ICS35030

CCSL.80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T34942—2025

代替GB/T34942—2017

網(wǎng)絡(luò)安全技術(shù)

云計(jì)算服務(wù)安全能力評(píng)估方法

Cybersecuritytechnology—

Theassessmentmethodforsecuritycapabilityofcloudcomputingservice

2025-08-01發(fā)布2026-02-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T34942—2025

目次

前言

…………………………Ⅶ

引言

…………………………Ⅷ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………2

概述

5………………………2

評(píng)估原則

5.1……………2

評(píng)估內(nèi)容

5.2……………3

評(píng)估證據(jù)

5.3……………3

評(píng)估實(shí)施過(guò)程

5.4………………………3

綜合評(píng)估

5.5……………5

系統(tǒng)開(kāi)發(fā)與供應(yīng)鏈安全評(píng)估方法

6………………………6

資源分配

6.1……………6

系統(tǒng)生命周期

6.2………………………6

采購(gòu)過(guò)程

6.3……………7

系統(tǒng)文檔

6.4……………9

關(guān)鍵性分析

6.5…………………………10

外部服務(wù)

6.6……………10

開(kāi)發(fā)商安全體系架構(gòu)

6.7………………12

開(kāi)發(fā)過(guò)程標(biāo)準(zhǔn)和工具

6.8、……………13

開(kāi)發(fā)過(guò)程配置管理

6.9…………………15

開(kāi)發(fā)商安全測(cè)試和評(píng)估

6.10…………16

開(kāi)發(fā)商提供的培訓(xùn)

6.11………………20

組件真實(shí)性

6.12………………………20

不被支持的系統(tǒng)組件

6.13……………21

供應(yīng)鏈保護(hù)

6.14………………………22

系統(tǒng)與通信保護(hù)評(píng)估方法

7………………25

邊界保護(hù)

7.1……………25

傳輸保密性和完整性保護(hù)

7.2…………28

網(wǎng)絡(luò)中斷

7.3……………29

可信路徑

7.4……………30

密碼使用和管理

7.5……………………31

Ⅰ

GB/T34942—2025

設(shè)備接入保護(hù)

7.6………………………31

移動(dòng)代碼

7.7……………33

會(huì)話(huà)認(rèn)證

7.8……………34

惡意代碼防護(hù)

7.9………………………35

內(nèi)存防護(hù)

7.10…………………………37

系統(tǒng)虛擬化安全性

7.11………………37

網(wǎng)絡(luò)虛擬化安全性

7.12………………40

存儲(chǔ)虛擬化安全性

7.13………………41

安全管理功能的通信保護(hù)

7.14………………………43

訪問(wèn)控制評(píng)估方法

8………………………45

用戶(hù)標(biāo)識(shí)與鑒別

8.1……………………45

標(biāo)識(shí)符管理

8.2…………………………46

鑒別憑證管理

8.3………………………47

鑒別憑證反饋

8.4………………………49

密碼模塊鑒別

8.5………………………49

賬號(hào)管理

8.6……………50

訪問(wèn)控制的實(shí)施

8.7……………………51

信息流控制

8.8…………………………52

最小特權(quán)

8.9……………54

未成功的登錄嘗試

8.10………………55

系統(tǒng)使用通知

8.11……………………56

前次訪問(wèn)通知

8.12……………………56

并發(fā)會(huì)話(huà)控制

8.13……………………57

會(huì)話(huà)鎖定

8.14…………………………57

未進(jìn)行標(biāo)識(shí)和鑒別情況下可采取的行動(dòng)

8.15………58

安全屬性

8.16…………………………58

遠(yuǎn)程訪問(wèn)

8.17…………………………59

無(wú)線(xiàn)訪問(wèn)

8.18…………………………60

外部信息系統(tǒng)的使用

8.19……………61

可供公眾訪問(wèn)的內(nèi)容

8.20……………63

全球廣域網(wǎng)訪問(wèn)安全

8.21(Web)……………………63

訪問(wèn)安全

8.22API……………………64

數(shù)據(jù)保護(hù)評(píng)估方法

9………………………65

通用數(shù)據(jù)安全

9.1………………………65

媒體訪問(wèn)和使用

9.2……………………66

剩余信息保護(hù)

9.3………………………69

數(shù)據(jù)使用保護(hù)

9.4………………………70

Ⅱ

GB/T34942—2025

數(shù)據(jù)共享保護(hù)

9.5………………………70

數(shù)據(jù)遷移保護(hù)

9.6………………………71

配置管理評(píng)估方法

10……………………72

配置管理計(jì)劃

10.1……………………72

基線(xiàn)配置

10.2…………………………73

變更控制

10.3…………………………75

配置參數(shù)的設(shè)置

10.4…………………78

最小功能原則

10.5……………………79

信息系統(tǒng)組件清單

10.6………………80

維護(hù)管理評(píng)估方法

11……………………82

受控維護(hù)

11.1…………………………82

維護(hù)工具

11.2…………………………84

遠(yuǎn)程維護(hù)

11.3…………………………85

維護(hù)人員

11.4…………………………86

及時(shí)維護(hù)

11.5…………………………88

缺陷修復(fù)

11.6…………………………88

安全功能驗(yàn)證

11.7……………………89

軟件和固件完整性

11.8………………90

應(yīng)急響應(yīng)評(píng)估方法

12……………………91

事件處理計(jì)劃

12.1……………………91

事件處理

12.2…………………………93

事件報(bào)告

12.3…………………………94

事件處理支持

12.4……………………95

安全警報(bào)

12.5…………………………96

錯(cuò)誤處理

12.6…………………………97

應(yīng)急響應(yīng)計(jì)劃

12.7……………………98

應(yīng)急響應(yīng)培訓(xùn)

12.8……………………100

應(yīng)急演練

12.9…………………………101

信息系統(tǒng)備份

12.10…………………102

支撐客戶(hù)的業(yè)務(wù)連續(xù)性計(jì)劃

12.11…………………104

電信服務(wù)

12.12………………………105

審計(jì)評(píng)估方法

13…………………………106

可審計(jì)事件

13.1………………………106

審計(jì)記錄內(nèi)容

13.2……………………107

審計(jì)記錄存儲(chǔ)容量

13.3………………107

審計(jì)過(guò)程失敗時(shí)的響應(yīng)

13.4…………108

審計(jì)的審查分析和報(bào)告

13.5、………………………109

Ⅲ

GB/T34942—2025

審計(jì)處理和報(bào)告生成

13.6……………111

時(shí)間戳

13.7……………112

審計(jì)信息保護(hù)

13.8……………………113

抗抵賴(lài)性

13.9…………………………114

審計(jì)記錄留存

13.10…………………115

風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控評(píng)估方法

14………………………116

風(fēng)險(xiǎn)評(píng)估

14.1…………………………116

脆弱性?huà)呙?/p>

14.2………………………117

持續(xù)監(jiān)控

14.3…………………………118

信息系統(tǒng)監(jiān)測(cè)

14.4……………………120

垃圾信息監(jiān)測(cè)

14.5……………………122

安全組織與人員

15………………………123

安全策略與規(guī)程

15.1…………………123

安全組織

15.2…………………………124

崗位風(fēng)險(xiǎn)與職責(zé)

15.3…………………125

人員篩選

15.4…………………………126

人員離職

15.5…………………………126

人員調(diào)動(dòng)

15.6…………………………128

第三方人員安全

15.7…………………128

人員處罰

15.8…………………………129

安全培訓(xùn)

15.9…………………………130

物理與環(huán)境安全評(píng)估方法

16……………131

物理設(shè)施與設(shè)備選址

16.1……………131

物理和環(huán)境規(guī)劃

16.2…………………132

物理環(huán)境訪問(wèn)授權(quán)

16.3………………134

物理環(huán)境訪問(wèn)控制

16.4………………135

輸出設(shè)備訪問(wèn)控制

16.5………………137

物理訪問(wèn)監(jiān)控

16.6……………………137

訪客訪問(wèn)記錄

16.7……………………138

設(shè)備運(yùn)送和移除

16.8…………………139

附錄資料性常見(jiàn)云計(jì)算服務(wù)脆弱性問(wèn)題

A()………141

概述

A.1………………141

系統(tǒng)開(kāi)發(fā)與供應(yīng)鏈安全

A.2…………141

系統(tǒng)與通信保護(hù)

A.3…………………142

訪問(wèn)控制

A.4…………………………143

數(shù)據(jù)保護(hù)

A.5…………………………145

配置管理

A.6…………………………147

Ⅳ

GB/T34942—2025

維護(hù)管理

A.7…………………………149

應(yīng)急響應(yīng)

A.8…………………………150

審計(jì)

A.9………………151

風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控評(píng)估方法

A.10………………152

安全組織與人員

A.11………………154

物理與環(huán)境安全

A.12………………155

附錄資料性單項(xiàng)安全要求評(píng)估描述

B()……………156

參考文獻(xiàn)

……………………157

Ⅴ

GB/T34942—2025

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替信息安全技術(shù)云計(jì)算服務(wù)安全能力評(píng)估方法與

GB/T34942—2017《》,GB/T

相比除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外主要技術(shù)變化如下

34942—2017,,:

更改了范圍的適用界限見(jiàn)第章年版的第章

a)(1,20171);

增加了不同能力級(jí)別評(píng)估要求和綜合評(píng)估要求見(jiàn)

b)(5.2、5.5);

更改了具體評(píng)估方法見(jiàn)第章第章第章第章年版的第章第章

c)(6~8、10~14,20175~14);

增加了數(shù)據(jù)保護(hù)評(píng)估方法見(jiàn)第章

d)(9)。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任

。。

本文件由全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本文件起草單位中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院中國(guó)網(wǎng)絡(luò)安全審查認(rèn)證和市場(chǎng)監(jiān)管大數(shù)據(jù)中心國(guó)

:、、

家信息技術(shù)安全研究中心中國(guó)信息安全測(cè)評(píng)中心中國(guó)信息通信研究院中國(guó)科學(xué)技術(shù)大學(xué)四川大

、、、、

學(xué)神州網(wǎng)信技術(shù)有限公司中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司國(guó)家信息中心國(guó)家工業(yè)信息安全發(fā)展研

、、、、

究中心國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心中國(guó)電子科技集團(tuán)公司第十五研究所中國(guó)科學(xué)院軟

、、、

件研究所中國(guó)科學(xué)院信息工程研究所杭州安恒信息技術(shù)股份有限公司北京航空航天大學(xué)北京工業(yè)

、、、、

大學(xué)重慶郵電大學(xué)西安電子科技大學(xué)北京化工大學(xué)中國(guó)人民大學(xué)中國(guó)傳媒大學(xué)清華大學(xué)上海

、、、、、、、

市信息安全測(cè)評(píng)認(rèn)證中心中國(guó)電子科技集團(tuán)第三十研究所重慶市市場(chǎng)監(jiān)督管理局檔案信息中心內(nèi)

、、、

蒙古數(shù)字經(jīng)濟(jì)安全科技有限公司中國(guó)移動(dòng)通信有限公司研究院華為云計(jì)算技術(shù)有限公司阿里云計(jì)

、、、

算有限公司天翼云科技有限公司亞信科技成都有限公司

、、()。

本文件主要起草人楊建軍王惠蒞賈大文何延哲伍揚(yáng)胡華明盧夏張麗娜劉佳良張建軍

:、、、、、、、、、、

李京春左曉棟陳興蜀閔京華周亞超史大為陳永剛張立武楊晨方勇曹玲張明天吳檳

、、、、、、、、、、、、、

馬慶棟曲平張東舉吉磊李燕偉霍珊珊伍前紅楊震黃永洪馬文平習(xí)寧楊力裴慶祺王明彥

、、、、、、、、、、、、、、

秦波楊洋葛曉囡晏敏姜正濤李娜蔡宇淵劉彥葛振鵬范曉暉肖敏韓雪峰李連磊高強(qiáng)

、、、、、、、、、、、、、、

徐御靳嵩張玲李峰風(fēng)方強(qiáng)司渤洋廖雙曉

、、、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2017GB/T34942—2017;

本次為第一次修訂

———。

Ⅶ

GB/T34942—2025

引言

信息安全技術(shù)云計(jì)算服務(wù)安全能力要求提出了云服務(wù)商在保障云計(jì)算環(huán)

GB/T31168—2023《》

境中客戶(hù)信息和業(yè)務(wù)的安全時(shí)應(yīng)具備的安全能力該標(biāo)準(zhǔn)將云計(jì)算服務(wù)安全能力要求分為一般要求增

,、

強(qiáng)要求和高級(jí)要求增強(qiáng)要求和高級(jí)要求是對(duì)其低一級(jí)要求的補(bǔ)充和強(qiáng)化根據(jù)云計(jì)算平臺(tái)上的信息

,。

敏感度和業(yè)務(wù)重要性的不同云服務(wù)商應(yīng)具備相適應(yīng)的安全能力

,。

本文件是的配套評(píng)估標(biāo)準(zhǔn)對(duì)應(yīng)中第章第章規(guī)定

GB/T31168—2023,GB/T31168—20236~16

的要求本文件也從第章第章給出了相應(yīng)的評(píng)估方法本文件主要為第三方評(píng)估機(jī)構(gòu)開(kāi)展云計(jì)

,6~16。

算服務(wù)安全能力評(píng)估提供指導(dǎo)第三方評(píng)估機(jī)構(gòu)可制定相應(yīng)安全評(píng)估方案采用訪談檢查測(cè)試等多

。