GBT 31168-2014标准规范下载简介
GBT 31168-2014 信息安全技术 云计算服务安全能力要求简介:
GBT 31168-2014 是我国发布的一项关于信息安全技术的国家标准,全称为“信息安全技术 云计算服务安全能力要求”。这项标准主要规定了云计算服务提供商在提供服务时,应具备的安全能力要求,以确保云计算服务的安全、稳定、可靠,保护用户的隐私和数据安全。
标准内容主要包括以下几个方面:
1. 服务可用性:规定了云服务提供商应确保服务的持续性和稳定性,包括故障恢复、服务等级协议(SLA)等。
2. 数据保护:要求云服务提供商对用户数据进行保护,包括数据的完整性、保密性、备份和恢复等。
3. 访问控制:规定了云服务提供商应如何实施用户身份验证、访问授权,以及如何管理权限和审计日志。
4. 安全管理:要求云服务提供商建立完善的安全管理制度,包括安全策略、风险管理、安全审计等。
5. 服务提供商能力:对云服务提供商的自身安全能力提出了要求,如安全技术能力、应急处理能力等。
6. 法律法规遵循:强调云服务提供商在提供服务时,应遵守相关的法律法规,保护用户的合法权益。
7. 服务变更管理:规定了云服务提供商在服务变更时,如何通知用户,以及如何确保变更过程中的服务安全。
8. 服务终止管理:规定了服务终止时的数据处理要求,确保用户数据的完整性和安全性。
GB/T 31168-2014 的发布和实施,旨在规范我国云计算服务市场,提高云服务的安全性,保护用户的数据安全和隐私,推动云计算产业的健康发展。
GBT 31168-2014 信息安全技术 云计算服务安全能力要求部分内容预览:
6.6.1± 一般要求
云服务商应按照国家密码管理有关规定使用和管理云计算平台中使用的密码设施,并按 使用和管理密钥
云服务商应按照国家密码管理有关规定使用和管理云计算平台中使用的密码设施,并按规定生成 用和管理密钥
【大同市】《城市规划管理技术规定(修改稿)》云服务商应禁止在云计算平台上连接摄像头、麦克风、白板等协同计算设备。 6.7.2增强要求
ActiveX等)的使用进行限制.并对允许使用的移动代码进行监视
a)在移动代码执行前采取必要的安全措施,至少应对移动代码进行来源确认: b)禁止自动执行移动代码
6.10移动设备的物理连
6.10移动设备的物理连接
6. 10.1±一般要求
云服务商应确保只有经其授权的移动设备才能直接连接云计算平台·并应: a)在移动设备连接云计算平台前对其进行安全检查,禁止自动执行移动设备上的代码; b)防止云计算平台上的信息非授权写人移动设备。
云服务商应: a》采用白名单、黑名单或其他方式,在网络出人口以及系统中的主机、移动计算设备上实施恶意 代码防护机制: b)建立相应维护机制.确保恶意代码防护机制得到及时更新,如升级病毒库: c)配置恶意代码防护机制,以: 1)按照[赋值:云服务商定义的频率定期扫描信息系统,以及在[选择:终端:网络出入口下 载、打开、执行外部文件时对其进行实时扫描: 2) 当检测到恶意代码后,实施[选择:阻断或隔离恶意代码:向管理员报警:[赋值:云服务商 定义的举措门 d)及时掌握系统的恶意代码误报率,并分析误报对信息系统可用性的潜在影响。
a)防止非特权用户绕过恶意代码防护机制: b)自动更新恶意代码防护机制; c)集中管理恶意代码防护机制
a)防止非特权用户绕过恶意代码防护机制: b)自动更新恶意代码防护机制; )集中管理恶意代码防护机制
云服务商应使用赋值:云服务商定 生行防护,避免非授权代码执行
6.13系统虚拟化安全性
6. 131±一般要求
a)确保虚拟化平台的管理命令采用加密协议进行传输; b)提供虚拟机跨物理机迁移过程中的保护措施: 提供对虚拟机所在物理机范围进行指定或限定的能力; d)提供虚拟机镜像文件加密功能,防止虚拟机镜像文件数据被非授权访问; e)对虚拟机模版文件、配置文件等重要数据进行完整性检测
6.14网终虚拟化安全性
云服务商应: a 为云中的虚拟网络资源[如VI.AN(虚拟局域网)上的VM(虚拟机)J间的访问实施网络逻辑 离,并提供访问控制手段: 在访间云服务的网络和内部管理云的网络之间采取隔离和访问控制措施: c)对虚拟机的网络接口的带宽进行管理
6.14.2 增强要求
6.15存储虚拟化安全性
GB/T 311682014
云服务商应: 确保针对存储数据的安全控制能够应用到逻辑和物理存储实体上,不会因信息在物理存储位 置上的改变而导致安全控制被务路: b) 禁止或限制对物理存储实体的直接访问; c). 保障各个客户所使用的虚拟存储资源之间的逻辑隔离: dy 在租户解除存储资源的使用后,为确保属于该租户的所有数据在物理存储设备级别上被有效 清除·云服务商应提供存储数据清除手段.确保[赋值:云服务商定义的用户数据]能够在[赋 值:云服务商定义的需要清除用户数据的操作后在物理存储设备级别上被有效清除,例如镜 像文件、快照文件在迁移或删除虚拟机后能被完全清除 e) 提供虚拟存储数据审计手段: 1 提供虚拟存储数据访问控制手段; )提供虚拟存储尔金备份支持
提供存储协议级数据访问投权.如实施SATA(串行高级技术附件)等存储协议级别的安全 控制; 6)允许客户部署满足国家密码管理规定的数据加密方案,确保客户的数据能够在云计算平台以 密文形式存储: C)支持第三方加密及密钥管理方案,确保云服务商或任何第三方无法对客户的数据进行解密
云服务商应: a)制定如下策略与规程,并分发至[赋值:云服务商定义的人员或角色]: 1)标识与鉴别策略、访问控制策略(包括信息流控制策略、远程访问策略等),涉及以下内容: 目的、范围、角色、责任、管理层承诺、内部协调、合规性: 2)相关规程,以推动标识与鉴别策略、访间控制策略及有关安全措施的实施。 b)按照赋值:云服务商定义的频率7审查和更新标识与鉴别策略、访间控制策略及相关规程。
a)制定如下策略与规程,并分发至[赋值:云服务商定义的人员或角色]: 1)标识与鉴别策略、访问控制策略(包括信息流控制策略、远程访问策略等),涉及以下内容: 目的、范围、角色、责任、管理层承诺、内部协调、合规性: 2)相关规程,以推动标识与鉴别策略、访间控制策略及有关安全措施的实施。 b)按照赋值:云服务商定义的频率7审查和更新标识与鉴别策略、访间控制策略及相关规程
云服务商应: )对信息系统的用户进行唯一标识和鉴别: b)对特权账号的网络访间实施多因子鉴别
a)对非特权账号的网络访间实施多因子鉴别: b)对特权账号的本地访问实施多因子鉴别; e)对持权账号的网络访问实施抗重放鉴别机制,如动态日令; d》在对特权账号的网络访间实施多因子鉴别时.确保其中一个因子由与系统分离的设备提供,以 防止鉴别凭证在系统中存储时受到破坏: 在对非特权账号的网络访问实施多因子鉴别时,确保其中二个因子由与系统分离的设备提供 以防止鉴别凭证在系统中存储时受到破坏
a)对非特权账号的网络访间实施多因子鉴别; b)对特权账号的本地访问实施多因子鉴别: e)对持权账号的网络访问实施抗重放鉴别机制,如动态日令; d》在对特权账号的网络访间实施多因子鉴别时.确保其中一个因子由与系统分离的设备提供,以 防止鉴别凭证在系统中存储时受到破坏: 在对非特权账号的网络访问实施多因子鉴别时,确保其中一个因子由与系统分离的设备提供 以防止鉴别凭证在系统中存储时受到破坏
在赋值:云服务商定义的设备与云计算 【选择:本地:网络】连接前,云服务商应对该设备 进行唯一性标识和鉴别,如利用设备的介质访问控 制(MAC)地址
云服务商应通过以下步骤管理云计算平台中的标识符: a) )明确由授权人员分配个人、组、角色或设备标识符: b) 设定或选择个人、组、角色或设备的标识符; c) 将标识符分配给有关个人、组、角色或设备; d)在[赋值:云服务商定义的时间段了内防止对用户或设备标识符的重用: e)在[赋值:云服务商定义的时间段后禁用不活动的用户标识符
通过以下步骤管理鉴别凭证 验证鉴别凭证接收对象(个人、组、角色或设备)的身份: 2) 确定鉴别凭证的初始内容; 3) 确保鉴别凭证能够有效防止伪造和篡改: 4) 针对鉴别凭证的初始分发、丢失处置以及收回.建立和实施管理规程: 5) 强制要求用户更改鉴别凭证的默认内容: 6) 明确鉴别凭证的最小和最大生存时间限制以及再用条件: 7) 对[赋值:云服务商定义的鉴别凭证」·强制要求在[赋值:云服务商定义的时间段之后更 新鉴别凭证: 8) 保护鉴别凭证内容·以防泄露和算改: 9) 采取由设备实现的特定安全保护措施来保护鉴别凭证; 10) 当组或角色账号的成员资格发生变化时,变更该账号的鉴别凭证。 b) 对于基于口令的鉴别: 1) 设立相关机制·能够强制执行最小口令复杂度,该复杂度满足[赋值:云服务商定义的口令 复杂度规则J: 2) 设立相关机制,能够在用户更新口令时·强制变更【赋值:云服务商定义的数目门个字符,确 保新旧口令不同: 3) 对存储和传输的口令进行加密: 强制执行最小和最大生存时间限制,以满足[赋值:云服务商定义的最小生存时间和最大 生存时间 对于基于硬件令牌的鉴别,定义令牌安全质量要求,并部署相关机制予以满足,如基于PKI的 令牌,
a)对于基于PKI的鉴别: 1)通过构建到信任根的认证路径并对其进行验证.包括检查证书状态信息,以确保认证过程 的安全; 2)对相应私钥进行保护。 b)确保未加密的静态鉴别凭证未被嵌人到应用、访问脚本中; )接收赋值:云服务商定义的鉴别凭证时,必须通过本人或可信第三方实施。
云服务商应确保信息系统在鉴别过程中能够隐藏鉴别信息的反馈JC∕T 2418-2017 掺钕硼酸氧钙钆钇激光自倍频晶体通用技术条件及测试方法,以防止鉴别信息被非授权人员 利用
云服务商应确保信息系统在鉴别过程中能够隐藏鉴别信息的反馈,以防止鉴别信息被非授权人员 利用
云服务商应确保系统中的密码模块对操作人员设置了鉴别机制,该机制应满足国家密码管理的 关规定
云服务商应确保系统中的密码模块对操作人员设置了鉴别机制,该机制应满足国家密码管理的 关规定
a)指派账号管理员: b) 标识账号类型(如个人账号、组账号、访客账号、名账号和临时账号): c 建立成为组成员的必需条件: d)标识信息系统的授权用户、组及角色关系,并为每个账号指定访问权限和其他需要的属性: e)针对建立信息系统账号的请求,提请[赋值:云服务商定义的人员或角色的批准: )建立、激活、修改、关闭和注销账号: g)监视账号的使用: h) 当下述情况出现时,通报账号管理员: 1) 当临时账号不再需要时: 2) 当用户离职或调动时: 3) 当变更信息系统用途时。 1) 按照[赋值:云服务商定义的频率】,检查账号是否符合账号管理的要求
a)采用自动方式管理账号: b在[赋值:云服务商定义的时间段】后自动[选择:删除:禁用]临时和应急账号: )在[赋值:云服务商定义的时间段]后自动关闭非活跃账号: d)对账号的建立、更改、禁用和终止行为进行自动审计,并将情况向赋值:云服务商定义的人员 或角色通报: 根据基于角色的访问方案建立和管理特权用户账号,将信息系统的访问及特权纳入角色属性, 并对特权角色的分配进行跟踪和监视
a)采用自动方式管理账号: b)在【赋值:云服务商定义的时间段】后自动[选择:删除;禁用]临时和应急账号: )在[赋值:云服务商定义的时间段]后自动关闭非活跃账号: d) 对账号的建立、更改、禁用和终止行为进行自动审计,并将情况向赋值:云服务商定义的人 或角色通报: 根据基于角色的访问方案建立和管理特权用户账号,将信息系统的访问及特权纳入角色属性 并对特权角色的分配进行跟踪和监视。
a)对云计算平台上信息和系统资源的逻辑访问进行授权: b)在对访问进行授权时应符合工赋值:云服务商定义的职责分离规则
【六层】5524平米带架空层中学教学楼(计算书、实习报告、建筑、结构图)GB/T 311682014