GA_T 1390.2-2017信息安全技术 网络安全等级保护基本要求 第2部分：云计算安全扩展要求.pdf

ICS 35.40L 80GA中华人民共和国公共安全行业标准GA/T1390.2—2017信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩展要求Information security technologyGeneral requirements for classified protection ofcyber securityPart 2: Special security requirements for cloud computing2017-05-08发布2017-05-08实施中华人民共和国公安部发布 GA/T 1390.2—2017目次前言引言1范围2规范性引用文件3术语和定义云计算安全概述4.1云计算平台构成4.2云计算平台定级5第一级安全要求5.1技术要求5.1.1物理和环境安全5.1.2网络和通信安全网络架构5,1.2.2访间控制人侵防范5.1.2,4安全审计5.1.3设备和计算安全身份鉴别5,1,3,2访间控制安全审计.5,1.3.4人侵防范资源控制..镜像和快照保护5.1.4应用和数据安全安全审计：资源控制·接口安全.数据完整性数据保密性数据备份恢复剩余信息保护...5.2管理要求5,3.1安全管理机构和人员授权人员录用5.2.2安全建设管理测试验收. GA/T 1390.2—20入侵防范人侵防范应符合以下要求：a)应能监测到云租户的网络攻击行为，并能记录攻击类型、改击时间、攻击流量等；b)能检测到虚拟机与宿主机之闻的异常流量。安全审计对云服务商和云租户运程管理时执行特权命令进行审计，至少包括虚拟机删除，虚拟机重启，5.1.3设备和计算安全身份鉴别在网络策略控制器和网络设备(或设备代理)之间建立双向验证机制。访间握制确保只有在云租户授权下，云服务离或第三方才具有云租户数据的管理权限。安全审计安全审计应符合以下要求；a)根据云服务商和云租户的职资则分，收集各白控制部分的审计数据；b)保证云服务商对云租户系统和数据的操作可被云租户审计，入侵防范人侵防范应能检测以下内容：虚拟机对宿主机资源的异常访间；b)虚拟机之间的资源隔离失效，并进行告警，资源控制资源控制应符合以下要求：屏蔽虚拟资源故障，某个虚拟机期溃后不影响虚拟机监视器及其他虚拟机，h)对物理资源和虚报资源按照策略做统一管弹调度与分配；确保云计算平台具有虚拟机内存隔高措施。镜像和快照保护镜像和快照保护应符合以下要求：a)提供虚拟机镜像、快照完整性校验功能，防止虚拟机镜像被恶意宴改；b)采取加密或其他术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访间；e)针对重要业务系统提供加固的操作系统镜像，5.1.4应用和数据安全安全审计安全审计应符合以下要求：4 GA/T 1390.2—2017根据云服务商和云租户的职责划分，收集各自控制部分的审计效据；b)保证云服务商对云租户系统和数据的操作可被云租户审计。资源控制资源控制应符合以下要求：a)1能够对应用系统的运行状况进行监测，并在发现异常时进行告警；b）保证不同云租户的应用系统及开发平台之间的隔离。接口安全保证云计算服务对外接口的安全性。数据完整性确保虚拟机迁移过程中，重要数据的完整性，并在检测到完整性受到破坏时采取必要的恢复措施，5.1,4.5数据保密性数据保密性应符合以下要求a）确保云租户账户信息、鉴别信息、系统信息存储于中国境内；b）确保运维过程产生的配置数据、日志信息等不出境。数据备份恢复应提供查询云租户数据及备份存储位置的方式。剥余信息保护应保证虚拟机所使用的内存和存储空间回收时得到完全清除。5.2管理要求5.2,1安全管理机构和人员授权保证云服务商对云租户业务数据的访问或使用必须经过云租户的投权，授权必须保留相关记录。人员录用应对运维人员进行胃景审查，包括国籍，违法犯罪记录等，外霜人员和具有境外永久居留权的人员不得具有超级管理员权限。5.2.2安全建设管理测试验收应对云计算平台及云租户业务应用系统进行安全性测试验收。5.2,2,22云服务商造择本项要求包括：5 GA/T 1390.2—2017(R确保云服务商的选择符合国家有关规定；b)c)满足服务水平协议(SLA)要求；d)在服务水平协议（SLA)中规定云服务的各项服务内容和具体技术指标：在服务水平协议(SLA)中规定云服务商的权限与责任，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等；f)在服务水平协议(SLA)中规定云计算所能提供的安全服务的内容，并提供安全声明；g)在服务水平协议(SLA)中规定服务合约到期时，完整地返还云租户信息，并承诺相关信息均已在云计算平台上清除。供应链管理供应链管理应符合以下要求：a）确保供应商的选择符合国家有关规定；b）确保供应链安全事件信息或戚胁信息能够及时传达到云租户，5.