《信息安全技術(shù) 云計算服務安全能力要求-編制說明》

一、工作簡況

1、任務來源

本標準和GB/T31167-2014《信息安全技術(shù)云計算服務安全指南》是我國

首批發(fā)布的云計算服務安全國家標準，有效地支撐了黨政部門云計算服務安全審

查工作，從技術(shù)和管理兩個方面分別闡述了云計算服務安全要求。隨著云計算服

務審查工作的積累、云計算技術(shù)發(fā)展以及黨政部門采購云計算服務形式的多樣

化，逐步發(fā)現(xiàn)標準存在審查工作量大、周期長，責任劃分難度增加、云服務安全

標準自身條款超前、部分條款不易理解、云持續(xù)監(jiān)督工作需求緊迫等問題，為支

撐審查工作的開展，有效指導云服務商建設安全的云計算平臺，迫切需要結(jié)合新

趨勢、新問題對本標準進行修訂，并做好與相關標準的銜接。

2019年7月，國家互聯(lián)網(wǎng)信息辦公室等發(fā)布《云計算服務安全評估辦法》，

規(guī)定參照國家標準《云計算服務安全能力要求》、《云計算服務安全指南》，對面

向黨政機關、關鍵信息基礎設施提供云計算服務的云平臺進行的安全評估。

根據(jù)全國信息安全標準化技術(shù)委員會2019年下達的國家標準制修訂計劃：

《信息安全技術(shù)關鍵信息基礎設施安全防護能力評價方法》，該標準由交通運輸

信息中心負責承辦，由全國信息安全標準化技術(shù)委員會歸口管理。

2、主要起草單位和工作組成員

本標準由中電數(shù)據(jù)服務有限公司牽頭，四川大學、中國電子技術(shù)標準化研

究院、中國網(wǎng)絡安全審查技術(shù)與認證中心、國家信息技術(shù)安全研究中心、中國信

息安全測評中心、中國信息通信研究院、北京信息安全測評中心、中國軟件評測

中心、中電長城網(wǎng)際系統(tǒng)應用有限公司、國家工業(yè)信息安全中心、神州網(wǎng)信技術(shù)

有限公司、阿里云計算有限公司、寧夏西云數(shù)據(jù)科技有限公司、中國電信云股份

有限公司云計算分公司、華為技術(shù)有限公司、深信服科技股份有限公司、深圳騰

訊計算機系統(tǒng)有限公司、京東云計算（北京）有限公司、浙江螞蟻金服小微金融

服務集團股份有限公司、武漢理工大學、上海市方達（北京）律師事務所等單位

共同參與起草。

3、主要工作過程

（1）2018年10月至12月，在全國信安標委2018年第二次會議周上做標

準修訂報告，會后開展云計算標準、技術(shù)和產(chǎn)業(yè)以及黨政部門云服務安全管理實

1

踐調(diào)研

（2）2019年1月至2月，研究國內(nèi)外云計算安全相關標準，為本標準的編

制奠定基礎，包括：對比GB/T31168-2014與網(wǎng)絡安全等級保護2.0；GB/T

31168-2014與FEDRAMP安全基線的對照表（NIST80053）分析比較；FEDRAMP

中、高級安全基線比較表高級要求新增條款；以及CSA云安全指南重點內(nèi)容摘

要等。

（3）2019年2月至4月，成立編制組，召開項目申報啟動會，討論明確標

準修訂思路；在編制組范圍收集標準反饋意見，組織3次標準研討會；形成標準

草案。

（4）2019年4月，在全國信安標委2019年第1次會議周上做立項匯報，

征集標準修訂意見。

（5）2019年5月至6月，召開專家研討會，請云服務安全審查和第三方機

構(gòu)技術(shù)專家對標準草案提出意見，根據(jù)反饋意見修改完善標準草案。

（6）2019年7月至8月，征集參與過云服務安全審查工作的云服務商反饋

意見，包括阿里云、華為、電信、浪潮、曙光、騰訊、金山云、京東云、未來國

際、深信服等，根據(jù)反饋意見修改完善標準草案。

（7）2019年9月，通過立項審批，公開征集標準參編單位。

（9）2019年10月，召開正式立項后的標準項目啟動會和專家評審會，根

據(jù)反饋意見修改完善標準草案，在全國信安標委2019年第2次會議周上做標準

修訂工作匯報，經(jīng)組內(nèi)投票同意轉(zhuǎn)征求意見稿。

（10）2019年11月，在北京組織編制組研討會，修改完善標準內(nèi)容；在成

都四川大學組織的云計算安全國家標準和相關問題研討會上，就當前的一些關鍵

問題進行討論并征求專家意見。

二、標準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

1、標準編制原則

一是先進性原則。充分吸收已有云安全相關標準，本標準在修訂過程中充

分參考了國際、國內(nèi)有關云計算安全的先進標準和技術(shù)規(guī)范，對美國Fedramp

云安全基線要求、NIST800-53、ISO/IEC27017、CSA安全指南等相關標準的長

處進行了吸收，基本覆蓋了上述標準的要求。

2

二是中立性原則。保持技術(shù)中立，在提出安全要求時，不限制具體的實現(xiàn)

方法，以便于為今后的技術(shù)發(fā)展留下空間。

三是合理性原則。結(jié)合我國云計算服務安全評估工作實踐以及云計算技術(shù)

發(fā)展和服務部署的實際情況，提出適當?shù)陌踩蟆?/p>

二、主要內(nèi)容

本標準描述了以社會化方式為特定客戶提供云計算服務時，云服務商應具

備的安全技術(shù)能力。

本標準適用于對政府部門使用的云計算服務進行安全管理，也可供其他關

鍵信息基礎設施運營者使用云計算服務時參考，還適用于指導云服務商建設安全

的云計算平臺和提供安全的云計算服務。

本標準對云服務商提出了基本安全能力要求，反映了云服務商在保障云計

算環(huán)境中客戶信息和業(yè)務的安全時應具備的基本能力。這些安全要求分為11類，

每一類安全要求包含若干項具體要求。

11類安全要求分別是：

系統(tǒng)開發(fā)與供應鏈安全：云服務商應在開發(fā)云計算平臺時對其提供充分

保護，對信息系統(tǒng)、組件和服務的開發(fā)商提出相應要求，為云計算平臺配置足夠

的資源，并充分考慮安全需求。云服務商應確保其下級供應商采取了必要的安全

措施。云服務商還應為客戶提供有關安全措施的文檔和信息，配合客戶完成對信

息系統(tǒng)和業(yè)務的管理。

系統(tǒng)與通信保護：云服務商應在云計算平臺的外部邊界和內(nèi)部關鍵邊界

上監(jiān)視、控制和保護網(wǎng)絡通信，并采用結(jié)構(gòu)化設計、軟件開發(fā)技術(shù)和軟件工程方

法有效保護云計算平臺的安全性。

訪問控制：云服務商應在允許人員、進程、設備訪問云計算平臺之前，

應對其進行身份標識及鑒別，并限制其可執(zhí)行的操作和使用的功能。

數(shù)據(jù)保護：云服務商應嚴格保護云計算平臺的客戶數(shù)據(jù)，確保境內(nèi)運營

中收集和產(chǎn)生的客戶數(shù)據(jù)在境內(nèi)存儲，提供重要數(shù)據(jù)的備份與恢復功能，協(xié)助客

戶完成數(shù)據(jù)遷移并在服務結(jié)束時安全返回數(shù)據(jù)。

配置管理：云服務商應對云計算平臺進行配置管理，在系統(tǒng)生命周期內(nèi)

建立和維護云計算平臺（包括硬件、軟件、文檔等）的基線配置和詳細清單，并

3

設置和實現(xiàn)云計算平臺中各類產(chǎn)品的安全配置參數(shù)。

維護：云服務商應維護好云計算平臺設施和軟件系統(tǒng)，并對維護所使用

的工具、技術(shù)、機制以及維護人員進行有效的控制，且做好相關記錄。

應急響應：云服務商應為云計算平臺制定應急響應計劃，并定期演練，

確保在緊急情況下重要信息資源的可用性。云服務商應建立事件處理計劃，包括

對事件的預防、檢測、分析和控制及系統(tǒng)恢復等，對事件進行跟蹤、記錄并向相

關人員報告。云服務商應具備容災恢復能力，建立必要的備份與恢復設施和機制，

確?？蛻魳I(yè)務可持續(xù)。

審計：云服務商應根據(jù)安全需求和客戶要求，制定可審計事件清單，明

確審計記錄內(nèi)容，實施審計并妥善保存審計記錄，對審計記錄進行定期分析和審

查，還應防范對審計記錄的非授權(quán)訪問、修改和刪除行為。

風險評估與持續(xù)監(jiān)控：云服務商應定期或在威脅環(huán)境發(fā)生變化時，對云

計算平臺進行風險評估，確保云計算平臺的安全風險處于可接受水平。云服務商

應制定監(jiān)控目標清單，對目標進行持續(xù)安全監(jiān)控，并在發(fā)生異常和非授權(quán)情況時

發(fā)出警報。

安全組織與人員：云服務商應確保能夠接觸客戶信息或業(yè)務的各類人員

（包括供應商人員）上崗時具備履行其安全責任的素質(zhì)和能力，還應在授予相關

人員訪問權(quán)限之前對其進行審查并定期復查，在人員調(diào)動或離職時履行安全程

序，對于違反安全規(guī)定的人員進行處罰。

物理與環(huán)境保護：云服務商應確保機房位于中國境內(nèi)，機房選址、設計、

供電、消防、溫濕度控制等符合相關標準的要求。云服務商應對機房進行監(jiān)控，

嚴格限制各類人員與運行中的云計算平臺設備進行物理接觸，確需接觸的，需通

過云服務商的明確授權(quán)。

與GB/T31168—2014相比，主要變化如下：

——刪除原4.7節(jié)本標準的結(jié)構(gòu)。

——修改術(shù)語定義3.1-3.6，與GB/T32400《云計算術(shù)語》標準保持一致。

——刪除原5.1、6.1、7.1、8.1、9.1、10.1、11.1、12.1、13.1和14.1策略與

規(guī)程，相關要求整合至14安全組織與人員14.1策略與規(guī)程中。

4

——精簡標準條款，梳理減少原則性要求、重復性要求，其中有相關國家標

準要求的，如物理與環(huán)境要求引用。

——明確標準內(nèi)容，減少賦值和選擇操作，確需保留的，以舉例或附錄模板

等形式盡可能給出參考值。

——結(jié)合云計算平臺的特點，修改6.1邊界保護、6.11系統(tǒng)虛擬化等，細化

網(wǎng)絡隔離等內(nèi)容。

——增加6.14安全管理中心，針對云計算管理平臺或系統(tǒng)的安全能力要求。

——補充PAAS/SAAS等模式的安全技術(shù)要求，包括：7.21Web訪問安全、7.22

API訪問安全

——增加第8章數(shù)據(jù)保護，做好與關鍵信息基礎設施保護、個人信息和重要

數(shù)據(jù)保護相關標準的銜接，確?？蛻暨w移數(shù)據(jù)過程中的業(yè)務連續(xù)性和數(shù)

據(jù)完整性。

——將第10章維護改為“維護管理”，側(cè)重管理要求。

——增加第16章高級保護要求。根據(jù)GB/T31167，承載敏感信息的重要業(yè)

務和關鍵業(yè)務，應選擇達到高級保護能力的云服務。高級保護要求主要

包括：1）結(jié)合云計算安全評估工作實踐，將原增強要求中要求偏高的

內(nèi)容調(diào)整到高級保護要求，如采用自動機制；2）采納行業(yè)云中較高的

安全要求，如金融行業(yè)云對災備的要求；3）參考關鍵信息基礎設施保

護中適用于云計算平臺的要求，如關鍵信息基礎設施保護有關供應鏈保

護、日志留存期限的要求；4）其他云計算安全標準中較高的技術(shù)要求，

如等級保護四級新增的云計算服務擴展要求等。

——增加附錄B不同云能力類型下的不適用項，說明“基礎設施”、“平臺”、

“應用程序”能力類型的適用項或不適用項列表。

三、主要試驗[或驗證]情況分析

無。

四、知識產(chǎn)權(quán)情況說明

本標準不涉及專利。

五、產(chǎn)業(yè)化情況、推廣應用論證和預期達到的經(jīng)濟效果

5

無。

六、采用國際標準和國外先進標準情況

標準參考了國際和國外相關標準情況，根據(jù)我國國情制定。

七、與現(xiàn)行相關法律、法規(guī)、規(guī)章及相關標準的協(xié)調(diào)性

本標準符合《中華人民共和國網(wǎng)絡安全法》等現(xiàn)有法律法規(guī)的要求。根據(jù)

《云計算服務安全評估辦法》規(guī)定，與GB/T31167《信息安全技術(shù)云計算服

務安全指南》配合使用，為政府部門和關鍵信息基礎設施的云計算服務安全評

估提供技術(shù)支撐。

八、重大分歧意見的處理經(jīng)過和依據(jù)

編制過程中未出現(xiàn)重大分歧。其他詳見意見匯總處理表。

九、標準性質(zhì)的建議

根據(jù)本標準的性質(zhì)，建議本標準為推薦性標準。

十、貫徹標準的要求和措施建議

建議云計算服務提供商、第三方評估機構(gòu)、網(wǎng)絡安全