![《信息安全技术 云计算服务安全能力要求-编制说明》_第1页](http://file4.renrendoc.com/view5/M01/21/38/wKhkGGZL-HKAb8ijAAMiCYritFQ511.jpg)
![《信息安全技术 云计算服务安全能力要求-编制说明》_第2页](http://file4.renrendoc.com/view5/M01/21/38/wKhkGGZL-HKAb8ijAAMiCYritFQ5112.jpg)
![《信息安全技术 云计算服务安全能力要求-编制说明》_第3页](http://file4.renrendoc.com/view5/M01/21/38/wKhkGGZL-HKAb8ijAAMiCYritFQ5113.jpg)
![《信息安全技术 云计算服务安全能力要求-编制说明》_第4页](http://file4.renrendoc.com/view5/M01/21/38/wKhkGGZL-HKAb8ijAAMiCYritFQ5114.jpg)
![《信息安全技术 云计算服务安全能力要求-编制说明》_第5页](http://file4.renrendoc.com/view5/M01/21/38/wKhkGGZL-HKAb8ijAAMiCYritFQ5115.jpg)
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
一、工作简况
1、任务来源
本标准和GB/T31167-2014《信息安全技术云计算服务安全指南》是我国
首批发布的云计算服务安全国家标准,有效地支撑了党政部门云计算服务安全审
查工作,从技术和管理两个方面分别阐述了云计算服务安全要求。随着云计算服
务审查工作的积累、云计算技术发展以及党政部门采购云计算服务形式的多样
化,逐步发现标准存在审查工作量大、周期长,责任划分难度增加、云服务安全
标准自身条款超前、部分条款不易理解、云持续监督工作需求紧迫等问题,为支
撑审查工作的开展,有效指导云服务商建设安全的云计算平台,迫切需要结合新
趋势、新问题对本标准进行修订,并做好与相关标准的衔接。
2019年7月,国家互联网信息办公室等发布《云计算服务安全评估办法》,
规定参照国家标准《云计算服务安全能力要求》、《云计算服务安全指南》,对面
向党政机关、关键信息基础设施提供云计算服务的云平台进行的安全评估。
根据全国信息安全标准化技术委员会2019年下达的国家标准制修订计划:
《信息安全技术关键信息基础设施安全防护能力评价方法》,该标准由交通运输
信息中心负责承办,由全国信息安全标准化技术委员会归口管理。
2、主要起草单位和工作组成员
本标准由中电数据服务有限公司牵头,四川大学、中国电子技术标准化研
究院、中国网络安全审查技术与认证中心、国家信息技术安全研究中心、中国信
息安全测评中心、中国信息通信研究院、北京信息安全测评中心、中国软件评测
中心、中电长城网际系统应用有限公司、国家工业信息安全中心、神州网信技术
有限公司、阿里云计算有限公司、宁夏西云数据科技有限公司、中国电信云股份
有限公司云计算分公司、华为技术有限公司、深信服科技股份有限公司、深圳腾
讯计算机系统有限公司、京东云计算(北京)有限公司、浙江蚂蚁金服小微金融
服务集团股份有限公司、武汉理工大学、上海市方达(北京)律师事务所等单位
共同参与起草。
3、主要工作过程
(1)2018年10月至12月,在全国信安标委2018年第二次会议周上做标
准修订报告,会后开展云计算标准、技术和产业以及党政部门云服务安全管理实
1
践调研
(2)2019年1月至2月,研究国内外云计算安全相关标准,为本标准的编
制奠定基础,包括:对比GB/T31168-2014与网络安全等级保护2.0;GB/T
31168-2014与FEDRAMP安全基线的对照表(NIST80053)分析比较;FEDRAMP
中、高级安全基线比较表高级要求新增条款;以及CSA云安全指南重点内容摘
要等。
(3)2019年2月至4月,成立编制组,召开项目申报启动会,讨论明确标
准修订思路;在编制组范围收集标准反馈意见,组织3次标准研讨会;形成标准
草案。
(4)2019年4月,在全国信安标委2019年第1次会议周上做立项汇报,
征集标准修订意见。
(5)2019年5月至6月,召开专家研讨会,请云服务安全审查和第三方机
构技术专家对标准草案提出意见,根据反馈意见修改完善标准草案。
(6)2019年7月至8月,征集参与过云服务安全审查工作的云服务商反馈
意见,包括阿里云、华为、电信、浪潮、曙光、腾讯、金山云、京东云、未来国
际、深信服等,根据反馈意见修改完善标准草案。
(7)2019年9月,通过立项审批,公开征集标准参编单位。
(9)2019年10月,召开正式立项后的标准项目启动会和专家评审会,根
据反馈意见修改完善标准草案,在全国信安标委2019年第2次会议周上做标准
修订工作汇报,经组内投票同意转征求意见稿。
(10)2019年11月,在北京组织编制组研讨会,修改完善标准内容;在成
都四川大学组织的云计算安全国家标准和相关问题研讨会上,就当前的一些关键
问题进行讨论并征求专家意见。
二、标准编制原则和确定主要内容的论据及解决的主要问题
1、标准编制原则
一是先进性原则。充分吸收已有云安全相关标准,本标准在修订过程中充
分参考了国际、国内有关云计算安全的先进标准和技术规范,对美国Fedramp
云安全基线要求、NIST800-53、ISO/IEC27017、CSA安全指南等相关标准的长
处进行了吸收,基本覆盖了上述标准的要求。
2
二是中立性原则。保持技术中立,在提出安全要求时,不限制具体的实现
方法,以便于为今后的技术发展留下空间。
三是合理性原则。结合我国云计算服务安全评估工作实践以及云计算技术
发展和服务部署的实际情况,提出适当的安全要求。
二、主要内容
本标准描述了以社会化方式为特定客户提供云计算服务时,云服务商应具
备的安全技术能力。
本标准适用于对政府部门使用的云计算服务进行安全管理,也可供其他关
键信息基础设施运营者使用云计算服务时参考,还适用于指导云服务商建设安全
的云计算平台和提供安全的云计算服务。
本标准对云服务商提出了基本安全能力要求,反映了云服务商在保障云计
算环境中客户信息和业务的安全时应具备的基本能力。这些安全要求分为11类,
每一类安全要求包含若干项具体要求。
11类安全要求分别是:
系统开发与供应链安全:云服务商应在开发云计算平台时对其提供充分
保护,对信息系统、组件和服务的开发商提出相应要求,为云计算平台配置足够
的资源,并充分考虑安全需求。云服务商应确保其下级供应商采取了必要的安全
措施。云服务商还应为客户提供有关安全措施的文档和信息,配合客户完成对信
息系统和业务的管理。
系统与通信保护:云服务商应在云计算平台的外部边界和内部关键边界
上监视、控制和保护网络通信,并采用结构化设计、软件开发技术和软件工程方
法有效保护云计算平台的安全性。
访问控制:云服务商应在允许人员、进程、设备访问云计算平台之前,
应对其进行身份标识及鉴别,并限制其可执行的操作和使用的功能。
数据保护:云服务商应严格保护云计算平台的客户数据,确保境内运营
中收集和产生的客户数据在境内存储,提供重要数据的备份与恢复功能,协助客
户完成数据迁移并在服务结束时安全返回数据。
配置管理:云服务商应对云计算平台进行配置管理,在系统生命周期内
建立和维护云计算平台(包括硬件、软件、文档等)的基线配置和详细清单,并
3
设置和实现云计算平台中各类产品的安全配置参数。
维护:云服务商应维护好云计算平台设施和软件系统,并对维护所使用
的工具、技术、机制以及维护人员进行有效的控制,且做好相关记录。
应急响应:云服务商应为云计算平台制定应急响应计划,并定期演练,
确保在紧急情况下重要信息资源的可用性。云服务商应建立事件处理计划,包括
对事件的预防、检测、分析和控制及系统恢复等,对事件进行跟踪、记录并向相
关人员报告。云服务商应具备容灾恢复能力,建立必要的备份与恢复设施和机制,
确保客户业务可持续。
审计:云服务商应根据安全需求和客户要求,制定可审计事件清单,明
确审计记录内容,实施审计并妥善保存审计记录,对审计记录进行定期分析和审
查,还应防范对审计记录的非授权访问、修改和删除行为。
风险评估与持续监控:云服务商应定期或在威胁环境发生变化时,对云
计算平台进行风险评估,确保云计算平台的安全风险处于可接受水平。云服务商
应制定监控目标清单,对目标进行持续安全监控,并在发生异常和非授权情况时
发出警报。
安全组织与人员:云服务商应确保能够接触客户信息或业务的各类人员
(包括供应商人员)上岗时具备履行其安全责任的素质和能力,还应在授予相关
人员访问权限之前对其进行审查并定期复查,在人员调动或离职时履行安全程
序,对于违反安全规定的人员进行处罚。
物理与环境保护:云服务商应确保机房位于中国境内,机房选址、设计、
供电、消防、温湿度控制等符合相关标准的要求。云服务商应对机房进行监控,
严格限制各类人员与运行中的云计算平台设备进行物理接触,确需接触的,需通
过云服务商的明确授权。
与GB/T31168—2014相比,主要变化如下:
——删除原4.7节本标准的结构。
——修改术语定义3.1-3.6,与GB/T32400《云计算术语》标准保持一致。
——删除原5.1、6.1、7.1、8.1、9.1、10.1、11.1、12.1、13.1和14.1策略与
规程,相关要求整合至14安全组织与人员14.1策略与规程中。
4
——精简标准条款,梳理减少原则性要求、重复性要求,其中有相关国家标
准要求的,如物理与环境要求引用。
——明确标准内容,减少赋值和选择操作,确需保留的,以举例或附录模板
等形式尽可能给出参考值。
——结合云计算平台的特点,修改6.1边界保护、6.11系统虚拟化等,细化
网络隔离等内容。
——增加6.14安全管理中心,针对云计算管理平台或系统的安全能力要求。
——补充PAAS/SAAS等模式的安全技术要求,包括:7.21Web访问安全、7.22
API访问安全
——增加第8章数据保护,做好与关键信息基础设施保护、个人信息和重要
数据保护相关标准的衔接,确保客户迁移数据过程中的业务连续性和数
据完整性。
——将第10章维护改为“维护管理”,侧重管理要求。
——增加第16章高级保护要求。根据GB/T31167,承载敏感信息的重要业
务和关键业务,应选择达到高级保护能力的云服务。高级保护要求主要
包括:1)结合云计算安全评估工作实践,将原增强要求中要求偏高的
内容调整到高级保护要求,如采用自动机制;2)采纳行业云中较高的
安全要求,如金融行业云对灾备的要求;3)参考关键信息基础设施保
护中适用于云计算平台的要求,如关键信息基础设施保护有关供应链保
护、日志留存期限的要求;4)其他云计算安全标准中较高的技术要求,
如等级保护四级新增的云计算服务扩展要求等。
——增加附录B不同云能力类型下的不适用项,说明“基础设施”、“平台”、
“应用程序”能力类型的适用项或不适用项列表。
三、主要试验[或验证]情况分析
无。
四、知识产权情况说明
本标准不涉及专利。
五、产业化情况、推广应用论证和预期达到的经济效果
5
无。
六、采用国际标准和国外先进标准情况
标准参考了国际和国外相关标准情况,根据我国国情制定。
七、与现行相关法律、法规、规章及相关标准的协调性
本标准符合《中华人民共和国网络安全法》等现有法律法规的要求。根据
《云计算服务安全评估办法》规定,与GB/T31167《信息安全技术云计算服
务安全指南》配合使用,为政府部门和关键信息基础设施的云计算服务安全评
估提供技术支撑。
八、重大分歧意见的处理经过和依据
编制过程中未出现重大分歧。其他详见意见汇总处理表。
九、标准性质的建议
根据本标准的性质,建议本标准为推荐性标准。
十、贯彻标准的要求和措施建议
建议云计算服务提供商、第三方评估机构、网络安全
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- Unit1-2(月考)-2023-2024学年译林版(三起)英语五年级下册
- 2024年企业主要负责管理人“新安全生产法”必知必会知识考试题库与答案
- 八年级上册道德与法治期末试卷3(开卷)
- 2024中考道德与法治易错易混知识清单
- 防水材料供应合同
- 2024年山东省菏泽市中考历史模拟适应性训练试卷含解析
- 户外广告牌安装协议
- 腹部引流管的护理
- 辅材产品购销合同
- 内蒙古自治区呼和浩特市青城高级中学2022年高三物理联考试卷含解析
- 人教版四年级下册数学期末测试卷含完整答案(名校卷)
- 2024年重庆市中考历史试卷真题A卷
- 2024年中考应急安全预案范文4篇
- 2024赛力斯企业研究报告(公司概况、核心业务、核心优势、驱动力等)-2024-06-新势力
- 吉林市2024届八年级语文第二学期期末检测试题含解析
- D -Z-T 0462.3-2023 矿产资源“三率”指标要求 第3部分:铁、锰、铬、钒、钛(正式版)
- 数智时代的商业变革智慧树知到期末考试答案章节答案2024年山东大学(威海)
- 2024安徽国风塑业股份限公司招聘15人高频考题难、易错点模拟试题(共500题)附带答案详解
- 2024-2030年中国产学研合作行业市场现状供需分析及重点企业投资评估规划分析研究报告
- 2024行政执法人员真题库附含答案
- 南京市江宁区六年级第二学期数学期中测试卷(含答案)
评论
0/150
提交评论