服务商便宜虚拟主机

ICS35.
040L80中华人民共和国国家标准GB/T31168-XXXX代替信息安全技术云计算服务安全能力要求Informationsecuritytechnology—Securitycapabilityrequirementsofcloudcomputingservices(征求意见稿)2020-01-1720XX–XX-XX发布20XX–XX-XX实施目次1范围12规范性引用文件13术语和定义14概述24.
1云计算安全措施的实施责任(参考GB/T31167修改)34.
2云计算安全措施的作用范围44.
3安全要求的分类44.
4安全要求的表述形式54.
5安全要求的调整54.
6安全计划65系统开发与供应链安全65.
1资源分配65.
2系统生命周期75.
3采购过程75.
4系统文档75.
5关键性分析85.
6外部服务85.
7开发商安全体系架构85.
8开发过程、标准和工具95.
9开发过程配置管理95.
10开发商安全测试和评估105.
11开发商提供的培训105.
12组件真实性115.
13不被支持的系统组件115.
14供应链保护116系统与通信保护126.
1边界保护126.
2传输保密性和完整性136.
3网络中断136.
4可信路径136.
5密码使用和管理136.
6设备接入保护136.
7移动代码146.
8会话认证146.
9恶意代码防护146.
10内存防护156.
11系统虚拟化安全性156.
12网络虚拟化安全性156.
13存储虚拟化安全性166.
14安全管理中心167访问控制167.
1用户标识与鉴别177.
2标识符管理177.
3鉴别凭证管理177.
4鉴别凭证反馈187.
5密码模块鉴别187.
6账号管理187.
7访问控制的实施197.
8信息流控制197.
9最小特权197.
10未成功的登录尝试207.
11系统使用通知207.
12前次访问通知207.
13并发会话控制207.
14会话锁定207.
15未进行标识和鉴别情况下可采取的行动217.
16安全属性217.
17远程访问217.
18无线访问217.
19外部信息系统的使用227.
20可供公众访问的内容227.
21Web访问安全227.
22API访问安全228数据保护238.
1数据安全管理238.
2个人信息保护238.
3数据出境评估238.
4数据共享238.
5剩余信息保护248.
6数据挖掘保护248.
7介质访问和使用248.
8服务关闭和数据迁移249配置管理259.
1配置管理计划259.
2基线配置259.
3变更控制259.
4配置参数的设置269.
5最小功能原则269.
6信息系统组件清单2710维护管理2710.
1受控维护2710.
2维护工具2810.
3远程维护2810.
4维护人员2810.
5及时维护2910.
6缺陷修复2910.
7安全功能验证2910.
8软件和固件完整性2911应急响应2911.
1事件处理计划3011.
2事件处理3011.
3事件报告3011.
4事件处理支持3011.
5安全警报3111.
6错误处理3111.
7应急响应计划3111.
8应急培训3211.
9应急演练3211.
10信息系统备份3211.
11支撑客户的业务连续性计划3311.
12电信服务3312审计3312.
1可审计事件3312.
2审计记录内容3412.
3审计记录存储容量3412.
4审计过程失败时的响应3412.
5审计的审查、分析和报告3412.
6审计处理和报告生成3512.
7时间戳3512.
8审计信息保护3512.
9抗抵赖性3512.
10审计记录留存3513风险评估与持续监控3613.
1风险评估3613.
2脆弱性扫描3613.
3持续监控3613.
4信息系统监测3713.
5垃圾信息监测3714安全组织与人员3714.
1安全策略与管理制度3814.
2安全组织3814.
3岗位风险与职责3814.
4人员筛选3914.
5人员离职3914.
6人员调动3914.
7第三方人员安全3914.
8人员处罚4014.
9安全培训4015物理与环境安全4015.
1物理设施与设备选址4015.
2物理和环境规划4115.
3物理环境访问授权4115.
4物理环境访问控制4115.
5输出设备访问控制4215.
6物理访问监控4215.
7访客访问记录4215.
8设备运送和移除4216高级保护要求4316.
1系统开发与供应链安全4316.
2系统与通信保护4316.
3访问控制4316.
4数据保护4416.
5配置管理4416.
6应急响应4516.
7审计4516.
8风险评估与持续监控45附录A46系统安全计划模版46附录B52不同云能力类型下的不适用项52参考文献53前言本标准按照GB/T1.
1-2009给出的规则起草.
本标准代替GB/T31168—2014《信息安全技术云计算服务安全能力要求》,与GB/T31168—2014相比,主要变化如下:——删除原4.
7节本标准的结构.
——修改术语定义3.
1-3.
6,与GB/T32400《云计算术语》标准保持一致.
——删除原5.
1、6.
1、7.
1、8.
1、9.
1、10.
1、11.
1、12.
1、13.
1和14.
1策略与规程,相关要求整合至14安全组织与人员14.
1策略与规程中.
——精简标准条款,梳理减少原则性要求、重复性要求,其中有相关国家标准要求的,如物理与环境要求引用.

——明确标准内容,减少赋值和选择操作,确需保留的,以举例或附录模板等形式尽可能给出参考值.

——结合云计算平台的特点,修改6.
1边界保护、6.
11系统虚拟化等,细化网络隔离等内容.
——增加6.
14安全管理中心,针对云计算管理平台或系统的安全能力要求.
——补充PAAS/SAAS等模式的安全技术要求,包括:7.
21Web访问安全、7.
22API访问安全——增加第8章数据保护,做好与关键信息基础设施保护、个人信息和重要数据保护相关标准的衔接,确保客户迁移数据过程中的业务连续性和数据完整性.

——将第10章维护改为"维护管理",侧重管理要求.
——增加第16章高级保护要求.
根据GB/T31167,承载敏感信息的重要业务和关键业务,应选择达到高级保护能力的云服务.

——增加附录B不同云能力类型下的不适用项,说明"基础设施"、"平台"、"应用程序"能力类型的适用项或不适用项列表.

本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口.
本标准起草单位:中电数据服务有限公司牵头,四川大学、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、国家信息技术安全研究中心、中国信息安全测评中心、中国信息通信研究院、北京信息安全测评中心、中国软件评测中心、中电长城网际系统应用有限公司、国家工业信息安全中心、神州网信技术有限公司、阿里云计算有限公司、宁夏西云数据科技有限公司、中国电信云股份有限公司云计算分公司、华为技术有限公司、深信服科技股份有限公司、深圳腾讯计算机系统有限公司、京东云计算(北京)有限公司、浙江蚂蚁金服小微金融服务集团股份有限公司、武汉理工大学、上海市方达(北京)律师事务所等.

本标准主要起草人:周亚超、左晓栋、陈兴蜀、张建军、闵京华、李斌、贾大文、赵丹丹、焦程鹏、段静辉、王惠莅、刘俊河、张明天、刘佳良、胡华明、丁俊、史大为、卢夏、叶润国、王启旭、龙毅宏、张大江、黄少青、柳彩云、何延哲、邵江宁、果靖、李安伦、杨婷、李媛、高亚楠、张君、沈笑慧、杨天路、康和、曹晓琦、王永霞、杨洪起、王龑、尹云霞、张文豪、宋文娣、吴复伟等.

引言云计算是一种提供信息技术服务的模式.
积极推进云计算在党政机关和关键信息基础设施相关行业的应用,获取和采用以社会化方式提供的云计算服务,有利于减少各部门分散重复建设,有利于降低信息化成本、提高资源利用率.

云计算的应用也带来了一些安全问题.
如:在云计算环境下,客户对数据、系统的控制和管理能力明显减弱;客户与云服务商之间的责任难以界定;数据保护更加困难;容易产生对云服务商的过度依赖等.
由此产生了对云计算安全的需求,即云计算基础设施及信息网络的硬件、软件和系统中的数据受到保护,不因偶然或者恶意的原因遭到破坏、更改、泄露,系统连续可靠地正常运行,以及云计算服务不中断.

客户采用云计算服务时,其信息和业务的安全性既涉及云服务商的责任,也涉及客户自身的责任.
为了规范云服务商的安全责任,需要提出云计算服务安全能力要求,以加强云计算服务安全管理,保障云计算服务安全.

本标准与GB/T31167-XXXX《信息安全技术云计算服务安全指南》构成了云计算服务安全管理的基础标准.
GB/T31167-XXXX面向党政机关和关键信息基础设施运营者,提出了使用云计算服务时的安全管理要求;本标准面向云服务商,描述了为党政机关和关键信息基础设施运营者等客户提供云计算服务时,云服务商应具备的安全技术能力.

参照GB/T31167-XXXX《信息安全技术云计算服务安全指南》,本标准分一般要求、增强要求和高级保护要求.
根据云计算平台上的信息敏感度和业务重要性的不同,云服务商应具备的安全能力也各不相同.

信息安全技术云计算服务安全能力要求范围本标准描述了为党政机关和关键信息基础设施运营者等客户提供云计算服务时,云服务商应具备的安全技术能力.

本标准适用于对党政机关和关键信息基础设施运营者使用的云计算服务进行安全管理,还适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务.

规范性引用文件下列文件对于本文件的应用是必不可少的.
凡是注日期的引用文件,仅注日期的版本适用于本文件.
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.

GB/T9361-2011计算机场地安全要求GB/T25069-2010信息安全技术术语GB50174-2017数据中心设计规范GB/T32400-2015信息技术云计算概览与词汇GB/T31167-XXXX信息安全技术云计算服务安全指南GB/T35273-XXXX信息安全技术个人信息安全规范术语和定义GB/T25069-2010和GB/T31167-2014界定的以及下列术语和定义适用于本文件.
3.
1云计算cloudcomputing一种通过网络将将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式.

[GB/T32400-2015,3.
2.
5云计算]注:资源实例包括服务器、操作系统、网络、软件、应用和存储设备等.

3.
2云计算服务cloudcomputingservice通过云计算(3.
1)已定义的接口提供的一种或多种能力.
[GB/T32400-2015,3.
2.
8云服务"]3.
3云服务商cloudserviceprovider供云计算服务(3.
2)的参与方.
[GB/T32400-2015,3.
2.
15云服务提供者"]注:云服务商管理、运营、支撑云计算的计算基础设施及软件,通过网络交付云计算的资源.

3.
4云服务客户cloudservicecustomer为使用云计算服务(3.
2)而处于一定业务关系中的参与方.
[GB/T32400-2015,3.
2.
11云服务客户]注1:业务关系不一定包含经济条款.
注2:本标准中云服务客户简称客户.
3.
5云服务用户cloudserviceuser云服务客户(3.
4)中使用云服务的自然人或实体代表.
[GB/T32400-2015,3.
2.
17云服务用户]3.
6云服务租户cloudservicetenant对一组物理和虚拟资源进行共享访问的一个或多个云服务用户(3.
5).
[GB/T32400-2015,3.
2.
37租户]3.
7云计算基础设施cloudcomputinginfrastructure由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施.
注:硬件资源包括所有的物理计算资源,包括服务器(CPU、内存等)、存储组件(硬盘等)、网络组件(路由器、防火墙、交换机、网络链接和接口等)及其他物理计算基础元素.
资源抽象控制组件对物理计算资源进行软件抽象,云服务商通过这些组件提供和管理对物理计算资源的访问.

3.
8云计算平台cloudcomputingplatform云服务商提供的云基础设施及其上的服务软件的集合.
3.
9云计算环境cloudcomputingenvironment云服务商提供的云计算平台,及客户在云计算平台之上部署的软件及相关组件的集合.

3.
10第三方评估机构ThirdPartyAssessmentOrganization(3PAO)独立于云计算服务相关方的专业评估机构.
3.
11外部信息系统ExternalInformationSystem云计算平台之外的信息系统.
注:外部信息系统的所有权、控制权一般不由云服务商掌握,其安全措施的使用或有效性不由云服务商直接控制.

3.
12外部服务externalservice由外部服务提供商提供的信息系统相关的服务.
3.
13开发商Developer信息系统、组件或服务的开发者、制造商、系统集成商、供应商和经销商等.

注:开发商可以是云服务商的内部开发团队或通过签订合同委托开发的外部开发商,包括个人、企业、非盈利组织、开源组织等.
本标准中的开发商不包含采购商用现货产品的开发商,供应商主要指提供商业现货产品的提供者.

概述4.
1云计算安全措施的实施责任(后续参考GB/T31167修改)云计算环境的安全性由云服务商和客户共同保障.
在某些情况下,云服务商还要依靠其他组织提供计算资源和服务,其他组织也应承担安全责任.
因此,云计算安全措施的实施主体有多个,各类主体的安全责任因不同的云计算服务模式而异.

图1服务模式与控制范围的关系云计算有软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)3种主要服务模式.
不同服务模式下云服务商和客户对计算资源的控制范围不同,控制范围则决定了安全责任的边界.
如图1所示,图中两侧的箭头示意了云服务商和客户的控制范围,具体为:在SaaS模式下,客户仅需要承担自身数据安全、客户端安全等相关责任;云服务商承担其他安全责任.

在PaaS模式下,软件平台层的安全责任由客户和云服务商分担.
客户负责自己开发和部署的应用及其运行环境的安全,其他安全由云服务商负责.

在IaaS模式下,虚拟化计算资源层的安全责任由客户和云服务商分担.
客户负责自己部署的操作系统、运行环境和应用的安全,对这些资源的操作、更新、配置的安全和可靠性负责.
云服务商负责虚拟机监视器及底层资源的安全.

图1中,云计算的设施层(物理环境)、硬件层(物理设备)、资源抽象和控制层都处于云服务商的完全控制下,所有安全责任由云服务商承担.
应用软件层、软件平台层、虚拟化计算资源层的安全责任则由双方共同承担,越靠近底层的云计算服务(即IaaS),客户的管理和安全责任越大;反之,云服务商的管理和安全责任越大.

考虑到云服务商可能还需要其他组织提供的服务,如SaaS或PaaS服务提供商可能依赖于IaaS服务提供商的基础资源服务.
在这种情况下,一些安全措施由其他组织提供.

因此,云计算安全措施的实施责任有4类,如表1所示.
表1云计算安全措施的实施责任责任示例云服务商承担在SaaS模式中,云服务商对平台上安装的软件进行安全升级.
客户承担在IaaS模式中,客户对其安装的应用中的用户行为进行审计.
云服务商和客户共同承担云服务商的应急演练计划需要与客户的应急演练计划相协调.
在实施应急演练时,需要客户与云服务商相互配合.

其他组织承担有的SaaS服务提供商需要利用IaaS服务提供商的基础设施服务,相应的物理与环境保护措施应由IasS服务提供商予以实施.

本标准不对客户承担的安全责任提出要求.
客户应参照GB/T31167-XXXX及其他有关信息安全的标准规范落实其安全责任.
如云服务商依赖于其他组织提供的服务或产品,则其所承担的安全责任直接或间接地转移至其他组织,云服务商应以合同或其他方式对相应安全责任进行规定并予以落实.
但是,云服务商仍是客户或主管部门开展云计算服务安全管理的直接对象.

4.
2云计算安全措施的作用范围在同一个云计算平台上,可能有多个应用系统或服务,某些安全措施应作用于整个云计算平台.
例如,云服务商实施的人员安全措施即适用于云计算平台上每一个应用系统.
这类安全措施称为通用安全措施.

某些安全措施则仅是针对特定的应用或服务,例如云计算平台上电子邮件系统的访问控制措施与字处理系统的访问控制措施可能不同.
这类安全措施称为专用安全措施.

在特殊情况下,某些安全措施的一部分属于通用安全措施,另一部分则属于专用安全措施,例如云计算平台上电子邮件系统的应急响应计划既要利用云服务商的整体应急响应资源(如应急支援队伍),也要针对电子邮件系统的备份与恢复作出专门考虑,这类安全措施称为混合安全措施.

云服务商申请为客户提供云计算服务时,所申请的每一类云计算应用或服务均应实现本标准规定的安全要求.
云服务商可以不再重复实现通用安全措施,平台上每个具体的应用系统或服务直接继承该安全措施即可.

4.
3安全要求的分类本标准对云服务商提出了基本安全能力要求,反映了云服务商在保障云计算环境中客户信息和业务的安全时应具备的基本能力.
这些安全要求分为11类,每一类安全要求包含若干项具体要求.

11类安全要求分别是:系统开发与供应链安全:云服务商应在开发云计算平台时对其提供充分保护,对信息系统、组件和服务的开发商提出相应要求,为云计算平台配置足够的资源,并充分考虑安全需求.
云服务商应确保其下级供应商采取了必要的安全措施.
云服务商还应为客户提供有关安全措施的文档和信息,配合客户完成对信息系统和业务的管理.

系统与通信保护:云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通信,并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性.

访问控制:云服务商应在允许人员、进程、设备访问云计算平台之前,应对其进行身份标识及鉴别,并限制其可执行的操作和使用的功能.

数据保护:云服务商应严格保护云计算平台的客户数据,确保境内运营中收集和产生的客户数据在境内存储,提供重要数据的备份与恢复功能,协助客户完成数据迁移并在服务结束时安全返回数据.

配置管理:云服务商应对云计算平台进行配置管理,在系统生命周期内建立和维护云计算平台(包括硬件、软件、文档等)的基线配置和详细清单,并设置和实现云计算平台中各类产品的安全配置参数.

维护:云服务商应维护好云计算平台设施和软件系统,并对维护所使用的工具、技术、机制以及维护人员进行有效的控制,且做好相关记录.

应急响应:云服务商应为云计算平台制定应急响应计划,并定期演练,确保在紧急情况下重要信息资源的可用性.
云服务商应建立事件处理计划,包括对事件的预防、检测、分析和控制及系统恢复等,对事件进行跟踪、记录并向相关人员报告.
云服务商应具备容灾恢复能力,建立必要的备份与恢复设施和机制,确保客户业务可持续.

审计:云服务商应根据安全需求和客户要求,制定可审计事件清单,明确审计记录内容,实施审计并妥善保存审计记录,对审计记录进行定期分析和审查,还应防范对审计记录的非授权访问、修改和删除行为.

风险评估与持续监控:云服务商应定期或在威胁环境发生变化时,对云计算平台进行风险评估,确保云计算平台的安全风险处于可接受水平.
云服务商应制定监控目标清单,对目标进行持续安全监控,并在发生异常和非授权情况时发出警报.

安全组织与人员:云服务商应确保能够接触客户信息或业务的各类人员(包括供应商人员)上岗时具备履行其安全责任的素质和能力,还应在授予相关人员访问权限之前对其进行审查并定期复查,在人员调动或离职时履行安全程序,对于违反安全规定的人员进行处罚.

物理与环境安全:云服务商应确保机房位于中国境内,机房选址、设计、供电、消防、温湿度控制等符合相关标准的要求.
云服务商应对机房进行监控,严格限制各类人员与运行中的云计算平台设备进行物理接触,确需接触的,需通过云服务商的明确授权.

4.
4安全要求的表述形式本标准将云计算服务安全能力要求分为一般保护要求、增强保护要求和高级保护要求.
政府部门和关键信息基础设施运营者应对拟迁移至云计算平台的信息和业务进行分析,按照信息的敏感程度和业务的重要程度选择相应安全能力水平的云服务商.
GB/T31167-XXXX给出了信息、业务类型与安全保护要求之间的对应关系.
本标准中每一项安全要求均以一般要求和增强要求的形式给出.
增强要求是对一般要求的补充和强化.
在实现增强要求时,一般要求应首先得到满足.
在满足增强要求的基础上,第16章提出高级保护要求.

有的安全要求只列出了增强要求,一般要求标为"无".
这表明具有一般安全能力的云服务商可以不实现此项安全要求.

即使对同等安全能力水平的云服务商,其实现安全要求的方式也可能会有差异.
为此,本标准在描述安全要求时引入了"赋值"和"选择"这两种变量,并以[赋值:……]和[选择:……;……]的形式给出.
"赋值"表示云服务商在实现安全要求时,要由其定义具体的数值或内容.
"选择"表示云服务商在实现安全要求时,应选择一个给定的数值或内容.

云服务商在向客户提供云计算服务前,应确定并实现"赋值"和"选择"的具体数值或内容.

"赋值"和"选择"示例如下:云服务商应在[赋值:云服务商定义的时间段]后自动[选择:删除;禁用]临时和应急账号.

4.
5安全要求的调整本标准提出的安全要求是通常情况下云服务商应具备的基本安全能力.
在具体的应用场景下,云服务商有可能需要对这些安全要求进行调整.
调整的方式有:删减:未实现某项安全要求,或只实现了某项安全要求的一部分.
补充:某项安全要求不足以满足云服务商的特定安全目标,故增加新的安全要求,或对标准中规定的某项安全要求进行强化.

替代:使用其他安全要求替代标准中规定的某项安全要求,以满足相同的安全目标.

调整的原因有多种,例如:已知某些目标客户有特殊的需求.
云服务商的安全责任因SaaS、PaaS和IaaS这3种不同的云计算模式而不同,云服务商为了实现本标准中规定的安全要求,所选择的安全措施的实施范围、实施强度可能不同.

出于成本等因素考虑,云服务商可能希望实现替代性的安全要求.
云服务商希望表现更强的安全能力,以便于吸引客户.
4.
6安全计划为了建立向客户提供安全的云计算服务的能力,云服务商应制定安全计划,详细说明对本标准提出的安全要求的实现情况.
云服务商应在安全计划中对"赋值"和"选择"给出具体的数值或内容,必要时还需对本标准提出的安全要求进行调整.

当云计算平台提供多个应用或服务时,云服务商应分别制定每个应用或服务的安全计划.

安全计划包括但不限于以下内容:云计算平台的基本描述,包括:系统拓扑.
系统运营单位.
与外部系统的互连情况.
云服务模式和部署模式.
系统软硬件清单.
数据流等.
为实现本标准规定的安全要求而采取的安全措施的具体情况.
对每项安全要求,云服务商均应在以下6个选项中选择其一作为对实现情况的整体描述,并针对性地提供详细说明:满足.
此种情况下,应说明为满足安全要求而采取的具体措施.
部分满足.
此种情况下,对已满足的安全要求应说明所采取的具体措施,对不满足的安全要求应说明理由.

计划满足.
此种情况下,应说明时间进度安排以及在此期间的风险管控措施.

替代.
此种情况下,应说明替代理由并说明所实现的安全目标与原安全要求之间的关系.

不满足.
此种情况下,应说明不满足的理由.
不适用.
此种情况下,应说明不适用的理由.
对云服务商新增的安全目标及对应的安全措施的说明.
对客户安全责任的说明,以及对客户应实施的安全措施的建议.
安全计划应提交给第三方评估机构.
附录A给出了安全计划的模板.
系统开发与供应链安全5.
1资源分配5.
1.
1一般要求云服务商应:a)对保护信息系统和服务所需的资源(如有关资金、场地、人力等)进行详细分析,并确保这些资源的可用性.

b)在预算管理过程中对信息安全资源需求予以重点考虑,在工作计划和预算文件中,将信息安全作为单列项予以考虑.

5.
1.
2增强要求无.
5.
2系统生命周期5.
2.
1一般要求云服务商应:a)在系统生命周期中充分考虑安全因素,确保安全措施同步规划、同步建设、同步使用.

b)明确信息系统生命周期的网络安全角色和责任,确定相应责任人.
c)将信息安全风险管理过程集成到系统生命周期活动中.
d)在系统生命周期中应用安全工程原则,根据实际情况可包括:在设计阶段制定安全策略和措施,实施分层保护,划定物理和逻辑安全边界等.

5.
2.
2增强要求无.
5.
3采购过程5.
3.
1一般要求云服务商应根据相关规定和标准的要求以及可能的客户需求:a)基于风险评估在信息系统的采购合同或其他文件中提出安全要求,包括安全功能要求、安全强度要求、安全保障要求、安全相关文档要求、保密要求、开发环境和预期运行环境描述、验收准则、强制配置要求(如功能、端口、协议和服务).

b)与供应商签订协议,明确安全和保密义务与责任,以及确保供应链安全事件信息或威胁信息能够及时传达到供应链上的有关各方.

c)与供应商签订服务水平协议(SLA),确保与供应商签订的SLA中的相关指标,不低于拟与客户所签订的SLA协议中的相关指标.

5.
3.
2增强要求云服务商应要求信息系统、组件或服务的开发商:a)提供安全功能或安全机制描述.
b)提供系统开发过程质量保障证据,如表明其在系统开发过程中使用了先进的系统工程方法、软件开发方法、测试技术或质量控制过程.

c)在交付时实现安全配置,禁用不必要或高风险的功能、端口、协议或服务,并将该安全配置作为重新安装或升级时的缺省配置.

d)制定对安全措施有效性的持续监控计划.
5.
4系统文档5.
4.
1一般要求云服务商应:a)确保云计算平台具有管理员文档,且涵盖以下信息:1)信息系统、组件或服务的安全配置,以及安装和运行说明.
2)安全特性或功能的使用和维护说明.
3)与管理功能有关的配置和使用方面的注意事项.
b)确保云计算平台具有用户文档,且涵盖以下信息:1)安全功能、机制及其使用方法.
2)信息系统、组件或服务的安全使用方法或说明.
3)用户安全责任和注意事项.
c)基于风险管理策略,按照要求保护上述文档.
d)将上述文档分发至云计算平台管理员、用户和相关角色.
5.
4.
2增强要求无.
5.
5关键性分析5.
5.
1一般要求无.
5.
5.
2增强要求云服务商应在[赋值:云服务商定义的系统生命周期中的决策点],如规划、设计或发生重大变更时,对云计算平台及其组件或服务进行关键性分析,以确定关键信息系统组件和功能,并分析该功能或组件失效对系统业务的影响.

5.
6外部服务5.
6.
1一般要求云服务商应:a)要求外部服务提供商遵从并实施云服务商的安全要求.
b)明确外部服务提供商的安全分工与责任,同时要求外部服务提供商接受相关客户监督.

c)对外部服务提供商所提供的安全措施的合规性进行持续监控.
例如,在服务水平协议中明确对发现的不合规情况提供补救措施和响应要求.

5.
6.
2增强要求云服务商应:a)在采购或外包安全服务(如应急支援服务)之前评估该服务带来的风险.

b)确保安全服务的采购或外包得到安全责任部门以及相关人员或角色的批准.

c)要求外部服务提供商明确说明该服务涉及的功能、端口、协议和其他服务.

d)基于[赋值:云服务商定义的安全要求、属性、因素或者其他条件]建立并保持与外部服务提供商的信任关系.
例如,信任关系可以是基于合同或服务水平协议、服务模式、采取的安全控制措施及其有效性,评估对外部服务提供商的安全性和可控性.

e)根据风险评估情况,采取安全防护措施,根据实际情况,安全防护措施可以是:1)对外部服务提供商进行人员背景审查,或要求外部服务提供商提供可信的人员背景审查结果.

2)检查外部服务提供商资本变更记录.
3)选择可信赖的外部服务提供商,如有过良好合作或具备相关资质的提供商.

4)定期或不定期检查外部服务提供商的设施.
f)基于[赋值:云服务商定义的要求或条件],限制[选择:信息处理;信息或数据;信息系统服务]的地点,如本地或境内.

5.
7开发商安全体系架构5.
7.
1一般要求无.
5.
7.
2增强要求云服务商应:a)要求信息系统、组件或服务的开发商制定设计规范和安全架构,且符合下列条件:1)该架构应符合或支持云服务商的安全架构.
2)准确完整地描述了所需的安全功能,并且为物理和逻辑组件分配了安全措施.

3)说明各项安全功能、机制和服务如何协同工作,以提供完整一致的保护能力.

b)要求信息系统、组件或服务的开发商提供云服务所需的相关信息,说明与安全相关的硬件、软件和固件.

c)要求信息系统、组件或服务的开发商编制非形式化的高层说明书,说明安全相关的硬件、软件和固件的接口,并通过非形式化的证明,说明该高层说明书完全覆盖了与安全相关的硬件、软件和固件的接口.

5.
8开发过程、标准和工具5.
8.
1一般要求无.
5.
8.
2增强要求云服务商应:a)要求信息系统、组件或服务的开发商明确安全需求,制定开发规范.
b)要求信息系统、组件或服务的开发商在开发过程的初始阶段定义质量度量标准,并以[选择:[赋值:云服务商定义的频率];[赋值:云服务商定义的项目审查里程碑];交付时]为节点,检查质量度量标准的落实情况.

c)要求信息系统、组件或服务的开发商确定安全问题追踪工具,并在开发过程期间使用.

d)要求信息系统、组件或服务的开发商以[赋值:云服务商定义的广度和深度]对信息系统进行威胁和脆弱性分析.

e)要求信息系统、组件或服务的开发商使用[赋值:自行定义或云服务商定义的工具]执行漏洞分析,明确漏洞利用的可能性,确定漏洞消减措施,并将工具的输出和分析结果提交给[赋值:云服务商定义的人员或角色].

f)要求信息系统、组件或服务的开发商即使在交付信息系统、组件或服务后,也应跟踪漏洞情况,在发布漏洞补丁前便应通知云服务商,且应将漏洞补丁交由云服务商审查、验证并允许云服务商自行安装.

g)在信息系统、组件或服务的开发和测试环境使用生产数据时,应先行批准、记录并进行保护.

h)要求信息系统、组件或服务的开发商制定应急预案,并将应急预案纳入云服务商的事件响应计划中.

5.
9开发过程配置管理5.
9.
1一般要求云服务商应要求信息系统、组件或服务的开发商:a)在信息系统、组件或服务的开发过程中实施配置管理.
b)记录和保存基本配置信息,实施对配置信息改变的控制根据实际情况,配置项可包括但不限于:形式化模型、功能、高层设计说明书、低层设计说明书、其他设计数据、实施文档、源代码和硬件原理图、目标代码的运行版本、版本对比工具、测试设备和文档.

c)得到云服务商的批准后,才能对所提供的信息系统、组件或服务进行变更.

d)记录对信息系统、组件或服务的变更及其所产生的安全影响,并及时更新基本配置信息库.

e)跟踪信息系统、组件或服务中的安全缺陷和解决方案.
5.
9.
2增强要求云服务商应:a)要求信息系统、组件或服务的开发商提供能够验证软件和固件组件完整性的方法,如哈希算法.

b)在没有专用的开发商配置团队支持的情况下,由本组织的人员建立相应的配置管理流程.

c)要求信息系统、组件或服务的开发商提供对硬件组件进行完整性验证的方法,如防伪标签、可核查序列号、防篡改技术等.

d)要求信息系统、组件或服务的开发商,在开发过程中使用工具验证软件或固件源代码、目标代码的当前版本与以往版本异同,并采取措施保证安全相关的硬件、软件和固件的出厂版本与现场运行版本一致,现场更新与开发商内部版本一致.

5.
10开发商安全测试和评估5.
10.
1一般要求云服务商应要求开发商对所开发的信息系统、组件或服务:a)制定并实施安全评估计划.
b)以[赋值:云服务商定义的深度和覆盖面]执行[选择:单元;集成;系统;回归]测试或评估.

c)提供安全评估计划的实施证明材料,并提供安全评估结果.
d)实施可验证的缺陷修复过程.
e)更正在安全评估过程中发现的脆弱性和不足.
5.
10.
2增强要求云服务商应:a)要求信息系统、组件或服务的开发商在开发阶段使用静态代码分析工具识别常见缺陷,并记录分析结果.

b)要求信息系统、组件或服务的开发商实施威胁和脆弱性分析,并测试或评估已开发完成的信息系统、组件或服务.

c)在对信息系统、组件或服务的开发商进行评估时,应:1)选择第三方验证开发商实施安全评估计划的正确性以及在安全测试或评估过程中产生的证据.

2)确保第三方能够获得足够的资料来完成验证过程,或已被授予获得此类信息的访问权限.

d)要求信息系统、组件或服务的开发商对[赋值:云服务商定义的特定代码]实施代码审查.

e)要求信息系统、组件或服务的开发商按照[赋值:云服务商定义的约束条件],以[赋值:云服务商定义的广度和深度]执行渗透性测试.

f)要求信息系统、组件或服务的开发商分析所提供的硬件、软件和固件容易受到攻击的脆弱点.

g)要求信息系统、组件或服务的开发商验证安全测试或评估范围满足[赋值:云服务商定义的广度和深度要求].

h)要求信息系统、组件或服务的开发商在运行阶段使用动态代码分析工具识别常见缺陷,并记录分析结果.

5.
11开发商提供的培训5.
11.
1一般要求云服务商应要求信息系统、组件或服务的开发商提供技术培训,以正确使用所交付系统或产品中的安全功能、措施和机制.

5.
11.
2增强要求无.
5.
12组件真实性5.
12.
1一般要求无.
5.
12.
2增强要求云服务商应:a)制定和实施防赝品的策略和规程,检测并防止赝品组件进入信息系统.

b)根据实际情况,向正品厂商、相关外部机构、云服务商安全责任部门或相关人员报告赝品组件.

c)对相关人员或角色进行有关赝品组件检测的培训.
d)在等待服务或维修,以及已送修的组件返回时,对关键组件的配置控制权.

e)销毁废弃的信息系统组件.
f)按照[赋值:云服务商定义的频率]检查信息系统中是否有赝品组件.
5.
13不被支持的系统组件5.
13.
1一般要求无.
5.
13.
2增强要求云服务商应在开发商、供应商或厂商不再对系统组件提供支持时,替换该系统组件;或当因业务需要等原因需继续使用时,提供正当理由并经过本组织领导层的批准,并为不被支持的系统组件提供内部支持或来自其他外部提供商的支持.

5.
14供应链保护5.
14.
1一般要求云服务商应:a)对云计算平台的供应链过程进行定义和管理,唯一标识供应链过程和参与者,建立管理操作规程.
其中,供应链过程可包括硬件、软件和固件开发过程;运输和装卸过程;人员和物理安全程序;以及涉及到供应链单元生产或发布的其他程序,供应链参与者指供应链中具有特定角色和责任的独立个体.

b)识别对云计算服务的安全性存在重要影响的外包服务或采购的产品.
c)确保[赋值:云服务商定义的网络关键设备和网络安全专用产品]通过国家规定的检测认证,如防火墙、安全隔离与信息交换产品(网闸)、反垃圾邮件产品、网络脆弱性扫描产品、安全数据库系统.

d)在运输或仓储时使用防篡改包装.
例如,采取防伪标签、安全封条、中性化包装,不体现包装物的信息,对包装物的封箱、开箱过程进行监督和记录,对封条使用和货柜安全操作建立指导性规程.

5.
14.
2增强要求云服务商应:a)采用供应链保护措施,以降低攻击者利用供应链造成的危害.
根据实际情况,保护措施包括但不限于:1)优先购买现货产品,避免购买定制设备.
2)在能提供相同产品的多个不同供应商中做选择,以防范供应商锁定风险.

3)选择有声誉的企业,建立合格供应商列表(含潜在供应商).
4)缩短采购决定和交付的时间间隔.
5)使用可信或可控的分发、交付和仓储手段.
6)限制从特定供应商或国家采购产品或服务.
7)保护供应链相关信息,包括:用户身份、信息系统、组件或服务的用途、供应商身份、供应商处理过程、安全需求、设计说明书、测评结果、信息系统或组件配置等信息.
在制定保护措施时,应确定哪些信息可通过汇聚或推导分析而获得供应链关键信息,并采取针对性的措施予以防范,如向供应商屏蔽关键信息,采取匿名采购或委托采购.

8)制定物流管理规程,完整记录入库、转库等物流信息,确保产品的可追溯性;在此基础上,建立标签码追溯数据管理规程和配套系统,确保从物料到产品交付的可追溯性.

b)优先选择满足下列条件的供应商:1)保护措施符合法律、法规、政策、标准以及云服务商的安全要求.
2)企业运转过程和安全措施相对透明,具有相关文档记录.
3)对下级供应商、关键组件和服务的安全提供了进一步的核查.
4)在合同中声明不使用有恶意代码产品或假冒产品.
c)在签署合同前对供应商进行评估,根据实际情况,包括但不限于:1)分析供应商对信息系统、组件和服务的设计、开发、实施、验证、交付、支持过程.

2)评价供应商在开发信息系统、组件或服务时接受的安全培训和积累的经验,以判断其安全能力.

d)按照[赋值:云服务商定义的频率],识别供应链安全风险,综合分析各方面的信息,包括执法部门披露的信息、信息安全通报、应急响应机构的风险提示等,以发现来自开发、生产、交付过程以及人员和环境的风险.
该分析应尽可能覆盖到各层供应商和候选供应商.

e)采用[赋值:云服务商定义的保护措施]确认所收到的信息系统或组件真实且未被改动,如光学标签等.
对于硬件,应要求供应商提供详细和完整的组件清单和产地清单.

f)明确供应商选择和退出的机制,当变更供应商时,对供应商变更带来的安全风险进行评估,并采取有关措施对风险进行控制.

系统与通信保护6.
1边界保护6.
1.
1一般要求云服务商应:a)在连接外部网络或外部信息系统的边界以及内部关键边界上,对通信进行监控.

b)将允许外部公开直接访问的组件,划分在一个与内部网络逻辑隔离的子网络上,如DMZ区(隔离区),确保允许外部人员访问的组件与允许客户访问的组件在逻辑层面实现严格的网络隔离.

c)确保与外部网络或信息系统的连接只能通过严格管理的接口进行,该接口上应部署有边界保护设备.

6.
1.
2增强要求云服务商应:a)为云计算服务搭建物理独立的资源池,确保资源池的计算资源、存储资源、网络资源不被服务于其他类型的客户的平台和系统所使用,并仅通过部署了边界保护设备的受控接口与连接外部网络或服务于其他类型的客户的平台和系统相连.

b)限制云计算平台外部访问接入点的数量,以便对进出通信和网络流量实施有效监控.

c)采取以下措施:1)对每一个外部的电信服务接口进行管理.
2)对每一个接口制定通信流策略.
3)采取有关措施对所传输的信息流进行必要的保密性和完整性保护.
4)当根据业务需要,出现通信流策略的例外情况时,将业务需求和通信持续时间记录到通信流策略的例外条款中.

5)按照[赋值:云服务商定义的频率],对网络通信流策略中的例外条款进行审查,在通信流策略中删除不再需要的例外条款.

d)确保云计算平台网络出入口在默认情况下拒绝所有网络通信流量,仅允许满足最小业务需求的网络通信流量通过.

e)支持客户使用独立的代理服务器实现信息的导入导出.
f)确保在[赋值:云服务商定义的边界保护失效情况]下,云计算平台中的[赋值:云服务商定义的受影响部分]能够安全地终止运行.

g)采取有关措施,满足不同客户或同一客户不同业务的信息系统之间隔离的需求.

6.
2传输保密性和完整性6.
2.
1一般要求云服务商应采用密码技术保证通信过程中数据的保密性和完整性.
6.
2.
2增强要求云服务商应提供满足国家密码管理法律法规的通信加密和签名验签设施.

6.
3网络中断6.
3.
1一般要求无.
6.
3.
2增强要求云服务商应采取有关措施,确保在应用层通信会话结束时或在[赋值:云服务商定义的不活动时间]之后,云计算平台终止有关网络连接.
例如,对基于RAS(远程访问服务)的会话,可将不活动时间定义为30min;对于非交互式用户,可将不活动时间定义为30到60min.

6.
4可信路径6.
4.
1一般要求无.
6.
4.
2增强要求云服务商应采取有关措施,确保在云计算平台用户和系统安全功能之间建立一条可信的通信路径,安全功能至少应包括:系统鉴别、再鉴别、服务分配和回收.

6.
5密码使用和管理6.
5.
1一般要求云服务商应按照国家密码管理有关规定使用和管理云计算平台中使用的密码设施,并按规定生成、使用和管理密钥.

6.
5.
2增强要求无.
6.
6设备接入保护6.
6.
1一般要求云服务商应:a)限制本地及远程终端设备接入云计算平台,在设备接入云计算平台前对其进行唯一性标识和鉴别,如基于设备的介质访问控制(MAC)地址.

b)对唯一性标识进行集中管理,确保通过唯一性标识可快速查找到设备.

c)禁止在云计算平台上接入带网络通信功能的摄像头、相机、麦克风、白板、打印机等协同计算设备.

d)对接入云计算平台的移动存储设备进行标识,确保只能经其授权的移动存储设备才可接入云计算平台.

e)禁止在云计算平台及其远程运维网络中接入智能手机、个人平板电脑、电子阅读器、智能穿戴式设备等移动智能设备或产品.

f)关闭网络设备中未使用的网络接口.
g)严格限制运维终端中各类数据交换接口的使用,如USB、存储卡、Type-C、光盘、蓝牙、红外等接口.

6.
6.
2增强要求云服务商应在远程运维终端接入云计算平台前对其进行安全检查,确保安全状态符合云计算平台要求后,才可接入云计算平台.

6.
7移动代码6.
7.
1一般要求云服务商应根据安全需求和客户的要求,制定移动代码使用策略,对移动代码(指在服务过程中从服务端下载并在客户端执行的代码,包括控件、插件和脚本程序,如JavaScript、ActiveX、VBScript、宏命令等)的使用进行限制,并对允许使用的移动代码进行监视.

6.
7.
2增强要求云服务商应:a)在移动代码执行前采取必要的安全措施,至少应对移动代码进行来源确认.

b)禁止自动执行移动代码,如关闭移动存储设备的自动播放功能.
6.
8会话认证6.
8.
1一般要求无.
6.
8.
2增强要求云服务商应提供验证通信会话(如云计算平台的管理会话、业务会话等)的双方身份真实性和保护通信会话真实性的能力,以防止中间人攻击、会话劫持等,可采用以下方式保护通信会话,包括:建立专用的会话通道对相关会话进行封装;提供公用和专用网络的端对端加密和验证服务;建立安全的数据交换机制,为网络连接提供数据加密、服务器认证以及可选择的客户机认证等.

6.
9恶意代码防护6.
9.
1一般要求云服务商应:a)在网络出入口以及系统中的主机、移动计算和存储设备上实施恶意代码防护机制.

b)建立相应维护机制,确保恶意代码防护机制得到及时更新,如升级病毒库.

c)及时对恶意代码告警记录进行检查和分析,并分析误报对信息系统可用性的潜在影响.

6.
9.
2增强要求云服务商应:a)自动更新恶意代码防护机制.
b)集中管理恶意代码防护机制.
6.
10内存防护6.
10.
1一般要求无.
6.
10.
2增强要求云服务商应采取内存防护措施对内存进行防护,避免非授权代码执行.
6.
11系统虚拟化安全性6.
11.
1一般要求云服务商应:a)确保虚拟机的镜像安全,并保证:1)提供虚拟机镜像文件完整性校验功能,防止虚拟机镜像被恶意篡改.
2)采取有关措施保证逻辑卷同一时刻只能被一个虚拟机挂载.
b)实现虚拟化平台的资源隔离,并保证:1)虚拟机只能访问分配给该虚拟机的物理磁盘空间.
2)不同虚拟机之间的虚拟CPU(vCPU)指令实现隔离.
3)不同虚拟机之间实现内存隔离.
4)虚拟机的内存被释放或再分配给其他虚拟机前得到完全释放.
5)确保某个虚拟机崩溃后不影响虚拟机监控器(Hypervisor)及其他虚拟机.
c)提供资源隔离失败后的告警措施.
d)支持虚拟机安全隔离,在虚拟机监控器(Hypervisor)层提供虚拟机与物理机之间的安全隔离措施,控制虚拟机之间以及虚拟机和物理机之间所有的数据通信.

e)提供虚拟化平台操作管理员权限分离机制.
f)确保虚拟镜像模板的配置正确性,并明确模板的谱系来源.
6.
11.
2增强要求云服务商应:a)提供虚拟机跨物理机迁移过程中的保护措施.
b)提供对虚拟机所在物理机范围进行指定或限定的能力.
c)提供防止虚拟机镜像文件数据被非授权访问的功能.
d)对虚拟机模版文件、配置文件等重要数据进行完整性检测.
6.
12网络虚拟化安全性6.
12.
1一般要求云服务商应:a)针对不同租户虚拟网络资源(如VPC)间的访问实施网络逻辑隔离,保证不同租户之间的网络隔离要求,并提供访问控制措施;针对同一租户的不同业务,能够提供网络隔离能力和访问控制措施.

b)对虚拟机的网络接口的带宽进行管理.
c)能够为租户业务提供虚拟化的负载均衡方案,保证租户业务的可靠性.

6.
12.
2增强要求无.
6.
13存储虚拟化安全性6.
13.
1一般要求云服务商应:a)确保针对存储数据的安全控制能够应用到逻辑和物理存储实体上,不会因信息在物理存储位置上的改变而导致安全控制措施被旁路.

b)禁止或限制对物理存储实体的直接访问.
c)保障各个租户所使用的虚拟存储资源之间的逻辑隔离.
d)在租户解除存储资源的使用后,为确保属于该租户的所有数据在物理存储设备级别上被有效清除,云服务商应提供存储数据清除措施,确保[赋值:云服务商定义的用户数据]能够在[赋值:云服务商定义的需要清除用户数据的操作]后在物理存储设备级别上被有效清除.
例如镜像文件、快照文件在迁移或删除虚拟机后能被完全清除.

e)提供虚拟存储数据审计手段.
f)提供虚拟存储数据访问控制手段.
g)提供虚拟存储冗余备份支持.
6.
13.
2增强要求云服务商应:a)提供存储协议级数据访问授权,如实施iSCSI(因特网小型计算机系统接口)等存储协议级别的安全控制.

b)允许客户部署满足国家密码管理规定的数据加密方案,确保客户的数据能够在云计算平台以密文形式存储.

c)支持第三方加密及密钥管理方案.
6.
14安全管理功能的通信保护6.
14.
1一般要求云服务商应:a)在访问云服务的网络和内部管理云的网络之间采取隔离和访问控制措施.

b)保证云计算平台管理流量与云服务客户业务流量分离.
c)能对物理资源和虚拟资源按照策略做统一管理调度与分配.
d)提供实时的虚拟机监控机制,通过带内或带外的技术手段对虚拟机的运行状态、资源占用、迁移等信息进行监控.

6.
14.
2增强要求云服务商应:a)确保虚拟化平台的管理命令采用加密方式进行传输.
b)当远程维护管理云计算平台时,防止远程管理设备同时直接连接其他网络资源,仅在[赋值:云服务商定义的特定情况]下可通过若干固定节点以VPN等方式安全接入.
c)构建物理上独立的运维管理网络,部署资源管理平台、运维管理系统,以对云计算平台进行管理.

d)提供系统管理、审计管理、配置管理、集中管控等安全管理能力.
访问控制7.
1用户标识与鉴别7.
1.
1一般要求云服务商应:a)对信息系统的用户进行唯一标识和鉴别.
b)对特权账号的网络访问实施多因子鉴别.
7.
1.
2增强要求云服务商应:a)对账号的网络访问实施多因子鉴别,在鉴别时,确保其中一个因子由与系统分离的设备提供,以防止鉴别凭证在系统中存储时受到破坏.

b)对特权账号的网络访问实施抗重放鉴别机制,如动态口令,确保云计算平台能够有效防御抗重放攻击.

7.
2标识符管理7.
2.
1一般要求云服务商应:a)在[赋值:云服务商定义的时间段]内防止对用户或设备标识符的重用.
b)在[赋值:云服务商定义的时间段]后禁用不活动的用户标识符.
7.
2.
2增强要求云服务商应:a)对[赋值:云服务商定义的人员类型]进行进一步标识,如合同商或境外公民,便于了解通信方的身份(如将电子邮件的接收者标识为合同商,以便与本组织人员相区分).

b)在标识跨组织、跨平台的用户时,应确保与相关机构相协调,以满足多个组织或平台的标识符管理策略.

7.
3鉴别凭证管理7.
3.
1一般要求云服务商应:a)通过以下步骤管理鉴别凭证:1)验证鉴别凭证接收对象(个人、组、角色或设备)的身份.
2)确定鉴别凭证的初始内容.
3)确保鉴别凭证能够有效防止伪造和篡改.
4)针对鉴别凭证的初始分发、丢失处置以及重置,建立和实施管理流程.

5)强制要求用户更改鉴别凭证的默认内容.
6)明确鉴别凭证的最小和最大生存时间限制以及再用条件.
7)对[赋值:云服务商定义的鉴别凭证],强制要求在[赋值:云服务商定义的时间段]之后更新鉴别凭证.

8)保护鉴别凭证内容,以防泄露和篡改.
9)采取由设备实现的特定安全保护措施来保护鉴别凭证,如:由设备生成证书或密码.

10)当组或角色账号的成员资格发生变化时,变更该账号的鉴别凭证.
b)对于基于口令的鉴别:1)设立相关机制,能够强制执行最小口令复杂度,该复杂度满足[赋值:云服务商定义的口令复杂度规则].

2)设立相关机制,能够在用户更新口令时,强制变更[赋值:云服务商定义的数目]个字符,确保新旧口令不同.

3)对存储和传输的口令进行加密.
4)强制执行最小和最大生存时间限制,以满足[赋值:云服务商定义的最小生存时间和最大生存时间].

c)对于基于硬件令牌的鉴别,定义令牌安全质量要求,并部署相关机制予以满足,如基于PKI的令牌.

7.
3.
2增强要求云服务商应:a)对于基于PKI的鉴别:1)通过构建到信任根的认证路径并对其进行验证,包括检查证书状态信息,以确保认证过程的安全.

2)对相应私钥进行保护.
b)确保未加密的静态鉴别凭证未被嵌入到应用、访问脚本中.
c)接收[赋值:云服务商定义的鉴别凭证]时,必须通过本人或可信第三方实施.

7.
4鉴别凭证反馈7.
4.
1一般要求云服务商应确保信息系统在鉴别过程中能够隐藏鉴别信息的反馈,以防止鉴别信息被非授权人员利用.

7.
4.
2增强要求无.
7.
5密码模块鉴别7.
5.
1一般要求云服务商应确保系统中的密码模块对操作人员设置了鉴别机制,该机制应满足国家密码管理的有关规定.

7.
5.
2增强要求无.
7.
6账号管理7.
6.
1一般要求云服务商应:a)指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制.

b)标识账号类型(如个人账号、组账号、访客账号、匿名账号和临时账号).

c)当下述情况出现时,通报账号管理员:1)当临时账号不再需要时.
2)当用户离职或调动时.
3)当变更信息系统用途时.
d)按照[赋值:云服务商定义的频率],检查账号是否符合账号管理的要求.

7.
6.
2增强要求云服务商应:a)采用自动方式管理账号,避免共享账号的存在.
b)在[赋值:云服务商定义的时间段]后自动[选择:删除;禁用]临时和应急账号.

c)在[赋值:云服务商定义的时间段]后自动关闭非活跃账号.
d)对账号的建立、更改、禁用和终止行为进行自动审计,并将情况向[赋值:云服务商定义的人员或角色]通报.

e)根据基于角色的访问方案建立和管理特权用户账号,将信息系统的访问及特权纳入角色属性,并对特权角色的分配进行跟踪和监视.

7.
7访问控制的实施7.
7.
1一般要求云服务商应:a)对云计算平台上信息和系统资源的逻辑访问进行授权.
b)在对访问进行授权时应符合[赋值:云服务商定义的职责分离规则].
7.
7.
2增强要求云服务商应保证云服务客户可以依据[赋值:云服务商定义的强制实施的访问控制策略]确定主体对客体的访问,该策略应规定:a)已获得信息访问权的主体,应限制其实施以下任何行为:1)将信息传递给非授权的主体和客体.
2)将权限授予其他主体.
3)变更主体、客体、信息系统或组件的安全属性.
4)对新创建或修改后的客体,变更其已经关联的安全属性.
5)变更访问控制管理规则.
b)针对[赋值:云服务商定义的主体],可明确授予[赋值:云服务商定义的特权(即将其作为可信主体)],以便其不被a)条的部分或全部条件所约束.

7.
8信息流控制7.
8.
1一般要求无.
7.
8.
2增强要求云服务商应在确保客户隐私权和安全利益的前提下:a)按照[赋值:云服务商定义的信息流控制策略],控制系统内或互连系统间的信息流动,如限制受控信息流向互联网、限制云计算平台上的客户及其他重要信息流向境外或在境外处理、限制云计算平台主动对外部网络的访问、限制跨虚拟私有云(VPC)的数据流动、限制某些数据格式或含关键字的信息流出云计算平台.

b)在不同的安全域之间传输信息时,检查信息中是否存在[赋值:云服务商定义的禁止类信息],并遵循[赋值:云服务商定义的安全策略],禁止传输此类信息.

c)唯一地标识和鉴别以[选择:组织;系统;应用;个人]为标识的源和目的地址,以实施信息流策略,如禁止信息流向境外目的地址.

d)使用同一设备对多个不同安全域上的计算平台、应用或数据访问时,防止不同安全域之间的任何信息以违背信息流策略的方式流动.

7.
9最小特权7.
9.
1一般要求云服务商应:a)确保为用户提供的访问权限是其完成指定任务所必需的,符合本组织的业务需求.

b)对[赋值:云服务商定义的安全功能和安全相关信息]的访问进行明确授权.

7.
9.
2增强要求云服务商应:a)确保具有访问系统安全功能或安全相关信息特权的账号或角色用户,当访问非安全功能时,使用非特权账号或角色.

b)限制[赋值:云服务商定义的人员或角色]具有特权账号.
c)确保信息系统能够阻止非特权用户执行特权功能,以防禁止、绕过或替代已实施的安全措施.

7.
10未成功的登录尝试7.
10.
1一般要求云服务商应:a)将[赋值:云服务商定义的时间段]内连续登录失败的上限限定为[赋值:云服务商定义的次数].

b)当登录失败次数超过上限时,系统将锁定账号,直至[选择:达到[赋值:云服务商定义的时间段];由管理员解锁].

7.
10.
2增强要求无.
7.
11系统使用通知7.
11.
1一般要求云服务商应:a)在准予用户访问系统之前,向用户显示系统使用通知消息或旗标,根据有关法律、法规、政策、标准等提供隐私和安全通知,并声明:1)用户正访问某重要单位的信息系统.
2)系统的使用过程可能被监视、记录并受到审计.
3)禁止对系统进行越权使用,否则将承担法律责任.
4)一旦使用该系统,则表明同意受到监视和记录.
b)在屏幕上保留通知消息或标语,直到用户采取明确的行动来登录系统或进一步使用系统.

7.
11.
2增强要求无.
7.
12前次访问通知7.
12.
1一般要求云服务商应在用户登录系统后,显示前一次登录信息,可包括:上一次登录时间、上一次登录IP地址等设备信息、已经累计登录失败次数等.

7.
12.
2增强要求无.
7.
13并发会话控制7.
13.
1一般要求无.
7.
13.
2增强要求云服务商应确保在云计算平台中[赋值:云服务商定义的账号]不允许有两个或两个以上的并发会话.

7.
14会话锁定7.
14.
1一般要求无.
7.
14.
2增强要求云服务商应:a)当用户在[赋值:云服务商定义的时间段]内未活动,或用户主动发起锁定指令时,实施会话锁定,以防止继续访问云计算平台.

b)保持会话锁定,直到用户通过已有的标识和鉴别过程,再次建立连接.
c)信息系统应隐藏锁定前可见的信息,并显示公开可见的图像.
7.
15未进行标识和鉴别情况下可采取的行动7.
15.
1一般要求云服务商应确定无需进行标识和鉴别即可在云计算平台上实施的用户行为,并说明理由.
该行为要符合云服务商的安全策略,并且与云计算平台上系统的功能相一致.

7.
15.
2增强要求无.
7.
16安全属性7.
16.
1一般要求无.
7.
16.
2增强要求云服务商应:a)针对[赋值:云服务商定义的主体、用户(包括外部的IT产品)、客体、信息、会话和/或资源],定义安全属性,确定安全属性值或范围.

b)提供关联手段,在信息的存储、处理、传输中,将[赋值:云服务商定义的安全属性]与信息相关联.
例如,将典型信息的安全属性与其访问权限、访问环境关联起来.

7.
17远程访问7.
17.
1一般要求云服务商应:a)对[赋值:云服务商定义的远程访问方法]明确使用限制、配置和连接要求.

b)明确远程访问的实施条件,采取有关措施保证远程访问的安全.
c)在允许远程连接前,对远程访问方式进行授权.
d)实时监视非授权的云服务远程连接,并在发现非授权连接时,采取恰当的应对措施.

7.
17.
2增强要求云服务商应:a)自动监视和控制远程访问会话,以检测网络攻击,确保远程访问策略得以实现.

b)使用密码机制,以保证远程访问会话的保密性和完整性.
c)确保所有远程访问只能经过有限数量的、受管理的访问控制点.
d)对远程执行特权命令进行限制(如删除虚拟机、创建系统账号、配置访问授权、执行系统管理功能、审计系统事件或访问事件日志等),仅在为满足[赋值:云服务商定义的需求]的情况下,才能通过远程访问的方式,授权执行特权命令或访问安全相关信息,并采取更严格的保护措施且进行审计.
安全计划中应说明这种远程访问的合理性.

e)在远程访问时禁止使用非安全的网络协议,例如:FTP、TELNET、HTTP等.
7.
18无线访问7.
18.
1一般要求云服务商应限制云计算平台上的无线网络功能.
7.
18.
2增强要求云服务商应禁止云计算平台上的无线网络功能.
7.
19外部信息系统的使用7.
19.
1一般要求云服务商应:a)明确列出何种情况下允许授权人员通过外部信息系统,对云计算平台进行访问.

b)明确列出何种情况下允许授权人员利用外部信息系统,对云计算平台上的信息进行处理、存储或传输.

7.
19.
2增强要求云服务商应:a)确保只在以下情况下允许授权人员通过外部信息系统进行访问,或利用这些信息系统处理、存储、传输云计算平台上的信息:1)外部信息系统正确实现了云服务商的信息安全策略和安全计划所要求的安全措施,并通过了独立第三方机构的测试.

2)与外部系统所在实体签订了系统连接或处理协议,该协议应经过独立第三方机构的评价.

b)限制授权人员在外部信息系统上使用由云服务商控制的移动存储介质.

7.
20可供公众访问的内容7.
20.
1一般要求云服务商应:a)指定专人负责发布公开信息.
b)对该人进行培训,确保发布的信息不含有非公开信息.
c)发布信息前进行审查,防止含有非公开信息.
d)按照[赋值:云服务商定义的频率]审查公开发布的信息中是否含有非公开信息,一经发现,立即删除.

7.
20.
2增强要求无.
7.
21Web访问安全7.
21.
1一般要求云服务商应:a)支持web代码安全机制的能力,包括对输入输出进行有效性检查,以及采取防范认证漏洞、权限漏洞、会话漏洞、web服务漏洞、注入漏洞等代码漏洞的措施.

b)支持对用户通过web访问资源进行访问控制的能力.
c)支持web远程访问安全传输能力.
7.
21.
2增强要求无.
7.
22API访问安全7.
22.
1一般要求云服务商应:a)支持服务API调用前进行用户鉴别和鉴权的能力.
b)支持涉及租户资源操作的服务API调用前验证用户凭据的能力.
c)支持用户调用服务API的访问控制能力.
d)支持服务API接口的防范重放、代码注入、DoS/DDoS等攻击的能力.
e)支持服务API接口安全传输的能力.
f)支持服务API接口过载保护的能力,保障不同服务等级用户间业务的公平性和系统资源利用最大化.

g)支持服务API的调用日志记录的能力.
7.
22.
2增强要求无.
数据保护8.
1数据安全管理8.
1.
1一般要求云服务商应:a)通过与客户签订合同等形式,声明未经客户授权不得收集、使用或处理客户数据.

b)提供重要数据的备份与恢复功能.
c)支持由租户设置数据备份和数据导出权限的能力.
d)支持由租户设置数据重置权限的能力.
8.
1.
2增强要求云服务商应针对[赋值:云服务商定义的操作],保留对数据的操作记录,增强操作可追溯性.

8.
2个人信息保护8.
2.
1一般要求云服务商应根据客户需求,通过合同等形式与客户确定应满足的个人信息安全要求,并按照GB/T35273等提供相应的个人信息保护机制.
8.
2.
2增强要求无.
8.
3数据出境评估8.
3.
1一般要求云服务商应:a)确保境内运营中收集和产生的客户数据在境内存储.
b)因客户要求或自身业务需要,确需向境外提供的,应符合数据出境相关安全管理办法要求.

c)保留数据出境记录.
8.
3.
2增强要求无.
8.
4数据共享8.
4.
1一般要求无.
8.
4.
2增强要求云服务商应:a)允许授权用户判断共享者的访问授权是否符合[赋值:云服务商定义的信息共享环境]中的数据访问限制策略,以促进数据共享.

b)使用自动机制或人工过程,协助用户作出数据共享决策.
8.
5剩余信息保护8.
5.
1一般要求无.
8.
5.
2增强要求云服务商应:a)在租户解除存储资源的使用后,确保属于该租户的所有数据在物理存储设备级别上被有效清除,例如镜像文件、快照文件在迁移或删除虚拟机后能被完全清除.

b)在客户删除业务应用数据时,将云计算平台中存储的所有副本删除.
c)当存储客户数据的介质在报废、超出云服务商控制之外使用或回收再利用前,采取措施对其进行净化,所采用净化措施的强度、覆盖范围应与数据类别或敏感级别相匹配.

8.
6数据挖掘保护8.
6.
1一般要求无.
8.
6.
2增强要求云服务商应使用数据挖掘防范和检测技术,检测和防范对存储客户数据的存储介质进行的数据挖掘.

8.
7介质访问和使用8.
7.
1一般要求云服务商应:a)限制介质访问权限,根据服务模式和业务需求,仅允许特定人员、角色或信息系统组件访问存储客户数据的介质.

b)[选择:限制;禁止]在[赋值:云服务商定义的系统或组件]中使用[赋值:云服务商定义的介质].

8.
7.
2增强要求云服务商应:a)限制对各类介质的访问,并对介质访问情况进行审计.
b)对各类介质进行标记,以标明其中所含信息的分发限制、处理注意事项以及其他有关安全标记(如敏感级).

c)在受控区域中,采取物理控制措施并安全地存储磁带、外置或可移动硬盘、Flash驱动器、CD等介质,并对这些介质提供持续保护,直到对其进行破坏或净化.

d)在受控区域之外传递数字介质时,采用密码机制来保护其中信息的保密性和完整性.

e)确保各类介质在受控区域之外的传递过程得到记录.
f)当介质从高风险的区域返回时检测其中的系统或组件是否受到篡改.
例如,当本组织人员从高风险地区返回时,应对其移动设备、笔记本电脑或者其他组件进行检测.

8.
8服务关闭和数据迁移8.
8.
1一般要求云服务商应:a)在客户与其服务合约到期时,能够安全地返还云计算平台上的客户数据.

b)在客户定义的时间内,删除云计算平台上存储的客户数据,并确保不能以商业市场的技术手段恢复.

c)为客户数据迁移提供技术手段,并协助完成数据迁移,包括:1)具备在相同云计算平台上将客户服务快速迁入或迁出的能力.
2)具备在异构云计算平台上将客户服务迁入或迁出的能力.
3)针对客户数据量大等可能导致迁移过程执行受阻的因素,制定应对措施.

4)数据格式应支持主流硬件厂商的硬件平台和操作系统平台使用的典型数据库产品,如Oracle、Sybase、SQLServer等,支持异构数据库间的数据集成与协同,并保证多数据库(异构或同构)之间的全局事务一致性.

8.
8.
2增强要求在迁移交付执行过程中,应根据客户需要,提供以下支持:a)将源云计算平台上业务系统中止服务,停止数据访问,保持数据的完整性.

b)将源云计算平台上业务系统内的数据与目标云平台内的新系统进行最终的数据同步.

c)提供迁移过程中产生的相关记录或文档.
配置管理9.
1配置管理计划9.
1.
1一般要求无.
9.
1.
2增强要求云服务商应:a)制定并实施云计算平台的配置管理计划.
b)在配置管理计划中,规定配置管理相关人员的角色和职责,并详细规定配置管理的流程,包括配置变更管理流程、配置参数及基线配置管理流程、信息系统组件清单管理流程等.

c)在系统生命周期内,建立配置项标识和管理流程.
d)定义信息系统的配置项并将其纳入配置管理计划.
e)保护配置管理计划,以防非授权的泄露和变更.
9.
2基线配置9.
2.
1一般要求云服务商应按照配置要求制定、记录并维护信息系统当前的基线配置.

9.
2.
2增强要求云服务商应:a)在以下情况下重新审查和更新基线配置:1)按照[赋值:云服务商定义的频率].
2)当系统发生重大变更时.
3)安装和更新系统组件后.
b)保留[赋值:云服务商定义的信息系统基线配置的历史版本],以便必要时恢复相关配置,如软件、硬件、固件、配置文件和配置记录.

c)在云计算平台相关设施或设备将被携至高风险地区时,按照[赋值:云服务商定义的配置要求]进行配置;返回后,按照[赋值:云服务商定义的安全防护措施],对设备进行防护.

9.
3变更控制9.
3.
1一般要求云服务商应:a)明确云计算平台中有哪些变更需要包含在系统受控配置列表中,如主机配置项、网络配置项等.

b)明确需定期变更的受控配置列表,并按照[赋值:云服务商定义的频率]对病毒库、入侵检测规则库、防火墙规则库、漏洞库等与信息安全相关的重要配置项进行更新.

c)在云计算平台上实施变更之前,对信息系统的变更项进行分析,以判断该变更事项对云计算安全带来的潜在影响.

d)审查所提交的信息系统受控配置的变更事项,根据安全影响分析结果决定批准或否决,并进行记录.

e)记录和保护信息系统中受控配置的变更记录,防止非授权的泄漏和更改.

f)按照[赋值:云服务商定义的频率]对涉及系统受控配置变更的有关活动进行审查.

g)明确受控配置变更的管理部门,负责协调和监管涉及受控配置变更的有关活动.

h)根据客户要求,确定应报告的配置变更事项.
在实施变更之前,向客户提供下列变更信息:1)变更计划发生的日期和时间.
2)系统变更的详细信息.
3)变更的安全影响分析结论.
9.
3.
2增强要求云服务商应:a)在云计算平台上实施变更之前,对受控配置变更项进行测试、验证和记录.

b)对云计算平台上的变更实施物理和逻辑访问控制,并对变更动作进行审计.

c)限制信息系统开发商和集成商对生产环境中的信息系统及其硬件、软件和固件进行直接变更.

d)按照[赋值:云服务商定义的频率],对信息系统开发商和集成商掌握的变更权限进行审查和再评估.

9.
4配置参数的设置9.
4.
1一般要求云服务商应:a)按照[赋值:云服务商定义的安全配置核对表],建立、记录并实现信息系统中所使用的信息技术产品的配置参数设置.

b)如因[赋值:云服务商定义的运行需求]或其他原因,出现[赋值:云服务商定义的信息系统组件]的配置参数与已设配置不符的情况,记录相关信息,并需经过[赋值:云服务商定义的人员或角色]的批准.

c)监控配置参数的变更.
9.
4.
2增强要求云服务商应:a)对配置参数进行集中管理、应用和验证.
b)按照[赋值:云服务商定义的安全措施],处理对[赋值:云服务商定义的配置设置]的非授权变更.
对非授权变更的响应措施包括:更换有关人员,恢复已建立的配置,或在极端情况下中断受影响的信息系统的运行等.

9.
5最小功能原则9.
5.
1一般要求云服务商应:a)对云计算平台按照仅提供必需功能进行配置,以减少系统面临的风险.

b)禁止或限制使用[赋值:云服务商定义的功能、端口、协议和服务].
例如,禁止从互联网访问云计算平台上的高风险端口(如蠕虫、木马、勒索软件等常用端口),严格限制从内部网络对高风险端口的访问.

9.
5.
2增强要求云服务商应:a)按照[赋值:云服务商定义的频率],识别不必要或不安全的功能、端口、协议和服务.

b)关闭不必要或不安全的功能、端口、协议和服务.
c)依据软件使用和限制策略,建立云计算平台授权软件列表,禁止在云计算平台上运行非授权软件.

9.
6信息系统组件清单9.
6.
1一般要求云服务商应:a)制定和维护信息系统组件清单,该清单应满足下列要求:1)能准确反映当前信息系统的情况.
2)与信息系统边界一致.
3)达到信息安全管理所必要的颗粒度.
4)包含[赋值:云服务商定义的为实现有效的资产追责所必要的信息].
b)按照[赋值:云服务商定义的频率],审查并更新信息系统组件清单.
c)当安装或移除一个完整的信息系统组件时,或当信息系统更新时,更新其信息系统组件清单,并记录信息系统组件清单的变更.

d)建立和维护云计算平台的资产清单,包括资产责任部门、重要程度和所处位置等内容,确认云计算服务平台的所有组件均已列入资产清单,如该组件属于其他组织,应予以注明并说明原因.

9.
6.
2增强要求云服务商应:a)按照[赋值:云服务商定义的频率],检测云计算服务平台中新增的非授权软件、硬件或固件组件.

b)当检测到非授权的组件或设备时应[选择:禁止其网络访问;对其进行隔离;通知[赋值:云服务商定义的人员或角色]].

维护管理10.
1受控维护10.
1.
1一般要求云服务商应:a)根据供应商的规格说明以及自身的业务要求,对云计算平台组件的维护和修理进行规划、实施、记录,并对维护和修理记录进行审查.

b)审批和监视所有维护行为,包括现场维护、远程维护,以及对设备的异地维护.

c)在将云计算平台组件转移到云服务商外部进行非现场的维护或维修前,对设备进行净化,清除介质中的信息.

d)在对云计算平台或组件进行维护或维修后,检查所有可能受影响的安全措施,以确认其仍正常发挥功能.

e)在维护记录中,至少应包括:维护日期和时间、维护人员姓名、陪同人员姓名、对维护活动的描述、被转移或替换的设备列表(包括设备标识号)等信息.

f)维护记录至少保留6个月以上.
g)确保经过审批后,才可将云计算平台的组件转移到云服务商外部进行非现场维护或维修.

10.
1.
2增强要求无.
10.
2维护工具10.
2.
1一般要求云服务商应审批、控制并监视维护工具的使用.
10.
2.
2增强要求云服务商应:a)检查由维护人员带入云计算平台场所内部的维护工具,以确保维护工具未被不当修改.

b)在使用诊断或测试程序前,对其进行恶意代码检测.
c)为防止具有信息存储功能的维护设备在非授权情况下被转移出云服务商的控制范围,采取以下一种或多种措施,并获得本组织安全责任部门的批准:1)确认待转移设备中没有云服务商和用户的信息.
2)净化或破坏设备.
3)将设备留在场所内部,规定不得移出.
10.
3远程维护10.
3.
1一般要求云服务商应:a)针对远程维护及诊断连接的建立,明确规定有关策略和规程,对远程维护和诊断进行审批和监视.
b)仅允许使用符合[赋值:云服务商定义的远程维护策略]并经批准的远程维护和诊断工具.

c)在建立远程维护和诊断会话时采取强鉴别技术,例如使用动态口令令牌、短信验证码、密码等组合.

d)建立和保存对远程维护和诊断活动的记录.
e)在远程维护完成后终止会话和网络连接.
f)对所有远程维护和诊断活动进行审计,按照[赋值:云服务商定义的频率]对所有远程维护和诊断会话的记录进行审查.

g)确保云计算平台的运维地点位于境内.
10.
3.
2增强要求无.
10.
4维护人员10.
4.
1一般要求云服务商应:a)建立对维护人员的授权流程,对已获授权的人员建立列表.
b)确保只有列表中的维护人员,才可在没有人员陪同时进行系统维护;不在列表中的人员,必须在授权且技术可胜任的人员陪同与监管下,才可开展维护活动.

10.
4.
2增强要求无.
10.
5及时维护10.
5.
1一般要求云服务商应建立[赋值:云服务商定义的系统组件]的备品备件列表,并确保备品备件能够在发生故障的[赋值:云服务商定义的时间段]内投入运行.

10.
5.
2增强要求无.
10.
6缺陷修复10.
6.
1一般要求云服务商应:a)标识、报告和修复云计算平台的缺陷.
b)在与安全相关的软件和固件升级包发布后,及时安装升级包.
c)在安装前测试软件和固件升级包,验证其是否有效,同时分析其对云计算平台可能带来的副作用.

d)将缺陷修复活动纳入组织的配置管理过程之中.
10.
6.
2增强要求云服务商应使用自动检测机制,按照[赋值:云服务商定义的频率]对缺陷修复后的组件进行检测.

10.
7安全功能验证10.
7.
1一般要求云服务商应:a)验证[赋值:云服务商定义的安全功能]是否正常运行.
b)在发生[赋值:云服务商定义的系统转换状态]时,或者按照[赋值:云服务商定义的频率],对安全功能实施验证.

c)当安全功能验证失败时,通知[赋值:云服务商定义的人员或角色].
d)当发生异常情况时,关闭或重启信息系统,或者采取[赋值:云服务商定义的行为].

10.
7.
2增强要求无.
10.
8软件和固件完整性10.
8.
1一般要求云服务商应:a)建立完整性评估流程,确保软件和固件的完整性.
b)具备检测[赋值:云服务商定义的软件和固件]在安装、传递、存储过程中的非授权更改的能力.

10.
8.
2增强要求云服务商应:a)按照[赋值:云服务商定义的频率]对云计算平台进行完整性扫描,并重新评估软件和固件的完整性.

b)确保云计算平台具有检测非授权系统变更的能力,并制定响应措施.
c)在云计算平台上安装或升级软件之前,验证其完整性.
应急响应11.
1事件处理计划11.
1.
1一般要求云服务商应:a)制定云计算平台的事件处理计划,该计划应:1)说明启动事件处理计划的条件和方法.
2)说明本组织内与事件处理有关的组织架构.
3)定义需要报告的安全事件.
4)提供事件处理能力的度量目标.
5)定义必要的资源和管理支持.
6)由[赋值:云服务商定义的人员或角色]审查和批准.
b)向[赋值:云服务商定义的人员、角色或部门],发布事件处理计划.
c)按照[赋值:云服务商定义的频率],审查事件处理计划.
d)如系统发生变更或事件处理计划在实施、执行或测试中遇到问题,及时修改事件处理计划并通报[赋值:云服务商定义的人员、角色或部门].

e)防止事件处理计划非授权泄露和更改.
11.
1.
2增强要求无.
11.
2事件处理11.
2.
1一般要求云服务商应:a)为安全事件的处理提供必需的资源和管理支持.
b)协调应急响应活动与事件处理活动,并与相关外部组织(如供应链中的外部服务提供商等)进行协调.

c)将当前事件处理活动的经验,纳入事件处理、培训及演练计划,并实施相应的变更.

11.
2.
2增强要求云服务商应使用自动机制支持事件处理过程.
11.
3事件报告11.
3.
1一般要求云服务商应:a)根据事件处理计划,监控和报告安全事件.
b)当发现可疑的安全事件时,及时向本组织的事件处理部门报告,涉及客户的数据时应根据与客户的约定向客户报告.

c)建立事件报告渠道,当发生影响较大的安全事件时,向国家和地方应急响应组织及有关信息安全主管部门报告.

11.
3.
2增强要求云服务商应使用自动机制支持事件报告过程.
11.
4事件处理支持11.
4.
1一般要求云服务商应落实事件处理所需的各类支持资源,为用户处理、报告安全事件提供咨询和帮助.

11.
4.
2增强要求云服务商应:a)使用自动机制,为事件处理提供进一步的资源支持.
b)在事件处理部门和外部的信息安全组织之间建立直接合作关系,能够在必要时获得外部组织的协助.

11.
5安全警报11.
5.
1一般要求云服务商应:a)持续不断地从国家和地方应急响应组织及有关信息安全主管部门接收安全警报、建议和提示.

b)在必要时发出内部的安全警报、建议和提示.
c)向[选择:[赋值:云服务商定义的人员、角色或部门];[赋值:云服务商定义的外部组织]],传达安全警报、建议和提示.

d)能够在已经确立的时间段内针对安全警报、建议和指示作出响应,如无法作出响应,向安全警报、建议和提示的下达部门及客户告知原因.

11.
5.
2增强要求无.
11.
6错误处理11.
6.
1一般要求云服务商应:a)标识出云计算平台各类安全相关错误的状态.
b)在错误日志和管理员消息中产生出错消息,并提供必要信息用于更正活动,但出错消息不能泄露以下情况:1)用户名和口令的组合.
2)用来验证口令重设请求的属性值(如安全提问).
3)可标识到个人的信息.
4)用于鉴别身份的生物数据或人员特征.
5)与内部安全功能有关的内容(如私钥、白名单或黑名单规则).
6)其他重要或敏感数据.
c)只向授权人员展现出错消息.
11.
6.
2增强要求无.
11.
7应急响应计划11.
7.
1一般要求云服务商应:a)制定云计算平台的应急响应计划,该计划应:1)标识出云计算平台的基本业务功能及其应急响应需求.
2)进行业务影响分析,标识关键信息系统和组件及其安全风险,确定优先次序.

3)提供应急响应的恢复目标、恢复优先级和度量指标.
4)描述应急响应的结构和组织形式,明确应急响应责任人的角色、职责及其联系信息.

5)由[赋值:云服务商定义的人员或角色]审查和批准.
b)将应急响应计划向[赋值:云服务商定义的人员、角色或部门]进行通报.

c)按照[赋值:云服务商定义的频率]更新应急响应计划.
d)如云计算平台发生变更或应急响应计划在实施、执行或测试中遇到问题,及时修改应急响应计划并向[赋值:云服务商定义的人员、角色或部门]及客户进行通报.

e)防止应急响应计划非授权泄露和更改.
f)在发生安全事件时,确保应急响应计划的实施能够维持云计算平台的基本业务功能,并能最终完全恢复信息系统且不消弱原来的安全措施.

g)当本组织的管理架构、云计算平台或运行环境发生变更时,及时更新应急响应计划.

11.
7.
2增强要求云服务商应:a)进行容量规划,以确保应急操作过程中具备必要的信息处理容量、通信容量和环境支持能力.

b)列明用于支撑基本业务功能的关键信息系统资产.
c)能够在应急响应计划启动后[赋值:云服务商定义的时间段]内,恢复云计算平台的基本业务功能,以及应急响应计划启动后[赋值:云服务商定义的时间段]内,恢复云计算平台的所有业务功能.

11.
8应急培训11.
8.
1一般要求云服务商应:a)向[赋值:云服务商定义的人员或角色]提供应急响应培训.
b)当云计算平台变更时,或按照[赋值:云服务商定义的频率],重新开展培训.

11.
8.
2增强要求无.
11.
9应急演练11.
9.
1一般要求云服务商应:a)至少每年制定或修订应急演练计划,并与客户充分协商,听取客户意见.

b)按照[赋值:云服务商定义的频率],执行应急演练计划.
c)在生产系统实施的应急演练,至少在演练开始前[赋值:云服务商与客户确定的时间]之前通知客户和相关部门,在征得客户的同意后,实施应急演练.

d)与客户和其他有关部门(如应急响应组织)进行沟通协调,为应急演练提供保障条件.

e)记录和核查应急演练结果,并根据需要修正应急响应计划.
11.
9.
2增强要求云服务商应将信息系统备份能力列入演练计划,包括检验备份的可靠性和信息完整性.

11.
10信息系统备份11.
10.
1一般要求云服务商应:a)具备系统级备份能力,按照[赋值:云服务商定义的频率],对信息系统中的系统级信息进行备份,如系统状态、操作系统及应用软件.

b)防止通过备份过程访问客户的明文数据.
c)为用户提供多种备份方案.
d)在存储位置保护备份信息的保密性、完整性和可用性.
e)具有验证信息系统备份连续有效的方法,并按照[赋值:云服务商定义的频率]进行验证.

f)向客户提供下列信息,以支持客户制定其自身的备份策略和规程:1)备份的范围.
2)备份方式和数据格式.
3)验证备份数据完整性的规程.
4)恢复备份数据的规程.
11.
10.
2增强要求云服务商应具备系统级热备能力,按照[赋值:云服务商定义的频率]对系统级信息进行增量备份,以及按照[赋值:云服务商定义的频率]对系统级信息进行全量备份.

11.
11支撑客户的业务连续性计划11.
11.
1一般要求云服务商应:a)具备灾难恢复能力,确保客户业务可持续.
b)对云计算服务为客户业务连续性带来的风险进行评估,包括云计算服务失败、云服务商和客户之间网络连接中断、云计算服务终止等,并将相关的风险信息告知客户.

c)将应急响应计划、灾难恢复计划及支撑客户实施业务连续性计划的有关措施告知客户,并根据客户的业务连续性计划的需要,对应急响应计划、灾难恢复计划进行调整.

11.
11.
2增强要求无.
11.
12电信服务11.
12.
1一般要求无.
11.
12.
2增强要求云服务商应:a)建立备用电信服务,当主通信能力不可用时,确保在满足客户业务需求的时间段内恢复有关系统的运行.

b)制定主和备用通信服务协议,明确列出满足客户业务需求的服务供给优先级.

审计12.
1可审计事件12.
1.
1一般要求云服务商应:a)制定并维护[赋值:云服务商定义的可审计事件]的审计记录,如账号登录、账号管理、客体访问、策略变更、特权功能、系统事件、对虚拟化平台的操作等.

b)建立协调机制,与本组织内外需要审计信息的其他组织就安全审计功能进行协调,以增强相互间的支持,协调确定可审计事件清单.

c)制定需连续审计的事件清单,并确定各事件的审计频率,该清单为上述可审计事件清单的子集.

12.
1.
2增强要求云服务商应按照[赋值:云服务商定义的频率]对可审计事件清单进行审查和更新.

12.
2审计记录内容12.
2.
1一般要求云服务商应确保审计记录内容至少包括:事件类型、事件发生的时间和地点、事件来源、事件结果以及与事件相关的用户或主体的身份.

12.
2.
2增强要求云服务商应确保审计记录内容还包括:会话、连接、事务、活动持续期、接收和发出的字节数量、用于诊断或标识事件的附加信息报文、用于描述和标识行动客体或资源的特征等信息.

12.
3审计记录存储容量12.
3.
1一般要求云服务商应:a)按照[赋值:云服务商定义的审计记录存储要求]配置审计记录存储容量.

b)当审计记录存储容量用完时,按照[赋值:云服务商定义的策略]进行处理,如覆盖最早的审计记录、报警等.

12.
3.
2增强要求无.
12.
4审计过程失败时的响应12.
4.
1一般要求云服务商应审计过程失败时,向[赋值:云服务商定义的人员或角色]报警.

12.
4.
2增强要求云服务商应审计过程失败时,采取[赋值:云服务商定义的安全措施].
12.
5审计的审查、分析和报告12.
5.
1一般要求云服务商应:a)按照[赋值:云服务商定义的频率]对审计记录进行审查和分析,以发现[赋值:云服务商定义的不当或异常活动],并向[赋值:云服务商定义的人员或角色]报告.

b)明确对审计记录进行审查、分析、报告的策略,策略应符合法律法规要求并根据客户需求或信息系统面临的威胁环境的变化进行及时做出调整.

c)向客户提供审计分析报告,该报告至少包括下述内容,以便对云服务商的服务情况进行监管:1)提供的云计算性能指标是否达到服务水平协议(SLA)的要求.
2)云计算平台信息安全状态的整体描述.
3)审计中发现的异常情况以及处置情况.
4)云计算平台中涉及客户业务的敏感操作的情况及其统计分析.
5)云计算平台中涉及客户业务的远程访问的总体情况及其统计分析.
12.
5.
2增强要求云服务商应:a)使用自动机制对审查、分析和报告过程进行整合,以支持对可疑活动的调查和响应.

b)使用自动机制对不同审计库上的审计记录进行关联性分析,以便形成整体态势感知.

12.
6审计处理和报告生成12.
6.
1一般要求云服务商应提供审计处理和审计报告生成的功能,并满足以下要求:a)支持实时或准实时的审查、分析和报告,以及安全事件事后调查.
b)审计处理和报告工具应不改变原始的审计数据.
12.
6.
2增强要求云服务商应能够根据审计记录中的审计类别,按照需求对审计记录进行处理.
审计类别包括用户身份、事件类型、事件发生位置、事件发生时间以及事件涉及的IP地址和系统资源等.

12.
7时间戳12.
7.
1一般要求云服务商应使用云计算平台内部系统时钟生成审计记录的时间戳,并满足[赋值:云服务商定义的时间颗粒度].

12.
7.
2增强要求云服务商应按照[赋值:云服务商定义的频率]将云计算平台内部系统时钟与国家授时中心权威时间源进行同步.

12.
8审计信息保护12.
8.
1一般要求云服务商应:a)保护审计信息和审计工具,防止非授权访问、篡改或删除.
b)向客户提供证据,证明所有提供给客户的审计数据都是真实、完整的,未被修改、隐藏或删除.

12.
8.
2增强要求云服务商应:a)按照[赋值:云服务商定义的频率]将审计记录备份到与所审计系统或组件不处于同一物理位置的系统或组件之中.

b)将对审计管理功能的访问授权限制为[赋值:云服务商定义的特权用户子集].

12.
9抗抵赖性12.
9.
1一般要求云服务商应保护关键操作的抗抵赖.
例如,针对生成文件、发送和接收消息、审批行为(如表示同意或签署合同)等,采用数字签名、自动接收回执等方式确保其抗抵赖性,以保护未生成文件的作者、未发送或接收消息的发送方或接收方、未签署文件的审批人.

12.
9.
2增强要求无.
12.
10审计记录留存12.
10.
1一般要求云服务商应按照[赋值:云服务商定义的符合记录留存策略的时间段]来保存审计记录,如审计记录存储时间最少不得低于6个月,以支持安全事件的事后调查,并应符合法律法规及客户的信息留存要求.

12.
10.
2增强要求无.
风险评估与持续监控13.
1风险评估13.
1.
1一般要求云服务商应:a)至少每年开展一次风险评估,在云计算平台建设、发生重大变更(包括发现新的威胁和漏洞)时,或者在出现其他可能影响系统安全状态的条件时,重新进行风险评估.

b)将评估结果记录在风险评估报告中,并将风险评估结果发布至[赋值:云服务商定义的人员或角色].

c)根据风险评估报告,有针对性地对云计算平台进行安全整改,将风险降低到可接受的水平.

13.
1.
2增强要求无.
13.
2脆弱性扫描13.
2.
1一般要求云服务商应:a)使用脆弱性扫描工具和技术,按照[赋值:云服务商定义的频率]对云计算平台及应用程序进行脆弱性扫描,并标识和报告可能影响该平台或应用的新漏洞.

b)根据脆弱性扫描结果,及时修复漏洞或有针对性地进行安全整改,将漏洞影响降低到可接受水平.

c)在本组织范围内与[赋值:云服务商定义的人员或角色]共享脆弱性扫描和安全评估过程得到的信息,以及时消除其他系统中的类似漏洞.

13.
2.
2增强要求云服务商应:a)按[选择:[赋值:云服务商定义的频率];启动新的扫描前;新的漏洞信息发布后]更新漏洞库.

b)确保所使用的脆弱性扫描工具能够清楚呈现扫描所覆盖的广度和深度(如已扫描的信息系统组件和已核查的漏洞).

c)在脆弱性扫描活动中,使用被扫描对象的特权账号对[赋值:云服务商定义的信息系统组件]进行[赋值:云服务商定义的脆弱性扫描行动],以实施更全面的扫描.

d)使用自动机制比较不同时间的脆弱性扫描结果,以判断漏洞趋势.
13.
3持续监控13.
3.
1一般要求云服务商应:a)根据自身及客户在持续监控方面的需要,制定持续监控策略,明确监控的度量指标和监控频率.

b)根据持续监控策略,对已定义的度量指标进行持续的安全状态监控.
c)对评估和监控产生的安全相关信息进行关联和分析.
d)对安全相关信息分析结果进行响应.
e)按照[赋值:云服务商定义的频率]向信息安全责任部门和相关人员报告信息系统安全状态.

13.
3.
2增强要求无.
13.
4信息系统监测13.
4.
1一般要求云服务商应:a)能够针对[赋值:云服务商定义的监测目标],发现攻击行为.
b)能够检测出非授权的本地、网络和远程连接.
c)能够发现对信息系统的非授权使用.
d)能够对入侵检测工具收集的信息进行保护,防止非授权访问、修改或删除.

e)当威胁环境发生变化、信息系统风险增加时,提升信息系统监测级别.

f)确保信息系统监控活动符合关于隐私保护的相关政策法规.
g)按照需要或[赋值:云服务商定义的频率],向[赋值:云服务商定义的人员或角色]提供[赋值:云服务商定义的信息系统监测信息].

13.
4.
2增强要求云服务商应:a)使用自动工具对攻击事件进行准实时分析.
b)信息系统应按照[赋值:云服务商定义的频率]监测进出的通信,以发现异常或非授权的行为.

c)当下述迹象发生时,信息系统应向[赋值:云服务商定义的人员或角色]发出警报:1)受保护的信息系统文件或目录在未得到正常通知的情况下被修改.
2)当发生异常资源消耗时.
3)审计功能被禁止或修改,导致审计可见性降低.
4)审计或日志记录因不明原因被删除或修改.
5)预期之外的用户发起了资源或服务请求.
6)信息系统报告了管理员或关键服务账号的登录失败或口令变更情况.
7)进程或服务的运行方式与系统常规情况不符.
8)在生产系统上保存或安装与业务无关的程序、工具、脚本.
d)防止非授权用户绕过入侵检测和入侵防御机制.
e)对信息系统运行状态(包括CPU、内存、网络)进行监视,并能够对资源的非法越界使用发出警报.

13.
5垃圾信息监测13.
5.
1一般要求云服务商提供网络内容或电子邮件等服务时应:a)在系统的出入口和网络中的工作站、服务器或移动计算设备上部署垃圾信息监测与防护机制,以检测并应对电子邮件、电子邮件、web访问或其他渠道的垃圾信息.

b)在出现新的发布包时,及时更新垃圾信息监测与防护机制.
13.
5.
2增强要求云服务商提供网络内容或电子邮件等服务时应:a)采取集中的监测与防护机制管理垃圾信息.
b)自动更新垃圾信息监测与防护机制.
安全组织与人员14.
1安全策略与管理制度14.
1.
1一般要求云服务商应:a)制定总体安全策略,阐明安全工作的总体目标、范围、原则和安全框架等,涵盖系统开发、供应链安全、系统与通信保护、访问控制、数据保护、配置管理、维护、应急、审计等方面,并具体包含以下内容:供应链保护策略,对应5.
17访问控制策略,对应7.
7信息流控制策略,对应7.
8移动代码策略,对应6.
8远程访问策略,对应7.
17远程维护策略,对应10.
3数据保护策略,对应8.
1系统和数据备份策略,对应11.
10、8.
1风险管理策略,对应12.
1审计的审查分析报告策略,对应12.
5审计记录留存策略,对应12.
10持续监控策略,对应13.
3b)对安全管理活动中的各类管理内容建立安全管理制度.
c)对管理人员或操作人员执行的日常管理操作建立操作规程.
d)形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系.

e)指定或授权专门的部门或人员负责安全管理制度的制定,监督检查安全管理制度的落实情况.

f)至少每年检查和更新安全策略、安全制度以及相关规程文件.
14.
1.
2增强要求无.
14.
2安全组织14.
2.
1一般要求云服务商应:a)由本组织最高管理层人员作为网络安全的第一负责人.
b)设立网络安全管理部门,并与本组织其他业务部门协调.
c)保持与外部组织的协调机制和适当联系.
d)实施内部威胁防范程序,包括跨部门的内部威胁事件处理团队.
14.
2.
2增强要求无.
14.
3岗位风险与职责14.
3.
1一般要求云服务商应:a)标识出所有岗位的风险.
b)建立上岗人员的筛选准则.
c)按照[赋值:云服务商定义的频率],评审和更新各岗位的风险标识.
d)根据岗位风险,明确所有岗位的信息安全职责,并与客户共同确定涉及云计算服务的安全职责.

e)对[赋值:云服务商定义的关键职责]进行分离,并将职责分离情况记录在案,通过访问控制措施进行落实.
例如,系统管理员不能同时兼任审计管理员.

f)由专人负责[赋值:云服务商定义的关键岗位],并配备2人以上共同管理.

14.
3.
2增强要求无.
14.
4人员筛选14.
4.
1一般要求云服务商应:a)确保授权访问信息系统的人员已经经过筛选,人员背景信息和筛选结果应可供客户查阅.

b)按照[赋值:云服务商定义的再筛选条件和频率],对授权访问人员进行再筛选.

14.
4.
2增强要求无.
14.
5人员离职14.
5.
1一般要求云服务商一旦决定终止与某人员的雇用关系,应:a)在[赋值:云服务商定义的期限]内,禁止该人员对信息系统的访问.
b)终止或撤销与该人员相关的任何身份鉴别物或凭证.
c)与该人员进行离职面谈,包括商讨[赋值:云服务商定义的信息安全事宜].

d)收回该人员所有涉及安全的本组织信息系统相关资产.
e)确保之前由该人员控制的信息和信息系统仍然可用.
f)在[赋值:云服务商定义的期限]内,通知[赋值:云服务商定义的人员或角色].

14.
5.
2增强要求无.
14.
6人员调动14.
6.
1一般要求云服务商应:a)在人员被再分配或调动至其他内部岗位时,评审和确认是否有必要保留其对信息系统或设施的逻辑和物理访问权限.

b)在[赋值:云服务商定义的正式下达调令后期限]内,启动[赋值:云服务商定义的再分配或调动行动].

c)修改访问授权.
d)在[赋值:云服务商定义的期限]内,通知[赋值:云服务商定义的人员或角色].

14.
6.
2增强要求无.
14.
7第三方人员安全14.
7.
1一般要求云服务商应:a)为第三方供应商(如服务组织、合同商、信息系统开发商、外部应用提供商)建立人员安全要求,包括安全角色和责任.

b)要求第三方供应商遵守本组织的人员安全要求.
c)要求第三方供应商在[赋值:云服务商定义的期限]内,将拥有本组织凭证或系统访问权限的第三方人员的任何调动或离职情况通知[赋值:组织指定的人员或角色].

14.
7.
2增强要求无.
14.
8人员处罚14.
8.
1一般要求云服务商应:a)对于违反本组织安全策略与制定的人员,启动处罚程序.
b)在启动处罚程序时,在[赋值:云服务商定义的期限]内,通知[赋值:云服务商定义的人员或角色],指明受处罚人员及处罚原因.

14.
8.
2增强要求无.
14.
9安全培训14.
9.
1一般要求云服务商应:a)在以下情况下为内部人员、客户及其他有关人员(包括管理层人员和合同商)提供基础的安全意识培训:1)内部人员、客户及其他有关人员接受初始培训时.
2)系统变更时.
3)按照[赋值:云服务商定义的频率].
b)在以下情况下为承担安全角色和职责的人员提供基于角色的安全技能培训:1)被授权访问信息系统或者执行所分配的职责之前.
2)系统变更时.
3)按照[赋值:云服务商定义的频率].
c)记录信息系统安全培训活动,包括基础的安全意识培训和特定的信息系统安全培训.

d)在[赋值:云服务商定义的时间段]内,保存人员的培训记录.
14.
9.
2增强要求云服务商应在安全意识培训中加入有关发现和报告内部威胁的培训.
物理与环境安全15.
1物理设施与设备选址15.
1.
1一般要求云服务商应:a)在机房选址时,满足GB50174的相关规定,避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施.

b)对机房面临的潜在物理和环境危险进行评估,形成评估报告,并在其风险管理策略中防范此类风险.

c)控制机房位置信息的知悉范围.
d)确保机房位于境内.
e)确保云计算服务器及运行关键业务和数据的物理设备位于境内.
15.
1.
2增强要求无.
15.
2物理和环境规划15.
2.
1一般要求云服务商应:a)在进行计算机机房设计时,满足GB50174的相关规定.
b)合理划分机房物理区域,合理布置信息系统组件,以防范[赋值:云服务商定义的物理和环境威胁(如火灾、电磁泄露等)]和非授权访问.

c)提供足够的物理空间、电源容量、网络容量、制冷容量,以满足基础设施快速扩容的需求.

d)设置机房防盗报警系统.
e)设置机房监控报警系统.
f)设置防雷保护装置,防止感应雷.
g)设置防水检测和报警装置.
h)主机房和安装有电子信息设备的辅助区,地板或地面有静电泄放措施和接地构造.

i)设置冗余或并行的电力电缆线路为计算机系统供电.
j)建立备用供电系统.
15.
2.
2增强要求云服务商应将云计算平台集中部署在隔离的物理区域,并通过物理访问控制措施与服务于其他客户的平台和系统区分开,如门禁系统.

15.
3物理环境访问授权15.
3.
1一般要求云服务商应:a)制定和维护具有机房访问权限的人员名单.
b)发布授权凭证.
c)按照[赋值:云服务商定义的频率]对授权人员名单和凭证进行审查.
d)及时从授权访问名单中删除不再需要访问机房的人员.
15.
3.
2增强要求云服务商应根据职位、角色以及访问的必要性对机房进行细粒度的物理访问授权.

15.
4物理环境访问控制15.
4.
1一般要求云服务商应:a)对所有机房的[赋值:云服务商定义的机房出入点]实施物理访问授权,具体包括:在准许进入机房前验证其访问授权、使用[赋值:云服务商定义的物理访问控制系统或设备]或警卫实施机房出入控制等.

b)制定和维护[赋值:云服务商定义的出入点]的物理访问审计日志.
c)为公共访问区提供[赋值:云服务商定义的安全措施],以实施访问控制.

d)在[赋值:云服务商定义的环境]中,对访问者的行为进行陪同和监视.
e)确保钥匙、访问凭证以及其他物理访问设备的安全.
f)按照[赋值:云服务商定义的频率]对[赋值:云服务商定义的物理访问设备]进行盘点.

g)按照[赋值:云服务商定义的频率]或在钥匙丢失、访问凭证受损以及相关人员发生变动的情况下,更换钥匙和访问凭证.

15.
4.
2增强要求除对机房出入口实施访问控制外,云服务商还应严格限制对云计算平台设备的物理接触,包括但不限于:a)机房的来访人员应经过申请和审批流程,并限制和监控其活动范围.
b)机房划分区域并在不同区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域.

c)重要区域应配置电子门禁系统,监控、鉴别和记录进入的人员.
15.
5输出设备访问控制15.
5.
1一般要求云服务商应对[赋值:云服务商定义的输出设备]进行物理访问控制,防止非授权人员获得输出的信息.

15.
5.
2增强要求云服务商应对[赋值:云服务商定义的关键区域]实施电磁泄漏防护技术.

15.
6物理访问监控15.
6.
1一般要求云服务商应:a)对信息系统进行物理访问监控,以检测物理安全事件并做出响应.
b)按照[赋值:云服务商定义的频率],或当[赋值:云服务商定义的事件发生或有迹象发生]时,对物理访问日志进行审查.

c)就审查和调查结果与云服务商的事件处理部门进行协调.
d)安装物理入侵警报装置.
15.
6.
2增强要求云服务商应对物理入侵警报装置和监控设备进行监视.
15.
7访客访问记录15.
7.
1一般要求云服务商应:a)制定和维护云计算平台所在机房的访客访问记录,并保留至[赋值:云服务商定义的时间段]后.

b)按照[赋值:云服务商定义的频率]对访问记录进行审查.
15.
7.
2增强要求云服务商应保护访客访问记录的完整性,避免人为修改或删除.
15.
8设备运送和移除15.
8.
1一般要求云服务商应:a)建立重要设备台帐,明确设备所有权,并确定责任人.
b)对[赋值:云服务商定义的信息系统组件]进入和离开机房进行授权和监控,并制定和维护相关记录.

15.
8.
2增强要求无.
高级保护要求16.
1系统开发与供应链安全16.
1.
1开发商安全测试和评估云服务商应:a)在对信息系统、组件或服务的开发商进行评估时:1)选择独立第三方验证开发商实施安全评估计划的正确性以及在安全测试或评估过程中产生的证据.

2)确保独立第三方能够获得足够的资料来完成验证过程,或已被授予获得此类信息的访问权限.

b)要求信息系统、组件或服务的开发商对[赋值:云服务商定义的特定代码]实施人工代码审查,人工代码审查可用于对关键组件代码审查,该代码实现与应用程序或外部环境威胁相关性较大、或不适合使用自动分析工具检查其脆弱性,审查结果应易于理解且向云服务商提供,并确保云服务商可重构系统.

16.
1.
2供应链保护云服务商应:a)确保采购、使用的网络关键设备和网络安全专用产品,通过国家规定的检测认证,如防火墙、安全隔离与信息交换产品(网闸)、入侵检测系统、入侵防御系统、反垃圾邮件产品、网络脆弱性扫描产品、安全数据库系统等.

b)使用多个供应商提供的关键组件,并储备足够的备用组件,如可支撑业务运行一年.

c)采购网络产品和服务时,明确提供者的安全责任和义务,要求提供者做出必要安全承诺,并签订安全保密协议,协议内容可包括安全职责、保密内容、奖惩机制、有效期等.

16.
2系统与通信保护16.
2.
1安全管理中心当远程维护管理云计算平台时,应防止远程管理设备接入互联网.
16.
2.
2传输保密性和完整性云服务商应在通信前基于密码技术对通信的双方进行验证或认证.
16.
2.
3恶意代码防护云服务商应及时对恶意代码告警记录进行检查和分析,及时掌握系统的恶意代码误报率,并分析误报对信息系统可用性的潜在影响.

16.
2.
4系统虚拟化安全性云服务商应能够支持采用虚拟机镜像文件加密的方式,防止虚拟机镜像文件数据被非授权访问.

16.
2.
5存储虚拟化安全性云服务商应确保以密文形式在云计算平台上存储客户的数据.
16.
3访问控制16.
3.
1用户标识与鉴别云服务商应:a)对特权账号的本地访问实施多因子鉴别.
b)对非特权账号的网络访问实施抗重放认证机制,确保云计算平台能够有效防御抗重放攻击.

c)采取安全措施,避免多信息系统账户的存在.
d)在特定时间段后,禁用缓存的鉴别符.
16.
3.
2访问控制的实施云服务商应保证云服务客户可以依据[赋值:云服务商定义的强制实施的访问控制策略]确定主体对客体的访问,该策略应适用于云计算平台所有主体对客体的访问.

16.
3.
3信息流控制云服务商应在[赋值:云服务商定义的条件]下,对[赋值:云服务商定义的信息流]实施人工审查.

16.
3.
4并发会话控制云服务商应确保在云计算平台中的一个账号不允许有两个或两个以上的并发会话.

16.
3.
4外部信息系统的使用云服务商应:a)禁止通过外部信息系统进行访问,或利用这些信息系统处理、存储、传输云计算平台上的信息.

b)禁止在外部信息系统上使用由云服务商控制的移动存储介质.
16.
4数据保护16.
4.
1介质访问和使用云服务商应采用自动机制限制对各类介质的访问,并对介质访问情况进行审计.

16.
5配置管理16.
5.
1配置参数的设置云服务商应采用自动机制对配置参数进行集中管理、应用和验证.
16.
5.
2最小功能原则云服务商应:a)针对[赋值:云服务商定义的重要设备]建立授权软件列表,禁止在设备中运行非授权软件.
授权软件列表中应包含常驻进程数量、可执行文件路径、运行所需权限等信息.

b)针对[赋值:云服务商定义的重要设备],使用白名单机制自动阻止非授权软件的执行,并按照[赋值:云服务商定义的频率]检查设备中运行程序列表是否与白名单保持一致.
16.
5.
3信息系统组件清单云服务商应:a)按照[赋值:云服务商定义的频率],使用自动机制检测云计算服务平台中新增的非授权软件、硬件或固件组件.

b)使用自动机制维护信息系统组件清单.
16.
6应急响应16.
6.
1事件处理云服务商应:a)制定应急值守制度,对处置风险隐患和可疑事件的操作进行记录.
b)在发生可能影响业务的安全事件后,对事件的处理应满足客户的业务连续性需求,如业务的恢复时间目标(RTO)和恢复点目标(RPO).

16.
6.
2应急演练云服务商应自建或采用第三方的演练仿真环境开展演练,应定期覆盖全部演练场景开展演练,根据技术的发展不断增加覆盖新的演练场景.

16.
6.
3信息系统备份云服务商应具备支撑客户的业务连续性的备份能力,根据客户的需求可包括:a)具备同城的应用级热备能力,在灾难发生时,信息系统的恢复能力满足[赋值:云服务商定义的恢复时间目标要求RTO和恢复时间点要求RPO].

b)具备异地的系统级或数据级热备能力,按照[赋值:云服务商定义的频率]对系统级信息进行增量备份,以及按照[赋值:云服务商定义的频率]对系统级信息进行全量备份.

16.
6.
4电信服务云服务商应与不同的电信运营商签署主和备用通信服务协议.
16.
7审计16.
7.
1安全审计云服务商应:a)保证云服务平台内部和用户相关的操作事件对用户可见,允许用户进行审计监控.

b)加强网络审计措施,监测、记录系统运行状态、日常操作、故障维护、远程运维等,留存相关日志数据不少于12个月.

c)采取措施防止在审计过程中记录用户的敏感信息,如明文口令等.
16.
8风险评估与持续监控16.
8.
1持续监控云服务商应按照[赋值:云服务商定义的频率]安排实施未事先声明的渗透性测试以及深度检测,以验证系统的安全状态.

16.
8.
2信息系统监测云服务商:a)宜具备技术监测能力或委托第三方专业机构对云计算平台实施7*24小时监测.

b)应分析信息系统外部边界(即系统边界)和[赋值:系统内组织定义的内部点(如子系统、子网)]的外部通信量,以发现信息的数据渗漏.

附录A(资料性附录)系统安全计划模版【说明:因云评估体系文件中有安全计划模板,标准中拟删除A.
1-A.
7,仅说明在安全计划中如何体现对标准的实现情况】A.
1平台或系统名称云服务商应在表A.
1中填入平台或系统的标识信息.
表A.
1平台或系统名称平台或系统名称A.
2适用的信息安全能力要求云服务商应在表A.
2中选择其适用的信息安全能力要求.
表A.
2安全能力要求一般增强A.
3平台或系统安全负责人云服务商应在表A.
3中提供平台或系统的安全负责人基本信息.
表A.
3平台或系统安全负责人姓名部门及职务地址电话号码电子邮件A.
4服务模式(参考GB/T31167修改)云服务商应在A.
4表中选择其提供的服务模式.
表A.
4服务模式服务模式软件即服务(SaaS)主要应用:平台即服务(PaaS)主要应用:基础设施即服务(IaaS)底层支撑平台:其他A.
5平台或系统描述A.
5.
1平台或系统的功能和目的云服务商应在表A.
5中简要描述平台或系统的功能和目的.
表A.
5平台或系统的功能和目的平台或系统的功能和目的A.
5.
2平台或系统的组件和边界云服务商应在表A.
6中详细、准确描述平台或系统的主要组件及系统边界.

表A.
6平台或系统的组件和边界平台或系统的组件和边界A.
5.
3使用者类型云服务商应在表A.
7中对平台或系统中拟涉及的使用者类型进行描述.
其中,云服务商的员工或者合同商作为内部用户,所有其他用户作为外部用户.

使用者类型主要指与云计算平台或系统进行直接通信、访问云计算平台上的信息或数据的用户,以及系统管理员、网络管理员等.

表A.
7使用者类型和特权用户角色内部或外部访问权限A.
5.
4网络架构云服务商应在此处提供一张或多张网络拓扑图,并在拓扑图A.
1中清晰描述下列内容:主机名、DNS服务器、鉴别和访问控制服务器、目录服务器、防火墙、路由器、交换机、数据库服务器、主要应用、互联网接入服务提供商、VLAN等.
(若有多图,标为图A.
1(a)、图A.
1(b)…)图A.
1网络拓扑图A.
5.
5与其他云服务的关系若依赖于其他云服务,云服务商应在A.
8表中进行说明.
表A.
8所依赖的其他云服务系统名称云服务商名称是否通过审查(含审查日期)用途A.
6平台或系统的环境A.
6.
1硬件清单云服务商应在A.
9表中列出使用的全部硬件设备,包括服务器、存储设备等.

表A.
9硬件清单主机名制造商型号使用地点A.
6.
2软件清单云服务商应在表A.
10中列出使用的全部软件,包括任何中间件、数据库、安全文件传输应用等.

表A.
10软件清单主机名软件名开发商功能版本是否虚拟A.
6.
3网络设备清单云服务商应在表A.
11中列出使用的全部网络设备.
表A.
11网络设备清单主机名制造商型号IP地址功能A.
6.
4数据流云服务商应在此处提供一张或多张图,描述进出系统边界(包括内部边界)的数据流.

图A.
2数据流A.
6.
5端口、协议、服务云服务商应在表A.
12中对系统中开启或使用的端口、协议和服务进行描述.

表A.
12端口、协议和服务端口协议服务目的被何组件使用A.
7平台或系统连接云服务商应在表A.
13中对本平台或系统与其他系统的连接进行描述.
网络连接的安全措施可包括:IPSecVPN、SSL等.
表A.
13平台或系统连接IP及接口外部组织名称及系统IP地址外部系统联系人网络连接的安全措施数据流向(流入、流出、双向)传输的信息端口或线路A.
8《云计算服务安全能力要求》的实现情况云服务商应在逐项列出对《云计算服务安全能力要求》(以下简称《能力要求》)各项要求的实现情况(在相应选择处划√).
如云服务商只实现了一般安全要求,则可在本安全计划中删除与增强要求有关的信息.
对标准中给出的赋值和选择项,需在表格中明确列出赋值和选择的具体参数.

A.
8.
1系统开发与供应链安全A.
8.
1.
1策略与规程A.
8.
1.
1.
1一般要求云服务商应:a)制定如下策略与规程,并分发至[赋值:云服务商定义的人员或角色]:1)系统开发与供应链安全策略(包括采购策略等),涉及以下内容:目的、范围、角色、责任、管理层承诺、内部协调、合规性.

2)相关规程,以推动系统开发与供应链安全策略及有关安全措施的实施.

b)按照[赋值:云服务商定义的频率]审查和更新系统开发与供应链安全策略及相关规程.

表A.
14(a)系统开发与供应链安全策略与规程一般要求实现情况安全要求列项安全要求实现情况及理由具体赋值/选择采取的安全措施满足部分满足计划满足替代满足不满足不适用a)b)表A.
14(b)拟提供的证据或针对未完全满足情况所作的说明a)b)表A.
14(c)对客户相关安全责任和安全措施的建议A.
8.
1.
1.
2增强要求无.
A.
8.
1.
2资源分配……A.
8.
1.
3系统生命周期……A.
9新增安全措施如在《云计算服务安全能力要求》之外,云服务商提供了新增的安全措施,应逐项列表进行详细描述.

表A.
15云服务商新增安全措施序号名称新增安全措施的目标:新增安全措施的具体描述:与《能力要求》中有关条款的关系:附录B(资料性附录)不同云能力类型下不适用项的识别原则由于云计算服务模式和应用复杂多样,针对被测云服务的能力类型、服务模式和部署模式的不同,第三方机构在根据本标准评估云计算服务时,可存在该云计算服务不适用的标准项.
例如:在对SaaS服务(该服务依赖于另一云服务商提供的IaaS服务的情况下)进行安全评估时,可不评估云计算平台基础设施物理设施的问题等,此时该项可视为该SaaS不适用项.

结合被测对象所提供的不适用项,第三方机构确定不适用项时,需要遵循以下原则:根据云计算的能力类型、服务模式和部署模式综合分析不适用项.
例如:对于场内私有云,"8.
8服务关闭和数据迁移"可视为不适用项,但对于其它部署模式,该标准项是适用的.
云计算的能力类型、服务模式和部署模式的定义详见GB/T31167.
结合云计算服务的具体应用和可能使用该服务的客户的要求(若适用)确定不适用项.
例如:被测云服务为一般能力级别,客户需要增加增强级别的几个标准项.

若被测对象所标识的不适用项可能会引发安全风险,则不应将此项作为不适用项.
例如:对于增强级能力要求,"6.
2.
2传输保密性和完整性"若不满足,可能会引发安全风险.
对于使用自己的硬件资源提供PaaS或SaaS服务的被测对象,应根据具体情况识别不适用项.