7.2　云計算安全擴展要求

7.2　云計算安全擴展要求

7.2.1　安全物理環境

7.2.1.1　基礎設施位置

應保證云計算基礎設施位于中國境內。

7.2.2　安全通信網絡

7.2.2.1　網絡架構

本項要求包括：
a) 應保證云計算平臺不承載高于其安全保護等級的業務應用系統；
b) 應實現不同云服務客戶虛擬網絡之間的隔離；

7.2.3　安全區域邊界

7.2.3.1　訪問控制

本項要求包括：
a) 應在虛擬化網絡邊界部署訪問控制機制，并設置訪問控制規則；

7.2.3.2　入侵防范

本項要求包括：
a) 應能檢測到云服務客戶發起的網絡攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流量等；
b) 應能檢測到對虛擬網絡節點的網絡攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流量等；

7.2.3.3　安全審計

本項要求包括：
a) 應對云服務商和云服務客戶在遠程管理時執行的特權命令進行審計，至少包括虛擬機刪除、虛擬機重啟；

7.2.4　安全計算環境

7.2.4.1　訪問控制

本項要求包括：
a) 應保證當虛擬機遷移時，訪問控制策略隨其遷移；

7.2.4.2　鏡像和快照保護

本項要求包括：
a) 應針對重要業務系統提供加固的操作系統鏡像或操作系統安全加固服務；

7.2.4.3　數據完整性和保密性

本項要求包括：
a) 應確保云服務客戶數據、用戶個人信息等存儲于中國境內，如需出境應遵循國家相關規定；
b) 應確保只有在云服務客戶授權下，云服務商或第三方才具有云服務客戶數據的管理權限；

7.2.4.4　數據備份恢復

本項要求包括：
a) 云服務客戶應在本地保存其業務數據的備份；

7.2.4.5　剩余信息保護

本項要求包括：
a) 應保證虛擬機所使用的內存和存儲空間回收時得到完全清除；

7.2.5　安全建設管理

7.2.5.1　云服務商選擇

本項要求包括：
a) 應選擇安全合規的云服務商，其所提供的云計算平臺應為其所承載的業務應用系統提供相應等級的安全保護能力；
b) 應在服務水平協議中規定云服務的各項服務內容和具體技術指標；
c) 應在服務水平協議中規定云服務商的權限與責任，包括管理范圍、職責劃分、訪問授權、隱私保護、行為準則、違約責任等；

7.2.5.2　供應鏈管理

本項要求包括：
a) 應確保供應商的選擇符合國家有關規定；

7.2.6　安全運維管理

7.2.6.1　云計算環境管理

云計算平臺的運維地點應位于中國境內，境外對境內云計算平臺實施運維操作應遵循國家相關規定。