云计算平台安全性评测方法征求意见稿汇总.docx

1、云计算平台安全性评测方法征求意见稿汇总ICS点击此处添加ICS号点击此处添加中国标准文献分类号DB广东省地方标准DB44/T XXXXXXXXX云计算平台安全性评测方法Testing method for security of cloud computing platform（征求意见稿）2014 - XX - XX发布2014 - XX - XX实施广东省质量技术监督局发布目次前言 II1范围 12规范性引用文件 13术语和定义 14缩略语 25平台安全通用要求 25.1数据中心安全 25.2访问控制 45.3虚拟化安全 45.4终端接入安全 55.5数据安全 55.6业务应用安全 65.

2、7灾难恢复 75.8安全事件与应急预案 75.9评估和审计 86评测方法 86.1数据中心安全评测 86.2访问控制评测 106.3虚拟化安全评测 106.4终端接入安全评测 116.5数据安全评测 116.6业务应用安全评测 126.7灾难恢复评测 136.8安全事件与应急预案评测 136.9评估和审计评测 14前言本标准按照GB/T 1.12009给出的规则起草。请注意本标准的某些内容可能涉及专利。本标准的发布机构不承担识别这些专利的责任。本标准由广东省质量技术监督局提出并归口。本标准起草单位：工业和信息化部电子第五研究所，广州市标准化研究院，广州市信息安全测评中心，国云科技股份有限公司，

3、广东省标准化研究院，广州杰赛科技股份有限公司。本标准主要起草人：杨林，刘群兴，杨晓明，王颍凯，孔德智，钟晶，罗衡峰，李倩，李琳，余以义，王贺珍，徐超，谢学富，顾维鑫，罗小松，陈祺。本标准为首次发布。云计算平台安全性评测方法1范围 本标准规定了云计算平台的术语和定义、符号和缩略语、平台安全通用要求及评测方法。本标准适用于云计算平台安全性的评测。2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 5271.8-2001 信息技术 词汇 第8部分：安全GB 17859

4、-1999 计算机信息系统 安全保护等级划分准则GB/T 18336.1-2001 信息技术 安全技术 信息技术安全性评估准则 第1部分:简介和一般模型GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求3术语和定义GB/T 5271.8-2001、GB 17859-1999和GB/T 18336.1-2001界定的及下列术语和定义适用于本文件。3.1云计算 cloud computing基于互联网的相关服务的增加、使用和交付模式，通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源，描述了由“资源池”化的计算、网络、信息和存储等组成的服务、应用、信息和基础设施等的使用

5、。3.2数据中心 data center指基于超级计算机系统对外提供计算资源、存储资源等服务的机构或单位，以高性能计算机为基础面向各界提供高性能计算服务。3.3身份认证 identity authentication通讯双方确认对方合法身份，并赋予相应权限的过程。3.4 加密保护 encryption protection采用数学的方法将数据或文档转换为密文格式，从而对数据或文档进行保护的措施。3.5 可用性 availability数据或资源的特性，被授权实体按要求能访问和实用数据或资源。3.6安全事件 security incident系统、服务或网络的一种可识别状态的发生，它可能是对信息

6、安全策略的违反或防护措施的失效，或未预知的不安全状况。3.7安全措施 security measure保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制的总称。3.8安全需求 security requirement为保证组织业务战略的正常运作而在安全措施方面提出的要求。4缩略语 DoS：拒绝服务（Denial of Service）Guest OS：客机操作系统（Guest Operating System）IaaS：基础设施即服务（Infrastructure as a Service）PaaS：平台即服务（Platform as a Serv

7、ice）SaaS：软件即服务（Software as a Service）SSL：安全套接层（Secure Sockets Layer）VLAN：虚拟局域网（Virtual Local Area Network）VM：虚拟机（Virtual Machine）VPN：虚拟专用网络（Virtual Private Network）5平台安全通用要求5.1数据中心安全环境安全管理制度要求管理制度要求满足以下条件：a) 数据中心应建立人员出入管理制度、设备进出管理制度、节假日巡检巡查制度、应急管理及预案制度等；b) 应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理；c) 对外

8、部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定，并按照规定执行。物理位置的选择数据中心机房应选择在具有防震和防风等能力的建筑内，且要避免在建筑物的高层或地下室内。防盗窃和防破坏防盗窃和防破坏应满足以下要求：a) 数据中心机房内应设置监控报警和防盗报警系统；b) 通信线缆应铺设在隐蔽处，介质应存放在档案室或介质库中。防雷击防雷击应满足以下要求：c) 数据中心机房应设置交流电源地线；d) 应设置避雷装置。防火防火应满足以下要求：a) 数据中心机房建筑材料应具有耐火等级，且机房内应设置自动消防系统；a) 数据中心机房应采取区域隔离防火措施，且应将重要设备与其他设备隔离开。防水防潮防水防

9、潮应满足以下要求：a) 应安装对水敏感的检测仪表，且能够对机房进行防水检测和报警；b) 数据中心机房屋顶和活动地板下应避免水管穿过。防静电防静电应满足以下要求：a) 关键设备应采用必要的接地防静电措施；b) 数据中心机房应铺设防静电地板。温湿度控制数据中心机房应设置温、湿度自动调节设施，保证机房温、湿度的变化在设备运行所允许的范围之内。电力供应电力供应应满足以下要求：a) 数据中心机房供电线路上应配置稳压器和过电压防护设备；b) 应建立备用供电系统。电磁防护电磁防护应满足以下要求：a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；b) 电源线和通信线缆应隔离铺设；c) 对关键设备和磁介质

10、应实施电磁屏蔽。网络结构安全网络结构安全应满足以下要求：a) 应建立网络安全管理制度，对网络安全配置、日志保存时间、安全策略等作出书面规定；b) 应指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作；c) 应绘制与实际网络运行情况相符合的网络拓扑结构；d) 应保证网络各个部分满足业务高峰期需要，且应设置优先级别，保证在网络拥堵时优先保护重要主机；e) 网络结构应进行分区域管理，区域边界应有访问控制要求、完整性检查、入侵检测防范等安全措施；f) 区域之间应有安全隔离机制，重要网段与其他网段之间应采取可靠的技术隔离手段。设备安全设备安全应满足以下要求：a) 应建立

11、设备安全管理制度，包括规定对平台相关设备指定专人或部门定期进行维护管理；b) 应建立基于申报、审批和专人负责的设备安全管理制度，对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理；c) 应对设备使用权限进行管理；d) 应对设备运行日志等行为进行审计，且避免审计记录受到未预期的删除、修改或覆盖等。5.2访问控制物理访问控制物理访问控制应满足以下要求：a) 应建立数据中心机房、关键设备存储场所出入管理制度，规定出入口安排专人值守，并控制、鉴别和记录进入的人员；规定进入机房及关键场所需经过申请和审批流程等；b) 对数据中心机房、关键设备存储场所应进行区域划分管理，区域和区域之间应

12、设置物理隔离装置，重要区域应配置电子门禁系统，并控制、鉴别和记录进入的人员。网络访问控制网络访问控制应满足以下要求：a） 应对网络和系统资源建立访问控制机制；a) 应对进出网络的信息内容进行过滤；重要网段应采取技术手段防止地址欺骗。身份鉴别身份鉴别应满足以下要求：a) 应对登录操作系统和数据库系统、及网络设备用户进行身份鉴别；b) 对平台的具体应用应提供专用的登录控制模块对登录用户进行身份标识和鉴别；c) 对管理用户、重要网络设备同一用户等应采用两种或两种以上的组合鉴别技术进行身份鉴别；d) 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换。云服务访问控制云访问访问控制应满足以

13、下要求：a) 云服务图个I报告商应支持各种强认证机制；b) 应提供服务器段的访问控制机制。5.3虚拟化安全虚拟平台安全虚拟平台安全应满足以下要求：a) 应制定虚拟平台安全管理制度要求，规定定期对安全管理系统、主机操作系统等进行漏洞扫描和风险评估等，对发现的漏洞应及时采取安全措施；a) 虚拟平台（云平台管控系统）应具备完善的安全控制功能，包括认证与授权、资源控制、监控与审计等；a) 应提供虚拟网络接口带宽管理安全功能，避免单台虚拟机占用过多的网络资源而影响整个虚拟系统的稳定性。虚拟化可用性虚拟化可用性应满足以下要求：a) 虚拟机迁移时，应提供机制保证虚拟机及其承载的应用能正常持续运行；b) Gu

14、est OS迁移到不同的虚拟平台时，应保证安全策略一致性且严格执行备份管理；b) 虚拟机崩溃时，应提供机制保证虚拟机能在短时间内恢复运行。虚拟机共存应制定虚拟机共存安全制度要求，规定多租户虚拟环境中所有租户安全性达到安全要求。虚拟机隔离虚拟机隔离应满足以下要求：c) 多租户的虚拟机间隔离应部署监管措施、提供报告机制，并能够在隔离被破坏时产生告警；c) 应保证每个虚拟机都能获得相对独立的物理资源，并保证同一物理主机上不同虚拟机间逻辑隔离；a) 应保证单个虚拟机异常时不影响Hypervisor及其他虚拟机的正常运行。虚拟主机安全虚拟主机安全应满足以下要求：d) 应部署实施VM安全监控机制，并且以V

15、LAN确保VM独立，保证利益冲突的公司或个人的Guest OS放在不同的虚拟平台；e) 虚拟主机应具有抗DoS攻击安全机制。5.4终端接入安全终端通用接入安全终端通用接入安全应满足以下要求：a) 终端设备接入云计算平台时，应提供认证授权机制；b) 已接入平台的终端设备的进行访问操作时，应提供身份鉴别和访问控制机制；c) 终端接入的认证服务，应建立加密措施；d) 应定期检查终端接入线路的安全性。虚拟终端专属接入安全虚拟终端专属接入安全应满足以下要求：a) 应部署虚拟终端接入动态监控机制；b) 当前接入的虚拟终端应符合当前安全区域划分机制。5.5数据安全数据传输数据传输应满足以下要求：a） 应提供

16、有效安全措施保证虚拟镜像文件、系统管理数据、鉴别信息和重要业务数据在传输过程中完整性避免受到破坏，并在检测到完整性错误时能够采取必要的恢复措施；b） 应采取有效安全措施保证数据传输保密性，以及用户端到数据中心通道的安全性；c） 应提供有效措施保证在突然断网、断电等突发情况恢复后，虚拟机镜像文件、系统管理数据、鉴别信息和重要业务数据等是否能继续传输，且不丢失。数据存储数据存储应满足以下要求：a） 应提供有效安全措施保证虚拟镜像文件、系统管理数据、鉴别信息和重要业务数据在存储过程中完整性避免受到破坏，并在检测到完整性错误时采取必要的恢复措施；b） 应采用加密或其他保护措施实现虚拟镜像文件、系统管理

17、数据、鉴别信息和重要业务数据存储保密性；c） 对数据资源的访问应提供权限控制；d） 用户在退出账号后，其鉴别信息应能够被彻底清除干净。数据迁移数据迁移应满足以下要求：a) 数据迁移过程中应部署监控机制；a) 应保证数据迁移过程中，平台的业务操作能连续运行且不中断；a) 迁移后的数据自动恢复后，系统应能够正常使用。数据隔离数据隔离应满足以下要求：b) 应提供有效机制保证租户之间有效隔离b) 应提供有效机制保证应用之间有效隔离。数据终止数据终止应满足以下要求：应提供有效数据销毁机制（例如使用自主可控的数据销毁工具等）保证彻底清除数据。）5.6业务应用安全IaaS模式安全Iaas模式安全应满足以下要

18、求：c) 应提供有效措施保证云基础设施的安全性；d) 应提供有效机制保证基础共享平台的安全隔离和访问控制。PaaS模式安全Paas模式安全应满足以下要求：a） 数据库应提供访问控制功能，数据库鉴别信息所在的存储空间在被释放或重新分配前应得到完全清除；b） 应提供数据有效性检验功能，保证应用接口输入的数据格式或长度符合系统设定要求；c） 应对应用服务的运行状况、网络流量、用户行为等进行监测和报警，并形成记录、妥善保存。SaaS模式安全SaaS应满足以下要求：a） 应保证应用服务中不存在重复用户身份标识；b） 在通信双方建立连接之前，应用服务应利用密码技术进行会话初始化验证；c） 对应用服务重要安

19、全事件应进行审计；d） 应指定专门部门负责应用系统的测试验收管理；e） 应委托公正的第三方对应用系统进行安全性测试。5.7灾难恢复管理制度要求管理制度要求应满足以下条件：a) 应建立备份与恢复相关的安全管理制度，对备份信息的备份方式、备份频度、存储介质和保存期等进行规范；b) 应根据数据重要性，制定数据的备份和恢复策略，备份策略需知名备份数据的放置场所、文件命名规则、介质替换频率等。备份备份应满足以下要求：a) 应提供云计算平台有关数据备份功能；b) 应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性；c) 应采取备份措施保证虚拟机实例文件的完整性，在虚拟机崩溃后，能恢复

20、到备份点的状态。灾难恢复灾难恢复应满足以下要求：a) 应建立明确、有效的灾难恢复策略；b) 应定期执行恢复程序，检查和测试备份介质的有效性。5.8安全事件与应急预案安全事件处置安全事件处理应满足以下要求：a） 应制定安全事件报告和处理管理制度，明确安全事件类型，规定安全事件现场处理、事件报告和后期恢复的管理职责；b） 应制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置的范围、程度，以及处理方法等；c） 对上报的安全事件，应分析事件原因、监督事态发展、采取安全措施，避免类似安全事件的发生；d） 应提供各种安全事件告警方式及时通知相关人员，告警的方式如Email、界面显示、声音或短信

21、等。应急预案管理应急预案管理应满足以下要求：a） 应在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动应急预案条件、应急处理流程、系统恢复流程、事后教育和培训等内容；b） 应规定应急预案需要定期审查和根据实际情况更新的内容，并按照执行；c） 应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障；d） 应对平台相关人员进行应急预案培训；应定期对应急预案进行演练，根据不同的应急恢复内容，确定演练的周期。5.9评估和审计安全评估安全评估应满足以下要求：a） 应制定管理要求，规定对平台的整体安全建设方案、应用安全方案、网络安全方案、安全管理制度等进行安全评估，并保存评估

22、意见；b） 应制定管理要求，规定对平台运行期间定期进行安全评估，以确保能及时发现安全问题并制定响应措施。安全审计安全审计应满足以下要求：a） 应对平台运行部署监控机制；b） 平台运行日志应提供保护和备份机制；c） 应定期开展审计活动，且审计信息应确保完整性。6评测方法6.1数据中心安全评测环境安全评测管理制度要求管理制度应满足以下条件：a) 查看数据中心的人员出入管理制度、设备进出管理制度、节假日巡检巡查制度、应急管理及预案制度等，并验证是否可以随意进出机房、查看设备进出档案记录、查看节假日巡查日志记录、查看应急演练记录等。b) 检查有无制度作出书面要求，规定需指定专门的部门或人员定期对机房供

23、配电、空调、温湿度控制等设施进行维护管理，并查看维护管理记录，验证制度执行有效性；c) 检查对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定的制度要求，并检查相关文档记录，验证制度执行有效性。物理位置的选择检查数据中心机房物理位置具有防震和防风等能力的检测评估报告，查看机房是否建在建筑物的高层或地下室内。防盗窃和防破坏防盗窃和防破坏应满足以下要求：a) 检查数据中心机房内监控报警和防盗报警系统，并验证其防盗报警功能，检测非授权进入是否能够正常报警；b) 检查通信线缆铺设位置、介质存放位置，判断是否符合5.1.1.3 中b）项的要求。 防雷击防雷击应满足以下要求：a) 检查数据中

24、心机房有无设置交流电源地线；b) 检查机房建筑有无设置避雷装置。防火防火应满足以下要求：a) 检查数据中心机房建筑材料是否具有耐火等级，并验证机房内自动消防系统的有效性；b) 检查数据中心机房区域隔离防火的具体措施，查看有无将重要设备与其他设备隔离开。防水防潮防水防潮应满足以下要求：a) 检查有无安装对水敏感的检测仪表，并验证其对机房进行防水检测和报警的有效性；b) 检查数据中心机房屋顶和活动地板下有无水管穿过，是否符合5.1.1.6中b）项要求。防静电防静电应满足以下要求：a) 检查关键设备是否采用必要的接地防静电措施；b) 查看数据中心机房是否铺设防静电地板，并检查相应文档方案要求。温湿度

25、控制检查数据中心机房有无温、湿度自动调节设施，并验证机房温、湿度的变化是否在设备运行所允许的范围之内。电力供应电力供应应满足以下要求：a) 检查数据中心机房供电线路上有无配置稳压器和过电压防护设备；b) 检查有无建立备用供电系统。电磁防护电磁防护应满足以下要求：a) 检查有无采用接地方式防止外界电磁干扰和设备寄生耦合干扰；b) 查看电源线和通信线缆是否隔离铺设，检查关键设备和磁介质实施电磁屏蔽的具体措施。网络结构安全评测检查网络安全管理制度，验证是否对网络安全配置、日志保存时间、安全策略等作出书面规定；e) 检查是否指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处

26、理工作，并检查相关文档记录；f) 查看网络拓扑结构图，并验证分析与实际网络运行情况是否相符合；g) 检查主要网络设备，查看其性能以及目前业务高峰流量情况、查看网络中带宽控制及分配原则；检查限制网络最大流量数及网络连接数的技术手段，检查实现自动负载均衡的技术手段； h) 询问在网络划分的原则，查看网段划分情况；检查边界完整性检查、访问控制、入侵检测等安全措施，并验证其有效性；i) 询问重要网段有哪些，其具体的部署位置；检查边界和主要网络设备，查看重要网段是否采取了技术隔离手段与其他网段隔离，并验证其有效性。设备安全评测设备安全评测应满足以下要求：a) 查看有无设备安全管理文档制度，检查设备运行情

27、况查检记录表、维护记录表等，询问对设备进行专业检查的方法，验证维护管理记录是否完整；b) 检查设备安全管理制度，看是否满足5.1.3中b）项的要求；c) 登录重要网络设备，验证是否有身份鉴别、授权机制；d) 验证是否限制设备管理员的登录地址；检查网络系统中的网络设备运行状况、网络流量、用户行为等日志记录，并验证审计记录保护措施的有效性。6.2访问控制评测物理访问控制评测物流访问控制评测应满足以下要求：a） 检查数据中心机房、关键设备存储场所出入管理制度要求，验证进入机房和关键场所是否需要经过审批程序、检查在出入口有无专人值守，并控制、鉴别和记录进入的人员；b） 检查数据中心机房、关键设备存储场

28、所是否划区域管理，并查看区域和区域之间物理隔离装置，验证进入重要区域电子门禁系统的有效性。网络访问控制评测网络访问控制评测应满足以下要求：a） 查看在平台网络区域间及边界有无部署访问控制设备，查看是否通过访问控制列表对系统资源实现允许或拒绝用户访问；访问网络资源，验证访问控制功能有效性；b） 打开访问控制设备，查看访问控制配置，检查有无对网络信息内容进行过滤、重要网段采取哪种技术手段防止地址欺骗身份鉴别评测身份鉴别评测应满足以下要求：a） 检查对操作系统和数据库系统、及网络设备用户的身份鉴别机制，并验证机制有效性；b） 登录平台具体应用，检查并验证登录控制模块对用户身份的鉴别机制；c） 检查管

29、理用户、重要网络设备同一用户是否采用两种或两种以上身份鉴别技术，并验证其有效性；d） 检查身份鉴别信息及口令，判断是否达到复杂度要求并定期更换。云服务访问控制评测云服务访问控制评测应满足以下要求：a） 检查云服务提供商是否支持各种强认证选择，例如一次性密码、生物识别和数字证书等；b） 检查在服务器端是否对每个会话请求进行鉴别、授权，并能够识别策略和用户配置信息的权威来源。6.3虚拟化安全评测虚拟平台安全评测虚拟平台安全评测应满足以下要求：a） 检查虚拟平台安全管理制度要求，是否符合5.3.1中a）项要求；查看漏洞扫描和风险评估有关报告资料，验证文档制度执行的有效性；b） 检查虚拟平台（云平台管

30、控系统）的安全控制功能，验证有无认证与授权、资源控制、监控与审计等功能模块；c） 检查平台系统虚拟网络带宽管理功能，通过FTP上传下载等方式验证虚拟控制措施有效性。d） 具有控制虚拟机上下行带宽的措施，并通过FTP上传下载等方式检验控制措施是否生效。虚拟化可用性评测虚拟化可用性评测应满足以下要求：a） 验证当一台虚拟机从物理服务器上迁移到另一个服务器上时，虚拟机及其承载的应用是否能够持续运行；b） 检查当Guest OS迁移到不同的虚拟平台时，安全策略是否一致、有无执行备份管理；c） 验证当Guest OS崩溃时，平台把虚拟机恢复到上个备份点的状态所需要的时间。虚拟机共存评测查看虚拟机共存安全管理制度，检查多租户虚拟环境中所有租户安全性是否达到最低安全要求。虚拟机隔离评测虚拟机隔离评测应满足以下要求：a） 检查多租户虚拟机间隔离具体监管措施和报告机制，并验证在隔离破坏时是否产生告警；b） 查看虚拟机物理资源分配原则，判断是否符合5.3.4中b）项要求；c） 验证在单个虚拟机异常时，Hypervisor及其他虚拟机是否能够正常运行。虚拟主机安全评测虚拟