信息安全国家标准《云计算服务安全能力要求》（报批稿）.ppt

本类安全要求从策略与规程、配置管理计划、基线配置、变更控制、设置配置项的参数、最小功能原则、信息系统组件清单等方面对云服务商提出要求，并对云服务商应采取的安全措施提出建议。 （四）配置管理 云服务商应对云计算平台进行配置管理，在系统生命周期内建立和维护云计算平台（包括硬件、软件、文档等）的基线配置和详细清单，并设置和实现云计算平台中信息技术产品的安全配置参数。 本类安全要求从策略与规程、受控维护、维护工具、远程维护、维护人员、及时维护、缺陷修复、安全功能验证、以及软件、固件、信息完整性等方面对云服务商提出要求。 （五）维护 云服务商应定期地维护云计算平台设施和软件系统，对维护使用的工具、技术、机制以及维护人员进行有效的控制，并做好相关记录。 （六）灾备与应急响应 云服务商应建立、维护云计算平台的应急响应计划并有效实施，以确保在紧急情况下重要信息资源的可用性和操作的可持续性。 云服务商应建立云计算平台的事件处理计划，包括对事件的预防、检测、分析、控制、恢复及用户响应活动等，对事件进行跟踪、记录并向相关人员报告。 （七）审计 云服务商应根据信息安全需求和政府用户要求，制定可审计事件清单，明确审计记录内容，实施审计并妥善保存审计记录，对审计记录进行定期分析和审查，还应防范对审计记录的未授权访问、篡改和删除行为。 本类安全要求从策略与规程风险评估、脆弱性扫描、持续监控、信息系统监测、垃圾信息监测等方面对云服务商提出要求。 （八）风险评估与持续监控 云服务商应定期或在威胁环境发生变化时，对云计算平台进行风险评估，确保云计算平台的风险处于可接受水平；应制定待监控目标清单，对目标进行持续安全监控，并在异常和非授权情况发生时发出警报。 （九）安全组织与人员 云服务商应确保各类人员（包括供应商人员）上岗时具备履行其信息安全责任的素质和能力，在授予相关人员访问权限之前对其进行审查并定期复查，在人员调动或离职时保护好云计算平台上的信息和信息系统，对于违反信息安全策略与规程的人员按正式程序对其进行处罚。 （十）物理与环境保护 云服务商应确保为政府提供云服务的信息系统机房位于中国境内，机房选址、设计、供电、消防、温湿度控制等符合《GB50174-2008电子信息系统机房设计规范》的相关要求。 云服务商应严格限制各类人员与运行中的云计算平台设备进行物理接触，确需接触的，需通过云服务商的明确授权。 云服务商应对机房进行监控，加强对云计算平台信息系统设备的保护。 谢谢！ * 网络与可信计算研究所 NTCI@SCU 信息安全国家标准 《云计算服务安全能力要求》 （报批稿）介绍 中国信息安全研究院 左晓栋 2014年4月 目 录 标准条款来源 二 标准主要特点 三 一 标准定位 标准主要要求 四 目 录 《云计算服务安全能力要求》（后文简称《能力要求》）描述了以社会化方式为政府客户提供云计算服务时，云服务商应具备的信息安全技术和管理能力。 《能力要求》的起草目的是配合政府部门云计算服务安全管理工作。拟向政府提供服务的云服务商，需要由第三方评估机构进行安全评估，以验证其是否满足《能力要求》，评估结果将作为是否批准云服务商向政府部门提供服务的重要依据。 起草组提供了与《能力要求》相配套的安全计划模板，模板中包含了《能力要求》的所有条款，云服务商需要根据云安全措施的实际实施情况，填写完安全计划，作为第三方安全评估的重要参考。 国标委于2012年立项开展云计算服务安全标准编制。经过1年起草并初步在网上公开征求标准草稿意见之后，考虑到实际工作需要，将云计算安全标准分为《云计算服务安全指南》和《云计算服务安全能力要求》两个标准。前者由四川大学前头，后者由中国电子（CEC）下属中国信息安全研究院牵头。 参与《能力要求》起草单位中，有云安全解决方案提供商（三十所和三零卫士），有云安全研究机构（四川大学），有参与ISO云安全标准ISO 27017起草的单位（中电网际），还有熟悉美国云安全制度FedRAMP及其审查标准的专业机构（中电研究院、工信部四院、工信部一所、赛迪等）。《云计算服务安全指南》的起草单位后期也加入《能力要求》起草组，有华为公司、中金数据、中移动研究院、未来国际等一批云计算服务企业。 起草单位 目 录 标准条款来源 二 标准主要特点 三 一 标准定位 标准主要要求 四 充分参考国际和国外已有标准。《能力要求》主要参考了美国联邦风险和授权管理项目（FedRAMP）的云安全基线。 符合我国云计算产业发展的实际，技术上适当超前，引导云计算安全措施的应用。国际和国外云安全标准主要是提出了通用要求，对云计算的特性反映不多。《能力要求》特别增加了系统虚拟化、网络虚拟化、存储虚拟化等方面的安全要求。但考虑到技术发