GB/T 31168-2023信息安全技术云计算服务安全能力要求

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T31168—2023

代替GB/T31168—2014

信息安全技术

云计算服务安全能力要求

Informationsecuritytechnology—

Securitycapabilityrequirementsforcloudcomputingservices

2023-05-23发布2023-12-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T31168—2023

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

云计算安全要求的表达与实现

5…………3

云计算安全措施的实施责任

5.1………………………3

云计算安全措施的作用范围

5.2………………………4

安全要求的分类

5.3……………………4

安全要求的表述形式

5.4………………5

安全要求的调整

5.5……………………6

安全计划

5.6……………7

系统开发与供应链安全

6…………………7

资源分配

6.1……………7

系统生命周期

6.2………………………8

采购过程

6.3……………8

系统文档

6.4……………9

关键性分析

6.5…………………………9

外部服务

6.6……………10

开发商安全体系架构

6.7………………10

开发过程标准和工具

6.8、……………11

开发过程配置管理

6.9…………………11

开发商安全测试和评估

6.10…………12

开发商提供的培训

6.11………………13

组件真实性

6.12………………………14

不被支持的系统组件

6.13……………14

供应链保护

6.14………………………14

系统与通信保护

7…………………………16

边界保护

7.1……………16

传输的保密性和完整性保护

7.2………………………17

网络中断

7.3……………17

可信路径

7.4……………17

Ⅰ

GB/T31168—2023

密码使用和管理

7.5……………………18

设备接入保护

7.6………………………18

移动代码

7.7……………18

会话认证

7.8……………19

恶意代码防护

7.9………………………19

内存防护

7.10…………………………20

系统虚拟化安全性

7.11………………20

网络虚拟化安全性

7.12………………21

存储虚拟化安全性

7.13………………21

安全管理功能的通信保护

7.14………………………22

访问控制

8…………………22

用户标识与鉴别

8.1……………………22

标识符管理

8.2…………………………22

鉴别凭证管理

8.3………………………23

鉴别凭证反馈

8.4………………………24

密码模块鉴别

8.5………………………24

账号管理

8.6……………24

访问控制的实施

8.7……………………25

信息流控制

8.8…………………………26

最小特权

8.9……………26

未成功的登录尝试

8.10………………27

系统使用通知

8.11……………………27

前次访问通知

8.12……………………27

并发会话控制

8.13……………………28

会话锁定

8.14…………………………28

未进行标识和鉴别情况下可采取的行动

8.15………28

安全属性

8.16…………………………29

远程访问

8.17…………………………29

无线访问

8.18…………………………30

外部信息系统的使用

8.19……………30

可供公众访问的内容

8.20……………30

访问安全

8.21WEB……………………31

访问安全

8.22API……………………31

数据保护

9…………………32

通用数据安全

9.1………………………32

媒体访问和使用

9.2……………………32

剩余信息保护

9.3………………………33

Ⅱ

GB/T31168—2023

数据使用保护

9.4………………………33

数据共享保护

9.5………………………34

数据迁移保护

9.6………………………34

配置管理

10………………35

配置管理计划

10.1……………………35

基线配置

10.2…………………………35

变更控制

10.3…………………………35

配置参数的设置

10.4…………………36

最小功能原则

10.5……………………37

信息系统组件清单

10.6………………38

维护管理

11………………38

受控维护

11.1…………………………38

维护工具

11.2…………………………39

远程维护

11.3…………………………39

维护人员

11.4…………………………40

及时维护

11.5…………………………40

缺陷修复

11.6…………………………40

安全功能验证

11.7……………………41

软件和固件完整性

11.8………………41

应急响应

12………………42

事件处理计划

12.1……………………42

事件处理

12.2…………………………42

事件报告

12.3…………………………43

事件处理支持

12.4……………………43

安全警报

12.5…………………………43

错误处理

12.6…………………………44

应急响应计划

12.7……………………44

应急响应培训

12.8……………………45

应急演练

12.9…………………………45

信息系统备份

12.10……………………46

支撑客户的业务连续性计划

12.11……………………46

电信服务

12.12…………………………47

审计

13……………………47

可审计事件

13.1………………………47

审计记录内容

13.2……………………48

审计记录存储容量

13.3………………48

审计过程失败时的响应

13.4…………48

Ⅲ

GB/T31168—2023

审计的审查分析和报告

13.5、…………48

审计处理和报告生成

13.6……………49

时间戳

13.7……………50

审计信息保护

13.8……………………50

抗抵赖性

13.9…………………………50

审计记录留存

13.10……………………51

风险评估与持续监控

14…………………51

风险评估

14.1…………………………51

脆弱性扫描

14.2………………………51

持续监控

14.3…………………………52

信息系统监测

14.4……………………53

垃圾信息监测

14.5……………………54

安全组织与人员

15………………………54

安全策略与规程

15.1…………………54

安全组织

15.2…………………………54

岗位风险与职责

15.3…………………55

人员筛选

15.4…………………………55

人员离职

15.5…………………………56

人员调动

15.6…………………………56

第三方人员安全

15.7…………………56

人员处罚

15.8…………………………57

安全培训

15.9…………………………57

物理与环境安全

16………………………58

物理设施与设备选址

16.1……………58

物理和环境规划

16.2…………………58

物理环境访问授权

16.3………………59

物理环境访问控制

16.4………………59

输出设备访问控制

16.5………………60

物理访问监控

16.6……………………60

访客访问记录

16.7……………………60

设备运送和移除

16.8…………………61

附录资料性安全能力要求汇总

A()……………………62

附录资料性本文件的实现情况描述

B()………………68

参考文献

……………………70

Ⅳ

GB/T31168—2023

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定起草

GB/T1.1—2020《1:》。

本文件代替信息安全技术云计算服务安全能力要求与

GB/T31168—2014《》,GB/T31168—

相比除结构调整和编辑性改动外主要技术变化如下

2014,,:

更改了本文件的适用范围见第章年版的第章

a)(1,20141);

增加了对和的规范性引用见第章

b)GB/T32400—2015GB/T35273—2020(3、9.1.1);

更改了部分术语和定义见第章年版的第章

c)(3,20143);

增加了缩略语一章见第章

d)“”(4);

将云服务模式更改为云能力类型见

e)“”“”(5.1);

增加了高级要求每类安全要求分别对应一般要求增强要求和高级要求见

f),、(5.4);

删除了本文件的结构见年版的

g)“”(20144.7);

删除了原各类要求分别对应的策略与规程整合至第章的策略与规程见年

h),14“”(14.1,2014

版的和

5.1、6.1、7.1、8.1、9.1、10.1、11.1、12.1、13.114.1);

增加了安全管理功能的通信保护见

i)“”(7.14);

增加了访问安全访问安全见

j)“WEB”“API”(8.21、8.22);

增加了数据保护一章提出数据安全要求确保客户迁移数据过程中的业务连续性和数据完

k)“”,,

整性见第章

(9);

将维护一章的名称更改为维护管理见第章年版的第章

l)“”“”(11,20149);

更改了机房设计的内容见第章年版的第章

m)“”(16,201414)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中电数据服务有限公司四川大学杭州安恒信息技术股份有限公司中国科学技术

:、、、

大学中国电子技术标准化研究院中国网络安全审查技术与认证中心国家信息技术安全研究中心中国

、、、、

信息安全测评中心中国信息通信研究院北京信息安全测评中心国家工业信息安全发展研究中心中国

、、、、

软件评测中心中国移动通信集团有限公司中电长城网际系统应用有限公司神州网信技术有限公司深

、、、、

信服科技股份有限公司宁夏西云数据科技有限公司三六零数字安全科技集团有限公司蚂蚁科技集团

、、、

股份有限公司合肥高维数据技术有限公司上海市方达北京律师事务所北京中测安华科技有限公司

、、()、、

中电和瑞科技有限公司阿里云计算有限公司武汉理工大学四川发展大数据产业投资有限责任公司南

、、、、

方电网数字传媒科技有限公司上海观安信息技术股份有限公司中科锐眼天津科技有限公司

、、()。

本文件主要起草人周亚超罗永刚左晓栋陈兴蜀李世锋张建军闵京华杨建军李斌伍扬

:、、、、、、、、、、

王惠莅张弛单博深许皖秀崔占华王启旭杨苗苗张明天刘佳良胡华明丁晓史大为卢夏

、、、、、、、、、、、、、

李媛何延哲刘俊河王强陈雪鸿杨帅锋柳彩云胡振泉耿贵宁邵江宁韦韬郭亮贾依真

、、、、、、、、、、、、、

叶润国田辉尹云霞杜宇鸽安兆彬吴复伟张滨江为强刘雨桁杨婷李安伦肖广娣程军军

、、、、、、、、、、、、、

王坤张峰邱勤艾青松龙毅宏张大江黄少青果靖郑珂雪陈清明王永基郑赳杨勃王朝栋

、、、、、、、、、、、、、、

张照龙蒋韬赵洪宇

、、。

本文件及其所替代文件的历次版本发布情况为

:

年首次发布

———2014GB/T31168—2014;

本次为第一次修订

———。

Ⅴ

GB/T31168—2023

引言

本文件与信息安全技术云计算服务安全指南构成了云计算服务安全管理

GB/T31167—2023《》

的基础文件提出了客户采用云计算服务的安全管理基本原则给出了采用云计

。GB/T31167—2023,

算服务的生命周期各阶段的安全管理和技术措施本文件面向云服务商描述了提供云计算服务时应具

;,

备的安全技术能力

。

参照本文件分为一般要求