信息安全技术-网络安全等级保护基本要求-第2部分：云计算安全扩展要求-标准说明(共5页)

1、精选优质文档-倾情为你奉上国家标准信息安全技术 网络安全等级保护基本要求 第2部分：云计算安全扩展要求编制说明一、 工作简况1.1 任务来源目前，云计算技术在国家关键信息基础设施领域的应用日益广泛。原有信息安全等级保护标准体系中标准的适用性提出挑战，防护措施、实现方法和测评方法都将有所不同。因此，根据云计算环境中的新增安全威胁和主要防范手段，我们对GB/T 22239.1XXXX 信息安全技术 网络安全等级保护基本要求 第1部分：安全通用要求（以下简称“安全通用要求”）进行了扩展，形成了本部分。信息安全技术 网络安全等级保护基本要求 第2部分：云计算安全扩展要求（计划编号：GB/T 22239

2、.2XXXX）（以下简称“云计算安全扩展要求”）由公安部信息安全等级保护评估中心牵头，国家信息中心、阿里云计算有限公司、中科院信息工程研究所、杭州华三通信技术有限公司、华为技术有限公司、启明星辰信息技术有限公司等单位共同参与起草。1.2 主要工作过程1.2.1标准立项前工作概述2014年1月至2014年4月，为完善云计算安全标准体系，支撑党政部门云计算信息安全等级保护建设整改工作，牵头单位组成标准工作组，研究云计算环境下的信息系统面临的安全威胁，通过整理、汇总、分析相关资料编制了项目申请书、项目建议书并经过专家评审。1.2.2标准立项后工作情况1） 标准立项2014年10月，本部分获全国信息安

3、全标准化技术委员会国标立项。2） 成立标准编制组，广泛调研2014年6月至12月，标准编制组成立，广泛调研和研究国内外云计算安全相关评估标准以及相关安全评估标准，为本部分的编制奠定基础。期间，研究的云计算安全相关标准和安全评估相关标准包括：（1）美国联邦系统安全控制的建议（NIST 800-53）；（2）美国联邦系统安全控制措施评估指南（NIST SP800-53A）；（3）SP 800-144 Guidelines on security and privacy in public cloud computing（4）SP800-145 The NIST Definition of clou

4、d computing （5）SP800-125 Full Virtualization Technologies（6）FedRAMP_Baseline_Security_Controls_REV4；（7）信息安全等级保护测评国家标准；（8）GB/T 31168-2014 信息安全技术 云计算服务安全能力要求（9）GB/T 31167-2014信息安全技术 云计算服务安全指南（10）信息安全技术 信息安全风险评估规范、信息技术 安全技术 信息技术安全评估准则等国家标准。3）标准编制组形成标准草案2015年7月，标准编制组形成标准草案，发标准编制组内部征求意见，标准编制组在北京召开了标

5、准草案第一次评审，讨论了标准编制的思路，以及本次国家标准与其他标准之间的关系。评审会结束后，标准编制组根据专家意见，修订了标准草案。同年12月，标准编制组再次发起专家评审，对标准草案的内容进行了详细的讨论，并认真听取了专家意见。2016年1月到2016年5月，标准编制组多次召开工作会议，讨论标准草案中相关问题。根据专家意见，对标准草案进行了修改。4）标准在云等级保护测评中试用2016年3月至2016年7月，评估中心分别对阿里云、迅达云成进行了云安全等级保护测评，在测评过程中对标准草案进行了试用，并提出了修改意见，标准编制组根据试用意见进行了修改完善。5）2016年6月29日，召开专家评审会，会

6、后形成征求意见稿2016年6月29日，标准编制组在北京召开了标准评审会，编制组根据与会专家的意见进一步完善了标准草案。6）2016年8月25日，WG5召开标准推进会，会后形成征求意见稿2016年8月25日，WG5在北京召开了标准推进会，编制组对前期意见汇总处理情况做了介绍并听取与会专家意见，会后根据与会专家的意见进一步完善了标准草案并形成征求意见稿。7）2016年8月30日，召开标准格式和编写指导讲座，会后对标准格式和规范用语进行了修订2016年8月30日，公安部信息安全等级保护评估中心邀请公安部信息安全标准委员会形式化审查专家，在标准合适、用语和形式规范等方面为编制组成员做了讲解，会后编制组

7、根据专家提的意见建议对标准文本做了修订。二、 编制原则和主要内容2.1 编制原则一是充分吸收已有云安全相关标准。云计算安全扩展要求充分参考了国际、国内有关云计算安全以及安全评估的先进标准和技术规范。目前，云计算安全扩展要求已将美国FedrRAMP云安全测试用例、NIST 800-53A、ISO/IEC 27017、SP 800-144、SP 800-145等级保护测评等相关标准的长处进行了吸收，借鉴了国外标准中对云计算的定义和架构,虚拟化安全要求, 公共云防护措施建议,云计算环境中的风险管理、生命周期管理、审计和合规、安全运维建议。二是从风险分析出发，根据风险提出防范要求，并在试点项目中求证。

8、分析云计算环境下的新增威胁、脆弱性和安全风险，根据新增的安全风险制定对应措施形成云计算安全扩展要求，并在试点项目中获得了较高的评价。2.2 主要内容本部分针对云计算信息系统的特点，规定了云计算信息系统安全等级保护的安全要求，适用于不同等级云计算信息系统的安全保护。本部分适合指导采用不同部署模式、交付模式下云计算信息系统的安全建设、整改、测评等工作，在不同的部署模式、交付模式下，条款使用方法和判定方法不一样。云计算安全扩展要求根据云计算环境下的风险，增加了新的安全要求，适用于云计算环境下的测评对象，本部分主要内容包括网络架构要求、访问控制要求、远程访问要求、入侵防范、安全审计、数据完整性和数据保

9、密性、数据备份恢复、恶意代码防范、资源控制、镜像和快照保护等等内容。三、 主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果编制组已请评估中心分别对阿里云、迅达云成进行了云安全等级保护测评，在测评过程中对标准草案进行了试用，并提出了修改意见，标准编制组根据试用意见进行了修改完善，标准试用效果良好。四、 采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，或与测试的国外样品、样机的有关数据对比情况信息安全标准已经成为网络空间国际竞争的战略制高点。特别是，云计算安全标准及其背后的管理政策将会对产业造成重大影响，也将限制国外大型云计算服务提供商渗透到我国敏感部门和

10、重要行业，这种情况下，公安部提出了加强云计算等级保护标准制定的重要举措。开展对云服务方所提供的云平台安全能力的评估及云平台上的应用系统防护水平的评估，是落实对云计算服务安全管理的措施之一。因此，编制组在标准编制过程中，专门分析了美国FedRAMP对云服务商的安全评估方法和NIST SP800系列标准，参考我国已有相关信息安全标准，以及我国云计算服务安全管理的考虑，综合考虑制定了本部分。五、 与有关的现行法律、法规和强制性国家标准的关系云计算安全扩展要求符合现有法律法规的要求。符合全国人民代表大会常务委员会关于加强网络信息保护的决定、国务院关于大力促进信息化发展和切实保障信息安全的若干意见、信息安全技术公共及商用服务信息系统个人信息保护指南等国家政策、法规、标准的要求。云计算安全扩展要求是GB/T 22239-XXXX 信息安全技术 网络安全等级保护基本要求的第二分册，云计算安全扩展要求以引用的方式涵盖了安全通用要求的全部内容。六、 重大分歧意见的处理经过和依据云计算安全扩展要求编制过程中未出现重大分歧。其他详见意见汇总处理表。七、 国家标准作为强制性国家标准或推荐性国家标准的建议建议云计算安全扩展要求作为推荐性国家标准发布实施。八、 贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）云计算安全扩展要求规定了云计算信息系统安全等级保护的