信息安全技术云计算运维安全管理规范.doc

ICS 35.020L70DB37山东省地方标准DB 37/T 33042018信息安全技术 云计算运维安全管理规范2018 - 06 - 12 发布2018 - 07 - 12 实施山东省质量技术监督局发 布前言本标准按照GB/T 1.1-2009给出的规则起草。本标准由潍坊市质量技术监督局提出并归口。本标准起草单位：潍坊市智慧潍坊建设办公室、山东瑞宁信息技术股份有限公司、山东省计算中心（国家超级计算济南中心）、山东省经济和信息化发展研究院、山东华国信息安全技术有限公司、山东信息协会、山东电子商会、山东正中信息技术股份有限公司。本标准主要起草人：胡延年、李刚、汉京宁、王洋、周鸣乐、朱少伟、朱珊珊、李旺、冯正乾、李波、李敏、丁艳艳、李强、张玉瑞、张建成、柴力、刘波、戚元华、王玮、刘一鸣、潘洪华、牟宁芳。本标准为首次发布。信息安全技术 云计算运维安全管理规范1范围本标准规定了云计算环境下运维安全管理的术语和定义、参考模型、安全管控、本地监控等内容。本标准适用于提供公有云、 私有云和混合云运维安全管理的机构及有云计算环境运维安全需求的用户。2规范性引用文件下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件， 仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 32400-2015信息技术 云计算 概览与词汇3术语和定义下列术语和定义适用于本文件。3.1云计算 cloud computing一种通过网络将可伸缩、弹性的共享物理和虚拟资源池按需自服务的方式供应和管理的模式。注：资源包括服务器、操作系统、网络、软件、应用和存储设备等。GB/T 32400-2015,定义3.2.53.2云计算运维安全 cloud computing operation and maintenance security在公有云、私有云和混合云环境中云计算基础设施及虚拟资源的运维安全。3.3云服务 cloud service通过云计算已定义的接口提供的一种或者多种能力。GB/T 32400-2015,定义3.2.83.4云服务提供者 cloud service provider提供云服务的参与方。GB/T 32400-2015,定义3.2.153.5云安全管控系统 cloud security reining system一种部署在云计算环境中，对云计算环境中的运维过程安全进行管控的系统。注：包括租户云安全管控系统和云服务提供者云安全管控系统。3.6混合云 hybrid cloud至少包含两种不同的云部署模型的云部署模型。GB/T 32400-2015,定义3.2.233.7私有云 private cloud云服务仅被一个云服务客户使用，且资源被云服务客户控制的一种云部署模型。GB/T 32400-2015,定义3.2.323.8公有云 public cloud云服务可被任意云服务客户使用，且资源被云服务提供者控制的一种云部署模式。GB/T 32400-2015,定义3.2.333.9租户 tenant对一组物理和虚拟资源进行共享访问的一个或者多个云服务用户。GB/T 32400-2015,定义3.2.373.10第三方监控 third-party supervision通过第三方机构或组织， 对云服务提供者提供的云计算服务过程进行安全审计监督， 向租户提供可信的云计算安全审计报告。3.11看守器 guard一种对云安全管控系统提供守护、监测、告警等功能的装置。4缩略语下列缩略语适用于本文本。VPN虚拟专用网络（Virtual Private Network）SSL安全套接层（Secure Sockets Layer）HTTPS安全套接层超文本传输协议(Hyper Text Transfer Protocol over Secure Socket Layer)WEB万维网(World Wide Web)APP应用程序(Application)5安全管理参考模型5.1云计算运维安全管理参考模型如图 1 所示，模型中有云服务提供者、租户和第三方监控机构三种角色。5.2租户通过专属的云安全管控系统，采用技术手段，对所购买的云计算资源进行管控、运维管理，对租户购买的云计算资源的所有操作均应通过租户的授权审批， 并应记录和审计所有操作。 云服务提供者通过专属的云安全管控系统对云计算基础设施运维管理。5.3为保证云安全管控系统的安全，应在租户端设置看守器，实时监控用户端安全管控系统的自身安全。图 1云计算运维安全管理参考模型6安全管控6.1云计算资源运维统一入口云安全管控系统作为租户和云服务提供者对云计算资源进行集中运维管控的统一入口，应：a)集中管控云计算资源访问人员和运维管理操作的人员；b)集中管理云