YD∕T 3954-2021 云服务用户数据保护能力参考框架(通信).pdf

1、 ICS 33.040 M10 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T XXXXXXXX 云服务用户数据保护能力参考框架 Cloud user data protection capability reference framework （报批稿） -发布 -实施 中华人民共和国工业和信息化部 发布 YD YD/T 1 目 次 前前 言言 . 2 引引 言言 . 3 1 范围 . 4 2 规范性引用文件 . 4 3 术语和定义 . 4 4 概述 . 5 4.1 云服务用户数据保护能力范围. 5 4.2 云服务用户数据保护能力参考框架 . 5 4.3 云服务用户数据保护能力

2、划分. 7 5 指标项定义和规范性描述 . 7 5.1 数据持久性 . 7 5.2 数据私密性 . 9 5.3 数据隐私性 . 11 5.4 数据知情权 . 11 5.5 数据防窃取性 . 12 5.6 数据可用性 . 12 5.7 数据访问安全性 . 12 5.8 数据传输安全性 . 14 5.9 数据迁移安全性 . 14 5.10 数据销毁安全性 . 15 5.11 数据返还安全性 . 15 5.12 人员安全管控 . 16 5.13 入侵防范 . 17 5.14 恶意代码防范 . 17 5.15 应急响应 . 18 5.16 安全审计 . 19 5.17 售后服务与技术支持 . 19 5

3、.18 服务可审查性 . 20 YD/T 2 前 言 本标准是“云服务用户数据保护能力”系列行业标准之一，该系列标准名称和结构如下： -云服务用户数据保护能力参考框架 -云服务用户数据保护能力评估方法 第1部分：公有云 -云服务用户数据保护能力评估方法 第2部分：私有云 本标准按照GB/T 1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：中国信息通信研究院、上海优刻得信息科技有限公司、腾讯云计算（北京）有限责任公司、阿里云计算有限公司、北京京东叁佰陆拾度电子商务有限公司、华

4、为技术有限公司、北京升鑫网络科技有限公司、中国电信股份有限公司云计算分公司、网宿科技股份有限公司、北京百度网讯科技有限公司、北京三快云计算有限公司、金山云网络技术有限公司、联通云数据有限公司、中国移动通信集团公司政企客户分公司、 北京世纪互联宽带数据中心有限公司 、 北京奇安信科技有限公司360企业安全集团、上海浪潮云计算服务有限公司、网易（杭州）网络有限公司、中兴通讯股份有限公司、新华三技术有限公司、深信服科技股份有限公司、佳讯飞鸿（北京）智能科技研究院有限公司、烽火通信科技股份有限公司、BoCloud博云、上海优铭云计算有限公司、浙江九州云信息科技有限公司、上海蓝云网络科技有限公司、北京中

5、联润通信息技术有限公司、中移（苏州）软件技术有限公司、优思得云计算科技（北京）有线公司、国际商业机器（中国）有限公司、杭州安恒信息技术股份有限公司 本标准主要起草人：封莎、栗蔚、何宝宏、何友斌、王敬宇、朱锋、王永霞、沈锡庸、张大江、黄少青、海洋、李培、高巍、耿涛、罗斌、陈光辉、赵华、程度、韩冰、王彦丹、杨天路、谭燕齐、刘沛、谢广军、李爽、吴婧、吴建强、曾小伟、胡斯诺、张娜、王萃娟、李晓宇、徐燕、赵万成、杨帆、刘浩、李纪峰、王方、朱勇、张敏、祝卓、杨春建、万晓兰、杨恩众、陈沛、钟昊、陈姝、何玉娟、邹素雯、涂文杰、耿浩涛、朱荣泽、刘传宇、陈澍、乔海波、郭旸、杨剑浩、江琦、程海旭、黄英杰、隋涛。 Y

6、D/T 3 引 言 云计算和传统IT系统最显著的区别之一， 在于用户的数据和业务从自有的数据中心或机房托管到了云服务提供商的云平台上。在传统IT系统中，用户即服务商，用户和服务商是一个主体，对数据安全保护的目标和利益一致。而在云计算架构下，用户和服务商分离，成为完全独立的两个主体，数据的所有者和保管者分离，数据的所有权与保管权分离，大多数情况下用户和服务商利益一致，但也存在少数情况下的不一致，必将引发新的数据安全问题。 从用户的视角看云计算数据安全问题， 可概括为以下三个方面： 一是传统IT系统数据安全问题仍然存在；二是由于不涉及切身利益，云服务提供商在运营过程中易忽略但将长期潜在的未知安全问

7、题；三是云服务提供商可能为了自己的利益损害用户数据安全，如将用户数据用来做机器学习、大数据分析，在用户合同到期后未完全删除用户数据，甚至未经同意将用户数据转让给第三方等。 本标准从用户视角出发， 提出了云计算用户数据保护参考框架， 并根据相应的技术要求分成基本级和增强级两个级别。本标准，一方面为云计算企业建立规范完备的用户数据保护体系、保障用户数据安全提供指导， 另一方面为第三方机构对云计算服务提供者的用户数据安全保护能力评估提供依据， 同时也为用户选择数据得到良好保护的云计算服务提供参考。 YD/T 4 云服务用户数据保护能力参考框架 1 范围 本标准规范了云计算服务提供者在提供云计算服务时

8、应具备的用户数据安全保护能力， 包括事前防范能力、事中保护能力和事后追溯能力。 本标准适用于第三方机构对云计算服务提供者的云计算服务用户数据安全保护能力审查和评估提供依据，也为云计算服务提供者的用户数据安全保护能力建设提供参考。 2 规范性引用文件 下列文件对于本标准的应用是必不可少的。 凡是注日期的引用文件， 仅所注日期的版本适用于本标准。凡是不注日期的引用文件，其最新版本（包括所有的修改版）适用于本标准。 GB/T 32400-2015 信息技术 云计算 概览与词汇 YDB 1442014 云计算服务协议参考框架 3 术语和定义 下列术语和定义适用于本文件。 3.1 云计算云计算 clou

9、d computingcloud computing 一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式。 注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。 GB/T 32400-2015，定义 3.2.5 3.2 云云服务服务 cloud servicecloud service 通过云计算已定义的接口提供的一种或多种能力。 3.3 云云服务提供商服务提供商 cloud service providercloud service provider 提供云服务的参与方。 3.4 云服务用户云服务用户 cloud servicecloud serv

10、ice useruser 为使用云服务而处于一定业务关系中的参与方，以下简称“云用户” 。 3.5 YD/T 5 云云服务服务用户数据用户数据 cloud servicecloud service u user dataser data 云计算服务用户在使用云计算服务过程中上传、存储、传输、处理和产生的数据，如虚拟机镜像文件、代码、对象文件、用户鉴别信息、用户日志等。 3.6 云服务提供商云服务提供商运营运营数据数据 c cloud service provider dataloud service provider data 云计算服务提供商控制的一类数据，如访问控制列表、系统日志、操作日志

11、等。 3.7 云服务衍生数据云服务衍生数据 c cloud loud s services ervices d derived erived d dataata 基于云服务用户源生数据和云服务提供商数据分析得出的数据。 3.8 用户鉴别用户鉴别信息信息 u user authentication informationser authentication information 指用于鉴定用户身份是否合法的信息，如用户登录云控制台的账号、密码等。 4 概述 4.1 云服务用户数据保护能力范围 云计算服务中涉及到的用户数据包括云服务用户数据、云服务提供商数据和云服务衍生数据。 4.2 云服务用户

12、数据保护能力分级参考框架 YDB 1442014 中对于数据安全的要求包括数据持久性、数据可销毁性、数据可迁移性、数据私密性、数据知情权和服务可审查性。云服务数据保护能力分级参考框架在此基础上，将 6 项数据安全指标扩展到 18 大类 26 项数据安全保护能力指标（如图 1） ，全面覆盖数据安全事前防范、事中保护和事后追溯三个阶段，使云计算服务提供者在达到数据“可信”的基础之上，实现对数据“安全”保护能力的全面提升。 YD/T 6 数据持久性数据私密性数据知情权数据可迁移性数据可销毁性数据持久性数据私密性数据知情权数据防窃取性数据可用性服务可审查性数据访问安全性数据传输安全性数据迁移安全性数据

13、销毁安全性数据返还安全性事前防范事前防范入侵防范恶意代码防范事中保护事中保护应急响应用户投诉与反馈事后追溯事后追溯服务可审查性安全审计内部人员管控数据隐私性 图 1 云服务用户数据保护能力参考框架 本标准规定了云服务数据保护能力的 18 大类 26 项指标，每项指标明确了定义、规范性描述、基本要求和增强要求，规范性描述规范了服务商应向用户承诺或告知的信息。其中，事前防范能力包括：数据持久性、数据私密性、数据隐私性、数据知情权、数据防窃取性、数据可用性、数据访问安全性、数据传输安全性、数据迁移安全性、数据销毁安全性和数据返还安全性；事中保护能力包括入侵防范和恶意代码防范；事后追溯能力包括应急响应

14、、安全审计、用户投诉与反馈和服务可审查性。具体指标项如表 1 所示。 表 1 云服务用户数据保护能力指标汇总表 序号序号 保护阶段保护阶段 指标类别指标类别 指标项指标项 1. 事前防范 数据持久性 数据存储持久性 2. 数据存储完整性 3. 数据本地备份和恢复 4. 数据异地备份和恢复 5. 数据私密性 数据隔离安全性 6. 数据存储保密性 YD/T 7 7. 秘钥和证书管理 8. 加密算法可配置 9. 加解密性能 10. 第三方加密 11. 数据隐私性 数据隐私性 12. 数据知情权 数据知情权 13. 数据防窃取性 数据防窃取性 14. 数据可用性 数据可用性 15. 数据访问安全性 数

15、据访问安全性 16. 数据传输安全性 数据传输安全性 17. 数据迁移安全性 数据迁移安全性 18. 数据销毁安全性 数据销毁安全性 19. 数据返还安全性 数据返还安全性 20. 人员安全管控 人员安全管控 21. 事中保护 入侵防范 入侵防范 22. 恶意代码防范 恶意代码防范 23. 事后追溯 应急响应 应急响应 24. 安全审计 安全审计 25. 售后服务与技术支持 售后服务与技术支持 26. 服务可审查性 服务可审查性 4.3 云服务用户数据保护能力划分 根据云计算服务提供者所提供的用户数据技术水平和实现方式， 将用户数据安全保护能力分为两个等级：基本能力和增强能力。数据保护基本能力

16、，应能够具备常规的数据安全风险防范措施。数据保护增强能力，除具备基本级的全部功能以外，还应风险防范范围更加全面，技术手段更加有效等。 5 指标项定义和规范性描述 5.1 数据持久性 5.1.1 数据存储持久性 定义：定义：数据存储持久性，指云服务提供商应对合同期内数据不丢失的概率，即每月完好数据/(每月完好数据+每月丢失数据)。 YD/T 8 规范性描述规范性描述：在SLA协议中，应对数据存储持久性相关内容进行如实和清晰描述： 基本要求基本要求： a) 数据存储的持久性概率值应不低于99.99%； b) 应对可能产生数据丢失的故障/错误进行分类； c) 建立数据存储性故障/错误的应急措施； d

17、) 应建立有效的数据一致性校验机制； e) 应建立有效的数据深度校验机制。 增强要求增强要求： a) 数据存储的持久性概率值不低于99.999%； b) 应确保每次数据读写均进行数据一致性校验。 5.1.2 数据存储完整性 定义定义：数据存储完整性，指云服务提供商应对合同期内数据完整性不被破坏的概率进行承诺，即每月完好数据/(每月完好数据+每月完整性受到破坏数据)， 规范性描述规范性描述：在SLA协议中，应对数据存储完整性相关内容进行如实和清晰描述： 基本要求基本要求： a) 数据存储的完整性概率值不低于99.99%； b) 应对可能产生数据被破坏的故障/错误进行分类； c) 应建立数据完整性

18、故障/错误的应急措施； d) 应建立有效的数据一致性校验机制； e) 应建立有效的数据深度校验机制。 增强要求增强要求： a) 数据存储完整性概率值不低于99.999%； b) 应确保每次数据读写均进行数据一致性校验。 5.1.3 数据本地备份和恢复 定义：定义：数据本地备份和恢复，指云服务提供商所具备的用户数据本地备份与恢复功能，提供全量数据备份、增量备份，或多副本备份机制。 规范性描述规范性描述：在SLA协议中，应对数据本地备份和恢复相关内容进行如实和清晰描述： YD/T 9 基本要求基本要求： a) 应明确数据本地备份方式：快照、镜像等； b) 应明确数据本地备份机制：备份流程、权限设置

19、、机柜分配等； c) 应确保本地备份数据与原始数据不同宿主机、不同机柜； d) 应建立数据备份和恢复时出现错误时的应急措施。 增强要求增强要求： a) 数据本地备份功能的使用，应不影响系统的正常运营； b) 应支持热镜像方式进行数据本地备份。 5.1.4 数据异地备份和恢复 定义定义：数据异地备份和恢复，指云服务提供商具备数据异地备份和恢复的能力，包括建立异地灾难备份中心，配备灾难恢复所需的通信线路、网络设备和数据处理设备等。 规范性描述规范性描述：在SLA协议中，应对数据异地备份和恢复策略相关内容进行如实和清晰描述： 增强要增强要求求： a) 异地机房至少应为同城异地机房； b) 数据异地备

20、份功能的使用，应不影响系统的正常运营； c) 应明确数据异地备份机制：备份流程、权限设置、机柜分配等； d) 应建立检测到数据备份和恢复出现错误时采取必要的应急措施。 e) 应支持热镜像方式进行数据异地备份； f) 云服务厂商代替用户进行数据异地备份操作的， 应建立完善的运维操作流程， 确保用户数据不被泄露。 5.2 数据私密性 5.2.1 数据隔离安全性 定义定义： 数据隔离安全性， 指云服务提供商具备有效的隔离手段， 保证同一资源池用户数据互不可见，从技术上保证租户不能访问、获取或篡改其他租户的数据。 规范性描述规范性描述：在SLA协议中，应对数据隔离安全性的相关内容进行如实和清晰描述：

21、基本要求基本要求： a) 应具备同一资源池的多租户之间相互隔离； b) 具备多用户同时使用同一资源池的调度控制隔离。 YD/T 10 5.2.2 数据存储保密性 定义定义： 数据存储保密性， 指云服务提供商应采用加密技术或其他保护措施实现云服务用户的身份鉴别信息和用户数据的存储保密性。 规范性描述规范性描述：在SLA协议中，应对输出存储保密性相关内容进行如实和清晰描述： 基本要求基本要求： a) 应对云用户身份鉴别信息进行加密存储。 增强要求增强要求： a) 应提供数据加密产品/工具，由云服务用户自行选择和使用； b) 应确保加密产品/工具的使用，应对用户数据的正常使用不造成影响。 5.2.3

22、 秘钥和证书管理 定义定义：秘钥和证书管理，指云服务提供商应对云服务用户的秘钥和证书进行有效管理，确保其安全及有效。 规范性描述规范性描述：在SLA协议中，应对秘钥和证书管理的相关内容进行如实和清晰描述： 基本要求基本要求： a) 应建立有效的秘钥和证书管理办法，确保其安全及有效。 5.2.4 加密算法可配置 定义定义：加密算法可配置，指云服务提供商应提供给云服务用户的加密算法、强度和方式等参数均可自行配置。 规范性描述规范性描述：在SLA协议中，应对云服务提供的加密算法相关内容进行如实和清晰描述： 基本要求基本要求： a) 应提供可使用的加密算法种类、强度和方式等参数说明； b) 应对各种加

23、密算法的效率，强度，安全性及优缺点分析。 增强要求增强要求： a) 应支持国产加密算法的使用。 5.2.5 加解密性能 定义定义：加解密性能，指云服务提供商应在合同期内保证云服务用户对数据加解密操作的效率。 规范性描述规范性描述：在SLA协议中，应对加解密性能相关内容进行如实和清晰描述： 基本要求基本要求： YD/T 11 a) 加解密性能应对用户数据的正常使用不造成影响。 5.2.6 第三方加密 定义定义：第三方加密，指云服务提供商应支持用户选择第三方加密工具对其数据进行加密。 规范性描述：规范性描述：在SLA协议中，应对第三方加密相关内容进行如实和清晰描述： 基本要求基本要求： a) 应要

24、求云服务用户使用具备资质的第三方加密工具，如适用范围、加密机制和算法、密码强度等； 增强要求增强要求： a) 第三方加密算法的使用应对用户数据的正常使用不造成影响。 5.3 数据隐私性 定义定义：数据隐私性，指云服务提供商应向用户承诺，未经用户授权，不得获取和查看用户数据，不得用于机器学习、大数据分析等二次利用。除政府监管部门监管审计需要外，不得将用户数据提供给第三方。 规范性描述：规范性描述：在SLA协议中，应对用户数据隐私性相关内容进行如实和清晰描述： 基本要求基本要求： a) 应建立有效的技术手段，对涉及用户数据违规性使用的行为进行审计和告警； b) 应建立配合政府监管部门审核用户数据的

25、管理办法，管理办法中应明确授权方式、访问流程、记录保存方式等。 c) 获得用户授权的方式； d) 根据不同的云服务的特性，明确哪些数据有可能被云服务提供商获取或查看； e) 明确告知用户云服务提供商查看用户数据的方式。 5.4 数据知情权 定义定义：数据知情权，指云服务用户有权利了解数据存储位置、拷贝数量、使用程度等信息。 规范性描述：规范性描述：在SLA协议中，应对用数据存储、备份等相关内容进行如实和清晰描述： 基本要求基本要求： a) 应建立数据知情权管理办法； b) 应对云服务用户数据存储相关服务造成变化的任何变更操作，在变更之前告知用户； c) 应告知用户其数据存储所在数据中心的地理位

26、置，并细化到数据中心名称； d) 应告知用户其数据位置是否可选，如果可选，可选的方式； YD/T 12 e) 应告知用户其数据包括备份数据所在的数据中心的当地与数据中心的相关法律约束。 5.5 数据防窃取性 定义定义：数据防窃取性，指云服务提供商提供有效的数据保护手段，确保用户数据不会被窃取。 规范性描述规范性描述：在SLA协议中，应对数据防窃取技术相关内容进行如实和清晰描述： 基本要求基本要求： a) 应从云控制台、云服务提供商、云服务用户三个维度，建立用户数据防窃取保护管理和技术手段； b) 数据防窃取管理手段情况，如人员管理、权限管理、漏洞管理等； c) 数据防窃取技术手段情况，如访问控

27、制策略、运维审计、安全事件监控、态势感知等。 5.6 数据可用性 定义定义：数据可用性，指云服务提供商应在合同期内用户对数据的各项操作（如上传、修改、删除、查找等）成功的概率。 规范性描述规范性描述：在SLA协议中，应对数据可用性相关内容进行如实和清晰描述： 基本要求基本要求： a) 数据可用性概率值不低于99.9%； b) 应对可能产生数据不可用的故障/错误进行分类； c) 建立数据可用性故障/错误的应急措施； d) 应建立有效的数据一致性校验机制； e) 应建立有效的数据深度校验机制。 增强要求增强要求： a) 数据存储的持久性概率值不低于99.99%； b) 应确保每次数据读写均进行数据

28、一致性校验。 5.7 数据访问安全性 定义定义：数据访问安全性，指云服务提供商应确保用户数据访问、操作等均符合安全要求。 规范性描述规范性描述：在SLA协议中，应对数据访问安全相关的权限管理、身份鉴别、防暴力破解、异常行为监测的管理和技术实现方案等内容进行如实和清晰描述： 基本要求基本要求： a) 建立用户数据访问权限管理办法 YD/T 13 1) 应明确用户数据访问权限管理的范围， 如从云服务提供商和云服务用户两个角度， 分别对云控制台、云主机等访问权限进行管理； 2) 应明确用户数据的访问权限，进行最小化设置。如限制Root用户使用、限制缺省访问权限、限制对日志文件等敏感数据操作权限、及时

29、删除多余过期帐户、避免共享帐户存在等。 b) 建立身份鉴别管理办法 1) 应明确身份鉴别范围，如从云服务提供商和云服务用户两个角度，分别对云控制台、云主机等身份鉴别进行管理； 2) 应采用两种或两种以上组合的鉴别技术来对用户进行身份鉴别； 3) 密码管理应符合安全要求，如密码长度、复杂度、更换周期等； 4) 鉴别失败处理功能应符合安全要求， 如如限制鉴别失败次数、 在鉴别失败时采取结束会话和自动退出等措施。 c) 建立暴力防范管理办法 1) 应对所有互联网可访问的web登录页面均提供暴力破解防范措施； 2) 防暴力破解措施应符合安全要求，如错误登录锁定设置、验证码设置等。 d) 建立异常行为监

30、测与预警 1) 应对涉及用户数据的访问和操作进行监测； 2) 应建立异常行为的定义、分级和分类，如连续多次错误登录、大批量操作、非法输入、非法请求等； 3) 应对异常行为进行7*24小时监测和预警，对高级别的异常行为进行及时应急处置。 增强要求增强要求： a) 数据访问权限 1) 敏感业务操作应进行二次权限认证； 2) 应具备自动化审计及预警能力，对非授权的用户访问事件进行实时预警。 b) 身份鉴别 1) 应限制使用过的鉴别信息重复使用频次； 2) 应采用技术术手段防止鉴别信息被非法修改、删除或重置等。 3) 应对特定用户提供特定IP登录等条件限制的登录功能。 c) 暴力破解防范 1) 应采用

31、技术手段加强恶意人员暴力破解难度，降低账号锁定给用户带来的影响； YD/T 14 2) 应具备云主机防暴力破解监测功能，提供用户自行选择使用。 d) 异常行为监测 1) 应具备异常运维操作的预警功能，如非常用时间段运维操作、非常用用户登录操作等。 5.8 数据传输安全性 定义定义： 数据传输保密性， 指云服务提供商应采用必要技术措施保证用户鉴别信息和重要数据传输的保密性和完整性。 规范性描述规范性描述：在SLA协议中，应对数据传输保密性采取的管理和技术方案进行如实和清晰描述： a) 实现用户鉴别信息传输保密性的方式； b) 实现重要数据传输保密性的方式。 基本要求基本要求： a) 建立用户鉴别

32、信息和重要数据保密传输管理办法 1) 应明确用户鉴别信息的范围、重要程度； 2) 应确保用户鉴别信息非明文传输； b) 建立数据传输完整性管理办法 1) 明确实现数据传输完整性的方式，如哈希、数字签名等； 2) 应对数据传输完整性进行实时监测、预警和应急处置。 增强要求增强要求： a) 数据传输保密性 1) 应采用加密算法，对用户鉴别信息和重要数据进行加密传输； 2) 云平台底层各个组件/模块之间的鉴别信息和重要数据应加密传输； 3) 应确保加密算法不易被破解； 4) 应支持国密算法对用户鉴别信息进行加密。 5.9 数据迁移安全性 定义定义： 数据迁移安全性， 指云服务提供商能够对用户所属数据

33、进行迁移， 并确保用户业务不受影响。 规范性描述规范性描述： 在SLA协议中， 应对数据迁移涉及的操作流程、 业务影响等内容进行如实和清晰描述： 基本要求基本要求： a) 建立云平台内部数据迁移管理办法 1) 应明确数据迁移流程，非授权下禁止数据迁移； YD/T 15 2) 禁止违规进行数据迁移； 3) 数据迁移不对用户业务造成影响。 b) 建立数据迁出云平台管理办法 1) 应明确数据迁出流程，非授权下禁止数据迁移； 2) 禁止违规进行数据迁出； 3) 保证迁出数据可在其他云平台上正确读取； 4) 数据迁出，不对用户业务造成影响。 增强要求增强要求： a) 应建立数据迁移方案和数据迁移风险控制

34、措施，保障业务连续性； b) 应建立数据迁移中做好数据备份以及恢复相关工作。 5.10 数据销毁安全性 定义定义：数据销毁安全性，指云服务提供商应确保用户数据被彻底销毁，且无法恢复。 规范性描述规范性描述：在SLA协议中，应对数据销毁的流程和管理办法进行如实和清晰描述： 基本要求基本要求： a) 建立数据销毁管理办法 1) 应明确数据销毁的前提条件，如用户要求删除数据、合同终止、或设备弃置等； 2) 应明确数据销毁的范围，如副本、备份、镜像等； 3) 应明确数据销毁的流程和技术手段，确保用户数据被彻底删除。 b) 建立数据恢复管理办法 1) 应明确数据恢复的前提条件，如配合主管部门取证、用户数

35、据误删除等； 2) 应建立数据恢复审批机制，由企业/公司信息化部门主责领导进行审批； 增强要求增强要求： a) 数据销毁 1) 应具备销毁数据的回收站管理机制，避免用户数据误删除； 2) 对存在违法违规的用户数据，未得到上级主管部门授权下，只可冻结不可删除。 b) 数据恢复 1) 应指定专人使用固定IP的运维机进行用户数据返还的相关操作。 5.11 数据返还安全性 YD/T 16 定义定义：数据返还安全性，指云服务提供商应在服务合约到期时或用户要求终止合约时，完整地返还用户数据，并承诺相关数据均已在云计算平台上彻底删除。 规范性描述规范性描述：在SLA协议中，应对数据返还的流程及安全控制等内容

36、进行如实和清晰描述。 基本要求基本要求： a) 应具备返还用户完整数据的能力； b) 应确保用户数据返还后，对平台中的用户数据进行彻底销毁； c) 应指定团队负责用户数据返还相关工作。 增强要求增强要求： a) 应指定专人使用固定IP的运维机进行用户数据返还的相关操作。 5.12 人员安全管控 定义定义：人员安全管控，指云服务提供商应对能够接触用户数据的内部人员、第三方人员进行管控，以确保用户数据安全。 其规范性描述：其规范性描述：在SLA协议中，应对云服务提供商的人员安全管理办法进行如实和清晰描述。 基本要求基本要求： a) 建立云服务提供商内部人员管理办法 1) 应严格限制能够接触用户数据

37、的人员数量和权限； 2) 应规范内部人员对用户数据的访问和操作； 3) 账号及权限安全应符合安全要求； 4) 应定期开展安全培训和考核。 b) 建立第三方人员管理办法 1) 能够接触用户数据的第三方人员应与云服务提供商签署保密协议； 2) 应严格限制能够接触用户数据的第三方人员数量和权限； 3) 应规范第三方人员对用户数据的访问和操作； 4) 账号及权限安全应符合安全要求； 5) 第三方人员不得拥有最高权限账号； 6) 应定期开展安全考核。 增强要求增强要求： a) 内部人员管理办法 1) 禁止多人共享同一账号； YD/T 17 2) 高权限账号禁止非授权下提供他人使用； b) 第三方人员管理

38、办法 1) 禁止第三方人员单独接触用户数据； 2) 禁止多人共享同一账号； 3) 高权限账号禁止非授权下提供他人使用。 5.13 入侵防范 定义定义：入侵防范，指云服务提供商对网络入侵和攻击行为进行监测、预警和处置 规范性描述规范性描述：在SLA协议中，应对云服务提供商提供的入侵防范能力进行如实和清晰的描述。 基本要求基本要求： a) 具备有效抵御和防范各种攻击的能力 1) 应部署安全防御设备和相关技术措施，如waf、IDS、IPS、DLP等； 2) 应对常见的攻击行为进行监测和预警，如端口扫描、DoS攻击、木马后门攻击、缓冲区溢出攻击、IP碎片攻击、SQL注入、命令执行、代码注入、XSS跨站

39、攻击、异常文件上传、Webshell和网络蠕虫攻击等； 3) 应能够记录入侵行为的源IP、类型、目的地址、时间等信息。 b) 应具备应云主机镜像更新功能 1) 对建立云主机镜像补丁更新管理办法； 2) 定期更新云主机镜像版本、修复镜像中存在的漏洞； 3) 发现重大安全漏洞时，应立即对云主机镜像进行更新； 4) 根据最小安装的原则，卸载云主机镜像中不需要的组件和应用程序。 增强要求增强要求： a) 对云服务用户使用中的旧版本镜像提供系统更新、漏洞告警和补丁升级等功能，并通知用户； b) 应提供不同安全防护等级的云主机镜像资源； c) 应能够提供基于云主机的入侵防范工具，供云服务用户选择使用 5.

40、14 恶意代码防范 定义：定义：恶意代码防范，指云服务提供商应能够对云平台上的恶意代码进行监测、预警和清除。 其规范性描述：其规范性描述：在SLA协议中，应对云服务提供商所提供的恶意代码防范能力进行如下内容进行如实和清晰描述。 基本要求基本要求： YD/T 18 a) 提供宿主机恶意代码防范 1) 应合理设置恶意代码扫描周期； 2) 应定期对恶意代码库进行更新； 3) 应对恶意代码防范日志进行有效保存和处置。 b) 提供云服务用户主机恶意代码防范 1) 明确为云服务用户提供主机恶意代码防范的方式，如云服务提供商提供、采用第三方产品等。 增强要求增强要求： a) 云服务提供商能够提供主机恶意代码

41、防护产品 1) 应提供主机恶意代码检测功能的操作使用说明； 2) 应定期提供恶意代码库进行更新包； 3) 应在云服务用户授权下， 向用户主动推送恶意代码防范日志， 并对用户的不合理使用进行提醒。 5.15 应急响应 定义定义：应急响应，指云服务提供商应制定用户数据安全应急预案，并进行及时的应急处置。 规范性描述规范性描述：在SLA协议中，应对用户数据安全应急响应相关工作进行如实和清晰描述。 基本要求基本要求： a) 建立用户数据保护应急管理办法； 1) 明确云服务提供商内部的应急组织和责任机构设置； 2) 对数据安全事件进行分级分类； 3) 明确不同级别或类型的数据安全事件的响应时间、处置方式

42、等。 b) 定期开展数据安全事件应急演练，对演练过程和记过进行如实记录； c) 建立国家和行业主管部门应急响应衔接机制。 增强要求增强要求： a) 数据安全事件发生后，半小时内通过电话和邮件方式告知用户； b) 数据安全事件处理完成后，应48小时内告知用户的具体内容， 1) 安全事件发生的时间、地点、事件类型； 2) 采取的应急措施和效果； 3) 用户数据损失程度，对业务的影响情况； 4) 需要用户配合后续工作； 5) 对所造成用户数据损失的后续处置和补偿工作等。 YD/T 19 5.16 安全审计 定义定义：安全审计，指云服务提供商应对云服务用户行为、云上重要业务系统进行安全审计。 规范性描

43、述：规范性描述：在SLA协议中，应对安全审计范围、审计结果处理方式等进行如实和清晰描述。 基本要求基本要求： a) 对云服务用户常见行为进行审计 1) 审计范围应包括用户常见行为，如正确/失败登录行为、增删减等关键操作、资源使用情况等； 2) 应对审计记录数据进行统计、查询、分析及生成审计报表； 3) 应对审计记录进行保护，有效期内避免受到非授权的访问、篡改、覆盖或删除等； 4) 应定期针对审计日志进行人工审计； 5) 应根据用户需求提供与其相关的审计信息及审计分析报告。 b) 对云服务提供商重要行为进行审计 1) 审计范围应包括运维人员、开发人员、业务人员等所有人员的重要行为； 2) 应建立

44、重要行为操作的定义、响应方式。响应时间、应急策略等； 3) 应对审计记录数据进行统计、查询、分析及生成审计报表； 4) 应对审计记录进行保护，有效期内避免受到非授权的访问、篡改、覆盖或删除等； 5) 应定期针对审计日志进行人工审计。 增强要求增强要求： a) 对云服务用户异常行为进行审计 1) 应建立云服务用户异常操作的定义、响应方式、响应时间、应急策略等 2) 审计范围应包括用户所有重要行为，如非习惯性登录行为、非习惯性增删减等关键操作等； 3) 应采用自动化审计和告警方式，对异常行为进行告警。 5.17 售后服务与技术支持 定义定义：售后服务与技术支持，指云服务提供商应向用户提供有关用户数

45、据保护的投诉渠道，并为用户提供及时有效的售后服务与技术支持。 其规范性描述：其规范性描述：在SLA协议中，应对投诉渠道、售后服务与技术支持方式进行如实和清晰描述。 基本要求基本要求： a) 制定用户数据保护相关的用户投诉管理办法 1) 应明确投诉方式、投诉处理流程和响应时间； 2) 应对有关用户数据保护的投诉进行电话或邮件进行反馈； YD/T 20 3) 应在半小时内，对用户投诉进行首次响应时间； 4) 应在2小时内，对用户投诉进行二次反馈。 b) 制定用户数据保护相关的售后服务与技术支持管理办法 1) 应明确售后服务与技术支持的范围、服务与支持方式等； 2) 应对有关用户数据保护的售后服务与

46、技术支持进行及时响应； 增强要求增强要求： a) 应对用户数据保护相关的投诉提供人工客服电话，并确保24小时响应； b) 应对用户数据保护相关的售后服务与技术支持，12小时内进行反馈。 5.18 服务可审查性 定义定义： 服务可审查性， 指云服务提供商应配合政府监管部门和云服务用户开展安全审查/取证工作。 规范性描述：规范性描述：在SLA协议中，应对云服务提供商配合政府监管部门和云服务用户开展安全取证相关工作的义务进行如实和清晰描述。 基本要求基本要求： a) 制定配合政府监管部门开展安全审查/取证工作的管理办法； 1) 应明确工作制度和流程，确保工作合规； 2) 应明确何种情况下，能够提供何种数据配合审查； 3) 应对所提供的云服务用户相关数据，在不影响取证的情况下进行脱敏处理； 4) 应对所提供的云服务提供商相关数据，在不影响取证的情况下进行脱敏处理。 b) 制定配合云服务用户开展安全事件取证工作的管理办法； 1) 应明确工作制度和流程，确保工作合规； 2) 应明确安全事件类型，提供相对应的取证数据，并在不影响取证的情况下进行脱敏处理。