安全要求分为10类,分别是:
——系统开发与供应链安全:云服务商应在开发云计算平台时对其提供充分保护,对为其开发信息系统、
组件和服务的开发商提出相应要求,为云计算平台配置足够的资源,并充分考虑信息安全需求。云
服务商应确保其下级供应商采取了必要的安全措施。云服务商还应为客户提供与安全措施有关的文
档和信息,配合客户完成对信息系统和业务的管理。
——系统与通信保护:云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通
信,并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性。
——访问控制:云服务商应严格保护云计算平台的客户数据和用户隐私,在授权信息系统用户及其进程、
设备(包括其他信息系统的设备)访问云计算平台之前,应对其进行身份标识及鉴别,并限制授权
用户可执行的操作和使用的功能。
——配置管理:云服务商应对云计算平台进行配置管理,在系统生命周期内建立和维护云计算平台(包
括硬件、软件、文档等)的基线配置和详细清单,并设置和实现云计算平台中各类产品的安全配置
参数。
——维护:云服务商应定期维护云计算平台设施和软件系统,并对维护所使用的工具、技术、机制以及
维护人员进行有效的控制,且做好相关记录。
——应急响应与灾备:云服务商应为云计算平台制定应急响应计划,并定期演练,确保在紧急情况下重
要信息资源的可用性。云服务商应建立事件处理计划,包括对事件的预防、检测、分析、控制、恢
复等,对事件进行跟踪、记录并向相关人员报告。服务商应具备灾难恢复能力,建立必要的备份设
施,确保客户业务可持续。
——审计:云服务商应根据安全需求和客户要求,制定可审计事件清单,明确审计记录内容,实施审计
并妥善保存审计记录,对审计记录进行定期分析和审查,还应防范对审计记录的未授权访问、篡改
和删除行为。
——风险评估与持续监控:云服务商应定期或在威胁环境发生变化时,对云计算平台进行风险评估,确
保云计算平台的安全风险处于可接受水平。服务商应制定监控目标清单,对目标进行持续安全监控,
并在异常和非授权情况发生时发出警报。
——安全组织与人员:云服务商应确保能够接触客户信息或业务的各类人员(包括供应商人员)上岗时
具备履行其信息安全责任的素质和能力,还应在授予相关人员访问权限之前对其进行审查并定期复
查,在人员调动或离职时履行安全程序,对于违反信息安全规定的人员进行处罚。
——物理与环境保护:云服务商应确保机房位于中国境内,机房选址、设计、供电、消防、温湿度控制
等符合相关标准的要求。云服务商应对机房进行监控,严格限制各类人员与运行中的云计算平台设
备进行物理接触,确需接触的,需通过云服务商的明确授权。
1.安全设备选型
检测
IDS入侵检测
IDS(Snort)、主机入侵(Ossec)
信息审计
网络行为管理
防护
IPS入侵防御
WAF
防火墙
虚拟防火墙隔离组的虚拟机
VPN
病毒防护
身份认证
物理隔离系统
内容过滤网关
数据加密
2.安全服务
安全加固
安全监控
收集和分析数据的状态系统定期和经常需要管理安全和隐私风险
3.安全评估类
网络安全
僵尸网络
拒绝服务攻击
系统安全
业务安全
物理和逻辑安全
漏洞扫描
架构安全
云的系统架构的详细信息
高可用性
可伸缩性
可靠的计算资源池
备份与恢复
容灾服务
负载均衡
配置控制
自动化
漏洞测试
安全审计,
安全平台组件的漏洞修复
安全性和隐私性
敏感数据
关键数据和应用程序
系统的安全和隐私
隐私和安全数据和应用程序部署位置
认证:
通过认证和合规审查
国家安全法律法规
支付卡行业数据安全标准(PCI DSS)
风险管理
评估和管理风险
安全和隐私实践需要监测和评估组织