1、国家标准信息安全技术 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求编制说明一、 工作简况1.1 任务来源目前,云计算技术在国家关键信息基础设施领域的应用日益广泛。原有信息安全等级保护标准体系中标准的适用性提出挑战,防护措施、实现方法和测评方法都将有所不同。因此,根据云计算环境中的新增安全威胁和主要防范手段,我们对GB/T 22239.1XXXX 信息安全技术 网络安全等级保护基本要求 第 1 部分:安全通用要求 (以下简称“安全通用要求” )进行了扩展,形成了本部分。信息安全技术 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求 (计划编号:GB/T 22239.2XX
2、XX) (以下简称 “云计算安全扩展要求” )由公安部信息安全等级保护评估中心牵头,国家信息中心、阿里云计算有限公司、中科院信息工程研究所、杭州华三通信技术有限公司、华为技术有限公司、启明星辰信息技术有限公司等单位共同参与起草。1.2 主要工作过程1.2.1 标准立项前工作概述2014 年 1 月至 2014 年 4 月,为完善云计算安全标准体系,支撑党政部门云计算信息安全等级保护建设整改工作,牵头单位组成标准工作组,研究云计算环境下的信息系统面临的安全威胁,通过整理、汇总、分析相关资料编制了项目申请书、项目建议书并经过专家评审。1.2.2 标准立项后工作情况1) 标准立项2014 年 10
3、月,本部分获全国信息安全标准化技术委员会国标立项。2) 成立标准编制组,广泛调研2014 年 6 月至 12 月,标准编制组成立,广泛调研和研究国内外云计算安全相关评估标准以及相关安全评估标准,为本部分的编制奠定基础。期间,研究的云计算安全相关标准和安全评估相关标准包括:(1)美国联邦系统安全控制的建议(NIST 800-53) ;(2)美国联邦系统安全控制措施评估指南(NIST SP800-53A) ;(3)SP 800-144 Guidelines on security and privacy in public cloud computing(4)SP800-145 The NIST
4、Definition of cloud computing (5)SP800-125 Full Virtualization Technologies(6)FedRAMP_Baseline_Security_Controls_REV4;(7)信息安全等级保护测评国家标准;(8) GB/T 31168-2014 信息安全技术 云计算服务安全能力要求 (9) GB/T 31167-2014 信息安全技术 云计算服务安全指南 (10) 信息安全技术 信息安全风险评估规范 、 信息技术 安全技术 信息技术安全评估准则等国家标准。3)标准编制组形成标准草案2015 年 7 月,标准编制组形成标准草案,发
5、标准编制组内部征求意见,标准编制组在北京召开了标准草案第一次评审,讨论了标准编制的思路,以及本次国家标准与其他标准之间的关系。评审会结束后,标准编制组根据专家意见,修订了标准草案。同年 12 月,标准编制组再次发起专家评审,对标准草案的内容进行了详细的讨论,并认真听取了专家意见。2016 年 1 月到 2016 年 5 月,标准编制组多次召开工作会议,讨论标准草案中相关问题。根据专家意见,对标准草案进行了修改。4)标准在云等级保护测评中试用2016 年 3 月至 2016 年 7 月,评估中心分别对阿里云、迅达云成进行了云安全等级保护测评,在测评过程中对标准草案进行了试用,并提出了修改意见,标
6、准编制组根据试用意见进行了修改完善。5)2016 年 6 月 29 日,召开专家评审会,会后形成征求意见稿2016 年 6 月 29 日,标准编制组在北京召开了标准评审会,编制组根据与会专家的意见进一步完善了标准草案。6)2016 年 8 月 25 日,WG5 召开标准推进会,会后形成征求意见稿2016 年 8 月 25 日,WG5 在北京召开了标准推进会,编制组对前期意见汇总处理情况做了介绍并听取与会专家意见,会后根据与会专家的意见进一步完善了标准草案并形成征求意见稿。7)2016 年 8 月 30 日,召开标准格式和编写指导讲座,会后对标准格式和规范用语进行了修订2016 年 8 月 30
7、 日,公安部信息安全等级保护评估中心邀请公安部信息安全标准委员会形式化审查专家,在标准合适、用语和形式规范等方面为编制组成员做了讲解,会后编制组根据专家提的意见建议对标准文本做了修订。二、 编制原则和主要内容2.1 编制原则一是充分吸收已有云安全相关标准。 云计算安全扩展要求充分参考了国际、国内有关云计算安全以及安全评估的先进标准和技术规范。目前, 云计算安全扩展要求已将美国 FedrRAMP 云安全测试用例、NIST 800-53A、ISO/IEC 27017、SP 800-144、SP 800-145 等级保护测评等相关标准的长处进行了吸收,借鉴了国外标准中对云计算的定义和架构,虚拟化安全
8、要求, 公共云防护措施建议,云计算环境中的风险管理、生命周期管理、审计和合规、安全运维建议。二是从风险分析出发,根据风险提出防范要求,并在试点项目中求证。分析云计算环境下的新增威胁、脆弱性和安全风险,根据新增的安全风险制定对应措施形成云计算安全扩展要求,并在试点项目中获得了较高的评价。2.2 主要内容本部分针对云计算信息系统的特点,规定了云计算信息系统安全等级保护的安全要求,适用于不同等级云计算信息系统的安全保护。本部分适合指导采用不同部署模式、交付模式下云计算信息系统的安全建设、整改、测评等工作,在不同的部署模式、交付模式下,条款使用方法和判定方法不一样。云计算安全扩展要求根据云计算环境下的
9、风险,增加了新的安全要求,适用于云计算环境下的测评对象,本部分主要内容包括网络架构要求、访问控制要求、远程访问要求、入侵防范、安全审计、数据完整性和数据保密性、数据备份恢复、恶意代码防范、资源控制、镜像和快照保护等等内容。三、 主要试验(或验证)的分析、综述报告,技术经济论证,预期的经济效果编制组已请评估中心分别对阿里云、迅达云成进行了云安全等级保护测评,在测评过程中对标准草案进行了试用,并提出了修改意见,标准编制组根据试用意见进行了修改完善,标准试用效果良好。四、 采用国际标准和国外先进标准的程度,以及与国际、国外同类标准水平的对比情况,或与测试的国外样品、样机的有关数据对比情况信息安全标准
10、已经成为网络空间国际竞争的战略制高点。特别是,云计算安全标准及其背后的管理政策将会对产业造成重大影响,也将限制国外大型云计算服务提供商渗透到我国敏感部门和重要行业,这种情况下,公安部提出了加强云计算等级保护标准制定的重要举措。开展对云服务方所提供的云平台安全能力的评估及云平台上的应用系统防护水平的评估,是落实对云计算服务安全管理的措施之一。因此,编制组在标准编制过程中,专门分析了美国FedRAMP 对云服务商的安全评估方法和 NIST SP800 系列标准,参考我国已有相关信息安全标准,以及我国云计算服务安全管理的考虑,综合考虑制定了本部分。五、 与有关的现行法律、法规和强制性国家标准的关系云
11、计算安全扩展要求符合现有法律法规的要求。符合全国人民代表大会常务委员会关于加强网络信息保护的决定 、 国务院关于大力促进信息化发展和切实保障信息安全的若干意见 、 信息安全技术公共及商用服务信息系统个人信息保护指南等国家政策、法规、标准的要求。云计算安全扩展要求是GB/T 22239-XXXX 信息安全技术 网络安全等级保护基本要求的第二分册, 云计算安全扩展要求以引用的方式涵盖了安全通用要求的全部内容。六、 重大分歧意见的处理经过和依据云计算安全扩展要求编制过程中未出现重大分歧。其他详见意见汇总处理表。七、 国家标准作为强制性国家标准或推荐性国家标准的建议建议云计算安全扩展要求作为推荐性国家
12、标准发布实施。八、 贯彻国家标准的要求和措施建议(包括组织措施、技术措施、过渡办法等内容)云计算安全扩展要求规定了云计算信息系统安全等级保护的安全要求,适用于不同等级云计算信息系统的安全保护, 云计算安全扩展要求是GB/T 22239-XXXX 信息安全技术 网络安全等级保护基本要求 的第二分册,云计算安全扩展要求以引用的方式涵盖了安全通用要求的全部内容。因此,本部分贯彻实施时,应与安全通用要求结合在一起进行。九、 其他事项说明本部分不涉及专利。标准编制组2016 年 9 月人与人之间的距离虽然摸不着,看不见,但的的确确是一杆实实在在的秤。真与假,善与恶,美与丑,尽在秤杆上可以看出;人心的大小
13、,胸怀的宽窄,拨一拨秤砣全然知晓。人与人之间的距离,不可太近。与人太近了,常常看人不清。一个人既有优点,也有缺点,所谓人无完人,金无赤足是也。初识时,走得太近就会模糊了不足,宠之;时间久了,原本的美丽之处也成了瑕疵,嫌之。与人太近了,便随手可得,有时得物,据为己有,太过贪财;有时得人,为己所用,也许贪色。贪财也好,贪色亦罢,都是一种贪心。与人太近了,最可悲的就是会把自己丢在别人身上,找不到自己的影子,忘了回家的路。这世上,根本没有零距离的人际关系,因为人总是有一份自私的,人与人之间太近的距离,易滋生事端,恩怨相随。所以,人与人相处的太近了,便渐渐相远。人与人之间的距离也不可太远。太远了,就像放
14、飞的风筝,过高断线。太远了,就像南徙的大雁,失群哀鸣。太远了,就像失联的旅人,形单影只。人与人之间的距离,有时,先远后近;有时,先近后远。这每次的变化之中,总是有一个难以忘记的故事或者一段难以割舍的情。有时候,人与人之间的距离,忽然间近了,其实还是远;忽然间远了,肯定是伤了谁。人与人之间的距离,如果是一份信笺,那是思念;如果是一个微笑,那是宽容;如果是一句问候,那是友谊;如果是一次付出,那是责任。这样的距离,即便是远,但也很近。最怕的,人与人之间的距离就是一句失真的谗言,一个不屑的眼神,一叠诱人的纸币,或者是一条无法逾越的深谷。这样的距离,即便是近,但也很远。人与人之间最美的距离,就是不远不近
15、,远中有近,近中有远,远而不离开,近而不相丢。太远的距离,只需要一份宽容,就不会走得太远而行同陌人;太近的距离,只需要一份自尊,就不会走得太近而丢了自己。不远不近的距离,多像一朵艳丽的花,一首悦耳的歌,一首优美的诗。人生路上,每个人的相遇、相识,都是一份缘,我们都是相互之间不可或缺的伴。人与人之间的距离虽然摸不着,看不见,但的的确确是一杆实实在在的秤。真与假,善与恶,美与丑,尽在秤杆上可以看出;人心的大小,胸怀的宽窄,拨一拨秤砣全然知晓。人与人之间的距离,不可太近。与人太近了,常常看人不清。一个人既有优点,也有缺点,所谓人无完人,金无赤足是也。初识时,走得太近就会模糊了不足,宠之;时间久了,原
16、本的美丽之处也成了瑕疵,嫌之。与人太近了,便随手可得,有时得物,据为己有,太过贪财;有时得人,为己所用,也许贪色。贪财也好,贪色亦罢,都是一种贪心。与人太近了,最可悲的就是会把自己丢在别人身上,找不到自己的影子,忘了回家的路。这世上,根本没有零距离的人际关系,因为人总是有一份自私的,人与人之间太近的距离,易滋生事端,恩怨相随。所以,人与人相处的太近了,便渐渐相远。人与人之间的距离也不可太远。太远了,就像放飞的风筝,过高断线。太远了,就像南徙的大雁,失群哀鸣。太远了,就像失联的旅人,形单影只。人与人之间的距离,有时,先远后近;有时,先近后远。这每次的变化之中,总是有一个难以忘记的故事或者一段难以
17、割舍的情。有时候,人与人之间的距离,忽然间近了,其实还是远;忽然间远了,肯定是伤了谁。人与人之间的距离,如果是一份信笺,那是思念;如果是一个微笑,那是宽容;如果是一句问候,那是友谊;如果是一次付出,那是责任。这样的距离,即便是远,但也很近。最怕的,人与人之间的距离就是一句失真的谗言,一个不屑的眼神,一叠诱人的纸币,或者是一条无法逾越的深谷。这样的距离,即便是近,但也很远。人与人之间最美的距离,就是不远不近,远中有近,近中有远,远而不离开,近而不相丢。太远的距离,只需要一份宽容,就不会走得太远而行同陌人;太近的距离,只需要一份自尊,就不会走得太近而丢了自己。不远不近的距离,多像一朵艳丽的花,一首悦耳的歌,一首优美的诗。人生路上,每个人的相遇、相识,都是一份缘,我们都是相互之间不可或缺的伴。
