2023互联网交互式服务安全管理要求 第7部分：云服务

互联网交互式服务安全管理要求第7部分云服务目 次前言 Ⅰ引言 Ⅱ范围 1规范性引用文件 1术语和定义 1安全管理制度 2组织机构 2人员安全管理访问控制管理基本要求权限分配特殊权限权限检查安全技术措施

……………2……………2……………2……………2……………2……………2……………3网络与系统运行安全 3云计算平台安全数据安全与备份

……………………3……………………3安全审计 3云服务运营安全 4基本要求 4客户服务协议客户管理措施

………………………5………………………5违法有害信息防范和处置 5破坏性程序防范 5个人信息保护 5投诉 5分包服务 6安全事件管理 611互联网交互式服务安全管理要求第7部分云服务范围本文件规定了云服务安全管理要求。本文件适用于互联网交互式服务提供者落实云服务安全保护管理制度和安全保护技术措施。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中注日期的引用文件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于本文件。1信息技术安全技术信息安全事件管理第1部分事件管理原理6信息安全技术 信息安全事件分类分级指南9信息安全技术 网络安全等级保护基本要3信息安全技术 个人信息安全规范A0互联网交互式服务安全管理要求 第1部分基本要求A8信息安全技术 互联网服务安全评估基本程序及要求术语和定义TTA8界定的以及下列术语和定义适用于本文件。

云计算g通过网络访问可扩展的灵活的物理或虚拟共享资源池并按需自助获取和管理资源的模式。注资源实例包括服务器操作系统网络软件应用和存储设备等。来源]云计算服务e使用定义的接口借助云计算提供一种或多种资源的能力。来源]云服务提供商r云计算服务的供应方。注云服务提供商管理运营支撑云计算的计算基础设施及软件通过网络支付云计算的资源。来源]

云服务客户r为使用云计算服务同云服务提供商建立业务关系的参与方。来源]云计算平台m云服务提供商提供的云计算基础设施及其上的服务软件的集合。来源]安全管理制度云服务提供商应根据0第4章的要求制定并维护安全管理制度。安全管理制度还应包括:云服务提供商与云服务客户以下简称客户责任分担说明文件;云服务过程中的网络安全和保密管理制度;云服务提供商对客户数据安全的承诺文件等。组织机构云服务提供商应根据A0第5章的要求建立相关机构并明确其职责。人员安全管理云服务提供商应根据A0第6章的要求设立安全管理岗位配备安全管理人员并明确其职责。访问控制管理基本要求云服务提供商应根据A0第7章的要求进行访问控制管理。权限分配云服务提供商应对客户进行身份鉴别并满足以下要求:严禁云服务管理员未经授权获取客户权限;客户授权云服务管理员相关权限应具有相应的授权流程并保留授权记录。特殊权限为维护国家安全打击违法犯罪在遵守国家法律法规的基础上云服务提供商应提供技术接口和操作权限等技术支持和协助。权限检查云服务提供商应根据A0中4的要求定期对访问权限进行检查并满足以下要求:访问控制权限检查时间间隔应不超过1年;2PAGEPAGE3PAGEPAGE4特殊访问控制权限检查时间间隔应不超过半年。安全技术措施网络与系统运行安全云服务提供商应根据A0中1的要求采取相应的安全技术措施保障网络与系统运行安全并满足以下要求:对云平台上出现的漏洞云主机操作系统漏洞和云平台上运行的主机面临的安全威胁恶意攻击等进行预警;引导用户对漏洞和安全威胁进行处置。云计算平台安全云服务提供商应根据9中相应等级的安全通用要求和云计算安全扩展要求保障云计算平台的安全。,云服务提供商应根据,云服务提供商应根据A0中2的要求采取相应的安全技术措施保障数据安全与备份并满足以下要求。云计算平台数据备份要求。云服务提供商应对云计算平台的运行数据建立备份策略具备足够的备份设施确保必要的信息和软件在灾难或者介质故障时可以恢复。备份的数据类型应包括:客户注册信息;云计算平台关键配置数据;云计算平台关键服务的运行数据与日志;客户使用云计算平台的登录日志。b 客户数据备份要求:云服务提供商应根据客户的选择提供不同级别的备份恢复能力支持客户对系统和数据的备份支持服务客户查询备份数据;云服务提供商应在与客户签订的协议或公告中定义云服务提供商所提供的数据备份服务并告知客户需要自行备份数据。安全审计审计内容审计内容应满足A0中3的要求。此外还应包括以下内容。云计算平台状态信息包括:设备运行状态链路运行状态网络流量用户行为;重要安全事件如网络攻击行为等并能记录事件的类型发生的日期时间攻击方式等。重要的客户行为重要安全事件如网络攻击行为等并能记录事件的类型发生的日期时间攻击方式等。b 客户身份信息包括:客户唯一标识;客户身份信息如姓名证件类型证件号码企业信息等;注册时间P信息;电子邮箱地址和手机号码;)客户其他信息。 , :客户购买或开通云计算服务资源信息包括开通云计算服务资源信息;)3))3)关闭云计算服务资源信息。客户登录信息包括:客户的唯一标识;登录时间;登录P地址和端口号。日志保存时间云服务提供商应满足A0中3的要求。此外还应保存客户开通服务的相关信息6个月以上。云计算平台审计要求云服务提供商对云计算平台的审计要求如下:云服务提供商应对审计进程进行保护防止未授权的中断确保审计记录不被破坏或非授权访问并对特定安全事件进行报警;云服务提供商应确保当发生虚拟机迁移或虚拟资源变更时安全审计机制应用于新的边界处,安全审计功能不受影响;云服务提供商应能够对审计记录进行关联分析生成审计报表并做出关联响应确认的违规行为及时报警并做出相应处置;云服务提供商应对分散在各个设备上的审计数据进行收集汇总和集中分析;云服务提供商应确保审计日志内容的可溯源性即可追溯到真实的客户账号;云服务提供商应配合公安机关监管要求留存指定的访问日志。客户审计要求云服务提供商对客户的审计要求如下:云服务提供商应支持客户收集和查看与自身资源相关的审计信息;云服务提供商应保证对客户通信网络的访问操作可被客户审计;云服务提供商应支持向客户提供常规的安全审计和分析服务的能力:应能对客户系统记录活动异常情况故障和安全事件的日志;应确保审计日志内容的可溯源性日志包含时间主体客体事件活动类型等内容;应保护审计日志保证无法单独中断审计进程防止删除修改或覆盖审计日志。云服务运营安全基本要求云服务提供商应在满足A0第9章要求的基础上保证云服务安全。客户服务协议云服务提供商与客户签订云服务协议应符合以下条款的要求:协议应告知相关权利义务及需承担的法律责任;协议明确双方安全责任;协议中应向客户明确其数据处理活动如数据跨境传输等符合国家法律法规和政策要求;协议中应明确云服务退出的相关要求如数据移交范围数据迁移服务数据安全删除等。客户管理措施根据A0中2的要求进行客户管理并满足以下要求:云服务提供商应按照国家法律法规要求明确禁止客户利用云服务开展的违法违规或恶意行为;应建立客户风险名单基于名单对客户在注册登录等环节进行风险控制如综合分析和关联分析等排查措施;应根据客户利用云服务开展的违法违规行为或恶意行为次数和影响程度及范围采取不同级别的处置措施。违法有害信息防范和处置云服务提供商应根据A0中3的要求进行违法有害信息防范和处置并满足以下要求:云服务提供商应在其云计算资源使用过程中对违法有害信息进行监测和防范发现法律法规禁止发布或者传输的信息的应当立即停止传输该信息采取消除等处置措施保存有关记录,并向有关主管部门报告;云服务提供商应对客户提出违法有害信息防范和处置要求能够为有需要的客户提供安全检测服务确保其使用云服务的过程中有效发现并处置利用云服务资源传播违法有害信息的行为;云服务提供商应为客户提供防范违法有害信息的服务。破坏性程序防范云服务提供商应根据A0中4的要求进行破坏性程序防范并满足以下要求:应对客户利用云服务资源进行公开的病毒传播网络攻击网络入侵等恶意攻击行为进行监测;应对