《信息安全技术 信息系统等级保护安全设计技术要求 part2-对采用云计算技术的信息系统的扩展设计要求 -编制说明》

一、工作简况

1.1任务来源

《信息安全技术信息系统等级保护安全设计技术要求第2部分：对采用

云计算技术的信息系统的扩展设计要求》是国家标准化管理委员会2015年下达

的信息安全国家标准制定项目，国标计划号为：GB/T25070.2，由阿里云计算有

限公司承担，参与单位包括国家信息中心、中国科学院信息工程研究所、公安部

第一研究所、安恒科技有限公司、绿盟科技有限公司、太极集团等单位。

1.2主要工作过程

1)准备阶段

2013年12月，在公安部11局的统一领导下，阿里云计算有限公司同协作

单位共同成立标准编写项目组。

2）调研阶段

标准起草组成立以后，项目组收集了大量移动终端相关的国内外相关标准，

进行了研讨。同时项目组参考了国内等级保护相关标准，明确采用云计算技术系

统的功能框架、分析云计算平台系统面临的安全威胁，分析风险场景，对云计算

系统的等级保护安全需求、安全风险进行了充分讨论。为了真实了解行业内的安

全要求，项目组也对行业内的企事业单位进行了调研。

3）编写阶段

2014年1月，标准起草组组织了多次内部研讨会议，邀请了来自国内相关

领域著名的专家、学者开展交流与研讨，确定了标准的总体技术框架、核心内容。

标准起草组按照分工，对标准各部分进行了编写，形成了《对采用云计算技术的

信息系统的扩展设计要求》（草案）。

4）首次征求专家意见

2014年4月，公安部11局组织业内专家对标准初稿进行了研讨，专家对标

准范围、内容、格式等进行了详细讨论，提出了很多宝贵意见。项目组根据专家

意见，对标准进行了修改。

5）第二次征求专家意见

2014年10月，公安部11局组织业内专家对标准初稿再次进行了研讨，专

家再次对标准范围、内容、格式等进行了详细讨论，提出了宝贵意见。同时专家

认为标准达到了项目申报要求。项目组根据专家意见修改后，提交安标委。

6）系列标准统一修订并提交安标委立项阶段

2015年4月，公安部一所组织等级保护设计要求系列标准起草组进行统一

研讨，会上针对系列标准，制订了统一模板。同时要求根据安标委的统一部署，

将标准名称修改为《信息安全技术信息系统等级保护安全设计技术要求第2

部分：对采用云计算技术的信息系统的扩展设计要求》。会后项目组根据相关要

求，对标准进行了修订；并提交安标委进行标准修订项目立项。

7）国家标准编制及专家评审

2015年7月至今阿里云计算有限公司多次组织组内单位进行标准研讨和修

订，并且于2016年5月、7月分别两次组织行业用户专家、安全专家对该标准

进行评审讨论，并根据专家评审意见对标准进行了修订。

8）国家标准草案到征求意见稿评审

2016年10月在成都召开全国信息安全标准化大会，WG5组组长及与会专家

听取了标准牵头单位代表对该标准的进展情况及主要工作内容的汇报，通过专家

提问、质询和解答，形成意见该标准按照专家意见尽快完成进行修订后形成征求

意见稿。

2016年10月在全国安全标准化成都会议上明确对云计算保护系列标准进

行名称，阿里云提交了该标准的更名申请，标准更名为《信息安全技术网络安

全等级保护安全设计技术要求第2部分：云计算安全要求》。

2016年11月13日和28日标准牵头单位组织召开标准编制组核心成员根据

专家评审意见进行集中修订，完成征求意见稿。

二、编制原则和主要内容

2.1编制原则

本标准的研究与编制工作遵循以下原则：

1）科学性与实用性相结合的原则

科学性是标准化的最基本原则，规范的科学性直接关系到该体系能否对云

计算系统安全起到积极、稳定和长久的正面作用。实用性表明标准体系是否与实

际情况相符合，是标准化研究中最重要的基本原则。科学性与实用性相结合就是

理论与实践相结合在标准体系研究中的具体体现。

2）先进性与开放性相结合的原则

在执行本标准研制项目时，要积极引入先进的管理理念和前沿技术，充分

考虑到云计算系统未来发展的方向和特点。但同时也要考虑到目前的需求和技术

水平，使规范能够根据科学技术以及需求的变化而不断进行扩充和完善。

3）安全性和可用性相结合的原则

本规范用来指导和规范云计算系统等级保护安全设计，是安全范畴的规范。

但是规范在起草过程中不能一味地追求绝对安全，而应根据当前云计算系统的实

际情况，构建保证业务系统可用性基础上的适度安全体系。

2.2主要内容

该标准具体编制思路如下：

1、研究云计算系统的界定及其突出特征，建立云计算系统框架模型

ISO/IEC17788《信息技术云计算概览和词汇》中对云计算进行了定义：云计

算一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供

应和管理的模式。注:资源包括服务器、操作系统、网络、软件、应用和存储设

备等。结合云计算定义，NIST明确云计算信息系统是由计算机硬件、网络和通

信设备、计算机软件、动态可配置的计算资源池(如网络、服务器、存储、应

用和服务)、信息资源和用户组成的人机一体化系统。

云计算平台提供的服务一般包括弹性计算服务、云存储服务、云网络服务和

大数据分析服务等。云计算一般有4种部署方式包括公共云、专有云、社区云、

混合云。

云计算平台功能架构如图1所示，分为六个逻辑层，即硬件设施层、云资源

层、云服务层、云访问层、云用户层和云管理层。

图1云计算平台逻辑功能示意图

2、研究并分析云计算系统面临的威胁

云计算信息系统威胁和风险场景分析方法如下图所示：

3、定义云计算系统的安全防护框架

依据GB/T25070《信息安全技术信息系统等级保护安全设计技术要求》，

结合云计算系统的特点，构建在安全管理中心支持下的计算环境、区域边界、通

信网络三重防御体系。

安全管理中心支持下的云计算系统安全设计框架如下图所示，该图指出了云计算

系统的三层架构和三种主要的安全区域划分方式，以及安全计算环境、安全区域

边界、安全通信网络，具体如下图所示：

图信息系统等级保护云计算系统安全设计框架

安全计算环境

包括基础网络网络层面、资源抽象层、服务层、应用层中对定级系统的信息

进行存储、处理及实施安全策略的相关部件，如宿主机、虚拟机、分布式操作系

统、数据库管理系统、资源管理器以及中间件、业务应用等。

安全区域边界

包括安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并

实施安全策略的相关部件，如资源抽象层和服务层之间的边界、资源抽象层和服

务层分别与基础网络层之间的边界等。

安全通信网络

包括安全计算环境和安全区域之间进行信息传输及实施安全策略的相关部

件，如网络层的通信网络以及资源抽象层和服务层内部安全计算环境之间的通信

网络等。

安全管理中心

包括对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络

上的安全机制实施统一管理的平台，包括资源管理、安全管理和审计管理三部分，

只有第二级及第二级以上的安全保护环境设计有安全管理中心。

安全管理中心支持下的云计算系统安全设计框架如下图所示，该图指出了云

计算系统的三层架构和三种主要的安全区域划分方式，以及安全计算环境、安全

区域边界、安全通信网络在云计算系统中的位置。

某一级别的云计算平台系统（主要包括基础设施层、资源抽象层、云服务

层的功能组件）可以承载不同级别的云计算业务应用系统（主要包括用户层和云

服务层的功能组件），但云计算平台系统的安全保护等级不应低于其承载的最高

级别云计算业务应用系统。因此，既存在同一云计算平台系统上的不同等级业务

应用系统之间的级联和跨级访问，也可能存在不同云计算平台系统之间相同级别

或不同级别业务应用系统之间的级联和访问。

4、基于防护框架及保护对象分析，给出具体的技术实现机制和方法

主要的保护对象主要包括：

基础设施层：机房及基础设施、传统网络设备、安全设备、网络结构、

传统主机

资源抽象层：虚拟机管理器（VMM）、云管理平台、管理数据（包含虚拟

机镜像文件）、用户鉴别信息

服务层：云应用开发框架、中间件、数据库、操作系统、用户鉴别信息、

管理数据（包含虚拟机镜像文件）、业务数据（包括用户隐私）

应用层：业务系统、业务数据（包括用户隐私）和用户鉴别信息

按照以下原则：1）一体化设计原则、2）风险一致的原则、3）清晰的区

域边界、4）多重保护原则对移动互联系统进行划分。并根据划分后的内容进行

设计，设计总体依据GB/T25070-2010和GB/T22239.2进行设计。包含三部分:

计算环境安全设计

安全计算环境应针对如下用户主体：云租户和云服务商，第三方协作者。

如下客体对象：宿主机、物理机、安全设备、网络设备、虚拟机监视器、云业务

管理系统、云管理平台、数据库管理系统、虚拟机、中间件、云应用开发框架、

云租户应用系统等，从以下方面进行安全设计：

a)虚拟化安全

b)用户身份鉴别

c)访问控制

d)安全审计

e)数据完整性和保密性性保护

f)程序可信执行

g)客体重用安全

h)备份和恢复

i)接口安全

其中，针对虚拟化安全、多租户隔离、访问控制和接口安全将是本项目重

点研究的内容。

区域边界安全设计

包括安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接

并实施安全策略的相关部件，如资源抽象层和服务层之间的边界、资源抽象层和

服务层分别与基础网络层之间的边界等。本项目从以下方面进行安全设计：

a)区域边界结构安全

b)区域边界访问控制

c)区域边界入侵防范

d)区域边界安全审计

e)区域边界完整性保护

通信网络安全设计

对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。

云计算平台的安全通信网络包括云计算平台与外部系统之间的通信网络、

云计算平台内部位于不同安全域之间的通信网络以及云计算平台内部其它部件

之间的通信网络本项目从以下方面进行安全设计：

a)通信网络数据传输保密性保护

b)通信网络数据传输完整性保护

此外，安全管理中心通过统一的安全策略，负责对计算环境、区域边界、

通信网络进行统一的安全管控。

5、级差体现

根据不同移动应用的重要程度，本项目将按照以下等级，分等级给出云计

算平台的安全设计技术要求。

第一级系统安全保护环境设计

第二级系统安全保护环境设计

第三级系统安全保护环境设计

第四级系统安全保护环境设计

2）其他极差与《设计要求》和《基本要求-云计算要求》保持一致。结合云计算

信息系统等级划分和《设计要求》、《云计算基本要求》的要求给出安全体系结构

的实现技术方法确定不同等级的级差。如身份鉴别方式一级系统用户名加口令；

二级系统对口令复杂度进行明确；三级系统要求双因素认证，并且一种认证方式

不可伪造。

三、主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果

本标准是在深入研究国外移动终端、云计算系统、等级保护等相关标准的

基础上，充分调研国内云计算系统应用，广泛听取了专家意见和建议的基础上形

成的。

本标准编制期间调研和分析了国内云计算系统应用和安全现状，研究和分

析了国外云计算系统安全体系相关文件和标准，吸收国外先进的体系建设思路，

针对国内云计算系统应用和安全现状编制形成的。

本标准的编制具有极高的社会效益：

（1）规范和指导安全服务提供商，提升针对云计算系统安全保障方案的安

全性

通过本标准，能够对安全服务提供商在进行方案设计时起到有效的指导作

用，规范其方案设计的合理性及合规性，从而提升整个方案的安全保障能力。

（2）提升移动应用提供商对自身系统安全性的认知及评价能力

本标准作为系统安全设计的蓝本，能够帮助移动应用提供商了解系统安全

方面的不足，加深对系统安全的理解，提升移动应用提供商对自身系统安全性的

评价能力。

（3）指导安全集成商对安全产品的选型

通过本标准中的设计示例及产品示例，能够指导安全集成商对安全产品的

选型，规范选型标准，保证产品功能、性能等的合规性，从而提升整个系统的安

全防护能力。