下载文档原格式
内蒙古自治区政务云安全管理制度前言:随着信息化的快速发展,政务云已成为现代政府建设的重要组成部分。
政务云的安全管理对于保障政府信息系统的安全性和保密性具有重要意义。
为此,内蒙古自治区制定了一系列政务云安全管理制度,以保护政府信息系统的安全,防范网络攻击和数据泄露。
一、政务云服务的安全要求1.政务云服务的安全等级划分根据信息系统的重要性和敏感性,将政务云服务划分为不同的安全等级,包括一级、二级和三级。
一级为最高安全等级,针对政府重要部门和关键信息系统;二级为次高安全等级,适用于非关键信息系统;三级为一般安全等级,适用于普通信息系统。
2.政务云服务的安全方案政务云服务的安全方案应包含以下内容:(1)物理安全:确保政务云数据中心和服务器等基础设施的物理安全。
(2)网络安全:保护政务云网络环境的安全,包括防火墙、入侵检测系统等的部署和管理。
(3)操作系统安全:对操作系统进行加固,设置适当的访问控制和安全策略。
(4)应用程序安全:对政务云服务的应用程序进行安全审计和漏洞扫描,并及时修复发现的安全漏洞。
(5)数据安全:确保政务云存储和传输的数据加密和备份服务,并对敏感数据进行合适的访问控制。
(6)审计安全:建立完善的审计制度,对政务云服务的使用情况进行监控和分析。
二、政务云用户的安全责任政务云用户应承担以下安全责任:1.合理使用政府信息资源,不得泄露、篡改或非法使用政府信息。
2.提供真实、准确的身份信息,并按照规定使用政务云服务的账号和密码。
3.遵守管理权限和使用规定,不得擅自修改系统设置、访问他人账户。
4.遵守信息安全相关法律法规和政务云服务提供商的安全管理制度。
5.及时报告系统漏洞和安全事件,并积极配合进行处理和调查。
三、政务云服务提供商的安全责任政务云服务提供商应承担以下安全责任:1.提供完善的安全方案,确保政务云服务的安全性和可靠性。
2.对政务云服务的设备、系统和网络进行安全配置、监控和管理。
3.提供定期的安全漏洞扫描和应急响应预案,并实时发布相关安全通告。
云计算服务安全性与合规性评估指南随着数字化转型浪潮的加速推进,云计算服务已成为企业信息技术基础设施的核心组成部分。
然而,数据安全与合规性问题也随之成为企业关注的重点。
为了确保企业云上业务的安全与合规,制定一套全面的云计算服务安全性与合规性评估指南显得尤为重要。
以下为六个关键评估点:一、数据保护与加密策略在云计算环境中,数据保护是安全体系的基石。
企业应评估云服务商是否提供多层次的数据加密机制,包括数据传输过程中的SSL/TLS加密、静止数据的存储加密以及客户密钥管理服务。
同时,需确认服务商是否支持符合行业标准的加密算法,并能根据企业的特定需求灵活配置加密策略。
此外,评估数据备份与恢复方案的可靠性,以及服务商在数据泄露事件中的应急响应能力,也是至关重要的。
二、访问控制与身份验证确保只有授权人员能访问敏感数据和应用程序是防止数据泄露的关键。
评估时应重点关注云平台的多因素身份验证机制、细粒度访问控制策略(RBAC或ABAC)、以及基于角色或属性的权限管理功能。
此外,服务商是否提供日志审计和监控服务,以便跟踪和记录所有访问活动,也是评估的一部分,这有助于及时发现异常行为并采取相应措施。
三、物理与网络安全虽然云环境中的硬件设施通常由服务商管理,但企业仍需了解数据中心的物理安全措施,如安全围栏、生物识别门禁、24/7监控等。
在网络安全方面,评估应涵盖网络隔离技术(VPC、子网划分)、防火墙规则配置灵活性、DDoS防护能力以及入侵检测与预防系统。
确保服务商能够提供稳定且高度安全的网络架构,以防止外部攻击和内部威胁。
四、合规性与认证鉴于不同行业和地区存在特定的法律法规要求(如GDPR、HIPAA、PCI DSS等),选择云服务商时,企业需确认其是否具备相应的合规认证,以及是否能提供必要的合规支持服务。
评估应涉及服务商的合规报告、数据主权策略、跨境数据转移机制以及是否遵守国际数据保护标准。
此外,服务商的透明度,即是否愿意分享其安全控制措施的审计结果和第三方评估报告,也反映了其对合规承诺的重视程度。
关于政务云网络信息安全的研究发布时间:2022-06-08T05:53:08.046Z 来源:《中国科技信息》2022年第4期作者:李灼华[导读] 发展电子政务和加快推进“互联网+政务服务”,适应政府管理和服务现代化发展需要李灼华中国电信股份有限公司清远分公司广东清远 511500摘要:发展电子政务和加快推进“互联网+政务服务”,适应政府管理和服务现代化发展需要,是政府推动政务信息化建设体制改革的重要战略举措,同时政务信息化使得大量的敏感信息、公民隐私等存在泄露、被篡改的风险,因此网络信息安全建设显得尤为重要。
关键字:政务云、云计算、网络信息安全一、背景网络空间在某种程度上已成为继陆、海、空、天之后的第五大主权空间,维护网络空间安全已成为维护国家安全新的战略制高点。
为贯彻落实习近平总书记关于推进全球互联网治理体系变革的“四项原则”和构建网络空间命运共同体的“五点主张”,国家互联网信息办公室发布了《国家网络空间安全战略》,为我国网络空间发展和安全工作提供了重要的指导工作。
在数字政府建设过程中,应采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏。
坚持技术和管理并重、保护和震慑并举,着眼识别、防护、检测、预警、响应、处置等环节,建立实施关键信息基础设施保护制度,从管理、技术、人才等方面加大投入,切实加强关键信息基础设施安全防护,做好等级保护、风险评估、漏洞发现等基础性工作,完善网络安全监测预警和网络安全重大事件应急处置机制。
随着政务信息系统的建设,大量政务敏感信息、个人隐私数据等重要数据以电子数据形式存储到政务云平台中,在为政府管理、公众服务等领域提供便捷服务的同时,也为信息安全带来巨大挑战,信息一旦泄露,会造成无法估计的后果,因此政务云平台的网络信息安全至关重要。
二、政务云网络信息安全建设的必要性《网络安全法》要求从技术、人员机构、流程制度等方面加强对关键信息基础设施的运行安全的保障,国家标准委等机构也制定了一系列云计算、电子政务系统的相关标准规范。
政务云网安全运营工作计划一、背景和目标1. 背景政务云的兴起为政府机构提供了更高效、安全、稳定的信息化服务平台,但也面临着网安风险和威胁增加的挑战,如网络攻击、信息泄漏等。
2. 目标确保政务云平台的安全性,提供可靠的信息系统服务,保护政务数据和用户隐私,减少安全风险。
同时,提高政府系统的协同能力,推动政府信息化建设。
二、关键工作和措施1. 安全策略与规划制定安全策略和规划,明确安全目标和政务云的安全要求。
建立安全管理体系,包括安全管理组织、职责与权限划分、安全培训和管理制度。
2. 安全风险评估与管理对政务云平台进行安全风险评估,识别安全风险和威胁,制定相应的安全措施和应急预案。
加强对政务云平台的安全监控和事件响应能力。
3. 网络安全防护建立网络安全防护体系,包括防火墙、入侵检测和防护系统等,以保护政务云平台免受网络攻击和恶意访问。
加强网络设备和系统的安全配置和管理。
4. 数据安全保护采取数据加密、数据备份和数据恢复等手段,确保政务云平台的数据安全。
建立权限管理、访问控制和数据审计等机制,防止非法访问和数据泄漏。
5. 应用安全管理对政务云平台的应用系统进行安全测试和代码审计,修复漏洞和弥补风险。
加强应用程序的安全开发和编码规范,提升应用系统的安全性和可靠性。
6. 网络监测与安全态势感知建立网络监测系统,对政务云平台的网络流量和访问行为进行监测和分析。
及时发现和处置网络攻击和安全事件,提供安全态势感知和威胁预警。
7. 安全培训和意识提升加强对政府机构工作人员的安全培训,提升其信息安全意识和安全操作能力。
定期组织安全演练和紧急演练,提高应对安全事件的能力。
8. 合规与审计制定合规和审计政策,对政务云平台的安全管理进行定期审计和评估。
确保政务云平台的合规性和安全性符合相关法律法规和标准要求。
三、推进机制和计划进度1. 推进机制建立政务云网安全领导小组,负责统筹协调政务云网安全工作。
成立网安工作组,负责具体实施和推进工作。
网络安全合规性与法规要求随着互联网的蓬勃发展和信息技术的迅猛进步,网络安全问题日益突出,给个人和组织的信息资产带来了巨大的威胁。
为了确保网络安全,保护个人隐私和企业商业机密,各国纷纷出台相关法规和政策要求,以加强网络安全合规性。
本文将重点讨论网络安全合规性与法规要求,旨在引起人们对网络安全的重视,并提供一些解决方案。
一、网络安全合规性的重要性网络安全合规性是指个人或组织在互联网环境中履行法律、道德和行业规范的一种要求。
也就是说,个人和企业需要合规性地运营和管理网络,采取相应的安全保护措施,确保用户信息的机密性、完整性和可用性。
网络安全合规性的重要性体现在以下几个方面:1.1 保护个人隐私和信息安全:网络攻击和数据泄露已经成为现代社会面临的重大威胁。
通过建立网络安全合规性要求,可以保护个人和组织的隐私,避免敏感信息被不法分子盗取或滥用。
1.2 维护商业信誉和竞争优势:网络安全合规性要求企业采取一系列措施,如加密技术、访问控制和安全审核,以确保商业机密的保密性和完整性。
这有助于提高企业的商业信誉和竞争优势。
1.3 遵守法律法规和行业标准:各国都出台了一系列网络安全法律法规和行业标准,要求个人和企业在网络活动中遵循特定的规范。
遵守这些法律法规和行业标准有助于避免法律风险和经济损失。
二、网络安全合规性的法规要求2.1 个人信息保护:对于收集、使用和处理个人信息的个人和企业,需要遵守相关的个人信息保护法律法规。
例如,在欧洲,个人信息保护通用数据保护条例(GDPR)规定了个人数据的处理原则、个人权利和个人事故报告要求等。
类似的法规在不同国家也有相应的规定。
2.2 敏感数据保护:对于涉及敏感数据的个人和企业,需要采取额外的安全措施来保护这些数据的机密性和完整性。
例如,在美国,医疗保险可移植性和责任法案(HIPAA)要求医疗机构和保险提供商对涉及患者健康信息的数据进行特殊保护。
2.3 安全漏洞披露:许多国家和地区都出台了漏洞披露的法规要求,鼓励个人和企业主动向相关部门报告网络安全漏洞,并与供应商、合作伙伴等进行合作,消除潜在的网络安全风险。
云安全的最佳实践与合规要求随着信息时代的不断发展,能够带来更多便利生活方式和办公方式的云计算成为了业界的热门话题。
云计算的出现为我们带来了范式转移的变革,同时也给予了我们更多业务发展和动态适应的可能。
然而,伴随云计算的快速普及和大规模应用,如何保障云计算安全性已经成为了我们面临的一项紧要的挑战。
云安全的最佳实践:1. 安全管理云计算安全管理工作是保障云计算安全的核心要点,云服务用户应当为其云环境建立安全管理机制,明确安全负责人、建立安全责任制、规范安全管理程序;同时通过对关键资源的监管、安全防范、应急响应等措施,加强云对外提供服务的审核能力和监管能力。
2. 数据加密数据加密是网络安全的重要手段,也是云安全保障的最基本要求。
云服务提供商应为客户提供安全的数据加密能力,加密的对象应包括用户认证信息、应用软件及数据、网络传输数据等多个方面。
在云计算环境下,用户数据应当通过加密方式进行存储和传输,以保障用户信息的安全性。
3. 访问控制访问控制是保障云安全的最基本要求,云服务提供商需要在安全管理中加强对云计算环境下的访问控制。
访问控制可分为用户身份认证和访问授权两部分。
用户身份认证主要包括密码认证、数字证书、双因素身份认证等,访问授权主要涉及到用户能够访问的资源的数量、访问时间等方面。
4. 设备安全设备安全是云计算环境下保障安全性的基本保证。
云服务提供商应采取多种技术手段,保障云计算节点、云网络、云存储等设备的安全。
同时,在设备的操作系统、数据库、应用软件等不同层面,加强相应的设备安全管理措施,以确保整个云平台的信息安全可控。
云安全的合规要求:1. 国内云安全标准的制定当前,中国正在积极制定多部云安全标准,并加快推进相应的国家标准、部标、行标的审查发布工作。
云服务提供商需要按照国家的相关标准进行合规建设和安全管理。
2. 政策要求的贯彻和落实在国家层面上,提出了多项关于云计算安全方面的制定和要求,如《云计算信息安全等级保护管理规定》、《云计算安全技术标准》等。
浙江政务云网络安全随着互联网的迅猛发展,网络安全问题一直是人们关注的焦点之一。
浙江政务云作为浙江省政府的重要项目之一,网络安全问题更是不容忽视的。
下面就浙江政务云网络安全问题进行分析。
首先,浙江政务云作为一个庞大的信息系统,存储了大量的重要政务数据和个人敏感信息。
这些数据和信息的安全性是首要保障。
在网络安全方面,浙江政务云应加强系统防火墙的设置,控制外部访问,避免被黑客攻击。
同时,建立健全的权限管理制度,区分不同用户权限,严防内部人员滥用权力或非法操作。
此外,对数据进行加密和备份,及时关注漏洞修复和安全补丁安装等,都能有效提高网络安全的水平。
其次,对于大规模的云计算系统,安全性问题更加复杂。
浙江政务云可以通过数据隔离和安全认证等手段保障用户数据的安全。
同时,要建立完善的监控机制,对系统进行实时监测,及时发现和排除安全隐患。
另外,加强物理安全措施也是非常重要的,如加强机房设备的防护,限制人员进出,保证系统的物理安全。
再次,网络安全问题也需要从人员的角度来解决。
浙江政务云需要加强对员工的安全意识培训,提高他们对网络安全的认识和反应能力。
同时,完善员工入职和离职的管理制度,避免内部人员对系统进行恶意攻击或泄露敏感信息。
鼓励员工主动报告安全漏洞和问题,并及时进行处理。
最后,浙江政务云网络安全问题还需要加强与相关部门和企业的合作。
政府可以与网络安全公司或专业机构进行合作,建立长期的安全合作机制,共同研究解决网络安全问题。
与其它云计算平台进行信息共享和技术交流,取长补短,共同提高网络安全的水平。
总之,浙江政务云网络安全问题是一个复杂而严峻的挑战。
只有加强系统的安全策略和技术手段,提高员工的安全意识,加强与相关部门和企业的合作,才能够保障浙江政务云的网络安全,并为浙江省的政务工作提供可靠的支持。
政务云安全要求标准随着互联网和信息技术的快速发展,政府的信息化建设已成为一个必然趋势。
政务云作为新一代政府信息系统的重要组成部分,正在逐步得到推广和实践。
政务云在提高政府工作效率、优化服务质量等方面发挥了重要作用,但同时也面临着一系列的信息安全问题。
为此,政务云安全要求标准的建立和实施显得非常重要。
政务云安全要求标准是国家政府制定的与政务云相关的安全标准。
该标准旨在规范政务云的安全建设和安全管理,保障政务云的信息安全和业务安全。
以下是政务云安全要求标准的主要内容。
安全架构设计要求政务云安全架构设计应满足以下要求:多重防御采用多重防御措施,包括边界防火墙、入侵检测系统、反病毒系统等,以保证政务云系统安全。
容灾备份政务云应建立完善的容灾备份机制,确保政务云系统在自然灾害、黑客攻击等复杂情况下能够正常运转。
安全管理要求政务云安全管理应满足以下要求:管理制度建立完整的管理制度,包括安全管理规范、安全意识培训、安全监控等,保证政务云系统的安全可靠。
安全审计采取安全审计手段,定期对政务云系统进行安全性及合规性审计,及时发现并排除安全漏洞。
安全培训对政务云相关工作人员和用户进行安全意识培训,提高安全意识,确保信息安全风险最小化。
安全技术要求政务云安全技术应满足以下要求:数据加密对政务云系统中重要数据实现加密传输和存储,确保政务云系统中的敏感信息不会被非法获取。
认证与授权采用用户认证授权机制,确保政务云系统的合法性和用户的权限合规。
安全传输在政务云系统和其它系统之间建立安全传输通道,防止信息被窃取和篡改。
综上所述,政务云安全要求标准是政务云安全建设不可或缺的组成部分。
政府、云提供商、各级政务云用户应共同合作,加强对政务云安全的管理和控制,打造可信赖的政务云系统。
政务云安全解决方案注:本文档旨在介绍政务云安全解决方案的基本知识和要点,以帮助政府部门正确理解和应用云安全技术。
概述政务云安全解决方案是为政府部门打造的云计算安全保障方案。
随着政府信息化建设的发展和政务数据规模的不断扩大,政务云安全扮演着关键的角色。
本文将依次介绍政务云安全的重要性、核心技术、主要挑战和解决方案。
政务云安全的重要性政务云安全的重要性主要体现在以下几个方面:1.信息安全保障:政务云存储了大量敏感和重要的政务数据,包括人口信息、财政数据、公共安全数据等。
确保这些数据的安全和完整性是政务云安全的首要任务。
2.遵守法规要求:政府部门在信息化建设中必须遵守各种法规和合规要求,保护公民权益和国家安全。
政务云安全解决方案应提供符合相关法规和合规要求的安全机制和措施。
3.保护政务系统稳定运行:政务系统的稳定运行对于政府部门的高效工作至关重要。
政务云安全解决方案应提供对政务系统的高可用性和稳定性保障。
政务云安全的核心技术政务云安全解决方案主要依赖于以下核心技术:1. 云计算安全技术云计算安全技术是政务云安全的基础。
政务云安全方案应基于云计算安全技术来实现对云计算环境的保护。
其中包括:•身份和访问管理(IAM):通过身份认证和访问控制,确保只有合法的用户可以访问政务云。
•数据加密和隔离:对政务云中的数据进行加密,以确保数据在传输和存储过程中的安全性。
同时,通过隔离机制,防止不同用户之间的数据交叉泄露。
•虚拟化安全:政务云环境中使用了虚拟化技术,因此需要进行虚拟化安全管理,包括虚拟机安全、网络安全等方面的保护。
2. 数据安全技术政务云中的数据安全是重中之重。
政务云安全解决方案应包含以下数据安全技术:•数据备份和灾难恢复:定期对政务云中的数据进行备份,以防数据丢失。
同时,建立完善的灾难恢复机制,保证政务系统的高可用性。
•数据分类和访问控制:对政务数据进行合理的分类和访问控制,确保不同安全级别的数据只能被合法访问者查看和操作。
政务云网络安全随着信息化技术的不断发展,政务云已经成为了政府部门处理数据和信息的重要工具。
然而,政务云网络安全问题日益凸显,对政府部门和公众的信息安全带来了巨大威胁。
首先,政务云网络面临着来自内外部的安全威胁。
从内部来看,政府部门内部员工或合作伙伴的疏忽或不当操作可能会导致信息泄露或数据丢失。
此外,政府部门需要和外部机构、企业以及公众进行数据交互,这也会带来一定的安全隐患。
黑客攻击、病毒和恶意软件等外部威胁增加了政务云网络安全的挑战。
其次,政务云网络的大规模和复杂性也使其更容易受到攻击。
政务云网络通常包含大量的数据和应用程序,这些数据和应用程序需要进行安全管理和维护。
然而,政务云网络规模庞大,管理起来非常复杂,容易存在漏洞和薄弱环节。
黑客可以借助这些漏洞进行攻击,从而获取政府部门和公众的敏感信息。
第三,政务云网络的安全风险还来自于不断发展的新技术。
随着人工智能、区块链、物联网等新技术的广泛应用,政务云网络的攻击面也越来越广。
特别是在物联网的应用中,政务云必须与大量的智能设备进行连接和数据交换,这为黑客提供了可乘之机。
为了保障政务云网络安全,政府部门和相关机构需要采取一系列的安全措施。
首先,加强人员培训和意识教育,提高员工和合作伙伴对网络安全的重视和认识。
其次,建立健全的安全管理体系,包括完善的防火墙、数据加密、访问控制等措施。
同时,定期进行安全检测和漏洞修补,确保政务云网络的持续安全性。
总之,政务云网络安全是一个重要的议题,需要政府部门和相关机构共同努力。
只有加强网络安全管理,提高安全意识,才能保障政务云网络的稳定和可靠。
政务云网络安全合规性指引1 范围本标准以国家网络安全法为指导,以国家网络安全等级保护相关要求为核心,以网络安全等级保护技术标准为基础,梳理和整合等级保护、云计算服务网络安全审查、政务行业网络安全一般性要求三个方面的内容,分析和明确各方技术要求差异,研究和制定符合各方要求的综合性对标指导要求,从而形成一体的政务云网络安全合规体系。
本标准在依据国家相关技术标准的同时,力争突出电子政务领域网络安全特点,为各级政府规划好、建设好、管理好政务云提供参考。
同时,也可为其他行业的云网络安全保障工作提供参考。
2 规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T22240-XXXX 信息安全技术网络安全等级保护定级指南(报批稿)GB/T25058-XXXX 信息安全技术网络安全等级保护实施指南(报批稿)GB/T22239-XXXX 信息安全技术网络安全等级保护基本要求(报批稿)GB/T25070-XXXX 信息安全技术网络安全等级保护安全设计技术要求(报批稿)GB/T28448-XXXX 信息安全技术网络安全等级保护测评要求(报批稿)GB/T28449-XXXX 信息安全技术网络安全等级保护测评过程指南(报批稿)GB/T31167-2014 信息安全技术云计算服务安全指南GB/T31168-2014 信息安全技术云计算服务安全能力要求GW0013-2017 政务云安全要求GW0104-2014 国家电子政务外网安全等级保护实施指南GW0103-2004 国家电子政务外网安全等级保护基本要求GW0203-2014 国家电子政务外网安全监测体系技术规范与实施指南GW0204-2014 国家电子政务外网安全管理系统技术要求与接口规范GW0205-2014 国家电子政务外网跨网数据安全交换技术要求与实施指南DB36/T 979-2017 电子政务外网安全接入平台技术规范3 术语和定义下列术语和定义适用于本文件。
3.1政务云 GovernmentCloud用于承载各级政务部门开展公共服务、社会管理的业务信息系统和数据,并满足跨部门业务协同、数据共享与交换等的需要,提供IaaS、PaaS和SaaS服务的云计算服务。
3.2国家电子政务外网 NationalE-GovernmentNetwork国家电子政务外网是国家电子政务重要基础设施,是承载各级政务部门用于经济调节、市场监管、社会管理和公共服务等非涉及国家秘密的业务应用系统的政务公用网络。
包括中央级政务外网和地方政务外网,二者均由相应的广域网和城域网构成。
中央广域网与31个省、直辖市、自治区和新疆生产建设兵团的省级政务外网互联。
中央城域网用于连接在京中央政务部门,并与中央广域网高速互联。
地方政务外网由省、地(市)和县级广域网和相应的城域网构成。
3.3关键信息基础设施 CriticalInformationInfrastructure面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统;且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。
3.4云服务商 CloudServiceProvider云计算服务的提供商。
为各级政务部门提供计算、存储、网络及安全等各类云计算基础设施资源、相关软件和服务。
3.5云服务客户 CloudTenant使用政务云开展电子政务业务和处理、存储数据的各级政务部门。
3.6安全管理平台 SecurityOperationCenter安全管理平台是通过采用多种技术手段,收集和整合各类网络设备、安全设备、操作系统等安全事件,并运用关联分析技术、智能推理技术和风险管理技术,实现对安全事件信息的深度分析,能快速做出智能响应,实现对安全风险进行统一监控分析和预警处理。
3.7广域网 WideAreaNetworks(WAN)把城市之间连接起来的宽带网络称广域网,政务外网从中央到各省的网络称为中央广域网、省到各地(市)网络称为省级广域网、地(市)到各县的广域网称为地(市)级广域网。
实现国家、省、市、县纵向业务的互联网通。
3.8城域网 MetropolitanAreaNetworks(MAN)把同一城市内不同单位的局域网络连接起来的网络称为城域网,实现不同单位跨部门业务的数据共享与交换。
3.9局域网 LocalAreaNetwork(LAN)把本单位终端、主机/服务器、存储等设备,通过网络设备连接起来的网络,实现本单位业务系统、数据的互访、共享等,称为局域网。
局域网是政务部门开展电子政务业务的基础,其安全、建设、运维等相关工作由网络所属单位自行负责。
3.10逻辑隔离 LogicIsolation逻辑隔离是一种不同网络间的安全防护措施,被隔离的两端仍然存在物理上数据通道连线。
一般使用协议转换、数据格式剥离或数据流控制的方法来实现在两个逻辑隔离区域之间传输数据,并且传输的方向可以是单向或双向。
3.11公用网络区 PublicNetworkArea公用网络区采用统一分配的公共IP地址,是实现各部门、各地区互联互通,为跨地区、跨部门的业务应用提供数据共享与交换的网络支撑平台。
3.12互联网接入区 InternetAccessArea是各级政务部门通过逻辑隔离安全接入互联网的网络区域,满足各级政务部门访问互联网的需要。
同时也是移动办公的公务人员通过政务外网数字证书,经网关认证后安全接入政务外网的途径。
按属地化管理的原则,中央和地方分别管理各自的互联网出入口。
3.13安全管理区 SecurityManagementArea安全管理区主要承载安全管理信息系统,对管辖范围内网络中部署的安全防护设备进行日志采集、关联分析、对网络病毒和攻击进行告警、对安全事故提出预警和采取措施的建议,定期总结并提出分析报告。
3.14数字证书 DigitalCertificate数字证书为实现双方安全通信提供了电子身份认证。
在利用互联网、政务外网或局域网时,使用数字证书实现身份识别和电子信息加密。
数字证书中含有密钥对(公钥和私钥)所有者的识别信息,通过验证识别信息的真伪实现对证书持有者身份的认证,数字证书包含公开密钥拥有者的信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。
4 政务云安全合规解读在第八届全国网络安全等级保护测评体系建设会议上提出:推动以“等保+专项安全扩展”的安全新模式,随着《网络安全法》的出台,关键信息基础设施保护、网络安全审查、密评、互联网新技术新业务评估、数据出境安全评估、个人信息安全规范、大数据安全、云计算安全和工业控制系统安全和物联网安全等等相关配套性的评测、保护标准陆续推出。
网络空间的安全治理将进一步走向细分,相关领域的专门性安全要求与细则被陆续制定和施行,形成更加庞大、完善的网络安全体系,势必对各个重点行业的信息系统提出更高的安全合规与风险管理要求。
本文在政务云安全领域已率先迈出了第一步,推出了政务云网络安全合规“1+2”三合一的模式,从而帮助相关方夯实安全基础、满足多方合规、获得整体安全、降低安全成本。
政务云网络安全合规应遵循多个标准制度规范,包括:等级保护系列标准、云计算服务网络安全审查系列标准、电子政务安全系列标准,还有目前制定中的关键信息基础设施保护、密评、个人信息保护、大数据安全等标准。
本文以网络安全法为指导,以国家网络安全等级保护相关要求为基础,整合等级保护、云计算服务网络安全审查、政务行业网络安全一般性要求三个方面的内容,从而形成一体的政务云网络安全合规体系。
后续将根据关键信息基础设施保护、密评、个人信息保护、大数据安全等相关标准的进展,进一步完善。
本文参考标准及其关系框架如下图所示。
图1 政务云网络安全合规标准框架4.1 网络安全法《中华人民共和国网络安全法》(以下简称《网络安全法》)由全国人民代表大会常务委员会于2016年11月7日发布,自2017年6月1日起施行。
《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。
《网络安全法》将近年来一些成熟的好做法制度化,并为将来可能的制度创新做了原则性规定,为网络安全工作提供切实法律保障。
《网络安全法》总体架构可以概括为三大战略、四大原则和八项制度设计,提出网络安全、人才培养和可信身份三大战略,将习总书记强调的和平、安全、开放、合作原则以立法形式确定下来,八项制度贯穿了网络运行安全、产品和服务安全、数据安全的全过程规定了网络安全等级保护制度、关键信息基础设施(CII)保护制度、网络产品和服务的审查制度、数据跨境传输制度、个人信息保护制度、安全认证和检测制度、信息通报制度、网络安全事件应急处置制度。
根据《网络安全法》的要求,政务云的安全建设需要重点关注以下方面:a)政务云的安全建设应遵循国家网络安全等级保护制度。
b)政务云作为关键信息基础设施,其安全建设在网络安全等级保护建设的基础上,应实行重点防护。
c)政务云为政务部门提供服务,采购网络产品和服务,可能影响国家安全的,应当通过中央网信部门会同国务院有关部门组织的安全审查。
d)政务云中涉及大量公民个人信息,应建立健全信息管理制度与措施。
e)遵循网络用户实名制要求,应推进政务终端的证书强认证制度、措施及建设。
f)应建立网络安全监测预警和信息通报制度,深化政务云网络安全防护体系,实现全天候全方位感知网络安全态势。
4.2 网络安全等级保护随着我国信息技术的快速发展,特别是云计算、移动互联、物联网、大数据等新技术、新应用的出现给信息安全引入了新的安全威胁与风险。
为加强对采用云计算、移动互联、物联网、大数据等新技术的等级保护对象的安全保护,推动新技术、新应用安全满足等级保护合规要求,形成了等级保护系列扩展标准。
2018年6月27日,公安部正式发布《网络安全等级保护条例(征求意见稿)》(以下称“《等保条例》”),标志着《网络安全法》(以下称“《网安法》”)第二十一条所确立的网络安全等级保护制度有了具体的实施依据与有力抓手。
《等保条例》共八章七十三条,包括总则、支持与保障、网络的安全保护、涉密网络的安全保护、密码管理、监督管理、法律责任和附则。
相较于2007年实施的《信息安全等级保护管理办法》(以下称“《管理办法》”)所确立的等级保护1.0体系,《等保条例》在国家支持、定级备案、密码管理等多个方面进行了更新与完善,适应了现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求,标志着等级保护正式迈入2.0时代。
