GB-T 31168-2014 信息安全技术 云计算服务安全能力要求.pdf
《GB-T 31168-2014 信息安全技术 云计算服务安全能力要求.pdf》由会员分享,可在线阅读,更多相关《GB-T 31168-2014 信息安全技术 云计算服务安全能力要求.pdf(66页珍藏版)》请在冰点文库上搜索。
ICS35.040L80中华人民共和国国家标准GB/T311682014信息安全技术云计算服务安全能力要求InformationsecuritytechnologySecuritycapabilityrequirementsofcloudcomputingservices2014-09-03发布2015-04-01实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布目次前言引言1范围12规范性引用文件13术语和定义14概述24.1云计算安全措施的实施责任24.2云计算安全措施的作用范围34.3安全要求的分类44.4安全要求的表述形式44.5安全要求的调整54.6安全计划54.7本标准的结构65系统开发与供应链安全65.1策略与规程65.2资源分配65.3系统生命周期75.4采购过程75.5系统文档85.6安全工程原则85.7关键性分析85.8外部信息系统服务及相关服务95.9开发商安全体系架构95.10开发过程、标准和工具105.11开发商配置管理105.12开发商安全测试和评估115.13开发商提供的培训125.14防篡改125.15组件真实性125.16不被支持的系统组件135.17供应链保护136系统与通信保护146.1策略与规程146.2边界保护156.3传输保密性和完整性156.4网络中断16GB/T3116820146.5可信路径166.6密码使用和管理166.7协同计算设备166.8移动代码166.9会话认证176.10移动设备的物理连接176.11恶意代码防护176.12内存防护176.13系统虚拟化安全性186.14网络虚拟化安全性186.15存储虚拟化安全性197访问控制197.1策略与规程197.2用户标识与鉴别207.3设备标识与鉴别207.4标识符管理207.5鉴别凭证管理217.6鉴别凭证反馈217.7密码模块鉴别227.8账号管理227.9访问控制的实施227.10信息流控制237.11最小特权247.12未成功的登录尝试247.13系统使用通知247.14前次访问通知257.15并发会话控制257.16会话锁定257.17未进行标识和鉴别情况下可采取的行动257.18安全属性267.19远程访问267.20无线访问267.21外部信息系统的使用277.22信息共享277.23可供公众访问的内容277.24数据挖掘保护277.25介质访问和使用287.26服务关闭和数据迁移288配置管理288.1策略与规程288.2配置管理计划298.3基线配置29GB/T3116820148.4变更控制298.5配置参数的设置308.6最小功能原则308.7信息系统组件清单319维护319.1策略与规程319.2受控维护329.3维护工具329.4远程维护329.5维护人员339.6及时维护339.7缺陷修复339.8安全功能验证349.9软件、固件、信息完整性3410应急响应与灾备3410.1策略与规程3410.2事件处理计划3510.3事件处理3510.4事件报告3510.5事件处理支持3610.6安全警报3610.7错误处理3610.8应急响应计划3710.9应急培训3710.10应急演练3710.11信息系统备份3810.12支撑客户的业务连续性计划3810.13电信服务3811审计3911.1策略与规程3911.2可审计事件3911.3审计记录内容3911.4审计记录存储容量4011.5审计过程失败时的响应4011.6审计的审查、分析和报告4011.7审计处理和报告生成4011.8时间戳4111.9审计信息保护4111.10不可否认性4111.11审计记录留存4112风险评估与持续监控4212.1策略与规程42GB/T31168201412.2风险评估4212.3脆弱性扫描4212.4持续监控4312.5信息系统监测4312.6垃圾信息监测4413安全组织与人员4413.1策略与规程4413.2安全组织4513.3安全资源4513.4安全规章制度4513.5岗位风险与职责4613.6人员筛选4613.7人员离职4613.8人员调动4613.9访问协议4713.10第三方人员安全4713.11人员处罚4713.12安全培训4814物理与环境安全4814.1策略与规程4814.2物理设施与设备选址4814.3物理和环境规划4914.4物理环境访问授权4914.5物理环境访问控制4914.6通信能力防护5014.7输出设备访问控制5014.8物理访问监控5014.9访客访问记录5014.10电力设备和电缆安全保障5114.11应急照明能力5114.12消防能力5114.13温湿度控制能力5214.14防水能力5214.15设备运送和移除52附录A(资料性附录)系统安全计划模版53参考文献59GB/T311682014前言本标准按照GB/T1.12009给出的规则起草。
请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:
中国信息安全研究院有限公司、四川大学、工业和信息化部电子工业标准化研究院、中国电子科技集团公司第三十研究所、上海三零卫士信息安全有限公司、中国电子信息产业发展研究院、工业和信息化部电子科学技术情报研究所、中电长城网际系统应用有限公司、北京朋创天地科技有限公司。
本标准主要起草人:
左晓栋、陈兴蜀、张建军、王惠莅、周亚超、冯伟、伍扬、王强、闵京华、邬敏华、杨建军、罗锋盈、尹丽波、李晓勇、孙迎新、杨晨、王石、崔占华、贾浩淼、戴劲。
GB/T311682014引言云计算是一种提供信息技术服务的模式。
积极推进云计算在政府部门的应用,获取和采用以社会化方式提供的云计算服务,有利于减少各部门分散重复建设,有利于降低信息化成本、提高资源利用率。
云计算的应用也带来了一些安全问题。
如:
在云计算环境下,客户对数据、系统的控制和管理能力明显减弱;客户与云服务商之间的责任难以界定;数据保护更加困难;容易产生对云服务商的过度依赖等。
由此产生了对云计算安全的需求,即云计算基础设施及信息网络的硬件、软件和系统中的数据受到保护,不因偶然或者恶意的原因遭到破坏、更改、泄露,系统连续可靠地正常运行,以及云计算服务不中断。
客户采用云计算服务时,其信息和业务的安全性既涉及云服务商的责任,也涉及客户自身的责任。
为了规范云服务商的安全责任,需要提出云计算服务安全能力要求,以加强云计算服务安全管理,保障云计算服务安全。
本标准与GB/T311672014信息安全技术云计算服务安全指南构成了云计算服务安全管理的基础标准。
GB/T311672014面向政府部门,提出了使用云计算服务时的安全管理要求;本标准面向云服务商,提出了云服务商在为政府部门提供服务时应该具备的安全能力要求。
本标准分一般要求和增强要求。
根据云计算平台上的信息敏感度和业务重要性的不同,云服务商应具备的安全能力也各不相同。
GB/T311682014信息安全技术云计算服务安全能力要求1范围本标准描述了以社会化方式为特定客户提供云计算服务时,云服务商应具备的安全技术能力。
本标准适用于对政府部门使用的云计算服务进行安全管理,也可供重点行业和其他企事业单位使用云计算服务时参考,还适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务。
2规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T93612011计算机场地安全要求GB/T250692010信息安全技术术语GB501742008电子信息系统机房设计规范GB/T311672014信息安全技术云计算服务安全指南3术语和定义GB/T250692010界定的以及下列术语和定义适用于本文件。
3.1云计算cloudcomputing通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并可按需自助获取和管理资源的模式。
注:
资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。
3.2云计算服务cloudcomputingservice使用定义的接口,借助云计算提供一种或多种资源的能力。
3.3云服务商cloudserviceprovider云计算服务的供应方。
注:
云服务商管理、运营、支撑云计算的计算基础设施及软件,通过网络交付云计算的资源。
3.4云服务客户cloudservicecustomer为使用云计算服务同云服务商建立业务关系的参与方。
注:
本标准中云服务客户简称客户。
3.5云计算基础设施cloudcomputinginfrastructure由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施。
1GB/T311682014注:
硬件资源包括所有的物理计算资源,包括服务器(CPU、内存等)、存储组件(硬盘等)、网络组件(路由器、防火墙、交换机、网络链接和接口等)及其他物理计算基础元素。
资源抽象控制组件对物理计算资源进行软件抽象,云服务商通过这些组件提供和管理对物理计算资源的访问。
3.6云计算平台cloudcomputingplatform云服务商提供的云基础设施及其上的服务软件的集合。
3.7云计算环境cloudcomputingenvironment云服务商提供的云计算平台,及客户在云计算平台之上部署的软件及相关组件的集合。
3.8第三方评估机构ThirdPartyAssessmentOrganization;3PAO独立于云计算服务相关方的专业评估机构。
3.9外部信息系统ExternalInformationSystem云计算平台之外的信息系统。
注:
外部信息系统的所有权、控制权一般不由云服务商掌握,其安全措施的使用或有效性不由云服务商直接控制。
4概述4.1云计算安全措施的实施责任云计算环境的安全性由云服务商和客户共同保障。
在某些情况下,云服务商还要依靠其他组织提供计算资源和服务,其他组织也应承担安全责任。
因此,云计算安全措施的实施主体有多个,各类主体的安全责任因不同的云计算服务模式而异。
云计算有软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)3种主要服务模式。
不同服务模式下云服务商和客户对计算资源的控制范围不同,控制范围则决定了安全责任的边界。
如图1所示,图中两侧的箭头示意了云服务商和客户的控制范围,具体为:
在SaaS模式下,客户仅需要承担自身数据安全、客户端安全等相关责任;云服务商承担其他安全责任。
在PaaS模式下,软件平台层的安全责任由客户和云服务商分担。
客户负责自己开发和部署的应用及其运行环境的安全,其他安全由云服务商负责。
在IaaS模式下,虚拟化计算资源层的安全责任由客户和云服务商分担。
客户负责自己部署的操作系统、运行环境和应用的安全,对这些资源的操作、更新、配置的安全和可靠性负责。
云服务商负责虚拟机监视器及底层资源的安全。
图1中,云计算的设施层(物理环境)、硬件层(物理设备)、资源抽象和控制层都处于云服务商的完全控制下,所有安全责任由云服务商承担。
应用软件层、软件平台层、虚拟化计算资源层的安全责任则由双方共同承担,越靠近底层的云计算服务(即IaaS),客户的管理和安全责任越大;反之,云服务商的管理和安全责任越大。
2GB/T311682014图1服务模式与控制范围的关系考虑到云服务商可能还需要其他组织提供的服务,如SaaS或PaaS服务提供商可能依赖于IaaS服务提供商的基础资源服务。
在这种情况下,一些安全措施由其他组织提供。
因此,云计算安全措施的实施责任有4类,如表1所示。
表1云计算安全措施的实施责任责任示例云服务商承担在SaaS模式中,云服务商对平台上安装的软件进行安全升级客户承担在IaaS模式中,客户对其安装的应用中的用户行为进行审计云服务商和客户共同承担云服务商的应急演练计划需要与客户的应急演练计划相协调。
在实施应急演练时,需要客户与云服务商相互配合其他组织承担有的SaaS服务提供商需要利用IaaS服务提供商的基础设施服务,相应的物理与环境保护措施应由IasS服务提供商予以实施本标准不对客户承担的安全责任提出要求。
客户应参照GB/T311672014及其他有关信息安全的标准规范落实其安全责任。
如云服务商依赖于其他组织提供的服务或产品,则其所承担的安全责任直接或间接地转移至其他组织,云服务商应以合同或其他方式对相应安全责任进行规定并予以落实。
但是,云服务商仍是客户或主管部门开展云计算服务安全管理的直接对象。
4.2云计算安全措施的作用范围在同一个云计算平台上,可能有多个应用系统或服务,某些安全措施应作用于整个云计算平台。
例如,云服务商实施的人员安全措施即适用于云计算平台上每一个应用系统。
这类安全措施称为通用安全措施。
某些安全措施则仅是针对特定的应用或服务,例如云计算平台上电子邮件系统的访问控制措施与字处理系统的访问控制措施可能不同。
这类安全措施称为专用安全措施。
在特殊情况下,某些安全措施的一部分属于通用安全措施,另一部分则属于专用安全措施,例如云计算平台上电子邮件系统的应急响应计划既要利用云服务商的整体应急响应资源(如应急支援队伍),也要针对电子邮件系统的备份与恢复作出专门考虑,这类安全措施称为混合安全措施。
云服务商申请为客户提供云计算服务时,所申请的每一类云计算应用或服务均应实现本标准规定的安全要求。
云服务商可以不再重复实现通用安全措施,平台上每个具体的应用系统或服务直接继承3GB/T311682014该安全措施即可。
4.3安全要求的分类本标准对云服务商提出了基本安全能力要求,反映了云服务商在保障云计算环境中客户信息和业务的安全时应具备的基本能力。
这些安全要求分为10类,每一类安全要求包含若干项具体要求。
10类安全要求分别是:
系统开发与供应链安全:
云服务商应在开发云计算平台时对其提供充分保护,对信息系统、组件和服务的开发商提出相应要求,为云计算平台配置足够的资源,并充分考虑安全需求。
云服务商应确保其下级供应商采取了必要的安全措施。
云服务商还应为客户提供有关安全措施的文档和信息,配合客户完成对信息系统和业务的管理。
系统与通信保护:
云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通信,并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性。
访问控制:
云服务商应严格保护云计算平台的客户数据,在允许人员、进程、设备访问云计算平台之前,应对其进行身份标识及鉴别,并限制其可执行的操作和使用的功能。
配置管理:
云服务商应对云计算平台进行配置管理,在系统生命周期内建立和维护云计算平台(包括硬件、软件、文档等)的基线配置和详细清单,并设置和实现云计算平台中各类产品的安全配置参数。
维护:
云服务商应维护好云计算平台设施和软件系统,并对维护所使用的工具、技术、机制以及维护人员进行有效的控制,且做好相关记录。
应急响应与灾备:
云服务商应为云计算平台制定应急响应计划,并定期演练,确保在紧急情况下重要信息资源的可用性。
云服务商应建立事件处理计划,包括对事件的预防、检测、分析和控制及系统恢复等,对事件进行跟踪、记录并向相关人员报告。
云服务商应具备容灾恢复能力,建立必要的备份与恢复设施和机制,确保客户业务可持续。
审计:
云服务商应根据安全需求和客户要求,制定可审计事件清单,明确审计记录内容,实施审计并妥善保存审计记录,对审计记录进行定期分析和审查,还应防范对审计记录的非授权访问、修改和删除行为。
风险评估与持续监控:
云服务商应定期或在威胁环境发生变化时,对云计算平台进行风险评估,确保云计算平台的安全风险处于可接受水平。
云服务商应制定监控目标清单,对目标进行持续安全监控,并在发生异常和非授权情况时发出警报。
安全组织与人员:
云服务商应确保能够接触客户信息或业务的各类人员(包括供应商人员)上岗时具备履行其安全责任的素质和能力,还应在授予相关人员访问权限之前对其进行审查并定期复查,在人员调动或离职时履行安全程序,对于违反安全规定的人员进行处罚。
物理与环境保护:
云服务商应确保机房位于中国境内,机房选址、设计、供电、消防、温湿度控制等符合相关标准的要求。
云服务商应对机房进行监控,严格限制各类人员与运行中的云计算平台设备进行物理接触,确需接触的,需通过云服务商的明确授权。
4.4安全要求的表述形式本标准将云计算服务安全能力要求分为一般要求和增强要求。
政府部门应对拟迁移至云计算平台的信息和业务进行分析,按照信息的敏感程度和业务的重要程度选择相应安全能力水平的云服务商。
GB/T311672014给出了信息、业务类型与安全保护要求之间的对应关系。
本标准中每一项安全要求均以一般要求和增强要求的形式给出。
增强要求是对一般要求的补充和强化。
在实现增强要求时,一般要求应首先得到满足。
有的安全要求只列出了增强要求,一般要求标为“无”。
这表明具有一般安全能力的云服务商可以不实现此项安全要求。
4GB/T311682014即使对同等安全能力水平的云服务商,其实现安全要求的方式也可能会有差异。
为此,本标准在描述安全要求时引入了“赋值”和“选择”这两种变量,并以赋值:
和选择:
;的形式给出。
“赋值”表示云服务商在实现安全要求时,要由其定义具体的数值或内容。
“选择”表示云服务商在实现安全要求时,应选择一个给定的数值或内容。
云服务商在向客户提供云计算服务前,应确定并实现“赋值”和“选择”的具体数值或内容。
“赋值”和“选择”示例如下:
云服务商应在赋值:
云服务商定义的时间段后自动选择:
删除;禁用临时和应急账号。
4.5安全要求的调整本标准提出的安全要求是通常情况下云服务商应具备的基本安全能力。
在具体的应用场景下,云服务商有可能需要对这些安全要求进行调整。
调整的方式有:
删减:
未实现某项安全要求,或只实现了某项安全要求的一部分;补充:
某项安全要求不足以满足云服务商的特定安全目标,故增加新的安全要求,或对标准中规定的某项安全要求进行强化;替代:
使用其他安全要求替代标准中规定的某项安全要求,以满足相同的安全目标。
调整的原因有多种,例如:
已知某些目标客户有特殊的需求;云服务商的安全责任因SaaS、PaaS和IaaS这3种不同的云计算模式而不同,云服务商为了实现本标准中规定的安全要求,所选择的安全措施的实施范围、实施强度可能不同;出于成本等因素考虑,云服务商可能希望实现替代性的安全要求;云服务商希望表现更强的安全能力,以便于吸引客户。
4.6安全计划为了建立向客户提供安全的云计算服务的能力,云服务商应制定安全计划,详细说明对本标准提出的安全要求的实现情况。
云服务商应在安全计划中对“赋值”和“选择”给出具体的数值或内容,必要时还需对本标准提出的安全要求进行调整。
当云计算平台提供多个应用或服务时,云服务商应分别制定每个应用或服务的安全计划。
安全计划包括但不限于以下内容:
云计算平台的基本描述,包括:
系统拓扑;系统运营单位;与外部系统的互连情况;云服务模式和部署模式;系统软硬件清单;数据流等。
为实现本标准规定的安全要求而采取的安全措施的具体情况。
对每项安全要求,云服务商均应在以下6个选项中选择其一作为对实现情况的整体描述,并针对性地提供详细说明:
满足。
此种情况下,应说明为满足安全要求而采取的具体措施。
部分满足。
此种情况下,对已满足的安全要求应说明所采取的具体措施,对不满足的安全要求应说明理由。
计划满足。
此种情况下,应说明时间进度安排以及在此期间的风险管控措施。
替代。
此种情况下,应说明替代理由并说明所实现的安全目标与原安全要求之间的关系。
不满足。
此种情况下,应说明不满足的理由。
5GB/T311682014不适用。
此种情况下,应说明不适用的理由。
对云服务商新增的安全目标及对应的安全措施的说明。
对客户安全责任的说明,以及对客户应实施的安全措施的建议。
安全计划应提交给第三方评估机构。
附录A给出了安全计划的模板。
4.7本标准的结构本标准共包括10个安全要求章(第5章第14章)。
每个章名称及其所含主要安全要求的数目是:
第5章系统开发与供应链安全(17个);第6章系统与通信保护(15个);第7章访问控制(26个);第8章配置管理(7个);第9章维护(9个);第10章应急响应与灾备(13个);第11章审计(11个);第12章风险评估与持续监控(6个);第13章安全组织与人员(12个);第14章物理与环境安全(15个)。
本标准还包括附录A:
安全计划模板。
注:
本标准中章的顺序不表明其重要性。
另外,本标准的其他排列也没有优先顺序,除非特别注明。
5系统开发与供应链安全5.1策略与规程5.1.1一般要求云服务商应:
a)制定如下策略与规程,并分发至赋值:
云服务商定义的人员或角色:
1)系统开发与供应链安全策略(包括采购策略等),涉及以下内容:
目的、范围、角色、责任、管理层承诺、内部协调、合规性;2)相关规程,以推动系统开发与供应链安全策略及有关安全措施的实施。
b)按照赋值:
云服务商定义的频率审查和更新系统开发与供应链安全策略及相关规程。
5.1.2增强要求无。
5.2资源分配5.2.1一般要求云服务商应:
a)在规划系统建设时考虑系统的安全需求;b)确定并分配为保护信息系统和服务所需的资源(如有关资金、场地、人力等),并在预算管理过程中予以重点考虑;6GB/T311682014c)在工作计划和预算文件中,将信息安全作为单列项予以考虑。
5.2.2增强要求无。
5.3系统生命周期5.3.1一般要求云
升级会员 