测评指标控制项检查对象云安全扩展要求身份鉴别管理终端和云计算平台访问控制入侵防范云管理平台或相关组件云管理平台或相关组件云管理平台或相关组件虚拟机镜像文件a)当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制。 a) 应保证当虚拟机迁移时,访问控制策略随其迁移; 虚拟机、虚拟机迁移记录和相关配置b) 应允许云服务客户设置不同虚拟机之间的访问控制策略。虚拟机和安全组或相关组件a) 应能检测虚拟机之间的资源隔离失效,并进行告警;b) 应能检测非授权新建虚拟机或者重新启用虚拟机,并进行告警; c) 应能够检测恶意代码感染及在虚拟机间蔓延的情况,并进行告警。 镜像和快照保护a) 应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务;b) 应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改;云管理平台和虚拟机镜像、快照或相关组件c) 应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。云管理平台和虚拟机镜像、快照或相关组件数据完整性和保密性a) 应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定; 数据库服务器、数据存储设备和管理文档记录b) 应确保只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限; 云管理平台、数据库、相关授权文档和管理文档虚拟机密钥管理解决方案数据备份恢复云管理平台或相关组件云管理平台或相关组件相关技术措施和手段剩余信息保护云计算平台移动互联安全扩展要求移动终端管控移动应用管控移动终端管理客户端移动终端管理客户端数据完整性和保密性c) 应使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性,并在检测到完整性受到破 坏时采取必要的恢复措施;d) 应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程。 a) 云服务客户应在本地保存其业务数据的备份; b) 应提供查询云服务客户数据及备份存储位置的能力; c) 云服务商的云存储服务应保证云服务客户数据存在若干个可用的副本,各副本之间的内容应 保持一致;云管理平台、云存储系统或相关组件d) 应为云服务客户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段,并协助 完成迁移过程。 a) 应保证虚拟机所使用的内存和存储空间回收时得到完全清除; b) 云服务客户删除业务应用数据时,云计算平台应将云存储中所有副本删除。 云存储系统和云计算平台a) 应保证移动终端安装、注册并运行终端管理客户端软件;移动终端和移动终端管理系统b) 移动终端应接受移动终端管理服务端的设备生命周期管理、设备远程控制,如:远程锁定、 远程擦除等。 移动终端和移动终端管理系统a) 应具有选择应用软件安装、运行的功能; b) 应只允许指定证书签名的应用软件安装和运行;移动应用管控移动终端管理客户端物联网安全扩展要求感知节点设备网关节点设备网关节点设备网关节点设备感知节点设备抗数据重放感知节点设备c) 应具有软件白名单功能,应能根据白名单控制应用软件安装、运行。 感知节点设备安全a)应保证只有授权的用户可以对感知节点设备上的软件应用进行配置或变更;b)应具有对其连接的网关节点设备(包括读卡器)进行身份标识和鉴别的能力;网关节点设备(包括读卡器)c)应具有对其连接的其他感知节点设备(包括路由节点)进行身份标识和鉴别的能力。其他感知节点设备(包括路由节点)网关节点设备安全a)应设置最大并发连接数;b)应具备对合法连接设备(包括终端节点、路由节点、数据处理中心)进行标识和鉴别 的能力;c)应具备过滤非法节点和伪造节点所发送的数据的能力;d)授权用户应能够在设备使用过程中对关键密钥进行在线更新。a)应能够鉴别历史数据的非法修改,避免数据的修改重放攻击;抗数据重放感知节点设备数据融合处理物联网应用系统大数据安全扩展大数据平台b)应能够鉴别历史数据的非法修改,避免数据的修改重放攻击。a)应对来自传感网的数据进行数据融合处理,使不同种类的数据可以在同一个平台被使用。a)大数据平台...
