标准名称

Size: px

Start display at page:

Download "标准名称"

异闻
5 years ago
Views:

1 ICS L80 中华人民共和国国家标准 GB/T XXXX 信息安技术网络安等级保护基本要求第 2 部分 : 云计算安扩展要求 Information security technology- Baseline for cybersecurity classified protection Part 2: Security special requirements for cloud computing 点击此处添加与国际标准一致性程度的标识 ( 征求意见稿 ) ( 本稿完成日期 : ) XXXX - XX - XX 发布 XXXX - XX - XX 实施

3 目次前言... III 引言... IV 1 范围规范性引用文件术语和定义云计算安概述云计算平台构成云计算平台定级第二级安要求技术要求物理和环境安网络和通信安设备和计算安应用和数据安管理要求安管理机构和人员系统安建设管理第三级安要求技术要求物理和环境安网络和通信安设备和计算安应用和数据安管理要求安管理机构和人员系统安建设管理系统安运维管理第四级安要求技术要求物理和环境安网络和通信安设备和计算安应用和数据安管理要求 I

4 7.2.1 安管理机构和人员系统安建设管理系统安运维管理附录 A( 资料性附录 ) 与 GB/T 的关系附录 B( 资料性附录 ) 云计算平台面临的安威胁 B.1 数据丢失篡改或泄露 B.2 网络攻击 B.3 利用不安接口的攻击 B.4 云服务中断 B.5 越权滥用与误操作 B.6 滥用云服务 B.7 利用共享技术漏洞进行的攻击 B.8 过度依赖 B.9 数据残留附录 C( 资料性附录 ) 不同服务模式的安管理责任主体 C.1 云服务的三种服务模式 C.2 不同服务模式下安管理责任主体附录 D( 资料性附录 ) 本部分适用的对象参考文献图 1 云计算服务模式与控制范围的关系... 3 表 A.1 GB/T 与 GB/T 关系表表 C.1 IaaS 模式下云服务方与云租户的责任划分表 C.2 PaaS 模式下云服务方与租户的责任划分表 C.3 SaaS 模式下云服务方与租户的责任划分表 D.1 云计算系统与传统信息系统保护对象差异 II

5 前言 GB/T 信息安技术网络安等级保护基本要求已经或计划发布以下部分 : 第 1 部分 : 安通用要求 ; 第 2 部分 : 云计算安扩展要求 ; 第 3 部分 : 移动互联安扩展要求 ; 第 4 部分 : 物联网安扩展要求 ; 第 5 部分 : 工业控制安扩展要求 ; 第 6 部分 : 大数据安扩展要求本部分为 GB/T 的第 2 部分本部分按照 GB/T 给出的规则起草本部分由国信息安标准化技术委员会提出本部分由国信息安标准化技术委员会归口本部分起草单位 : 公安部信息安等级保护评估中心国家信息中心阿里云计算有限公司中科院信息工程研究所杭州华三通信技术有限公司华为技术有限公司启明星辰信息技术有限公司本部分主要起草人 : 张振峰丁朝晖李明任卫红胡娟申永波苏艳芳陈峰李宇刘静章恒陈雪秀高亚楠陈驰于晶姚国富黄敏张如辉 III

6 引言国家标准 GB/T 信息安技术信息系统安等级保护基本要求在开展信息安等级保护工作的过程中起到了非常重要的作用, 被广泛应用于各个行业和领域开展信息安等级保护的建设整改和等级测评等工作, 但是随着信息技术的发展,GB/T 在时效性易用性可操作性上需要进一步完善为了适应移动互联云计算大数据物联网和工业控制等新技术新应用情况下信息安等级保护工作的开展, 需对 GB/T 进行修订, 修订的思路和方法是针对移动互联云计算大数据物联网和工业控制等新技术新应用领域提出扩展的安要求本部分只对等级保护第二级到第四级云计算系统做出要求在本部分文本中, 黑体字表示较低等级中没有出现或增强的要求本部分为 GB/T 在云计算系统安领域的扩展要求, 对云计算系统应用 GB/T 时应同时使用 GB/T 和 GB/T 的相关要求 IV

7 信息安技术网络安等级保护基本要求第 2 部分 : 云计算安扩展要求 1 范围 GB/T 的本部分规定了不同等级云计算系统的安扩展要求本部分适用于指导分等级的非涉密云计算系统的安建设和监督管理 2 规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件, 仅所注日期的版本适用于本文件凡是不注日期的引用文件, 其最新版本 ( 包括所有的修改单 ) 适用于本文件 GB 计算机信息系统安保护等级划分准则 GB/T 信息安技术网络安等级保护基本要求第 1 部分 : 安通用要求 GB/T 信息安技术信息系统安等级保护定级指南 GB/T 信息安技术术语 GB/T 信息安技术云计算服务安指南 GB/T 信息安技术云计算服务安能力要求 3 术语和定义 GB GB/T GB/T 和 GB/T 界定的以及下列术语和定义适用于本文件 3.1 云计算 cloud computing 一种通过网络提供计算资源的服务模式, 在该模式下, 云租户按需动态自助供给管理各类计算资源 3.2 网络策略控制器 network policy controller 在网络中, 把网络配置信息转化为网络设备上的转发规则集, 并对这些转发规则集进行管理的核心控制系统 3.3 云计算平台 cloud computing platform 由云服务方提供的云计算基础设施及其上服务层软件的集合 ( 引自 GB/T ) 3.4 1

云服务方 cloud service provider 云服务的提供者, 包括与云租户建立商业关系或没有商业关系的云服务提供者 3.5 云租户 cloud tenant 租用或使用云计算资源的客户, 包括计费的和不计费的云服务的机构和个人 3.6 云服务 cloud service 由云服务方使用云计算提供的服务 ( 引自 GB/T 31168 2014) 3.

8 云服务方 cloud service provider 云服务的提供者, 包括与云租户建立商业关系或没有商业关系的云服务提供者 3.5 云租户 cloud tenant 租用或使用云计算资源的客户, 包括计费的和不计费的云服务的机构和个人 3.6 云服务 cloud service 由云服务方使用云计算提供的服务 ( 引自 GB/T ) 3.7 虚拟机监视器 hypervisor 一种运行在基础物理服务器和操作系统之间的中间软件层, 可允许多个操作系统和应用共享硬件 3.8 宿主机 host machine 运行虚拟机监视器的物理服务器 4 云计算安概述 4.1 云计算平台构成本部分中将采用了云计算技术的信息系统, 称为云计算平台云计算平台由设施硬件资源抽象控制层虚拟化计算资源软件平台和应用软件等组成软件即服务 (SaaS) 平台即服务(PaaS) 基础设施即服务 (IaaS) 是三种基本的云计算服务模式如图 1 所示, 在不同的服务模式中, 云服务方和云租户对计算资源拥有不同的控制范围, 控制范围则决定了安责任的边界在基础设施即服务模式下, 云计算平台由设施硬件资源抽象控制层组成 ; 在平台即服务模式下, 云计算平台包括设施硬件资源抽象控制层虚拟化计算资源和软件平台 ; 在软件即服务模式下, 云计算平台包括设施硬件资源抽象控制层虚拟化计算资源软件平台和应用软件 2

9 图 1 云计算服务模式与控制范围的关系 4.2 云计算平台定级在云计算环境中, 应将云服务方侧的云计算平台单独作为定级对象定级, 云租户侧的等级保护对象也应作为单独的定级对象定级对于大型云计算平台, 应将云计算基础设施和有关辅助服务系统划分为不同的定级对象 5 第二级安要求 5.1 技术要求物理和环境安物理和环境安应符合以下要求 : a) 确保云计算服务器承载云租户账户信息鉴别信息系统信息及运行关键业务和数据的物理设备均位于中国境内 ; b) IDC 应具有国家相关部门颁发的 IDC 运营资质网络和通信安网络架构网络架构应符合以下要求 : a) 实现不同云租户之间网络资源的隔离, 并避免网络资源的过量占用 ; b) 绘制与当前运行情况相符的虚拟化网络拓扑结构图 ; c) 保证虚拟机只能接收到目的地址包括自己地址的报文访问控制访问控制应符合以下要求 : a) 避免虚拟机通过网络非授权访问宿主机 ; b) 在虚拟化网络边界部署访问控制机制, 并设置访问控制规则 ; c) 保证当虚拟机迁移时, 访问控制策略随其迁移 ; d) 允许云租户设置不同虚拟机之间的访问控制策略远程访问远程访问应符合以下要求 : a) 实时监视云计算平台的远程访问 ; b) 对远程执行特权命令进行限制入侵防范应能监测到云租户的网络攻击行为, 并能记录攻击类型攻击时间攻击流量等设备和计算安身份鉴别应在网络策略控制器和网络设备 ( 或设备代理 ) 之间建立身份验证机制 3

10 访问控制当进行远程管理时, 防止远程管理设备同时直接连接其他网络安审计安审计应符合以下要求 : a) 根据云服务方和云租户的职责划分, 收集各自控制部分的审计数据 ; b) 保证云服务方对云租户系统和数据的操作可被云租户审计 ; c) 保证审计数据的真实性和完整性入侵防范入侵防范应能够检测以下内容 : a) 虚拟机对宿主机资源的异常访问 ; b) 虚拟机之间的资源隔离失效, 并进行告警资源控制资源控制应符合以下要求 : a) 屏蔽虚拟资源故障, 某个虚拟机崩溃后不影响虚拟机监视器及其他虚拟机 ; b) 对物理资源和虚拟资源按照策略做统一管理调度与分配 ; c) 保证虚拟机仅能使用为其分配的计算资源镜像和快照保护镜像和快照保护应符合以下要求 : a) 提供虚拟机镜像快照完整性校验功能, 防止虚拟机镜像被恶意篡改 ; b) 采取加密或其他技术手段防止虚拟机镜像快照中可能存在的敏感资源被非法访问 ; c) 针对重要业务系统提供加固的操作系统镜像应用和数据安安审计安审计应符合以下要求 : a) 根据云服务方和云租户的职责划分, 收集各自控制部分的审计数据 ; b) 保证云服务方对云租户系统和数据的操作可被云租户审计 ; c) 保证审计数据的真实性和完整性资源控制资源控制应符合以下要求 : a) 能够对应用系统的运行状况进行监测, 并在发现异常时进行告警 ; b) 保证不同云租户的应用系统及开发平台之间的隔离接口安应保证云计算服务对外接口的安性数据完整性 4

11 应确保虚拟机迁移过程中, 重要数据的完整性, 并在检测到完整性受到破坏时采取必要的恢复措施数据备份恢复应提供查询云租户数据及备份存储位置的方式 5.2 管理要求安管理机构和人员应保证云服务方对云租户业务数据的访问或使用必须经过云租户的授权, 授权必须保留相关记录系统安建设管理测试验收应验证或评估所提供的安措施的有效性云服务商选择云服务商选择应符合以下要求 : a) 确保选择云服务商的过程符合国家有关规定 ; b) 选择安合规的云服务商, 其所提供的云平台应具备与信息系统等级相应的安保护能力 ; c) 满足服务水平协议 (SLA) 要求 ; d) 在服务水平协议 (SLA) 中规定云服务的各项服务内容和具体技术指标 ; e) 在服务水平协议 (SLA) 中规定云服务商的权限与责任, 包括管理范围职责划分访问授权隐私保护行为准则违约责任等 ; f) 在服务水平协议 (SLA) 中规定云计算所能提供的安服务的内容, 并提供安声明 ; g) 在服务水平协议 (SLA) 中规定服务合约到期时, 完整地返还云租户信息, 并承诺相关信息均已在云计算平台上清除供应链管理供应链管理应符合以下要求 : a) 确保选择供应商的过程符合国家的有关规定 ; b) 确保供应链安事件信息或威胁信息能够及时传达到云租户 6 第三级安要求 6.1 技术要求物理和环境安物理和环境安应符合以下要求 : a) 确保云计算服务器承载云租户账户信息鉴别信息系统信息及运行关键业务和数据的物理设备均位于中国境内 ; b) IDC 应具有国家相关部门颁发的 IDC 运营资质网络和通信安网络架构 5

12 网络架构应符合以下要求 : a) 实现不同云租户之间网络资源的隔离, 并避免网络资源的过量占用 ; b) 绘制与当前运行情况相符的虚拟化网络拓扑结构图, 并能对虚拟化网络资源网络拓扑进行实时更新和集中监控 ; c) 保证虚拟机只能接收到目的地址包括自己地址的报文 ; d) 保证云计算平台管理流量与云租户业务流量分离 ; e) 能识别监控虚拟机之间虚拟机与物理机之间虚拟机与宿主机之间的流量 ; f) 根据承载的业务系统安保护等级划分不同安级别的资源池区域, 并实现资源池之间的网络隔离 ; g) 提供开放接口或开放性安服务, 允许云租户接入第三方安产品或在云平台选择第三方安服务加强云租户虚拟机之间安区域之间的网络安防护能力 ; h) 根据云租户的业务需求定义安访问路径访问控制访问控制应符合以下要求 : a) 避免虚拟机通过网络非授权访问宿主机 ; b) 在虚拟化网络边界部署访问控制机制, 并设置访问控制规则 ; c) 保证当虚拟机迁移时, 访问控制策略随其迁移 ; d) 允许云租户设置不同虚拟机之间的访问控制策略 ; e) 在不同等级的网络区域边界部署访问控制机制, 设置访问控制规则远程访问远程访问应符合以下要求 : a) 实时监视云计算平台的远程访问, 并在发现未授权连接时, 采取恰当的应对措施 ; b) 对远程执行特权命令进行限制并进行审计 ; c) 当进行远程管理时, 管理终端和云计算平台边界设备之间应建立双向身份验证机制入侵防范入侵防范应符合以下要求 : a) 能监测到云租户的网络攻击行为, 并能记录攻击类型攻击时间攻击流量等 ; b) 向云租户提供互联网发布内容监测功能, 便于云租户对其发布内容中的有害信息进行实时监测和告警安审计安审计应符合以下要求 : a) 根据云服务方和云租户的职责划分, 收集各自控制部分的审计数据 ; b) 为安审计数据的汇集提供接口, 并可供第三方审计 ; c) 根据云服务方和云租户的职责划分, 实现各自控制部分的集中审计设备和计算安身份鉴别应在网络策略控制器和网络设备 ( 或设备代理 ) 之间建立双向身份验证机制 6

13 访问控制访问控制应符合以下要求 : a) 当进行远程管理时, 防止远程管理设备同时直接连接其他网络 ; b) 确保只有在云租户授权下, 云服务方或第三方才具有云租户数据的管理权限 ; c) 提供云计算平台管理用户权限分离机制, 为网络管理员系统管理员建立不同账户并分配相应的权限安审计安审计应符合以下要求 : a) 根据云服务方和云租户的职责划分, 收集各自控制部分的审计数据 ; b) 保证云服务方对云租户系统和数据的操作可被云租户审计 ; c) 保证审计数据的真实性和完整性 ; d) 为安审计数据的汇集提供接口, 并可供第三方审计 ; e) 根据云服务方和云租户的职责划分, 实现各自控制部分的集中审计入侵防范入侵防范应能够检测以下内容 : a) 虚拟机对宿主机资源的异常访问, 并进行告警 ; b) 虚拟机之间的资源隔离失效, 并进行告警 ; c) 非授权新建虚拟机或者重新启用虚拟机, 并进行告警恶意代码防范应能够检测恶意代码感染及在虚拟机间蔓延的情况, 并提出告警资源控制资源控制应符合以下要求 : a) 屏蔽虚拟资源故障, 某个虚拟机崩溃后不影响虚拟机监视器及其他虚拟机 ; b) 对物理资源和虚拟资源按照策略做统一管理调度与分配 ; c) 保证虚拟机仅能使用为其分配的计算资源 ; d) 保证虚拟机仅能迁移至相同安等级的资源池 ; e) 保证分配给虚拟机的内存空间仅供其独占访问 ; f) 对虚拟机的网络接口的带宽进行设置, 并进行监控 ; g) 为监控信息的汇集提供接口, 并实现集中监控镜像和快照保护镜像和快照保护应符合以下要求 : a) 提供虚拟机镜像快照完整性校验功能, 防止虚拟机镜像被恶意篡改 ; b) 采取加密或其他技术手段防止虚拟机镜像快照中可能存在的敏感资源被非法访问 ; c) 针对重要业务系统提供加固的操作系统镜像应用和数据安安审计 7

14 安审计应符合以下要求 : a) 根据云服务方和云租户的职责划分, 收集各自控制部分的审计数据 ; b) 保证云服务方对云租户系统和数据的操作可被云租户审计 ; c) 保证审计数据的真实性和完整性 ; d) 为安审计数据的汇集提供接口, 并可供第三方审计 ; e) 根据云服务方和云租户的职责划分, 实现各自控制部分的集中审计资源控制资源控制应符合以下要求 : a) 能够对应用系统的运行状况进行监测, 并在发现异常时进行告警 ; b) 保证不同云租户的应用系统及开发平台之间的隔离接口安应保证云计算服务对外接口的安性数据完整性应确保虚拟机迁移过程中, 重要数据的完整性, 并在检测到完整性受到破坏时采取必要的恢复措施数据保密性数据保密性应符合以下要求 : a) 确保虚拟机迁移过程中, 重要数据的保密性, 防止在迁移过程中的重要数据泄露 ; b) 支持云租户部署密钥管理解决方案, 确保云租户自行实现数据的加解密过程 ; c) 对网络策略控制器和网络设备 ( 或设备代理 ) 之间网络通信进行加密数据备份恢复 a) 确保虚拟机迁移过程中, 重要数据的保密性, 防止在迁移过程中的重要数据泄露 ; b) 支持云租户部署密钥管理解决方案, 确保云租户自行实现数据的加解密过程 ; c) 对网络策略控制器和网络设备 ( 或设备代理 ) 之间网络通信进行加密数据备份恢复数据备份恢复应符合以下要求 : a) 云租户应在本地保存其业务数据的备份 ; b) 提供查询云租户数据及备份存储位置的方式 ; c) 保证不同云租户的审计数据隔离存放 ; d) 为云租户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段, 并协助完成迁移过程剩余信息保护应保证虚拟机所使用的内存和存储空间回收时得到完清除 6.2 管理要求安管理机构和人员 8

15 应保证云服务方对云租户业务数据的访问或使用必须经过云租户的授权, 授权必须保留相关记录系统安建设管理安方案设计云计算平台应提供开放接口或开放性安服务, 允许云租户接入第三方安产品或在云平台选择第三方安服务, 支持异构方式对云租户的网络主机应用数据层的安措施进行实施测试验收应验证或评估所提供的安措施的有效性云服务商选择云服务商选择应符合以下要求 : a) 确保选择云服务商的过程符合国家有关规定 ; b) 选择安合规的云服务商, 其所提供的云平台应具备与信息系统等级相应的安保护能力 ; c) 满足服务水平协议 (SLA) 要求 ; d) 在服务水平协议 (SLA) 中规定云服务的各项服务内容和具体技术指标 ; e) 在服务水平协议 (SLA) 中规定云服务商的权限与责任, 包括管理范围职责划分访问授权隐私保护行为准则违约责任等 ; f) 在服务水平协议 (SLA) 中规定云计算所能提供的安服务的内容, 并提供安声明 ; g) 在服务水平协议 (SLA) 中规定服务合约到期时, 完整地返还云租户信息, 并承诺相关信息均已在云计算平台上清除 ; h) 与选定的云服务商签署保密协议, 要求其不得泄露云租户数据和业务系统的相关重要信息 ; i) 对可能接触到云租户数据的员工进行背景调查, 并签署保密协议 ; j) 云服务商应接受云租户以外的第三方运行监管供应链管理供应链管理应符合以下要求 : a) 确保选择供应商的过程符合国家的有关规定 ; b) 确保供应链安事件信息或威胁信息能够及时传达到云租户 ; c) 保证供应商的重要变更及时传达到云租户, 并评估变更带来的安风险, 采取有关措施对风险进行控制系统安运维管理监控和审计管理应符合以下要求 : a) 确保信息系统的监控活动符合关于隐私保护的相关政策法规 ; b) 确保提供给云租户的审计数据的真实性和完整性 ; c) 制定相关策略, 对安措施有效性进行持续监控 ; d) 云服务方应将安措施有效性的监控结果定期提供给相关云租户 7 第四级安要求 7.1 技术要求 9

16 7.1.1 物理和环境安物理和环境安应符合以下要求 : a) 确保云计算服务器承载云租户账户信息鉴别信息系统信息及运行关键业务和数据的物理设备均位于中国境内 ; b) IDC 应具有国家相关部门颁发的 IDC 运营资质网络和通信安网络架构网络架构应符合以下要求 : a) 实现不同云租户之间网络资源的隔离, 并避免网络资源的过量占用 ; b) 绘制与当前运行情况相符的虚拟化网络拓扑结构图, 并能对虚拟化网络资源网络拓扑进行实时更新和集中监控 ; c) 保证虚拟机只能接收到目的地址包括自己地址的报文 ; d) 保证云计算平台管理流量与云租户业务流量分离 ; e) 能识别监控虚拟机之间虚拟机与物理机之间虚拟机与宿主机之间的流量 ; f) 根据承载的业务系统安保护等级划分不同安级别的资源池区域, 并实现资源池之间的物理隔离 ; g) 提供开放接口或开放性安服务, 允许云租户接入第三方安产品或在云平台选择第三方安服务加强云租户虚拟机之间安区域之间的网络安防护能力 ; h) 根据云租户的业务需求定义安访问路径 ; i) 保证信息系统的外部通信接口经授权后方可传输数据访问控制访问控制应符合以下要求 : a) 避免虚拟机通过网络非授权访问宿主机 ; b) 在虚拟化网络边界部署访问控制机制, 并设置访问控制规则 ; c) 保证当虚拟机迁移时, 访问控制策略随其迁移 ; d) 允许云租户设置不同虚拟机之间的访问控制策略 ; e) 在不同等级的网络区域边界部署访问控制机制, 设置访问控制规则 ; f) 对进出网络的流量实施有效监控入侵防范入侵防范应符合以下要求 : a) 能监测到并告警后及时处理云租户的网络攻击行为, 并能记录攻击类型攻击时间攻击流量等 ; b) 向云租户提供互联网发布内容监测功能, 便于云租户对其发布内容中的有害信息进行实时监测并告警后及时处理安审计安审计应符合以下要求 : a) 根据云服务方和云租户的职责划分, 收集各自控制部分的审计数据 ; b) 为安审计数据的汇集提供接口, 并可供第三方审计 ; 10

17 c) 根据云服务方和云租户的职责划分, 实现各自控制部分的集中审计设备和计算安身份鉴别应在网络策略控制器和网络设备 ( 或设备代理 ) 之间建立双向身份验证机制访问控制访问控制应符合以下要求 : a) 当进行远程管理时, 防止远程管理设备同时直接连接其他网络 ; b) 确保只有在云租户授权下, 云服务方或第三方才具有云租户数据的管理权限 ; c) 提供云计算平台管理用户权限分离机制, 为网络管理员系统管理员建立不同账户并分配相应的权限安审计安审计应符合以下要求 : a) 根据云服务方和云租户的职责划分, 收集各自控制部分的审计数据 ; b) 保证云服务方对云租户系统和数据的操作可被云租户审计 ; c) 保证审计数据的真实性和完整性 ; d) 为安审计数据的汇集提供接口, 并可供第三方审计 ; e) 根据云服务方和云租户的职责划分, 实现各自控制部分的集中审计入侵防范入侵防范应能够检测以下内容 : a) 虚拟机对宿主机资源的异常访问, 并告警后及时处理 ; b) 虚拟机之间的资源隔离失效, 并告警后及时处理 ; c) 非授权新建虚拟机或者重新启用虚拟机的情况, 并告警后及时处理恶意代码防范应能够检测恶意代码感染及在虚拟机间蔓延的情况, 并告警后及时处理资源控制资源控制应符合以下要求 : a) 屏蔽虚拟资源故障, 某个虚拟机崩溃后不影响虚拟机监视器及其他虚拟机 ; b) 对物理资源和虚拟资源按照策略做统一管理调度与分配 ; c) 保证虚拟机仅能使用为其分配的计算资源 ; d) 保证虚拟机仅能迁移至相同安等级的资源池 ; e) 保证分配给虚拟机的内存空间仅供其独占访问 ; f) 对虚拟机的网络接口的带宽进行设置, 并进行监控 ; g) 为监控信息的汇集提供接口, 并实现集中监控镜像和快照保护镜像和快照保护应符合以下要求 : 11

18 a) 提供虚拟机镜像快照完整性校验功能, 防止虚拟机镜像被恶意篡改 ; b) 采取加密或其他技术手段防止虚拟机镜像快照中可能存在的敏感资源被非法访问 ; c) 针对重要业务系统提供加固的操作系统镜像应用和数据安安审计安审计应符合以下要求 : a) 根据云服务方和云租户的职责划分, 收集各自控制部分的审计数据 ; b) 保证云服务方对云租户系统和数据的操作可被云租户审计 ; c) 保证审计数据的真实性和完整性 ; d) 为安审计数据的汇集提供接口, 并可供第三方审计 ; e) 根据云服务方和云租户的职责划分, 实现各自控制部分的集中审计资源控制资源控制应符合以下要求 : a) 能够对应用系统的运行状况进行监测, 并在发现异常时进行告警 ; b) 保证不同云租户的应用系统及开发平台之间的隔离接口安应保证云计算服务对外接口的安性数据完整性应确保虚拟机迁移过程中, 重要数据的完整性, 并在检测到完整性受到破坏时采取必要的恢复措施数据保密性数据保密性应符合以下要求 : a) 确保虚拟机迁移过程中, 重要数据的保密性, 防止在迁移过程中的重要数据泄露 ; b) 支持云租户部署密钥管理解决方案, 确保云租户自行实现数据的加解密过程 ; c) 对网络策略控制器和网络设备 ( 或设备代理 ) 之间网络通信进行加密数据备份恢复数据备份恢复应符合以下要求 : a) 云租户应在本地保存其业务数据的备份 ; b) 提供查询云租户数据及备份存储位置的方式 ; c) 保证不同云租户的审计数据隔离存放 ; d) 为云租户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段, 并协助完成迁移过程剩余信息保护应保证虚拟机所使用的内存和存储空间回收时得到完清除 7.2 管理要求 12

19 7.2.1 安管理机构和人员应保证云服务方对云租户业务数据访问或使用必须经过云租户的授权, 授权必须保留相关记录系统安建设管理安方案设计云计算平台应提供开放接口或开放性安服务, 允许云租户接入第三方安产品或在云平台选择第三方安服务, 支持异构方式对云租户的网络主机应用数据层的安措施进行实施测试验收应验证或评估所提供的安措施的有效性云服务商选择应避免选择社会化的云服务供应链管理供应链管理应符合以下要求 : a) 确保选择供应商的过程符合国家的有关规定 ; b) 确保供应链安事件信息或威胁信息能够及时传达到云租户 ; c) 保证供应商的重要变更及时传达到云租户, 并评估变更带来的安风险, 采取有关措施对风险进行控制系统安运维管理监控和审计管理应符合以下要求 : a) 确保信息系统的监控活动符合关于隐私保护的相关政策法规 ; b) 确保提供给云租户的审计数据的真实性和完整性 ; c) 制定相关策略, 对安措施有效性进行持续监控 ; d) 云服务方应将安措施有效性的监控结果定期提供给相关云租户 13

20 A 附录 A ( 资料性附录 ) 与 GB/T 的关系采用云计算技术的信息系统首先应实现 GB/T 信息安技术网络安等级保护基本要求第 1 部分 : 安通用要求提出的对信息系统的通用安要求, 在此基础上进一步实现本部分提出的扩展安要求本部分与 GB/T 的关系如表 A.1 表 A.1 GB/T 与 GB/T 关系表类子类第一级第二级第三级第四级物理位置选择 / 扩展扩展扩展物理访问控制继承继承继承继承防盗窃和防破坏继承继承继承继承防雷击继承继承继承继承物理和环境安防火继承继承继承继承防水和防潮继承继承继承继承防静电 / 继承继承继承温湿度控制继承继承继承继承电力供应继承继承继承继承电磁防护 / 继承继承继承网络架构继承扩展扩展扩展通信传输继承继承继承继承边界防护继承继承继承继承网络和通信安访问控制继承扩展扩展扩展入侵防范 / 扩展扩展扩展恶意代码防范 / / 继承继承安审计 / 继承扩展扩展集中管控 / / 继承继承设备和计算安身份鉴别继承扩展扩展扩展访问控制继承扩展扩展扩展安审计 / 扩展扩展扩展 14

21 表 A.1( 续 ) 类子类第一级第二级第三级第四级入侵防范继承扩展扩展扩展恶意代码防范继承继承扩展扩展资源控制 / 扩展扩展扩展镜像和快照保护 / 增加增加增加身份鉴别继承继承继承继承访问控制继承继承继承继承安审计 / 扩展扩展扩展软件容错继承继承继承继承应用和数据安资源控制 / 扩展扩展扩展接口安 / 增加增加增加数据完整性继承扩展扩展扩展数据保密性 / / 扩展扩展数据备份恢复继承扩展扩展扩展剩余信息保护 / 继承扩展扩展个人信息保护 / 继承继承继承安策略 / / 继承继承安策略和管理制度管理制度继承继承继承继承制定和发布继承继承继承继承评审和修订 / 继承继承继承岗位设置继承继承继承继承人员配备继承继承继承继承授权和审批继承扩展扩展扩展安管理机构和人员沟通和合作 / 继承继承继承审核和检查 / 继承继承继承人员录用继承继承继承继承人员离岗继承继承继承继承安意识教育和培训继承继承继承继承外部人员访问管理继承继承继承继承系统安建设管理系统定级和备案继承继承继承继承 15

22 表 A.1( 续 ) 类子类第一级第二级第三级第四级安方案设计继承继承扩展扩展产品采购和使用继承继承继承继承自行软件开发 / 继承继承继承外包软件开发 / 继承继承继承工程实施继承继承继承继承测试验收继承扩展扩展扩展系统交付继承继承继承继承等级测评 / 继承继承继承服务供应商选择继承继承继承继承云服务商选择 / 增加增加增加供应链管理 / 增加增加增加环境管理继承继承继承继承资产管理 / 继承继承继承介质管理继承继承继承继承设备维护管理继承继承继承继承漏洞和风险管理继承继承继承继承网络和系统安管理继承继承继承继承系统安运维管理恶意代码防范管理继承继承继承继承配置管理 / 继承继承继承密码管理 / 继承继承继承变更管理 / 继承继承继承备份与恢复管理继承继承继承继承安事件处置继承继承继承继承应急预案管理 / 继承继承继承外包运维管理 / 继承继承继承监控和审计管理 / / 增加增加注 : / 代表此级别的控制点没有要求项 ; 继承代表此级别的控制点要求项完继承 ; 扩展代表此级别的控制点要求项对于有扩展 ; 增加代表此级别的控制点对于为新增控制点 16

23 B B GB/T XXXX 附录 B ( 资料性附录 ) 云计算平台面临的安威胁 B.1 数据丢失篡改或泄露在云计算环境下, 数据的实际存储位置往往不受云租户控制, 云租户的数据可能存储在境外, 易造成数据泄露云计算平台聚集了大量云租户的应用系统和数据资源, 因而更容易成为被攻击的目标一旦遭受攻击, 会导致严重的数据丢失篡改或泄露 B.2 网络攻击云计算基于网络提供服务, 应用系统都放置于云端一旦攻击者获取到用户的身份验证信息, 假冒合法用户, 那么用户的云中数据将面临被窃取篡改等威胁另外,DDoS 攻击也是云计算环境最主要的安威胁之一, 攻击者通常是发起一些关键性操作来消耗大量的系统资源, 如进程内存硬盘空间网络带宽等, 导致云服务反应变得极为缓慢或者完没有响应 B.3 利用不安接口的攻击攻击者利用非法获取的接口访问密钥, 将能够直接访问用户数据, 导致敏感数据泄露 ; 通过接口实施注入攻击, 可能篡改或者破坏用户数据 ; 通过接口的漏洞, 攻击者可绕过虚拟机监视器的安控制机制, 获取到系统管理权限, 将给云租户带来无法估计的损失 B.4 云服务中断云服务基于网络提供服务, 当云租户把应用系统迁移到云计算平台后, 一旦与云计算平台的网络连接中断或者云计算平台出现故障, 造成服务中断, 将影响到云租户应用系统的正常运行 B.5 越权滥用与误操作云租户的应用系统和业务数据处于云计算环境中, 云计算平台的运营管理和运维管理归属于云服务方, 运营管理和运维管理等人员的恶意破坏或误操作在一定程度上会造成云租户应用系统的运行中断和数据丢失篡改或泄露 B.6 滥用云服务面向公众提供的云服务可向任何人提供计算资源, 如果管控不严格, 不考虑使用者的目的, 很可能被攻击者利用, 如通过租用计算资源发动拒绝服务攻击 B.7 利用共享技术漏洞进行的攻击 17

24 由于云服务是多租户共享, 如果云租户之间的隔离措施失效, 一个云租户有可能侵入另一个云租户的环境, 或者干扰其他云租户应用系统的运行而且, 很有可能出现专门从事攻击活动的人员绕过隔离措施, 干扰破坏其他云租户应用系统的正常运行 B.8 过度依赖由于缺乏统一的标准和接口, 不同云计算平台上的云租户数据和应用系统难以相互迁移, 同样也难以从云计算平台迁移回云租户的数据中心另外, 云服务方出于自身利益考虑, 往往不愿意为云租户的数据和应用系统提供可移植能力这种对特定云服务方的过度依赖可能导致云租户的应用系统随云服务方的干扰或停止服务而受到影响, 也可能导致数据和应用系统迁移到其他云服务方的代价过高 B.9 数据残留云租户的大量数据存放在云计算平台上的存储空间中, 如果存储空间回收后剩余信息没有完清除, 存储空间再分配给其他云租户使用容易造成数据泄露当云租户退出云服务时, 由于云服务方没有完删除云租户的数据, 包括备份数据等, 带来数据安风险 18

25 C C GB/T XXXX 附录 C ( 资料性附录 ) 不同服务模式的安管理责任主体 C.1 云服务的三种服务模式云服务的服务模式包括基础设施即服务 (IaaS) 平台即服务(PaaS) 软件即服务(SaaS), 具体如下 : a) 基础设施即服务 Infrastructure As A Service(IaaS) 云服务方向云租户提供可动态申请或释放的计算资源存储资源网络资源等基础设施的服务模式 ; b) 平台即服务 Platform As A Service(PaaS) 云服务方向云租户提供应用软件所需的支撑平台, 包括用户应用程序的运行环境和开发环境, 供云租户在此基础上开发和提供相关应用的服务模式 ; c) 软件即服务 Software As A Service(SaaS) 云服务方向云租户提供运行在云基础设施之上的应用软件的服务模式 C.2 不同服务模式下安管理责任主体不同服务模式下云服务方和云租户的安管理责任主体有所不同, 具体如表 C.1 C.2 和 C.3 所示 : 表 C.1 IaaS 模式下云服务方与云租户的责任划分层面安要求安组件责任主体物理和环境安物理位置选择数据中心及物理设施云服务方网络和通信安网络结构访问控制远程访问入侵防范安物理网络及附属设备虚拟网云服务方审计络管理平台云租户虚拟网络安域云租户设备和计算安身份鉴别访问控制安审计入侵防范恶物理网络及附属设备虚拟网云服务方意代码防范资源控制镜像和快照保护络管理平台物理宿主机及附属设备虚拟机管理平台镜像等云租户虚拟网络设备虚拟安云租户设备虚拟机等应用和数据安安审计资源控制接口安数据完整性云管理平台 ( 含运维和运营 ) 云服务方数据保密性数据备份恢复镜像快照等云租户应用系统及相关软件云租户组件云租户应用系统配置云租户业务相关数据等 19

26 表 C.1( 续 ) 层面安要求安组件责任主体安管理机构和人员授权和审批授权和审批流程文档等云服务方系统安建设安方案设计测试验收云服务商选择供应云计算平台接口安措施云服务方管理链管理供应链管理流程安事件和重要变更信息云服务商选择及管理流程云租户系统安运维监控和审计管理监控和审计管理的相关流程云服务方云租管理策略和数据户表 C.2 PaaS 模式下云服务方与租户的责任划分层面安要求安组件责任主体物理和环境安物理位置选择数据中心及物理设施云服务方网络和通信安网络结构访问控制远程访问入侵防范安物理网络及附属设备虚拟网云服务方审计络管理平台虚拟网络安域设备和计算安身份鉴别访问控制安审计入侵防范恶物理网络及附属设备虚拟网云服务方意代码防范资源控制镜像和快照保护络管理平台物理宿主机及附属设备虚拟机管理平台镜像虚拟机虚拟网络设备虚拟安设备等应用和数据安安审计资源控制接口安数据完整性云管理平台 ( 含运维和运营 ) 云服务方数据保密性数据备份恢复镜像快照等云租户应用系统及相关软件云租户组件云租户应用系统配置云租户业务相关数据等安管理机构和人员授权和审批授权和审批流程文档等云服务方系统安建设安方案设计测试验收云服务商选择供应云计算平台接口安措施云服务方管理链管理供应链管理流程安事件和重要变更信息云服务商选择及管理流程云租户系统安运维监控和审计管理监控和审计管理的相关流程云服务方管理策略和数据 20

27 表 C.3 SaaS 模式下云服务方与租户的责任划分层面安要求安组件责任主体物理和环境安物理位置选择数据中心及物理设施云服务方网络和通信安网络结构访问控制远程访问入侵防范安物理网络及附属设备虚拟网云服务方审计络管理平台虚拟网络安域设备和计算安身份鉴别访问控制安审计入侵防范恶物理网络及附属设备虚拟网云服务方意代码防范资源控制镜像和快照保护络管理平台物理宿主机及附属设备虚拟机管理平台镜像虚拟机虚拟网络设备虚拟安设备等应用和数据安安审计资源控制接口安数据完整性云管理平台 ( 含运维和运营 ) 云服务方数据保密性数据备份恢复镜像快照等应用系统及相关软件组件云租户应用系统配置云租户云租户业务相关数据等安管理机构和人员授权和审批授权和审批流程文档等云服务方系统安建设安方案设计测试验收云服务商选择供应云计算平台接口安措施云服务方管理链管理供应链管理流程安事件和重要变更信息云服务商选择及管理流程云租户系统安运维监控和审计管理监控和审计管理的相关流程云服务方管理策略和数据 21

28 D 附录 D ( 资料性附录 ) 本部分适用的对象云计算系统的保护对象与传统信息系统的保护对象存在差异, 具体如表 D.1 所示 : 表 D.1 云计算系统与传统信息系统保护对象差异层面云计算系统保护对象传统信息系统保护对象物理和环境安机房及基础设施机房及基础设施网络和通信安设备和计算安应用和数据安系统安建设管理网络结构网络设备安设备虚拟化网络结构虚拟网络设备虚拟安设备网络设备安设备虚拟网络设备虚拟安设备物理机宿主机虚拟机虚拟机监视器云管理平台数据库管理系统终端应用系统云应用开发平台中间件云业务管理系统配置文件镜像文件快照业务数据用户隐私鉴别信息等云计算平台接口云服务商选择过程 SLA 供应链管理过程等传统的网络设备传统的安设备传统的网络结构传统主机数据库管理系统终端应用系统中间件配置文件业务数据用户隐私鉴别信息等 N/A 22

29 参考文献 [1] MSTL_JGF_ 信息安技术云操作系统安检验要求 [2] GB/T 信息技术信息安管理实用规则 [3] NIST Special Publication [4] Cloud Security Alliance,Top Threats Working Group, The notorious nine: cloud computing top threats in 2013.February 2013 [5] Wayne Jansen, Timothy Grance. Guidelines on Security and Privacy in Public Cloud Computing[EB/OL].National Institute of Standards and Technology.Special Publication , [6] Cloud Computing Information Assurance Framework 23

PowerPoint 演示文稿

PowerPoint 演示文稿等保 2.0 在医疗卫生行业的应用探索广州竞远安全技术股份有限公司测评中心技术总监刘晓彬 1 公司介绍广州竞远安全技术股份有限公司成立于 2003 年, 是一家致力于服务信息网络安全产业的专业安全服务机构, 拥有实力雄厚和技术过硬的专业团队, 具有丰富的等级测评风险评估渗透测试安全监测安全应急安全巡检安全咨询安全培训等全方位安全服务经验为广大政府机关企事业单位及各行业提供专业的安全服务