GB/T 31168-2023信息安全技術(shù)云計算服務(wù)安全能力要求

ICS35030

CCSL.80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T31168—2023

代替GB/T31168—2014

信息安全技術(shù)

云計算服務(wù)安全能力要求

Informationsecuritytechnology—

Securitycapabilityrequirementsforcloudcomputingservices

2023-05-23發(fā)布2023-12-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會

GB/T31168—2023

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………2

云計算安全要求的表達與實現(xiàn)

5…………3

云計算安全措施的實施責(zé)任

5.1………………………3

云計算安全措施的作用范圍

5.2………………………4

安全要求的分類

5.3……………………4

安全要求的表述形式

5.4………………5

安全要求的調(diào)整

5.5……………………6

安全計劃

5.6……………7

系統(tǒng)開發(fā)與供應(yīng)鏈安全

6…………………7

資源分配

6.1……………7

系統(tǒng)生命周期

6.2………………………8

采購過程

6.3……………8

系統(tǒng)文檔

6.4……………9

關(guān)鍵性分析

6.5…………………………9

外部服務(wù)

6.6……………10

開發(fā)商安全體系架構(gòu)

6.7………………10

開發(fā)過程標(biāo)準(zhǔn)和工具

6.8、……………11

開發(fā)過程配置管理

6.9…………………11

開發(fā)商安全測試和評估

6.10…………12

開發(fā)商提供的培訓(xùn)

6.11………………13

組件真實性

6.12………………………14

不被支持的系統(tǒng)組件

6.13……………14

供應(yīng)鏈保護

6.14………………………14

系統(tǒng)與通信保護

7…………………………16

邊界保護

7.1……………16

傳輸?shù)谋Ｃ苄院屯暾员Ｗo

7.2………………………17

網(wǎng)絡(luò)中斷

7.3……………17

可信路徑

7.4……………17

Ⅰ

GB/T31168—2023

密碼使用和管理

7.5……………………18

設(shè)備接入保護

7.6………………………18

移動代碼

7.7……………18

會話認(rèn)證

7.8……………19

惡意代碼防護

7.9………………………19

內(nèi)存防護

7.10…………………………20

系統(tǒng)虛擬化安全性

7.11………………20

網(wǎng)絡(luò)虛擬化安全性

7.12………………21

存儲虛擬化安全性

7.13………………21

安全管理功能的通信保護

7.14………………………22

訪問控制

8…………………22

用戶標(biāo)識與鑒別

8.1……………………22

標(biāo)識符管理

8.2…………………………22

鑒別憑證管理

8.3………………………23

鑒別憑證反饋

8.4………………………24

密碼模塊鑒別

8.5………………………24

賬號管理

8.6……………24

訪問控制的實施

8.7……………………25

信息流控制

8.8…………………………26

最小特權(quán)

8.9……………26

未成功的登錄嘗試

8.10………………27

系統(tǒng)使用通知

8.11……………………27

前次訪問通知

8.12……………………27

并發(fā)會話控制

8.13……………………28

會話鎖定

8.14…………………………28

未進行標(biāo)識和鑒別情況下可采取的行動

8.15………28

安全屬性

8.16…………………………29

遠(yuǎn)程訪問

8.17…………………………29

無線訪問

8.18…………………………30

外部信息系統(tǒng)的使用

8.19……………30

可供公眾訪問的內(nèi)容

8.20……………30

訪問安全

8.21WEB……………………31

訪問安全

8.22API……………………31

數(shù)據(jù)保護

9…………………32

通用數(shù)據(jù)安全

9.1………………………32

媒體訪問和使用

9.2……………………32

剩余信息保護

9.3………………………33

Ⅱ

GB/T31168—2023

數(shù)據(jù)使用保護

9.4………………………33

數(shù)據(jù)共享保護

9.5………………………34

數(shù)據(jù)遷移保護

9.6………………………34

配置管理

10………………35

配置管理計劃

10.1……………………35

基線配置

10.2…………………………35

變更控制

10.3…………………………35

配置參數(shù)的設(shè)置

10.4…………………36

最小功能原則

10.5……………………37

信息系統(tǒng)組件清單

10.6………………38

維護管理

11………………38

受控維護

11.1…………………………38

維護工具

11.2…………………………39

遠(yuǎn)程維護

11.3…………………………39

維護人員

11.4…………………………40

及時維護

11.5…………………………40

缺陷修復(fù)

11.6…………………………40

安全功能驗證

11.7……………………41

軟件和固件完整性

11.8………………41

應(yīng)急響應(yīng)

12………………42

事件處理計劃

12.1……………………42

事件處理

12.2…………………………42

事件報告

12.3…………………………43

事件處理支持

12.4……………………43

安全警報

12.5…………………………43

錯誤處理

12.6…………………………44

應(yīng)急響應(yīng)計劃

12.7……………………44

應(yīng)急響應(yīng)培訓(xùn)

12.8……………………45

應(yīng)急演練

12.9…………………………45

信息系統(tǒng)備份

12.10……………………46

支撐客戶的業(yè)務(wù)連續(xù)性計劃

12.11……………………46

電信服務(wù)

12.12…………………………47

審計

13……………………47

可審計事件

13.1………………………47

審計記錄內(nèi)容

13.2……………………48

審計記錄存儲容量

13.3………………48

審計過程失敗時的響應(yīng)

13.4…………48

Ⅲ

GB/T31168—2023

審計的審查分析和報告

13.5、…………48

審計處理和報告生成

13.6……………49

時間戳

13.7……………50

審計信息保護

13.8……………………50

抗抵賴性

13.9…………………………50

審計記錄留存

13.10……………………51

風(fēng)險評估與持續(xù)監(jiān)控

14…………………51

風(fēng)險評估

14.1…………………………51

脆弱性掃描

14.2………………………51

持續(xù)監(jiān)控

14.3…………………………52

信息系統(tǒng)監(jiān)測

14.4……………………53

垃圾信息監(jiān)測

14.5……………………54

安全組織與人員

15………………………54

安全策略與規(guī)程

15.1…………………54

安全組織

15.2…………………………54

崗位風(fēng)險與職責(zé)

15.3…………………55

人員篩選

15.4…………………………55

人員離職

15.5…………………………56

人員調(diào)動

15.6…………………………56

第三方人員安全

15.7…………………56

人員處罰

15.8…………………………57

安全培訓(xùn)

15.9…………………………57

物理與環(huán)境安全

16………………………58

物理設(shè)施與設(shè)備選址

16.1……………58

物理和環(huán)境規(guī)劃

16.2…………………58

物理環(huán)境訪問授權(quán)

16.3………………59

物理環(huán)境訪問控制

16.4………………59

輸出設(shè)備訪問控制

16.5………………60

物理訪問監(jiān)控

16.6……………………60

訪客訪問記錄

16.7……………………60

設(shè)備運送和移除

16.8…………………61

附錄資料性安全能力要求匯總

A()……………………62

附錄資料性本文件的實現(xiàn)情況描述

B()………………68

參考文獻

……………………70

Ⅳ

GB/T31168—2023

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定起草

GB/T1.1—2020《1:》。

本文件代替信息安全技術(shù)云計算服務(wù)安全能力要求與

GB/T31168—2014《》,GB/T31168—

相比除結(jié)構(gòu)調(diào)整和編輯性改動外主要技術(shù)變化如下

2014,,:

更改了本文件的適用范圍見第章年版的第章

a)(1,20141);

增加了對和的規(guī)范性引用見第章

b)GB/T32400—2015GB/T35273—2020(3、9.1.1);

更改了部分術(shù)語和定義見第章年版的第章

c)(3,20143);

增加了縮略語一章見第章

d)“”(4);

將云服務(wù)模式更改為云能力類型見

e)“”“”(5.1);

增加了高級要求每類安全要求分別對應(yīng)一般要求增強要求和高級要求見

f),、(5.4);

刪除了本文件的結(jié)構(gòu)見年版的

g)“”(20144.7);

刪除了原各類要求分別對應(yīng)的策略與規(guī)程整合至第章的策略與規(guī)程見年

h),14“”(14.1,2014

版的和

5.1、6.1、7.1、8.1、9.1、10.1、11.1、12.1、13.114.1);

增加了安全管理功能的通信保護見

i)“”(7.14);

增加了訪問安全訪問安全見

j)“WEB”“API”(8.21、8.22);

增加了數(shù)據(jù)保護一章提出數(shù)據(jù)安全要求確?？蛻暨w移數(shù)據(jù)過程中的業(yè)務(wù)連續(xù)性和數(shù)據(jù)完

k)“”,,

整性見第章

(9);

將維護一章的名稱更改為維護管理見第章年版的第章

l)“”“”(11,20149);

更改了機房設(shè)計的內(nèi)容見第章年版的第章

m)“”(16,201414)。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任

。。

本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本文件起草單位中電數(shù)據(jù)服務(wù)有限公司四川大學(xué)杭州安恒信息技術(shù)股份有限公司中國科學(xué)技術(shù)

:、、、

大學(xué)中國電子技術(shù)標(biāo)準(zhǔn)化研究院中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心國家信息技術(shù)安全研究中心中國

、、、、

信息安全測評中心中國信息通信研究院北京信息安全測評中心國家工業(yè)信息安全發(fā)展研究中心中國

、、、、

軟件評測中心中國移動通信集團有限公司中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司神州網(wǎng)信技術(shù)有限公司深

、、、、

信服科技股份有限公司寧夏西云數(shù)據(jù)科技有限公司三六零數(shù)字安全科技集團有限公司螞蟻科技集團

、、、

股份有限公司合肥高維數(shù)據(jù)技術(shù)有限公司上海市方達北京律師事務(wù)所北京中測安華科技有限公司

、、()、、

中電和瑞科技有限公司阿里云計算有限公司武漢理工大學(xué)四川發(fā)展大數(shù)據(jù)產(chǎn)業(yè)投資有限責(zé)任公司南

、、、、

方電網(wǎng)數(shù)字傳媒科技有限公司上海觀安信息技術(shù)股份有限公司中科銳眼天津科技有限公司

、、()。

本文件主要起草人周亞超羅永剛左曉棟陳興蜀李世鋒張建軍閔京華楊建軍李斌伍揚

:、、、、、、、、、、

王惠蒞張弛單博深許皖秀崔占華王啟旭楊苗苗張明天劉佳良胡華明丁曉史大為盧夏

、、、、、、、、、、、、、

李媛何延哲劉俊河王強陳雪鴻楊帥鋒柳彩云胡振泉耿貴寧邵江寧韋韜郭亮賈依真

、、、、、、、、、、、、、

葉潤國田輝尹云霞杜宇鴿安兆彬吳復(fù)偉張濱江為強劉雨桁楊婷李安倫肖廣娣程軍軍

、、、、、、、、、、、、、

王坤張峰邱勤艾青松龍毅宏張大江黃少青果靖鄭珂雪陳清明王永基鄭赳楊勃王朝棟

、、、、、、、、、、、、、、

張照龍蔣韜趙洪宇

、、。

本文件及其所替代文件的歷次版本發(fā)布情況為

:

年首次發(fā)布

———2014GB/T31168—2014;

本次為第一次修訂

———。

Ⅴ

GB/T31168—2023

引言

本文件與信息安全技術(shù)云計算服務(wù)安全指南構(gòu)成了云計算服務(wù)安全管理

GB/T31167—2023《》

的基礎(chǔ)文件提出了客戶采用云計算服務(wù)的安全管理基本原則給出了采用云計

。GB/T31167—2023,

算服務(wù)的生命周期各階段的安全管理和技術(shù)措施本文件面向云服務(wù)商描述了提供云計算服務(wù)時應(yīng)具

;,

備的安全技術(shù)能力

。

參照本文件分為一般要求