1. 当前位置:
  2. 首页 >
  3. 国家级标准 >
  4. GB/T 34942-2025

GB/T 34942-2025 网络安全技术 云计算服务安全能力评估方法

GB/T 34942-2025 Cybersecurity technology—The assessment method for security capability of cloud computing service

国家标准 中文简体 现行 页数:168页 | 格式:PDF

基本信息

标准号
GB/T 34942-2025
相关服务
商用授权
标准类型
国家标准
标准状态
现行
中国标准分类号(CCS)
L80 数据加密
国际标准分类号(ICS)
-
发布日期
2025-08-01
实施日期
2026-02-01
发布单位/组织
国家市场监督管理总局、国家标准化管理委员会
归口单位
全国网络安全标准化技术委员会(SAC/TC 260)
适用范围
本文件确立了依据GB/T 31168-2023开展评估的原则、实施过程,描述了针对各项具体安全要求进行评估的方法。
本文件适用于第三方评估机构对云服务商提供云计算服务时具备的安全能力进行评估,也为云服务商在进行自评估时提供参考。

发布历史

文前页预览

GB/T 34942-2025 网络安全技术 云计算服务安全能力评估方法-第1页
GB/T 34942-2025 网络安全技术 云计算服务安全能力评估方法-第2页
GB/T 34942-2025 网络安全技术 云计算服务安全能力评估方法-第3页
GB/T 34942-2025 网络安全技术 云计算服务安全能力评估方法-第4页
GB/T 34942-2025 网络安全技术 云计算服务安全能力评估方法-第5页
GB/T 34942-2025 网络安全技术 云计算服务安全能力评估方法-第6页
GB/T 34942-2025 网络安全技术 云计算服务安全能力评估方法-第7页
GB/T 34942-2025 网络安全技术 云计算服务安全能力评估方法-第8页
GB/T 34942-2025 网络安全技术 云计算服务安全能力评估方法-第9页

研制信息

起草单位:
中国电子技术标准化研究院、中国网络安全审查认证和市场监管大数据中心、国家信息技术安全研究中心、中国信息安全测评中心、中国信息通信研究院、中国科学技术大学、四川大学、神州网信技术有限公司、中电长城网际系统应用有限公司、国家信息中心、国家工业信息安全发展研究中心、国家计算机网络应急技术处理协调中心、中国电子科技集团公司第十五研究所、中国科学院软件研究所、中国科学院信息工程研究所、杭州安恒信息技术股份有限公司、北京航空航天大学、北京工业大学、重庆邮电大学、西安电子科技大学、北京化工大学、中国人民大学、中国传媒大学、清华大学、上海市信息安全测评认证中心、中国电子科技集团第三十研究所、重庆市市场监督管理局档案信息中心、内蒙古数字经济安全科技有限公司、中国移动通信有限公司研究院、华为云计算技术有限公司、阿里云计算有限公司、天翼云科技有限公司、亚信科技(成都)有限公司
起草人:
杨建军、王惠莅、贾大文、何延哲、伍扬、胡华明、卢夏、张丽娜、刘佳良、张建军、李京春、左晓栋、陈兴蜀、闵京华、周亚超、史大为、陈永刚、张立武、杨晨、方勇、曹玲、张明天、吴槟、马庆栋、曲平、张东举、吉磊、李燕伟、霍珊珊、伍前红、杨震、黄永洪、马文平、习宁、杨力、裴庆祺、王明彦、秦波、杨洋、葛晓囡、晏敏、姜正涛、李娜、蔡宇渊、刘彦、葛振鹏、范晓晖、肖敏、韩雪峰、李连磊、高强、徐御、靳嵩、张玲、李峰风、方强、司渤洋、廖双晓
出版信息:
页数:168页 | 字数:310 千字 | 开本: 大16开

内容描述

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T34942—2025

代替GB/T34942—2017

网络安全技术

云计算服务安全能力评估方法

Cybersecuritytechnology—

Theassessmentmethodforsecuritycapabilityofcloudcomputingservice

2025-08-01发布2026-02-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T34942—2025

目次

前言

…………………………Ⅶ

引言

…………………………Ⅷ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

概述

5………………………2

评估原则

5.1……………2

评估内容

5.2……………3

评估证据

5.3……………3

评估实施过程

5.4………………………3

综合评估

5.5……………5

系统开发与供应链安全评估方法

6………………………6

资源分配

6.1……………6

系统生命周期

6.2………………………6

采购过程

6.3……………7

系统文档

6.4……………9

关键性分析

6.5…………………………10

外部服务

6.6……………10

开发商安全体系架构

6.7………………12

开发过程标准和工具

6.8、……………13

开发过程配置管理

6.9…………………15

开发商安全测试和评估

6.10…………16

开发商提供的培训

6.11………………20

组件真实性

6.12………………………20

不被支持的系统组件

6.13……………21

供应链保护

6.14………………………22

系统与通信保护评估方法

7………………25

边界保护

7.1……………25

传输保密性和完整性保护

7.2…………28

网络中断

7.3……………29

可信路径

7.4……………30

密码使用和管理

7.5……………………31

GB/T34942—2025

设备接入保护

7.6………………………31

移动代码

7.7……………33

会话认证

7.8……………34

恶意代码防护

7.9………………………35

内存防护

7.10…………………………37

系统虚拟化安全性

7.11………………37

网络虚拟化安全性

7.12………………40

存储虚拟化安全性

7.13………………41

安全管理功能的通信保护

7.14………………………43

访问控制评估方法

8………………………45

用户标识与鉴别

8.1……………………45

标识符管理

8.2…………………………46

鉴别凭证管理

8.3………………………47

鉴别凭证反馈

8.4………………………49

密码模块鉴别

8.5………………………49

账号管理

8.6……………50

访问控制的实施

8.7……………………51

信息流控制

8.8…………………………52

最小特权

8.9……………54

未成功的登录尝试

8.10………………55

系统使用通知

8.11……………………56

前次访问通知

8.12……………………56

并发会话控制

8.13……………………57

会话锁定

8.14…………………………57

未进行标识和鉴别情况下可采取的行动

8.15………58

安全属性

8.16…………………………58

远程访问

8.17…………………………59

无线访问

8.18…………………………60

外部信息系统的使用

8.19……………61

可供公众访问的内容

8.20……………63

全球广域网访问安全

8.21(Web)……………………63

访问安全

8.22API……………………64

数据保护评估方法

9………………………65

通用数据安全

9.1………………………65

媒体访问和使用

9.2……………………66

剩余信息保护

9.3………………………69

数据使用保护

9.4………………………70

GB/T34942—2025

数据共享保护

9.5………………………70

数据迁移保护

9.6………………………71

配置管理评估方法

10……………………72

配置管理计划

10.1……………………72

基线配置

10.2…………………………73

变更控制

10.3…………………………75

配置参数的设置

10.4…………………78

最小功能原则

10.5……………………79

信息系统组件清单

10.6………………80

维护管理评估方法

11……………………82

受控维护

11.1…………………………82

维护工具

11.2…………………………84

远程维护

11.3…………………………85

维护人员

11.4…………………………86

及时维护

11.5…………………………88

缺陷修复

11.6…………………………88

安全功能验证

11.7……………………89

软件和固件完整性

11.8………………90

应急响应评估方法

12……………………91

事件处理计划

12.1……………………91

事件处理

12.2…………………………93

事件报告

12.3…………………………94

事件处理支持

12.4……………………95

安全警报

12.5…………………………96

错误处理

12.6…………………………97

应急响应计划

12.7……………………98

应急响应培训

12.8……………………100

应急演练

12.9…………………………101

信息系统备份

12.10…………………102

支撑客户的业务连续性计划

12.11…………………104

电信服务

12.12………………………105

审计评估方法

13…………………………106

可审计事件

13.1………………………106

审计记录内容

13.2……………………107

审计记录存储容量

13.3………………107

审计过程失败时的响应

13.4…………108

审计的审查分析和报告

13.5、………………………109

GB/T34942—2025

审计处理和报告生成

13.6……………111

时间戳

13.7……………112

审计信息保护

13.8……………………113

抗抵赖性

13.9…………………………114

审计记录留存

13.10…………………115

风险评估与持续监控评估方法

14………………………116

风险评估

14.1…………………………116

脆弱性扫描

14.2………………………117

持续监控

14.3…………………………118

信息系统监测

14.4……………………120

垃圾信息监测

14.5……………………122

安全组织与人员

15………………………123

安全策略与规程

15.1…………………123

安全组织

15.2…………………………124

岗位风险与职责

15.3…………………125

人员筛选

15.4…………………………126

人员离职

15.5…………………………126

人员调动

15.6…………………………128

第三方人员安全

15.7…………………128

人员处罚

15.8…………………………129

安全培训

15.9…………………………130

物理与环境安全评估方法

16……………131

物理设施与设备选址

16.1……………131

物理和环境规划

16.2…………………132

物理环境访问授权

16.3………………134

物理环境访问控制

16.4………………135

输出设备访问控制

16.5………………137

物理访问监控

16.6……………………137

访客访问记录

16.7……………………138

设备运送和移除

16.8…………………139

附录资料性常见云计算服务脆弱性问题

A()………141

概述

A.1………………141

系统开发与供应链安全

A.2…………141

系统与通信保护

A.3…………………142

访问控制

A.4…………………………143

数据保护

A.5…………………………145

配置管理

A.6…………………………147

GB/T34942—2025

维护管理

A.7…………………………149

应急响应

A.8…………………………150

审计

A.9………………151

风险评估与持续监控评估方法

A.10………………152

安全组织与人员

A.11………………154

物理与环境安全

A.12………………155

附录资料性单项安全要求评估描述

B()……………156

参考文献

……………………157

GB/T34942—2025

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

本文件代替信息安全技术云计算服务安全能力评估方法与

GB/T34942—2017《》,GB/T

相比除结构调整和编辑性改动外主要技术变化如下

34942—2017,,:

更改了范围的适用界限见第章年版的第章

a)(1,20171);

增加了不同能力级别评估要求和综合评估要求见

b)(5.2、5.5);

更改了具体评估方法见第章第章第章第章年版的第章第章

c)(6~8、10~14,20175~14);

增加了数据保护评估方法见第章

d)(9)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国电子技术标准化研究院中国网络安全审查认证和市场监管大数据中心国

:、

定制服务

    推荐标准

    相似标准推荐

    更多>