對網(wǎng)站操作人員、服務外包人員進行安全規(guī)定培訓，提高作業(yè)人員安全意識，自覺維護政府網(wǎng)站運行及內(nèi)容安全；i）需落實國家安全防護要求，在發(fā)生網(wǎng)絡安全案件或重大事件時，及時向主辦單位報告，配合開展調(diào)查工作；j）當發(fā)生重大信息安全事件時，注意保存證據(jù)，立即上報并參與事件調(diào)查處理；k）在合同或服務終止時，應按要求做好數(shù)據(jù)、文檔等資源的移交和清除工作。7.9.3涉密信息與敏感信息管理a）運維服務人員嚴格遵守國家機關(guān)保密管理工作相關(guān)法律法規(guī)，保守在工作中所涉及到的秘密；b）運維服務人員不得將主辦單位的秘密信息泄漏、告知、公布、發(fā)布、出版、傳授、復制、轉(zhuǎn)讓給任何第三方或以其他任何方式予以披露；嚴禁將工作中的內(nèi)部會議、談話內(nèi)容泄露給無關(guān)人員；嚴禁將工作中涉及到的相關(guān)項目技術(shù)方案及實施規(guī)劃透露給無關(guān)人員；不得翻閱與工作無關(guān)的文件和資料，不得從事其它與合同無關(guān)的工作；c）運維服務人員如需接觸主辦單位的涉密網(wǎng)絡或涉密設備，須事先申請，并遵守國家保密部門制定的相關(guān)使用規(guī)定。不得將從涉密網(wǎng)絡或涉密設備上獲得的信息透露給無關(guān)人員；嚴禁私自下載、拷貝涉密網(wǎng)絡和涉密設備上的秘密和敏感信息；不得擅自攜帶記載含有國家秘密或工作秘密信息的硬盤、軟盤和打印資料外出；嚴禁將工作中接觸到各種信息系統(tǒng)的程序、口令、密鑰等泄露給無關(guān)人員；d）運維服務人員在網(wǎng)站服務過程中，須將主要工作人員身份證留底備查；e）運維服務人員不得帶領無關(guān)人員進入主辦單位的辦公場所。如要對政府網(wǎng)站進行修改設置等操作時，需告知用戶方相關(guān)人員，并做好登記和工作記錄；f）運維單位應與本單位具體服務人員簽訂安全保密協(xié)議，安全保密協(xié)議內(nèi)容應聽取網(wǎng)站主辦單位意見，并向網(wǎng)站主辦單位提供協(xié)議的副本等相關(guān)資料；g）如發(fā)生泄露國家秘密和工作秘密的事件時，運維服務人員須立即向網(wǎng)站主辦單位報告，并積極協(xié)助網(wǎng)站主辦單位及有關(guān)保密部門進行查處。7.9.4其他安全管理7.9.4.1假冒網(wǎng)站處置在日常運維、網(wǎng)民舉報中發(fā)現(xiàn)假冒政府網(wǎng)站，及時上報政府網(wǎng)站主辦單位，政府網(wǎng)站主辦單位上報省人民政府辦公廳，由省人民政府辦公廳轉(zhuǎn)有關(guān)單位處置。7.9.4.2知識產(chǎn)權(quán)保護在運維服務中使用正版軟件，在信息內(nèi)容發(fā)布過程中，避免知識產(chǎn)權(quán)糾紛。7.10其他安全管理7.10.1域名安全管理a）按照“誰開設、誰申請、誰使用、誰負責”的原則管理政府網(wǎng)站域名，按規(guī)定流程注冊、變更、注銷政府網(wǎng)站域名；b）不得將已注冊的政府網(wǎng)站域名擅自轉(zhuǎn)給其他單位或個人使用，閑置的域名要及時注銷；c）本單位域名相關(guān)信息變更的，按規(guī)定及時報備政府網(wǎng)站域名信息變更情況。7.10.2知識產(chǎn)權(quán)保護在本單位政府網(wǎng)站、個性化應用中使用正版軟件，在信息內(nèi)容發(fā)布過程中，避免知識產(chǎn)權(quán)糾紛。支撐單位安全管理職責8.1安全物理環(huán)境參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.2安全通信網(wǎng)絡8.2.1網(wǎng)絡架構(gòu)a）動態(tài)跟蹤集約化平臺及政府網(wǎng)站的性能需求，從網(wǎng)絡帶寬、負載均衡、服務器的處理能力、應用程序的并發(fā)處理能力等方面對網(wǎng)站性能予以保障，保證承載集約化平臺的網(wǎng)絡設備的業(yè)務處理能力滿足業(yè)務高峰期需要；b）保證為集約化平臺提供的網(wǎng)絡各個部分的帶寬（內(nèi)部網(wǎng)絡帶寬、出口網(wǎng)絡帶寬）滿足業(yè)務高峰期需要；c）為集約化平臺劃分單獨的網(wǎng)絡區(qū)域，并按照方便管理和控制的原則分配地址；d）避免將集約化平臺部署網(wǎng)絡區(qū)域部署在邊界處，集約化平臺部署網(wǎng)絡區(qū)域與其他網(wǎng)絡區(qū)域之間應采取可靠的技術(shù)隔離手段；e）如政府門戶網(wǎng)站系統(tǒng)訪問量較大或提供在線視頻等服務，可以依據(jù)網(wǎng)站的日均頁面訪問量（次）及業(yè)務高峰期（包括日高峰及高峰日）訪問量酌情調(diào)整出口帶寬；f）為集約化平臺提供云平臺基礎設施內(nèi)部通信線路、關(guān)鍵網(wǎng)絡設備和關(guān)鍵計算設備的硬件冗余，關(guān)鍵設備包括但不限于出口路由器、核心交換機、應用及數(shù)據(jù)庫服務器等，保證集約化平臺與統(tǒng)一信息資源庫的可用性；g）集約化平臺建設需全面支持互聯(lián)網(wǎng)協(xié)議第六版（IPv6），政府網(wǎng)站及基于政府網(wǎng)站提供服務的系統(tǒng)與產(chǎn)品應全面支持IPv6訪問，集約化平臺建設功能模塊、發(fā)布軟件開發(fā)工具包(SDK)時應支持IPv6技術(shù)。8.2.2通信傳輸a）采用校驗技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性；b）采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性；c）至少部署2條由不同互聯(lián)網(wǎng)接入服務商提供的互聯(lián)網(wǎng)接入鏈路。8.2.3云服務要求a）為集約化平臺提供的云服務及云平臺的安全保護等級為三級及以上；b）實現(xiàn)集約化平臺以及其他業(yè)務系統(tǒng)的虛擬網(wǎng)絡之間的隔離；c）具有根據(jù)集約化平臺業(yè)務需求提供通信傳輸、邊界防護、入侵防范等安全機制的能力；d）具有根據(jù)集約化平臺業(yè)務需求自主設置安全策略的能力,包括定義訪問路徑、選擇安全組件、配置安全策略等；e）提供開放接口或開放性安全服務，允許集約化平臺接入第三方安全產(chǎn)品或支撐單位選擇第三方安全服務。8.3安全區(qū)域邊界8.3.1邊界防護a）保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設備提供的受控接口進行通信；b）能夠?qū)Ψ鞘跈?quán)設備私自聯(lián)到集約化平臺區(qū)域網(wǎng)絡的行為進行檢查或限制；c）保證無線網(wǎng)絡通過受控的邊界設備接入集約化平臺區(qū)域網(wǎng)絡；d）采用在交換設備上劃分VLAN或部署安全域邊界防火墻等方式實現(xiàn)集約化平臺系統(tǒng)所在安全域與其他業(yè)務系統(tǒng)所在安全域之間的邏輯隔離。8.3.2訪問控制a）在網(wǎng)絡邊界或區(qū)域之間根據(jù)訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信；b）應刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化；c）對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，以允許/拒絕數(shù)據(jù)包進出；d）能根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力；e）對進出網(wǎng)絡的數(shù)據(jù)流實現(xiàn)基于應用協(xié)議和應用內(nèi)容的訪問控制；f）應通過對接“貴州省統(tǒng)一實名認證系統(tǒng)”用戶單點登錄；g)應建立網(wǎng)站應用程序與其他業(yè)務系統(tǒng)交互的數(shù)據(jù)列表，規(guī)范交互數(shù)據(jù)的內(nèi)容及格式；h）宜采用身份鑒別、訪問控制、加密傳輸、加密存儲等安全措施確保業(yè)務數(shù)據(jù)交互過程的安全性。8.3.3入侵防范a）在關(guān)鍵網(wǎng)絡節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡攻擊行為；b）在關(guān)鍵網(wǎng)絡節(jié)點處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡攻擊行為；c）采取技術(shù)措施對網(wǎng)絡行為進行分析，實現(xiàn)對網(wǎng)絡攻擊特別是新型網(wǎng)絡攻擊行為的分析；d）當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警；e）針對信息系統(tǒng)中的安全事件進行實時監(jiān)控,監(jiān)測和阻斷端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊等常見網(wǎng)絡攻擊行為，并監(jiān)測和阻斷目錄遍歷攻擊等Web服務器漏洞攻擊行為以及SQL注入、跨站腳本攻擊等網(wǎng)站自身漏洞攻擊行為。8.3.4惡意代碼和垃圾郵件防范參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.3.5安全審計a）在網(wǎng)絡邊界、重要網(wǎng)絡節(jié)點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；b）針對政府網(wǎng)站前臺用戶的注冊、登錄、關(guān)鍵業(yè)務操作等行為日志進行記錄，內(nèi)容包括但不限于用戶姓名、手機號碼、注冊時間、注冊地址、登錄時間、登錄地址、操作用戶信息、操作時間、操作內(nèi)容及操作結(jié)果等；c）針對政府網(wǎng)站后臺內(nèi)容管理用戶的登錄、網(wǎng)站內(nèi)容編輯、審核及發(fā)布等行為進行日志記錄，內(nèi)容包括但不限于用戶登錄時間、登錄地址以及編輯、審核及發(fā)布等行為發(fā)生時的用戶信息、時間、地址、內(nèi)容和結(jié)果等；d）新增政府網(wǎng)站上線前，應由專業(yè)機構(gòu)進行代碼審計、漏洞掃描、滲透測試等安全測試工作。該項服務有限制，僅限深信服簽訂合同上的491家網(wǎng)站，其余資產(chǎn)等專項網(wǎng)站不在服務范圍內(nèi)。該項服務有限制，僅限深信服簽訂合同上的491家網(wǎng)站，其余資產(chǎn)等專項網(wǎng)站不在服務范圍內(nèi)。e）針對集約化平臺及政府網(wǎng)站系統(tǒng)管理用戶的登錄、賬號及權(quán)限管理等系統(tǒng)管理操作進行日志記錄，內(nèi)容包括但不限于網(wǎng)站用戶登錄時間、登錄地址以及管理操作對象、操作內(nèi)容、操作結(jié)果等；f）審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；g）對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；h）能對遠程訪問的用戶行為等單獨進行行為審計和數(shù)據(jù)分析。8.3.6云服務要求8.3.6.1訪問控制a）在虛擬化部署訪問控制機制，并設置訪問控制機制；b）在不同等級的網(wǎng)絡區(qū)域邊界部署訪問控制機制,設置訪問控制規(guī)則。8.3.6.2入侵防范a）能夠檢測到外界對集約化平臺發(fā)起的網(wǎng)絡攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流量等；b）能夠檢測到對虛擬網(wǎng)絡節(jié)點的網(wǎng)絡攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流量等；c）能夠檢測到虛擬機與宿主機、虛擬機與虛擬機之間的異常流量；d）能夠?qū)z測到的網(wǎng)絡攻擊行為、異常流量情況時進行告警。8.3.6.3安全審計對云上貴州系統(tǒng)平臺、集約化平臺管理用戶在遠程管理時執(zhí)行的特權(quán)命令進行審計，至少包括虛擬機刪除、虛擬機重啟。8.4安全計算環(huán)境8.4.1身份鑒別參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.4.2訪問控制參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.4.3安全審計參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.4.4入侵防范參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.4.5惡意代碼防范a）釆用免受惡意代碼攻擊的技術(shù)措施或主動免疫可信驗證機制，及時識別入侵和病毒行為并將其有效阻斷；b）對集約化平臺的應用軟件代碼進行安全分析和測試，識別并及時處理可能存在的惡意代碼；c）對個性化應用、融合服務接入的代碼進行安全分析和測試，識別并及時處理可能存在的惡意代碼。8.4.6數(shù)據(jù)完整性a）對重要數(shù)據(jù)、敏感數(shù)據(jù)進行分類管理，提供加密存儲和傳輸?shù)哪芰?；b）應采用校驗技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等；c）應采用校驗技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等；d）部署相應的網(wǎng)頁防篡改產(chǎn)品，對全省政府網(wǎng)站所有靜態(tài)頁面和動態(tài)頁面進行監(jiān)控和保護。8.4.7數(shù)據(jù)保密性參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.4.8數(shù)據(jù)備份恢復a）提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復功能；b）提供異地備份功能，利用通信網(wǎng)絡將重要數(shù)據(jù)備份至備份場地；c）提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性；d）集約化平臺及統(tǒng)一信息資源庫的應用程序、系統(tǒng)數(shù)據(jù)（用戶信息、發(fā)布信息等）、配置數(shù)據(jù)（網(wǎng)站應用、操作系統(tǒng)、數(shù)據(jù)庫及網(wǎng)絡、安全設備的配置信息等）及審計日志等宜定期進行備份，至少每周進行一次完全備份、每3個月實施一次備份恢復演練；e）針對內(nèi)容發(fā)布、在線辦事等網(wǎng)站關(guān)鍵業(yè)務的重要數(shù)據(jù)、個人信息及隱私信息，采取異地數(shù)據(jù)備份措施，將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地。8.4.9剩余信息保護參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.4.10個人信息保護參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.4.11云服務要求a）身份鑒別：當遠程管理云上貴州系統(tǒng)平臺設備時，管理終端和云上貴州系統(tǒng)平臺之間應建立雙向身份驗證機制；b）訪問控制：保證當虛擬機遷移時，訪問控制策略隨其遷移；允許省人民政府辦公廳設置不同虛擬機之間的訪問控制策略；c）入侵防范：能檢測虛擬機之間的資源隔離失效，并進行告警；應能檢測非授權(quán)新建虛擬機或者重新啟用虛擬機，并進行告警；能夠檢測惡意代碼感染及在虛擬機間蔓延的情況，并進行告警；d）鏡像和快照保護：1）針對重要業(yè)務系統(tǒng)提供加固的操作系統(tǒng)鏡像或操作系統(tǒng)安全加固服務；2）提供虛擬機鏡像、快照完整性校驗功能，防止虛擬機鏡像被惡意篡改；。e）數(shù)據(jù)完整性和保密性：1）確保省人民政府辦公廳數(shù)據(jù)、用戶個人信息等存儲于中國境內(nèi)，如需出境應遵循國家相關(guān)規(guī)定；2）確保只有在省人民政府辦公廳授權(quán)下，支撐單位或第三方才具有省人民政府辦公廳數(shù)據(jù)的管理權(quán)限；3）使用校驗碼或密碼技術(shù)確保虛擬機遷移過程中重要數(shù)據(jù)的完整性，并在檢測到完整性受到破壞時采取必要的恢復措施；4）支持省人民政府辦公廳部署密鑰管理解決方案，保證省人民政府辦公廳自行實現(xiàn)數(shù)據(jù)的加解密過程。f）數(shù)據(jù)備份恢復：1）省人民政府辦公廳應在本地保存其業(yè)務數(shù)據(jù)的備份；2）提供查詢省人民政府辦公廳數(shù)據(jù)及備份存儲位置的能力；3）云服務商的云存儲服務應保證省人民政府辦公廳數(shù)據(jù)存在若干個可用的副本，各副本之間的內(nèi)容應保持一致；4）為省人民政府辦公廳將集約化平臺業(yè)務系統(tǒng)及數(shù)據(jù)遷移到其他云計算平臺和本地系統(tǒng)提供技術(shù)手段，并協(xié)助完成遷移過程。g）剩余信息保護：1）保證虛擬機所使用的內(nèi)存和存儲空間回收時得到完全清除；2）省人民政府辦公廳刪除政府網(wǎng)站業(yè)務應用數(shù)據(jù)時，支撐單位應將云存儲中所有副本刪除。8.4.12應用安全a）設置嚴格的訪問控制策略，防止集約化平臺后臺管理系統(tǒng)暴露在互聯(lián)網(wǎng)中；b）部署必要的安全防護設備，應對病毒感染、惡意攻擊、網(wǎng)頁篡改和漏洞利用等風險，對全省政府網(wǎng)站運行情況進行監(jiān)測；c）加強集約化平臺管理終端的安全管理，定期開展安全檢查，防止管理終端成為集約化平臺管理系統(tǒng)的風險入口；d）在集約化平臺中嚴格設定訪問和操作權(quán)限，實現(xiàn)系統(tǒng)管理、內(nèi)容編輯、內(nèi)容審核等用戶的權(quán)限分離；e）要對管理用戶的操作行為進行記錄；f）不少于每季度1次對集約化平臺應用程序、操作系統(tǒng)及數(shù)據(jù)庫、管理終端進行全面掃描，發(fā)現(xiàn)潛在安全風險并及時處置；g）建立安全監(jiān)測預警機制，實時監(jiān)測集約化平臺的應用系統(tǒng)、統(tǒng)一資源庫數(shù)據(jù)等運行狀態(tài)，異常情況進行報警和處置；h）對主辦單位用戶操作、管理用戶操作等建立運行日志，留存運行日志不少于六個月；i）嚴格管理集約化平臺及統(tǒng)一信息資源庫存儲的信息數(shù)據(jù)，通過磁盤陣列、網(wǎng)頁加速服務等方式定期、全面?zhèn)浞菥W(wǎng)站數(shù)據(jù)，提升容災備份能力；j）集約化平臺提供技術(shù)手段輔助進行網(wǎng)站發(fā)布內(nèi)容的過濾。8.5安全管理中心8.5.1系統(tǒng)管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.5.2審計管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.5.3安全管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.5.4集中管控參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.5.5云服務要求a）能夠?qū)ξ锢碣Y源和虛擬資源按照策略做統(tǒng)一管理調(diào)度與分配；b）保證支撐單位管理流量與集約化平臺業(yè)務流量分離；c）根據(jù)支撐單位和集約化平臺運營方的職責劃分，收集各自控制部分的審計數(shù)據(jù)并實現(xiàn)各自的集中審計；d）根據(jù)支撐單位和集約化平臺運營方的職責劃分，實現(xiàn)各自控制部分，包括虛擬化網(wǎng)絡、虛擬機、虛擬化安全設備等的運行狀況的集中監(jiān)測。8.6安全管理制度參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.7安全管理機構(gòu)8.7.1崗位設置a）成立云上貴州系統(tǒng)平臺內(nèi)部指導和管理網(wǎng)絡安全工作的委員會或領導小組，其最高領導由單位主管領導擔任或授權(quán)；b）設立網(wǎng)絡安全管理工作的職能部門，制定部門和部門領導職責；c）設立系統(tǒng)管理員、審計管理員和安全管理員等崗位，并定義部門及各個工作崗位的職責。8.7.2人員配備參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.7.3授權(quán)和審批參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.7.4溝通和合作參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.7.5審核和檢查參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.8安全管理人員參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.9集約化平臺安全建設管理8.9.1定級和備案協(xié)助省人民政府辦公廳分析集約化平臺的安全保護等級需求。8.9.2安全方案設計a）根據(jù)安全保護等級選擇基本安全措施，依據(jù)風險分析的結(jié)果補充和調(diào)整安全措施；b）根據(jù)集約化平臺的安全保護等級進行安全整體規(guī)劃和安全方案設計,設計內(nèi)容應包含密碼技術(shù)相關(guān)內(nèi)容，并形成配套文件；c）參與省人民政府辦公廳組織的安全方案論證和審定。8.9.3產(chǎn)品采購和使用a）為集約化平臺提供的網(wǎng)絡產(chǎn)品和服務應通過網(wǎng)信部門組織的安全審查，為平臺提供的關(guān)鍵設備和安全專用產(chǎn)品需通過安全認證和安全檢測；b）確保密碼產(chǎn)品與服務的采購和使用符合國家密碼管理主管部門的要求；c）確保政府網(wǎng)站及集約化平臺IPV6產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定。8.9.4自行軟件開發(fā)參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.9.5外包軟件開發(fā)參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.9.6工程實施a）指定或授權(quán)內(nèi)部專門的部門或人員負責集約化工程實施過程的管理；b）在集約化項目實施中，制定安全工程實施方案，控制工程實施過程；c）在集約化項目實施中，接受第三方工程監(jiān)理單位的監(jiān)督和管理。8.9.7測試驗收參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.9.8系統(tǒng)交付a）根據(jù)合同要求完成交付物，并制定交付清單；b）對負責運行維護的技術(shù)人員進行相應的技能培訓；c）提供建設過程文檔和運行維護文檔。8.9.9等級測評定期配合省人民政府辦公廳進行等級測評，發(fā)現(xiàn)不符合相應等級保護標準要求的，配合整改。8.9.10服務供應商選擇a）確保云上貴州系統(tǒng)平臺供應鏈服務商的選擇符合國家有關(guān)規(guī)定；b）根據(jù)省人民政府辦公廳授權(quán)，選擇集約化模式下政府網(wǎng)站運行相關(guān)服務供應商，確保服務供應商的選擇符合國家的有關(guān)規(guī)定；c）與選定的服務供應商簽訂相關(guān)協(xié)議，明確整個服務供應鏈各方需履行的網(wǎng)絡安全相關(guān)義務；定期監(jiān)督、評審和審核服務供應商提供的服務；d）將供應鏈安全事件信息或安全威脅信息及時傳達到省人民政府辦公廳；e）將供應商的重要變更及時傳達到省人民政府辦公廳，并評估變更帶來的安全風險，采取措施對風險進行控制。8.10安全運維管理8.10.1環(huán)境管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.10.2資產(chǎn)管理a）編制并保存與集約化平臺相關(guān)的資產(chǎn)清單，包括資產(chǎn)責任部門、重要程度和所處位置等內(nèi)容；b）根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識管理，根據(jù)資產(chǎn)的價值選擇相應的管理措施；c）對信息分類與標識方法作出規(guī)定，并對信息的使用、傳輸和存儲等進行規(guī)范化管理；d）在云服務合同中規(guī)定服務合約到期時，完整提供政府網(wǎng)站集約化相關(guān)數(shù)據(jù)，并承諾相關(guān)數(shù)據(jù)在云計算平臺上清除。8.10.3介質(zhì)管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.10.4設備維護管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.10.5漏洞和風險管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.10.6網(wǎng)絡和系統(tǒng)安全管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.10.7惡意代碼防范管理a）提高所有用戶的防惡意代碼意識，對外來計算機或存儲設備接入系統(tǒng)前進行惡意代碼檢查等；b）定期驗證防范惡意代碼攻擊的技術(shù)措施的有效性；c）利用木馬監(jiān)控系統(tǒng)或第三方安全服務等方式對網(wǎng)站掛馬情況進行實時監(jiān)測和處置；d）利用網(wǎng)頁防篡改系統(tǒng)或第三方安全服務等方式,對網(wǎng)站內(nèi)容篡改情況進行實時監(jiān)測和處置。8.10.8配置管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.10.9密碼管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.10.10 變更管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.10.11備份與恢復管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》第三級保護相關(guān)要求執(zhí)行。8.10.12安全事件處置a）建立安全監(jiān)測預警機制，實時監(jiān)測集約化平臺的硬件環(huán)境、軟件環(huán)境、支撐環(huán)境等運行狀態(tài)以及網(wǎng)站掛馬、內(nèi)容篡改等攻擊情況，對異常情況進行報警和處置；b）及時向省人民政府辦公廳與安全管理部門報告所發(fā)現(xiàn)的安全弱點和可疑事件；c）制定安全事件報告和處置管理制度,明確不同安全事件的報告、處置和響應流程，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復的管理職責等；d）在安全事件報告和響應處理過程中,分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗教訓；e）