<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 34942—2017 信息安全技術 云計算服務安全能力評估方法
    展開或關閉
    前言
    前言
    引言
    引??言
    1 范圍
    1 范圍
    2 規范性引用文件
    2 規范性引用文件
    3 術語和定義
    3 術語和定義
    4 概述
    4.1 評估原則 4.2 評估內容 4.3 評估證據 4.4 評估實施過程
    5 系統開發與供應鏈安全評估方法
    5.1 策略與規程 5.2 資源分配 5.3 系統生命周期 5.4 采購過程 5.5 系統文檔 5.6 安全工程原則 5.7 關鍵性分析 5.8 外部信息系統服務及相關服務 5.9 開發商安全體系架構 5.10 開發過程、標準和工具 5.11 開發商配置管理 5.12 開發商安全測試和評估 5.13 開發商提供的培訓 5.15 組件真實性 5.16 不被支持的系統組件 5.17 供應鏈保護
    6 系統與通信保護評估方法
    6.1 策略與規程 6.2 邊界保護 6.3 傳輸保密性和完整性 6.4 網絡中斷 6.6 密碼使用和管理 6.7 協同計算設備 6.8 移動代碼 6.9 會話認證 6.10 移動設備的物理連接 6.11 惡意代碼防護 6.12 內存防護 6.13 系統虛擬化安全性 6.14 網絡虛擬化安全性 6.15 存儲虛擬化安全性
    7 訪問控制評估方法
    7.1 策略與規程 7.3 設備標識與鑒別 7.4 標識符管理 7.5 鑒別憑證管理 7.6 鑒別憑證反饋 7.7 密碼模塊鑒別 7.8 賬號管理 7.9 訪問控制的實施 7.10 信息流控制 7.11 最小特權 7.12 未成功的登錄嘗試 7.15 并發會話控制 7.16 會話鎖定 7.17 未進行標識和鑒別情況下可采取的行動 7.18 安全屬性 7.19 遠程訪問 7.20 無線訪問 7.21 外部信息系統的使用 7.22 信息共享 7.23 可供公眾訪問的內容 7.24 數據挖掘保護 7.25 介質訪問和使用 7.26 服務關閉和數據遷移
    8 配置管理評估方法
    8.1 策略與規程 8.2 配置管理計劃 8.3 基線配置 8.4 變更控制 8.5 配置參數的設置 8.6 最小功能原則 8.7 信息系統組件清單
    9 維護評估方法
    9.1 策略與規程 9.2 受控維護 9.3 維護工具 9.4 遠程維護 9.6 及時維護 9.7 缺陷修復 9.8 安全功能驗證 9.9 軟件、固件、信息完整性
    10 應急響應與災備評估方法
    10.1 策略與規程 10.2 事件處理計劃 10.3 事件處理 10.4 事件報告 10.5 事件處理支持 10.6 安全警報 10.7 錯誤處理 10.8 應急響應計劃 10.9 應急培訓 10.10 應急演練 10.11 信息系統備份 10.12 支撐客戶的業務連續性計劃 10.13 電信服務
    11 審計評估方法
    11.1 策略與規程 11.2 可審計事件 11.3 審計記錄內容 11.4 審計記錄存儲容量 11.5 審計過程失敗時的響應 11.6 審計的審查、分析和報告 11.7 審計處理和報告生成 11.8 時間戳 11.9 審計信息保護 11.10 不可否認性 11.11 審計記錄留存
    12 風險評估與持續監控評估方法
    12.1 策略與規程 12.2 風險評估 12.3 脆弱性掃描 12.4 持續監控 12.5 信息系統監測 12.6 垃圾信息監測
    13 安全組織與人員評估方法
    13.1 策略與規程 13.2 安全組織 13.3 安全資源 13.4 安全規章制度 13.5 崗位風險與職責 13.6 人員篩選 13.7 人員離職 13.8 人員調動 13.9 訪問協議 13.10 第三方人員安全 13.11 人員處罰 13.12 安全培訓
    14 物理與環境安全評估方法
    14.1 策略與規程 14.2 物理設施與設備選址 14.3 物理和環境規劃 14.4 物理環境訪問授權 14.5 物理環境訪問控制 14.6 通信能力防護 14.7 輸出設備訪問控制 14.8 物理訪問監控 14.9 訪客訪問記錄 14.10 電力設備和電纜安全保障 14.11 應急照明能力 14.12 消防能力 14.13 溫濕度控制能力 14.14 防水能力 14.15 設備運送和移除
    參考文獻
    參考文獻

    6.2 邊界保護

    GB/T 34942—2017 信息安全技術 云計算服務安全能力評估方法 /

    6.2.1 一般要求

    6.2.1.1 評估內容

    詳見GB/T31168-2014中6.2.1的a)、b)和c)。

    6.2.1.2 評估方法

    6.2.1.2.1 對a)的評估方法為:

    ——檢查邊界保護策略與規程、系統設計說明書等相關文檔,查看在連接外部系統的邊界和內部關鍵邊界上以及訪問系統的關鍵邏輯邊界上,是否建立對通信進行監控的機制;

    ——檢查云計算平臺的邊界網絡、安全設備、審計系統等,查看其是否有對連接外部系統的邊界和內部關鍵邊界以及訪問系統的關鍵邏輯邊界進行監控的配置信息和監控記錄;

    ——訪談網絡管理員或安全管理員等相關人員,詢問其邊界防護措施的監控情況。

    6.2.1.2.2 對 b)的評估方法為:

    ——檢查邊界保護策略與規程、系統設計說明書等相關文檔,查看其是否建立外部公開直接訪問組件與內部網絡安全隔離的相關機制,是否建立允許外部人員訪問組件與允許客戶訪問組件邏輯隔離的相關機制;

    ——訪談網絡管理員或安全管理員等相關人員,詢問其內外網隔離、邏輯隔離的實現情況;

    ——測試邏輯隔離的機制,驗證允許外部公開直接訪問的組件與內部網絡是否劃分在邏輯隔離的子網上,驗證允許外部人員訪問的組件與允許客戶訪問的組件是否實現嚴格的邏輯隔離。

    6.2.1.2.3 對c)的評估方法為:

    ——檢查邊界保護策略與規程、系統設計說明書等相關文檔,查看其是否建立只能通過嚴格管理的接口與外部網絡或信息系統連接的相關機制;

    ——檢查與外部網絡或信息系統的連接的接口,查看其是否部署了邊界保護設備;

    ——訪談網絡管理員或安全管理員等相關人員,詢問其與外部網絡或信息系統的連接是否只通過嚴格管理的接口進行;

    ——測試外部網絡或信息系統的連接機制,驗證與外部網絡或信息系統的連接是否只通過嚴格管理的接口進行。

    6.2.2 增強要求

    6.2.2.1 評估內容

    詳見GB/T31168-2014中6.2.2的a)、b)、c)、d)、e)、f)、g)、h)和i)。

    6.2.2.2 評估方法

    6.2.2.2.1 對a)的評估方法為:

    ——檢查邊界保護策略與規程、系統設計說明書等相關文檔,查看計算平臺、存儲平臺、內部網絡環境及相關維護、安防、電源等設施是否物理獨立,并經由受控邊界與外部網絡或信息系統相連;

    ——檢查云計算平臺的實際物理環境和受控邊界設備,查看其是否按照方案所設計的內容進行實施;

    ——訪談系統開發人員等相關人員,詢問其計算平臺、存儲平臺、內部網絡環境及相關維護、安防、 電源等設施是否物理獨立,并經由受控邊界與外部網絡或信息系統相連。

    6.2.2.2.2 對b)的評估方法為:

    ——檢查邊界保護策略與規程、系統設計說明書等相關文檔,查看其是否限制了信息系統外部訪問接入點的數量;

    ——檢查邊界保護設備的配置信息,查看其是否限制了信息系統外部訪問接入點的數量;

    ——訪談網絡管理員或安全管理員等相關人員,詢問其信息系統外部訪問接入點的數量限制情況。

    6.2.2.2.3 對c)的評估方法為:

    ——檢查邊界保護策略與規程、系統設計說明書、電信服務合同等其他相關文檔,查看其是否針對c)的要求制定了外部電信服務的安全管理措施;

    ——檢查外部的電信服務接口,查看其是否對每一個外部接口采取了安全管理措施:

    ——檢查接口通信流,查看其是否對每一個接口采取了通信流策略并有效;

    ——訪談網絡管理員或安全管理員等相關人員,詢問其傳輸信息流的保密性和完整性保護機制的情況;

    ——測試傳輸信息流的保密性和完整性保護機制,驗證其有效性。例如,測試實際數據傳輸使用的傳輸協議,并進行數據包分析;

    ——檢查出現通信流策略的例外情況時的的通信流策略例外條款,查看其是否記錄了相關業務需求和通信持續時間;

    ——檢查網絡通信流策略中的例外條款的審查記錄,查看其是否符合云服務商定義的審查頻率,是否刪除了不再需要的例外條款。

    6.2.2.2.4 對d)的評估方法為:

    ——檢查外部通信接口授權策略等相關文檔,查看其是否建立外部通信接口授權機制;

    ——測試外部通信接口數據傳輸機制,驗證是否存在非授權的數據傳輸外部通信接口;

    ——訪談網絡管理員或安全管理員等相關人員,詢問其外部通信接口授權機制落實情況。

    6.2.2.2.5 對e)的評估方法為:

    ——檢查邊界保護策略與規程、系統設計說明書等相關文檔,查看其是否有禁止遠程管理設備維護云計算平臺時直接連接其他網絡資源的內容;

    ——檢查云計算平臺的遠程管理設備,查看其是否建立有效的機制防止同時直接連接與云平臺無關的網絡;

    ——訪談網絡管理員或安全管理員等相關人員,詢問遠程維護管理云計算平臺時,防止遠程管理設備同時直接連接其他網絡資源的情況。

    6.2.2.2.6 對f)的評估方法為:

    ——檢查邊界保護策略與規程、系統設計說明書等相關文檔,查看其是否支持客戶使用安全的代理服務器完成遠程對云平臺數據的導入導出;

    ——訪談安全管理員等相關人員,詢問能否為客戶提供獨立的代理服務器實現信息的導入導出。

    6.2.2.2.7 對g)的評估方法為:

    ——檢查邊界保護策略與規程、網絡架構設計文檔,查看其是否有物理獨立的管理網絡對云計算平臺進行管理的機制;

    ——檢查云計算平臺管理網絡,查看其是否為物理獨立,并連接了管理工具和被管設備或資源;

    ——訪談網絡管理員或安全管理員等相關人員,詢問其云計算平臺管理網絡是否為物理獨立。

    6.2.2.2.8 對h)的評估方法為:

    ——檢查邊界保護策略與規程、系統設計說明書等相關文檔,查看其是否定義了邊界保護失效情況和以及對應的受影響部分,查看其是否包含了在邊界保護失效情況下,確保云計算平臺中受影響部分能夠安全地終止運行的機制;

    ——訪談網絡管理員或安全管理員等相關人員,詢問在邊界保護失效情況下,是否能確保云計算平臺中受影響部分能夠安全地終止運行。

    6.2.2.2.9 對i)的評估方法為:

    ——檢查邊界保護策略與規程、網絡架構設計等相關文檔,查看其是否有采取措施實現不同客戶或同一用戶不同業務信息系統的隔離機制;

    ——訪談網絡管理員或安全管理員等相關人員,詢問其不同客戶或同一用戶不同業務信息系統的隔離機制實現情況;

    ——測試不同客戶或同一用戶不同業務信息系統之間的隔離機制,驗證隔離機制是否有效。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    Andrew
    1.9k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类