《煙草行業(yè)云計算應(yīng)用安全技術(shù)規(guī)范》編制說明

《煙草行業(yè)云計算應(yīng)用安全技術(shù)規(guī)范》編制說明1工作簡況1.1任務(wù)來源《煙草行業(yè)云計算應(yīng)用安全技術(shù)規(guī)范》是2021年度下達(dá)的國家煙草專賣局行業(yè)標(biāo)準(zhǔn)項目（國煙科〔2021〕169號），項目類別：YC/Z，項目編號14，本項目為新制定標(biāo)準(zhǔn)項目。1.2制定本標(biāo)準(zhǔn)的必要性當(dāng)前，煙草行業(yè)按照“1242”總體架構(gòu)要求開展生產(chǎn)經(jīng)營管理一體化平臺建設(shè)，行業(yè)數(shù)字新基建為一體化平臺應(yīng)用和省級單位自建應(yīng)用的運(yùn)行環(huán)境提供計算、存儲、網(wǎng)絡(luò)的共享資源，云平臺是行業(yè)數(shù)字新基建最重要的組成部分。因此，國家局提出了“1+1+N”的云平臺體系架構(gòu)，行業(yè)內(nèi)各單位正如火如荼地開展云平臺建設(shè)。按照網(wǎng)絡(luò)安全與信息化發(fā)展同步規(guī)劃、同步建設(shè)、同步運(yùn)行的工作原則，應(yīng)在云平臺的建設(shè)過程中同步開展云安全工作，積極根據(jù)新形勢新要求推進(jìn)云計算平臺安全標(biāo)準(zhǔn)研制，規(guī)范云計算平臺設(shè)計、建設(shè)、運(yùn)行相關(guān)的安全技術(shù)要求，指導(dǎo)煙草行業(yè)各單位云計算平臺建設(shè)和運(yùn)行的安全工作。項目必要性主要體現(xiàn)在以下幾個方面首先，是保障煙草行業(yè)技術(shù)轉(zhuǎn)型安全的發(fā)展要求。煙草行業(yè)緊跟新科技時代潮頭，緊緊抓住新技術(shù)推動產(chǎn)業(yè)發(fā)展的機(jī)遇，構(gòu)建行業(yè)生產(chǎn)經(jīng)營管理一體化平臺，將云計算技術(shù)融入煙草行業(yè)的營銷服務(wù)領(lǐng)域、物流配送領(lǐng)域、專賣領(lǐng)域和政務(wù)領(lǐng)域業(yè)務(wù)，行業(yè)各單位正在落實云計算平臺的建設(shè)需求。制訂煙草行業(yè)云計算平臺安全標(biāo)準(zhǔn)，可以提高云計算平臺建管用的安全管控能力，保障行業(yè)生產(chǎn)經(jīng)營管理一體化平臺的安全穩(wěn)定運(yùn)行，助推煙草行業(yè)高質(zhì)量發(fā)展。其次，是建立煙草行業(yè)云安全體系的必然要求。在煙草行業(yè)云計算建設(shè)熱潮中，逐漸發(fā)現(xiàn)行業(yè)云計算建設(shè)需要頂層安全設(shè)計。當(dāng)前，包括“等保2.0”在內(nèi)的國內(nèi)外有關(guān)云計算的安全標(biāo)準(zhǔn)，對于云計算平臺更多關(guān)注公有云服務(wù)市場的安全要求，而煙草行業(yè)將建設(shè)自己專有云或者混合云。從云計算平臺建設(shè)者、運(yùn)營者、使用者角度，煙草行業(yè)云計算安全體系既要關(guān)注云計算平臺的自身安全、又要關(guān)注云計算平臺的租戶側(cè)安全、還要關(guān)注平臺所提供服務(wù)的安全。其中，在云計算平臺自身安全中，既要關(guān)注云架構(gòu)安全、又要關(guān)注傳統(tǒng)架構(gòu)安全、更要關(guān)注數(shù)據(jù)、服務(wù)上云及從云端撤離的整體安全。因此，建立煙草行業(yè)云安全體系十分必要。第三，是保護(hù)煙草行業(yè)網(wǎng)絡(luò)安全投資的基本要求。盡管云上安全與云下安全在治理理念上相通，但在實現(xiàn)方法上有較大差異。伴隨著云計算平臺的建設(shè)，對于云計算操作系統(tǒng)、計算服務(wù)、存儲服務(wù)、網(wǎng)絡(luò)服務(wù)、中間件等各類服務(wù)都需要構(gòu)建全新的安全體系，因此，需要一整套云安全標(biāo)準(zhǔn)指導(dǎo)全行業(yè)在云計算安全體系建設(shè)中少走彎路、保護(hù)投資、降低風(fēng)險、規(guī)范管理。1.3項目承擔(dān)單位、協(xié)作單位及主要分工國家煙草專賣局煙草經(jīng)濟(jì)信息中心是該項目的牽頭承擔(dān)單位，負(fù)責(zé)項目組織，編寫基本原則、總體框架、總體要求，組織編寫具體的技術(shù)和管理要求以及試點驗證。中國煙草總公司浙江省公司具體負(fù)責(zé)標(biāo)準(zhǔn)編制工作的實施方案、調(diào)研論證、框架構(gòu)建、文本編制、試點驗證等工作；中國煙草總公司信息系統(tǒng)上海容災(zāi)中心主要參與標(biāo)準(zhǔn)具體模塊的調(diào)研、編寫及試點驗證工作。1.4主要工作過程1.4.1前期工作行業(yè)提出“1+1+N”云平臺體系總體架構(gòu)，上海容災(zāi)中心作為主中心節(jié)點，浙江省局作為副中心節(jié)點，兩家單位都建設(shè)了體系完備的云計算平臺，并探索構(gòu)建了相應(yīng)地云安全體系，較好地支撐了行業(yè)一體化平臺建設(shè)，也為行業(yè)云安全標(biāo)準(zhǔn)的制訂積累了相關(guān)經(jīng)驗。國家煙草專賣局煙草經(jīng)濟(jì)信息中心組織上海容災(zāi)中心和浙江省局研討煙草行業(yè)云計算平臺建設(shè)、管理、應(yīng)用過程中的安全相關(guān)事宜，決定研制《煙草行業(yè)云計算應(yīng)用安全技術(shù)規(guī)范》來指導(dǎo)和規(guī)范行業(yè)云計算平臺建設(shè)和運(yùn)行的安全工作。1.4.2標(biāo)準(zhǔn)申報與合同簽訂2021年10月底，國家煙草專賣局煙草經(jīng)濟(jì)信息中心組織浙江省煙草專賣局（公司）、中國煙草總公司信息系統(tǒng)上海容災(zāi)中心，共同編制了標(biāo)準(zhǔn)項目申報書，并提交至全國煙草標(biāo)準(zhǔn)化技術(shù)委員會。2021年12月，《國家煙草專賣局關(guān)于印發(fā)2021年度煙草行業(yè)標(biāo)準(zhǔn)項目計劃（第二批）的通知》（國煙科〔2021〕169號）對該申請項目予以立項。項目承擔(dān)單位根據(jù)要求起草并簽訂了合同，開展項目啟動工作。1.4.3標(biāo)準(zhǔn)草案編制階段2022年1月，項目組召開第一次項目啟動會，會議討論了標(biāo)準(zhǔn)項目實施方案，并組建了標(biāo)準(zhǔn)編制團(tuán)隊，制定工作進(jìn)度和任務(wù)分工。會議討論并確定的主要意見如下：1）鑒于煙草行業(yè)對于云平臺普遍處于新建和初步運(yùn)行使用階段，缺乏對云安全標(biāo)準(zhǔn)的了解，需要對國家及其他行業(yè)云安全相關(guān)標(biāo)準(zhǔn)進(jìn)行研究分析，并結(jié)合煙草行業(yè)實際需求開展標(biāo)準(zhǔn)編制，初步擬定云安全標(biāo)準(zhǔn)調(diào)研對象包括國家云安全標(biāo)準(zhǔn)、公安部云安全標(biāo)準(zhǔn)以及與煙草行業(yè)體量及組織架構(gòu)類似的國家電網(wǎng)等企業(yè)的安全標(biāo)準(zhǔn)；2）鑒于云安全管理的復(fù)雜性，標(biāo)準(zhǔn)應(yīng)該覆蓋技術(shù)要求及管理要求；2022年5月，浙江省局依據(jù)工作分工完成了對國家及行業(yè)外單位的云安全標(biāo)準(zhǔn)的調(diào)研情況及標(biāo)準(zhǔn)分析工作，并確定從技術(shù)和管理、云平臺側(cè)及應(yīng)用側(cè)兩個維度開展云安全標(biāo)準(zhǔn)框架搭建，并開展標(biāo)準(zhǔn)編制工作。2022年9月，項目組經(jīng)過9輪討論和修改，就標(biāo)準(zhǔn)內(nèi)容基本達(dá)成一致意見，形成標(biāo)準(zhǔn)初稿。2022年10月底，國家煙草專賣局煙草經(jīng)濟(jì)信息中心組織浙江省局和上海容災(zāi)中心研討標(biāo)準(zhǔn)編制情況（受疫情影響，研討會以視頻會議的形式召開），三家單位一致認(rèn)可標(biāo)準(zhǔn)的整體編制思路、編制框架，并提出為驗證標(biāo)準(zhǔn)的可行性，需對標(biāo)準(zhǔn)進(jìn)行適應(yīng)性驗證。經(jīng)項目組內(nèi)部討論，鑒于行業(yè)各單位云平臺普遍處于初建狀態(tài)，考慮到云平臺主中心（上海）節(jié)點云平臺規(guī)模大、云產(chǎn)品多、承載應(yīng)用多、對安全的要求高等原因，決定由云平臺主中心（上海）節(jié)點作為標(biāo)準(zhǔn)適應(yīng)性先行驗證單位。2022年12月，云平臺主中心（上海）節(jié)點召開驗證啟動會，制定驗證計劃，考慮云平臺主中心（上海）節(jié)點正處于一體化平臺應(yīng)用開發(fā)上線高峰和關(guān)鍵期，本次驗證以云平臺側(cè)技術(shù)及管理相關(guān)要求為主。2023年3月，云平臺主中心（上海）節(jié)點完成標(biāo)準(zhǔn)適應(yīng)性驗證，項目組認(rèn)為標(biāo)準(zhǔn)基本上能夠滿足云平臺安全技術(shù)應(yīng)用和安全管理需求，建議在此基礎(chǔ)上對部分內(nèi)容進(jìn)行細(xì)化完善。2023年7月，在完成標(biāo)準(zhǔn)優(yōu)化之后，國家煙草專賣局煙草經(jīng)濟(jì)信息中心組織開展標(biāo)準(zhǔn)研討和評審，提出以下修改意見：一是進(jìn)一步引導(dǎo)行業(yè)單位重視云安全管理，建議標(biāo)準(zhǔn)順序調(diào)整為“先安全管理、后安全技術(shù)”；二是需要在標(biāo)準(zhǔn)中明確云平臺等保3級要求；三是需要在標(biāo)準(zhǔn)中進(jìn)一步明確國密算法符合性評估要求；四是對標(biāo)準(zhǔn)邏輯框架圖做相應(yīng)修訂；五是與行業(yè)最新的《行業(yè)網(wǎng)絡(luò)攻防演習(xí)云平臺防守安全指南》進(jìn)一步融入，將有關(guān)要求以標(biāo)準(zhǔn)的形式予以體現(xiàn)；六是注明術(shù)語引用的出處；七是對云平臺安全區(qū)域的劃分進(jìn)一步明確；八是安全管理要求和安全技術(shù)要求的內(nèi)容做好切分。2023年8月，浙江省局組織全省部分網(wǎng)絡(luò)安全專家開展集中封閉式研討，逐條對標(biāo)準(zhǔn)進(jìn)行驗證和優(yōu)化，確保標(biāo)準(zhǔn)要求明晰、符合實際、易于落地。1.4.4標(biāo)準(zhǔn)征求意見階段2023年9月，項目組共同編制完成標(biāo)準(zhǔn)征求意見材料（標(biāo)準(zhǔn)征求意見稿及編制說明），并將相關(guān)材料報送全國煙草標(biāo)準(zhǔn)化技術(shù)委員會企業(yè)分技術(shù)委員會秘書處，申請在國家局內(nèi)網(wǎng)和標(biāo)準(zhǔn)化網(wǎng)征集意見征集行業(yè)企業(yè)的意見修訂稿提交國家局。2相關(guān)領(lǐng)域的國、內(nèi)外標(biāo)準(zhǔn)研究和制修訂情況美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）2011年1月出版了《安全虛擬化技術(shù)安全指南》，并于同年12月出版了《公共云中的安全和隱私指南》。SP800-144《公共云中的安全和隱私指南》提供公有云計算的概況以及在安全和隱私方面的挑戰(zhàn)，論述了公有云環(huán)境的威脅、技術(shù)風(fēng)險和保護(hù)措施，并為規(guī)劃出合理的信息技術(shù)解決方案提供了一些見解,SP800-53最新版在云計算環(huán)境下針對訪問控制、審計和可追蹤、配置管理、標(biāo)識與鑒別、系統(tǒng)和服務(wù)獲取、系統(tǒng)和通信保護(hù)、系統(tǒng)和信息完整性、持續(xù)性規(guī)劃、事件響應(yīng)、維護(hù)、介質(zhì)保護(hù)、物理和環(huán)境保護(hù)等12個安全機(jī)制根據(jù)云計算的安全特點增加了相應(yīng)的安全措施，增加或增強(qiáng)的安全措施為本標(biāo)準(zhǔn)具體條款的編制提供指導(dǎo)。ISO/IECJTC1/SC27在2010年10月啟動了研究項目《云計算安全和隱私管理系統(tǒng)》，為云計算服務(wù)過程中的安全控制提供指導(dǎo)。ISO/IEC27017《基于ISO/IEC27002的云計算服務(wù)的信息安全控制措施實用規(guī)則》，第2部分（即ISO/IEC27017.2）《基于ISO/IEC27002的云計算服務(wù)使用的信息安全管理指南》，側(cè)重于規(guī)范云計算服務(wù)使用中的信息安全管理問題，該部分已于2013年正式發(fā)布。國內(nèi)主要的云計算標(biāo)準(zhǔn)化組織有全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會（TC28，簡稱信標(biāo)委）云計算工作組、中國通信標(biāo)準(zhǔn)化協(xié)會（CCSA，簡稱通標(biāo)協(xié)）、全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260，簡稱信安標(biāo)委）等。全國信息安全技術(shù)標(biāo)準(zhǔn)化委員會制定了GB/T31167-2014《信息安全技術(shù)云計算服務(wù)安全指南》、GB/T31168-2014《信息安全技術(shù)云計算服務(wù)安全能力要求》、GB/T34942-2017《信息安全技術(shù)云計算服務(wù)安全能力評估方法》?！痘谠朴嬎愕碾娮诱?wù)公共平臺安全規(guī)范》系列標(biāo)準(zhǔn)也已發(fā)布實施。GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》中增加了“云計算安全擴(kuò)展要求”。除了國家標(biāo)準(zhǔn)，各行業(yè)也在制定體現(xiàn)行業(yè)需求的云計算行業(yè)標(biāo)準(zhǔn)。以下列出項目組前期參與調(diào)研分析的行業(yè)標(biāo)準(zhǔn)工作。國家電網(wǎng)制定由11個云相關(guān)標(biāo)準(zhǔn)組成的一體化“國網(wǎng)云”標(biāo)準(zhǔn)，對術(shù)語、云平臺架構(gòu)、云平臺軟硬件、云平臺上應(yīng)用開發(fā)測試等分別制定對應(yīng)標(biāo)準(zhǔn)，同時針對安全制定Q/GDW11822.2—2018《一體化“國網(wǎng)云”第9部分網(wǎng)絡(luò)與信息安全防護(hù)》進(jìn)行規(guī)定。中國人民銀行發(fā)布了JR/T0168-2018《云計算技術(shù)金融應(yīng)用規(guī)范技術(shù)架構(gòu)》、JR/T0167-2018《云計算技術(shù)金融應(yīng)用規(guī)范安全技術(shù)要求》、JR/T0168-2018《云計算技術(shù)金融應(yīng)用規(guī)范容災(zāi)》等3項標(biāo)準(zhǔn)，并基于標(biāo)準(zhǔn)制定測評規(guī)范。最高人民法院發(fā)布了FYB/T54007.1-2018《法院云計算平臺技術(shù)規(guī)范第1部分：專有云》FYB/T54007.2-2018《法院云計算平臺技術(shù)規(guī)范第2部分：開放云》。國家廣播電視總局發(fā)布了廣播電視行業(yè)標(biāo)準(zhǔn)GY/T321-2019《縣級融媒體中心省級技術(shù)平臺規(guī)范要求》以及《縣級融媒體中心建設(shè)規(guī)范》。密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會（簡稱密標(biāo)委）在進(jìn)行云密鑰管理技術(shù)研究。公安部制定了公安云計算平臺系列規(guī)范性技術(shù)文件，以云安全等級防護(hù)和云安全防御產(chǎn)品相關(guān)技術(shù)性要求為主，強(qiáng)調(diào)云平臺本身的安全技術(shù)性要求。3標(biāo)準(zhǔn)編制原則與主要內(nèi)容確定的依據(jù)3.1標(biāo)準(zhǔn)編制原則1）通用性原則本標(biāo)準(zhǔn)編制依據(jù)目前煙草行業(yè)各單位云平臺軟件采購使用情況，標(biāo)準(zhǔn)需要符合行業(yè)云平臺體系的技術(shù)特性、符合行業(yè)應(yīng)用系統(tǒng)部署架構(gòu)的應(yīng)用特性，符合行業(yè)各單位既是建設(shè)者、又是使用者、還是管理者的用戶特性。2）科學(xué)性和先進(jìn)性原則本標(biāo)準(zhǔn)的編制需要能夠指導(dǎo)當(dāng)前和今后一段時期內(nèi)行業(yè)云平臺體系安全能力的建設(shè)和提升。3）適用性和可操作性原則本標(biāo)準(zhǔn)的編制遵循國家標(biāo)準(zhǔn)，貼合煙草行業(yè)“1+1+N”云平臺體系特點和實際，需要覆蓋建、管、用全生命周期安全要求、覆蓋安全管理和安全技術(shù)要求、覆蓋平臺方安全和使用方安全要求。3.2標(biāo)準(zhǔn)主要內(nèi)容確定的依據(jù)1）標(biāo)準(zhǔn)名稱本項目遵照國家局計劃下達(dá)文件名字為“煙草行業(yè)云計算應(yīng)用安全技術(shù)規(guī)范”。2）范圍本標(biāo)準(zhǔn)規(guī)定了云計算技術(shù)在煙草行業(yè)應(yīng)用的相關(guān)安全要求。本標(biāo)準(zhǔn)適用于指導(dǎo)煙草行業(yè)各單位開展云計算平臺建設(shè)、管理和運(yùn)行的安全工作，規(guī)范云計算應(yīng)用相關(guān)的設(shè)計、建設(shè)、運(yùn)行安全技術(shù)和管理工作。3）規(guī)范性引用文件GB/T31167-2023《信息安全技術(shù)云計算服務(wù)安全指南》GB/T32400-2015《信息技術(shù)云計算概覽與詞匯》GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》GB/T22240-2020《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》YQ-XX/T3-2017《煙草行業(yè)信息安全基線管理技術(shù)規(guī)范》上述標(biāo)準(zhǔn)因本文件的引用，其他引用條款及內(nèi)容適用于本標(biāo)準(zhǔn)。4）標(biāo)準(zhǔn)體系結(jié)構(gòu)在制定煙草行業(yè)云計算應(yīng)用安全標(biāo)準(zhǔn)框架時，從三個維度進(jìn)行框架構(gòu)建：維度1：以安全技術(shù)和安全管理為主線。按照云安全技術(shù)和云安全管理要求，對云平臺和云資源使用的安全技術(shù)要求和安全管理要求分別開展標(biāo)準(zhǔn)制定。維度2：以平臺方安全和使用方安全為主線。按照云平臺運(yùn)營者和云平臺使用者兩個視角，分別對云平臺在規(guī)劃、建設(shè)、運(yùn)營運(yùn)維的安全要求和云的不同使用類型下安全要求開展標(biāo)準(zhǔn)制定。維度3：以全生命周期為主線。按照“建設(shè)、使用、退出”的全生命周期順序，對每個環(huán)節(jié)中平臺和應(yīng)用分別從安全技術(shù)要求和安全管理要求開展標(biāo)準(zhǔn)制定。三個維度對煙草行業(yè)云安全能力要求進(jìn)行了全覆蓋?？紤]到煙草行業(yè)云架構(gòu)和使用類型多樣的特點，項目組認(rèn)為把“安全管理+安全技術(shù)”作為第一維度，“平臺方安全+使用方安全”作為第二維度，“建+管+用”作為第三維度的思路構(gòu)建標(biāo)準(zhǔn)更貼合行業(yè)云安全管理模式、標(biāo)準(zhǔn)使用習(xí)慣，更有利于未來行業(yè)各單位快速匹配云安全管理與云安全技術(shù)要求。據(jù)此項目組依據(jù)此框架開展標(biāo)準(zhǔn)框架細(xì)化和標(biāo)準(zhǔn)制定。5）云計算安全管理要求云計算安全管理要求包括平臺方和使用方在云計算平臺在安全建設(shè)、安全使用和安全運(yùn)維中的管理要求。其中對云計算平臺安全管理覆蓋從前期設(shè)計、建設(shè)及上線安全以及后續(xù)的使用安全管理要求。針對云平臺，對云計算平臺方及使用方按照“建、管、用”全生命周期各階段的安全管理要求進(jìn)行明確。（1）在平臺安全建設(shè)管理方面，對云計算平臺在建設(shè)階段涉及的安全方案設(shè)計、安全建設(shè)實施環(huán)節(jié)管理要求進(jìn)行規(guī)定，引導(dǎo)行業(yè)單位在云平臺建設(shè)中進(jìn)一步重視安全設(shè)計、安全論證管理重要性，指導(dǎo)如何“建好云”。（2）在平臺安全運(yùn)維管理方面，對云計算平臺在運(yùn)維過程中涉及到權(quán)限控制、安全監(jiān)控以及安全事件發(fā)生時需要采取的分析研判和事件處置等管理要求進(jìn)行規(guī)定；引導(dǎo)行業(yè)單位強(qiáng)化云安全事件處置能力建設(shè)；指導(dǎo)如何“管好云”。（3）在平臺安全使用管理方面，對云計算平臺如何安全使用的管理要求從審計、風(fēng)險管理和檢查評估三個維度的管理要求進(jìn)行明確，指導(dǎo)如何“用好云”。針對使用方，以應(yīng)用建設(shè)從設(shè)計、開發(fā)、使用全過程為主線，并結(jié)合云平臺與應(yīng)用的結(jié)合，針對上述各環(huán)節(jié)提出相關(guān)的安全管理要求。（1）在設(shè)計階段，要求應(yīng)用需要考慮云平臺安全組件的使用需求；（2）在開發(fā)階段，為更好的統(tǒng)一開發(fā)技術(shù)棧，規(guī)定需使用云平臺提供的開發(fā)環(huán)境；（3）在上線階段，需統(tǒng)一使用云平臺提供的發(fā)布組件，以實現(xiàn)對應(yīng)用上線的統(tǒng)一管理；（4）在使用階段，對應(yīng)用會使用到的云平臺相關(guān)權(quán)限的管理提出要求、對安全風(fēng)險管理與安全事件處置等做了規(guī)定。6）云計算安全技術(shù)要求在云計算平臺方安全技術(shù)要求方面，對云計算平臺物理、網(wǎng)絡(luò)、主機(jī)、資源、應(yīng)用、數(shù)據(jù)所需滿足的安全技術(shù)要求進(jìn)行明確。（1）在物理安全方面，依據(jù)網(wǎng)絡(luò)安全等級保護(hù)要求，對云平臺基礎(chǔ)設(shè)施及系統(tǒng)部署物理位置位置及環(huán)境安全要求進(jìn)行規(guī)定，指導(dǎo)行業(yè)單位云基礎(chǔ)設(shè)施建設(shè)符合安全要求；（2）在網(wǎng)絡(luò)安全方面，結(jié)合煙草行業(yè)實際以及云虛擬網(wǎng)絡(luò)特殊性，對云和非云、云網(wǎng)絡(luò)層整體架構(gòu)、云內(nèi)VPC與VPC之間的安全性進(jìn)行了安全技術(shù)要求制定，并對三網(wǎng)隔離、邊界防護(hù)、訪問控制、入侵檢測、惡意代碼防護(hù)、網(wǎng)絡(luò)安全審計等提出明確技術(shù)要求。（3）在主機(jī)安全方面，對主機(jī)安全在身份鑒別、訪問控制、主機(jī)入侵防護(hù)、代碼和漏洞管理提出安全要求，并針對云平臺特有的鏡像和快照保護(hù)規(guī)定安全技術(shù)標(biāo)準(zhǔn)要求。（4）在應(yīng)用基礎(chǔ)安全方面，對云平臺管理組件及云上應(yīng)用應(yīng)提供的安全防護(hù)技術(shù)能力進(jìn)行規(guī)定，包括應(yīng)用經(jīng)常涉及的web攻擊、DDoS攻擊、應(yīng)用權(quán)限管理等進(jìn)行規(guī)定。（5）在數(shù)據(jù)基礎(chǔ)安全方面，對云平臺及云上應(yīng)用的數(shù)據(jù)防護(hù)技術(shù)能力進(jìn)行規(guī)定，包括平臺自生需要具備分布式存儲、全棧加密保護(hù)技術(shù)能力，平臺需要對云上應(yīng)用數(shù)據(jù)安全應(yīng)具備識別、傳輸、監(jiān)控和加密技術(shù)使用進(jìn)行規(guī)定；（6）在資源安全方面，針對云平臺的資源使用安全，從身份和權(quán)限管理、資源控制、運(yùn)維管理和集中監(jiān)控和審計五個方面對云平臺資源安全提出安全技術(shù)要求。在使用方安全技術(shù)要求方面，對云上應(yīng)用在開發(fā)、測試、上線、運(yùn)營各環(huán)節(jié)以及對應(yīng)用和數(shù)據(jù)自身應(yīng)具備的內(nèi)生安全能力要求進(jìn)行明確。（1）在應(yīng)用內(nèi)生安全方面，對云上應(yīng)用自身所需要具備的身份權(quán)限、入侵方法和安全監(jiān)控技術(shù)要求進(jìn)行規(guī)定，并對國密算法在應(yīng)用系統(tǒng)安全中的使用進(jìn)行引導(dǎo)。（2）在應(yīng)用開發(fā)安全方面，按照三同步原則，對應(yīng)用的安全設(shè)計及開發(fā)階段需要遵循行業(yè)編碼規(guī)范及代碼安全檢測需要滿足的技術(shù)要求進(jìn)行規(guī)定；（3）在應(yīng)用安全測試方面，對應(yīng)用開發(fā)完成后規(guī)定必須進(jìn)行安全性測試及代碼審計，并對相應(yīng)的技術(shù)要求進(jìn)行制定；（4）在應(yīng)用上線安全方面，對應(yīng)用上云之前需要完成的基線核查、滲透測試、基線加固等需要滿足的技術(shù)要求進(jìn)行規(guī)范，并在等保測評中對商用密碼安全性評估及系統(tǒng)密評做了建議要求;（5）在應(yīng)用運(yùn)營安全方