6.3 需求分析

6.3.1　網站狀況梳理

在網站采用云計算服務之前，云服務客戶需要對網站現有系統進行梳理，確定遷移的系統邊界，形成網站現狀梳理報告，梳理內容包括：

a) 網站系統的網絡拓撲結構，網絡邊界，包含的網絡設備型號、配置、使用情況、運維情況等；

b) 網站包含的應用系統，以及各應用系統的計算資源、存儲資源、網絡情況、基礎軟件配置情況、應用系統部署架構、高峰時段資源使用情況、系統運維情況、技術支撐情況等；

c) 系統數據備份及災備系統情況，包括備份機制、備份策略等，進行數據備份恢復演練；

d) 有無特殊設備如加密卡、網閘、視頻卡等。

6.3.2　政府網站遷移至云決策

云服務客戶應參照國家有關信息安全的法律、法規和相關標準，根據安全風險分析情況與現狀梳理情況，做好政府網站遷移至云決策分析：

a) 云服務客戶應參照《信息安全技術 信息系統安全等級保護定級指南》等國家標準對政府網站及數據重要性進行分類定級，全面系統評估所采用云計算服務的安全風險，等級保護定級為四級及以上的政府網站禁止采用社會化云計算服務；

b) 對于包含大量敏感信息和公民隱私信息、直接影響黨政機關運轉和公眾生活工作的關鍵業務，或者云服務客戶核心業務，應在確保安全的前提下再考慮向云計算平臺遷移；

6.3.3　資源需求

云服務客戶應明確政府網站遷移至云的資源需求，包括計算資源、存儲資源、網絡資源等，合理申請網站系統資源。可針對政府網站業務臨時性、周期性特點，要求云服務商根據訪問需求動態分配資源并按照實際占用的資源支付使用費用。

6.3.4　安全要求

6.3.4.1　安全部署與隔離

云服務客戶應根據政府網站的信息安全等級保護定級情況確定相關技術和管理要求；做好外部和內部用戶訪問政府網站的訪問控制策略，網站系統設備之間的訪問策略，與政務外網和互聯網間的數據共享交換策略。應調查了解云服務商為滿足客戶網站系統合規及安全控制策略提供的基礎安全措施，包括自身物理、網絡、主機、應用、數據和虛擬化等方面的安全措施，做好安全部署規劃。

若云服務客戶采用社會化公有云計算服務，應要求云服務商做好系統邊界的隔離，包括與其他租戶業務系統、虛擬機、虛擬網絡、虛擬存儲之間的安全隔離。

根據網站現有安全防護措施和水平，結合云計算服務特點形成安全防護需求，遷移后的防護水平應不低于現有防護水平。

6.3.4.2　Web應用安全

遷移至公有云的政府網站應參照GB/T 31506-2015《信息安全技術 政府門戶網站系統安全技術指南》等標準規范中的相關內容來實施Web應用安全。

6.3.4.3　域名安全

政府網站的域名安全包括：

a) 應選擇主管部門批準的域名注冊服務機構進行域名注冊和域名托管，并進行域名信息報備；

b) 應遵循國家有關監督審批流程開展域名變更、解析地址變更等工作；

c) 應使用符合政府網站管理規定的域名；

d) 應加強域名相關信息的管理，防止域名被惡意篡改。

6.3.4.4　內容安全

云服務客戶應做好網站內容發布的審核和審批，確保發布的內容均屬于可對外公開信息。

6.3.4.5　需求報告

云服務客戶根據以上分析形成需求報告，需求報告應包括：

a) 政府網站的安全保護等級要求、網站系統特定的安全要求；

b) 需要采取或需要改造的安全技術措施需求；

c) 需要云服務商提供的技術接口支持等需求；

d) 對云服務代理商提供的服務及產品需求；

e) 需要采取的安全管理措施需求。

6.3.4.5　服務模式選擇

云計算有SaaS、PaaS和IaaS三種主要服務模式。

云服務客戶應參照GB/T 31167—2014《信息安全技術 云計算服務安全指南》相關要求，根據當地政策要求、不同服務模式的特點和自身網站系統的安全管理要求，結合自身技術能力、市場和技術成熟度等因素選擇服務模式。