（正式版）-B-T 31168-2023 信息安全技术 云计算服务安全能力要求.docxVIP

ICS35.030

CCSL80

中华人民共和国国家标准

GB/T31168—2023

代替GB/T31168—2014

信息安全技术

云计算服务安全能力要求

Informationsecuritytechnology—

Securitycapabilityrequirementsforcloudcomputingservices

2023-05-23发布

2023-12-01实施

发

发布

国家标准化管理委员会

I

GB/T31168—2023

目次

前言 V

引言 VI

1范围 l

2规范性引用文件 1

3术语和定义 1

4缩略语 2

5云计算安全要求的表达与实现 3

5.1云计算安全措施的实施责任 3

5.2云计算安全措施的作用范围 4

5.3安全要求的分类 4

5.4安全要求的表述形式 5

5.5安全要求的调整 6

5.6安全计划 7

6系统开发与供应链安全 7

6.1资源分配 7

6.2系统生命周期 8

6.3采购过程 8

6.4系统文档 9

6.5关键性分析 9

6.6外部服务 10

6.7开发商安全体系架构 10

6.8开发过程、标准和工具 11

6.9开发过程配置管理 11

6.10开发商安全测试和评估 12

6.11开发商提供的培训 13

6.12组件真实性 14

6.13不被支持的系统组件 14

6.14供应链保护 14

7系统与通信保护 16

7.1边界保护 16

7.2传输的保密性和完整性保护 17

7.3网络中断 17

7.4可信路径 17

Ⅱ

GB/T31168—2023

7.5密码使用和管理 18

7.6设备接入保护 18

7.7移动代码 18

7.8会话认证 19

7.9恶意代码防护 19

7.10内存防护 20

7.11系统虚拟化安全性 20

7.12网络虚拟化安全性 21

7.13存储虚拟化安全性 21

7.14安全管理功能的通信保护 22

8访问控制 22

8.1用户标识与鉴别 22

8.2标识符管理 22

8.3鉴别凭证管理 23

8.4鉴别凭证反馈 24

8.5密码模块鉴别 24

8.6账号管理 24

8.7访问控制的实施 25

8.8信息流控制 26

8.9最小特权 26

8.10未成功的登录尝试 27

8.11系统使用通知 27

8.12前次访问通知 27

8.13并发会话控制 28

8.14会话锁定 28

8.15未进行标识和鉴别情况下可采取的行动 28

8.16安全属性 29

8.17远程访问 29

8.18无线访问 30

8.19外部信息系统的使用 30

8.20可供公众访问的内容 30

8.21WEB访问安全 31

8.22API访问安全 31

9数据保护 32

9.1通用数据安全 32

9.2媒体访问和使用 32

9.3剩余信息保护 33

Ⅲ

GB/T31168—2023

9.4数据使用保护 33

9.5数据共享保护 34

9.6数据迁移保护 34

10配置管理 35

10.1配置管理计划 35

10.2基线配置 35

10.3变更控制 35

10.4配置参数的设置 36

10.5最小功能原则 37

10.6信息系统组件清单 38

11维护管理 38

11.1