信息安全技術(shù)云計算服務(wù)安全能力要求編制說明

1、國家標準信息安全技術(shù) 云計算服務(wù)安全能力要求（征求意見稿）編制說明一、工作簡況1、任務(wù)來源本標準和 GB/T 31167-2014信息安全技術(shù) 云計算服務(wù)安全指南是我國 首批發(fā)布的云計算服務(wù)安全國家標準， 有效地支撐了黨政部門云計算服務(wù)安全審 查工作，從技術(shù)和管理兩個方面分別闡述了云計算服務(wù)安全要求。 隨著云計算服 務(wù)審查工作的積累、云計算技術(shù)發(fā)展以及黨政部門采購云計算服務(wù)形式的多樣 化，逐步發(fā)現(xiàn)標準存在審查工作量大、周期長，責任劃分難度增加、云服務(wù)安全 標準自身條款超前、 部分條款不易理解、 云持續(xù)監(jiān)督工作需求緊迫等問題， 為支 撐審查工作的開展， 有效指導云服務(wù)商建設(shè)安全的云計算平臺， 迫

2、切需要結(jié)合新 趨勢、新問題對本標準進行修訂，并做好與相關(guān)標準的銜接。2019年 7月，國家互聯(lián)網(wǎng)信息辦公室等發(fā)布云計算服務(wù)安全評估辦法 ， 規(guī)定參照國家標準云計算服務(wù)安全能力要求 、云計算服務(wù)安全指南 ，對面 向黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施提供云計算服務(wù)的云平臺進行的安全評估。根據(jù)全國信息安全標準化技術(shù)委員會 2019 年下達的國家標準制修訂計劃： 信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全防護能力評價方法 ，該標準由交通運輸 信息中心負責承辦，由全國信息安全標準化技術(shù)委員會歸口管理。2、主要起草單位和工作組成員 本標準由中電數(shù)據(jù)服務(wù)有限公司牽頭，四川大學、中國電子技術(shù)標準化研 究院、 中國網(wǎng)絡(luò)安全審查

3、技術(shù)與認證中心、 國家信息技術(shù)安全研究中心、 中國信 息安全測評中心、 中國信息通信研究院、 北京信息安全測評中心、 中國軟件評測 中心、中電長城網(wǎng)際系統(tǒng)應用有限公司、 國家工業(yè)信息安全中心、 神州網(wǎng)信技術(shù) 有限公司、 阿里云計算有限公司、 寧夏西云數(shù)據(jù)科技有限公司、 中國電信云股份 有限公司云計算分公司、 華為技術(shù)有限公司、 深信服科技股份有限公司、 深圳騰 訊計算機系統(tǒng)有限公司、京東云計算（北京）有限公司、浙江螞蟻金服小微金融 服務(wù)集團股份有限公司、武漢理工大學、上海市方達（北京）律師事務(wù)所等單位 共同參與起草。3、主要工作過程（1）2018年10月至 12月，在全國信安標委 2018年第

4、二次會議周上做標 準修訂報告， 會后開展云計算標準、 技術(shù)和產(chǎn)業(yè)以及黨政部門云服務(wù)安全管理實 踐調(diào)研（2）2019年 1 月至 2 月，研究國內(nèi)外云計算安全相關(guān)標準，為本標準的編 制奠定基礎(chǔ)，包括：對比 GB/T 31168-2014 與網(wǎng)絡(luò)安全等級保護 2.0； GB/T 31168-2014與FEDRAMP安全基線的對照表（NIST 80053）分析比較；FEDRAMP 中、高級安全基線比較表高級要求新增條款；以及 CSA 云安全指南重點內(nèi)容摘 要等 。要等 。（3）2019年2月至 4月，成立編制組，召開項目申報啟動會，討論明確標 準修訂思路； 在編制組范圍收集標準反饋意見， 組織 3

5、次標準研討會； 形成標準 草案。（4）2019年4月，在全國信安標委 2019年第1次會議周上做立項匯報， 征集標準修訂意見。（5）2019年5月至6月，召開專家研討會， 請云服務(wù)安全審查和第三方機 構(gòu)技術(shù)專家對標準草案提出意見，根據(jù)反饋意見修改完善標準草案。（ 6） 2019 年 7 月至 8 月，征集參與過云服務(wù)安全審查工作的云服務(wù)商反饋 意見，包括阿里云、華為、電信、浪潮、曙光、騰訊、金山云、京東云、未來國 際、深信服等，根據(jù)反饋意見修改完善標準草案。（7） 2019年 9 月，通過立項審批，公開征集標準參編單位。（9）2019年 1 0月，召開正式立項后的標準項目啟動會和專家評審會，根

6、 據(jù)反饋意見修改完善標準草案，在全國信安標委 2019年第 2次會議周上做標準 修訂工作匯報，經(jīng)組內(nèi)投票同意轉(zhuǎn)征求意見稿。（10）2019年11月，在北京組織編制組研討會，修改完善標準內(nèi)容；在成 都四川大學組織的云計算安全國家標準和相關(guān)問題研討會上， 就當前的一些關(guān)鍵 問題進行討論并征求專家意見。二、標準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題1 、標準編制原則一是先進性原則。 充分吸收已有云安全相關(guān)標準，本標準在修訂過程中充 分參考了國際、國內(nèi)有關(guān)云計算安全的先進標準和技術(shù)規(guī)范，對美國 Fedramp 云安全基線要求、 NIST 800-53、ISO/IEC 27017、CSA 安全指南

7、等相關(guān)標準的長 處進行了吸收，基本覆蓋了上述標準的要求。二是中立性原則。 保持技術(shù)中立，在提出安全要求時，不限制具體的實現(xiàn) 方法，以便于為今后的技術(shù)發(fā)展留下空間。三是合理性原則。 結(jié)合我國云計算服務(wù)安全評估工作實踐以及云計算技術(shù) 發(fā)展和服務(wù)部署的實際情況，提出適當?shù)陌踩蟆６?、主要?nèi)容 本標準描述了以社會化方式為特定客戶提供云計算服務(wù)時，云服務(wù)商應具 備的安全技術(shù)能力。本標準適用于對政府部門使用的云計算服務(wù)進行安全管理，也可供其他關(guān) 鍵信息基礎(chǔ)設(shè)施運營者使用云計算服務(wù)時參考， 還適用于指導云服務(wù)商建設(shè)安全 的云計算平臺和提供安全的云計算服務(wù)。本標準對云服務(wù)商提出了基本安全能力要求，反映了云服

8、務(wù)商在保障云計 算環(huán)境中客戶信息和業(yè)務(wù)的安全時應具備的基本能力。 這些安全要求分為 11 類， 每一類安全要求包含若干項具體要求。11類安全要求分別是： 系統(tǒng)開發(fā)與供應鏈安全：云服務(wù)商應在開發(fā)云計算平臺時對其提供充分 保護，對信息系統(tǒng)、 組件和服務(wù)的開發(fā)商提出相應要求， 為云計算平臺配置足夠 的資源，并充分考慮安全需求。 云服務(wù)商應確保其下級供應商采取了必要的安全 措施。云服務(wù)商還應為客戶提供有關(guān)安全措施的文檔和信息， 配合客戶完成對信 息系統(tǒng)和業(yè)務(wù)的管理。系統(tǒng)與通信保護：云服務(wù)商應在云計算平臺的外部邊界和內(nèi)部關(guān)鍵邊界 上監(jiān)視、控制和保護網(wǎng)絡(luò)通信， 并采用結(jié)構(gòu)化設(shè)計、 軟件開發(fā)技術(shù)和軟件工程方

9、 法有效保護云計算平臺的安全性。訪問控制：云服務(wù)商應在允許人員、進程、設(shè)備訪問云計算平臺之前， 應對其進行身份標識及鑒別，并限制其可執(zhí)行的操作和使用的功能。數(shù)據(jù)保護：云服務(wù)商應嚴格保護云計算平臺的客戶數(shù)據(jù)，確保境內(nèi)運營 中收集和產(chǎn)生的客戶數(shù)據(jù)在境內(nèi)存儲， 提供重要數(shù)據(jù)的備份與恢復功能， 協(xié)助客 戶完成數(shù)據(jù)遷移并在服務(wù)結(jié)束時安全返回數(shù)據(jù)。配置管理：云服務(wù)商應對云計算平臺進行配置管理，在系統(tǒng)生命周期內(nèi) 建立和維護云計算平臺（包括硬件、軟件、文檔等）的基線配置和詳細清單，并 設(shè)置和實現(xiàn)云計算平臺中各類產(chǎn)品的安全配置參數(shù)。維護：云服務(wù)商應維護好云計算平臺設(shè)施和軟件系統(tǒng)，并對維護所使用 的工具、技術(shù)、機

10、制以及維護人員進行有效的控制，且做好相關(guān)記錄。應急響應：云服務(wù)商應為云計算平臺制定應急響應計劃，并定期演練， 確保在緊急情況下重要信息資源的可用性。 云服務(wù)商應建立事件處理計劃， 包括 對事件的預防、檢測、分析和控制及系統(tǒng)恢復等，對事件進行跟蹤、記錄并向相 關(guān)人員報告。云服務(wù)商應具備容災恢復能力， 建立必要的備份與恢復設(shè)施和機制， 確?？蛻魳I(yè)務(wù)可持續(xù)。審計：云服務(wù)商應根據(jù)安全需求和客戶要求，制定可審計事件清單，明 確審計記錄內(nèi)容， 實施審計并妥善保存審計記錄， 對審計記錄進行定期分析和審 查，還應防范對審計記錄的非授權(quán)訪問、修改和刪除行為。風險評估與持續(xù)監(jiān)控：云服務(wù)商應定期或在威脅環(huán)境發(fā)生變化

11、時，對云 計算平臺進行風險評估， 確保云計算平臺的安全風險處于可接受水平。 云服務(wù)商 應制定監(jiān)控目標清單， 對目標進行持續(xù)安全監(jiān)控， 并在發(fā)生異常和非授權(quán)情況時 發(fā)出警報。安全組織與人員：云服務(wù)商應確保能夠接觸客戶信息或業(yè)務(wù)的各類人員 （包括供應商人員） 上崗時具備履行其安全責任的素質(zhì)和能力， 還應在授予相關(guān) 人員訪問權(quán)限之前對其進行審查并定期復查，在人員調(diào)動或離職時履行安全程 序，對于違反安全規(guī)定的人員進行處罰。物理與環(huán)境保護： 云服務(wù)商應確保機房位于中國境內(nèi)， 機房選址、 設(shè)計、 供電、消防、溫濕度控制等符合相關(guān)標準的要求。云服務(wù)商應對機房進行監(jiān)控， 嚴格限制各類人員與運行中的云計算平臺設(shè)

12、備進行物理接觸， 確需接觸的， 需通 過云服務(wù)商的明確授權(quán)。與GB/T 311682014相比，主要變化如下：刪除原 4.7節(jié) 本標準的結(jié)構(gòu)。修改術(shù)語定義3.1-3.6，與GB/T 32400云計算術(shù)語標準保持一致。刪除原 5.1、6.1、7.1、8.1、9.1、10.1、 11.1、12.1、13.1和14.1 策略與 規(guī)程，相關(guān)要求整合至 14 安全組織與人員 14.1 策略與規(guī)程中。精簡標準條款，梳理減少原則性要求、重復性要求，其中有相關(guān)國家標 準要求的，如物理與環(huán)境要求引用。明確標準內(nèi)容，減少賦值和選擇操作，確需保留的，以舉例或附錄模板 等形式盡可能給出參考值。結(jié)合云計算平臺的特點，修

13、改 6.1 邊界保護、 6.11系統(tǒng)虛擬化等，細化 網(wǎng)絡(luò)隔離等內(nèi)容。增加 6.14 安全管理中心，針對云計算管理平臺或系統(tǒng)的安全能力要求。補充PAAS/SAAS等模式的安全技術(shù)要求，包括：7.21 Web訪問安全、7.22API訪問安全增加第 8 章 數(shù)據(jù)保護，做好與關(guān)鍵信息基礎(chǔ)設(shè)施保護、個人信息和重要 數(shù)據(jù)保護相關(guān)標準的銜接， 確保客戶遷移數(shù)據(jù)過程中的業(yè)務(wù)連續(xù)性和數(shù) 據(jù)完整性。將第 10章維護改為“維護管理”，側(cè)重管理要求。增加第 16章 高級保護要求。根據(jù) GB/T 31167，承載敏感信息的重要業(yè) 務(wù)和關(guān)鍵業(yè)務(wù)，應選擇達到高級保護能力的云服務(wù)。高級保護要求主要 包括： 1）結(jié)合云計算安全

14、評估工作實踐，將原增強要求中要求偏高的 內(nèi)容調(diào)整到高級保護要求，如采用自動機制； 2）采納行業(yè)云中較高的 安全要求，如金融行業(yè)云對災備的要求； 3）參考關(guān)鍵信息基礎(chǔ)設(shè)施保 護中適用于云計算平臺的要求， 如關(guān)鍵信息基礎(chǔ)設(shè)施保護有關(guān)供應鏈保 護、日志留存期限的要求； 4）其他云計算安全標準中較高的技術(shù)要求， 如等級保護四級新增的云計算服務(wù)擴展要求等。增加附錄B不同云能力類型下的不適用項，說明“基礎(chǔ)設(shè)施”、“平臺”、 “應用程序”能力類型的適用項或不適用項列表。三、主要試驗 或驗證 情況分析無。四、知識產(chǎn)權(quán)情況說明本標準不涉及專利。五、產(chǎn)業(yè)化情況、推廣應用論證和預期達到的經(jīng)濟效果無。六、采用國際標準和國外先進標準情況標準參考了國際和國外相關(guān)標準情況，根據(jù)我國國情制定。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標準的協(xié)調(diào)性 本標準符合中華人民共和國網(wǎng)絡(luò)安全法等現(xiàn)有法律法規(guī)的要求。根據(jù) 云計算服務(wù)安全評估辦法規(guī)定，與 GB/T 31167信息安全技術(shù) 云計算服 務(wù)安全指南配合使用，為政府部門和關(guān)鍵信息基礎(chǔ)設(shè)施的云計算服務(wù)安全評 估提