GB/T 31168-2023信息安全技術云計算服務安全能力要求

ICS35030

CCSL.80

中華人民共和國國家標準

GB/T31168—2023

代替GB/T31168—2014

信息安全技術

云計算服務安全能力要求

Informationsecuritytechnology—

Securitycapabilityrequirementsforcloudcomputingservices

2023-05-23發(fā)布2023-12-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T31168—2023

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………2

云計算安全要求的表達與實現

5…………3

云計算安全措施的實施責任

5.1………………………3

云計算安全措施的作用范圍

5.2………………………4

安全要求的分類

5.3……………………4

安全要求的表述形式

5.4………………5

安全要求的調整

5.5……………………6

安全計劃

5.6……………7

系統(tǒng)開發(fā)與供應鏈安全

6…………………7

資源分配

6.1……………7

系統(tǒng)生命周期

6.2………………………8

采購過程

6.3……………8

系統(tǒng)文檔

6.4……………9

關鍵性分析

6.5…………………………9

外部服務

6.6……………10

開發(fā)商安全體系架構

6.7………………10

開發(fā)過程標準和工具

6.8、……………11

開發(fā)過程配置管理

6.9…………………11

開發(fā)商安全測試和評估

6.10…………12

開發(fā)商提供的培訓

6.11………………13

組件真實性

6.12………………………14

不被支持的系統(tǒng)組件

6.13……………14

供應鏈保護

6.14………………………14

系統(tǒng)與通信保護

7…………………………16

邊界保護

7.1……………16

傳輸的保密性和完整性保護

7.2………………………17

網絡中斷

7.3……………17

可信路徑

7.4……………17

Ⅰ

GB/T31168—2023

密碼使用和管理

7.5……………………18

設備接入保護

7.6………………………18

移動代碼

7.7……………18

會話認證

7.8……………19

惡意代碼防護

7.9………………………19

內存防護

7.10…………………………20

系統(tǒng)虛擬化安全性

7.11………………20

網絡虛擬化安全性

7.12………………21

存儲虛擬化安全性

7.13………………21

安全管理功能的通信保護

7.14………………………22

訪問控制

8…………………22

用戶標識與鑒別

8.1……………………22

標識符管理

8.2…………………………22

鑒別憑證管理

8.3………………………23

鑒別憑證反饋

8.4………………………24

密碼模塊鑒別

8.5………………………24

賬號管理

8.6……………24

訪問控制的實施

8.7……………………25

信息流控制

8.8…………………………26

最小特權

8.9……………26

未成功的登錄嘗試

8.10………………27

系統(tǒng)使用通知

8.11……………………27

前次訪問通知

8.12……………………27

并發(fā)會話控制

8.13……………………28

會話鎖定

8.14…………………………28

未進行標識和鑒別情況下可采取的行動

8.15………28

安全屬性

8.16…………………………29

遠程訪問

8.17…………………………29

無線訪問

8.18…………………………30

外部信息系統(tǒng)的使用

8.19……………30

可供公眾訪問的內容

8.20……………30

訪問安全

8.21WEB……………………31

訪問安全

8.22API……………………31

數據保護

9…………………32

通用數據安全

9.1………………………32

媒體訪問和使用

9.2……………………32

剩余信息保護

9.3………………………33

Ⅱ

GB/T31168—2023

數據使用保護

9.4………………………33

數據共享保護

9.5………………………34

數據遷移保護

9.6………………………34

配置管理

10………………35

配置管理計劃

10.1……………………35

基線配置

10.2…………………………35

變更控制

10.3…………………………35

配置參數的設置

10.4…………………36

最小功能原則

10.5……………………37

信息系統(tǒng)組件清單

10.6………………38

維護管理

11………………38

受控維護

11.1…………………………38

維護工具

11.2…………………………39

遠程維護

11.3…………………………39

維護人員

11.4…………………………40

及時維護

11.5…………………………40

缺陷修復

11.6…………………………40

安全功能驗證

11.7……………………41

軟件和固件完整性

11.8………………41

應急響應

12………………42

事件處理計劃

12.1……………………42

事件處理

12.2…………………………42

事件報告

12.3…………………………43

事件處理支持

12.4……………………43

安全警報

12.5…………………………43

錯誤處理

12.6…………………………44

應急響應計劃

12.7……………………44

應急響應培訓

12.8……………………45

應急演練

12.9…………………………45

信息系統(tǒng)備份

12.10……………………46

支撐客戶的業(yè)務連續(xù)性計劃

12.11……………………46

電信服務

12.12…………………………47

審計

13……………………47

可審計事件

13.1………………………47

審計記錄內容

13.2……………………48

審計記錄存儲容量

13.3………………48

審計過程失敗時的響應

13.4…………48

Ⅲ

GB/T31168—2023

審計的審查分析和報告

13.5、…………48

審計處理和報告生成

13.6……………49

時間戳

13.7……………50

審計信息保護

13.8……………………50

抗抵賴性

13.9…………………………50

審計記錄留存

13.10……………………51

風險評估與持續(xù)監(jiān)控

14…………………51

風險評估

14.1…………………………51

脆弱性掃描

14.2………………………51

持續(xù)監(jiān)控

14.3…………………………52

信息系統(tǒng)監(jiān)測

14.4……………………53

垃圾信息監(jiān)測

14.5……………………54

安全組織與人員

15………………………54

安全策略與規(guī)程

15.1…………………54

安全組織

15.2…………………………54

崗位風險與職責

15.3…………………55

人員篩選

15.4…………………………55

人員離職

15.5…………………………56

人員調動

15.6…………………………56

第三方人員安全

15.7…………………56

人員處罰

15.8…………………………57

安全培訓

15.9…………………………57

物理與環(huán)境安全

16………………………58

物理設施與設備選址

16.1……………58

物理和環(huán)境規(guī)劃

16.2…………………58

物理環(huán)境訪問授權

16.3………………59

物理環(huán)境訪問控制

16.4………………59

輸出設備訪問控制

16.5………………60

物理訪問監(jiān)控

16.6……………………60

訪客訪問記錄

16.7……………………60

設備運送和移除

16.8…………………61

附錄資料性安全能力要求匯總

A()……………………62

附錄資料性本文件的實現情況描述

B()………………68

參考文獻

……………………70

Ⅳ

GB/T31168—2023

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規(guī)則的規(guī)定起草

GB/T1.1—2020《1:》。

本文件代替信息安全技術云計算服務安全能力要求與

GB/T31168—2014《》,GB/T31168—

相比除結構調整和編輯性改動外主要技術變化如下

2014,,:

更改了本文件的適用范圍見第章年版的第章

a)(1,20141);

增加了對和的規(guī)范性引用見第章

b)GB/T32400—2015GB/T35273—2020(3、9.1.1);

更改了部分術語和定義見第章年版的第章

c)(3,20143);

增加了縮略語一章見第章

d)“”(4);

將云服務模式更改為云能力類型見

e)“”“”(5.1);

增加了高級要求每類安全要求分別對應一般要求增強要求和高級要求見

f),、(5.4);

刪除了本文件的結構見年版的

g)“”(20144.7);

刪除了原各類要求分別對應的策略與規(guī)程整合至第章的策略與規(guī)程見年

h),14“”(14.1,2014

版的和

5.1、6.1、7.1、8.1、9.1、10.1、11.1、12.1、13.114.1);

增加了安全管理功能的通信保護見

i)“”(7.14);

增加了訪問安全訪問安全見

j)“WEB”“API”(8.21、8.22);

增加了數據保護一章提出數據安全要求確?？蛻暨w移數據過程中的業(yè)務連續(xù)性和數據完

k)“”,,

整性見第章

(9);

將維護一章的名稱更改為維護管理見第章年版的第章

l)“”“”(11,20149);

更改了機房設計的內容見第章年版的第章

m)“”(16,201414)。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件起草單位中電數據服務有限公司四川大學杭州安恒信息技術股份有限公司中國科學技術

:、、、

大學中國電子技術標準化研究院中國網絡安全審查技術與認證中心國家信息技術安全研究中心中國

、、、、

信息安全測評中心中國信息通信研究院北京信息安全測評中心國家工業(yè)信息安全發(fā)展研究中心中國

、、、、

軟件評測中心中國移動通信集團有限公司中電長城網際系統(tǒng)應用有限公司神州網信技術有限公司深

、、、、

信服科技股份有限公司寧夏西云數據科技有限公司三六零數字安全科技集團有限公司螞蟻科技集團

、、、

股份有限公司合肥高維數據技術有限公司上海市方達北京律師事務所北京中測安華科技有限公司

、、()、、

中電和瑞科技有限公司阿里云計算有限公司武漢理工大學四川發(fā)展大數據產業(yè)投資有限責任公司南

、、、、

方電網數字傳媒科技有限公司上海觀安信息技術股份有限公司中科銳眼天津科技有限公司

、、()。

本文件主要起草人周亞超羅永剛左曉棟陳興蜀李世鋒張建軍閔京華楊建軍李斌伍揚

:、、、、、、、、、、

王惠蒞張弛單博深許皖秀崔占華王啟旭楊苗苗張明天劉佳良胡華明丁曉史大為盧夏

、、、、、、、、、、、、、

李媛何延哲劉俊河王強陳雪鴻楊帥鋒柳彩云胡振泉耿貴寧邵江寧韋韜郭亮賈依真

、、、、、、、、、、、、、

葉潤國田輝尹云霞杜宇鴿安兆彬吳復偉張濱江為強劉雨桁楊婷李安倫肖廣娣程軍軍

、、、、、、、、、、、、、

王坤張峰邱勤艾青松龍毅宏張大江黃少青果靖鄭珂雪陳清明王永基鄭赳楊勃王朝棟

、、、、、、、、、、、、、、

張照龍蔣韜趙洪宇

、、。

本文件及其所替代文件的歷次版本發(fā)布情況為

:

年首次發(fā)布

———2014GB/T31168—2014;

本次為第一次修訂

———。

Ⅴ

GB/T31168—2023

引言

本文件與信息安全技術云計算服務安全指南構成了云計算服務安全管理

GB/T31167—2023《》

的基礎文件提出了客戶采用云計算服務的安全管理基本原則給出了采用云計

。GB/T31167—2023,

算服務的生命周期各階段的安全管理和技術措施本文件面向云服務商描述了提供云計算服務時應具

;,

備的安全技術能力

。

參照本文件分為一般要求