<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 34942—2017 信息安全技術 云計算服務安全能力評估方法
    展開或關閉
    前言
    前言
    引言
    引??言
    1 范圍
    1 范圍
    2 規范性引用文件
    2 規范性引用文件
    3 術語和定義
    3 術語和定義
    4 概述
    4.1 評估原則 4.2 評估內容 4.3 評估證據 4.4 評估實施過程
    5 系統開發與供應鏈安全評估方法
    5.1 策略與規程 5.2 資源分配 5.3 系統生命周期 5.4 采購過程 5.5 系統文檔 5.6 安全工程原則 5.7 關鍵性分析 5.8 外部信息系統服務及相關服務 5.9 開發商安全體系架構 5.10 開發過程、標準和工具 5.11 開發商配置管理 5.12 開發商安全測試和評估 5.13 開發商提供的培訓 5.15 組件真實性 5.16 不被支持的系統組件 5.17 供應鏈保護
    6 系統與通信保護評估方法
    6.1 策略與規程 6.2 邊界保護 6.3 傳輸保密性和完整性 6.4 網絡中斷 6.6 密碼使用和管理 6.7 協同計算設備 6.8 移動代碼 6.9 會話認證 6.10 移動設備的物理連接 6.11 惡意代碼防護 6.12 內存防護 6.13 系統虛擬化安全性 6.14 網絡虛擬化安全性 6.15 存儲虛擬化安全性
    7 訪問控制評估方法
    7.1 策略與規程 7.3 設備標識與鑒別 7.4 標識符管理 7.5 鑒別憑證管理 7.6 鑒別憑證反饋 7.7 密碼模塊鑒別 7.8 賬號管理 7.9 訪問控制的實施 7.10 信息流控制 7.11 最小特權 7.12 未成功的登錄嘗試 7.15 并發會話控制 7.16 會話鎖定 7.17 未進行標識和鑒別情況下可采取的行動 7.18 安全屬性 7.19 遠程訪問 7.20 無線訪問 7.21 外部信息系統的使用 7.22 信息共享 7.23 可供公眾訪問的內容 7.24 數據挖掘保護 7.25 介質訪問和使用 7.26 服務關閉和數據遷移
    8 配置管理評估方法
    8.1 策略與規程 8.2 配置管理計劃 8.3 基線配置 8.4 變更控制 8.5 配置參數的設置 8.6 最小功能原則 8.7 信息系統組件清單
    9 維護評估方法
    9.1 策略與規程 9.2 受控維護 9.3 維護工具 9.4 遠程維護 9.6 及時維護 9.7 缺陷修復 9.8 安全功能驗證 9.9 軟件、固件、信息完整性
    10 應急響應與災備評估方法
    10.1 策略與規程 10.2 事件處理計劃 10.3 事件處理 10.4 事件報告 10.5 事件處理支持 10.6 安全警報 10.7 錯誤處理 10.8 應急響應計劃 10.9 應急培訓 10.10 應急演練 10.11 信息系統備份 10.12 支撐客戶的業務連續性計劃 10.13 電信服務
    11 審計評估方法
    11.1 策略與規程 11.2 可審計事件 11.3 審計記錄內容 11.4 審計記錄存儲容量 11.5 審計過程失敗時的響應 11.6 審計的審查、分析和報告 11.7 審計處理和報告生成 11.8 時間戳 11.9 審計信息保護 11.10 不可否認性 11.11 審計記錄留存
    12 風險評估與持續監控評估方法
    12.1 策略與規程 12.2 風險評估 12.3 脆弱性掃描 12.4 持續監控 12.5 信息系統監測 12.6 垃圾信息監測
    13 安全組織與人員評估方法
    13.1 策略與規程 13.2 安全組織 13.3 安全資源 13.4 安全規章制度 13.5 崗位風險與職責 13.6 人員篩選 13.7 人員離職 13.8 人員調動 13.9 訪問協議 13.10 第三方人員安全 13.11 人員處罰 13.12 安全培訓
    14 物理與環境安全評估方法
    14.1 策略與規程 14.2 物理設施與設備選址 14.3 物理和環境規劃 14.4 物理環境訪問授權 14.5 物理環境訪問控制 14.6 通信能力防護 14.7 輸出設備訪問控制 14.8 物理訪問監控 14.9 訪客訪問記錄 14.10 電力設備和電纜安全保障 14.11 應急照明能力 14.12 消防能力 14.13 溫濕度控制能力 14.14 防水能力 14.15 設備運送和移除
    參考文獻
    參考文獻

    5.12 開發商安全測試和評估

    GB/T 34942—2017 信息安全技術 云計算服務安全能力評估方法 /

    5.12.1 一般要求

    5.12.1.1 評估內容

    詳見GB/T31168-2014中5.12.1的a)、b)、c)、d)和e)。

    5.12.1.2 評估方法

    5.12.1.2.1 對a)的評估方法為:

    ——檢查系統開發與供應鏈安全策略與規程等相關文檔,查看其是否有要求開發商制定并實施云計算平臺信息系統、組件或服務開發清單中相應安全評估計劃的內容;

    ——檢查云服務商收到的安全評估計劃,查看開發商是否按要求制定了安全評估計劃。

    5.12.1.2.2 對b)的評估方法為:

    ——檢查系統開發與供應鏈安全策略與規程等相關文檔,查看其是否定義了在單元、集成、系統或回歸測試或評估時應執行的深度和覆蓋面。

    5.12.1.2.3 對c)的評估方法為:

    ——檢查系統開發與供應鏈安全策略與規程等相關文檔,查看其是否有要求開發商提供安全評估計劃的實施證明材料和安全評估結果的內容;

    ——檢查云服務商收到的安全評估計劃、安全評估報告等相關文檔,查看開發商是否按照云服務商定義的深度和覆蓋面執行相應的測試或評估。

    5.12.1.2.4 對d)的評估方法為:

    ——檢查系統開發與供應鏈安全策略與規程等相關文檔,查看其是否有要求開發商實施可驗證的缺陷修復過程的內容;

    ——檢查云服務商收到的缺陷修復報告等相關文檔,查看開發商是否實施了可被驗證的修復過程;

    ——訪談云服務商的系統安全負責人等相關人員,詢問其缺陷修復過程是否可以被驗證。

    5.12.1.2.5 對e)的評估方法為:

    ——檢查系統開發與供應鏈安全策略與規程等相關文檔,查看其是否有要求開發商更正在安全評估過程中發現的脆弱性和不足的內容;

    ——檢查云服務商收到的安全評估報告、缺陷修復報告等相關記錄,查看開發商是否更正了在安全評估過程中發現的脆弱性和不足。

    5.12.2 增強要求

    5.12.2.1 評估內容

    詳見GB/T31168-2014中5.12.2的a)、b)、c)、d)、e)、f)、g)和h)。

    5.12.2.2 評估方法

    5.12.2.2.1 對a)的評估方法為:

    ——檢查系統開發與供應鏈安全策略與規程等相關文檔,查看其是否有要求開發商在開發階段使用靜態代碼分析工具識別常見缺陷以及記錄分析結果的內容;

    ——檢查云服務商收到的缺陷分析報告或記錄等相關文檔,查看開發商是否在開發階段使用靜態代碼分析工具識別常見缺陷。

    5.12.2.2.2 對b)的評估方法為:

    ——檢查系統開發與供應鏈安全策略與規程等相關文檔,查看其是否有要求開發商實施威脅和脆弱性分析,并測試或評估已開發完成的信息系統、組件或服務的內容;

    ——檢查云服務商收到的缺陷分析報告或記錄等相關文檔,查看開發商是否對威脅和脆弱性進行了分析;

    ——檢查云服務商收到的測試或評估報告,查看開發商是否對已開發完成的系統、組件或服務進行了測試或評估。

    5.12.2.2.3.1 對c)中條款1)的評估方法為:

    ——檢查系統開發與供應鏈安全策略與規程等相關文檔,查看其是否定義了第三方的獨立性準則;是否要求選擇所定義的第三方驗證開發商實施安全評估計劃的正確性以及在安全測試或評估過程中產生的證據;

    ——檢查云服務商提供的第三方資質證明等相關材料,查看云服務商是否按照所定義的獨立性準則選擇第三方。

    5.12.2.2.3.2 對c)中條款2)的評估方法為:

    ——檢查系統開發與供應鏈安全策略與規程等相關文檔,查看其是否有對開發商進行評估時,確保獨立第三方能夠獲得足夠的資料來完成驗證過程,或已被授予獲得此類信息的訪問權限的要求;

    ——檢查云服務商與第三方簽訂的合同等相關文檔,查看其是否能確保獨立第三方完成驗證過程,或已被授予獲得所需信息的訪問權限;

    ——訪談系統安全負責人或獨立第三方等相關人員,詢問其獨立第三方對開發商進行安全評估的情況。

    5.12.2.2.4 對d)的評估方法為:

    ——檢查系統開發與供應鏈安全策略與規程等相關文檔,查看其是否定義了人工代碼審查過程、規程或技術,是否定義了特定代碼;是否要求開發商實施人工代碼審查;是否要求開發商提供易于理解的審查結果;是否要求云服務商使用通過開發商審查的代碼可重構系統;

    ——檢查云服務商收到的人工代碼審查結果,查看開發商是否實施了人工代碼審查;

    ——訪談云服務商的系統安全負責人或系統開發人員等相關人員,詢問其人工代碼審查情況和系統重構情況。

    5.12.2.2.5 對e)的評估方法為:

    ——檢查系統開發與供應鏈安全策略與規程等相關文檔,查看其是否定義了滲透性測試的約束條件;是否定義了滲透性測試的廣度和深度;是否要求開發商按照所定義的約束條件,執行符合要求的廣度和深度的滲透性測試;

    ——檢查云服務商收到的滲透性測試報告,查看其是否按照所定義的約束條件以及廣度和深度執行滲透性測試。

    5.12.2.2.6 對f)的評估方法為:

    ——檢查系統開發與供應鏈安全策略與規程等相關文檔,查看其是否有要求開發商分析所提供的硬件、軟件和固件容易受到攻擊的脆弱點的內容;

    ——檢查云服務商收到的脆弱點分析報告等相關文檔,查看開發商是否進行了脆弱點分析。

    5.12.2.2.7 對g)的評估方法為:

    ——檢查系統開發與供應鏈安全策略與規程等相關文檔,查看其是否定義了開發商驗證安全措施測試或評估的廣度和深度,是否要求開發商驗證安全措施測試或評估過程滿足所定義的廣度和深度要求;

    ——檢查開發商提供的測試或評估報告,查看其是否滿足服務商定義的廣度和深度要求。

    5.12.2.2.8對h)的評估方法為:

    ——檢查系統開發與供應鏈安全策略與規程等相關文檔,查看其是否有要求開發商在開發階段使用動態代碼分析工具識別常見缺陷以及記錄分析結果的內容;

    ——檢查云服務商收到的缺陷分析報告或記錄等相關文檔,查看開發商是否在開發階段使用動態代碼分析工具識別常見缺陷。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    Andrew
    1.9k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类