7.19 遠程訪問

7.19.1 一般要求

云服務商應：

a）對[賦值：云服務商定義的遠程訪問方法]明確使用限制、配置和連接要求。

b）明確遠程訪問的實施條件，采取有關措施保證遠程訪問的安全。

c）在允許遠程連接前，對遠程訪問方式進行授權。

d）實時監視非授權的云服務遠程連接，并在發現非授權連接時，采取恰當的應對措施。

7.19.2 增強要求

云服務商應：

a）自動監視和控制遠程訪問會話，以檢測網絡攻擊，確保遠程訪問策略得以實現。

b）使用密碼機制，以保證遠程訪問會話的保密性和完整性。

c）確保所有遠程訪問只能經過有限數量的、受管理的訪問控制點。

d）對遠程執行特權命令進行限制（如刪除虛擬機、創建系統賬號、配置訪問授權、執行系統管理功能、審計系統事件或訪問事件日志等），僅在為滿足[賦值：云服務商定義的需求]的情況下，才能通過遠程訪問的方式，授權執行特權命令或訪問安全相關信息，并采取更嚴格的保護措施且進行審計。安全計劃中應說明這種遠程訪問的合理性。

e）在遠程訪問時禁止使用非安全的網絡協議，例如：TFTP（簡單文件傳輸協議）、X-Windows、Sun Open Windows、FTP、TELNET、IPX/SPX、NETBIOS、RPC服務（如NIS、NFS）、rlogin/rsh/rexec、RIP、UUCP、NNTP、P2P等。