GA/T 1390.2-2017 信息安全技术 网络安全等级保护基本要求 第2部分：云计算安全扩展要求

ICS35.40

L80

中华人民共和国公共安全行业标准

/—

GAT1390.22017

信息安全技术网络安全等级保护基本

:

要求第部分云计算安全扩展要求

2

—

InformationsecurittechnoloGeneralreuirementsforclassifiedrotectionof

ygyqp

—:

cbersecuritPart2Secialsecuritreuirementsforcloudcomutin

yypyqpg

2017-05-08发布2017-05-08实施

中华人民共和国公安部发布

/—

GAT1390.22017

目次

前言…………………………Ⅴ

引言…………………………Ⅵ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4云计算安全概述…………………………2

4.1云计算平台构成……………………2

4.2云计算平台定级……………………3

5第一级安全要求…………………………3

5.1技术要求……………3

5.1.1物理和环境安全………………3

5.1.2网络和通信安全………………3

5.1.2.1网络架构……………………3

5.1.2.2访问控制……………………3

5.1.2.3入侵防范……………………4

5.1.2.4安全审计……………………4

5.1.3设备和计算安全………………4

5.1.3.1身份鉴别……………………4

5.1.3.2访问控制……………………4

5.1.3.3安全审计……………………4

5.1.3.4入侵防范……………………4

5.1.3.5资源控制……………………4

5.1.3.6镜像和快照保护……………4

5.1.4应用和数据安全………………4

5.1.4.1安全审计……………………4

5.1.4.2资源控制……………………5

5.1.4.3接口安全……………………5

5.1.4.4数据完整性…………………5

5.1.4.5数据保密性…………………5

5.1.4.6数据备份恢复………………5

5.1.4.7剩余信息保护………………5

5.2管理要求……………5

5.2.1安全管理机构和人员…………5

5.2.1.1授权…………………………5

5.2.1.2人员录用……………………5

5.2.2安全建设管理…………………5

5.2.2.1测试验收……………………5

Ⅰ

/—

GAT1390.22017

5.2.2.2云服务商选择………………5

5.2.2.3供应链管理…………………6

5.2.3安全运维管理…………………6

5.2.3.1环境管理……………………6

5.2.3.2监控和审计管理……………6

6第二级安全要求…………………………6

6.1技术要求……………6

6.1.1物理和环境安全………………6

6.1.2网络和通信安全………………6

6.1.2.1网络架构……………………6

6.1.2.2访问控制……………………7

6.1.2.3入侵防范……………………7

6.1.2.4安全审计……………………7

6.1.3设备和计算安全………………7

6.1.3.1身份鉴别……………………7

6.1.3.2访问控制……………………7

6.1.3.3安全审计……………………7

6.1.3.4入侵防范……………………7

6.1.3.5资源控制……………………7

6.1.3.6镜像和快照保护……………7

6.1.4应用和数据安全………………8

6.1.4.1安全审计……………………8

6.1.4.2资源控制……………………8

6.1.4.3接口安全……………………8

6.1.4.4数据完整性…………………8

6.1.4.5数据保密性…………