标准规范下载简介
YD/T 3157-2016 公有云服务安全防护要求简介:
《YD/T 3157-2016 公有云服务安全防护要求》是中国信息通信研究院发布的关于公有云服务安全的行业标准。该标准主要针对公有云服务提供商,规定了他们在提供云服务过程中应遵循的安全防护要求,以保障用户数据安全、服务安全和整体信息安全。
其主要内容包括但不限于以下几个方面:
1. 数据安全:对云服务中的数据存储、传输、访问、备份和恢复等环节进行安全保护,确保数据的完整性、保密性和可用性。
2. 系统安全:要求云服务提供商对云平台的基础设施、操作系统、网络设备等进行安全防护,防止未经授权的访问和攻击。
3. 服务安全:确保云服务的可扩展性、稳定性和可靠性,同时提供安全的故障恢复和灾难恢复机制。
4. 用户安全:保护用户身份信息,实施访问控制,防止未经授权的访问和操作。
5. 安全管理:建立完善的安全管理机制,包括风险评估、安全审计、应急响应等。
6. 法律法规遵从:确保云服务符合相关的法律法规要求,如数据保护法、网络安全法等。
该标准的发布,旨在规范公有云服务行业,提高云服务的安全性,保护用户的隐私和数据安全,推动云计算健康、有序的发展。
YD/T 3157-2016 公有云服务安全防护要求部分内容预览:
除满足第2级的要求之外,还应满足: a)应能够根据记录数据进行分析,发现异常能及时告警,并生成审计报表。 b)应能汇聚服务范围内的审计数据,支持第三方审计。
5.3.3.4恶意代码防范
除满足第2级的要求之外JT∕T 517-2004 公路工程土工合成材料 土工加筋带,还应满足:应周期性地维护恶意代码库的升级和检测系统的更新。
5.3.3.5网络设备防护
除满足第2级的要求之外,还应满足: a)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃取, b)应对网络设备进行分权分域管理,限制默认用户或者特权用户的权限,做到最小授权
5.3.3.6网络安全监测要求
除满足第2级的要求之外,还应满足: a)应周期性地对攻击、威胁的特征库进行更新,并升级到最新版本。 b)应支持对违法和不良信息、或非法域名的检测发现并告警。
5.3.4虚拟化安全要求
5.3.4虚拟化安全要求
除满足第2级的要求之外,还应满足: a)应保证虚拟机迁移过程中数据和内存的安全可靠,保证迁入虚拟机的完整性和迁移前后安全配 置环境的一致性。 b)应确保虚拟机操作系统的完整性,确保虚拟机操作系统不被套改,且确保虚拟机实现安全后 动。 c)应对虚拟机镜像文件进行完整性校验,确保虚拟机镜像不被篡改。 d)应提供最新版本的虚拟机镜像和补丁版本。
5.3.4.2虚拟网络安全
除满足第2级的要求之外,还应满足: a)应支持对虚拟网络的逻辑隔离,在虚拟网络边界处实施访问控制策略, b)应对虚拟机网络出口带宽进行限制。 C)可支持用户选择使用第三方安全产品。
5.3.4.3虚拟化平台安
5.3.5主机安全要求
除满足第2级的要求之外,还应满足:当对服务器进行远程管理时,应采取加密措施,防止鉴别 络传输过程中被窃取,
5.3.5.2 访问控制
除满足第2级的要求之外,还应满足: a)应能够根据记录数据进行分析,并生成审计报表。 b)应保护审计进程,避免受到未预期的中断。 c)应能汇聚服务范围内的审计数据,支持第三方审计
5.3.5.4资源控制
5.3.5.4资源控制
除满足第2级的要求之外,还应满足:应对重要服务器进行性能监测,包括服务器的CPU 存、网络等资源的使用情况,发现异常情况提供告警,并进行相应处置。
5.3.5.5恶意代码防范
5.3.5.6入侵防范
5.3.6物理环境安全要求
5.3.7管理安全要求
除满足第2级的要求之外,还应满足: a)应定期对公有云服务及其所属各类设备、系统进行安全风险评估(至少每年一次)。 b)应定期组织公有云服务及其所属各类设备、系统灾难恢复预案的教育培训(至少每季度一次) 和演练(至少每半年一次)。 C)可建立允许用户选择第三方安全产品的管理制度。
5.4.1数据安全要求
5.4.1.1数据产生
5.4.1.2数据传输
5.4.1.3数据存储
除满足第3级的要求之外,还应满足: 应提供有效的虚拟机镜像文件加载保护机制,保证即使 像被窃取,非法用户也无法直接在其计算资源上进行挂卷运行。
5.4.1.4数据使用
5.4.1.5数据迁移
5.4.1.7备份和恢复
除满足第3级的要求之外,还应满足: a)应建设生产备份中心和同城灾备中心,即双活中心。双活中心应具备基本等同的业务处理能力 并通过高速链路实时同步数据,日常情况下可同时分担业务及管理系统的运行,并可切换运行,灾难情 况下应支持灾备应急切换,保持业务连续运行。 b)应提供异地实时备份功能,利用通信网络将数据实时备份至灾难备份中心
5.4.2应用安全要求
5.4.2.1身份鉴别
除满足第3级的要求之外,还应满足:应采用两种或两种以上组合的鉴别技术来进行身份鉴别, 一种身份鉴别机制是不易伪造的。
5.4.2.2访问控制
5.4.2.3安全审讯
除满足第3级的要求之外,还应满足:应具备自动化审计功能,监控明显异常操作并响应。 5.4.2.4资源控制
5.4.2.4资源控制
5.4.3网络安全要求
5.4.3.1网络拓扑结构安全
5.4.3.2访问控制
5.4.3.3安全审计
5.4.3.4恶意代码防范
5.4.3.5网络设备防护
5.4.3.5网络设备防护
5.4.3.6网络安全监测要求
除满足第3级的要求之外,还应满足: a)应支持对攻击行为进行分析,明确攻击且标范围,并协助回溯到攻击源头
b)应在网络边界处部署异常流量和对未知威胁的识别、监控和防护机制,并采取技术措施对网络 行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析
5.4.4虚拟化安全要求
除满足第3级的要求之 5.4.4.2虚拟网络安全 同第3级要求。 5.4.4.3虚拟化平台安全 同第3级要求。 5.4.5主机安全要求 5.4.5.1身份鉴别认证
同第3级要求。 5.4.4.3虚拟化平台安全 同第3级要求。
5.4.5主机安全要求
5.4.5.1身份鉴别认证
5.4.5.3安全审计
5.4.5.4资源控制
5.4.5.5恶意代码防范
5.4.5.6入侵防范
除满足第3级的要求之外,还应满足:应能够对重要程序的完整性进行检测,并在检测到完 破坏后具有恢复的措施。
5.4.6物理环境安全要求
GB 1094.7-2008-T标准下载安全等级为第5级的公有云服务的安全要求待定
公有云服务提供商应根据月 的安全要求,如表A.1所示。随着公有云服 务的发展,将不断补充和完善相关业务类型与对应的安全要求
表A.1业务类别及对应安全要求
附录B (规范性附录) 公有云服务风险分析
公有云服务资产的识别与选取应符合科学性、合理性GB∕T 20241-2006 单板层积材 标准免费下载,公有云服务年资产大致包括各类设备/主 信息、文件、人员、物理环境设施等。公有云服务的资产分析应包括但不限于表B.1所列范围
公有云服务的脆弱性包括技术脆弱性和管理脆弱性两个方面。脆弱性识别对象应以资产为核心
公有云服务的威胁根据来源可分为技术威胁、环境威胁和人为威胁。环境威胁包括自然界不可抗的 威胁和其它物理威胁。根据威胁的动机,人为威胁又可分为恶意和非恶意两种。公有云服务的威胁分析 应包括但不限于表B.3所列范围