标准解读
《GA/T 1390.2-2017 信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求》这一标准,是针对云计算环境下的网络安全保护提出的特定要求。它是在原有网络安全等级保护体系基础上,结合云计算技术特点与安全挑战所形成的补充性规范,旨在为云服务提供商和云服务使用者提供一个更具体、针对性的安全框架,确保云计算环境下的信息安全。
该标准详细阐述了在实施网络安全等级保护时,针对云计算环境必须考虑的安全控制措施和最佳实践。这些措施覆盖了云计算的各个层面,包括云基础设施、平台服务及软件服务(IaaS、PaaS、SaaS)等,旨在实现数据保护、访问控制、安全审计、事件响应、隐私保护等多个维度的安全目标。
具体来说,标准内容可能涉及以下几个关键方面:
-
身份认证与访问控制:强调需要建立严格的用户身份验证机制,确保只有经过授权的用户或系统才能访问云资源。这包括多因素认证、细粒度访问控制策略等。
-
数据安全:要求对存储在云端的数据进行加密,无论是静态数据还是传输中的数据,并且要确保数据的完整性、保密性和可用性。同时,规定了数据备份、恢复及销毁的具体要求。
-
隔离与虚拟化安全:鉴于云计算环境中的资源共享特性,标准要求实现不同租户间的数据和资源隔离,以及虚拟化层的安全加固,防止跨域攻击。
-
安全审计与合规性:强调实施全面的日志记录、监控和审计机制,确保所有操作可追溯,同时要求云服务商遵循相关的法律法规和行业标准。
-
事件响应与灾难恢复:要求建立应急响应计划和灾难恢复流程,确保在发生安全事件时能够迅速有效地应对,减少损失并尽快恢复正常服务。
-
供应链与第三方风险管理:考虑到云计算环境中涉及的供应商和服务商众多,标准要求对整个供应链进行安全管理,包括对第三方的安全评估和监控。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
- 现行
- 正在执行有效
- 2017-05-08 颁布
- 2017-05-08 实施
文档简介
ICS3540
L80.
中华人民共和国公共安全行业标准
GA/T13902—2017
.
信息安全技术网络安全等级保护基本
要求第2部分云计算安全扩展要求
:
Informationsecuritytechnology—Generalrequirementsforclassifiedprotectionof
cbersecurit—Part2Secialsecuritreuirementsforcloudcomutin
yy:pyqpg
2017-05-08发布2017-05-08实施
中华人民共和国公安部发布
GA/T13902—2017
.
目次
前言
…………………………Ⅴ
引言
…………………………Ⅵ
范围
1………………………1
规范性引用文件
2…………………………1
术语和定义
3………………1
云计算安全概述
4…………………………2
云计算平台构成
4.1……………………2
云计算平台定级
4.2……………………3
第一级安全要求
5…………………………3
技术要求
5.1……………3
物理和环境安全
5.1.1………………3
网络和通信安全
5.1.2………………3
网络架构
5.1.2.1……………………3
访问控制
5.1.2.2……………………3
入侵防范
5.1.2.3……………………4
安全审计
5.1.2.4……………………4
设备和计算安全
5.1.3………………4
身份鉴别
5.1.3.1……………………4
访问控制
5.1.3.2……………………4
安全审计
5.1.3.3……………………4
入侵防范
5.1.3.4……………………4
资源控制
5.1.3.5……………………4
镜像和快照保护
5.1.3.6……………4
应用和数据安全
5.1.4………………4
安全审计
5.1.4.1……………………4
资源控制
5.1.4.2……………………5
接口安全
5.1.4.3……………………5
数据完整性
5.1.4.4…………………5
数据保密性
5.1.4.5…………………5
数据备份恢复
5.1.4.6………………5
剩余信息保护
5.1.4.7………………5
管理要求
5.2……………5
安全管理机构和人员
5.2.1…………5
授权
5.2.1.1…………………………5
人员录用
5.2.1.2……………………5
安全建设管理
5.2.2…………………5
测试验收
5.2.2.1……………………5
Ⅰ
GA/T13902—2017
.
云服务商选择
5.2.2.2………………5
供应链管理
5.2.2.3…………………6
安全运维管理
5.2.3…………………6
环境管理
5.2.3.1……………………6
监控和审计管理
5.2.3.2……………6
第二级安全要求
6…………………………6
技术要求
6.1……………6
物理和环境安全
6.1.1………………6
网络和通信安全
6.1.2………………6
网络架构
6.1.2.1……………………6
访问控制
6.1.2.2……………………7
入侵防范
6.1.2.3……………………7
安全审计
6.1.2.4……………………7
设备和计算安全
6.1.3………………7
身份鉴别
6.1.3.1……………………7
访问控制
6.1.3.2……………………7
安全审计
6.1.3.3……………………7
入侵防范
6.1.3.4……………………7
资源控制
6.1.3.5……………………7
镜像和快照保护
6.1.3.6……………7
应用和数据安全
6.1.4………………8
安全审计
6.1.4.1……………………8
资源控制
6.1.4.2……………………8
接口安全
6.1.4.3……………………8
数据完整性
6.1.4.4…………………8
数据保密性
6.1.4.5…………………8
数据备份恢复
6.1.4.6………………8
剩余信息保护
6.1.4.7………………8
管理要求
6.2……………8
安全管理机构和人员
6.2.1…………8
授权
6.2.1.1…………………………8
人员录用
6.2.1.2……………………8
安全建设管理
6.2.2…………………9
测试验收
6.2.2.1……………………9
云服务商选择
6.2.2.2………………9
供应链管理
6.2.2.3…………………9
安全运维管理
6.2.3…………………9
环境管理
6.2.3.1……………………9
监控和审计管理
6.2.3.2……………9
第三级安全要求
7…………………………9
技术要求
7.1……………9
物理和环境安全
7.1.1………………9
网络和通信安全
7.1.2………………10
Ⅱ
GA/T13902—2017
.
网络架构
7.1.2.1…………………10
访问控制
7.1.2.2…………………10
入侵防范
7.1.2.3…………………10
安全审计
7.1.2.4…………………10
设备和计算安全
7.1.3………………10
身份鉴别
7.1.3.1…………………10
访问控制
7.1.3.2…………………11
安全审计
7.1.3.3…………………11
入侵防范
7.1.3.4…………………11
恶意代码防范
7.1.3.5……………11
资源控制
7.1.3.6…………………11
镜像和快照保护
7.1.3.7…………11
应用和数据安全
7.1.4………………11
安全审计
7.1.4.1…………………11
资源控制
7.1.4.2…………………12
接口安全
7.1.4.3…………………12
数据完整性
7.1.4.4………………12
数据保密性
7.1.4.5………………12
数据备份恢复
7.1.4.6……………12
剩余信息保护
7.1.4.7……………12
管理要求
7.2……………12
安全管理机构和人员
7.2.1…………12
授权
7.2.1.1………………………12
人员录用
7.2.1.2…………………12
安全建设管理
7.2.2…………………13
安全方案设计
7.2.2.1……………13
测试验收
7.2.2.2…………………13
云服务商选择
7.2.2.3……………13
供应链管理
7.2.2.4………………13
安全运维管理
7.2.3…………………13
环境管理
7.2.3.1…………………13
配置管理
7.2.3.2…………………13
监控和审计管理
7.2.3.3…………14
第四级安全要求
8…………………………14
技术要求
8.1……………14
物理和环境安全
8.1.1………………14
网络和通信安全
8.1.2………………14
网络架构
8.1.2.1…………………14
访问控制
8.1.2.2…………………14
入侵防范
8.1.2.3…………………15
安全审计
8.1.2.4…………………15
设备和计算安全
8.1.3………………15
身份鉴别
8.1.3.1…………………15
Ⅲ
GA/T13902—2017
.
访问控制
8.1.3.2…………………15
安全审计
8.1.3.3…………………15
入侵防范
8.1.3.4…………………15
恶意代码防范
8.1.3.5……………15
资源控制
8.1.3.6…………………16
镜像和快照保护
8.1.3.7…………16
应用和数据安全
8.1.4………………16
安全审计
8.1.4.1…………………16
资源控制
8.1.4.2…………………16
接口安全
8.1.4.3…………………16
数据完整性
8.1.4.4………………16
数据保密性
8.1.4.5………………16
数据备份恢复
8.1.4.6……………17
剩余信息保护
8.1.4.7……………17
管理要求
8.2……………17
安全管理机构和人员
8.2.1…………17
授权
8.2.1.1………………………17
人员录用
8.2.1.2…………………17
安全建设管理
8.2.2…………………17
安全方案设计
8.2.2.1……………17
测试验收
8.2.2.2…………………17
云服务商选择
8.2.2.3……………17
供应链管理
8.2.2.4………………18
安全运维管理
8.2.3…………………18
环境管理
8.2.3.1…………………18
配置管理
8.2.3.2…………………18
监控和审计管理
8.2.3.3…………18
附录资料性附录云计算平台面临的安全威胁
A()……………………19
附录规范性附录不同服务模式的安全管理责任主体
B()……………21
附录规范性附录本部分适用的对象
C()………………24
参考文献
……………………25
Ⅳ
GA/T13902—2017
.
前言
信息安全技术网络安全等级保护基本要求已经或计划发布以下部分
GA/T1390《》:
第部分安全通用要求
———1:;
第部分云计算安全扩展要求
———2:;
第部分移动互联安全扩展要求
———3:;
第部分物联网安全扩展要求
———4:;
第部分工业控制安全扩展要求
———5:;
第部分大数据安全扩展要求
———6:。
本部分为的第部分
GA/T13902。
本部分按照给出的规则起草
GB/T1.1—2009。
本部分由公安部网络安全保卫局提出
。
本部分由公安部信息系统安全标准化技术委员会归口
。
本部分起草单位公安部信息安全等级保护评估中心国家信息中心阿里云计算有限公司中科院
:、、、
信息工程研究所杭州华三通信技术有限公司华为技术有限公司启明星辰信息技术有限公司
、、、。
本部分主要起草人张振峰丁朝晖李明任卫红胡娟申永波苏艳芳陈峰李宇刘静章恒
:、、、、、、、、、、、
陈雪秀高亚楠陈驰于晶姚国富黄敏段伟恒郭春梅
、、、、、、、。
Ⅴ
GA/T13902—2017
.
引言
信息安全技术信息系统安全等级保护基本要求在开展信息安全等级保护
GB/T22239—2008《》
工作的过程中起到了非常重要的作用被广泛应用于各个行业和领域开展信息安全等级保护的建设整
,
改和等级测评等工作但是随着信息技术的发展在时效性易用性可操作性上需
,,GB/T22239—2008、、
要进一步提高
。
为了适应移动互联云计算大数据物联网和工业控制等新技术新应用情况下信息安全等级保护
、、、、
工作的开展需对进行修订修订的思路和方法是针对移动互联云计算大数据
,GB/T22239—2008,、、、
物联网和工业控制等新技术新应用领域提出扩展的安全要求
、。
Ⅵ
GA/T13902—2017
.
信息安全技术网络安全等级保护基本
要求第2部分云计算安全扩展要求
:
1范围
的本部分规定了不同安全保护等级云计算平台及云租户业务应用系统的安
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 应城市七年级上学期语文期中试题
- 四年级数学(四则混合运算)计算题专项练习与答案汇编
- 分数的初步认识的说课稿
- 蹲踞式跳远说课稿初中
- 南京工业大学浦江学院《汽车构造(下)》2023-2024学年第一学期期末试卷
- 《相交线》初中数学说课稿
- 南京工业大学浦江学院《房屋建筑学》2021-2022学年第一学期期末试卷
- 约定工资结清协议书(2篇)
- 南京工业大学《岩体力学与工程》2023-2024学年第一学期期末试卷
- 对课件分析教学课件
- 灭火器充装检修方案范本
- 新文科建设视角下微观经济学课程教学创新的实现路径
- (完整版)四宫格数独题目204道(可直接打印)及空表(一年级数独题练习)
- JIT、QR与供应链管理课件
- 车辆采购服务投标方案(完整技术标)
- 《大学生军事理论教程》第四章
- 光伏发电项目达标投产实施细则之欧阳科创编
- 第届世界旅游小姐大赛中国云南总决赛招商赞助方案
- 爱立信网管BO操作流程
- 大学生计算与信息化素养-北京林业大学中国大学mooc课后章节答案期末考试题库2023年
- 第四代篦冷机液压系统的故障与维护获奖科研报告
评论
0/150
提交评论