信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求云計算安全擴(kuò)展要求標(biāo)準(zhǔn)說明

1、國家標(biāo)準(zhǔn)信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求 第2部分：云計算安全擴(kuò)展要求編制說明一、 工作簡況1.1 任務(wù)來源目前，云計算技術(shù)在國家關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的應(yīng)用日益廣泛。原有信息安全等級保護(hù)標(biāo)準(zhǔn)體系中標(biāo)準(zhǔn)的適用性提出挑戰(zhàn)，防護(hù)措施、實現(xiàn)方法和測評方法都將有所不同。因此，根據(jù)云計算環(huán)境中的新增安全威脅和主要防范手段，我們對GB/T 22239.1XXXX 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求 第1部分：安全通用要求（以下簡稱“安全通用要求”）進(jìn)行了擴(kuò)展，形成了本部分。信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求 第2部分：云計算安全擴(kuò)展要求（計劃編號：GB/T 22239.2XXXX）（以下簡稱“

2、云計算安全擴(kuò)展要求”）由公安部信息安全等級保護(hù)評估中心牽頭，國家信息中心、阿里云計算有限公司、中科院信息工程研究所、杭州華三通信技術(shù)有限公司、華為技術(shù)有限公司、啟明星辰信息技術(shù)有限公司等單位共同參與起草。1.2 主要工作過程1.2.1標(biāo)準(zhǔn)立項前工作概述2014年1月至2014年4月，為完善云計算安全標(biāo)準(zhǔn)體系，支撐黨政部門云計算信息安全等級保護(hù)建設(shè)整改工作，牽頭單位組成標(biāo)準(zhǔn)工作組，研究云計算環(huán)境下的信息系統(tǒng)面臨的安全威脅，通過整理、匯總、分析相關(guān)資料編制了項目申請書、項目建議書并經(jīng)過專家評審。1.2.2標(biāo)準(zhǔn)立項后工作情況1） 標(biāo)準(zhǔn)立項2014年10月，本部分獲全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會國標(biāo)立項

3、。2） 成立標(biāo)準(zhǔn)編制組，廣泛調(diào)研2014年6月至12月，標(biāo)準(zhǔn)編制組成立，廣泛調(diào)研和研究國內(nèi)外云計算安全相關(guān)評估標(biāo)準(zhǔn)以及相關(guān)安全評估標(biāo)準(zhǔn)，為本部分的編制奠定基礎(chǔ)。期間，研究的云計算安全相關(guān)標(biāo)準(zhǔn)和安全評估相關(guān)標(biāo)準(zhǔn)包括：（1）美國聯(lián)邦系統(tǒng)安全控制的建議（NIST 800-53）；（2）美國聯(lián)邦系統(tǒng)安全控制措施評估指南（NIST SP800-53A）；（3）SP 800-144 Guidelines on security and privacy in public cloud computing（4）SP800-145 The NIST Definition of cloud computing&#

4、160;（5）SP800-125 Full Virtualization Technologies（6）FedRAMP_Baseline_Security_Controls_REV4；（7）信息安全等級保護(hù)測評國家標(biāo)準(zhǔn)；（8）GB/T 31168-2014 信息安全技術(shù) 云計算服務(wù)安全能力要求（9）GB/T 31167-2014信息安全技術(shù) 云計算服務(wù)安全指南（10）信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范、信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則等國家標(biāo)準(zhǔn)。3）標(biāo)準(zhǔn)編制組形成標(biāo)準(zhǔn)草案2015年7月，標(biāo)準(zhǔn)編制組形成標(biāo)準(zhǔn)草案，發(fā)標(biāo)準(zhǔn)編制組內(nèi)部征求意見，標(biāo)準(zhǔn)編制組在北京召開了標(biāo)準(zhǔn)草案第一次評審，討論了標(biāo)

5、準(zhǔn)編制的思路，以及本次國家標(biāo)準(zhǔn)與其他標(biāo)準(zhǔn)之間的關(guān)系。評審會結(jié)束后，標(biāo)準(zhǔn)編制組根據(jù)專家意見，修訂了標(biāo)準(zhǔn)草案。同年12月，標(biāo)準(zhǔn)編制組再次發(fā)起專家評審，對標(biāo)準(zhǔn)草案的內(nèi)容進(jìn)行了詳細(xì)的討論，并認(rèn)真聽取了專家意見。2016年1月到2016年5月，標(biāo)準(zhǔn)編制組多次召開工作會議，討論標(biāo)準(zhǔn)草案中相關(guān)問題。根據(jù)專家意見，對標(biāo)準(zhǔn)草案進(jìn)行了修改。4）標(biāo)準(zhǔn)在云等級保護(hù)測評中試用2016年3月至2016年7月，評估中心分別對阿里云、迅達(dá)云成進(jìn)行了云安全等級保護(hù)測評，在測評過程中對標(biāo)準(zhǔn)草案進(jìn)行了試用，并提出了修改意見，標(biāo)準(zhǔn)編制組根據(jù)試用意見進(jìn)行了修改完善。5）2016年6月29日，召開專家評審會，會后形成征求意見稿2016年

6、6月29日，標(biāo)準(zhǔn)編制組在北京召開了標(biāo)準(zhǔn)評審會，編制組根據(jù)與會專家的意見進(jìn)一步完善了標(biāo)準(zhǔn)草案。6）2016年8月25日，WG5召開標(biāo)準(zhǔn)推進(jìn)會，會后形成征求意見稿2016年8月25日，WG5在北京召開了標(biāo)準(zhǔn)推進(jìn)會，編制組對前期意見匯總處理情況做了介紹并聽取與會專家意見，會后根據(jù)與會專家的意見進(jìn)一步完善了標(biāo)準(zhǔn)草案并形成征求意見稿。7）2016年8月30日，召開標(biāo)準(zhǔn)格式和編寫指導(dǎo)講座，會后對標(biāo)準(zhǔn)格式和規(guī)范用語進(jìn)行了修訂2016年8月30日，公安部信息安全等級保護(hù)評估中心邀請公安部信息安全標(biāo)準(zhǔn)委員會形式化審查專家，在標(biāo)準(zhǔn)合適、用語和形式規(guī)范等方面為編制組成員做了講解，會后編制組根據(jù)專家提的意見建議對標(biāo)準(zhǔn)

7、文本做了修訂。二、 編制原則和主要內(nèi)容2.1 編制原則一是充分吸收已有云安全相關(guān)標(biāo)準(zhǔn)。云計算安全擴(kuò)展要求充分參考了國際、國內(nèi)有關(guān)云計算安全以及安全評估的先進(jìn)標(biāo)準(zhǔn)和技術(shù)規(guī)范。目前，云計算安全擴(kuò)展要求已將美國FedrRAMP云安全測試用例、NIST 800-53A、ISO/IEC 27017、SP 800-144、SP 800-145等級保護(hù)測評等相關(guān)標(biāo)準(zhǔn)的長處進(jìn)行了吸收，借鑒了國外標(biāo)準(zhǔn)中對云計算的定義和架構(gòu),虛擬化安全要求, 公共云防護(hù)措施建議,云計算環(huán)境中的風(fēng)險管理、生命周期管理、審計和合規(guī)、安全運維建議。二是從風(fēng)險分析出發(fā)，根據(jù)風(fēng)險提出防范要求，并在試點項目中求證。分析云計算環(huán)境下的新增威脅

8、、脆弱性和安全風(fēng)險，根據(jù)新增的安全風(fēng)險制定對應(yīng)措施形成云計算安全擴(kuò)展要求，并在試點項目中獲得了較高的評價。2.2 主要內(nèi)容本部分針對云計算信息系統(tǒng)的特點，規(guī)定了云計算信息系統(tǒng)安全等級保護(hù)的安全要求，適用于不同等級云計算信息系統(tǒng)的安全保護(hù)。本部分適合指導(dǎo)采用不同部署模式、交付模式下云計算信息系統(tǒng)的安全建設(shè)、整改、測評等工作，在不同的部署模式、交付模式下，條款使用方法和判定方法不一樣。云計算安全擴(kuò)展要求根據(jù)云計算環(huán)境下的風(fēng)險，增加了新的安全要求，適用于云計算環(huán)境下的測評對象，本部分主要內(nèi)容包括網(wǎng)絡(luò)架構(gòu)要求、訪問控制要求、遠(yuǎn)程訪問要求、入侵防范、安全審計、數(shù)據(jù)完整性和數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、惡意代

9、碼防范、資源控制、鏡像和快照保護(hù)等等內(nèi)容。三、 主要試驗（或驗證）的分析、綜述報告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果編制組已請評估中心分別對阿里云、迅達(dá)云成進(jìn)行了云安全等級保護(hù)測評，在測評過程中對標(biāo)準(zhǔn)草案進(jìn)行了試用，并提出了修改意見，標(biāo)準(zhǔn)編制組根據(jù)試用意見進(jìn)行了修改完善，標(biāo)準(zhǔn)試用效果良好。四、 采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國際、國外同類標(biāo)準(zhǔn)水平的對比情況，或與測試的國外樣品、樣機的有關(guān)數(shù)據(jù)對比情況信息安全標(biāo)準(zhǔn)已經(jīng)成為網(wǎng)絡(luò)空間國際競爭的戰(zhàn)略制高點。特別是，云計算安全標(biāo)準(zhǔn)及其背后的管理政策將會對產(chǎn)業(yè)造成重大影響，也將限制國外大型云計算服務(wù)提供商滲透到我國敏感部門和重要行業(yè)，這種情況下，公安

10、部提出了加強云計算等級保護(hù)標(biāo)準(zhǔn)制定的重要舉措。開展對云服務(wù)方所提供的云平臺安全能力的評估及云平臺上的應(yīng)用系統(tǒng)防護(hù)水平的評估，是落實對云計算服務(wù)安全管理的措施之一。因此，編制組在標(biāo)準(zhǔn)編制過程中，專門分析了美國FedRAMP對云服務(wù)商的安全評估方法和NIST SP800系列標(biāo)準(zhǔn)，參考我國已有相關(guān)信息安全標(biāo)準(zhǔn)，以及我國云計算服務(wù)安全管理的考慮，綜合考慮制定了本部分。五、 與有關(guān)的現(xiàn)行法律、法規(guī)和強制性國家標(biāo)準(zhǔn)的關(guān)系云計算安全擴(kuò)展要求符合現(xiàn)有法律法規(guī)的要求。符合全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定、國務(wù)院關(guān)于大力促進(jìn)信息化發(fā)展和切實保障信息安全的若干意見、信息安全技術(shù)公共及商用服務(wù)信息

11、系統(tǒng)個人信息保護(hù)指南等國家政策、法規(guī)、標(biāo)準(zhǔn)的要求。云計算安全擴(kuò)展要求是GB/T 22239-XXXX 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求的第二分冊，云計算安全擴(kuò)展要求以引用的方式涵蓋了安全通用要求的全部內(nèi)容。六、 重大分歧意見的處理經(jīng)過和依據(jù)云計算安全擴(kuò)展要求編制過程中未出現(xiàn)重大分歧。其他詳見意見匯總處理表。七、 國家標(biāo)準(zhǔn)作為強制性國家標(biāo)準(zhǔn)或推薦性國家標(biāo)準(zhǔn)的建議建議云計算安全擴(kuò)展要求作為推薦性國家標(biāo)準(zhǔn)發(fā)布實施。八、 貫徹國家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等內(nèi)容）云計算安全擴(kuò)展要求規(guī)定了云計算信息系統(tǒng)安全等級保護(hù)的安全要求，適用于不同等級云計算信息系統(tǒng)的安全保護(hù)，云計

12、算安全擴(kuò)展要求是GB/T 22239-XXXX 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求的第二分冊，云計算安全擴(kuò)展要求以引用的方式涵蓋了安全通用要求的全部內(nèi)容。因此，本部分貫徹實施時，應(yīng)與安全通用要求結(jié)合在一起進(jìn)行。九、 其他事項說明本部分不涉及專利。標(biāo)準(zhǔn)編制組2016年9月人與人之間的距離雖然摸不著，看不見，但的的確確是一桿實實在在的秤。真與假，善與惡，美與丑，盡在秤桿上可以看出；人心的大小，胸懷的寬窄，撥一撥秤砣全然知曉。人與人之間的距離，不可太近。與人太近了，常常看人不清。一個人既有優(yōu)點，也有缺點，所謂人無完人，金無赤足是也。初識時，走得太近就會模糊了不足，寵之；時間久了，原本的美麗之處也

13、成了瑕疵，嫌之。與人太近了，便隨手可得，有時得物，據(jù)為己有，太過貪財；有時得人，為己所用，也許貪色。貪財也好，貪色亦罷，都是一種貪心。與人太近了，最可悲的就是會把自己丟在別人身上，找不到自己的影子，忘了回家的路。這世上，根本沒有零距離的人際關(guān)系，因為人總是有一份自私的，人與人之間太近的距離，易滋生事端，恩怨相隨。所以，人與人相處的太近了，便漸漸相遠(yuǎn)。人與人之間的距離也不可太遠(yuǎn)。太遠(yuǎn)了，就像放飛的風(fēng)箏，過高斷線。太遠(yuǎn)了，就像南徙的大雁，失群哀鳴。太遠(yuǎn)了，就像失聯(lián)的旅人，形單影只。人與人之間的距離，有時，先遠(yuǎn)后近；有時，先近后遠(yuǎn)。這每次的變化之中，總是有一個難以忘記的故事或者一段難以割舍的情。有時

14、候，人與人之間的距離，忽然間近了，其實還是遠(yuǎn)；忽然間遠(yuǎn)了，肯定是傷了誰。人與人之間的距離，如果是一份信箋，那是思念；如果是一個微笑，那是寬容；如果是一句問候，那是友誼；如果是一次付出，那是責(zé)任。這樣的距離，即便是遠(yuǎn)，但也很近。最怕的，人與人之間的距離就是一句失真的讒言，一個不屑的眼神，一疊誘人的紙幣，或者是一條無法逾越的深谷。這樣的距離，即便是近，但也很遠(yuǎn)。人與人之間最美的距離，就是不遠(yuǎn)不近，遠(yuǎn)中有近，近中有遠(yuǎn)，遠(yuǎn)而不離開，近而不相丟。太遠(yuǎn)的距離，只需要一份寬容，就不會走得太遠(yuǎn)而行同陌人；太近的距離，只需要一份自尊，就不會走得太近而丟了自己。不遠(yuǎn)不近的距離，多像一朵艷麗的花，一首悅耳的歌，一首

15、優(yōu)美的詩。人生路上，每個人的相遇、相識，都是一份緣，我們都是相互之間不可或缺的伴。人與人之間的距離雖然摸不著，看不見，但的的確確是一桿實實在在的秤。真與假，善與惡，美與丑，盡在秤桿上可以看出；人心的大小，胸懷的寬窄，撥一撥秤砣全然知曉。人與人之間的距離，不可太近。與人太近了，常?？慈瞬磺濉Ｒ粋€人既有優(yōu)點，也有缺點，所謂人無完人，金無赤足是也。初識時，走得太近就會模糊了不足，寵之；時間久了，原本的美麗之處也成了瑕疵，嫌之。與人太近了，便隨手可得，有時得物，據(jù)為己有，太過貪財；有時得人，為己所用，也許貪色。貪財也好，貪色亦罷，都是一種貪心。與人太近了，最可悲的就是會把自己丟在別人身上，找不到自己的影子，忘了回家的路。這世上，根本沒有零距離的人際關(guān)系，因為人總是有一份自私的，人與人之間太近的距離，易滋生事端，恩怨相隨。所以，人與人相處的太近了，便漸漸相遠(yuǎn)。人與人之間的距離也不可太遠(yuǎn)。太遠(yuǎn)了，就像放飛的風(fēng)箏，過高斷線。太遠(yuǎn)了，就像南徙的大雁，失群哀鳴。太遠(yuǎn)了，就像失聯(lián)的旅人，形單影只。人與人之間的距離，有時，先遠(yuǎn)后近；有時，先近后遠(yuǎn)。這每次的變化之中，總是有一個難以忘記的故事或者一段難以割舍的情。有時候，人與人之間的距離，忽然間近了，其實還是遠(yuǎn)；忽然間遠(yuǎn)了，肯定是傷了誰。人與人之間的距離，如果是一份信箋，那是思念；如果是一個微笑，那是寬容；如果是一句問候，那是友誼；如果是一次