信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 第2部分 云計(jì)算安全擴(kuò)展測(cè)評(píng)要求-編制說(shuō)明

PAGE5PAGE41工作情況開(kāi)展云計(jì)算信息安全等級(jí)保護(hù)工作需要有統(tǒng)一的管理和技術(shù)國(guó)家標(biāo)準(zhǔn)，科學(xué)、實(shí)用的信息安全等級(jí)保護(hù)管理和技術(shù)規(guī)范是安全等級(jí)保護(hù)制度在云計(jì)算領(lǐng)域推廣和落實(shí)的基礎(chǔ)。信息系統(tǒng)安全等級(jí)保護(hù)系列標(biāo)準(zhǔn)對(duì)傳統(tǒng)信息系統(tǒng)安全等級(jí)保護(hù)工作的推動(dòng)起到了重要的作用，但云計(jì)算信息系統(tǒng)與傳統(tǒng)信息系統(tǒng)相比，有其自身的特點(diǎn)，無(wú)論需要對(duì)抗的外部威脅還是對(duì)抗威脅的應(yīng)用技術(shù)手段都發(fā)生了較大的變化。本項(xiàng)目依據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第2部分：云計(jì)算安全擴(kuò)展要求》，在GB/T28448-2012基礎(chǔ)上，根據(jù)云計(jì)算信息系統(tǒng)和信息安全防護(hù)的特點(diǎn)及要求，對(duì)GB/T28448-2012進(jìn)一步擴(kuò)充和完善，對(duì)云計(jì)算信息系統(tǒng)進(jìn)行安全等級(jí)保護(hù)測(cè)試評(píng)估的技術(shù)活動(dòng)提出要求，為評(píng)價(jià)云計(jì)算信息系統(tǒng)是否符合《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第2部分：云計(jì)算安全擴(kuò)展要求》提供獲取證據(jù)的途徑和方法，編制完成《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求第2部分：云計(jì)算安全擴(kuò)展要求》，用以指導(dǎo)測(cè)評(píng)人員從信息安全等級(jí)保護(hù)的角度對(duì)云計(jì)算信息系統(tǒng)進(jìn)行測(cè)試評(píng)估；為信息安全監(jiān)管職能部門(mén)、信息安全測(cè)評(píng)服務(wù)機(jī)構(gòu)、信息系統(tǒng)的主管部門(mén)及運(yùn)營(yíng)使用單位在進(jìn)行針對(duì)云計(jì)算信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)監(jiān)督檢查、測(cè)評(píng)評(píng)估等工作時(shí)，提供相關(guān)參考依據(jù)。2國(guó)內(nèi)外情況目前，國(guó)內(nèi)外關(guān)于云計(jì)算安全問(wèn)題的研究也是剛剛起步，很多的組織和機(jī)構(gòu)都在積極地對(duì)云計(jì)算的安全問(wèn)題進(jìn)行分析和研究。2.1國(guó)外云安全標(biāo)準(zhǔn)研究現(xiàn)狀目前，全球范圍內(nèi)的云計(jì)算標(biāo)準(zhǔn)化工作已經(jīng)啟動(dòng)，全世界已經(jīng)有30多個(gè)標(biāo)準(zhǔn)組織宣布加入云計(jì)算標(biāo)準(zhǔn)的制訂行業(yè)，其中比較具有代表性的國(guó)際及國(guó)外標(biāo)準(zhǔn)組織包括：美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST）、ISO/IEC第一聯(lián)合技術(shù)委員會(huì)（ISO/IECJTC1）SC27、云安全聯(lián)盟（CSA）、國(guó)際電信聯(lián)盟.電信標(biāo)準(zhǔn)化部（ITU.T）和歐洲網(wǎng)絡(luò)與信息安全管理局（ENISA）。（1）NIST：美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）2010年11月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院云計(jì)算計(jì)劃正式啟動(dòng)，定位于為美國(guó)聯(lián)邦政府安全高效使用云計(jì)算提供標(biāo)準(zhǔn)支撐服務(wù)。2011年1月出版了《安全虛擬化技術(shù)安全指南》，并于同年12月出版了《公共云中的安全和隱私指南》。SP800.144 《公共云中的安全和隱私指南》提供公有云計(jì)算的概況以及在安全和隱私方面的挑戰(zhàn)，論述了公有云環(huán)境的威脅、技術(shù)風(fēng)險(xiǎn)和保護(hù)措施，并為規(guī)劃出合理的信息技術(shù)解決方案提供了一些見(jiàn)解。（2）ISO/IECJTC1/SC27：該組織2010年10月啟動(dòng)了研究項(xiàng)目《云計(jì)算安全和隱私管理系統(tǒng)》，為云計(jì)算服務(wù)過(guò)程中的安全控制提供指導(dǎo)。ISO/IEC27017《基于ISO/IEC27002的云計(jì)算服務(wù)的信息安全控制措施實(shí)用規(guī)則》，第2部分（即ISO/IEC27017.2）《基于ISO/IEC27002的云計(jì)算服務(wù)使用的信息安全管理指南》，側(cè)重于規(guī)范云計(jì)算服務(wù)使用中的信息安全管理問(wèn)題，該部分已于2013年正式發(fā)布。（3）CSA：云安全聯(lián)盟CSA（CloudSecurityAlliance）是在2009年的RSA大會(huì)上宣布成立的一個(gè)非盈利性組織，致力于在云計(jì)算環(huán)境下提供最佳的安全方案。如今，CSA獲得了業(yè)界的廣泛認(rèn)可，其發(fā)布了一系列研究報(bào)告，對(duì)業(yè)界有著積極的影響，其中，《云計(jì)算關(guān)鍵領(lǐng)域安全指南》最為業(yè)界所熟知，并于2011年11月發(fā)布了該指南的第三版，從架構(gòu)、治理和實(shí)施3個(gè)部分、14個(gè)關(guān)鍵域?qū)υ瓢踩M(jìn)行了深入闡述。在2013年2月，CSA發(fā)布了《2013年九大云計(jì)算安全威脅》報(bào)告，該報(bào)告詳細(xì)分析了2013年云安全面臨的九大主要安全威脅。（4）ENISA：歐洲網(wǎng)絡(luò)與信息安全局（ENISA）是區(qū)域（歐洲）標(biāo)準(zhǔn)機(jī)構(gòu)，成立于2001年，目的是提高歐洲網(wǎng)絡(luò)與信息安全。ENISA在2009年就啟動(dòng)了云安全的相關(guān)研究工作，先后發(fā)布了《云計(jì)算：優(yōu)勢(shì)、風(fēng)險(xiǎn)及信息安全建議》和《云計(jì)算信息安全保障框架》。2011年，ENISA又發(fā)布了《政府云的安全和彈性》報(bào)告，為政府機(jī)構(gòu)提供云安全指導(dǎo)。2.2國(guó)內(nèi)云安全標(biāo)準(zhǔn)研究現(xiàn)狀（1）全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)：該組織于2002年4月在北京成立，目前開(kāi)展云計(jì)算安全方面的研究，承擔(dān)了多項(xiàng)云計(jì)算安全相關(guān)的項(xiàng)目，在信安標(biāo)委內(nèi)部成立了專(zhuān)門(mén)對(duì)云計(jì)算及安全進(jìn)行研究的課題。2009年12月成了SOA標(biāo)準(zhǔn)組，于2011年9月完成《云計(jì)算安全及標(biāo)準(zhǔn)研究報(bào)告V1.0》。于2012年9月20日，全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)牽頭成立了全國(guó)信標(biāo)委云計(jì)算標(biāo)準(zhǔn)工作組，已立項(xiàng)的云計(jì)算安全標(biāo)準(zhǔn)包括：a) 信息安全技術(shù)政府部門(mén)云計(jì)算安全指南 標(biāo)準(zhǔn)編制中b) 信息安全技術(shù)云計(jì)算服務(wù)安全指南 征求意見(jiàn)稿c) 信息安全技術(shù)云計(jì)算服務(wù)安全能力要求 征求意見(jiàn)稿d) 信息安全技術(shù)政府部門(mén)云計(jì)算服務(wù)提供商安全基本要求 有草案e) 信息安全技術(shù)云計(jì)算數(shù)據(jù)中心安全建設(shè)指南 標(biāo)準(zhǔn)研究中f) 信息安全技術(shù)云計(jì)算安全審計(jì)通用數(shù)據(jù)接口規(guī)范 標(biāo)準(zhǔn)研究中g(shù)) 信息安全技術(shù)可信云計(jì)算體系架構(gòu)及軟件規(guī)范研究 標(biāo)準(zhǔn)研究中h) 信息安全技術(shù)用于云計(jì)算的授權(quán)與鑒別機(jī)制 標(biāo)準(zhǔn)研究中i) 信息安全技術(shù)公有云安全指南 標(biāo)準(zhǔn)研究中（2）中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）：該組織于2002年12月18日在北京正式成立，并于2010年11月，由中興通訊股份有限公司牽頭，研究并發(fā)布了《電信業(yè)務(wù)云安全需求和框架》研究報(bào)告，旨在構(gòu)建電信業(yè)務(wù)云環(huán)境的安全業(yè)務(wù)云體系框架。3與其他標(biāo)準(zhǔn)關(guān)系 本標(biāo)準(zhǔn)GB/T28448.2-20XX《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求第2部分：云計(jì)算安全擴(kuò)展要求》編制的依據(jù)是GB/T22239.2-20XX《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第2部分：云計(jì)算安全擴(kuò)展要求》；本標(biāo)準(zhǔn)編制的基礎(chǔ)是GB/T28448.1-20XX《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求第1部分：安全通用要求》，通過(guò)傳承和發(fā)揚(yáng)，形成能夠適用于云計(jì)算信息系統(tǒng)的安全等級(jí)保護(hù)測(cè)評(píng)要求。 本標(biāo)準(zhǔn)與《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》、《信息安全技術(shù)云計(jì)算服務(wù)安全指南》在測(cè)評(píng)內(nèi)容上不沖突。本標(biāo)準(zhǔn)充分考慮GB/T25070.2-20XX《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求第2部分：云計(jì)算安全要求》中所給出的技術(shù)手段，在GB/T28448.1-20XX和GB/T28449的基礎(chǔ)上，通過(guò)研究云計(jì)算信息系統(tǒng)和信息安全防護(hù)的特點(diǎn)及要求，對(duì)GB/T28448-2012進(jìn)一步擴(kuò)充和完善，對(duì)云計(jì)算信息系統(tǒng)進(jìn)行安全等級(jí)保護(hù)測(cè)試評(píng)估的技術(shù)活動(dòng)提出要求。為評(píng)價(jià)云計(jì)算信息系統(tǒng)是否符合GB/T22239.2-20XX提供獲取證據(jù)的途徑和方法，用以指導(dǎo)測(cè)評(píng)人員從信息安全等級(jí)保護(hù)的角度對(duì)云計(jì)算信息系統(tǒng)進(jìn)行測(cè)試評(píng)估，為信息安全監(jiān)管職能部門(mén)、信息安全測(cè)評(píng)服務(wù)機(jī)構(gòu)、信息系統(tǒng)的主管部門(mén)及運(yùn)營(yíng)使用單位在進(jìn)行針對(duì)云計(jì)算信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)監(jiān)督檢查、測(cè)評(píng)評(píng)估等工作時(shí)，提供相關(guān)參考依據(jù)。4主要內(nèi)容4.1標(biāo)準(zhǔn)制定流程 本標(biāo)準(zhǔn)編制流程如下： （1）2013.10～2014.01完成整理、匯總、分析相關(guān)資料，制定編制思路。以及完成項(xiàng)目申請(qǐng)書(shū)、項(xiàng)目建議書(shū)和標(biāo)準(zhǔn)草案編寫(xiě)、定稿、提交。 （2）2014.01～2014.04完成標(biāo)準(zhǔn)草案內(nèi)容的修訂和編制標(biāo)準(zhǔn)征求意見(jiàn)稿。以及完成標(biāo)準(zhǔn)征求意見(jiàn)稿專(zhuān)家評(píng)審、修訂并定稿。 （3）2014.04～2014.08完成標(biāo)準(zhǔn)征求意見(jiàn)稿內(nèi)容的修訂和編制標(biāo)準(zhǔn)送審稿。以及完成標(biāo)準(zhǔn)送審稿專(zhuān)家評(píng)審、修訂并定稿。 （4）2014.08～2014.11完成標(biāo)準(zhǔn)送審稿內(nèi)容的修訂和編制標(biāo)準(zhǔn)報(bào)批稿。以及完成標(biāo)準(zhǔn)報(bào)批稿專(zhuān)家評(píng)審、修訂并定稿。4.2標(biāo)準(zhǔn)的主要內(nèi)容本標(biāo)準(zhǔn)是在GB/T28448.2-20XX《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求第1部分安全通用要求》的基礎(chǔ)上針對(duì)云計(jì)算信息系統(tǒng)的擴(kuò)充和完善，包括系統(tǒng)安全等級(jí)保護(hù)的技術(shù)層面和管理層面兩部分測(cè)評(píng)內(nèi)容，規(guī)定了對(duì)實(shí)現(xiàn)的云計(jì)算信息系統(tǒng)是否符合相應(yīng)的GB/T22239.2-20XX《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第2部分：云計(jì)算安全擴(kuò)展要求》所進(jìn)行的測(cè)試評(píng)估活動(dòng)的要求，包括對(duì)第二級(jí)等級(jí)保護(hù)對(duì)象、第三級(jí)等級(jí)保護(hù)對(duì)象和第四級(jí)等級(jí)保護(hù)對(duì)象進(jìn)行測(cè)試評(píng)估的要求。本項(xiàng)目略去對(duì)第一級(jí)信息系統(tǒng)和第五級(jí)信息系統(tǒng)單元進(jìn)行測(cè)試評(píng)估的要求。本標(biāo)準(zhǔn)主要包含以下內(nèi)容：1、測(cè)評(píng)要求的測(cè)評(píng)范圍、框架、指標(biāo)、對(duì)象、方式、測(cè)評(píng)力度及結(jié)果判定等；2、第二級(jí)到第五級(jí)的單元測(cè)評(píng)，包括技術(shù)和管理兩大部分；3、整體測(cè)評(píng)及等級(jí)測(cè)評(píng)結(jié)論，從各層面、各區(qū)域及不同視角給出評(píng)價(jià)方法與依據(jù)；技術(shù)層面的安全控制措施以及相應(yīng)的測(cè)試要求需要作用在信息系統(tǒng)的不同層面上，這些層面主要包括物理和環(huán)境安全、設(shè)備和計(jì)算安全、網(wǎng)絡(luò)和通信安全、應(yīng)用和數(shù)據(jù)安全等四個(gè)技術(shù)層面的測(cè)評(píng)要求。在安全技術(shù)四個(gè)層面的層面中，通常物理和環(huán)境安全測(cè)評(píng)重點(diǎn)對(duì)等級(jí)保護(hù)對(duì)象在物理位置選擇方面安全控制措施進(jìn)行測(cè)評(píng)；網(wǎng)絡(luò)和通信安全測(cè)評(píng)重點(diǎn)對(duì)等級(jí)保護(hù)對(duì)象在網(wǎng)絡(luò)架構(gòu)、訪問(wèn)控制、遠(yuǎn)程訪問(wèn)和入侵防范等方面安全控制措施進(jìn)行測(cè)評(píng)；設(shè)備和計(jì)算安全測(cè)評(píng)重點(diǎn)對(duì)等級(jí)保護(hù)對(duì)象在身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范和資源控制等方面安全控制措施進(jìn)行測(cè)評(píng)；應(yīng)用和數(shù)據(jù)安全測(cè)評(píng)結(jié)論重點(diǎn)對(duì)等級(jí)保護(hù)對(duì)象在安全審計(jì)、資源控制、接口安全、數(shù)據(jù)完整性、數(shù)據(jù)保密性和數(shù)據(jù)備份恢復(fù)等方面的安全控制措施進(jìn)行測(cè)評(píng)。管理方面主要包括安全管理機(jī)構(gòu)和人員、系統(tǒng)安全建設(shè)管理、系統(tǒng)安全運(yùn)維管理等三個(gè)層面管理測(cè)評(píng)要求。在安全管理四個(gè)層面的等級(jí)測(cè)評(píng)中，通常安全管理機(jī)構(gòu)和人員重點(diǎn)對(duì)授權(quán)和審批等進(jìn)行測(cè)評(píng)；安全建設(shè)管理重點(diǎn)對(duì)安全方案設(shè)計(jì)、測(cè)試驗(yàn)收、云服務(wù)商選擇和供應(yīng)鏈管理等進(jìn)行測(cè)評(píng)；安全運(yùn)維管理重點(diǎn)對(duì)等級(jí)保護(hù)對(duì)象在監(jiān)控和審計(jì)管理等進(jìn)行測(cè)評(píng)?；炯夹g(shù)測(cè)評(píng)要求和基本管理測(cè)評(píng)要求是確保云計(jì)算信息系統(tǒng)安全測(cè)評(píng)要求不可分割的兩個(gè)部分?；景踩珳y(cè)評(píng)要求從各個(gè)層面或方面提出了系統(tǒng)的每個(gè)組件應(yīng)該滿足的安全測(cè)評(píng)要求，云計(jì)算信息系統(tǒng)具有的整體安全保護(hù)能力通過(guò)不同組件實(shí)現(xiàn)基本安全要求來(lái)保證。除了保證系統(tǒng)的每個(gè)組件滿足基本安全測(cè)評(píng)要求外，還要考慮組件之間的相互關(guān)系，來(lái)保證信息系統(tǒng)的整體安全保護(hù)能力。GB/T28448.2－20XX《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求第2部分：云計(jì)算安全擴(kuò)展要求》國(guó)家標(biāo)準(zhǔn)編制說(shuō)明GB/T28448.2－20XX《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求第2部分：云計(jì)算安全擴(kuò)展要求》國(guó)家標(biāo)準(zhǔn)編制說(shuō)明GB/T28448.2－20