2020年度通信网络安全防护符合性评测表-互联网云服务平台..xls
《2020年度通信网络安全防护符合性评测表-互联网云服务平台..xls》由会员分享,可在线阅读,更多相关《2020年度通信网络安全防护符合性评测表-互联网云服务平台..xls(24页珍藏版)》请在冰点文库上搜索。
2020年年度度通通信信网网络络安安全全防防护护符符合合性性评评测测表表互互联联网网云云服服务务平平台台填写说明1、本表为通信网络安全防护达标检查表互联网云服务平台部分,适用于互联网云服务平台相关安全防护定级对象的企业安全自查,及主管部门或其他机构开展的安全达标评测。
2、本表相关检查内容依据YD/T3157-2016互联网云服务平台安全防护要求、YD/T3158-2016互联网云服务平台安全防护检测要求及YD/T2669-2013第三方安全服务能力评定准则制定。
3、本表由相关定级对象的所属单位填写,每个定级对象填写一份。
4、本表填写状态及达标情况部分相关内容为自动生成。
当“未完成项数量”数值不为0时,表示本表中还有检查项目未完成。
5、本表检查项目部分“检查结果”应根据各检查点内容及要求,按照定级对象相关实际情况下拉选择相应的选项(是、否、不适用),需对相关情况补充说明的可在检查结果选项下方的对话框中填写说明信息。
检检查查项项目目序序号号适适用用范范围围检检查查类类型型互互联联网网云云服服务务平平台台-数数据据安安全全23-01-01-01-01第2级及以上互联网云服务平台-数据产生23-01-01-02-0123-01-02-01-01第2级及以上互联网云服务平台-数据传输23-01-02-02-0123-01-02-03-0123-01-02-04-01第4级及以上23-01-03-01-01第2级及以上互联网云服务平台-数据存储23-01-03-02-0123-01-03-03-0123-01-03-04-0123-01-03-05-0123-01-03-06-01第3级及以上23-01-03-07-0123-01-03-08-01第4级及以上23-01-04-01-01第2级及以上互联网云服务平台-数据使用23-01-04-02-01第3级及以上23-01-05-01-01第2级及以上互联网云服务平台-数据迁移23-01-05-02-0123-01-05-03-0123-01-05-04-01第3级及以上23-01-05-04-0223-01-06-01-01第2级及以上互联网云服务平台-数据销毁23-01-06-01-0223-01-06-02-0123-01-06-03-01第3级及以上23-01-06-04-0123-01-06-05-0123-01-07-01-01第2级及以上互联网云服务平台-备份和恢复23-01-07-02-01第3级及以上23-01-07-03-01第4级及以上23-01-07-04-01互互联联网网云云服服务务平平台台-应应用用安安全全23-02-01-01-01第2级及以上互联网云服务平台-身份鉴别23-02-01-02-01第3级及以上23-02-01-03-0123-02-01-04-01第4级及以上23-02-02-01-01第2级及以上互联网云服务平台-访问控制23-02-02-02-0123-02-03-01-01第2级及以上互联网云服务平台-安全审计23-02-03-02-0123-02-03-03-0123-02-03-04-0123-02-03-05-01第3级及以上23-02-03-06-0123-02-03-07-0123-02-03-08-01第4级及以上第3级及以上23-02-04-01-01第2级及以上互联网云服务平台-资源控制23-02-04-02-0123-02-04-03-01互互联联网网云云服服务务平平台台-网网络络安安全全23-03-01-01-01第2级及以上互联网云服务平台-网络拓扑结构安全23-03-01-02-0123-03-01-03-0123-03-01-04-0123-03-01-05-01第3级及以上23-03-02-01-01第2级及以上互联网云服务平台-访问控制23-03-02-02-0123-03-02-03-01第3级及以上23-03-03-01-01第2级及以上互联网云服务平台-安全审计23-03-03-02-0123-03-03-03-0123-03-03-04-0123-03-03-05-0123-03-03-06-01第3级及以上23-03-03-07-0123-03-04-01-01第2级及以上互联网云服务平台-恶意代码防范23-03-04-02-01第3级及以上23-03-05-01-01第2级及以上互联网云服务平台-网络设备防护23-03-05-02-0123-03-05-03-0123-03-05-04-0123-03-05-04-0223-03-05-05-01第3级及以上23-03-05-06-0123-03-06-01-01第2级及以上互联网云服务平台-网络安全监测23-03-06-02-0123-03-06-03-0123-03-06-04-0123-03-06-04-0223-03-06-05-01第3级及以上23-03-06-06-0123-03-06-07-01第4级及以上23-03-06-08-01公公有有云云-虚虚拟拟化化安安全全23-04-01-01-01第2级及以上互联网云服务平台-虚拟机安全23-04-01-02-0123-04-01-03-0123-04-01-04-0123-04-01-05-01第3级及以上23-04-01-06-0123-04-01-07-0123-04-01-08-0123-04-01-09-01第4级及以上23-04-02-01-01第2级及以上互联网云服务平台-虚拟网络安全23-04-02-02-0123-04-02-03-0123-04-02-04-01第3级及以上23-04-02-05-0123-04-02-06-01第3级及以上23-04-03-01-01第2级及以上互联网云服务平台-虚拟化平台安全23-04-03-02-0123-04-03-03-0123-04-03-04-0123-04-03-05-0123-04-03-06-0123-04-03-07-01公公有有云云-主主机机安安全全23-05-01-01-01第2级及以上互联网云服务平台-身份鉴别认证23-05-01-02-0123-05-01-03-0123-05-01-04-0123-05-01-05-01第3级及以上23-05-02-01-01第2级及以上互联网云服务平台-访问控制23-05-02-02-0123-05-02-03-0123-05-03-01-01第2级及以上互联网云服务平台-安全审计23-05-03-02-0123-05-03-03-0123-05-03-04-0123-05-03-05-0123-05-03-06-01第3级及以上23-05-03-07-0123-05-03-08-0123-05-04-01-01第2级及以上互联网云服务平台-资源控制23-05-04-02-0123-05-04-03-01第3级及以上23-05-05-01-01第2级及以上互联网云服务平台-恶意代码防范23-05-05-02-01第3级及以上23-05-06-01-01第2级及以上互联网云服务平台-入侵防范23-05-06-02-0123-05-06-03-01第3级及以上23-05-06-04-01第4级及以上互互联联网网云云服服务务平平台台-物物理理安安全全23-06-01-01-01第2级及以上互联网云服务平台-物理环境安全互互联联网网云云服服务务平平台台-管管理理安安全全23-07-01-01-01第2级及以上互联网云服务平台-管理安全23-07-01-02-0123-07-01-03-0123-07-01-04-0123-07-01-05-0123-07-01-06-01第3级及以上23-07-01-07-0123-07-01-08-01第2级及以上互联网云服务平台-入侵防范检检查查内内容容适适用用网网络络属属性性应具有数据敏感度的界定标准互联网云服务平台数据产生时,应根据数据的敏感度进行分类互联网云服务平台应采用技术措施保证鉴别信息(指用于鉴定用户身份是否合法的信息,如用户登录各种业务系统的账号和密码、服务密码等)传输的保密性。
互联网云服务平台应支持用户实现对关键业务数据和管理数据传输的保密性互联网云服务平台应能够检测到数据在传输过程中完整性受到破坏。
互联网云服务平台应能够检测到数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施互联网云服务平台应采用加密技术或其他保护措施实现鉴别信息的存储保密性互联网云服务平台应支持用户实现对关键业务数据和管理数据的存储保密性。
互联网云服务平台应支持用户对密码算法、强度和方式等参数的可选配置。
互联网云服务平台应提供有效的磁盘保护方法或数据碎片化存储等措施,保证即使磁盘被窃取,非法用户也无法从磁盘中获取有效的用户数据互联网云服务平台应能够检测到数据在存储过程中完整性受到破坏。
互联网云服务平台应能够检测到数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施互联网云服务平台应支持用户选择第三方加密及密钥管理机制对用户关键数据进行加密互联网云服务平台应提供有效的虚拟机镜像文件加载保护机制,保证即使虚拟机镜像被窃取,非法用户也无法直接在其计算资源上进行挂卷运行互联网云服务平台应对数据的使用进行授权和验证互联网云服务平台应对敏感数据的使用进行审计,并形成审计日志互联网云服务平台应进行数据迁移前的网络安全能力评估,保证数据迁移的安全实施互联网云服务平台应保证数据在不同虚拟机之间迁移不影响业务应用的连续性互联网云服务平台数据迁移中应做好数据备份以及恢复相关工作互联网云服务平台数据迁移准备应制定迁移方案,并进行迁移方案可行性评估与风险评估,确定制定数据迁移风险控制措施互联网云服务平台2020年年度度通通信信网网络络安安全全防防护护符符合合性性评评测测表表互互联联网网云云服服务务平平台台1、本表为通信网络安全防护达标检查表互联网云服务平台部分,适用于互联网云服务平台相关安全防护定级对象的企业安全自查,及主管部门或其他机构开展的安全达标评测。
2、本表相关检查内容依据YD/T3157-2016互联网云服务平台安全防护要求、YD/T3158-2016互联网云服务平台安全防护检测要求及YD/T2669-2013第三方安全服务能力评定准则制定。
3、本表由相关定级对象的所属单位填写,每个定级对象填写一份。
4、本表填写状态及达标情况部分相关内容为自动生成。
当“未完成项数量”数值不为0时,表示本表中还有检查项目未完成。
5、本表检查项目部分“检查结果”应根据各检查点内容及要求,按照定级对象相关实际情况下拉选择相应的选项(是、否、不适用),需对相关情况补充说明的可在检查结果选项下方的对话框中填写说明信息。
互联网云服务平台应能够提供手段协助清除因数据在不同云平台间迁移、业务终止、自然灾害、合同终止等遗留的数据,对日志的留存期限应符合国家有关规定互联网云服务平台互联网云服务平台应提供手段清除数据的所有副本互联网云服务平台应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除互联网云服务平台应确保文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。
互联网云服务平台应提供手段禁止被销毁数据的恢复。
互联网云服务平台应提供数据本地备份与恢复功能,全量数据备份至少每周一次,增量备份至少每天一次;或提供多副本备份机制。
互联网云服务平台应建立异地灾难备份中心,配备灾难恢复所需的通信线路、网络设备和数据处理设备等互联网云服务平台应建设生产备份中心和同城灾备中心,即双活中心。
双活中心应具备基本等同的业务处理能力并通过高速链路实时同步数据,日常情况下可同时分担业务及管理系统的运行,并可切换运行,灾难情况下应支持灾备应急切换,保持业务连续运行互联网云服务平台应提供异地实时备份功能,利用通信网络将数据实时备份至灾难备份中心互联网云服务平台应采用一种或一种以上组合的鉴别技术来进行身份鉴别互联网云服务平台应采用两种或两种以上组合的鉴别技术来进行身份鉴别互联网云服务平台应具备防范暴力破解等攻击的能力互联网云服务平台应采用两种或两种以上组合的鉴别技术来进行身份鉴别,并保证一种身份鉴别机制是不易伪造的互联网云服务平台应严格限制用户的访问权限,按安全策略要求控制用户对应用程序及开发环境等的访问互联网云服务平台应严格限制应用与应用之间相互调用的权限,按照安全策略要求控制应用程序对其他应用程序里用户数据或特权指令等资源的调用互联网云服务平台审计范围应覆盖到用户在应用程序及开发环境中的关键操作、重要行为、业务资源使用情况等重要事件互联网云服务平台应对审计记录进行保护,有效期内避免受到非授权的访问、篡改、覆盖或删除互联网云服务平台应定期针对审计日志进行人工审计互联网云服务平台应支持按用户需求提供与其相关的审计信息及审计分析报告互联网云服务平台应具备对审计记录数据进行统计、查询、分析及生成审计报表的功能互联网云服务平台应具备自动化审计功能,监控明显异常操作互联网云服务平台应能汇聚服务范围内的审计数据,支持第三方审计互联网云服务平台应具备自动化审计功能,监控明显异常操作并响应互联网云服务平台数据迁移准备应制定迁移方案,并进行迁移方案可行性评估与风险评估,确定制定数据迁移风险控制措施应限制对应用访问的最大并发会话连接数等资源配额互联网云服务平台应提供资源控制不当的报警及响应。
互联网云服务平台应在会话处于非活跃一定时间或会话结束后终止会话连接互联网云服务平台应绘制与当前运行情况相符的网络拓扑结构图互联网云服务平台应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要互联网云服务平台应保证接入网络和核心网络的带宽满足业务高峰期需要互联网云服务平台应根据云服务的类型、功能及服务租户的不同划分不同的子网、网段或安全组互联网云服务平台应按照用户服务级别协议的高低次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护高级别用户的服务通信互联网云服务平台应在(子)网络或网段边界部署访问控制设备并启用访问控制功能,或通过安全组设置访问控制策略互联网云服务平台应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度到主机级互联网云服务平台应实现对HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。
互联网云服务平台应对网络系统中的网络设备运行状况、网络流量、管理员和运维人员行为等进行日志记录互联网云服务平台审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
互联网云服务平台应保证所有网络设备的系统时间自动保持一致。
互联网云服务平台应对审计记录进行保护,有效期内避免受到非授权的访问、篡改、覆盖或删除等。
互联网云服务平台应按用户需求提供与其相关的审计信息及审计分析报告。
互联网云服务平台应能够根据记录数据进行分析,发现异常能及时告警,并生成审计报表互联网云服务平台应能汇聚服务范围内的审计数据,支持第三方审计互联网云服务平台应对恶意代码进行检测和清除互联网云服务平台应周期性地维护恶意代码库的升级和检测系统的更新互联网云服务平台应对登录网络设备的用户进行身份鉴别互联网云服务平台应对网络设备的管理员登录地址进行限制互联网云服务平台网络设备用户的标识应唯一互联网云服务平台身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换互联网云服务平台互联网云服务平台当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃取。
互联网云服务平台应对网络设备进行分权分域管理,限制默认用户或者特权用户的权限,做到最小授权互联网云服务平台应对网络系统中的网络设备运行状况、网络流量、管理员和运维人员行为等进行监测,识别和记录异常状态。
互联网云服务平台应根据用户需求支持对持续大流量攻击进行识别、报警和阻断的能力互联网云服务平台应监视是否对云服务存在以下攻击行为:
端口扫描、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
互联网云服务平台当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警互联网云服务平台互联网云服务平台应周期性地对攻击、威胁的特征库进行更新,并升级到最新版本。
互联网云服务平台应支持对违法和不良信息、或非法域名的检测发现并告警互联网云服务平台应支持对攻击行为进行分析,明确攻击目标范围,并协助回溯到攻击源头互联网云服务平台应在网络边界处部署异常流量和对未知威胁的识别、监控和防护机制,并采取技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析互联网云服务平台应支持虚拟机之间、虚拟机与宿主机之间的隔离。
互联网云服务平台应支持虚拟机部署防病毒软件。
互联网云服务平台应具有对虚拟机恶意攻击等行为的识别并处置的能力。
互联网云服务平台应支持对虚拟机脆弱性进行检测的能力。
互联网云服务平台应保证虚拟机迁移过程中数据和内存的安全可靠,保证迁入虚拟机的完整性和迁移前后安全配置环境的一致性。
互联网云服务平台应确保虚拟机操作系统的完整性,确保虚拟机操作系统不被篡改,且确保虚拟机实现安全启动互联网云服务平台应对虚拟机镜像文件进行完整性校验,确保虚拟机镜像不被篡改。
互联网云服务平台应提供最新版本的虚拟机镜像和补丁版本互联网云服务平台应支持发现虚拟机操作系统漏洞的能力,支持漏洞修复互联网云服务平台应部署一定的访问控制安全策略,以实现虚拟机之间、虚拟机与虚拟机管理平台之间、虚拟机与外部网络之间的安全访问控制互联网云服务平台应支持采用VLAN或者分布式虚拟交换机等技术,以实现网络的安全隔离互联网云服务平台应支持不同租户之间的网络隔离互联网云服务平台应支持对虚拟网络的逻辑隔离,在虚拟网络边界处实施访问控制策略互联网云服务平台应对虚拟机网络出口带宽进行限制互联网云服务平台可支持用户选择使用第三方安全产品。
互联网云服务平台应保证每个虚拟机能获得相对独立的物理资源,并能屏蔽虚拟资源故障,确保某个虚拟机崩溃后不影响虚拟机监控器及其他虚拟机。
互联网云服务平台应保证不同虚拟机之间的虚拟CPU指令隔离。
互联网云服务平台应保证不同虚拟机之间的内存隔离,内存被释放或再分配给其他虚拟机前得到完全释放。
互联网云服务平台互联网云服务平台应保证虚拟机只能访问分配给该虚拟机的存储空间(包括内存空间和磁盘空间)。
互联网云服务平台应对虚拟机的运行状态、资源占用等信息进行监控。
互联网云服务平台应支持发现虚拟化平台漏洞的能力,支持漏洞修复。
互联网云服务平台应对登录操作系统和数据库系统的用户进行身份标识和鉴别互联网云服务平台操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换。
互联网云服务平台应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施互联网云服务平台应采用安全方式防止用户鉴别认证信息泄露而造成身份冒用互联网云服务平台当对服务器进行远程管理时,应采取加密措施,防止鉴别信息在网络传输过程中被窃取互联网云服务平台应采用技术措施对合法访问终端的地址范围进行限制互联网云服务平台应关闭系统不使用的端口,防止非法访问互联网云服务平台应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限互联网云服务平台审计范围应覆盖到服务器上的每个操作系统用户和数据库用户互联网云服务平台审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等重要的安全相关事件互联网云服务平台审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等互联网云服务平台保护审计记录,有效期内避免受到非授权的访问、篡改、覆盖或删除等。
互联网云服务平台应支持按用户需求提供与其相关的审计信息及审计分析报告互联网云服务平台应能够根据记录数据进行分析,并生成审计报表。
互联网云服务平台应保护审计进程,避免受到未预期的中断互联网云服务平台应能汇聚服务范围内的审计数据,支持第三方审计互联网云服务平台应根据安全策略,设置登录终端的会话数量互联网云服务平台应根据安全策略设置登录终端的操作超时锁定互联网云服务平台应对重要服务器进行性能监测,包括服务器的CPU、硬盘、内存、网络等资源的使用情况,发现异常情况提供告警,并进行相应处置互联网云服务平台应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。
互联网云服务平台应支持防恶意代码软件的统一管理互联网云服务平台操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,保持系统补丁及时得到更新互联网云服务平台应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。
互联网云服务平台应能够对重要程序的完整性进行检测互联网云服务平台应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施互联网云服务平台应满足YD/T1754-2008中的要求,在本标准与企业规范标准、企业具体操作维护规范等文档对相同内容有重复要求时,采取从严原则,应符合最严格的安全要求互联网云服务平台互联网云服务平台及其所属各类设备、系统应定期进行安全风险评估(至少每两年一次),风险评估范围应与互联网云服务平台安全防护范围一致互联网云服务平台互联网云服务平台安全风险评估至少应覆盖数据安全、应用安全、网络安全、虚拟化安全、主机安全、物理环境安全等相关技术风险和人员安全、运维安全等相关管理风险,至少包含互联网云服务平台相关资产、脆弱性、威胁、安全措施、风险分析等要素和内容,并根据评估结果制定相应的风险处理计划。
互联网云服务平台互联网云服务平台应按照YD/T1731-2008的相关要求制定灾难恢复预案,并定期组织灾难恢复预案的教育培训(至少每半年一次)和演练(至少每年一次)。
互联网云服务平台应支持为用户提供云服务安全评估结果等证明信息。
互联网云服务平台应根据与用户签订的SLA协议或合同等提供安全事件预警提示等服务。
互联网云服务平台应定期对互联网云服务平台及其所属各类设备、系统进行安全风险评估(至少每年一次)。
互联网云服务平台应定期组织互联网云服务平台及其所属各类设备、系统灾难恢复预案的教育培训(至少每季度一次)和演练(至少每半年一次)。
互联网云服务平台可建立允许用户选择第三方安全产品的管理制度互联网云服务平台检检查查点点备备注注答答案案是否具有数据敏感度的界定标准?
请选择.数据产生时,是否根据数据的敏感度进行分类?
请选择.是否采用技术措施保证鉴别信息传输的保密性?
请选择.是否能够支持用户实现对关键业务数据和管理数据传输的保密性?
请选择.是否能够检测到数据在传输过程中完整性受到破坏?
请选择.是否在检测到数据完整性错误时采取必要的恢复措施?
请选择.是否采用加密技术或其他保护措施实现鉴别信息的存储保密性?
请选择.是否支持用户实现对关键业务数据和管理数据的存储保密性?
请选择.是否支持用户对密码算法、强度和方式等参数的可选配置?
请选择.是否提供有效的磁盘保护方法或数据碎片化存储等措施,保证即使磁盘被窃取,非法用户也无法从磁盘中获取有效的用户数据?
请选择.是否能够检测到数据在存储过程中完整性受到破坏?
请选择.是否在检测到数据存储的完整性错误时采取必要的恢复措施?
请选择.是否支持用户选择第三方加密及密钥管理机制对用户关键数据进行加密?
请选择.是否提供有效的虚拟机镜像文件加载保护机制,保证即使虚拟机镜像被窃取,非法用户也无法直接在其计算资源上进行挂卷运行?
请选择.是否对数据的使用进行授权和验证?
请选择.是否对敏感数据的使用进行审计,并形成审计日志?
请选择.是否进行数据迁移前的网络安全能力评估,保证数据迁移的安全实施?
请选择.是否保证数据在不同虚拟机之间迁移不影响业务应用的连续性?
请选择.数据迁移中是否做好数据备份以及恢复相关工作?
请选择.数据迁移准备是否制定迁移方案?
请选择.1
升级会员 