国家标准项目《网络安全技术 政务云安全配置基线要求》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 国家信息中心 、中国网络安全审查认证和市场监管大数据中心 、中国信息安全测评中心 、公安部第三研究所 、中国科学技术大学 、北京升鑫网络科技有限公司 、北京市政务信息安全保障中心 、北京天融信网络安全技术有限公司 。

本标准适用范围： 适用于政务云平台的应用方、运营方、服务提供方、第三方检测认证机构等，可用于指导政务云建立基本安全保障措施，也适用于主管监管机构对政务云平台的监督管理等。 本标准主要技术内容包括： 本标准以GB/T 31167-2014《信息安全技术 云计算服务安全指南》为依据,以GB/T 31168-2014《信息安全技术 云计算服务安全能力要求》为要求，针对政务云环境，从云管平台、虚拟机、容器、操作系统、第三方组件等方面给出了一般、增强和高级三个能力级别的安全配置基线，为提高政务云平台安全防护和管理能力提供支撑。 本标准已初步形成的草案主要包括以下内容： 第5章为通用要求，包括：用户标识与鉴别、鉴别凭证管理、鉴别凭证反馈、密码模块鉴别和账号管理等方面的配置要求。 第6章为云管平台安全配置要求，包括：传输的保密性和完整性保护、可信路径、系统虚拟化安全、网络虚拟化安全和存储虚拟化安全等方面的配置要求。 第7章为虚拟机安全配置要求，包括：恶意代码防护、移动代码防护和数据共享保护方面的配置要求。 第8章为操作系统安全配置要求，包括：应用管控、端口管控和入侵防范等方面的配置要求。 第9章为容器安全配置要求，包括：镜像安全、漏洞安全、运行管理和文件安全等方面的配置要求。 第10章为第三方组件安全配置要求，包括：插件管控、风险文件管理和登录安全等方面的配置要求。