云计算平台安全测评技术规范
时间:
2022-06-11 13:36:28

  本文件规定了政务云平台和私有云平台的安全测评方法和判定规则。本文件适用于政务云平台和私有云平台的安全测评,规定了数据中心安全、访问控制、虚拟化安全、终端接入安全、数据安全、业务应用安全、灾难恢复、安全事件与应急预案、评估和审计的安全测评过程。

  a)数据中心应建立人员出入管理制度、设备进出管理制度、节假日巡检巡查制度、应急管理及预案制度等;

  b)应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;

  c)对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定执行。

  a)应建立数据中心机房、关键设备存储场所出入管理制度,规定出入口安排专人值守,并控制、鉴别和记录进入的人员;规定进入机房及关键场所需经过申请和审批流程等;

  b)对数据中心机房、关键设备存储场所应进行区域划分管理,区域和区域之间应设置物理隔离装置,重要区域应配置电子门禁系统,并控制、鉴别和记录进入的人员。

  a)应制定虚拟平台安全管理制度要求,规定定期对安全管理系统、主机操作系统等进行漏洞扫描和风险评估等,对发现的漏洞应及时采取安全措施;

  b)虚拟平台(云平台管控系统)应具备完善的安全控制功能,包括认证与授权、资源控制、监控与审计等;

  c)应提供虚拟网络接口带宽管理安全功能,避免单台虚拟机占用过多的网络资源而影响整个虚拟系统的稳定性。