1、國家標準信息安全技術 網絡安全等級保護基本要求 第2部分：云計算安全擴展要求編制說明一、 工作簡況1.1 任務來源目前，云計算技術在國家關鍵信息基礎設施領域的應用日益廣泛。原有信息安全等級保護標準體系中標準的適用性提出挑戰，防護措施、實現方法和測評方法都將有所不同。因此，根據云計算環境中的新增安全威脅和主要防范手段，我們對GB/T 22239.1XXXX 信息安全技術 網絡安全等級保護基本要求 第1部分：安全通用要求（以下簡稱“安全通用要求”）進行了擴展，形成了本部分。信息安全技術 網絡安全等級保護基本要求 第2部分：云計算安全擴展要求（計劃編號：GB/T 22239.2XXXX）（以下簡稱“

2、云計算安全擴展要求”）由公安部信息安全等級保護評估中心牽頭，國家信息中心、阿里云計算有限公司、中科院信息工程研究所、杭州華三通信技術有限公司、華為技術有限公司、啟明星辰信息技術有限公司等單位共同參與起草。1.2 主要工作過程1.2.1標準立項前工作概述2014年1月至2014年4月，為完善云計算安全標準體系，支撐黨政部門云計算信息安全等級保護建設整改工作，牽頭單位組成標準工作組，研究云計算環境下的信息系統面臨的安全威脅，通過整理、匯總、分析相關資料編制了項目申請書、項目建議書并經過專家評審。1.2.2標準立項后工作情況1） 標準立項2014年10月，本部分獲全國信息安全標準化技術委員會國標立項

3、。2） 成立標準編制組，廣泛調研2014年6月至12月，標準編制組成立，廣泛調研和研究國內外云計算安全相關評估標準以及相關安全評估標準，為本部分的編制奠定基礎。期間，研究的云計算安全相關標準和安全評估相關標準包括：（1）美國聯邦系統安全控制的建議（NIST 800-53）；（2）美國聯邦系統安全控制措施評估指南（NIST SP800-53A）；（3）SP 800-144 Guidelines on security and privacy in public cloud computing（4）SP800-145 The NIST Definition of cloud computing（5

4、）SP800-125 Full Virtualization Technologies（6）FedRAMP_Baseline_Security_Controls_REV4；（7）信息安全等級保護測評國家標準；（8）GB/T 31168-2014 信息安全技術 云計算服務安全能力要求（9）GB/T 31167-2014信息安全技術 云計算服務安全指南（10）信息安全技術 信息安全風險評估規范、信息技術 安全技術 信息技術安全評估準則等國家標準。3）標準編制組形成標準草案2015年7月，標準編制組形成標準草案，發標準編制組內部征求意見，標準編制組在北京召開了標準草案第一次評審，討論了標準編制的思路

5、，以及本次國家標準與其他標準之間的關系。評審會結束后，標準編制組根據專家意見，修訂了標準草案。同年12月，標準編制組再次發起專家評審，對標準草案的內容進行了詳細的討論，并認真聽取了專家意見。2016年1月到2016年5月，標準編制組多次召開工作會議，討論標準草案中相關問題。根據專家意見，對標準草案進行了修改。4）標準在云等級保護測評中試用2016年3月至2016年7月，評估中心分別對阿里云、迅達云成進行了云安全等級保護測評，在測評過程中對標準草案進行了試用，并提出了修改意見，標準編制組根據試用意見進行了修改完善。5）2016年6月29日，召開專家評審會，會后形成征求意見稿2016年6月29日，

6、標準編制組在北京召開了標準評審會，編制組根據與會專家的意見進一步完善了標準草案。6）2016年8月25日，WG5召開標準推進會，會后形成征求意見稿2016年8月25日，WG5在北京召開了標準推進會，編制組對前期意見匯總處理情況做了介紹并聽取與會專家意見，會后根據與會專家的意見進一步完善了標準草案并形成征求意見稿。7）2016年8月30日，召開標準格式和編寫指導講座，會后對標準格式和規范用語進行了修訂2016年8月30日，公安部信息安全等級保護評估中心邀請公安部信息安全標準委員會形式化審查專家，在標準合適、用語和形式規范等方面為編制組成員做了講解，會后編制組根據專家提的意見建議對標準文本做了修訂

7、。二、 編制原則和主要內容2.1 編制原則一是充分吸收已有云安全相關標準。云計算安全擴展要求充分參考了國際、國內有關云計算安全以及安全評估的先進標準和技術規范。目前，云計算安全擴展要求已將美國FedrRAMP云安全測試用例、NIST 800-53A、ISO/IEC 27017、SP 800-144、SP 800-145等級保護測評等相關標準的長處進行了吸收，借鑒了國外標準中對云計算的定義和架構,虛擬化安全要求, 公共云防護措施建議,云計算環境中的風險管理、生命周期管理、審計和合規、安全運維建議。二是從風險分析出發，根據風險提出防范要求，并在試點項目中求證。分析云計算環境下的新增威脅、脆弱性和安

8、全風險，根據新增的安全風險制定對應措施形成云計算安全擴展要求，并在試點項目中獲得了較高的評價。2.2 主要內容本部分針對云計算信息系統的特點，規定了云計算信息系統安全等級保護的安全要求，適用于不同等級云計算信息系統的安全保護。本部分適合指導采用不同部署模式、交付模式下云計算信息系統的安全建設、整改、測評等工作，在不同的部署模式、交付模式下，條款使用方法和判定方法不一樣。云計算安全擴展要求根據云計算環境下的風險，增加了新的安全要求，適用于云計算環境下的測評對象，本部分主要內容包括網絡架構要求、訪問控制要求、遠程訪問要求、入侵防范、安全審計、數據完整性和數據保密性、數據備份恢復、惡意代碼防范、資源

9、控制、鏡像和快照保護等等內容。三、 主要試驗（或驗證）的分析、綜述報告，技術經濟論證，預期的經濟效果編制組已請評估中心分別對阿里云、迅達云成進行了云安全等級保護測評，在測評過程中對標準草案進行了試用，并提出了修改意見，標準編制組根據試用意見進行了修改完善，標準試用效果良好。四、 采用國際標準和國外先進標準的程度，以及與國際、國外同類標準水平的對比情況，或與測試的國外樣品、樣機的有關數據對比情況信息安全標準已經成為網絡空間國際競爭的戰略制高點。特別是，云計算安全標準及其背后的管理政策將會對產業造成重大影響，也將限制國外大型云計算服務提供商滲透到我國敏感部門和重要行業，這種情況下，公安部提出了加強

10、云計算等級保護標準制定的重要舉措。開展對云服務方所提供的云平臺安全能力的評估及云平臺上的應用系統防護水平的評估，是落實對云計算服務安全管理的措施之一。因此，編制組在標準編制過程中，專門分析了美國FedRAMP對云服務商的安全評估方法和NIST SP800系列標準，參考我國已有相關信息安全標準，以及我國云計算服務安全管理的考慮，綜合考慮制定了本部分。五、 與有關的現行法律、法規和強制性國家標準的關系云計算安全擴展要求符合現有法律法規的要求。符合全國人民代表大會常務委員會關于加強網絡信息保護的決定、國務院關于大力促進信息化發展和切實保障信息安全的若干意見、信息安全技術公共及商用服務信息系統個人信息保護指南等國家政策、法規、標準的要求。云計算安全擴展要求是GB/T 22239-XXXX 信息安全技術 網絡安全等級保護基本要求的第二分冊，云計算安全擴展要求以引用的方式涵蓋了安全通用要求的全部內容。六、 重大分歧意見的處理經過和依據云計算安全擴展要求編制過程中未出現重大分歧。其他詳見意見匯總處理表。七、 國家標準作為強制性國家標準或推薦性國家標準的建議建議云計算安全擴展要求作為推薦性國家標準發布實施。八、 貫徹國家標準的要求和措施建議（包括組織措施、技術措施、過渡辦法等內容）云計算安全擴展要求規定了云計算信息系統