ICS35040

L80.

中華人民共和國國家標準

GB/T31168—2014

信息安全技術

云計算服務安全能力要求

Informationsecuritytechnology—

Securitycapabilityrequirementsofcloudcomputingservices

2014-09-03發布2015-04-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T31168—2014

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

概述

4………………………2

云計算安全措施的實施責任

4.1………………………2

云計算安全措施的作用范圍

4.2………………………3

安全要求的分類

4.3……………………4

安全要求的表述形式

4.4………………4

安全要求的調整

4.5……………………5

安全計劃

4.6……………5

本標準的結構

4.7………………………6

系統開發與供應鏈安全

5…………………6

策略與規程

5.1…………………………6

資源分配

5.2……………6

系統生命周期

5.3………………………7

采購過程

5.4……………7

系統文檔

5.5……………8

安全工程原則

5.6………………………8

關鍵性分析

5.7…………………………8

外部信息系統服務及相關服務

5.8……………………9

開發商安全體系架構

5.9………………9

開發過程標準和工具

5.10、……………10

開發商配置管理

5.11…………………10

開發商安全測試和評估

5.12…………11

開發商提供的培訓

5.13………………12

防篡改

5.14……………12

組件真實性

5.15………………………12

不被支持的系統組件

5.16……………13

供應鏈保護

5.17………………………13

系統與通信保護

6…………………………14

策略與規程

6.1…………………………14

邊界保護

6.2……………15

傳輸保密性和完整性

6.3………………15

網絡中斷

6.4……………16

Ⅰ

GB/T31168—2014

可信路徑

6.5……………16

密碼使用和管理

6.6……………………16

協同計算設備

6.7………………………16

移動代碼

6.8……………16

會話認證

6.9……………17

移動設備的物理連接

6.10……………17

惡意代碼防護

6.11……………………17

內存防護

6.12…………………………17

系統虛擬化安全性

6.13………………18

網絡虛擬化安全性

6.14………………18

存儲虛擬化安全性

6.15………………19

訪問控制

7…………………19

策略與規程

7.1…………………………19

用戶標識與鑒別

7.2……………………20

設備標識與鑒別

7.3……………………20

標識符管理

7.4…………………………20

鑒別憑證管理

7.5………………………21

鑒別憑證反饋

7.6………………………21

密碼模塊鑒別

7.7………………………22

賬號管理

7.8……………22

訪問控制的實施

7.9……………………22

信息流控制

7.10………………………23

最小特權

7.11…………………………24

未成功的登錄嘗試

7.12………………24

系統使用通知

7.13……………………24

前次訪問通知

7.14……………………25

并發會話控制

7.15……………………25

會話鎖定

7.16…………………………25

未進行標識和鑒別情況下可采取的行動

7.17………25

安全屬性

7.18…………………………26

遠程訪問

7.19…………………………26

無線訪問

7.20…………………………26

外部信息系統的使用

7.21……………27

信息共享

7.22…………………………27

可供公眾訪問的內容

7.23……………27

數據挖掘保護

7.24……………………27

介質訪問和使用

7.25…………………28

服務關閉和數據遷移

7.26……………28

配置管理

8…………………28

策略與規程

8.1…………………………28

配置管理計劃

8.2………………………29

基線配置

8.3……………29

Ⅱ

GB/T31168—2014

變更控制

8.4……………29

配置參數的設置

8.5……………………30

最小功能原則

8.6………………………30

信息系統組件清單

8.7…………………31

維護

9………………………31

策略與規程

9.1…………………………31

受控維護

9.2……………32

維護工具

9.3……………32

遠程維護

9.4……………32

維護人員

9.5……………33

及時維護

9.6……………33

缺陷修復

9.7……………33

安全功能驗證

9.8………………………34

軟件固件信息完整性

9.9、、……………34

應急響應與災備

10………………………34

策略與規程

10.1………………………34

事件處理計劃

10.2……………………35

事件處理

10.3…………………………35

事件報告

10.4…………………………35

事件處理支持

10.5……………………36

安全警報

10.6…………………………36

錯誤處理

10.7…………………………36

應急響應計劃

10.8……………………37

應急培訓

10.9…………………………37

應急演練

10.10…………………………37

信息系統備份

10.11……………………38

支撐客戶的業務連續性計劃

10.12……………………38

電信服務

10.13…………………………38

審計

11……………………39

策略與規程

11.1………………………39

可審計事件

11.2………………………39

審計記錄內容

11.3……………………39

審計記錄存儲容量

11.4………………40

審計過程失敗時的響應

11.5…………40

審計的審查分析和報告

11.6、…………40

審計處理和報告生成

11.7……………40

時間戳

11.8……………41

審計信息保護

11.9……………………41

不可否認性

11.10………………………41

審計記錄留存

11.11……………………41

風險評估與持續監控

12…………………42

策略與規程

12.1………………………42

Ⅲ

GB/T31168—2014

風險評估

12.2…………………………42

脆弱性掃描

12.3………………………42

持續監控

12.4…………………………43

信息系統監測

12.5……………………43

垃圾信息監測

12.6……………………44

安全組織與人員

13………………………44

策略與規程

13.1………………………44

安全組織

13.2…………………………45

安全資源

13.3…………………………45

安全規章制度

13.4……………………45

崗位風險與職責

13.5…………………46

人員篩選

13.6…………………………46

人員離職

13.7…………………………46

人員調動

13.8…………………………46

訪問協議

13.9…………………………47

第三方人員安全

13.10…………………47

人員處罰

13.11…………………………47

安全培訓

13.12…………………………48

物理與環境安全

14………………………48

策略與規程

14.1………………………48

物理設施與設備選址

14.2……………48

物理和環境規劃

14.3…………………49

物理環境訪問授權

14.4………………49

物理環境訪問控制

14.5………………49

通信能力防護

14.6……………………50

輸出設備訪問控制

14.7………………50

物理訪問監控

14.8……………………50

訪客訪問記錄

14.9……………………50

電力設備和電纜安全保障

14.10………………………51

應急照明能力

14.11……………………51

消防能力

14.12…………………………51

溫濕度控制能力

14.13…………………52

防水能力

14.14…………………………52

設備運送和移除

14.15…………………52

附錄資料性附錄系統安全計劃模版

A()………………53

參考文獻

……………………59

Ⅳ

GB/T31168—2014

前言

本標準按照給出的規則起草

GB/T1.1—2009。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

,。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國信息安全研究院有限公司四川大學工業和信息化部電子工業標準化研究

:、、

院中國電子科技集團公司第三十研究所上海三零衛士信息安全有限公司中國電子信息產業發展研

、、、

究院工業和信息化部電子科學技術情報研究所中電長城網際系統應用有限公司北京朋創天地科技

、、、

有限公司

。

本標準主要起草人左曉棟陳興蜀張建軍王惠蒞周亞超馮偉伍揚王強閔京華鄔敏華

:、、、、、、、、、、

楊建軍羅鋒盈尹麗波李曉勇孫迎新楊晨王石崔占華賈浩淼戴勁

、、、、、、、、、。

Ⅴ

GB/T31168—2014

引言

云計算是一種提供信息技術服務的模式積極推進云計算在政府部門的應用獲取和采用以社會

。,

化方式提供的云計算服務有利于減少各部門分散重復建設有利于降低信息化成本提高資源利用率

,,、。

云計算的應用也帶來了一些安全問題如在云計算環境下客戶對數據系統的控制和管理能力

。:,、

明顯減弱客戶與云服務商之間的責任難以界定數據保護更加困難容易產生對云服務商的過度依賴

;;;

等由此產生了對云計算安全的需求即云計算基礎設施及信息網絡的硬件軟件和系統中的數據受到

。,、

保護不因偶然或者惡意的原因遭到破壞更改泄露系統連續可靠地正常運行以及云計算服務不

,、、,,

中斷

。

客戶采用云計算服務時其信息和業務的安全性既涉及云服務商的責任也涉及客戶自身的責任

,,。

為了規范云服務商的安全責任需要提出云計算服務安全能力要求以加強云計算服務安全管理保障

,,,

云計算服務安全

。

本標準與信息安全技術云計算服務安全指南構成了云計算服務安全管理

GB/T31167—2014《》

的基礎標準面向政府部門提出了使用云計算服務時的安全管理要求本標準面

。GB/T31167—2014,;

向云服務商提出了云服務商在為政府部門提供服務時應該具備的安全能力要求

,。

本標準分一般要求和增強要求根據云計算平臺上的信息敏感度和業務重要性的不同云服務商

。,

應具備的安全能力也各不相同

。

Ⅵ

GB/T31168—2014