ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T34942—2017

信息安全技術(shù)

云計(jì)算服務(wù)安全能力評(píng)估方法

Informationsecuritytechnology—Theassessmentmethodfor

securitycapabilityofcloudcomputingservice

2017-11-01發(fā)布2018-05-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T34942—2017

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

概述

4………………………2

評(píng)估原則

4.1……………2

評(píng)估內(nèi)容

4.2……………3

評(píng)估證據(jù)

4.3……………3

評(píng)估實(shí)施過程

4.4………………………3

系統(tǒng)開發(fā)與供應(yīng)鏈安全評(píng)估方法

5………………………5

策略與規(guī)程

5.1…………………………5

資源分配

5.2……………6

系統(tǒng)生命周期

5.3………………………7

采購過程

5.4……………8

系統(tǒng)文檔

5.5……………9

安全工程原則

5.6………………………10

關(guān)鍵性分析

5.7…………………………10

外部信息系統(tǒng)服務(wù)及相關(guān)服務(wù)

5.8……………………11

開發(fā)商安全體系架構(gòu)

5.9………………12

開發(fā)過程標(biāo)準(zhǔn)和工具

5.10、……………13

開發(fā)商配置管理

5.11…………………15

開發(fā)商安全測(cè)試和評(píng)估

5.12…………17

開發(fā)商提供的培訓(xùn)

5.13………………19

防篡改

5.14……………20

組件真實(shí)性

5.15………………………20

不被支持的系統(tǒng)組件

5.16……………21

供應(yīng)鏈保護(hù)

5.17………………………22

系統(tǒng)與通信保護(hù)評(píng)估方法

6………………25

策略與規(guī)程

6.1…………………………25

邊界保護(hù)

6.2……………26

傳輸保密性和完整性

6.3………………28

網(wǎng)絡(luò)中斷

6.4……………29

可信路徑

6.5……………29

密碼使用和管理

6.6……………………30

協(xié)同計(jì)算設(shè)備

6.7………………………30

移動(dòng)代碼

6.8……………30

Ⅰ

GB/T34942—2017

會(huì)話認(rèn)證

6.9……………31

移動(dòng)設(shè)備的物理連接

6.10……………32

惡意代碼防護(hù)

6.11……………………32

內(nèi)存防護(hù)

6.12…………………………34

系統(tǒng)虛擬化安全性

6.13………………34

網(wǎng)絡(luò)虛擬化安全性

6.14………………37

存儲(chǔ)虛擬化安全性

6.15………………37

訪問控制評(píng)估方法

7………………………39

策略與規(guī)程

7.1…………………………39

用戶標(biāo)識(shí)與鑒別

7.2……………………40

設(shè)備標(biāo)識(shí)與鑒別

7.3……………………41

標(biāo)識(shí)符管理

7.4…………………………41

鑒別憑證管理

7.5………………………42

鑒別憑證反饋

7.6………………………44

密碼模塊鑒別

7.7………………………44

賬號(hào)管理

7.8……………45

訪問控制的實(shí)施

7.9……………………46

信息流控制

7.10………………………47

最小特權(quán)

7.11…………………………48

未成功的登錄嘗試

7.12………………49

系統(tǒng)使用通知

7.13……………………50

前次訪問通知

7.14……………………50

并發(fā)會(huì)話控制

7.15……………………51

會(huì)話鎖定

7.16…………………………51

未進(jìn)行標(biāo)識(shí)和鑒別情況下可采取的行動(dòng)

7.17………52

安全屬性

7.18…………………………52

遠(yuǎn)程訪問

7.19…………………………53

無線訪問

7.20…………………………54

外部信息系統(tǒng)的使用

7.21……………54

信息共享

7.22…………………………55

可供公眾訪問的內(nèi)容

7.23……………56

數(shù)據(jù)挖掘保護(hù)

7.24……………………56

介質(zhì)訪問和使用

7.25…………………57

服務(wù)關(guān)閉和數(shù)據(jù)遷移

7.26……………58

配置管理評(píng)估方法

8………………………59

策略與規(guī)程

8.1…………………………59

配置管理計(jì)劃

8.2………………………59

基線配置

8.3……………60

變更控制

8.4……………61

配置參數(shù)的設(shè)置

8.5……………………63

最小功能原則

8.6………………………64

信息系統(tǒng)組件清單

8.7…………………65

Ⅱ

GB/T34942—2017

維護(hù)評(píng)估方法

9……………67

策略與規(guī)程

9.1…………………………67

受控維護(hù)

9.2……………67

維護(hù)工具

9.3……………68

遠(yuǎn)程維護(hù)

9.4……………69

維護(hù)人員

9.5……………70

及時(shí)維護(hù)

9.6……………71

缺陷修復(fù)

9.7……………71

安全功能驗(yàn)證

9.8………………………72

軟件固件信息完整性

9.9、、……………73

應(yīng)急響應(yīng)與災(zāi)備評(píng)估方法

10……………74

策略與規(guī)程

10.1………………………74

事件處理計(jì)劃

10.2……………………74

事件處理

10.3…………………………75

事件報(bào)告

10.4…………………………76

事件處理支持

10.5……………………77

安全警報(bào)

10.6…………………………78

錯(cuò)誤處理

10.7…………………………78

應(yīng)急響應(yīng)計(jì)劃

10.8……………………79

應(yīng)急培訓(xùn)

10.9…………………………81

應(yīng)急演練

10.10…………………………81

信息系統(tǒng)備份

10.11……………………82

支撐客戶的業(yè)務(wù)連續(xù)性計(jì)劃

10.12……………………84

電信服務(wù)

10.13…………………………84

審計(jì)評(píng)估方法

11…………………………85

策略與規(guī)程

11.1………………………85

可審計(jì)事件

11.2………………………86

審計(jì)記錄內(nèi)容

11.3……………………86

審計(jì)記錄存儲(chǔ)容量

11.4………………87

審計(jì)過程失敗時(shí)的響應(yīng)

11.5…………87

審計(jì)的審查分析和報(bào)告

11.6、…………88

審計(jì)處理和報(bào)告生成

11.7……………89

時(shí)間戳

11.8……………90

審計(jì)信息保護(hù)

11.9……………………90

不可否認(rèn)性

11.10………………………91

審計(jì)記錄留存

11.11……………………92

風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控評(píng)估方法

12………………………92

策略與規(guī)程

12.1………………………92

風(fēng)險(xiǎn)評(píng)估

12.2…………………………93

脆弱性掃描

12.3………………………93

持續(xù)監(jiān)控

12.4…………………………95

信息系統(tǒng)監(jiān)測(cè)

12.5……………………96

Ⅲ

GB/T34942—2017

垃圾信息監(jiān)測(cè)

12.6……………………98

安全組織與人員評(píng)估方法

13……………98

策略與規(guī)程

13.1………………………98

安全組織

13.2…………………………99

安全資源

13.3…………………………100

安全規(guī)章制度

13.4……………………100

崗位風(fēng)險(xiǎn)與職責(zé)

13.5…………………101

人員篩選

13.6…………………………101

人員離職

13.7…………………………102

人員調(diào)動(dòng)

13.8…………………………103

訪問協(xié)議

13.9…………………………104

第三方人員安全

13.10………………104

人員處罰

13.11………………………105

安全培訓(xùn)

13.12………………………106

物理與環(huán)境安全評(píng)估方法

14……………107

策略與規(guī)程

14.1………………………107

物理設(shè)施與設(shè)備選址

14.2……………107

物理和環(huán)境規(guī)劃

14.3…………………108

物理環(huán)境訪問授權(quán)

14.4………………109

物理環(huán)境訪問控制

14.5………………110

通信能力防護(hù)

14.6……………………112

輸出設(shè)備訪問控制

14.7………………112

物理訪問監(jiān)控

14.8……………………113

訪客訪問記錄

14.9……………………114

電力設(shè)備和電纜安全保障

14.10……………………114

應(yīng)急照明能力

14.11…………………115

消防能力

14.12………………………116

溫濕度控制能力

14.13………………117

防水能力

14.14………………………118

設(shè)備運(yùn)送和移除

14.15………………118

參考文獻(xiàn)

……………………119

Ⅳ

GB/T34942—2017

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國電子技術(shù)標(biāo)準(zhǔn)化研究院國家信息技術(shù)安全研究中心中國信息安全測(cè)評(píng)中

:、、

心中國電子科技集團(tuán)第研究所中國信息安全研究院有限公司上海市信息安全測(cè)評(píng)認(rèn)證中心中

、30、、、

國信息安全認(rèn)證中心中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司四川大學(xué)華東師范大學(xué)國家信息中心神州

、、、、、

網(wǎng)信技術(shù)有限公司浪潮北京電子信息有限公司華為技術(shù)有限公司阿里云計(jì)算有限公司深圳賽西

、()、、、

信息技術(shù)有限公司北京工業(yè)大學(xué)中標(biāo)軟件有限公司西安未來國際信息股份有限公司中金數(shù)據(jù)系統(tǒng)

、、、、

有限公司北京軟件產(chǎn)品質(zhì)量檢測(cè)檢驗(yàn)中心重慶郵電大學(xué)成都信息工程大學(xué)北京郵電大學(xué)西安電

、、、、、

子科技大學(xué)桂林電子科技大學(xué)河南科技大學(xué)北京航空航天大學(xué)中國傳媒大學(xué)

、、、、。

本標(biāo)準(zhǔn)主要起草人高林王惠蒞李京春何延哲任望梁露露劉賢剛范科峰上官曉麗楊晨

:、、、、、、、、、、

都婧張玲王強(qiáng)徐御周民徐云陳曉樺吳迪閔京華馬文平何道敬趙丹丹劉俊河梁滿劉虹

、、、、、、、、、、、、、、、

趙江黃敏陳雪秀徐寧崔玲萬國根陳曉峰楊力裴慶祺唐一鴻蔡磊葉潤國伍前紅黃永洪

、、、、、、、、、、、、、、

楊震李剛陳小松王勇張志勇毛劍姜正濤

、、、、、、。

Ⅴ

GB/T34942—2017

引言

信息安全技術(shù)云計(jì)算服務(wù)安全能力要求對(duì)云服務(wù)商提出了基本安全能力

GB/T31168—2014《》

要求反映了云服務(wù)商在保障云計(jì)算環(huán)境中客戶信息和業(yè)務(wù)的安全時(shí)應(yīng)具備的基本能力

,。

將云計(jì)算服務(wù)安全能力要求分為一般要求和增強(qiáng)要求增強(qiáng)要求是對(duì)一般要求的

GB/T31168—2014,

補(bǔ)充和強(qiáng)化在實(shí)現(xiàn)增強(qiáng)要求時(shí)一般要求應(yīng)首先得到滿足有的安全要求只列出了增強(qiáng)要求一般要

。,。,

求標(biāo)為無這表明具有一般安全能力的云服務(wù)商可以不實(shí)現(xiàn)此項(xiàng)安全要求在具體的應(yīng)用場(chǎng)景下

“”。。,

云服務(wù)商也可采用刪減補(bǔ)充替代等多種方式對(duì)安全要求進(jìn)行調(diào)整

、、。

本標(biāo)準(zhǔn)是的配套標(biāo)準(zhǔn)對(duì)應(yīng)于的第章第章規(guī)定的

GB/T31168—2014,GB/T31168—20145~14

要求本標(biāo)準(zhǔn)也從第章第章給出了相應(yīng)的評(píng)估方法本標(biāo)準(zhǔn)主要為第三方評(píng)估機(jī)構(gòu)開展云計(jì)算

,5~14。

服務(wù)安全能力評(píng)估提供指導(dǎo)第三方評(píng)估機(jī)構(gòu)可采用訪談檢查測(cè)試等多種方式制定相應(yīng)安全評(píng)估

。、、,

方案并實(shí)施安全評(píng)估

,。

Ⅵ

GB/T34942—2017

信息安全技術(shù)

云計(jì)算服務(wù)安全能力評(píng)估方法

1范圍

本標(biāo)準(zhǔn)規(guī)定了依據(jù)信息安全技術(shù)云計(jì)算服務(wù)安全能力要求開展評(píng)估的

GB/T31168—2014《