DB15-T 2196-2021 大數(shù)據(jù)應(yīng)用 云服務(wù)安全技術(shù)指南

35.240.01CCS

L8015 DB15/T

2196—2021大數(shù)據(jù)應(yīng)用

云服務(wù)安全技術(shù)指南Big

data

application－Technical

guide

service

2021-05-25

發(fā)布 2021-06-25

實(shí)施內(nèi)蒙古自治區(qū)市場(chǎng)監(jiān)督管理局 發(fā)

布DB15/T

2196—2021 前言

................................................................................

III1

范圍

...............................................................................

12

規(guī)范性引用文件

.....................................................................

13

術(shù)語(yǔ)和定義

.........................................................................

14

安全服務(wù)過(guò)程

.......................................................................

24.1

概述

...........................................................................

24.2

上云前安全分析與設(shè)計(jì)

...........................................................

34.3

安全建設(shè)

.......................................................................

34.4

安全運(yùn)維

.......................................................................

34.5

安全退出

.......................................................................

35

上云前安全分析與設(shè)計(jì)

...............................................................

35.1 上云安全評(píng)估及需求分析

.........................................................

35.2 定級(jí)備案

.......................................................................

45.3 新建系統(tǒng)安全方案設(shè)計(jì)

...........................................................

46

安全建設(shè)

...........................................................................

46.1 安全自測(cè)

.......................................................................

46.1.1 概述

.......................................................................

46.1.2 漏洞掃描

...................................................................

46.1.3 配置核查

...................................................................

46.1.4 代碼審計(jì)

...................................................................

46.1.5 應(yīng)用滲透測(cè)試

...............................................................

46.2 安全管理體系建設(shè)

...............................................................

56.3 安全技術(shù)體系建設(shè)

...............................................................

56.4 整改和加固

.....................................................................

56.5 第三方測(cè)評(píng)

.....................................................................

57

安全運(yùn)維

...........................................................................

57.1 安全運(yùn)維體系建設(shè)

...............................................................

57.2 安全運(yùn)維實(shí)施

...................................................................

57.2.1 日常安全運(yùn)維

...............................................................

57.2.2 安全監(jiān)測(cè)

...................................................................

57.2.3 安全通告

...................................................................

67.2.4 應(yīng)急預(yù)案及演練

.............................................................

67.2.5 應(yīng)急響應(yīng)

...................................................................

67.2.6 重大活動(dòng)安全保障

...........................................................

67.2.7 專(zhuān)項(xiàng)安全檢查

...............................................................

67.2.8 安全意識(shí)及培訓(xùn)

.............................................................

68

安全退出

...........................................................................

7附錄

A（資料性） 各階段輸入輸出物.....................................................

8DB15/T

2196—2021參考文獻(xiàn)..............................................................................

10IIDB15/T

2196—2021 本文件按照GB/T

《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由內(nèi)蒙古自治區(qū)大數(shù)據(jù)中心提出并歸口。絡(luò)空間安全研究所、北京信息安全測(cè)評(píng)中心。本文件主要起草人：包瑞林、孫衛(wèi)、林明峰、田麗丹、梁偉、李媛、王鋼、李歡、崔連偉。IIIDB15/T

2196—1 范圍本文件規(guī)定了云服務(wù)客戶(hù)信息系統(tǒng)從遷移上云到退出云計(jì)算平臺(tái)過(guò)程中各階段的安全服務(wù)內(nèi)容與技術(shù)要求。參考使用。2規(guī)范性引用文件文件。GB/T

20984

信息安全技術(shù)

信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/T

22240 信息安全技術(shù)

網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南GB/T

25069 信息安全技術(shù)

術(shù)語(yǔ)GB/T

31167

信息安全技術(shù)

云計(jì)算服務(wù)安全指南GB/T

32400 信息技術(shù)

云計(jì)算

概覽與詞匯3 術(shù)語(yǔ)和定義GB/T

25069界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1云服務(wù)商 cloud

provider云計(jì)算服務(wù)的供應(yīng)方。[來(lái)源：

31167-2014，3.3]3.2云服務(wù)客戶(hù) cloud

customer為使用云服務(wù)而處于一定業(yè)務(wù)關(guān)系中的參與方。[來(lái)源：

31167-2014，3.4]3.3云計(jì)算平臺(tái) cloud

computing

platform云服務(wù)商提供的云計(jì)算基礎(chǔ)設(shè)施及其上的服務(wù)軟件的集合。[來(lái)源：

31167-2014，3.7]3.4DB15/T

2196—云計(jì)算環(huán)境cloud

computing

云服務(wù)商提供的云計(jì)算平臺(tái)，及客戶(hù)在云計(jì)算平臺(tái)之上部署的軟件及相關(guān)組件的集合。[來(lái)源：

31167-2014，3.8]3.5云服務(wù)安全提供商 cloud

service

security

provider支撐或協(xié)助云服務(wù)商或云服務(wù)客戶(hù)的安全管理、技術(shù)和運(yùn)維的提供商。3.6云服務(wù)用戶(hù)cloud

user云服務(wù)客戶(hù)中使用云服務(wù)的自然人或?qū)嶓w代表。[來(lái)源：

32400-2015，3.2.17]4 安全服務(wù)過(guò)程4.1 概述出文檔，見(jiàn)附錄A。針對(duì)尚未建設(shè)的信息系統(tǒng)（以下簡(jiǎn)稱(chēng)“新建系統(tǒng)”），安全服務(wù)過(guò)程如圖1所示。在上云前安全分程開(kāi)展安全管控。圖1 新建信息系統(tǒng)安全服務(wù)過(guò)程針對(duì)已建信息系統(tǒng)，安全服務(wù)過(guò)程如圖2所示。在上云前安全分析與設(shè)計(jì)階段，完成安全評(píng)估與需設(shè)及落地實(shí)施；在安全退出階段，針對(duì)信息系統(tǒng)退出云計(jì)算平臺(tái)的過(guò)程開(kāi)展安全管控。DB15/T

2196—圖2 已建信息系統(tǒng)安全服務(wù)過(guò)程4.2 上云前安全分析與設(shè)計(jì)新建系統(tǒng)，根據(jù)信息系統(tǒng)安全需求，設(shè)計(jì)系統(tǒng)安全開(kāi)發(fā)方案，實(shí)現(xiàn)軟件安全開(kāi)發(fā)生命周期管理。4.3 安全建設(shè)自測(cè)、整改加固以及第三方測(cè)評(píng)，以提升信息系統(tǒng)在云上的安全防護(hù)能力。4.4 安全運(yùn)維信息系統(tǒng)完成安全建設(shè)后，需開(kāi)展安全運(yùn)維活動(dòng)，包括了安全運(yùn)維體系的建設(shè)以及安全運(yùn)維實(shí)施。性開(kāi)展安全運(yùn)維，形成安全閉環(huán)。4.5 安全退出有效保護(hù)，在系統(tǒng)下線(xiàn)的過(guò)程中不造成信息的泄露。5 上云前安全分析與設(shè)計(jì)5.1 上云安全評(píng)估及需求分析統(tǒng)上云前的安全準(zhǔn)備工作。具體內(nèi)容包括：a)

調(diào)研系統(tǒng)業(yè)務(wù)，包括調(diào)研信息系統(tǒng)的業(yè)務(wù)功能、系統(tǒng)用戶(hù)、安全保護(hù)等級(jí)，梳理信息系統(tǒng)資產(chǎn)，根據(jù)業(yè)務(wù)數(shù)據(jù)的敏感程度以及系統(tǒng)功能，判斷信息系統(tǒng)是否適合上云；b)

調(diào)研云計(jì)算平臺(tái)是否已通過(guò)云計(jì)算服務(wù)安全評(píng)估；c)

調(diào)研上云前是否存在對(duì)信息系統(tǒng)的安全測(cè)試要求以及通過(guò)情況；d)

調(diào)研系統(tǒng)網(wǎng)絡(luò)架構(gòu)及

IP

地址，包括調(diào)研信息系統(tǒng)的網(wǎng)絡(luò)架構(gòu)、外聯(lián)線(xiàn)路情況、IP

地址劃分、VLAN

劃分、業(yè)務(wù)高峰期流量峰值以及業(yè)務(wù)流向情況，梳理信息系統(tǒng)架構(gòu)和業(yè)務(wù)數(shù)據(jù)流向；e)

調(diào)研信息系統(tǒng)安全現(xiàn)狀，包括安全能力現(xiàn)狀及其安全策略；f)

調(diào)研運(yùn)維終端設(shè)備情況，包括設(shè)備的安全策略、主機(jī)防病毒情況；DB15/T

2196—g)

調(diào)研數(shù)據(jù)及備份情況，包括信息系統(tǒng)配置信息、業(yè)務(wù)數(shù)據(jù)信息、備份策略。h)

評(píng)估信息系統(tǒng)安全風(fēng)險(xiǎn)，對(duì)信息系統(tǒng)所面臨的安全風(fēng)險(xiǎn)以及上云后面臨的安全風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)分析，提出應(yīng)對(duì)建議；i)

分析系統(tǒng)上云信息系統(tǒng)安全需求。5.2 定級(jí)備案針對(duì)尚未定級(jí)備案的信息系統(tǒng)開(kāi)展定級(jí)備案工作。定級(jí)備案的措施包括：a)

依據(jù)

要求，確定定級(jí)對(duì)象，確定受損害的客體以及侵害程度，從業(yè)務(wù)信息及系統(tǒng)服務(wù)兩個(gè)方面最終確定信息系統(tǒng)安全保護(hù)等級(jí)；b)

編寫(xiě)定級(jí)報(bào)告及備案表；c)

根據(jù)專(zhuān)家評(píng)審意見(jiàn)進(jìn)行修訂，完成信息系統(tǒng)備案工作。5.3 新建系統(tǒng)安全方案設(shè)計(jì)對(duì)新建信息系統(tǒng)設(shè)計(jì)安全開(kāi)發(fā)過(guò)程。具體措施包括：a)

在安全需求階段，應(yīng)考慮信息系統(tǒng)的安全需求，細(xì)化安全需求并完成安全需求確認(rèn)；b)

在安全設(shè)計(jì)階段，根據(jù)安全需求進(jìn)行安全設(shè)計(jì)，制定安全編碼規(guī)范；c)

在安全開(kāi)發(fā)階段，根據(jù)安全編碼規(guī)范進(jìn)行安全開(kāi)發(fā)，編碼完成后開(kāi)展代碼審計(jì)，并根據(jù)審計(jì)結(jié)果進(jìn)行整改；d)

在安全測(cè)試階段，開(kāi)展安全功能測(cè)試及交互式安全測(cè)試，并根據(jù)測(cè)試結(jié)果進(jìn)行整改。6 安全建設(shè)6.1 安全自測(cè)6.1.1 概述依據(jù)信息系統(tǒng)的安全需求，對(duì)信息系統(tǒng)進(jìn)行安全自測(cè)，找出信息系統(tǒng)與安全需求之間的安全差距。6.1.2 漏洞掃描WEB應(yīng)用漏洞、主機(jī)操作系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞、邏輯缺陷、弱口令、信息泄露及配置不當(dāng)?shù)却嗳跣詥?wèn)題。6.1.3配置核查新情況以及是否存在后門(mén)等內(nèi)容。6.1.4 代碼審計(jì)對(duì)具有代碼審計(jì)安全需求的信息系統(tǒng)，以審計(jì)工具或人工分析方式，系統(tǒng)化分析程序代碼的弱點(diǎn)，發(fā)現(xiàn)用戶(hù)輸入錯(cuò)誤的可能情況，評(píng)估可能產(chǎn)生的衍生問(wèn)題。6.1.5 應(yīng)用滲透測(cè)試通過(guò)應(yīng)用滲透測(cè)試，找出目前信息系統(tǒng)存在的代碼缺陷和漏洞，具體措施包括：DB15/T

2196—a)

通過(guò)工具掃描與人工測(cè)試、分析的手段，以模擬黑客入侵的方式對(duì)信息系統(tǒng)進(jìn)行模擬入侵測(cè)試；b)

評(píng)估信息系統(tǒng)是否存在

注入、跨站腳本攻擊、跨站偽造請(qǐng)求、弱口令、明文傳輸、文件包含、目錄瀏覽、不安全的跳轉(zhuǎn)、溢出、上傳漏洞、不安全的數(shù)據(jù)傳輸、未授權(quán)的訪(fǎng)問(wèn)等脆弱性問(wèn)題,識(shí)別信息系統(tǒng)存在的安全風(fēng)險(xiǎn)。6.2 安全管理體系建設(shè)信息系統(tǒng)安全需求的安全管理體系，開(kāi)展安全管理體系落地。6.3 安全技術(shù)體系建設(shè)析，設(shè)計(jì)安全技術(shù)方案并實(shí)施。具體內(nèi)容包括：a)

b)

將安全技術(shù)方案的實(shí)現(xiàn)方法落實(shí)到具體的產(chǎn)品功能或措施，使信息系統(tǒng)達(dá)到相應(yīng)的安全能力要求；c)

合理劃分信息系統(tǒng)安全區(qū)域，制定安全產(chǎn)品配置策略以及安全基線(xiàn)；d)

完成安全產(chǎn)品的安全配置，按照安全基線(xiàn)對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)及其他組件進(jìn)行安全加固。6.4 整改和加固應(yīng)根據(jù)安全自測(cè)的差距分析的結(jié)果，對(duì)信息系統(tǒng)進(jìn)行整改和安全加固。6.5 第三方測(cè)評(píng)評(píng)，依據(jù)GB/T

20984進(jìn)行的風(fēng)險(xiǎn)評(píng)估等。7安全運(yùn)維7.1 安全運(yùn)維體系建設(shè)常安全運(yùn)維、基于風(fēng)險(xiǎn)監(jiān)測(cè)事件觸發(fā)的安全運(yùn)維、基于場(chǎng)景的安全運(yùn)維。7.2 安全運(yùn)維實(shí)施7.2.1 日常安全運(yùn)維應(yīng)定期進(jìn)行常規(guī)性安全檢查，包括以下要求。a)

安全巡檢：對(duì)信息系統(tǒng)進(jìn)行安全巡檢，包括漏洞掃描、配置核查、應(yīng)用滲透測(cè)試，并提交巡檢報(bào)告；b)

安全監(jiān)控：自動(dòng)化安全監(jiān)控平臺(tái)結(jié)合人工監(jiān)控，詳見(jiàn)

7.2.2

章節(jié)內(nèi)容；c)

安全值守：人員駐場(chǎng)值守。7.2.2 安全監(jiān)測(cè)DB15/T

2196—安全監(jiān)測(cè)包括日志監(jiān)測(cè)、安全策略調(diào)整、安全事件分析與處理三方面。a)

日志監(jiān)測(cè)的措施包括：1)

對(duì)日志數(shù)據(jù)進(jìn)行梳理和分類(lèi)；2)

根據(jù)攻擊模型分析關(guān)聯(lián)數(shù)據(jù)情況，監(jiān)測(cè)數(shù)據(jù)的異常變化；3)

基于監(jiān)測(cè)結(jié)果評(píng)估是否受到攻擊。b)

安全策略調(diào)整的措施包括：1)

根據(jù)互聯(lián)網(wǎng)發(fā)生的安全事件以及威脅情報(bào)數(shù)據(jù)，進(jìn)行影響性評(píng)估；2)

調(diào)整安全設(shè)備的安全策略。c)

安全事件分析與處理的措施包括：1)

利用日志監(jiān)測(cè)及策略變更情況，通過(guò)觀察數(shù)據(jù)生命周期，進(jìn)行系統(tǒng)化分析，找出安全事件發(fā)生的原因；2)

安全加固，規(guī)避或降低類(lèi)似安全事件的發(fā)生。7.2.3 安全通告定期發(fā)布安全預(yù)警通告，遇緊急高危漏洞或重大信息安全事件即時(shí)通告預(yù)警，具體要求包括：a)

安全通告的內(nèi)容包括但不限于系統(tǒng)漏洞信息、病毒信息、預(yù)警信息、信息安全事件、最新安全技術(shù)；b)

通過(guò)多種方式進(jìn)行通告，包括但不限于電子郵件、電話(huà)、信息推送。7.2.4 應(yīng)急預(yù)案及演練事件進(jìn)行應(yīng)急預(yù)案的編制和演練，具體內(nèi)容包括：a)

編制應(yīng)急預(yù)案，組織應(yīng)急演練的開(kāi)展；b)

完成應(yīng)急預(yù)案和演練后，形成報(bào)告。7.2.5 應(yīng)急響應(yīng)應(yīng)急響應(yīng)的安全服務(wù)措施包括：a)

對(duì)突發(fā)安全事件快速應(yīng)急響應(yīng)；b)

對(duì)已發(fā)生的安全事件在事中及事后進(jìn)行過(guò)程取證、分析及處理。7.2.6 重大活動(dòng)安全保障施包括：a)

實(shí)時(shí)監(jiān)測(cè)攻擊態(tài)勢(shì)；b)

安