信息安全技术 信息系统安全等级保护测评要求 第2部分 云计算安全扩展测评要求-编制说明

PAGE5PAGE41工作情况开展云计算信息安全等级保护工作需要有统一的管理和技术国家标准，科学、实用的信息安全等级保护管理和技术规范是安全等级保护制度在云计算领域推广和落实的基础。信息系统安全等级保护系列标准对传统信息系统安全等级保护工作的推动起到了重要的作用，但云计算信息系统与传统信息系统相比，有其自身的特点，无论需要对抗的外部威胁还是对抗威胁的应用技术手段都发生了较大的变化。本项目依据《信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩展要求》，在GB/T28448-2012基础上，根据云计算信息系统和信息安全防护的特点及要求，对GB/T28448-2012进一步扩充和完善，对云计算信息系统进行安全等级保护测试评估的技术活动提出要求，为评价云计算信息系统是否符合《信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩展要求》提供获取证据的途径和方法，编制完成《信息安全技术网络安全等级保护测评要求第2部分：云计算安全扩展要求》，用以指导测评人员从信息安全等级保护的角度对云计算信息系统进行测试评估；为信息安全监管职能部门、信息安全测评服务机构、信息系统的主管部门及运营使用单位在进行针对云计算信息系统安全等级保护相关监督检查、测评评估等工作时，提供相关参考依据。2国内外情况目前，国内外关于云计算安全问题的研究也是刚刚起步，很多的组织和机构都在积极地对云计算的安全问题进行分析和研究。2.1国外云安全标准研究现状目前，全球范围内的云计算标准化工作已经启动，全世界已经有30多个标准组织宣布加入云计算标准的制订行业，其中比较具有代表性的国际及国外标准组织包括：美国国家标准技术研究所（NIST）、ISO/IEC第一联合技术委员会（ISO/IECJTC1）SC27、云安全联盟（CSA）、国际电信联盟.电信标准化部（ITU.T）和欧洲网络与信息安全管理局（ENISA）。（1）NIST：美国国家标准与技术研究院（NIST）2010年11月，美国国家标准与技术研究院云计算计划正式启动，定位于为美国联邦政府安全高效使用云计算提供标准支撑服务。2011年1月出版了《安全虚拟化技术安全指南》，并于同年12月出版了《公共云中的安全和隐私指南》。SP800.144 《公共云中的安全和隐私指南》提供公有云计算的概况以及在安全和隐私方面的挑战，论述了公有云环境的威胁、技术风险和保护措施，并为规划出合理的信息技术解决方案提供了一些见解。（2）ISO/IECJTC1/SC27：该组织2010年10月启动了研究项目《云计算安全和隐私管理系统》，为云计算服务过程中的安全控制提供指导。ISO/IEC27017《基于ISO/IEC27002的云计算服务的信息安全控制措施实用规则》，第2部分（即ISO/IEC27017.2）《基于ISO/IEC27002的云计算服务使用的信息安全管理指南》，侧重于规范云计算服务使用中的信息安全管理问题，该部分已于2013年正式发布。（3）CSA：云安全联盟CSA（CloudSecurityAlliance）是在2009年的RSA大会上宣布成立的一个非盈利性组织，致力于在云计算环境下提供最佳的安全方案。如今，CSA获得了业界的广泛认可，其发布了一系列研究报告，对业界有着积极的影响，其中，《云计算关键领域安全指南》最为业界所熟知，并于2011年11月发布了该指南的第三版，从架构、治理和实施3个部分、14个关键域对云安全进行了深入阐述。在2013年2月，CSA发布了《2013年九大云计算安全威胁》报告，该报告详细分析了2013年云安全面临的九大主要安全威胁。（4）ENISA：欧洲网络与信息安全局（ENISA）是区域（欧洲）标准机构，成立于2001年，目的是提高欧洲网络与信息安全。ENISA在2009年就启动了云安全的相关研究工作，先后发布了《云计算：优势、风险及信息安全建议》和《云计算信息安全保障框架》。2011年，ENISA又发布了《政府云的安全和弹性》报告，为政府机构提供云安全指导。2.2国内云安全标准研究现状（1）全国信息安全标准化技术委员会：该组织于2002年4月在北京成立，目前开展云计算安全方面的研究，承担了多项云计算安全相关的项目，在信安标委内部成立了专门对云计算及安全进行研究的课题。2009年12月成了SOA标准组，于2011年9月完成《云计算安全及标准研究报告V1.0》。于2012年9月20日，全国信息安全标准化委员会牵头成立了全国信标委云计算标准工作组，已立项的云计算安全标准包括：a) 信息安全技术政府部门云计算安全指南 标准编制中b) 信息安全技术云计算服务安全指南 征求意见稿c) 信息安全技术云计算服务安全能力要求 征求意见稿d) 信息安全技术政府部门云计算服务提供商安全基本要求 有草案e) 信息安全技术云计算数据中心安全建设指南 标准研究中f) 信息安全技术云计算安全审计通用数据接口规范 标准研究中g) 信息安全技术可信云计算体系架构及软件规范研究 标准研究中h) 信息安全技术用于云计算的授权与鉴别机制 标准研究中i) 信息安全技术公有云安全指南 标准研究中（2）中国通信标准化协会（CCSA）：该组织于2002年12月18日在北京正式成立，并于2010年11月，由中兴通讯股份有限公司牵头，研究并发布了《电信业务云安全需求和框架》研究报告，旨在构建电信业务云环境的安全业务云体系框架。3与其他标准关系 本标准GB/T28448.2-20XX《信息安全技术网络安全等级保护测评要求第2部分：云计算安全扩展要求》编制的依据是GB/T22239.2-20XX《信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩展要求》；本标准编制的基础是GB/T28448.1-20XX《信息安全技术网络安全等级保护测评要求第1部分：安全通用要求》，通过传承和发扬，形成能够适用于云计算信息系统的安全等级保护测评要求。 本标准与《信息安全技术云计算服务安全能力要求》、《信息安全技术云计算服务安全指南》在测评内容上不冲突。本标准充分考虑GB/T25070.2-20XX《信息安全技术网络安全等级保护安全设计技术要求第2部分：云计算安全要求》中所给出的技术手段，在GB/T28448.1-20XX和GB/T28449的基础上，通过研究云计算信息系统和信息安全防护的特点及要求，对GB/T28448-2012进一步扩充和完善，对云计算信息系统进行安全等级保护测试评估的技术活动提出要求。为评价云计算信息系统是否符合GB/T22239.2-20XX提供获取证据的途径和方法，用以指导测评人员从信息安全等级保护的角度对云计算信息系统进行测试评估，为信息安全监管职能部门、信息安全测评服务机构、信息系统的主管部门及运营使用单位在进行针对云计算信息系统安全等级保护相关监督检查、测评评估等工作时，提供相关参考依据。4主要内容4.1标准制定流程 本标准编制流程如下： （1）2013.10～2014.01完成整理、汇总、分析相关资料，制定编制思路。以及完成项目申请书、项目建议书和标准草案编写、定稿、提交。 （2）2014.01～2014.04完成标准草案内容的修订和编制标准征求意见稿。以及完成标准征求意见稿专家评审、修订并定稿。 （3）2014.04～2014.08完成标准征求意见稿内容的修订和编制标准送审稿。以及完成标准送审稿专家评审、修订并定稿。 （4）2014.08～2014.11完成标准送审稿内容的修订和编制标准报批稿。以及完成标准报批稿专家评审、修订并定稿。4.2标准的主要内容本标准是在GB/T28448.2-20XX《信息安全技术网络安全等级保护测评要求第1部分安全通用要求》的基础上针对云计算信息系统的扩充和完善，包括系统安全等级保护的技术层面和管理层面两部分测评内容，规定了对实现的云计算信息系统是否符合相应的GB/T22239.2-20XX《信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩展要求》所进行的测试评估活动的要求，包括对第二级等级保护对象、第三级等级保护对象和第四级等级保护对象进行测试评估的要求。本项目略去对第一级信息系统和第五级信息系统单元进行测试评估的要求。本标准主要包含以下内容：1、测评要求的测评范围、框架、指标、对象、方式、测评力度及结果判定等；2、第二级到第五级的单元测评，包括技术和管理两大部分；3、整体测评及等级测评结论，从各层面、各区域及不同视角给出评价方法与依据；技术层面的安全控制措施以及相应的测试要求需要作用在信息系统的不同层面上，这些层面主要包括物理和环境安全、设备和计算安全、网络和通信安全、应用和数据安全等四个技术层面的测评要求。在安全技术四个层面的层面中，通常物理和环境安全测评重点对等级保护对象在物理位置选择方面安全控制措施进行测评；网络和通信安全测评重点对等级保护对象在网络架构、访问控制、远程访问和入侵防范等方面安全控制措施进行测评；设备和计算安全测评重点对等级保护对象在身份鉴别、访问控制、安全审计、入侵防范和资源控制等方面安全控制措施进行测评；应用和数据安全测评结论重点对等级保护对象在安全审计、资源控制、接口安全、数据完整性、数据保密性和数据备份恢复等方面的安全控制措施进行测评。管理方面主要包括安全管理机构和人员、系统安全建设管理、系统安全运维管理等三个层面管理测评要求。在安全管理四个层面的等级测评中，通常安全管理机构和人员重点对授权和审批等进行测评；安全建设管理重点对安全方案设计、测试验收、云服务商选择和供应链管理等进行测评；安全运维管理重点对等级保护对象在监控和审计管理等进行测评。基本技术测评要求和基本管理测评要求是确保云计算信息系统安全测评要求不可分割的两个部分。基本安全测评要求从各个层面或方面提出了系统的每个组件应该满足的安全测评要求，云计算信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。除了保证系统的每个组件满足基本安全测评要求外，还要考虑组件之间的相互关系，来保证信息系统的整体安全保护能力。GB/T28448.2－20XX《信息安全技术网络安全等级保护测评要求第2部分：云计算安全扩展要求》国家标准编制说明GB/T28448.2－20XX《信息安全技术网络安全等级保护测评要求第2部分：云计算安全扩展要求》国家标准编制说明GB/T28448.2－20