《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求-編制說(shuō)明》

一、工作簡(jiǎn)況

1、任務(wù)來(lái)源

本標(biāo)準(zhǔn)和GB/T31167-2014《信息安全技術(shù)云計(jì)算服務(wù)安全指南》是我國(guó)

首批發(fā)布的云計(jì)算服務(wù)安全國(guó)家標(biāo)準(zhǔn)，有效地支撐了黨政部門云計(jì)算服務(wù)安全審

查工作，從技術(shù)和管理兩個(gè)方面分別闡述了云計(jì)算服務(wù)安全要求。隨著云計(jì)算服

務(wù)審查工作的積累、云計(jì)算技術(shù)發(fā)展以及黨政部門采購(gòu)云計(jì)算服務(wù)形式的多樣

化，逐步發(fā)現(xiàn)標(biāo)準(zhǔn)存在審查工作量大、周期長(zhǎng)，責(zé)任劃分難度增加、云服務(wù)安全

標(biāo)準(zhǔn)自身?xiàng)l款超前、部分條款不易理解、云持續(xù)監(jiān)督工作需求緊迫等問(wèn)題，為支

撐審查工作的開(kāi)展，有效指導(dǎo)云服務(wù)商建設(shè)安全的云計(jì)算平臺(tái)，迫切需要結(jié)合新

趨勢(shì)、新問(wèn)題對(duì)本標(biāo)準(zhǔn)進(jìn)行修訂，并做好與相關(guān)標(biāo)準(zhǔn)的銜接。

2019年7月，國(guó)家互聯(lián)網(wǎng)信息辦公室等發(fā)布《云計(jì)算服務(wù)安全評(píng)估辦法》，

規(guī)定參照國(guó)家標(biāo)準(zhǔn)《云計(jì)算服務(wù)安全能力要求》、《云計(jì)算服務(wù)安全指南》，對(duì)面

向黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施提供云計(jì)算服務(wù)的云平臺(tái)進(jìn)行的安全評(píng)估。

根據(jù)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2019年下達(dá)的國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃：

《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評(píng)價(jià)方法》，該標(biāo)準(zhǔn)由交通運(yùn)輸

信息中心負(fù)責(zé)承辦，由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口管理。

2、主要起草單位和工作組成員

本標(biāo)準(zhǔn)由中電數(shù)據(jù)服務(wù)有限公司牽頭，四川大學(xué)、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研

究院、中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、國(guó)家信息技術(shù)安全研究中心、中國(guó)信

息安全測(cè)評(píng)中心、中國(guó)信息通信研究院、北京信息安全測(cè)評(píng)中心、中國(guó)軟件評(píng)測(cè)

中心、中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司、國(guó)家工業(yè)信息安全中心、神州網(wǎng)信技術(shù)

有限公司、阿里云計(jì)算有限公司、寧夏西云數(shù)據(jù)科技有限公司、中國(guó)電信云股份

有限公司云計(jì)算分公司、華為技術(shù)有限公司、深信服科技股份有限公司、深圳騰

訊計(jì)算機(jī)系統(tǒng)有限公司、京東云計(jì)算（北京）有限公司、浙江螞蟻金服小微金融

服務(wù)集團(tuán)股份有限公司、武漢理工大學(xué)、上海市方達(dá)（北京）律師事務(wù)所等單位

共同參與起草。

3、主要工作過(guò)程

（1）2018年10月至12月，在全國(guó)信安標(biāo)委2018年第二次會(huì)議周上做標(biāo)

準(zhǔn)修訂報(bào)告，會(huì)后開(kāi)展云計(jì)算標(biāo)準(zhǔn)、技術(shù)和產(chǎn)業(yè)以及黨政部門云服務(wù)安全管理實(shí)

1

踐調(diào)研

（2）2019年1月至2月，研究國(guó)內(nèi)外云計(jì)算安全相關(guān)標(biāo)準(zhǔn)，為本標(biāo)準(zhǔn)的編

制奠定基礎(chǔ)，包括：對(duì)比GB/T31168-2014與網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0；GB/T

31168-2014與FEDRAMP安全基線的對(duì)照表（NIST80053）分析比較；FEDRAMP

中、高級(jí)安全基線比較表高級(jí)要求新增條款；以及CSA云安全指南重點(diǎn)內(nèi)容摘

要等。

（3）2019年2月至4月，成立編制組，召開(kāi)項(xiàng)目申報(bào)啟動(dòng)會(huì)，討論明確標(biāo)

準(zhǔn)修訂思路；在編制組范圍收集標(biāo)準(zhǔn)反饋意見(jiàn)，組織3次標(biāo)準(zhǔn)研討會(huì)；形成標(biāo)準(zhǔn)

草案。

（4）2019年4月，在全國(guó)信安標(biāo)委2019年第1次會(huì)議周上做立項(xiàng)匯報(bào)，

征集標(biāo)準(zhǔn)修訂意見(jiàn)。

（5）2019年5月至6月，召開(kāi)專家研討會(huì)，請(qǐng)?jiān)品?wù)安全審查和第三方機(jī)

構(gòu)技術(shù)專家對(duì)標(biāo)準(zhǔn)草案提出意見(jiàn)，根據(jù)反饋意見(jiàn)修改完善標(biāo)準(zhǔn)草案。

（6）2019年7月至8月，征集參與過(guò)云服務(wù)安全審查工作的云服務(wù)商反饋

意見(jiàn)，包括阿里云、華為、電信、浪潮、曙光、騰訊、金山云、京東云、未來(lái)國(guó)

際、深信服等，根據(jù)反饋意見(jiàn)修改完善標(biāo)準(zhǔn)草案。

（7）2019年9月，通過(guò)立項(xiàng)審批，公開(kāi)征集標(biāo)準(zhǔn)參編單位。

（9）2019年10月，召開(kāi)正式立項(xiàng)后的標(biāo)準(zhǔn)項(xiàng)目啟動(dòng)會(huì)和專家評(píng)審會(huì)，根

據(jù)反饋意見(jiàn)修改完善標(biāo)準(zhǔn)草案，在全國(guó)信安標(biāo)委2019年第2次會(huì)議周上做標(biāo)準(zhǔn)

修訂工作匯報(bào)，經(jīng)組內(nèi)投票同意轉(zhuǎn)征求意見(jiàn)稿。

（10）2019年11月，在北京組織編制組研討會(huì)，修改完善標(biāo)準(zhǔn)內(nèi)容；在成

都四川大學(xué)組織的云計(jì)算安全國(guó)家標(biāo)準(zhǔn)和相關(guān)問(wèn)題研討會(huì)上，就當(dāng)前的一些關(guān)鍵

問(wèn)題進(jìn)行討論并征求專家意見(jiàn)。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題

1、標(biāo)準(zhǔn)編制原則

一是先進(jìn)性原則。充分吸收已有云安全相關(guān)標(biāo)準(zhǔn)，本標(biāo)準(zhǔn)在修訂過(guò)程中充

分參考了國(guó)際、國(guó)內(nèi)有關(guān)云計(jì)算安全的先進(jìn)標(biāo)準(zhǔn)和技術(shù)規(guī)范，對(duì)美國(guó)Fedramp

云安全基線要求、NIST800-53、ISO/IEC27017、CSA安全指南等相關(guān)標(biāo)準(zhǔn)的長(zhǎng)

處進(jìn)行了吸收，基本覆蓋了上述標(biāo)準(zhǔn)的要求。

2

二是中立性原則。保持技術(shù)中立，在提出安全要求時(shí)，不限制具體的實(shí)現(xiàn)

方法，以便于為今后的技術(shù)發(fā)展留下空間。

三是合理性原則。結(jié)合我國(guó)云計(jì)算服務(wù)安全評(píng)估工作實(shí)踐以及云計(jì)算技術(shù)

發(fā)展和服務(wù)部署的實(shí)際情況，提出適當(dāng)?shù)陌踩蟆?/p>

二、主要內(nèi)容

本標(biāo)準(zhǔn)描述了以社會(huì)化方式為特定客戶提供云計(jì)算服務(wù)時(shí)，云服務(wù)商應(yīng)具

備的安全技術(shù)能力。

本標(biāo)準(zhǔn)適用于對(duì)政府部門使用的云計(jì)算服務(wù)進(jìn)行安全管理，也可供其他關(guān)

鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者使用云計(jì)算服務(wù)時(shí)參考，還適用于指導(dǎo)云服務(wù)商建設(shè)安全

的云計(jì)算平臺(tái)和提供安全的云計(jì)算服務(wù)。

本標(biāo)準(zhǔn)對(duì)云服務(wù)商提出了基本安全能力要求，反映了云服務(wù)商在保障云計(jì)

算環(huán)境中客戶信息和業(yè)務(wù)的安全時(shí)應(yīng)具備的基本能力。這些安全要求分為11類，

每一類安全要求包含若干項(xiàng)具體要求。

11類安全要求分別是：

系統(tǒng)開(kāi)發(fā)與供應(yīng)鏈安全：云服務(wù)商應(yīng)在開(kāi)發(fā)云計(jì)算平臺(tái)時(shí)對(duì)其提供充分

保護(hù)，對(duì)信息系統(tǒng)、組件和服務(wù)的開(kāi)發(fā)商提出相應(yīng)要求，為云計(jì)算平臺(tái)配置足夠

的資源，并充分考慮安全需求。云服務(wù)商應(yīng)確保其下級(jí)供應(yīng)商采取了必要的安全

措施。云服務(wù)商還應(yīng)為客戶提供有關(guān)安全措施的文檔和信息，配合客戶完成對(duì)信

息系統(tǒng)和業(yè)務(wù)的管理。

系統(tǒng)與通信保護(hù)：云服務(wù)商應(yīng)在云計(jì)算平臺(tái)的外部邊界和內(nèi)部關(guān)鍵邊界

上監(jiān)視、控制和保護(hù)網(wǎng)絡(luò)通信，并采用結(jié)構(gòu)化設(shè)計(jì)、軟件開(kāi)發(fā)技術(shù)和軟件工程方

法有效保護(hù)云計(jì)算平臺(tái)的安全性。

訪問(wèn)控制：云服務(wù)商應(yīng)在允許人員、進(jìn)程、設(shè)備訪問(wèn)云計(jì)算平臺(tái)之前，

應(yīng)對(duì)其進(jìn)行身份標(biāo)識(shí)及鑒別，并限制其可執(zhí)行的操作和使用的功能。

數(shù)據(jù)保護(hù)：云服務(wù)商應(yīng)嚴(yán)格保護(hù)云計(jì)算平臺(tái)的客戶數(shù)據(jù)，確保境內(nèi)運(yùn)營(yíng)

中收集和產(chǎn)生的客戶數(shù)據(jù)在境內(nèi)存儲(chǔ)，提供重要數(shù)據(jù)的備份與恢復(fù)功能，協(xié)助客

戶完成數(shù)據(jù)遷移并在服務(wù)結(jié)束時(shí)安全返回?cái)?shù)據(jù)。

配置管理：云服務(wù)商應(yīng)對(duì)云計(jì)算平臺(tái)進(jìn)行配置管理，在系統(tǒng)生命周期內(nèi)

建立和維護(hù)云計(jì)算平臺(tái)（包括硬件、軟件、文檔等）的基線配置和詳細(xì)清單，并

3

設(shè)置和實(shí)現(xiàn)云計(jì)算平臺(tái)中各類產(chǎn)品的安全配置參數(shù)。

維護(hù)：云服務(wù)商應(yīng)維護(hù)好云計(jì)算平臺(tái)設(shè)施和軟件系統(tǒng)，并對(duì)維護(hù)所使用

的工具、技術(shù)、機(jī)制以及維護(hù)人員進(jìn)行有效的控制，且做好相關(guān)記錄。

應(yīng)急響應(yīng)：云服務(wù)商應(yīng)為云計(jì)算平臺(tái)制定應(yīng)急響應(yīng)計(jì)劃，并定期演練，

確保在緊急情況下重要信息資源的可用性。云服務(wù)商應(yīng)建立事件處理計(jì)劃，包括

對(duì)事件的預(yù)防、檢測(cè)、分析和控制及系統(tǒng)恢復(fù)等，對(duì)事件進(jìn)行跟蹤、記錄并向相

關(guān)人員報(bào)告。云服務(wù)商應(yīng)具備容災(zāi)恢復(fù)能力，建立必要的備份與恢復(fù)設(shè)施和機(jī)制，

確?？蛻魳I(yè)務(wù)可持續(xù)。

審計(jì)：云服務(wù)商應(yīng)根據(jù)安全需求和客戶要求，制定可審計(jì)事件清單，明

確審計(jì)記錄內(nèi)容，實(shí)施審計(jì)并妥善保存審計(jì)記錄，對(duì)審計(jì)記錄進(jìn)行定期分析和審

查，還應(yīng)防范對(duì)審計(jì)記錄的非授權(quán)訪問(wèn)、修改和刪除行為。

風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控：云服務(wù)商應(yīng)定期或在威脅環(huán)境發(fā)生變化時(shí)，對(duì)云

計(jì)算平臺(tái)進(jìn)行風(fēng)險(xiǎn)評(píng)估，確保云計(jì)算平臺(tái)的安全風(fēng)險(xiǎn)處于可接受水平。云服務(wù)商

應(yīng)制定監(jiān)控目標(biāo)清單，對(duì)目標(biāo)進(jìn)行持續(xù)安全監(jiān)控，并在發(fā)生異常和非授權(quán)情況時(shí)

發(fā)出警報(bào)。

安全組織與人員：云服務(wù)商應(yīng)確保能夠接觸客戶信息或業(yè)務(wù)的各類人員

（包括供應(yīng)商人員）上崗時(shí)具備履行其安全責(zé)任的素質(zhì)和能力，還應(yīng)在授予相關(guān)

人員訪問(wèn)權(quán)限之前對(duì)其進(jìn)行審查并定期復(fù)查，在人員調(diào)動(dòng)或離職時(shí)履行安全程

序，對(duì)于違反安全規(guī)定的人員進(jìn)行處罰。

物理與環(huán)境保護(hù)：云服務(wù)商應(yīng)確保機(jī)房位于中國(guó)境內(nèi)，機(jī)房選址、設(shè)計(jì)、

供電、消防、溫濕度控制等符合相關(guān)標(biāo)準(zhǔn)的要求。云服務(wù)商應(yīng)對(duì)機(jī)房進(jìn)行監(jiān)控，

嚴(yán)格限制各類人員與運(yùn)行中的云計(jì)算平臺(tái)設(shè)備進(jìn)行物理接觸，確需接觸的，需通

過(guò)云服務(wù)商的明確授權(quán)。

與GB/T31168—2014相比，主要變化如下：

——?jiǎng)h除原4.7節(jié)本標(biāo)準(zhǔn)的結(jié)構(gòu)。

——修改術(shù)語(yǔ)定義3.1-3.6，與GB/T32400《云計(jì)算術(shù)語(yǔ)》標(biāo)準(zhǔn)保持一致。

——?jiǎng)h除原5.1、6.1、7.1、8.1、9.1、10.1、11.1、12.1、13.1和14.1策略與

規(guī)程，相關(guān)要求整合至14安全組織與人員14.1策略與規(guī)程中。

4

——精簡(jiǎn)標(biāo)準(zhǔn)條款，梳理減少原則性要求、重復(fù)性要求，其中有相關(guān)國(guó)家標(biāo)

準(zhǔn)要求的，如物理與環(huán)境要求引用。

——明確標(biāo)準(zhǔn)內(nèi)容，減少賦值和選擇操作，確需保留的，以舉例或附錄模板

等形式盡可能給出參考值。

——結(jié)合云計(jì)算平臺(tái)的特點(diǎn)，修改6.1邊界保護(hù)、6.11系統(tǒng)虛擬化等，細(xì)化

網(wǎng)絡(luò)隔離等內(nèi)容。

——增加6.14安全管理中心，針對(duì)云計(jì)算管理平臺(tái)或系統(tǒng)的安全能力要求。

——補(bǔ)充PAAS/SAAS等模式的安全技術(shù)要求，包括：7.21Web訪問(wèn)安全、7.22

API訪問(wèn)安全

——增加第8章數(shù)據(jù)保護(hù)，做好與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、個(gè)人信息和重要

數(shù)據(jù)保護(hù)相關(guān)標(biāo)準(zhǔn)的銜接，確保客戶遷移數(shù)據(jù)過(guò)程中的業(yè)務(wù)連續(xù)性和數(shù)

據(jù)完整性。

——將第10章維護(hù)改為“維護(hù)管理”，側(cè)重管理要求。

——增加第16章高級(jí)保護(hù)要求。根據(jù)GB/T31167，承載敏感信息的重要業(yè)

務(wù)和關(guān)鍵業(yè)務(wù)，應(yīng)選擇達(dá)到高級(jí)保護(hù)能力的云服務(wù)。高級(jí)保護(hù)要求主要

包括：1）結(jié)合云計(jì)算安全評(píng)估工作實(shí)踐，將原增強(qiáng)要求中要求偏高的

內(nèi)容調(diào)整到高級(jí)保護(hù)要求，如采用自動(dòng)機(jī)制；2）采納行業(yè)云中較高的

安全要求，如金融行業(yè)云對(duì)災(zāi)備的要求；3）參考關(guān)鍵信息基礎(chǔ)設(shè)施保

護(hù)中適用于云計(jì)算平臺(tái)的要求，如關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)有關(guān)供應(yīng)鏈保

護(hù)、日志留存期限的要求；4）其他云計(jì)算安全標(biāo)準(zhǔn)中較高的技術(shù)要求，

如等級(jí)保護(hù)四級(jí)新增的云計(jì)算服務(wù)擴(kuò)展要求等。

——增加附錄B不同云能力類型下的不適用項(xiàng)，說(shuō)明“基礎(chǔ)設(shè)施”、“平臺(tái)”、

“應(yīng)用程序”能力類型的適用項(xiàng)或不適用項(xiàng)列表。

三、主要試驗(yàn)[或驗(yàn)證]情況分析

無(wú)。

四、知識(shí)產(chǎn)權(quán)情況說(shuō)明

本標(biāo)準(zhǔn)不涉及專利。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果

5

無(wú)。

六、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況

標(biāo)準(zhǔn)參考了國(guó)際和國(guó)外相關(guān)標(biāo)準(zhǔn)情況，根據(jù)我國(guó)國(guó)情制定。

七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性

本標(biāo)準(zhǔn)符合《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等現(xiàn)有法律法規(guī)的要求。根據(jù)

《云計(jì)算服務(wù)安全評(píng)估辦法》規(guī)定，與GB/T31167《信息安全技術(shù)云計(jì)算服

務(wù)安全指南》配合使用，為政府部門和關(guān)鍵信息基礎(chǔ)設(shè)施的云計(jì)算服務(wù)安全評(píng)

估提供技術(shù)支撐。

八、重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)

編制過(guò)程中未出現(xiàn)重大分歧。其他詳見(jiàn)意見(jiàn)匯總處理表。

九、標(biāo)準(zhǔn)性質(zhì)的建議

根據(jù)本標(biāo)準(zhǔn)的性質(zhì)，建議本標(biāo)準(zhǔn)為推薦性標(biāo)準(zhǔn)。

十、貫徹標(biāo)準(zhǔn)的要求和措施建議

建議云計(jì)算服務(wù)提供商、第三方評(píng)估機(jī)構(gòu)、網(wǎng)絡(luò)安全