路径: 主页 > GB/T > 第210页 > GB/T 31168-2014 | 标准编号 | GB/T 31168-2014 (GB/T31168-2014) | | 中文名称 | 信息安全技术 云计算服务安全能力要求 | | 英文名称 | Information security technology -- Security capability requirements of cloud computing services | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 67,647 | | 发布日期 | 9/3/2014 | | 实施日期 | 4/1/2015 | | 引用标准 | GB/T 9361-2011; GB/T 25069-2010; GB 50174-2008; GB/T 31167-2014 | | 标准依据 | 中华人民共和国国家标准批准发布公告2014年第21号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准描述了以社会化方式为特定客户提供云计算服务时, 云服务商应具备的安全技术能力。本标准适用于对政府部门使用的云计算服务进行安全管理, 也可供重点行业和其他企事业单位使用云计算服务时参考, 还适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务。 | GB/T 31168-2014
Information security technology.Security capability requirements of cloud computing services
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术
云计算服务安全能力要求
2014-09-03发布
2015-04-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅴ
引言 Ⅵ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 概述 2
4.1 云计算安全措施的实施责任 2
4.2 云计算安全措施的作用范围 3
4.3 安全要求的分类 4
4.4 安全要求的表述形式 4
4.5 安全要求的调整 5
4.6 安全计划 5
4.7 本标准的结构 6
5 系统开发与供应链安全 6
5.1 策略与规程 6
5.2 资源分配 6
5.3 系统生命周期 7
5.4 采购过程 7
5.5 系统文档 8
5.6 安全工程原则 8
5.7 关键性分析 8
5.8 外部信息系统服务及相关服务 9
5.9 开发商安全体系架构 9
5.10 开发过程、标准和工具 10
5.11 开发商配置管理 10
5.12 开发商安全测试和评估 11
5.13 开发商提供的培训 12
5.14 防篡改 12
5.15 组件真实性 12
5.16 不被支持的系统组件 13
5.17 供应链保护 13
6 系统与通信保护 14
6.1 策略与规程 14
6.2 边界保护 15
6.3 传输保密性和完整性 15
6.4 网络中断 16
6.5 可信路径 16
6.6 密码使用和管理 16
6.7 协同计算设备 16
6.8 移动代码 16
6.9 会话认证 17
6.10 移动设备的物理连接 17
6.11 恶意代码防护 17
6.12 内存防护 17
6.13 系统虚拟化安全性 18
6.14 网络虚拟化安全性 18
6.15 存储虚拟化安全性 19
7 访问控制 19
7.1 策略与规程 19
7.2 用户标识与鉴别 20
7.3 设备标识与鉴别 20
7.4 标识符管理 20
7.5 鉴别凭证管理 21
7.6 鉴别凭证反馈 21
7.7 密码模块鉴别 22
7.8 账号管理 22
7.9 访问控制的实施 22
7.10 信息流控制 23
7.11 最小特权 24
7.12 未成功的登录尝试 24
7.13 系统使用通知 24
7.14 前次访问通知 25
7.15 并发会话控制 25
7.16 会话锁定 25
7.17 未进行标识和鉴别情况下可采取的行动 25
7.18 安全属性 26
7.19 远程访问 26
7.20 无线访问 26
7.21 外部信息系统的使用 27
7.22 信息共享 27
7.23 可供公众访问的内容 27
7.24 数据挖掘保护 27
7.25 介质访问和使用 28
7.26 服务关闭和数据迁移 28
8 配置管理 28
8.1 策略与规程 28
8.2 配置管理计划 29
8.3 基线配置 29
8.4 变更控制 29
8.5 配置参数的设置 30
8.6 最小功能原则 30
8.7 信息系统组件清单 31
9 维护 31
9.1 策略与规程 31
9.2 受控维护 32
9.3 维护工具 32
9.4 远程维护 32
9.5 维护人员 33
9.6 及时维护 33
9.7 缺陷修复 33
9.8 安全功能验证 34
9.9 软件、固件、信息完整性 34
10 应急响应与灾备 34
10.1 策略与规程 34
10.2 事件处理计划 35
10.3 事件处理 35
10.4 事件报告 35
10.5 事件处理支持 36
10.6 安全警报 36
10.7 错误处理 36
10.8 应急响应计划 37
10.9 应急培训 37
10.10 应急演练 37
10.11 信息系统备份 38
10.12 支撑客户的业务连续性计划 38
10.13 电信服务 38
11 审计 39
11.1 策略与规程 39
11.2 可审计事件 39
11.3 审计记录内容 39
11.4 审计记录存储容量 40
11.5 审计过程失败时的响应 40
11.6 审计的审查、分析和报告 40
11.7 审计处理和报告生成 40
11.8 时间戳 41
11.9 审计信息保护 41
11.10 不可否认性 41
11.11 审计记录留存 41
12 风险评估与持续监控 42
12.1 策略与规程 42
12.2 风险评估 42
12.3 脆弱性扫描 42
12.4 持续监控 43
12.5 信息系统监测 43
12.6 垃圾信息监测 44
13 安全组织与人员 44
13.1 策略与规程 44
13.2 安全组织 45
13.3 安全资源 45
13.4 安全规章制度 45
13.5 岗位风险与职责 46
13.6 人员筛选 46
13.7 人员离职 46
13.8 人员调动 46
13.9 访问协议 47
13.10 第三方人员安全 47
13.11 人员处罚 47
13.12 安全培训 48
14 物理与环境安全 48
14.1 策略与规程 48
14.2 物理设施与设备选址 48
14.3 物理和环境规划 49
14.4 物理环境访问授权 49
14.5 物理环境访问控制 49
14.6 通信能力防护 50
14.7 输出设备访问控制 50
14.8 物理访问监控 50
14.9 访客访问记录 50
14.10 电力设备和电缆安全保障 51
14.11 应急照明能力 51
14.12 消防能力 51
14.13 温湿度控制能力 52
14.14 防水能力 52
14.15 设备运送和移除 52
附录A(资料性附录) 系统安全计划模版 53
参考文献 59
前言
本标准按照GB/T 1.1-2009给出的规则起草。
请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:中国信息安全研究院有限公司、四川大学、工业和信息化部电子工业标准化研究
院、中国电子科技集团公司第三十研究所、上海三零卫士信息安全有限公司、中国电子信息产业发展研
究院、工业和信息化部电子科学技术情报研究所、中电长城网际系统应用有限公司、北京朋创天地科技
有限公司。
本标准主要起草人:左晓栋、陈兴蜀、张建军、王惠莅、周亚超、冯伟、伍扬、王强、闵京华、邬敏华、
杨建军、罗锋盈、尹丽波、李晓勇、孙迎新、杨晨、王石、崔占华、贾浩淼、戴劲。
引 言
云计算是一种提供信息技术服务的模式。积极推进云计算在政府部门的应用,获取和采用以社会
化方式提供的云计算服务,有利于减少各部门分散重复建设,有利于降低信息化成本、提高资源利用率。
云计算的应用也带来了一些安全问题。如:在云计算环境下,客户对数据、系统的控制和管理能力
明显减弱;客户与云服务商之间的责任难以界定;数据保护更加困难;容易产生对云服务商的过度依赖
等。由此产生了对云计算安全的需求,即云计算基础设施及信息网络的硬件、软件和系统中的数据受到
保护,不因偶然或者恶意的原因遭到破坏、更改、泄露,系统连续可靠地正常运行,以及云计算服务不
中断。
客户采用云计算服务时,其信息和业务的安全性既涉及云服务商的责任,也涉及客户自身的责任。
为了规范云服务商的安全责任,需要提出云计算服务安全能力要求,以加强云计算服务安全管理,保障
云计算服务安全。
本标准与GB/T 31167-2014《信息安全技术 云计算服务安全指南》构成了云计算服务安全管理
的基础标准。GB/T 31167-2014面向政府部门,提出了使用云计算服务时的安全管理要求;本标准面
向云服务商,提出了云服务商在为政府部门提供服务时应该具备的安全能力要求。
本标准分一般要求和增强要求。根据云计算平台上的信息敏感度和业务重要性的不同,云服务商
应具备的安全能力也各不相同。
信息安全技术
云计算服务安全能力要求
1 范围
本标准描述了以社会化方式为特定客户提供云计算服务时,云服务商应具备的安全技术能力。
本标准适用于对政府部门使用的云计算服务进行安全管理,也可供重点行业和其他企事业单位使
用云计算服务时参考,还适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 9361-2011 计算机场地安全要求
GB/T 25069-2010 信息安全技术 术语
GB 50174-2008 电子信息系统机房设计规范
GB/T 31167-2014 信息安全技术 云计算服务安全指南
3 术语和定义
GB/T 25069-2010界定的以及下列术语和定义适用于本文件。
3.1
云计算 cloudcomputing
通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并可按需自助获取和管理资源的模式。
注:资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。
3.2
使用定义的接口,借助云计算提供一种或多种资源的能力。
3.3
云服务商 cloudserviceprovider
云计算服务的供应方。
注:云服务商管理、运营、支撑云计算的计算基础设施及软件,通过网络交付云计算的资源。
3.4
云服务客户 cloudservicecustomer
为使用云计算服务同云服务商建立业务关系的参与方。
注:本标准中云服务客户简称客户。
3.5
由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施。
注:硬件资源包括所有的物理计算资源,包括服务器(CPU、内存等)、存储组件(硬盘等)、网络组件(路由器、防火
墙、交换机、网络链接和接口等)及其他物理计算基础元素。资源抽象控制组件对物理计算资源进行软件抽象,
云服务商通过这些组件提供和管理对物理计算资源的访问。
3.6
云服务商提供的云基础设施及其上的服务软件的集合。
3.7
云服务商提供的云计算平台,及客户在云计算平台之上部署的软件及相关组件的集合。
3.8
独立于云计算服务相关方的专业评估机构。
3.9
云计算平台之外的信息系统。
注:外部信息系统的所有权、控制权一般不由云服务商掌握,其安全措施的使用或有效性不由云服务商直接控制。
4 概述
4.1 云计算安全措施的实施责任
云计算环境的安全性由云服务商和客户共同保障。在某些情况下,云服务商还要依靠其他组织提
供计算资源和服务,其他组织也应承担安全责任。因此,云计算安全措施的实施主体有多个,各类主体
的安全责任因不同的云计算服务模式而异。
云计算有软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)3种主要服务模式。不同
服务模式下云服务商和客户对计算资源的控制范围不同,控制范围则决定了安全责任的边界。如图1
所示,图中两侧的箭头示意了云服务商和客户的控制范围,具体为:
---在SaaS模式下,客户仅需要承担自身数据安全、客户端安全等相关责任;云服务商承担其他安
全责任。
---在PaaS模式下,软件平台层的安全责任由客户和云服务商分担。客户负责自己开发和部署
的应用及其运行环境的安全,其他安全由云服务商负责。
---在IaaS模式下,虚拟化计算资源层的安全责任由客户和云服务商分担。客户负责自己部署的
操作系统、运行环境和应用的安全,对这些资源的操作、更新、配置的安全和可靠性负责。云服
务商负责虚拟机监视器及底层资源的安全。
图1中,云计算的设施层(物理环境)、硬件层(物理设备)、资源抽象和控制层都处于云服务商的完
全控制下,所有安全责任由云服务商承担。应用软件层、软件平台层、虚拟化计算资源层的安全责任则
由双方共同承担,越靠近底层的云计算服务(即IaaS),客户的管理和安全责任越大;反之,云服务商的
管理和安全责任越大。
图1 服务模式与控制范围的关系
考虑到云服务商可能还需要其他组织提供的服务,如SaaS或PaaS服务提供商可能依赖于IaaS服
务提供商的基础资源服务。在这种情况下,一些安全措施由其他组织提供。
因此,云计算安全措施的实施责任有4类,如表1所示。
表1 云计算安全措施的实施责任
责任 示 例
云服务商承担 在SaaS模式中,云服务商对平台上安装的软件进行安全升级
客户承担 在IaaS模式中,客户对其安装的应用中的用户行为进行审计
云服务商和客户共同承担
云服务商的应急演练计划需要与客户的应急演练计划相协调。在实施应急演练
时,需要客户与云服务商相互配合
其他组织承担
有的SaaS服务提供商需要利用IaaS服务提供商的基础设施服务,相应的物理与
环境保护措施应由IasS服务提供商予以实施
本标准不对客户承担的安全责任提出要求。客户应参照GB/T 31167-2014及其他有关信息安全
的标准规范落实其安全责任。
如云服务商依赖于其他组织提供的服务或产品,则其所承担的安全责任直接或间接地转移至其他
组织,云服务商应以合同或其他方式对相应安全责任进行规定并予以落实。但是,云服务商仍是客户或
主管部门开展云计算服务安全管理的直接对象。
4.2 云计算安全措施的作用范围
在同一个云计算平台上,可能有多个应用系统或服务,某些安全措施应作用于整个云计算平台。例
如,云服务商实施的人员安全措施即适用于云计算平台上每一个应用系统。这类安全措施称为通用安
全措施。
某些安全措施则仅是针对特定的应用或服务,例如云计算平台上电子邮件系统的访问控制措施与
字处理系统的访问控制措施可能不同。这类安全措施称为专用安全措施。
在特殊情况下,某些安全措施的一部分属于通用安全措施,另一部分则属于专用安全措施,例如云
计算平台上电子邮件系统的应急响应计划既要利用云服务商的整体应急响应资源(如应急支援队伍),
也要针对电子邮件系统的备份与恢复作出专门考虑,这类安全措施称为混合安全措施。
云服务商申请为客户提供云计算服务时,所申请的每一类云计算应用或服务均应实现本标准规定
的安全要求。云服务商可以不再重复实现通用安全措施,平台上每个具体的应用系统或服务直接继承
该安全措施即可。
4.3 安全要求的分类
本标准对云服务商提出了基本安全能力要求,反映了云服务商在保障云计算环境中客户信息和业
务的安全时应具备的基本能力。这些安全要求分为10类,每一类安全要求包含若干项具体要求。
10类安全要求分别是:
---系统开发与供应链安全:云服务商应在开发云计算平台时对其提供充分保护,对信息系统、组
件和服务的开发商提出相应要求,为云计算平台配置足够的资源,并充分考虑安全需求。云服
务商应确保其下级供应商采取了必要的安全措施。云服务商还应为客户提供有关安全措施的
文档和信息,配合客户完成对信息系统和业务的管理。
---系统与通信保护:云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网
络通信,并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性。
---访问控制:云服务商应严格保护云计算平台的客户数据,在允许人员、进程、设备访问云计算平
台之前,应对其进行身份标识及鉴别,并限制其可执行的操作和使用的功能。
---配置管理:云服务商应对云计算平台进行配置管理,在系统生命周期内建立和维护云计算平台
(包括硬件、软件、文档等)的基线配置和详细清单,并设置和实现云计算平台中各类产品的安
全配置参数。
---维护:云服务商应维护好云计算平台设施和软件系统,并对维护所使用的工具、技术、机制以及
维护人员进行有效的控制,且做好相关记录。
---应急响应与灾备:云服务商应为云计算平台制定应急响应计划,并定期演练,确保在紧急情况
下重要信息资源的可用性。云服务商应建立事件处理计划,包括对事件的预防、检测、分析和
控制及系统恢复等,对事件进行跟踪、记录并向相关人员报告。云服务商应具备容灾恢复能
力,建立必要的备份与恢复设施和机制,确保客户业务可持续。
---审计:云服务商应根据安全需求和客户要求,制定可审计事件清单,明确审计记录内容,实施审
计并妥善保存审计记录,对审计记录进行定期分析和审查,还应防范对审计记录的非授权访
问、修改和删除行为。
---风险评估与持续监控:云服务商应定期或在威胁环境发生变化时,对云计算平台进行风险评
估,确保云计算平台的安全风险处于可接受水平。云服务商应制定监控目标清单,对目标进行
持续安全监控,并在发生异常和非授权情况时发出警报。
---安全组织与人员:云服务商应确保能够接触客户信息或业务的各类人员(包括供应商人员)上
岗时具备履行其安全责任的素质和能力,还应在授予相关人员访问权限之前对其进行审查并
定期复查,在人员调动或离职时履行安全程序,对于违反安全规定的人员进行处罚。
---物理与环境保护:云服务商应确保机房位于中国境内,机房选址、设计、供电、消防、温湿度控制
等符合相关标准的要求。云服务商应对机房进行监控,严格限制各类人员与运行中的云计算
平台设备进行物理接触,确需接触的,需通过云服务商的明确授权。
4.4 安全要求的表述形式
本标准将云计算服务安全能力要求分为一般要求和增强要求。政府部门应对拟迁移至云计算平台
的信息和业务进行分析,按照信息的敏感程度和业务的重要程度选择相应安全能力水平的云服务商。
GB/T 31167-2014给出了信息、业务类型与安全保护要求之间的对应关系。
本标准中每一项安全要求均以一般要求和增强要求的形式给出。增强要求是对一般要求的补充和
强化。在实现增强要求时,一般要求应首先得到满足。
有的安全要求只列出了增强要求,一般要求标为“无”。这表明具有一般安全能力的云服务商可以
不实现此项安全要求。
即使对同等安全能力水平的云服务商,其实现安全要求的方式也可能会有差异。为此,本标准在描
述安全要求时引入了“赋值”和“选择”这两种变量,并以[赋值:]和[选择:;]的形式给出。
“赋值”表示云服务商在实现安全要求时,要由其定义具体的数值或内容。“选择”表示云服务商在实现
安全要求时,应选择一个给定的数值或内容。
云服务商在向客户提供云计算服务前,应确定并实现“赋值”和“选择”的具体数值或内容。
“赋值”和“选择”示例如下:
云服务商应在[赋值:云服务商定义的时间段]后自动[选择:删除;禁用]临时和应急账号。
4.5 安全要求的调整
本标准提出的安全要求是通常情况下云服务商应具备的基本安全能力。在具体的应用场景下,云
服务商有可能需要对这些安全要求进行调整。调整的方式有:
---删减:未实现某项安全要求,或只实现了某项安全要求的一部分;
---补充:某项安全要求不足以满足云服务商的特定安全目标,故增加新的安全要求,或对标准中
规定的某项安全要求进行强化;
---替代......
|