互聯網交互式服務安全管理要求第7部分云服務目 次前言 Ⅰ引言 Ⅱ范圍 1規范性引用文件 1術語和定義 1安全管理制度 2組織機構 2人員安全管理訪問控制管理基本要求權限分配特殊權限權限檢查安全技術措施

……………2……………2……………2……………2……………2……………2……………3網絡與系統運行安全 3云計算平臺安全數據安全與備份

……………………3……………………3安全審計 3云服務運營安全 4基本要求 4客戶服務協議客戶管理措施

………………………5………………………5違法有害信息防范和處置 5破壞性程序防范 5個人信息保護 5投訴 5分包服務 6安全事件管理 611互聯網交互式服務安全管理要求第7部分云服務范圍本文件規定了云服務安全管理要求。本文件適用于互聯網交互式服務提供者落實云服務安全保護管理制度和安全保護技術措施。規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中注日期的引用文件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于本文件。1信息技術安全技術信息安全事件管理第1部分事件管理原理6信息安全技術 信息安全事件分類分級指南9信息安全技術 網絡安全等級保護基本要3信息安全技術 個人信息安全規范A0互聯網交互式服務安全管理要求 第1部分基本要求A8信息安全技術 互聯網服務安全評估基本程序及要求術語和定義TTA8界定的以及下列術語和定義適用于本文件。

云計算g通過網絡訪問可擴展的靈活的物理或虛擬共享資源池并按需自助獲取和管理資源的模式。注資源實例包括服務器操作系統網絡軟件應用和存儲設備等。來源]云計算服務e使用定義的接口借助云計算提供一種或多種資源的能力。來源]云服務提供商r云計算服務的供應方。注云服務提供商管理運營支撐云計算的計算基礎設施及軟件通過網絡支付云計算的資源。來源]

云服務客戶r為使用云計算服務同云服務提供商建立業務關系的參與方。來源]云計算平臺m云服務提供商提供的云計算基礎設施及其上的服務軟件的集合。來源]安全管理制度云服務提供商應根據0第4章的要求制定并維護安全管理制度。安全管理制度還應包括:云服務提供商與云服務客戶以下簡稱客戶責任分擔說明文件;云服務過程中的網絡安全和保密管理制度;云服務提供商對客戶數據安全的承諾文件等。組織機構云服務提供商應根據A0第5章的要求建立相關機構并明確其職責。人員安全管理云服務提供商應根據A0第6章的要求設立安全管理崗位配備安全管理人員并明確其職責。訪問控制管理基本要求云服務提供商應根據A0第7章的要求進行訪問控制管理。權限分配云服務提供商應對客戶進行身份鑒別并滿足以下要求:嚴禁云服務管理員未經授權獲取客戶權限;客戶授權云服務管理員相關權限應具有相應的授權流程并保留授權記錄。特殊權限為維護國家安全打擊違法犯罪在遵守國家法律法規的基礎上云服務提供商應提供技術接口和操作權限等技術支持和協助。權限檢查云服務提供商應根據A0中4的要求定期對訪問權限進行檢查并滿足以下要求:訪問控制權限檢查時間間隔應不超過1年;2PAGEPAGE3PAGEPAGE4特殊訪問控制權限檢查時間間隔應不超過半年。安全技術措施網絡與系統運行安全云服務提供商應根據A0中1的要求采取相應的安全技術措施保障網絡與系統運行安全并滿足以下要求:對云平臺上出現的漏洞云主機操作系統漏洞和云平臺上運行的主機面臨的安全威脅惡意攻擊等進行預警;引導用戶對漏洞和安全威脅進行處置。云計算平臺安全云服務提供商應根據9中相應等級的安全通用要求和云計算安全擴展要求保障云計算平臺的安全。,云服務提供商應根據,云服務提供商應根據A0中2的要求采取相應的安全技術措施保障數據安全與備份并滿足以下要求。云計算平臺數據備份要求。云服務提供商應對云計算平臺的運行數據建立備份策略具備足夠的備份設施確保必要的信息和軟件在災難或者介質故障時可以恢復。備份的數據類型應包括:客戶注冊信息;云計算平臺關鍵配置數據;云計算平臺關鍵服務的運行數據與日志;客戶使用云計算平臺的登錄日志。b 客戶數據備份要求:云服務提供商應根據客戶的選擇提供不同級別的備份恢復能力支持客戶對系統和數據的備份支持服務客戶查詢備份數據;云服務提供商應在與客戶簽訂的協議或公告中定義云服務提供商所提供的數據備份服務并告知客戶需要自行備份數據。安全審計審計內容審計內容應滿足A0中3的要求。此外還應包括以下內容。云計算平臺狀態信息包括:設備運行狀態鏈路運行狀態網絡流量用戶行為;重要安全事件如網絡攻擊行為等并能記錄事件的類型發生的日期時間攻擊方式等。重要的客戶行為重要安全事件如網絡攻擊行為等并能記錄事件的類型發生的日期時間攻擊方式等。b 客戶身份信息包括:客戶唯一標識;客戶身份信息如姓名證件類型證件號碼企業信息等;注冊時間P信息;電子郵箱地址和手機號碼;)客戶其他信息。 , :客戶購買或開通云計算服務資源信息包括開通云計算服務資源信息;)3))3)關閉云計算服務資源信息。客戶登錄信息包括:客戶的唯一標識;登錄時間;登錄P地址和端口號。日志保存時間云服務提供商應滿足A0中3的要求。此外還應保存客戶開通服務的相關信息6個月以上。云計算平臺審計要求云服務提供商對云計算平臺的審計要求如下:云服務提供商應對審計進程進行保護防止未授權的中斷確保審計記錄不被破壞或非授權訪問并對特定安全事件進行報警;云服務提供商應確保當發生虛擬機遷移或虛擬資源變更時安全審計機制應用于新的邊界處,安全審計功能不受影響;云服務提供商應能夠對審計記錄進行關聯分析生成審計報表并做出關聯響應確認的違規行為及時報警并做出相應處置;云服務提供商應對分散在各個設備上的審計數據進行收集匯總和集中分析;云服務提供商應確保審計日志內容的可溯源性即可追溯到真實的客戶賬號;云服務提供商應配合公安機關監管要求留存指定的訪問日志。客戶審計要求云服務提供商對客戶的審計要求如下:云服務提供商應支持客戶收集和查看與自身資源相關的審計信息;云服務提供商應保證對客戶通信網絡的訪問操作可被客戶審計;云服務提供商應支持向客戶提供常規的安全審計和分析服務的能力:應能對客戶系統記錄活動異常情況故障和安全事件的日志;應確保審計日志內容的可溯源性日志包含時間主體客體事件活動類型等內容;應保護審計日志保證無法單獨中斷審計進程防止刪除修改或覆蓋審計日志。云服務運營安全基本要求云服務提供商應在滿足A0第9章要求的基礎上保證云服務安全。客戶服務協議云服務提供商與客戶簽訂云服務協議應符合以下條款的要求:協議應告知相關權利義務及需承擔的法律責任;協議明確雙方安全責任;協議中應向客戶明確其數據處理活動如數據跨境傳輸等符合國家法律法規和政策要求;協議中應明確云服務退出的相關要求如數據移交范圍數據遷移服務數據安全刪除等。客戶管理措施根據A0中2的要求進行客戶管理并滿足以下要求:云服務提供商應按照國家法律法規要求明確禁止客戶利用云服務開展的違法違規或惡意行為;應建立客戶風險名單基于名單對客戶在注冊登錄等環節進行風險控制如綜合分析和關聯分析等排查措施;應根據客戶利用云服務開展的違法違規行為或惡意行為次數和影響程度及范圍采取不同級別的處置措施。違法有害信息防范和處置云服務提供商應根據A0中3的要求進行違法有害信息防范和處置并滿足以下要求:云服務提供商應在其云計算資源使用過程中對違法有害信息進行監測和防范發現法律法規禁止發布或者傳輸的信息的應當立即停止傳輸該信息采取消除等處置措施保存有關記錄,并向有關主管部門報告;云服務提供商應對客戶提出違法有害信息防范和處置要求能夠為有需要的客戶提供安全檢測服務確保其使用云服務的過程中有效發現并處置利用云服務資源傳播違法有害信息的行為;云服務提供商應為客戶提供防范違法有害信息的服務。破壞性程序防范云服務提供商應根據A0中4的要求進行破壞性程序防范并滿足以下要求:應對客戶利用云服務資源進行公開的病毒傳播網絡攻擊網絡入侵等惡意攻擊行為進行監測;應對