貴州省政府網(wǎng)站集約化安全規(guī)范政府網(wǎng)站安全規(guī)范2019年xx月xx日發(fā)布2019年xx月xx日實(shí)施貴州省人民政府辦公廳發(fā)布范圍本文件規(guī)定了政府網(wǎng)站安全職責(zé)劃分及安全防護(hù)相關(guān)要求。本文件適用于政府網(wǎng)站安全設(shè)計(jì)、建設(shè)、防護(hù)、運(yùn)維管理。規(guī)范性引用文件下列文件對(duì)于指導(dǎo)本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件；凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。DB52/T貴州省政府網(wǎng)站安全規(guī)范GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》GB/T22240-2020《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》術(shù)語和定義3.1政府網(wǎng)站各級(jí)人民政府及其部門、派出機(jī)構(gòu)和承擔(dān)行政職能的事業(yè)單位在互聯(lián)網(wǎng)上開辦的，具備信息發(fā)布、解讀回應(yīng)、辦事服務(wù)、互動(dòng)交流等功能的網(wǎng)站。政府網(wǎng)站包括政府門戶網(wǎng)站和政府部門網(wǎng)站。3.2貴州省政府網(wǎng)站集約化平臺(tái)為政府網(wǎng)站集約化建設(shè)提供的統(tǒng)一政府網(wǎng)站技術(shù)平臺(tái)，包含支撐全省政府網(wǎng)站運(yùn)行的物理環(huán)境、網(wǎng)絡(luò)環(huán)境、服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)等。3.3統(tǒng)一信息資源庫對(duì)來自各級(jí)各部門政府網(wǎng)站的信息資源統(tǒng)一匯聚，實(shí)現(xiàn)統(tǒng)一分類、統(tǒng)一元數(shù)據(jù)、統(tǒng)一數(shù)據(jù)格式、統(tǒng)一管理、統(tǒng)一調(diào)用、統(tǒng)一監(jiān)管。3.4網(wǎng)站安全通過采取必要措施，防范對(duì)網(wǎng)站的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)站處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)站數(shù)據(jù)的完整性、保密性、可用性的能力。3.5網(wǎng)站數(shù)據(jù)通過網(wǎng)站收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。3.6個(gè)人信息以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。3.7移動(dòng)終端在移動(dòng)業(yè)務(wù)中使用的終端設(shè)備，包括智能手機(jī)、平板電腦、個(gè)人電腦等通用終端和專用終端設(shè)備。3.8網(wǎng)站標(biāo)識(shí)用于公眾識(shí)別網(wǎng)站身份和系統(tǒng)安全的電子圖形標(biāo)識(shí)。黨政機(jī)關(guān)網(wǎng)站標(biāo)識(shí)是指黨政機(jī)關(guān)向機(jī)構(gòu)編制部門提出申請(qǐng)，經(jīng)核準(zhǔn)后統(tǒng)一頒發(fā)、包含可公開的單位基本信息和網(wǎng)上名稱信息等內(nèi)容并顯示在網(wǎng)站顯著位置的電子標(biāo)識(shí)。3.9云上貴州系統(tǒng)平臺(tái)貴州省自主搭建的全國首個(gè)實(shí)現(xiàn)政府?dāng)?shù)據(jù)“統(tǒng)籌存儲(chǔ)、統(tǒng)籌共享、統(tǒng)籌標(biāo)準(zhǔn)和統(tǒng)籌安全”的關(guān)鍵信息基礎(chǔ)設(shè)施，是全省政府?dāng)?shù)據(jù)“集聚、融通、應(yīng)用”的重要支撐，為政府和企事業(yè)單位提供云計(jì)算、云儲(chǔ)存、數(shù)據(jù)庫、云安全及數(shù)據(jù)共享開放等服務(wù)，由云上貴州大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司（以下簡(jiǎn)稱“云上貴州公司”）運(yùn)營，云上貴州公司系云上貴州大數(shù)據(jù)（集團(tuán)）有限公司（以下簡(jiǎn)稱“云上貴州集團(tuán)公司”）的全資子公司。3.10集約化平臺(tái)運(yùn)營方云上貴州及相關(guān)服務(wù)廠商。安全防護(hù)概述4.1安全防護(hù)目標(biāo)4.1.1政府網(wǎng)站安全防護(hù)目標(biāo)政府網(wǎng)站系統(tǒng)的特殊屬性使其更容易遭到來自互聯(lián)網(wǎng)的攻擊。攻擊者為了破壞政府形象、干擾政府工作秩序或竊取政府門戶網(wǎng)站的敏感信息，采用Web應(yīng)用攻擊、拒絕服務(wù)攻擊、暴力破解攻擊、上傳惡意木馬等方式，實(shí)現(xiàn)篡改網(wǎng)頁、中斷服務(wù)、竊取信息、控制網(wǎng)站等攻擊目標(biāo)。政府網(wǎng)站的安全防護(hù)工作應(yīng)重點(diǎn)實(shí)現(xiàn)以下目標(biāo)：a）提升網(wǎng)頁防篡改及監(jiān)測(cè)、恢復(fù)能力，降低網(wǎng)頁被篡改的安全風(fēng)險(xiǎn)；b）提高入侵防范能力及系統(tǒng)可用性，降低網(wǎng)站服務(wù)中斷的安全風(fēng)險(xiǎn)；c）強(qiáng)化數(shù)據(jù)安全管控措施，降低網(wǎng)站敏感信息泄露的安全風(fēng)險(xiǎn)；d）構(gòu)建縱深防御體系，降低網(wǎng)站被惡意控制的安全風(fēng)險(xiǎn)。4.1.2集約化平臺(tái)安全防護(hù)目標(biāo)貴州省政府網(wǎng)站集約化平臺(tái)整體安全防護(hù)應(yīng)當(dāng)按照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)安全要求進(jìn)行，即：能夠在統(tǒng)一安全策略下防護(hù)免受來自外部有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)害、以及其他相當(dāng)危害程度的威脅所造成的主要資源損害；能夠及時(shí)發(fā)現(xiàn)、監(jiān)測(cè)攻擊行為和處置安全事件，在自身遭到損害后，能夠較快恢復(fù)絕大部分功能。4.2主要安全責(zé)任主體4.2.1主管單位責(zé)任省政府辦公廳是全省政府網(wǎng)站的主管單位，負(fù)責(zé)對(duì)全省政府網(wǎng)站進(jìn)行統(tǒng)籌規(guī)劃和監(jiān)督考核，做好安全管理、督查問責(zé)等管理工作；各級(jí)人民政府辦公廳（室）承擔(dān)本地區(qū)政府網(wǎng)站的相關(guān)安全管理職責(zé)；實(shí)行全系統(tǒng)垂直管理的部門開辦的政府網(wǎng)站由本系統(tǒng)國務(wù)院部門辦公廳（室）負(fù)責(zé)管理。4.2.2主辦單位責(zé)任各級(jí)人民政府辦公廳（室）是本級(jí)政府門戶網(wǎng)站的主辦單位，各級(jí)各部門是本部門政府網(wǎng)站的主辦單位，承擔(dān)網(wǎng)站的建設(shè)規(guī)劃、組織保障、健康發(fā)展、安全管理等職責(zé)。4.2.3支撐單位責(zé)任根據(jù)全省政務(wù)信息化建設(shè)統(tǒng)一規(guī)劃，支撐單位負(fù)責(zé)為全省政府網(wǎng)站及集約化平臺(tái)提供統(tǒng)一的云計(jì)算、云存儲(chǔ)、云管控、云安全、數(shù)據(jù)資源建設(shè)等服務(wù)，包含云上貴州系統(tǒng)平臺(tái)提供的云計(jì)算基礎(chǔ)設(shè)施及其服務(wù)軟件的集合。4.2.4服務(wù)運(yùn)維單位責(zé)任主辦單位可按政府采購相關(guān)要求，通過購買服務(wù)等方式委托相關(guān)單位具體承擔(dān)政府網(wǎng)站服務(wù)外包與運(yùn)維工作，服務(wù)內(nèi)容由雙方自行約定，但應(yīng)接受省內(nèi)相關(guān)規(guī)定的統(tǒng)一管理。安全職責(zé)分析5.1安全職責(zé)整體分析圖要改為架構(gòu)圖平臺(tái)、支撐、主管、主辦單位、圖要改為架構(gòu)圖平臺(tái)、支撐、主管、主辦單位、1+3（辦公廳、主辦、支撐單位）+n圖1集約化模式下政府網(wǎng)站安全界面詳細(xì)安全管理職責(zé)分工見5.2貴州省政府網(wǎng)站安全管理職責(zé)分工小節(jié)。5.2貴州省政府網(wǎng)站安全管理職責(zé)分工控制范圍決定安全責(zé)任邊界，本文件對(duì)省人民政府辦公廳、支撐單位、政府網(wǎng)站主辦單位間的安全職責(zé)分工如下所示，具體職責(zé)及要求，詳見各主體安全職責(zé)分工：表1貴州省政府網(wǎng)站安全管理職責(zé)分工貴州省政府網(wǎng)站安全管理職責(zé)分工內(nèi)容事項(xiàng)安全職責(zé)分工省人民政府辦公廳支撐單位政府網(wǎng)站主辦單位集約化平臺(tái)建設(shè)建設(shè)單位管理職能★☆承建單位實(shí)施職能☆★主辦單位問題上報(bào)與反饋☆☆★安全物理環(huán)境集約化平臺(tái)部署安全物理環(huán)境★主辦單位安全物理環(huán)境★安全通信網(wǎng)絡(luò)互聯(lián)網(wǎng)安全（溝通協(xié)調(diào)）★☆☆云上貴州平臺(tái)內(nèi)部通信★VPN★密碼技術(shù)加密（通用加密項(xiàng)）★本地端通信網(wǎng)絡(luò)（接入設(shè)備內(nèi)）★安全區(qū)域邊界集約化平臺(tái)安全區(qū)域邊界★本單位安全區(qū)域邊界★安全計(jì)算環(huán)境集約化平臺(tái)★個(gè)性化應(yīng)用★安全管理制度集約化平臺(tái)安全管理制度（建設(shè)單位）★☆全省政府網(wǎng)站安全管理規(guī)范★☆☆集約化平臺(tái)安全管理制度（承建單位）☆★本單位政府網(wǎng)站安全管理制度★網(wǎng)站服務(wù)運(yùn)維商安全管理制度★安全管理機(jī)構(gòu)集約化平臺(tái)安全管理機(jī)構(gòu)（建設(shè)單位）★☆全省政府網(wǎng)站安全管理領(lǐng)導(dǎo)機(jī)構(gòu)★集約化平臺(tái)安全管理機(jī)構(gòu)（承建單位）★本單位政府網(wǎng)站安全管理機(jī)構(gòu)★安全溝通協(xié)調(diào)加強(qiáng)與國家、省級(jí)各部門間溝通協(xié)調(diào)★加強(qiáng)全省主辦單位間溝通協(xié)調(diào)★☆加強(qiáng)集約化平臺(tái)各方間溝通協(xié)調(diào)★☆加強(qiáng)集約化平臺(tái)供應(yīng)鏈溝通協(xié)調(diào)★加強(qiáng)與網(wǎng)站服務(wù)運(yùn)維單位溝通協(xié)調(diào)★加強(qiáng)與本地安全機(jī)構(gòu)溝通協(xié)調(diào)★安全檢查組織全省政府網(wǎng)站安全檢查★☆組織集約化平臺(tái)安全檢查（建設(shè)單位）★☆實(shí)施集約化平臺(tái)安全檢查（承建單位）★實(shí)施政府網(wǎng)站安全檢查☆★安全管理人員設(shè)置集約化平臺(tái)安全管理人員（建設(shè)單位）★☆集約化平臺(tái)安全管理人員（承建單位）★主辦單位內(nèi)部安全管理人員（承建單位）★安全運(yùn)維管理集約化平臺(tái)安全運(yùn)維管理（建設(shè)單位）★☆集約化平臺(tái)安全運(yùn)維實(shí)施★政府網(wǎng)站安全運(yùn)維管理☆★域名安全管理域名管理協(xié)調(diào)（主管單位）★域名安全管理協(xié)調(diào)★集中域名解析商選擇與管理★☆域名集中解析安全管理（承建單位）★本單位域名管理★備注：1.上表中，對(duì)存在范圍交叉的管理職責(zé)，按照“特殊優(yōu)于一般”的解釋效力，根據(jù)相關(guān)部門對(duì)政府網(wǎng)站的相關(guān)管理規(guī)定執(zhí)行。2.上表中，對(duì)存在范圍交叉的集約化平臺(tái)建設(shè)安全職責(zé)、應(yīng)用系統(tǒng)安全職責(zé)，需要借助操作日志、審計(jì)系統(tǒng)及具體事故分析等進(jìn)行認(rèn)定。3.上表中★代表主要責(zé)任主體，☆代表次要責(zé)任主體。5.3其他安全界面分析對(duì)政府網(wǎng)站自行接入與建設(shè)的個(gè)性化應(yīng)用、網(wǎng)絡(luò)優(yōu)化等服務(wù)，政府網(wǎng)站主辦單位與網(wǎng)站服務(wù)運(yùn)維單位安全權(quán)責(zé)應(yīng)根據(jù)內(nèi)部管理機(jī)制、合同約定等自行劃分。省人民政府辦公廳安全管理職責(zé)6.1集約化平臺(tái)建設(shè)安全管理6.1.1產(chǎn)品與服務(wù)采購6.1.1.1云服務(wù)商采購a）根據(jù)全省政務(wù)信息化建設(shè)統(tǒng)一規(guī)劃，按程序選取云上貴州大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司作為云平臺(tái)服務(wù)商，督促并確保云上貴州系統(tǒng)平臺(tái)在集約化項(xiàng)目建設(shè)中滿足GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)關(guān)于安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心等要求；b）在云服務(wù)合同中規(guī)定云上貴州云服務(wù)的各項(xiàng)服務(wù)內(nèi)容和具體技術(shù)指標(biāo)；c）在云服務(wù)合同中規(guī)定云上貴州大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司的權(quán)限與責(zé)任，包括管理范圍、職責(zé)劃分、訪問授權(quán)、隱私保護(hù)、行為準(zhǔn)則、違約責(zé)任等；d）在云服務(wù)合同中規(guī)定服務(wù)合約到期時(shí)，完整提供集約化平臺(tái)、統(tǒng)一信息資源庫及政府網(wǎng)站的客戶數(shù)據(jù)，并承諾將相關(guān)數(shù)據(jù)在云上貴州系統(tǒng)平臺(tái)上清除；e）與云上貴州大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司簽署保密協(xié)議，不得泄露政府網(wǎng)站用戶數(shù)據(jù)。6.1.1.2集約化平臺(tái)服務(wù)商選擇a）根據(jù)全省“一云一網(wǎng)一平臺(tái)”統(tǒng)一規(guī)劃，按程序選取云上貴州大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司作為集約化平臺(tái)服務(wù)商，并保證選取過程符合國家的有關(guān)規(guī)定；b）與集約化平臺(tái)其他相關(guān)服務(wù)商簽訂相關(guān)協(xié)議，明確集約化平臺(tái)整個(gè)服務(wù)供應(yīng)鏈各方需履行的網(wǎng)絡(luò)安全相關(guān)義務(wù)；c）定期監(jiān)督、評(píng)審和審核各類服務(wù)供應(yīng)商提供的服務(wù)，并對(duì)其變更的服務(wù)內(nèi)容加以控制。加以什么控制？加以什么控制？6.1.1.3其他產(chǎn)品與服務(wù)采購確保省人民政府辦公廳自行組織的其他與集約化平臺(tái)相關(guān)產(chǎn)品與服務(wù)的采購、使用符合國家有關(guān)規(guī)定，并應(yīng)優(yōu)先采用國產(chǎn)安全自主可控的軟硬件產(chǎn)品。6.1.2集約化平臺(tái)方案設(shè)計(jì)組織相關(guān)部門和有關(guān)安全專家對(duì)集約化平臺(tái)整體安全規(guī)劃及其配套文件的合理性和正確性進(jìn)行論證和審定，經(jīng)過批準(zhǔn)后正式實(shí)施。6.1.3定級(jí)和備案a）以書面的形式說明集約化平臺(tái)的安全保護(hù)等級(jí)及確定方法和理由；b）組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)集約化平臺(tái)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定；c）保證集約化平臺(tái)定級(jí)結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)；d）將集約化平臺(tái)備案材料報(bào)主管部門和相應(yīng)公安機(jī)關(guān)備案。6.1.4集約化平臺(tái)建設(shè)實(shí)施a）省人民政府辦公廳指定或授權(quán)專門部門及人員負(fù)責(zé)集約化工程實(shí)施過程的管理；b）制定安全工程實(shí)施方案控制工程實(shí)施過程；c）通過第三方工程監(jiān)理控制項(xiàng)目的實(shí)施過程。6.1.5外包軟件開發(fā)a）保證集約化平臺(tái)開發(fā)單位提供軟件設(shè)計(jì)文檔和使用指南；b）保證集約化平臺(tái)開發(fā)單位提供軟件源代碼。6.1.6集約化平臺(tái)測(cè)試驗(yàn)收制訂測(cè)試驗(yàn)收方案，并依據(jù)測(cè)試驗(yàn)收方案實(shí)施測(cè)試驗(yàn)收，形成測(cè)試驗(yàn)收?qǐng)?bào)告。6.1.7系統(tǒng)交付a）制定或督促監(jiān)理單位制定交付清單，并根據(jù)交付清單清點(diǎn)交接的設(shè)備、軟件和文檔等；b）督促監(jiān)理單位要求集約化平臺(tái)相關(guān)服務(wù)商對(duì)負(fù)責(zé)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；c）制定或督促監(jiān)理單位要求集約化平臺(tái)服務(wù)商提供建設(shè)過程文檔和運(yùn)行維護(hù)文檔。6.1.8等級(jí)保護(hù)評(píng)測(cè)6.1.8.1集約化平臺(tái)等級(jí)保護(hù)評(píng)測(cè)a）定期組織對(duì)集約化平臺(tái)進(jìn)行等級(jí)測(cè)評(píng)，若發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的，督促相關(guān)服務(wù)商及時(shí)整改；b）在集約化平臺(tái)發(fā)生重大變更或級(jí)別發(fā)生變化時(shí)應(yīng)組織進(jìn)行等級(jí)測(cè)評(píng)；c）確保測(cè)評(píng)機(jī)構(gòu)的選擇符合國家有關(guān)規(guī)定。6.1.8.2協(xié)調(diào)政府網(wǎng)站等級(jí)保護(hù)評(píng)測(cè)根據(jù)全省政府網(wǎng)站各主辦單位等保評(píng)測(cè)需求，協(xié)調(diào)支撐單位提供集約化平臺(tái)已獲得的等級(jí)保護(hù)評(píng)測(cè)報(bào)告等證明材料并督促其履行相關(guān)配合服務(wù)。6.1.9主辦單位問題上報(bào)與反饋各主辦單位在政府網(wǎng)站日常運(yùn)維中，如發(fā)現(xiàn)遭受掛馬、黑鏈接或其他安全問題時(shí)，應(yīng)及時(shí)上報(bào)主管單位，主管單位上報(bào)至省人民政府辦公廳；省人民政府辦公廳受理問題后網(wǎng)站遭受掛馬黑鏈接怎么解決？應(yīng)及時(shí)響應(yīng)。網(wǎng)站遭受掛馬黑鏈接怎么解決？6.2安全管理制度6.2.1制定安全策略組織制定集約化平臺(tái)安全工作的總體方針和安全策略，闡明安全工作的總體目標(biāo)、范圍、原則和安全框架等。6.2.2制安全管理制度6.2.2.1集約化平臺(tái)安全管理a）根據(jù)網(wǎng)信部門相關(guān)規(guī)定，將集約化平臺(tái)列為關(guān)鍵信息基礎(chǔ)設(shè)施，建立各類安全管理制度，在嚴(yán)格執(zhí)行等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)；b）對(duì)集約化平臺(tái)管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；c）形成由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的安全管理制度體系。6.2.2.2政府網(wǎng)站安全管理a）定期組織全省主辦單位開展安全管理和技術(shù)防護(hù)措施檢查；b）組織全省政府網(wǎng)站人員開展安全培訓(xùn)、安全教育、技術(shù)培訓(xùn)和技能考核，提高安全意識(shí)和防范水平；c）密切關(guān)注網(wǎng)信、電信主管等部門發(fā)布的系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等預(yù)警和通報(bào)信息，并及時(shí)通報(bào)；d）對(duì)全省政府網(wǎng)站工作失職導(dǎo)致重大安全事故進(jìn)行責(zé)任追究。6.2.2.3安全管理制度制定、發(fā)布、評(píng)審、宣貫培訓(xùn)a）指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定；b）對(duì)安全管理制度應(yīng)通過正式、有效的方式發(fā)布，并進(jìn)行版本控制；c）定期對(duì)安全管理制度的合理性和適用性進(jìn)行論證和審定,對(duì)存在不足或需改進(jìn)的安全管理制度進(jìn)行修訂；d）對(duì)正式發(fā)布的安全管理制度體系，進(jìn)行宣貫培訓(xùn)。6.3安全管理機(jī)構(gòu)6.3.1機(jī)構(gòu)設(shè)置a）成立指導(dǎo)和管理集約化平臺(tái)與政府網(wǎng)站安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由省人民政府辦公廳分管領(lǐng)導(dǎo)及以上領(lǐng)導(dǎo)擔(dān)任或授權(quán)；b）明確集約化平臺(tái)與政府網(wǎng)站安全管理工作的職能部門，明確部門職責(zé)；c）設(shè)立系統(tǒng)管理員、審計(jì)管理員和安全管理員等崗位，并明確各個(gè)工作崗位的職責(zé)。6.3.2人員配備a）為集約化平臺(tái)配備一定數(shù)量的系統(tǒng)管理員、審計(jì)管理員和安全管理員等；b）配備專職安全管理員，不可兼任。備：后期如采用購買服務(wù)方式，集約化平臺(tái)資產(chǎn)移交支撐單位后，除保留一定數(shù)量的系統(tǒng)管理員外，本項(xiàng)職責(zé)隨之轉(zhuǎn)移。6.3.3授權(quán)和審批a）明確集約化平臺(tái)與政府網(wǎng)站相關(guān)各個(gè)部門、崗位所授權(quán)的審批事項(xiàng)、審批部門和批準(zhǔn)人等；b）針對(duì)集約化平臺(tái)系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項(xiàng)建立審批程序，按照審批程序執(zhí)行，對(duì)重要活動(dòng)建立逐級(jí)審批制度；c）定期審查集約化平臺(tái)與政府網(wǎng)站相關(guān)審批事項(xiàng)，及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息。6.4安全管理溝通和合作a）加強(qiáng)與國家域名注冊(cè)管理機(jī)構(gòu)、省委網(wǎng)信辦、省委編辦、省大數(shù)據(jù)局、省通管局、省公安廳的協(xié)同合作，做好重要信息通報(bào)共享；b）加強(qiáng)集約化平臺(tái)與政府網(wǎng)站相關(guān)各類管理人員、組織內(nèi)部機(jī)構(gòu)、各類供應(yīng)商和政府網(wǎng)站主辦單位之間的合作與溝通，定期召開協(xié)調(diào)會(huì)議，共同協(xié)作處理網(wǎng)絡(luò)安全問題；c）加強(qiáng)與業(yè)界專家及安全組織的合作與溝通；d）建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。6.5安全檢查a）定期組織支撐單位進(jìn)行常規(guī)安全檢查，檢查內(nèi)容包括集約化平臺(tái)運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；b）定期組織支撐單位進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；c）匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告,并對(duì)安全檢查結(jié)果進(jìn)行通報(bào)；d）定期組織全省政府網(wǎng)站開展安全管理和技術(shù)防護(hù)措施檢查。6.6安全管理人員6.6.1人員錄用a）指定省人民政府辦公廳內(nèi)部專門的部門或人員負(fù)責(zé)集約化平臺(tái)安全管理人員的錄用；b）對(duì)被省人民政府辦公廳內(nèi)部錄用人員的身份、安全背景、專業(yè)資格或資質(zhì)等進(jìn)行審查，對(duì)其所具有的技術(shù)技能進(jìn)行考核；c）與被省人民政府辦公廳內(nèi)部錄用人員簽署保密協(xié)議，并與關(guān)鍵崗位人員簽署崗位責(zé)任協(xié)議。6.6.2人員離崗a）及時(shí)終止離崗人員的集約化平臺(tái)及政府網(wǎng)站所有訪問權(quán)限，取回各種身份證件、鑰匙、徽章、機(jī)構(gòu)提供的硬件設(shè)備等；b）應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)，并簽訂保密義務(wù)后方可離開。6.6.3安全意識(shí)教育和培訓(xùn)a）對(duì)集約化平臺(tái)與政府網(wǎng)站相關(guān)各類人員進(jìn)行安全意識(shí)教育和崗位技能培訓(xùn)，并告知相關(guān)的安全責(zé)任和懲戒措施；b）針對(duì)集約化平臺(tái)與政府網(wǎng)站不同崗位制定不同的培訓(xùn)計(jì)劃，對(duì)安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)；c）定期對(duì)不同崗位的人員進(jìn)行技能考核。6.7安全運(yùn)維管理6.7.1運(yùn)維單位選擇根據(jù)全省“一云一網(wǎng)一平臺(tái)”建設(shè)模式，省人民政府辦公廳將按程序選取云上貴州大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司作為運(yùn)維單位，將由云上貴州公司按照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)中安全運(yùn)維管理相關(guān)要求完成如下安全運(yùn)維工作：a）環(huán)境管理b）介質(zhì)管理c）設(shè)備維護(hù)管理d）漏洞和風(fēng)險(xiǎn)管理e）網(wǎng)絡(luò)和系統(tǒng)安全管理f）惡意代碼防范管理g）配置管理h）密碼管理i）備份與恢復(fù)管理6.7.2資產(chǎn)管理a）編制并保存與集約化平臺(tái)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容；b）對(duì)集約化平臺(tái)、政府網(wǎng)站等信息分類與標(biāo)識(shí)方法作出規(guī)定，并對(duì)信息的使用、傳輸和存儲(chǔ)等進(jìn)行規(guī)范化管理。6.7.3變更管理a）明確集約化平臺(tái)變更需求，變更前根據(jù)變更需求制定變更方案，變更方案經(jīng)過評(píng)審、審批后方可實(shí)施；b）建立集約化平臺(tái)變更的申報(bào)和審批控制程序，依據(jù)程序控制所有的變更，記錄變更實(shí)施過程；c）建立中止變更并從失敗變更中恢復(fù)的程序，明確過程控制方法和人員職責(zé),必要時(shí)對(duì)恢復(fù)過程進(jìn)行演練。6.7.4安全事件處置a）及時(shí)向安全管理部門報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件；b）制定安全事件報(bào)告和處置管理制度,明確不同安全事件的報(bào)告、處置和響應(yīng)流程，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)等；c）在安全事件報(bào)告和響應(yīng)處理過程中,分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗(yàn)教訓(xùn)；d）對(duì)造成系統(tǒng)中斷和造成信息泄漏的重大安全事件應(yīng)采用不同的處理程序和報(bào)告程序。6.7.5應(yīng)急預(yù)案管理a）規(guī)定統(tǒng)一的應(yīng)急預(yù)案框架，包括啟動(dòng)預(yù)案的條件、應(yīng)急組織構(gòu)成、應(yīng)急資源保障、事后教育和培訓(xùn)等內(nèi)容；b）省人民政府辦公廳組織應(yīng)急預(yù)案手冊(cè)編制，制定集約化平臺(tái)重要事件的應(yīng)急預(yù)案，包括應(yīng)急處理流程、系統(tǒng)恢復(fù)流程等內(nèi)容，并向省公安廳備案；c）定期對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，并進(jìn)行應(yīng)急預(yù)案的演練，提高對(duì)網(wǎng)絡(luò)攻擊、病毒入侵、系統(tǒng)故障等風(fēng)險(xiǎn)的應(yīng)急處置能力；d）定期對(duì)原有的應(yīng)急預(yù)案重新評(píng)估，修訂完善。6.8其他安全職責(zé)6.8.1域名安全管理a）統(tǒng)籌協(xié)調(diào)全省政府網(wǎng)站域名管理和業(yè)務(wù)指導(dǎo)，統(tǒng)一審核把關(guān)域名的注冊(cè)、變更和注銷工作；b）組織開展全省政府網(wǎng)站域名集中解析工作，按規(guī)定選擇并委托具有應(yīng)急災(zāi)備、抗攻擊等能力的域名解析服務(wù)提供商進(jìn)行域名解析；c）加強(qiáng)合同簽訂與管理，督促并確保域名集中解析服務(wù)商嚴(yán)格履行安全責(zé)任和義務(wù)；d）接收并及時(shí)處理國家域名注冊(cè)管理機(jī)構(gòu)發(fā)送的政府網(wǎng)站域名監(jiān)測(cè)情況通報(bào)；e）組織集約化平臺(tái)各方及全省政府網(wǎng)站主辦單位定期開展政府網(wǎng)站域名服務(wù)應(yīng)急演練；f）加大對(duì)政府網(wǎng)站域名安全問題的統(tǒng)籌協(xié)調(diào)力度，對(duì)于發(fā)現(xiàn)域名的違法違規(guī)行為，及時(shí)通報(bào)并協(xié)調(diào)相關(guān)部門按職責(zé)分工依法打擊查處；g）將域名管理情況納入常態(tài)化抽查范圍，加大對(duì)不按流程注冊(cè)、注銷或擅自出租、出借、轉(zhuǎn)讓域名等違規(guī)情況的通報(bào)問責(zé)力度，造成嚴(yán)重后果的，對(duì)分管領(lǐng)導(dǎo)和有關(guān)責(zé)任人依法依規(guī)追究責(zé)任。6.8.2政府網(wǎng)站主辦單位管理職責(zé)省人民政府辦公廳作為政府網(wǎng)站主辦單位的，適用政府網(wǎng)站主辦單位安全管理職責(zé)。網(wǎng)站主辦單位安全管理職責(zé)7.1安全基礎(chǔ)設(shè)施a）負(fù)責(zé)本單位接入設(shè)備以內(nèi)的網(wǎng)絡(luò)、PC終端、移動(dòng)終端等安全；b）配合搭建安全計(jì)算環(huán)境，如接入終端、網(wǎng)站管理后臺(tái)等；c）建立內(nèi)部終端安全防范制度，網(wǎng)站負(fù)責(zé)人、素材提供人員所用電腦及移動(dòng)終端必須加強(qiáng)病毒、黑客安全防范、終端準(zhǔn)入控制等措施，必須有相應(yīng)的安全軟件實(shí)施保護(hù)，確保電腦內(nèi)的資料和賬號(hào)密碼的安全、可靠；d）定期查找本地端主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備及其他設(shè)備系統(tǒng)中存在的補(bǔ)丁漏洞和配置漏洞，進(jìn)行加固，以保障系統(tǒng)的安全性。7.2安全通信網(wǎng)絡(luò)a）遵從集約化平臺(tái)提供的密碼服務(wù)、VPN管理規(guī)定，按規(guī)定使用密碼服務(wù)、VPN等；b）有條件的主辦單位宜在本地端采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；c）全省政府網(wǎng)站建設(shè)需全面支持互聯(lián)網(wǎng)協(xié)議第六版（IPv6），政府網(wǎng)站運(yùn)行所需接入設(shè)備、移動(dòng)終端、固定終端、安全設(shè)備、內(nèi)部網(wǎng)絡(luò)、專線等應(yīng)逐步完成IPv6替換或改造。7.3網(wǎng)站安全管理a）各政府網(wǎng)站主辦單位負(fù)責(zé)本單位政府網(wǎng)站的建設(shè)、開辦、維護(hù)和日常管理工作，并接受省人民政府辦公廳的業(yè)務(wù)指導(dǎo)和監(jiān)督；b）主辦單位加強(qiáng)自身網(wǎng)站域名安全的日常監(jiān)測(cè)和定期檢查評(píng)估，發(fā)現(xiàn)政府網(wǎng)站存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，并及時(shí)向上級(jí)主管部門報(bào)告；c）建立安全監(jiān)測(cè)預(yù)警機(jī)制，實(shí)時(shí)監(jiān)測(cè)網(wǎng)站內(nèi)容、網(wǎng)站頁面、網(wǎng)站數(shù)據(jù)等運(yùn)行狀態(tài)以及網(wǎng)站掛馬、內(nèi)容篡改等攻擊情況，并及時(shí)將異常情況上報(bào)上級(jí)主管部門；d）加強(qiáng)日常巡檢和監(jiān)測(cè)，按要求定期對(duì)政府網(wǎng)站開展安全檢測(cè)評(píng)估，確保網(wǎng)站平臺(tái)安全、穩(wěn)定、高效運(yùn)行；e）在網(wǎng)信、公安等部門的指導(dǎo)下，加強(qiáng)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警技術(shù)能力建設(shè)，接受網(wǎng)絡(luò)安全主管部門的網(wǎng)絡(luò)安全監(jiān)管；f）組織評(píng)估檢測(cè)，可委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)本單位政府網(wǎng)站的安全性和可能存在的風(fēng)險(xiǎn)隱患每年至少進(jìn)行一次檢測(cè)評(píng)估，對(duì)發(fā)現(xiàn)的問題及時(shí)進(jìn)行整改。7.4安全數(shù)據(jù)管理7.4.1網(wǎng)站內(nèi)容安全管理a）建立內(nèi)容發(fā)布審批體系及保密審查制度，擬發(fā)布的網(wǎng)站信息應(yīng)按內(nèi)部審核程序確認(rèn)后發(fā)布，并對(duì)發(fā)布內(nèi)容登記建檔；指定人員負(fù)責(zé)對(duì)上傳至集約化平臺(tái)及實(shí)行服務(wù)外包的數(shù)據(jù)、業(yè)務(wù)進(jìn)行保密審查，確保涉及國家秘密、工作秘密的業(yè)務(wù)與數(shù)據(jù)，不上傳至集約化平臺(tái)，不實(shí)行服務(wù)外包；b）政府網(wǎng)站因信息公開、數(shù)據(jù)開放以及公示、公告等需要公布企業(yè)、個(gè)人數(shù)據(jù)的，應(yīng)當(dāng)采取脫密、脫敏等措施，防止泄露國家秘密、商業(yè)秘密和個(gè)人信息；c）政府網(wǎng)站主辦部門應(yīng)當(dāng)加強(qiáng)網(wǎng)站內(nèi)容管理，政府網(wǎng)站內(nèi)容素材提供業(yè)務(wù)部門應(yīng)建立保密審查機(jī)制，信息發(fā)布前依照程序進(jìn)行保密審查，明確需發(fā)布信息的公開屬性；并定期清理、審查網(wǎng)站內(nèi)容，發(fā)現(xiàn)其存儲(chǔ)、管理、發(fā)布的內(nèi)容含有違法內(nèi)容的，應(yīng)當(dāng)及時(shí)處理并采取補(bǔ)救措施，情節(jié)嚴(yán)重的應(yīng)當(dāng)向上級(jí)主管部門報(bào)告；d）主辦單位向集約化平臺(tái)報(bào)送賬戶時(shí)，應(yīng)分開提供內(nèi)容編制、審核發(fā)布人員，實(shí)現(xiàn)網(wǎng)站內(nèi)容編輯與審核發(fā)布權(quán)限分離。e）轉(zhuǎn)載其他網(wǎng)站信息時(shí)應(yīng)履行保密審查程序。7.4.2敏感信息安全保護(hù)a）基于政府網(wǎng)站采集數(shù)據(jù)應(yīng)當(dāng)具有合法目的和用途，遵循最小且必要和正當(dāng)原則，服務(wù)提供者應(yīng)當(dāng)向用戶明示并取得同意，不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息，對(duì)其收集的用戶信息嚴(yán)格保密，保證數(shù)據(jù)的真實(shí)性、完整性、保密性，并建立健全用戶信息保護(hù)制度；b）對(duì)包含敏感信息和公民隱私信息、直接影響本單位運(yùn)轉(zhuǎn)和公眾生活工作的關(guān)鍵業(yè)務(wù)，應(yīng)在確保安全情況下實(shí)施服務(wù)外包。7.5安全管理人員a）各政府網(wǎng)站主辦單位應(yīng)當(dāng)制訂詳細(xì)的工作人員管理制度，明確本單位政府網(wǎng)站安全責(zé)任人，明確人員的職責(zé)和權(quán)限，落實(shí)本單位政府網(wǎng)站安全保護(hù)責(zé)任；b）強(qiáng)化安全培訓(xùn)，定期對(duì)本單位網(wǎng)站服務(wù)單位相關(guān)人員進(jìn)行安全教育、技術(shù)培訓(xùn)和技能考核，提高安全意識(shí)和防范水平；c）本單位政府網(wǎng)站被列為關(guān)鍵信息基礎(chǔ)設(shè)施的，組織對(duì)關(guān)鍵崗位人員進(jìn)行安全背景審查；被列為等級(jí)保護(hù)三級(jí)系統(tǒng)的，需進(jìn)行“三員”審查；d）定期開展業(yè)務(wù)培訓(xùn)，提高人員素質(zhì)，重點(diǎn)加強(qiáng)負(fù)責(zé)系統(tǒng)操作和維護(hù)工作的人員的培訓(xùn)考核工作，實(shí)行考核上崗制度；e）規(guī)范人員調(diào)離制度，做好保密義務(wù)承諾、資料退還、系統(tǒng)口令更換等必要的安全保密工作；f）嚴(yán)格設(shè)定訪問和操作權(quán)限，實(shí)現(xiàn)系統(tǒng)管理、內(nèi)容編輯、內(nèi)容審核等用戶的權(quán)限分離，明確外包服務(wù)商的人員用戶權(quán)限；g）建立追責(zé)制度，對(duì)工作人員因工作失職導(dǎo)致安全事故的進(jìn)行責(zé)任追究；h）向集約化平臺(tái)報(bào)送用戶時(shí)，應(yīng)實(shí)現(xiàn)內(nèi)部后臺(tái)不同用戶角色統(tǒng)一，統(tǒng)一解釋的權(quán)限分離。角色統(tǒng)一，統(tǒng)一解釋7.6安全管理制度7.6.1安全管理制度a）嚴(yán)格貫徹落實(shí)國家、部門及省級(jí)各類政府網(wǎng)站安全管理規(guī)范；b）建立健全本單位內(nèi)部政府網(wǎng)站及新媒體安全管理制度，明確內(nèi)部安全管理職責(zé)；c）對(duì)政府網(wǎng)站工作人員、素材提供人員、運(yùn)維外包人員執(zhí)行的日常管理操作建立操作規(guī)程及記錄表單；d）建立政府網(wǎng)站內(nèi)部審批制度，明確主辦單位內(nèi)部相關(guān)部門和人員崗位職責(zé)，明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人。對(duì)政府網(wǎng)站重要操作、重要變更、重大事項(xiàng)等事項(xiàng)建立審批程序，按照審批程序執(zhí)行審批過程，對(duì)組織重要活動(dòng)、敏感信息發(fā)布等重要事項(xiàng)建立逐級(jí)審批制度，并每年審查審批事項(xiàng)，及時(shí)更新需授權(quán)的審批事項(xiàng)、審批部門和審批人等；e）定期開展安全管理和技術(shù)防護(hù)措施檢查；f）強(qiáng)化安全培訓(xùn)，加強(qiáng)對(duì)政府網(wǎng)站相關(guān)人員進(jìn)行安全教育、技術(shù)培訓(xùn)和技能考核，提高安全意識(shí)和防范水平；g）密切關(guān)注網(wǎng)信、電信主管等部門發(fā)布的系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等預(yù)警和通報(bào)信息，并及時(shí)響應(yīng)；h）明確各主辦單位內(nèi)部安全管理機(jī)構(gòu)，對(duì)因工作失職導(dǎo)致安全事故的進(jìn)行責(zé)任追究。7.6.2安全等級(jí)保護(hù)a）按照網(wǎng)絡(luò)安全法等法律法規(guī)和政策標(biāo)準(zhǔn)要求，貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，積極開展政府網(wǎng)站檢測(cè)評(píng)估和安全建設(shè)；b）依據(jù)GB/T22240-2020《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》自主確定本單位政府網(wǎng)站安全保護(hù)等級(jí)；c）選擇等保測(cè)評(píng)單位對(duì)本單位政府網(wǎng)站進(jìn)行評(píng)測(cè)，其中集約化平臺(tái)相關(guān)建設(shè)內(nèi)容已獲得的等級(jí)保護(hù)評(píng)測(cè)報(bào)告等證明材料由支撐單位配合提供；d）接入集約化平臺(tái)的個(gè)性化應(yīng)用、政務(wù)業(yè)務(wù)系統(tǒng)、新增功能模塊、外包開發(fā)功能等，應(yīng)按照對(duì)應(yīng)等級(jí)保護(hù)相關(guān)要求實(shí)施，接入前應(yīng)通過技術(shù)與安全測(cè)試，測(cè)試未通過的不得上線提供服務(wù)。7.7安全運(yùn)維管理a）建立健全安全事件報(bào)告及處理制度，發(fā)現(xiàn)政府網(wǎng)站存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，保存證據(jù)，并視安全突發(fā)事件的嚴(yán)重程度，及時(shí)向本級(jí)信息行業(yè)主管部門和省人民政府辦公廳報(bào)告；b）主辦單位應(yīng)充分估計(jì)各種突發(fā)事件的可能性，參考貴州省人民政府發(fā)布的《貴州省人民政府集約化門戶網(wǎng)站云平臺(tái)安全事件應(yīng)急預(yù)案》制定本單位政府網(wǎng)站應(yīng)急響應(yīng)方案，應(yīng)急預(yù)案應(yīng)與崗位責(zé)任制度相結(jié)合，保證應(yīng)急響應(yīng)方案的及時(shí)實(shí)施，并向本級(jí)政府網(wǎng)站主管單位和公安部門備案；c）定期組織開展應(yīng)急演練，提高對(duì)網(wǎng)絡(luò)攻擊、系統(tǒng)故障等風(fēng)險(xiǎn)的應(yīng)急處置能力；d）加強(qiáng)人工自檢方式，對(duì)網(wǎng)站內(nèi)容篡改情況進(jìn)行實(shí)時(shí)監(jiān)測(cè)和處置；e）鼓勵(lì)有條件的主辦單位自行采購木馬監(jiān)控系統(tǒng)、網(wǎng)頁防篡改系統(tǒng)或第三方安全服務(wù)等方式對(duì)網(wǎng)站掛馬情況、網(wǎng)站內(nèi)容篡改情況進(jìn)行實(shí)時(shí)監(jiān)測(cè)和處置。7.8服務(wù)外包安全管理a）確保外包運(yùn)維服務(wù)商的選擇符合國家的有關(guān)規(guī)定；b）與選定的外包運(yùn)維服務(wù)商簽訂相關(guān)的協(xié)議，明確約定外包運(yùn)維的范圍、工作內(nèi)容；c）主辦單位應(yīng)按合同管理等有關(guān)要求，參考等級(jí)保護(hù)規(guī)范、貴州省政府網(wǎng)站安全管理相關(guān)規(guī)范等，明確雙方安全和保密義務(wù)與責(zé)任，合同中應(yīng)要求服務(wù)商加強(qiáng)對(duì)員工的安全和保密教育，自覺維護(hù)政府網(wǎng)站運(yùn)行及內(nèi)容安全等；d）保證選擇的外包運(yùn)維服務(wù)商在技術(shù)和管理方面均應(yīng)具有按照等級(jí)保護(hù)要求開展安全運(yùn)維工作的能力，并將能力要求在簽訂的協(xié)議中明確；e）在與外包運(yùn)維服務(wù)商簽訂的協(xié)議中明確所有相關(guān)的安全要求。如可能涉及對(duì)敏感信息的訪問、處理、存儲(chǔ)要求，對(duì)IT基礎(chǔ)設(shè)施中斷服務(wù)的應(yīng)急保障要求等；f）對(duì)直接參與政府網(wǎng)站運(yùn)行管理的服務(wù)商人員應(yīng)簽訂安全保密協(xié)議，必要時(shí)可對(duì)關(guān)鍵崗位進(jìn)行安全背景審查；g）主辦單位在實(shí)行服務(wù)外包前，需開展網(wǎng)站負(fù)責(zé)人員與相關(guān)業(yè)務(wù)部門人員進(jìn)網(wǎng)絡(luò)安全和保密教育培訓(xùn)，明示使用服務(wù)外包的安全保密風(fēng)險(xiǎn)。7.9網(wǎng)站外包運(yùn)維服務(wù)商安全管理職責(zé)7.9.1外包運(yùn)維服務(wù)商合同管理a）外包運(yùn)維服務(wù)商安全管理職責(zé)主要由主辦單位與外包運(yùn)維服務(wù)商自行合同約定，外包運(yùn)維服務(wù)商應(yīng)與主辦單位簽訂正式合同，明確約定外包運(yùn)維的范圍、工作內(nèi)容，并在合同約定內(nèi)容內(nèi)從事相關(guān)工作；b）外包運(yùn)維服務(wù)商在技術(shù)和管理方面均應(yīng)具有按照主辦單位政府網(wǎng)站等級(jí)保護(hù)要求開展安全運(yùn)維工作的能力，并將能力要求在簽訂的協(xié)議中明確；c）外包運(yùn)維服務(wù)商簽訂的協(xié)議中明確所有相關(guān)的安全要求，如可能涉及對(duì)敏感信息的訪問、處理、存儲(chǔ)要求、應(yīng)急保障要求等；d）在服務(wù)合同中規(guī)定服務(wù)合約到期時(shí)，應(yīng)完整提供主辦單位所有相關(guān)網(wǎng)站數(shù)據(jù)，并承諾將相關(guān)數(shù)據(jù)在本單位存儲(chǔ)上清除；e)在服務(wù)合同簽訂時(shí)應(yīng)明確規(guī)定主辦單位具有該單位數(shù)據(jù)的所有權(quán)，包括增加、刪除、修改、查詢和提供完整數(shù)據(jù)備份的接口。7.9.2安全運(yùn)維管理基本要求a）應(yīng)遵守政府部門網(wǎng)絡(luò)安全政策規(guī)定、信息安全等級(jí)保護(hù)要求、技術(shù)標(biāo)準(zhǔn)，落實(shí)安全管理和防護(hù)措施，接受主辦單位和網(wǎng)絡(luò)安全主管部門的網(wǎng)絡(luò)安全監(jiān)管；b）建立終端安全防范制度，服務(wù)商內(nèi)部從事網(wǎng)站外包服務(wù)的運(yùn)維人員、技術(shù)開發(fā)人員、美工設(shè)計(jì)人員和信息采編人員所用電腦必須加強(qiáng)病毒、黑客安全防范措施，必須有相應(yīng)的安全軟件實(shí)施保護(hù)，確保電腦內(nèi)的資料和賬號(hào)密碼的安全、可靠，網(wǎng)站運(yùn)維終端應(yīng)專人專用，并對(duì)接入設(shè)備以內(nèi)的網(wǎng)絡(luò)、PC終端、移動(dòng)終端進(jìn)行登記備案；c）發(fā)現(xiàn)政府網(wǎng)站存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，并及時(shí)告知網(wǎng)站主辦單位；d）定期對(duì)政府網(wǎng)站網(wǎng)頁代碼進(jìn)行安全分析和測(cè)試，識(shí)別并及時(shí)處理可能存在的惡意代碼；e）應(yīng)加強(qiáng)人工自檢方式，對(duì)網(wǎng)站內(nèi)容篡改情況進(jìn)行實(shí)時(shí)監(jiān)測(cè)和處置；f）集約化平臺(tái)個(gè)性化應(yīng)用、融合服務(wù)平臺(tái)提供相關(guān)應(yīng)用開發(fā)，在正式上線前需進(jìn)行安全分析和測(cè)試，識(shí)別并及時(shí)處理可能存在的惡意代碼；g）應(yīng)保障主辦單位對(duì)網(wǎng)站資源的訪問、利用、支配，未經(jīng)主辦單位授權(quán)，不得訪問、修改、披露、利用、轉(zhuǎn)讓、銷毀主辦單位數(shù)據(jù)；h）加強(qiáng)對(duì)內(nèi)部員工的安全和保密教育，對(duì)網(wǎng)站操作人員、服務(wù)外包人員進(jìn)行安全規(guī)定培訓(xùn)，提高作業(yè)人員安全意識(shí)，自覺維護(hù)政府網(wǎng)站運(yùn)行及內(nèi)容安全；i）需落實(shí)國家安全防護(hù)要求，在發(fā)生網(wǎng)絡(luò)安全案件或重大事件時(shí)，及時(shí)向主辦單位報(bào)告，配合開展調(diào)查工作；j）當(dāng)發(fā)生重大信息安全事件時(shí)，注意保存證據(jù)，立即上報(bào)并參與事件調(diào)查處理；k）在合同或服務(wù)終止時(shí)，應(yīng)按要求做好數(shù)據(jù)、文檔等資源的移交和清除工作。7.9.3涉密信息與敏感信息管理a）運(yùn)維服務(wù)人員嚴(yán)格遵守國家機(jī)關(guān)保密管理工作相關(guān)法律法規(guī)，保守在工作中所涉及到的秘密；b）運(yùn)維服務(wù)人員不得將主辦單位的秘密信息泄漏、告知、公布、發(fā)布、出版、傳授、復(fù)制、轉(zhuǎn)讓給任何第三方或以其他任何方式予以披露；嚴(yán)禁將工作中的內(nèi)部會(huì)議、談話內(nèi)容泄露給無關(guān)人員；嚴(yán)禁將工作中涉及到的相關(guān)項(xiàng)目技術(shù)方案及實(shí)施規(guī)劃透露給無關(guān)人員；不得翻閱與工作無關(guān)的文件和資料，不得從事其它與合同無關(guān)的工作；c）運(yùn)維服務(wù)人員如需接觸主辦單位的涉密網(wǎng)絡(luò)或涉密設(shè)備，須事先申請(qǐng)，并遵守國家保密部門制定的相關(guān)使用規(guī)定。不得將從涉密網(wǎng)絡(luò)或涉密設(shè)備上獲得的信息透露給無關(guān)人員；嚴(yán)禁私自下載、拷貝涉密網(wǎng)絡(luò)和涉密設(shè)備上的秘密和敏感信息；不得擅自攜帶記載含有國家秘密或工作秘密信息的硬盤、軟盤和打印資料外出；嚴(yán)禁將工作中接觸到各種信息系統(tǒng)的程序、口令、密鑰等泄露給無關(guān)人員；d）運(yùn)維服務(wù)人員在網(wǎng)站服務(wù)過程中，須將主要工作人員身份證留底備查；e）運(yùn)維服務(wù)人員不得帶領(lǐng)無關(guān)人員進(jìn)入主辦單位的辦公場(chǎng)所。如要對(duì)政府網(wǎng)站進(jìn)行修改設(shè)置等操作時(shí)，需告知用戶方相關(guān)人員，并做好登記和工作記錄；f）運(yùn)維單位應(yīng)與本單位具體服務(wù)人員簽訂安全保密協(xié)議，安全保密協(xié)議內(nèi)容應(yīng)聽取網(wǎng)站主辦單位意見，并向網(wǎng)站主辦單位提供協(xié)議的副本等相關(guān)資料；g）如發(fā)生泄露國家秘密和工作秘密的事件時(shí)，運(yùn)維服務(wù)人員須立即向網(wǎng)站主辦單位報(bào)告，并積極協(xié)助網(wǎng)站主辦單位及有關(guān)保密部門進(jìn)行查處。7.9.4其他安全管理7.9.4.1假冒網(wǎng)站處置在日常運(yùn)維、網(wǎng)民舉報(bào)中發(fā)現(xiàn)假冒政府網(wǎng)站，及時(shí)上報(bào)政府網(wǎng)站主辦單位，政府網(wǎng)站主辦單位上報(bào)省人民政府辦公廳，由省人民政府辦公廳轉(zhuǎn)有關(guān)單位處置。7.9.4.2知識(shí)產(chǎn)權(quán)保護(hù)在運(yùn)維服務(wù)中使用正版軟件，在信息內(nèi)容發(fā)布過程中，避免知識(shí)產(chǎn)權(quán)糾紛。7.10其他安全管理7.10.1域名安全管理a）按照“誰開設(shè)、誰申請(qǐng)、誰使用、誰負(fù)責(zé)”的原則管理政府網(wǎng)站域名，按規(guī)定流程注冊(cè)、變更、注銷政府網(wǎng)站域名；b）不得將已注冊(cè)的政府網(wǎng)站域名擅自轉(zhuǎn)給其他單位或個(gè)人使用，閑置的域名要及時(shí)注銷；c）本單位域名相關(guān)信息變更的，按規(guī)定及時(shí)報(bào)備政府網(wǎng)站域名信息變更情況。7.10.2知識(shí)產(chǎn)權(quán)保護(hù)在本單位政府網(wǎng)站、個(gè)性化應(yīng)用中使用正版軟件，在信息內(nèi)容發(fā)布過程中，避免知識(shí)產(chǎn)權(quán)糾紛。支撐單位安全管理職責(zé)8.1安全物理環(huán)境參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.2安全通信網(wǎng)絡(luò)8.2.1網(wǎng)絡(luò)架構(gòu)a）動(dòng)態(tài)跟蹤集約化平臺(tái)及政府網(wǎng)站的性能需求，從網(wǎng)絡(luò)帶寬、負(fù)載均衡、服務(wù)器的處理能力、應(yīng)用程序的并發(fā)處理能力等方面對(duì)網(wǎng)站性能予以保障，保證承載集約化平臺(tái)的網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要；b）保證為集約化平臺(tái)提供的網(wǎng)絡(luò)各個(gè)部分的帶寬（內(nèi)部網(wǎng)絡(luò)帶寬、出口網(wǎng)絡(luò)帶寬）滿足業(yè)務(wù)高峰期需要；c）為集約化平臺(tái)劃分單獨(dú)的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則分配地址；d）避免將集約化平臺(tái)部署網(wǎng)絡(luò)區(qū)域部署在邊界處，集約化平臺(tái)部署網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段；e）如政府門戶網(wǎng)站系統(tǒng)訪問量較大或提供在線視頻等服務(wù)，可以依據(jù)網(wǎng)站的日均頁面訪問量（次）及業(yè)務(wù)高峰期（包括日高峰及高峰日）訪問量酌情調(diào)整出口帶寬；f）為集約化平臺(tái)提供云平臺(tái)基礎(chǔ)設(shè)施內(nèi)部通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計(jì)算設(shè)備的硬件冗余，關(guān)鍵設(shè)備包括但不限于出口路由器、核心交換機(jī)、應(yīng)用及數(shù)據(jù)庫服務(wù)器等，保證集約化平臺(tái)與統(tǒng)一信息資源庫的可用性；g）集約化平臺(tái)建設(shè)需全面支持互聯(lián)網(wǎng)協(xié)議第六版（IPv6），政府網(wǎng)站及基于政府網(wǎng)站提供服務(wù)的系統(tǒng)與產(chǎn)品應(yīng)全面支持IPv6訪問，集約化平臺(tái)建設(shè)功能模塊、發(fā)布軟件開發(fā)工具包(SDK)時(shí)應(yīng)支持IPv6技術(shù)。8.2.2通信傳輸a）采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性；b）采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性；c）至少部署2條由不同互聯(lián)網(wǎng)接入服務(wù)商提供的互聯(lián)網(wǎng)接入鏈路。8.2.3云服務(wù)要求a）為集約化平臺(tái)提供的云服務(wù)及云平臺(tái)的安全保護(hù)等級(jí)為三級(jí)及以上；b）實(shí)現(xiàn)集約化平臺(tái)以及其他業(yè)務(wù)系統(tǒng)的虛擬網(wǎng)絡(luò)之間的隔離；c）具有根據(jù)集約化平臺(tái)業(yè)務(wù)需求提供通信傳輸、邊界防護(hù)、入侵防范等安全機(jī)制的能力；d）具有根據(jù)集約化平臺(tái)業(yè)務(wù)需求自主設(shè)置安全策略的能力,包括定義訪問路徑、選擇安全組件、配置安全策略等；e）提供開放接口或開放性安全服務(wù)，允許集約化平臺(tái)接入第三方安全產(chǎn)品或支撐單位選擇第三方安全服務(wù)。8.3安全區(qū)域邊界8.3.1邊界防護(hù)a）保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信；b）能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到集約化平臺(tái)區(qū)域網(wǎng)絡(luò)的行為進(jìn)行檢查或限制；c）保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入集約化平臺(tái)區(qū)域網(wǎng)絡(luò)；d）采用在交換設(shè)備上劃分VLAN或部署安全域邊界防火墻等方式實(shí)現(xiàn)集約化平臺(tái)系統(tǒng)所在安全域與其他業(yè)務(wù)系統(tǒng)所在安全域之間的邏輯隔離。8.3.2訪問控制a）在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信；b）應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化；c）對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包進(jìn)出；d）能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力；e）對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制；f）應(yīng)通過對(duì)接“貴州省統(tǒng)一實(shí)名認(rèn)證系統(tǒng)”用戶單點(diǎn)登錄；g)應(yīng)建立網(wǎng)站應(yīng)用程序與其他業(yè)務(wù)系統(tǒng)交互的數(shù)據(jù)列表，規(guī)范交互數(shù)據(jù)的內(nèi)容及格式；h）宜采用身份鑒別、訪問控制、加密傳輸、加密存儲(chǔ)等安全措施確保業(yè)務(wù)數(shù)據(jù)交互過程的安全性。8.3.3入侵防范a）在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；b）在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；c）采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析；d）當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警；e）針對(duì)信息系統(tǒng)中的安全事件進(jìn)行實(shí)時(shí)監(jiān)控,監(jiān)測(cè)和阻斷端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等常見網(wǎng)絡(luò)攻擊行為，并監(jiān)測(cè)和阻斷目錄遍歷攻擊等Web服務(wù)器漏洞攻擊行為以及SQL注入、跨站腳本攻擊等網(wǎng)站自身漏洞攻擊行為。8.3.4惡意代碼和垃圾郵件防范參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.3.5安全審計(jì)a）在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)；b）針對(duì)政府網(wǎng)站前臺(tái)用戶的注冊(cè)、登錄、關(guān)鍵業(yè)務(wù)操作等行為日志進(jìn)行記錄，內(nèi)容包括但不限于用戶姓名、手機(jī)號(hào)碼、注冊(cè)時(shí)間、注冊(cè)地址、登錄時(shí)間、登錄地址、操作用戶信息、操作時(shí)間、操作內(nèi)容及操作結(jié)果等；c）針對(duì)政府網(wǎng)站后臺(tái)內(nèi)容管理用戶的登錄、網(wǎng)站內(nèi)容編輯、審核及發(fā)布等行為進(jìn)行日志記錄，內(nèi)容包括但不限于用戶登錄時(shí)間、登錄地址以及編輯、審核及發(fā)布等行為發(fā)生時(shí)的用戶信息、時(shí)間、地址、內(nèi)容和結(jié)果等；d）新增政府網(wǎng)站上線前，應(yīng)由專業(yè)機(jī)構(gòu)進(jìn)行代碼審計(jì)、漏洞掃描、滲透測(cè)試等安全測(cè)試工作。該項(xiàng)服務(wù)有限制，僅限深信服簽訂合同上的491家網(wǎng)站，其余資產(chǎn)等專項(xiàng)網(wǎng)站不在服務(wù)范圍內(nèi)。該項(xiàng)服務(wù)有限制，僅限深信服簽訂合同上的491家網(wǎng)站，其余資產(chǎn)等專項(xiàng)網(wǎng)站不在服務(wù)范圍內(nèi)。e）針對(duì)集約化平臺(tái)及政府網(wǎng)站系統(tǒng)管理用戶的登錄、賬號(hào)及權(quán)限管理等系統(tǒng)管理操作進(jìn)行日志記錄，內(nèi)容包括但不限于網(wǎng)站用戶登錄時(shí)間、登錄地址以及管理操作對(duì)象、操作內(nèi)容、操作結(jié)果等；f）審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；g）對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；h）能對(duì)遠(yuǎn)程訪問的用戶行為等單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析。8.3.6云服務(wù)要求8.3.6.1訪問控制a）在虛擬化部署訪問控制機(jī)制，并設(shè)置訪問控制機(jī)制；b）在不同等級(jí)的網(wǎng)絡(luò)區(qū)域邊界部署訪問控制機(jī)制,設(shè)置訪問控制規(guī)則。8.3.6.2入侵防范a）能夠檢測(cè)到外界對(duì)集約化平臺(tái)發(fā)起的網(wǎng)絡(luò)攻擊行為，并能記錄攻擊類型、攻擊時(shí)間、攻擊流量等；b）能夠檢測(cè)到對(duì)虛擬網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)攻擊行為，并能記錄攻擊類型、攻擊時(shí)間、攻擊流量等；c）能夠檢測(cè)到虛擬機(jī)與宿主機(jī)、虛擬機(jī)與虛擬機(jī)之間的異常流量；d）能夠?qū)z測(cè)到的網(wǎng)絡(luò)攻擊行為、異常流量情況時(shí)進(jìn)行告警。8.3.6.3安全審計(jì)對(duì)云上貴州系統(tǒng)平臺(tái)、集約化平臺(tái)管理用戶在遠(yuǎn)程管理時(shí)執(zhí)行的特權(quán)命令進(jìn)行審計(jì)，至少包括虛擬機(jī)刪除、虛擬機(jī)重啟。8.4安全計(jì)算環(huán)境8.4.1身份鑒別參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.4.2訪問控制參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.4.3安全審計(jì)參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.4.4入侵防范參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.4.5惡意代碼防范a）釆用免受惡意代碼攻擊的技術(shù)措施或主動(dòng)免疫可信驗(yàn)證機(jī)制，及時(shí)識(shí)別入侵和病毒行為并將其有效阻斷；b）對(duì)集約化平臺(tái)的應(yīng)用軟件代碼進(jìn)行安全分析和測(cè)試，識(shí)別并及時(shí)處理可能存在的惡意代碼；c）對(duì)個(gè)性化應(yīng)用、融合服務(wù)接入的代碼進(jìn)行安全分析和測(cè)試，識(shí)別并及時(shí)處理可能存在的惡意代碼。8.4.6數(shù)據(jù)完整性a）對(duì)重要數(shù)據(jù)、敏感數(shù)據(jù)進(jìn)行分類管理，提供加密存儲(chǔ)和傳輸?shù)哪芰?；b）應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等；c）應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等；d）部署相應(yīng)的網(wǎng)頁防篡改產(chǎn)品，對(duì)全省政府網(wǎng)站所有靜態(tài)頁面和動(dòng)態(tài)頁面進(jìn)行監(jiān)控和保護(hù)。8.4.7數(shù)據(jù)保密性參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.4.8數(shù)據(jù)備份恢復(fù)a）提供重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功能；b）提供異地備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)備份至備份場(chǎng)地；c）提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性；d）集約化平臺(tái)及統(tǒng)一信息資源庫的應(yīng)用程序、系統(tǒng)數(shù)據(jù)（用戶信息、發(fā)布信息等）、配置數(shù)據(jù)（網(wǎng)站應(yīng)用、操作系統(tǒng)、數(shù)據(jù)庫及網(wǎng)絡(luò)、安全設(shè)備的配置信息等）及審計(jì)日志等宜定期進(jìn)行備份，至少每周進(jìn)行一次完全備份、每3個(gè)月實(shí)施一次備份恢復(fù)演練；e）針對(duì)內(nèi)容發(fā)布、在線辦事等網(wǎng)站關(guān)鍵業(yè)務(wù)的重要數(shù)據(jù)、個(gè)人信息及隱私信息，采取異地?cái)?shù)據(jù)備份措施，將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地。8.4.9剩余信息保護(hù)參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.4.10個(gè)人信息保護(hù)參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.4.11云服務(wù)要求a）身份鑒別：當(dāng)遠(yuǎn)程管理云上貴州系統(tǒng)平臺(tái)設(shè)備時(shí)，管理終端和云上貴州系統(tǒng)平臺(tái)之間應(yīng)建立雙向身份驗(yàn)證機(jī)制；b）訪問控制：保證當(dāng)虛擬機(jī)遷移時(shí)，訪問控制策略隨其遷移；允許省人民政府辦公廳設(shè)置不同虛擬機(jī)之間的訪問控制策略；c）入侵防范：能檢測(cè)虛擬機(jī)之間的資源隔離失效，并進(jìn)行告警；應(yīng)能檢測(cè)非授權(quán)新建虛擬機(jī)或者重新啟用虛擬機(jī)，并進(jìn)行告警；能夠檢測(cè)惡意代碼感染及在虛擬機(jī)間蔓延的情況，并進(jìn)行告警；d）鏡像和快照保護(hù)：1）針對(duì)重要業(yè)務(wù)系統(tǒng)提供加固的操作系統(tǒng)鏡像或操作系統(tǒng)安全加固服務(wù)；2）提供虛擬機(jī)鏡像、快照完整性校驗(yàn)功能，防止虛擬機(jī)鏡像被惡意篡改；。e）數(shù)據(jù)完整性和保密性：1）確保省人民政府辦公廳數(shù)據(jù)、用戶個(gè)人信息等存儲(chǔ)于中國境內(nèi)，如需出境應(yīng)遵循國家相關(guān)規(guī)定；2）確保只有在省人民政府辦公廳授權(quán)下，支撐單位或第三方才具有省人民政府辦公廳數(shù)據(jù)的管理權(quán)限；3）使用校驗(yàn)碼或密碼技術(shù)確保虛擬機(jī)遷移過程中重要數(shù)據(jù)的完整性，并在檢測(cè)到完整性受到破壞時(shí)采取必要的恢復(fù)措施；4）支持省人民政府辦公廳部署密鑰管理解決方案，保證省人民政府辦公廳自行實(shí)現(xiàn)數(shù)據(jù)的加解密過程。f）數(shù)據(jù)備份恢復(fù)：1）省人民政府辦公廳應(yīng)在本地保存其業(yè)務(wù)數(shù)據(jù)的備份；2）提供查詢省人民政府辦公廳數(shù)據(jù)及備份存儲(chǔ)位置的能力；3）云服務(wù)商的云存儲(chǔ)服務(wù)應(yīng)保證省人民政府辦公廳數(shù)據(jù)存在若干個(gè)可用的副本，各副本之間的內(nèi)容應(yīng)保持一致；4）為省人民政府辦公廳將集約化平臺(tái)業(yè)務(wù)系統(tǒng)及數(shù)據(jù)遷移到其他云計(jì)算平臺(tái)和本地系統(tǒng)提供技術(shù)手段，并協(xié)助完成遷移過程。g）剩余信息保護(hù)：1）保證虛擬機(jī)所使用的內(nèi)存和存儲(chǔ)空間回收時(shí)得到完全清除；2）省人民政府辦公廳刪除政府網(wǎng)站業(yè)務(wù)應(yīng)用數(shù)據(jù)時(shí)，支撐單位應(yīng)將云存儲(chǔ)中所有副本刪除。8.4.12應(yīng)用安全a）設(shè)置嚴(yán)格的訪問控制策略，防止集約化平臺(tái)后臺(tái)管理系統(tǒng)暴露在互聯(lián)網(wǎng)中；b）部署必要的安全防護(hù)設(shè)備，應(yīng)對(duì)病毒感染、惡意攻擊、網(wǎng)頁篡改和漏洞利用等風(fēng)險(xiǎn)，對(duì)全省政府網(wǎng)站運(yùn)行情況進(jìn)行監(jiān)測(cè)；c）加強(qiáng)集約化平臺(tái)管理終端的安全管理，定期開展安全檢查，防止管理終端成為集約化平臺(tái)管理系統(tǒng)的風(fēng)險(xiǎn)入口；d）在集約化平臺(tái)中嚴(yán)格設(shè)定訪問和操作權(quán)限，實(shí)現(xiàn)系統(tǒng)管理、內(nèi)容編輯、內(nèi)容審核等用戶的權(quán)限分離；e）要對(duì)管理用戶的操作行為進(jìn)行記錄；f）不少于每季度1次對(duì)集約化平臺(tái)應(yīng)用程序、操作系統(tǒng)及數(shù)據(jù)庫、管理終端進(jìn)行全面掃描，發(fā)現(xiàn)潛在安全風(fēng)險(xiǎn)并及時(shí)處置；g）建立安全監(jiān)測(cè)預(yù)警機(jī)制，實(shí)時(shí)監(jiān)測(cè)集約化平臺(tái)的應(yīng)用系統(tǒng)、統(tǒng)一資源庫數(shù)據(jù)等運(yùn)行狀態(tài)，異常情況進(jìn)行報(bào)警和處置；h）對(duì)主辦單位用戶操作、管理用戶操作等建立運(yùn)行日志，留存運(yùn)行日志不少于六個(gè)月；i）嚴(yán)格管理集約化平臺(tái)及統(tǒng)一信息資源庫存儲(chǔ)的信息數(shù)據(jù)，通過磁盤陣列、網(wǎng)頁加速服務(wù)等方式定期、全面?zhèn)浞菥W(wǎng)站數(shù)據(jù)，提升容災(zāi)備份能力；j）集約化平臺(tái)提供技術(shù)手段輔助進(jìn)行網(wǎng)站發(fā)布內(nèi)容的過濾。8.5安全管理中心8.5.1系統(tǒng)管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.5.2審計(jì)管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.5.3安全管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.5.4集中管控參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.5.5云服務(wù)要求a）能夠?qū)ξ锢碣Y源和虛擬資源按照策略做統(tǒng)一管理調(diào)度與分配；b）保證支撐單位管理流量與集約化平臺(tái)業(yè)務(wù)流量分離；c）根據(jù)支撐單位和集約化平臺(tái)運(yùn)營方的職責(zé)劃分，收集各自控制部分的審計(jì)數(shù)據(jù)并實(shí)現(xiàn)各自的集中審計(jì)；d）根據(jù)支撐單位和集約化平臺(tái)運(yùn)營方的職責(zé)劃分，實(shí)現(xiàn)各自控制部分，包括虛擬化網(wǎng)絡(luò)、虛擬機(jī)、虛擬化安全設(shè)備等的運(yùn)行狀況的集中監(jiān)測(cè)。8.6安全管理制度參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.7安全管理機(jī)構(gòu)8.7.1崗位設(shè)置a）成立云上貴州系統(tǒng)平臺(tái)內(nèi)部指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)擔(dān)任或授權(quán)；b）設(shè)立網(wǎng)絡(luò)安全管理工作的職能部門，制定部門和部門領(lǐng)導(dǎo)職責(zé)；c）設(shè)立系統(tǒng)管理員、審計(jì)管理員和安全管理員等崗位，并定義部門及各個(gè)工作崗位的職責(zé)。8.7.2人員配備參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.7.3授權(quán)和審批參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.7.4溝通和合作參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.7.5審核和檢查參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.8安全管理人員參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.9集約化平臺(tái)安全建設(shè)管理8.9.1定級(jí)和備案協(xié)助省人民政府辦公廳分析集約化平臺(tái)的安全保護(hù)等級(jí)需求。8.9.2安全方案設(shè)計(jì)a）根據(jù)安全保護(hù)等級(jí)選擇基本安全措施，依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施；b）根據(jù)集約化平臺(tái)的安全保護(hù)等級(jí)進(jìn)行安全整體規(guī)劃和安全方案設(shè)計(jì),設(shè)計(jì)內(nèi)容應(yīng)包含密碼技術(shù)相關(guān)內(nèi)容，并形成配套文件；c）參與省人民政府辦公廳組織的安全方案論證和審定。8.9.3產(chǎn)品采購和使用a）為集約化平臺(tái)提供的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)通過網(wǎng)信部門組織的安全審查，為平臺(tái)提供的關(guān)鍵設(shè)備和安全專用產(chǎn)品需通過安全認(rèn)證和安全檢測(cè)；b）確保密碼產(chǎn)品與服務(wù)的采購和使用符合國家密碼管理主管部門的要求；c）確保政府網(wǎng)站及集約化平臺(tái)IPV6產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定。8.9.4自行軟件開發(fā)參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.9.5外包軟件開發(fā)參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.9.6工程實(shí)施a）指定或授權(quán)內(nèi)部專門的部門或人員負(fù)責(zé)集約化工程實(shí)施過程的管理；b）在集約化項(xiàng)目實(shí)施中，制定安全工程實(shí)施方案，控制工程實(shí)施過程；c）在集約化項(xiàng)目實(shí)施中，接受第三方工程監(jiān)理單位的監(jiān)督和管理。8.9.7測(cè)試驗(yàn)收參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.9.8系統(tǒng)交付a）根據(jù)合同要求完成交付物，并制定交付清單；b）對(duì)負(fù)責(zé)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；c）提供建設(shè)過程文檔和運(yùn)行維護(hù)文檔。8.9.9等級(jí)測(cè)評(píng)定期配合省人民政府辦公廳進(jìn)行等級(jí)測(cè)評(píng)，發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的，配合整改。8.9.10服務(wù)供應(yīng)商選擇a）確保云上貴州系統(tǒng)平臺(tái)供應(yīng)鏈服務(wù)商的選擇符合國家有關(guān)規(guī)定；b）根據(jù)省人民政府辦公廳授權(quán)，選擇集約化模式下政府網(wǎng)站運(yùn)行相關(guān)服務(wù)供應(yīng)商，確保服務(wù)供應(yīng)商的選擇符合國家的有關(guān)規(guī)定；c）與選定的服務(wù)供應(yīng)商簽訂相關(guān)協(xié)議，明確整個(gè)服務(wù)供應(yīng)鏈各方需履行的網(wǎng)絡(luò)安全相關(guān)義務(wù)；定期監(jiān)督、評(píng)審和審核服務(wù)供應(yīng)商提供的服務(wù)；d）將供應(yīng)鏈安全事件信息或安全威脅信息及時(shí)傳達(dá)到省人民政府辦公廳；e）將供應(yīng)商的重要變更及時(shí)傳達(dá)到省人民政府辦公廳，并評(píng)估變更帶來的安全風(fēng)險(xiǎn)，采取措施對(duì)風(fēng)險(xiǎn)進(jìn)行控制。8.10安全運(yùn)維管理8.10.1環(huán)境管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.10.2資產(chǎn)管理a）編制并保存與集約化平臺(tái)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容；b）根據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理，根據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)的管理措施；c）對(duì)信息分類與標(biāo)識(shí)方法作出規(guī)定，并對(duì)信息的使用、傳輸和存儲(chǔ)等進(jìn)行規(guī)范化管理；d）在云服務(wù)合同中規(guī)定服務(wù)合約到期時(shí)，完整提供政府網(wǎng)站集約化相關(guān)數(shù)據(jù)，并承諾相關(guān)數(shù)據(jù)在云計(jì)算平臺(tái)上清除。8.10.3介質(zhì)管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.10.4設(shè)備維護(hù)管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.10.5漏洞和風(fēng)險(xiǎn)管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.10.6網(wǎng)絡(luò)和系統(tǒng)安全管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.10.7惡意代碼防范管理a）提高所有用戶的防惡意代碼意識(shí)，對(duì)外來計(jì)算機(jī)或存儲(chǔ)設(shè)備接入系統(tǒng)前進(jìn)行惡意代碼檢查等；b）定期驗(yàn)證防范惡意代碼攻擊的技術(shù)措施的有效性；c）利用木馬監(jiān)控系統(tǒng)或第三方安全服務(wù)等方式對(duì)網(wǎng)站掛馬情況進(jìn)行實(shí)時(shí)監(jiān)測(cè)和處置；d）利用網(wǎng)頁防篡改系統(tǒng)或第三方安全服務(wù)等方式,對(duì)網(wǎng)站內(nèi)容篡改情況進(jìn)行實(shí)時(shí)監(jiān)測(cè)和處置。8.10.8配置管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.10.9密碼管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.10.10 變更管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.10.11備份與恢復(fù)管理參照GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)保護(hù)相關(guān)要求執(zhí)行。8.10.12安全事件處置a）建立安全監(jiān)測(cè)預(yù)警機(jī)制，實(shí)時(shí)監(jiān)測(cè)集約化平臺(tái)的硬件環(huán)境、軟件環(huán)境、支撐環(huán)境等運(yùn)行狀態(tài)以及網(wǎng)站掛馬、內(nèi)容篡改等攻擊情況，對(duì)異常情況進(jìn)行報(bào)警和處置；b）及時(shí)向省人民政府辦公廳與安全管理部門報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件；c）制定安全事件報(bào)告和處置管理制度,明確不同安全事件的報(bào)告、處置和響應(yīng)流程，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)等；d）在安全事件報(bào)告和響應(yīng)處理過程中,分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗(yàn)教訓(xùn)；e）