可信云安全全景报告（2021）

CAICT中国信通院 可信云安全全景报告 TRUSTEDCLOUDSECURITY PANORAMICREPORT 目录 CATALOGUE 云安全标准与评估体系...01-06 零信任安全标准与评估体系07-12 业务安全标准与评估体系13-16 软件供应链安全标准与评估体系17-20 零信任实验室21-22 可信云安全评估全家福23-26 可信云安全企业优秀实践案例27-61 可信云安全评估企业总览62-68 CAICT中国信通院 推动安全生态发展 TRUSTEDCLDUDSECURITYPANORAMICREPORT 生态联盟零信任实验室软件供应链安全实验室 业务安全体系软件 基础研究零信任安全体系供应链标准评估安全体系 云安全体系 公共服务安全咨询安全保险 持续发布研究成果 TRUSTEDCLOUDSECURITYPANORAMICREPORT 2021年 《云安全全景观察》 《云服务安全治理白皮书》 《软件供应链安全白皮书》《零信任安全洞察报告》 《数字化时代零信任安全蓝皮报告》《业务安全润察报告》 《软件供应链安全润察报告》 2020年 《云计算安全责任共担白皮书》 《可信研发运营安全白皮书》 《云原生安全白皮书》 2019年 《云计算安全白皮书(2019年）》 2018年 《云服务商个人数据保护指南》 可信云安全 7全景报告 可信云安全体系 TRUSTEDCLOUDSECURITYPANORAMICREPORT 研发运营 应用安全 安全能力内容安全信贷风控营销风控钓鱼风控云保险 成熟度 业务安全 交易风控防伪潮源私城安全 研发运营安全工具 工作负验 安全 欢招安全网络安全免份安全安全管理信息 技术 软件安全 SAST数据安全管理零信任安全运营中心应用云恩码安全态势照知 保险 IAST 安全保险 RASP 软件供应链 零信任安全体采 云计算风险管理能力云计算安全责任共担模型网络安全 安全云服务安全云服务用户欲据保护能力保险 云安全 (laaS/PaaS/SaaS)（公有云、私有云） 99 01 1010 01100110 100110 1001100110 OLLOOLLOOL 1011001 1001 1001 10011001100110 110 10 J01100 011001 口1 0 01 100110 10 1001 0011001 09 1010 0110 100110 01100110011 10 10O110OL10O1 1100110 0011001100110 云安全标准与评估体系 01 001.10 LOO110O11OO110 1001 OOLLOOLLOOL CAICT中国信通院 云服务用户数据保护能力 TRUSTEDCLOUOSECURITYPANORAMIC-REPOR 云服务用户数据保护能力系列标准 《云服务用户数据保护能力参考框架》 《云服务用户数据保护能力评估方法第1部分：公有云》 .云服务用户数据保护能力评估方法第2部分：私有云3 ·数据持久性 ·数据防窃取性 ·款据迁移安全性 ●数遥私密性 ·数据可用性 ·数据销毁安全性 ·数送隐私性 ·数据访问安全性 ·款据返还安全性 ●数送知情权 ●款据传输安全性 。人员安全管控 事前防范事中保护事后追渊 入侵防范●应急响应 ·恶意代码防范·安全审计 ·售后服务与技术支持 服务可申查性 数据保护能力级别划分：基础级，增强级适用对象：云服务商，私有云建设企业 可信云安全 7全景报告 云计算风险管理能力 TRUSTEDCLOUDSECURITYPANORAMICREPOR 标准 《云计算风险管理框架》&ITU-TY.ccrmCloudComputingFrameworkofriskmanagement) 10个类别，122项指标，3个级别基础/增强/先进 风险管理组织架构云计算外部环境风险管理能力云计算平台风险管理能力云计算人员凤险管理能力 云计算管理流程风险管理能力云计算合规风险管理能力 云计算业务连续性风险管理能力科技外包风险管理能力风险沟通与监测风险处置 适用对象：云服务商，私有云建设企业 02 CAICT中国信通院 云计算安全责任共担 TRUSTEDCLOUDSECURITYPANORAMICREPORT 标准《云计算安全责任共担模型》 面向云服务提供者 面向云服务管理方云服务责任承担能力评估 责任管理情况责任承担情况告知用户情况 云服务责任管理能力评估&云计算安全责任共担模型标准 安全使用情况 云服务安全使用能力评估 面向云服务客户 可信云安全 >全景报告 云计算安全责任共担模型－公有云 laasPaasSaas IAM 数据 度用网络控制操作系统 资源抽效和管理 物理基础设施 云服务提供者云服务客户 CAICT中国信通院 laaS/Paas安全能力 TRUSTEDCLOUDSECURITYPANORAMICREPORT 标准《云计算服务安全要求第1部分：通用安全要求》可信云服务安全评估测评方法第1部分：云主机》 云主机物型机全居负规均街 基础级增强级GPU云主机快存能本地负建均街数抵库对象存销中间件 访问主体 访问和 操作行为 云服务 应用能力类型云服务 平台能力类型云服务 基础设施能力类型云服务 访间控安全审数据保 安全策略管理 aas:安全能力 TRUSTEDCLOUDSECURITYPANORAMICREPORT 标准《云计算服务安全要求第2部分：SaaS安全要求》 评估对象面向厂商的SaaS服务 22项考察指标 1按账户信息进行访问控制 2按资添行访问控利 3始一身份签别 7账号异常提示 8特权访问管理9数据机密性 13数据出境要求 14个人他息采集与保护15管理控割台操作审计 19基隔安全防护 20接口安全 21用户定义安全第路 4身份管理 5账户临时授权 10数据完整性11敏感数据保护 17日志保护 22策略可迁移性 6访问权限管理 12剩余信息保护 18输入故据验证 可信云安全 7全景报告 06 1 9 100110 10011001100110 01 10 0011001100110 零信任安全标准与评估体系 LOOL1OOLL 10 10110110O 1001100110 CAICT中国信通院 零信任安全能力 TRUSTEDCLOUDSECURITYPANORAMICREPORT 标准面向云计算的安全信任体系 第2部分：零信任安全能力要求 用户 评估场景 零信任访问 工作筑业 零信任访间 可用注资源监控 口形容性 限管理 涵用旋力要求 环境兼容性 安全管理要求 日志管理 身份可验证 用户零信任访间工作负靠零信任访间 A多源评估能力多源详信能力 终端安全监测工作负载监测 终端应用监测访问控制能力 终端设备检测态安全用围 关皮用场景 动态安全阻断网络管理 策路执行能力第路执行能力 数据保护能力 TRUSTEDCLOUDSECURITYPANORAMICREPORT 标准面向云计算的安全信任体系第4部分：数据保护能力要求 数据安全管理场景数据脱教场景 数据资产分类分级教感数据动态脱教 感数据管理款感数据静态脱教 数据安全计场景数据防泄漏场景 数据安全审计策路网络、存储、终端数据泄漏防护数据风险响应计划欧据泄训处置管理 数据加密场景数据加解密算法用户密钥管理 可信云安全 7全景报告 CAICT中国信通院 安全运营中心能力 TRUSTEDCLOUDSECURITYPANORAMICREPORT 标准“《面向云计算的安全运营中心能力要求》 通用模块事的防 民全集路管控 事中的应 平台能力要求人员能力要求 安全编排与自动化应 安全运营知识库实时监控和可化厚示 远营能力要求 运营考核臂理运营流程管理 评估对象 自建型SOC 企业或组织自己搭建平台，建设 托管型SOC 企业或组织租用安全运营中心平 共建型SOC 企业或组织自己搭建或外购技术 内部安全团队，建立安全运营流 台，购买安全托管服务，实现内部 平台，建立安全团队与流程规范 程与规范，进行运维。其中平台部 的资产与安全事件统一曾理，安 处理安全事伸，同时利用外部安 分，用户可以目已设计并开发平台，也可以外均成熟的平台与内 全运营。 全服务行协维、帮助， 部业务对接 11 可信云安全 之全景报告 安全态势感知能力 TRUSTEDCLOUDSECURITY.PANORAMICREPORT 标准《面向互联网云计算的安全态势感知平台能力要求》 服务核式要求SaaS秘有化部署 易用性可养性 动态性 安全性 可管理性 可扩展性 通用性 建设则要求 平台能力要求 安全 应用层 故据采集层数据存储与汁算层 据智能分析层 态势可化 日志检索与管理 安全事件监控与告警 资产管理 统计级表 响应与处置 12 6 100110 100110 011001 6 9 6 OL1OO1LDOL 9 1001 0110 100110 1001 11001 1010 1001100110 01 01 01 1001 610 011001100110 业务安全标准与评估体系 01 1OO11OOL10 口 10 CAICT中国信通院 业务安全风险控制能力 TRUSTEDCLOUDSECURITYPANORAMIC-REPORT 业务安全风验：业务正常退辑西临的被注用或募改的威物，导致的业务目的与业务结果产生的不确定性 业务风控场景 内容安全 违规片 违规文本钓鱼反欺诈 钓鱼网站 违规视频 违规音频 ·仿冒公众号 fS智APP 信贷反欺诈交易反欺诈 ·贷款业务·非法套现 开卡业务虚假交易 投保业务·盗卡交易 虚假商户 防伪燕源营销反欺诈私城安全 撸羊毛 知识产刷流量 别单 业务交互 《业务安全能力要求》系列标准： 《业务安全能力要求第1部分：内容风控安全》《业务安全能力要求第2部分：信贷风控安全》 《业务安全能力要求第3部分：营销风控安全》《业务安全能力要求第4部分：交易风控安全》 《业务安全能力要求第5部分：钓鱼风控安全》（业务安全能力要求第5部分：防伪激源》 《业务安全能力要求第7部分：私城安全 可信云安全之全景报告 1001101001 001100110 10.01.10 9 01.10 100110 10O11001 10110 0101 011001100110 10 01 6 1001 10 011001100110 O11OO1L0O1 □1100110 软件供应链安全标准与评估体系 011001100110 CAICT中国信通院 可信研发运营安全能力成熟度 TRUSTEDCLOUDSECURITYPANORAMICREPOR 要求阶段 设定安全门限要求项目角色及权限管理安全审计 配置市计环境管理亚亚管理开源及依频组件管理安全研发要求 管理制度 安全需家分析阶段 安全需求分析安全需求知识库 设计阶段安全设计原则受攻击面分析减肋建模风险消减设计 开发阶段安全编码代码安全中宣管理开源及依格组件安全风险 开源及依规组件确认 安全测试 验证阶段 漏羽扫描 模糕测试 添透测试 发布阶段 发布管理 安全性检查 事件响应计划 运营阶股 安全监控与防护安全运营风险评估 应急响应升级与变更管理股务与技术支持运营反馈 停用下线阶段服务下线方案与计划数据留存最小化原则 评估标准可信研发运营安全能力成熟度模型 评估对象对于企业的研发运营安全能力从全生命周期维度进行评估 分为基础级、增强级、先进级三个级别 19 可信云安全 全景报告 研发运营安全工具能力 TRUSTEOCLOUDSECURITYPANORAMICREPORT 研发运营安全工具系列标准 静态应用程序安全测试交互式应用性序索全测试 [SASD工E技力卖S卫工日能力装求 安 力求 护展性能力装求 扫拮分析能力要求 灵活性能力要求分析辅助尴力要求 兼容性能力要求 全性能力要求 开发流程嵌入能力要求 评估对象对于厂商提供的研发运营安全工具能力从用户视角出发进行评估帮助用户进行选型参考