国家标准《信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求》编制说明一、 工作简况1.1 任务来源目前,云计算技术在国家关键信息基础设施领域的应用日益广泛原有信息安全等级保护标准体系中标准的适用性提出挑战,防护措施、实现方法和测评方法都将有所不同因此,根据云计算环境中的新增安全威胁和主要防范手段,我们对《GB/T 22239.1—XXXX 信息安全技术 网络安全等级保护基本要求 第1部分:安全通用要求》(以下简称“安全通用要求”)进行了扩展,形成了本部分《信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求》(计划编号:GB/T 22239.2—XXXX)(以下简称“云计算安全扩展要求”)由公安部信息安全等级保护评估中心牵头,国家信息中心、阿里云计算有限公司、中科院信息工程研究所、杭州华三通信技术有限公司、华为技术有限公司、启明星辰信息技术有限公司等单位共同参与起草1.2 主要工作过程1.2.1标准立项前工作概述2014年1月至2014年4月,为完善云计算安全标准体系,支撑党政部门云计算信息安全等级保护建设整改工作,牵头单位组成标准工作组,研究云计算环境下的信息系统面临的安全威胁,通过整理、汇总、分析相关资料编制了项目申请书、项目建议书并经过专家评审。
1.2.2标准立项后工作情况1) 标准立项2014年10月,本部分获全国信息安全标准化技术委员会国标立项2) 成立标准编制组,广泛调研2014年6月至12月,标准编制组成立,广泛调研和研究国内外云计算安全相关评估标准以及相关安全评估标准,为本部分的编制奠定基础期间,研究的云计算安全相关标准和安全评估相关标准包括:(1)美国联邦系统安全控制的建议(NIST 800-53);(2)美国联邦系统安全控制措施评估指南(NIST SP800-53A);(3)SP 800-144 Guidelines on security and privacy in public cloud computing(4)SP800-145 The NIST Definition of cloud computing (5)SP800-125 Full Virtualization Technologies(6)FedRAMP_Baseline_Security_Controls_REV4;(7)信息安全等级保护测评国家标准;(8)《GB/T 31168-2014 信息安全技术 云计算服务安全能力要求》(9)《GB/T 31167-2014信息安全技术 云计算服务安全指南》(10)《信息安全技术 信息安全风险评估规范》、《信息技术 安全技术 信息技术安全评估准则》等国家标准。
3)标准编制组形成标准草案2015年7月,标准编制组形成标准草案,发标准编制组内部征求意见,标准编制组在北京召开了标准草案第一次评审,讨论了标准编制的思路,以及本次国家标准与其他标准之间的关系评审会结束后,标准编制组根据专家意见,修订了标准草案同年12月,标准编制组再次发起专家评审,对标准草案的内容进行了详细的讨论,并认真听取了专家意见2016年1月到2016年5月,标准编制组多次召开工作会议,讨论标准草案中相关问题根据专家意见,对标准草案进行了修改4)标准在云等级保护测评中试用2016年3月至2016年7月,评估中心分别对阿里云、迅达云成进行了云安全等级保护测评,在测评过程中对标准草案进行了试用,并提出了修改意见,标准编制组根据试用意见进行了修改完善5)2016年6月29日,召开专家评审会,会后形成征求意见稿2016年6月29日,标准编制组在北京召开了标准评审会,编制组根据与会专家的意见进一步完善了标准草案6)2016年8月25日,WG5召开标准推进会,会后形成征求意见稿2016年8月25日,WG5在北京召开了标准推进会,编制组对前期意见汇总处理情况做了介绍并听取与会专家意见,会后根据与会专家的意见进一步完善了标准草案并形成征求意见稿。
7)2016年8月30日,召开标准格式和编写指导讲座,会后对标准格式和规范用语进行了修订2016年8月30日,公安部信息安全等级保护评估中心邀请公安部信息安全标准委员会形式化审查专家,在标准合适、用语和形式规范等方面为编制组成员做了讲解,会后编制组根据专家提的意见建议对标准文本做了修订二、 编制原则和主要内容2.1 编制原则一是充分吸收已有云安全相关标准《云计算安全扩展要求》充分参考了国际、国内有关云计算安全以及安全评估的先进标准和技术规范目前,《云计算安全扩展要求》已将美国FedrRAMP云安全测试用例、NIST 800-53A、ISO/IEC 27017、SP 800-144、SP 800-145等级保护测评等相关标准的长处进行了吸收,借鉴了国外标准中对云计算的定义和架构,虚拟化安全要求, 公共云防护措施建议,云计算环境中的风险管理、生命周期管理、审计和合规、安全运维建议二是从风险分析出发,根据风险提出防范要求,并在试点项目中求证分析云计算环境下的新增威胁、脆弱性和安全风险,根据新增的安全风险制定对应措施形成云计算安全扩展要求,并在试点项目中获得了较高的评价2.2 主要内容本部分针对云计算信息系统的特点,规定了云计算信息系统安全等级保护的安全要求,适用于不同等级云计算信息系统的安全保护。
本部分适合指导采用不同部署模式、交付模式下云计算信息系统的安全建设、整改、测评等工作,在不同的部署模式、交付模式下,条款使用方法和判定方法不一样《云计算安全扩展要求》根据云计算环境下的风险,增加了新的安全要求,适用于云计算环境下的测评对象,本部分主要内容包括网络架构要求、访问控制要求、远程访问要求、入侵防范、安全审计、数据完整性和数据保密性、数据备份恢复、恶意代码防范、资源控制、镜像和快照保护等等内容三、 主要试验(或验证)的分析、综述报告,技术经济论证,预期的经济效果编制组已请评估中心分别对阿里云、迅达云成进行了云安全等级保护测评,在测评过程中对标准草案进行了试用,并提出了修改意见,标准编制组根据试用意见进行了修改完善,标准试用效果良好四、 采用国际标准和国外先进标准的程度,以及与国际、国外同类标准水平的对比情况,或与测试的国外样品、样机的有关数据对比情况信息安全标准已经成为网络空间国际竞争的战略制高点特别是,云计算安全标准及其背后的管理政策将会对产业造成重大影响,也将限制国外大型云计算服务提供商渗透到我国敏感部门和重要行业,这种情况下,公安部提出了加强云计算等级保护标准制定的重要举措。
开展对云服务方所提供的云平台安全能力的评估及云平台上的应用系统防护水平的评估,是落实对云计算服务安全管理的措施之一因此,编制组在标准编制过程中,专门分析了美国FedRAMP对云服务商的安全评估方法和NIST SP800系列标准,参考我国已有相关信息安全标准,以及我国云计算服务安全管理的考虑,综合考虑制定了本部分五、 与有关的现行法律、法规和强制性国家标准的关系《云计算安全扩展要求》符合现有法律法规的要求符合《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《国务院关于大力促进信息化发展和切实保障信息安全的若干意见》、《信息安全技术公共及商用服务信息系统个人信息保护指南》等国家政策、法规、标准的要求《云计算安全扩展要求》是《GB/T 22239-XXXX 信息安全技术 网络安全等级保护基本要求》的第二分册,《云计算安全扩展要求》以引用的方式涵盖了《安全通用要求》的全部内容六、 重大分歧意见的处理经过和依据《云计算安全扩展要求》编制过程中未出现重大分歧其他详见意见汇总处理表七、 国家标准作为强制性国家标准或推荐性国家标准的建议建议《云计算安全扩展要求》作为推荐性国家标准发布实施八、 贯彻国家标准的要求和措施建议(包括组织措施、技术措施、过渡办法等内容)《云计算安全扩展要求》规定了云计算信息系统安全等级保护的安全要求,适用于不同等级云计算信息系统的安全保护,《云计算安全扩展要求》是《GB/T 22239-XXXX 信息安全技术 网络安全等级保护基本要求》的第二分册,《云计算安全扩展要求》以引用的方式涵盖了《安全通用要求》的全部内容。
因此,本部分贯彻实施时,应与《安全通用要求》结合在一起进行九、 其他事项说明本部分不涉及专利标准编制组2016年9月。