云计算安全扩展技术规范.docx

信息安全技术 网络安全等级保护基本要求 云计算安全扩展技术规范 目??次 TOC \h \z \t"前言、引言标题,1,参考文献、索引标题,1,章标题,1,参考文献,1,附录标识,1,一级条标题, 3,二级条标题, 4,附录章标题, 3,附录一级条标题, 4,附录二级条标题, 5,附录三级条标题, 6,附录四级条标题, 7,附录五级条标题, 8" 前言 III 引言 IV 1　范围 1 2　规范性引用文件 1 3　术语和定义 1 4　云计算安全概述 2 4.1　云计算平台构成 2 4.2　云计算平台定级 3 5　第二级安全要求 3 5.1　技术要求 3 5.1.1　物理和环境安全 3 5.1.2　网络和通信安全 3 5.1.3　设备和计算安全 3 5.1.4　应用和数据安全 4 5.2　管理要求 5 5.2.1　安全管理机构和人员 5 5.2.2　系统安全建设管理 5 6　第三级安全要求 5 6.1　技术要求 5 6.1.1　物理和环境安全 5 6.1.2　网络和通信安全 5 6.1.3　设备和计算安全 6 6.1.4　应用和数据安全 7 6.2　管理要求 8 6.2.1　安全管理机构和人员 8 6.2.2　系统安全建设管理 9 6.2.3　系统安全运维管理 9 7　第四级安全要求 9 7.1　技术要求 9 7.1.1　物理和环境安全 10 7.1.2　网络和通信安全 10 7.1.3　设备和计算安全 11 7.1.4　应用和数据安全 12 7.2　管理要求 12 7.2.1　安全管理机构和人员 13 7.2.2　系统安全建设管理 13 7.2.3　系统安全运维管理 13 附录A（资料性附录）　与GB/T　22239.1的关系 14 附录B（资料性附录）　云计算平台面临的安全威胁 17 B.1　数据丢失、篡改或泄露 17 B.2　网络攻击 17 B.3　利用不安全接口的攻击 17 B.4　云服务中断 17 B.5　越权、滥用与误操作 17 B.6　滥用云服务 17 B.7　利用共享技术漏洞进行的攻击 17 B.8　过度依赖 18 B.9　数据残留 18 附录C（资料性附录）　不同服务模式的安全管理责任主体 19 C.1　云服务的三种服务模式 19 C.2　不同服务模式下安全管理责任主体 19 附录D（资料性附录）　本部分适用的对象 22 参考文献 23 TOC \h \z \t"正文图标题,2,附录图标题,2" 图1　云计算服务模式与控制范围的关系 3 TOC \h \z \t",正文表标题,2,附录表标题,2" 表A.1　GB/T 22239.2与GB/T 22239.1关系表 14 表C.1　IaaS模式下云服务方与云租户的责任划分 19 表C.2　PaaS模式下云服务方与租户的责任划分 20 表C.3　SaaS模式下云服务方与租户的责任划分 21 表D.1　云计算系统与传统信息系统保护对象差异 22 前??言 GB/T 22239《信息安全技术 网络安全等级保护基本要求》已经或计划发布以下部分： ——第1部分：安全通用要求； ——第2部分：云计算安全扩展要求； ——第3部分：移动互联安全扩展要求； ——第4部分：物联网安全扩展要求； ——第5部分：工业控制安全扩展要求； ——第6部分：大数据安全扩展要求。 本部分为GB/T 22239的第2部分。 本部分按照GB/T 1.1—2009给出的规则起草。 本部分由全国信息安全标准化技术委员会提出。 本部分由全国信息安全标准化技术委员会归口。 本部分起草单位：公安部信息安全等级保护评估中心、国家信息中心、阿里云计算有限公司、中科院信息工程研究所、杭州华三通信技术有限公司、华为技术有限公司、启明星辰信息技术有限公司 本部分主要起草人：张振峰、丁朝晖、李明、任卫红、胡娟、申永波、苏艳芳、陈峰、李宇、刘静、章恒、陈雪秀、高亚楠、陈驰、于晶、姚国富、黄敏、张如辉。 引??言 国家标准GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》在开展信息安全等级保护工作的过程中起到了非常重要的作用，被广泛应用于各个行业和领域开展信息安全等级保护的建设整改和等级测评等工作，但是随着信息技术的发展，GB/T 22239—2008在时效性、易用性、可操作性上需要进一步完善。 为了适应移动互联、云计算、大数据、