GB/T 31168-2023 信息安全技术 云计算服务安全能力要求

ICS35.030

CCSL80

中华人民共和国国家标准

/—

GBT311682023

代替/—

GBT311682014

信息安全技术

云计算服务安全能力要求

Informationsecurittechnolo—

ygy

Securitcaabilitreuirementsforcloudcomutinservices

ypyqpg

2023-05-23发布2023-12-01实施

国家市场监督管理总局

发布

国家标准化管理委员会

/—

GBT311682023

目次

前言…………………………Ⅴ

引言…………………………Ⅵ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4缩略语……………………2

5云计算安全要求的表达与实现…………3

5.1云计算安全措施的实施责任………………………3

5.2云计算安全措施的作用范围………………………4

5.3安全要求的分类……………………4

5.4安全要求的表述形式………………5

5.5安全要求的调整……………………6

5.6安全计划……………7

6系统开发与供应链安全…………………7

6.1资源分配……………7

6.2系统生命周期………………………8

6.3采购过程……………8

6.4系统文档……………9

6.5关键性分析…………………………9

6.6外部服务……………10

6.7开发商安全体系架构………………10

、……………

6.8开发过程标准和工具11

6.9开发过程配置管理…………………11

6.10开发商安全测试和评估…………12

6.11开发商提供的培训………………13

6.12组件真实性………………………14

6.13不被支持的系统组件……………14

6.14供应链保护………………………14

7系统与通信保护…………………………16

7.1边界保护……………16

7.2传输的保密性和完整性保护………………………17

7.3网络中断……………17

7.4可信路径……………17

Ⅰ

/—

GBT311682023

7.5密码使用和管理……………………18

7.6设备接入保护………………………18

7.7移动代码……………18

7.8会话认证……………19

7.9恶意代码防护………………………19

7.10内存防护…………………………20

7.11系统虚拟化安全性………………20

7.12网络虚拟化安全性………………21

7.13存储虚拟化安全性………………21

7.14安全管理功能的通信保护………………………22

8访问控制…………………22

8.1用户标识与鉴别……………………22

8.2标识符管理…………………………22

8.3鉴别凭证管理………………………23

8.4鉴别凭证反馈………………………24

8.5密码模块鉴别………………………24

8.6账号管理……………24

8.7访问控制的实施……………………25

8.8信息流控制…………………………26

8.9最小特权……………26

8.10未成功的登录尝试………………27

8.11系统使用通知……………………27

8.12前次访问通知……………………27

8.13并发会话控制……………………28

8.14会话锁定…………………………28

8.15未进行标识和鉴别情况下可采取的行动………28

8.16安全属性…………………………29

8.17远程访问…………………………29

8.18无线访问…………………………30

8.19外部信息系统的使用……………30

8.20可供公众访问的内容……………30

8.21WEB访问安全……………………31

8.22API访问安全……………………31

9数据保护…………………32

9.1通用数据安全………………………32

9.2媒体访问和使用……………………32

9.3剩余信息保护………………………33

Ⅱ

/