《信息安全技术 信息系统安全等级保护测评要求 第2部分 云计算安全扩展测评要求-编制说明.》

1工作情况

开展云计算信息安全等级保护工作需要有统一的管理和技术国家标准，科学、实用的信

息安全等级保护管理和技术规范是安全等级保护制度在云计算领域推广和落实的基础。信息

系统安全等级保护系列标准对传统信息系统安全等级保护工作的推动起到了重要的作用，但

云计算信息系统与传统信息系统相比，有其自身的特点，无论需要对抗的外部威胁还是对抗

威胁的应用技术手段都发生了较大的变化。

本项目依据《信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩展

要求》，在GB/T28448-2012基础上，根据云计算信息系统和信息安全防护的特点及要求，

对GB/T28448-2012进一步扩充和完善，对云计算信息系统进行安全等级保护测试评估的技

术活动提出要求，为评价云计算信息系统是否符合《信息安全技术网络安全等级保护基本

要求第2部分：云计算安全扩展要求》提供获取证据的途径和方法，编制完成《信息安全

技术网络安全等级保护测评要求第2部分：云计算安全扩展要求》，用以指导测评人员从

信息安全等级保护的角度对云计算信息系统进行测试评估；为信息安全监管职能部门、信息

安全测评服务机构、信息系统的主管部门及运营使用单位在进行针对云计算信息系统安全等

级保护相关监督检查、测评评估等工作时，提供相关参考依据。

2国内外情况

目前，国内外关于云计算安全问题的研究也是刚刚起步，很多的组织和机构都在积极地

对云计算的安全问题进行分析和研究。

2.1国外云安全标准研究现状

目前，全球范围内的云计算标准化工作已经启动，全世界已经有30多个标准组织宣布

加入云计算标准的制订行业，其中比较具有代表性的国际及国外标准组织包括：美国国家标

准技术研究所（NIST）、ISO/IEC第一联合技术委员会（ISO/IECJTC1）SC27、云安全联盟

（CSA）、国际电信联盟.电信标准化部（ITU.T）和欧洲网络与信息安全管理局（ENISA）。

（1）NIST：美国国家标准与技术研究院（NIST）2010年11月，美国国家标准与技术

研究院云计算计划正式启动，定位于为美国联邦政府安全高效使用云计算提供标准支撑服

务。2011年1月出版了《安全虚拟化技术安全指南》，并于同年12月出版了《公共云中的

安全和隐私指南》。SP800.144《公共云中的安全和隐私指南》提供公有云计算的概况以及

1

在安全和隐私方面的挑战，论述了公有云环境的威胁、技术风险和保护措施，并为规划出合

理的信息技术解决方案提供了一些见解。

（2）ISO/IECJTC1/SC27：该组织2010年10月启动了研究项目《云计算安全和隐私管

理系统》，为云计算服务过程中的安全控制提供指导。ISO/IEC27017《基于ISO/IEC27002

的云计算服务的信息安全控制措施实用规则》，第2部分（即ISO/IEC27017.2）《基于ISO/IEC

27002的云计算服务使用的信息安全管理指南》，侧重于规范云计算服务使用中的信息安全

管理问题，该部分已于2013年正式发布。

（3）CSA：云安全联盟CSA（CloudSecurityAlliance）是在2009年的RSA大会上宣

布成立的一个非盈利性组织，致力于在云计算环境下提供最佳的安全方案。如今，CSA获

得了业界的广泛认可，其发布了一系列研究报告，对业界有着积极的影响，其中，《云计算

关键领域安全指南》最为业界所熟知，并于2011年11月发布了该指南的第三版，从架构、

治理和实施3个部分、14个关键域对云安全进行了深入阐述。在2013年2月，CSA发布了

《2013年九大云计算安全威胁》报告，该报告详细分析了2013年云安全面临的九大主要安

全威胁。

（4）ENISA：欧洲网络与信息安全局（ENISA）是区域（欧洲）标准机构，成立于2001

年，目的是提高欧洲网络与信息安全。ENISA在2009年就启动了云安全的相关研究工作，

先后发布了《云计算：优势、风险及信息安全建议》和《云计算信息安全保障框架》。2011

年，ENISA又发布了《政府云的安全和弹性》报告，为政府机构提供云安全指导。

2.2国内云安全标准研究现状

（1）全国信息安全标准化技术委员会：该组织于2002年4月在北京成立，目前开展云

计算安全方面的研究，承担了多项云计算安全相关的项目，在信安标委内部成立了专门对云

计算及安全进行研究的课题。2009年12月成了SOA标准组，于2011年9月完成《云计算

安全及标准研究报告V1.0》。于2012年9月20日，全国信息安全标准化委员会牵头成立了

全国信标委云计算标准工作组，已立项的云计算安全标准包括：

a)信息安全技术政府部门云计算安全指南标准编制中

b)信息安全技术云计算服务安全指南征求意见稿

c)信息安全技术云计算服务安全能力要求征求意见稿

d)信息安全技术政府部门云计算服务提供商安全基本要求有草案

2

e)信息安全技术云计算数据中心安全建设指南标准研究中

f)信息安全技术云计算安全审计通用数据接口规范标准研究中

g)信息安全技术可信云计算体系架构及软件规范研究标准研究中

h)信息安全技术用于云计算的授权与鉴别机制标准研究中

i)信息安全技术公有云安全指南标准研究中

（2）中国通信标准化协会（CCSA）：该组织于2002年12月18日在北京正式成立，

并于2010年11月，由中兴通讯股份有限公司牵头，研究并发布了《电信业务云安全需求和

框架》研究报告，旨在构建电信业务云环境的安全业务云体系框架。

3与其他标准关系

本标准GB/T28448.2-20XX《信息安全技术网络安全等级保护测评要求第2部分：云

计算安全扩展要求》编制的依据是GB/T22239.2-20XX《信息安全技术网络安全等级保护

基本要求第2部分：云计算安全扩展要求》；本标准编制的基础是GB/T28448.1-20XX《信

息安全技术网络安全等级保护测评要求第1部分：安全通用要求》，通过传承和发扬，形

成能够适用于云计算信息系统的安全等级保护测评要求。

本标准与《信息安全技术云计算服务安全能力要求》、《信息安全技术云计算服务安全

指南》在测评内容上不冲突。本标准充分考虑GB/T25070.2-20XX《信息安全技术网络安

全等级保护安全设计技术要求第2部分：云计算安全要求》中所给出的技术手段，在GB/T

28448.1-20XX和GB/T28449的基础上，通过研究云计算信息系统和信息安全防护的特点及

要求，对GB/T28448-2012进一步扩充和完善，对云计算信息系统进行安全等级保护测试评

估的技术活动提出要求。为评价云计算信息系统是否符合GB/T22239.2-20XX提供获取证据

的途径和方法，用以指导测评人员从信息安全等级保护的角度对云计算信息系统进行测试评

估，为信息安全监管职能部门、信息安全测评服务机构、信息系统的主管部门及运营使用单

位在进行针对云计算信息系统安全等级保护相关监督检查、测评评估等工作时，提供相关参

考依据。

4主要内容

4.1标准制定流程

本标准编制流程如下：

（1）2013.10～2014.01完成整理、汇总、分析相关资料，制定编制思路。以及完成项

3

目申请书、项目建议书和标准草案编写、定稿、提交。

（2）2014.01～2014.04完成标准草案内容的修订和编制标准征求意见稿。以及完成标

准征求意见稿专家评审、修订并定稿。

（3）2014.04～2014.08完成标准征求意见稿内容的修订和编制标准送审稿。以及完成

标准送审稿专家评审、修订并定稿。

（4）2014.08～2014.11完成标准送审稿内容的修订和编制标准报批稿。以及完成标准

报批稿专家评审、修订并定稿。

4.2标准的主要内容

本标准是在GB/T28448.2-20XX《信息安全技术网络安全等级保护测评要求第1部分

安全通用要求》的基础上针对云计算信息系统的扩充和完善，包括系统安全等级保护的技术

层面和管理层面两部分测评内容，规定了对实现的云计算信息系统是否符合相应的

GB/T22239.2-20XX《信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩

展要求》所进行的测试评估活动的要求，包括对第二级等级保护对象、第三级等级保护对象

和第四级等级保护对象进行测试评估的要求。本项目略去对第一级信息系统和第五级信息系

统单元进行测试评估的要求。

本标准主要包含以下内容：

1、测评要求的测评范围、框架、指标、对象、方式、测评力度及结果判定等；

2、第二级到第五级的单元测评，包括技术和管理两大部分；

3、整体测评及等级测评结论，从各层面、各区域及不同视角给出评价方法与依据；

技术层面的安全控制措施以及相应的测试要求需要作用在信息系统的不同层面上，这些

层面主要包括物理和环境安全、设备和计算安全、网络和通信安全、应用和数据安全等四个

技术层面的测评要求。在安全技术四个层面的层面中，通常物理和环境安全测评重点对等级

保护对象在物理位置选择方面安全控制措施进行测评；网络和通信安全测评重点对等级保护

对象在网络架构、访问控制、远程访问和入侵防范等方面安全控制措施进行测评；设备和计

算安全测评重点对等级保护对象在身份鉴别、访问控制、安全审计、入侵防范和资源控制等

方面安全控制措施进行测评；应用和数据安全测评结论重点对等级保护对象在安全审计、资

源控制、接口安全、数据完整性、数据保密性和数据备份恢复等方面的安全控制措施进行测

评。

4

管理方面主要包括安全管理机构和人员、系统安全建设管理、系统安全运维管理等三个

层面管理测评要求。在安全管理四个层面的等级测评中，通常安全管理机构和人员重点对授

权和审批等进行测评；安全建设管理重点对安全方案设计、测试验收、云服务商选择和供应

链管理等进行测评；安全运维管理重