云计算测评对象选择+指标选择

已于 2024-06-18 10:42:24 修改
阅读量856 收藏 18
点赞数 11
分类专栏: 等保测评 文章标签: 云计算 等保测评
于 2024-06-13 16:03:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LongL_GuYu/article/details/139656883
版权

文章目录

测评对象选择

测评对象NaNIaaS模式NaNPaaS模式NaNNaNSaaS模式NaNNaNNaN
大类小类平台租户I-平台平台租户I-平台P-平台平台租户
(1)设施物理机房NaN-NaN--NaN
NaN云计算基础设施部署的相关机房及基础设施NaN-NaN--NaN
(2)硬件物理网络架构NaN-NaN--NaN
NaN物理网络边界NaN-NaN--NaN
NaN网络设备NaN-NaN--NaN
NaN安全设备NaN-NaN--NaN
NaN服务器NaN-NaN--NaN
NaN宿主机NaN-NaN--NaN
NaN云侧终端NaN-NaN--NaN
(3)资源抽象控制云OSNaN-NaN--NaN
NaN虚拟机监视器NaN-NaN--NaN
NaN虚拟机镜像NaN-NaN--NaN
(4)虚拟化计算资源虚拟网络架构NaN-NaN
NaN虚拟网络边界NaN-NaN
NaN虚拟机NaN-NaN
NaN虚拟网络设备NaN-NaN
NaN虚拟安全设备NaN-NaN
(5)软件平台数据库NaN-NaN
NaN中间件NaN-NaN
NaN容器NaN-NaN
NaN云应用开发平台NaNNaNNaN-NaN
NaN云产品/服务(P)NaNNaNNaN-NaN
(6)应用软件云产品/服务(S)NaNNaNNaNNaNNaNNaN
NaN云产品/服务数据NaNNaNNaNNaNNaNNaN
NaN业务应用系统NaNNaNNaNNaNNaNNaN
NaN业务数据NaNNaNNaNNaNNaNNaN
(7)其他云业务管理系统NaNNaNNaN
NaN云运营控制系统NaNNaNNaN
NaN云运维管理系统NaNNaNNaN
NaN云安全管理平台NaN
NaN云平台监控系统NaN
NaN安全相关人员、介质、管理文档

测评指标选择

测评指标NaNIaaS模式NaNPaaS模式NaNNaNSaaS模式NaNNaNNaN
控制点要求项平台租户I-平台平台租户I-平台P-平台平台租户
基础设施位置a)应保证云计算基础设施位于中国境内NaNNaNNaNNaNNaNNaN
网络架构a)应保证云计算平台不承载高于其安全保护等级的业务应用系统NaNNaNNaN
NaNb)应实现不同云服务客户虚拟网络之间的隔离NaNNaNNaN
NaNc)应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力NaNNaNNaN
NaNd)应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略NaNNaNNaN
NaNe)应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务NaNNaNNaN
NaNf)应提供对虚拟资源的主体和客体设置安全标记的能力,保证云服务客户可以依据安全标记和强制访问控制规则确定主体对客体的访问
NaNg)应提供通信协议转换或通信协议隔离等的数据交换方式,保证云服务客户可以根据业务需求自主选择边界数据交换方式NaNNaNNaN
NaNh)应为第四级业务应用系统划分独立的资源池NaNNaNNaN
访问控制a)应在虚拟边界部署访问控制机制,并设置访问控制规则NaNNaN
NaNb)应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则NaNNaN
入侵防范a)应能检测到云服务客户发起的攻击行为,并能记录攻击类型、攻击时间、攻击流量等NaNNaNNaN
NaNb)应检测到虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等NaN
NaNc)应检测到虚拟机和宿主机、虚拟机和虚拟机之间的异常流量NaNNaN
NaNd)应在检测到网络攻击行为、异常流量时进行告警
安全审计a)应对云服务商和云服务客户在远程管理时执行特权的命令进行审计,至少包括虚拟机删除、虚拟机重启
NaNb)应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计
身份鉴别a)当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制
访问控制a)应保证当虚拟机迁移时,访问控制策略随其迁移NaNNaNNaN
NaNb)应允许云服务客户设置不同虚拟机之间的访问控制策略NaNNaNNaN
入侵防范a)应能检测虚拟机之间的资源隔离失败,并进行告警NaNNaNNaNNaNNaNNaN
NaNb)应能检测到非授权新建虚拟机或者重新启用虚拟机,并进行告警NaNNaNNaNNaNNaNNaN
NaNc)应能检测恶意代码感染及在虚拟机间蔓延的情况,并进行告警NaNNaNNaN
镜像和快照保护a)应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务NaNNaNNaNNaNNaNNaNNaN
NaNb)应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改NaNNaNNaNNaNNaNNaNNaN
NaNc)应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问NaNNaNNaNNaNNaNNaNNaN
数据完整性和保密性a)应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定
NaNb)应保证只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限NaNNaNNaN
NaNc)应使用校验技术或密码技术保证虚拟机迁移过程中重要数据的完整性,并在检测到完整性受到破坏时采取必要的恢复措施NaNNaNNaN
NaNd)应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程NaNNaNNaN
数据恢复和备份a)云服务客户应在本地保存其业务数据的备份
NaNb)应提供查询云服务客户数据及备份存储位置的能力NaNNaNNaN
NaNc)云服务商的云存储服务应保证云服务客户数据存在若干个可用的副本,各副本之间的内容应保持一致NaNNaNNaN
NaNd)应为云服务客户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段,并协助完成迁移过程NaNNaNNaN
剩余信息保护a)应保证虚拟机所使用的内存和存储空间回收时得到完全清除NaNNaNNaN
NaNb)云服务客户删除业务应用数据时,云计算平台应将云存储中所有副本删除NaNNaNNaN
集中管控a)应对物理资源和虚拟资源按照策略做统一管理调度与分配NaNNaNNaN
NaNb)应保证云计算平台管理流量与云服务客户业务流量分离NaNNaNNaN
NaNc)应根据云服务商和云服务客户的职责划分,收集各自控制部分的审计数据并实现各自的集中审计
NaNd)应根据云服务商和云服务客户的职责划分,实现各自控制部分,包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状态的集中监控
云服务商选择a)应选择安全合规的云服务商,其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力NaNNaNNaN
NaNb)应在服务水平协议中规定云服务的各项服务内容和具体技术指标NaNNaNNaN
NaNc)应在服务水平协议中规定云服务上的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。NaNNaNNaN
NaNd)应在服务水平协议中规定服务合约到期时,完整提供云服务客户数据,并承诺相关数据在云计算平台上清除。NaNNaNNaN
NaNe)应与选定的云服务商签署保密协议,要求其不得泄露云服务客户数据。NaNNaNNaN
供应链管理a)应确保供应商的选择符合国家有关规定NaNNaNNaN
NaNb)应将供应链安全事件信息或安全威胁信息及时传达到云服务客户NaNNaNNaN
NaNc)应保证供应商的重要变更及时传达到云服务客户,并评估变更带来的安全风险,采取措施对风险进行控制NaNNaNNaN
云计算环境管理a)云计算平台的运维地点应位于中国境内,境外对境内云计算平台实施运维操作应遵循国家相关规定。NaNNaNNaN
Long._.L
关注
专栏目录
CIS 2020—等保2.0之云计算安全测评指标选取原则
afei001
03-02 670
目录 1.等保2.0之云计算 2.共担模型与指标选取 3.不同的服务模式 4.不同的部署方式 1.等保2.0之云计算 2.共担模型与指标选取 3.不同的服务模式 4.不同的部署方式 ...
云计算系统等保测评对象指标选取
ryanzzzzz的博客
03-22 3440
参考GBT22239-2019《基本要求》附录D 云计算应用场景说明。简要理解下图,主要是云计算系统安全保护责任分担原则和服务模式适用性原则,指导后续的测评对象指标选取
等保测评——云计算安全扩展(云计算关键技术)
hakksjss的博客
07-01 1094
虚拟化是云计算的核心技术之一,它为云计算服务提供基础架构层面的支撑,是ICT(信息通信技术)服务快速走向云计算的最主要驱动力。虚拟化作为云计算的重要组成部分,最大的好处是能增强系统的弹性和灵活性,降低成本、改进服务、提高资源利用率。通过虚拟化技术可实现软件应用与底层硬件的隔离。虚拟化技术根据对象的不同可分成存储虚拟化、计算虚拟化、网络虚拟化等,计算虚拟化又分为系统级虚拟化、应用级虚拟化和桌面虚拟化。
等保测评——云计算测评项2
最新发布
hakksjss的博客
07-04 1221
当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制;远程管理云计算平台中的设备时,双向身份验证机制确保了管理终端和对端服务器的真实性,有效防止了重放攻击和DoS攻击,大大提高了云计算平台和终端设备连接的安全性。该条款适用于云计算平台和服务客户系统。当服务商或服务客户进行远程设备管理时,应在管理终端和云计算平台边界控制器(或接入网关)之间基于双向身份验证机制建立合法、有效的连接。
理解云计算:SaaS,PaaS与IaaS
紫天专栏
12-05 892
作为一个广义的术语,云计算描述了一种范围广泛的服务。许多IT厂商都抓住了“”这个概念,并将其作为产品的一种通用技术。对于公司而言,为了真正了解并利用云计算的价值,首先要了解什么是云计算,及其不同的组成部分。由于服务是一个广泛的服务集合,因此用户可以选择何时、何地以及如何使用云计算。在这份报告中,我们将解释不同类型的云计算服务,包括软件即服务(SaaS),平台即服务(PaaS)和基础架构即服务(
等保2.0.测评对象分析
老毛的博客
08-20 5797
文章目录前文回顾及本文介绍 前文回顾及本文介绍 上一篇【等保对象知多少】讲解了等保2.0中等保对象即:信息系统、通信网络设施、数据资源。 接下来我们将对测评过程中涉及到的对象进行分析,本文主要针对《GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南》中的附录 D进行分析 ...
云计算测评实践与案例分享——标解读与应用.pdf
08-11
总的来说,云计算测评实践与案例分享——标解读与应用为我们提供了一个全面的视角去理解云计算环境下的定级对象和保护要求、云计算安全扩展要求的选择和使用,以及在实际应用中如何进行测评项案例分析。...
腾讯和阿里对比哪个好?云计算优势测评
07-21
当前,腾讯和阿里是国内云计算市场的两大巨头,本文主要从多个维度分析这两家服务商的产品,特别是它们的服务器、数据库和对象存储服务,并通过实测数据比较它们的性能。 云计算服务模型一般分为基础设施...
云计算系统等级保护研究.pdf
08-08
等级保护五个规定动作 新形势下的等级保护 ...云计算系统安全建设指标选择-IAAS模式下 云计算系统安全建设指标选择-PAAS模式下 云计算系统安全建设指标选择-SAAS模式下 云计算系统测评报告编制 云计算系统报告打分
信息安全等级保护云计算测评要求
02-14
本标准规定了对实现的信息系统是否符合《信息安全等级保护云计算基本要求》所进行的测试评估活动的要求,包括对第二级信息系统、第三级信息系统和第四级信息系统进行测试评估的要求。本标准略去对第一级信息系统、第五级信息系统进行测评的要求。
等保中级测评师复习.07
老毛的博客
09-20 2619
文章目录1、简述等级测评中整体测评结果分析的方法,并举例(略)2、单项测评结果的判定方法(也就是什么时候判定符合、不符合、部分符合,答案在中级教程里)3、测评时,在三种模式下,平台和租户需要选取测评对象分别是哪些4、测评报告的内容构成(略) 说明:题目来自网上及部分答案来自标准,答案非标准仅供参考,欢迎留言讨论~! 1、简述等级测评中整体测评结果分析的方法,并举例(略) 2、单项测评结果的判定方法(也就是什么时候判定符合、不符合、部分符合,答案在中级教程里) 单项测评结果的形成通常分为三步: 1)针
2023年全方位SaaS平台测评!SaaS平台应该怎么选择
BeWorkingMan的博客
08-31 598
简道的SaaS平台属于国内较早的一批成长起来的企业级SaaS类软件,相对发展的比较成熟,可用于搭建CRM、OA、SRM、进销存等应用。简道支持表单设计、流程设计、数据实时分析、智能提醒等功能,简单拖拉拽即可搭建应用。随着云计算技术的发展,SaaS平台(软件即服务)已经成为了企业数字化的一个重要趋势。SaaS平台作为一种新型的软件交付平台,将软件应用程序和相关的服务打包成一种服务,通过网络进行交付和使用,用户只需要通过浏览器等前端工具访问端的软件服务,就可以实现软件的使用和管理。
云计算的三种服务模式:IaaS,PaaS和SaaS
diaoqi5743的博客
12-10 806
  服务”现在已经快成了一个家喻户晓的词了。如果你不知道PaaS, IaaS 和SaaS的区别,那么也没啥,因为很多人确实不知道。  “”其实是互联网的一个隐喻,“云计算”其实就是使用互联网来接入存储或者运行在远程服务器端的应用,数据,或者服务。  任何一个使用基于互联网的方法来计算,存储和开发的公司,都可以从技术上叫做从事的公司。然而,不是所有的公司都一样。不是所有人都是CTO...
等保2.0实施,企业应该如何应对
dzqxwzoe的博客
03-16 194
没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。的需求量越来越大,类似网络攻击问题出现的频率也会加大。
09 | 什么是PaaS?怎样深入理解和评估PaaS?
qq_37756660的博客
02-21 1661
在 IaaS 篇中,我们主要是侧重于基础设施类的服务,尤其是虚拟机、磁盘、网络等服务。它们的特点是,和传统 IT 基础设施往往有一个对应关系,所以被称为基础设施即服务(Infrastructure-as-a-Service)。今天我们的主角PaaS(Platform-as-a-Service),则是指云计算提供的平台类服务,在这些平台的基础上,用户可以直接开发、运行、管理应用程序,而无需构建和维护底层的基础设施。用更通俗的话来说,
等级保护--云计算安全扩展要求
江南落花雨
11-20 3564
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。 概述 云计算技术 云计算技术服务的五个基本特征:按需自助、无所不在的网络访问、资源池化、快速弹性、可度量的服务。 ...
云计算安全测评:应用安全
CCSA2018的博客
04-11 7401
云计算包括基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)三种服务模式,其中规模最大的是SaaS,也称为应用,本文中的SaaS和应用为同一含义。SaaS的崛起冲击了人们的传统观念,包括能源、银行、文化、教育、制造业、医疗、建筑等行业都成为SaaS应用的主要行业,而大数据、电商、数据服务、研发管理、数据仓库、物联网则成为SaaS应用的主要方向。
云计算供应商选择:基于DCGVE的综合集成方法
作者提出了一种名为DCGVE的综合集成选择方法,该方法结合德尔菲法构建的云计算共识评估扩展指标体系,运用G1法和变异系数法进行权重分配,并通过欧氏距离计算平台的综合最适贴近度。实验表明,这种方法能够提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值