云计算系统等保测评对象和指标选取

news2024/12/28 19:09:55

1、云计算服务模式与控制范围关系

参考GBT22239-2019《基本要求》附录D 云计算应用场景说明。简要理解下图,主要是云计算系统安全保护责任分担原则和云服务模式适用性原则,指导后续的测评对象和指标选取。

2、测评对象选择

测评对象

IaaS模式

PaaS模式

SaaS模式

大类

小类

平台

租户

I-平台

平台

租户

I-平台

P-平台

平台

租户

(1)设施

物理机房

NA

-

NA

-

-

NA

云计算基础设施部署的相关机房及基础设施

NA

-

NA

-

-

NA

(2)硬件

物理网络架构

NA

-

NA

-

-

NA

物理网络边界

NA

-

NA

-

-

NA

网络设备

NA

-

NA

-

-

NA

安全设备

NA

-

NA

-

-

NA

服务器

NA

-

NA

-

-

NA

宿主机

NA

-

NA

-

-

NA

云侧终端

NA

-

NA

-

-

NA

(3)资源抽象控制

云OS

NA

-

NA

-

-

NA

虚拟机监视器

NA

-

NA

-

-

NA

虚拟机镜像

NA

-

NA

-

-

NA

(4)虚拟化计算资源

虚拟网络架构

NA

-

NA

虚拟网络边界

NA

-

NA

虚拟机

NA

-

NA

虚拟网络设备

NA

-

NA

虚拟安全设备

NA

-

NA

(5)软件平台

数据库

NA

-

NA

中间件

NA

-

NA

容器

NA

-

NA

云应用开发平台

NA

NA

NA

-

NA

云产品/服务(P)

NA

NA

NA

-

NA

(6)应用软件

云产品/服务(S)

NA

NA

NA

NA

NA

NA

云产品/服务数据

NA

NA

NA

NA

NA

NA

业务应用系统

NA

NA

NA

NA

NA

NA

业务数据

NA

NA

NA

NA

NA

NA

(7)其他

云业务管理系统

NA

NA

NA

云运营控制系统

NA

NA

NA

云运维管理系统

NA

NA

NA

云安全管理平台

NA

云平台监控系统

NA

安全相关人员、介质、管理文档

3、测评指标选择

测评指标

IaaS模式

PaaS模式

SaaS模式

控制点

要求项

平台

租户

I-平台

平台

租户

I-平台

P-平台

平台

租户

基础设施位置

a)应保证云计算基础设施位于中国境内

NA

NA

NA

NA

NA

NA

网络架构

a)应保证云计算平台不承载高于其安全保护等级的业务应用系统

NA

NA

NA

b)应实现不同云服务客户虚拟网络之间的隔离

NA

NA

NA

c)应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力

NA

NA

NA

d)应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略

NA

NA

NA

e)应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务

NA

NA

NA

f)应提供对虚拟资源的主体和客体设置安全标记的能力,保证云服务客户可以依据安全标记和强制访问控制规则确定主体对客体的访问

g)应提供通信协议转换或通信协议隔离等的数据交换方式,保证云服务客户可以根据业务需求自主选择边界数据交换方式

NA

NA

NA

h)应为第四级业务应用系统划分独立的资源池

NA

NA

NA

访问控制

a)应在虚拟边界部署访问控制机制,并设置访问控制规则

NA

NA

b)应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则

NA

NA

入侵防范

a)应能检测到云服务客户发起的攻击行为,并能记录攻击类型、攻击时间、攻击流量等

NA

NA

NA

b)应检测到虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等

NA

c)应检测到虚拟机和宿主机、虚拟机和虚拟机之间的异常流量

NA

NA

d)应在检测到网络攻击行为、异常流量时进行告警

安全审计

a)应对云服务商和云服务客户在远程管理时执行特权的命令进行审计,至少包括虚拟机删除、虚拟机重启

b)应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计

身份鉴别

a)当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制

访问控制

a)应保证当虚拟机迁移时,访问控制策略随其迁移

NA

NA

NA

b)应允许云服务客户设置不同虚拟机之间的访问控制策略

NA

NA

NA

入侵防范

a)应能检测虚拟机之间的资源隔离失败,并进行告警

NA

NA

NA

NA

NA

NA

b)应能检测到非授权新建虚拟机或者重新启用虚拟机,并进行告警

NA

NA

NA

NA

NA

NA

c)应能检测恶意代码感染及在虚拟机间蔓延的情况,并进行告警

NA

NA

NA

镜像和快照保护

a)应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务

NA

NA

NA

NA

NA

NA

NA

b)应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改

NA

NA

NA

NA

NA

NA

NA

c)应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问

NA

NA

NA

NA

NA

NA

NA

数据完整性和保密性

a)应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定

b)应保证只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限

NA

NA

NA

c)应使用校验技术或密码技术保证虚拟机迁移过程中重要数据的完整性,并在检测到完整性受到破坏时采取必要的恢复措施

NA

NA

NA

d)应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程

NA

NA

NA

数据恢复和备份

a)云服务客户应在本地保存其业务数据的备份

b)应提供查询云服务客户数据及备份存储位置的能力

NA

NA

NA

c)云服务商的云存储服务应保证云服务客户数据存在若干个可用的副本,各副本之间的内容应保持一致

NA

NA

NA

d)应为云服务客户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段,并协助完成迁移过程

NA

NA

NA

剩余信息保护

a)应保证虚拟机所使用的内存和存储空间回收时得到完全清除

NA

NA

NA

b)云服务客户删除业务应用数据时,云计算平台应将云存储中所有副本删除

NA

NA

NA

集中管控

a)应对物理资源和虚拟资源按照策略做统一管理调度与分配

NA

NA

NA

b)应保证云计算平台管理流量与云服务客户业务流量分离

NA

NA

NA

c)应根据云服务商和云服务客户的职责划分,收集各自控制部分的审计数据并实现各自的集中审计

d)应根据云服务商和云服务客户的职责划分,实现各自控制部分,包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状态的集中监控

云服务商选择

a)应选择安全合规的云服务商,其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力

NA

NA

NA

b)应在服务水平协议中规定云服务的各项服务内容和具体技术指标

NA

NA

NA

c)应在服务水平协议中规定云服务上的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。

NA

NA

NA

d)应在服务水平协议中规定服务合约到期时,完整提供云服务客户数据,并承诺相关数据在云计算平台上清除。

NA

NA

NA

e)应与选定的云服务商签署保密协议,要求其不得泄露云服务客户数据。

NA

NA

NA

供应链管理

a)应确保供应商的选择符合国家有关规定

NA

NA

NA

b)应将供应链安全事件信息或安全威胁信息及时传达到云服务客户

NA

NA

NA

c)应保证供应商的重要变更及时传达到云服务客户,并评估变更带来的安全风险,采取措施对风险进行控制

NA

NA

NA

云计算环境管理

a)云计算平台的运维地点应位于中国境内,境外对境内云计算平台实施运维操作应遵循国家相关规定。

NA

NA

NA

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1537831.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Sphinx + Readthedocs 避坑速通指南

博主在学习使用 Sphinx 和 Read the docs 的过程中, 碰到了许多奇葩的 bug, 使得很简单的任务花费了很长的时间才解决,现在在这里做一个分享,帮助大家用更少的时间高效上线文档的内容。 总的来说, 任务分为两个部分: …

C#、.NET版本、Visual Studio版本对应关系及Visual Studio老版本离线包下载地址

0、写这篇文章的目的 由于电脑的环境不同,对于一个老电脑找到一个适配的vscode环境十分不易。总结一下C#、.NET、Visual Studio版本的对应关系,及各个版本Visual Studio的下载地址供大家参考 1、C#、.NET版本、Visual Studio版本对应关系如下 2、Visua…

C++初阶:string类相关练习题

目录 1. 字符串相加2. 反转字母3. 字符串中唯一字母4. 字符串中最后一个单词5. 验证回文串6. 反转字符II7. 反转字符串中的单词8. 字符串相乘 1. 字符串相加 题目信息: 题目连接: 字符串相加 class Solution { public:string addStrings(string num1, s…

PHP自动获取视频时长的方法

摘要 最近在给客户开发短视频项目模块中遇到自动获取上传视频的时长并用于外部展示的需求。 刚开始想到用比较笨的方法,就是上传之前手动写入视频文件的大小,无奈嫌麻烦,寻求其它方法。 也是一个比较笨的方法—— ffmpeg 通过下载 ffmpeg&am…

vue的优缺点有那些 组件常用的有那些?

优点: 组件化开发,提升效率,方便复用,便于协同开发单页面路由易于结合其他的第三方库丰富的api方法轻量高效,虚拟DOMMVVM,数据驱动视图轻量级的框架 缺点: 缺少高阶教程和文档生态环境不如angular和re…

ChatGPTGPT4科研应用、数据分析与机器学习、论文高效写作、AI绘图技术教程

原文链接:ChatGPTGPT4科研应用、数据分析与机器学习、论文高效写作、AI绘图技术教程https://mp.weixin.qq.com/s?__bizMzUzNTczMDMxMg&mid2247598506&idx2&sn14f96667bfbeba5f51366a1f019e3d64&chksmfa82004dcdf5895bba2784ba10f6715f6f5e4c59c9b1…

ElasticSearch之数据建模

写在前面 本文看下es数据建模相关的内容。 1:什么是数据建模 数据建模是对真实数据的一种抽象,最终映射为计算机形式的表现。其包括如下三个阶段: 1:概念模型 2:逻辑模型 3:数据模型2:es数据…

此站点正在尝试打开 ,chrome/edge 允许http网站打开url schema

正常https链接会有首次允许选项 但http没有,每次都会弹出,非常烦人。 Chrome / Edge 配置 地址栏输入 chrome://flags/搜索Insecure origins treated as secure, 配置允许网站,需要协议和端口再次跳转会显示始终允许选项

(附源码)基于Spring Boot和Vue的前后端分离考研资料分享平台的设计与实现

前言 💗博主介绍:✌专注于Java、小程序技术领域和毕业项目实战✌💗 👇🏻 精彩专栏 推荐订阅👇🏻 2024年Java精品实战案例《100套》 🍅文末获取源码联系🍅 &#x1f31…

【Godot4.2】2D辅助类Geometry2D入门

概述 Godot4.2提供了一个名叫Geometry2D的类。它提供了一些用于2D几何图形如多边形(Polygon)、折线(PolyLine)相关的函数,可以方便实现诸如多边形与多边形或多边形与折线的布尔运算、求交点等。 这是一个非常强大的2…

目标控制器数字孪生系统的研究与设计

文章来源:铁路计算机应用,2023,32(10):36-41. 作者:许婧,杨硕,季志均 摘要:随着目标控制器(OC,Object Controller)系统在轨道交通领域的推广应用,其硬件投入较高、研发…

css background-color属性无效

因为工作需要&#xff0c;最近在帮H5同事开发几个页面&#xff0c;在使用H5进行如下布局的时候&#xff0c;发现设置 background-color为白色无效。 代码如下&#xff1a; <div class "bottomBar"><div style"position: fixed; left: 20px;">…

解决arco-design下拉框回显id的问题

问题描述 下拉框回显选项中没有的选项&#xff0c;就会出现以下情况&#xff0c;只能把uid回显上去 解决方案 使用ui框架自带的属性fallback-option 用法 按以上操作&#xff0c;即可解决选择框回显uid问题

软考91-上午题-【操作系统】-线程

一、线程的定义 传统的进程有两个基本属性: 可拥有资源的独立单位&#xff1b;可独立调度和分配的基本单位。 引入线程的原因是进程在创建、撤销和切换中&#xff0c;系统必须为之付出较大的时空开销&#xff0c;故在系统中设置的进程数目不宜过多&#xff0c;进程切换的频率…

Day43:WEB攻防-PHP应用SQL注入符号拼接请求方法HTTP头JSON编码类

目录 PHP-MYSQL-数据请求类型 PHP-MYSQL-数据请求方法 PHP-MYSQL-数据请求格式 知识点&#xff1a; 1、PHP-MYSQL-SQL注入-数据请求类型 2、PHP-MYSQL-SQL注入-数据请求方法 3、PHP-MYSQL-SQL注入-数据请求格式 PHP-MYSQL-数据请求类型 SQL语句由于在黑盒中是无法预知写法的…

基于python+vue的BBS论坛系统flask-django-nodejs-php

本系统为用户而设计制作BBS论坛系统&#xff0c;旨在实现BBS论坛智能化、现代化管理。本BBS论坛自动化系统的开发和研制的最终目的是将BBS论坛的运作模式从手工记录数据转变为网络信息查询管理&#xff0c;从而为现代管理人员的使用提供更多的便利和条件。使BBS论坛系统数字化、…

使用阿里CICD流水线打包Vue项目到阿里的docker镜像私仓,并自动部署到服务器启动服务

文章目录 使用阿里CICD流水线打包Vue项目到阿里的docker镜像私仓&#xff0c;并自动部署到服务器启动服务1、功能实现原理大家可以看我之前的两篇文章2、打包vue项目和打包咱们的Java项目过程差不多相同&#xff0c;大家可以看着上面的Java打包过程进行实验&#xff0c;下面是v…

关于短群签名论文阅读

参考文献为2004年发表的Short Group Signatures 什么群签名&#xff1f; 群签名大致就是由一组用户组成一个群&#xff0c;其中用户对某条消息的签名&#xff0c;改签名不会揭示是哪一个用户签署的&#xff0c;签名只能表明该消息确实是来自该群的签名。对于群还有一个群管理者…

VTK9.2.0+Qt5.14.0 绘制点云

背景 为了显示结构光重建后的点云&#xff0c;开发QT5.14.0VTK9.2.0的上位机软件&#xff0c;用于对结构光3D相机进行控制&#xff0c;并接收传输回来的3D数据&#xff0c;显示在窗口中。 配置QT和VTK VTK9.2.0下载源码&#xff0c;用Cmake编译&#xff0c;编译好的VTK9.2.0…