云計算服務安全能力要求1范圍本標準規定了以社會化方式提供云計算服務的服務商應滿足的信息安全基本要求。本標準適用于指導云服務商建設安全的云計算平臺和提供安全勺云計算服務，也適用于對云計算服務進行安全審查。2規范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/TXXXXX-XXXX信息安全技術云計算服務安全管理指南GB/T22239-2008信息安全技術信息系統安全等級保護基本要求GB50174-2008電子信息系統機房設計規范GB/T9361-2011計算機場地安全要求3術語和定義GB/T25069-2010、GB/TXXXXX-XXXX確立的以及下列術語和定義適用于本標準。云計算cloudcomputing云計算是一種通過網絡便捷地訪問海量計算資源（如網絡、月!務器、存儲器、應用和服務）的模式，使客戶只需極少的管理工作或云服務商的配合即可實現計算資源的快速獲得和釋放。云服務商cloudserviceprovider為個人、組織提供云計算服務的企事業單位。云服務商管理、運營支撐云計算服務的計算基礎設施及軟件，通過網絡將云計算服務交付給客戶。客戶cloudconsumer使用云計算平臺處理、存儲數據和開展業務的組織。第三方評估機構thirdpartyassessmentorganization獨立于云服務商和客戶的專業評估機構。云基礎設施cloudinfrastructure云基礎設施包括硬件資源層和資源抽象控制層。硬件資源層包括所有的物理計算資源，主要包括服務器（CPU、內存等）、存儲組件（硬盤等）、監組件（路由器、防火墻、交換機、網絡鏈接和接口等）及其他物理計算基礎元素。資源抽象控制層由部署在硬件資源層之上，對物理計算資源進行軟件抽象的系統組件構成，云服務商用這些組件提供和管理物理硬件資源的訪問。云計算平臺cloudplatform由云服務商提供的，包括向客戶提供服務的云基礎設施及其上勺服務層軟件，即指提供云計算服務的軟硬件集合。

3.7云計算環境cloudenvironment包括由云服務商提供的云基礎設施，及客戶在云基礎設施之上部署的軟件及相關組件的集合。4概述4.1云計算的安全責任云計算服務的安全性由云服務商和客戶共同保障。在某些情況下，云服務商還要依靠其他組織提供計算資源和服務，其他組織也應承擔信息安全責任。因此，云計算安全措施的實施主體有多個，各類主體的安全責任因不同的云計算服務模式而異。圖4-1云計算服務模式與控制范圍的關系軟件即服務（SaaS）、怖即服務（PaaS）、舞設施即服務（IaaS）是3種基本的云計算服務模式。如圖4-1所示，在不同的服務模式中，云服務商和客戶對計算資源擁有不同的控制范圍，控制范圍則決定了安全責任的邊界。云計算的物理資源層、資源抽象和控制層都處于云服務商的完全控制下，所有安全責任由云服務商承擔。服務層的安全責任責則由雙方共同承擔，越靠近底層（即IaaS）的云計算服務，客戶的管理和安全責任越大；反之，云服務商的管理和安全責任越大。——在SaaS中，云服務商需要承擔物理資源層、資源抽象和控制層、操作系統、應用程序等的相關責任。客戶則需要承擔自身數據安全、客戶端安全等的相關責任；——在PaaS中，云服務商需要承擔物理資源層、資源抽象和控制層、操作系統、開發平臺等的相關責任。客戶則需要承擔應用部署及管理，以及SaaS中客戶應承擔的相關責任；——IaaS中，云服務商需要承擔物理資源層、資源抽象和控制層等的相關責任，客戶則需要承擔操作系統部署及管理，以及PaaS、SaaS中客戶應承擔的相關責任。考慮到云服務商可能還需要其他組織提供的服務，女EaaS或PaaS服務提供商可能依賴于IaaS服務提供商的基礎資源服務。在這種情況下，一些安全措施由其他組織提供。因此，云計算安全措施的實施責任有4類，如表4-1所示。表4-1云計算安全措施的實施責任責任示例云服務商承擔在SaaS模式中，云服務商對平臺上安裝的軟件進行安全升級。客戶承擔在IaaS模式中，客戶對其安裝的應用中的用戶行為進行審計。云服務商和客戶共同承擔云服務商的應急演練計劃需要與客戶的信息安全應急演練計劃相協調。在實施應急演練時，需要客戶與云服務商相互配合。2其他組織承擔有的SaaS服務提供商需要IaaS服務提供商的基礎設施服務，相應的物理與環境保護措施應由IasS服務提供商予以實施。本標準不對客戶承擔的安全責任提出要求。客戶應參照《云計算服務安全指南》及其他國家、行業有關信息安全的標準規范落實其安全責任。如云服務商依賴于其他組織提供的服務或產品，則其所承擔的信息安全責任直接或間接地轉移至其他組織，云服務商應以合同或其他方式對相應安全責任進行規定并予以落實。但是，云服務商仍是客戶監管的直接對象。云計算安全措施的作用范圍在同一個云計算平臺上，可能有多個應用系統，某些信息安全措施應作用于整個云計算平臺，平臺上每個具體的應用系統直接繼承該安全措施即可。例如，云服務商的人員安全措施即適用于云計算平臺上每一個應用系統。這類安全措施稱為通用安全措施。某些安全措施則僅是針對特定的應用，例如云計算平臺上電子郵件系統的訪問控制措施與字處理系統的訪問控制措施可能不同。這類安全措施稱為專用安全措施。在特殊情況下，某些安全措施的一部分屬于通用安全措施，另一部分則屬于專用安全措施，例如云計算平臺上電子郵件系統的應急響應計劃既要利用云服務商勺整體應急響應資源（如應急支援隊伍），也要針對電子郵件系統的備份與恢復作出專門考慮，這類安全措施稱為混合安全措施。云服務商申請為客戶提供云計算服務時，所申請的每一類云計算應用均應實現本標準規定的安全要求，并以通用安全措施、專用安全措施或混合安全措施的形式，標明所采取的每項安全措施的作用范圍。安全要求的分類本標準對云服務商提出了基本安全能力要求，反映了云服務商在保障云計算平臺上客戶信息和業務信息安全時應具有的基本能力。這些安全要求分為10類，每一類安全要求包含若干項具體要求。10類安全要求分別是：——系統開發與供應鏈安全：云服務商應在開發云計算平臺時對其提供充分保護，為其配置足夠的資源，并充分考慮信息安全需求。云服務商確保其下級供應商采取了必要的安全措施。云服務商還應為客戶提供與安全措施有關的文檔和信息，配合客戶完成對言息系統和業務的管理。——系統與通信保護：云服務商應在云計算平臺的外部邊界和內部關鍵邊界上監視、控制和保護網絡通信，并采用結構化設計、軟件開發技術和軟件工程方法有效保護云計算平臺的安全性。——訪問控制：云服務商應嚴格保護云計算平臺的客戶數據和用戶隱私，在授權信息系統用戶及其進程、設備（包括其他信息系統的設備）訪問云計算平臺之前，應對其進行身份標識及鑒別，并限制授權用戶可執行的操作和使用的功能。——配置管理：云服務商應對云計算平臺進行配置管理，在系統生命周期內建立和維護云計算平臺（包括硬件、軟件、文檔等）的基線配置和詳細清單，并設置和實現云計算平臺中各類產品的安全配置參數。——維護：云服務商應定期維護云計算平臺設施和軟件系統，并對維護所使用的工具、技術、機制以及維護人員進行有效的控制，且做好相關記錄。——應急響應與災備：云服務商應為云計算平臺制定應急響應十劃，并定期演練，確保在緊急情況下重要信息資源的可用性。云服務商應建立事件處理計劃，包括對事件的預防、檢測、分析、控制、恢復及用戶響應活動等，對事件進行跟蹤、記錄并向相關人員報告。服務商應具備災難恢復能力，建立必要的備份設施，確保客戶業務可持續。——審計：云服務商應根據安全需求和客戶要求，制定可審計事件清單，明確審計記錄內容，實施審計并妥善保存審計記錄，對審計記錄進行定期分析和審查，還應防范對審計記錄的未授權訪問、篡改和刪除行為。——風險評估與持續監控：云服務商應定期或在威脅環境發生變化時，對云計算平臺進行風險評估，確保云計算平臺的安全風險處于可接受水平。服務商應制定監控目標清單，對目標進行持續安全監控，并在異常和非授權情況發生時發出警報。——安全組織與人員：云服務商應確保能夠接觸客戶信息或業務的各類人員（包括供應商人員）上崗時具備履行其信息安全責任的素質和能力，在授予相關人員訪問權限之前對其進行審查并定期復查，在人員調動或離職時履行安全程序，對于違反信息安全規定的人員進行處罰。——物理與環境保護：云服務商應確保機房位于中國境內，機房選址、設計、供電、消防、溫濕度控制等符合相關標準的要求。云服務商應對機房進行監控，嚴格限制各類人員與運行中的云計算平臺設備進行物理接觸，確需接觸的，需通過云服務商的明確授權。安全要求的表述形式本標準將云計算服務安全能力要求分為一般要求和增強要求。組織應對擬遷移至云計算平臺的信息和業務系統進行分析，按照信息的敏感程度和業務的重要程度選擇相應安全能力水平的云服務商。GBXXXXX-XXXX《云計算服務安全指南》給出了數據、業務類型與安全保護要求之間的對應關系。本標準中每一項安全要求均以一般要求和增強要求的形式給出增強要求是對一般要求的補充和強化。在實現增強要求時，一般要求應首先得到滿足。有的安全要求只列出了增強要求，一般要求標為‘無”。這表明具有一般安全能力的云服務商可以不實現此項安全要求。即使對同等安全能力水平的云服務商，其實現安全要求的方式也可能會有差異。為此，本標準在描述安全要求時引入了“賦值”和“選擇”這兩種變量，并以［賦值：……］和［選擇：……；……］的形式給出。“賦值”表示云服務商在實現安全要求時，要由云服務商定義具體的數值或內容。“選擇”表示云服務商在實現安全要求時，應選擇一個給定的數值或內容。云服務商在向客戶提供云計算服務前，應確定并實現'賦值”和“選擇”的具體數值或內容。“賦值”和“選擇”示例如下：云服務商應在［賦值：云服務商定義的時間段］后，自動［選擇：刪除；禁用］臨時和應急賬號。安全要求的調整本標準提出的安全要求是通常情況下云服務商應具備的基本安全能力。在具體的應用場景下，云服務商有可能需要對這些安全要求進行調整。調整的方式有：——刪減：未實現某項安全要求，或只實現了某項安全要求的一部分。——補充：某項基本安全要求不足以滿足云服務商的特定安全目標，故增加新的安全要求，或對標準中規定的某項安全要求進行強化。——替代：使用其他安全要求替代標準中規定的某項安全要求以滿足相同的安全目標。調整的原因有多種，例如：——已知某些目標客戶有特殊的需求。——云服務商的安全責任因SaaS、PaaS和IaaS這3種不同的云計算模式而不同，云服務商為了實現本標準中規定的安全要求，所選擇的安全措施的實施范圍實施強度可能不同。——出于成本等因素考慮，云服務商可能希望實現替代性的安全要求。——云服務商希望表現更強的安全能力，以便于吸引客戶。安全計劃為了建立向客戶提供安全的云計算服務的能力，云服務商應制定安全計劃，詳細說明對本標準提出的安全能力要求的實現情況。云服務商應在安全計劃中對“賦值”和“選擇”給出具體的數值或內容，必要時還應對本標準提出的安全要求進行調整。當云計算平臺上有多個應用系統時，云服務商應分別制定每個系統的安全計劃。安全計劃包括但不限于以下內容：——云計算平臺的基本描述，包括：系統拓撲；系統運營單位；與外部系統的互聯情況；云服務模式和部署模式；系統軟硬件清單；數據流等。——為實現本標準規定的安全要求而采取的安全措施的具體情況。對每項安全要求，云服務商均應在以下5個選項中選擇其一作為對實現情況的整體描述，并針對性地提供詳細說明：滿足，說明為滿足安全要求而采取的具體措施；部分滿足，對已滿足的安全要求應說明所采取的具體措施，對不滿足的安全要求應說明理由；計劃滿足，說明時間進度安排以及在此期間的風險管控措施；替代，說明替代理由并說明所實現的安全目標與原安全要求之間的關系；不滿足，說明理由。——為實現本標準提出的安全要求而采取的安全措施的作用范圍。對通用安全措施或混合安全措施中的通用部分，可只在其中一個應用系統的安全計劃中說明該措施的實施情況，其余安全計劃中不再詳細說明，或針對通用安全措施制定一份專門的安全計劃。——對云服務商新增的安全目標及對應的安全措施的說明。——對客戶安全責任的說明，以及對客戶應實施的安全措施的建議。附錄A給出了安全計劃的模板。.7本標準的結構本標準共包括10個安全要求章節（第5章至第14章）。每個章節名稱及其所含主要安全要求的數目是：第5章系統開發與供應鏈安全（17個）第6章系統與通信保護（14個）第7章訪問控制（27個）第8章配置管理（7個）第9章維護（9個）第10章應急響應與災備（13個）第11章審計（11個）第12章風險評估與持續監控（6個）第13章安全組織與人員（14個）第14章物理與環境保護（15個）本標準還包括附錄A：安全計劃模板。注：本標準中章節的順序不表明其重要性。另外，本標準的其他排列也沒有優先順序，除非特別注明。5系統開發與供應鏈安全策略與規程一般要求云服務商應：a）制定如下策略與規程，并分發到賦值：云服務商定義的人員或角色］:1）系統開發與供應鏈安全策略（包括采購策略等），嵌以下內容：目的、范圍、角色、責任、管理層承諾、內部協調、合規性。2）相關規程，以推動系統開發與供應鏈安全策略及與有關安全措施的實施。b）按照［賦值：云服務商定義的頻率］審查和更新系統開發與供應鏈安全策略及相關規程。增強要求無。資源分配一般要求云服務商應：a）在系統建設規劃中考慮系統的安全需求。b）確定并分配保護信息系統和服務所需的資源（如有關資金、場地、人力等），酒預算管理過程中予以重點考慮。c）在工作計劃和預算文件中，將信息安全作為單列項予以說明。增強要求無。系統生命周期一般要求云服務商應：a）將信息安全納入［賦值：云服務商定義的系統生命周期］，確保信息安全措施同步規劃、同步建設、同步運行。b）確定整個信息系統生命周期內的信息安全角色和責任。c）將信息安全角色明確至相應責任人。d）將信息安全風險管理過程集成到系統生命周期活動中。增強要求無。采購過程一般要求云服務商應根據相關法律、法規、政策和標準的要求，以及可能的客戶需求，并在風險評估的基礎上，將以下內容列入信息系統采購合同：a）安全功能要求。b）安全強度要求。c）安全保障要求。d）安全相關文檔要求。e）保密要求。f）開發環境和預期運行環境描述。g）驗收準則。h）強制配置要求，如功能、端口、協議和服務。增強要求云服務商應：a）提供或要求信息系統、組件或服務的開發商提供所使用的安全措施的功能描述，如對外提供的安全功能或機制。b）提供或要求信息系統、組件或服務的開發商提供所使用的安全措施的設計和實現信息，包括：［選擇（可多選）：安全相關的外部系統的接口；高層設計；低層設計；源代碼或硬件原理圖；［賦值：云服務商定義的其他設計或實現信息］］，其詳細程度應滿足［賦值：云服務商定義的詳細程度］。c）提供或要求信息系統、組件或服務的開發商提供證據，證明其在系統生命周期中使用了［賦值：云服務商定義的系統工程方法、軟件開發方法、測試技術和質量控制過程］。d）實現或要求信息系統、組件或服務的開發商交付信息系統、組牛或服務時實現［賦值：云服務商定義的安全配置］，且這些安全配置應作為信息系統、組件或服務進行重新安裝或升級時的缺省配置。e）要求信息系統、組件或服務的開發商制定對安全措施有效性的持續監控計劃，其詳細程度滿足［賦值：云服務商定義的詳細程度］。f）說明或要求信息系統、組件或服務的開發商在系統生命周期的早期階段說明系統中的功能、端□、協議和服務，云服務商應禁用不必要或高風險的功能、端□、協議或服務。系統文檔一般要求云服務商應：a）制定或要求信息系統、組件或服務的開發商制定管理員文檔，且涵蓋以下信息：1）系統、組件或服務的安全配置，以及安裝和運行說明。2）安全特性或功能的使用和維護說明。3）與管理功能有關的配置和使用方面的注意事項。b）制定或要求信息系統、組件或服務的開發商制定用戶文檔，且涵蓋以下信息：1）用戶可訪問的安全功能或機制，以及對如何有效地使用這些安全功能或機制的說明。2）有助于用戶以更加安全的方式使用系統、組件或服務的用戶交互方法。3）對用戶安全責任和注意事項的說明。c）基于風險管理策略，按照要求保護上述文檔。d）將上述文檔分發至［賦值：云服務商定義的人員或角色］。增強要求無。安全工程原則一般要求云服務商應在信息系統的規范、設計、開發、實現和修改過程中應用信息系統安全工程原則，包括但不限于以下內容：a）實施分層保護。b）建立完善的安全策略、架構和措施，作為設計基礎。c）劃定物理和邏輯安全邊界。d）確保系統開發人員接受了軟件開發安全培訓。e）進行威脅分析，評估安全風險。f）將風險降低到可接受的水平。增強要求無。關鍵性分析一般要求無。增強要求云服務商應在［賦值：云服務商定義的系統生命周期中的決策點］對［賦值：云服務商定義的信息系統、組件或服務］進行關鍵性分析，以確定關鍵信息系統組件和功能。外部信息系統服務一般要求云服務商應：a）要求外部信息系統服務提供商遵從并實施云服務商的信息安全要求。b）明確外部信息系統服務提供商的信息安全分工與責任，同時蟋外部信息系統服務提供商接受相關客戶監管。c）使用［賦值：云服務商定義的過程、方法和技術］，對外部服務提供商所提供的安全措施的合規性進行持續監控。增強要求云服務商應：a）在采購或外包特定的信息系統服務之前應進行風險評估。b）確保特定的信息系統服務的采購或外包得到賦值：云服務商定義的人員或角色］批準。c）要求［賦值：云服務商定義的外部信息系統服務］的服務提供商明確說明該服務涉及的功能、端口、協議和其他服務。d）基于［賦值：云服務商定義的安全要求、屬性、因素或者其他條件］建立并保持與外部服務提供商的信任關系。e）使用［賦值：云服務商定義的安全防護措施］，以確保［賦值：云服務商定義的外部服務提供商］不損害本組織的利益。安全防護措施包括但不限于：1）對所選擇的外部服務提供商的人員進行背景審查。2）檢查外部服務供應商資本變更記錄。3）選擇可信賴的服務提供商（如有過良好合作的提供商）。4）定期或不定期檢查服務提供商的設施。f）基于［賦值：云服務商定義的要求或條件］，限制［選擇：信息處理；信息或數據；信息系統服務的地點，如本地或境內。開發商安全體系架構一般要求無。增強要求云服務商應：a）制定或要求信息系統、組件或服務的開發商制定設計規范和安全架構，且符合下列條件：1）該架構應符合或支持云服務商的安全架構。2）準確完整地描述了所需的安全功能，并且為物理和邏輯組件分配了安全措施。3）說明各項安全功能、機制和服務如何協同工作，以提供完整一致的保護能力。b）說明或要求信息系統、組件或服務的開發商說明與安全相關的硬件、軟件和固件。c）創建或要求信息系統、系統組件或信息系統服務的開發商創建非形式化的高層說明書，說明安全相關的硬件、軟件和固件的接口，并通過非形式化的演示，說明該高層說明書完全覆蓋了與安全相關的硬件、軟件和固件的接口。d）在構造安全相關的硬件、軟件和固件時，考慮或要求信息系統組件或服務的開發商考慮便于測試、便于實現最小特權訪問控制等因素。開發過程、標準和工具一般要求無。增強要求云服務商應：a）制定或要求信息系統、組件或服務的開發商制定明確的開發規范，在規范中明確以下事項：1）所開發系統的安全需求。2）開發過程中使用的標準和工具。3）開發過程中使用的特定工具選項和工具配置。b）采取有關措施，確保開發過程的完整性和工具變更的完整性。c）按照［賦值：云服務商定義的頻率］審查開發過程、標準、工具以及工具選項和配置，判定有關過程、標準、工具以及工具選項和配置是否滿足［賦值：云服務商定義的安全需求|。d）定義或要求信息系統、組件或服務的開發商在開發過程的初始階段定義質量度量標準，并以［選擇：［賦值：云服務商定義的頻率］;［賦值：云服務商定義的項目審查里程碑］;交付時］為節點，檢查質量度量標準的落實情況。e）確定或要求信息系統、組件或服務的開發商確定安全問題追蹤工具，并在開發過程期間使用。f）要求信息系統、組件或服務的開發商以［賦值：云服務商定義的廣度和深度為信息系統實施威脅和脆弱性分析。g）實施或要求信息系統、組件或服務的開發商實施清晰的流程，以持續改進開發過程。h）執行或要求信息系統、組件或服務的開發商使用［賦值：云服務商定義的工具］執行漏洞分析，明確漏洞被利用的可能性，確定漏洞消減措施，并將工具的輸出和分析結果提交給［賦值：云服務商定義的人員或角色］。i）批準、記錄和控制對信息系統、組件或服務的開發和測試環境中真實數據的使用。j）制定或要求信息系統、組件或服務的開發商制定事故應急預案并將事故應急預案納入云服務商的事件響應計劃中。開發商配置管理一般要求云服務商應要求信息系統、組件或服務的開發商：a）在系統、組件或服務的［選擇：設計；開發；實現；運行］過程中實施配置管理。b）記錄、管理和控制［賦值：云服務商定義的配置項］的變更的完整性。配置項包括但不限于：形式化模型、功能、高層設計說明書、低層設計說明書、其他設計數據、實施文檔、源代碼和硬件原理圖、目標代碼的運行版本、版本對比工具、測試設備和文檔。c）得到批準后，才能對所提供的信息、組件或服務進行變更。d）記錄對信息系統、組件或服務的變更及其所產生的安全影響。0）踉蹤信息系統、組件或服務中的安全缺陷和缺陷解決方案。增強要求云服務商應：a）要求信息系統、組件或服務的開發商提供能夠驗證軟件和固件組件完整性的方法，如哈希算法。b）在沒有專用的開發商配置團隊支持的情況下，由本單位人員建立相應的配置管理流程。c）要求信息系統、組件或服務的開發商提供對硬件組件進行完整生驗證的方法，如防偽標簽、可核查序列號、防篡改技術等。d）要求信息系統、組件或服務的開發商，使用工具驗證軟件或固牛源代碼以及目標代碼的異同，以防止非授權更改。e）要求信息系統、組件或服務的開發商采取有關措施，保障安全相關的硬件、軟件和固件的出廠版本與現場運行版本一致，防止非授權更改。f）要求信息系統、組件或服務的開發商采取有關措施，保障安全相關的硬件、軟件和固件的現場更新與開發商內部版本一致，防止非授權更改。開發商安全測試和評估一般要求云服務商應要求信息系統、組件或服務的開發商：a）制定并實施安全評估計劃。a）以［賦值：云服務商定義的深度和覆蓋度］執行［選擇：單元；集成；系統回歸］測試或評估。c）提供安全評估計劃的實施證明材料，并提供安全測評的結果。d）實施可驗證的缺陷修復過程。e）更正在安全測評過程中發現的脆弱性和不足。增強要求云服務商應：a）要求信息系統、組件或服務的開發商在開發階段使用靜態代碼分析工具識別常見缺陷，并記錄分析結果。b）要求信息系統、組件或服務的開發商實施威脅和脆弱性分析，并測試或評估已開發完成的系統、組件或服務。c）在對信息系統、組件或服務的開發商進行評估時，應：1）選擇滿足［賦值：云服務商定義的獨立準則的獨立的第三方，驗證開發商安全評估計劃實施的正確性以及在安全測試或評估過程中產生的證據。2）確保獨立第三方能夠獲得足夠的資料來完成驗證過程，或已被授予獲得此類信息的權限。d）要求信息系統、組件或服務的開發商使用［賦值：云服務商定義的過程、規程或技術］對［賦值：云服務商定義的特定代碼］實施人工代碼審查。e）要求信息系統、組件或服務的開發商按照［賦值：云服務商定義的約束條件］，以［賦值：云服務商定義的廣度和深度］執行滲透性測試。f）要求信息系統、組件或服務的開發商分析所提供的硬件、軟件和固件容易受到攻擊的脆弱點。g）要求信息系統、組件或服務的開發商，驗證所完成的安全措施測試或評估滿足［賦值：云服務商定義的廣度和深度要求］。h）要求信息系統、組件或服務的開發商在運行階段使用動態代碼分析工具識別常見缺陷，并記錄分析結果。開發商提供的培訓一般要求無。增強要求云服務商應要求信息系統、組件或服務的開發商提供［賦值：云服務商定義的培訓］，以正確使用所交付系統或產品中的安全功能、措施和機制。防篡改一般要求無。增強要求云服務商應：a）實施對信息系統、組件或服務的篡改保護方案。b）在系統生命周期中的設計、開發、集成、運行和維護等多個階段使用防篡改技術。b）按照［選擇：隨機；［賦值：云服務商定義的頻率］］，在［賦值：云服務商定義的情況下］檢測［賦值:云服務商定義的信息系統、組件或設備］是否受到篡改。例如，當本單位人員從高風險地區返回時，應對其移動設備、筆記本電腦或者其他組件進行檢測。組件真實性一般要求無。增強要求云服務商應：a）制定和實施防贗品的策略和規程，檢測并防止贗品組件進入信息系統。b）向［選擇：正品廠商；［賦值：云服務商定義的外部報告機構］；［賦值：云服務商定義的人員和角色］;其他有關方面］報告贗品組件。c）對［賦值：云服務商定義的人員或角色］進行有關贗品組件檢測的培訓。d）在等待服務或維修，以及已送修的組件返回時，保持對賦值：云服務商定義的系統組件）的配10置控制權。e）使用［賦值：云服務商定義的技術和方法］銷毀廢棄的信息系統組件。f）按照［賦值：云服務商定義的頻率］檢查信息系統中是否有贗品組件。不被支持的系統組件一般要求無。增強要求云服務商應在開發商、供應商或廠商不再對系統組件提供支持時：a）替換該信息系統組件。b）當因業務需要等原因需繼續使用不被支持的系統組件時，提供合適的理由并經過本單位領導層的批準，并為不被支持的系統組件提供［選擇：內部支持；［賦值：云服務商定義的來自其他外部提供商的支持］］。供應鏈保護一般要求云服務商應：a）注明有哪些外包的服務或采購的產品對云計算服務的安全性存在重要影響。b）對重要的信息系統、組件或服務實施［賦值：云服務商定義的供應鏈安全防護措施，供應鏈安全防護措施包括但不限于：1）對產品的開發環境、開發設備以及對開發環境的外部連接實施安全控制。2）對開發商進行篩選，對開發人員進行審核。人員篩選的準則包括：無過失、可靠或稱職的官方證明、良好的背景審查、公民身份和國籍。開發商的可信任度還包括對公司所有制的審查和分析，對與其他實體間的關系進行審查和分析。3）在運輸或倉儲時使用防篡改包裝。增強要求云服務商應：a）實施［賦值：云服務商定義的采購策略、合同工具和采購方法。可從以下方面考慮：1）優先選擇滿足下列條件的供應商：i）安全防護措施符合法律、法規、政策、標準以及云服務商的安全要求。ii）企業運轉過程和安全措施相對透明。iii）對下級供應商、關鍵組件和服務的安全提供了進一步的核查。iv）限制來自于特定供應商或國家的采購。v）在合同中聲明不使用有惡意代碼產品或假冒產品。2）將采購決定和交付的時間間隔盡量縮短。3）使用可信或可控的分發、交付和倉儲手段。b）在簽署合同前對供應商進行審查，包括但不限于：1）分析供應商對信息系統、組件和服務的設計、開發、實施、驗證、交付、支持過程。2）評價供應商在開發系統、組件或服務時接受的安全培訓和積鄲經驗，以判斷其安全能力。c）采用［賦值：云服務商定義的安全保護措施］，以降低潛在對手利用供應鏈造成的危害。安全保護措施包括但不限于：1）盡量避免購買定制設備。2）盡量在能提供相同產品的多個不同供應商做選擇，以防范供應荀鎖定風險。3）選擇有聲譽的企業，建立合格供應商列表。d）在選擇、接受或更新信息系統、組件或服務前對其進行評估，如測試、測評、審查和分析，以發現惡意代碼等隱患。評估還可包括：靜態分析、動態分析、仿真、白盒、灰盒和黑盒測試、模糊測11試、滲透性測試等，以確保組件或服務的安全可靠。e）綜合分析各方面的信息，包括執法部門披露的信息、信息安全通報、應急響應機構的風險提示等，以識別來自開發、生產、交付過程以及人員和環境的風險。該分析應盡可能覆蓋到各層供應商和候選供應商。f）采用［賦值：云服務商定義的運行安全保護措施］，保護供應鏈相關信息，包括：用戶身份、信息系統、組件或服務的用途、供應商身份、供應商處理過程、安全需求、設計說明書、測評結果、系統或組件配置等信息。在制定防護措施時，應確定哪些信息可通過匯聚或推導分析而獲得供應鏈關鍵信息，并采取針對性的措施予以防范，如向供應商屏蔽關鍵信息，采取匿名采購或委托采購。g）采用［賦值：云服務商定義的安全防護措施來確認所收到的系統或組件真實、未被改動，如光學標簽等。對于硬件，應要求供應商提供詳細和完整的元器件清單和產地清單。h）對與信息系統、組件或服務相關的［賦值：云服務商定義的供應鏈單元、過程和參與者］實施分析或測試，包括獨立第三方分析或滲透性測試。供應鏈單元是包含可編程邏輯電路的關鍵產品或組件。供應鏈過程包括：硬件、軟件和固件開發過程；運輸或裝卸過程人員和物理安全程序；以及與供應鏈單元的生產或發布相關的其他程序。供應鏈參與者是供應鏈中具有特定角色和責任的獨立個體。i）采取有關措施（如簽訂協議），便應鏈安全事件信息或威脅信息能夠及時傳達到供應鏈上的有關各方。j）確保與供應商簽訂的服務水平協議（SLA）中的相關指標，不低于擬與客戶所簽訂的SLA協議中的相關指標。k）使用［賦值：云服務商定義的安全防護措施來確保［賦值：云服務商定義的關鍵信息系統組件］的充分供給。安全防護措施包括但不限于：1）使用多個供應商提供的關鍵組件。2）儲備足夠的備用組件。1）建立和留存對［賦值：云服務商定義的供應鏈單元過程和參與者］的唯一標識。m）當變更供應商時，對供應商變更帶來的安全風險進行評估，并采取有關措施對風險進行控制。6系統與通信保護策略與規程一般要求云服務商應：a）制定如下策略與規程，并分發到賦值：云服務商定義的人員或角色］:1）系統與通信保護策略（包括邊界保護策略、移動代碼策略、瓠化策略等）、系統和信息完整性策略，涉及以下內容：目的、范圍、角色、責任、管理層承諾、內部協調、合規性。2）相關規程，以推動系統與通信保護策略、系統和信息完整性策各及有關安全措施的實施。b）按照［賦值：云服務商定義的頻率］審查和更新系統與通信保護策略、系統和信息完整性策略及相關規程。增強要求無。邊界保護一般要求云服務商應：a）在連接外部系統的邊界和內部關鍵邊界上，對通信進行監控；在客戶之外的外部人員訪問系統的關鍵邏輯邊界和客戶訪問系統的關鍵邏輯邊界上，對通信進行監控。b）將允許外部公開直接訪問的組件，劃分在一個與內部網絡邏輯隔離的子網絡上。并確保允許外部人員訪問的組件與允許客戶訪問的組件在邏輯層面實現嚴格的網絡隔離。12c）確保與外部網絡或信息系統的連接只能通過嚴格管理的接口進行，根據云服務商的安全架構，該接口上應部署有邊界保護設備。增強要求云服務商應：a）為云計算服務搭建物理獨立的計算平臺、存儲平臺、內部網絡環境及相關維護、安防、電源等設施，并經由受控邊界與外部網絡相連。b）限制信息系統外部訪問接入點的數量，以便對進出通信和網絡流量實施有效監控。c）采取以下措施：1）對每一個外部的電信服務接口進行管理。2）為每一個接口制定通信流策略。3）采取有關措施對所傳輸的信息流進行必要的保密性和完整性保護。4）當根據業務需要，出現通信流策略的例外情況時，將業務需求和通信持續時間記錄到通信流策略的例外條款中。5）按照［賦值：云服務商定義的頻率］，對網絡通信流策略中的例外條款進行審查，在通信流策略中刪除不再需要的例外條款。d）確保信息系統的外部通信接口經授權后方可傳輸數據。e）當遠程維護管理云計算平臺時，防止遠程管理設備同時直接連妾其他網絡資源。f）支持客戶使用獨立的代理服務器來實現信息的導入導出。g）構建單獨的物理隔離的管理網絡，連接管理工具和被管設備或資源，以對云計算平臺進行管理。h）確保在［賦值：云服務商定義的邊界保護失效情況下，云計算平臺［賦值：云服務商定義的受影響部分］能夠安全地終止運行。i）采取有關措施，滿足不同客戶或同一客戶不同業務的信息系統之間隔離的需求。傳輸保密性和完整性一般要求無。增強要求云服務商應具有提供滿足國家密碼管理要求的通信加密和簽翎僉簽設施的能力。網絡中斷一般要求無。增強要求云服務商應采取有關措施，確保通信會話結束時或在［賦值：云服務商定義的不活動時間］之后，云計算平臺終止與其相關的網絡連接。例如，對基于RAS（遠程訪問服務）的會話，可將不活動時間定義為30分鐘；對于非交互式用戶，可將不活動時間定義為30到60分鐘。可信路徑一般要求無。增強要求云服務商應采取有關措施，確保在云計算平臺用戶和系統安全功能之間建立一條可信的通信路徑，安全功能至少應包括：系統鑒別、再鑒別、服務分配和收回如為一個云用戶分配額外的帶寬）。密碼使用和管理一般要求13云服務商應按照國家密碼管理有關規定使用和管理云計算平臺中所使用的密碼設施，并按規定生成和使用、管理密鑰。增強要求無。協同計算設備一般要求云服務商應禁止在云計算平臺上連接攝像頭、麥克風、白板等協同計算設備。增強要求無。移動代碼一般要求云服務商應根據安全需求和客戶的要求，制定移動代碼使用策略對移動代碼的使用進行限制，并對允許使用的移動代碼進行監視。增強要求云服務商應：a）在移動代碼執行前采取必要的安全動作，至少應對移動代碼進行來源確認。b）禁止自動執行移動代碼。會話認證一般要求無。增強要求云服務商應對所有的通信會話提供真實性保護，如防止中間人攻擊、會話劫持。移動設備的物理連接一般要求只有經云服務商授權的移動設備才能直接連接云計算平臺，并應：a）在移動設備連接云計算平臺前對其進行安全檢查，禁止自動執行移動設備上的代碼。b）防止云計算平臺上的信息未授權寫入移動設備。增強要求無。惡意代碼防護一般要求云服務商應：a）在網絡出入口以及系統中的主機、移動計算設備上實施惡意代碼防護機制，檢測并移除惡意代碼。b）建立相應維護機制，確保惡意代碼防護機制得到及時更新，如升級病毒庫。c）配置惡意代碼防護機制，以：1）按照［賦值：云服務商定義的頻率］定期掃描信息系統，以及在［選擇：終端；網絡出入口］下載、打開、執行外部文件時對其進行實時掃描。2）當檢測到惡意代碼后，實施［選擇：阻斷或隔離惡意代碼；向管理員報警；［賦值：云服務商定義的活動］］。d）及時掌握系統的惡意代碼誤報率，并分析誤報對信息系統可用性的潛在影響。增強要求14云服務商應：a）防止非特權用戶繞過惡意代碼防護機制。b）自動更新惡意代碼防護機制。c）集中管理惡意代碼防護機制。內存防護一般要求無。增強要求云服務商應使用［賦值：云服務商定義的安全措施對內存進行防護，避免非授權代碼執行。系統虛擬化安全性一般要求云服務商應：a）提供實時的虛擬機監控機制，通過帶內或帶外的技術手段對瓠機的運行狀態、資源占用、遷移等信息進行監控。b）確保虛擬機的鏡像安全，并保證：1）提供虛擬機鏡像文件完整性校驗功能，防止虛擬機鏡像被惡意篡改。2）采取有關措施保證邏輯卷同一時刻只能被一個虛擬機掛載。c）實現虛擬化平臺的資源隔離，并保證：1）每個虛擬機都能獲得相對獨立的物理資源，并能屏蔽虛擬資源故障，確保某個虛擬機崩潰后不影響虛擬機監控器（Hypervisor）及其他虛擬機。2）虛擬機只能訪問分配給該虛擬機的物理磁盤。3）不同虛擬機之間的虛擬CPU（vCPU）指令實現隔離。4）不同虛擬機之間實現內存隔離。5）虛擬機的內存被釋放或再分配給其他虛擬機前得到完全釋放。d）提供資源隔離失敗后的告警措施。e）支持虛擬機安全隔離，在虛擬機監控器（Hypervisor）層提供虛擬機與物理機之間的安全隔離措施，可控制虛擬機之間以及虛擬機和物理機之間所有的數據通信。f）提供虛擬化平臺操作管理員權限分離機制，設置網絡管理、賬戶管理、系統管理等不同的管理員賬戶。g）將虛擬化平臺的各類操作和事件作為可審計事件，進行記錄和追溯。h）在遷移或刪除虛擬機后確保數據清理以及備份數據清理，如鏡象文件、快照文件等。i）確保虛擬鏡像模板的配置正確性，并明確模板的譜系來源。6.13.2增強要求云服務商應：a）確保虛擬化平臺的管理命令采用加密的協議進行傳輸。b）提供虛擬機跨物理機遷移過程中的保護措施。c）提供對虛擬機所在物理機范圍進行指定或限定的能力。d）提供虛擬機鏡像文件加密功能，防止虛擬機鏡像文件數據被三授權訪問。e）對虛擬機模版文件、配置文件等重要數據進行完整性檢測。6.14網絡虛擬化安全性一般要求云服務商應：a）為云中的虛擬網絡資源（如VLAN（虛擬局域網）上的VM（虛擬機））間勺訪問，實施網絡邏輯隔離并提供訪問控制手段。15b）在訪問云服務的網絡和內部管理云的網絡之間采取隔離和訪問控制措施。c）對虛擬機的網絡接口的帶寬進行管理。增強要求無。7訪問控制策略與規程一般要求云服務商應：a）制定如下策略與規程，并分發到賦值：云服務商定義的人員或角色］:1）標識與鑒別策略、訪問控制策略（包括信息流控制策略、遠程訪問策略等），嵌以下內容：目的、范圍、角色、責任、管理層承諾、內部協調、合規生。2）相關規程，以推動標識與鑒別策略、訪問控制策略及有關安全措施的實施。b）按照［賦值：云服務商定義的頻率］審查和更新標識與鑒別策略、訪問控制策略及相關規程。增強要求無。用戶標識與鑒別一般要求云服務商應：a）對信息系統的用戶進行唯一標識和鑒別。b）對特權賬號的網絡訪問實施多因子鑒別。增強要求云服務商應：a）對非特權賬號的網絡訪問實施多因子鑒別。b）對特權賬號的本地訪問實施多因子鑒別。c）對特權賬號的網絡訪問實施抗重放鑒別機制，如動態口令。c）在對特權賬號的網絡訪問實施多因子鑒別時，確保其中一個因子由與系統分離的設備提供，以防止鑒別憑證在系統中存儲時受到破壞。e）在對非特權賬號的網絡訪問實施多因子鑒別時，確保其中一個因子由與系統分離的設備提供，以防止鑒別憑證在系統中存儲時受到破壞。設備標識與鑒別一般要求無。增強要求在［賦值：云服務商定義的設備或設備類型列表與云計算平臺建立［選擇：本地；網絡］連接前，云服務商應對該設備進行唯一標識和鑒別，如利用設備的介質訪問控制（MAC）地址。標識符管理一般要求云服務商應通過以下步驟管理云計算平臺中的標識符：a）明確授權人員來分配個人、組、角色或設備標識符。b）設定或選擇個人、組、角色或設備的標識符。c）將標識符分配給有關個人、組、角色或設備。d）在［賦值：云服務商定義的時間段］內防止對用戶或設備標識符的重用。16e）在［賦值：云服務商定義的時間段］后禁用不活動的用戶標識符。增強要求云服務商應：a）對［賦值：云服務商定義的人員類型］進行標識，如合同商或境外公民，便于了解通信方的身份（如將電子郵件的接收者為合同商，以便與本單位人員相區分。b）在標識跨組織、跨平臺的用戶時，應確保與相關單位相協調，以滿足多個組織或平臺的標識符管理策略。鑒別憑證管理一般要求云服務商應：a）通過以下步驟管理鑒別憑證：1）驗證鑒別憑證接收對象（個人、組、角色或設備）的身份。2）確定鑒別憑證的初始內容。3）確保鑒別憑證對于其預期使用具有足夠強的機制。4）針對鑒別憑證的初始分發、丟失處置以及收回，建立和實施管理規程。5）強制要求用戶更改鑒別憑證的默認內容。6）明確鑒別憑證的最小和最大生存時間限制以及再用條件。7）對［賦值：云服務商定義的鑒別憑證］，強制要求在［賦值：云服務商定義的時間段］之后更新鑒別憑證。8）保護鑒別憑證內容，以防未授權泄露和篡改。9）采取由設備實現的特定安全保護措施來保護鑒別憑證。10）當組或角色賬號的成員資格發生變化時，變更該賬號的鑒別憑證。b）對于基于口令的鑒別：1）設立相關機制，能夠強制執行最小口令復雜度，該復雜度滿足賦值：云服務商定義的口令復雜度規則］。2）設立相關機制，能夠在用戶更新口令時，強制變更賦值：云服務商定義的數目］個字符，確保新舊口令不一樣。3）對存儲和傳輸中的口令進行加密。4）強制執行最小和最大生存時間限制，以滿足［賦值：云服務商定義的最小生存時間和最大生存時間］。c）對于基于硬件令牌的鑒別，定義令牌安全質量要求，并部署相關機制予以滿足，如基于PKI的令牌。增強要求云服務商應：a）對于基于PKI的鑒別：1）通過構建到信任根的認證路徑并對其進行驗證，包括檢查證書犬態信息，以確保認證過程的安全。2）對相應私鑰進行保護。b）確保未加密的靜態鑒別憑證未被嵌入到應用、訪問腳本中。c）接收［賦值：云服務商定義的鑒別憑證］時，必須通過本人或可信第三方實施。鑒別憑證反饋一般要求云服務商應確保信息系統在鑒別過程中能夠隱藏鑒別信息的反潰，以防止鑒別信息被未授權人員利用。增強要求17無。密碼模塊鑒別一般要求云服務商應確保系統中的密碼模塊對操作人員設置了鑒別機制該機制應滿足國家密碼管理的有關規定。增強要求無。賬號管理一般要求云服務商應：a）指派賬號管理員。b）標識賬號類型（即個人賬號、組賬號、訪客賬號、匿名賬號和臨時賬號）。c）建立成為組成員的必需條件。d）標識信息系統的授權用戶、組及角色關系，并為每個賬號指定訪問權限和其他需要的屬性。e）針對建立信息系統賬號的請求，提請［賦值：云服務商定義的人員或角色］的批準。f）建立、激活、修改、關閉和注銷賬號。g）授權和監督賬號的使用。h）當下述情況出現時，通報賬號管理員：1）當臨時賬號不再需要時。2）當用戶離職或調動時。3）當變更信息系統用途時。i）按照［賦值：云服務商定義的頻率］，檢查賬號是否符合賬號管理的要求。增強要求云服務商應：a）采用自動方式管理賬號。b）在［賦值：云服務商定義的時間段］后自動［選項：刪除；禁用］臨時和應急賬號。c）在［賦值：云服務商定義的時間段］后自動關閉非活躍賬號。d）對賬號的建立、更改、禁用和終止行為進行自動審計，并將情況向［賦值：云服務商定義的人員或角色］通報。e）根據基于角色的訪問方案建立和管理特權用戶賬號，將信息系統的訪問及特權納入角色屬性，并對特權角色的分配進行跟蹤和監視。訪問控制的實施一般要求云服務商應：a）為云計算平臺上信息和系統資源的邏輯訪問實施經批準的授權b）參照［賦值：云服務商定義的職責分離］，授權對云計算平臺的訪問。增強要求針對所有主體和客體，云服務商應實胞賦值：云服務商定義的強制訪問控制策略］，該策略應規定：a）針對信息系統范圍內所有主體和客體，統一執行策略。^已獲得信息訪問權的主體，應限制其實施以下任何行為：1）將信息傳遞給未授權的主體和客體。2）將權限授予給其他主體。3）變更主體、客體、信息系統或其組件的安全屬性。184）對新創建或修改后的客體，變更其已經關聯的安全屬性。5）變更訪問控制管理規則。c）針對［賦值：云服務商定義的主體］，可明確授予［賦值：云服務商定義的特權（即將其作為可信主體）］，以便其不被b）條的部分或全部條件所約束。信息流控制一般要求無。增強要求云服務商應：a）按照［賦值：云服務商定義的信息流控制策略］，控制系統內或互連系統間的信息流動，如限制受控信息流向互聯網、限制對互聯網的Web訪問請求、限制某些數據格式或含關鍵字的信息流出云計算平臺、限制云計算平臺上的信息流向境外或在境外處理。信息流策略的實施方式包括但不限于：1）使用與［賦值：云服務商定義的信息（數據內容和數據結構）、源目的地對象］相關聯的［賦值：云服務商定義的安全屬性］作為信息流控制決策基礎。2）實施動態信息流控制，如針對條件變化或運行環境，具備動態調整信息流控制策略的能力。3）對其他數據類型中的嵌入的數據（如字處理文件中嵌入可執行文件、壓縮文件中包含多種類型的文件）實施［賦值：云服務商定義的限制措施］。4）基于［賦值：云服務商定義的用來描述數據特征的元數據］實施信息流控制，如數據格式、語法、語義等。5）使用硬件方法實現［賦值：云服務商定義的信息單向流動］。6）將［賦值：云服務商定義的安全策略過濾器］作為對［賦值：云服務商定義的信息流］進行信息流控制決策的基礎，如文件的最大長度、文件和數據類型等，并為特權賬號提供開啟、禁止和配置［賦值：云服務商定義的安全策略過濾器］的能力。b）在［賦值：云服務商定義的條件］下，對［賦值：云服務商定義的信息流］實施人工審查。c）在不同的安全域之間傳輸信息時，檢查信息中是否存祖賦值：云服務商定義的禁止類信息］，并遵循［賦值：云服務商定義的安全策略］，禁止傳輸此類信息。d）唯一地標識和鑒別以［選擇：組織、系統、應用、個人］為標識的源和目的地址，以實施信息流策略，如禁止信息流向境外目的地址。e）使用［賦值：云服務商定義的綁定技術］，綁定信息與其安全屬性，以實施信息流策略。f）使用同一設備對多個不同安全域上的計算平臺、應用或數據訪問時，防止不同安全域之間的任何信息以違背信息流策略的方式流動。存儲加密一般要求無。增強要求云服務商應：a）提供或支持客戶部署滿足國家密碼管理規定的數據加密方案，確保客戶的數據在云計算平臺以密文形式存儲。b）提供或支持客戶部署密鑰管理解決方案，確保云服務商或任何第三方無法對客戶的數據進行解密。最小特權一般要求云服務商為用戶提供的訪問權限應是其完成指定任務所必需的應符合本單位業務的需求。19增強要求云服務商應：a）對［賦值：云服務商定義的安全功能和安全相關信息］的訪問進行明確授權。b）應將特權功能的執行納入信息系統需要審計的事件中。c）確保具有訪問系統安全功能或安全相關信息特權的賬號或角側戶，當訪問非安全功能時，使用非特權賬號或角色。d）限制［賦值：云服務商定義的人員或角色］具有特權賬號。e）確保信息系統能夠阻止非特權用戶執行特權功能，以防禁止、繞過、或替代已實施的安全措施。未成功的登錄嘗試一般要求云服務商應：a）將［賦值：云服務商定義的時間段］內的連續登錄失敗的上限限定為賦值：云服務商定義的次數］。b）當登錄失敗次數超過上限時，系統將［選擇：鎖定賬號至［賦值：云服務商定義的時間段］；管理員解鎖］。增強要求無。系統使用通知一般要求云服務商應：a）在準予用戶訪問系統之前，向用戶顯示系統使用通知消息或旗標，根據有關法律、法規、政策、標準等來提供隱私和安全通知，并聲明：1）用戶正訪問政府或行業的信息系統。2）系統的使用過程可能被監視、記錄并受到審計。3）禁止對系統進行越權使用，否則將承擔法律責任。4）一旦使用該系統，則表明同意受到監視和記錄。b）在屏幕上保留通知消息或標語，直到用戶采取明確的行動來登錄系統或進一步使用系統。c）對公眾可訪問的系統，采取如下措施：1）在準予用戶進一步訪問系統之前，在［賦值：云服務商定義的條件下］向用戶顯示系統使用信息。2）在向公眾用戶顯示的通知中，對系統的授權使用方式進行描述增強要求無。前次訪問通知一般要求云服務商應在用戶登錄系統后，顯示前一次登錄日期和時間。增強要求無。并發會話控制一般要求無。增強要求20云服務商應確保在信息系統中同一［賦值：云服務商定義的賬號］不允許有兩個或兩個以上的并發會話。會話鎖定一般要求無。增強要求云服務商應：a）當用戶在［賦值：云服務商定義的時間段］內未活動，或用戶主動發起鎖定指令時，實施會話鎖定，以防止繼續訪問信息系統。b）保持會話鎖定，直到用戶通過已有的標識和鑒別過程，再次建立連接。c）信息系統應隱藏鎖定前可見的信息，并顯示公開可見的圖像。未進行標識和鑒別情況下可采取的行動一般要求云服務商應：a）確定無需進行標識和鑒別即可在云平臺上實施打賦值：云服務商定義的用戶行為，該行為要符合云服務商的安全策略，并且與云平臺上系統的功能相一致b）在信息系統安全計劃中記錄下不需要標識或鑒別的用戶行為，并說明理由。增強要求無。安全屬性一般要求無。增強要求云服務商應：a）提供關聯手段，在信息的存儲、處理、傳輸中，將［賦值：云服務商定義的安全屬性與信息相關聯。b）確保已建立并維持了信息與安全屬性之間的關聯。c）為每個已建立的安全屬性確定許可的［賦值：云服務商定義的值或范圍］。遠程訪問一般要求云服務商應：a）對［賦值：云服務商定義的遠程訪問方法］明確使用限制、配置和連接要求。b）明確遠程訪問的實施條件，采取有關措施保證遠程訪問的安全c）在允許遠程連接前，對遠程方式進行授權。d）實時監視未授權的云服務遠程連接，并在發現未授權連接時，采取恰當的應對措施。增強要求云服務商應：a）自動監視和控制遠程訪問會話，以檢測網絡攻擊，確保遠程訪問策略得以實現。b）使用密碼機制，以保證遠程訪問會話的保密性和完整性。c）確保所有遠程訪問只能經過有限數量的、被管理的訪問控制點d）對遠程執行特權命令進行限制（如刪除虛擬機、創建系統賬號、配置訪問授權、執行系統管理功能、審計系統事件或訪問事件日志、SSH、VPN等），僅在為滿足［賦值：云服務商定義的需求］的情況下，才能通過遠程訪問的方式，授權執行特權命令或訪問安全相關信息，并采取更嚴格的保護措施21且進行審計。安全計劃中應說明這種遠程訪問的合理性。e）在遠程訪問時禁止使用非安全的網絡協議，例如：TFTP（簡單文件傳輸協議）、X-Windows、SunOpenWindows>FTP、TELNET、IPX/SPX、NETBIOS、RPC服務（如NIS、NFS）、rlogin/rsh/rexec、RIP、UUCP、NNTP、P2P等。無線訪問一般要求云服務商應禁用無線網絡直接訪問云計算平臺。增強要求無。外部信息系統的使用一般要求云服務商應：a）明確列出何種情況下允許授權人員通過外部信息系統，對云計算平臺進行訪問。b）明確列出何種情況下允許授權人員利用外部信息系統，對云計算平臺上的信息進行處理、存儲或傳輸。增強要求云服務商應：a）確保只在以下情況下允許授權人員通過外部信息系統進行訪問，或利用這些信息系統處理、存儲、傳輸云計算平臺上的信息：1）外部信息系統正確實現了云服務商的信息安全策略和安全計劃所要求的安全措施，并通過了第三方評估機構的測試。2）與外部系統所在實體簽訂了系統連接或處理協議，該協議應經過第三方評估機構的評價。b）［選擇：限制；禁止］授權人員在外部信息系統上使用由云服務商控制的移動存儲介質。信息共享一般要求無。增強要求云服務商應：a）允許授權用戶判斷共享伙伴的訪問授權是否符合［賦值：云服務商定義的信息共享環境中的信息訪問限制策略，以促進信息共享。b）使用［賦值：云服務商定義的自動機制或人工過程，以協助用戶作出信息共享決策。可供公眾訪問的內容一般要求云服務商應：a）指定專人負責發布公開信息。b）對該人進行培訓，確保發布的信息不含有非公開信息。c）發布信息前進行審查，防止含有非公開信息。d）按照［賦值：云服務商定義的頻率］審查公開發布的信息中是否含有非公開信息，一經發現，立即刪除。增強要求無。22數據挖掘保護一般要求無。增強要求云服務商應使用［賦值：云服務商定義的數據挖掘防范和檢測技術］，充分檢測和防范對［賦值：云服務商定義的數據存儲介質］進行的數據挖掘。介質訪問和使用一般要求云服務商應：a）只允許［賦值：云服務商定義的人員或角色］訪問［賦值：云服務商定義的數字或非數字介質］。b）在［賦值：云服務商定義的介質］報廢、云服務商控制之外使用、回收再利用前，采用［賦值：云服務商定義的介質凈化技術和規程］對其進行凈化，所采用凈化機制的強度、覆蓋范圍應與其中信息類別或敏感級別相匹配。c）［選擇：限制；禁止］在［賦值：云服務商定義的系統或組件］中使用［賦值：云服務商定義的介質］。增強要求云服務商應：a）采用自動機制來限制對各類介質的訪問，并對介質訪問情況進行審計。b）對各類介質進行標記，以標明其中所含信息的分發限制、處理主意事項以及其他有關安全標記（如敏感級）。c）在受控區域中，采取物理控制措施并安全地存儲磁帶、外置或可移動硬盤、Flash驅動器、CD等介質，并對這些介質提供持續保護，直到對其進行破壞或凈化。d）在受控區域之外傳遞數字介質時，采用密碼機制來保護其中信息的保密性和完整性。d）確保各類介質在受控區域之外的傳遞過程得到記錄。服務關閉和數據遷移一般要求云服務商應：a）在客戶與其服務合約到期時，能夠安全地返還客戶信息。b）在客戶定義的時間內，刪除云服務平臺上存儲的客戶信息，并確保不能以商業市場的技術手段恢復。c）為客戶將信息遷移到其他云服務平臺提供技術手段，并協助完成數據遷移。增強要求無。8配置管理策略與規程一般要求a）制定如下策略與規程，并分發到賦值：云服務商定義的人員或角色］:1）配置管理策略（包括基線配置策略、軟件使用與限制策略等，嵌以下內容：目的、范圍、角色、責任、管理層承諾、內部協調、合規性。2）相關規程，以推動配置管理策略及有關安全措施的實施。b）按照［賦值：云服務商定義的頻率］審查和更新配置管理策略及相關規程。增強要求23無。配置管理計劃一般要求無。增強要求云服務商應：a）制定并實施云計算平臺的配置管理計劃。b）在配置管理計劃中，規定配置管理相關人員的角色和職責，并詳細規定配置管理的流程。c）在系統生命周期內，建立配置項標識和管理流程。d）定義信息系統的配置項并將其納入配置管理計劃。e）保護配置管理計劃，以防未授權的泄露和變更。基線配置一般要求云服務商應按照配置要求制定、記錄并維護信息系統當前的基戔配置。增強要求云服務商應：a）在以下情況時重新審查和更新基線配置：1）按照［賦值：云服務商定義的頻率］。2）當系統發生重大變更時。3）安裝和更新系統組件后。b）保留［賦值：云服務商定義的信息系統基線配置的歷史版本］，以便必要時恢復配置。c）在云計算平臺相關設施或設備將被攜至高風險地區時，按照賦值：云服務商定義的配置要求］進行配置；返回后，按照［賦值：云服務商定義的安全防護措施］，對設備進行防護。變更控制一般要求云服務商應：a）明確云計算平臺中有哪些變更需要包含在系統受控配置列表中如主機配置項、網絡配置項等。b）明確需定期變更的受控配置列表，并按照［賦值：云服務商定義的頻率］對病毒庫、入侵檢測規則庫、防火墻規則庫、漏洞庫等與信息安全相關的重要配置項進行更新。c）在云計算平臺上實施變更之前，對信息系統的變更項進行分析以判斷該變更事項對云計算安全帶來的潛在影響。d）審查所提交的信息系統受控配置的變更事項，根據安全影響分析結果進行批準或否決，并記錄變更決定。e）保留信息系統中受控配置的變更記錄。f）按照［賦值：云服務商定義的頻率］對與系統受控配置的變更有關的活動進行審查。g）明確受控配置變更的管理部門，負責協調和監管與受控配置變更有關的活動。h）根據客戶的要求，確定應報告的配置變更事項。在實施這些變更之前，向客戶提供下列變更信息：1）變更計劃發生的日期和時間。2）系統變更的詳細信息。3）變更的安全影響分析結論。增強要求云服務商應：24a）在云計算平臺上實施變更之前，對受控配置變更項進行測試、驗證和記錄。b）對云計算平臺上的變更實施物理和邏輯訪問控制，并對變更動乍進行審計。c）限制信息系統開發方和集成方對生產環境中的信息系統及其硬牛、軟件和固件進行直接變更。d）按照［賦值：云服務商定義的頻率］，對信息系統開發方和集成方掌握的變更權限進行審查和再評估。設置配置項的參數一般要求云服務商應：a）按照［賦值：云服務商定義的安全配置核對表，建立并記錄信息系統中所使用的信息技術產品的配置設置。b）按照上述配置設置，對信息系統中所使用的信息技術產品的配置項進行參數設置。c）如因［賦值：云服務商定義的運行需求］或其他原因，出現［賦值：云服務商定義的信息系統組件的配置參數與已設配置不符的情況，記錄相關信息，并經過賦值：云服務商定義的人員或角色的批準。d）監控配置項設置參數的變更。增強要求云服務商應：a）使用自動機制對配置項的參數進行集中管理、應用和驗證。b）按照［賦值：云服務商定義的安全措施］，處理對［賦值：云服務商定義的配置設置］的未授權變更。對未授權變更的響應措施包括：更換有關人員，恢復已建立的配置，或在極端情況下中斷受影響的信息系統的運行等。最小功能原則一般要求云服務商應：a）對云計算平臺按照僅提供必需功能進行配置，以減少系統面臨的風險。b）禁止或限制使用［賦值：云服務商定義的功能、端口、協議或服務］。增強要求云服務商應：a）按照［賦值：云服務商定義的頻率］，對信息系統進行審查，以標識不必要或不安全的功能、端口、協議或服務。b）關閉［賦值：云服務商定義的不必要或不安全的功能、端口、協議和服務］。c）信息系統應按照［選擇：［賦值：云服務商定義的軟件使用與限制策略；對軟件使用的授權規則］，禁止運行相關程序。d）按照白名單策略，確定［賦值：云服務商定義的在云計算平臺上允許運行的軟件］，禁止未授權軟件在云計算平臺上運行，并按照［賦值：云服務商定義的頻率］，審查和更新授權軟件列表。信息系統組件清單一般要求云服務商應：a）制定和維護信息系統組件清單，該清單應滿足下列要求：1）能準確反映當前信息系統的情況。2）與信息系統邊界一致。3）達到信息安全管理所必要的顆粒度。4）包含［賦值：云服務商定義的為實現有效的資產追責所必要的信息］。b）按照［賦值：云服務商定義的頻率］，審查并更新信息系統組件清單。25c）當安裝或移除一個完整的系統組件時，或當信息系統更新時，更新其信息系統組件清單。d）確認云計算服務平臺的所有組件均已列入資產清單，如該組件屬于其他組織，應予以注明并說明原因。增強要求云服務商應：a）按照［賦值：云服務商定義的頻率］，使用自動機制檢測云計算服務平臺中新增的未授權軟件、硬件或固件組件。b）當檢測到未授權的組件或設備時應［選擇：禁止其網絡訪問；對其進行隔離；通知［賦值：云服務商定義的人員或角色］］。c）使用自動機制維護信息系統組件清單。9.維護策略與規程一般要求云服務商應：a）制定如下策略與規程，并分發至［賦值：云服務商定義的人員或角色］:1）系統維護策略（包括遠程維護策略），嵌以下內容：目的、范圍、角色、責任、管理層承諾、內部協調、合規性。2）相關規程，以推動系統維護策略及有關安全措施的實施。b）按照［賦值：云服務商定義的頻率］審查和更新系統維護策略及相關規程。增強要求無。受控維護一般要求云服務商應：a）根據供應商的規格說明以及自身的業務要求，對云計算平臺組牛的維護和修理進行規劃、實施、記錄，并對維護和修理記錄進行審查。b）審批和監視所有維護行為，不論是現場維護還是遠程維護，也不論被維護對象是在現場還是被轉移到其他位置。c）在將云計算平臺組件轉移到云服務商外部進行非現場的維護或修理前，對設備進行凈化，清除與之相關聯的介質中的信息。d）在對云計算平臺或組件進行維護或修理后，檢查所有可能受勖向的安全措施，以確認其仍正常發揮功能。e）在維護記錄中，至少應包括：維護日期和時間、維護人員姓名陪同人員姓名（如有必要）、對維護活動的描述、被轉移或替換的設備列表（包括設備標識號）等信息。增強要求云服務商應確保，在將云計算平臺的組件轉移到云服務商外部進行非現場的維護或修理前，獲得［賦值：云服務商定義的人員或角色］的批準。維護工具一般要求云服務商應審批、控制并監視信息系統維護工具的使用。增強要求云服務商應：a）檢查由維護人員帶入設施內部的維護工具，以確保維護工具未被不當修改。26b）在存有診斷和測試程序的介質被使用之前，對其進行惡意代碼僉測。c）為防止具有信息存儲功能的維護設備在未授權情況下被轉移出云服務商，采取以下一種或多種措施，并獲得本單位安全責任部門的批準：1）驗證待轉移維護設備中沒有云服務商和用戶的信息。2）凈化或破壞設備。3）將維護設備留在場所內部。遠程維護一般要求云服務商應：a）明確規定建立和使用遠程維護和診斷連接的策略和規程，對遠程維護和診斷進行審批和監視。b）僅允許使用符合［賦值：云服務商定義的遠程維護策略］，并明確列出的遠程維護和診斷工具。c）在建立遠程維護和診斷會話時采取強鑒別技術。d）建立和保存對遠程維護和診斷活動的記錄。e）在遠程維護完成后終止會話和網絡連接。f）對所有遠程維護和診斷活動進行審計，按照賦值：云服務商定義的頻率］對所有遠程維護和診斷會話的記錄進行審查。增強要求無。維護人員一般要求云服務商應：a）建立對維護人員的授權流程，對已獲授權的維護組織或人員建立列表。b）確保只有列表中的維護人員，才可在沒有人員陪同時進行系統維護；不在列表中的人員，必須在授權且技術可勝任的人員陪同與監管下，才可開展維護活動增強要求無。及時維護一般要求云服務商應建立［賦值：云服務商定義的系統組件的備品備件列表，并落實相關的措施。這些備品備件應能在發生故障的［賦值：云服務商定義的時間段］內投入運行。增強要求無。缺陷修復一般要求云服務商應：a）標識、報告和修復云計算平臺的缺陷。b）在與安全相關的軟件和固件升級包發布后，及時安裝升級包。c）在安裝前測試與安全缺陷相關的軟件和固件升級包，驗證其斯有效，以及驗證其對云計算平臺可能帶來的副作用。d）將缺陷修復納入組織的配置管理過程之中。增強要求云服務商應使用自動檢測機制，按照［賦值：云服務商定義的頻率］對缺陷修復后的組件進行檢測。27安全功能驗證一般要求云服務商應：a）驗證［賦值：云服務商定義的安全功能是否正常運行。b）在發生［賦值：云服務商定義的系統轉換狀態時，或者按照［賦值：云服務商定義的頻率］，對安全計劃中的安全功能實施安全驗證。c）當自動實施的安全驗證失敗時，通知［賦值：云服務商定義的人員或角色］。d）當發生異常情況時，關閉或重啟信息系統，或者采取賦值：云服務商定義的行為。增強要求無。軟件、固件、信息完整性一般要求云服務商應：a）建立完整性評估流程，確保軟件、固件、信息的完整性。b）具備檢測［賦值：云服務商定義的軟件、固件或信息］遇到的未授權更改的能力。增強要求云服務商應：a）按照［賦值：云服務商定義的頻率］對云計算平臺進行完整性掃描，并重新評估軟件、固件和信息的完整性。b）確保云計算平臺具有檢測未授權系統變更的能力，并制定響應措施。c）在云平臺上安裝軟件之前，驗證其完整性。10應急響應與災備策略與規程一般要求云服務商應：a）制定如下策略與規程，并分發到賦值：云服務商定義的人員或角色］:1）事件處理策略、災備與應急響應策略（包括備份策略），嵌以下內容：目的、范圍、角色、責任、管理層承諾、內部協調、合規性。2）相關規程，以推動事件處理策略、災備與應急響應策略及有關安全措施的實施。b）按照［賦值：云服務商定義的頻率］審查和更新事件處理策略、災備與應急響應策略及相關規程。增強要求無。事件處理計劃一般要求云服務商應：a）制定信息系統的事件處理計劃，該計劃應：1）說明啟動事件處理計劃的條件和方法。2）說明事件處理能力的組織結構。3）定義需要報告的安全事件。4）提供組織內事件處理能力的度量目標。5）定義必要的資源和管理支持，以維護和增強事件處理能力。286）由［賦值：云服務商定義的人員或角色］審查和批準。b）向［賦值：云服務商定義的人員、角色或部門］,發布事件處理計劃。c）按照［賦值：云服務商定義的頻率］，審查事件響應計劃。d）如系統發生變更或事件響應計劃在實施、執行或測試中遇到問題，及時修改事件處理計劃并通報［賦值：云服務商定義的人員、角色或部門］。e）防止事件處理計劃未授權泄露和更改。增強要求無。事件處理一般要求云服務商應：a）為安全事件的處理提供必需的資源和管理支持。b）協調應急響應活動與事件處理活動，并與相關外部組織（如供應鏈中的外部服務提供商等）進行協調。c）將當前事件處理活動的經驗，納入事件處理、培訓及演練計劃并實施相應的變更。增強要求云服務商應使用自動機制支持事件處理過程。安全事件報告一般要求云服務商應：a）根據應急響應計劃，監控和報告安全事件。b）當發現可疑的安全事件時，在［賦值：云服務商定義的時間段］內，向本單位的事件處理部門報告。c）建立事件報告渠道，當發生影響較大的安全事件時，向國家和地方應急響應組織及有關信息安全主管部門報告。增強要求云服務商應使用自動機制支持事件報告過程。事件響應支持一般要求云服務商應落實事件處理所需的各類支持資源，為用戶處理、報告安全事件提供咨詢和幫助。增強要求云服務商應：a）使用自動機制，提高事件響應支持資源的可用性。b）在事件處理部門和外部的信息安全組織之間建立直接合作關系能夠在必要時獲得外部組織的協助。安全警報一般要求云服務商應：a）持續不斷地從國家和地方應急響應組織及有關信息安全主管部門接收安全警報、建議和指示。b）在必要時發出內部的安全警報、建議和指示。c）向［選擇：［賦值：云服務商定義的人員、角色或部門］;［賦值：云服務商定義的外部組織］］，傳達安全警報、建議和指示。d）能夠在已經確立的時間段內針對安全警報、建議和指示作出反應，如無法作出反應，向安全警29報、建議和指示的下達部門及客戶告知原因。增強要求無。錯誤處理一般要求云服務商應：a）標識出信息系統各類安全相關錯誤的狀態。b）在錯誤日志和管理員消息中產生出錯消息，并提供必要信息冊更正活動，但出錯消息不能泄露以下情況：1