ICS35.040

L80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

信息安全技術(shù)

云計(jì)算服務(wù)安全能力要求

Informationsecuritytechnology-

Securitycapabilityrequirementsofcloudcomputingservices

2013-08

-XX-XX發(fā)布XXXX-XX-XX實(shí)施

GB/TXXXXX—XXXX

目??次

前言.................................................................錯(cuò)誤！未定義書簽。

引言.................................................................錯(cuò)誤！未定義書簽。

信息安全技術(shù)云計(jì)算服務(wù)安全能力要求...................................................1

1范圍................................................................................1

2規(guī)范性引用文件......................................................................1

3術(shù)語(yǔ)和定義..........................................................................1

4概述................................................................................2

4.1云計(jì)算的安全責(zé)任................................................................2

4.2云計(jì)算安全措施的作用范圍........................................................3

4.3安全要求的分類..................................................................3

4.4安全要求的表述形式..............................................................4

4.5安全要求的調(diào)整..................................................................5

4.6安全計(jì)劃........................................................................5

4.7本標(biāo)準(zhǔn)的結(jié)構(gòu)....................................................................6

5系統(tǒng)開發(fā)與供應(yīng)鏈安全................................................................6

5.1策略與規(guī)程......................................................................6

5.2資源分配........................................................................6

5.3系統(tǒng)生命周期....................................................................6

5.4采購(gòu)過程........................................................................7

5.5系統(tǒng)文檔........................................................................7

5.6安全工程原則....................................................................8

5.7關(guān)鍵性分析......................................................................8

5.8外部信息系統(tǒng)服務(wù)................................................................8

5.9開發(fā)商安全體系架構(gòu)..............................................................9

5.10開發(fā)過程、標(biāo)準(zhǔn)和工具...........................................................9

5.11開發(fā)商配置管理................................................................10

5.12開發(fā)商安全測(cè)試和評(píng)估..........................................................10

5.13開發(fā)商提供的培訓(xùn)..............................................................11

5.14防篡改........................................................................11

5.15組件真實(shí)性....................................................................11

5.16不被支持的系統(tǒng)組件............................................................12

5.17供應(yīng)鏈保護(hù)....................................................................12

I

GB/TXXXXX—XXXX

6系統(tǒng)與通信保護(hù).....................................................................13

6.1策略與規(guī)程.....................................................................13

6.2邊界保護(hù).......................................................................14

6.3傳輸保密性和完整性.............................................................14

6.4網(wǎng)絡(luò)中斷.......................................................................15

6.5可信路徑.......................................................................15

6.6密碼使用和管理.................................................................15

6.7協(xié)同計(jì)算設(shè)備...................................................................15

6.8移動(dòng)代碼.......................................................................15

6.9會(huì)話認(rèn)證.......................................................................15

6.10移動(dòng)設(shè)備的物理連接............................................................16

6.11惡意代碼防護(hù)..................................................................16

6.12內(nèi)存防護(hù)......................................................................16

6.13系統(tǒng)虛擬化安全性..............................................................16

6.14網(wǎng)絡(luò)虛擬化安全性..............................................................17

7訪問控制...........................................................................17

7.1策略與規(guī)程.....................................................................17

7.2用戶標(biāo)識(shí)與鑒別.................................................................18

7.3設(shè)備標(biāo)識(shí)與鑒別.................................................................18

7.4標(biāo)識(shí)符管理.....................................................................18

7.5鑒別憑證管理...................................................................18

7.6鑒別憑證反饋...................................................................19

7.7密碼模塊鑒別...................................................................19

7.8賬號(hào)管理.......................................................................20

7.9訪問控制的實(shí)施.................................................................20

7.10信息流控制....................................................................21

7.11存儲(chǔ)加密......................................................................21

7.12最小特權(quán)......................................................................21

7.13未成功的登錄嘗試..............................................................22

7.14系統(tǒng)使用通知..................................................................22

7.15前次訪問通知..................................................................22

7.16并發(fā)會(huì)話控制..................................................................22

7.17會(huì)話鎖定......................................................................23

7.18未進(jìn)行標(biāo)識(shí)和鑒別情況下可采取的行動(dòng)............................................23

7.19安全屬性......................................................................23

7.20遠(yuǎn)程訪問......................................................................23

7.21無(wú)線訪問......................................................................24

II

GB/TXXXXX—XXXX

7.22外部信息系統(tǒng)的使用............................................................24

7.23信息共享......................................................................24

7.24可供公眾訪問的內(nèi)容............................................................24

7.25數(shù)據(jù)挖掘保護(hù)..................................................................25

7.26介質(zhì)訪問和使用................................................................25

7.27服務(wù)關(guān)閉和數(shù)據(jù)遷移............................................................25

8配置管理...........................................................................26

8.1策略與規(guī)程.....................................................................26

8.2配置管理計(jì)劃...................................................................26

8.3基線配置.......................................................................26

8.4變更控制.......................................................................26

8.5設(shè)置配置項(xiàng)的參數(shù)...............................................................27

8.6最小功能原則...................................................................27

8.7信息系統(tǒng)組件清單...............................................................28

9.維護(hù)................................................................................28

9.1策略與規(guī)程.....................................................................28

9.2受控維護(hù).......................................................................29

9.3維護(hù)工具.......................................................................29

9.4遠(yuǎn)程維護(hù).......................................................................29

9.5維護(hù)人員.......................................................................30

9.6及時(shí)維護(hù).......................................................................30

9.7缺陷修復(fù).......................................................................30

9.8安全功能驗(yàn)證...................................................................30

9.9軟件、固件、信息完整性.........................................................30

10應(yīng)急響應(yīng)與災(zāi)備.....................................................................31

10.1策略與規(guī)程.....................................................................31

10.2事件處理計(jì)劃..................................................................31

10.3事件處理......................................................................31

10.4安全事件報(bào)告..................................................................32

10.5事件響應(yīng)支持..................................................................32

10.6安全警報(bào)......................................................................32

10.7錯(cuò)誤處理......................................................................32

10.8應(yīng)急響應(yīng)計(jì)劃..................................................................33

10.9應(yīng)急培訓(xùn)......................................................................33

10.10應(yīng)急演練.....................................................................34

10.11信息系統(tǒng)備份.................................................................34

III

GB/TXXXXX—XXXX

10.12支撐客戶的業(yè)務(wù)連續(xù)性計(jì)劃.....................................................34

10.13電信服務(wù)......................................................................34

11審計(jì)..............................................................................35

11.1策略與規(guī)程....................................................................35

11.2可審計(jì)事件....................................................................35

11.3審計(jì)記錄內(nèi)容..................................................................35

11.4審計(jì)記錄存儲(chǔ)容量..............................................................35

11.5審計(jì)過程失敗時(shí)的響應(yīng)..........................................................36

11.6審計(jì)的審查、分析、報(bào)告........................................................36

11.7審計(jì)處理和報(bào)告生成............................................................36

11.8時(shí)間戳........................................................................36

11.9審計(jì)信息保護(hù)..................................................................37

11.10不可否認(rèn)性...................................................................37

11.11審計(jì)記錄留存.................................................................37

12風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控................................................................37

12.1策略與規(guī)程....................................................................37

12.2風(fēng)險(xiǎn)評(píng)估......................................................................38

12.3脆弱性掃描....................................................................38

12.4持續(xù)監(jiān)控......................................................................38

12.5信息系統(tǒng)監(jiān)測(cè)..................................................................39

12.6垃圾信息監(jiān)測(cè)..................................................................39

13安全組織與人員....................................................................40

13.1策略與規(guī)程.....................................................................40

13.2安全組織......................................................................40

13.3安全資源......................................................................40

13.4安全規(guī)章制度..................................................................40

13.5崗位風(fēng)險(xiǎn)與職責(zé)................................................................41

13.6人員篩選.......................................................................41

13.7人員離職.......................................................................41

13.8人員調(diào)動(dòng).......................................................................41

13.9訪問協(xié)議......................................................................42

13.10第三方人員安全...............................................................42

13.11人員處罰.....................................................................42

13.12安全培訓(xùn).....................................................................43

14物理與環(huán)境安全....................................................................43

14.1策略與規(guī)程.....................................................................43

IV

GB/TXXXXX—XXXX

14.2物理設(shè)施與設(shè)備選址.............................................................43

14.3物理和環(huán)境規(guī)劃................................................................44

14.4物理環(huán)境訪問授權(quán)..............................................................44

14.5物理環(huán)境訪問控制..............................................................44

14.6通信能力防護(hù)..................................................................44

14.7輸出設(shè)備訪問控制...............................................................45

14.8物理訪問監(jiān)控..................................................................45

14.9訪客訪問記錄..................................................................45

14.10電力設(shè)備和電纜安全保障.......................................................45

14.11應(yīng)急照明能力.................................................................46

14.12消防能力......................................................................46

14.13溫濕度控制能力...............................................................46

14.14防水能力.....................................................................46

14.15設(shè)備運(yùn)送和移除................................................................46

參考文獻(xiàn).............................................................................53

V

GB/TXXXXX—XXXX

信息安全技術(shù)云計(jì)算服務(wù)安全能力要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了以社會(huì)化方式提供云計(jì)算服務(wù)的服務(wù)商應(yīng)滿足的信息安全基本要求。

本標(biāo)準(zhǔn)適用于對(duì)政府部門和重要行業(yè)使用的云計(jì)算服務(wù)進(jìn)行安全審查，也適用于指導(dǎo)云服務(wù)商建設(shè)

安全的云計(jì)算平臺(tái)和提供安全的云計(jì)算服務(wù)。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/TXXXXX-XXXX信息安全技術(shù)云計(jì)算服務(wù)安全指南

GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求

GB50174-2008電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范

GB/T9361-2011計(jì)算機(jī)場(chǎng)地安全要求

3術(shù)語(yǔ)和定義

GB/T25069-2010、GB/TXXXXX-XXXX確立的以及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。

3.1

云計(jì)算cloudcomputing

一種通過網(wǎng)絡(luò)提供計(jì)算資源服務(wù)的模式，在該模式下，客戶按需動(dòng)態(tài)自助供給、管理由云服務(wù)商提

供的計(jì)算資源。

注：計(jì)算資源包括服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)、軟件和存儲(chǔ)設(shè)備等。

3.2

云服務(wù)商cloudserviceprovider

為客戶提供云計(jì)算服務(wù)的參與方。云服務(wù)商管理、運(yùn)營(yíng)、支撐云計(jì)算的計(jì)算基礎(chǔ)設(shè)施及軟件，通過

網(wǎng)絡(luò)將云計(jì)算的資源交付給客戶。

3.3

客戶cloudconsumer

為使用云計(jì)算服務(wù)和云服務(wù)商建立商業(yè)關(guān)系的參與方。

3.4

云計(jì)算服務(wù)cloudcomputingservices

由云服務(wù)商使用云計(jì)算提供的服務(wù)。

3.5

第三方評(píng)估機(jī)構(gòu)ThirdPartyAssessmentOrganizations(3PAO)

獨(dú)立于云服務(wù)商和客戶的專業(yè)評(píng)估機(jī)構(gòu)。

3.6

1

GB/TXXXXX—XXXX

云基礎(chǔ)設(shè)施cloudinfrastructure

云基礎(chǔ)設(shè)施包括硬件資源層和資源抽象控制層。硬件資源層包括所有的物理計(jì)算資源，主要包括服

務(wù)器（CPU、內(nèi)存等）、存儲(chǔ)組件（硬盤等）、網(wǎng)絡(luò)組件（路由器、防火墻、交換機(jī)、網(wǎng)絡(luò)鏈接和接口

等）及其他物理計(jì)算基礎(chǔ)元素。資源抽象控制層由部署在硬件資源層之上，對(duì)物理計(jì)算資源進(jìn)行軟件抽

象的系統(tǒng)組件構(gòu)成，云服務(wù)商用這些組件提供和管理物理硬件資源的訪問。

3.7

云計(jì)算平臺(tái)cloudcomputingplatform

由云服務(wù)商提供的云基礎(chǔ)設(shè)施及其上的服務(wù)層軟件的集合。

3.8

云計(jì)算環(huán)境cloudcomputingenvironment

由云服務(wù)商提供的云計(jì)算平臺(tái)，及客戶在云計(jì)算平臺(tái)之上部署的軟件及相關(guān)組件的集合。

4概述

4.1云計(jì)算的安全責(zé)任

云計(jì)算服務(wù)的安全性由云服務(wù)商和客戶共同保障。在某些情況下，云服務(wù)商還要依靠其他組織提供

計(jì)算資源和服務(wù)，其他組織也應(yīng)承擔(dān)信息安全責(zé)任。因此，云計(jì)算安全措施的實(shí)施主體有多個(gè)，各類主

體的安全責(zé)任因不同的云計(jì)算服務(wù)模式而異。

圖4-1云計(jì)算服務(wù)模式與控制范圍的關(guān)系

軟件即服務(wù)（SaaS）、平臺(tái)即服務(wù)（PaaS）、基礎(chǔ)設(shè)施即服務(wù)（IaaS）是3種基本的云計(jì)算服務(wù)模式。

如圖4-1所示，在不同的服務(wù)模式中，云服務(wù)商和客戶對(duì)計(jì)算資源擁有不同的控制范圍，控制范圍則決

定了安全責(zé)任的邊界。云計(jì)算的設(shè)施層（物理環(huán)境）、硬件層（物理設(shè)備）、資源抽象和控制層都處于云

服務(wù)商的完全控制下，所有安全責(zé)任由云服務(wù)商承擔(dān)。應(yīng)用軟件層、軟件平臺(tái)層、虛擬化計(jì)算資源層的

安全責(zé)任責(zé)則由雙方共同承擔(dān)，越靠近底層（即IaaS）的云計(jì)算服務(wù)，客戶的管理和安全責(zé)任越大；反

之，云服務(wù)商的管理和安全責(zé)任越大。

2

GB/TXXXXX—XXXX

——在SaaS中，客戶僅需要承擔(dān)自身數(shù)據(jù)安全、客戶端安全等的相關(guān)責(zé)任；云服務(wù)商承擔(dān)其他安全

責(zé)任。

——在PaaS中，軟件平臺(tái)層的安全責(zé)任由客戶和云服務(wù)商分擔(dān)?？蛻糌?fù)責(zé)自己實(shí)現(xiàn)和部署的應(yīng)用及

其運(yùn)行環(huán)境的安全，其他安全由云服務(wù)商負(fù)責(zé)。

——IaaS中，云服務(wù)商需要承擔(dān)設(shè)施層、硬件層、資源抽象和控制層等的相關(guān)責(zé)任，客戶則需要承

擔(dān)操作系統(tǒng)部署及管理，以及PaaS、SaaS中客戶應(yīng)承擔(dān)的相關(guān)責(zé)任。

考慮到云服務(wù)商可能還需要其他組織提供的服務(wù)，如SaaS或PaaS服務(wù)提供商可能依賴于IaaS服務(wù)提

供商的基礎(chǔ)資源服務(wù)。在這種情況下，一些安全措施由其他組織提供。

因此，云計(jì)算安全措施的實(shí)施責(zé)任有4類，如表4-1所示。

表4-1云計(jì)算安全措施的實(shí)施責(zé)任

責(zé)任示例

云服務(wù)商承擔(dān)在SaaS模式中，云服務(wù)商對(duì)平臺(tái)上安裝的軟件進(jìn)行安全升級(jí)。

客戶承擔(dān)在IaaS模式中，客戶對(duì)其安裝的應(yīng)用中的用戶行為進(jìn)行審計(jì)。

云服務(wù)商和客戶共云服務(wù)商的應(yīng)急演練計(jì)劃需要與客戶的信息安全應(yīng)急演練計(jì)劃相協(xié)調(diào)。在實(shí)施應(yīng)急演練時(shí)，需要

同承擔(dān)客戶與云服務(wù)商相互配合。

其他組織承擔(dān)有的SaaS服務(wù)提供商需要利用IaaS服務(wù)提供商的基礎(chǔ)設(shè)施服務(wù)，相應(yīng)的物理與環(huán)境保護(hù)措施應(yīng)

由IasS服務(wù)提供商予以實(shí)施。

本標(biāo)準(zhǔn)不對(duì)客戶承擔(dān)的安全責(zé)任提出要求?？蛻魬?yīng)參照GBXXXXX-XXXX《信息安全技術(shù)云計(jì)算

服務(wù)安全指南》及其他國(guó)家、行業(yè)有關(guān)信息安全的標(biāo)準(zhǔn)規(guī)范落實(shí)其安全責(zé)任。

如云服務(wù)商依賴于其他組織提供的服務(wù)或產(chǎn)品，則其所承擔(dān)的信息安全責(zé)任直接或間接地轉(zhuǎn)移至其

他組織，云服務(wù)商應(yīng)以合同或其他方式對(duì)相應(yīng)安全責(zé)任進(jìn)行規(guī)定并予以落實(shí)。但是，云服務(wù)商仍是信息

安全監(jiān)管的直接對(duì)象。

4.2云計(jì)算安全措施的作用范圍

在同一個(gè)云計(jì)算平臺(tái)上，可能有多個(gè)應(yīng)用系統(tǒng)，某些信息安全措施應(yīng)作用于整個(gè)云計(jì)算平臺(tái)，平臺(tái)

上每個(gè)具體的應(yīng)用系統(tǒng)直接繼承該安全措施即可。例如，云服務(wù)商實(shí)施的人員安全措施即適用于云計(jì)算

平臺(tái)上每一個(gè)應(yīng)用系統(tǒng)。這類安全措施稱為通用安全措施。

某些安全措施則僅是針對(duì)特定的應(yīng)用，例如云計(jì)算平臺(tái)上電子郵件系統(tǒng)的訪問控制措施與字處理系

統(tǒng)的訪問控制措施可能不同。這類安全措施稱為專用安全措施。

在特殊情況下，某些安全措施的一部分屬于通用安全措施，另一部分則屬于專用安全措施，例如云

計(jì)算平臺(tái)上電子郵件系統(tǒng)的應(yīng)急響應(yīng)計(jì)劃既要利用云服務(wù)商的整體應(yīng)急響應(yīng)資源（如應(yīng)急支援隊(duì)伍），

也要針對(duì)電子郵件系統(tǒng)的備份與恢復(fù)作出專門考慮，這類安全措施稱為混合安全措施。

云服務(wù)商申請(qǐng)為客戶提供云計(jì)算服務(wù)時(shí)，所申請(qǐng)的每一類云計(jì)算應(yīng)用均應(yīng)實(shí)現(xiàn)本標(biāo)準(zhǔn)規(guī)定的安全要

求，并以通用安全措施、專用安全措施或混合安全措施的形式，標(biāo)明所采取的每項(xiàng)安全措施的作用范圍。

4.3安全要求的分類

本標(biāo)準(zhǔn)對(duì)云服務(wù)商提出了基本安全能力要求，反映了云服務(wù)商在保障云計(jì)算平臺(tái)上客戶信息和業(yè)務(wù)

信息安全時(shí)應(yīng)具有的基本能力。這些安全要求分為10類，每一類安全要求包含若干項(xiàng)具體要求。

10類安全要求分別是：

——系統(tǒng)開發(fā)與供應(yīng)鏈安全：云服務(wù)商應(yīng)在開發(fā)云計(jì)算平臺(tái)時(shí)對(duì)其提供充分保護(hù)，為其配置足夠的

資源，并充分考慮信息安全需求。云服務(wù)商應(yīng)確保其下級(jí)供應(yīng)商采取了必要的安全措施。云服務(wù)商還應(yīng)

為客戶提供與安全措施有關(guān)的文檔和信息，配合客戶完成對(duì)信息系統(tǒng)和業(yè)務(wù)的管理。

——系統(tǒng)與通信保護(hù)：云服務(wù)商應(yīng)在云計(jì)算平臺(tái)的外部邊界和內(nèi)部關(guān)鍵邊界上監(jiān)視、控制和保護(hù)網(wǎng)

3

GB/TXXXXX—XXXX

絡(luò)通信，并采用結(jié)構(gòu)化設(shè)計(jì)、軟件開發(fā)技術(shù)和軟件工程方法有效保護(hù)云計(jì)算平臺(tái)的安全性。

——訪問控制：云服務(wù)商應(yīng)嚴(yán)格保護(hù)云計(jì)算平臺(tái)的客戶數(shù)據(jù)和用戶隱私，在授權(quán)信息系統(tǒng)用戶及其

進(jìn)程、設(shè)備（包括其他信息系統(tǒng)的設(shè)備）訪問云計(jì)算平臺(tái)之前，應(yīng)對(duì)其進(jìn)行身份標(biāo)識(shí)及鑒別，并限制授

權(quán)用戶可執(zhí)行的操作和使用的功能。

——配置管理：云服務(wù)商應(yīng)對(duì)云計(jì)算平臺(tái)進(jìn)行配置管理，在系統(tǒng)生命周期內(nèi)建立和維護(hù)云計(jì)算平臺(tái)

（包括硬件、軟件、文檔等）的基線配置和詳細(xì)清單，并設(shè)置和實(shí)現(xiàn)云計(jì)算平臺(tái)中各類產(chǎn)品的安全配置

參數(shù)。

——維護(hù)：云服務(wù)商應(yīng)定期維護(hù)云計(jì)算平臺(tái)設(shè)施和軟件系統(tǒng)，并對(duì)維護(hù)所使用的工具、技術(shù)、機(jī)制

以及維護(hù)人員進(jìn)行有效的控制，且做好相關(guān)記錄。

——應(yīng)急響應(yīng)與災(zāi)備：云服務(wù)商應(yīng)為云計(jì)算平臺(tái)制定應(yīng)急響應(yīng)計(jì)劃，并定期演練，確保在緊急情況

下重要信息資源的可用性。云服務(wù)商應(yīng)建立事件處理計(jì)劃，包括對(duì)事件的預(yù)防、檢測(cè)、分析、控制、恢

復(fù)等，對(duì)事件進(jìn)行跟蹤、記錄并向相關(guān)人員報(bào)告。服務(wù)商應(yīng)具備災(zāi)難恢復(fù)能力，建立必要的備份設(shè)施，

確保客戶業(yè)務(wù)可持續(xù)。

——審計(jì)：云服務(wù)商應(yīng)根據(jù)安全需求和客戶要求，制定可審計(jì)事件清單，明確審計(jì)記錄內(nèi)容，實(shí)施

審計(jì)并妥善保存審計(jì)記錄，對(duì)審計(jì)記錄進(jìn)行定期分析和審查，還應(yīng)防范對(duì)審計(jì)記錄的未授權(quán)訪問、篡改

和刪除行為。

——風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控：云服務(wù)商應(yīng)定期或在威脅環(huán)境發(fā)生變化時(shí)，對(duì)云計(jì)算平臺(tái)進(jìn)行風(fēng)險(xiǎn)評(píng)估，

確保云計(jì)算平臺(tái)的安全風(fēng)險(xiǎn)處于可接受水平。服務(wù)商應(yīng)制定監(jiān)控目標(biāo)清單，對(duì)目標(biāo)進(jìn)行持續(xù)安全監(jiān)控，

并在異常和非授權(quán)情況發(fā)生時(shí)發(fā)出警報(bào)。

——安全組織與人員：云服務(wù)商應(yīng)確保能夠接觸客戶信息或業(yè)務(wù)的各類人員（包括供應(yīng)商人員）上

崗時(shí)具備履行其信息安全責(zé)任的素質(zhì)和能力，還應(yīng)在授予相關(guān)人員訪問權(quán)限之前對(duì)其進(jìn)行審查并定期復(fù)

查，在人員調(diào)動(dòng)或離職時(shí)履行安全程序，對(duì)于違反信息安全規(guī)定的人員進(jìn)行處罰。

——物理與環(huán)境保護(hù)：云服務(wù)商應(yīng)確保機(jī)房位于中國(guó)境內(nèi)，機(jī)房選址、設(shè)計(jì)、供電、消防、溫濕度

控制等符合相關(guān)標(biāo)準(zhǔn)的要求。云服務(wù)商應(yīng)對(duì)機(jī)房進(jìn)行監(jiān)控，嚴(yán)格限制各類人員與運(yùn)行中的云計(jì)算平臺(tái)設(shè)

備進(jìn)行物理接觸，確需接觸的，需通過云服務(wù)商的明確授權(quán)。

4.4安全要求的表述形式

本標(biāo)準(zhǔn)將云計(jì)算服務(wù)安全能力要求分為一般要求和增強(qiáng)要求。政府部門或重要行業(yè)應(yīng)對(duì)擬遷移至云

計(jì)算平臺(tái)的信息和業(yè)務(wù)系統(tǒng)進(jìn)行分析，按照信息的敏感程度和業(yè)務(wù)的重要程度選擇相應(yīng)安全能力水平的

云服務(wù)商。GBXXXXX-XXXX《信息安全技術(shù)云計(jì)算服務(wù)安全指南》給出了信息、業(yè)務(wù)類型與安全保

護(hù)要求之間的對(duì)應(yīng)關(guān)系。

本標(biāo)準(zhǔn)中每一項(xiàng)安全要求均以一般要求和增強(qiáng)要求的形式給出。增強(qiáng)要求是對(duì)一般要求的補(bǔ)充和強(qiáng)

化。在實(shí)現(xiàn)增強(qiáng)要求時(shí)，一般要求應(yīng)首先得到滿足。

有的安全要求只列出了增強(qiáng)要求，一般要求標(biāo)為“無(wú)”。這表明具有一般安全能力的云服務(wù)商可以不

實(shí)現(xiàn)此項(xiàng)安全要求。

即使對(duì)同等安全能力水平的云服務(wù)商，其實(shí)現(xiàn)安全要求的方式也可能會(huì)有差異。為此，本標(biāo)準(zhǔn)在描

述安全要求時(shí)引入了“賦值”和“選擇”這兩種變量，并以[賦值：……]和[選擇：……；……]的形式給出。

“賦值”表示云服務(wù)商在實(shí)現(xiàn)安全要求時(shí)，要由其定義具體的數(shù)值或內(nèi)容?！斑x擇”表示云服務(wù)商在實(shí)現(xiàn)安

全要求時(shí)，應(yīng)選擇一個(gè)給定的數(shù)值或內(nèi)容。

云服務(wù)商在向客戶提供云計(jì)算服務(wù)前，應(yīng)確定并實(shí)現(xiàn)“賦值”和“選擇”的具體數(shù)值或內(nèi)容。

“賦值”和“選擇”示例如下：

云服務(wù)商應(yīng)在[賦值：云服務(wù)商定義的時(shí)間段]后，自動(dòng)[選擇：刪除；禁用]臨時(shí)和應(yīng)急賬號(hào)。

4

GB/TXXXXX—XXXX

4.5安全要求的調(diào)整

本標(biāo)準(zhǔn)提出的安全要求是通常情況下云服務(wù)商應(yīng)具備的基本安全能力。在具體的應(yīng)用場(chǎng)景下，云服

務(wù)商有可能需要對(duì)這些安全要求進(jìn)行調(diào)整。調(diào)整的方式有：

——?jiǎng)h減：未實(shí)現(xiàn)某項(xiàng)安全要求，或只實(shí)現(xiàn)了某項(xiàng)安全要求的一部分。

——補(bǔ)充：某項(xiàng)基本安全要求不足以滿足云服務(wù)商的特定安全目標(biāo)，故增加新的安全要求，或?qū)?biāo)

準(zhǔn)中規(guī)定的某項(xiàng)安全要求進(jìn)行強(qiáng)化。

——替代：使用其他安全要求替代標(biāo)準(zhǔn)中規(guī)定的某項(xiàng)安全要求，以滿足相同的安全目標(biāo)。

調(diào)整的原因有多種，例如：

——已知某些目標(biāo)客戶有特殊的需求。

——云服務(wù)商的安全責(zé)任因SaaS、PaaS和IaaS這3種不同的云計(jì)算模式而不同，云服務(wù)商為了實(shí)

現(xiàn)本標(biāo)準(zhǔn)中規(guī)定的安全要求，所選擇的安全措施的實(shí)施范圍、實(shí)施強(qiáng)度可能不同。

——出于成本等因素考慮，云服務(wù)商可能希望實(shí)現(xiàn)替代性的安全要求。

——云服務(wù)商希望表現(xiàn)更強(qiáng)的安全能力，以便于吸引客戶。

4.6安全計(jì)劃

為了建立向客戶提供安全的云計(jì)算服務(wù)的能力，云服務(wù)商應(yīng)制定安全計(jì)劃，詳細(xì)說明對(duì)本標(biāo)準(zhǔn)提出

的安全能力要求的實(shí)現(xiàn)情況。云服務(wù)商應(yīng)在安全計(jì)劃中對(duì)“賦值”和“選擇”給出具體的數(shù)值或內(nèi)容，必要

時(shí)還應(yīng)對(duì)本標(biāo)準(zhǔn)提出的安全要求進(jìn)行調(diào)整。

當(dāng)云計(jì)算平臺(tái)上有多個(gè)應(yīng)用系統(tǒng)時(shí)，云服務(wù)商應(yīng)分別制定每個(gè)系統(tǒng)的安全計(jì)劃。

安全計(jì)劃包括但不限于以下內(nèi)容：

——云計(jì)算平臺(tái)的基本描述，包括：

系統(tǒng)拓?fù)洌?/p>

系統(tǒng)運(yùn)營(yíng)單位；

與外部系統(tǒng)的互聯(lián)情況；

云服務(wù)模式和部署模式；

系統(tǒng)軟硬件清單；

數(shù)據(jù)流等。

——為實(shí)現(xiàn)本標(biāo)準(zhǔn)規(guī)定的安全要求而采取的安全措施的具體情況。對(duì)每項(xiàng)安全要求，云服務(wù)商均應(yīng)

在以下5個(gè)選項(xiàng)中選擇其一作為對(duì)實(shí)現(xiàn)情況的整體描述，并針對(duì)性地提供詳細(xì)說明：

滿足。此種情況下，應(yīng)說明為滿足安全要求而采取的具體措施；

部分滿足。此種情況下，對(duì)已滿足的安全要求應(yīng)說明所采取的具體措施，對(duì)不滿足的安全

要求應(yīng)說明理由；

計(jì)劃滿足。此種情況下，應(yīng)說明時(shí)間進(jìn)度安排以及在此期間的風(fēng)險(xiǎn)管控措施；

替代。此種情況下，應(yīng)說明替代理由并說明所實(shí)現(xiàn)的安全目標(biāo)與原安全要求之間的關(guān)系；

不滿足。此種情況下，應(yīng)說明不滿足的理由。

——為實(shí)現(xiàn)本標(biāo)準(zhǔn)提出的安全要求而采取的安全措施的作用范圍。對(duì)通用安全措施或混合安全措施

中的通用部分，可只在其中一個(gè)應(yīng)用系統(tǒng)的安全計(jì)劃中說明該措施的實(shí)施情況，其余安全計(jì)劃中不再詳

細(xì)說明，或針對(duì)通用安全措施制定一份專門的安全計(jì)劃。

——對(duì)云服務(wù)商新增的安全目標(biāo)及對(duì)應(yīng)的安全措施的說明。

——對(duì)客戶安全責(zé)任的說明，以及對(duì)客戶應(yīng)實(shí)施的安全措施的建議。

附錄A給出了安全計(jì)劃的模板。

5

GB/TXXXXX—XXXX

4.7本標(biāo)準(zhǔn)的結(jié)構(gòu)

本標(biāo)準(zhǔn)共包括10個(gè)安全要求章節(jié)（第5章至第14章）。每個(gè)章節(jié)名稱及其所含主要安全要求的數(shù)

目是：

第5章系統(tǒng)開發(fā)與供應(yīng)鏈安全（17個(gè)）

第6章系統(tǒng)與通信保護(hù)（14個(gè)）

第7章訪問控制（27個(gè)）

第8章配置管理（7個(gè)）

第9章維護(hù)（9個(gè)）

第10章應(yīng)急響應(yīng)與災(zāi)備（13個(gè)）

第11章審計(jì)（11個(gè)）

第12章風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控（6個(gè)）

第13章安全組織與人員（14個(gè)）

第14章物理與環(huán)境保護(hù)（15個(gè)）

本標(biāo)準(zhǔn)還包括附錄A：安全計(jì)劃模板。

注：本標(biāo)準(zhǔn)中章節(jié)的順序不表明其重要性。另外，本標(biāo)準(zhǔn)的其他排列也沒有優(yōu)先順序，除非特別注

明。

5系統(tǒng)開發(fā)與供應(yīng)鏈安全

5.1策略與規(guī)程

5.1.1一般要求

云服務(wù)商應(yīng)：

a）制定如下策略與規(guī)程，并分發(fā)至[賦值：云服務(wù)商定義的人員或角色]：

1）系統(tǒng)開發(fā)與供應(yīng)鏈安全策略（包括采購(gòu)策略等），涉及以下內(nèi)容：目的、范圍、角色、責(zé)任、

管理層承諾、內(nèi)部協(xié)調(diào)、合規(guī)性。

2）相關(guān)規(guī)程，以推動(dòng)系統(tǒng)開發(fā)與供應(yīng)鏈安全策略及與有關(guān)安全措施的實(shí)施。

b）按照[賦值：云服務(wù)商定義的頻率]審查和更新系統(tǒng)開發(fā)與供應(yīng)鏈安全策略及相關(guān)規(guī)程。

5.1.2增強(qiáng)要求

無(wú)。

5.2資源分配

5.2.1一般要求

云服務(wù)商應(yīng)：

a）在系統(tǒng)建設(shè)規(guī)劃時(shí)考慮系統(tǒng)的安全需求。

b）確定并分配為保護(hù)信息系統(tǒng)和服務(wù)所需的資源（如有關(guān)資金、場(chǎng)地、人力等），并在預(yù)算管理過

程中予以重點(diǎn)考慮。

c）在工作計(jì)劃和預(yù)算文件中，將信息安全作為單列項(xiàng)予以說明。

5.2.2增強(qiáng)要求

無(wú)。

5.3系統(tǒng)生命周期

5.3.1一般要求

6

GB/TXXXXX—XXXX

云服務(wù)商應(yīng)：

a）將信息安全納入[賦值：云服務(wù)商定義的系統(tǒng)生命周期]，確保信息安全措施同步規(guī)劃、同步建

設(shè)、同步運(yùn)行。

b）確定整個(gè)信息系統(tǒng)生命周期內(nèi)的信息安全角色和責(zé)任。

c）將信息安全角色明確至相應(yīng)責(zé)任人。

d）將信息安全風(fēng)險(xiǎn)管理過程集成到系統(tǒng)生命周期活動(dòng)中。

5.3.2增強(qiáng)要求

無(wú)。

5.4采購(gòu)過程

5.4.1一般要求

云服務(wù)商應(yīng)根據(jù)相關(guān)法律、法規(guī)、政策和標(biāo)準(zhǔn)的要求，以及可能的客戶需求，并在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)

上，將以下內(nèi)容列入信息系統(tǒng)采購(gòu)合同：

a）安全功能要求。

b）安全強(qiáng)度要求。

c）安全保障要求。

d）安全相關(guān)文檔要求。

e）保密要求。

f）開發(fā)環(huán)境和預(yù)期運(yùn)行環(huán)境描述。

g）驗(yàn)收準(zhǔn)則。

h）強(qiáng)制配置要求，如功能、端口、協(xié)議和服務(wù)。

5.4.2增強(qiáng)要求

云服務(wù)商應(yīng)：

a）提供或要求信息系統(tǒng)、組件或服務(wù)的開發(fā)商提供所使用的安全措施的功能描述，如對(duì)外提供的

安全功能或機(jī)制。

b）提供或要求信息系統(tǒng)、組件或服務(wù)的開發(fā)商提供所使用的安全措施的設(shè)計(jì)和實(shí)現(xiàn)信息，包括：[選

擇（可多選）：安全相關(guān)的外部系統(tǒng)的接口；高層設(shè)計(jì)；低層設(shè)計(jì)；源代碼或硬件原理圖；[賦值：云服

務(wù)商定義的其他設(shè)計(jì)或?qū)崿F(xiàn)信息]]，其詳細(xì)程度應(yīng)滿足[賦值：云服務(wù)商定義的詳細(xì)程度]。

c）提供或要求信息系統(tǒng)、組件或服務(wù)的開發(fā)商提供證據(jù)，證明其在系統(tǒng)生命周期中使用了[賦值：

云服務(wù)商定義的系統(tǒng)工程方法、軟件開發(fā)方法、測(cè)試技術(shù)和質(zhì)量控制過程]。

d）實(shí)現(xiàn)或要求信息系統(tǒng)、組件或服務(wù)的開發(fā)商交付信息系統(tǒng)、組件或服務(wù)時(shí)實(shí)現(xiàn)[賦值：云服務(wù)商

定義的安全配置]，且這些安全配置應(yīng)作為信息系統(tǒng)、組件或服務(wù)進(jìn)行重新安裝或升級(jí)時(shí)的缺省配置。

e）要求信息系統(tǒng)、組件或服務(wù)的開發(fā)商制定對(duì)安全措施有效性的持續(xù)監(jiān)控計(jì)劃，其詳細(xì)程度滿足[賦

值：云服務(wù)商定義的詳細(xì)程度]。

f）說明或要求信息系統(tǒng)、組件或服務(wù)的開發(fā)商在系統(tǒng)生命周期的早期階段說明系統(tǒng)中的功能、端

口、協(xié)議和服務(wù)，云服務(wù)商應(yīng)禁用不必要或高風(fēng)險(xiǎn)的功能、端口、協(xié)議或服務(wù)。

5.5系統(tǒng)文檔

5.5.1一般要求

云服務(wù)商應(yīng)：

a）制定或要求信息系統(tǒng)、組件或服務(wù)的開發(fā)商制定管理員文檔，且涵蓋以下信息：

1）系統(tǒng)、組件或服務(wù)的安全配置，以及安裝和運(yùn)行說明。

2）安全特性或功能的使用和維護(hù)說明。

7

GB/TXXXXX—XXXX

3）與管理功能有關(guān)的配置和使用方面的注意事項(xiàng)。

b）制定或要求信息系統(tǒng)、組件或服務(wù)的開發(fā)商制定用戶文檔，且涵蓋以下信息：

1）用戶可訪問的安全功能或機(jī)制，以及對(duì)如何有效地使用這些安全功能或機(jī)制的說明。

2）有助于用戶以更加安全的方式使用系統(tǒng)、組件或服務(wù)的用戶交互方法。

3）對(duì)用戶安全責(zé)任和注意事項(xiàng)的說明。

c）基于風(fēng)險(xiǎn)管理策略，按照要求保護(hù)上述文檔。

d）將上述文檔分發(fā)至[賦值：云服務(wù)商定義的人員或角色]。

5.5.2增強(qiáng)要求

無(wú)。

5.6安全工程原則

5.6.1一般要求

云服務(wù)商應(yīng)在信息系統(tǒng)的規(guī)范、設(shè)計(jì)、開發(fā)、實(shí)現(xiàn)和修改過程中應(yīng)用信息系統(tǒng)安全工程原則，包括

但不限于以下內(nèi)容：

a）實(shí)施分層保護(hù)。

b）建立完善的安全策略、架構(gòu)和措施，作為設(shè)計(jì)基礎(chǔ)。

c）劃定物理和邏輯安全邊界。

d）確保系統(tǒng)開發(fā)人員接受了軟件開發(fā)安全培訓(xùn)。

e）進(jìn)行威脅分析，評(píng)估安全風(fēng)險(xiǎn)。

f）將風(fēng)險(xiǎn)降低到可接受的水平。

5.6.2增強(qiáng)要求

無(wú)。

5.7關(guān)鍵性分析

5.7.1一般要求

無(wú)。

5.7.2增強(qiáng)要求

云服務(wù)商應(yīng)在[賦值：云服務(wù)商定義的系統(tǒng)生命周期中的決策點(diǎn)]對(duì)[賦值：云服務(wù)商定義的信息系統(tǒng)、

組件或服務(wù)]進(jìn)行關(guān)鍵性分析，以確定關(guān)鍵信息系統(tǒng)組件和功能。

5.8外部信息系統(tǒng)服務(wù)

5.8.1一般要求

云服務(wù)商應(yīng)：

a）要求外部信息系統(tǒng)服務(wù)提供商遵從并實(shí)施云服務(wù)商的信息安全要求。

b）明確外部信息系統(tǒng)服務(wù)提供商的信息安全分工與責(zé)任，同時(shí)要求外部信息系統(tǒng)服務(wù)提供商接受

相關(guān)客戶監(jiān)管。

c）使用[賦值：云服務(wù)商定義的過程、方法和技術(shù)]，對(duì)外部服務(wù)提供商所提供的安全措施的合規(guī)

性進(jìn)行持續(xù)監(jiān)控。

5.8.2增強(qiáng)要求

云服務(wù)商應(yīng)：

a）在采購(gòu)或外包特定的信息系統(tǒng)服務(wù)之前進(jìn)行風(fēng)險(xiǎn)評(píng)估。

b）確保特定的信息系統(tǒng)服務(wù)的采購(gòu)或外包得到[賦值：云服務(wù)商定義的人員或角色]批準(zhǔn)。

c）要求[賦值：云服務(wù)商定義的外部信息系統(tǒng)服務(wù)]的服務(wù)提供商明確說明該服務(wù)涉及的功能、端

8

GB/TXXXXX—XXXX

口、協(xié)議和其他服務(wù)。

d）基于[賦值：云服務(wù)商定義的安全要求、屬性、因素或者其他條件]建立并保持與外部服務(wù)提供

商的信任關(guān)系。

e）使用[賦值：云服務(wù)商定義的安全防護(hù)措施]，以確保[賦值：云服務(wù)商定義的外部服務(wù)提供商]

不損害本組織的利益。安全防護(hù)措施包括但不限于：

1）對(duì)所選擇的外部服務(wù)提供商的人員進(jìn)行背景審查。

2）檢查外部服務(wù)供應(yīng)商資本變更記錄。

3）選擇可信賴的服務(wù)提供商（如有過良好合作的提供商）。

4）定期或不定期檢查服務(wù)提供商的設(shè)施。

f）基于[賦值：云服務(wù)商定義的要求或條件]，限制[選擇：信息處理；信息或數(shù)據(jù)；信息系統(tǒng)服務(wù)]

的地點(diǎn)，如本地或境內(nèi)。

5.9開發(fā)商安全體系架構(gòu)

5.9.1一般要求

無(wú)。

5.9.2增強(qiáng)要求

云服務(wù)商應(yīng)：

a）制定或要求信息系統(tǒng)、組件或服務(wù)的開發(fā)商制定設(shè)計(jì)規(guī)范和安全架構(gòu)，且符合下列條件：

1）該架構(gòu)應(yīng)符合或支持云服務(wù)商的安全架構(gòu)。

2）準(zhǔn)確完整地描述了所需的安全功能，并且為物理和邏輯組件分配了安全措施。

3）說明各項(xiàng)安全功能、機(jī)制和服務(wù)如何協(xié)同工作，以提供完整一致的保護(hù)能力。

b）說明或要求信息系統(tǒng)、組件或服務(wù)的開發(fā)商說明與安全相關(guān)的硬件、軟件和固件。

c）創(chuàng)建或要求信息系統(tǒng)、系統(tǒng)組件或信息系統(tǒng)服務(wù)的開發(fā)商創(chuàng)建非形式化的高層說明書，說明安

全相關(guān)的硬件、軟件和固件的接口，并通過非形式化的演示，說明該高層說明書完全覆蓋了與安全相關(guān)

的硬件、軟件和固件的接口。

d）在構(gòu)造安全相關(guān)的硬件、軟件和固件時(shí)，考慮或要求信息系統(tǒng)、組件或服務(wù)的開發(fā)商考慮便于

測(cè)試、便于實(shí)現(xiàn)最小特權(quán)訪問控制等因素。

5.10開發(fā)過程、標(biāo)準(zhǔn)和工具

5.10.1一般要求

無(wú)。

5.10.2增強(qiáng)要求

云服務(wù)商應(yīng)：

a）制定或要求信息系統(tǒng)、組件或服務(wù)的開發(fā)商制定明確的開發(fā)規(guī)范，在規(guī)范中明確以下事項(xiàng)：

1）所開發(fā)系統(tǒng)的安全需求。

2）開發(fā)過程中使用的標(biāo)準(zhǔn)和工具。

3）開發(fā)過程中使用的特定工具選項(xiàng)和工具配置。

b）采取有關(guān)措施，確保開發(fā)過程的完整性和工具變更的完整性。

c）按照[賦值：云服務(wù)商定義的頻率]審查開發(fā)過程、標(biāo)準(zhǔn)、工具以及工具選項(xiàng)和配置，判定有關(guān)

過程、標(biāo)準(zhǔn)、工具以及工具選項(xiàng)和配置是否滿足[賦值：云服務(wù)商定義的安全需求]。

d）定義或要求信息系統(tǒng)、組件或服務(wù)的開發(fā)商在開發(fā)過程的初始階段定義質(zhì)量度量標(biāo)準(zhǔn)，并以[選

擇：[賦值：云服務(wù)商定義的頻率]；[賦值：云服務(wù)商定義的項(xiàng)目審查里程碑]；交付時(shí)]為節(jié)點(diǎn)，檢查質(zhì)

量度量標(biāo)準(zhǔn)的落實(shí)情況。

9