信息安全技术-网络安全等级保护基本要求-第2部分：云计算安全扩展要求-标准说明

国家标准信息安全技术 网络安全等级保护基本要求 第2部分：云计算安全扩展要求编制说明一、工作概况1.1任务来源目前，云计算技术在国家重点信息基础设施领域的应用越来越广泛。该标准在原有信息安全等级保护标准体系中的适用性受到挑战，其保护措施、实施方法和评估方法也会有所不同。因此，根据云计算环境下新的安全威胁和主要防范措施，我们对GB/T 22239.1XXXX 信息安全技术 网络安全等级保护基本要求 第1部分：安全通用要求(以下简称“通用安全要求”)进行了扩展，形成了这一部分。信息安全技术 网络安全等级保护基本要求 第2部分：云计算安全扩展要求(平面图：GB/T 22239.2-XXXX)(以下简称“云计算安全扩展要求”)由公安部信息安全等级保护评估中心牵头，国家信息中心、阿里云计算有限公司、中国科学院信息工程研究所、杭州华三通信技术有限公司、华为技术有限公司、祁鸣陈星信息技术有限公司等单位参与。1.2主要工作流程1.2.1标准制定前的工作总结2014年1月至4月，为完善云计算安全标准体系，支持党政部门云计算信息安全等级保护建设整改工作，牵头单位成立标准工作组，研究云计算环境下信息系统面临的安全威胁。通过对相关数据的整理、汇总和分析，编制了项目申请表和项目建议书，并由专家进行评审。1.2.2标准的项目后工作1)标准项目建立2014年10月，我部获得国家信息安全标准化技术委员会国家标准项目。2)建立一个标准的准备小组进行广泛的研究。2014年6月至12月，成立了标准编制小组，对国内外云计算安全相关评估标准及相关安全评估标准进行了广泛的调研，为该部分的编制奠定了基础。在此期间，研究的云计算安全相关标准和安全评估相关标准包括：(1)美国联邦系统安全控制建议(NIST 800-53)；(2)美国联邦系统安全控制措施评估指南(NIST标准800-53A)；(3)标准普尔800-144公共云计算安全和隐私指南(4)SP800-145云计算的NIST定义(5)SP800-125全虚拟化技术(6)FeDramp _ Baseline _ Security _ Controls _ REV4；(七)评估信息安全保护水平的国家标准；(8) GB/T 31168-2014 信息安全技术 云计算服务安全能力要求(9) GB/T 31167-2014信息安全技术 云计算服务安全指南(10) 信息安全技术 信息安全风险评估规范、信息技术 安全技术 信息技术安全评估准则和其他国家标准。3)标准起草小组形成标准草案2015年7月，标准起草小组形成了一份标准草案，并将其发送给内部标准起草小组征求意见。标准起草小组在北京对标准草案进行了首次审查，讨论了标准起草的思路以及国家标准与其他标准的关系。评审会议结束后，标准起草小组根据专家意见对标准草案进行了修订。同年12月，标准起草小组启动了另一次专家评审，详细讨论了标准草案的内容，并认真听取了专家的意见。从2016年1月至2016年5月，标准编制小组召开了几次工作会议，讨论标准草案中的相关问题。根据专家意见，对标准草案进行了修订。4)云级保护评估的标准试验从2016年3月到2016年7月，评估中心分别对阿里云和迅达进行了云安全等级保护评估。在评估过程中，对标准草案进行了试用，并提出了修改建议。标准编制小组根据评估意见进行了修改和改进。5)2016年6月29日将召开专家评审会议，会后将形成征求意见稿。2016年6月29日，标准起草小组在北京召开标准审查会议。起草小组根据与会专家的意见进一步完善了标准草案。6)2016年8月25日，五常召开标准推广会，会后形成征求意见稿。2016年8月25日，WG5在北京召开标准推广会。筹备小组介绍了初步意见的总结，并听取了与会专家的意见。会后，标准草案被进一步讨论2016年8月30日，公安部信息安全等级保护评估中心邀请了公安部信息安全标准委员会的正式评审专家，以适当的标准、术语和正式规范向编写团队成员进行解释。会后，汇编组根据专家的意见和建议对标准文本进行了修订。二。编写原则和主要内容2.1编译原则一是充分吸收现有的云安全相关标准。云计算安全扩展要求充分参考了国际国内云计算安全和安全评估的先进标准和技术规范。目前，云计算安全扩展要求已经吸收了相关标准的优点，如FedrRAMP云安全测试案例、NIST 800-53A、国际标准化组织/国际电工委员会27017、标准800-144、标准800-145等级保护评估等。借鉴国外标准中云计算的定义和架构、虚拟化安全要求、公共云保护措施、风险管理、生命周期管理、审计与合规、云计算环境下的安全运维建议。二是从风险分析出发，根据风险提出防范要求，并在试点项目中进行验证。本文分析了云计算环境中的新威胁、漏洞和安全风险，根据新的安全风险制定了相应的措施，形成云计算安全扩展需求，并在试点项目中获得了较高的评价。2.2主要内容根据云计算信息系统的特点，本部分规定了云计算信息系统安全等级保护的安全要求，适用于不同等级的云计算信息系统的安全保护。本部分适用于指导不同部署模式和交付模式下云计算信息系统的安全建设、整改和评估。在不同的部署模式和交付模式下，术语的使用方法和确定方法是不同的。云计算安全扩展要求针对云计算环境中的风险，增加了新的安全要求，适用于云计算环境中的评估对象。该部分的主要内容包括网络架构要求、访问控制要求、远程访问要求、入侵防御、安全审计、数据完整性和数据机密性、数据备份恢复、恶意代码防范、资源控制、镜像和快照保护等。三、主要试验(或验证)分析、总结报告、技术经济论证、预期经济效果筹备小组已要求评估中心分别对阿里云和迅达运城的云安全等级保护进行评估。在评估过程中，对标准草案进行了试用，并提出了修改建议。标准编制小组根据试行建议对标准进行了修订和完善，试行效果良好。四、采用国际标准和国外先进标准的程度，以及与国际和国外同类标准的比较水平，或与国外样品和样机的试验相关数据的比较信息安全标准已经成为网络空间国际竞争的战略制高点。特别是，云计算安全标准及其背后的管理政策将对行业产生重大影响，也将限制大型外国云计算服务提供商进入中国的敏感部门和重要行业。在这种情况下，公安部提出了加强云计算等级保护标准制定的重要措施。对云服务提供商提供的云平台的安全能力进行评估，对云平台上应用系统的保护水平进行评估，是实施云计算服务安全管理的措施之一。因此，在标准的编写过程中，编写团队专门分析了美国联邦电信管理局针对云服务提供商的安全评估方法和NIST SP800系列标准，并参考中国现有的相关信息安全标准，结合中国云计算服务安全管理的考虑，制定了本部分。五、与相关现行法律、法规和强制性国家标准的关系云计算安全扩展要求全国人民代表大会常务委员会关于加强网络信息保护的决定规定了云计算信息系统安全等级保护的安全要求，适用于不同等级的云计算信息系统的安全保护。国务院关于大力促进信息化发展和切实保障信息安全