7.3 云遷移實施

7.3.1　遷移準備

將政府網站遷移至公有云前，云服務客戶應協調各服務商做好相關準備，主要包括責任人和聯系人、工具、產品、服務及相關資源，云服務客戶的安全職責如下：

a) 通知相關業務部門遷移的時間計劃及對業務的影響；

b) 對政府網站進行敏感數據的加密存儲和數據的加密傳輸；

c) 對政府網站進行數據備份，包括數據庫、應用程序、重要配置以及操作系統等；

d) 對云服務商的安全防護措施進行調研，并結合現有安全防護措施，形成云上的防護措施；

e) 對云服務商提供的虛擬主機、應用等進行安全檢查，確保云服務資源的安全性；

f) 協同網站開發商做好政府網站軟件功能實現的安全需求調研及確認工作；

g) 委托安全服務商提供所需的安全能力組件（產品或服務）；

h) 要求云服務商為云服務客戶劃分獨立的安全域，并在網絡邊界處部署安全措施。

7.3.2　應用遷移

云服務客戶應牽頭負責政府網站的遷移工作，各個服務提供商配合并對遷移工作進行指導協助。云服務客戶安全職責如下：

a) 授權并配合系統集成商進行政府網站遷移實施的具體工作；

b) 授權并配合安全服務商在應用遷移過程中提供的安全保障服務；

c) 確保政府網站遷移完成后，網站能正常訪問；

d) 協同云服務商、安全服務商對發現的安全隱患進行整改，并對整改的結果進行復核確認；

e) 對政府網站遷移后的變更進行嚴格監督和審核，以確認變更操作不會影響或降低政府網站的安全性；

f) 對政府網站進行安全檢測，并根據檢測結果出具檢測報告。

7.3.3　應用切換

完成政府網站遷移后，云服務客戶需對應用進行切換，應制定切換方案明確切換順序，云服務商、云服務代理商應協助云服務客戶做好切換測試、數據同步等安全保障工作。

7.3.4　應用回退

云服務客戶應制定政府網站遷移失敗的回退方案。云服務客戶的安全職責如下：

a) 在云服務客戶的統一協調下，若發生政府網站遷移失敗事件，云服務商與系統集成商應協助云服務客戶將網站恢復至初始狀態；

b) 若無法回退至初始狀態，云服務客戶應要求云服務商與系統集成商應配合使用備份數據進行相應的恢復工作。

7.3.5　安全優化

政府網站在云計算環境部署完成后，需對網站進行進一步的優化，云服務客戶或委托具有相關能力的云服務代理商進行安全優化，云服務客戶的安全職責如下：

1) 在進行安全優化之前，云服務客戶應評估政府網站的安全狀況；

2) 在安全加固之前，云服務客戶應對政府網站進行安全測試；

3) 云服務客戶應對政府網站的數據進行備份，并具有故障情況下的數據恢復和應急處置措施；

4) 安全加固后，云服務客戶應對變更進行測試，確認其不會影響政府網站的功能及運行。

7.3.6　制度建設

根據政府網站遷移至云后服務商的變化，云服務客戶應對原有安全管理制度進行修訂，明確相關人員的職責和權限，明確在具體運維中各方的具體工作。

7.3.7　安全預案

云服務客戶應組織相關服務商共同制定安全預案，預案應按照：統一領導、規范管理、明確責任、分級負責、預防為主、加強監控幾個原則進行制定。云服務客戶的安全職責如下：

a) 保障措施

1) 應建立健全網絡與信息安全管理預案，加強對網站網絡信息的日常監測、監控，強化安全管理，對可能引發網絡與信息安全事件的有關信息，進行收集、分析判斷，發現有異常情況時，及時處理并逐級報告。

2) 應當備份網站文件和數據庫。備份采用完全備份策略與部分備份策略相結合。

3) 定期進行網站文件和數據庫備份恢復演練，確保備份數據的有效性。

4) 特殊時期應啟動網站信息安全24小時應急值班制度。一旦發生安全事件，立即啟動應急預案，并立即將情況報告有關領導。屬于重大事件或存在非法犯罪行為的，立即報告應急辦并向網信、電信、公安等部門舉報。

5) 應保持與相關服務商溝通渠道的暢通，確保在應急處理過程中遇到困難或問題時能及時獲得相關服務商的技術支援。

b) 應急措施

1) 網站出現非法信息或內容被篡改、系統軟件遭到破壞性攻擊，網站癱瘓，應立即向云服務商和上級領導報告，停止系統運行，啟用備份系統，情況嚴重的，立即報告應急辦并向網信、電信、公安等部門舉報。