信息安全技術(shù)云計算服務(wù)安全能力要求編制說明

1、國家標(biāo)準(zhǔn)信息安全技術(shù) 云計算服務(wù)安全能力要求（征求意見稿）編制說明一、工作簡況1、任務(wù)來源本標(biāo)準(zhǔn)和 GB/T 31167-2014信息安全技術(shù) 云計算服務(wù)安全指南是我國 首批發(fā)布的云計算服務(wù)安全國家標(biāo)準(zhǔn)， 有效地支撐了黨政部門云計算服務(wù)安全審 查工作，從技術(shù)和管理兩個方面分別闡述了云計算服務(wù)安全要求。 隨著云計算服 務(wù)審查工作的積累、云計算技術(shù)發(fā)展以及黨政部門采購云計算服務(wù)形式的多樣 化，逐步發(fā)現(xiàn)標(biāo)準(zhǔn)存在審查工作量大、周期長，責(zé)任劃分難度增加、云服務(wù)安全 標(biāo)準(zhǔn)自身條款超前、 部分條款不易理解、 云持續(xù)監(jiān)督工作需求緊迫等問題， 為支 撐審查工作的開展， 有效指導(dǎo)云服務(wù)商建設(shè)安全的云計算平臺， 迫

2、切需要結(jié)合新 趨勢、新問題對本標(biāo)準(zhǔn)進(jìn)行修訂，并做好與相關(guān)標(biāo)準(zhǔn)的銜接。2019年 7月，國家互聯(lián)網(wǎng)信息辦公室等發(fā)布云計算服務(wù)安全評估辦法 ， 規(guī)定參照國家標(biāo)準(zhǔn)云計算服務(wù)安全能力要求 、云計算服務(wù)安全指南 ，對面 向黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施提供云計算服務(wù)的云平臺進(jìn)行的安全評估。根據(jù)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會 2019 年下達(dá)的國家標(biāo)準(zhǔn)制修訂計劃： 信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評價方法 ，該標(biāo)準(zhǔn)由交通運(yùn)輸 信息中心負(fù)責(zé)承辦，由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口管理。2、主要起草單位和工作組成員 本標(biāo)準(zhǔn)由中電數(shù)據(jù)服務(wù)有限公司牽頭，四川大學(xué)、中國電子技術(shù)標(biāo)準(zhǔn)化研 究院、 中國網(wǎng)絡(luò)安全審查

3、技術(shù)與認(rèn)證中心、 國家信息技術(shù)安全研究中心、 中國信 息安全測評中心、 中國信息通信研究院、 北京信息安全測評中心、 中國軟件評測 中心、中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司、 國家工業(yè)信息安全中心、 神州網(wǎng)信技術(shù) 有限公司、 阿里云計算有限公司、 寧夏西云數(shù)據(jù)科技有限公司、 中國電信云股份 有限公司云計算分公司、 華為技術(shù)有限公司、 深信服科技股份有限公司、 深圳騰 訊計算機(jī)系統(tǒng)有限公司、京東云計算（北京）有限公司、浙江螞蟻金服小微金融 服務(wù)集團(tuán)股份有限公司、武漢理工大學(xué)、上海市方達(dá)（北京）律師事務(wù)所等單位 共同參與起草。3、主要工作過程（1）2018年10月至 12月，在全國信安標(biāo)委 2018年第

4、二次會議周上做標(biāo) 準(zhǔn)修訂報告， 會后開展云計算標(biāo)準(zhǔn)、 技術(shù)和產(chǎn)業(yè)以及黨政部門云服務(wù)安全管理實 踐調(diào)研（2）2019年 1 月至 2 月，研究國內(nèi)外云計算安全相關(guān)標(biāo)準(zhǔn)，為本標(biāo)準(zhǔn)的編 制奠定基礎(chǔ)，包括：對比 GB/T 31168-2014 與網(wǎng)絡(luò)安全等級保護(hù) 2.0； GB/T 31168-2014與FEDRAMP安全基線的對照表（NIST 80053）分析比較；FEDRAMP 中、高級安全基線比較表高級要求新增條款；以及 CSA 云安全指南重點內(nèi)容摘 要等 。要等 。（3）2019年2月至 4月，成立編制組，召開項目申報啟動會，討論明確標(biāo) 準(zhǔn)修訂思路； 在編制組范圍收集標(biāo)準(zhǔn)反饋意見， 組織 3

5、次標(biāo)準(zhǔn)研討會； 形成標(biāo)準(zhǔn) 草案。（4）2019年4月，在全國信安標(biāo)委 2019年第1次會議周上做立項匯報， 征集標(biāo)準(zhǔn)修訂意見。（5）2019年5月至6月，召開專家研討會， 請云服務(wù)安全審查和第三方機(jī) 構(gòu)技術(shù)專家對標(biāo)準(zhǔn)草案提出意見，根據(jù)反饋意見修改完善標(biāo)準(zhǔn)草案。（ 6） 2019 年 7 月至 8 月，征集參與過云服務(wù)安全審查工作的云服務(wù)商反饋 意見，包括阿里云、華為、電信、浪潮、曙光、騰訊、金山云、京東云、未來國 際、深信服等，根據(jù)反饋意見修改完善標(biāo)準(zhǔn)草案。（7） 2019年 9 月，通過立項審批，公開征集標(biāo)準(zhǔn)參編單位。（9）2019年 1 0月，召開正式立項后的標(biāo)準(zhǔn)項目啟動會和專家評審會，根

6、 據(jù)反饋意見修改完善標(biāo)準(zhǔn)草案，在全國信安標(biāo)委 2019年第 2次會議周上做標(biāo)準(zhǔn) 修訂工作匯報，經(jīng)組內(nèi)投票同意轉(zhuǎn)征求意見稿。（10）2019年11月，在北京組織編制組研討會，修改完善標(biāo)準(zhǔn)內(nèi)容；在成 都四川大學(xué)組織的云計算安全國家標(biāo)準(zhǔn)和相關(guān)問題研討會上， 就當(dāng)前的一些關(guān)鍵 問題進(jìn)行討論并征求專家意見。二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題1 、標(biāo)準(zhǔn)編制原則一是先進(jìn)性原則。 充分吸收已有云安全相關(guān)標(biāo)準(zhǔn)，本標(biāo)準(zhǔn)在修訂過程中充 分參考了國際、國內(nèi)有關(guān)云計算安全的先進(jìn)標(biāo)準(zhǔn)和技術(shù)規(guī)范，對美國 Fedramp 云安全基線要求、 NIST 800-53、ISO/IEC 27017、CSA 安全指南

7、等相關(guān)標(biāo)準(zhǔn)的長 處進(jìn)行了吸收，基本覆蓋了上述標(biāo)準(zhǔn)的要求。二是中立性原則。 保持技術(shù)中立，在提出安全要求時，不限制具體的實現(xiàn) 方法，以便于為今后的技術(shù)發(fā)展留下空間。三是合理性原則。 結(jié)合我國云計算服務(wù)安全評估工作實踐以及云計算技術(shù) 發(fā)展和服務(wù)部署的實際情況，提出適當(dāng)?shù)陌踩?。二、主要?nèi)容 本標(biāo)準(zhǔn)描述了以社會化方式為特定客戶提供云計算服務(wù)時，云服務(wù)商應(yīng)具 備的安全技術(shù)能力。本標(biāo)準(zhǔn)適用于對政府部門使用的云計算服務(wù)進(jìn)行安全管理，也可供其他關(guān) 鍵信息基礎(chǔ)設(shè)施運(yùn)營者使用云計算服務(wù)時參考， 還適用于指導(dǎo)云服務(wù)商建設(shè)安全 的云計算平臺和提供安全的云計算服務(wù)。本標(biāo)準(zhǔn)對云服務(wù)商提出了基本安全能力要求，反映了云服

8、務(wù)商在保障云計 算環(huán)境中客戶信息和業(yè)務(wù)的安全時應(yīng)具備的基本能力。 這些安全要求分為 11 類， 每一類安全要求包含若干項具體要求。11類安全要求分別是： 系統(tǒng)開發(fā)與供應(yīng)鏈安全：云服務(wù)商應(yīng)在開發(fā)云計算平臺時對其提供充分 保護(hù)，對信息系統(tǒng)、 組件和服務(wù)的開發(fā)商提出相應(yīng)要求， 為云計算平臺配置足夠 的資源，并充分考慮安全需求。 云服務(wù)商應(yīng)確保其下級供應(yīng)商采取了必要的安全 措施。云服務(wù)商還應(yīng)為客戶提供有關(guān)安全措施的文檔和信息， 配合客戶完成對信 息系統(tǒng)和業(yè)務(wù)的管理。系統(tǒng)與通信保護(hù)：云服務(wù)商應(yīng)在云計算平臺的外部邊界和內(nèi)部關(guān)鍵邊界 上監(jiān)視、控制和保護(hù)網(wǎng)絡(luò)通信， 并采用結(jié)構(gòu)化設(shè)計、 軟件開發(fā)技術(shù)和軟件工程方

9、 法有效保護(hù)云計算平臺的安全性。訪問控制：云服務(wù)商應(yīng)在允許人員、進(jìn)程、設(shè)備訪問云計算平臺之前， 應(yīng)對其進(jìn)行身份標(biāo)識及鑒別，并限制其可執(zhí)行的操作和使用的功能。數(shù)據(jù)保護(hù)：云服務(wù)商應(yīng)嚴(yán)格保護(hù)云計算平臺的客戶數(shù)據(jù)，確保境內(nèi)運(yùn)營 中收集和產(chǎn)生的客戶數(shù)據(jù)在境內(nèi)存儲， 提供重要數(shù)據(jù)的備份與恢復(fù)功能， 協(xié)助客 戶完成數(shù)據(jù)遷移并在服務(wù)結(jié)束時安全返回數(shù)據(jù)。配置管理：云服務(wù)商應(yīng)對云計算平臺進(jìn)行配置管理，在系統(tǒng)生命周期內(nèi) 建立和維護(hù)云計算平臺（包括硬件、軟件、文檔等）的基線配置和詳細(xì)清單，并 設(shè)置和實現(xiàn)云計算平臺中各類產(chǎn)品的安全配置參數(shù)。維護(hù)：云服務(wù)商應(yīng)維護(hù)好云計算平臺設(shè)施和軟件系統(tǒng)，并對維護(hù)所使用 的工具、技術(shù)、機(jī)

10、制以及維護(hù)人員進(jìn)行有效的控制，且做好相關(guān)記錄。應(yīng)急響應(yīng)：云服務(wù)商應(yīng)為云計算平臺制定應(yīng)急響應(yīng)計劃，并定期演練， 確保在緊急情況下重要信息資源的可用性。 云服務(wù)商應(yīng)建立事件處理計劃， 包括 對事件的預(yù)防、檢測、分析和控制及系統(tǒng)恢復(fù)等，對事件進(jìn)行跟蹤、記錄并向相 關(guān)人員報告。云服務(wù)商應(yīng)具備容災(zāi)恢復(fù)能力， 建立必要的備份與恢復(fù)設(shè)施和機(jī)制， 確保客戶業(yè)務(wù)可持續(xù)。審計：云服務(wù)商應(yīng)根據(jù)安全需求和客戶要求，制定可審計事件清單，明 確審計記錄內(nèi)容， 實施審計并妥善保存審計記錄， 對審計記錄進(jìn)行定期分析和審 查，還應(yīng)防范對審計記錄的非授權(quán)訪問、修改和刪除行為。風(fēng)險評估與持續(xù)監(jiān)控：云服務(wù)商應(yīng)定期或在威脅環(huán)境發(fā)生變化

11、時，對云 計算平臺進(jìn)行風(fēng)險評估， 確保云計算平臺的安全風(fēng)險處于可接受水平。 云服務(wù)商 應(yīng)制定監(jiān)控目標(biāo)清單， 對目標(biāo)進(jìn)行持續(xù)安全監(jiān)控， 并在發(fā)生異常和非授權(quán)情況時 發(fā)出警報。安全組織與人員：云服務(wù)商應(yīng)確保能夠接觸客戶信息或業(yè)務(wù)的各類人員 （包括供應(yīng)商人員） 上崗時具備履行其安全責(zé)任的素質(zhì)和能力， 還應(yīng)在授予相關(guān) 人員訪問權(quán)限之前對其進(jìn)行審查并定期復(fù)查，在人員調(diào)動或離職時履行安全程 序，對于違反安全規(guī)定的人員進(jìn)行處罰。物理與環(huán)境保護(hù)： 云服務(wù)商應(yīng)確保機(jī)房位于中國境內(nèi)， 機(jī)房選址、 設(shè)計、 供電、消防、溫濕度控制等符合相關(guān)標(biāo)準(zhǔn)的要求。云服務(wù)商應(yīng)對機(jī)房進(jìn)行監(jiān)控， 嚴(yán)格限制各類人員與運(yùn)行中的云計算平臺設(shè)

12、備進(jìn)行物理接觸， 確需接觸的， 需通 過云服務(wù)商的明確授權(quán)。與GB/T 311682014相比，主要變化如下：刪除原 4.7節(jié) 本標(biāo)準(zhǔn)的結(jié)構(gòu)。修改術(shù)語定義3.1-3.6，與GB/T 32400云計算術(shù)語標(biāo)準(zhǔn)保持一致。刪除原 5.1、6.1、7.1、8.1、9.1、10.1、 11.1、12.1、13.1和14.1 策略與 規(guī)程，相關(guān)要求整合至 14 安全組織與人員 14.1 策略與規(guī)程中。精簡標(biāo)準(zhǔn)條款，梳理減少原則性要求、重復(fù)性要求，其中有相關(guān)國家標(biāo) 準(zhǔn)要求的，如物理與環(huán)境要求引用。明確標(biāo)準(zhǔn)內(nèi)容，減少賦值和選擇操作，確需保留的，以舉例或附錄模板 等形式盡可能給出參考值。結(jié)合云計算平臺的特點，修

13、改 6.1 邊界保護(hù)、 6.11系統(tǒng)虛擬化等，細(xì)化 網(wǎng)絡(luò)隔離等內(nèi)容。增加 6.14 安全管理中心，針對云計算管理平臺或系統(tǒng)的安全能力要求。補(bǔ)充PAAS/SAAS等模式的安全技術(shù)要求，包括：7.21 Web訪問安全、7.22API訪問安全增加第 8 章 數(shù)據(jù)保護(hù)，做好與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、個人信息和重要 數(shù)據(jù)保護(hù)相關(guān)標(biāo)準(zhǔn)的銜接， 確?？蛻暨w移數(shù)據(jù)過程中的業(yè)務(wù)連續(xù)性和數(shù) 據(jù)完整性。將第 10章維護(hù)改為“維護(hù)管理”，側(cè)重管理要求。增加第 16章 高級保護(hù)要求。根據(jù) GB/T 31167，承載敏感信息的重要業(yè) 務(wù)和關(guān)鍵業(yè)務(wù)，應(yīng)選擇達(dá)到高級保護(hù)能力的云服務(wù)。高級保護(hù)要求主要 包括： 1）結(jié)合云計算安全

14、評估工作實踐，將原增強(qiáng)要求中要求偏高的 內(nèi)容調(diào)整到高級保護(hù)要求，如采用自動機(jī)制； 2）采納行業(yè)云中較高的 安全要求，如金融行業(yè)云對災(zāi)備的要求； 3）參考關(guān)鍵信息基礎(chǔ)設(shè)施保 護(hù)中適用于云計算平臺的要求， 如關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)有關(guān)供應(yīng)鏈保 護(hù)、日志留存期限的要求； 4）其他云計算安全標(biāo)準(zhǔn)中較高的技術(shù)要求， 如等級保護(hù)四級新增的云計算服務(wù)擴(kuò)展要求等。增加附錄B不同云能力類型下的不適用項，說明“基礎(chǔ)設(shè)施”、“平臺”、 “應(yīng)用程序”能力類型的適用項或不適用項列表。三、主要試驗 或驗證 情況分析無。四、知識產(chǎn)權(quán)情況說明本標(biāo)準(zhǔn)不涉及專利。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果無。六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況標(biāo)準(zhǔn)參考了國際和國外相關(guān)標(biāo)準(zhǔn)情況，根據(jù)我國國情制定。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性 本標(biāo)準(zhǔn)符合中華人民共和國網(wǎng)絡(luò)安全法等現(xiàn)有法律法規(guī)的要求。根據(jù) 云計算服務(wù)安全評估辦法規(guī)定，與 GB/T 31167信息安全技術(shù) 云計算服 務(wù)安全指南配合使用，為政府部門和關(guān)鍵信息基礎(chǔ)設(shè)施的云計算服務(wù)安全評 估提