GA 1277.7-2023 互联网交互式服务安全管理要求 第7部分：云服务.docx

《GA 1277.7-2023 互联网交互式服务安全管理要求 第7部分：云服务.docx》由会员分享，可在线阅读，更多相关《GA 1277.7-2023 互联网交互式服务安全管理要求 第7部分：云服务.docx（9页珍藏版）》请在第一文库网上搜索。

1、ICS35.240CCSA90GA中华人民共和国公共安全行业标准GA1277.72023互联网交互式服务安全管理要求第7部分：云服务SecuritymanagementrequirementsforinternetinteractiveservicePart7：C1oUdservice2023-03-01实施2023-01-11发布中华人民共和国公安部发布目次前言I引言1范围12规范性引用文件13术语和定义14安全管理制度25组织机构26人员安全管理27访问控制管理27.1 基本要求27.2 权限分配27.3 特殊权限27.4 权限检查28安全技术措施38.1 网络与系统运行安全38.2 云计

2、算平台安全38.3 数据安全与备份38.4 安全审计39云服务运营安全49.1 基本要求49.2 客户服务协议59.3 客户管理措施59.4 违法有害信息防范和处置59.5 破坏性程序防范510个人信息保护511投诉512分包服务613安全事件管理6,1Z1a刖S本文件按照GB/T1.1-2023标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。本文件是GA1277互联网交互式服务安全管理要求的第7部分,GA1277已经发布了以下部分:一第1部分:基本要求；一第2部分：微博客服务；一第3部分:音视频聊天室服务；一第4部分：即时通信服务；一第5部分:论坛服务；一第6部分:移动应用软件

3、分发服务；一第7部分：云服务；一第8部分：电子商务服务；一第9部分:搜索服务。请注意本文件的某些内容可能涉及专利o本文件的发布机构不承担识别专利的责任。本文件由公安部网络安全保卫局提出o本文件由公安部信息系统安全标准化技术委员会归口。本文件起草单位：公安部网络安全保卫局、公安部第三研究所、浙江省温州市公安局网络安全保卫支队、北京网络行业协会、阿里云计算有限公司、华为云计算技术有限公司。本文件主要起草人:PO燕、赵云霞、陈妍、张华东、高爽、常媛媛、宋诗琴、张智恒、蔡耀阔、朱松、杨宏宇。GA1277旨在规范和指导互联网交互式服务提供者落实中华人民共和国网络安全法中华人民共和国数据安全法中华人民共和

4、国个人信息保护法等法律法规规定,健全完善安全管理制度和安全技术措施等,拟由U个部分构成。一第1部分:基本要求。目的在于规定互联网交互式服务安全管理的基本要求。一第2部分:微博客服务。目的在于规范和明确微博客服务安全管理要求。一第3部分：音视频聊天室服务。目的在于规范和明确音视频聊天室服务安全管理要求一第4部分：即时通信服务。目的在于规范和明确即时通信服务安全管理要求。一第5部分:论坛服务。目的在于规范和明确论坛类服务安全管理要求。一第6部分:移动应用软件分发服务目的在于规范和明确移动应用软件分发服务安全管理要求。一第7部分:云服务。目的在于规范和明确云计算平台服务安全管理要求。一第8部分：电子

5、商务服务目的在于规范和明确电子商务服务安全管理要求一第9部分:搜索服务.目的在于规范和明确搜索服务安全管理要求一第10部分:互联网约车服务。目的在于规范和明确互联网约车服务安全管理要求。一第11部分：互联网短租房信息服务。目的在于规范和明确互联网短租房信息服务安全管理要求。为加强云服务安全管理，强化云计算平台安全主体责任落实，本文件结合云服务特性,提出其落实安全保护管理制度和安全保护技术措施的具体要求O互联网交互式服务安全管理要求第7部分：云服务1范围本文件规定了云服务安全管理要求0本文件适用于互联网交互式服务提供者落实云服务安全保护管理制度和安全保护技术措施。2规范性引用文件下列文件中的内容

6、通过文中的规范性引用而构成本文件必不可少的条款o其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T20985.1信息技术安全技术信息安全事件管理第1部分:事件管理原理GB/Z20986信息安全技术信息安全事件分类分级指南GB/T222392019信息安全技术网络安全等级保护基本要求GB/T35273信息安全技术个人信息安全规范GA1277.12023互联网交互式服务安全管理要求第1部分：基本要求GA1278信息安全技术互联网服务安全评估基本程序及要求3术语和定义GB/T222392019.GB/T20985.1、GB

7、Z20986.GBT35273.GA1278界定的以及下列术语和定义适用于本文件。云计算c1oudcomputing通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并按需自助获取和管理资源的模式。注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。来源:GB/T3116820143.1云计算服务c1oudcomputingservice使用定义的接口，借助云计算提供一种或多种资源的能力。来源:GB/T311682014,3.2云服务提供商c1oudserviceprovider云计算服务的供应方。注：云服务提供商管理、运营、支撑云计算的计算基础设施及软件，通过网络支付云计算的资源

8、.来源:GB/T311682014,3.3云服务客户c1oudservicecustomer为使用云计算服务同云服务提供商建立业务关系的参与方。来源:GB/T311682014,3.4云计算平台c1oudcomputingp1atform云服务提供商提供的云计算基础设施及其上的服务软件的集合。来源:GB/T311682014,3.64安全管理制度云服务提供商应根据GA1277.1-2023第4章的要求制定并维护安全管理制度o安全管理制度还应包括：a）云服务提供商与云服务客户（以下简称客户）责任分担说明文件；b）云服务过程中的网络安全和保密管理制度；C）云服务提供商对客户数据安全的承诺文件等O5

9、组织机构云服务提供商应根据GA1277.1-2023第5章的要求建立相关机构并明确其职责。6人员安全管理云服务提供商应根据GA1277.1-2023第6章的要求设立安全管理岗位、配备安全管理人员并明确其职责。7访问控制管理7.1 基本要求云服务提供商应根据GA1277.12023第7章的要求进行访问控制管理。7.2 权限分配云服务提供商应对客户进行身份鉴别，并满足以下要求：a）严禁云服务管理员未经授权获取客户权限；b）客户授权云服务管理员相关权限,应具有相应的授权流程，并保留授权记录。7.3 特殊权限为维护国家安全打击违法犯罪，在遵守国家法律法规的基础上，云服务提供商应提供技术接口和操作权限等

10、技术支持和协助。7.4 权限检查云服务提供商应根据GA1277.12023中7.4的要求定期对访问权限进行检查，并满足以下要求：a）访问控制权限检查时间间隔应不超过1年；b）特殊访问控制权限检杳时间间隔应不超过半年。8安全技术措施8.1 网络与系统运行安全云服务提供商应根据GA1277.1-2023中8.1的要求采取相应的安全技术措施保障网络与系统运行安全，并满足以下要求：a）对云平台上出现的漏洞（云主机操作系统漏洞）和云平台上运行的主机面临的安全威胁（恶意攻击等）进行预警；b）引导用户对漏洞和安全威胁进行处置.8.2 云计算平台安全云服务提供商应根据GB/T22239-2019中相应等级的安

11、全通用要求和云计算安全扩展要求保障云计算平台的安全。8.3 数据安全与备份云服务提供商应根据GA1277.12023中8.2的要求采取相应的安全技术措施保障数据安全与备份，并满足以下要求。a）云计算平台数据备份要求O云服务提供商应对云计算平台的运行数据建立备份策略，具备足够的备份设施，确保必要的信息和软件在灾难或者介质故障时可以恢复O备份的数据类型应包括：D客户注册信息；2）云计算平台关键配置数据；3）云计算平台关键服务的运行数据与日志；4）客户使用云计算平台的登录日志。b）客户数据备份要求：D云服务提供商应根据客户的选择，提供不同级别的备份恢复能力，支持客户对系统和数据的备份，支持服务客户查

12、询备份数据；2）云服务提供商应在与客户签订的协议或公告中，定义云服务提供商所提供的数据备份服务，并告知客户需要自行备份数据。8.4 安全审计8.4.1 审计内容审计内容应满足GA1277.12023中8.3的要求。此外,还应包括以下内容。a）云计算平台状态信息,包括：D设备运行状态、链路运行状态、网络流量、用户行为；2）重要的客户行为（如登录等）、管理员的日常维护操作,包括操作的日期和时间、操作类型、是否成功及其他与审计相关的信息；3）重要安全事件,如网络攻击行为等,并能记录事件的类型、发生的日期时间、攻击方式等.b）客户身份信息,包括：D客户唯一标识；2）客户身份信息,如姓名、证件类型、证件

13、号码、企业信息等；3）注册时间、IP信息；4）电子邮箱地址和手机号码；5）客户其他信息。c）客户购买或开通云计算服务资源信息,包括：D开通云计算服务资源信息；2）更改云计算服务资源信息；3）关闭云计算服务资源信息。d）客户登录信息,包括：D客户的唯一标识；2）登录时间；3）登录IP地址和端口号。8.4.2 日志保存时间云服务提供商应满足GA1277.12023中8.3的要求。此外,还应保存客户开通服务的相关信息6个月以上。8.4.3 云计算平台审计要求云服务提供商对云计算平台的审计要求如下：a）云服务提供商应对审计进程进行保护，防止未授权的中断，确保审计记录不被破坏或非授权访问，并对特定安全事

14、件进行报警；b）云服务提供商应确保当发生虚拟机迁移或虚拟资源变更时，安全审计机制应用于新的边界处，安全审计功能不受影响；c）云服务提供商应能够对审计记录进行关联分析，生成审计报表并做出关联响应，确认的违规行为及时报警并做出相应处置；d）云服务提供商应对分散在各个设备上的审计数据进行收集汇总和集中分析；e）云服务提供商应确保审计日志内容的可溯源性，即可追溯到真实的客户账号；f）云服务提供商应配合公安机关监管要求，留存指定的访问日志8.4.4 客户审计要求云服务提供商对客户的审计要求如下：a）云服务提供商应支持客户收集和查看与自身资源相关的审计信息；b）云服务提供商应保证对客户通信网络的访问操作可

15、被客户审计；c）云服务提供商应支持向客户提供常规的安全审计和分析服务的能力：D应能对客户系统记录活动、异常情况、故障和安全事件的日志；2）应确保审计日志内容的可溯源性，日志包含时间、主体、客体、事件活动类型等内容；3）应保护审计日志,保证无法单独中断审计进程，防止删除、修改或覆盖审计日志。9云服务运营安全9.1 基本要求云服务提供商应在满足GA1277.12023第9章要求的基础上保证云服务安全。9.2 客户服务协议云服务提供商与客户签订云服务协议，应符合以下条款的要求：a）协议应告知相关权利义务及需承担的法律责任；b）协议明确双方安全责任；c）协议中应向客户明确其数据处理活动（如数据跨境传输等）符合国家法律、法规和政策要求；d）协议中应明确云服务退出的相关要求,如数据移交范围、数据迁移服务、