云计算安全等级保护测评——网络与访问控制

"该文档是关于信息安全等级保护在云计算环境中的测评要求，主要涉及网络、主机、应用、数据安全及管理等多个方面的测评内容，适用于不同等级的信息系统测评。" 在网络安全测评方面，针对"安全技术测评-labview-zlgcan"，主要关注的是网络架构和访问控制这两项关键要素。 6.1.1 网络安全的测评指标主要依据《信息安全等级保护云计算安全基本要求》。测评方式包括访谈、检查和测试，涉及到的对象有网络管理平台、安全管理员、系统管理员、网络拓扑图以及系统设计/验收文档。具体测评实施包括： 1. 对系统管理员的访谈，确认虚拟机之间的网络隔离措施，是否采用成熟可靠的方案来确保网络安全。 2. 同样通过访谈安全管理员，了解安全访问路径的设定是否基于业务需求，并有无防止网络资源过度占用的策略。 3. 检查管理平台，验证是否存在与当前系统运行状态匹配的虚拟网络拓扑结构图。 4. 执行测试，观察不同网段的虚拟机在广播时是否仅能接收到目标地址包含自身地址的报文。 结果判定以这些实施步骤的结果为基础，如果所有条件都满足，则表明信息系统符合网络安全测评的要求。 6.1.1.2 访问控制的测评则关注权限分配和访问策略的合理性，这部分未给出详细内容，但通常包括用户身份验证、权限管理、访问审计等方面，以确保只有授权的用户和进程能够访问系统资源，并且所有访问行为可被追踪和审计。 整个文档是中国公共安全行业标准GA/TXXXXX—20XX的一部分，旨在规范云计算环境下的信息安全等级保护工作，提供了一套系统的测评方法和标准，适用于不同等级的信息系统，包括但不限于第一级、第二级和第三级。测评内容不仅涵盖技术层面的安全，还包括安全管理，如安全管理机构、系统建设与运维管理等。 此标准的制定和实施有助于提高云计算服务的安全性，保障云租户的数据隐私和业务连续性，同时促进云服务提供商提升服务质量，满足不同等级的信息安全保护需求。通过严格执行这些测评要求，可以有效降低网络安全风险，增强用户对云计算的信任度。