GB/T 34942—2017 信息安全技術 云計算服務安全能力評估方法6.8 移動代碼
6.8.1 一般要求
6.8.1.1 評估內容
詳見GB/T31168-2014中6.8.1。
6.8.1.2 評估方法
6.8.1.2.1 評估方法如下:
——檢查系統與通信保護策略與規程、系統設計說明書、需求說明書等相關文檔,查看其是否根據安全需求和客戶的要求制定移動代碼使用策略,對移動代碼的使用進行限制,并對允許使用的移動代碼進行監視的內容;
——訪談系統安全負責人或安全管理員等相關人員,詢問移動代碼使用策略的制定和使用限制情況;
——檢查云計算平臺中移動代碼的使用策略,查看其是否符合使用限制要求;
——檢查對移動代碼的監視記錄,查看其是否對允許使用的移動代碼進行監視;
——測試云計算平臺中移動代碼的限制機制,驗證其是否能夠對移動代碼的使用進行合理限制。
6.8.2 增強要求
6.8.2.1 評估內容
詳見GB/T31168-2014中6.8.2的a)和b)。
6.8.2.2 評估方法
6.8.2.2.1 對a)的評估方法為:
——檢查移動代碼策略、系統設計說明書等相關文檔,查看其是否有在移動代碼執行前采取必要的安全措施,是否有對移動代碼安全來源進行定義并判別來源是否合法的機制;
——訪談系統管理員或安全管理員等相關人員,詢問其移動代碼執行前采取的安全措施情況,詢問其移動代碼來源確認機制實現情況;
——檢查移動代碼執行前采取的安全機制,查看其是否有效,是否對移動代碼來源進行確認。
6.8.2.2.2 對 b)的評估方法為:
——檢查移動代碼策略、系統設計說明書等相關文檔,查看其是否有禁止自動執行移動代碼的機制;
——訪談系統管理員或安全管理員等相關人員,詢問其是否禁止自動執行移動代碼;
——測試禁止自動執行移動代碼的機制,驗證其是否有效。
推薦文章: