《信息安全技术 信息系统安全等级保护基本要求 第2部分 云计算安全扩展要求-编制说明》

一、工作简况

1.1任务来源

目前，云计算技术在国家关键信息基础设施领域的应用日益广泛。原有信

息安全等级保护标准体系中标准的适用性提出挑战，防护措施、实现方法和测评

方法都将有所不同。因此，根据云计算环境中的新增安全威胁和主要防范手段，

我们对《GB/T22239.1—XXXX信息安全技术网络安全等级保护基本要求第1

部分：安全通用要求》（以下简称“安全通用要求”）进行了扩展，形成了本部

分。

《信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩展

要求》（计划编号：GB/T22239.2—XXXX）（以下简称“云计算安全扩展要求”）

由公安部信息安全等级保护评估中心牵头，国家信息中心、阿里云计算有限公司、

中科院信息工程研究所、杭州华三通信技术有限公司、华为技术有限公司、启明

星辰信息技术有限公司等单位共同参与起草。

1.2主要工作过程

1.2.1标准立项前工作概述

2014年1月至2014年4月，为完善云计算安全标准体系，支撑党政部门云

计算信息安全等级保护建设整改工作，牵头单位组成标准工作组，研究云计算环

境下的信息系统面临的安全威胁，通过整理、汇总、分析相关资料编制了项目申

请书、项目建议书并经过专家评审。

1.2.2标准立项后工作情况

1）标准立项

2014年10月，本部分获全国信息安全标准化技术委员会国标立项。

2）成立标准编制组，广泛调研

2014年6月至12月，标准编制组成立，广泛调研和研究国内外云计算安全

相关评估标准以及相关安全评估标准，为本部分的编制奠定基础。

期间，研究的云计算安全相关标准和安全评估相关标准包括：

（1）美国联邦系统安全控制的建议（NIST800-53）；

（2）美国联邦系统安全控制措施评估指南（NISTSP800-53A）；

（3）SP800-144Guidelinesonsecurityandprivacyinpubliccloudcomputing

1

（4）SP800-145TheNISTDefinitionofcloudcomputing

（5）SP800-125FullVirtualizationTechnologies

（6）FedRAMP_Baseline_Security_Controls_REV4；

（7）信息安全等级保护测评国家标准；

（8）《GB/T31168-2014信息安全技术云计算服务安全能力要求》

（9）《GB/T31167-2014信息安全技术云计算服务安全指南》

（10）《信息安全技术信息安全风险评估规范》、《信息技术安全技术信

息技术安全评估准则》等国家标准。

3）标准编制组形成标准草案

2015年7月，标准编制组形成标准草案，发标准编制组内部征求意见，标

准编制组在北京召开了标准草案第一次评审，讨论了标准编制的思路，以及本次

国家标准与其他标准之间的关系。评审会结束后，标准编制组根据专家意见，修

订了标准草案。

同年12月，标准编制组再次发起专家评审，对标准草案的内容进行了详细

的讨论，并认真听取了专家意见。

2016年1月到2016年5月，标准编制组多次召开工作会议，讨论标准草案

中相关问题。根据专家意见，对标准草案进行了修改。

4）标准在云等级保护测评中试用

2016年3月至2016年7月，评估中心分别对阿里云、迅达云成进行了云安

全等级保护测评，在测评过程中对标准草案进行了试用，并提出了修改意见，标

准编制组根据试用意见进行了修改完善。

5）2016年6月29日，召开专家评审会，会后形成征求意见稿

2016年6月29日，标准编制组在北京召开了标准评审会，编制组根据与会

专家的意见进一步完善了标准草案。

6）2016年8月25日，WG5召开标准推进会，会后形成征求意见稿

2016年8月25日，WG5在北京召开了标准推进会，编制组对前期意见汇

总处理情况做了介绍并听取与会专家意见，会后根据与会专家的意见进一步完善

了标准草案并形成征求意见稿。

7）2016年8月30日，召开标准格式和编写指导讲座，会后对标准格式和

2

规范用语进行了修订

2016年8月30日，公安部信息安全等级保护评估中心邀请公安部信息安全

标准委员会形式化审查专家，在标准合适、用语和形式规范等方面为编制组成员

做了讲解，会后编制组根据专家提的意见建议对标准文本做了修订。

二、编制原则和主要内容

2.1编制原则

一是充分吸收已有云安全相关标准。《云计算安全扩展要求》充分参考了国

际、国内有关云计算安全以及安全评估的先进标准和技术规范。目前，《云计算

安全扩展要求》已将美国FedrRAMP云安全测试用例、NIST800-53A、ISO/IEC

27017、SP800-144、SP800-145等级保护测评等相关标准的长处进行了吸收，借

鉴了国外标准中对云计算的定义和架构,虚拟化安全要求,公共云防护措施建议,

云计算环境中的风险管理、生命周期管理、审计和合规、安全运维建议。

二是从风险分析出发，根据风险提出防范要求，并在试点项目中求证。分

析云计算环境下的新增威胁、脆弱性和安全风险，根据新增的安全风险制定对应

措施形成云计算安全扩展要求，并在试点项目中获得了较高的评价。

2.2主要内容

本部分针对云计算信息系统的特点，规定了云计算信息系统安全等级保护

的安全要求，适用于不同等级云计算信息系统的安全保护。

本部分适合指导采用不同部署模式、交付模式下云计算信息系统的安全建

设、整改、测评等工作，在不同的部署模式、交付模式下，条款使用方法和判定

方法不一样。

《云计算安全扩展要求》根据云计算环境下的风险，增加了新的安全要求，

适用于云计算环境下的测评对象，本部分主要内容包括网络架构要求、访问控制

要求、远程访问要求、入侵防范、安全审计、数据完整性和数据保密性、数据备

份恢复、恶意代码防范、资源控制、镜像和快照保护等等内容。

三、主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果

编制组已请评估中心分别对阿里云、迅达云成进行了云安全等级保护测评，

在测评过程中对标准草案进行了试用，并提出了修改意见，标准编制组根据试用

意见进行了修改完善，标准试用效果良好。

3

四、采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的

对比情况，或与测试的国外样品、样机的有关数据对比情况

信息安全标准已经成为网络空间国际竞争的战略制高点。特别是，云计算

安全标准及其背后的管理政策将会对产业造成重大影响，也将限制国外大型云计

算服务提供商渗透到我国敏感部门和重要行业，这种情况下，公安部提出了加强

云计算等级保护标准制定的重要举措。开展对云服务方所提供的云平台安全能力

的评估及云平台上的应用系统防护水平的评估，是落实对云计算服务安全管理的

措施之一。因此，编制组在标准编制过程中，专门分析了美国FedRAMP对云服

务商的安全评估方法和NISTSP800系列标准，参考我国已有相关信息安全标准，

以及我国云计算服务安全管理的考虑，综合考虑制定了本部分。

五、与有关的现行法律、法规和强制性国家标准的关系

《云计算安全扩展要求》符合现有法律法规的要求。符合《全国人民代表

大会常务委员会关于加强网络信息保护的决定》、《国务院关于大力促进信息化发

展和切实保障信息安全的若干意见》、《信息安全技术公共及商用服务信息系统个

人信息保护指南》等国家政策、法规、标准的要求。

《云计算安全扩展要求》是《GB/T22239-XXXX信息安全技术网络安全

等级保护基本要求》的第二分册，《云计算安全扩展要求》以引用的方式涵盖了

《安全通用要求》的全部内容。

六、重大分歧意见的处理经过和依据

《云计算安全扩展要求》编制过程中未出现重大分歧。其他详见意见汇总

处理表。

七、国家标准作为强制性国家标准或推荐性国家标准的建议

建议《云计算安全扩展要求》作为推荐性国家标准发布实施。

八、贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等

内容）

《云计算安全扩展要求》规定了云计算信息系统安全等级保护的安全要求，

适用于不同等级云计算信息系统的安全保护，《云计算安全扩展要求》是《GB/T

22239-XXXX信息安全技术网络安全等级保护基本要求》的第二分册，《云计

算安全扩展要求》以引用的方式涵盖了《安全通用要求》的全部内容。因此，本

4

部分贯