DB21/T 3441-2021 云计算平台安全测评技术规范.pdf

  • DB21/T 3441-2021  云计算平台安全测评技术规范.pdf为pdf格式
  • 文件大小:1 M
  • 下载速度:极速
  • 文件评级
  • 更新时间:2021-07-18
  • 发 布 人: 13648167612
  • 原始文件下载:
  • 立即下载

  • 文档部分内容预览:
  • a)检查数据中心机房有无设置交流电源地线 b)检查机房建筑有无设置避雷装置

    5. 1. 1. 4. 3 结果判定

    DB21/T 34412021

    若产品同时符合5.1.1.4.2a)和b),则满足此项要求。

    铝合金标准规范范本5. 1. 1.5防火

    5. 1. 1. 5. 1测评项

    防火应满足以下要求: )数据中心机房建筑材料应具有耐火等级,且机房内应设置自动消防系统: 6)数据中心机房应采取区域隔离防火措施,且应将重要设备与其他设备隔离开。

    5.1.1.5.2测评实施

    a)检查数据中心机房建筑材料是否具有耐火等级,并验证机房内自动消防系统的有效性; b)检查数据中心机房区域隔离防火的具体措施,查看有无将重要设备与其他设备隔离开。

    5. 1.1.5.3 结果判定

    产品同时符合5.1.1.5.2a)和b),则满足此项

    5. 1. 1. 6防水防潮

    5. 1. 1. 6. 1测评项

    防水防潮应满足以下要求: a)应安装对水敏感的检测仪表,且能够对机房进行防水检测和报警; b)数据中心机房屋顶和活动地板下应避免水管穿过。

    防水防潮应满足以下要求:

    5. 1. 1. 6. 2测评实施

    b)检查数据中心机房屋顶和活动地板下有无水管穿过,是否符合5.1.1.6.1中b)项要求 5.1.1.6.3结果判定 若产品同时符合5.1.1.6.2a)和b),则满足此项要求,

    5. 1. 1. 6. 3结果判定

    5. 1. 1. 7防静电

    5. 1. 1. 7.1测评项

    关键设备应采用必要的接地防静电措施; 数据中心机房应铺设防静电地板,

    5. 1. 1. 7. 2 测评实施

    a)检查关键设备是否采用必要的接地防静电措施; b)查看数据中心机房是否铺设防静电地板,并检查相应文档方案要求

    5. 1. 1. 7. 3 结果判定

    5.1.1.8 温湿度控制

    5. 1. 1. 8. 1测评项

    5. 1. 1. 8. 2 测评实施

    检查数据中心机房有无温、湿度自动调节设施,并验证机房温、湿度的变化是否在设备运行所 范围之内。

    5. 1. 1. 8. 3 结果判定

    若产品符合5.1.1.8.2,则满足此项要求

    5. 1. 1. 9 电力供应

    5. 1. 1. 9. 1测评项

    电力供应应满足以下要求: a)数据中心机房供电线路上应配置稳压器和过电压防护设备; b)应建立备用供电系统

    5.1.1.9.2测评实施

    a)检查数据中心机房供电线路上有无配置稳压器和过电压防护设 b)检查有无建立备用供电系统。

    5. 1.1.9.3 结果判定

    品同时符合5.1.1.9.2a)和b),则满足此项要

    5.1.1.10电磁防护

    5. 1. 1. 10. 1测评项

    电磁防护应满足以下要求: a)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰; b)电源线和通信线缆应隔离铺设; c)对关键设备和磁介质应实施电磁屏蔽。

    5. 1. 1. 10. 2 测评实施

    a)检查有无采用接地方式防止外界电磁十扰和设备寄生耦合十扰; b)查看电源线和通信线缆是否隔离铺设,检查关键设备和磁介质实施电磁屏蔽的具体措施。 1.1.10.3结果判定

    5.1. 1. 10. 3 结果判定

    5.1.2网络结构安全

    5. 1. 2. 1测评项

    网络结构安全应满足以下要求: 应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略等作出书面规定; b) 应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理 工作; C 应绘制与实际网络运行情况相符合的网络拓扑结构: d 应保证网络各个部分满足业务高峰期需要,且应设置优先级别,保证在网络拥堵时优先保护重 要主机; e 网络结构应进行分区域管理,区域边界应有访问控制要求、完整性检查、入侵检测防范等安全 措施; f 区域之间应有安全隔离机制,重要网段与其他网段之间应采取可靠的技术隔离手段。

    5. 1. 2. 2 测评实施

    检查网络安全管理制度,验证是否对网络安全配置、日志保存时间、安全策略等作出书面规定; )检查是否指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析 和处理工作,并检查相关文档记录; 查看网络拓扑结构图,并验证分析与实际网络运行情况是否相符合;

    DB21/T 34412021

    C 检查主要网络设备,查看其性能以及目前业务高峰流量情况、查看网络中带宽控制及分配原则; 检查限制网络最大流量数及网络连接数的技术手段,检查实现自动负载均衡的技术手段; d 询问在网络划分的原则,查看网段划分情况;检查边界完整性检查、访问控制、入侵检测等安 全措施,并验证其有效性: 询问重要网段有哪些,其具体的部署位置;检查边界和主要网络设备,查看重要网段是否采取 广技术隔离手段与其他网段隔离,并验证其有效性,

    5. 1. 2. 3 结果判定

    若产品同时符合5.1.2.2a)、b)

    5. 1.3 设备安全

    5. 1. 3. 1测评项

    设备安全应满足以下要求: a)应建立设备安全管理制度,包括规定对平台相关设备指定专人或部门定期进行维护管理; 应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型 采购、发放和领用等过程进行规范化管理; 应对设备使用权限进行管理;

    5. 1.3.2测评实施

    a)查看有无设备安全管理文档制度,检查设备运行情况查检记录表、维护记录表等,询问对设备 进行专业检查的方法,验证维护管理记录是否完整; 检查设备安全管理制度,看是否满足5.1.3.1中b)项的要求; 登录重要网络设备,验证是否有身份鉴别、授权机制; 验证是否限制设备管理员的登录地址;检查网络系统中的网络设备运行状况、网络流量、用户 行为等日志记录,并验证审计记录保护措施的有效性。

    5. 1. 3. 3 结果判定

    5. 2. 1物理访问控制

    5. 2. 1. 1测评项

    物理访问控制应满足以下要求: a) 应建立数据中心机房、关键设备存储场所出入管理制度,规定出入口安排专人值守,并控制、 鉴别和记录进入的人员;规定进入机房及关键场所需经过申请和审批流程等; 对数据中心机房、关键设备存储场所应进行区域划分管理,区域和区域之间应设置物理隔离装 置,重要区域应配置电子门禁系统,并控制、鉴别和记录进入的人员。

    5.2.1.2测评实施

    检查数据中心机房、关键设备存储场所出入管理制度要求,验证进入机房和关键场所是否需要 经过审批程序、检查在出入口有无专人值守,并控制、鉴别和记录进入的人员; 检查数据中心机房、关键设备存储场所是否划区域管理,并查看区域和区域之间物理隔离装置, 验证进入重要区域电子门禁系统的有效性

    5.2. 1.3结果判定

    若产品同时符合5.2.1.2a)和b),则满足此项要求。

    5.2.2网络访问控制

    5. 2. 2. 1测评项

    网络访问控制应满足以下要求: a)应对网络和系统资源建立访问控制机制; b)应对进出网络的信息内容进行过滤:重要网段应采取技术手段防止地址欺骗

    5. 2. 2. 2测评实施

    查看在平台网络区域间及边界有无部署访问控制设备,查看是否通过访问控制列表对系经 实现允许或拒绝用户访问;访问网络资源,验证访问控制功能有效性; 打开访问控制设备,查看访问控制配置,检查有无对网络信息内容进行过滤、重要网段采 种技术手段防止地址欺骗,

    5.2.2.3结果判定

    占同时符合5.2.2.2a)和b),则满足此项要求

    5.2.3云服务访问控制

    5. 2. 3. 1测评项

    云访问访问控制应满足以下要求: a)云服务商应支持各种强认证机制 b)应提供服务器段的访问控制机制

    5. 2. 3. 2 测评实施

    检查云服务提供商是否支持各种强认证选择,例如一次性密码、生物识别和数字证书等; 检查在服务器端是否对每个会话请求进行鉴别、授权,并能够识别策略和用户配置信息的 来源。

    5. 2. 3. 3结果判定

    若产品同时符合5.2.3.2a)和b),则满足此项要求。

    5.3.1虚拟平台安全

    5. 3. 1. 1测评项

    虚拟平台安全应满足以下要求: a)应制定虚拟平台安全管理制度要求,规定定期对安全管理系统、主机操作系统等进行漏洞扫描 和风险评估等,对发现的漏洞应及时采取安全措施; 虚拟平台(云平台管控系统)应具备完善的安全控制功能,包括认证与授权、资源控制、监控 与审计等; 应提供虚拟网络接口带宽管理安全功能,避免单台虚拟机占用过多的网络资源而影响整个虚拟 系统的稳定性。

    5. 3. 1.2测评实施

    检查虚拟平台安全管理制度要求,是否符合5.3.1中a)项要求;查看漏洞扫描和风险评估有 关报告资料,验证文档制度执行的有效性:

    DB21/T 34412021

    b)检查虚拟平台(云平台管控系统)的安全控制功能,验证有无认证与授权、资源控制、监控与 审计等功能模块; c)检查平台系统虚拟网络带宽管理功能,通过FTP上传下载等方式验证虚拟控制措施有效性; 并通过ETP

    5. 3. 1. 3 结果判定

    若产品同时符合a)、b)、c)和d),则满足此项要求。

    5.3.2虚拟化可用性

    5.3. 2. 1测评项

    虚拟化可用性应满足以下要求: a)虚拟机迁移时,应提供机制保证虚拟机及其承载的应用能正常持续运行; b)GuestOS迁移到不同的虚拟平台时,应保证安全策略一致性且严格执行备份管理; c)虚拟机崩溃时,应提供机制保证虚拟机能在短时间内恢复运行。

    5. 3. 2. 2测评实施

    a 验证当一台虚拟机从物理服务器上迁移到另一个服务器上时,虚拟机及其承载的应用是否能够 持续运行; b 检查当GuestOS迁移到不同的虚拟平台时,安全策略是否一致、有无执行备份管理: c)验证当GuestOS崩溃时,平台把虚拟机恢复到上个备份点的状态所需要的时间,

    5.3.2.3结果判定

    若产品同时符合5.3.2.2a)、b)和c) 则满足此项要求。

    品同时符合5.3.2.2a)、b)和c),则满足此

    5. 3. 3. 1测评项

    5.3.3.2测评实施

    5.3.3.3结果判定

    若产品符合5.3.3.2,则满足此项要求。

    5. 3. 4. 1测评项

    虚拟机隔离应满足以下要求: 多租户的虚拟机间隔离应部署监管措施、提供报告机制,并能够在隔离被破坏时产生告警; 应保证每个虚拟机都能获得相对独立的物理资源,并保证同一物理主机上不同虚拟机间逻辑隔 离; 应保证单个虚拟机异常时不影响Hypervisor及其他虚拟机的正常运行,

    5. 3.4. 2 测评实施

    a)检查多租户虚拟机间隔离具体监管措施和报告机制,并验证在隔离破坏时是否产生告警; 0)查看虚拟机物理资源分配原则,判断是否符合5.3.4.1中b)项要求; 验证在单个虚拟机异常时.Hvnervisor及其他虚拟机是否能够正常运行

    5. 3. 4. 3 结果判定

    若产品同时符合5.3.4.1a)、b)和c),则满足此项要求。

    5.3.5虚拟主机安全

    5. 3. 5. 1测评项

    虚拟主机安全应满足以下要求: a)应部署实施VM安全监控机制,并且以VLAN确保VM独立,保证利益冲突的公司或个人的Guest OS放在不同的虚拟平台; b)虚拟主机应具有抗DoS攻击安全机制

    5.3.5.2测评实施

    a)检查有无实施VM安全监控;验证是否以VLAN确保VM独立,保证利益冲突的公司或个人的 OS放在不同的虚拟平台; b)验证虚拟机是否具有抗DoS攻击安全机制。

    5. 3. 5. 3 结果判定

    产品同时符合5.3.5.2a)和b),则满足此项

    5.4 终端接入安全测评

    5.4.1终端通用接入安全

    5. 4. 1.1测评项

    终端通用接入安全应满足以下要求: a)终端设备接入云计算平台时,应提供认证授权机制; b)已接入平台的终端设备的进行访问操作时,应提供身份鉴别和访问控制机制 c)终端接入的认证服务,应建立加密措施; d)应定期检查终端接入线路的安全性。

    5. 4. 1.2测评实施

    a)选择一台终端设备接入云计算平台,验证是否需要通过认证授权才能接入平台; b)使用一台已接入平台的终端设备进行访问操作,验证访问控制有效性; c)查看终端接入的认证服务,判断是否建立加密措施; d)检查是否定期检查终端接入线路的安全性,并查看检测记录

    5. 4. 1.3 结果判定

    5.4.2虚拟终端专属接入安全

    5. 4. 2. 1测评项

    虚拟终端专属接入安全应满足以下要求: 多平 a)应部署虚拟终端接入动态监控机制; b)当前接入的虚拟终端应符合当前安全区域划分机制。

    拟终端专属接入安全应满足以下要求: 应部署虚拟终端接入动态监控机制; 当前接入的虚拟终端应符合当前安全[

    5. 4. 2. 2测评实施

    a)查看虚拟终端接入动态监控机制,验证其是否能够监控虚拟终端接入所消耗的服务器资源; b)查看并判断当前接入的虚拟终端是否符合当前安全区域划分机制

    5. 4. 2. 3 结果判定

    若产品同时符合5.4.2.2a)和b),则满足此

    DB21/I3441202

    5. 5. 1. 1测评项

    数据传输应满足以下要求: a)应提供有效安全措施保证虚拟镜像文件、系统管理数据、鉴别信息和重要业务数据在传输过程 中完整性避免受到破坏,并在检测到完整性错误时能够采取必要的恢复措施; b)应采取有效安全措施保证数据传输保密性,以及用户端到数据中心通道的安全性; c)应提供有效措施保证在突然断网、断电等突发情况恢复后,虚拟机镜像文件、系统管理数据、 鉴别信息和重要业务数据等是否能继续传输,且不丢失

    5. 5. 1. 2 测评实施

    检查有无提供安全措施保护虚拟镜像文件、系统管理数据、鉴别信息和重要业务数据在传输过 程的完整性,并验证检测到完整性错误时,能否及时采取恢复措施; 检查是否采用加密或其他有效措施实现虚拟机镜像文件、系统管理数据、鉴别信息和重要业务 数据传输保密性;查看是否采用VPN或数据传输加密等技术,以检验从用户终端到数据中心 传输通道的安全性; 验证在突然断网、断电等突发情况恢复后,虚拟机镜像文件、系统管理数据、鉴别信息和重要 业务数据等是否能继续传输,且没丢失

    5. 5. 1. 3 结果判定

    5. 5. 2. 1测评项

    数据存储应满足以下要求: a)应提供有效安全措施保证虚拟镜像文件、系统管理数据、鉴别信息和重要业务数据在存储过程 中完整性避免受到破坏,并在检测到完整性错误时采取必要的恢复措施; b)应采用加密或其他保护措施实现虚拟镜像文件、系统管理数据、鉴别信息和重要业务数据存储 保密性; c)对数据资源的访问应提供权限控制; d)用户在退出账号后,其鉴别信息应能够被彻底清除干净,

    5. 5. 2. 2 测评实施

    a)检查有无提供安全措施保护虚拟镜像文件、系统管理数据、鉴别信息和重要业务数据在存储过 程的完整性,并验证检测到完整性错误时,能否及时采取恢复措施: b) 检查是否采用加密或其他有效措施实现虚拟机镜像文件、系统管理数据、鉴别信息和重要业务 数据存储保密性; 对数据资源进行访问,验证有无提供权限控制措施; d 用户退出账号后,检查鉴别信息是否被彻底清除于净

    5. 5. 2. 3结果判定

    产品同时符合a)、b)、c)和d),则满足此项要

    5. 5. 3. 1测评项

    数据迁移应满足以下要求: a)数据迁移过程中应部署监控机制; b)应保证数据迁移过程中,平台的业务操作能连续运行且不中断; a)迁移后的数据自动恢复后,系统应能够正常使用

    5. 5. 3. 2测评实施

    a)检查在数据迁移过程中有无部署监控机制; b)在数据迁移过程中,对平台业务进行访问操作,验证其业务应用能否连续运行且不中断 c)将迁移后的数据进行自动恢复,验证系统是否能正常使用

    5. 5. 3. 3结果判定

    若产品同时符合a)、b)和c),则满足此项要求。

    5. 5. 4数据隔离

    数据隔离应满足以下要求: a)应提供有效机制保证租户之间有效隔离; b)应提供有效机制保证应用之间有效隔离

    5.5.4.2测评实施

    a)验证不同用户登录平台时,能否访问其他用户数据; b)检查在对虚拟资源隔离系统进行配置时,全新应用和已有应用是否进行数据层隔

    5.5.4. 3结果判定

    产品同时符合5.5.4.2a)和b),则满足此项要求。

    5. 5. 5. 1测评项

    数据终止应满足以下要求:应提供有效数据销毁机制(例如使用自主可控的数据销毁工具等)保证 彻底清除数据。

    5.5.5.2测评实施

    检查数据销毁机制(例如使用自主可控的数据销毁工具等),并验证其能否彻)

    5.5.5.3结果判定

    若产品符合5.5.5.2,则满足此项要求

    若产品符合5.5.5.2,则满足此项要

    5.6.1laas模式安全

    5. 6. 1. 1测评项

    邮政标准IaaS模式安全应满足以下要求: a)应提供有效措施保证云基础设施的安全性; b)应提供有效机制保证基础共享平台的安全隔离和访问控制。

    5. 6. 1.2测评实施

    云基础设施的安全性措施,包括物理安全、网络

    DB21/T 34412021

    D)检查有无提供强大的分区和防御策略,并实时监控基础环境(例如CPU、GPU等)是否有未经 授权的修改和活动

    5. 6. 1. 3结果判定

    若产品同时符合5.6.1.2a)和b)食用盐标准,则满足此项要求。

    若产品同时符合5.6.1.2a)和b),则满足此项要求。

    5. 6. 2 PaaS 模式安全

    ....
  • 相关专题: 云计算  

相关下载

常用软件