收藏
下载资源

信息安全技术云计算服务安全能力评估方法

上传人:公**** 文档编号:432891078 上传时间:2023-10-01 格式:DOCX 页数:30 大小:55.57KB
返回 下载 相关 举报
信息安全技术云计算服务安全能力评估方法_第1页
第1页 / 共30页
信息安全技术云计算服务安全能力评估方法_第2页
第2页 / 共30页
信息安全技术云计算服务安全能力评估方法_第3页
第3页 / 共30页
信息安全技术云计算服务安全能力评估方法_第4页
第4页 / 共30页
信息安全技术云计算服务安全能力评估方法_第5页
第5页 / 共30页
点击查看更多>>
资源描述

《信息安全技术云计算服务安全能力评估方法》由会员分享,可在线阅读,更多相关《信息安全技术云计算服务安全能力评估方法(30页珍藏版)》请在金锄头文库上搜索。

1、信息安全技术云计算服 务安全能力评估方法SANY 标准化小组 #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#标准项目名称:信息安全技术云计算服务安全能力评估方法承办人:王惠莅共 23 页 标准项目负责起草单位:中国电子技术标准化研究院电话:12016 年6 月13 日填写序号标准章条编 号意见内容提出单位处理意见备注标准草案,2015年5月20日发编制组内部征求意见1.依据当前评估条目的适用性,提取共性项, 对仅适用于特殊场景下的评估点标注其使用 建议,或单独章节形成特定测评点要求。CETC30 所未米纳。对服务类型进行区分 超出本标准的范围。2.当前稿中涉及的角色称谓名称较多,

2、各称谓 代表的对象氾畴没有明示,容易混淆,比如 用户、客户、租户之间的差异。修改建议:对用户、租户、客户、外部人 员、特权用户、特权账户等各称谓明确含义 范畴,规范其使用。CETC30 所未米纳。按照能力要求相 关规定。3.1建议将“对以社会化方式”去掉阿里云计 算有限公 司未米纳。与能力要求保持 一致。4.4.1综合考虑原则不是原则,可重复和可充用、 可再现比较理想,比较难实现。中国信息 安全测评 中心部分采纳。序号标准章条编 号意见内容提出单位处理意见备注5.4.1建议改为“米用或参考其已有的公正第二方 的测评结果”。阿里云计 算有限公 司部分采纳。6.4.1建议改为“灵活是指在对云服务商

3、进行安全 控制措施裁剪、替换等情况下,”阿里云计 算有限公 司未米纳。应疋由云服务商裁 剪、替换安全控制措施等。7.4.2增加相应章节,1、描述安全评估系统要求,安全配件要求。成都大学未米纳。本标准只规氾评估方 法,不涉及评估系统。8.建议修改格式,“涉及”格式为斜体国家信息 技术安全 研究中心采纳。9.5.3.1a)修改建议:检查云服务商是否定义系统生命周期、并定 义生命周期各节点及特征;西安未来 国际有限 公司未采纳。系统生命周期定义可 参考已有国标。10.5.4.2f)修改建议:检查开发商提供的说明文档是否有对功能、 端口、协议和服务的详细说明,并列出不必 要和高风险的功能、端口、协议或

4、服务,并 查看是否已禁用。西安未来 国际有限 公司采纳。11.修改建议:测试应用信息系统设计、开发、实现和修改 过程中的机制,是否实现自动化机制。国家信息 技术安全 研究中心未采纳。能力要求不涉及 自动化机制序号标准章条编 号意见内容提出单位处理意见备注12.5.9.2b)将“得”改为“的”国家信息 技术安全 研究中心采纳。13.5.10.2c)5.10.2f)修改建议: 增加句号。国家信息 技术安全 研究中心采纳。14.5.11.1a)评 估方法修改建议:测试系统、组件或服务的在设计、开发、实 现、运行过程中的配置管理方式,是否实现 自动化管理。国家信息 技术安全 研究中心未米纳。15.5.

5、12.2a)修改建议:检查开发阶段所使用的静态代码分析工具配 置;西安未来 国际有限 公司部分采纳。16.5.12.2e)修改建议:检查开发商的渗透性测试相关文档(测试计 划、测试报告)西安未来 国际有限 公司未米纳。只看报告就能体现。17.6.2.1b)评估 方法是否对外公开的组件与内部网络划分为不同 的子网络,阿里云计 算有限公 司采纳。18.6.2.2a)评估 方法搭建物理独立的计算资源池、存储资源池和 网络资源池阿里云计 算有限公 司未采纳。同能力要求描述 方式。序号标准章条编 号意见内容提出单位处理意见备注19.6.2.2b)测试是否具有对大规模攻击流里进仃清 洗或防护的能力。阿里云

6、计 算有限公 司未采纳。原评估方法中已经包 含此内容。20.6.2.2d)检查外部通信接口授权审批策略;西安未来 国际有限 公司采纳。21.检查安全计划书、安全设计文档,是否 使用符合国家密码管理法律法规的通信加密 和签名验签算法及设施,是否有国家密码管 理局认定测评机构出具的检测报告或证书。测试云服务商所使用到的通信加密和签 名验签设施是否与设计文档要求相一致;CETC30 所采纳。22.建议收敛测试方法,因密码设备测试认可有 一套严格管理规定,建议以审查相关权威机 构发放的认可证书为准。(具体需要进 步 落实国家密码管理局、涉密信息系统相关管 理规定)。CETC30 所采纳。23.修改建议

7、: 增加测试云计算平台用户和系统安全功能之 间是否建立了一条可信的通信路径。CETC30 所采纳。24.6.8.2b)修改建议:验证禁止自动执仃机制是否有效;西安未来 国际有限 公司采纳。云服务的云服务管理平 台难于验证。序号标准章条编 号意见内容提出单位处理意见备注25.修改建议:对6.11.1c)的评估方法增加在网络出入口以及系统中的主机、移动计 算设备上放置一段恶意代码,测试防护措施 是否能够检测并予以响应。CETC30 所未采纳。原评估方法已包括该 内容。26.6.11.2b)修改建议:检杳恶意代码自动更新记录,包含版本信 息、更新时间等;西安未来 国际有限 公司采纳。27.6.12.

8、2. 2修改建议:测试非授权代码是否能够执行;CETC30 所采纳。28.修改建议:对6.13.1b)的评估方法第三条文字修改为: 测试当虚拟机镜像文件被恶意篡改 时,是否有完整性校验机制能够防止对镜像 文件的恶意篡改。CETC30 所 /张玲采纳。29.6.13.1b)对6.13.1b)的评估方法第四条修改建议:对6.13.1b)的评估方法第四条文字修改: 测试已经被台虚拟机挂载的逻辑 卷是否能够被其它虚拟机挂载。CETC30 所 /张玲采纳。30.6.13.1c)对6.13.1c)的评估方法第四条文字修改为: 检查安全计划书、信息系统架构设计文 档、或其他相关文档是否提供虚拟机只能访CET

9、C30 所采纳。序号标准章条编 号意见内容提出单位处理意见备注问分配给该虚拟机的物理磁盘的技术机制;31.6.13.1c)修改建议:的评估方法为第五条和第六条建议删 除。CETC30 所采纳。32.6.13.1d)修改建议:对6.13.1d)的评估方法为第二条建议删除。CETC30 所采纳。33.6.13.2d)对6.13.2d)的评估方法第三条:修改建议:对6.13.2d)的评估方法第三条:修改为 在物理机操作系统上读取虚拟机镜像文件,查看是否进行加密保护;CETC30 所部分采纳。34.6.13.2d)修改建议:6.13.2d)的评估方法第四条删除。CETC30 所采纳。35.6.14.1

10、a)修改建议:对6.14.1a)的第二条评估方法修改为:检查虚拟网络资源实际配置是否与 文档中规定的网络隔离和访问控制策略相 符;对虚拟网络资源进行数据访问或网 络扫描,测试网络隔离和访问控制措施是否 生效。CETC30 所采纳。序号标准章条编 号意见内容提出单位处理意见备注36.6.14.1b)修改建议: 第二条与第三条建议合并,并修改文字。对6.14.1b)的评估方法修改为:检查安全计划书、信息系统架构设 计文档、或其他相关文档是否为访问云服务 的网络和内部管理云的网络之间米取隔离和 访问控制措施;检查实际的网络资源配置是否与文 档所规定的网络隔离和访问控制策略相符。 在访问云服务的网络和

11、内部管理云的网 络之间尝试进行数据交互或是网络扫描,检 测网络间的隔离和访问控制措施是否生效。CETC30 所采纳。37.6.15.1c)第三条和第四条为第二条的测试用例和场 景,放在这里过细。建议删除,并对第二条 进行文字修改。修改建议:对6.15.1c)的评估方法为:检查安全计划书、信息系统架构设 计文档、或其他相关文档,是否对不同客户 所使用的虚拟存储资源之间有逻辑隔离的机 制。测试客户是否无法发现并访问其他客户 所使用的存储资源,客户间的存储资源访问CETC30 所采纳。序号标准章条编 号意见内容提出单位处理意见备注性能是否相互影响。38.6.15.1d)对6.15.1d)的评估方法的

12、第三条和第四条内 容重复。建议合并修改建议:对6.15.1d)的评估方法第三条和第四条修改 为:在租户解除存储资源的使用后,例 如释放存储空间、虚拟机迁移或删除等,检 测原物理存储资源上的数据(如镜像文件、 快照文件、备份文件等数)是否被清除。CETC30 所采纳。39.6.15.1e)修改建议:对6.15.1e)的评估方法第二条修改为:模拟虚拟存储数据的常规操作和异常操 作,检测是否有审计记录,审计记录信息要 素是否完备,审计记录是否不能被修改和删 除。CETC30 所未采纳。标准是宏观共性的评 估方法,不涉及具体用例。40.6.15.2a)修改建议:对6.15.2a)的评估方法第二条修改为

13、: 检查存储协议级数据访问授权策略 配置信息是否与文档规定的授权机制相符;以非授权用户或方式进行存储协议CETC30 所采纳。序号标准章条编 号意见内容提出单位处理意见备注级数据访问,测试是否成功。41.6.15.2b)修改建议:对6.15.2b)的评估方法修改为检查安全计划书、信息系统架构设计文 档、或其他相关文档,检查或分析是否提供 了一定机制以便客户部署满足国家密码管理 规定的数据加密方案用以保护客户的私有数 据。CETC30 所采纳。42.e)修改建议:e)的评估方法为修改为:在赋值:云服务商定义的时间段 用户处于不活动状态,测试该用户是否被禁 止使用。CETC30 所采纳。43.b)修改建议:b)的评估方法为第一条:检查访问脚本是否包含未加密的静态鉴 别凭证。CETC30 所采纳。44.c)修改建议:c)的评估方法为第一条修改为:查看接收记录,当接收凭证时是否经过CETC30 所采纳。序号标准章条编 号意见内容提出单位处理意见备注本人或可信第三方确认。45.7.8.1a)检查账号管理员角色是否与自然人绑定、责 任明确;西安未来 国际有限 公司未米纳。评估方法按照能力 要求的评估内容来定。46.修

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号