2.等保2.0-云计算安全扩展要求-权重表.xlsx

2.等保2.0-云计算安全扩展要求-权重表.xlsx

《2.等保2.0-云计算安全扩展要求-权重表.xlsx》由会员分享，可在线阅读，更多相关《2.等保2.0-云计算安全扩展要求-权重表.xlsx（2页珍藏版）》请在冰豆网上搜索。

序序号号安安全全类类或或层层面面安安全全控控制制点点第第一一级级第第一一级级权权重重第第二二级级第第二二级级权权重重第第三三级级第第三三级级权权重重第第四四级级第第四四级级权权重重第第一一级级权权重重第第二二级级权权重重第第三三级级权权重重第第四四级级权权重重1安全物理环境基础设施位置应保证云计算基础设施位于中国境内。

1应保证云计算基础设施位于中国境内。

1应保证云计算基础设施位于中国境内。

1应保证云计算基础设施位于中国境内。

111112安全通信网络网络架构a）应保证云计算平台不承载高于其安全保护等级的业务应用系统；1a）应保证云计算平台不承载高于其安全保护等级的业务应用系统；1a）应保证云计算平台不承载高于其安全保护等级的业务应用系统；1a）应保证云计算平台不承载高于其安全保护等级的业务应用系统；111113b）应实现不同云服务客户虚拟网络之间的隔离。

0.4b）应实现不同云服务客户虚拟网络之间的隔离；0.4b）应实现不同云服务客户虚拟网络之间的隔离；0.4b）应实现不同云服务客户虚拟网络之间的隔离；0.40.40.40.40.44c）应应具具有有根根据据云云服服务务客客户户业业务务需需求求提提供供通通信信传传输输、边边界界防防护护、入入侵侵防防范范等等安安全全机机制制的的能能力力。

1c）应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力；1c）应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力；11115d）应应具具有有根根据据云云服服务务客客户户业业务务需需求求自自主主设设置置安安全全策策略略的的能能力力，包包括括定定义义访访问问路路径径、选选择择安安全全组组件件、配配置置安安全全策策略略；1d）应具有根据云服务客户业务需求自主设置安全策略的能力，包括定义访问路径、选择安全组件、配置安全策略；1116e）应应提提供供开开放放接接口口或或开开放放性性安安全全服服务务，允允许许云云服服务务客客户户接接入入第第三三方方安安全全产产品品或或在在云云计计算算平平台台选选择择第第三三方方安安全全服服务务。

1e）应提供开放接口或开放性安全服务，允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务；0.410.47f）应应提提供供对对虚虚拟拟资资源源的的主主体体和和客客体体设设置置安安全全标标记记的的能能力力，保保证证云云服服务务客客户户可可以以依依据据安安全全标标记记和和强强制制访访问问控控制制规规则则确确定定主主体体对对客客体体的的访访问问；118g）应应提提供供通通信信协协议议转转换换或或通通信信协协议议隔隔离离等等的的数数据据交交换换方方式式，保保证证云云服服务务客客户户可可以以根根据据业业务务需需求求自自主主选选择择边边界界数数据据交交换换方方式式；119h）应应为为第第四四级级业业务务应应用用系系统统划划分分独独立立的的资资源源池池。

1110安全区域边界访问控制应在虚拟化网络边界部署访问控制机制，并设置访问控制规则。

1a）应在虚拟化网络边界部署访问控制机制，并设置访问控制规则；1a）应在虚拟化网络边界部署访问控制机制，并设置访问控制规则；1a）应在虚拟化网络边界部署访问控制机制，并设置访问控制规则；1111111b）应应在在不不同同等等级级的的网网络络区区域域边边界界部部署署访访问问控控制制机机制制，设设置置访访问问控控制制规规则则。

1b）应在不同等级的网络区域边界部署访问控制机制，设置访问控制规则。

1b）应在不同等级的网络区域边界部署访问控制机制，设置访问控制规则。

111112入侵防范a）应应能能检检测测到到云云服服务务客客户户发发起起的的网网络络攻攻击击行行为为，并并能能记记录录攻攻击击类类型型、攻攻击击时时间间、攻攻击击流流量量等等；1a）应能检测到云服务客户发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等；0.4a）应能检测到云服务客户发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等；0.410.40.413b）应应能能检检测测到到对对虚虚拟拟网网络络节节点点的的网网络络攻攻击击行行为为，并并能能记记录录攻攻击击类类型型、攻攻击击时时间间、攻攻击击流流量量等等；1b）应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等；0.4b）应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等；0.410.40.414c）应应能能检检测测到到虚虚拟拟机机与与宿宿主主机机、虚虚拟拟机机与与虚虚拟拟机机之之间间的的异异常常流流量量。

1c）应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量；0.4c）应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量；0.410.40.415d）应应在在检检测测到到网网络络攻攻击击行行为为、异异常常流流量量情情况况时时进进行行告告警警。

1d）应在检测到网络攻击行为、异常流量情况时进行告警。

0.410.416安全审计a）应应对对云云服服务务商商和和云云服服务务客客户户在在远远程程管管理理时时执执行行的的特特权权命命令令进进行行审审计计，至至少少包包括括虚虚拟拟机机删删除除、虚虚拟拟机机重重启启；1a）应对云服务商和云服务客户在远程管理时执行的特权命令进行审计，至少包括虚拟机删除、虚拟机重启；0.4a）应对云服务商和云服务客户在远程管理时执行的特权命令进行审计，至少包括虚拟机删除、虚拟机重启；0.410.40.417b）应应保保证证云云服服务务商商对对云云服服务务客客户户系系统统和和数数据据的的操操作作可可被被云云服服务务客客户户审审计计。

1b）应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。

0.4b）应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。

0.410.40.418安全计算环境身份鉴别当当远远程程管管理理云云计计算算平平台台中中设设备备时时，管管理理终终端端和和云云计计算算平平台台之之间间应应建建立立双双向向身身份份验验证证机机制制。

1当远程管理云计算平台中设备时，管理终端和云计算平台之间应建立双向身份验证机制。

0.410.419访问控制a）应保证当虚拟机迁移时，访问控制策略随其迁移；0.4a）应保证当虚拟机迁移时，访问控制策略随其迁移；0.4a）应保证当虚拟机迁移时，访问控制策略随其迁移；0.4a）应保证当虚拟机迁移时，访问控制策略随其迁移；0.40.40.40.40.420b）应允许云服务客户设置不同虚拟机之间的访问控制策略。

0.4b）应允许云服务客户设置不同虚拟机之间的访问控制策略。

0.4b）应允许云服务客户设置不同虚拟机之间的访问控制策略。

0.4b）应允许云服务客户设置不同虚拟机之间的访问控制策略。

0.40.40.40.40.421入侵防范a）应应能能检检测测虚虚拟拟机机之之间间的的资资源源隔隔离离失失效效，并并进进行行告告警警；1a）应能检测虚拟机之间的资源隔离失效，并进行告警；0.410.422b）应应能能检检测测非非授授权权新新建建虚虚拟拟机机或或者者重重新新启启用用虚虚拟拟机机，并并进进行行告告警警；1b）应能检测非授权新建虚拟机或者重新启用虚拟机，并进行告警；0.410.423c）应应能能够够检检测测恶恶意意代代码码感感染染及及在在虚虚拟拟机机间间蔓蔓延延的的情情况况，并并进进行行告告警警。

1c）应能够检测恶意代码感染及在虚拟机间蔓延的情况，并进行告警。

0.410.424镜像和快照保护a）应应针针对对重重要要业业务务系系统统提提供供加加固固的的操操作作系系统统镜镜像像或或操操作作系系统统安安全全加加固固服服务务；1a）应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务；0.4a）应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务；0.410.40.425b）应应提提供供虚虚拟拟机机镜镜像像、快快照照完完整整性性校校验验功功能能，防防止止虚虚拟拟机机镜镜像像被被恶恶意意篡篡改改。

1b）应提供虚拟机镜像、快照完整性校验功能，防止虚拟机镜像被恶意篡改；0.4b）应提供虚拟机镜像、快照完整性校验功能，防止虚拟机镜像被恶意篡改；0.410.40.426c）应应采采取取密密码码技技术术或或其其他他技技术术手手段段防防止止虚虚拟拟机机镜镜像像、快快照照中中可可能能存存在在的的敏敏感感资资源源被被非非法法访访问问。

1c）应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。

0.410.427数据完整性和保密性应确保云服务客户数据、用户个人信息等存储于中国境内，如需出境应遵循国家相关规定。

1a）应确保云服务客户数据、用户个人信息等存储于中国境内，如需出境应遵循国家相关规定；1a）应确保云服务客户数据、用户个人信息等存储于中国境内，如需出境应遵循国家相关规定；1a）应确保云服务客户数据、用户个人信息等存储于中国境内，如需出境应遵循国家相关规定；1111128b）应应确确保保只只有有在在云云服服务务客客户户授授权权下下，云云服服务务商商或或第第三三方方才才具具有有云云服服务务客客户户数数据据的的管管理理权权限限；1b）应确保只有在云服务客户授权下，云服务商或第三方才具有云服务客户数据的管理权限；0.4b）应保证只有在云服务客户授权下，云服务商或第三方才具有云服务客户数据的管理权限；0.410.40.429c）应应确确保保虚虚拟拟机机迁迁移移过过程程中中重重要要数数据据的的完完整整性性，并并在在检检测测到到完完整整性性受受到到破破坏坏时时采采取取必必要要的的恢恢复复措措施施。

1c）应使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性，并在检测到完整性受到破坏时采取必要的恢复措施；0.4c）应使用校验技术或密码技术保证虚拟机迁移过程中重要数据的完整性，并在检测到完整性受到破坏时采取必要的恢复措施；0.410.40.430d）应应支支持持云云服服务务客客户户部部署署密密钥钥管管理理解解决决方方案案，保保证证云云服服务务客客户户自自行行实实现现数数据据的的加加解解密密过过程程。

1d）应支持云服务客户部署密钥管理解决方案，保证云服务客户自行实现数据的加解密过程。

0.410.431数据备份恢复a）云云服服务务客客户户应应在在本本地地保保存存其其业业务务数数据据的的备备份份；1a）云服务客户应在本地保存其业务数据的备份；1a）云服务客户应在本地保存其业务数据的备份；111132b）应应提提供供查查询询云云服服务务客客户户数数据据及及备备份份存存储储位位置置的的能能力力。

1b）应提供查询云服务客户数据及备份存储位置的能力；0.4b）应提供查询云服务客户数据及备份存储位置的能力；0.410.40.433c）云云服服务务商商的的云云存存储储服服务务应应保保证证云云服服务务客客户户数数据据存存在在若若干干个个可可用用的的副副本本，各各副副本本之之间间的的内内容容应应保保持持一一致致；1c）云服务商的云存储服务应保证云服务客户数据存在若干个可用的副本，各副本之间的内容应保持一致；0.410.434d）应应为为云云服服务务客客户户将将业业务务系系统统及及数数据据迁迁移移到到其其他他云云计计算算平平台台和和本本地地系系统统提提供供技技术术手手段段，并并协协助助完完成成迁迁移移过过程程。

1d）应为云服务客户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段，并协助完成迁移过程。

0.410.435剩余信息保护a）应应保保证证虚虚拟拟机机所所使使用用的的内内存存和和存存储储空空间间回回收收时时得得到到完完全全清清除除；1a）应保证虚拟机所使用的内存和存储空间回收时得到完全清除；0.4a）应保证虚拟机所使用的内存和存储空间回收时得到完全清除；0.410.40.436b）云云服服务务客客户户删删除除业业务务应应用用数数据据时时，云云计计算算平平台台应应将将云云存存储储中中所所有有副副本本删删除除。

1b）云服务客户删除业务应用数据时，云计算平台应将云存储中所有副本删除。

0.4b）云服务客户删除业务应用数据时，云计算平台应将云存储中所有副本删除。

0.410.40.437安全管理中心集中管控a）应应能能对对物物理理资资源源和和虚虚拟拟资资源源按按照照策策略略做做统统一一管管理理调调度度与与分分配配；1a）应能对物理资源和虚拟资源按照策略做统一管理调度与分配；0.410.438b）应应保保证证云云计计算算平平台台管管理理流流量量与与云云服服务务客客户户业业务务流流量量分分离离；1b）应保证云计算平台管理流量与云服务客户业务流量分离；0.410.439c）应应根根据据云云服服务务商商和和云云服服务务客客户户的的职职责责划划分分，收收集集各各自自控控制制部部分分的的审审计计数数据据并并实实现现各各自自的的集集中中审审计计；1c）应根据云服务商和云服务客户的职责划分，收集各自控制部分的审计数据并实现各自的集中审计；0.410.440d）应应根根据据云云服服务务商商和和云云服服务务客客户户的的职职责责划划分分，实实现现各各自自控控制制部部分分，包包括括虚虚拟拟化化网网络络、虚虚拟拟机机、虚虚拟拟化化安安全全设设备备等等的的运运行行状状况况的的集集中中监监测测。

1d）应根据云服务商和云服务客户的职责划分，实现各自控制部分，包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测。

0.410.441安全建设管理云服务商选择a）应选择安全合规的云服务商，其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力；1a）应选择安全合规的云服务商，其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力；1a）应选择安全合规的云服务商，其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力；1a）应选择安全合规的云服务商，其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力；1111142b）应在服务水平协议中规定云服务的各项服务内容和具体技术指标；0.4b）应在服务水平协议中规定云服务的各项服务内容和具体技术指标；0.4b）应在服务水平协议中规定云服务的各项服务内容和具体技术指标；0.4b）应在服务水平协议中规定云服务的各项服务内容和具体技术指标；0.40.40.40.40.443c）应在服务水平协议中规定云服务商的权限与责任，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。

0.4c）应在服务水平协议中规定云服务商的权限与责任，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等；0.4c）应在服务水平协议中规定云服务商的权限与责任，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等；0.4c）应在服务水平协议中规定云服务商的权限与责任，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等；0.40.40.40.40.444d）应应在在服服务务水水平平协协议议中中规规定定服服务务合合约约到到期期时时，完完整整提提供供云云服服务务客客户户数数据据，并并承承诺诺相相关关数数据据在在云云计计算算平平台台上上清清除除。

1d）应在服务水平协议中规定服务合约到期时，完整提供云服务客户数据，并承诺相关数据在云计算平台上清除；0.4d）应在服务水平协议中规定服务合约到期时，完整提供云服务客户数据，并承诺相关数据在云计算平台上清除；0.410.40.445e）应应与与选选定定的的云云服服务务商商签签署署保保密密协协议议，要要求求其其不不得得泄泄露露云云服服务务客客户户数数据据。

1e）应与选定的云服务商签署保密协议，要求其不得泄露云服务客户数据。

0.410.446供应链管理应确保供应商的选择符合国家有关规定。

1a）应确保供应商的选择符合国家有关规定；1a）应确保供应商的选择符合国家有关规定；1a）应确保供应商的选择符合国家有关规定；1111147b）应应将将供供应应链链安安全全事事件件信信息息或或安安全全威威胁胁信信息息及及时时传传达达到到云云服服务务客客户户。

1b）应将供应链安全事件信息或安全威胁信息及时传达到云服务客户；0.4b）应将供应链安全事件信息或安全威胁信息及时传达到云服务客户；0.410.40.448c）应应将将供供应应商商的的重重要要变变更更及及时时传传达达到到云云服服务务客客户户，并并评评估估变变更更带带来来的的安安全全风风险险，采采取取措措施施对对风风险险进进行行控控制制。

1c）应保证供应商的重要变更及时传达到云服务客户，并评估变更带来的安全风险，采取措施对风险进行控制。

0.410.449安全运维管理云计算环境管理云云计计算算平平台台的的运运维维地地点点应应位位于于中中国国境境内内，境境外外对对境境内内云云计计算算平平台台实实施施运运维维操操作作应应遵遵循循国国家家相相关关规规定定。

1云计算平台的运维地点应位于中国境内，境外对境内云计算平台实施运维操作应遵循国家相关规定。

1云计算平台的运维地点应位于中国境内，境外对境内云计算平台实施运维操作应遵循国家相关规定。

1111数据完整性和保密性