GB/T 31168-2023信息安全技術(shù)云計(jì)算服務(wù)安全能力要求

ICS35030

CCSL.80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T31168—2023

代替GB/T31168—2014

信息安全技術(shù)

云計(jì)算服務(wù)安全能力要求

Informationsecuritytechnology—

Securitycapabilityrequirementsforcloudcomputingservices

2023-05-23發(fā)布2023-12-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T31168—2023

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………2

云計(jì)算安全要求的表達(dá)與實(shí)現(xiàn)

5…………3

云計(jì)算安全措施的實(shí)施責(zé)任

5.1………………………3

云計(jì)算安全措施的作用范圍

5.2………………………4

安全要求的分類

5.3……………………4

安全要求的表述形式

5.4………………5

安全要求的調(diào)整

5.5……………………6

安全計(jì)劃

5.6……………7

系統(tǒng)開(kāi)發(fā)與供應(yīng)鏈安全

6…………………7

資源分配

6.1……………7

系統(tǒng)生命周期

6.2………………………8

采購(gòu)過(guò)程

6.3……………8

系統(tǒng)文檔

6.4……………9

關(guān)鍵性分析

6.5…………………………9

外部服務(wù)

6.6……………10

開(kāi)發(fā)商安全體系架構(gòu)

6.7………………10

開(kāi)發(fā)過(guò)程標(biāo)準(zhǔn)和工具

6.8、……………11

開(kāi)發(fā)過(guò)程配置管理

6.9…………………11

開(kāi)發(fā)商安全測(cè)試和評(píng)估

6.10…………12

開(kāi)發(fā)商提供的培訓(xùn)

6.11………………13

組件真實(shí)性

6.12………………………14

不被支持的系統(tǒng)組件

6.13……………14

供應(yīng)鏈保護(hù)

6.14………………………14

系統(tǒng)與通信保護(hù)

7…………………………16

邊界保護(hù)

7.1……………16

傳輸?shù)谋Ｃ苄院屯暾员Ｗo(hù)

7.2………………………17

網(wǎng)絡(luò)中斷

7.3……………17

可信路徑

7.4……………17

Ⅰ

GB/T31168—2023

密碼使用和管理

7.5……………………18

設(shè)備接入保護(hù)

7.6………………………18

移動(dòng)代碼

7.7……………18

會(huì)話認(rèn)證

7.8……………19

惡意代碼防護(hù)

7.9………………………19

內(nèi)存防護(hù)

7.10…………………………20

系統(tǒng)虛擬化安全性

7.11………………20

網(wǎng)絡(luò)虛擬化安全性

7.12………………21

存儲(chǔ)虛擬化安全性

7.13………………21

安全管理功能的通信保護(hù)

7.14………………………22

訪問(wèn)控制

8…………………22

用戶標(biāo)識(shí)與鑒別

8.1……………………22

標(biāo)識(shí)符管理

8.2…………………………22

鑒別憑證管理

8.3………………………23

鑒別憑證反饋

8.4………………………24

密碼模塊鑒別

8.5………………………24

賬號(hào)管理

8.6……………24

訪問(wèn)控制的實(shí)施

8.7……………………25

信息流控制

8.8…………………………26

最小特權(quán)

8.9……………26

未成功的登錄嘗試

8.10………………27

系統(tǒng)使用通知

8.11……………………27

前次訪問(wèn)通知

8.12……………………27

并發(fā)會(huì)話控制

8.13……………………28

會(huì)話鎖定

8.14…………………………28

未進(jìn)行標(biāo)識(shí)和鑒別情況下可采取的行動(dòng)

8.15………28

安全屬性

8.16…………………………29

遠(yuǎn)程訪問(wèn)

8.17…………………………29

無(wú)線訪問(wèn)

8.18…………………………30

外部信息系統(tǒng)的使用

8.19……………30

可供公眾訪問(wèn)的內(nèi)容

8.20……………30

訪問(wèn)安全

8.21WEB……………………31

訪問(wèn)安全

8.22API……………………31

數(shù)據(jù)保護(hù)

9…………………32

通用數(shù)據(jù)安全

9.1………………………32

媒體訪問(wèn)和使用

9.2……………………32

剩余信息保護(hù)

9.3………………………33

Ⅱ

GB/T31168—2023

數(shù)據(jù)使用保護(hù)

9.4………………………33

數(shù)據(jù)共享保護(hù)

9.5………………………34

數(shù)據(jù)遷移保護(hù)

9.6………………………34

配置管理

10………………35

配置管理計(jì)劃

10.1……………………35

基線配置

10.2…………………………35

變更控制

10.3…………………………35

配置參數(shù)的設(shè)置

10.4…………………36

最小功能原則

10.5……………………37

信息系統(tǒng)組件清單

10.6………………38

維護(hù)管理

11………………38

受控維護(hù)

11.1…………………………38

維護(hù)工具

11.2…………………………39

遠(yuǎn)程維護(hù)

11.3…………………………39

維護(hù)人員

11.4…………………………40

及時(shí)維護(hù)

11.5…………………………40

缺陷修復(fù)

11.6…………………………40

安全功能驗(yàn)證

11.7……………………41

軟件和固件完整性

11.8………………41

應(yīng)急響應(yīng)

12………………42

事件處理計(jì)劃

12.1……………………42

事件處理

12.2…………………………42

事件報(bào)告

12.3…………………………43

事件處理支持

12.4……………………43

安全警報(bào)

12.5…………………………43

錯(cuò)誤處理

12.6…………………………44

應(yīng)急響應(yīng)計(jì)劃

12.7……………………44

應(yīng)急響應(yīng)培訓(xùn)

12.8……………………45

應(yīng)急演練

12.9…………………………45

信息系統(tǒng)備份

12.10……………………46

支撐客戶的業(yè)務(wù)連續(xù)性計(jì)劃

12.11……………………46

電信服務(wù)

12.12…………………………47

審計(jì)

13……………………47

可審計(jì)事件

13.1………………………47

審計(jì)記錄內(nèi)容

13.2……………………48

審計(jì)記錄存儲(chǔ)容量

13.3………………48

審計(jì)過(guò)程失敗時(shí)的響應(yīng)

13.4…………48

Ⅲ

GB/T31168—2023

審計(jì)的審查分析和報(bào)告

13.5、…………48

審計(jì)處理和報(bào)告生成

13.6……………49

時(shí)間戳

13.7……………50

審計(jì)信息保護(hù)

13.8……………………50

抗抵賴性

13.9…………………………50

審計(jì)記錄留存

13.10……………………51

風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控

14…………………51

風(fēng)險(xiǎn)評(píng)估

14.1…………………………51

脆弱性掃描

14.2………………………51

持續(xù)監(jiān)控

14.3…………………………52

信息系統(tǒng)監(jiān)測(cè)

14.4……………………53

垃圾信息監(jiān)測(cè)

14.5……………………54

安全組織與人員

15………………………54

安全策略與規(guī)程

15.1…………………54

安全組織

15.2…………………………54

崗位風(fēng)險(xiǎn)與職責(zé)

15.3…………………55

人員篩選

15.4…………………………55

人員離職

15.5…………………………56

人員調(diào)動(dòng)

15.6…………………………56

第三方人員安全

15.7…………………56

人員處罰

15.8…………………………57

安全培訓(xùn)

15.9…………………………57

物理與環(huán)境安全

16………………………58

物理設(shè)施與設(shè)備選址

16.1……………58

物理和環(huán)境規(guī)劃

16.2…………………58

物理環(huán)境訪問(wèn)授權(quán)

16.3………………59

物理環(huán)境訪問(wèn)控制

16.4………………59

輸出設(shè)備訪問(wèn)控制

16.5………………60

物理訪問(wèn)監(jiān)控

16.6……………………60

訪客訪問(wèn)記錄

16.7……………………60

設(shè)備運(yùn)送和移除

16.8…………………61

附錄資料性安全能力要求匯總

A()……………………62

附錄資料性本文件的實(shí)現(xiàn)情況描述

B()………………68

參考文獻(xiàn)

……………………70

Ⅳ

GB/T31168—2023

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定起草

GB/T1.1—2020《1:》。

本文件代替信息安全技術(shù)云計(jì)算服務(wù)安全能力要求與

GB/T31168—2014《》,GB/T31168—

相比除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外主要技術(shù)變化如下

2014,,:

更改了本文件的適用范圍見(jiàn)第章年版的第章

a)(1,20141);

增加了對(duì)和的規(guī)范性引用見(jiàn)第章

b)GB/T32400—2015GB/T35273—2020(3、9.1.1);

更改了部分術(shù)語(yǔ)和定義見(jiàn)第章年版的第章

c)(3,20143);

增加了縮略語(yǔ)一章見(jiàn)第章

d)“”(4);

將云服務(wù)模式更改為云能力類型見(jiàn)

e)“”“”(5.1);

增加了高級(jí)要求每類安全要求分別對(duì)應(yīng)一般要求增強(qiáng)要求和高級(jí)要求見(jiàn)

f),、(5.4);

刪除了本文件的結(jié)構(gòu)見(jiàn)年版的

g)“”(20144.7);

刪除了原各類要求分別對(duì)應(yīng)的策略與規(guī)程整合至第章的策略與規(guī)程見(jiàn)年

h),14“”(14.1,2014

版的和

5.1、6.1、7.1、8.1、9.1、10.1、11.1、12.1、13.114.1);

增加了安全管理功能的通信保護(hù)見(jiàn)

i)“”(7.14);

增加了訪問(wèn)安全訪問(wèn)安全見(jiàn)

j)“WEB”“API”(8.21、8.22);

增加了數(shù)據(jù)保護(hù)一章提出數(shù)據(jù)安全要求確保客戶遷移數(shù)據(jù)過(guò)程中的業(yè)務(wù)連續(xù)性和數(shù)據(jù)完

k)“”,,

整性見(jiàn)第章

(9);

將維護(hù)一章的名稱更改為維護(hù)管理見(jiàn)第章年版的第章

l)“”“”(11,20149);

更改了機(jī)房設(shè)計(jì)的內(nèi)容見(jiàn)第章年版的第章

m)“”(16,201414)。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

。。

本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本文件起草單位中電數(shù)據(jù)服務(wù)有限公司四川大學(xué)杭州安恒信息技術(shù)股份有限公司中國(guó)科學(xué)技術(shù)

:、、、

大學(xué)中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心國(guó)家信息技術(shù)安全研究中心中國(guó)

、、、、

信息安全測(cè)評(píng)中心中國(guó)信息通信研究院北京信息安全測(cè)評(píng)中心國(guó)家工業(yè)信息安全發(fā)展研究中心中國(guó)

、、、、

軟件評(píng)測(cè)中心中國(guó)移動(dòng)通信集團(tuán)有限公司中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司神州網(wǎng)信技術(shù)有限公司深

、、、、

信服科技股份有限公司寧夏西云數(shù)據(jù)科技有限公司三六零數(shù)字安全科技集團(tuán)有限公司螞蟻科技集團(tuán)

、、、

股份有限公司合肥高維數(shù)據(jù)技術(shù)有限公司上海市方達(dá)北京律師事務(wù)所北京中測(cè)安華科技有限公司

、、()、、

中電和瑞科技有限公司阿里云計(jì)算有限公司武漢理工大學(xué)四川發(fā)展大數(shù)據(jù)產(chǎn)業(yè)投資有限責(zé)任公司南

、、、、

方電網(wǎng)數(shù)字傳媒科技有限公司上海觀安信息技術(shù)股份有限公司中科銳眼天津科技有限公司

、、()。

本文件主要起草人周亞超羅永剛左曉棟陳興蜀李世鋒張建軍閔京華楊建軍李斌伍揚(yáng)

:、、、、、、、、、、

王惠蒞張弛單博深許皖秀崔占華王啟旭楊苗苗張明天劉佳良胡華明丁曉史大為盧夏

、、、、、、、、、、、、、

李媛何延哲劉俊河王強(qiáng)陳雪鴻楊帥鋒柳彩云胡振泉耿貴寧邵江寧韋韜郭亮賈依真

、、、、、、、、、、、、、

葉潤(rùn)國(guó)田輝尹云霞杜宇鴿安兆彬吳復(fù)偉張濱江為強(qiáng)劉雨桁楊婷李安倫肖廣娣程軍軍

、、、、、、、、、、、、、

王坤張峰邱勤艾青松龍毅宏張大江黃少青果靖鄭珂雪陳清明王永基鄭赳楊勃王朝棟

、、、、、、、、、、、、、、

張照龍蔣韜趙洪宇

、、。

本文件及其所替代文件的歷次版本發(fā)布情況為

:

年首次發(fā)布

———2014GB/T31168—2014;

本次為第一次修訂

———。

Ⅴ

GB/T31168—2023

引言

本文件與信息安全技術(shù)云計(jì)算服務(wù)安全指南構(gòu)成了云計(jì)算服務(wù)安全管理

GB/T31167—2023《》

的基礎(chǔ)文件提出了客戶采用云計(jì)算服務(wù)的安全管理基本原則給出了采用云計(jì)

。GB/T31167—2023,

算服務(wù)的生命周期各階段的安全管理和技術(shù)措施本文件面向云服務(wù)商描述了提供云計(jì)算服務(wù)時(shí)應(yīng)具

;,

備的安全技術(shù)能力

。

參照本文件分為一般要求