《信息安全技术 云计算服务安全能力要求 编制说明》由会员分享,可在线阅读,更多相关《信息安全技术 云计算服务安全能力要求 编制说明(6页珍藏版)》请在金锄头文库上搜索。
1、国家标准信息安全技术 云计算服务安全能力要求(征求意见稿)编制说明一、工作简况1、任务来源本标准和GB/T 31167-2014信息安全技术 云计算服务安全指南是我国首批发布的云计算服务安全国家标准,有效地支撑了党政部门云计算服务安全审查工作,从技术和管理两个方面分别阐述了云计算服务安全要求。随着云计算服务审查工作的积累、云计算技术发展以及党政部门采购云计算服务形式的多样化,逐步发现标准存在审查工作量大、周期长,责任划分难度增加、云服务安全标准自身条款超前、部分条款不易理解、云持续监督工作需求紧迫等问题,为支撑审查工作的开展,有效指导云服务商建设安全的云计算平台,迫切需要结合新趋势、新问题对本
2、标准进行修订,并做好与相关标准的衔接。2019年7月,国家互联网信息办公室等发布云计算服务安全评估办法,规定参照国家标准云计算服务安全能力要求、云计算服务安全指南,对面向党政机关、关键信息基础设施提供云计算服务的云平台进行的安全评估。根据全国信息安全标准化技术委员会2019年下达的国家标准制修订计划:信息安全技术 关键信息基础设施安全防护能力评价方法,该标准由交通运输信息中心负责承办,由全国信息安全标准化技术委员会归口管理。2、主要起草单位和工作组成员本标准由中电数据服务有限公司牵头,四川大学、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、国家信息技术安全研究中心、中国信息安全测评
3、中心、中国信息通信研究院、北京信息安全测评中心、中国软件评测中心、中电长城网际系统应用有限公司、国家工业信息安全中心、神州网信技术有限公司、阿里云计算有限公司、宁夏西云数据科技有限公司、中国电信云股份有限公司云计算分公司、华为技术有限公司、深信服科技股份有限公司、深圳腾讯计算机系统有限公司、京东云计算(北京)有限公司、浙江蚂蚁金服小微金融服务集团股份有限公司、武汉理工大学、上海市方达(北京)律师事务所等单位共同参与起草。3、主要工作过程(1)2018年10月至12月,在全国信安标委2018年第二次会议周上做标准修订报告,会后开展云计算标准、技术和产业以及党政部门云服务安全管理实践调研(2)20
4、19年1月至2月,研究国内外云计算安全相关标准,为本标准的编制奠定基础,包括:对比GB/T 31168-2014 与网络安全等级保护2.0;GB/T 31168-2014 与FEDRAMP安全基线的对照表(NIST 80053)分析比较;FEDRAMP中、高级安全基线比较表高级要求新增条款;以及CSA云安全指南重点内容摘要等 。(3)2019年2月至4月,成立编制组,召开项目申报启动会,讨论明确标准修订思路;在编制组范围收集标准反馈意见,组织3次标准研讨会;形成标准草案。(4)2019年4月,在全国信安标委2019年第1次会议周上做立项汇报,征集标准修订意见。(5)2019年5月至6月,召开专
5、家研讨会,请云服务安全审查和第三方机构技术专家对标准草案提出意见,根据反馈意见修改完善标准草案。(6)2019年7月至8月,征集参与过云服务安全审查工作的云服务商反馈意见,包括阿里云、华为、电信、浪潮、曙光、腾讯、金山云、京东云、未来国际、深信服等,根据反馈意见修改完善标准草案。(7)2019年9月,通过立项审批,公开征集标准参编单位。(9)2019年10月,召开正式立项后的标准项目启动会和专家评审会,根据反馈意见修改完善标准草案,在全国信安标委2019年第2次会议周上做标准修订工作汇报,经组内投票同意转征求意见稿。(10)2019年11月,在北京组织编制组研讨会,修改完善标准内容;在成都四川
6、大学组织的云计算安全国家标准和相关问题研讨会上,就当前的一些关键问题进行讨论并征求专家意见。二、标准编制原则和确定主要内容的论据及解决的主要问题1、标准编制原则一是先进性原则。充分吸收已有云安全相关标准,本标准在修订过程中充分参考了国际、国内有关云计算安全的先进标准和技术规范,对美国Fedramp云安全基线要求、NIST 800-53、ISO/IEC 27017、CSA安全指南等相关标准的长处进行了吸收,基本覆盖了上述标准的要求。二是中立性原则。保持技术中立,在提出安全要求时,不限制具体的实现方法,以便于为今后的技术发展留下空间。三是合理性原则。结合我国云计算服务安全评估工作实践以及云计算技术
7、发展和服务部署的实际情况,提出适当的安全要求。二、主要内容本标准描述了以社会化方式为特定客户提供云计算服务时,云服务商应具备的安全技术能力。本标准适用于对政府部门使用的云计算服务进行安全管理,也可供其他关键信息基础设施运营者使用云计算服务时参考,还适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务。本标准对云服务商提出了基本安全能力要求,反映了云服务商在保障云计算环境中客户信息和业务的安全时应具备的基本能力。这些安全要求分为11类,每一类安全要求包含若干项具体要求。11类安全要求分别是: 系统开发与供应链安全:云服务商应在开发云计算平台时对其提供充分保护,对信息系统、组件和服务的开发
8、商提出相应要求,为云计算平台配置足够的资源,并充分考虑安全需求。云服务商应确保其下级供应商采取了必要的安全措施。云服务商还应为客户提供有关安全措施的文档和信息,配合客户完成对信息系统和业务的管理。 系统与通信保护:云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通信,并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性。 访问控制:云服务商应在允许人员、进程、设备访问云计算平台之前,应对其进行身份标识及鉴别,并限制其可执行的操作和使用的功能。 数据保护:云服务商应严格保护云计算平台的客户数据,确保境内运营中收集和产生的客户数据在境内存储,提供重要数据的备份
9、与恢复功能,协助客户完成数据迁移并在服务结束时安全返回数据。 配置管理:云服务商应对云计算平台进行配置管理,在系统生命周期内建立和维护云计算平台(包括硬件、软件、文档等)的基线配置和详细清单,并设置和实现云计算平台中各类产品的安全配置参数。 维护:云服务商应维护好云计算平台设施和软件系统,并对维护所使用的工具、技术、机制以及维护人员进行有效的控制,且做好相关记录。 应急响应:云服务商应为云计算平台制定应急响应计划,并定期演练,确保在紧急情况下重要信息资源的可用性。云服务商应建立事件处理计划,包括对事件的预防、检测、分析和控制及系统恢复等,对事件进行跟踪、记录并向相关人员报告。云服务商应具备容灾
10、恢复能力,建立必要的备份与恢复设施和机制,确保客户业务可持续。 审计:云服务商应根据安全需求和客户要求,制定可审计事件清单,明确审计记录内容,实施审计并妥善保存审计记录,对审计记录进行定期分析和审查,还应防范对审计记录的非授权访问、修改和删除行为。 风险评估与持续监控:云服务商应定期或在威胁环境发生变化时,对云计算平台进行风险评估,确保云计算平台的安全风险处于可接受水平。云服务商应制定监控目标清单,对目标进行持续安全监控,并在发生异常和非授权情况时发出警报。 安全组织与人员:云服务商应确保能够接触客户信息或业务的各类人员(包括供应商人员)上岗时具备履行其安全责任的素质和能力,还应在授予相关人员
11、访问权限之前对其进行审查并定期复查,在人员调动或离职时履行安全程序,对于违反安全规定的人员进行处罚。 物理与环境保护:云服务商应确保机房位于中国境内,机房选址、设计、供电、消防、温湿度控制等符合相关标准的要求。云服务商应对机房进行监控,严格限制各类人员与运行中的云计算平台设备进行物理接触,确需接触的,需通过云服务商的明确授权。与GB/T 311682014相比,主要变化如下:删除原4.7节 本标准的结构。修改术语定义3.1-3.6,与GB/T 32400 云计算术语标准保持一致。删除原5.1、6.1、7.1、8.1、9.1、10.1、11.1、12.1、13.1和14.1 策略与规程,相关要求
12、整合至14 安全组织与人员 14.1 策略与规程中。精简标准条款,梳理减少原则性要求、重复性要求,其中有相关国家标准要求的,如物理与环境要求引用。明确标准内容,减少赋值和选择操作,确需保留的,以举例或附录模板等形式尽可能给出参考值。结合云计算平台的特点,修改6.1 边界保护、6.11系统虚拟化等,细化网络隔离等内容。增加6.14 安全管理中心,针对云计算管理平台或系统的安全能力要求。补充PAAS/SAAS等模式的安全技术要求,包括:7.21 Web访问安全、7.22 API访问安全 增加第8章 数据保护,做好与关键信息基础设施保护、个人信息和重要数据保护相关标准的衔接,确保客户迁移数据过程中的
13、业务连续性和数据完整性。将第10章维护改为“维护管理”,侧重管理要求。增加第16章 高级保护要求。根据GB/T 31167,承载敏感信息的重要业务和关键业务,应选择达到高级保护能力的云服务。高级保护要求主要包括:1)结合云计算安全评估工作实践,将原增强要求中要求偏高的内容调整到高级保护要求,如采用自动机制;2)采纳行业云中较高的安全要求,如金融行业云对灾备的要求;3)参考关键信息基础设施保护中适用于云计算平台的要求,如关键信息基础设施保护有关供应链保护、日志留存期限的要求;4)其他云计算安全标准中较高的技术要求,如等级保护四级新增的云计算服务扩展要求等。增加附录B不同云能力类型下的不适用项,说
14、明“基础设施”、“平台”、“应用程序”能力类型的适用项或不适用项列表。三、主要试验或验证情况分析无。四、知识产权情况说明本标准不涉及专利。五、产业化情况、推广应用论证和预期达到的经济效果无。六、采用国际标准和国外先进标准情况标准参考了国际和国外相关标准情况,根据我国国情制定。七、与现行相关法律、法规、规章及相关标准的协调性本标准符合中华人民共和国网络安全法等现有法律法规的要求。根据云计算服务安全评估办法规定,与GB/T 31167信息安全技术 云计算服务安全指南配合使用,为政府部门和关键信息基础设施的云计算服务安全评估提供技术支撑。八、重大分歧意见的处理经过和依据编制过程中未出现重大分歧。其他详见意见汇总处理表。九、标准性质的建议根据本标准的性质,建议本标准为推荐性标准。十、贯彻标准的要求和措施建议建议云计算服务提供商、第三方评估机构、网络安全保护工作部门等相关单位进行宣贯。十一、替代或废止现行相关标准的建议本标准将替代GB/T 31168-2014信息安全技术 云计算服务安全能力要求。十二、其它应予说明的事项无。云计算服务安全能力要求标准编制组2020年1月6
