云计算服务安全能力要求Word文档格式.docx

1、3.7云计算环境 cloud environment包括由云服务商提供的云基础设施，及客户在云基础设施之上部署的软件及相关组件的集合。 4概述4.1 云计算的安全责任云计算服务的安全性由云服务商和客户共同保障。在某些情况下，云服务商还要依靠其他组织提 供计算资源和服务，其他组织也应承担信息安全责任。因此，云计算安全措施的实施主体有多个，各 类主体的安全责任因不同的云计算服务模式而异。控制范围图 4-1 云计算服务模式与控制范围的关系软件即服务（SaaS）、平台即服务（PaaS）、基础设施即服务（IaaS）是3种基本的云计算服务模式。 如图4-1所示，在不同的服务模式中，云服务商和客户对计算资源

2、拥有不同的控制范围，控制范围则决 定了安全责任的边界。云计算的物理资源层、资源抽象和控制层都处于云服务商的完全控制下，所有 安全责任由云服务商承担。服务层的安全责任责则由双方共同承担，越靠近底层（即IaaS）的云计算 服务，客户的管理和安全责任越大；反之，云服务商的管理和安全责任越大。在SaaS中，云服务商需要承担物理资源层、资源抽象和控制层、操作系统、应用程序等的相 关责任。客户则需要承担自身数据安全、客户端安全等的相关责任；在PaaS中，云服务商需要承担物理资源层、资源抽象和控制层、操作系统、开发平台等的相 关责任。客户则需要承担应用部署及管理，以及SaaS中客户应承担的相关责任；IaaS

3、中，云服务商需要承担物理资源层、资源抽象和控制层等的相关责任，客户则需要承担 操作系统部署及管理，以及PaaS、SaaS 中客户应承担的相关责任。考虑到云服务商可能还需要其他组织提供的服务，如SaaS或PaaS服务提供商可能依赖于IaaS服务 提供商的基础资源服务。在这种情况下，一些安全措施由其他组织提供。因此，云计算安全措施的实施责任有 4 类，如表 4-1 所示。表 4-1 云计算安全措施的实施责任责任示例云服务商承担在 SaaS 模式中，云服务商对平台上安装的软件进行安全升级。客户承担在 IaaS 模式中，客户对其安装的应用中的用户行为进行审计。云服务商和客户共 同承担云服务商的应急演练

4、计划需要与客户的信息安全应急演练计划相协调。在实施应急演练时，需要 客户与云服务商相互配合。2本标准不对客户承担的安全责任提出要求。客户应参照云计算服务安全指南及其他国家、行 业有关信息安全的标准规范落实其安全责任。如云服务商依赖于其他组织提供的服务或产品，则其所承担的信息安全责任直接或间接地转移至 其他组织，云服务商应以合同或其他方式对相应安全责任进行规定并予以落实。但是，云服务商仍是 客户监管的直接对象。4.2 云计算安全措施的作用范围在同一个云计算平台上，可能有多个应用系统，某些信息安全措施应作用于整个云计算平台，平 台上每个具体的应用系统直接继承该安全措施即可。例如，云服务商的人员安全

5、措施即适用于云计算 平台上每一个应用系统。这类安全措施称为通用安全措施。某些安全措施则仅是针对特定的应用，例如云计算平台上电子邮件系统的访问控制措施与字处理 系统的访问控制措施可能不同。这类安全措施称为专用安全措施。在特殊情况下，某些安全措施的一部分属于通用安全措施，另一部分则属于专用安全措施，例如 云计算平台上电子邮件系统的应急响应计划既要利用云服务商的整体应急响应资源（如应急支援队伍）， 也要针对电子邮件系统的备份与恢复作出专门考虑，这类安全措施称为混合安全措施。云服务商申请为客户提供云计算服务时，所申请的每一类云计算应用均应实现本标准规定的安全 要求，并以通用安全措施、专用安全措施或混合

6、安全措施的形式，标明所采取的每项安全措施的作用 范围。4.3 安全要求的分类本标准对云服务商提出了基本安全能力要求，反映了云服务商在保障云计算平台上客户信息和业 务信息安全时应具有的基本能力。这些安全要求分为 10 类，每一类安全要求包含若干项具体要求。10 类安全要求分别是：系统开发与供应链安全：云服务商应在开发云计算平台时对其提供充分保护，为其配置足够 的资源，并充分考虑信息安全需求。云服务商确保其下级供应商采取了必要的安全措施。云服务商还 应为客户提供与安全措施有关的文档和信息，配合客户完成对信息系统和业务的管理。系统与通信保护：云服务商应在云计算平台的外部边界和内部关键边界上监视、控制

7、和保护 网络通信，并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性。访问控制：云服务商应严格保护云计算平台的客户数据和用户隐私，在授权信息系统用户及 其进程、设备（包括其他信息系统的设备）访问云计算平台之前，应对其进行身份标识及鉴别，并限 制授权用户可执行的操作和使用的功能。配置管理：云服务商应对云计算平台进行配置管理，在系统生命周期内建立和维护云计算平 台（包括硬件、软件、文档等）的基线配置和详细清单，并设置和实现云计算平台中各类产品的安全 配置参数。维护：云服务商应定期维护云计算平台设施和软件系统，并对维护所使用的工具、技术、机 制以及维护人员进行有效的控制，且做好相

8、关记录。应急响应与灾备：云服务商应为云计算平台制定应急响应计划，并定期演练，确保在紧急情 况下重要信息资源的可用性。云服务商应建立事件处理计划，包括对事件的预防、检测、分析、控制、 恢复及用户响应活动等，对事件进行跟踪、记录并向相关人员报告。服务商应具备灾难恢复能力，建 立必要的备份设施，确保客户业务可持续。审计：云服务商应根据安全需求和客户要求，制定可审计事件清单，明确审计记录内容，实 施审计并妥善保存审计记录，对审计记录进行定期分析和审查，还应防范对审计记录的未授权访问、 篡改和删除行为。风险评估与持续监控：云服务商应定期或在威胁环境发生变化时，对云计算平台进行风险评 估，确保云计算平台的

9、安全风险处于可接受水平。服务商应制定监控目标清单，对目标进行持续安全3监控，并在异常和非授权情况发生时发出警报。安全组织与人员：云服务商应确保能够接触客户信息或业务的各类人员（包括供应商人员） 上岗时具备履行其信息安全责任的素质和能力，在授予相关人员访问权限之前对其进行审查并定期复 查，在人员调动或离职时履行安全程序，对于违反信息安全规定的人员进行处罚。物理与环境保护：云服务商应确保机房位于中国境内，机房选址、设计、供电、消防、温湿 度控制等符合相关标准的要求。云服务商应对机房进行监控，严格限制各类人员与运行中的云计算平 台设备进行物理接触，确需接触的，需通过云服务商的明确授权。4.4 安全要

10、求的表述形式本标准将云计算服务安全能力要求分为一般要求和增强要求。组织应对拟迁移至云计算平台的信 息和业务系统进行分析，按照信息的敏感程度和业务的重要程度选择相应安全能力水平的云服务商。 GBXXXXX-XXXX云计算服务安全指南给出了数据、业务类型与安全保护要求之间的对应关系。本标准中每一项安全要求均以一般要求和增强要求的形式给出。增强要求是对一般要求的补充和 强化。在实现增强要求时，一般要求应首先得到满足。有的安全要求只列出了增强要求，一般要求标为“无”。这表明具有一般安全能力的云服务商可以 不实现此项安全要求。即使对同等安全能力水平的云服务商，其实现安全要求的方式也可能会有差异。为此，本

11、标准在 描述安全要求时引入了“赋值”和“选择”这两种变量，并以赋值：和选择：；的形式给 出。“赋值”表示云服务商在实现安全要求时，要由云服务商定义具体的数值或内容。“选择”表示云服务 商在实现安全要求时，应选择一个给定的数值或内容。云服务商在向客户提供云计算服务前，应确定并实现“赋值”和“选择”的具体数值或内容。 “赋值”和“选择”示例如下：云服务商应在赋值：云服务商定义的时间段后，自动选择：删除；禁用临时和应急账号。 4.5 安全要求的调整本标准提出的安全要求是通常情况下云服务商应具备的基本安全能力。在具体的应用场景下，云 服务商有可能需要对这些安全要求进行调整。调整的方式有：删减：未实现某

12、项安全要求，或只实现了某项安全要求的一部分。补充：某项基本安全要求不足以满足云服务商的特定安全目标，故增加新的安全要求，或对 标准中规定的某项安全要求进行强化。替代：使用其他安全要求替代标准中规定的某项安全要求，以满足相同的安全目标。 调整的原因有多种，例如：已知某些目标客户有特殊的需求。云服务商的安全责任因 SaaS、PaaS 和 IaaS 这 3 种不同的云计算模式而不同，云服务商为了 实现本标准中规定的安全要求，所选择的安全措施的实施范围、实施强度可能不同。出于成本等因素考虑，云服务商可能希望实现替代性的安全要求。云服务商希望表现更强的安全能力，以便于吸引客户。4.6 安全计划为了建立向

13、客户提供安全的云计算服务的能力，云服务商应制定安全计划，详细说明对本标准提 出的安全能力要求的实现情况。云服务商应在安全计划中对“赋值”和“选择”给出具体的数值或内容， 必要时还应对本标准提出的安全要求进行调整。当云计算平台上有多个应用系统时，云服务商应分别制定每个系统的安全计划。安全计划包括但不限于以下内容：云计算平台的基本描述，包括： 系统拓扑； 系统运营单位；4 与外部系统的互联情况； 云服务模式和部署模式； 系统软硬件清单； 数据流等。为实现本标准规定的安全要求而采取的安全措施的具体情况。对每项安全要求，云服务商均 应在以下 5 个选项中选择其一作为对实现情况的整体描述，并针对性地提供

14、详细说明： 满足，说明为满足安全要求而采取的具体措施； 部分满足，对已满足的安全要求应说明所采取的具体措施，对不满足的安全要求应说明 理由； 计划满足，说明时间进度安排以及在此期间的风险管控措施； 替代，说明替代理由并说明所实现的安全目标与原安全要求之间的关系； 不满足，说明理由。为实现本标准提出的安全要求而采取的安全措施的作用范围。对通用安全措施或混合安全措 施中的通用部分，可只在其中一个应用系统的安全计划中说明该措施的实施情况，其余安全计划中不 再详细说明，或针对通用安全措施制定一份专门的安全计划。对云服务商新增的安全目标及对应的安全措施的说明。对客户安全责任的说明，以及对客户应实施的安全

15、措施的建议。附录 A 给出了安全计划的模板。4.7 本标准的结构本标准共包括 10 个安全要求章节（第 5 章至第 14 章）。每个章节名称及其所含主要安全要求的数 目是：第 5 章 系统开发与供应链安全（17 个）第 6 章 系统与通信保护（14 个）第 7 章 访问控制（27 个）第 8 章 配置管理（7 个）第 9 章 维护（9 个）第 10 章 应急响应与灾备（13 个）第 11 章 审计（11 个）第 12 章 风险评估与持续监控（6 个）第 13 章 安全组织与人员（14 个）第 14 章 物理与环境保护（15 个）本标准还包括附录 A：安全计划模板。注：本标准中章节的顺序不表明其

16、重要性。另外，本标准的其他排列也没有优先顺序，除非特别 注明。5系统开发与供应链安全5.1 策略与规程5.1.1 一般要求云服务商应：a）制定如下策略与规程，并分发至赋值：云服务商定义的人员或角色：1）系统开发与供应链安全策略（包括采购策略等），涉及以下内容：目的、范围、角色、责 任、管理层承诺、内部协调、合规性。2）相关规程，以推动系统开发与供应链安全策略及与有关安全措施的实施。b）按照赋值：云服务商定义的频率审查和更新系统开发与供应链安全策略及相关规程。5.1.2 增强要求5无。5.2 资源分配5.2.1 一般要求a）在系统建设规划中考虑系统的安全需求。b）确定并分配保护信息系统和服务所需

17、的资源（如有关资金、场地、人力等），并在预算管理过 程中予以重点考虑。c）在工作计划和预算文件中，将信息安全作为单列项予以说明。5.2.2 增强要求5.3 系统生命周期5.3.1 一般要求a）将信息安全纳入赋值：云服务商定义的系统生命周期，确保信息安全措施同步规划、同步建 设、同步运行。b）确定整个信息系统生命周期内的信息安全角色和责任。c）将信息安全角色明确至相应责任人。d）将信息安全风险管理过程集成到系统生命周期活动中。5.3.2 增强要求5.4 采购过程5.4.1 一般要求云服务商应根据相关法律、法规、政策和标准的要求，以及可能的客户需求，并在风险评估的基 础上，将以下内容列入信息系统采

18、购合同：a）安全功能要求。b）安全强度要求。c）安全保障要求。d）安全相关文档要求。e）保密要求。f）开发环境和预期运行环境描述。g）验收准则。h）强制配置要求，如功能、端口、协议和服务。5.4.2 增强要求a）提供或要求信息系统、组件或服务的开发商提供所使用的安全措施的功能描述，如对外提供的 安全功能或机制。b）提供或要求信息系统、组件或服务的开发商提供所使用的安全措施的设计和实现信息，包括： 选择（可多选）：安全相关的外部系统的接口；高层设计；低层设计；源代码或硬件原理图；赋值： 云服务商定义的其他设计或实现信息 ，其详细程度应满足赋值：云服务商定义的详细程度。c）提供或要求信息系统、组件

19、或服务的开发商提供证据，证明其在系统生命周期中使用了赋值： 云服务商定义的系统工程方法、软件开发方法、测试技术和质量控制过程。d）实现或要求信息系统、组件或服务的开发商交付信息系统、组件或服务时实现赋值：云服务 商定义的安全配置，且这些安全配置应作为信息系统、组件或服务进行重新安装或升级时的缺省配置。6e）要求信息系统、组件或服务的开发商制定对安全措施有效性的持续监控计划，其详细程度满足 赋值：f）说明或要求信息系统、组件或服务的开发商在系统生命周期的早期阶段说明系统中的功能、端 口、协议和服务，云服务商应禁用不必要或高风险的功能、端口、协议或服务。5.5 系统文档5.5.1 一般要求a）制定

20、或要求信息系统、组件或服务的开发商制定管理员文档，且涵盖以下信息：1）系统、组件或服务的安全配置，以及安装和运行说明。2）安全特性或功能的使用和维护说明。3）与管理功能有关的配置和使用方面的注意事项。b）制定或要求信息系统、组件或服务的开发商制定用户文档，且涵盖以下信息：1）用户可访问的安全功能或机制，以及对如何有效地使用这些安全功能或机制的说明。2）有助于用户以更加安全的方式使用系统、组件或服务的用户交互方法。3）对用户安全责任和注意事项的说明。c）基于风险管理策略，按照要求保护上述文档。d）将上述文档分发至赋值：云服务商定义的人员或角色。5.5.2 增强要求5.6 安全工程原则5.6.1

21、一般要求云服务商应在信息系统的规范、设计、开发、实现和修改过程中应用信息系统安全工程原则，包 括但不限于以下内容：a）实施分层保护。b）建立完善的安全策略、架构和措施，作为设计基础。c）划定物理和逻辑安全边界。d）确保系统开发人员接受了软件开发安全培训。e）进行威胁分析，评估安全风险。f）将风险降低到可接受的水平。5.6.2 增强要求5.7 关键性分析5.7.1 一般要求5.7.2 增强要求云服务商定义的系统生命周期中的决策点对赋值：云服务商定义的信息系 统、组件或服务进行关键性分析，以确定关键信息系统组件和功能。5.8 外部信息系统服务5.8.1 一般要求a）要求外部信息系统服务提供商遵从并

22、实施云服务商的信息安全要求。b）明确外部信息系统服务提供商的信息安全分工与责任，同时要求外部信息系统服务提供商接受 相关客户监管。7c）使用赋值：云服务商定义的过程、方法和技术，对外部服务提供商所提供的安全措施的合规 性进行持续监控。5.8.2 增强要求a）在采购或外包特定的信息系统服务之前应进行风险评估。b）确保特定的信息系统服务的采购或外包得到赋值：云服务商定义的人员或角色批准。c）要求赋值：云服务商定义的外部信息系统服务的服务提供商明确说明该服务涉及的功能、端 口、协议和其他服务。d）基于赋值：云服务商定义的安全要求、属性、因素或者其他条件建立并保持与外部服务提供 商的信任关系。e）使用

23、赋值：云服务商定义的安全防护措施，以确保赋值：云服务商定义的外部服务提供商 不损害本组织的利益。安全防护措施包括但不限于：1）对所选择的外部服务提供商的人员进行背景审查。2）检查外部服务供应商资本变更记录。3）选择可信赖的服务提供商（如有过良好合作的提供商）。4）定期或不定期检查服务提供商的设施。f）基于赋值：云服务商定义的要求或条件，限制选择：信息处理；信息或数据；信息系统服务 的地点，如本地或境内。5.9 开发商安全体系架构5.9.1 一般要求5.9.2 增强要求a）制定或要求信息系统、组件或服务的开发商制定设计规范和安全架构，且符合下列条件：1）该架构应符合或支持云服务商的安全架构。2）

24、准确完整地描述了所需的安全功能，并且为物理和逻辑组件分配了安全措施。3）说明各项安全功能、机制和服务如何协同工作，以提供完整一致的保护能力。b）说明或要求信息系统、组件或服务的开发商说明与安全相关的硬件、软件和固件。c）创建或要求信息系统、系统组件或信息系统服务的开发商创建非形式化的高层说明书，说明安 全相关的硬件、软件和固件的接口，并通过非形式化的演示，说明该高层说明书完全覆盖了与安全相 关的硬件、软件和固件的接口。d）在构造安全相关的硬件、软件和固件时，考虑或要求信息系统、组件或服务的开发商考虑便于 测试、便于实现最小特权访问控制等因素。5.10 开发过程、标准和工具5.10.1 一般要求

25、5.10.2 增强要求a）制定或要求信息系统、组件或服务的开发商制定明确的开发规范，在规范中明确以下事项： 1）所开发系统的安全需求。2）开发过程中使用的标准和工具。3）开发过程中使用的特定工具选项和工具配置。b）采取有关措施，确保开发过程的完整性和工具变更的完整性。c）按照赋值：云服务商定义的频率审查开发过程、标准、工具以及工具选项和配置，判定有关 过程、标准、工具以及工具选项和配置是否满足赋值：云服务商定义的安全需求。8d）定义或要求信息系统、组件或服务的开发商在开发过程的初始阶段定义质量度量标准，并以 选择：云服务商定义的频率；云服务商定义的项目审查里程碑；交付时为节点，检 查质量度量标

26、准的落实情况。e）确定或要求信息系统、组件或服务的开发商确定安全问题追踪工具，并在开发过程期间使用。 f）要求信息系统、组件或服务的开发商以赋值：云服务商定义的广度和深度为信息系统实施威胁和脆弱性分析。g）实施或要求信息系统、组件或服务的开发商实施清晰的流程，以持续改进开发过程。h）执行或要求信息系统、组件或服务的开发商使用赋值：云服务商定义的工具 执行漏洞分析， 明确漏洞被利用的可能性，确定漏洞消减措施，并将工具的输出和分析结果提交给赋值：云服务商定 义的人员或角色。i）批准、记录和控制对信息系统、组件或服务的开发和测试环境中真实数据的使用。j）制定或要求信息系统、组件或服务的开发商制定事故

27、应急预案，并将事故应急预案纳入云服务 商的事件响应计划中。5.11 开发商配置管理5.11.1 一般要求云服务商应要求信息系统、组件或服务的开发商：a）在系统、组件或服务的选择：设计；开发；实现；运行过程中实施配置管理。b）记录、管理和控制赋值：云服务商定义的配置项的变更的完整性。配置项包括但不限于：形 式化模型、功能、高层设计说明书、低层设计说明书、其他设计数据、实施文档、源代码和硬件原理 图、目标代码的运行版本、版本对比工具、测试设备和文档。c）得到批准后，才能对所提供的信息、组件或服务进行变更。d）记录对信息系统、组件或服务的变更及其所产生的安全影响。e）跟踪信息系统、组件或服务中的安全缺陷和缺陷解决方案。5.11.2 增强要求a）要求信息系统、组件或服务的开发商提供能够验证软件和固件组件完整性的方法，如哈希算法。 b）在没有专用的开发商配置团队支持的情况下，由本单位人员建立相应的配置管理流程。c）要求信息系统、组件或服务的开发商提供对硬件组件进行完整性验证的方法，如防伪标签、可 核查序