标准解读

《GB/T 31167-2014 信息安全技术 云计算服务安全指南》是由中国国家标准化管理委员会发布的一项国家标准,旨在为云计算服务提供者和用户在确保云环境下的信息安全方面给出指导。该标准涵盖了从云计算服务的安全需求分析、风险管理到具体安全措施实施等多个方面的内容。

首先,在安全需求分析部分,标准强调了识别与评估云计算环境中可能遇到的风险的重要性,包括但不限于数据泄露、未授权访问等,并要求根据这些风险来确定相应的控制目标和控制措施。此外,还提到了需要考虑到不同类型的云计算部署模式(如公有云、私有云)和服务模型(如IaaS、PaaS、SaaS)所带来的特定安全挑战。

接着是关于风险管理的内容,这里指出应建立一套完整的风险管理流程,包括风险识别、评估、处理以及监控等环节。通过这一过程,可以帮助组织更好地理解其面临的信息安全威胁,并采取适当的预防或缓解措施。

对于具体的云计算安全措施,《GB/T 31167-2014》提出了多方面的建议:

  • 数据保护:强调对敏感信息进行加密存储与传输;采用强密码策略及双因素认证等方式加强身份验证。
  • 访问控制:定义清晰的角色权限体系,限制非必要用户的访问权限;定期审查账户活动日志以发现异常行为。
  • 网络安全:配置防火墙规则阻止恶意流量;使用入侵检测系统监控潜在攻击迹象。
  • 物理安全:确保数据中心物理设施的安全性,比如安装视频监控摄像头、设置门禁控制系统等。
  • 合规性与审计:遵循相关法律法规要求;开展定期的安全审计工作以验证各项控制措施的有效性。

此外,该标准也鼓励云计算服务商与其客户之间保持良好的沟通渠道,共同协作解决可能出现的安全问题。同时,还提倡持续关注新兴威胁和技术发展动态,适时调整和完善现有的安全防护体系。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 被代替
  • 已被新标准代替,建议下载现行标准GB/T 31167-2023
  • 2014-09-03 颁布
  • 2015-04-01 实施
©正版授权
GB/T 31167-2014信息安全技术云计算服务安全指南_第1页
GB/T 31167-2014信息安全技术云计算服务安全指南_第2页
GB/T 31167-2014信息安全技术云计算服务安全指南_第3页
GB/T 31167-2014信息安全技术云计算服务安全指南_第4页
GB/T 31167-2014信息安全技术云计算服务安全指南_第5页
已阅读5页,还剩23页未读 继续免费阅读

下载本文档

GB/T 31167-2014信息安全技术云计算服务安全指南-免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T31167—2014

信息安全技术云计算服务安全指南

Informationsecuritytechnology—Securityguideofcloudcomputingservices

2014-09-03发布2015-04-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

中华人民共和国

国家标准

信息安全技术云计算服务安全指南

GB/T31167—2014

*

中国标准出版社出版发行

北京市朝阳区和平里西街甲号

2(100029)

北京市西城区三里河北街号

16(100045)

网址

:

服务热线

:400-168-0010

年月第一版

201410

*

书号

:155066·1-50121

版权专有侵权必究

GB/T31167—2014

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

云计算概述

4………………2

云计算的主要特征

4.1…………………2

服务模式

4.2……………2

部署模式

4.3……………3

云计算的优势

4.4………………………3

云计算的风险管理

5………………………3

概述

5.1…………………3

云计算安全风险

5.2……………………4

云计算服务安全管理的主要角色及责任

5.3…………5

云计算服务安全管理基本要求

5.4……………………5

云计算服务生命周期

5.5………………5

规划准备

6…………………6

概述

6.1…………………6

效益评估

6.2……………6

政府信息分类

6.3………………………7

政府业务分类

6.4………………………8

优先级确定

6.5…………………………9

安全保护要求

6.6………………………9

需求分析

6.7……………10

形成决策报告

6.8………………………13

选择服务商与部署

7………………………14

云服务商安全能力要求

7.1……………14

确定云服务商

7.2………………………15

合同中的安全考虑

7.3…………………15

部署

7.4…………………17

运行监管

8…………………18

概述

8.1…………………18

运行监管的角色与责任

8.2……………18

客户自身的运行监管

8.3………………19

对云服务商的运行监管

8.4……………19

退出服务

9…………………20

GB/T31167—2014

退出要求

9.1……………20

确定数据移交范围

9.2…………………21

验证数据的完整性

9.3…………………21

安全删除数据

9.4………………………21

参考文献

……………………22

GB/T31167—2014

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位四川大学中国信息安全研究院有限公司中国电子科技集团公司第三十研究所

:、、、

工业和信息化部电子工业标准化研究院工业和信息化部电子科学技术情报研究所中国电子信息产业

、、

发展研究院北京信息安全测评中心中电长城网际系统应用有限公司中金数据系统有限公司中国科

、、、、

学院信息工程研究所信息安全国家重点实验室中国移动通信有限公司研究院华为技术有限公司西

、、、

安未来国际信息股份有限公司浙江省电子信息产品检验所

、。

本标准主要起草人陈兴蜀左晓栋闵京华张建军罗锋盈杨建军罗永刚刘海峰黎江卿斯汉

:、、、、、、、、、、

邬敏华刘斐尹丽波伍扬冯伟王惠莅赵章界周亚超刘晓莉

、、、、、、、、。

GB/T31167—2014

引言

云计算是一种计算资源的新型利用模式客户以购买服务的方式通过网络获得计算存储软件等

,,、、

不同类型的资源在云计算模式下使用者不需要自己建设数据中心购买软硬件资源避免了前期基

。,、,

础设施的大量投入仅需较少的使用成本即可获得优质的信息技术资源和服务

,(IT)。

云计算还处于不断发展阶段技术架构复杂采用社会化的云计算服务使用者的数据和业务从自

,,,

己的数据中心转移到云服务商的平台中大量数据集中使云计算面临新的安全风险当政府部门采用

,,。

云计算服务尤其是社会化的云计算服务时应特别关注安全问题

,,。

本标准指导政府部门做好采用云计算服务的前期分析和规划选择合适的云服务商对云计算服务

,,

进行运行监管考虑退出云计算服务和更换云服务商的安全风险本标准指导政府部门在云计算服务

,。

的生命周期采取相应的安全技术和管理措施保障数据和业务的安全安全使用云计算服务

,,。

本标准与信息安全技术云计算服务安全能力要求构成了云计算服务安全

GB/T31168—2014《》

管理的基础标准本标准面向政府部门提出了使用云计算服务时的信息安全管理和技术要求

。,;

面向云服务商提出了为政府部门提供服务时应该具备的信息安全能力要求

GB/T31168—2014,。

GB/T31167—2014

信息安全技术云计算服务安全指南

1范围

本标准描述了云计算可能面临的主要安全风险提出了政府部门采用云计算服务的安全管理基本

,

要求及云计算服务的生命周期各阶段的安全管理和技术要求

本标准为政府部门采用云计算服务特别是采用社会化的云计算服务提供全生命周期的安全指导

,,

适用于政府部门采购和使用云计算服务也可供重点行业和其他企事业单位参考

,。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术术语

GB/T25069—2010

信息安全技术云计算服务安全能力要求

GB/T31168—2014

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T25069—2010。

31

.

云计算cloudcomputing

通过网络访问可扩展的灵活的物理或虚拟共享资源池并按需自助获取和管理资源的模式

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论