云计算系统等保测评对象和指标选取

1、云计算服务模式与控制范围关系

参考GBT22239-2019《基本要求》附录D 云计算应用场景说明。简要理解下图,主要是云计算系统安全保护责任分担原则和云服务模式适用性原则,指导后续的测评对象和指标选取。

2、测评对象选择

测评对象

IaaS模式

PaaS模式

SaaS模式

大类

小类

平台

租户

I-平台

平台

租户

I-平台

P-平台

平台

租户

(1)设施

物理机房

NA

-

NA

-

-

NA

云计算基础设施部署的相关机房及基础设施

NA

-

NA

-

-

NA

(2)硬件

物理网络架构

NA

-

NA

-

-

NA

物理网络边界

NA

-

NA

-

-

NA

网络设备

NA

-

NA

-

-

NA

安全设备

NA

-

NA

-

-

NA

服务器

NA

-

NA

-

-

NA

宿主机

NA

-

NA

-

-

NA

云侧终端

NA

-

NA

-

-

NA

(3)资源抽象控制

云OS

NA

-

NA

-

-

NA

虚拟机监视器

NA

-

NA

-

-

NA

虚拟机镜像

NA

-

NA

-

-

NA

(4)虚拟化计算资源

虚拟网络架构

NA

-

NA

虚拟网络边界

NA

-

NA

虚拟机

NA

-

NA

虚拟网络设备

NA

-

NA

虚拟安全设备

NA

-

NA

(5)软件平台

数据库

NA

-

NA

中间件

NA

-

NA

容器

NA

-

NA

云应用开发平台

NA

NA

NA

-

NA

云产品/服务(P)

NA

NA

NA

-

NA

(6)应用软件

云产品/服务(S)

NA

NA

NA

NA

NA

NA

云产品/服务数据

NA

NA

NA

NA

NA

NA

业务应用系统

NA

NA

NA

NA

NA

NA

业务数据

NA

NA

NA

NA

NA

NA

(7)其他

云业务管理系统

NA

NA

NA

云运营控制系统

NA

NA

NA

云运维管理系统

NA

NA

NA

云安全管理平台

NA

云平台监控系统

NA

安全相关人员、介质、管理文档

3、测评指标选择

测评指标

IaaS模式

PaaS模式

SaaS模式

控制点

要求项

平台

租户

I-平台

平台

租户

I-平台

P-平台

平台

租户

基础设施位置

a)应保证云计算基础设施位于中国境内

NA

NA

NA

NA

NA

NA

网络架构

a)应保证云计算平台不承载高于其安全保护等级的业务应用系统

NA

NA

NA

b)应实现不同云服务客户虚拟网络之间的隔离

NA

NA

NA

c)应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力

NA

NA

NA

d)应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略

NA

NA

NA

e)应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务

NA

NA

NA

f)应提供对虚拟资源的主体和客体设置安全标记的能力,保证云服务客户可以依据安全标记和强制访问控制规则确定主体对客体的访问

g)应提供通信协议转换或通信协议隔离等的数据交换方式,保证云服务客户可以根据业务需求自主选择边界数据交换方式

NA

NA

NA

h)应为第四级业务应用系统划分独立的资源池

NA

NA

NA

访问控制

a)应在虚拟边界部署访问控制机制,并设置访问控制规则

NA

NA

b)应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则

NA

NA

入侵防范

a)应能检测到云服务客户发起的攻击行为,并能记录攻击类型、攻击时间、攻击流量等

NA

NA

NA

b)应检测到虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等

NA

c)应检测到虚拟机和宿主机、虚拟机和虚拟机之间的异常流量

NA

NA

d)应在检测到网络攻击行为、异常流量时进行告警

安全审计

a)应对云服务商和云服务客户在远程管理时执行特权的命令进行审计,至少包括虚拟机删除、虚拟机重启

b)应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计

身份鉴别

a)当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制

访问控制

a)应保证当虚拟机迁移时,访问控制策略随其迁移

NA

NA

NA

b)应允许云服务客户设置不同虚拟机之间的访问控制策略

NA

NA

NA

入侵防范

a)应能检测虚拟机之间的资源隔离失败,并进行告警

NA

NA

NA

NA

NA

NA

b)应能检测到非授权新建虚拟机或者重新启用虚拟机,并进行告警

NA

NA

NA

NA

NA

NA

c)应能检测恶意代码感染及在虚拟机间蔓延的情况,并进行告警

NA

NA

NA

镜像和快照保护

a)应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务

NA

NA

NA

NA

NA

NA

NA

b)应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改

NA

NA

NA

NA

NA

NA

NA

c)应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问

NA

NA

NA

NA

NA

NA

NA

数据完整性和保密性

a)应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定

b)应保证只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限

NA

NA

NA

c)应使用校验技术或密码技术保证虚拟机迁移过程中重要数据的完整性,并在检测到完整性受到破坏时采取必要的恢复措施

NA

NA

NA

d)应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程

NA

NA

NA

数据恢复和备份

a)云服务客户应在本地保存其业务数据的备份

b)应提供查询云服务客户数据及备份存储位置的能力

NA

NA

NA

c)云服务商的云存储服务应保证云服务客户数据存在若干个可用的副本,各副本之间的内容应保持一致

NA

NA

NA

d)应为云服务客户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段,并协助完成迁移过程

NA

NA

NA

剩余信息保护

a)应保证虚拟机所使用的内存和存储空间回收时得到完全清除

NA

NA

NA

b)云服务客户删除业务应用数据时,云计算平台应将云存储中所有副本删除

NA

NA

NA

集中管控

a)应对物理资源和虚拟资源按照策略做统一管理调度与分配

NA

NA

NA

b)应保证云计算平台管理流量与云服务客户业务流量分离

NA

NA

NA

c)应根据云服务商和云服务客户的职责划分,收集各自控制部分的审计数据并实现各自的集中审计

d)应根据云服务商和云服务客户的职责划分,实现各自控制部分,包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状态的集中监控

云服务商选择

a)应选择安全合规的云服务商,其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力

NA

NA

NA

b)应在服务水平协议中规定云服务的各项服务内容和具体技术指标

NA

NA

NA

c)应在服务水平协议中规定云服务上的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。

NA

NA

NA

d)应在服务水平协议中规定服务合约到期时,完整提供云服务客户数据,并承诺相关数据在云计算平台上清除。

NA

NA

NA

e)应与选定的云服务商签署保密协议,要求其不得泄露云服务客户数据。

NA

NA

NA

供应链管理

a)应确保供应商的选择符合国家有关规定

NA

NA

NA

b)应将供应链安全事件信息或安全威胁信息及时传达到云服务客户

NA

NA

NA

c)应保证供应商的重要变更及时传达到云服务客户,并评估变更带来的安全风险,采取措施对风险进行控制

NA

NA

NA

云计算环境管理

a)云计算平台的运维地点应位于中国境内,境外对境内云计算平台实施运维操作应遵循国家相关规定。

NA

NA

NA

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/282845.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

文本处理(有关go web方面)

文本处理 3.21 本文基本摘录至https://learnku.com/docs/build-web-application-with-golang/073-regular-processing/3197,仅供学习,如果有需要学习web的同学可以看这个,不懂的再来看我的,我的仅作补充 文本处理是什么&#xf…

基于CSS3制作专属可自由旋转的立方体

一、代码区域 1.1 css3代码区域 <style>* {padding: 0;margin: 0;list-style: none;}/* 1) 定义动画 */keyframes loop {0% {transform: rotateX(348deg) rotateY(67deg) rotateZ(95deg);}50% {transform: rotateX(0deg) rotateY(0deg) rotateZ(0deg);}100% {transform:…

论文阅读-MIPD:一种用于分布式深度神经网络训练的自适应梯度稀疏化框架

摘要—基于参数服务器架构的异步训练广泛应用于大规模数据集和深度神经网络模型的扩展训练。在大规模分布式深度学习系统中&#xff0c;通信一直被认为是主要瓶颈。最近的研究尝试通过梯度稀疏化和量化方法来减少通信流量。我们发现前期研究存在三个限制。首先&#xff0c;他们…

基于python+vue网络相册设计与实现flask-django-nodejs-php

网络相册设计与实现的目的是让使用者可以更方便的将人、设备和场景更立体的连接在一起。能让用户以更科幻的方式使用产品&#xff0c;体验高科技时代带给人们的方便&#xff0c;同时也能让用户体会到与以往常规产品不同的体验风格。 与安卓&#xff0c;iOS相比较起来&#xff0…

蓝桥杯2021年第十三届省赛真题-卡片

一、题目 卡片 小蓝有很多数字卡片&#xff0c;每张卡片上都是数字 0 到 9。 小蓝准备用这些卡片来拼一些数&#xff0c;他想从 1 开始拼出正整数&#xff0c;每拼一个&#xff0c; 就保存起来&#xff0c;卡片就不能用来拼其它数了。 小蓝想知道自己能从 1 拼到多少。 例如&am…

Cookie和Session登录注册案例

文章目录 一、需求说明![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/f29467ed6b7f4de7a568004ad50de591.png)二、用户登录1、Dao层代码2、Service层代码3、Web层代码 三、记住用户四、用户注册五、展示验证码 一、需求说明 二、用户登录 1、Dao层代码 UserMapp…

双指针(滑动窗口)-算法刷题

一.移动零 算法思想 &#xff1a; 设置两个指针left,right&#xff0c;将数组分为三块[0,left]为不为0的元素&#xff0c;[left1,right-1]为0元素&#xff0c;[right,num.size()-1]为未扫描的区域&#xff0c;判断right位置&#xff0c;不为0元素则与left1位置元素交换,left和r…

使用jupyter-Python进行模拟股票分析

tushare财经数据接口包 pip install tushare作用&#xff1a;提供相关指定的财经数据 需求&#xff1a;股票分析 使用tushare包获取某股票的历史行情数据 输出该股票所有收盘比开盘上涨3%以上的日期 输出该股票所有开盘比前日收盘跌幅超过2%的日期 假如我从2015年1月1日开…

人像抠图HumanSeg——基于大规模电话会议视频数据集的连接感知人像分割

前言 人像抠图将图像中的人物与背景进行像素级别的区分的技术。通过人像分割&#xff0c;可以实现诸如背景虚化、弹幕穿人等各种有趣的功能&#xff0c;为视频通话和影音观看提供更加优质和丰富的体验。由于广泛部署到Web、手机和边缘设备&#xff0c;肖像分割在兼顾分割精度的…

TinyEMU源码分析之虚拟机初始化

TinyEMU源码分析之虚拟机初始化 1 初始化结构参数2 配置RAM地址空间3 初始化设备4 拷贝BIOS和Kernel5 手动写入5条指令6 体验第一条指令的执行 本文属于《 TinyEMU模拟器基础系列教程》之一&#xff0c;欢迎查看其它文章。 本文中使用的代码&#xff0c;均为伪代码&#xff0c…

【LeetCode】--- 动态规划 集训(一)

目录 一、1137. 第 N 个泰波那契数1.1 题目解析1.2 状态转移方程1.3 解题代码 二、面试题 08.01. 三步问题2.1 题目解析2.2 状态转移方程2.3 解题代码 三、746. 使用最小花费爬楼梯3.1 题目解析3.2 状态转移方程3.3 解题代码 一、1137. 第 N 个泰波那契数 题目地址&#xff1a…

Python中的线程池与进程池:并行编程的高效选择【第145篇—并行编程】

&#x1f47d;发现宝藏 前些天发现了一个巨牛的人工智能学习网站&#xff0c;通俗易懂&#xff0c;风趣幽默&#xff0c;忍不住分享一下给大家。【点击进入巨牛的人工智能学习网站】。 Python中的线程池与进程池&#xff1a;并行编程的高效选择 在Python编程中&#xff0c;实现…

[Linux]条件变量:实现线程同步(什么是条件变量、为什么需要条件变量,怎么使用条件变量(接口)、例子,代码演示(生产者消费者模式))

目录 一、条件变量 1.什么是条件变量 故事说明 2、为什么需要使用条件变量 竞态条件 3.什么是同步 饥饿问题 二、条件变量的接口 1.pthread_cond_t 2.初始化&#xff08;pthread_cond_init&#xff09; 3.销毁&#xff08;pthread_cond_destroy&#xff09; 4.等待&…

联发科MT8797迅鲲1300T规格参数_MTK5G安卓核心板方案定制

联发科MT8797&#xff08;迅鲲1300T&#xff09;平台采用Arm Cortex-A78和Cortex-A55组成的八核架构CPU&#xff0c;以及Arm Mali-G77MC9九核GPU&#xff0c;集成了AI处理器MediaTek APU&#xff0c;支持5G Sub-6GHz全频段和5G双载波聚合,支持1.08亿像素拍照和多镜头组合,以及1…

《逆水寒》“公费追星”被骂上热搜,玩家为何如此抗拒剧游联动?

游戏行业最近真是风波不断。 《逆水寒》手游因为和武侠剧《莲花楼》深入联动而遭到玩家抵制&#xff0c;网易游戏测评总监被质疑“公费追星”&#xff0c;还波及到了成毅、陈都灵等多位演员。 尤其是《莲花楼》的男主角成毅&#xff0c;遭到大量《逆水寒》手游玩家的吐槽调侃…

Java项目:70 ssm小学生课外知识学习网站+vue

作者主页&#xff1a;源码空间codegym 简介&#xff1a;Java领域优质创作者、Java项目、学习资料、技术互助 文中获取源码 项目介绍 管理员&#xff1b;首页、个人中心、医护人员管理、科室管理、病人管理、病房管理、病人信息管理、病历管理、医嘱管理、手术安排管理、药品信…

Shell脚本学习-if循环

最小化的if语句 无实际用途 if [ ] ;then echo fi 脚本解释 if 判断 [ ] 里面的条件是否成立 后面跟then&#xff0c;代表条件成立 如果在一行则使用分号隔离&#xff08;;&#xff09; 如果不在一行使用则直接在下一行驶入then即可。 如果条件成立则输出echo 后面…

GEC6818——QT开发之两个UI界面切换与表格显示DHT11数据

GEC6818——QT开发之两个UI界面切换与表格显示DHT11数据 使用环境: ubantu16 QT5.7 开发板GEC6818 实现要求&#xff1a; 利用A53按键1、按键2与温湿度传感器完成QT界面动态显示温湿度记录&#xff0c;并指定温湿度记录超过指定范围&#xff0c;进行报警&#xff08;LED&#…

企业网络基础设施物理安全面临全新挑战

企业网络基础设施的物理安全是确保业务连续性和数据完整性的关键组成部分。随着技术的发展和环境的变化&#xff0c;这些基础设施面临着新的挑战。以下是一些主要的挑战和的解决方案 一、机房、仓库、档案馆物理安全事件频发的挑战&#xff1a; 1.电力安全事件&#xff1a;市…

HTML5+CSS3+JS小实例:创意罗盘时钟

实例:创意罗盘时钟 技术栈:HTML+CSS+JS 效果: 源码: 【HTML】 <!DOCTYPE html> <html lang="zh-CN"><head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=…