"GA/T 1390.2-2017 信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求"
这篇文档是中国公共安全行业标准,详细阐述了在云计算环境中实施网络安全等级保护的基本要求和特殊安全需求。该标准旨在指导云服务提供商和用户确保云计算平台的安全,防止数据泄露、攻击和非法操作。
1. 云计算安全概述:
- 云计算平台构成:标准涵盖了云计算平台的基础架构,包括硬件、软件和服务的组件,强调了这些组成部分的安全性对于整个系统的重要性。
- 云计算平台定级:对云计算平台进行安全等级划分,以确定不同级别的安全要求,确保不同业务场景下的安全策略符合实际需求。
2. 安全要求:
- 第一级安全要求:主要针对基础的安全措施,如物理和环境安全、网络和通信安全、设备和计算安全以及应用和数据安全。这些要求涉及访问控制、入侵防范、安全审计、身份鉴别、数据保护等方面。
- 第二级安全要求:在第一级基础上增加了更严格的安全控制,如增强的身份验证、更精细的访问控制策略、更全面的审计记录、更严格的供应链管理等。同时,也提出了对安全管理机构、人员、建设与运维管理的更高要求。
3. 技术要求:
- 物理和环境安全:涉及数据中心的物理安全防护,包括防火、防潮、防电磁泄漏等,以确保基础设施不受损害。
- 网络和通信安全:关注网络架构设计,访问控制机制,入侵检测与防范,以及安全审计记录的完整性和可用性。
- 设备和计算安全:要求提供安全的身份鉴别机制,控制访问权限,实施安全审计,防范入侵,并对计算资源进行有效管理,保护镜像和快照的安全。
- 应用和数据安全:确保数据的完整性、保密性,实施备份恢复策略,以及对剩余信息的保护,防止数据泄露。
4. 管理要求:
- 安全管理机构和人员:规定了授权流程,人员录用的安全审查,以及持续的员工安全意识培训。
- 安全建设管理:强调在系统开发和测试阶段就应考虑安全因素,云服务商的选择需考虑其安全性,供应链管理则要求确保所有组件的安全性。
- 安全运维管理:包括环境管理,监控和审计管理,以确保系统的持续安全状态。
GA/T 1390.2-2017标准提供了云计算环境下的安全框架,从技术和管理两个层面,为云服务提供商和用户提供了全面的安全保障指导,旨在构建一个安全、可靠的云计算生态环境。
我的内容管理
展开
