下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
一、工作简况
1.1任务来源
目前,云计算技术在国家关键信息基础设施领域的应用日益广泛。原有信
息安全等级保护标准体系中标准的适用性提出挑战,防护措施、实现方法和测评
方法都将有所不同。因此,根据云计算环境中的新增安全威胁和主要防范手段,
我们对《GB/T22239.1—XXXX信息安全技术网络安全等级保护基本要求第1
部分:安全通用要求》(以下简称“安全通用要求”)进行了扩展,形成了本部
分。
《信息安全技术网络安全等级保护基本要求第2部分:云计算安全扩展
要求》(计划编号:GB/T22239.2—XXXX)(以下简称“云计算安全扩展要求”)
由公安部信息安全等级保护评估中心牵头,国家信息中心、阿里云计算有限公司、
中科院信息工程研究所、杭州华三通信技术有限公司、华为技术有限公司、启明
星辰信息技术有限公司等单位共同参与起草。
1.2主要工作过程
1.2.1标准立项前工作概述
2014年1月至2014年4月,为完善云计算安全标准体系,支撑党政部门云
计算信息安全等级保护建设整改工作,牵头单位组成标准工作组,研究云计算环
境下的信息系统面临的安全威胁,通过整理、汇总、分析相关资料编制了项目申
请书、项目建议书并经过专家评审。
1.2.2标准立项后工作情况
1)标准立项
2014年10月,本部分获全国信息安全标准化技术委员会国标立项。
2)成立标准编制组,广泛调研
2014年6月至12月,标准编制组成立,广泛调研和研究国内外云计算安全
相关评估标准以及相关安全评估标准,为本部分的编制奠定基础。
期间,研究的云计算安全相关标准和安全评估相关标准包括:
(1)美国联邦系统安全控制的建议(NIST800-53);
(2)美国联邦系统安全控制措施评估指南(NISTSP800-53A);
(3)SP800-144Guidelinesonsecurityandprivacyinpubliccloudcomputing
1
(4)SP800-145TheNISTDefinitionofcloudcomputing
(5)SP800-125FullVirtualizationTechnologies
(6)FedRAMP_Baseline_Security_Controls_REV4;
(7)信息安全等级保护测评国家标准;
(8)《GB/T31168-2014信息安全技术云计算服务安全能力要求》
(9)《GB/T31167-2014信息安全技术云计算服务安全指南》
(10)《信息安全技术信息安全风险评估规范》、《信息技术安全技术信
息技术安全评估准则》等国家标准。
3)标准编制组形成标准草案
2015年7月,标准编制组形成标准草案,发标准编制组内部征求意见,标
准编制组在北京召开了标准草案第一次评审,讨论了标准编制的思路,以及本次
国家标准与其他标准之间的关系。评审会结束后,标准编制组根据专家意见,修
订了标准草案。
同年12月,标准编制组再次发起专家评审,对标准草案的内容进行了详细
的讨论,并认真听取了专家意见。
2016年1月到2016年5月,标准编制组多次召开工作会议,讨论标准草案
中相关问题。根据专家意见,对标准草案进行了修改。
4)标准在云等级保护测评中试用
2016年3月至2016年7月,评估中心分别对阿里云、迅达云成进行了云安
全等级保护测评,在测评过程中对标准草案进行了试用,并提出了修改意见,标
准编制组根据试用意见进行了修改完善。
5)2016年6月29日,召开专家评审会,会后形成征求意见稿
2016年6月29日,标准编制组在北京召开了标准评审会,编制组根据与会
专家的意见进一步完善了标准草案。
6)2016年8月25日,WG5召开标准推进会,会后形成征求意见稿
2016年8月25日,WG5在北京召开了标准推进会,编制组对前期意见汇
总处理情况做了介绍并听取与会专家意见,会后根据与会专家的意见进一步完善
了标准草案并形成征求意见稿。
7)2016年8月30日,召开标准格式和编写指导讲座,会后对标准格式和
2
规范用语进行了修订
2016年8月30日,公安部信息安全等级保护评估中心邀请公安部信息安全
标准委员会形式化审查专家,在标准合适、用语和形式规范等方面为编制组成员
做了讲解,会后编制组根据专家提的意见建议对标准文本做了修订。
二、编制原则和主要内容
2.1编制原则
一是充分吸收已有云安全相关标准。《云计算安全扩展要求》充分参考了国
际、国内有关云计算安全以及安全评估的先进标准和技术规范。目前,《云计算
安全扩展要求》已将美国FedrRAMP云安全测试用例、NIST800-53A、ISO/IEC
27017、SP800-144、SP800-145等级保护测评等相关标准的长处进行了吸收,借
鉴了国外标准中对云计算的定义和架构,虚拟化安全要求,公共云防护措施建议,
云计算环境中的风险管理、生命周期管理、审计和合规、安全运维建议。
二是从风险分析出发,根据风险提出防范要求,并在试点项目中求证。分
析云计算环境下的新增威胁、脆弱性和安全风险,根据新增的安全风险制定对应
措施形成云计算安全扩展要求,并在试点项目中获得了较高的评价。
2.2主要内容
本部分针对云计算信息系统的特点,规定了云计算信息系统安全等级保护
的安全要求,适用于不同等级云计算信息系统的安全保护。
本部分适合指导采用不同部署模式、交付模式下云计算信息系统的安全建
设、整改、测评等工作,在不同的部署模式、交付模式下,条款使用方法和判定
方法不一样。
《云计算安全扩展要求》根据云计算环境下的风险,增加了新的安全要求,
适用于云计算环境下的测评对象,本部分主要内容包括网络架构要求、访问控制
要求、远程访问要求、入侵防范、安全审计、数据完整性和数据保密性、数据备
份恢复、恶意代码防范、资源控制、镜像和快照保护等等内容。
三、主要试验(或验证)的分析、综述报告,技术经济论证,预期的经济效果
编制组已请评估中心分别对阿里云、迅达云成进行了云安全等级保护测评,
在测评过程中对标准草案进行了试用,并提出了修改意见,标准编制组根据试用
意见进行了修改完善,标准试用效果良好。
3
四、采用国际标准和国外先进标准的程度,以及与国际、国外同类标准水平的
对比情况,或与测试的国外样品、样机的有关数据对比情况
信息安全标准已经成为网络空间国际竞争的战略制高点。特别是,云计算
安全标准及其背后的管理政策将会对产业造成重大影响,也将限制国外大型云计
算服务提供商渗透到我国敏感部门和重要行业,这种情况下,公安部提出了加强
云计算等级保护标准制定的重要举措。开展对云服务方所提供的云平台安全能力
的评估及云平台上的应用系统防护水平的评估,是落实对云计算服务安全管理的
措施之一。因此,编制组在标准编制过程中,专门分析了美国FedRAMP对云服
务商的安全评估方法和NISTSP800系列标准,参考我国已有相关信息安全标准,
以及我国云计算服务安全管理的考虑,综合考虑制定了本部分。
五、与有关的现行法律、法规和强制性国家标准的关系
《云计算安全扩展要求》符合现有法律法规的要求。符合《全国人民代表
大会常务委员会关于加强网络信息保护的决定》、《国务院关于大力促进信息化发
展和切实保障信息安全的若干意见》、《信息安全技术公共及商用服务信息系统个
人信息保护指南》等国家政策、法规、标准的要求。
《云计算安全扩展要求》是《GB/T22239-XXXX信息安全技术网络安全
等级保护基本要求》的第二分册,《云计算安全扩展要求》以引用的方式涵盖了
《安全通用要求》的全部内容。
六、重大分歧意见的处理经过和依据
《云计算安全扩展要求》编制过程中未出现重大分歧。其他详见意见汇总
处理表。
七、国家标准作为强制性国家标准或推荐性国家标准的建议
建议《云计算安全扩展要求》作为推荐性国家标准发布实施。
八、贯彻国家标准的要求和措施建议(包括组织措施、技术措施、过渡办法等
内容)
《云计算安全扩展要求》规定了云计算信息系统安全等级保护的安全要求,
适用于不同等级云计算信息系统的安全保护,《云计算安全扩展要求》是《GB/T
22239-XXXX信息安全技术网络安全等级保护基本要求》的第二分册,《云计
算安全扩展要求》以引用的方式涵盖了《安全通用要求》的全部内容。因此,本
4
部分贯
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2022年上半年全国自考合同法模拟考题含解析
- 2022年秋10月《合同法》全国自考试题含解析
- 2022年10月自考法律专业本科合同法考题含解析
- 成品油公路运输合同修改稿
- 2024年05月贵州乌当区农业农村局公开招聘驻嘉旺屠宰场动物检疫协检人员笔试历年高频考点(难、易错点)附带答案详解
- 2024年05月珠海市海洋发展局2024年公开选调4名公务员笔试历年高频考点(难、易错点)附带答案详解
- 2024年05月湖北省宜昌市事业单位2024年进校园(华中农业大学站)引进287名人才笔试历年高频考点(难、易错点)附带答案详解
- 2024年05月浙江省天台县赤城街道2024年公开选聘1名工作人员笔试历年高频考点(难、易错点)附带答案详解
- 2024年05月广西百色水文中心2024年公开招考3名驻场工程师笔试历年高频考点(难、易错点)附带答案详解
- 2024年05月天津市北辰区教育系统招考聘用教师89人笔试历年高频考点(难、易错点)附带答案详解
- 外科常见应急预案及流程
- 治疗颈肩腰腿痛的中药配方及蜜丸的制作办法
- 风冷模块机组保养计划
- (完整版)初中作文稿纸模板(A4)
- 学校德育管理机构图
- 人畜共患寄生虫病的检疫ppt课件
- 逻辑无环流可逆直流调速系统课程设计
- 国际酒店项目申请报告(可研报告)
- 新生儿科质控标准 文档
- 在名师工作室启动仪式上的讲话
- 陈春花:管理的常识--简版.ppt
评论
0/150
提交评论