云计算安全扩展要求-中国信息安全等级保护网.pdf

ICS 35.40 L80 GA 中华人民共和国公共安全行业标准 GA/T 1390.2—2017 信息安全技术 网络安全等级保护基本要求 第2 部分：云计算安全扩展要求 Information security technology- General requirements for classified protection of cybersecurity—Part 2:Specialsecurity requirements for cloud computing 20 17-05-08 发布 20 17-05-08 实施 中华人民共和国公安部 发 布 1 GA/T 1390.2—2017 目次 前言 V 引言 VI 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 云计算安全概述 2 4.1 云计算平台构成 2 4.2 云计算平台定级 3 5 第一级安全要求 3 5.1 技术要求 3 5.1.1 物理和环境安全 3 5.1.2 网络和通信安全 3 5.1.2.1 网络架构 3 5.1.2.2 访问控制 3 5.1.2.3 入侵防范 3 5.1.2.4 安全审计 3 5.1.3 设备和计算安全 3 5.1.3.1 身份鉴别 3 5.1.3.2 访问控制 3 5.1.3.3 安全审计 4 5.1.3.4 入侵防范 4 5.1.3.5 资源控制 4 5.1.3.6 镜像和快照保护 4 5.1.4 应用和数据安全 4 5.1.4.1 安全审计 4 5.1.4.2 资源控制 4 5.1.4.3 接口安全 4 5.1.4.4 数据完整性 4 5.1.4.5 数据保密性 4 5.1.4.6 数据备份恢复 5 5.1.4.7 剩余信息保护 5 5.2 管理要求 5 5.2.1 安全管理机构和人员 5 5.2.1.1 授权 5 5.2.1.2 人员录用 5 5.2.2 安全建设管理 5 5.2.2.1 测试验收 5 5.2.2.2 云服务商选择 5 5.2.2.3 供应链管理 5 5.2.3 安全运维管理 5 5.2.3.1 环境管理 5 I GA/T 1390..2—2017 5.2.3.2 监控和审计管理 5 6 第二级安全要求 6 6.1 技术要求 6 6.1.1 物理和环境安全 6 6.1.2 网络和通信安全 6 6.1.2.1 网络架构 6 6.1.2.2 访问控制 6 6.1.2.3 入侵防范 6 6.1.2.4 安全审计 6 6.1.3 设备和计算安全 6 6.1.3.1 身份鉴别 6 6.1.3.2 访问控制 6 6.1.3.3 安全审计 6 6.1.3.4 入侵防范