国家标准计划《网络安全技术 政务云安全配置基线要求》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 国家信息中心 、中国网络安全审查认证和市场监管大数据中心 、中国信息安全测评中心 、公安部第三研究所 、中国科学技术大学 、北京升鑫网络科技有限公司 、北京市政务信息安全保障中心 、北京天融信网络安全技术有限公司 。

标准研制目的： 本标准主要解决在政务云平台建设和使用过程中，安全管理成熟度较低、安全基线规范缺失等问题。

本标准将为政务云平台运营各方提供完整的安全基线，解决业界对政务云平台安全运营、监测和动态评估规范等方面无标可依的问题。

本标准将为政务云平台运营和使用方提供技术指导，为政务云平台日常安全运营提出关键技术定义与基线要求。

本标准也将为政务云平台监管方和第三方评估机构开展政务云平台安全评估提供依据。

标准研制与实施应用意义： 从政策角度看，《国务院关于加强数字政府建设的指导意见》将智能集约的平台支撑体系作为数字政府建设的重要组成部分，明确提出强化政务云平台支撑能力。

《全国一体化政务大数据体系建设指南》明确要求推进政务云资源统筹管理、高效提供、集约使用，并探索建立政务云资源统一调度机制。

政务云作为服务于各级政务部门的基础平台，其网络安全建设更是国家安全意志的体现。

从技术角度看，本标准加强政务云安全基线，是提升政务云整体安全保护水平的有效手段。

根据“木桶理论”，安全基线是安全木桶的最短板，满足安全基线就是在满足安全的最低要求。

政务云安全基线的制定，为大量未通过云安全评估的政务云，提供基本的安全合规参考，并可用于指导大量规模小散、安全保障能力不足的政务云建立基本安全保障措施，增强其网络安全风险抵御能力，从而大规模提升我国政务云基本安全保障水平，降低云上业务安全风险。

具体包括以下几点： （1）为政务云服务提供商和用户在云计算环境中的安全配置和管理提供了一套标准化的指导原则。

（2）通过制定基线标准，可以帮助识别和修复安全漏洞，减少由于配置错误或不当操作导致的安全风险。

（3）基线标准的实施有助于确保云服务的稳定性和可靠性，为业务连续性提供支持。

（4）有助于相关厂商开展产品和服务合规性工作。

（5）提高云服务提供商和用户对云安全重要性的认识。

本标准适用范围： 适用于政务云平台的应用方、运营方、服务提供方、第三方检测认证机构等，可用于指导政务云建立基本安全保障措施，也适用于主管监管机构对政务云平台的监督管理等。 本标准主要技术内容包括： 本标准以GB/T 31167-2014《信息安全技术 云计算服务安全指南》为依据,以GB/T 31168-2014《信息安全技术 云计算服务安全能力要求》为要求，针对政务云环境，从云管平台、虚拟机、容器、操作系统、第三方组件等方面给出了一般、增强和高级三个能力级别的安全配置基线，为提高政务云平台安全防护和管理能力提供支撑。 本标准已初步形成的草案主要包括以下内容： 第5章为通用要求，包括：用户标识与鉴别、鉴别凭证管理、鉴别凭证反馈、密码模块鉴别和账号管理等方面的配置要求。 第6章为云管平台安全配置要求，包括：传输的保密性和完整性保护、可信路径、系统虚拟化安全、网络虚拟化安全和存储虚拟化安全等方面的配置要求。 第7章为虚拟机安全配置要求，包括：恶意代码防护、移动代码防护和数据共享保护方面的配置要求。 第8章为操作系统安全配置要求，包括：应用管控、端口管控和入侵防范等方面的配置要求。 第9章为容器安全配置要求，包括：镜像安全、漏洞安全、运行管理和文件安全等方面的配置要求。 第10章为第三方组件安全配置要求，包括：插件管控、风险文件管理和登录安全等方面的配置要求。