华为云沙特阿拉伯网络安全遵从性指南

华为云沙特阿拉伯网络安全遵从性指南 文档版本1.1 发布日期2023-12-25 华为云计算技术有限公司 版权所有©华为云计算技术有限公司2023。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为云计算技术有限公司 地址：贵州省贵安新区黔中大道交兴功路华为云数据中心邮编：550029网址：https://www.huaweicloud.com/ 目录 1概述1 1.1背景与发布目的1 1.2适用的沙特阿拉伯的网络安全监管要求简介1 1.3名词定义2 2华为云安全合规3 3华为云安全责任共担6 4华为云全球基础设施7 5华为云如何符合《ECC基本网络安全控制》的要求8 5.1网络安全治理8 5.1.1网络安全战略8 5.1.2网络安全管理9 5.1.3网络安全政策与程序10 5.1.4网络安全角色与责任11 5.1.5网络安全风险管理11 5.1.6信息技术项目管理中的网络安全13 5.1.7网络安全标准、法律及法规合规15 5.1.8定期网络安全审查与审计16 5.1.9人力资源网络安全17 5.1.10网络安全意识和培训计划18 5.2网络安全防御20 5.2.1资产管理20 5.2.2身份与访问管理22 5.2.3信息系统与信息处理设施保护24 5.2.4电子邮件保护27 5.2.5网络安全管理28 5.2.6移动设备安全32 5.2.7数据和信息保护33 5.2.8密码学35 5.2.9备份与恢复管理38 5.2.10漏洞管理40 5.2.11渗透测试43 5.2.12网络安全事件日志与监控管理44 5.2.13网络安全事件与威胁管理47 5.2.14物理安全49 5.2.15Web应用安全51 5.3网络安全弹性53 5.3.1业务连续性管理(BCM)的网络安全弹性方面53 5.4第三方与云计算网络安全56 5.4.1第三方网络安全56 5.4.2云计算与托管网络安全59 6华为云如何符合《CCC云计算控制》的要求61 6.1网络安全治理61 6.1.1网络安全角色与责任61 6.1.2网络安全风险管理62 6.1.3网络安全标准、法律和法规合规62 6.1.4人力资源网络安全63 6.1.5网络安全变更管理64 6.2网络安全防御65 6.2.1资产管理65 6.2.2身份与访问管理66 6.2.3信息系统和信息处理设施保护68 6.2.4网络安全管理72 6.2.5移动设备安全74 6.2.6数据和信息保护75 6.2.7密码学76 6.2.8备份与恢复管理77 6.2.9漏洞管理78 6.2.10渗透测试78 6.2.11网络安全事件日志与监控管理79 6.2.12网络安全事件与威胁管理80 6.2.13物理安全82 6.2.14Web应用安全82 6.2.15密钥管理83 6.2.16系统开发安全84 6.2.17存储介质安全86 6.3网络安全弹性87 6.3.1业务连续性管理(BCM)的网络安全弹性87 6.4第三方网络安全88 6.4.1供应链与第三方网络安全88 7华为云如何符合《CRF网络安全监督框架》的要求90 7.1网络安全治理90 7.1.1网络安全策略90 7.1.2网络安全管理91 7.1.3网络安全合规93 7.1.4网络安全审计94 7.1.5网络安全意识&培训95 7.1.6项目管理中的网络安全97 7.1.7人力资源中的网络安全98 7.2资产管理101 7.2.1资产发现101 7.2.2资产分类103 7.2.3自带设备104 7.2.4可接受的使用策略105 7.2.5资产维护106 7.2.6资产的安全处置107 7.3网络安全风险管理108 7.3.1网络安全风险评估108 7.3.2网络安全风险处置与监控110 7.4逻辑安全111 7.4.1密码学111 7.4.2变更管理114 7.4.3漏洞管理115 7.4.4补丁管理117 7.4.5网络安全119 7.4.6日志与监控125 7.4.7身份和访问管理和特权访问管理129 7.4.8应用程序白名单133 7.4.9事件管理134 7.4.10恶意软件处理138 7.4.11信息保护141 7.4.12备份与恢复管理144 7.4.13配置管理与加固149 7.4.14安全软件开发151 7.4.15电子邮件和网络浏览器保护154 7.4.16渗透测试155 7.5物理安全156 7.5.1安全设备和区域156 7.5.2物理访问管理158 7.5.3环境保护160 7.5.4场外资产160 7.6第三方安全161 7.6.1云服务161 7.6.2外包服务163 8结语167 9历史版本168 1概述 1.1背景与发布目的 在科技发展的浪潮中，越来越多的组织在逐渐寻求业务转型并希望借助先进信息技术以降低成本、提升运营效率、实现业务模式的创新。不过，在信息技术得到广泛运用的同时，网络安全事件也随之不断出现。为了规范对信息技术的运用，巩固与提升国家网络安全水平，沙特阿拉伯国家网络安全局（NCA）与通信、空间和技术委员会 （CST）发布了一系列网络安全监管要求。 华为云作为云服务供应商，致力于协助客户满足这些监管要求，持续为客户提供符合监管要求的云服务及业务运行环境。本文将针对客户在使用云服务时通常需遵循的沙特阿拉伯网络安全监管要求，详细阐述华为云将如何协助其满足这些监管要求。 1.2适用的沙特阿拉伯的网络安全监管要求简介 国家网络安全局（NCA）：是主要负责沙特阿拉伯网络安全相关的监管和运营职能，负责该国网络安全的政府实体，它与公共和私营实体密切合作，以改善国家的网络安全态势，以维护其重要利益、国家安全、关键基础设施、高优先级部门和政府服务和符合2030年愿景的活动。 《ECC基本网络安全控制》：基本网络安全控制考虑了沙特阿拉伯王国所有组织和部门的网络安全需求，是关键国家基础设施(CNI)组织必须遵守最低网络安全要求。 《CCC云计算控制》：云计算控制是对基本网络安全控制的扩展和补充，旨在从云服务提供商和云服务租户的角度定义云计算的网络安全要求，以提高安全性并降低所有服务和用户的网络风险。 通信、空间和技术委员会(CST)：负责组织沙特阿拉伯王国的通信、空间和信息技术部门，监督制定ICT相关法规的标准化。该组织向运营商提供许可证，规范该行业，并监控国家境内互联网的使用。该组织前身是沙特通信和信息技术委员会（CITC）。2022年11月10日，沙特通信和信息技术委员会（CITC）正式更名为沙特通信、空间和技术委员会(CST)。 《CRF网络安全监督框架》：旨在提高信息和电信部门（ICT）的网络安全成熟度。CRF要求按照国际最佳实践和当地网络安全法规来更好地管理网络安全风险，LSP必须实施这些要求，以满足最低安全要求。 1.3名词定义 华为云 华为云是华为的云服务品牌，致力于提供稳定可靠、安全可信、可持续创新的云服务。 资产 对组织有价值的任何有形或无形的东西。包含各种类型的资产，例如：人员、机器、公共事业、专利、软件、服务、信息和特征。 服务提供商 根据外包安排向组织提供服务的实体以及实体的分支机构。 关键国家基础设施(CNI) 这些资产（即设施、系统、网络、流程以及操作和处理它们的关键运营商）的损失或易受安全漏洞影响可能导致：•对基本服务的可用性、整合或交付产生重大负面影响，包括可能导致严重财产损失和/或生命和/或伤害的服务，以及对经济和/或社会的重大影响。•对国家安全和/或国防和/或国家经济或国家能力产生重大影响。 云技术堆栈 实现云计算服务必不可少的技术分层架构：（数据中心基础设施、局域网、存储/计算/超融合硬件、管理程序、云管理平台、虚拟设备、操作系统、应用软件、运维平台、云安全技术等）。 密码学原语 一种用于为安全系统构建密码协议的低级算法。它被密码设计者用作他们最基本的构建块。这些构建块是密码系统的一部分，密码系统是实现特定安全服务所需的一套密码算法，例如加密函数或单向哈希函数。 LSP CST许可或注册的组织。 2华为云安全合规 华为云继承了华为公司完备的管理体系以及IT系统的建设和运营经验，对华为云各项服务的集成、运营及维护进行主动管理，并持续改进。截至目前，华为云已获得众多全球性、区域性和行业特定的安全合规的权威认证，全力保障客户部署业务的安全。 关于更多华为云的安全合规信息以及获取相关合规证书，可参见华为云官网“信任中心-合规中心”。 华为云部分标准类认证/鉴证示例： 认证 描述 ISO27001:2022 ISO27001是目前国际上被广泛接受和应用的信息安全管理体系认证标准。该标准以风险管理为核心，通过定期评估风险和对应的控制措施来有效保证组织信息安全管理体系的持续运行。 ISO27017:2015 ISO27017是针对云计算信息安全的国际认证。ISO27017的通过，表明华为云在信息安全管理能力达到了国际公认的最佳实践。 ISO27018:2019 ISO27018是专注于云中个人数据保护的国际行为准则。ISO27018的通过，表明华为云已满足国际认可的公有云个人数据保护措施的要求，可保证客户个人数据安全。 TL9000&ISO9001 ISO9001是ISO9000族标准所包括的一组质量管理体系核心标准之一，用于证实组织具有提供满足顾客要求和适用法规要求的产品的能力。TL9000是一个建立在ISO9001基础上的，由全球电信业优质供应商联盟（QuESTForum）针对全球信息和通讯技术（ICT）行业特定设计的、为ICT产品和服务供方提供的一套通用的质量管理体系要求。它包括了ISO9001的所有要求，ISO9001将来的任何改动也会导致TL9000 认证 描述的改动。华为云取得了ISO9001/TL9000认证证书，表明华为云可以为您提供更快，更好和更具成本效益的服务。 ISO20000-1:2018 ISO20000是针对信息技术服务管理领域的国际标准，提供设计、建立、实施、运行、监控、评审、维护和改进服务管理体系的模型以保证服务供应商可提供有效的IT服务来满足客户和业务的需求。 ISO22301:2019 ISO22301是国际公认的业务连续性管理体系标准，通过对风险的识别、分析和预警来帮助组织规避潜在事件的发生，并且制定完备的“业务连续性计划”，有效地应对中断发生后的快速恢复，保持核心功能正常运行，将损失和恢复成本降至最低。 CSASTAR认证 CSASTAR认证是由标准研发机构BSI（英国标准协会）和CSA（云安全联盟）合作推出的国际范围内的针对云安全水平的权威认证，旨在应对与云安全相关的特定问题，协助云计算服务商展现其服务成熟度的解决方案。 ISO27701:2019 ISO27701规定了建立、实施、维护和持续改进隐私相关所特定的管理体系的要求。华为云通过ISO27701表明了其在个人数据保护具有健全的体制。 BS10012:2017 BS10012是BSI发布的个人信息数据管理体系标准，BS10012认证的通过表明华为云在个人数据保护上拥有完整的体系以保证个人数据安全。 ISO29151:2017 ISO29151是国际个人身份信息保护实践指南。ISO29151的通过，表明华为