GB/T 34942-2025网络安全技术云计算服务安全能力评估方法

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T34942—2025

代替GB/T34942—2017

网络安全技术

云计算服务安全能力评估方法

Cybersecuritytechnology—

Theassessmentmethodforsecuritycapabilityofcloudcomputingservice

2025-08-01发布2026-02-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T34942—2025

目次

前言

…………………………Ⅶ

引言

…………………………Ⅷ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

概述

5………………………2

评估原则

5.1……………2

评估内容

5.2……………3

评估证据

5.3……………3

评估实施过程

5.4………………………3

综合评估

5.5……………5

系统开发与供应链安全评估方法

6………………………6

资源分配

6.1……………6

系统生命周期

6.2………………………6

采购过程

6.3……………7

系统文档

6.4……………9

关键性分析

6.5…………………………10

外部服务

6.6……………10

开发商安全体系架构

6.7………………12

开发过程标准和工具

6.8、……………13

开发过程配置管理

6.9…………………15

开发商安全测试和评估

6.10…………16

开发商提供的培训

6.11………………20

组件真实性

6.12………………………20

不被支持的系统组件

6.13……………21

供应链保护

6.14………………………22

系统与通信保护评估方法

7………………25

边界保护

7.1……………25

传输保密性和完整性保护

7.2…………28

网络中断

7.3……………29

可信路径

7.4……………30

密码使用和管理

7.5……………………31

Ⅰ

GB/T34942—2025

设备接入保护

7.6………………………31

移动代码

7.7……………33

会话认证

7.8……………34

恶意代码防护

7.9………………………35

内存防护

7.10…………………………37

系统虚拟化安全性

7.11………………37

网络虚拟化安全性

7.12………………40

存储虚拟化安全性

7.13………………41

安全管理功能的通信保护

7.14………………………43

访问控制评估方法

8………………………45

用户标识与鉴别

8.1……………………45

标识符管理

8.2…………………………46

鉴别凭证管理

8.3………………………47

鉴别凭证反馈

8.4………………………49

密码模块鉴别

8.5………………………49

账号管理

8.6……………50

访问控制的实施

8.7……………………51

信息流控制

8.8…………………………52

最小特权

8.9……………54

未成功的登录尝试

8.10………………55

系统使用通知

8.11……………………56

前次访问通知

8.12……………………56

并发会话控制

8.13……………………57

会话锁定

8.14…………………………57

未进行标识和鉴别情况下可采取的行动

8.15………58

安全属性

8.16…………………………58

远程访问

8.17…………………………59

无线访问

8.18…………………………60

外部信息系统的使用

8.19……………61

可供公众访问的内容

8.20……………63

全球广域网访问安全

8.21(Web)……………………63

访问安全

8.22API……………………64

数据保护评估方法

9………………………65

通用数据安全

9.1………………………65

媒体访问和使用

9.2……………………66

剩余信息保护

9.3………………………69

数据使用保护

9.4………………………70

Ⅱ

GB/T34942—2025

数据共享保护

9.5………………………70

数据迁移保护

9.6………………………71

配置管理评估方法

10……………………72

配置管理计划

10.1……………………72

基线配置

10.2…………………………73

变更控制

10.3…………………………75

配置参数的设置

10.4…………………78

最小功能原则

10.5……………………79

信息系统组件清单

10.6………………80

维护管理评估方法

11……………………82

受控维护

11.1…………………………82

维护工具

11.2…………………………84

远程维护

11.3…………………………85

维护人员

11.4…………………………86

及时维护

11.5…………………………88

缺陷修复

11.6…………………………88

安全功能验证

11.7……………………89

软件和固件完整性

11.8………………90

应急响应评估方法

12……………………91

事件处理计划

12.1……………………91

事件处理

12.2…………………………93

事件报告

12.3…………………………94

事件处理支持

12.4……………………95

安全警报

12.5…………………………96

错误处理

12.6…………………………97

应急响应计划

12.7……………………98

应急响应培训

12.8……………………100

应急演练

12.9…………………………101

信息系统备份

12.10…………………102

支撑客户的业务连续性计划

12.11…………………104

电信服务

12.12………………………105

审计评估方法

13…………………………106

可审计事件

13.1………………………106

审计记录内容

13.2……………………107

审计记录存储容量

13.3………………107

审计过程失败时的响应

13.4…………108

审计的审查分析和报告

13.5、………………………109

Ⅲ

GB/T34942—2025

审计处理和报告生成

13.6……………111

时间戳

13.7……………112

审计信息保护

13.8……………………113

抗抵赖性

13.9…………………………114

审计记录留存

13.10…………………115

风险评估与持续监控评估方法

14………………………116

风险评估

14.1…………………………116

脆弱性扫描

14.2………………………117

持续监控

14.3…………………………118

信息系统监测

14.4……………………120

垃圾信息监测

14.5……………………122

安全组织与人员

15………………………123

安全策略与规程

15.1…………………123

安全组织

15.2…………………………124

岗位风险与职责

15.3…………………125

人员筛选

15.4…………………………126

人员离职

15.5…………………………126

人员调动

15.6…………………………128

第三方人员安全

15.7…………………128

人员处罚

15.8…………………………129

安全培训

15.9…………………………130

物理与环境安全评估方法

16……………131

物理设施与设备选址

16.1……………131

物理和环境规划

16.2…………………132

物理环境访问授权

16.3………………134

物理环境访问控制

16.4………………135

输出设备访问控制

16.5………………137

物理访问监控

16.6……………………137

访客访问记录

16.7……………………138

设备运送和移除

16.8…………………139

附录资料性常见云计算服务脆弱性问题

A()………141

概述

A.1………………141

系统开发与供应链安全

A.2…………141

系统与通信保护

A.3…………………142

访问控制

A.4…………………………143

数据保护

A.5…………………………145

配置管理

A.6…………………………147

Ⅳ

GB/T34942—2025

维护管理

A.7…………………………149

应急响应

A.8…………………………150

审计

A.9………………151

风险评估与持续监控评估方法

A.10………………152

安全组织与人员

A.11………………154

物理与环境安全

A.12………………155

附录资料性单项安全要求评估描述

B()……………156

参考文献

……………………157

Ⅴ

GB/T34942—2025

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件代替信息安全技术云计算服务安全能力评估方法与

GB/T34942—2017《》,GB/T

相比除结构调整和编辑性改动外主要技术变化如下

34942—2017,,:

更改了范围的适用界限见第章年版的第章

a)(1,20171);

增加了不同能力级别评估要求和综合评估要求见

b)(5.2、5.5);

更改了具体评估方法见第章第章第章第章年版的第章第章

c)(6~8、10~14,20175~14);

增加了数据保护评估方法见第章

d)(9)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国电子技术标准化研究院中国网络安全审查认证和市场监管大数据中心国

:、、

家信息技术安全研究中心中国信息安全测评中心中国信息通信研究院中国科学技术大学四川大

、、、、

学神州网信技术有限公司中电长城网际系统应用有限公司国家信息中心国家工业信息安全发展研

、、、、

究中心国家计算机网络应急技术处理协调中心中国电子科技集团公司第十五研究所中国科学院软

、、、

件研究所中国科学院信息工程研究所杭州安恒信息技术股份有限公司北京航空航天大学北京工业

、、、、

大学重庆邮电大学西安电子科技大学北京化工大学中国人民大学中国传媒大学清华大学上海

、、、、、、、

市信息安全测评认证中心中国电子科技集团第三十研究所重庆市市场监督管理局档案信息中心内

、、、

蒙古数字经济安全科技有限公司中国移动通信有限公司研究院华为云计算技术有限公司阿里云计

、、、

算有限公司天翼云科技有限公司亚信科技成都有限公司

、、()。

本文件主要起草人杨建军王惠莅贾大文何延哲伍扬胡华明卢夏张丽娜刘佳良张建军

:、、、、、、、、、、

李京春左晓栋陈兴蜀闵京华周亚超史大为陈永刚张立武杨晨方勇曹玲张明天吴槟

、、、、、、、、、、、、、

马庆栋曲平张东举吉磊李燕伟霍珊珊伍前红杨震黄永洪马文平习宁杨力裴庆祺王明彦

、、、、、、、、、、、、、、

秦波杨洋葛晓囡晏敏姜正涛李娜蔡宇渊刘彦葛振鹏范晓晖肖敏韩雪峰李连磊高强

、、、、、、、、、、、、、、

徐御靳嵩张玲李峰风方强司渤洋廖双晓

、、、、、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2017GB/T34942—2017;

本次为第一次修订

———。

Ⅶ

GB/T34942—2025

引言

信息安全技术云计算服务安全能力要求提出了云服务商在保障云计算环

GB/T31168—2023《》

境中客户信息和业务的安全时应具备的安全能力该标准将云计算服务安全能力要求分为一般要求增

,、

强要求和高级要求增强要求和高级要求是对其低一级要求的补充和强化根据云计算平台上的信息

,。

敏感度和业务重要性的不同云服务商应具备相适应的安全能力

,。

本文件是的配套评估标准对应中第章第章规定

GB/T31168—2023,GB/T31168—20236~16

的要求本文件也从第章第章给出了相应的评估方法本文件主要为第三方评估机构开展云计

,6~16。

算服务安全能力评估提供指导第三方评估机构可制定相应安全评估方案采用访谈检查测试等多

。