152021-05-25發(fā)布I 2 2 3 3 3 3 3 3 4 4 4 4 4 4 4 4 4 5 6 6 6 6 6 6 8參考文獻(xiàn)..............................................................................10本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定本文件主要起草人：包瑞林、孫衛(wèi)、林明峰、田麗丹1大數(shù)據(jù)應(yīng)用云服務(wù)安全技術(shù)指南本文件規(guī)定了云服務(wù)客戶信息系統(tǒng)從遷移上云到退出云計(jì)算平臺(tái)過程中各階段的安全服務(wù)內(nèi)容與2云計(jì)算環(huán)境cloudcomputin云服務(wù)安全提供商cloudservicese4.1概述針對(duì)尚未建設(shè)的信息系統(tǒng)（以下簡(jiǎn)稱“新建系統(tǒng)”），安全服務(wù)過程如圖1所示。在上云前安全分針對(duì)已建信息系統(tǒng)，安全服務(wù)過程如圖2所示。在上云前安全分析與設(shè)計(jì)階段，完成安全評(píng)估與需設(shè)及落地實(shí)施；在安全退出階段，針對(duì)信息34.2上云前安全分析與設(shè)計(jì)新建系統(tǒng)，根據(jù)信息系統(tǒng)安全需求，設(shè)計(jì)系統(tǒng)安全開5.1上云安全評(píng)估及需求分析a)調(diào)研系統(tǒng)業(yè)務(wù)，包括調(diào)研信息系統(tǒng)的業(yè)務(wù)功能、系統(tǒng)用戶、安全保護(hù)等級(jí)，梳理信息系統(tǒng)資c)調(diào)研上云前是否存在對(duì)信息系統(tǒng)的安全測(cè)試要求以及通過情況；VLAN劃分、業(yè)務(wù)高峰期流量峰值以及業(yè)務(wù)流向情況，梳理信息系統(tǒng)架構(gòu)和業(yè)務(wù)e)調(diào)研信息系統(tǒng)安全現(xiàn)狀，包括安全能力現(xiàn)狀及其安全策4g)調(diào)研數(shù)據(jù)及備份情況，包括信息系統(tǒng)配置h)評(píng)估信息系統(tǒng)安全風(fēng)險(xiǎn)，對(duì)信息系統(tǒng)所面臨的安全風(fēng)險(xiǎn)以及上云后面臨的安全風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)5.2定級(jí)備案針對(duì)尚未定級(jí)備案的信息系統(tǒng)開展定級(jí)備案工作。定級(jí)備案的措a)依據(jù)GB/T22240要求，確定定級(jí)對(duì)象，確定受損害的5.3新建系統(tǒng)安全方案設(shè)計(jì)對(duì)新建信息系統(tǒng)設(shè)計(jì)安全開發(fā)過程。具體措a)在安全需求階段，應(yīng)考慮信息系統(tǒng)的b)在安全設(shè)計(jì)階段，根據(jù)安全需求進(jìn)行安全設(shè)計(jì)，制定安全編碼規(guī)范；c)在安全開發(fā)階段，根據(jù)安全編碼規(guī)范進(jìn)行安全開發(fā)，編碼完成后開展代碼審計(jì)，并根據(jù)審計(jì)d)在安全測(cè)試階段，開展安全功能測(cè)試及交互式安全測(cè)試，并根據(jù)測(cè)試結(jié)果進(jìn)行整改。WEB應(yīng)用漏洞、主機(jī)操作系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、邏輯缺陷、弱口令、信息泄露及配置不當(dāng)?shù)却嗳跣詥柊l(fā)現(xiàn)用戶輸入錯(cuò)誤的可能情況，評(píng)估可能產(chǎn)5a)通過工具掃描與人工測(cè)試、分析的手段，以模擬黑客入侵的方式對(duì)信息系統(tǒng)進(jìn)行模擬入侵測(cè)b)評(píng)估信息系統(tǒng)是否存在SQL注入、跨站腳本攻擊、跨站偽造請(qǐng)求、弱口令、明文傳輸、文件包含、目錄瀏覽、不安全的跳轉(zhuǎn)、溢出、上傳漏洞、不安全的數(shù)據(jù)傳輸、未授權(quán)的訪問等脆b)將安全技術(shù)方案的實(shí)現(xiàn)方法落實(shí)到具體的產(chǎn)品功能或措施，使信息系統(tǒng)達(dá)到相應(yīng)的安全能力c)合理劃分信息系統(tǒng)安全區(qū)域，制定安全產(chǎn)品配置策略以及安全基線；d)完成安全產(chǎn)品的安全配置，按照安全基線對(duì)操作系統(tǒng)、數(shù)據(jù)庫及其他組件進(jìn)行安全加固。a)安全巡檢：對(duì)信息系統(tǒng)進(jìn)行安全巡檢，包括漏洞掃描、配置核查、應(yīng)用滲透測(cè)試，并提交巡6b)安全策略調(diào)整的措施包括：1)利用日志監(jiān)測(cè)及策略變更情況，通過觀察數(shù)據(jù)生命周期，進(jìn)行系統(tǒng)化分析，找出安全事定期發(fā)布安全預(yù)警通告，遇緊急高危漏洞或重大信息安全事件即時(shí)通告預(yù)警a)安全通告的內(nèi)容包括但不限于系統(tǒng)漏洞信息、病毒信息、預(yù)警信息、信息安全事件、最新安b)通過多種方式進(jìn)行通告，包括但不限于電子郵件、電話、信息推送。a)編制應(yīng)急預(yù)案，組織應(yīng)急演練的開展；b)對(duì)已發(fā)生的安全事件在事中及事后進(jìn)行過程取證、分析及處理。b)安全保障手段包括但不限于漏洞掃描、配置檢查、滲透測(cè)試、安全值守、日志分析、應(yīng)急響定期開展信息安全培訓(xùn)，根據(jù)不同的崗位人員進(jìn)行有7b)評(píng)估下線過程的安全風(fēng)險(xiǎn)，梳理并評(píng)估業(yè)務(wù)數(shù)據(jù)重要性c)制定下線