云计算服务安全能力要求解读

19thAsianGames Hengzhou2022 杭州2022年熟19层亚运会官方合作伙件 GB/T31168-2023 《信息安全技术云计算服务 安全能力要求》国国家标准解读 www.dbappsecurity.com.cn400-6059-110 GB/T31168-2023标准框架安恒信息数字经济的安全基石 云计算服务安全能力要求框架 一、范围二、规范性引用文件三、术语和定义四、缩略语 五、概述 5.1安全措施的实施责任5.2安全措施的作用范围5.3安全要求的分类5.4安全要求的表述形式5.5安全要求的调整5.6安全计划 六、系统开发与供应链安全七、系统与通信保护八、访问控制 和完整性保护 6.1资源分配6.2系统生命周期7.1边界保护7.2传输的保密性8.1用户标识与鉴别 8.2标识符管理8.3鉴别凭证管理8.4鉴别凭证反馈 6.3采购过程6.4系统文档7.3网络中断7.4可信路径8.5密码模块鉴别8.6账号管理8.7访问控制的实施8,8信息流控制 管理 6.5关键性分析6.6外部服务7.5密码使用和 7.6设备接入保护 8.10未成功的登 8.9最小特权录尝试 8.11系统使用通知8.12前次访问通知 6.7开发商安全6.8开发过程、标 7.7移动代码7.8会话认证 体系架构 准和工具 8.13并发会话控制8.14会话锁定B.15未进行标识和鉴别 8.16安全属性 6.9开发过程配6.10开发商安全测情况下可采取的行 置管理 试和评估 7.9恶意代码防护 7.10内存防护 6.11开发商提7.11系统虚拟7.12网络虚拟化8.17远程访问8.18无线访问8.19外部信总系统8.20可供公众访问 供的培 6.12组件真实性 化安全性安全性 的使用的内容 6.13不被支持的6.14供应链保护7.13存储虚拟化7.14安全管理功能 8.21WEB访问安全8.22API访问安全 系统组件 安全性 的通信保护 GB/T31168-2023标准框架安恒信息数字经济的安全基石 云计算服务安全能力要求框架（续 九、数据保护十、配置管理十一、维护管理十二、应急响应 9.1通用数据安全9.2媒体访问和使用10.1配置管理计划10.2基线配置11.1受控维护11.2维护工具12.1事件处理计划12.2事件处理 9.3剩余信息保护9.4数据使用保护 10.4配置参数的11.3远程维护11.4维护人员12.3事件报告12.4事件处理支持 10.3变更控制设置 10.6信息系统组件 11.5及时维护11.6缺陷修复12.5安全警报12.6错误处理 9.5数据共享保护9.6数据迁移保护10.5最小功能原则 清单11.8软件和固件完 11.7安全功能验证整性 12.7应急响应计划12.8应急响应培训 十三、审计十五、安全组织与人员十六、物理与环境安全12.9应急演练12.10信息系统备份 13.1可审计事件13.2审计记录内容 15.1安全策略与 15.2安全组织16.1物理设施与16.2物理和环境 规程 规划 设备选址 12.11支撑客户的 业务连续性计划 12.12电信服务 13.3审计记录存储13.4审计过程失败15.3岗位风险与 容量时的响应 职责15.4人员筛选 16.3物理环境访 16.4物理环境访十四、风险评估与持续监控 分析和报告告生成 13.5审计的审查、13.6审计处理和报15.5人员离职15.6人员调动问授权问控制14.1风险评估 14.2脆弱性扫描 13.7时间13.8审计信息保护 15.7第三方人员安 全 15.8人员处罚 16.5输出设备访问 控制 16.6物理访问监控 14.3持续监控14.4信息系统监测 移除 13.9抗抵赖性13.10审计记录留存15.9安全培训16.7访客访问记录16.8设备运送和 14.5垃圾信息监测 附录A【资料性】安全能力要求汇总附录B【资料性】本文件的实现情况描述 GB/T31168-2023与GB/T31168-2014标准对比恒信息数字经济的安全基石 GB/T31168-2014GB/T31168-2023 本标准描述了以社会化方式为特定客户提供云计算服务时，云服务商应具备的安全技术能力。 本标准适用于对政府部门使用的云计算服务进行安全管 本文件规定了云服务商提供云计算服务时应具备的安全能力。 理，也可供重点行业和其他企事业单位使用云计算服务本文件适用于对云计算服务能力的建设、监督、管理 时参考，还适用于指导云服务商建设安全的云计算平台和评估。 和提供安全的云计算服务 安全要求分类（10类）安全要求分类（11类） 系统开发与系统与通信访问控制配置管理系统开发与系统与通信 访问控制配置管理 供应链安全保护供应链安全保护 应急响应与 维护灾备 风险评估与 审计 持续监控 维护管理应急响应数据保护审计 安全组织与物理与环境风险评估与安全组织与物理与环境 人员保护持续监控人员保护 安全要求分级（2级安全要求分级（3级） 般要求增强要求一般要求增强要求高级要求 三、GB/T31168-2023修订思路安恒信息数字经济的安全基石 ■标准修订旨保持标准的技术先进性，满足《云计算服务安全评估》政策要求，并结合《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施保护条例》《网络安全审查办法》等法律法规中相关规定，充分有效支撑云评估工作。 ■结合云服务安全评估工作中对标准的应用实践，不做颠覆性改动，修改具体条款。 ■与31167修订及云计算相关标准保持一致，体现指南中提出的新内容。 借鉴简化 不等于降低标准要求，涵盖GBT31167所有风险点，减少一般性条款，减少意义不大、测评耗时耗人力的条款，减少风险不高的条款 明确阐述条款内容， 增加举例明晰通用 减少赋值和选择操作 协调强化 强化重点安全项，突出评估目的是满足国家安全需求。 四、云计算安全要求的表达与实现安恒信息数字经济的安全基石 5.1云计算安全措施的实施责任 客户 云计算服务的安全性由 云服务商和政府用户共应用软件 同保障 软件平台 虚拟化计算资源 基础设施能力类型 云计算安全措施的实施主体有多个，各类主体的安全责任因不同的云 应用能力类型 平台能力类型 资源抽象控制层 硬件 计算服务模式而异。设施 云服务商 基础设地能力类型 四、云计算安全要求的表达与实现安恒信息数字经济的安全基石 5.2云计算安全措施的作用范围 在同一个云计算平台上，可能有多个应用系统或服务。云服务商申请为客户提供云计算服务时，所申请的每一类云计算应用或服务均应实现本标准规定的安全要求，并以三种形式，标明所采取的每项安全措施的作用范围。 通用安全措施 范围M 作用于整个云计算平台可混合安全措施 被直接继承该安全措施。一部分属于通用安全措施，另一 如：人员安全措施。 部分则属于专用安全措施。如电 000子邮件系统的应急响应计划。 专用安全措施 仅针对特定的应用。如电子邮件系统的访问控制措施。 四云计算安全要求的表达与实现安恒信息数字经济的安全基石 6.系统开发与供应链安全 从系统开发角度，强调了云服务商的安全保证能力，特别是对云计算平台上产品和服务的供应链安全提出了要求，自的是关键环节要使用安全可控产品和服务 7.系统和通信保护在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通信，并确保系统 5.3虚拟化网络虚拟化、存储虚拟化的安全。 8.访问控制对保护客户数据和用户隐私、防止非授权行为等提出了要求。 9.数据保护 要求云服务商严格保护云计算平台的客户在境内运营中收集和产生的客户数据并在境 内存储，且提供数据分类分级及安全保护、重要数据的备份与恢复等功能。 10.配置管理对云计算平台提出了配置管理要求。 11.维护管理要求云服务商应定期维护云计算平台设施和软件系统。 ，要求云服务商确保在紧急情况下重要信息资源的可用性、有效处理安全事件，以确保 12.应急响应 13.审计 客户业务可持续。 强调了云计算平台上的审计功能，并对审计的查阅提出了有别于传统信息系统的更强 的安全要求。 14.风险评估与持续监控要求云服务商对云计算平台进行风险评估，并对受保护目标进行持续安全监控。 安全要求的分类 15.安全组织与人员。强调了云服务商及第三方的人员安全，重点关注云服务商人员是否安全可控。 行物理接触。 16.物理与环境安全要求云服务商的机房位于中国境内，并严格限制各类人员与运行中的云计算平台设备进 四、云计算安全要求的表达与实现恒信息数字经济的安全基石 5.4安全要求的表述形式 云计算服务安全能力要求 依据GB/T31167一2023，本文件般要求增强要求高级要求将云计算服务安全能力要求分为一般要 求、增强要求和高级要求。 高级 所有的客户数据都应该得到适当保 护，为不同类型的数据提供相应的保护增强 能力；所有的客户业务都应得到适当保 护，保证业务的安全性和连续性。增强 务关键业务业务类型 四、云计算安全要求的表达与实现安恒信息数字经济的安全基石 5.4安全要求的表述形式 赋值[赋值选择[选择：.... “赋值”表示云服务为增加标准灵活性“选择”表示云服务商在实现安全要求时引入了“赋值”和商在实现安全要求时要由云服务商定义具应选择一个给定的数 体的数值或内容。“选择”这两种变量值或内容。 1示例：云服务商应在[赋值：云服务商定义的时间段]后，自动 [选择：删除；禁用]临时和应急账号。 四、云计算安全要求的表达与实现安恒信息数字经济的安全基石 5.5安全要求的调整 为云服务商实现安全要求带来灵活性 调整可视为对本文件提出的基本安全能力要求的具体化。 删减 未实现某项安全要求，或只实现了某项 安全要求的一部分 补充 调整的方式有：某项安全要求不足以满足云服务商的特定安全目标，故增加新的安全要求，或 对标准中规定的某项安全要求进行强化 替代 使用其他安全要求替代标准中规定的某 项安全要求，以满足相同的安全目标 四、云计算安全要求的表达与实现安恒信息数字经济的安全基石 5.5安全要求的调整 为云服务商实现安全要求带来灵活性 《云计算服务安全能力要求》提出的安全要求是通常情况下云服务商应具备的基本安全能力。在具体的应用场景下，云服务商有可能需要对这些安全要求进行调整，例如： 已知某些自标客户有特殊的需求 云服务商的安全责任因应用能力类型、平台能力类型和基础设施能力类型等不同的云能力类型不同，云服务商为了实现本文件中规定的安全要求，所选择的安全措施的实施范围、实施强度可能不同； 出于成本等因素考虑，实现替代性的安全要求 具有更强的安全能力 四、云计算安全要求的表达与实现安恒信息|数字经济的安全基石 5.6安全计划 为了建立向客户提供安全的云计算服务的能力，云服务商应制定安全计划，详细说明对本文件 提出的安全要求的实现情况。 云服务商应在安全计划中对“赋值”和“选择”给出具体的数值或内容，必要时还需对本文件提出的安全要求进行调整。 安全计划包括但不限于以下内容： 为实现《能力要求》规为实现《能力要求》规 云计算平台的基本描述定的安全要求而采取的定的安全要求而采取的 安全措施的具体情况安全措施的作用范围 对云服务商新增的安在具体云计算服务模式 全自标及对应的安全 下，对政府用户安全责 措施的说明任的说明，以及对政府用户应实施的安全措施的建议 四、云计算安全要求的表达与实现安恒信息数字经济的安全基石 附录A（资料性）安全能力要求汇总 依据GB门31167一2023，采用云计算服务时，宜选择具有相应安全能力的云计算服务，确保客户数据和 客户业务得到适当保护。 承载敏感类数据的一般业务和重要业务，客户根据实际情况进行判断，属于承载一 承载公开类数据的一般业务宜选择至般敏感数据的业务，宜选择至少达到增强 少达到一般安全能力的云计算服务。安全能力的云计算服务：属于承载重要、 核心数据的业务，宜选择达到高级安全能 力的云计算服务。 承载公开类数据的重要业务