GB/T 28448-2019 信息安全技術 網絡安全等級保護測評要求6.2 云計算安全測評擴展要求
6.2 云計算安全測評擴展要求
6.2.1 安全物理環境
6.2.1.1 基礎設施位置
6.2.1.1.1 測評單元(L1-PES2-01)
該測評單元包括以下要求:
a) 測評指標:應保證云計算基礎設施位于中國境內;
b) 測評對象:機房管理員、辦公場地、機房和平臺建設方案;
c) 測評實施包括以下內容:
1) 應訪談機房管理員云計算服務器、存儲設備、網絡設備、云管理平臺、信息系統等運行業務和承載數據的軟硬件是否均位于中國境內;
2) 應核查云計算平臺建設方案,云計算服務器、存儲設備、網絡設備、云管理平臺、信息系統等運行業務和承載數據的軟硬件是否均位于中國境內。
6.2.2 安全通信網絡
6.2.2.1 網絡架構
6.2.2.1.1 測評單元(L1-CNS2-01)
該測評單元包括以下要求:
a) 測評指標:應保證云計算平臺不承載高于其安全保護等級的業務應用系統;
b) 測評對象:云計算平臺和業務應用系統定級備案材料;
c) 測評實施:應核查云計算平臺和云計算平臺承載的業務應用系統相關定級備案材料,云計算平臺安全保護等級是否不低于其承載的業務應用系統安全保護等級;
6.2.2.1.2 測評單元(L1-CNS2-02)
該測評單元包括以下要求:
a) 測評指標:應實現不同云服務客戶虛擬網絡之間的隔離;
b) 測評對象:網絡資源隔離措施、綜合網管系統和云管理平臺;
c) 測評實施包括以下內容:
1) 應核查云服務客戶之間是否采取網絡隔離措施;
2) 應核查云服務客戶之間是否設置并啟用網絡資源隔離策略。
6.2.3 安全區域邊界
6.2.3.1 訪問控制
6.2.3.1.1 測評單元(L1-ABS2-01)
該測評單元包括以下要求:
a) 測評指標:應在虛擬化網絡邊界部署訪問控制機制,并設置訪問控制規則;
b) 測評對象:訪問控制機制、網絡邊界設備和虛擬化網絡邊界設備;
c) 測評實施包括以下內容:
1) 應核查是否在虛擬化網絡邊界部署訪問控制機制,并設置訪問控制規則;
2) 應核查是否設置了云計算平臺和云服務客戶業務系統虛擬化網絡邊界訪問控制規則和訪問控制策略等;
3) 應核查是否設置了云計算平臺的網絡邊界設備或虛擬化網絡邊界設備安全保障機制、訪問控制規則和訪問控制策略等;
4) 應核查是否設置了不同云服務客戶間訪問控制規則和訪問控制策略等;
5) 應核查是否設置了云服務客戶不同安全保護等級業務系統之間訪問控制規則和訪問控制策略等。
d) 單元判定:如果1)-5)均為肯定,則符合本單元測評指標要求,否則不符合或部分符合本單元測評指標要求。
#### 6.2.4.1 訪問控制
6.2.4.1.1 測評單元(L1-CES2-01)
該測評單元包括以下要求:
a) 測評指標:應保證當虛擬機遷移時,訪問控制策略隨其遷移;
b) 測評對象:虛擬機、虛擬機遷移記錄和相關配置;
c) 測評實施包括以下內容:
1) 應核查虛擬機遷移時訪問控制策略是否隨之遷移;
2) 應核查是否具備虛擬機遷移記錄及相關配置。
6.2.4.1.2 測評單元(L1-CES2-02)
該測評單元包括以下要求:
a) 測評指標:應允許云服務客戶設置不同虛擬機之間的訪問控制策略;
b) 測評對象:虛擬機和安全組或相關組件;
c) 測評實施:應核查云服務客戶是否能夠設置不同虛擬機之間訪問控制策略;
6.2.4.2 數據完整性和保密性
6.2.4.2.1 測評單元(L1-CES2-03)
該測評單元包括以下要求:
a) 測評指標:應確保云服務客戶數據、用戶個人信息等存儲于中國境內,如需出境應遵循國家相關規定;
b) 測評對象:數據庫服務器、數據存儲設備和管理文檔記錄;
c) 測評實施包括以下內容:
1) 應核查云服務客戶數據、用戶個人信息所在的服務器及數據存儲設備是否位于中國境內;
2) 應核查上述數據出境時是否符合國家相關規定。
6.2.5 安全建設管理
6.2.5.1 云服務商選擇
6.2.5.1.1 測評單元(L1-CMS2-01)
該測評單元包括以下要求:
a) 測評指標:應選擇安全合規的云服務商,其所提供的云計算平臺應為其所承載的業務應用系統提供相應等級的安全保護能力;
b) 測評對象:系統建設負責人和服務合同;
c) 測評實施包括以下內容:
1) 應訪談系統建設負責人是否根據業務系統的安全保護等級選擇具有相應等級安全保護能力的云計算平臺及云服務商;
2) 應核查云服務商提供的相關服務合同是否明確其云計算平臺具有與所承載的業務應用系統具有相應或高于的安全保護能力。
6.2.5.1.2 測評單元(L1-CMS2-02)
該測評單元包括以下要求:
a) 測評指標:應在服務水平協議中規定云服務的各項服務內容和具體技術指標;
b) 測評對象:服務水平協議或服務合同;
c) 測評實施:應核查服務水平協議或服務合同是否規定了云服務的各項服務內容和具體指標等;
6.2.5.1.3 測評單元(L1-CMS2-03)
該測評單元包括以下要求:
a) 測評指標:應在服務水平協議中規定云服務商的權限與責任,包括管理范圍、職責劃分、訪問授權、隱私保護、行為準則、違約責任等;
b) 測評對象:服務水平協議或服務合同;
c) 測評實施:應核查服務水平協議或服務合同中是否規范了安全服務商和云服務供應商的權限與責任,包括管理范圍、職責劃分、訪問授權、隱私保護、行為準則、違約責任等;
6.2.5.2 供應鏈管理
6.2.5.2.1 測評單元(L1-CMS2-04)
該測評單元包括以下要求:
a) 測評指標:應確保供應商的選擇符合國家有關規定;
b) 測評對象:記錄表單類文檔;
c) 測評實施:應核查云服務商的選擇是否符合國家的有關規定;
推薦文章: