標(biāo)準(zhǔn)解讀

《GB/T 31167-2014 信息安全技術(shù) 云計(jì)算服務(wù)安全指南》是由中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的一項(xiàng)國(guó)家標(biāo)準(zhǔn),旨在為云計(jì)算服務(wù)提供者和用戶在確保云環(huán)境下的信息安全方面給出指導(dǎo)。該標(biāo)準(zhǔn)涵蓋了從云計(jì)算服務(wù)的安全需求分析、風(fēng)險(xiǎn)管理到具體安全措施實(shí)施等多個(gè)方面的內(nèi)容。

首先,在安全需求分析部分,標(biāo)準(zhǔn)強(qiáng)調(diào)了識(shí)別與評(píng)估云計(jì)算環(huán)境中可能遇到的風(fēng)險(xiǎn)的重要性,包括但不限于數(shù)據(jù)泄露、未授權(quán)訪問(wèn)等,并要求根據(jù)這些風(fēng)險(xiǎn)來(lái)確定相應(yīng)的控制目標(biāo)和控制措施。此外,還提到了需要考慮到不同類(lèi)型的云計(jì)算部署模式(如公有云、私有云)和服務(wù)模型(如IaaS、PaaS、SaaS)所帶來(lái)的特定安全挑戰(zhàn)。

接著是關(guān)于風(fēng)險(xiǎn)管理的內(nèi)容,這里指出應(yīng)建立一套完整的風(fēng)險(xiǎn)管理流程,包括風(fēng)險(xiǎn)識(shí)別、評(píng)估、處理以及監(jiān)控等環(huán)節(jié)。通過(guò)這一過(guò)程,可以幫助組織更好地理解其面臨的信息安全威脅,并采取適當(dāng)?shù)念A(yù)防或緩解措施。

對(duì)于具體的云計(jì)算安全措施,《GB/T 31167-2014》提出了多方面的建議:

  • 數(shù)據(jù)保護(hù):強(qiáng)調(diào)對(duì)敏感信息進(jìn)行加密存儲(chǔ)與傳輸;采用強(qiáng)密碼策略及雙因素認(rèn)證等方式加強(qiáng)身份驗(yàn)證。
  • 訪問(wèn)控制:定義清晰的角色權(quán)限體系,限制非必要用戶的訪問(wèn)權(quán)限;定期審查賬戶活動(dòng)日志以發(fā)現(xiàn)異常行為。
  • 網(wǎng)絡(luò)安全:配置防火墻規(guī)則阻止惡意流量;使用入侵檢測(cè)系統(tǒng)監(jiān)控潛在攻擊跡象。
  • 物理安全:確保數(shù)據(jù)中心物理設(shè)施的安全性,比如安裝視頻監(jiān)控?cái)z像頭、設(shè)置門(mén)禁控制系統(tǒng)等。
  • 合規(guī)性與審計(jì):遵循相關(guān)法律法規(guī)要求;開(kāi)展定期的安全審計(jì)工作以驗(yàn)證各項(xiàng)控制措施的有效性。

此外,該標(biāo)準(zhǔn)也鼓勵(lì)云計(jì)算服務(wù)商與其客戶之間保持良好的溝通渠道,共同協(xié)作解決可能出現(xiàn)的安全問(wèn)題。同時(shí),還提倡持續(xù)關(guān)注新興威脅和技術(shù)發(fā)展動(dòng)態(tài),適時(shí)調(diào)整和完善現(xiàn)有的安全防護(hù)體系。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 被代替
  • 已被新標(biāo)準(zhǔn)代替,建議下載現(xiàn)行標(biāo)準(zhǔn)GB/T 31167-2023
  • 2014-09-03 頒布
  • 2015-04-01 實(shí)施
?正版授權(quán)
GB/T 31167-2014信息安全技術(shù)云計(jì)算服務(wù)安全指南_第1頁(yè)
GB/T 31167-2014信息安全技術(shù)云計(jì)算服務(wù)安全指南_第2頁(yè)
GB/T 31167-2014信息安全技術(shù)云計(jì)算服務(wù)安全指南_第3頁(yè)
GB/T 31167-2014信息安全技術(shù)云計(jì)算服務(wù)安全指南_第4頁(yè)
GB/T 31167-2014信息安全技術(shù)云計(jì)算服務(wù)安全指南_第5頁(yè)
已閱讀5頁(yè),還剩23頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

GB/T 31167-2014信息安全技術(shù)云計(jì)算服務(wù)安全指南-免費(fèi)下載試讀頁(yè)

文檔簡(jiǎn)介

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T31167—2014

信息安全技術(shù)云計(jì)算服務(wù)安全指南

Informationsecuritytechnology—Securityguideofcloudcomputingservices

2014-09-03發(fā)布2015-04-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

中華人民共和國(guó)

國(guó)家標(biāo)準(zhǔn)

信息安全技術(shù)云計(jì)算服務(wù)安全指南

GB/T31167—2014

*

中國(guó)標(biāo)準(zhǔn)出版社出版發(fā)行

北京市朝陽(yáng)區(qū)和平里西街甲號(hào)

2(100029)

北京市西城區(qū)三里河北街號(hào)

16(100045)

網(wǎng)址

:

服務(wù)熱線

:400-168-0010

年月第一版

201410

*

書(shū)號(hào)

:155066·1-50121

版權(quán)專(zhuān)有侵權(quán)必究

GB/T31167—2014

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

云計(jì)算概述

4………………2

云計(jì)算的主要特征

4.1…………………2

服務(wù)模式

4.2……………2

部署模式

4.3……………3

云計(jì)算的優(yōu)勢(shì)

4.4………………………3

云計(jì)算的風(fēng)險(xiǎn)管理

5………………………3

概述

5.1…………………3

云計(jì)算安全風(fēng)險(xiǎn)

5.2……………………4

云計(jì)算服務(wù)安全管理的主要角色及責(zé)任

5.3…………5

云計(jì)算服務(wù)安全管理基本要求

5.4……………………5

云計(jì)算服務(wù)生命周期

5.5………………5

規(guī)劃準(zhǔn)備

6…………………6

概述

6.1…………………6

效益評(píng)估

6.2……………6

政府信息分類(lèi)

6.3………………………7

政府業(yè)務(wù)分類(lèi)

6.4………………………8

優(yōu)先級(jí)確定

6.5…………………………9

安全保護(hù)要求

6.6………………………9

需求分析

6.7……………10

形成決策報(bào)告

6.8………………………13

選擇服務(wù)商與部署

7………………………14

云服務(wù)商安全能力要求

7.1……………14

確定云服務(wù)商

7.2………………………15

合同中的安全考慮

7.3…………………15

部署

7.4…………………17

運(yùn)行監(jiān)管

8…………………18

概述

8.1…………………18

運(yùn)行監(jiān)管的角色與責(zé)任

8.2……………18

客戶自身的運(yùn)行監(jiān)管

8.3………………19

對(duì)云服務(wù)商的運(yùn)行監(jiān)管

8.4……………19

退出服務(wù)

9…………………20

GB/T31167—2014

退出要求

9.1……………20

確定數(shù)據(jù)移交范圍

9.2…………………21

驗(yàn)證數(shù)據(jù)的完整性

9.3…………………21

安全刪除數(shù)據(jù)

9.4………………………21

參考文獻(xiàn)

……………………22

GB/T31167—2014

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位四川大學(xué)中國(guó)信息安全研究院有限公司中國(guó)電子科技集團(tuán)公司第三十研究所

:、、、

工業(yè)和信息化部電子工業(yè)標(biāo)準(zhǔn)化研究院工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所中國(guó)電子信息產(chǎn)業(yè)

、、

發(fā)展研究院北京信息安全測(cè)評(píng)中心中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司中金數(shù)據(jù)系統(tǒng)有限公司中國(guó)科

、、、、

學(xué)院信息工程研究所信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室中國(guó)移動(dòng)通信有限公司研究院華為技術(shù)有限公司西

、、、

安未來(lái)國(guó)際信息股份有限公司浙江省電子信息產(chǎn)品檢驗(yàn)所

、。

本標(biāo)準(zhǔn)主要起草人陳興蜀左曉棟閔京華張建軍羅鋒盈楊建軍羅永剛劉海峰黎江卿斯?jié)h

:、、、、、、、、、、

鄔敏華劉斐尹麗波伍揚(yáng)馮偉王惠蒞趙章界周亞超劉曉莉

、、、、、、、、。

GB/T31167—2014

引言

云計(jì)算是一種計(jì)算資源的新型利用模式客戶以購(gòu)買(mǎi)服務(wù)的方式通過(guò)網(wǎng)絡(luò)獲得計(jì)算存儲(chǔ)軟件等

,,、、

不同類(lèi)型的資源在云計(jì)算模式下使用者不需要自己建設(shè)數(shù)據(jù)中心購(gòu)買(mǎi)軟硬件資源避免了前期基

。,、,

礎(chǔ)設(shè)施的大量投入僅需較少的使用成本即可獲得優(yōu)質(zhì)的信息技術(shù)資源和服務(wù)

,(IT)。

云計(jì)算還處于不斷發(fā)展階段技術(shù)架構(gòu)復(fù)雜采用社會(huì)化的云計(jì)算服務(wù)使用者的數(shù)據(jù)和業(yè)務(wù)從自

,,,

己的數(shù)據(jù)中心轉(zhuǎn)移到云服務(wù)商的平臺(tái)中大量數(shù)據(jù)集中使云計(jì)算面臨新的安全風(fēng)險(xiǎn)當(dāng)政府部門(mén)采用

,,。

云計(jì)算服務(wù)尤其是社會(huì)化的云計(jì)算服務(wù)時(shí)應(yīng)特別關(guān)注安全問(wèn)題

,,。

本標(biāo)準(zhǔn)指導(dǎo)政府部門(mén)做好采用云計(jì)算服務(wù)的前期分析和規(guī)劃選擇合適的云服務(wù)商對(duì)云計(jì)算服務(wù)

,,

進(jìn)行運(yùn)行監(jiān)管考慮退出云計(jì)算服務(wù)和更換云服務(wù)商的安全風(fēng)險(xiǎn)本標(biāo)準(zhǔn)指導(dǎo)政府部門(mén)在云計(jì)算服務(wù)

,。

的生命周期采取相應(yīng)的安全技術(shù)和管理措施保障數(shù)據(jù)和業(yè)務(wù)的安全安全使用云計(jì)算服務(wù)

,,。

本標(biāo)準(zhǔn)與信息安全技術(shù)云計(jì)算服務(wù)安全能力要求構(gòu)成了云計(jì)算服務(wù)安全

GB/T31168—2014《》

管理的基礎(chǔ)標(biāo)準(zhǔn)本標(biāo)準(zhǔn)面向政府部門(mén)提出了使用云計(jì)算服務(wù)時(shí)的信息安全管理和技術(shù)要求

。,;

面向云服務(wù)商提出了為政府部門(mén)提供服務(wù)時(shí)應(yīng)該具備的信息安全能力要求

GB/T31168—2014,。

GB/T31167—2014

信息安全技術(shù)云計(jì)算服務(wù)安全指南

1范圍

本標(biāo)準(zhǔn)描述了云計(jì)算可能面臨的主要安全風(fēng)險(xiǎn)提出了政府部門(mén)采用云計(jì)算服務(wù)的安全管理基本

,

要求及云計(jì)算服務(wù)的生命周期各階段的安全管理和技術(shù)要求

。

本標(biāo)準(zhǔn)為政府部門(mén)采用云計(jì)算服務(wù)特別是采用社會(huì)化的云計(jì)算服務(wù)提供全生命周期的安全指導(dǎo)

,,

適用于政府部門(mén)采購(gòu)和使用云計(jì)算服務(wù)也可供重點(diǎn)行業(yè)和其他企事業(yè)單位參考

,。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069—2010

信息安全技術(shù)云計(jì)算服務(wù)安全能力要求

GB/T31168—2014

3術(shù)語(yǔ)和定義

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T25069—2010。

31

.

云計(jì)算cloudcomputing

通過(guò)網(wǎng)絡(luò)訪問(wèn)可擴(kuò)展的靈活的物理或虛擬共享資源池并按需自助獲取和管理資源的模式

、

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

最新文檔

評(píng)論

0/150

提交評(píng)論