G-T 31168-2023 信息安全技術 云計算服務安全能力要求

信息安全技術云計算服務安全能力要求I前言 V l2規(guī)范性引用文件 13術語和定義 14縮略語 25云計算安全要求的表達與實現(xiàn) 35.1云計算安全措施的實施責任 35.2云計算安全措施的作用范圍 45.3安全要求的分類 45.4安全要求的表述形式 55.5安全要求的調(diào)整 65.6安全計劃 6系統(tǒng)開發(fā)與供應鏈安全 76.1資源分配 76.2系統(tǒng)生命周期 86.3采購過程 86.4系統(tǒng)文檔 96.5關鍵性分析 96.6外部服務 6.7開發(fā)商安全體系架構 6.8開發(fā)過程、標準和工具 6.9開發(fā)過程配置管理 6.10開發(fā)商安全測試和評估 6.11開發(fā)商提供的培訓 6.12組件真實性 6.13不被支持的系統(tǒng)組件 6.14供應鏈保護 7系統(tǒng)與通信保護 7.1邊界保護 7.2傳輸?shù)谋Ｃ苄院屯暾员Ｗo 7.3網(wǎng)絡中斷 7.4可信路徑 Ⅱ7.5密碼使用和管理 7.6設備接入保護 7.7移動代碼 7.8會話認證 7.9惡意代碼防護 7.10內(nèi)存防護 7.11系統(tǒng)虛擬化安全性 7.12網(wǎng)絡虛擬化安全性 7.13存儲虛擬化安全性 7.14安全管理功能的通信保護 8訪問控制 8.1用戶標識與鑒別 8.2標識符管理 8.3鑒別憑證管理 8.4鑒別憑證反饋 8.5密碼模塊鑒別 8.6賬號管理 8.7訪問控制的實施 8.8信息流控制 8.9最小特權 8.10未成功的登錄嘗試 8.11系統(tǒng)使用通知 8.12前次訪問通知 8.13并發(fā)會話控制 8.14會話鎖定 8.15未進行標識和鑒別情況下可采取的行動 8.16安全屬性 8.17遠程訪問 8.18無線訪問 8.19外部信息系統(tǒng)的使用 8.20可供公眾訪問的內(nèi)容 8.21WEB訪問安全 8.22API訪問安全 9數(shù)據(jù)保護 9.1通用數(shù)據(jù)安全 9.2媒體訪問和使用 9.3剩余信息保護 Ⅲ9.4數(shù)據(jù)使用保護 9.5數(shù)據(jù)共享保護 9.6數(shù)據(jù)遷移保護 10配置管理 10.1配置管理計劃 10.2基線配置 10.3變更控制 10.4配置參數(shù)的設置 10.5最小功能原則 10.6信息系統(tǒng)組件清單 11維護管理 11.1受控維護 11.2維護工具 11.3遠程維護 11.4維護人員 11.5及時維護 11.6缺陷修復 11.7安全功能驗證 11.8軟件和固件完整性 12應急響應 12.1事件處理計劃 12.2事件處理 12.3事件報告 12.4事件處理支持 12.5安全警報 12.6錯誤處理 12.7應急響應計劃 12.8應急響應培訓 12.9應急演練 12.10信息系統(tǒng)備份 12.11支撐客戶的業(yè)務連續(xù)性計劃 12.12電信服務 13.1可審計事件 13.2審計記錄內(nèi)容 13.3審計記錄存儲容量 13.4審計過程失敗時的響應 13.5審計的審查、分析和報告 13.6審計處理和報告生成 13.7時間戳 13.8審計信息保護 13.9抗抵賴性 13.10審計記錄留存 14風險評估與持續(xù)監(jiān)控 14.1風險評估 14.2脆弱性掃描 14.3持續(xù)監(jiān)控 14.4信息系統(tǒng)監(jiān)測 14.5垃圾信息監(jiān)測 15安全組織與人員 15.1安全策略與規(guī)程 15.2安全組織 15.3崗位風險與職責 15.4人員篩選 15.5人員離職 15.6人員調(diào)動 15.7第三方人員安全 15.8人員處罰 15.9安全培訓 16物理與環(huán)境安全 16.1物理設施與設備選址 16.2物理和環(huán)境規(guī)劃 16.3物理環(huán)境訪問授權 16.4物理環(huán)境訪問控制 16.5輸出設備訪問控制 16.6物理訪問監(jiān)控 16.7訪客訪問記錄 16.8設備運送和移除 附錄A(資料性)安全能力要求匯總 附錄B(資料性)本文件的實現(xiàn)情況描述 參考文獻 1信息安全技術云計算服務安全能力要求本文件規(guī)定了云服務商提供云計算服務時應具備的安全能力。本文件適用于對云計算服務能力的建設、監(jiān)督、管理和評估。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069—2022信息安全技術術語GB/T31167—2023信息安全技術云計算服務安全指南GB/T32400—2015信息技術云計算概覽與詞匯GB/T35273—2020信息安全技術個人信息安全規(guī)范GB50174數(shù)據(jù)中心設計規(guī)范3術語和定義GB/T25069—2022、GB/T31167-2023和GB/T32400—2015界定的以及下列術語和定義適用于本文件。通過網(wǎng)絡訪問可擴展的、靈活的物理或虛擬共享資源池，并按需自助獲取和管理資源的模式。注：資源實例包括服務器、操作系統(tǒng)、網(wǎng)絡、軟件、應用和存儲設備等。云計算服務cloudcomputingservice使用定義的接口，借助云計算(3.1)提供一種或多種資源的能力。提供云計算服務(3.2)的參與方。云服務客戶cloudservicecustomer為使用云計算服務而處于一定業(yè)務關系中的參與方。注1:業(yè)務關系不一定包含經(jīng)濟條款。注2:本文件中云服務客戶簡稱客戶。2云服務用戶cloudserviceuser云服務客戶(3.4)中使用云服務的自然人或實體代表。對一組物理和虛擬資源進行共享訪問的一個或多個云服務用戶。云計算平臺cloudcomputingplatform云服務商提供的云計算基礎設施及其上的服務軟件的集合。云能力類型cloudcapabiliti根據(jù)資源使用情況對提供給云服務客戶的云服務功能進行分類。注：云能力類型包括應用能力類型、基礎設施能力類型和平臺能力類型。外部信息系統(tǒng)externalinformationsystem云計算平臺之外的信息系統(tǒng)。注：外部信息系統(tǒng)的所有權、控制權一般不由云服務商掌握，其安全措施的使用或有效性不由云服務商直接控制。注：開發(fā)商一般是云服務商的內(nèi)部開發(fā)團隊或通過簽訂合同委托開發(fā)的外部開發(fā)團隊，包括個人、企業(yè)、非營利組4縮略語下列縮略語適用于本文件。API:應用程序編程接口(applicationprogramminginterface)CPU:中央處理單元(centralprocessingunit)DDoS:分布式拒絕服務(distributeddenialofservice)DoS:拒絕服務(denialofservice)FTP:文件傳輸協(xié)議(filetransferprotocol)HTTP:超文本傳輸協(xié)議(hypertexttransferprotocol)laaS:基礎設施即服務(infrastructureasaservice)IP:網(wǎng)絡互聯(lián)協(xié)議(internetprotocol)iSCSI:互聯(lián)網(wǎng)小型計算機系統(tǒng)接口(internetsmallcomputersysteminterface)MAC:介質(zhì)訪問控制層(mediaaccesscontrol)PaaS:平臺即服務(platformasaservice)PKI:公鑰基礎設施(publickeyinfrastructure)3SaaS:軟件即服務(softwareasaservice)SLA:服務水平協(xié)議(servicelevelagreement)TELNET:遠程登錄協(xié)議(teletypenetwork)USB:通用串行總線(universalserialbus)vCPU:虛擬中央處理單元(virtualcentralprocessingunit)VPC:虛擬私有云(virtualprivatecloud)VPN:虛擬專用網(wǎng)(virtualprivatenetwork)WEB:全球廣域網(wǎng)(worldwideweb)5云計算安全要求的表達與實現(xiàn)5.1云計算安全措施的實施責任云計算環(huán)境的安全性由云服務商和客戶共同保障。在某些情況下，云服務商還要依靠其他組織提供計算資源和服務，其他組織也應承擔安全責任。為保障云計算服務的安全，達到云計算服務的安全能力要求，云計算安全措施的實施主體有多個，各類主體的安全責任因不同的云能力類型而異。依據(jù)GB/T31167—2023,云能力類型是根據(jù)資源使用情況對提供給客戶的云服務功能進行的分類，主要包括應用能力類型、平臺能力類型和基礎設施能力類型。應用能應用能平臺能力類型基礎設施能力類型基礎設施能力類型平臺能力類型應用能力類型應用軟件軟件平臺虛擬化計算資源資源抽象控制層硬件設施云服務商客戶圖1云服務能力類型與控制范圍的關系在圖1中，云計算的設施層(物理環(huán)境)、硬件層(物理設備)、資源抽象控制層都處于云服務商的完全控制下，所有安全責任由云服務商承擔。應用軟件層、軟件平臺層、虛擬化計算資源層的安全責任則由雙方共同承擔，越靠近底層的云服務(即基礎設施能力類型的云服務),客戶的管理和安全責任越大；反之，云服務商的管理和安全責任越大?？紤]到云服務商可能還需要其他組織提供的服務，如SaaS或PaaS服務提供商可能依賴于laaS服務提供商的基礎資源服務。在這種情況下，某些安全措施由其他組織提供。因此，云計算安全措施的實施責任有4類，如表1所示。4表1云計算安全措施的實施責任責任示例由云服務商承擔針對應用能力類型的云服務，云服務商對平臺上安裝的軟件進行安全升級由客戶承擔針對基礎設施能力類型的云服務，客戶對其安裝的應用中的用戶行為進行審計由云服務商和客戶共同承擔云服務商的應急演練計劃需要與客戶的應急演練計劃相協(xié)調(diào)。在實施應急演練時，需要客戶與云服務商相互配合由其他組織承擔有的應用能力類型服務提供商需要利用基礎設施能力類型服務提供商的基礎設施服務，相應的物理與環(huán)境保護措施應由基礎設施能力類型服務提供商予以實施本文件不對客戶承擔的安全責任提出要求?？蛻舭凑誈B/T31167—2023及其他有關網(wǎng)絡安全的標準落實其安全責任。如果云服務商依賴于其他組織提供的服務或產(chǎn)品，則其所承擔的安全責任直接或間接地轉移至其他組織，云服務商應以合同或其他方式對相應安全責任進行規(guī)定并予以落實。但是，云服務商仍是客戶或主管部門開展云計算服務安全管理的直接對象。5.2云計算安全措施的作用范圍在同一個云計算平臺上，可能有多個應用系統(tǒng)或服務，某些安全措施應作用于整個云計算平臺。例如，云服務商實施的人員安全措施即適用于云計算平臺上每一個應用系統(tǒng)。這類安全措施稱為通用安全措施。某些安全措施僅作用于特定的應用或服務。例如，云計算平臺上電子郵件系統(tǒng)的訪問控制措施與文字處理系統(tǒng)的訪問控制措施可能不同。這類安全措施稱為專用安全措施。在特殊情況下，某些安全措施的一部分屬于通用安全措施，另一部分屬于專用安全措施。例如，云計算平臺上電子郵件系統(tǒng)的應急響應計劃既要利用云服務商的整體應急響應資源(如應急保障隊伍),也要針對電子郵件系統(tǒng)的備份與恢復做出專門考慮。這類安全措施稱為混合安全措施。云服務商為客戶提供云計算服務時，每一類云計算應用或服務均應實現(xiàn)本文件規(guī)定的安全要求。云服務商可以不再重復實現(xiàn)通用安全措施，平臺上每個具體的應用系統(tǒng)或服務直接繼承該安全措施即可。5.3安全要求的分類本文件對云服務商提出了安全能力要求，反映了云服務商在保障云計算環(huán)境中客戶業(yè)務和數(shù)據(jù)的安全性時應具備的安全能力。這些安全要求分為11類，每一類安全要求包含若干項具體要求?！到y(tǒng)開發(fā)與供應鏈安全：云服務商應在開發(fā)云計算平臺時對其提供充分保護，對信息系統(tǒng)、組件和服務的開發(fā)商提出相應要求，為云計算平臺配置足夠的資源，并充分考慮安全需求。云服務商應確保其供應商采取了必要的安全措施。云服務商還應為客戶提供有關安全措施的文檔和信息，配合客戶完成對云計算平臺和業(yè)務系統(tǒng)的管理?！到y(tǒng)與通信保護：云服務商應在云計算平臺的外部邊界和內(nèi)部關鍵邊界上監(jiān)視、控制和保護網(wǎng)絡通信，并采用結構化設計、軟件開發(fā)技術和軟件工程方法有效保護云計算平臺的安全性?！L問控制：云服務商應在允許人員、進程、設備訪問云計算平臺之前，對其進行身份標識及鑒5別，并限制其可執(zhí)行的操作和使用的功能?！獢?shù)據(jù)保護：云服務商應嚴格保護云計算平臺的客戶數(shù)據(jù)，建立數(shù)據(jù)安全管理制度，確保境內(nèi)運營中收集和產(chǎn)生的客戶數(shù)據(jù)在境內(nèi)存儲，提供數(shù)據(jù)分類分級及安全保護、重要數(shù)據(jù)的備份與恢復等功能，協(xié)助客戶完成數(shù)據(jù)遷移并在服務結束時安全返還數(shù)據(jù)。 —配置管理：云服務商應對云計算平臺進行配置管理，在系統(tǒng)生命周期內(nèi)建立和維護云計算平臺(包括硬件、軟件、文檔等)的基線配置和詳細清單，并設置和實現(xiàn)云計算平臺中各類產(chǎn)品的安全配置參數(shù)?！S護管理：云服務商應對云計算平臺設施和軟件系統(tǒng)進行維護，并對維護所使用的工具、技術、機制以及維護人員進行有效的管理，且做好相關記錄。——應急響應：云服務商應為云計算平臺制定應急響應計劃，并定期演練，確保在緊急情況下重要信息資源的可用性。云服務商應建立事件處理計劃，包括對事件的預防、檢測、分析和控制及系統(tǒng)恢復等，對事件進行跟蹤、記錄并向相關人員報告。云服務商應具備容災恢復能力，建立必要的備份與恢復設施和機制，支撐客戶業(yè)務的連續(xù)性計劃。——審計：云服務商應根據(jù)安全需求和客戶要求，制定可審計事件清單，明確審計記錄內(nèi)容，實施審計并妥善保存審計記錄，對審計記錄進行定期分析和審查，還應防范對審計記錄的非授權訪——風險評估與持續(xù)監(jiān)控：云服務商應定期或在威脅環(huán)境發(fā)生變化時，對云計算平臺進行風險評估，確保云計算平臺的安全風險處于可接受水平。云服務商應制定監(jiān)控目標清單，對目標進行持續(xù)安全監(jiān)控，并在發(fā)生異常和非授權情況時發(fā)出警報。——安全組織與人員：云服務商應確保能夠接觸客戶數(shù)據(jù)或業(yè)務的各類人員(包括供應商人員)上崗時具備履行其安全責任的素質(zhì)和能力，還應在授予相關人員訪問權限之前對其進行審查并定期復查，在人員調(diào)動或離職時履行安全程序，對于違反安全規(guī)定的人員進行處罰。 合相關標準的要求。云服務商應對機房進行監(jiān)控，嚴格限制各類人員與運行中的云計算平臺設備進行物理接觸，確需接觸的，需通過云服務商的明確授權。5.4安全要求的表述形式依據(jù)GB/T31167—2023,本文件提出了一般、增強和高級三個能力級別的具體指標要求，將云計算服務安全能力要求分為一般要求、增強要求和高級要求。所有的客戶數(shù)據(jù)都應該得到適當保護，為不同類型的數(shù)據(jù)提供相應的保護能力；所有的客戶業(yè)務都應得到適當保護，保證業(yè)務的安全性和連續(xù)性。GB/T31167—2023給出了業(yè)務類型、數(shù)據(jù)類型與安全能力級別之間的對應關系，云服務商為客戶提供相應強度的安全保護，如圖2所示。6GB/T31168—2023圖2云計算服務的安全能力級別本文件中每一項安全要求均以一般要求、增強要求和高級要求的形式給出，附錄A給出了不同安全能力級別選擇及相關要求的數(shù)量統(tǒng)計情況。高級要求和增強要求分別是對其低一級要求的補充和強化。在實現(xiàn)高級要求或增強要求時，其低一級要求應首先得到滿足。有的安全要求只列出了增強要求，一般要求標為“無”,這表明對于具有一般安全能力的云服務商來說，此項無安全要求。對于安全要求中增強要求為“無”的，表明只需要滿足一般要求。對于安全要求中高級要求為“無”的，表明只需要滿足增強要求。即使對同等安全能力水平的云服務商，其實現(xiàn)安全要求的方式也可能會有差異。為此，本文件在描“賦值”表示云服務商在實現(xiàn)安全要求時，要由其定義具體的數(shù)值或內(nèi)容?！斑x擇”表示云服務商在實現(xiàn)安全要求時，應選擇一個給定的數(shù)值或內(nèi)容。云服務商在向客戶提供云計算服務前，應確定并實現(xiàn)“賦值”和“選擇”的具體數(shù)值或內(nèi)容。云服務商應在[賦值：云服務商定義的時間段]后自動[選擇：刪除；禁用]臨時和應急賬號。5.5安全要求的調(diào)整本文件提出的安全要求是通常情況下云服務商應具備的安全能力。在具體的應用場景下，云服務商有可能需要對這些安全要求進行調(diào)整。調(diào)整的方式有：——刪減：未實現(xiàn)某項安全要求，或只實現(xiàn)了某項安全要求的一部分；——補充：某項安全要求不足以滿足云服務商的特定安全目標，故增加新的安全要求，或對標準中規(guī)定的某項安全要求進行強化；——替代：使用其他安全要求替代標準中規(guī)定的某項安全要求，以滿足相同的安全目標。調(diào)整的原因有多種，例如：——已知某些目標客戶有特殊的需求；——云服務商的安全責任因應用能力類型、平臺能力類型和基礎設施能力類型等不同的云能力類型不同，云服務商為了實現(xiàn)本文件中規(guī)定的安全要求，所選擇的安全措施的實施范圍、實施強7度可能不同；——出于成本等因素考慮，實現(xiàn)替代性的安全要求；——具有更強的安全能力。5.6安全計劃為了建立向客戶提供安全的云計算服務的能力，云服務商應制定安全計劃，詳細說明對本文件提出的安全要求的實現(xiàn)情況。云服務商應在安全計劃中對“賦值”和“選擇”給出具體的數(shù)值或內(nèi)容，必要時還需對本文件提出的安全要求進行調(diào)整。當云計算平臺提供多個應用或服務時，云服務商應分別制定每個應用或服務的安全計劃。安全計劃包括但不限于以下內(nèi)容。●系統(tǒng)運營單位；●與外部系統(tǒng)的互連情況；●云能力類型和部署模式；●系統(tǒng)軟硬件清單； -為實現(xiàn)本文件規(guī)定的安全要求而采取的安全措施的具體情況。對每項安全要求，云服務商均應在以下6個選項中選擇其一作為對實現(xiàn)情況的整體描述，并針對性地提供詳細說明。●滿足。此種情況下，應說明為滿足安全要求而采取的具體措施。●部分滿足。此種情況下，對已滿足的安全要求應說明所采取的具體措施，對不滿足的安全要求應說明理由。●計劃滿足。此種情況下，應說明時間進度安排以及在此期間的風險管控措施。●替代。此種情況下，應說明替代理由并說明所實現(xiàn)的安全目標與原安全要求之間的關系?！癫粷M足。此種情況下，應說明不滿足的理由。●不適用。此種情況下，應說明不適用的理由。——對云服務商新增的安全目標及對應的安全措施的說明。——對客戶安全責任的說明，以及對客戶應實施的安全措施的建議。附錄B給出了安全計劃中本文件安全要求的實現(xiàn)情況描述模板以及不適用項的識別方法。6系統(tǒng)開發(fā)與供應鏈安全6.1資源分配云服務商應：a)對保護信息系統(tǒng)和服務所需的資源(如有關資金、場地、人力等)進行詳細分析，并確保這些資源的可用性；b)在預算管理過程中對網(wǎng)絡安全資源需求予以重點考慮，在工作計劃和預算文件中，將網(wǎng)絡安全作為單列項予以考慮。86.2系統(tǒng)生命周期云服務商應：a)在系統(tǒng)生命周期中充分考慮安全因素，確保安全措施同步規(guī)劃、同步建設、同步使用；b)明確信息系統(tǒng)生命周期的網(wǎng)絡安全角色和責任，確定相應責任人；c)將信息安全風險管理過程集成到系統(tǒng)生命周期活動中；d)在系統(tǒng)生命周期中應用安全工程原則，根據(jù)實際情況可包括：在設計階段制定安全策略和措施；實施分層保護；劃定物理和邏輯安全邊界等。無。無。6.3采購過程云服務商應根據(jù)相關規(guī)定和標準的要求以及可能的客戶需求：a)基于風險評估方法，在采購合同或其他文件中提出安全要求，可包括：安全功能要求、安全強度要求、安全保障要求、安全相關文檔要求、保密要求、開發(fā)環(huán)境和預期運行環(huán)境描述、驗收準則、強制配置要求(如功能、端口、協(xié)議和服務);b)與供應商簽訂協(xié)議，明確安全和保密義務與責任，確保供應鏈安全事件信息或威脅信息能夠及時傳達到供應鏈上的有關各方；c)與供應商簽訂SLA,確保與供應商簽訂的SLA中的相關指標，不低于擬與客戶所簽訂的SLA中的相關指標。云服務商應要求信息系統(tǒng)、組件或服務的開發(fā)商：a)提供安全功能或安全機制描述；b)提供系統(tǒng)開發(fā)過程質(zhì)量保障證據(jù)，例如：表明其在系統(tǒng)開發(fā)過程中使用了成熟的系統(tǒng)工程方法、軟件開發(fā)方法、測試技術或質(zhì)量控制過程；c)在交付時實現(xiàn)安全配置，禁用不必要或高風險的功能、端口、協(xié)議或服務，并將該安全配置作為9重新安裝或升級時的缺省配置；d)制定對安全措施有效性的持續(xù)監(jiān)控計劃。云服務商應滿足以下要求。a)確保云計算平臺具有管理員文檔且涵蓋以下信息：1)信息系統(tǒng)、組件或服務的安全配置，以及安裝和運行說明；2)安全特性或功能的使用和維護說明；3)與管理功能有關的配置和使用說明。b)確保云計算平臺具有用戶文檔，且涵蓋以下信息：1)安全功能、機制及其使用方法；2)信息系統(tǒng)、組件或服務的安全使用方法或說明；3)用戶安全責任。c)基于風險管理策略，按照要求保護上述文檔。d)將上述文檔分發(fā)至云計算平臺的管理員、用戶和相關角色。無。6.5關鍵性分析無。云服務商應在[賦值：云服務商定義的系統(tǒng)生命周期中的決策點],如規(guī)劃、設計或發(fā)生重大變更時，對云計算平臺進行關鍵性分析，以確定關鍵信息系統(tǒng)組件和功能，并分析該功能或組件失效對系統(tǒng)業(yè)務的影響。無。6.6外部服務云服務商應：a)要求外部服務提供商遵從并實施云服務商的安全要求；b)明確外部服務提供商的安全分工與責任，同時要求外部服務提供商接受相關客戶監(jiān)督；c)對外部服務提供商所提供的安全措施的合規(guī)性進行持續(xù)監(jiān)控，例如：在服務水平協(xié)議中明確，對發(fā)現(xiàn)的不合規(guī)情況提供補救措施和響應要求；d)選擇可信賴的外部服務提供商，例如：有過良好合作或具備相關資質(zhì)的提供商。云服務商應滿足以下要求。a)在采購或外包安全服務(如應急保障服務)前，評估該服務帶來的風險。b)確保安全服務的采購或外包得到安全責任部門以及相關人員或角色的批準。c)要求外部服務提供商明確說明該服務涉及的功能、端口、協(xié)議和其他服務。d)基于[賦值：云服務商定義的安全要求、屬性、因素或者其他條件]建立并保持與外部服務提供商的信任關系。例如：信任關系可以是基于合同或服務水平協(xié)議、服務模式、采取的安全控制措施及其有效性，評估外部服務提供商的安全性和可控性。e)根據(jù)評估情況，采取安全防護措施，包括：1)對外部服務提供商人員進行背景審查或要求外部服務提供商提供可信的人員背景審查結果；2)檢查外部服務提供商資本變更記錄；3)定期或不定期檢查外部服務提供商的設施。f)基于[賦值：云服務商定義的要求或條件],限制[選擇：數(shù)據(jù)處理；數(shù)據(jù)；信息系統(tǒng)服務]的地無。6.7開發(fā)商安全體系架構無。云服務商應滿足以下要求。a)要求信息系統(tǒng)、組件或服務的開發(fā)商制定設計規(guī)范和安全體系架構，且符合下列條件：1)該架構能夠清晰體現(xiàn)信息系統(tǒng)的安全防護、技術運維和安全管理體系，并符合或支持云服務商的整體安全架構；2)準確完整地描述了所需的安全功能，并為物理和邏輯組件分配了安全措施；3)說明各項安全功能、機制和服務如何協(xié)同工作，以提供完整一致的保護能力。b)要求信息系統(tǒng)、組件或服務的開發(fā)商提供云服務所需的相關信息，說明與安全相關的硬件、軟件和固件。c)要求信息系統(tǒng)、組件或服務的開發(fā)商編制非形式化的說明書，說明安全相關的硬件、軟件和固件的接口，并通過非形式化的證明，說明該說明書完全覆蓋了與安全相關的硬件、軟件和固件無。云服務商應：a)要求信息系統(tǒng)、組件或服務的開發(fā)商明確安全需求，制定開發(fā)規(guī)范；b)要求信息系統(tǒng)、組件或服務的開發(fā)商在開發(fā)過程的初始階段定義質(zhì)量度量標準，并以[選擇：[賦值：云服務商定義的頻率];[賦值：云服務商定義的項目審查里程碑];交付時]為節(jié)點，檢查質(zhì)量度量標準的落實情況；c)要求信息系統(tǒng)、組件或服務的開發(fā)商確定安全問題追蹤工具，并在開發(fā)過程期間使用；d)要求信息系統(tǒng)、組件或服務的開發(fā)商以[賦值：云服務商定義的廣度和深度]對信息系統(tǒng)進行威脅和脆弱性分析；e)要求信息系統(tǒng)、組件或服務的開發(fā)商使用[賦值：自行定義或云服務商定義的工具]執(zhí)行漏洞分析，明確漏洞利用的可能性，確定漏洞消減措施，并將工具的輸出和分析結果提交給[賦值：云服務商定義的人員或角色];f)要求信息系統(tǒng)、組件或服務的開發(fā)商即使在交付信息系統(tǒng)、組件或服務后，也應跟蹤漏洞情況，在發(fā)布漏洞補丁前提前通知云服務商，且應將漏洞補丁交由云服務商審查、驗證并允許云服務商自行安裝；g)在信息系統(tǒng)、組件或服務的開發(fā)和測試環(huán)境使用生產(chǎn)數(shù)據(jù)時，先行批準、記錄并進行保護；h)要求信息系統(tǒng)、組件或服務的開發(fā)商制定應急預案，并將應急預案納入云服務商的應急響應計劃中。無。6.9開發(fā)過程配置管理云服務商應要求信息系統(tǒng)、組件或服務的開發(fā)商：a)在信息系統(tǒng)、組件或服務的開發(fā)過程中實施配置管理；b)記錄和保存基本配置信息，對配置信息實施變更控制，根據(jù)實際情況，配置項包括但不限于：形理圖、目標代碼的運行版本、版本對比工具、測試設備和文檔；c)得到云服務商的批準后，才能對所提供的信息系統(tǒng)、組件或服務進行變更；d)記錄對信息系統(tǒng)、組件或服務的變更及其所產(chǎn)生的安全影響，并及時更新基本配置信息庫；e)跟蹤信息系統(tǒng)、組件或服務中的安全缺陷和解決方案。云服務商應：a)要求信息系統(tǒng)、組件或服務的開發(fā)商提供能夠驗證軟件和固件組件完整性的方法；b)在沒有專用的開發(fā)商配置團隊支持的情況下，由本組織的人員建立相應的配置管理流程；c)要求信息系統(tǒng)、組件或服務的開發(fā)商提供對硬件組件進行完整性驗證的方法，如防偽標簽、可核查序列號、防篡改技術等；d)要求信息系統(tǒng)、組件或服務的開發(fā)商，在開發(fā)過程中使用工具驗證軟件或固件源代碼、目標代碼的當前版本與以往版本異同，并采取措施保證安全相關的硬件、軟件和固件的出廠版本與現(xiàn)場運行版本一致，現(xiàn)場更新與開發(fā)商內(nèi)部版本一致。6.10開發(fā)商安全測試和評估云服務商應要求開發(fā)商對所開發(fā)的信息系統(tǒng)、組件或服務：a)制定并實施安全評估計劃；b)以[賦值：云服務商定義的深度和覆蓋面]在[選擇：單元；集成；系統(tǒng)；回歸]測試過程中實施安全測試或評估；c)提供安全評估計劃的實施證明材料，并提供安全評估結果；d)實施可驗證的缺陷修復過程；e)更正在安全評估過程中發(fā)現(xiàn)的脆弱性和不足。云服務商應滿足以下要求。a)要求信息系統(tǒng)、組件或服務的開發(fā)商在開發(fā)階段使用靜態(tài)代碼分析工具識別常見缺陷，并記錄分析結果。b)要求信息系統(tǒng)、組件或服務的開發(fā)商實施威脅和脆弱性分析，并測試或評估已開發(fā)完成的信息c)在對信息系統(tǒng)、組件或服務的開發(fā)商進行評估時，采取以下方式：1)選擇第三方驗證開發(fā)商實施安全評估計劃的正確性以及在安全測試或評估過程中產(chǎn)生的證據(jù)；2)確保第三方能夠獲得足夠的資料來完成驗證過程，或已被授予獲得此類信息的訪問權限。d)要求信息系統(tǒng)、組件或服務的開發(fā)商對[賦值：云服務商定義的特定代碼]實施代碼審查。e)要求信息系統(tǒng)、組件或服務的開發(fā)商按照[賦值：云服務商定義的約束條件],以[賦值：云服務商定義的廣度和深度]執(zhí)行滲透性測試。f)要求信息系統(tǒng)、組件或服務的開發(fā)商分析所提供的硬件、軟件和固件容易受到攻擊的脆弱點。g)要求信息系統(tǒng)、組件或服務的開發(fā)商驗證安全測試或評估范圍滿足[賦值：云服務商定義的廣度和深度要求]。云服務商應滿足以下要求。a)在對信息系統(tǒng)、組件或服務的開發(fā)商進行評估時：1)選擇獨立第三方驗證開發(fā)商實施安全評估計劃的正確性以及在安全測試或評估過程中產(chǎn)生的證據(jù)；2)確保獨立第三方能夠獲得足夠的資料來完成驗證過程，或已被授予獲得此類信息的訪問權限。b)要求信息系統(tǒng)、組件或服務的開發(fā)商對[賦值：云服務商定義的特定代碼]實施人工代碼審查。人工代碼審查可用于對關鍵組件代碼審查，該代碼實現(xiàn)與應用程序或外部環(huán)境威脅相關性較大或不適合使用自動分析工具檢查其脆弱性，審查結果應易于理解且向云服務商提供，并確保云服務商可重構系統(tǒng)。c)要求信息系統(tǒng)、組件或服務的開發(fā)商在運行階段使用動態(tài)代碼分析工具識別常見缺陷，并記錄分析結果。d)要求信息系統(tǒng)、組件或服務的開發(fā)商在系統(tǒng)生命周期中，可采用技術手段對信息系統(tǒng)、組件或服務開展高彈性或高韌性測試，以達到以下效果：驗證信息系統(tǒng)是否對故障異常情況具有較強的恢復能力，避免故障或異常情造成嚴重影響與后果；主動識別并修復壓力環(huán)境下的故障問題。6.11開發(fā)商提供的培訓云服務商應要求信息系統(tǒng)、組件或服務的開發(fā)商提供技術培訓，以正確使用所交付系統(tǒng)或產(chǎn)品中的6.11.2增強要求無。無。6.12組件真實性6.12.1一般要求云服務商應：a)制定和實施防贗品的策略和規(guī)程，檢測并防止贗品組件進入信息系統(tǒng)；b)根據(jù)實際情況，向正品廠商、相關外部機構、云服務商安全責任部門或相關人員報告贗品組件；c)對相關人員或角色進行有關贗品組件檢測的培訓；d)在等待服務或維修，以及已送修的組件返回時，對關鍵組件的配置進行檢查；e)銷毀廢棄的信息系統(tǒng)組件；f)按照[賦值：云服務商定義的頻率]檢查信息系統(tǒng)中是否有贗品組件。6.13不被支持的系統(tǒng)組件6.13.1一般要求云服務商應在開發(fā)商、供應商或廠商不再對系統(tǒng)組件提供支持時，替換該系統(tǒng)組件；或當因業(yè)務需要等原因需繼續(xù)使用時，提供正當理由并經(jīng)過本組織領導層的批準，并為不被支持的系統(tǒng)組件提供內(nèi)部支持或來自其他外部提供商的支持。無。6.14供應鏈保護6.14.1一般要求云服務商應滿足以下要求。a)對云計算平臺的供應鏈過程進行定義和管理，對供應鏈過程和參與者進行唯一標識，并建立管1)供應鏈過程，包括硬件、軟件和固件開發(fā)過程，運輸和裝卸過程，人員和物理安全程序，以及涉及供應鏈單元生產(chǎn)或發(fā)布的其他程序；2)供應鏈參與者指供應鏈中具有特定角色和責任的獨立個體。b)識別對云計算服務的安全性存在重要影響的外包服務或采購的產(chǎn)品。c)確保[賦值：云服務商定義的網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品]通過國家規(guī)定的檢測認證，例如：防火墻、安全隔離與信息交換產(chǎn)品(網(wǎng)閘)、反垃圾郵件產(chǎn)品、網(wǎng)絡脆弱性掃描產(chǎn)品、安全數(shù)據(jù)庫系統(tǒng)。d)在運輸或倉儲時使用防篡改包裝，例如：采取防偽標簽、安全封條、中性化包裝，不體現(xiàn)包裝物的信息，對包裝物的封箱、開箱過程進行監(jiān)督和記錄，對封條使用和貨柜安全操作建立指導性規(guī)程。e)當采購的網(wǎng)絡產(chǎn)品和服務可能影響國家安全的，要求通過網(wǎng)絡安全審查。云服務商應滿足以下要求。h)采用供應鏈保護措施，以降低攻擊者利用供應鏈造成的危害；根據(jù)實際情況，保護措施包括但不限于：1)優(yōu)先購買現(xiàn)貨產(chǎn)品，避免購買定制設備；2)在能提供相同產(chǎn)品的多個不同供應商中做選擇，以防范供應商鎖定風險；3)選擇有聲譽的企業(yè)，建立合格供應商列表(含潛在供應商);4)縮短采購決定和交付的時間間隔；5)使用可信或可控的分發(fā)、交付和倉儲手段；6)限制從特定供應商或國家采購產(chǎn)品或服務；處理過程、安全需求、設計說明書、測評結果、信息系統(tǒng)或組件配置等信息；在制定保護措施時，宜確定哪些信息可通過匯聚或推導分析而獲得供應鏈關鍵信息，并采取針對性的措施予以防范，例如：向供應商屏蔽關鍵信息，采取匿名采購或委托采購；8)制定物流管理規(guī)程，完整記錄入庫、轉庫等物流信息，確保產(chǎn)品的可追溯性；在此基礎上，建立標簽碼追溯數(shù)據(jù)管理規(guī)程和配套系統(tǒng)，確保從物料到產(chǎn)品交付的可追溯性。優(yōu)先選擇滿足下列條件的供應商：1)保護措施符合法律、法規(guī)、政策、標準以及云服務商的安全要求；2)企業(yè)運轉過程和安全措施相對透明，具有相關文檔記錄；3)對下級供應商、關鍵組件和服務的安全提供了進一步的核查；4)在合同中聲明不使用有惡意代碼產(chǎn)品或假冒產(chǎn)品。在簽署合同前對供應商進行評估，根據(jù)實際情況，包括但不限于：2)評價供應商在開發(fā)信息系統(tǒng)、組件或服務時接受的安全培訓和積累的經(jīng)驗，以判斷其安全能力。按照[賦值：云服務商定義的頻率],識別供應鏈安全風險，綜合分析各方面的信息，包括執(zhí)法部門披露的信息、網(wǎng)絡安全通報、應急響應機構的風險提示等，以發(fā)現(xiàn)來自開發(fā)、生產(chǎn)、交付過程以及人員和環(huán)境的風險，該分析盡可能覆蓋到各層供應商和候選供應商。采用[賦值：云服務商定義的保護措施]確認所收到的信息系統(tǒng)或組件真實且未被篡改，如光學標簽等；對于硬件，要求供應商提供詳細和完整的組件清單和產(chǎn)地清單。明確供應商選擇和退出的機制，當變更供應商時，對供應商變更帶來的安全風險進行評估，并采取有關措施對風險進行控制。采取有關措施(如簽訂協(xié)議),使供應鏈安全事件信息或威脅信息能夠及時傳達到供應鏈相關方。采購網(wǎng)絡產(chǎn)品和服務時，明確安全要求以及供應商的安全責任和義務，根據(jù)實際情況，可包括商用密碼要求、維保服務外包要求等方面。云服務商應：a)使用不同供應商提供的關鍵組件，并儲備足夠的備用組件，如可支撐業(yè)務運行一年；b)形成本組織內(nèi)部的供應鏈圖譜，掌握供應鏈全景信息；c)定期開展供應鏈安全評估，及時發(fā)現(xiàn)風險，并調(diào)整供應鏈安全保護策略、制度和安全措施等。7系統(tǒng)與通信保護7.1邊界保護云服務商應：a)在連接外部網(wǎng)絡或外部信息系統(tǒng)的邊界以及內(nèi)部關鍵邊界上，對通信進行監(jiān)控；b)將允許外部公開直接訪問的組件，劃分在一個與內(nèi)部網(wǎng)絡邏輯隔離的子網(wǎng)絡上，如隔離區(qū)(DMZ),確保允許外部人員訪問的組件與允許客戶訪問的組件在邏輯層面實現(xiàn)嚴格的網(wǎng)絡隔離；c)確保與外部網(wǎng)絡或信息系統(tǒng)的連接只能通過嚴格管理的接口進行，該接口上應部署有邊界保云服務商應滿足以下要求。a)為云計算服務搭建物理獨立的資源池，確保資源池的計算資源、存儲資源、網(wǎng)絡資源不被服務于其他類型的客戶的平臺和系統(tǒng)所使用，且僅通過部署了邊界保護設備或措施的受控接口與連接外部網(wǎng)絡或服務于其他類型的客戶的平臺和系統(tǒng)相連。b)限制云計算平臺外部訪問接入點的數(shù)量，以便對進出通信和網(wǎng)絡流量實施有效監(jiān)控。c)采取以下措施對外部通信進行保護：1)對每一個外部的電信服務接口進行管理；2)對每一個接口制定通信流策略；3)采取有關措施對所傳輸?shù)男畔⒘鬟M行必要的保密性和完整性保護；4)當根據(jù)業(yè)務需要，出現(xiàn)通信流策略的例外情況時，將業(yè)務需求和通信持續(xù)時間記錄到通信流策略的例外項中；5)按照[賦值：云服務商定義的頻率],對網(wǎng)絡通信流策略中的例外項進行審查，在通信流策略中刪除不再需要的例外項。d)確保云計算平臺網(wǎng)絡出入口在默認情況下拒絕所有網(wǎng)絡通信流量，僅允許滿足最小業(yè)務需求的網(wǎng)絡通信流量通過。e)支持客戶使用獨立的代理服務器實現(xiàn)信息的導入導出。f)確保在[賦值：云服務商定義的邊界保護失效情況]下，云計算平臺中的[賦值：云服務商定義的受影響部分]能夠安全地終止運行。g)采取措施滿足不同客戶或同一客戶不同業(yè)務的信息系統(tǒng)之間隔離的需求。云服務商應：a)對存在安全隱患的功能與其他業(yè)務功能進行隔離；b)采取相關措施，防止通過受控接口泄露數(shù)據(jù)；c)提供將[賦值：云服務商定義的組件]與其他組件動態(tài)隔離或分離的能力；d)采用邊界保護機制隔離[賦值：云服務商定義的組件],這些組件支持[賦值：云服務商定義的任務或業(yè)務功能]。7.2傳輸?shù)谋Ｃ苄院屯暾员Ｗo云服務商應采用密碼技術保證通信過程中數(shù)據(jù)的保密性和完整性。云服務商應提供滿足國家密碼管理法律法規(guī)的通信加密和簽名驗簽設施。云服務商應在通信前基于密碼技術對通信的雙方進行驗證或認證。7.3網(wǎng)絡中斷云服務商應采取有關措施，確保在應用層通信會話結束時以及在[賦值：云服務商定義的不活動時間]之后，終止云計算平臺相關網(wǎng)絡連接。7.4可信路徑無。云服務商應采取有關措施，確保在云計算平臺用戶和系統(tǒng)安全功能之間建立一條可信的通信路無。7.5密碼使用和管理云服務商應按照國家密碼管理有關規(guī)定使用和管理云計算平臺中使用的密碼設施，并按規(guī)定生成、使用和管理密鑰。針對法律、行政法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護的關鍵信息基礎設施，云服務商應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。無。7.6設備接入保護云服務商應：a)限制本地及遠程終端設備接入云計算平臺，在設備接入云計算平臺前對其進行唯一性標識和鑒別，例如：基于設備的媒體訪問控制(MAC)地址；b)對唯一性標識進行集中管理，確保通過唯一性標識可快速查找到設備；c)禁止在云計算平臺中接入帶網(wǎng)絡通信功能的等協(xié)同計算設備，例如：攝像頭、相機、麥克風、白d)對接入云計算平臺的移動存儲設備進行標識，確保只能經(jīng)其授權的移動存儲設備才可接入云計算平臺；e)禁止在云計算平臺及其遠程運維網(wǎng)絡中接入移動智能設備或產(chǎn)品，如智能手機、個人平板電f)關閉網(wǎng)絡設備中未使用的網(wǎng)絡接口；云服務商應在遠程運維終端接入云計算平臺前對其進行安全檢查，確保安全狀態(tài)符合云計算平臺的安全要求后，才可接入云計算平臺。7.7移動代碼云服務商應根據(jù)安全需求和客戶的要求，制定移動代碼使用策略，對移動代碼的使用進行限制，并對允許使用的移動代碼進行監(jiān)視。其中，移動代碼是指在服務過程中從服務端下載并在客戶端執(zhí)行的云服務商應：a)在移動代碼執(zhí)行前采取必要的安全措施，至少對移動代碼進行來源確認；b)禁止自動執(zhí)行移動代碼。無。7.8會話認證云服務商應在用戶注銷或會話終止時使會話標識符失效。云服務商應提供驗證通信會話(如云計算平臺的管理會話、業(yè)務會話等)雙方身份真實性和保護通信會話真實性的能力，以防止中間人攻擊、會話劫持等。通信會話保護可采用以下方式，包括：建立專用的會話通道對相關會話進行封裝；提供公用和專用網(wǎng)絡的端對端加密和驗證服務；建立安全的數(shù)據(jù)交換機制，為網(wǎng)絡連接提供數(shù)據(jù)加密、服務器認證以及可選擇的客戶機認證等。無。7.9惡意代碼防護云服務商應：a)在網(wǎng)絡出入口以及系統(tǒng)中的主機、移動計算和存儲設備上實施惡意代碼防護機制；b)建立相應維護機制，確保惡意代碼防護機制得到及時更新，如升級病毒庫；c)及時對惡意代碼告警記錄進行檢查和分析。云服務商應：a)自動更新惡意代碼防護機制；b)集中管理惡意代碼防護機制。云服務商應：a)具備不依賴病毒庫特征的情況下對惡意代碼防護的機制；b)發(fā)現(xiàn)惡意代碼后，保留惡意代碼樣本，并具備對惡意代碼進行溯源分析的能力。7.10內(nèi)存防護7.10.1一般要求云服務商應采取內(nèi)存防護措施對內(nèi)存進行防護，避免非授權代碼執(zhí)行。無。7.11系統(tǒng)虛擬化安全性云服務商應滿足以下要求。a)確保虛擬機的鏡像安全，并保證：1)提供虛擬機鏡像、快照文件完整性校驗功能，防止虛擬機鏡像被惡意篡改；2)采取有關措施保證邏輯卷同一時刻只能被一個虛擬機掛載。b)實現(xiàn)虛擬化平臺的資源隔離，并保證：1)虛擬機只能訪問分配給該虛擬機的物理磁盤空間；2)不同虛擬機之間的虛擬CPU(vCPU)指令實現(xiàn)隔離；3)不同虛擬機之間實現(xiàn)內(nèi)存隔離；4)確保某個虛擬機崩潰后不影響虛擬機監(jiān)控器(Hypervisor)及其他虛擬機。c)提供資源隔離失敗后的告警措施。d)支持虛擬機安全隔離，在虛擬機監(jiān)控器(Hypervisor)層提供虛擬機與物理機之間的安全隔離措施，控制虛擬機之間以及虛擬機和物理機之間所有的數(shù)據(jù)通信。e)提供虛擬化平臺操作管理員權限分離機制。f)確保虛擬鏡像模板的配置正確性，并明確模板的譜系來源。云服務商應：a)提供虛擬機跨物理機遷移過程中的保護措施；b)提供對虛擬機所在物理機范圍進行指定或限定的能力；c)提供防止虛擬機鏡像文件數(shù)據(jù)被非授權訪問的功能；d)對虛擬機模板文件、配置文件等重要數(shù)據(jù)進行完整性檢測；e)采取措施確保虛擬機的內(nèi)存被釋放或再分配給其他虛擬機前得到完全釋放。云服務商應支持采用虛擬機鏡像或快照文件加密的方式，防止虛擬機鏡像或快照文件數(shù)據(jù)被非授權訪問。7.12網(wǎng)絡虛擬化安全性云服務商應：a)針對不同云服務租戶虛擬網(wǎng)絡資源(如VPC)間的訪問實施網(wǎng)絡邏輯隔離，保證不同云服務租戶之間的網(wǎng)絡隔離要求，并提供訪問控制措施；針對同一云服務租戶的不同業(yè)務，能夠提供網(wǎng)絡隔離能力和訪問控制措施；b)對虛擬機的網(wǎng)絡接口的帶寬進行管理；c)能夠為云服務租戶業(yè)務提供虛擬化的負載均衡方案，保證云服務租戶業(yè)務的可靠性。7.12.2增強要求無。無。7.13存儲虛擬化安全性云服務商應：a)支持將對存儲數(shù)據(jù)的安全控制措施應用到邏輯和物理存儲實體上，確保不會因信息在物理存儲位置上的改變而導致安全控制措施被旁路；b)禁止或限制對物理存儲實體的直接訪問；c)確保對不同云服務租戶所使用的虛擬存儲資源，實現(xiàn)邏輯隔離；d)在云服務租戶解除其存儲資源的使用后，提供存儲數(shù)據(jù)清除措施，確保[賦值：云服務商定義的租戶數(shù)據(jù)]能夠在[賦值：云服務商定義的需要清除租戶數(shù)據(jù)的操作]后在物理存儲設備級別上被有效清除，例如：鏡像文件、快照文件應在遷移或刪除虛擬機后被有效清除；e)提供虛擬存儲數(shù)據(jù)審計措施；f)提供虛擬存儲數(shù)據(jù)訪問控制措施；g)提供虛擬存儲冗余備份支持。云服務商應：a)提供存儲協(xié)議級數(shù)據(jù)訪問授權，如實施iSCSI等存儲協(xié)議級別的安全控制；b)允許客戶部署滿足國家密碼管理規(guī)定的數(shù)據(jù)加密方案，能夠在云計算平臺以密文形式存儲客戶數(shù)據(jù)；c)支持第三方加密及密鑰管理方案。7.13.3高級要求7.14安全管理功能的通信保護7.14.1一般要求云服務商應：a)將云計算平臺管理流量與客戶業(yè)務流量進行分離；b)能夠對物理資源和虛擬資源按照策略做統(tǒng)一管理調(diào)度與分配；c)提供實時的虛擬機監(jiān)控機制，通過帶內(nèi)或帶外的技術手段對虛擬機的運行狀態(tài)、資源占用、遷移等信息進行監(jiān)控。云服務商應：a)確保虛擬化平臺的管理命令采用加密方式進行傳輸；b)當對云計算平臺進行遠程維護管理時，防止遠程管理設備同時直接連接其他網(wǎng)絡資源；c)為云計算平臺建立獨立的運維網(wǎng)絡分區(qū)，部署資源管理平臺、運維管理系統(tǒng)等實施運維管理；d)為云計算平臺提供集中管控能力，包括系統(tǒng)管理、審計管理、配置管理等。8訪問控制8.1用戶標識與鑒別云服務商應：a)對信息系統(tǒng)的用戶進行唯一標識和鑒別；b)對特權賬號的網(wǎng)絡訪問實施多因子鑒別。云服務商應：a)對賬號的網(wǎng)絡訪問實施多因子鑒別，并確保至少一個因子由與系統(tǒng)分離的設備提供，以防止多因子鑒別憑證同時遭到破壞或泄露；b)對特權賬號的網(wǎng)絡訪問實施抗重放鑒別機制，如動態(tài)口令，確保云計算平臺能夠抗重放攻擊。云服務商應：a)對特權賬號的本地訪問實施多因子鑒別；b)對非特權賬號的網(wǎng)絡訪問實施抗重放鑒別機制，確保云計算平臺能夠抗重放攻擊。8.2標識符管理云服務商應：a)在[賦值：云服務商定義的時間段]內(nèi)防止對用戶或設備標識符的重用；b)在[賦值：云服務商定義的時間段]后禁用不活動的用戶標識符。云服務商應：a)對[賦值：云服務商定義的人員類型]進行進一步標識，如合同商或境外公民，便于了解通信方的身份(如將電子郵件的接收者標識為合同商，以便與本組織人員相區(qū)分);b)在標識跨組織、跨平臺的用戶時進行溝通協(xié)調(diào)，以滿足相關組織或平臺的標識符管理策略。無。8.3鑒別憑證管理云服務商應滿足以下要求。a)通過以下步驟管理鑒別憑證：1)驗證鑒別憑證接收對象(個人、組、角色或設備)的身份；2)確定鑒別憑證的初始內(nèi)容；3)確保鑒別憑證能夠有效防止偽造和篡改；4)針對鑒別憑證的初始分發(fā)、丟失處置以及重置，建立和實施管理流程；5)強制要求用戶更改鑒別憑證的默認內(nèi)容；6)明確鑒別憑證的最小和最大生存時間限制以及再用條件；7)對[賦值：云服務商定義的鑒別憑證],強制要求在[賦值：云服務商定義的時間段]之后更新鑒別憑證；8)保護鑒別憑證內(nèi)容，防止被泄露和篡改；9)采取由設備實現(xiàn)的特定安全措施以保護鑒別憑證，例如：由設備生成證書或密碼；10)當組或角色賬號的成員屬性發(fā)生變化時，變更該賬號的鑒別憑證。b)對于基于口令的鑒別：1)建立相關機制，支持強制執(zhí)行最小口令復雜度，該復雜度應滿足[賦值：云服務商定義的口令復雜度規(guī)則];2)建立相關機制，能夠在用戶更新口令時，強制變更[賦值：云服務商定義的數(shù)目]個字符，確保新舊口令不同；3)對存儲和傳輸?shù)目诹钸M行加密；4)強制執(zhí)行最小和最大生存時間限制，以滿足[賦值：云服務商定義的最小生存時間和最大生存時間]。c)對于基于硬件令牌的鑒別，定義令牌安全質(zhì)量要求，并部署相關機制予以滿足，如基于PKI的令牌。云服務商應滿足以下要求。a)對于基于PKI的鑒別：1)通過構建到信任根的認證路徑并對其進行驗證，包括檢查證書狀態(tài)信息，以確保認證過程的安全；2)對相應私鑰進行保護。b)確保未加密的靜態(tài)鑒別憑證未被嵌入到應用、訪問腳本中。c)接收[賦值：云服務商定義的鑒別憑證]時，通過本人或可信第三方實施。云服務商應及時禁用緩存的鑒別憑證。8.4鑒別憑證反饋云服務商應確保信息系統(tǒng)在鑒別過程中能夠隱藏鑒別信息的反饋，以防止鑒別信息被非授權利用。無。無。8.5密碼模塊鑒別云服務商應確保系統(tǒng)中的密碼模塊對操作人員設置了鑒別機制，該機制應滿足國家密碼管理的有關規(guī)定。無。無。8.6賬號管理云服務商應滿足以下要求。a)指定專門的部門或人員進行賬號管理，對賬號的申請、建立、刪除等操作進行控制。c)當發(fā)生以下情況時，通知賬號管理員：1)當臨時賬號不再需要時；2)當用戶離職或調(diào)動時；3)當變更信息系統(tǒng)用途時。d)按照[賦值：云服務商定義的頻率],檢查賬號是否符合賬號管理的要求。云服務商應：a)采用自動機制實施賬號管理，避免共享賬號的存在；b)在[賦值：云服務商定義的時間段]后，自動[選擇：刪除；禁用]臨時和應急賬號；c)在[賦值：云服務商定義的時間段]后，自動關閉非活躍賬號；d)采用自動機制，對賬號的建立、更改、禁用和終止行為進行審計，并報告[賦值：云服務商定義的人員或角色];e)根據(jù)基于角色的訪問方案建立和管理特權賬號，將信息系統(tǒng)的訪問及特權納入角色屬性，并對特權角色的分配進行跟蹤和監(jiān)視。云服務商應：a)針對[賦值：云服務商定義的賬號],設置賬號使用條件，例如：僅在特定日期、時間段或場景下使用；b)監(jiān)測是否存在賬號異常使用情況，并將情況向[賦值：云服務商定義的人員或角色]通報。8.7訪問控制的實施8.7.1一般要求云服務商應：a)對云計算平臺上信息和系統(tǒng)資源的邏輯訪問進行授權；b)按照[賦值：云服務商定義的職責分離規(guī)則],對訪問進行授權。云服務商應確保客戶可以依據(jù)[賦值：云服務商定義的強制實施的訪問控制策略],確定主體對客體的訪問，該策略應規(guī)定以下要求。a)針對已獲得信息訪問權的主體，限制其實施以下任何行為：1)將信息傳遞給非授權的主體和客體；2)將權限授予其他主體；3)變更主體、客體、信息系統(tǒng)或組件的安全屬性；4)對新創(chuàng)建或修改后的客體，變更其已經(jīng)關聯(lián)的安全屬性；5)變更訪問控制管理規(guī)則。b)針對[賦值：云服務商定義的主體],可明確授予[賦值：云服務商定義的特權],不被a)條的部分或全部條件所約束。云服務商應保證客戶可以依據(jù)[賦值：云服務商定義的強制實施的訪問控制策略],確定主體對客體的訪問，該策略應適用于云計算平臺所有主體對客體的訪問。8.8信息流控制云服務商應在確?？蛻綦[私權和安全利益的前提下：a)按照[賦值：云服務商定義的信息流控制策略],控制系統(tǒng)內(nèi)或互連系統(tǒng)間的信息流動，包括限制受控信息流向互聯(lián)網(wǎng)、限制云計算平臺上的客戶及其他重要信息流向境外或在境外處理、限制云計算平臺主動對外部網(wǎng)絡的訪問、限制跨VPC的數(shù)據(jù)流動、限制某些數(shù)據(jù)格式或含關鍵字的信息流出云計算平臺；b)在不同的安全域之間傳輸信息時，檢查信息中是否存在[賦值：云服務商定義的禁止類信息],并遵循[賦值：云服務商定義的安全策略],禁止傳輸此類信息；c)唯一地標識和鑒別以[選擇：組織；系統(tǒng)；應用；個人]為標識的源和目的地址，以實施信息流策略。例如：禁止信息流向境外目的地址；d)使用同一設備或系統(tǒng)對多個不同安全域上的計算平臺、應用或數(shù)據(jù)進行訪問時，防止不同安全域之間的任何信息以違背信息流策略的方式進行流動。云服務商應在[賦值：云服務商定義的條件]下，對[賦值：云服務商定義的信息流]實施人工審查。8.9最小特權云服務商應：a)確保為用戶提供的訪問權限是其完成指定任務所必需的，且符合本組織的業(yè)務需求；b)對[賦值：云服務商定義的安全功能和安全相關信息]的訪問進行明確授權。云服務商應：a)確保具有訪問系統(tǒng)安全功能或安全相關信息特權的賬號或角色用戶，當訪問非安全功能時，宜使用非特權賬號或角色；b)限制[賦值：云服務商定義的人員或角色]具有特權賬號；c)確保信息系統(tǒng)能夠阻止非特權用戶執(zhí)行特權功能，以防禁止、繞過或替代已實施的安全措施。云服務商應：a)限制僅[賦值：云服務商定義的強制操作需求],才可授權對[賦值：云服務商定義的特權命令]進行網(wǎng)絡訪問，并在系統(tǒng)安全計劃中記錄此類訪問的基本原理；b)定期審核所分配的特權賬號，以驗證對此類特權的需求；根據(jù)業(yè)務需求，必要時應重新分配或刪除特權賬號；c)防止[賦值：云服務商定義的云計算平臺軟件]使用比用戶所運行軟件更高的權限運行。8.10未成功的登錄嘗試云服務商應：a)將[賦值：云服務商定義的時間段]內(nèi)連續(xù)登錄失敗的上限限定為[賦值：云服務商定義的次數(shù)];b)當?shù)卿浭〈螖?shù)超過上限時，系統(tǒng)將鎖定賬號，直至[選擇：達到[賦值：云服務商定義的時間段];由管理員解鎖]。云服務商應在[賦值：云服務商定義的次數(shù)]的連續(xù)不成功地設備登錄嘗試之后，采用技術措施清除[賦值：云服務商定義的移動設備]的信息。8.11系統(tǒng)使用通知云服務商應滿足以下要求。a)在準予用戶訪問系統(tǒng)之前，向用戶顯示系統(tǒng)使用通知消息或標語，根據(jù)有關政策法規(guī)的要1)用戶正訪問某重要單位的信息系統(tǒng)；2)系統(tǒng)的使用過程可能被監(jiān)視、記錄并受到審計；3)禁止對系統(tǒng)進行越權使用，否則將承擔法律責任；4)一旦使用該系統(tǒng)，則表明同意受到監(jiān)視和記錄。b)在屏幕上保留通知消息或標語，直到用戶登錄或繼續(xù)使用系統(tǒng)。無。無。8.12前次訪問通知云服務商應在用戶登錄系統(tǒng)后，顯示前次登錄信息。根據(jù)實際情況，前次登錄信息可包括：上一次登錄時間、上一次登錄IP地址等設備信息、已經(jīng)累計登錄失敗次數(shù)等。無。8.13并發(fā)會話控制無。云服務商應確保云計算平臺的[賦值：云服務商定義的賬號],沒有兩個或兩個以上的并發(fā)會話。云服務商應確保云計算平臺的各賬號，沒有兩個或兩個以上的并發(fā)會話。8.14會話鎖定云服務商應：a)當用戶在[賦值：云服務商定義的時間段]內(nèi)未活動或者用戶主動發(fā)起鎖定指令時，實施會話鎖定，以防止繼續(xù)訪問云計算平臺；b)保持會話鎖定，直到用戶通過已有的標識和鑒別過程，再次建立連接；c)對鎖定前可見的信息進行隱藏，并顯示公開可見的圖像。8.15未進行標識和鑒別情況下可采取的行動云服務商應確定無需進行標識和鑒別即可在云計算平臺上實施的用戶行為，并說明理由。該行為要符合云服務商的安全策略，并且與云計算平臺上系統(tǒng)的功能相一致。8.16安全屬性無。云服務商應：a)針對[賦值：云服務商定義的主體、用戶(包括外部的IT產(chǎn)品)、客體、信息、會話和/或資源],定義安全屬性，確定安全屬性值或范圍；b)提供關聯(lián)手段，在信息的存儲、處理、傳輸中，將[賦值：云服務商定義的安全屬性]與信息相關聯(lián)。例如：將信息的安全屬性與其訪問權限、訪問環(huán)境關聯(lián)起來。無。8.17遠程訪問云服務商應：a)對[賦值：云服務商定義的遠程訪問方法]明確使用限制、配置和連接要求；b)明確遠程訪問的實施條件，采取有關措施保證遠程訪問的安全；c)在允許遠程連接前，對遠程訪問方式進行授權；d)實時監(jiān)視非授權的云服務遠程連接，并在發(fā)現(xiàn)非授權連接時采取適當?shù)奶幹么胧?。云服務商應：a)自動監(jiān)視和控制遠程訪問會話，以檢測網(wǎng)絡攻擊，確保遠程訪問策略得以實現(xiàn)；b)使用密碼機制，以保證遠程訪問會話的保密性和完整性；c)確保所有遠程訪問只能經(jīng)過有限數(shù)量的、受管理的訪問控制點；d)對遠程執(zhí)行特權命令進行限制(如刪除虛擬機、創(chuàng)建系統(tǒng)賬號、配置訪問授權、執(zhí)行系統(tǒng)管理功能、審計系統(tǒng)事件或訪問事件日志等),僅在為滿足[賦值：云服務商定義的需求]的情況下，才能通過遠程訪問的方式，授權執(zhí)行特權命令或訪問安全相關信息，并采取更嚴格的保護措施且進行審計；在安全計劃中應說明這種遠程訪問的合理性；e)在遠程訪問時禁止使用非安全的網(wǎng)絡協(xié)議，例如：FTP、TELNET、HTTP等；f)針對集中對多個云計算平臺進行遠程運維的，采取措施對集中運維環(huán)境、網(wǎng)絡接入方式、運維終端、不同云計算平臺鑒別憑證等進行安全保護；g)針對遠程接入方式為非物理專線且由供應商提供的，對供應商遠程接入方式進行安全評估，要求供應商提供服務資質(zhì)、遠程接入的安全性證書或第三方安全檢測報告。8.18無線訪問云服務商應：a)限制云計算平臺上的無線網(wǎng)絡功能；b)對授權使用的無線網(wǎng)絡采取必要的安全措施。云服務商應禁止云計算平臺上的無線網(wǎng)絡功能。無。8.19外部信息系統(tǒng)的使用8.19.1一般要求云服務商應：a)明確列出何種情況下允許授權人員通過外部信息系統(tǒng)，對云計算平臺進行訪問；b)明確列出何種情況下允許授權人員通過外部信息系統(tǒng)，對云計算平臺上的信息進行處理、存儲或傳輸。云服務商應滿足以下要求。a)確保僅在以下情況下，允許授權人員通過外部信息系統(tǒng)進行訪問，或利用外部信息系統(tǒng)處理、存儲、傳輸云計算平臺上的信息：1)外部信息系統(tǒng)正確實現(xiàn)了云服務商安全策略和安全計劃所要求的安全措施，并通過了獨立第三方機構的測試。2)與外部信息系統(tǒng)對應的實體簽訂了系統(tǒng)連接或信息處理協(xié)議，且該協(xié)議經(jīng)過獨立第三方機構的評價。b)限制授權人員在外部信息系統(tǒng)上使用由云服務商控制的移動存儲媒體。云服務商應：a)禁止通過外部信息系統(tǒng)訪問云計算平臺；b)禁止通過外部信息系統(tǒng)處理、存儲、傳輸云計算平臺上的信息；c)禁止在外部信息系統(tǒng)上使用由云服務商控制的移動存儲媒體。8.20可供公眾訪問的內(nèi)容云服務商應：a)指定專人負責發(fā)布公開信息；b)開展人員安全意識培訓，確保發(fā)布的信息中不含有非公開信息；c)在發(fā)布前對擬發(fā)布信息進行審查，防止含有非公開信息；d)按照[賦值：云服務商定義的頻率]審查公開發(fā)布的信息中是否含有非公開信息，一經(jīng)發(fā)現(xiàn)，立即刪除。無。8.21WEB訪問安全云服務商應：a)支持WEB代碼安全防護的能力，包括對輸入輸出進行有效性檢查，以及米取防范認證漏洞、權限漏洞、會話漏洞、WEB服務漏洞、注入漏洞等代碼漏洞相關措施；b)支持對用戶通過WEB訪問資源進行訪問控制的能力；c)支持WEB遠程訪問安全傳輸能力。無。8.22API訪問安全云服務商應：a)支持服務API調(diào)用前實施用戶鑒別和鑒權的功能；b)支持涉及云服務租戶資源操作的服務API調(diào)用前驗證用戶憑據(jù)的功能；c)支持用戶調(diào)用服務API的訪問控制功能；d)支持服務API接口的防范重放、代碼注入、DoS/DDoS等攻擊的功能；e)支持服務API接口安全傳輸?shù)墓δ?；f)支持服務API接口過載保護的功能，保障不同服務級別用戶間業(yè)務的公平性以及系統(tǒng)資源利用最大化；g)支持服務API的調(diào)用日志記錄的功能。無。9數(shù)據(jù)保護9.1通用數(shù)據(jù)安全云服務商應：a)通過與客戶簽訂的合同或其他形式，聲明未經(jīng)客戶授權不得收集、使用或處理客戶數(shù)據(jù)；b)明確數(shù)據(jù)安全管理角色或責任人，對數(shù)據(jù)處理操作進行授權、訪問控制和安全審計等；c)為客戶開展數(shù)據(jù)分類分級和數(shù)據(jù)安全保護工作，提供相應的安全技術措施和產(chǎn)品工具支持，包d)依據(jù)GB/T35273—2020,為客戶的個人信息保護工作提供支持，通過合同或其他形式明確涉及云服務商的個人信息保護內(nèi)容；e)確保境內(nèi)運營過程中收集和產(chǎn)生的客戶數(shù)據(jù)在境內(nèi)存儲；f)支持云服務租戶自主設置數(shù)據(jù)備份、數(shù)據(jù)導出、數(shù)據(jù)重置等權限。云服務商應：a)針對[賦值：云服務商定義的操作],對數(shù)據(jù)處理操作進行記錄并保留[賦值：云服務商定義的時間];b)針對通過集中的管理節(jié)點對分布式計算中心進行遠程運維的，采用密碼技術確保集中運維管理數(shù)據(jù)和集中運維系統(tǒng)配置數(shù)據(jù)在傳輸與存儲過程的保密性和完整性。9.2媒體訪問和使用云服務商應：a)限制媒體訪問權限，根據(jù)服務模式和業(yè)務要求，僅允許特定人員、角色或信息系統(tǒng)組件訪問存儲客戶數(shù)據(jù)的媒體；b)[選擇：限制；禁止]在[賦值：云服務商定義的系統(tǒng)或組件]中使用[賦值：云服務商定義的媒體]。云服務商應：a)限制對各類媒體的訪問，并對媒體訪問操作進行審計；b)對各類媒體進行標記，以標明其中所含信息的分發(fā)限制、處理注意事項以及其他有關安全標記c)在受控區(qū)域中，采取物理控制措施安全地存放媒體，如磁帶、外置或可移動硬盤、Flash驅動器、光盤等，并對這些媒體提供持續(xù)安全保護，直到對其進行銷毀或凈化；d)在受控區(qū)域之外傳遞數(shù)字媒體時，采用密碼機制來保護其中信息的保密性和完整性；e)確保各類媒體在受控區(qū)域之外的傳遞過程得到記錄；f)當媒體從高風險區(qū)域返回時，檢測該媒體中的系統(tǒng)或組件是否受到篡改，例如：當本組織人員從高風險地區(qū)返回時，應對其移動設備、筆記本電腦或者其他組件進行檢測。云服務商應：a)采用自動機制限制對各類媒體的訪問，并對媒體訪問情況進行審計；b)在移動存儲媒體連接到云計算平臺之前，采用非破壞性技術對媒體進行凈化；c)對媒體凈化和診斷活動進行審核、批準、追溯、記錄和檢驗。9.3剩余信息保護云服務商應：a)確保用戶鑒別憑證等敏感信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除；b)確保大量存儲過敏感信息的存儲媒體在報廢、維修或重新利用前，采取技術措施清除信息。云服務商應：a)在云服務租戶解除存儲資源的使用后，確保被云服務租戶所解除的存儲資源的所有數(shù)據(jù)在物理存儲上被完全清除，例如：鏡像文件、快照文件在遷移或刪除虛擬機后能被完全清除；b)在客戶刪除業(yè)務應用數(shù)據(jù)時，刪除云計算平臺中存儲的所有副本；c)當存儲客戶數(shù)據(jù)的媒體在報廢、超出云服務商控制之外使用或回收再利用前，采取措施對其進行凈化，所采用凈化措施的強度、覆蓋范圍應與數(shù)據(jù)類別或敏感級別相匹配。無。9.4數(shù)據(jù)使用保護云服務商應使用數(shù)據(jù)挖掘防范和檢測技術，檢測和防范對客戶數(shù)據(jù)進行非授權的數(shù)據(jù)挖掘。無。9.5數(shù)據(jù)共享保護云服務商應：a)允許授權用戶判斷共享者的訪問授權是否符合[賦值：云服務商定義的信息共享環(huán)境]中的數(shù)據(jù)訪問限制策略，以確保數(shù)據(jù)共享安全；b)使用自動機制或人工過程，支持用戶的數(shù)據(jù)共享決策。無。9.6數(shù)據(jù)遷移保護云服務商應：a)在客戶服務合同到期時，安全地返還云計算平臺上的客戶數(shù)據(jù)；b)在客戶定義的時間內(nèi)，刪除云計算平臺上存儲的客戶數(shù)據(jù)，并確保不能以商業(yè)市場的技術手段恢復；c)為客戶數(shù)據(jù)遷移提供技術手段，并協(xié)助完成數(shù)據(jù)遷移，包括：1)具備在同架構云計算平臺上將客戶數(shù)據(jù)快速遷入或遷出的能力；2)具備在異構云計算平臺上將客戶數(shù)據(jù)遷入或遷出的能力；3)針對客戶數(shù)據(jù)量大等可能導致遷移過程執(zhí)行受阻的因素，制定應對措施；4)數(shù)據(jù)格式應支持主流硬件廠商的硬件平臺和操作系統(tǒng)平臺使用的典型數(shù)據(jù)庫產(chǎn)品，支持異構數(shù)據(jù)庫間的數(shù)據(jù)集成與協(xié)同，并保證多數(shù)據(jù)庫(異構或同構)之間的全局事務一致性；5)在數(shù)據(jù)遷移過程中，中止源云計算平臺上的客戶業(yè)務系統(tǒng)服務，停止數(shù)據(jù)訪問，并保持客戶數(shù)據(jù)的完整性。在遷移交付執(zhí)行過程中，云服務商應根據(jù)客戶需要，提供以下支持：a)將源云計算平臺上業(yè)務系統(tǒng)內(nèi)的數(shù)據(jù)與目標云計算平臺內(nèi)的新業(yè)務系統(tǒng)進行數(shù)據(jù)同步；b)提供客