GAT 1390.2-2017标准规范下载简介
GAT 1390.2-2017 信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求简介:
GAT 1390.2-2017 是我国信息安全技术领域的一项重要标准,全称为“信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求”。这项标准主要针对云计算环境下的信息安全保护提出了具体的要求和指导,旨在确保云计算服务的安全稳定,保护用户数据的隐私和完整性,以及保证业务的连续性。
该标准主要包含了以下几个方面的内容:
1. 体系结构安全:规定了云计算平台的网络、计算、存储、应用等各层次的安全要求,包括访问控制、数据安全、服务可用性等。
2. 运行安全:对云计算的日常运行管理提出了要求,包括身份管理、权限管理、审计管理等,确保系统的正常运行和问题的追踪。
3. 数据安全:强调了云服务商在处理、存储和传输用户数据时,应采取的加密、备份、恢复等措施,保证数据的安全性和完整性。
4. 服务安全:规定了云服务商应提供的安全服务,如安全咨询、安全评估、应急响应等,以应对可能的安全风险和事件。
5. 监管要求:明确了云计算环境下,云服务商和使用云服务的组织应遵循的法规和监管要求,确保云服务的合规性。
这项标准的出台,为云计算服务的安全规范设定了明确的门槛,对促进我国云计算产业的健康发展,保护用户的合法权益,具有重要的指导意义。同时,也为相关企业和机构提供了云计算安全保护的实施依据和参考。
GAT 1390.2-2017 信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求部分内容预览:
监控和审计管理应符合以下要求: a)确保信息系统的监控活动符合关于隐私保护的相关政策法规; b)确保提供给云租户的审计数据的真实性和完整性; c)制定相关策略,对安全措施有效性进行持续监控; d)云服务商应将安全措施有效性的监控结果定期提供给相关云租户; e)应委托第三方机构对运维过程中的数据安全行为进行审计。
应确保云计算基础设施位于中国境内
7.1.2网络和通信安全
《抗爆间室结构设计规范 GB50907-2013》7.1.2.1网络架构
网络架构应符合以下要求: a)确保云计算平台不承载高于其安全保护等级的业务应用系统; b)绘制与当前运行情况相符的虚拟化网络拓扑结构图,并能对虚拟化网络资源、网络拓扑进行实 时更新和集中监控; c) 实现不同云租户虚拟网络之间的隔离; d)保证虚拟机只能接收到目的地址包括自已地址的报文; e)保证云计算平台管理流量与云租户业务流量分离; 能识别、监控虚拟机之间、虚拟机与物理机之间的流量; g) 提供开放接口或开放性安全服务,允许云租户接入第三方安全产品或在云平台选择第三方安 全服务; h)根据云租户业务需求自主设置安全策略集,包括定义访问路径、选择安全组件、配置安全策略。
网络架构应符合以下要求: a)确保云计算平台不承载高于其安全保护等级的业务应用系统; b)绘制与当前运行情况相符的虚拟化网络拓扑结构图,并能对虚拟化网络资源、网络拓扑进行实 时更新和集中监控; c) 实现不同云租户虚拟网络之间的隔离; d)保证虚拟机只能接收到目的地址包括自已地址的报文; e)保证云计算平台管理流量与云租户业务流量分离; ) 能识别、监控虚拟机之间、虚拟机与物理机之间的流量; g) 提供开放接口或开放性安全服务,允许云租户接入第三方安全产品或在云平台选择第三方安 全服务; h)根据云租户业务需求自主设置安全策略集,包括定义访问路径、选择安全组件、配置安全策略。
7.1.2.2访问控制
访问控制应符合以下要求: a)禁止云租户虚拟机访问宿主机; b)在虚拟化网络边界部署访问控制机制,并设置访问控制规则; c)保证当虚拟机迁移时,访问控制策略随其迁移; d)允许云租户设置不同虚拟机之间的访问控制策略; e)在不同等级的网络区域边界部署访问控制机制,设置访问控制规则
7.1.2.3入侵防范
入侵防范应符合以下要求: a)能监测到云租户的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等; b)能检测到虚拟机与宿主机之间的异常流量,并进行告警; 向云租户提供互联网发布内容监测功能,便于云租户对其发布内容中的有害信息进行实时监 测和告警,
7.1.2.4安全审计
安全审计应符合以下要求: a)对云服务商和云租户远程管理时执行特权命令进行审计,至少包括虚拟机删除、虚拟机重启 b)根据云服务商和云租户的职责划分,收集各自控制部分的审计数据; c)为安全审计数据的汇集提供接口,并可供第三方审计; d)根据云服务商和云租户的职责划分,实现各自控制部分的集中审计。
安全审计应符合以下要求: a)对云服务商和云租户远程管理时执行特权命令进行审计,至少包括虚拟机删除、虚拟机重 b)根据云服务商和云租户的职责划分,收集各自控制部分的审计数据; c)为安全审计数据的汇集提供接口,并可供第三方审计; d)根据云服务商和云租户的职责划分,实现各自控制部分的集中审计
7.1.3设备和计算安全
[7.1.3.1身份鉴别
身份鉴别应符合以下要求: a)在网络策略控制器和网络设备(或设备代理)之间建立双向验证机制
GA/T1390.2—2017
b)当进行远程管理时,管理终端和云计算平台边界设备之间建立双向身份验证
7.1.3.2访问控制
访问控制应符合以下要求: a)确保只有在云租户授权下,云服务商或第三方才具有云租户数据的管理权限; b)提供云计算平台管理用户权限分离机制,为网络管理员、系统管理员建立不同账户并分配相应 的权限,
访问控制应符合以下要求: a)确保只有在云租户授权下,云服务商或第三方才具有云租户数据的管理权限; b)提供云计算平台管理用户权限分离机制,为网络管理员、系统管理员建立不同账户并分配 的权限。
7.1.3.3安全审计
安全审计应符合以下要求: a)根据云服务商和云租户的职责划分,收集各自控制部分的审计数据并实现集中审计 b)保证云服务商对云租户系统和数据的操作可被云租户审计; )为审计数据的汇集提供接口,并可供第三方审计。
7.1.3.4入侵防范
入侵防范应能检测以下内容: a)虚拟机之间的资源隔离失效,并进行告警; b)非授权新建虚拟机或者重新启用虚拟机,并进行告警
7.1.3.5恶意代码防范
应能检测恶意代码感染及在虚拟机间蔓延的情况,并提出告警。
7.1.3.6资源控制
资源控制应符合以下要求: a)屏蔽虚拟资源故障,某个虚拟机崩溃后不影响虚拟机监视器及其他虚拟机; b)对物理资源和虚拟资源按照策略做统一管理调度与分配; 保证虚拟机仅能使用为其分配的计算资源; d) 保证虚拟机仅能迁移至相同安全等级的资源池: ) 确保云租户业务应用系统的虚拟机使用独占的内存空间; 对虚拟机的网络接口的带宽进行设置,并进行监控; g)为监控信息的汇集提供接口,并实现集中监控。
7.1.3.7镜像和快照保护
镜像和快照保护应符合以下要求: a)提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改; b)采取加密或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访间 C)针对重要业务系统提供加固的操作系统镜像
7.1.4应用和数据安全
7.1.4.1 安全审计
安全审计应符合以下要求:
GA/T1390.22017
a)根据云服务商和云租户的职责划分,收集各自控制部分的审计数据并实现集中审计; b)保证云服务商对云租户系统和数据的操作可被云租户审计; c)为审计数据的汇集提供接口,并可供第三方审计。
7.1.4.2资源控制
资源控制应符合以下要求: a)能够对应用系统的运行状况进行监测,并在发现异常时进行告警; h)保证不同云租户的应用系统 平台之间的隔离
7.1.4.3接口安全
保证云计算服务对外接口的安全性。
7.1.4.4数据完整性
确保虚拟机迁移过程中,重要数 破坏时采取必要的恢复措施,
7.1.4.5数据保密性
数据保密性应符合以下要求: a)确保云租户账户信息、鉴别信息、系统信息存储于中国境内; b)确保运维过程产生的配置数据、日志信息等不出境; c)确保虚拟机迁移过程中,重要数据的保密性,防止在迁移过程中的重要数据泄露 d)支持云租户部署密钥管理解决方案,确保云租户自行实现数据的加解密过程; e)对网络策略控制器和网络设备(或设备代理)之间网络通信进行加密
数据保密性应符合以下要求: a)确保云租户账户信息、鉴别信息、系统信息存储于中国境内; b)确保运维过程产生的配置数据、日志信息等不出境; c)确保虚拟机迁移过程中,重要数据的保密性,防止在迁移过程中的重要数据泄露 d)支持云租户部署密钥管理解决方案,确保云租户自行实现数据的加解密过程; e)对网络策略控制器和网络设备(或设备代理)之间网络通信进行加密
7.1.4.6数据备份恢复
数据备份应符合以下要求: a) 云租户应在本地保存其业务数据的备份; b) 提供查询云租户数据及备份存储位置的方式; c)1 保证不同云租户的审计数据隔离存放; d)为云租户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段,并协助完成迁 移过程。
7.1.4.7剩余信息保护
应保证虚拟机所使用的内存和存储空间回收时得到完全清险
应保证云服务商对云租户业务数据的访间或使用必须经过云租户的授权,授权心
云服务商对云租户业务数据的访问或使用必须经过云租户的授权,授权必须保留相关记录。
CJ∕T 108-1999 铝塑复合压力管(搭接焊)7.2. 1.2 人员录用
不得具有超级管理员权限。
7.2.2安全建设管理
7.2.2.1安全方案设计
云计算平台应提供开放 品或在云平台选择 第三方安全服务,支持异构方式
7.2.2.2测试验收
对云计算平台及云租户业务应用系统进行安全
DBCJ 003-2021 长沙市工程建设地方技术规程 城镇道路工程离子型土壤固化剂稳定混合土应用技术规程(试行)7.2.2.3云服务商选择
云服务商选择应符合以下要求: a)确保云服务商的选择符合国家有关规定; b)选择安全合规的云服务商,其所提供的云平台应具备与信息系统等级相应的安全保护能力; c)满足服务水平协议(SLA)要求; d)在服务水平协议(SLA)中规定云服务的各项服务内容和具体技术指标; e)在服务水平协议(SLA)中规定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐 私保护、行为准则、违约责任等; f)在服务水平协议(SLA)中规定云计算所能提供的安全服务的内容,并提供安全声明; g)在服务水平协议(SLA)中规定服务合约到期时,完整地返还云租户信息,并承诺相关信息均已 在云计算平台上清除; h)与选定的云服务商签署保密协议,要求其不得泄露云租户数据和业务系统的相关重要信息; 对可能接触到云租户数据的员工进行背景调查,并签署保密协议; i 云服务商应接受云租户以外的第三方运行监管。