GA_T 1347-2017信息安全技术 云存储系统安全技术要求.pdf

ICS 35.240A 90GA中华人民共和国公共安全行业标准GA/T 1347—2017信息安全技术云存储系统安全技术要求Information security technology-—Security technical requirements forcloud storage system2017-11-20 发布2017-11-20实施中华人民共和国公安部发布 GA/T言本标准按照GB/T1.1—2009给出的规则起草。本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心、国家网络与信息系统安全产品质量监督检验中心、公安部网络安全保卫局、公安部第三研究所、阿里云计算有限公司。本标准主要起草人：陈妍、宋好好、陆臻、俞优、沈亮、邹春明、陈雪秀。 GA/T 1347—2017表2(续)安全保障要求基本级增强级指导性操作用户指南6.2.16.2.1文档准备程序6.2.26.2.2配置管理能力6.3.1 a) ~c)6.3,.1配置管理范围6,3.2 a)6,3,2生命周交付程序6.3.36.3.3开发安全6.3.4生命周期定义一6.3.5工具和技术一6.3.6测试覆6,4,1 a)6.4.1测试保度-6.4.2测试功能测试6.4.36.4.3独立测达6.4.46.4.4施弱性评定6.5 a)6,5 GA/T息安全技术云存储系统安全技术要求1范围本标准规定了云存储系统的安全功能要求、安全保障要求及等级划分要求。本标准适用于云存储系统的设计、开发及测试。2规范性引用文件下列文件对于本文件的应用是必不可少的，凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件。GB/T18336.3—2015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件GB/T25069—2010信息安全技术术语3术语和定文GB/T18336.3—2015和GB/T25069—2010界定的以及下列术语和定义适用手本文件。3.1云存储cloud storage通过集群应用、网格技术或分布式文件系统等，将网络中不同类型的存储设备通过应用软件集合起来协同工作，形成云存储资源池，并共同对外提供数据存储和业务访间功能的一种存储使用方式。4总体说明4.1要求分类本标准将云存储系统安全技术要求分为安全功能要求和安全保障要求两大类。其中安全功能要求是对云存储系统应具备的安全功能提出具体要求，包括访间安全、存储安全和管理安全等；安全保障要求针对云存储系统的整个周期过程提出具体的要求，例如开发、指导性文档、生命周期支持、测试和脆弱性评定等。4.2安全等级本标准按照云存储系统安全功能的强度划分安全功能要求的级别，参照GB/T18336.3一2015划分安全保障要求的级别。安全等级突出安全性，分为基本级和增强级，安全功能强弱和安全保障要求高低是等级划分的具体依据。5安全功能要求5.1访问安全5.1.1标识和鉴别系统应提供访间云存储服务的标识和鉴别机制，包括以下内容：1 GA/T 1347—2017a)对请求云存储服务的业务应用提供唯一的标识，同时将业务应用的标识与其相关的所有可审计事件相关联；b)在访间云存储服务时，对业务应用进行鉴别：c）签别信息非明文存储，且签别数据不被未授权查阅和修改；d)在现定的未使用时限或被授权访问的时间到期后，系统断开会话或重新鉴别业务应用；e）当业务应用连续鉴别失败达到设定次数后，采取措施阻止业务应用的进一步请求，9.1.2访间控制系统应提供访问控制功能，依据安全策略控制业务应用对：存储容器、数据资源、或文件和目录等资源的访问，确保只有投权业务应用能够对资源进行访问，具体要求为：b）投权业务应用对资源进行访间的内容、操作权限不能超出预定义的范围，5.2数据安全5.2.1传输安全系统应保证访间云存储服务时数据传输的安全，关键数据非明文传输。5.2.2数据存储系统应对业务应用关键数据采用非明文存储或其他安全存储机制，保证数据即使被窃取也无法被利用，5.2.3数据隔离系统应实现数据隔离，包括以下内容：a）不同业务应用数据保证互相隔离，防止非授权访间；b）不同安全等级的数据存储到不同的区域。5.2.4数据完整性保护系统应对关键数据进行数据完整性保护，当关健数据完整性受到破坏环时，应提供数据的完整性恢复功能，包括以下内容：a）提供自动或手动的数据完整性检测结果；b）对完整性破坏行为记录日志并进行告警：c）对完整性被酸坏的数据进行恢复。5.2.5数据备份系统应具备对数据进行备份的能力，包括以下内容：a）支持对数据的自动备份和手动备份；b）支持采用同步备份