GB/T 34942-2017信息安全技術(shù)云計算服務(wù)安全能力評估方法

ICS35040

L80.

中華人民共和國國家標準

GB/T34942—2017

信息安全技術(shù)

云計算服務(wù)安全能力評估方法

Informationsecuritytechnology—Theassessmentmethodfor

securitycapabilityofcloudcomputingservice

2017-11-01發(fā)布2018-05-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T34942—2017

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

概述

4………………………2

評估原則

4.1……………2

評估內(nèi)容

4.2……………3

評估證據(jù)

4.3……………3

評估實施過程

4.4………………………3

系統(tǒng)開發(fā)與供應(yīng)鏈安全評估方法

5………………………5

策略與規(guī)程

5.1…………………………5

資源分配

5.2……………6

系統(tǒng)生命周期

5.3………………………7

采購過程

5.4……………8

系統(tǒng)文檔

5.5……………9

安全工程原則

5.6………………………10

關(guān)鍵性分析

5.7…………………………10

外部信息系統(tǒng)服務(wù)及相關(guān)服務(wù)

5.8……………………11

開發(fā)商安全體系架構(gòu)

5.9………………12

開發(fā)過程標準和工具

5.10、……………13

開發(fā)商配置管理

5.11…………………15

開發(fā)商安全測試和評估

5.12…………17

開發(fā)商提供的培訓

5.13………………19

防篡改

5.14……………20

組件真實性

5.15………………………20

不被支持的系統(tǒng)組件

5.16……………21

供應(yīng)鏈保護

5.17………………………22

系統(tǒng)與通信保護評估方法

6………………25

策略與規(guī)程

6.1…………………………25

邊界保護

6.2……………26

傳輸保密性和完整性

6.3………………28

網(wǎng)絡(luò)中斷

6.4……………29

可信路徑

6.5……………29

密碼使用和管理

6.6……………………30

協(xié)同計算設(shè)備

6.7………………………30

移動代碼

6.8……………30

Ⅰ

GB/T34942—2017

會話認證

6.9……………31

移動設(shè)備的物理連接

6.10……………32

惡意代碼防護

6.11……………………32

內(nèi)存防護

6.12…………………………34

系統(tǒng)虛擬化安全性

6.13………………34

網(wǎng)絡(luò)虛擬化安全性

6.14………………37

存儲虛擬化安全性

6.15………………37

訪問控制評估方法

7………………………39

策略與規(guī)程

7.1…………………………39

用戶標識與鑒別

7.2……………………40

設(shè)備標識與鑒別

7.3……………………41

標識符管理

7.4…………………………41

鑒別憑證管理

7.5………………………42

鑒別憑證反饋

7.6………………………44

密碼模塊鑒別

7.7………………………44

賬號管理

7.8……………45

訪問控制的實施

7.9……………………46

信息流控制

7.10………………………47

最小特權(quán)

7.11…………………………48

未成功的登錄嘗試

7.12………………49

系統(tǒng)使用通知

7.13……………………50

前次訪問通知

7.14……………………50

并發(fā)會話控制

7.15……………………51

會話鎖定

7.16…………………………51

未進行標識和鑒別情況下可采取的行動

7.17………52

安全屬性

7.18…………………………52

遠程訪問

7.19…………………………53

無線訪問

7.20…………………………54

外部信息系統(tǒng)的使用

7.21……………54

信息共享

7.22…………………………55

可供公眾訪問的內(nèi)容

7.23……………56

數(shù)據(jù)挖掘保護

7.24……………………56

介質(zhì)訪問和使用

7.25…………………57

服務(wù)關(guān)閉和數(shù)據(jù)遷移

7.26……………58

配置管理評估方法

8………………………59

策略與規(guī)程

8.1…………………………59

配置管理計劃

8.2………………………59

基線配置

8.3……………60

變更控制

8.4……………61

配置參數(shù)的設(shè)置

8.5……………………63

最小功能原則

8.6………………………64

信息系統(tǒng)組件清單

8.7…………………65

Ⅱ

GB/T34942—2017

維護評估方法

9……………67

策略與規(guī)程

9.1…………………………67

受控維護

9.2……………67

維護工具

9.3……………68

遠程維護

9.4……………69

維護人員

9.5……………70

及時維護

9.6……………71

缺陷修復(fù)

9.7……………71

安全功能驗證

9.8………………………72

軟件固件信息完整性

9.9、、……………73

應(yīng)急響應(yīng)與災(zāi)備評估方法

10……………74

策略與規(guī)程

10.1………………………74

事件處理計劃

10.2……………………74

事件處理

10.3…………………………75

事件報告

10.4…………………………76

事件處理支持

10.5……………………77

安全警報

10.6…………………………78

錯誤處理

10.7…………………………78

應(yīng)急響應(yīng)計劃

10.8……………………79

應(yīng)急培訓

10.9…………………………81

應(yīng)急演練

10.10…………………………81

信息系統(tǒng)備份

10.11……………………82

支撐客戶的業(yè)務(wù)連續(xù)性計劃

10.12……………………84

電信服務(wù)

10.13…………………………84

審計評估方法

11…………………………85

策略與規(guī)程

11.1………………………85

可審計事件

11.2………………………86

審計記錄內(nèi)容

11.3……………………86

審計記錄存儲容量

11.4………………87

審計過程失敗時的響應(yīng)

11.5…………87

審計的審查分析和報告

11.6、…………88

審計處理和報告生成

11.7……………89

時間戳

11.8……………90

審計信息保護

11.9……………………90

不可否認性

11.10………………………91

審計記錄留存

11.11……………………92

風險評估與持續(xù)監(jiān)控評估方法

12………………………92

策略與規(guī)程

12.1………………………92

風險評估

12.2…………………………93

脆弱性掃描

12.3………………………93

持續(xù)監(jiān)控

12.4…………………………95

信息系統(tǒng)監(jiān)測

12.5……………………96

Ⅲ

GB/T34942—2017

垃圾信息監(jiān)測

12.6……………………98

安全組織與人員評估方法

13……………98

策略與規(guī)程

13.1………………………98

安全組織

13.2…………………………99

安全資源

13.3…………………………100

安全規(guī)章制度

13.4……………………100

崗位風險與職責

13.5…………………101

人員篩選

13.6…………………………101

人員離職

13.7…………………………102

人員調(diào)動

13.8…………………………103

訪問協(xié)議

13.9…………………………104

第三方人員安全

13.10………………104

人員處罰

13.11………………………105

安全培訓

13.12………………………106

物理與環(huán)境安全評估方法

14……………107

策略與規(guī)程

14.1………………………107

物理設(shè)施與設(shè)備選址

14.2……………107

物理和環(huán)境規(guī)劃

14.3…………………108

物理環(huán)境訪問授權(quán)

14.4………………109

物理環(huán)境訪問控制

14.5………………110

通信能力防護

14.6……………………112

輸出設(shè)備訪問控制

14.7………………112

物理訪問監(jiān)控

14.8……………………113

訪客訪問記錄

14.9……………………114

電力設(shè)備和電纜安全保障

14.10……………………114

應(yīng)急照明能力

14.11…………………115

消防能力

14.12………………………116

溫濕度控制能力

14.13………………117

防水能力

14.14………………………118

設(shè)備運送和移除

14.15………………118

參考文獻

……………………119

Ⅳ

GB/T34942—2017

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國電子技術(shù)標準化研究院國家信息技術(shù)安全研究中心中國信息安全測評中

:、、

心中國電子科技集團第研究所中國信息安全研究院有限公司上海市信息安全測評認證中心中

、30、、、

國信息安全認證中心中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司四川大學華東師范大學國家信息中心神州

、、、、、

網(wǎng)信技術(shù)有限公司浪潮北京電子信息有限公司華為技術(shù)有限公司阿里云計算有限公司深圳賽西

、()、、、

信息技術(shù)有限公司北京工業(yè)大學中標軟件有限公司西安未來國際信息股份有限公司中金數(shù)據(jù)系統(tǒng)

、、、、

有限公司北京軟件產(chǎn)品質(zhì)量檢測檢驗中心重慶郵電大學成都信息工程大學北京郵電大學西安電

、、、、、

子科技大學桂林電子科技大學河南科技大學北京航空航天大學中國傳媒大學

、、、、。

本標準主要起草人高林王惠蒞李京春何延哲任望梁露露劉賢剛范科峰上官曉麗楊晨

:、、、、、、、、、、

都婧張玲王強徐御周民徐云陳曉樺吳迪閔京華馬文平何道敬趙丹丹劉俊河梁滿劉虹

、、、、、、、、、、、、、、、

趙江黃敏陳雪秀徐寧崔玲萬國根陳曉峰楊力裴慶祺唐一鴻蔡磊葉潤國伍前紅黃永洪

、、、、、、、、、、、、、、

楊震李剛陳小松王勇張志勇毛劍姜正濤

、、、、、、。

Ⅴ

GB/T34942—2017

引言

信息安全技術(shù)云計算服務(wù)安全能力要求對云服務(wù)商提出了基本安全能力

GB/T31168—2014《》

要求反映了云服務(wù)商在保障云計算環(huán)境中客戶信息和業(yè)務(wù)的安全時應(yīng)具備的基本能力

,。

將云計算服務(wù)安全能力要求分為一般要求和增強要求增強要求是對一般要求的

GB/T31168—2014,

補充和強化在實現(xiàn)增強要求時一般要求應(yīng)首先得到滿足有的安全要求只列出了增強要求一般要

。,。,

求標為無這表明具有一般安全能力的云服務(wù)商可以不實現(xiàn)此項安全要求在具體的應(yīng)用場景下

“”。。,

云服務(wù)商也可采用刪減補充替代等多種方式對安全要求進行調(diào)整

、、。

本標準是的配套標準對應(yīng)于的第章第章規(guī)定的

GB/T31168—2014,GB/T31168—20145~14

要求本標準也從第章第章給出了相應(yīng)的評估方法本標準主要為第三方評估機構(gòu)開展云計算

,5~14。

服務(wù)安全能力評估提供指導(dǎo)第三方評估機構(gòu)可采用訪談檢查測試等多種方式制定相應(yīng)安全評估

。、、,

方案并實施安全評估

,。

Ⅵ

GB/T34942—2017

信息安全技術(shù)

云計算服務(wù)安全能力評估方法

1范圍

本標準規(guī)定了依據(jù)信息安全技術(shù)云計算服務(wù)安全能力要求開展評估的

GB/T31168—2014《