【YD通讯标准】 公有云服务安全防护要求

ICS33.040
中华人民共和国通信行业标准
YD/T3157-2016
公有云服务安全防护要求
Securityprotectionrequirementsforpubliccloudservice2016-07-11发布
2016-10-01实施
中华人民共和国工业和信息化部　发布前
2规范性引用文件·
3术语、定义和缩略语…．
3.1术语和定义
3.2缩略语·
4公有云服务安全防护概述
4.1公有云服务安全防护范围·
4.2公有云服务安全风险分析·
4.3公有云服务安全防护内容：
5公有云服务安全防护要求·
5.1第1级要求
5.2第2级要求
第3级要求·
5.4第4级要求
5.5第5级要求
附录A（规范性附录）公有云业务类型对应的安全要求附录B（规范性附录）公有云服务风险分析YD/T3157-2016
YD/T3157-2016
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准的结构及名称预计如下：1.
《电信网和互联网安全防护管理指南》《电信网和互联网安全等级保护实施指南》《电信网和互联网安全风险评估实施指南》《电信网和互联网灾难备份及恢复实施指南》《固定通信网安全防护要求》
《固定通信网安全防护检测要求》《移动通信网安全防护要求》
《移动通信网安全防护检测要求》《互联网安全防护要求》
《互联网安全防护检测要求》
《增值业务网一消息网安全防护要求》《增值业务网一消息网安全防护检测要求》12.
《增值业务网一智能网安全防护要求》《增值业务网一智能网安全防护检测要求》14.
《接入网安全防护要求》
《接入网安全防护检测要求》
17.《传送网安全防护要求》
《传送网安全防护检测要求》
《IP承载网安全防护要求》
《IP承载网安全防护检测要求》《信令网安全防护要求》
《信令网安全防护检测要求》
《同步网安全防护要求》
《同步网安全防护检测要求》
25.《支撑网安全防护要求》
《支撑网安全防护检测要求》
27.《非核心生产单元安全防护要求》28.《非核心生产单元安全防护检测要求》29.
《电信网和互联网物理环境安全等级保护要求》《电信网和互联网物理环境安全等级保护检测要求》30.
《电信网和互联网管理安全等级保护要求》32.《电信网和互联网管理安全等级保护检测要求》I
iiiKAoNiKAca
33.《域名系统安全防护要求》
34.《域名系统安全防护检测要求》35.《网上营业厅安全防护要求》36.《网上营业厅安全防护检测要求》37.《WAP网关系统安全防护要求》38.《WAP网关系统安全防护检测要求》39.《电信网和互联网信息服务业务系统安全防护要求》40.《电信网和互联网信息服务业务系统安全防护检测要求》《增值业务网即时消息业务系统安全防护要求》41.
《增值业务网即时消息业务系统安全防护检测要求》43.
《域名注册系统安全防护要求》44.
《域名注册系统安全防护检测要求》《移动互联网应用商店安全防护要求》45.
《移动互联网应用商店安全防护检测要求》46.
《互联网内容分发网络安全防护要求》《互联网内容分发网络安全防护检测要求》48.
《互联网数据中心安全防护要求》《互联网数据中心安全防护检测要求》50.
《移动互联网联网应用安全防护要求》52.《移动互联网联网应用安全防护检测要求》53.《公众无线局域网安全防护要求》54.《公众无线局域网安全防护检测要求》55.《电信网和互联网安全防护基线配置要求及检测要求网络设备》56.《电信网和互联网安全防护基线配置要求及检测要求安全设备》57.《电信网和互联网安全防护基线配置要求及检测要求操作系统》58.《电信网和互联网安全防护基线配置要求及检测要求数据库》59.《电信网和互联网安全防护基线配置要求及检测要求中间件》60.《电信网和互联网安全防护基线配置要求及检测要求WEB应用系统》61.《电信和互联网用户个人电子信息保护通用技术要求和管理要求》62.《电信和互联网用户个人电子信息保护检测要求》63.《互联网接入服务安全防护要求》64.《互联网接入服务安全防护检测要求》《网络交易安全防护要求》
66.《网络交易安全防护检测要求》67.《邮件系统安全防护要求》
68.《邮件系统安全防护检测要求》69.《公有云服务安全防护要求》（本标准）YD/T3157-2016
iiiKAoNiKAca
YD/T3157-2016
70.《公有云服务安全防护检测要求》随着电信网和互联网的发展，将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任本标准由中国通信标准化协会提出并归口。本标准起草单位：中国信息通信研究院，中国电信集团公司、中国联合网络通信集团有限公司、北京启明星辰信息安全技术股份有限公司、北京神州绿盟信息安全科技股份有限公司、华为技术有限公司、阿里云计算有限公司、百度在线网络技术（北京）有限公司、新浪网络技术股份有限公司、北京奇虎科技有限公司、北京创元启安科技有限公司、国瑞数码安全系统有限公司。本标准主要起草人：张彦超、谢玮、魏薇、渠凯、陈军、杨晓光、卢浩洋、张如辉、李国军、张智南、赵华、陈雪秀、胡大磊、王宇、许章毅、胡振勇、杜永峰、李新、张振涛、陆清。IV
HiiKAoiKAca
1范围
公有云服务安全防护要求
YD/T3157-2016
本标准规定了公有云服务分安全保护等级的安全防护要求，涉及到数据安全、应用安全、网络安全、虚拟化安全、主机安全、物理环境安全和管理安全。本标准适用于基础电信业务经营者和增值电信业务经营者运营的公有云服务。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T1731-2008电信网和互联网灾难备份及恢复实施指南电信网和互联网物理环境安全等级保护要求YD/T1754-2008
YD/T1756-2008电信网和互联网管理安全等级保护要求YD/T2692-2014电信网和互联网用户个人电子信息保护通用技术要求和管理要求YD/T2698-2014电信网与互联网安全防护基线配置要求及检测要求网络设备YD2699-2014电信网与互联网安全防护基线配置要求及检测要求安全设备YD/T2700-2014电信网与互联网安全防护基线配置要求及检测要求数据库YD/T2701-2014电信网与互联网安全防护基线配置要求及检测要求操作系统4电信网与互联网安全防护基线配置要求及检测要求中间件YD/T2702-2014
YD/T2703-2014电信网与互联网安全防护基线配置要求及检测要求WEB应用系统3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
云计算CloudComputing
一种通过网络实现对各种IT能力进行灵活调用的服务模式。云计算通过分布式计算、虚拟化等技术构建用于资源和任务统一管理调度的资源控制层，将分散的ICT资源集中起来形成资源池，动态按需分配给应用使用。
公有云服务PublicCloudService云计算基础设施由某一组织所拥有，通过网络向公众提供IaaS、PaaS、SaaS等IT能力的服务模式，3.1.3
公有云服务安全等级SecurityClassificationofPublicCloudService1
HiiKAoNiKAca
YD/T3157-2016
公有云服务安全重要程度的表征。重要程度可从公有云受到破坏后，对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.4
公有云服务安全等级保护ClassifiedSecurityProtectionofPublicCloudService对公有云服务分等级实施安全保护。3.1.5
公有云服务安全风险SecurityRiskofPublicCloudService人为或自然的威胁可能利用公有云服务中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
公有云服务安全风险评估SecurityRiskAssessmentofPublicCloudService运用科学的方法和手段，系统地分析公有云服务所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全措施。防范和化解公有云服务安全风险，或者将风险控制在可接受的水平，为最大限度地为保障公有云服务的安全提供科学依据。3.1.7
公有云服务资产AssetofPublicCloudService公有云中具有价值的资源，是安全防护保护的对象。公有云中的资产可能是以多种形式存在，无形的、有形的、硬件、软件，包括物理布局、通信设备、虚拟设备、物理线路、数据、软件、文档、规程、业务承载能力、人员、管理等各种类型的资源。3.1.8
公有云服务威胁ThreatofPublicCloudService可能导致对公有云服务产生危害的不希望事件潜在起因，它可能是人为的，也可能是非人为的：可能是无意失误，也可能是恶意攻击。3.1.9
公有云服务脆弱性VulnerabilityofPublicCloudService脆弱性是公有云服务中存在的弱点、缺陷与不足，虽然不会直接对公有云服务资产造成危害，但可能被公有云服务威胁所利用从而危及公有云服务资产的安全。3.1.10
公有云服务灾难DisasterofPublicCloudService由于各种原因，造成公有云服务故障或瘫痪，使公有云服务支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.11
公有云服务灾难备份BackupforDisasterRecoveryofPublicCloudService为了公有云服务灾难恢复而对相关的网络要素进行备份的过程。3.1.12
公有云服务灾难恢复DisasterRecoveryofPublicCloudService2
HiiKAoNiKAca
YD/T3157-2016
为了将公有云服务从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。3.2缩略语
下列缩略语适用于本文件。
ApplicationProgrammingInterfaceCentral Processing Unit
Denial of Service
Information Technology
Infrastructure as a Service
Platform as a Service
Software as a service
4公有云服务安全防护概述
公有云服务安全防护范围
应用程序编程接口
中央处理器
拒绝服务
信息技术
基础设施即服务
平台即服务
软件即服务
公有云服务指云计算基础设施由某一组织所拥有，通过网络向公众提供laaS、PaaS、SaaS等IT能力的服务模式
公有云服务安全防护范畴为公有云平台的硬件设备、虚拟设备、软件、数据等。公有云服务提供商应根据经营的业务类型选择对应章节的安全要求，具体见附录A中表A.1。本标准主要针对公有云服务提出安全防护要求，与公有云服务相关的其他网络单元如接入网、IP承载网、支撑网等的安全防护要求见相应网络类型的安全防护标准。4.2公有云服务安全风险分析
公有云服务中的重要资产至少应包括：一硬件设备：路由器、服务器、存储设备等。虚拟设备：虚拟服务器、虚拟交换机、虚拟存储设备等。软件：操作系统、数据库、中间件、应用程序等。数据：用户信息（账号、密码、资料）、运维管理信息等。一其他的资产（如文档、人员等）可见附录B中表B1对资产的分类及举例。公有云服务安全脆弱点包括服务器、路由器等设备在软硬件安全方面存在的漏洞、用户的安全意识或者安全技能不足等。公有云服务的脆弱性分析应包括但不限于附录B中表B.2所列范围。公有云服务的威胁根据来源可分为技术威胁、环境威胁和人为威胁。环境威胁包括自然界不可抗的威胁和其它物理威胁。根据威胁的动机，人为威胁文可分为恶意和非恶意两种。公有云服务的威胁分析应包括但不限于附录B中表B.3所列范围。公有云服务可能存在的安全脆弱性被利用后会产生很大的安全风险，突出的安全风险包括：a）数据的非授权使用及清除导致的数据去失和泄漏b）共享环境的隔离失效；
c）不安全的API接口；
d）虚拟机之间的隔离和防护受到攻击等。4.3公有云服务安全防护内容
HiiKAoNiKAca
YD/T3157-2016
公有云服务安全防护内容及要求可划分为数据安全、应用安全、网络安全、虚拟化安全、主机安全、物理环境安全、管理安全等七个层面。其中：数据安全：主要包括数据产生、数据传输、数据存储、数据使用、数据迁移、数据销毁、备份和恢复等方面的安全要求；
一应用安全：主要包括对云服务提供商为用户提供的应用程序及应用程序开发环境的安全要求：网络安全：主要包括网络拓扑结构安全、访问控制、安全审计、恶意代码防范、网络设备防护、网络安全监测等方面的安全要求：一虚拟化安全：主要包括虚拟机安全、虚拟网络安全、虚拟机管理平台安全等方面的安全要求：一主机安全：主要包括身份鉴别认证、访问控制、安全审计、资源控制、恶意代码防范、入侵防范等方面的安全要求：
物理环境安全：主要包括机房位置、电力供应、防火、防水、防静电、温湿度控制等方面的安全要求；
管理安全：主要包括管理制度、人员、风险评估、应急预案等方面的安全要求。5公有云服务安全防护要求
5.1第1级要求
第1级安全要求如下：
a）操作系统的安全基线配置应满足YD/T2701-2014的安全要求。b）数据库的安全基线配置应满足YD/T2700-2014的安全要求。c）网络设备的安全基线配置应满足YD/T2698-2014的安全要求。d）Web应用系统的安全基线配置应满足YD/T2703-2014的安全要求。e）安全设备的安全基线配置应满足YD/T2699-2014的安全要求。f）中间件的安全基线配置应满足YD/T2702-2014的安全要求。g）用户个人电子信息保护应满足YD/T2692-2014的安全要求。5.2第2级要求
5.2.1数据安全要求
5.2.1.1数据产生
数据产生应符合以下要求
a）应具有数据敏感度的界定标准。b）数据产生时，应根据数据的敏感度进行分类。5.2.1.2数据传输
数据传输应符合以下要求：
a）应采用技术措施保证鉴别信息（指用于鉴定用户身份是否合法的信息，如用户登录各种业务系统的账号和密码、服务密码等）传输的保密性。b）应支持用户实现对关键业务数据和管理数据传输的保密性。c）应能够检测到数据在传输过程中完整性受到破坏。5.2.1.3数据存储
数据存储应符合以下要求：
HiiKAoNiKAca
a）应采用加密技术或其他保护措施实现鉴别信息的存储保密性。b）应支持用户实现对关键业务数据和管理数据的存储保密性。c）应支持用户对密码算法、强度和方式等参数的可选配置。YD/T3157-2016
d）应提供有效的磁盘保护方法或数据碎片化存储等措施，保证即使磁盘被窃取，非法用户也无法从磁盘中获取有效的用户数据。e）应能够检测到数据在存储过程中完整性受到破坏。5.2.1.4数据使用bzxz.net
数据使用应符合以下要求：
应对数据的使用进行授权和验证。5.2.1.5数据迁移
数据迁移应符合以下要求：
a）应进行数据迁移前的网络安全能力评估，保证数据迁移的安全实施。b）应保证数据在不同虚拟机之间迁移不影响业务应用的连续性。c）数据迁移中应做好数据备份以及恢复相关工作。5.2.1.6数据销毁
数据销毁应符合以下要求：
a）应能够提供手段协助清除因数据在不同云平台间迁移、业务终止、自然灾害、合同终止等遗留的数据，对日志的留存期限应符合国家有关规定b）应提供手段清除数据的所有副本。5.2.1.7备份和恢复
备份和恢复应符合以下要求：应提供数据本地备份与恢复功能，全量数据备份至少每周一次，增量备份至少每天一次：或提供多副本备份机制。5.2.2应用安全要求
5.2.2.1身份鉴别
身份鉴别应符合以下要求：应采用一种或一种以上组合的鉴别技术来进行身份鉴别。5.2.2.2访问控制
访问控制应符合以下要求：
a）应严格限制用户的访问权限，按安全策略要求控制用户对应用程序及开发环境等的访问。b）应严格限制应用与应用之间相互调用的权限，按照安全策略要求控制应用程序对其他应用程序单用户数据或特权指令等资源的调用。5.2.2.3安全审计
安全审计应符合以下要求：
a）审计范围应覆盖到用户在应用程序及开发环境中的关键操作、重要行为、业务资源使用情况等重要事件。
b）应对审计记录进行保护，有效期内避免受到非授权的访问、篡改、覆盖或删除等。c）应定期针对审计日志进行人工审计。d）应支持按用户需求提供与其相关的审计信息及审计分析报告。5
YD/T3157-2016
5.2.2.4资源控制
资源控制应符合以下要求：
a）应限制对应用访问的最大并发会话连接数等资源配额b）应提供资源控制不当的报警及响应，c）应在会话处于非活跃一定时间或会话结束后终止会话连接。5.2.3网络安全要求
5.2.3.1网络拓扑结构安全
网络拓扑结构安全应符合以下要求：a）应绘制与当前运行情况相符的网络拓扑结构图，b）应保证关键网络设备的业务处理能力具备完余空间，满足业务高峰期需要C）应保证接入网络和核心网络的带宽满足业务高峰期需要d）应根据云服务的类型、功能及服务租户的不同划分不同的子网、网段或安全组。5.2.3.2访问控制
访问控制应符合以下要求：
a）应在（子）网络或网段边界部署访问控制设备并启用访问控制功能，或通过安全组设置访问控制策略。
b）应能根据会话状态信息为数据流提供明确的充许/拒绝访问的能力，控制粒度到主机级5.2.3.3安全审计
安全审计符合以下要求：
a）应对网络系统中的网络设备运行状况、网络流量、管理员和运维人员行为等进行日志记录。b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。c）应保证所有网络设备的系统时间自动保持一致，d）应对审计记录进行保护，有效期内避免受到非授权的访问、篡改、覆盖或删除等。e）应按用户需求提供与其相关的审计信息及审计分析报告。5.2.3.4恶意代码防范
恶意代码防范应符合以下要求：应对恶意代码进行检测和清除5.2.3.5网络设备防护
网络设备防护应符合以下要求：a）应对登录网络设备的用户进行身份鉴别。b）应对网络设备的管理员登录地址进行限制。c）网络设备用户的标识应唯一。d）身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换。5.2.3.6网络安全监测要求
网络安全监测应符合以下要求：a）应对网络系统中的网络设备运行状况、网络流量、管理员和运维人员行为等进行监测，识别和记录异常状态。
b）应根据用户需求支持对持续大流量攻击进行识别、报警和阻断的能力。6
YD/T3157-2016
c）应监视是否对云服务存在以下攻击行为：端口扫描、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。d）当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。
5.2.4虚拟化安全要求
5.2.4.1虚拟机安全
虚拟机安全应符合以下要求：
a）应支持虚拟机之间、虚拟机与宿主机之间的隔离。b）应支持虚拟机部署防病毒软件，c）应具有对虚拟机恶意攻击等行为的识别并处置的能力。d）应支持对虚拟机脆弱性进行检测的能力。5.2.4.2虚拟网络安全
虚拟机网络安全应符合以下要求：a）应部署一定的访问控制安全策略，以实现虚拟机之间、虚拟机与虚拟机管理平台之间、虚拟机与外部网络之间的安全访问控制。b）应支持采用VLAN或者分布式虚拟交换机等技术，以实现网络的安全隔离。c）应支持不同租户之间的网络隔离。5.2.4.3虚拟化平台安全
虚拟化平台安全应符合以下要求：a）应保证每个虚拟机能获得相对独立的物理资源，并能屏蔽虚拟资源故障，确保某个虚拟机崩溃后不影响虚拟机监控器及其他虚拟机。b）应保证不同虚拟机之间的虚拟CPU指令隔离。c）应保证不同虚拟机之间的内存隔离，内存被释放或再分配给其他虚拟机前得到完全释放。d）应保证虚拟机只能访问分配给该虚拟机的存储空间（包括内存空间和磁盘空间）。e）应对虚拟机的运行状态、资源占用等信息进行监控。f）应支持发现虚拟化平台漏洞的能力，支持漏洞修复。5.2.5主机安全要求
5.2.5.1身份鉴别认证
身份鉴别认证应符合以下要求：a）应对登录操作系统和数据库系统的用户进行身份标识和鉴别。b）操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换
c）应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。d）应采用安全方式防止用户鉴别认证信息泄露而造成身份冒用。5.2.5.2访问控制
访问控制应符合以下要求：
a）应采用技术措施对合法访问终端的地址范围进行限制。7
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。