ICS 35.020 CCS L 80 DB21 辽 宁 省 地 方 标 准 DB21/T 3441—2021 云计算平台安全测评技术规范 2021 - 06 - 30 发布 辽宁省市场监督管理局 2021 - 07 - 30 实施 发布 DB21/T 3441—2021 目 前 次 言 ............................................................................ II 引 言 ............................................................................. III 1 2 3 4 5 范围 ............................................................................... 1 规范性引用文件 ..................................................................... 1 术语和定义 ......................................................................... 1 缩略语 ............................................................................. 2 安全测评 ........................................................................... 2 5.1 数据中心安全 ................................................................... 2 5.2 访问控制 ....................................................................... 6 5.3 虚拟化安全 ..................................................................... 7 5.4 终端接入安全测评 ............................................................... 9 5.5 数据安全 ...................................................................... 10 5.6 业务应用安全 .................................................................. 11 5.7 灾难恢复测评 .................................................................. 12 5.8 安全事件与应急预案 ............................................................ 13 5.9 评估和审计 .................................................................... 14 参 考 文 献 ......................................................................... 16 I DB21/T 3441—2021 前 言 本文件的编制依据GB/T 1.1–2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》 的要求进行。 本文件由中共辽宁省委网络安全和信息化委员会办公室提出。 本文件由中共辽宁省委网络安全和信息化委员会办公室归口。 本文件起草单位：辽宁省先进装备制造业基地建设工程中心、辽宁省信息安全与软件测评认证中心、 沈阳赛宝科技服务有限公司。 本文件主要起草人：张震、朱在田、郭剑锋、林强、赵英科、管冰、董旭升、吕天昊、刘奇、李竹 林、赵云志、金鑫、王友民、田佳秀。 本文件发布日期：属首次发布。 本文件发布实施后，任何单位和个人如有问题和意见建议，均可以通过来电和来函等方式进行反馈， 我们将及时答复并认真处理，根据实际情况依法进行评估及复审。 归口管理部门通信地址：沈阳市和平区光荣街26号甲。 归口管理部门联系电话：024-81680031 标准起草单位通讯地址：辽宁省沈阳市和平区太原北街2号综合楼。 标准起草单位联系电话：024-23447409。 II DB21/T 3441—2021 引 言 云计算平台也称为云平台，是指基于硬件资源和软件资源的服务，提供计算、网络和存储能力。云 计算平台可以划分为3类：以数据存储为主的存储型云平台，以数据处理为主的计算型云平台以及计算 和数据存储处理兼顾的综合云计算平台。 目前我国发布了针对云计算平台的国家标准，包括GB/T 37739–2019 《信息技术 云计算 平台即服 务部署要求》、GB/T 36327—2018 《信息技术 云计算 平台即服务(PaaS)应用程序管理要求》等，但 针对云计算平台的安全性测评方面，还没有一个针对性、规范化的操作标准，因此特制订本文件。 本文件用来约束和规定云计算平台的安全测评。 III DB21/T 3441—2021 云计算平台安全测评技术规范 1 范围 本文件规定了政务云平台和私有云平台的安全测评方法和判定规则。 本文件适用于政务云平台和私有云平台的安全测评，规定了数据中心安全、访问控制、虚拟化安全、 终端接入安全、数据安全、业务应用安全、灾难恢复、安全事件与应急预案、评估和审计的安全测评过 程。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 5271.8—2001 信息技术 词汇 第8部分：安全 GB 17859—1999 计算机信息系统 安全保护等级划分准则 GB/T 18336.1—2001 信息技术 安全技术 信息技术安全性评估准则 第1部分:简介和一般模型 GB/T 32400—2015 信息技术 云计算 概览与词汇 3 术语和定义 GB/T 5271.8–2001、GB 17859–1999和GB/T 18336.1–2001界定的及下列术语和定义适用于本文 件。 3.1 云计算 cloud computing 一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式。 ［来源：GB/T 32400—2015］ 3.2 数据中心 data center 指基于超级计算机系统对外提供计算资源、存储资源等服务的机构或单位，以高性能计算机为基础 面向各界提供高性能计算服务。 3.3 可用性 availability 被授权实体按需访问和使用的特性。 1 DB21/T 3441—2021 ［来源：GB/T 32400—2015］ 3.4 云服务 cloud service 通过云计算已定义的接口提供的一种或几种能力。 ［来源：GB/T 32400—2015］ 3.5 私有云 private cloud 云服务仅被一个云服务客户使用，且资源被云服务提供者控制的一种云部署模型。 ［来源：GB/T 32400—2015］ 3.6 安全措施 security measure 保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、 规程和机制的总称。 4 缩略语 DoS：拒绝服务（Denial of Service） Guest OS：客机操作系统（Guest Operating System） IaaS：基础设施即服务（Infrastructure as a Service） PaaS：平台即服务（Platform as a Service） SaaS：软件即服务（Software as a Service） VLAN：虚拟局域网（Virtual Local Area Network） VM：虚拟机（Virtual Machine） VPN：虚拟专用网络（Virtual Private Network） 5 安全测评 5.1 数据中心安全 5.1.1 环境安全 5.1.1.1 管理制度要求 5.1.1.1.1 测评项 管理制度要求满足以下条件： a) 数据中心应建立人员出入管理制度、设备进出管理制度、节假日巡检巡查制度、应急管理及预 案制度等； b) 应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理； 2 DB21/T 3441—2021 c) 对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定，并按照规定执行。 5.1.1.1.2 测评实施 a) 查看数据中心的人员出入管理制度、设备进出管理制度、节假日巡检巡查制度、应急管理及预 案制度等，并验证是否可以随意进出机房、查看设备进出档案记录、查看节假日巡查日志记录、 查看应急演练记录等。 b) 检查有无制度作出书面要求，规定需指定专门的部门或人员定期对机房供配电、空调、温湿度 控制等设施进行维护管理，并查看维护管理记录，验证制度执行有效性； c) 检查对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定的制度要求，并 检查相关文档记录，验证制度执行有效性。 5.1.1.1.3 结果判定 若产品同时符合5.1.1.1.2 a）、b）和c），则满足此项要求。 5.1.1.2 物理位置的选择 5.1.1.2.1 测评项 数据中心机房应选择在具有防震和防风等能力的建筑内，且要避免在建筑物的高层或地下室内。 5.1.1.2.2 测评实施 检查数据中心机房物理位置具有防震和防风等能力的检测评估报告，查看机房是否建在建筑物的高 层或地下室内。 5.1.1.2.3 结果判定 若产品符合5.1.1.2.2，则满足此项要求。 5.1.1.3 防盗窃和防破坏 5.1.1.3.1 测评项 防盗窃和防破坏应满足以下要求： a) 数据中心机房内应设置监控报警和防盗报警系统； b) 通信线缆应铺设在隐蔽处，介质应存放在档案室或介质库中。 5.1.1.3.2 测评实施 a) 检查数据中心机房内监控报警和防盗报警系统，并验证其防盗报警功能，检测非授权进入是否 能够正常报警； b) 检查