《信息安全技术 信息系统安全等级保护测评要求 第2部分 云计算安全扩展测评要求-编制说明.》.pdfVIP

1 工作情况 开展云计算信息安全等级保护工作需要有统一的管理和技术国家标准，科学、实用的信 息安全等级保护管理和技术规范是安全等级保护制度在云计算领域推广和落实的基础。信息 系统安全等级保护系列标准对传统信息系统安全等级保护工作的推动起到了重要的作用，但 云计算信息系统与传统信息系统相比，有其自身的特点，无论需要对抗的外部威胁还是对抗 威胁的应用技术手段都发生了较大的变化。 本项目依据 《信息安全技术 网络安全等级保护基本要求 第2 部分：云计算安全扩展 要求》，在GB/T28448-2012 基础上，根据云计算信息系统和信息安全防护的特点及要求， 对GB/T28448-2012 进一步扩充和完善，对云计算信息系统进行安全等级保护测试评估的技 术活动提出要求，为评价云计算信息系统是否符合 《信息安全技术 网络安全等级保护基本 要求 第2 部分：云计算安全扩展要求》提供获取证据的途径和方法，编制完成 《信息安全 技术 网络安全等级保护测评要求 第2 部分：云计算安全扩展要求》，用以指导测评人员从 信息安全等级保护的角度对云计算信息系统进行测试评估；为信息安全监管职能部门、信息 安全测评服务机构、信息系统的主管部门及运营使用单位在进行针对云计算信息系统安全等 级保护相关监督检查、测评评估等工作时，提供相关参考依据。 2 国内外情况 目前，国内外关于云计算安全问题的研究也是刚刚起步，很多的组织和机构都在积极地 对云计算的安全问题进行分析和研究。 2.1国外云安全标准研究现状 目前，全球范围内的云计算标准化工作已经启动，全世界已经有30 多个标准组织宣布 加入云计算标准的制订行业，其中比较具有代表性的国际及国外标准组织包括：美国国家标 准技术研究所 （NIST）、ISO/IEC 第一联合技术委员会 （ISO/IEC JTC1）SC27、云安全联盟 （CSA）、国际电信联盟.电信标准化部 （ITU.T）和欧洲网络与信息安全管理局 （ENISA）。 （1）NIST：美国国家标准与技术研究院 （NIST）2010年 11月，美国国家标准与技术 研究院云计算计划正式启动，定位于为美国联邦政府安全高效使用云计算提供标准支撑服 务。2011年 1月出版了 《安全虚拟化技术安全指南》，并于同年 12 月出版了 《公共云中的 安全和隐私指南》。SP 800.144 《公共云中的安全和隐私指南》提供公有云计算的概况以及 1 在安全和隐私方面的挑战，论述了公有云环境的威胁、技术风险和保护措施，并为规划出合 理的信息技术解决方案提供了一些见解。 （2）ISO/IEC JTC1/SC27：该组织2010年10 月启动了研究项目《云计算安全和隐私管 理系统》，为云计算服务过程中的安全控制提供指导。ISO/IEC 27017 《基于ISO/IEC27002 的云计算服务的信息安全控制措施实用规则》，第2 部分（即ISO/IEC27017.2）《基于ISO/IEC 27002 的云计算服务使用的信息安全管理指南》，侧重于规范云计算服务使用中的信息安全 管理问题，该部分已于2013 年正式发布。 （3）CSA：云安全联盟CSA （Cloud SecurityAlliance）是在2009 年的RSA 大会上宣 布成立的一个非盈利性组织，致力于在云计算环境下提供最佳的安全方案。如今，CSA 获 得了业界的广泛认可，其发布了一系列研究报告，对业界有着积极的影响，其中，《云计算 关键领域安全指南》最为业界所熟知，并于2011年11月发布了该指南的第三版，从架构、 治理和实施3个部分、14 个关键域对云安全进行了深入阐述。在2013年2 月，CSA 发布了 《2013年九大云计算安全威胁》报告，该报告详细分析了2013年云安全面临的九大主要安 全威胁。 （4）ENISA：欧洲网络与信息安全局 （ENISA）是区域 （欧洲）标准机构，成立于2001 年，目的是提高欧洲网络与信息安全。ENISA 在2009年就启动了云安全的相关研究工作， 先后发布了 《云计算：优势、风险及信息安全建议》和 《云计算信息安全保障框架》。2011 年，ENISA 又发布了 《政府云的安全和弹性》报告，为政府机构提供云安全指导。 2.2国内云安全标准研究现状 （1）全国信息安全标准化技术委员会：该组织于2002 年4 月在北京成立，目前开展云 计算安全方面的研究，承