信息安全技术云计算服务安全能力评估方法Word格式.docx

1、4.2增加相应章节，1、描述安全评估系统要求，安全配件要求。成都大学本标准只规范评估方法，不涉及评估系统。8.建议修改格式，“涉及”格式为斜体国家信息技术安全研究中心采纳。9.5.3.1a）检查云服务商是否定义系统生命周期、并定义生命周期各节点及特征；西安未来国际有限公司系统生命周期定义可参考已有国标。10.5.4.2f）检查开发商提供的说明文档是否有对功能、端口、协议和服务的详细说明，并列出不必要和高风险的功能、端口、协议或服务，并查看是否已禁用。11.测试应用信息系统设计、开发、实现和修改过程中的机制，是否实现自动化机制。能力要求不涉及自动化机制12.5.9.2b）将“得”改为“的”13.

2、5.10.2c）5.10.2f）增加句号。14.5.11.1a）评估方法测试系统、组件或服务的在设计、开发、实现、运行过程中的配置管理方式，是否实现自动化管理。15.5.12.2a）检查开发阶段所使用的静态代码分析工具配置；16.5.12.2e）检查开发商的渗透性测试相关文档（测试计划、测试报告）只看报告就能体现。17.6.2.1b）评估方法是否对外公开的组件与内部网络划分为不同的子网络，18.6.2.2a）评估方法搭建物理独立的计算资源池、存储资源池和网络资源池同能力要求描述方式。19.6.2.2b）测试是否具有对大规模攻击流量进行清洗或防护的能力。原评估方法中已经包含此内容。20.6.2.

3、2d）检查外部通信接口授权审批策略；21.检查安全计划书、安全设计文档，是否使用符合国家密码管理法律法规的通信加密和签名验签算法及设施，是否有国家密码管理局认定测评机构出具的检测报告或证书。测试云服务商所使用到的通信加密和签名验签设施是否与设计文档要求相一致；22.建议收敛测试方法，因密码设备测试认可有一套严格管理规定，建议以审查相关权威机构发放的认可证书为准。（具体需要进一步落实国家密码管理局、涉密信息系统相关管理规定）。23.增加-测试云计算平台用户和系统安全功能之间是否建立了一条可信的通信路径。24.6.8.2b）验证禁止自动执行机制是否有效；云服务的云服务管理平台难于验证。25.对6.

4、11.1c）的评估方法增加-在网络出入口以及系统中的主机、移动计算设备上放置一段恶意代码，测试防护措施是否能够检测并予以响应。原评估方法已包括该内容。26.6.11.2b）检查恶意代码自动更新记录，包含版本信息、更新时间等；27.6.12.22-测试非授权代码是否能够执行；28.对6.13.1b）的评估方法第三条文字修改为：测试当虚拟机镜像文件被恶意篡改时，是否有完整性校验机制能够防止对镜像文件的恶意篡改。CETC30所/张玲29.6.13.1b）对6.13.1b）的评估方法第四条对6.13.1b）的评估方法第四条文字修改：测试已经被一台虚拟机挂载的逻辑卷是否能够被其它虚拟机挂载。30.6.1

5、3.1c）对6.13.1c）的评估方法第四条文字修改为：检查安全计划书、信息系统架构设计文档、或其他相关文档是否提供虚拟机只能访问分配给该虚拟机的物理磁盘的技术机制；31.的评估方法为第五条和第六条建议删除。32.6.13.1d）对6.13.1d）的评估方法为第二条建议删除。33.6.13.2d）对6.13.2d）的评估方法第三条：修改为在物理机操作系统上读取虚拟机镜像文件，查看是否进行加密保护；34.6.13.2d）的评估方法第四条删除。35.6.14.1a）对6.14.1a）的第二条评估方法修改为：检查虚拟网络资源实际配置是否与文档中规定的网络隔离和访问控制策略相符；对虚拟网络资源进行数据

6、访问或网络扫描，测试网络隔离和访问控制措施是否生效。36.6.14.1b）第二条与第三条建议合并，并修改文字。对6.14.1b）的评估方法修改为：检查安全计划书、信息系统架构设计文档、或其他相关文档是否为访问云服务的网络和内部管理云的网络之间采取隔离和访问控制措施；检查实际的网络资源配置是否与文档所规定的网络隔离和访问控制策略相符。在访问云服务的网络和内部管理云的网络之间尝试进行数据交互或是网络扫描，检测网络间的隔离和访问控制措施是否生效。37.6.15.1c）第三条和第四条为第二条的测试用例和场景，放在这里过细。建议删除，并对第二条进行文字修改。对6.15.1c）的评估方法为：检查安全计划书

7、、信息系统架构设计文档、或其他相关文档，是否对不同客户所使用的虚拟存储资源之间有逻辑隔离的机制。测试客户是否无法发现并访问其他客户所使用的存储资源，客户间的存储资源访问性能是否相互影响。38.6.15.1d）对6.15.1d）的评估方法的第三条和第四条内容重复。建议合并对6.15.1d）的评估方法第三条和第四条修改为：在租户解除存储资源的使用后，例如释放存储空间、虚拟机迁移或删除等，检测原物理存储资源上的数据（如镜像文件、快照文件、备份文件等数）是否被清除。39.6.15.1e）对6.15.1e）的评估方法第二条修改为：模拟虚拟存储数据的常规操作和异常操作，检测是否有审计记录，审计记录信息要素

8、是否完备，审计记录是否不能被修改和删除。标准是宏观共性的评估方法，不涉及具体用例。40.6.15.2a）对6.15.2a）的评估方法第二条修改为：检查存储协议级数据访问授权策略配置信息是否与文档规定的授权机制相符；以非授权用户或方式进行存储协议级数据访问，测试是否成功。41.6.15.2b）对6.15.2b）的评估方法修改为检查安全计划书、信息系统架构设计文档、或其他相关文档，检查或分析是否提供了一定机制以便客户部署满足国家密码管理规定的数据加密方案用以保护客户的私有数据。42.e）e）的评估方法为修改为：在赋值：云服务商定义的时间段用户处于不活动状态，测试该用户是否被禁止使用。43.b）b）

9、的评估方法为第一条：检查访问脚本是否包含未加密的静态鉴别凭证。44.c）c）的评估方法为第二条修改为：查看接收记录，当接收凭证时是否经过本人或可信第三方确认。45.7.8.1a）检查账号管理员角色是否与自然人绑定、责任明确；评估方法按照能力要求的评估内容来定。46.b）的评估方法为：检查远程访问会话是否采取相关密码机制保证远程会话的机密性和完整性。利用网络抓包等技术手段测试会话数据是否进行了加密保护。47.7.21.1a）检查是否列出了何种情况可以授权外部访问云平台；48.检查是否列出了何种情况可以授权外部访问对云计算平台上的信息进行处理、存储或存储；49.）检查配置管理计划的保护措施是否可以

10、防止非授权的泄露和变更。50.8.4.2.b检查云计算平台相关设备系统的日志、配置记录等信息，证明对云计算平台上的变更实施物理和逻辑访问控制；原评估方法已经包含了此内容。51.8.5.2.a设置测试用例测试自动机制可以有效地对配置参数进行集中管理、应用和验证的功能。52.8.6.1.a将云计算平台必需功能对应的验收报告、功能白皮书等说明文档与云平台现有配置进行比对，证明对云计算平台按照仅提供必需功能进行配置。云计算平台配置非常繁杂，一一验证难以实现。53.e检查是否有强制手段确保在远程维护完成后是否终止会话和网络连接。不强调使用强制手段。54.检查是否建立备品备件列表并对备件进行抽样检测确保其

11、可用性。55.a检查应急响应计划文档，查看其是否包含了容量规划的内容；检查容量规划文档是否明确了必要的信息处理容量、通信容量和环境支持能力。原评估方法已体现。56.检查异地系统级热备设计文档、管理平台，对热备设施进行测试验证是否按照云服务商定义的频率对系统级信息进行增量备份，是否按照云服务商定义的频率对系统级信息进行全量备份。57.a）检查实际的脆弱性扫描工具，查看其是否开启了自动升级功能，当前使用漏洞库的发布时间、版本。58.检查风险评估和持续监控策略，是否明确定义了脆弱性扫描额广度和深度；检查脆弱性扫描工具扫描策略，所定义的扫描广度和深度是否满足系统风险评估安全策略要求。检查脆弱性扫描历史

12、结果，核查扫描使用的策略是否满足系统风险评估安全策略要求。59.检查管理垃圾信息机制是否有集中管控的手段。检查管理垃圾信息机制集中管控的手段是否有效。60.检查管理垃圾信息机制是否有自动升级功能。检查管理垃圾信息机制历史升级记录。标准草案，2015年6月11日，信安标委秘书处中期检查61.建议评估方法能够细化，能够支撑GB/T31168落地。顾建国张建军左晓栋62.建议围绕落实GB/T31168附件中系统安全计划模版编制。63.应增强访谈方法的应用。杜虹64.术语应统一。卿斯汉65.在具体标准项评估方法中，应将访谈、检查、测试分开。66.能否将Iaas、PaaS、SaaS进行分类。不是本标准的

13、范围。67.建议将标准英文名称assessment改为evaluation。崔书昆参照GB/T25069的术语。68.引言建议引言的第一段删掉。冯惠69.建议增加整体框图评估阶段的划分比较简单，描述即较容易理解。70.2规范性引用文件添加GB/T2506971.明确评估依据，评估内容等，应与第五章有对应标准草案，2015年7月30日，信安标委秘书处专家评审72.这个标准本身是标准符合性测试，是过程导向的。但是审查是结果导向的，如果按照这个审，不容易审出来。李京春标准给出针对能力要求的对应评估方法，审查时可参考，并按照相关规定审查。73.标准中有的有一般要求，有的没有一般要求，有的有增强，有的没

14、有增强，这样很乱。例如：防篡改，没有一般要求，可评估时没有一般项要求不合适。因此，一般要求即使原标准中没有要求，评估中也应该有。增强的可以没有。本标准是能力要求的配套标准，一般要求和增强要求与原标准保持一致。74.在法律上有的，在标准中应该体现。75.后续持续监督的内容是否要在本标准中体现；76.如何判断，如何给出判据，如何打分，是个很重要的问题；而且评估是提高云服务商的安全能力，应该让云服务商来了解怎么做是符合要求的。77.评估方法应跟能力要求协调一致，如果原标准有错误，这个改正，但要声明。78.这个标准可以用于审查，但目前这个标准不能和审查紧相关。79.现在很多地方政府都在做云，应该让他们

15、知道这个事，去试用这个标准。80.全篇的括号格式未统一，31168用的是中文括号，本标准新增内容用的是英文括号81.标题建议考虑assessment和evaluation。82.特定用户、社会化，要么增加术语定义，要么不用。肖京华陈兴蜀闵京华采纳，修改“范围”。83.可重用是指在适用的情况下，对云计算平台中采购的商业现货产品采用或参考其已有的测评结果。语法不太妥。此外，不仅仅是可重用对现货产品的测评结果，对于同一服务商的平台，还有很多测评结果可以重用，例如服务商自身的信息安全体系等。84.保密原则是指测评人员应对涉及云服务商利益的商业信息严格保密。还有很多信息也要保密。例如云平台上已有的信息，

16、例如第三方的信息。85.4增加描述，将是按照一般要求还是按照增强要求等来进行安全评估与前面的能力要求、指南等联系起来。86.关于一般和增强，如果能力要求中有，可拿过来。评估的内容，根据不同的对象，分为两级，一般和增强，在评估方法中，应该有句话来说明，评估为一般能力和增强能力。87.在具体应用三种评估方法中，应组合应用，可增加这么一句话。88.评估实施过程最好画张图。89.第5章到第14章标题同能力要求相似，建议增加“评估方法”90.检查规划文档、设计文档、实施文档、运维文档等相关文档，查看其是否有信息安全风险管理内容；增加“查看其是否包含风险评估报告”。91.建议进一步查看云服务商是否有技术措

17、施限制协同设备插入92.要有测试，针对这项要求还应制定一批测试用例。93.要有测试94.虚拟化的测试是个难点。标准中写到什么程度？不好把握，建议大家讨论。也可以原则些。但如能更加明确，则更好。95.应该先检查云服务商是怎么定义用户的。定义了哪些用户？什么角色？如何管理？对云平台而言，“用户”和“管理员”复杂化了。例如，云平台运营者本身有“用户”和“管理员”的概念，而客户在使用云时，也有“用户”和“管理员”的概念。CSP应该把这些说清楚。96.7本章中的很多要求，要借助“测试”来验证，建议梳理本章（及其他可能的章节）中的“检查”用语。该改为“测试”的就测试，该增加“测试”的要增加评估方法。97.

18、现在这个标准应与能力要求紧相关，增加参考文献。标准草案，2015年8月至2015年9月，标准试用及审查办意见98.第二段标准用途表述不充分，建议调整结构。99.全文参考能力要求和指南，统一本标准中人员名称和文档名称中国电子技术标准化研究院100.3.2定义中只出现了云计算服务，并未定义云服务，但是正文中多次提到云服务。建议定义云服务，可明确指出云计算服务可简称云服务，或将正文中的云服务统一改为云计算服务审查办101.3定义和能力要求标准一样，未针对本标准相关参与方和活动进行定义，如在4.1、4.2出现评估工作和评估人员等内容，在3中无定义。建议在3术语和定义中增加评估相关人员或活动的定义。10

19、2.对现场评估的描述中缺少测试的相关内容。建议增加测试相应内容。103.灵活原则描述缺少主语，建议增加主语。104.“最大程度减少对云服务商的风险”，减少描述不妥当，建议改为降低。105.4.5标准存在第三方机构、第三方评估机构说法，不够统一。106.评估实施过程描述过于简单，无法较好的指导实施。在评估过程中，沟通需提供的证据很重要。细化评估实施过程，增加沟通需提供证据的内容。107.系统开发与供应链安全策略和规程、系统开发与供应链安全策略与规程等说法不统一，很多这样的情况。108.对b）的评估方法两个“工作计划和预算文件中”，存在重复。109.a的评估方法存在标点符号错误“。”，建议修改为分

20、号。110.b的评估方法里面存在标点符号错误，建议修改为分号。111.对b）d）的评估方法存在标点符号“。”错误，建议修改为分号。112.对j）的评估方法存在标点符号“。113.d）e）的评估方法存在标点符号“。114.c）的评估方法为：（1）检查系统开发与供应链安全策略与规程等相关文档，查看其是否定义了在云服务商定义的频率或云服务商定义的情况下，需检测是否受到篡改的信息系统、组件或设备；语句不通顺，后面多一个“是否”（2）检查检测篡改的记录，查看云服务商是对所定义的信息系统、组件或设备按照要求实施了篡改检测。语句不通顺，缺少一个否。115.e）的评估方法存在标点符号“。116.5.15.2.2b）检查报告赝品组件的记录等相关文档，查看其是否按照要求报告；访谈所定义的人员和角色等相关人员，询问其赝品组件报告情况。应先访谈是否有赝品组件，然后再检查。117.c）的评估方法中，访谈无法实现“查看其”内容。118.d）的评估方法存在标点符号“；”错误，建议修改为句号。119.f）的评估方法,访谈中多一个保护。