云计算安全山西省信息化和信息安全评测中心被测系统详细信息系统名称重要等级主要用途负责人评估人员评估日期签字确认IP地址云计算安全山西省信息化和信息安全评测中心被测系统详细信息层面控制点8.2.1 安全物理环境8.2.1.1 基础设施位置8.2.2 安全通信网络8.2.2.1 网络架构8.2.3 安全区域边界8.2.3.1 访问控制8.2.3 安全区域边界8.2.3.1 访问控制8.2.3.2 入侵防范8.2.3 安全区域边界8.2.3.2 入侵防范8.2.3.3 安全审计8.2.4 安全计算环境8.2.4.1 身份鉴别8.2.4.2 访问控制8.2.4.3 入侵防范8.2.4 安全计算环境8.2.4.4 镜像和快照保护8.2.4.5 数据完整性和保密性8.2.4.6 数据备份恢复8.2.4 安全计算环境8.2.4.7 剩余信息保护8.2.5 安全管理中心8.2.5.1 集中管控8.2.6 安全建设管理8.2.6.1 云服务商选择8.2.6.2 供应链管理层面得分8.2.6 安全建设管理8.2.6.2 供应链管理8.2.7 安全运维管理8.2.7.1 云计算环境管理测评项测评对象应保证云计算基础设施位于中国境内。 机房管理员、办公场地、机房和平台建设方案a) 应保证云计算平台不承载高于其安全保护等级的业务应用系统; 云计算平台和业务应用系统定级备案材料b) 应实现不同云服务客户虚拟网络之间的隔离; 网络资源隔离措施、综合网管系统和云管理平台c) 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力; 防火墙、入侵检测系统、入侵保护系统和抗APT系统等安全设备d) 应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略;云管理平台、网络管理平台、网络设备和安全访问路径。e) 应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务。 相关开发性接口和安全服务及相关文档a) 应在虚拟化网络边界部署访问控制机制,并设置访问控制规则; 访问控制机制、网络边界设备和虚拟化网络边界设备b) 应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则。 网闸、防火墙、路由器和交换机等提供访问控制功能的设备a) 应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等; 抗APT攻击系统、网络回溯系统、威胁情报检测系统,抗DDOS攻击系统和入侵保护系统或相关组件b) 应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等; 抗APT 攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS 攻击系统和入侵保护系统或相关组件c) 应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量; 虚拟机、宿主机、抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击系统和入侵保护系统或相关组件d) 应在检测到网络攻击行为、异常流量情况时进行告警。 虚拟机、宿主机、抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击系统和入侵保护系统或相关组件a) 应对云服务商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启; 堡垒机或相关组件b) 应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。 综合审计系统或相关组件当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制。 管理终端和云计算平台a) 应保证当虚拟机迁移时,访问控制策略随其迁移; 虚拟机、虚拟机迁移记录和相关配置b) 应允许云服务客户设置不同虚拟机之间的访问控制策略。 虚拟机和安全组或相关组a) 应能检测虚拟机之间的资源隔离失效,并进行告警; 云管理平台或相关组件b) 应能检测非授权新建虚拟机或者重新启用虚拟机,并进行告警; 云管理平台或相关组件c) 应能够检测恶意代码感染及在虚拟机间蔓延的情况,并进行告警。 云管理平台或相关组件虚拟机镜像文件虚拟机a) 应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务; b) 应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改; 云管理平台和虚拟机镜像、快照或相关组件c) 应采取密码技术或其他技术手段防止虚拟机镜像、快...
