DB21T 3441-2021 云計算平臺安全測評技術(shù)規(guī)范

DB21遼寧省市場監(jiān)督管理局發(fā)布I 1 1 1 2 2 2 6 7 9 計算平臺可以劃分為3類：以數(shù)據(jù)存儲為主的存儲型云平臺，以數(shù)據(jù)處理為主的計算型云平臺以及計算針對云計算平臺的安全性測評方面，還沒有一個針對性、規(guī)范化的操作標(biāo)準(zhǔn)，因此特制訂本文件。1云計算平臺安全測評技術(shù)規(guī)范GB/T5271.8—2001信息技術(shù)詞匯第8GB17859—1999計算機信息系統(tǒng)安全保護等級劃分GB/T18336.1—2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分:簡介和一般模型GB/T32400—2015信息技24縮略語DoS：拒絕服務(wù)（DenialofSeGuestOS：客機操作系統(tǒng)（GuestOperatingSyIaaS：基礎(chǔ)設(shè)施即服務(wù)（InfrastrVLAN：虛擬局域網(wǎng)（VirtualLVM：虛擬機（VirtualMachiVPN：虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwo5.1數(shù)據(jù)中心安全5.1.1.1.1測評項b)應(yīng)指定專門的部門或人員定期對機3控制等設(shè)施進行維護管理，并查看維護管理記錄，驗證制度執(zhí)行有效5.1.1.2物理位置的選擇5.1.1.2.1測評項5.1.1.3防盜竊和防破壞5.1.1.3.1測評項5.1.1.4.1測評項45.1.1.5.1測評項a)數(shù)據(jù)中心機房建筑材料應(yīng)具有耐火等級，且機房內(nèi)應(yīng)設(shè)置自動消5.1.1.6.1測評項a)檢查有無安裝對水敏感的檢測儀表，并驗證其對機房進行防水檢測和報警的有效5.1.1.7.1測評項a)檢查關(guān)鍵設(shè)備是否采用必要的接地防5.1.1.8溫濕度控制5.1.1.8.1測評項55.1.1.9.1測評項a)數(shù)據(jù)中心機房供電線路上應(yīng)配置穩(wěn)壓器和過電壓防5.1.1.10.1測評項5.1.1.10.2測評實施a)檢查有無采用接地方式防止外界電磁干擾和設(shè)備寄生耦5.1.1.10.3結(jié)果判定），5.1.2.1測評項a)應(yīng)建立網(wǎng)絡(luò)安全管理制度，對網(wǎng)絡(luò)安全配置、日志保存時間、安全策略等作出書面規(guī)5.1.2.2測評實施b)查看網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，并驗證分析與實際網(wǎng)絡(luò)運行情況是否相符合；6檢查限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)的技術(shù)手段，檢查實現(xiàn)自動負(fù)載均衡的技術(shù)手段；5.1.2.3結(jié)果判定），5.1.3.1測評項a)應(yīng)建立設(shè)備安全管理制度，包括規(guī)定對平臺相關(guān)設(shè)備指定專人或部門定期進行維護管5.1.3.2測評實施進行專業(yè)檢查的方法，驗證維護管理記錄是否5.1.3.3結(jié)果判定），5.2訪問控制5.2.1.1測評項鑒別和記錄進入的人員；規(guī)定進入機房及關(guān)鍵場所需經(jīng)過申請和審5.2.1.2測評實施75.2.1.3結(jié)果判定），5.2.2.1測評項5.2.2.2測評實施5.2.2.3結(jié)果判定5.2.3.1測評項5.2.3.2測評實施a)檢查云服務(wù)提供商是否支持各種強認(rèn)證選擇，例如一次性密碼、生物識別和數(shù)字證書5.2.3.3結(jié)果判定5.3虛擬化安全5.3.1.1測評項5.3.1.2測評實施8c)檢查平臺系統(tǒng)虛擬網(wǎng)絡(luò)帶寬管理功能，通過5.3.1.3結(jié)果判定），5.3.2.1測評項a)虛擬機遷移時，應(yīng)提供機制保證虛擬機及其承載b)檢查當(dāng)GuestOS遷移到不同的虛擬平臺時，安全策略5.3.2.3結(jié)果判定5.3.3.1測評項5.3.3.2測評實施5.3.3.3結(jié)果判定5.3.4.1測評項5.3.4.2測評實施a)檢查多租戶虛擬機間隔離具體監(jiān)管措施和報告機制，并驗證在隔離破壞時是否產(chǎn)生告5.3.4.3結(jié)果判定9），5.3.5.1測評項5.3.5.2測評實施a)檢查有無實施VM安全監(jiān)控；驗證是否以VLAN確保VM獨立，保證利益沖突的公司或個人的Guest5.3.5.3結(jié)果判定5.4終端接入安全測評5.4.1.1測評項b)已接入平臺的終端設(shè)備的進行訪問操作時，應(yīng)提供身份鑒別和5.4.1.2測評實施5.4.1.3結(jié)果判定），5.4.2.1測評項5.4.2.2測評實施5.4.2.3結(jié)果判定5.5數(shù)據(jù)安全5.5.1.1測評項5.5.1.2測評實施程的完整性，并驗證檢測到完整性錯誤時，能否及時采取恢復(fù)措數(shù)據(jù)傳輸保密性；查看是否采用VPN或數(shù)據(jù)傳輸加密等技術(shù)，以檢驗從用戶終端到數(shù)據(jù)中心5.5.1.3結(jié)果判定5.5.2.1測評項5.5.2.2測評實施程的完整性，并驗證檢測到完整性錯誤時，能否及時采取恢復(fù)措5.5.2.3結(jié)果判定），5.5.3.1測評項b)應(yīng)保證數(shù)據(jù)遷移過程中，平臺的業(yè)務(wù)操作能連續(xù)運行且不中斷；5.5.3.2測評實施b)在數(shù)據(jù)遷移過程中，對平臺業(yè)務(wù)進行訪問操作，驗證其業(yè)務(wù)應(yīng)用能否連續(xù)運行且不中斷；5.5.3.3結(jié)果判定若產(chǎn)品同時符合a）、b）和c則滿足此項要求。5.5.4.1測評項5.5.4.2測評實施a)驗證不同用戶登錄平臺時，能否訪問其他5.5.4.3結(jié)果判定5.5.5.1測評項5.5.5.2測評實施），5.5.5.3結(jié)果判定5.6業(yè)務(wù)應(yīng)用安全5.6.1.1測評項5.6.1.2測評實施5.6.1.3結(jié)果判定），5.6.2.1測評項5.6.2.2測評實施b)檢查數(shù)據(jù)有效性功能機制，驗證應(yīng)用接口輸入的數(shù)據(jù)格式或長度是否符合系統(tǒng)設(shè)定要求；5.6.2.3結(jié)果判定），5.6.3.1測評項5.6.3.2測評實施5.6.3.3結(jié)果判定），5.7災(zāi)難恢復(fù)測評5.7.1.1測評項5.7.1.2測評實施5.7.1.3結(jié)果判定5.7.2.1測評項b)應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性；5.7.2.2測評實施5.7.2.3結(jié)果判定），5.7.3.1測評項5.7.3.2測評實施5.7.3.3結(jié)果判定），5.8安全事件與應(yīng)急預(yù)案5.8.1.1測評項5.8.1.2測評實施5.8.1.3結(jié)果判定若產(chǎn)品同時符合5.8.1.2a）、b）、c）和d則滿足此項要求。5.8.2.1測評項a）應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架b）應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實際情況更新的內(nèi)容c）應(yīng)從人力、設(shè)備、技術(shù)和財務(wù)等方面確保應(yīng)5.8.2.2測評實施b)查看應(yīng)急預(yù)案更新日志，并詢問審查應(yīng)急預(yù)案周期；5.8.2.3結(jié)果判定若產(chǎn)品同時符合5.8.2.2a）、b）、c）和d