GB/T 31168-2014信息安全技術(shù)云計(jì)算服務(wù)安全能力要求

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T31168—2014

信息安全技術(shù)

云計(jì)算服務(wù)安全能力要求

Informationsecuritytechnology—

Securitycapabilityrequirementsofcloudcomputingservices

2014-09-03發(fā)布2015-04-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T31168—2014

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

概述

4………………………2

云計(jì)算安全措施的實(shí)施責(zé)任

4.1………………………2

云計(jì)算安全措施的作用范圍

4.2………………………3

安全要求的分類

4.3……………………4

安全要求的表述形式

4.4………………4

安全要求的調(diào)整

4.5……………………5

安全計(jì)劃

4.6……………5

本標(biāo)準(zhǔn)的結(jié)構(gòu)

4.7………………………6

系統(tǒng)開(kāi)發(fā)與供應(yīng)鏈安全

5…………………6

策略與規(guī)程

5.1…………………………6

資源分配

5.2……………6

系統(tǒng)生命周期

5.3………………………7

采購(gòu)過(guò)程

5.4……………7

系統(tǒng)文檔

5.5……………8

安全工程原則

5.6………………………8

關(guān)鍵性分析

5.7…………………………8

外部信息系統(tǒng)服務(wù)及相關(guān)服務(wù)

5.8……………………9

開(kāi)發(fā)商安全體系架構(gòu)

5.9………………9

開(kāi)發(fā)過(guò)程標(biāo)準(zhǔn)和工具

5.10、……………10

開(kāi)發(fā)商配置管理

5.11…………………10

開(kāi)發(fā)商安全測(cè)試和評(píng)估

5.12…………11

開(kāi)發(fā)商提供的培訓(xùn)

5.13………………12

防篡改

5.14……………12

組件真實(shí)性

5.15………………………12

不被支持的系統(tǒng)組件

5.16……………13

供應(yīng)鏈保護(hù)

5.17………………………13

系統(tǒng)與通信保護(hù)

6…………………………14

策略與規(guī)程

6.1…………………………14

邊界保護(hù)

6.2……………15

傳輸保密性和完整性

6.3………………15

網(wǎng)絡(luò)中斷

6.4……………16

Ⅰ

GB/T31168—2014

可信路徑

6.5……………16

密碼使用和管理

6.6……………………16

協(xié)同計(jì)算設(shè)備

6.7………………………16

移動(dòng)代碼

6.8……………16

會(huì)話認(rèn)證

6.9……………17

移動(dòng)設(shè)備的物理連接

6.10……………17

惡意代碼防護(hù)

6.11……………………17

內(nèi)存防護(hù)

6.12…………………………17

系統(tǒng)虛擬化安全性

6.13………………18

網(wǎng)絡(luò)虛擬化安全性

6.14………………18

存儲(chǔ)虛擬化安全性

6.15………………19

訪問(wèn)控制

7…………………19

策略與規(guī)程

7.1…………………………19

用戶標(biāo)識(shí)與鑒別

7.2……………………20

設(shè)備標(biāo)識(shí)與鑒別

7.3……………………20

標(biāo)識(shí)符管理

7.4…………………………20

鑒別憑證管理

7.5………………………21

鑒別憑證反饋

7.6………………………21

密碼模塊鑒別

7.7………………………22

賬號(hào)管理

7.8……………22

訪問(wèn)控制的實(shí)施

7.9……………………22

信息流控制

7.10………………………23

最小特權(quán)

7.11…………………………24

未成功的登錄嘗試

7.12………………24

系統(tǒng)使用通知

7.13……………………24

前次訪問(wèn)通知

7.14……………………25

并發(fā)會(huì)話控制

7.15……………………25

會(huì)話鎖定

7.16…………………………25

未進(jìn)行標(biāo)識(shí)和鑒別情況下可采取的行動(dòng)

7.17………25

安全屬性

7.18…………………………26

遠(yuǎn)程訪問(wèn)

7.19…………………………26

無(wú)線訪問(wèn)

7.20…………………………26

外部信息系統(tǒng)的使用

7.21……………27

信息共享

7.22…………………………27

可供公眾訪問(wèn)的內(nèi)容

7.23……………27

數(shù)據(jù)挖掘保護(hù)

7.24……………………27

介質(zhì)訪問(wèn)和使用

7.25…………………28

服務(wù)關(guān)閉和數(shù)據(jù)遷移

7.26……………28

配置管理

8…………………28

策略與規(guī)程

8.1…………………………28

配置管理計(jì)劃

8.2………………………29

基線配置

8.3……………29

Ⅱ

GB/T31168—2014

變更控制

8.4……………29

配置參數(shù)的設(shè)置

8.5……………………30

最小功能原則

8.6………………………30

信息系統(tǒng)組件清單

8.7…………………31

維護(hù)

9………………………31

策略與規(guī)程

9.1…………………………31

受控維護(hù)

9.2……………32

維護(hù)工具

9.3……………32

遠(yuǎn)程維護(hù)

9.4……………32

維護(hù)人員

9.5……………33

及時(shí)維護(hù)

9.6……………33

缺陷修復(fù)

9.7……………33

安全功能驗(yàn)證

9.8………………………34

軟件固件信息完整性

9.9、、……………34

應(yīng)急響應(yīng)與災(zāi)備

10………………………34

策略與規(guī)程

10.1………………………34

事件處理計(jì)劃

10.2……………………35

事件處理

10.3…………………………35

事件報(bào)告

10.4…………………………35

事件處理支持

10.5……………………36

安全警報(bào)

10.6…………………………36

錯(cuò)誤處理

10.7…………………………36

應(yīng)急響應(yīng)計(jì)劃

10.8……………………37

應(yīng)急培訓(xùn)

10.9…………………………37

應(yīng)急演練

10.10…………………………37

信息系統(tǒng)備份

10.11……………………38

支撐客戶的業(yè)務(wù)連續(xù)性計(jì)劃

10.12……………………38

電信服務(wù)

10.13…………………………38

審計(jì)

11……………………39

策略與規(guī)程

11.1………………………39

可審計(jì)事件

11.2………………………39

審計(jì)記錄內(nèi)容

11.3……………………39

審計(jì)記錄存儲(chǔ)容量

11.4………………40

審計(jì)過(guò)程失敗時(shí)的響應(yīng)

11.5…………40

審計(jì)的審查分析和報(bào)告

11.6、…………40

審計(jì)處理和報(bào)告生成

11.7……………40

時(shí)間戳

11.8……………41

審計(jì)信息保護(hù)

11.9……………………41

不可否認(rèn)性

11.10………………………41

審計(jì)記錄留存

11.11……………………41

風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控

12…………………42

策略與規(guī)程

12.1………………………42

Ⅲ

GB/T31168—2014

風(fēng)險(xiǎn)評(píng)估

12.2…………………………42

脆弱性掃描

12.3………………………42

持續(xù)監(jiān)控

12.4…………………………43

信息系統(tǒng)監(jiān)測(cè)

12.5……………………43

垃圾信息監(jiān)測(cè)

12.6……………………44

安全組織與人員

13………………………44

策略與規(guī)程

13.1………………………44

安全組織

13.2…………………………45

安全資源

13.3…………………………45

安全規(guī)章制度

13.4……………………45

崗位風(fēng)險(xiǎn)與職責(zé)

13.5…………………46

人員篩選

13.6…………………………46

人員離職

13.7…………………………46

人員調(diào)動(dòng)

13.8…………………………46

訪問(wèn)協(xié)議

13.9…………………………47

第三方人員安全

13.10…………………47

人員處罰

13.11…………………………47

安全培訓(xùn)

13.12…………………………48

物理與環(huán)境安全

14………………………48

策略與規(guī)程

14.1………………………48

物理設(shè)施與設(shè)備選址

14.2……………48

物理和環(huán)境規(guī)劃

14.3…………………49

物理環(huán)境訪問(wèn)授權(quán)

14.4………………49

物理環(huán)境訪問(wèn)控制

14.5………………49

通信能力防護(hù)

14.6……………………50

輸出設(shè)備訪問(wèn)控制

14.7………………50

物理訪問(wèn)監(jiān)控

14.8……………………50

訪客訪問(wèn)記錄

14.9……………………50

電力設(shè)備和電纜安全保障

14.10………………………51

應(yīng)急照明能力

14.11……………………51

消防能力

14.12…………………………51

溫濕度控制能力

14.13…………………52

防水能力

14.14…………………………52

設(shè)備運(yùn)送和移除

14.15…………………52

附錄資料性附錄系統(tǒng)安全計(jì)劃模版

A()………………53

參考文獻(xiàn)

……………………59

Ⅳ

GB/T31168—2014

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

,。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國(guó)信息安全研究院有限公司四川大學(xué)工業(yè)和信息化部電子工業(yè)標(biāo)準(zhǔn)化研究

:、、

院中國(guó)電子科技集團(tuán)公司第三十研究所上海三零衛(wèi)士信息安全有限公司中國(guó)電子信息產(chǎn)業(yè)發(fā)展研

、、、

究院工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司北京朋創(chuàng)天地科技

、、、

有限公司

。

本標(biāo)準(zhǔn)主要起草人左曉棟陳興蜀張建軍王惠蒞周亞超馮偉伍揚(yáng)王強(qiáng)閔京華鄔敏華

:、、、、、、、、、、

楊建軍羅鋒盈尹麗波李曉勇孫迎新楊晨王石崔占華賈浩淼戴勁

、、、、、、、、、。

Ⅴ

GB/T31168—2014

引言

云計(jì)算是一種提供信息技術(shù)服務(wù)的模式積極推進(jìn)云計(jì)算在政府部門的應(yīng)用獲取和采用以社會(huì)

。,

化方式提供的云計(jì)算服務(wù)有利于減少各部門分散重復(fù)建設(shè)有利于降低信息化成本提高資源利用率

,,、。

云計(jì)算的應(yīng)用也帶來(lái)了一些安全問(wèn)題如在云計(jì)算環(huán)境下客戶對(duì)數(shù)據(jù)系統(tǒng)的控制和管理能力

。:,、

明顯減弱客戶與云服務(wù)商之間的責(zé)任難以界定數(shù)據(jù)保護(hù)更加困難容易產(chǎn)生對(duì)云服務(wù)商的過(guò)度依賴

;;;

等由此產(chǎn)生了對(duì)云計(jì)算安全的需求即云計(jì)算基礎(chǔ)設(shè)施及信息網(wǎng)絡(luò)的硬件軟件和系統(tǒng)中的數(shù)據(jù)受到

。,、

保護(hù)不因偶然或者惡意的原因遭到破壞更改泄露系統(tǒng)連續(xù)可靠地正常運(yùn)行以及云計(jì)算服務(wù)不

,、、,,

中斷

。

客戶采用云計(jì)算服務(wù)時(shí)其信息和業(yè)務(wù)的安全性既涉及云服務(wù)商的責(zé)任也涉及客戶自身的責(zé)任

,,。

為了規(guī)范云服務(wù)商的安全責(zé)任需要提出云計(jì)算服務(wù)安全能力要求以加強(qiáng)云計(jì)算服務(wù)安全管理保障

,,,

云計(jì)算服務(wù)安全

。

本標(biāo)準(zhǔn)與信息安全技術(shù)云計(jì)算服務(wù)安全指南構(gòu)成了云計(jì)算服務(wù)安全管理

GB/T31167—2014《》

的基礎(chǔ)標(biāo)準(zhǔn)面向政府部門提出了使用云計(jì)算服務(wù)時(shí)的安全管理要求本標(biāo)準(zhǔn)面

。GB/T31167—2014,;

向云服務(wù)商提出了云服務(wù)商在為政府部門提供服務(wù)時(shí)應(yīng)該具備的安全能力要求

,。

本標(biāo)準(zhǔn)分一般要求和增強(qiáng)要求根據(jù)云計(jì)算平臺(tái)上的信息敏感度和業(yè)務(wù)重要性的不同云服務(wù)商

。,

應(yīng)具備的安全能力也各不相同

。

Ⅵ

GB/T31168—2014