贵港市数字贵港建设（智慧城市建设）领导小组办公室关于印发壮美广西•贵港市政务云和贵港市电子政务外网合规性检查工作方案的通知

各县(市、区)人民政府，市直、中区直驻贵各有关单位:

根据《广西壮族自治区数字广西建设领导小组办公室关于印发壮美广西•政务云和广西电子政务外网合规性检查工作方案的通知》(桂数广办发〔2021〕22号)，为强化壮美广西•贵港市政务云和贵港市电子政务外网统筹建设力度，规范壮美广西•贵港市政务云和贵港市电子政务外网的建设运维管理，我办制定了《壮美广西•贵港市政务云和贵港市电子政务外网合规性检查工作方案》，现印发给你们，请认真贯彻执行。

贵港市数字贵港建设(智慧城市建设)领导小组办公室

2021年6月21日

(此件公开发布)

壮美广西·贵港市政务云和贵港市电子政务外网合规性检查工作方案

根据《广西壮族自治区数字广西建设领导小组办公室关于印发壮美广西·政务云和广西电子政务外网合规性检查工作方案的通知》(桂数广办发〔2021〕22号)，为强化壮美广西·贵港市政务云和贵港市电子政务外网统筹建设力度，规范壮美广西·贵港市政务云和贵港市电子政务外网的建设运维管理，制定本方案。

一、检查对象

市、县(市、区)、乡级部门及其二层机构(含隶属管理的企事业单位，下同)(见附件1)。

二、检查范围

(一)壮美广西·贵港市云、经认定予以暂时保留的非涉密数据中心(见附件2)。

(二)经认定予以融合互联或整合迁移的非涉密业务专网(见附件3)。

(三)县(市、区)级城域网，即电子政务外网网络节点。

(四)市直、中区直各单位局域网(不属于非涉密业务专网)。

(五)非涉密信息系统(见附件4)。

三、检查方式

壮美广西·贵港市政务云和贵港市电子政务外网合规性检查工作(以下简称云网合规性检查)主要采取查阅资料、现场演示、座谈会、现场核查等方式。

四、检查内容

(一)市本级。

重点检查经认定保留的市直、中区直有关单位及其二层机构的非涉密数据中心、非涉密业务专网、局域网建设运维情况、壮美广西·贵港市政务云，具体见《市本级云网合规性检查事项》(见附件5)。

(二)县市区。

重点检查经认定保留的非涉密数据中心、非涉密业务专网以及县级城域网建设运维情况，具体见《各县市区云网合规性检查事项》(见附件6)。

五、检查步骤

云网合规性检查工作从 2021 年 6月开始，到 2021 年 12 月结束，分为五个阶段实施。

(一)自查整改(2021 年 6 月—7 月)。

市直、中区直各部门各单位牵头，按照《市本级云网合规性检查事项》，组织本部门本单位及其二层机构对经认定保留非涉密数据中心、非涉密业务专网、局域网建设运维情况开展自查整改。经自查整改后，由主管部门统一汇总形成自查整改报告，应列出具体的问题清单及整改时间表，于 2021 年 7 月 20日前报送贵港市大数据发展和政务局。

各市、县(市、区)政务外网管理单位配合，按照《广西电子政务外网市、县级城域网建设和运维指南》(2021 修订版，另文下发)、《广西电子政务外网市、县级节点技术规范》(2021 修订版，另文下发)和《各县市区云网合规性检查事项》，组织本地区县、乡级部门及其二层机构对经认定保留的非涉密数据中心、政务外网节点、非涉密业务专网建设运维情况进行自查整改。经自查整改后，由县市区大数据主管部门汇总形成自查整改报告，应列出具体的问题清单及整改时间表，于 2021 年 7 月 20 日前报送贵港市大数据发展和政务局。

(二)现场核查(2021 年 7 月—9 月)。

贵港市大数据发展和政务局组织核查组对市本级云网建设运维情况进行合规性现场核查，出具云网合规性检查意见，列出具体的问题清单，明确整改措施和整改时间。

各县市区大数据主管部门组织核查组对各县、乡级云网建设运维情况进行合规性现场核查，出具云网合规性检查意见，列出具体的问题清单，明确整改措施和整改时间，于 2021 年 9 月 20 日前将现场核查报告报送贵港市大数据发展和政务局。

(三)核查整改(2021 年 7 月—12 月)。

经现场核查后，各检查对象按照云网合规性检查意见和具体的问题清单以及整改时间表，立行立改，确保整改到位。

(四)督导评估(2021 年 7 月—12 月)。

贵港市大数据发展和政务局组织核查组，通过人工复核、交叉互评、现场督导等方式抽查各市直、中区直单位及县市区云网合规性检查进展情况，及时发现问题，及时协调解决，及时督促指导。

2021 年 10 月—11 月，贵港市大数据发展和政务局组织核查组，对市本级和县市区云网合规性检查整改情况进行年度检查评估，及时通报问题。

(五)整改提升(持续推进)。

各检查对象要按照合规性检查通报，立行立改，确保云网高效安全运行。

六、组织保障

(一)加强组织领导。

各县市区大数据主管部门、市直各部门各单位牵头负责本地区本部门本单位及其二层机构、隶属管理的企事业单位云网合规性检查工作，加强统筹协调、督促检查，确保各项工作落实到位。

(二)加强队伍建设。

通过以干代训、实操培训等方式，强化壮美广西·贵港市政务云和贵港市电子政务外网建设管理工作队伍建设，重点抓好技术型人才的培养，逐步建立一支专业的云网建设运管技术团队。

(三)加强督导评估。

建立健全壮美广西·贵港市政务云和贵港市电子政务外网检查评估体系，开展常态化督导评估，以查促改、以查促进，促进壮美广西·贵港市政务云和贵港市电子政务外网建设运维管理水平及应用效能不断提升。

未尽事宜，请联系贵港市大数据发展和政务局技术与应用推广科，联系电话:4569762，邮箱:szjjsk@qq.com。

附件:1.市本级云网合规性检查事项

2.县市区云网合规性检查事项

附件 1

市本级云网合规性检查事项

一、局域网与非涉密业务专网

(一)市直、中区直各单位及其二层机构办公局域网原则上使用市级政务外网统一互联网出口，按照《广西壮族自治区数字广西建设领导小组办公室关于印发互联网出口线路技术认定标准的通知》(桂数广办发〔2021〕21 号)经现场认定，除了经暂时保留的互联网出口，其他互联网出口均予撤销(提供合同或者互联网出口撤销材料)。

(二)市直、中区直各单位及其二层机构应接入贵港市电子政务外网。已接入政务外网的单位应统一规范使用政务外网10段IP地址。

(三)对经认定融合互联的非涉密业务专网，是否 100%持续与电子政务外网保持互联互通。

(四)对经认定整合迁移的非涉密业务专网，2021 年租期结束后是否已完成撤销迁移。

二、云平台

(一)政务云计算基础设施应按网络安全等级保护国家标准中的第三级等级保护要求建设和保护或按其承载的信息系统的最高级别实施网络安全等级保护。

(二)政务云内所有业务、管理 IP 地址应使用广西电子政务外网统一规划和分配的地址段。

(三)所有对各类资源的操作必须通过云资源管理区，并对管理员操作进行审计，要求业务流量与管理流量分开。

(四)政务云内各政务部门应作为单独租户，各租户之间网络隔离，各租户之间需要数据交换通过云边界进行。

(五)政务云平台环境应具备基于行为的实时安全监控、策略控制、安全事件主动发现和预警、态势感知及安全事件及时处置的能力。

(六)对重点政务部门的信息系统和数据应能重点进行安全保障，实时监控异常情况并预警。

(七)政务云应具备分级管理和控制的能力，租户内部信息系统之间的访问控制及数据使用等管理权限应开放给政务部门，云服务提供方的运维团队应具备对资源使用情况实时监测、发现异常、预警和协助处置的能力。

(八)所有应用系统正式迁移或部署到政务云上前应进行测试、漏洞扫描，其应用系统源代码的定制化部分应向政务云建设管理运维单位备案。

(九)应提供异常流量清洗服务，具备防范来自互联网的

DDoS 攻击、webshell 攻击、木马病毒等各类恶意攻击。同时，外部和内部网络应提供冗余连接和带宽预留，进行流量控制和过滤。

(十)禁止云服务客户的远程管理能够访问到非其租户的 IP 地址。

(十一)应具备云灾备能力。

(十二)存储设备应具有高可靠性设计。

(十三)云控制器(如 SDN 控制器)应具备冗余能力，保证政务云中的管理系统提供持续使用的能力。

(十四)应为云服务客户提供配置安全和完成补丁修复的虚拟机模板，避免新的虚拟机被分配同样的弱口令。

(十五)云服务方应根据云服务客户需求，具备对租户内部虚拟机所承载的不同业务进行划子区域或安全组的能力，及时发现并阻断租户内部的恶意攻击。

(十六)所有的审计手段需要具备统一的时间戳，保持审计的时间标记一致。

(十七)确保日志存储中有足够的存储空间可保存半年以上，且必须定期归档并予以标记。

(十八)7×24 小时现场值守，具备云平台运维相关资格或具备同等专业技术能力人员不少于 10 人。

(十九)云主机应能实现故障热迁移的高可用性。

(二十)云平台应能实时监控各租户的云资源使用情况以及云平台的总体资源使用情况，包括云资源使用历史统计报表的输出。

(二十一)政务云公用网络区与互联网区之间须通过网闸、光闸系统等安全数据交换平台进行数据摆渡。

(二十二)政务云运维应建立云服务考核体系，对云服务商定期进行云平台运营、运维等方面的业务流程和技能考核。

(二十三)云管理部门应参考自治区政务云管理办法、出台本地政务云管理办法，并严格按照管理办法执行云资源的申请、审批、评估、开通、测试、终止的流程，对云资源使用情况进行分析，动态调整云资源。

三、非涉密信息系统

(一)非涉密信息系统完成迁移上云情况(提供非涉密信息系统迁移上云的 IP 地址)。

(二)非涉密信息系统的网络安全等级保护情况(提供非涉密信息系统备案或测评报告，第一、二级网络安全等级保护提供备案证明，第三、四、五级网络安全等级保护提供测评报告)。

附件 2

各县市区云网合规性检查事项

一、管理运维

(一)现行城域网建设方案经上级审核通过后应向自治区信息中心备案。

(二)应建设城域网网络运维管理系统并按照技术规范开放相关数据接口与自治区级网络运维管理系统对接。

(三)城域网运维管理单位应统筹经费建设城域网，负责各接入单位、乡镇(街道)的接入线路建设，并完全覆盖本级党委、人大常委会、政府、政协及其各部门，本人民团体，各级法院、检察院，各民主党派，税务、消防、武装部等单位。

(四)城域网应建设云网协同的统一运维值班室，设立 7×24 小时运维值班电话并告知城域网各接入单位，能实际处理接入单位的故障申报。

(五)城域网运维管理人员应具备的城域网运维需求的网络、安全、云计算认证等方面的厂家认证、取得计算机相关专业中级职称或具备同等能力，运维人员数量应能满足 7×24 小时值班需求，市级城域网除满足上述条件之外，还应保障持证或具备同等工作能力的运维人员不低于 10 人。城域网运维管理如通过服务外包的方式实现，运维管理单位应建立运维管理制度，绩效考核等制度对外包服务方的城域网资产管理能力、驻场人员数量、人员资质能力，服务响应速度等运维工作提出要求。

(六)县级城域网应提供城域网等级保护第二级以上的备案证明。

(七)城域网各接入单位、乡镇局域网应使用城域网分配的10 段地址，使用统一互联网出口。按照《广西壮族自治区数字广西建设领导小组办公室关于印发互联网出口线路技术认定标准的通知》(桂数广办发〔2021〕21 号)经现场认定，除了经暂时保留的互联网出口，其他互联网出口均予撤销(提供合同或者出口撤销材料)。

(八)城域网应按照技术规范使用 59 段地址，仅用于业务发布或城域网公共网络区统一地址转换，不做其他用途。

(九)对经认定融合互联的非涉密业务专网，是否 100%持续与电子政务外网保持互联互通。

(十)对经认定整合迁移的非涉密业务专网，2021 年租期结束后是否已完成撤销迁移。

二、城域网建设

(一)互联网区与公共网络区、专用网络区应使用 MPLS 技术隔离，区域之间路由不可达。

(二)城域网所有设备应支持 IPV6。

(三)城域网各接入单位、乡镇应按照技术规范使用基于硬管道的纯二层点对点线路接入城域网，线路带宽不低于 100Mbps。

(四)城域网核心设备、核心设备与广域网对接应实现设备、线路全冗余建设，10 段到 59 段地址转换在城域网内实现，单台设备或线路故障应支持自动切换。

(五)城域网核心到互联网出口设备线路应全冗余建设，使用不同运营商提供的互联网出口，县级出口上下行带宽均不低于1G。

(六)市级城域网应建设政务外网安全接入平台，平台应采用国密算法，支持使用政务外网 SM2 证书登陆、支持 IPsec VPN 和 SSL VPN、具备身份认证、权限管理、传输加密、IPv6 等功能，VPN 网关必须配合防火墙、防毒墙、入侵防御系统、审计系统等安全设备形成安全联动体系;(提供安全接入平台设计、实施方 案、现场设备照片等)，县级城域网如已建设安全接入平台应遵照上述标准实施升级改造。

(七)城域网应按照技术规范建设企业接入区。

(八)城域网与数据中心应使用基于硬管道的纯二层点对点线路对接，区分公共网络服务区，互联网服务区，线路设备全冗余建设，总线路带宽不低于 2G。

(九)城域网应按照技术规范建设运维管理区，各项网络设备的配置应通过城域网运维管理区实现，并对配置操作进行审计，运维管理区流量与其他网络流量逻辑隔离。

四、机房场地基础设施

(一)环境要求

1.广西电子政务外网机房(包括网络机房和数据中心)应为独立机房，如采用托管方式建设，则应采取有效的物理隔离措施将城域网设备区域与机房内其他用户区域分割。

2.主机房区域温度应为 20—27℃，湿度为 40—70%指标之间。

3.主机房与 UPS、电池房之间应使用物理隔断进行分区管理。

4.主机房及支持区内不应堆放杂物及易燃物品。

(二)供配电系统

1.供电电源:由两路不同变电站引入的市电电源供电或是一路市电电源+配备了能承载机房所有用电负载的柴油发电机组供电。

2.配备 UPS 不间断电源系统，UPS 容量应有冗余，能提供纯净且持续的供电，电池后备时间不应小于 1 小时，当机房供电配备柴油发电机组时，后备时间可根据机组启动时间相应增加或减少。

3.机柜内至少配备两路 PDU(电源分配单元)，电源应为UPS 输入，PDU 上不允许多级串接。

4.机房配备防雷防浪涌装置。

(三)制冷系统

1.机房末端空调应采用专用精密空调，具备恒温恒湿功能。

2.空调应设置主备机，制冷量有冗余。

(四)智能化系统

1.具备环境及设备监控系统，实时监测主机房和辅助区的温湿度以及机电设备的运行状态等。

2.具备安全防范系统，包括视频安防监控系统、门禁控制系统等。视频监控应无盲区，视频资料保存时长不小于 6 个月;门禁控制系统的出入记录应保存时长不小于 1 年。

(五)消防与安全

1.主机房及各分区内应设置自动气体灭火系统，灭火药剂应采用七氟丙烷 FM200 或者混合气体 IG541。

2.机房须配备适量手持式灭火器，用于快速扑灭初期火灾，可选用二氧化碳 CO2气体。

3.凡设置气体灭火系统的主机房，应配置专用空气呼吸器或氧气呼吸器。

4.机房门应采用防火材质门。

5.通道及走廊应畅通，并应有明显的疏散指示标志及应急照明灯。

(六)综合布线系统

1.机房内的所有电缆、光缆、配线设备等均应给定标签和布线图。

2.机房内的主干布线部分应具备冗余。

（贵港市数字贵港建设（智慧城市建设）领导小组办公室 ）