返回
《信息安全技术 云计算服务安全能力评估方法》

《信息安全技术 云计算服务安全能力评估方法》

ID:40416059

大小:55.41 KB

页数:27页

时间:2019-08-02

《信息安全技术 云计算服务安全能力评估方法》_第1页
《信息安全技术 云计算服务安全能力评估方法》_第2页
《信息安全技术 云计算服务安全能力评估方法》_第3页
《信息安全技术 云计算服务安全能力评估方法》_第4页
《信息安全技术 云计算服务安全能力评估方法》_第5页
资源描述:

《《信息安全技术 云计算服务安全能力评估方法》》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、意见汇总处理表标准项目名称:《信息安全技术云计算服务安全能力评估方法》承办人:王惠莅共23页标准项目负责起草单位:中国电子技术标准化研究院电话:185105095812016年6月13日填写序号标准章条编号意见内容提出单位处理意见备注标准草案,2015年5月20日发编制组内部征求意见1.依据当前评估条目的适用性,提取共性项,对仅适用于特殊场景下的评估点标注其使用建议,或单独章节形成特定测评点要求。CETC30所未采纳。对服务类型进行区分超出本标准的范围。2.当前稿中涉及的角色称谓名称较多,各称谓代表

2、的对象范畴没有明示,容易混淆,比如用户、客户、租户之间的差异。修改建议:对用户、租户、客户、外部人员、特权用户、特权账户等各称谓明确含义范畴,规范其使用。CETC30所未采纳。按照《能力要求》相关规定。3.1建议将“对以社会化方式”去掉阿里云计算有限公司未采纳。与《能力要求》保持一致。4.4.1综合考虑原则不是原则,可重复和可充用、可再现比较理想,比较难实现。中国信息安全测评中心部分采纳。5.4.1建议改为“采用或参考其已有的公正第三方的测评结果”。阿里云计算有限公司部分采纳。6.4.1建议改为“灵

3、活是指在对云服务商进行安全控制措施裁剪、替换等情况下,”阿里云计算有限公司未采纳。应是由云服务商裁剪、替换安全控制措施等。271.4.2增加相应章节,1、描述安全评估系统要求,安全配件要求。成都大学未采纳。本标准只规范评估方法,不涉及评估系统。2.5.1.1.2建议修改格式,“涉及”格式为斜体国家信息技术安全研究中心采纳。3.5.3.1a)修改建议:检查云服务商是否定义系统生命周期、并定义生命周期各节点及特征;西安未来国际有限公司未采纳。系统生命周期定义可参考已有国标。4.5.4.2f)修改建议:检

4、查开发商提供的说明文档是否有对功能、端口、协议和服务的详细说明,并列出不必要和高风险的功能、端口、协议或服务,并查看是否已禁用。西安未来国际有限公司采纳。5.5.6.1.2修改建议:测试应用信息系统设计、开发、实现和修改过程中的机制,是否实现自动化机制。国家信息技术安全研究中心未采纳。《能力要求》不涉及自动化机制6.5.9.2b)将“得”改为“的”国家信息技术安全研究中心采纳。7.5.10.2c)5.10.2f)修改建议:增加句号。国家信息技术安全研究中心采纳。271.5.11.1a)评估方法修改建

5、议:测试系统、组件或服务的在设计、开发、实现、运行过程中的配置管理方式,是否实现自动化管理。国家信息技术安全研究中心未采纳。2.5.12.2a)修改建议:检查开发阶段所使用的静态代码分析工具配置;西安未来国际有限公司部分采纳。3.5.12.2e)修改建议:检查开发商的渗透性测试相关文档(测试计划、测试报告)西安未来国际有限公司未采纳。只看报告就能体现。4.6.2.1b)评估方法是否对外公开的组件与内部网络划分为不同的子网络,阿里云计算有限公司采纳。5.6.2.2a)评估方法搭建物理独立的计算资源池、

6、存储资源池和网络资源池阿里云计算有限公司未采纳。同《能力要求》描述方式。6.6.2.2b)——测试是否具有对大规模攻击流量进行清洗或防护的能力。阿里云计算有限公司未采纳。原评估方法中已经包含此内容。7.6.2.2d)检查外部通信接口授权审批策略;西安未来国际有限公司采纳。8.6.3.2.1修改建议:6.3.2.2节评估方法修改为:——检查安全计划书、安全设计文档,是否使用符合国家密码管理法律法规的通信加密和签名验签算法及设施,是否有国家密码管理局认定测评机构出具的检测报告或证书。——测试云服务商所使

7、用到的通信加密和签名验签设施是否与设计文档要求相一致;CETC30所采纳。271.6.3.2.2建议收敛测试方法,因密码设备测试认可有一套严格管理规定,建议以审查相关权威机构发放的认可证书为准。(具体需要进一步落实国家密码管理局、涉密信息系统相关管理规定)。CETC30所采纳。2.6.5.2.2修改建议:6.5.2.2增加--测试云计算平台用户和系统安全功能之间是否建立了一条可信的通信路径。CETC30所采纳。3.6.8.2b)修改建议:验证禁止自动执行机制是否有效;西安未来国际有限公司采纳。云服务

8、的云服务管理平台难于验证。4.6.11.1.1c)修改建议:对6.11.1c)的评估方法增加--在网络出入口以及系统中的主机、移动计算设备上放置一段恶意代码,测试防护措施是否能够检测并予以响应。CETC30所未采纳。原评估方法已包括该内容。5.6.11.2b)修改建议:检查恶意代码自动更新记录,包含版本信息、更新时间等;西安未来国际有限公司采纳。6.6.12.2.2修改建议:6.12.2.2评估方法增加--测试非授权代码是否能够执行;CETC30所采纳。271.6.1

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。