信息安全技术 网络安全等级保护测评要求云计算安全扩展要求Word格式文档下载.docx

1、云计算信息安全等级保护安全设计技术要求3术语与定义GB/T 25069-2010、GB/T 28448.1-20XX和GB/T 22239.2-20XX界定的以及下列术语和定义适用于本部分。3.1 访谈interview访谈是指测评人员通过引导等级保护对象相关人员进行有目的的（有针对性的）交流以帮助测评人员理解、澄清或取得证据的过程。3.2 检查examination检查是指测评人员通过对测评对象（如制度文档、各类设备、安全配置等）进行观察、查验、分析以帮助测评人员理解、澄清或取得证据的过程。3.3 测试testing测试是指测评人员使用预定的方法/工具使测评对象（各类设备或安全配置）产生特定

2、的结果，将运行结果与预期的结果进行比对的过程。3.4 云计算cloud computing一种通过网络提供计算资源服务的模式，在该模式下，用户按需动态自助供给、管理各类计算资源。3.5 网络策略控制器network policy controller在网络中，把网络配置信息转化为网络设备上的转发规则集，并对这些转发规则集进行管理的核心控制系统。3.6 云计算平台cloud computing platform由云服务方提供的云计算基础设施及其上的服务层软件的集合。（引自GB/T 31168-2014）3.7 云服务方cloud service provider云服务的提供者，包括与云租户建立商

3、业关系或没有商业关系的云服务提供者。3.8 云租户cloud tenant租用或使用云计算资源的客户，包括计费的和不计费的云服务的机构和个人。3.9 云服务cloud service由云服务方使用云计算提供的服务。3.10 虚拟机监视器hypervisor一种运行在基础物理服务器和操作系统之间的中间软件层,可允许多个操作系统和应用共享硬件。3.11 宿主机host machine运行虚拟机监视器的物理服务器。3.12 基础设施即服务infrastructure as a service提供给消费者的服务是对所有计算基础设施的利用，包括处理CPU、内存、存储、网络和其它基本的计算资源，用户能够部

4、署和运行任意软件，包括操作系统和应用程序。3.13 软件即服务software as a service提供给客户的服务是运营商运行在云计算基础设施上的应用程序，用户可以在各种设备上通过客户端界面访问，如浏览器。3.14 平台即服务platform as a service提供给消费者的服务是把客户采用提供的开发语言和工具（例如Java，python, .Net等）开发的或收购的应用程序部署到供应商的云计算基础设施上去。4等级保护测评概述4.1测评描述框架云计算安全等级保护测评（以下简称等级测评）的概念性描述框架由两部分构成：单项测评和整体测评，图 1 给出了等级测评框架。图1测评框架针对基本

5、要求各安全要求项的测评称为单项测评，单项测评是等级测评工作的基本活动，支持测评结果的可重复性和可再现性。单项测评是由测评指标、测评对象、测评实施和单元判定构成。 测评指标包括信息安全技术 信息系统安全等级保护基本要求 第2部分：云计算安全扩展基本要求第四级目录下的要求项。测评对象是指测评实施的对象，即测评过程中涉及到的制度文档、各类设备及其安全配置和相关人员等。对于框架来说，每一个被测安全要求项（不同级别）均有一组与之相关的预先定义的测评对象（如制度文档、各类设备设施及相关人员等）。制度文档是指针对等级保护对象所制定的相关联的文件（如：政策、程序、计划、系统安全需求、功能规格及建筑设计）。各类

6、设备是指安装在等级保护对象之内或边界，能起到特定保护作用的相关部件（如：硬件、软件、固件或物理设施）。相关人员或部门，是指应用上述制度、设备及安全配置的人。测评实施是一组针对特定测评对象，采用相关测评方法，遵从一定的测评规程所形成的，用于测评人员使用的确定该要求项有效性的程序化陈述。测评实施主要由测评方法和测评规程构成。其中测评方法包括：访谈、检查和测试（说明见术语），测评人员通过这些方法试图获取证据。上述的评估方法都由一组相关属性来规范测评方法的测评力度。这些属性是：广度（覆盖面）和深度。对于每一种测评方法都标识（定义）了唯一属性，深度特性适用于访谈和检查，而覆盖面特性则适用于全部三种测评方

7、法，具体的描述参见附录 A。上述三种测评方法（访谈、检查和测评）的测评结果都用以对安全控制的有效性进行评估。测评规程是各类测评方法操作使用的过程、步骤，测评规程实施完成后，可以获得相应的证据。结果判定描述测评人员执行测评实施并产生各种测评输出数据后，如何依据这些测评输出数据来判定被测系统是否满足测评指标要求的原则和方法。通过测评实施所获得的所有证据都满足要求则为符合，不全满足要求则该单项要求不符合。整体测评是在单项测评基础上，分别从安全控制点测评，控制点间和层面间三个角度分别进行测评。各部分具体描述参见第 8 章“整体测评”。4.2测评使用方法本标准应与GB/T 28448.1-20XX配合使

8、用，对使用云计算相关技术的平台及系统，应根据实际情况抽取出对应GB/T 22239.1-20XX、GB/T 22239.2-20XX中要求项的测评要求，并按照这些测评要求开发测评指导书。同时，GB/T 22239.1-20XX中，对于云管理平台、虚拟机监视器、虚拟网络设备、虚拟安全设备等云计算环境下新增测评对象同样具有安全控制要求，应参照GB/T 28448.1-20XX中相应测评要求开发其测评指导书，如：对云管理平台，可参照应用和数据安全部分；对虚拟机监视器，可参照设备和计算安全部分；对虚拟网络设备、虚拟安全设备，可参照网络和通信安全部分。本标准第 5 章到第 7 章分别描述了第二级等级保护

9、对象、第三级等级保护对象和第四级等级保护对象所有单项测评的内容，在章节上分别对应国标 GB/T 22239.2-20XX 的第 5 章到第 7 章。在国标 GB/T 22239.2-20XX 第 5 章到第 7 章中，各章的二级目录都分为安全技术和安全管理两部分，三级目录从安全层面（如物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全）进行划分和描述，四级目录按照安全控制点进行划分和描述（如设备和计算安全层面下分为身份鉴别、访问控制、安全审计、入侵防范、资源控制、镜像和快照保护等），第五级目录是每一个安全控制点下面包括的具体安全要求项（以下简称“要求项”，这些要求项在本标准中被称为

10、“测评指标”）。本标准中针对每一个要求项的测评就构成一个单项测评，单项测评中的每一个具体测评实施要求项（以下简称“测评要求项”）是与安全控制点下面所包括的要求项（测评指标）相对应的。在对每一要求项进行测评时，可能用到访谈、检查和测试三种测试方法，也可能用到其中一种或两种。测评实施的内容完全覆盖了 GB/T 22239.2-20X 及 GB/T25070.2-20XX中所有要求项的测评要求，使用时应当从单项测评的测评实施中抽取出对于 GB/T 22239.1-20XX 中每一个要求项的测评要求，并按照这些测评要求开发测评指导书，以规范和指导安全等级测评活动。测评过程中测评人员应注意对测评记录和证

11、据的采集、处理、存储和销毁，保护其在测评期间免遭破坏、更改或遗失并保守秘密。测评的最终输出是测评报告，测评报告应结合第 9 章的要求给出等级测评结论。5第二级测评要求5.1安全技术单项测评物理和环境安全5.1.1.1物理位置的选择5.1.1.1.1测评单元（L2-PES2-01）a）测评指标：确保云计算服务器、承载云租户账户信息、鉴别信息、系统信息及运行关键业务和数据的物理设备均位于中国境内。b）测评对象：记录类文档、办公场地和机房c）测评实施包括以下内容：1）应检查办公场地（放置终端计算机设备）和机房，查看云计算服务器、承载云租户账户信息、鉴别信息、系统信息及运行关键业务和数据的物理设备是否

12、均位于中国境内；2）应检查记录类文档、办公场地和机房，查看云计算服务器、承载云租户账户信息、鉴别信息、系统信息及运行关键业务和数据的物理设备是否位于法规、合同和协议限定的地理位置之内；d）单元判定：如果1）-2）均为肯定，则等级保护对象符合本单项测评指标要求，否则，等级保护对象不符合或部分符合本单项测评指标要求。网络和通信安全5.1.1.2网络架构5.1.1.2.1测评单元（L2-NCS2-01）实现不同云租户之间的网络隔离；网络资源隔离措施、综合网管系统或云管理平台1）应检查云租户间网络资源隔离措施；2）应检查综合网管系统或云管理平台，查看云租户之间网络资源隔离策略是否有效；5.1.1.2.

13、2测评单元（L2-NCS2-02）绘制与当前运行情况相符的虚拟化网络拓扑结构图；网络设备、安全设备或管理平台c）测评实施：应检查网络设备、安全设备或管理平台，查看网络拓朴结构图是否与当前运行情况相符；如果c）为肯定，则等级保护对象符合本单项测评指标要求，否则，等级保护对象不符合或部分符合本单项测评指标要求。5.1.1.2.3测评单元（L2-NCS2-03）保证虚拟机只能接收到目的地址包括自己地址的报文；虚拟机、广播网段1）应检查是否采用VLAN、SDN等技术手段隔离虚拟网络中不同租户的数据传输，保证云租户不能接收到目的地址不包括自己的非广播数据包。2）应采用抓包等方式检查虚拟交换机或交换机，查

14、看虚拟机是否只能接收到目的地址仅包括自己地址的报文；3）应测试不同网段的虚拟机进行广播时，是否只能接收到目的地址包括自己地址的报文；如果1）、2）或1）、3）为肯定，则等级保护对象符合本单项测评指标要求，否则，等级保护对象不符合或部分符合本单项测评指标要求。5.1.1.3访问控制5.1.1.3.1测评单元（L2-NCS2-04）在虚拟化网络边界部署访问控制机制，并设置访问控制规则；访问控制机制，网络边界设备或虚拟化网络边界设备1） 应检查云服务方和云租户虚拟化网络边界访问控制机制，查看访问控制规则和访问控制策略等；2） 应检查云服务方的网络边界设备或虚拟化网络边界设备，查看安全保障机制、访问控

15、制规则或访问控制策略等；3）应检查不同租户间访问时采用的访问控制机制或设备，对于访问控制机制，应查看所采取的机制是否已被测试是安全的（如第三方测试报告），对于访问控制设备，应查看访问控制设备的访问控制策略是否合理；4）应检查租户内不同区域间访问时采用的访问控制机制或设备，对于访问控制机制，应查看所采取的机制是否已被测试是安全的（如第三方测试报告），对于访问控制设备，应查看访问控制设备的访问控制策略是否合理；，5）应测试虚拟化网络边界访问控制设备，查看是否可以正确拒绝违反访问控制规则的非法访问。如果1）-5）均为肯定，则等级保护对象符合本单项测评指标要求，否则，等级保护对象不符合或部分符合本单项

16、测评指标要求。5.1.1.3.2测评单元（L2-NCS2-05）保证当虚拟机迁移时，访问控制策略随其迁移；虚拟机、虚拟机迁移记录及相关配置1） 应检查虚拟机迁移时访问控制策略随之迁移的措施或手段；2） 应检查虚拟机迁移记录及相关配置，查看虚拟机迁移后访问控制策略是否部署；3）应测试虚拟机迁移，查看访问控制措施是否随其迁移；如果1）-3）均为肯定，则等级保护对象符合本单项测评指标要求，否则，等级保护对象不符合或部分符合本单项测评指标要求。5.1.1.3.3测评单元（L2-NCS2-06）允许云租户设置不同虚拟机之间的访问控制策略；云服务方管理平台、云租户管理系统、虚拟化网络边界访问控制设备1）

17、应检查云服务方的云管理平台等，查看是否允许云租户设置不同虚拟机间访问控制策略；2） 应检查云服务方的云管理平台，查看是否存在不同虚拟机间的访问控制管理模块，是否开启该访问控制功能；3）应检查云租户的云管理系统，查看不同虚拟机间访问控制策略是否安全；4）应测试虚拟化网络边界访问控制设备，查看是否可以正确拒绝违反虚拟机间访问控制策略的非法访问。如果1）、2）、4）或3）、4）为肯定，则等级保护对象符合本单项测评指标要求，否则，等级保护对象不符合或部分符合本单项测评指标要求。5.1.1.4入侵防范5.1.1.4.1测评单元（L3-NCS2-07）能检测到云租户的网络攻击行为，并能记录攻击类型、攻击时

18、间、攻击流量等；网络入侵防范设备或国家认可的相关机制、入侵防范措施1） 应检查网络入侵防范措施，查看是否有专门设备对网络入侵进行防范，查看网络入侵防范规则库的升级方式；2） 应检查网络入侵防范设备或机制，当采用网络入侵防范机制时，应查看所采取的机制是否已被测试是安全的（如第三方测试报告），查看入侵防范设备或机制的规则库是否为最新；3） 应测试网络入侵防范设备或机制，当采用网络入侵防范机制时，应查看所采取的机制是否已被测试是安全的（如第三方测试报告），验证入侵防范设备或机制对异常流量和未知威胁的监控策略是否有效（如模拟产生攻击动作，查看网络入侵防范设备的反应，是否能记录攻击类型、攻击时间、攻击流

19、量）；4） 应通过对外攻击发生器伪造对外攻击行为，检查云租的网络攻击的日志记录，确认是否正确记录到相应攻击行为，攻击行为日志记录是否包含攻击类型、攻击时间、攻击者IP、攻击流量规模等；如果1）-4）均为肯定，则等级保护对象符合本单项测评指标要求，否则，等级保护对象不符合或部分符合本单项测评指标要求。设备和计算安全5.1.1.5身份鉴别5.1.1.5.1测评单元（L2- ECS2-01）对远程执行特权命令进行限制。安全管理员，边界网络设备、网络虚拟化设备，云管理平台1） 应访谈安全管理员，询问对远程执行特权命令的限制，询问是否对远程执行特权命令进行审计；2） 应检查边界网络设备、网络虚拟化设备，

20、查看远程执行特权命令的限制措施，查看是否对远程执行特权命令的行为进行安全审计；5.1.1.5.2测评单元（L2-ECS2-02）应在网络策略控制器和网络设备（或设备代理）之间建立身份验证机制。网络管理员，网络策略控制器，网络设备，网络虚拟化设备1） 应访谈网络管理员，询问网络控制器和网络设备（或设备代理）之间是否建立身份验证机制；2）应检查网络策略控制器和网络设备（或设备代理）之间的身份验证机制；3） 应对主要边界网络设备、网络虚拟化设备进行渗透测试，通过使用各种渗透测试技术（如口令猜解等）对网络设备进行渗透测试，验证网络设备防护能力是否符合要求，是否在网络控制器和网络设备（或设备代理）之间建

21、立身份验证机制。5.1.1.6访问控制5.1.1.6.1测评单元（L2- ECS2-03）当进行远程管理时，管理终端和云计算平台边界设备之间应建立身份验证机制。管理终端、云平台边界设备、日志记录1）应检查云管理平台，在进行远程管理时，管理终端和云平台边界设备之间是否建立身份验证机制；2）应检查日志记录，查看是否通过相关安全组件对运维管理人员相关行为进行记录；5.1.1.7安全审计5.1.1.7.1测评单元（L2-ECS2-04）根据云服务方和云租户的职责划分，实现各自控制部分审计数据的收集；主要服务器、宿主机及虚拟机的操作系统、主要终端操作系统、主要数据库系统、审计系统1） 应检查主要服务器、

22、宿主机及虚拟机的操作系统、主要终端操作系统和主要数据库系统的安全审计策略或审计数据，查看是否根据云服务方和云租户的职责进行划分，收集各自控制的部分的审计数据；2） 应检查审计系统，查看是否根据云服务方和云租户的职责进行划分，收集各自控制的部分的审计数据；如果1）或2）为肯定，则等级保护对象符合本单项测评指标要求，否则，等级保护对象不符合或部分符合本单项测评指标要求。5.1.1.7.2测评单元（L2-ECS2-05）保证云服务方对云租户系统和数据的操作可被云租户审计；主要服务器，宿主机及虚拟机的操作系统，主要终端操作系统，主要数据库系统，审计设备、审计数据1）应检查安全审计策略，查看安全审计配置

23、是否能够保证云服务方对云租户系统和数据的操作（如增、删、改、查等操作）可被云租户审计；2）应检查是否支持云租户部署第三方安全审计设备，保证云服务商对云租户系统和数据的操作可被租户审计。3）应检查云服务方与云租户收集的审计数据，查看云服务方对云租户系统和数据的操作是否可被云租户审计。5.1.1.7.3测评单元（L2-ECS2-06）保证审计数据的真实性和完整性；主要服务器，宿主机及虚拟机的操作系统，主要终端操作系统，主要数据库系统，审计系统应检查主要服务器、宿主机及虚拟机的操作系统、主要终端操作系统和主要数据库系统的安全审计策略，查看是否能够通过日志覆盖周期、存储方式、日志文件/空间大小、日志文

24、件操作权限等设置，是否实现了对审计记录的保护，使其避免受到未预期的删除、修改或覆盖等，查看是否采取措施能够保证审计数据的真实性和完整性；5.1.1.8入侵防范5.1.1.8.1测评单元（L2-ECS2-07）能够检测虚拟机对宿主机资源的异常访问；云管理平台、虚拟机监视器1） 应检查云管理平台等，查看能否检测虚拟机对宿主机的异常访问；2） 应测试虚拟机监视器和云管理平台，验证是否能够及时检测到虚拟机异常访问宿主机资源等行为；5.1.1.8.2测评单元（L2-ECS2-08）能够检测虚拟机之间的资源隔离失效，并进行告警；主要服务器、宿主机及虚拟机，操作系统，主要数据库系统，虚拟机监视器，云平台c）

25、测评实施1） 应检查主要服务器、宿主机及虚拟机，虚拟机监视器，云平台是否采取措施对不同虚拟机的CPU、内存和磁盘资源进行隔离，是否实现不同云租户自有数据库之间的隔离；是否采取措施能够检测到虚拟机之间的资源隔离失效，并进行告警；2） 应访谈系统管理员，询问是否采取措施对不同虚拟机资源进行了安全隔离，是否采取措施能够检测到虚拟机之间的资源隔离失效，并进行告警。5.1.1.9资源控制5.1.1.9.1测评单元（L2-ECS2-09）屏蔽虚拟资源故障，某个虚拟机崩溃后不影响虚拟机监视器及其他虚拟机；资源控制相关平台、云平台1） 应检查资源控制相关平台，查看所采取的屏蔽虚拟资源故障措施，查看相关虚拟机故障记录，查看是否不存在虚拟机崩溃后影响虚拟机监视器及其他虚拟机的历史；2） 应检查云平台，查看所采取的屏蔽虚拟资源故障的技术手段，查看是否能在某个虚拟机崩溃后不影响虚拟机监视器及其他虚拟机；5.1.1.9.2测评单元（L2-ECS2-10）对物理资源和虚拟资源按照策略做统一管理调度与分配；云平台，虚拟机，虚拟