《烟草行业云计算应用安全技术规范》编制说明

《烟草行业云计算应用安全技术规范》编制说明1工作简况1.1任务来源《烟草行业云计算应用安全技术规范》是2021年度下达的国家烟草专卖局行业标准项目（国烟科〔2021〕169号），项目类别：YC/Z，项目编号14，本项目为新制定标准项目。1.2制定本标准的必要性当前，烟草行业按照“1242”总体架构要求开展生产经营管理一体化平台建设，行业数字新基建为一体化平台应用和省级单位自建应用的运行环境提供计算、存储、网络的共享资源，云平台是行业数字新基建最重要的组成部分。因此，国家局提出了“1+1+N”的云平台体系架构，行业内各单位正如火如荼地开展云平台建设。按照网络安全与信息化发展同步规划、同步建设、同步运行的工作原则，应在云平台的建设过程中同步开展云安全工作，积极根据新形势新要求推进云计算平台安全标准研制，规范云计算平台设计、建设、运行相关的安全技术要求，指导烟草行业各单位云计算平台建设和运行的安全工作。项目必要性主要体现在以下几个方面首先，是保障烟草行业技术转型安全的发展要求。烟草行业紧跟新科技时代潮头，紧紧抓住新技术推动产业发展的机遇，构建行业生产经营管理一体化平台，将云计算技术融入烟草行业的营销服务领域、物流配送领域、专卖领域和政务领域业务，行业各单位正在落实云计算平台的建设需求。制订烟草行业云计算平台安全标准，可以提高云计算平台建管用的安全管控能力，保障行业生产经营管理一体化平台的安全稳定运行，助推烟草行业高质量发展。其次，是建立烟草行业云安全体系的必然要求。在烟草行业云计算建设热潮中，逐渐发现行业云计算建设需要顶层安全设计。当前，包括“等保2.0”在内的国内外有关云计算的安全标准，对于云计算平台更多关注公有云服务市场的安全要求，而烟草行业将建设自己专有云或者混合云。从云计算平台建设者、运营者、使用者角度，烟草行业云计算安全体系既要关注云计算平台的自身安全、又要关注云计算平台的租户侧安全、还要关注平台所提供服务的安全。其中，在云计算平台自身安全中，既要关注云架构安全、又要关注传统架构安全、更要关注数据、服务上云及从云端撤离的整体安全。因此，建立烟草行业云安全体系十分必要。第三，是保护烟草行业网络安全投资的基本要求。尽管云上安全与云下安全在治理理念上相通，但在实现方法上有较大差异。伴随着云计算平台的建设，对于云计算操作系统、计算服务、存储服务、网络服务、中间件等各类服务都需要构建全新的安全体系，因此，需要一整套云安全标准指导全行业在云计算安全体系建设中少走弯路、保护投资、降低风险、规范管理。1.3项目承担单位、协作单位及主要分工国家烟草专卖局烟草经济信息中心是该项目的牵头承担单位，负责项目组织，编写基本原则、总体框架、总体要求，组织编写具体的技术和管理要求以及试点验证。中国烟草总公司浙江省公司具体负责标准编制工作的实施方案、调研论证、框架构建、文本编制、试点验证等工作；中国烟草总公司信息系统上海容灾中心主要参与标准具体模块的调研、编写及试点验证工作。1.4主要工作过程1.4.1前期工作行业提出“1+1+N”云平台体系总体架构，上海容灾中心作为主中心节点，浙江省局作为副中心节点，两家单位都建设了体系完备的云计算平台，并探索构建了相应地云安全体系，较好地支撑了行业一体化平台建设，也为行业云安全标准的制订积累了相关经验。国家烟草专卖局烟草经济信息中心组织上海容灾中心和浙江省局研讨烟草行业云计算平台建设、管理、应用过程中的安全相关事宜，决定研制《烟草行业云计算应用安全技术规范》来指导和规范行业云计算平台建设和运行的安全工作。1.4.2标准申报与合同签订2021年10月底，国家烟草专卖局烟草经济信息中心组织浙江省烟草专卖局（公司）、中国烟草总公司信息系统上海容灾中心，共同编制了标准项目申报书，并提交至全国烟草标准化技术委员会。2021年12月，《国家烟草专卖局关于印发2021年度烟草行业标准项目计划（第二批）的通知》（国烟科〔2021〕169号）对该申请项目予以立项。项目承担单位根据要求起草并签订了合同，开展项目启动工作。1.4.3标准草案编制阶段2022年1月，项目组召开第一次项目启动会，会议讨论了标准项目实施方案，并组建了标准编制团队，制定工作进度和任务分工。会议讨论并确定的主要意见如下：1）鉴于烟草行业对于云平台普遍处于新建和初步运行使用阶段，缺乏对云安全标准的了解，需要对国家及其他行业云安全相关标准进行研究分析，并结合烟草行业实际需求开展标准编制，初步拟定云安全标准调研对象包括国家云安全标准、公安部云安全标准以及与烟草行业体量及组织架构类似的国家电网等企业的安全标准；2）鉴于云安全管理的复杂性，标准应该覆盖技术要求及管理要求；2022年5月，浙江省局依据工作分工完成了对国家及行业外单位的云安全标准的调研情况及标准分析工作，并确定从技术和管理、云平台侧及应用侧两个维度开展云安全标准框架搭建，并开展标准编制工作。2022年9月，项目组经过9轮讨论和修改，就标准内容基本达成一致意见，形成标准初稿。2022年10月底，国家烟草专卖局烟草经济信息中心组织浙江省局和上海容灾中心研讨标准编制情况（受疫情影响，研讨会以视频会议的形式召开），三家单位一致认可标准的整体编制思路、编制框架，并提出为验证标准的可行性，需对标准进行适应性验证。经项目组内部讨论，鉴于行业各单位云平台普遍处于初建状态，考虑到云平台主中心（上海）节点云平台规模大、云产品多、承载应用多、对安全的要求高等原因，决定由云平台主中心（上海）节点作为标准适应性先行验证单位。2022年12月，云平台主中心（上海）节点召开验证启动会，制定验证计划，考虑云平台主中心（上海）节点正处于一体化平台应用开发上线高峰和关键期，本次验证以云平台侧技术及管理相关要求为主。2023年3月，云平台主中心（上海）节点完成标准适应性验证，项目组认为标准基本上能够满足云平台安全技术应用和安全管理需求，建议在此基础上对部分内容进行细化完善。2023年7月，在完成标准优化之后，国家烟草专卖局烟草经济信息中心组织开展标准研讨和评审，提出以下修改意见：一是进一步引导行业单位重视云安全管理，建议标准顺序调整为“先安全管理、后安全技术”；二是需要在标准中明确云平台等保3级要求；三是需要在标准中进一步明确国密算法符合性评估要求；四是对标准逻辑框架图做相应修订；五是与行业最新的《行业网络攻防演习云平台防守安全指南》进一步融入，将有关要求以标准的形式予以体现；六是注明术语引用的出处；七是对云平台安全区域的划分进一步明确；八是安全管理要求和安全技术要求的内容做好切分。2023年8月，浙江省局组织全省部分网络安全专家开展集中封闭式研讨，逐条对标准进行验证和优化，确保标准要求明晰、符合实际、易于落地。1.4.4标准征求意见阶段2023年9月，项目组共同编制完成标准征求意见材料（标准征求意见稿及编制说明），并将相关材料报送全国烟草标准化技术委员会企业分技术委员会秘书处，申请在国家局内网和标准化网征集意见征集行业企业的意见修订稿提交国家局。2相关领域的国、内外标准研究和制修订情况美国国家标准与技术研究院（NIST）2011年1月出版了《安全虚拟化技术安全指南》，并于同年12月出版了《公共云中的安全和隐私指南》。SP800-144《公共云中的安全和隐私指南》提供公有云计算的概况以及在安全和隐私方面的挑战，论述了公有云环境的威胁、技术风险和保护措施，并为规划出合理的信息技术解决方案提供了一些见解,SP800-53最新版在云计算环境下针对访问控制、审计和可追踪、配置管理、标识与鉴别、系统和服务获取、系统和通信保护、系统和信息完整性、持续性规划、事件响应、维护、介质保护、物理和环境保护等12个安全机制根据云计算的安全特点增加了相应的安全措施，增加或增强的安全措施为本标准具体条款的编制提供指导。ISO/IECJTC1/SC27在2010年10月启动了研究项目《云计算安全和隐私管理系统》，为云计算服务过程中的安全控制提供指导。ISO/IEC27017《基于ISO/IEC27002的云计算服务的信息安全控制措施实用规则》，第2部分（即ISO/IEC27017.2）《基于ISO/IEC27002的云计算服务使用的信息安全管理指南》，侧重于规范云计算服务使用中的信息安全管理问题，该部分已于2013年正式发布。国内主要的云计算标准化组织有全国信息技术标准化技术委员会（TC28，简称信标委）云计算工作组、中国通信标准化协会（CCSA，简称通标协）、全国信息安全标准化技术委员会（TC260，简称信安标委）等。全国信息安全技术标准化委员会制定了GB/T31167-2014《信息安全技术云计算服务安全指南》、GB/T31168-2014《信息安全技术云计算服务安全能力要求》、GB/T34942-2017《信息安全技术云计算服务安全能力评估方法》。《基于云计算的电子政务公共平台安全规范》系列标准也已发布实施。GB/T22239-2019《信息安全技术网络安全等级保护基本要求》中增加了“云计算安全扩展要求”。除了国家标准，各行业也在制定体现行业需求的云计算行业标准。以下列出项目组前期参与调研分析的行业标准工作。国家电网制定由11个云相关标准组成的一体化“国网云”标准，对术语、云平台架构、云平台软硬件、云平台上应用开发测试等分别制定对应标准，同时针对安全制定Q/GDW11822.2—2018《一体化“国网云”第9部分网络与信息安全防护》进行规定。中国人民银行发布了JR/T0168-2018《云计算技术金融应用规范技术架构》、JR/T0167-2018《云计算技术金融应用规范安全技术要求》、JR/T0168-2018《云计算技术金融应用规范容灾》等3项标准，并基于标准制定测评规范。最高人民法院发布了FYB/T54007.1-2018《法院云计算平台技术规范第1部分：专有云》FYB/T54007.2-2018《法院云计算平台技术规范第2部分：开放云》。国家广播电视总局发布了广播电视行业标准GY/T321-2019《县级融媒体中心省级技术平台规范要求》以及《县级融媒体中心建设规范》。密码行业标准化技术委员会（简称密标委）在进行云密钥管理技术研究。公安部制定了公安云计算平台系列规范性技术文件，以云安全等级防护和云安全防御产品相关技术性要求为主，强调云平台本身的安全技术性要求。3标准编制原则与主要内容确定的依据3.1标准编制原则1）通用性原则本标准编制依据目前烟草行业各单位云平台软件采购使用情况，标准需要符合行业云平台体系的技术特性、符合行业应用系统部署架构的应用特性，符合行业各单位既是建设者、又是使用者、还是管理者的用户特性。2）科学性和先进性原则本标准的编制需要能够指导当前和今后一段时期内行业云平台体系安全能力的建设和提升。3）适用性和可操作性原则本标准的编制遵循国家标准，贴合烟草行业“1+1+N”云平台体系特点和实际，需要覆盖建、管、用全生命周期安全要求、覆盖安全管理和安全技术要求、覆盖平台方安全和使用方安全要求。3.2标准主要内容确定的依据1）标准名称本项目遵照国家局计划下达文件名字为“烟草行业云计算应用安全技术规范”。2）范围本标准规定了云计算技术在烟草行业应用的相关安全要求。本标准适用于指导烟草行业各单位开展云计算平台建设、管理和运行的安全工作，规范云计算应用相关的设计、建设、运行安全技术和管理工作。3）规范性引用文件GB/T31167-2023《信息安全技术云计算服务安全指南》GB/T32400-2015《信息技术云计算概览与词汇》GB/T22239-2019《信息安全技术网络安全等级保护基本要求》GB/T22240-2020《信息安全技术网络安全等级保护定级指南》YQ-XX/T3-2017《烟草行业信息安全基线管理技术规范》上述标准因本文件的引用，其他引用条款及内容适用于本标准。4）标准体系结构在制定烟草行业云计算应用安全标准框架时，从三个维度进行框架构建：维度1：以安全技术和安全管理为主线。按照云安全技术和云安全管理要求，对云平台和云资源使用的安全技术要求和安全管理要求分别开展标准制定。维度2：以平台方安全和使用方安全为主线。按照云平台运营者和云平台使用者两个视角，分别对云平台在规划、建设、运营运维的安全要求和云的不同使用类型下安全要求开展标准制定。维度3：以全生命周期为主线。按照“建设、使用、退出”的全生命周期顺序，对每个环节中平台和应用分别从安全技术要求和安全管理要求开展标准制定。三个维度对烟草行业云安全能力要求进行了全覆盖。考虑到烟草行业云架构和使用类型多样的特点，项目组认为把“安全管理+安全技术”作为第一维度，“平台方安全+使用方安全”作为第二维度，“建+管+用”作为第三维度的思路构建标准更贴合行业云安全管理模式、标准使用习惯，更有利于未来行业各单位快速匹配云安全管理与云安全技术要求。据此项目组依据此框架开展标准框架细化和标准制定。5）云计算安全管理要求云计算安全管理要求包括平台方和使用方在云计算平台在安全建设、安全使用和安全运维中的管理要求。其中对云计算平台安全管理覆盖从前期设计、建设及上线安全以及后续的使用安全管理要求。针对云平台，对云计算平台方及使用方按照“建、管、用”全生命周期各阶段的安全管理要求进行明确。（1）在平台安全建设管理方面，对云计算平台在建设阶段涉及的安全方案设计、安全建设实施环节管理要求进行规定，引导行业单位在云平台建设中进一步重视安全设计、安全论证管理重要性，指导如何“建好云”。（2）在平台安全运维管理方面，对云计算平台在运维过程中涉及到权限控制、安全监控以及安全事件发生时需要采取的分析研判和事件处置等管理要求进行规定；引导行业单位强化云安全事件处置能力建设；指导如何“管好云”。（3）在平台安全使用管理方面，对云计算平台如何安全使用的管理要求从审计、风险管理和检查评估三个维度的管理要求进行明确，指导如何“用好云”。针对使用方，以应用建设从设计、开发、使用全过程为主线，并结合云平台与应用的结合，针对上述各环节提出相关的安全管理要求。（1）在设计阶段，要求应用需要考虑云平台安全组件的使用需求；（2）在开发阶段，为更好的统一开发技术栈，规定需使用云平台提供的开发环境；（3）在上线阶段，需统一使用云平台提供的发布组件，以实现对应用上线的统一管理；（4）在使用阶段，对应用会使用到的云平台相关权限的管理提出要求、对安全风险管理与安全事件处置等做了规定。6）云计算安全技术要求在云计算平台方安全技术要求方面，对云计算平台物理、网络、主机、资源、应用、数据所需满足的安全技术要求进行明确。（1）在物理安全方面，依据网络安全等级保护要求，对云平台基础设施及系统部署物理位置位置及环境安全要求进行规定，指导行业单位云基础设施建设符合安全要求；（2）在网络安全方面，结合烟草行业实际以及云虚拟网络特殊性，对云和非云、云网络层整体架构、云内VPC与VPC之间的安全性进行了安全技术要求制定，并对三网隔离、边界防护、访问控制、入侵检测、恶意代码防护、网络安全审计等提出明确技术要求。（3）在主机安全方面，对主机安全在身份鉴别、访问控制、主机入侵防护、代码和漏洞管理提出安全要求，并针对云平台特有的镜像和快照保护规定安全技术标准要求。（4）在应用基础安全方面，对云平台管理组件及云上应用应提供的安全防护技术能力进行规定，包括应用经常涉及的web攻击、DDoS攻击、应用权限管理等进行规定。（5）在数据基础安全方面，对云平台及云上应用的数据防护技术能力进行规定，包括平台自生需要具备分布式存储、全栈加密保护技术能力，平台需要对云上应用数据安全应具备识别、传输、监控和加密技术使用进行规定；（6）在资源安全方面，针对云平台的资源使用安全，从身份和权限管理、资源控制、运维管理和集中监控和审计五个方面对云平台资源安全提出安全技术要求。在使用方安全技术要求方面，对云上应用在开发、测试、上线、运营各环节以及对应用和数据自身应具备的内生安全能力要求进行明确。（1）在应用内生安全方面，对云上应用自身所需要具备的身份权限、入侵方法和安全监控技术要求进行规定，并对国密算法在应用系统安全中的使用进行引导。（2）在应用开发安全方面，按照三同步原则，对应用的安全设计及开发阶段需要遵循行业编码规范及代码安全检测需要满足的技术要求进行规定；（3）在应用安全测试方面，对应用开发完成后规定必须进行安全性测试及代码审计，并对相应的技术要求进行制定；（4）在应用上线安全方面，对应用上云之前需要完成的基线核查、渗透测试、基线加固等需要满足的技术要求进行规范，并在等保测评中对商用密码安全性评估及系统密评做了建议要求;（5）在应用运营安全方