DB21∕T 3441—2021 云计算平台安全测评技术规范(辽宁省).pdf
《DB21∕T 3441—2021 云计算平台安全测评技术规范(辽宁省).pdf》由会员分享,可在线阅读,更多相关《DB21∕T 3441—2021 云计算平台安全测评技术规范(辽宁省).pdf(22页珍藏版)》请在咨信网上搜索。
1、ICS 35.020 CCS L 80 DB21 辽宁省地方标准 DB21/T 34412021 云计算平台安全测评技术规范 2021 - 06 - 30 发布 2021 - 07 - 30 实施 辽宁省市场监督管理局 发布 DB21/T 34412021 I 目 次 前 言 . II 引 言 . III 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 缩略语 . 2 5 安全测评 . 2 5.1 数据中心安全 . 2 5.2 访问控制 . 6 5.3 虚拟化安全 . 7 5.4 终端接入安全测评 . 9 5.5 数据安全 . 10 5.6 业务应用安全 . 11 5
2、.7 灾难恢复测评 . 12 5.8 安全事件与应急预案 . 13 5.9 评估和审计 . 14 参 考 文 献 . 16 DB21/T 34412021 II 前 言 本文件的编制依据GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的要求进行。 本文件由中共辽宁省委网络安全和信息化委员会办公室提出。 本文件由中共辽宁省委网络安全和信息化委员会办公室归口。 本文件起草单位: 辽宁省先进装备制造业基地建设工程中心、 辽宁省信息安全与软件测评认证中心、沈阳赛宝科技服务有限公司。 本文件主要起草人:张震、朱在田、郭剑锋、林强、赵英科、管冰、董旭升、吕天昊、刘奇、李竹林、赵
3、云志、金鑫、王友民、田佳秀。 本文件发布日期:属首次发布。 本文件发布实施后, 任何单位和个人如有问题和意见建议, 均可以通过来电和来函等方式进行反馈,我们将及时答复并认真处理,根据实际情况依法进行评估及复审。 归口管理部门通信地址:沈阳市和平区光荣街26号甲。 归口管理部门联系电话:024-81680031 标准起草单位通讯地址:辽宁省沈阳市和平区太原北街2号综合楼。 标准起草单位联系电话:024-23447409。 DB21/T 34412021 III 引 言 云计算平台也称为云平台,是指基于硬件资源和软件资源的服务,提供计算、网络和存储能力。云计算平台可以划分为3类:以数据存储为主的存
4、储型云平台,以数据处理为主的计算型云平台以及计算和数据存储处理兼顾的综合云计算平台。 目前我国发布了针对云计算平台的国家标准,包括GB/T 377392019 信息技术 云计算 平台即服务部署要求、GB/T 363272018 信息技术 云计算 平台即服务(PaaS)应用程序管理要求等,但针对云计算平台的安全性测评方面,还没有一个针对性、规范化的操作标准,因此特制订本文件。 本文件用来约束和规定云计算平台的安全测评。DB21/T 34412021 1 云计算平台安全测评技术规范 1 范围 本文件规定了政务云平台和私有云平台的安全测评方法和判定规则。 本文件适用于政务云平台和私有云平台的安全测评
5、,规定了数据中心安全、访问控制、虚拟化安全、终端接入安全、数据安全、业务应用安全、灾难恢复、安全事件与应急预案、评估和审计的安全测评过程。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中, 注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 5271.82001 信息技术 词汇 第8部分:安全 GB 178591999 计算机信息系统 安全保护等级划分准则 GB/T 18336.12001 信息技术 安全技术 信息技术安全性评估准则 第1部分:简介和一般模型 GB/T 3240
6、02015 信息技术 云计算 概览与词汇 3 术语和定义 GB/T 5271.82001、GB 178591999和GB/T 18336.12001界定的及下列术语和定义适用于本文件。 3.1 云计算 cloud computing 一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式。 来源:GB/T 324002015 3.2 数据中心 data center 指基于超级计算机系统对外提供计算资源、 存储资源等服务的机构或单位, 以高性能计算机为基础面向各界提供高性能计算服务。 3.3 可用性 availability 被授权实体按需访问和使用的特性。 DB2
7、1/T 34412021 2 来源:GB/T 324002015 3.4 云服务 cloud service 通过云计算已定义的接口提供的一种或几种能力。 来源:GB/T 324002015 3.5 私有云 private cloud 云服务仅被一个云服务客户使用,且资源被云服务提供者控制的一种云部署模型。 来源:GB/T 324002015 3.6 安全措施 security measure 保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制的总称。 4 缩略语 DoS:拒绝服务(Denial of Service) Guest OS:客机操作系
8、统(Guest Operating System) IaaS:基础设施即服务(Infrastructure as a Service) PaaS:平台即服务(Platform as a Service) SaaS:软件即服务(Software as a Service) VLAN:虚拟局域网(Virtual Local Area Network) VM:虚拟机(Virtual Machine) VPN:虚拟专用网络(Virtual Private Network) 5 安全测评 5.1 数据中心安全 5.1.1 环境安全 5.1.1.1 管理制度要求 5.1.1.1.1 测评项 管理制度要求满
9、足以下条件: a) 数据中心应建立人员出入管理制度、设备进出管理制度、节假日巡检巡查制度、应急管理及预案制度等; b) 应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理; DB21/T 34412021 3 c) 对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定执行。 5.1.1.1.2 测评实施 a) 查看数据中心的人员出入管理制度、设备进出管理制度、节假日巡检巡查制度、应急管理及预案制度等, 并验证是否可以随意进出机房、 查看设备进出档案记录、 查看节假日巡查日志记录、查看应急演练记录等。 b) 检查有无制度作出书面要求,规定需指定专门
10、的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理,并查看维护管理记录,验证制度执行有效性; c) 检查对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定的制度要求,并检查相关文档记录,验证制度执行有效性。 5.1.1.1.3 结果判定 若产品同时符合5.1.1.1.2 a)、b)和c),则满足此项要求。 5.1.1.2 物理位置的选择 5.1.1.2.1 测评项 数据中心机房应选择在具有防震和防风等能力的建筑内,且要避免在建筑物的高层或地下室内。 5.1.1.2.2 测评实施 检查数据中心机房物理位置具有防震和防风等能力的检测评估报告, 查看机房是否建在建筑物的高
11、层或地下室内。 5.1.1.2.3 结果判定 若产品符合5.1.1.2.2,则满足此项要求。 5.1.1.3 防盗窃和防破坏 5.1.1.3.1 测评项 防盗窃和防破坏应满足以下要求: a) 数据中心机房内应设置监控报警和防盗报警系统; b) 通信线缆应铺设在隐蔽处,介质应存放在档案室或介质库中。 5.1.1.3.2 测评实施 a) 检查数据中心机房内监控报警和防盗报警系统, 并验证其防盗报警功能, 检测非授权进入是否能够正常报警; b) 检查通信线缆铺设位置、介质存放位置,判断是否符合 5.1.1.3.1 中 b)项的要求。 5.1.1.3.3 结果判定 若产品同时符合5.1.1.3.2 a
12、)和b),则满足此项要求。 5.1.1.4 防雷击 5.1.1.4.1 测评项 防雷击应满足以下要求: a) 数据中心机房应设置交流电源地线; b) 应设置避雷装置。 5.1.1.4.2 测评实施 a) 检查数据中心机房有无设置交流电源地线; b) 检查机房建筑有无设置避雷装置。 5.1.1.4.3 结果判定 DB21/T 34412021 4 若产品同时符合5.1.1.4.2 a)和b),则满足此项要求。 5.1.1.5 防火 5.1.1.5.1 测评项 防火应满足以下要求: a) 数据中心机房建筑材料应具有耐火等级,且机房内应设置自动消防系统; b) 数据中心机房应采取区域隔离防火措施,且
13、应将重要设备与其他设备隔离开。 5.1.1.5.2 测评实施 a) 检查数据中心机房建筑材料是否具有耐火等级,并验证机房内自动消防系统的有效性; b) 检查数据中心机房区域隔离防火的具体措施,查看有无将重要设备与其他设备隔离开。 5.1.1.5.3 结果判定 若产品同时符合5.1.1.5.2 a)和b),则满足此项要求。 5.1.1.6 防水防潮 5.1.1.6.1 测评项 防水防潮应满足以下要求: a) 应安装对水敏感的检测仪表,且能够对机房进行防水检测和报警; b) 数据中心机房屋顶和活动地板下应避免水管穿过。 5.1.1.6.2 测评实施 a) 检查有无安装对水敏感的检测仪表,并验证其对
14、机房进行防水检测和报警的有效性; b) 检查数据中心机房屋顶和活动地板下有无水管穿过,是否符合 5.1.1.6.1 中 b)项要求。 5.1.1.6.3 结果判定 若产品同时符合5.1.1.6.2 a)和b),则满足此项要求。 5.1.1.7 防静电 5.1.1.7.1 测评项 a) 关键设备应采用必要的接地防静电措施; b) 数据中心机房应铺设防静电地板。 5.1.1.7.2 测评实施 a) 检查关键设备是否采用必要的接地防静电措施; b) 查看数据中心机房是否铺设防静电地板,并检查相应文档方案要求。 5.1.1.7.3 结果判定 若产品同时符合5.1.1.7.2 a)和b),则满足此项要求
15、。 5.1.1.8 温湿度控制 5.1.1.8.1 测评项 数据中心机房应设置温、湿度自动调节设施,保证机房温、湿度的变化在设备运行所允许的范围之内。 5.1.1.8.2 测评实施 检查数据中心机房有无温、湿度自动调节设施,并验证机房温、湿度的变化是否在设备运行所允许的范围之内。 5.1.1.8.3 结果判定 DB21/T 34412021 5 若产品符合5.1.1.8.2,则满足此项要求。 5.1.1.9 电力供应 5.1.1.9.1 测评项 电力供应应满足以下要求: a) 数据中心机房供电线路上应配置稳压器和过电压防护设备; b) 应建立备用供电系统。 5.1.1.9.2 测评实施 a)
16、检查数据中心机房供电线路上有无配置稳压器和过电压防护设备; b) 检查有无建立备用供电系统。 5.1.1.9.3 结果判定 若产品同时符合5.1.1.9.2 a)和b),则满足此项要求。 5.1.1.10 电磁防护 5.1.1.10.1 测评项 电磁防护应满足以下要求: a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰; b) 电源线和通信线缆应隔离铺设; c) 对关键设备和磁介质应实施电磁屏蔽。 5.1.1.10.2 测评实施 a) 检查有无采用接地方式防止外界电磁干扰和设备寄生耦合干扰; b) 查看电源线和通信线缆是否隔离铺设,检查关键设备和磁介质实施电磁屏蔽的具体措施。 5.1.1
17、.10.3 结果判定 若产品同时符合5.1.1.10.2 a)和b),则满足此项要求。 5.1.2 网络结构安全 5.1.2.1 测评项 网络结构安全应满足以下要求: a) 应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略等作出书面规定; b) 应指定专人对网络进行管理, 负责运行日志、 网络监控记录的日常维护和报警信息分析和处理工作; c) 应绘制与实际网络运行情况相符合的网络拓扑结构; d) 应保证网络各个部分满足业务高峰期需要, 且应设置优先级别, 保证在网络拥堵时优先保护重要主机; e) 网络结构应进行分区域管理,区域边界应有访问控制要求、完整性检查、入侵检测防范等安全措
18、施; f) 区域之间应有安全隔离机制,重要网段与其他网段之间应采取可靠的技术隔离手段。 5.1.2.2 测评实施 检查网络安全管理制度,验证是否对网络安全配置、日志保存时间、安全策略等作出书面规定; a) 检查是否指定专人对网络进行管理, 负责运行日志、 网络监控记录的日常维护和报警信息分析和处理工作,并检查相关文档记录; b) 查看网络拓扑结构图,并验证分析与实际网络运行情况是否相符合; DB21/T 34412021 6 c) 检查主要网络设备, 查看其性能以及目前业务高峰流量情况、 查看网络中带宽控制及分配原则;检查限制网络最大流量数及网络连接数的技术手段,检查实现自动负载均衡的技术手段
19、; d) 询问在网络划分的原则,查看网段划分情况;检查边界完整性检查、访问控制、入侵检测等安全措施,并验证其有效性; e) 询问重要网段有哪些,其具体的部署位置;检查边界和主要网络设备,查看重要网段是否采取了技术隔离手段与其他网段隔离,并验证其有效性。 5.1.2.3 结果判定 若产品同时符合5.1.2.2 a)、b)、c)、d)和e),则满足此项要求。 5.1.3 设备安全 5.1.3.1 测评项 设备安全应满足以下要求: a) 应建立设备安全管理制度,包括规定对平台相关设备指定专人或部门定期进行维护管理; b) 应建立基于申报、 审批和专人负责的设备安全管理制度, 对信息系统的各种软硬件设
20、备的选型、采购、发放和领用等过程进行规范化管理; c) 应对设备使用权限进行管理; d) 应对设备运行日志等行为进行审计,且避免审计记录受到未预期的删除、修改或覆盖等。 5.1.3.2 测评实施 a) 查看有无设备安全管理文档制度,检查设备运行情况查检记录表、维护记录表等,询问对设备进行专业检查的方法,验证维护管理记录是否完整; b) 检查设备安全管理制度,看是否满足 5.1.3.1 中 b)项的要求; c) 登录重要网络设备,验证是否有身份鉴别、授权机制; d) 验证是否限制设备管理员的登录地址;检查网络系统中的网络设备运行状况、网络流量、用户行为等日志记录,并验证审计记录保护措施的有效性。
21、 5.1.3.3 结果判定 若产品同时符合a)、b)、c)和d),则满足此项要求。 5.2 访问控制 5.2.1 物理访问控制 5.2.1.1 测评项 物理访问控制应满足以下要求: a) 应建立数据中心机房、关键设备存储场所出入管理制度,规定出入口安排专人值守,并控制、鉴别和记录进入的人员;规定进入机房及关键场所需经过申请和审批流程等; b) 对数据中心机房、 关键设备存储场所应进行区域划分管理, 区域和区域之间应设置物理隔离装置,重要区域应配置电子门禁系统,并控制、鉴别和记录进入的人员。 5.2.1.2 测评实施 a) 检查数据中心机房、 关键设备存储场所出入管理制度要求, 验证进入机房和关
22、键场所是否需要经过审批程序、检查在出入口有无专人值守,并控制、鉴别和记录进入的人员; b) 检查数据中心机房、 关键设备存储场所是否划区域管理, 并查看区域和区域之间物理隔离装置,验证进入重要区域电子门禁系统的有效性。 DB21/T 34412021 7 5.2.1.3 结果判定 若产品同时符合5.2.1.2 a)和b),则满足此项要求。 5.2.2 网络访问控制 5.2.2.1 测评项 网络访问控制应满足以下要求: a) 应对网络和系统资源建立访问控制机制; b) 应对进出网络的信息内容进行过滤;重要网段应采取技术手段防止地址欺骗。 5.2.2.2 测评实施 a) 查看在平台网络区域间及边界
23、有无部署访问控制设备, 查看是否通过访问控制列表对系统资源实现允许或拒绝用户访问;访问网络资源,验证访问控制功能有效性; b) 打开访问控制设备,查看访问控制配置,检查有无对网络信息内容进行过滤、重要网段采取哪种技术手段防止地址欺骗。 5.2.2.3 结果判定 若产品同时符合 5.2.2.2 a)和 b),则满足此项要求。 5.2.3 云服务访问控制 5.2.3.1 测评项 云访问访问控制应满足以下要求: a) 云服务商应支持各种强认证机制; b) 应提供服务器段的访问控制机制。 5.2.3.2 测评实施 a) 检查云服务提供商是否支持各种强认证选择,例如一次性密码、生物识别和数字证书等; b
24、) 检查在服务器端是否对每个会话请求进行鉴别、 授权, 并能够识别策略和用户配置信息的权威来源。 5.2.3.3 结果判定 若产品同时符合 5.2.3.2 a)和 b),则满足此项要求。 5.3 虚拟化安全 5.3.1 虚拟平台安全 5.3.1.1 测评项 虚拟平台安全应满足以下要求: a) 应制定虚拟平台安全管理制度要求, 规定定期对安全管理系统、 主机操作系统等进行漏洞扫描和风险评估等,对发现的漏洞应及时采取安全措施; b) 虚拟平台(云平台管控系统)应具备完善的安全控制功能,包括认证与授权、资源控制、监控与审计等; c) 应提供虚拟网络接口带宽管理安全功能, 避免单台虚拟机占用过多的网络
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB21T 34412021 云计算平台安全测评技术规范辽宁省 DB21 3441 2021 计算 平台 安全 测评 技术规范 辽宁省
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。