政府的安全需求

政府的安全需求目錄對(duì)云服務(wù)提供商的安全基本要求安全防護(hù)技術(shù)要求2責(zé)任義務(wù)一、政府對(duì)云計(jì)算服務(wù)提供商安全基本要求3在中華人民共和國(guó)境內(nèi)(港澳臺(tái)地區(qū)除外)注冊(cè)，具有獨(dú)立法人資格；注冊(cè)資本應(yīng)不低于1億元人民幣；應(yīng)具有承擔(dān)因云服務(wù)故障或失敗所造成后果的經(jīng)濟(jì)責(zé)任能力；應(yīng)擁有建筑面積不少于1萬(wàn)平方米的自有產(chǎn)權(quán)機(jī)房；應(yīng)具有1年以上云計(jì)算服務(wù)運(yùn)營(yíng)經(jīng)驗(yàn)；不能轉(zhuǎn)包服務(wù)，保證服務(wù)過(guò)程全程可控，防止意外情況的發(fā)生；應(yīng)提供至少兩家能與其進(jìn)行服務(wù)相互遷移的云計(jì)算服務(wù)提供商；通過(guò)國(guó)家相關(guān)部門(mén)認(rèn)可的信息安全管理體系認(rèn)證。1.基本條件4云計(jì)算服務(wù)提供商應(yīng)擁有至少兩個(gè)互為備份的異地?cái)?shù)據(jù)中心，互為備份的異地?cái)?shù)據(jù)中心的地理位置應(yīng)相距300公里以上，相互之間應(yīng)具有1Gbps以上的通信帶寬；數(shù)據(jù)中心應(yīng)具有冗余的鏈路和網(wǎng)絡(luò)設(shè)備；云計(jì)算服務(wù)提供商機(jī)房應(yīng)在中華人民共和國(guó)境內(nèi)，滿足GB50174-2008《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》中A級(jí)要求；應(yīng)具有不同運(yùn)營(yíng)商的互聯(lián)網(wǎng)接入鏈路，單鏈路帶寬不低于400Mbps；存儲(chǔ)容量應(yīng)在PB級(jí)以上，達(dá)1000倍的存儲(chǔ)服務(wù)最小銷售容量；信息安全產(chǎn)品應(yīng)安全可控。一、政府對(duì)云計(jì)算服務(wù)提供商安全基本要求2.基礎(chǔ)設(shè)施要求53.運(yùn)行管理要求應(yīng)采取措施對(duì)多租戶之間的應(yīng)用和數(shù)據(jù)進(jìn)行隔離，與為社會(huì)提供服務(wù)的物理資源(如服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)等)分離；數(shù)據(jù)處理、傳輸、存儲(chǔ)及管理應(yīng)在中華人民共和國(guó)境內(nèi)完成，提供數(shù)據(jù)存儲(chǔ)的地理位置查詢機(jī)制；應(yīng)提供加密、專線等措施保證數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性；租戶能審計(jì)云服務(wù)提供商對(duì)租戶系統(tǒng)和數(shù)據(jù)的操作；為租戶提供數(shù)據(jù)遠(yuǎn)程管理審計(jì)接口，遠(yuǎn)程管理、維護(hù)必須在境內(nèi)完成；云計(jì)算服務(wù)提供商對(duì)軟硬件進(jìn)行升級(jí)或打補(bǔ)丁前，應(yīng)向租戶書(shū)面告知存在的安全風(fēng)險(xiǎn)，征得租戶的同意；對(duì)職員進(jìn)行嚴(yán)格審查，包括職員背景調(diào)查、安全培訓(xùn)；定期對(duì)存儲(chǔ)的數(shù)據(jù)進(jìn)行備份。一、政府對(duì)云計(jì)算服務(wù)提供商安全基本要求二、安全防護(hù)技術(shù)要求61.虛擬化安全技術(shù)要求嚴(yán)格定義不同級(jí)別的管理員角色，并提供相應(yīng)的訪問(wèn)控制手段；分離管理網(wǎng)絡(luò)和租戶網(wǎng)絡(luò)；訪問(wèn)管理接口只能經(jīng)專用安全通道且采用強(qiáng)認(rèn)證方式；虛擬機(jī)鏡像和快照存儲(chǔ)服務(wù)器具備容災(zāi)機(jī)制；不同部門(mén)之間的虛擬機(jī)相互隔離；虛擬機(jī)須經(jīng)安全通道進(jìn)行遷移，且只能遷移至相同安全等級(jí)的環(huán)境此圖來(lái)源網(wǎng)絡(luò)73.訪問(wèn)控制應(yīng)提供滿足不同租戶需求的租戶標(biāo)識(shí)和身份鑒別的技術(shù)與管理措施；應(yīng)對(duì)身份信息、鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)。此圖來(lái)源網(wǎng)絡(luò)二、安全防護(hù)技術(shù)要求2.身份鑒別應(yīng)提供滿足不同租戶需求的訪問(wèn)控制機(jī)制；應(yīng)提供完善安全的租戶信息、訪問(wèn)控制策略的管理機(jī)制，遵從最少權(quán)限模型；應(yīng)提供以下遠(yuǎn)程訪問(wèn)控制機(jī)制：定義訪問(wèn)控制安全功能列表和相關(guān)信息，安全功能須由租戶接受。安全功能包括但不限于：創(chuàng)建系統(tǒng)賬號(hào)、配置訪問(wèn)權(quán)限、系統(tǒng)管理功能、事件審計(jì)、SSH和VPN遠(yuǎn)程接入等；采用加密機(jī)制確保遠(yuǎn)程訪問(wèn)的機(jī)密性和完整性；云服務(wù)平臺(tái)采用的遠(yuǎn)程訪問(wèn)協(xié)議須被租戶認(rèn)同。84.安全審計(jì)應(yīng)定義可審計(jì)的事件集及記錄類型，并被租戶接受；應(yīng)具有主時(shí)間服務(wù)器和備份時(shí)間服務(wù)器，世兩者位于不同的互為備份的數(shù)據(jù)中心；應(yīng)采用適當(dāng)?shù)募夹g(shù)保障審計(jì)記錄的完整性；應(yīng)保證審計(jì)記錄在線時(shí)間至少為90天，且保證審計(jì)記錄離線時(shí)間符合相關(guān)要求，以支持事件的事后調(diào)查。二、安全防護(hù)技術(shù)要求95.可移植性和互操作性應(yīng)保證租戶數(shù)據(jù)能從云服務(wù)平臺(tái)恢復(fù)到租戶本地信息系統(tǒng)；應(yīng)保證租戶數(shù)據(jù)能移植到其他云服務(wù)平臺(tái)。應(yīng)保證租戶業(yè)務(wù)能遷移到其他云服務(wù)平臺(tái)。二、安全防護(hù)技術(shù)要求三、責(zé)任義務(wù)10云計(jì)算服務(wù)提供商的責(zé)任義務(wù)：應(yīng)充分尊重租戶對(duì)數(shù)據(jù)的所有權(quán)和控制權(quán)，不得破壞和泄漏租戶數(shù)據(jù)，承擔(dān)數(shù)據(jù)非法泄漏、丟失、符改、破壞后的所有法律責(zé)任；在任何情況下，應(yīng)采取措施保證租戶數(shù)據(jù)安全轉(zhuǎn)移；未經(jīng)授權(quán)，不得增加、刪除、修改租戶數(shù)據(jù)，不得利用租戶數(shù)據(jù)牟取利益(包括但不限于泄漏、轉(zhuǎn)售等行為)；未經(jīng)授權(quán)，不得使用、泄漏租戶的行為信息。合同終止后仍然有效；在任何情況