DB21 T 3441-2021 云计算平台安全测评技术规范.pdf

1、ICS 35.020 CCS L 80 DB21 辽 宁 省 地 方 标 准 DB21/T 3441 2021 云计算平台安全 测评 技术规范 2021 - 06 - 30 发布 2021 - 07 - 30 实施 辽宁省市场监督管理局 发布 DB21/T 3441 2021 I 目 次 前 言 . II 引 言 . III 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 缩略语 . 2 5 安全测评 . 2 5.1 数据中心安全 . 2 5.2 访问控制 . 6 5.3 虚拟化安全 . 7 5.4 终端接入安全测评 . 9 5.5 数据安全 . 10 5.6 业务应

2、用安全 . 11 5.7 灾难恢复测评 . 12 5.8 安全事件与应急预案 . 13 5.9 评估和审计 . 14 参 考 文 献 . 16 DB21/T 3441 2021 II 前 言 本 文件 的编制依据 GB/T 1.1 2020标准化工作导则 第 1部分：标准化文件的结构和起草规则 的要求进行。 本 文件 由 中共辽宁省委网络 安全 和信息化委员会办公室提出。 本 文件 由中共辽宁省委网络 安全 和信息化委员会办公室归口。 本 文件 起草单位： 辽宁省先进装备制造业基地建设工程中心、辽宁省信息安全与软件测评认证中心、 沈阳赛宝科技服务有限公司 。 本 文件 主要起草人：张震、 朱在

3、田、 郭剑锋、 林强 、 赵英科、管冰、 董旭升 、 吕天昊、刘奇、 李竹 林、 赵云志、 金鑫、王友民 、田佳秀 。 本 文件 发布日期：属首次发布。 本 文件 发布实施后，任何单位和个人如有问题和意见建议，均可以通过来电和来函等方式进行反馈， 我们将及时答复并认真处理，根据实际情况依法进行评估及复审。 归口管理部门通信地址：沈阳市和平区光荣街 26号甲。 归口管理部门联系电话： 024-81680031 标准起草单位通讯地址：辽宁省沈阳市和平区太原北街 2号综合楼。 标准起草单位联系电话： 024-23447409。 DB21/T 3441 2021 III 引 言 云计算平台也称为云平台

4、，是指基于硬件资源和软件资源的服务，提供计算、网络和存储能力。云 计算平台可以划分为 3类：以数据存储为主的存储型云平台，以数据处理为主的计算型云平台以及计算 和数据存储处理兼顾的综合云计算平台。 目前我国发布了针对云计算平台的国家标准，包括 GB/T 377392019 信息技术 云计算 平台即服 务部署要求、 GB/T 36327 2018 信息技术 云 计算 平台即服务 (PaaS)应用程序管理要求等，但 针对云计算平台的安全性 测评 方面，还没有一个针对性、规范化的操作标准，因此特制订本 文件 。 本 文件 用 来约束和规定云计算平台的安全 测评 。 DB21/T 3441 2021

5、1 云计算平台安全 测评 技术规范 1 范围 本 文件 规定了 政务云平台和私有云平台的安全测评方法和判定规则。 本 文件 适用于 政务云平台和私有云平台 的安全测评 ，规定了数据中心安全、访问控制、虚拟化安全、 终端接入安全、数据安全、业务应用安全、灾难恢复、安全事件与应急预案、评估和审计的安全测评过 程 。 2 规范性引用文件 下列文件中的内容通过 文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 5271.8 2001 信息技术 词汇 第 8部分：安全 GB

6、17859 1999 计算机信息系统 安全保护等级划分准则 GB/T 18336.1 2001 信息技术 安全技术 信息技术安全性评估准则 第 1部分 :简介和一般模型 GB/T 32400 2015 信息技术 云计算 概览与词汇 3 术语和定义 GB/T 5271.8 2001、 GB 17859 1999和 GB/T 18336.1 2001界定的及下列术语和定义适用于 本文 件 。 3.1 云计算 cloud computing 一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式 。 来源： GB/T 32400 2015 3.2 数据中心 data ce

7、nter 指基于超级计算机系统对外提供计算资源、存储资源等服务的机构或单位，以高性能计算机为基础 面向各界提供高性能计算服务。 3.3 可用性 availability 被授权实体按需访问和使用的特性 。 DB21/T 3441 2021 2 来源： GB/T 32400 2015 3.4 云 服务 cloud service 通过云计算已定义的接口提供的一种或几种能力 。 来源： GB/T 32400 2015 3.5 私有云 private cloud 云服务仅被一个云服务客户使用，且资源被云服务提供者控制的一种云部署模型 。 来源： GB/T 32400 2015 3.6 安全措施 se

8、curity measure 保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、 规程和机制的总称。 4 缩略语 DoS：拒绝服务（ Denial of Service） Guest OS：客机操作系统（ Guest Operating System） IaaS：基础设施即服务（ Infrastructure as a Service） PaaS：平台即服务（ Platform as a Service） SaaS：软件即服务（ Software as a Service） VLAN：虚拟局域网（ Virtual Local Area Network） VM

9、：虚拟机（ Virtual Machine） VPN：虚拟专用网络（ Virtual Private Network） 5 安全测评 5.1 数据中心安全 5.1.1 环境安全 5.1.1.1 管理制度要求 5.1.1.1.1 测评项 管理制度要求满足以下条件： a) 数据中心应建立人员出入管理制度、设备进出管理制度、节假日巡检巡查制度、应急管理及预 案制度等； b) 应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理； DB21/T 3441 2021 3 c) 对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定，并按照规定执行。 5.1.1.1.2 测

10、评实施 a) 查看数据中心的人员出入管理制度、设备进出管理制度、节假日巡检巡查制度、应急管理及预 案制度等，并验证是否可以随意进出机房、查看设备进出档案记录、查看节 假日巡查日志记录、 查看应急演练记录等。 b) 检查有无制度作出书面要求，规定需指定专门的部门或人员定期对机房供配电、空调、温湿度 控制等设施进行维护管理，并查看维护管理记录，验证制度执行有效性； c) 检查对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定的制度要求，并 检查相关文档记录，验证制度执行有效性。 5.1.1.1.3 结果判定 若产品 同时 符合 5.1.1.1.2 a） 、 b）和 c），则满足此项要

11、求。 5.1.1.2 物理位置的选择 5.1.1.2.1 测评项 数据中心机房应选择在具有防震和防风等能力的建筑内，且要避免在建筑物的高层或地下室内。 5.1.1.2.2 测评实施 检 查数据中心机房物理位置具有防震和防风等能力的检测评估报告，查看机房是否建在建筑物的高 层或地下室内。 5.1.1.2.3 结果判定 若产品符合 5.1.1.2.2，则满足此项要求。 5.1.1.3 防盗窃和防破坏 5.1.1.3.1 测评项 防盗窃和防破坏应满足以下要求： a) 数据中心机房内应设置监控报警和防盗报警系统； b) 通信线缆应铺设在隐蔽处，介质应存放在档案室或介质库中。 5.1.1.3.2 测评实

12、施 a) 检查数据中心机房内监控报警和防盗报警系统，并验证其防盗报警功能，检测非授权进入是否 能够正常报警； b) 检查通信线缆铺设位置、介质存放位置，判断是否符合 5.1.1.3.1 中 b）项的要求。 5.1.1.3.3 结 果判定 若产品 同时 符合 5.1.1.3.2 a）和 b），则满足此项要求。 5.1.1.4 防雷击 5.1.1.4.1 测评项 防雷击应满足以下要求： a) 数据中心机房应设置交流电源地线； b) 应设置避雷装置。 5.1.1.4.2 测评实施 a) 检查数据中心机房有无设置交流电源地线； b) 检查机房建筑有无设置避雷装置。 5.1.1.4.3 结果判定 DB2

13、1/T 3441 2021 4 若产品 同时 符合 5.1.1.4.2 a）和 b），则满足此项要求。 5.1.1.5 防火 5.1.1.5.1 测评项 防火应满足以下要求： a) 数据中心机房建筑材料应具有耐火等级，且机房内应设置自动消防系统； b) 数据中心机房应采取区域隔离防火措施，且应将重要设备与其他设备隔离开。 5.1.1.5.2 测评实施 a) 检查数据中 心机房建筑材料是否具有耐火等级，并验证机房内自动消防系统的有效性； b) 检查数据中心机房区域隔离防火的具体措施，查看有无将重要设备与其他设备隔离开。 5.1.1.5.3 结果判定 若产品 同时 符合 5.1.1.5.2 a）和

14、 b），则满足此项要求。 5.1.1.6 防水防潮 5.1.1.6.1 测评项 防水防潮应满足以下要求： a) 应安装对水敏感的检测仪表，且能够对机房进行防水检测和报警； b) 数据中心机房屋顶和活动地板下应避免水管穿过。 5.1.1.6.2 测评实施 a) 检查有无安装对水敏感的检测仪表，并验证其对机房进行防水检测和报警的有效性； b) 检查数据中心机房屋顶和活动地板下有无水管穿过，是否符合 5.1.1.6.1 中 b）项要求。 5.1.1.6.3 结果判定 若产品 同时 符合 5.1.1.6.2 a）和 b），则满足此项要求。 5.1.1.7 防静电 5.1.1.7.1 测评项 a) 关键

15、设备应采用必要的接地防静电措施； b) 数据中心机房应铺设防静电地板。 5.1.1.7.2 测评实施 a) 检查关键设备是否采用必要的接地防静电措施； b) 查看数据中心机房是否铺设防静电地板，并检查相应文档方案要求。 5.1.1.7.3 结果判定 若产品 同时 符合 5.1.1.7.2 a）和 b），则满足此项要求。 5.1.1.8 温湿度控制 5.1.1.8.1 测评项 数据中心机房应设置温、湿度自动调节设施，保证机房温、湿度的变化在设备运行所允许的范围之 内。 5.1.1.8.2 测评实施 检查数据 中心机房有无温、湿度自动调节设施，并验证机房温、湿度的变化是否在设备运行所允许 的范围之

16、内。 5.1.1.8.3 结果判定 DB21/T 3441 2021 5 若产品符合 5.1.1.8.2，则满足此项要求。 5.1.1.9 电力供应 5.1.1.9.1 测评项 电力供应应满足以下要求： a) 数据中心机房供电线路上应配置稳压器和过电压防护设备； b) 应建立备用供电系统。 5.1.1.9.2 测评实施 a) 检查数据中心机房供电线路上有无配置稳压器和过电压防护设备； b) 检查有无建立备用供电系统。 5.1.1.9.3 结果判定 若产品 同时 符合 5.1.1.9.2 a）和 b），则满足此项要求。 5.1.1.10 电磁防护 5.1.1.10.1 测评项 电磁防护应满足以下

17、要求： a) 应采用接地方式防止外界电磁 干扰和设备寄生耦合干扰； b) 电源线和通信线缆应隔离铺设； c) 对关键设备和磁介质应实施电磁屏蔽。 5.1.1.10.2 测评实施 a) 检查有无采用接地方式防止外界电磁干扰和设备寄生耦合干扰； b) 查看电源线和通信线缆是否隔离铺设，检查关键设备和磁介质实施电磁屏蔽的具体措施。 5.1.1.10.3 结果判定 若产品 同时 符合 5.1.1.10.2 a）和 b），则满足此项要求。 5.1.2 网络结构安全 5.1.2.1 测评项 网络结构安全应满足以下要求： a) 应建立网络安全管理制度，对网络安全配置、日志保存时间、安全策略等作出书面规定；

18、b) 应指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和 报警信息分析和处理 工作； c) 应绘制与实际网络运行情况相符合的网络拓扑结构； d) 应保证网络各个部分满足业务高峰期需要，且应设置优先级别，保证在网络拥堵时优先保护重 要主机； e) 网络结构应进行分区域管理，区域边界应有访问控制要求、完整性检查、入侵检测防范等安全 措施； f) 区域之间应有安全隔离机制，重要网段与其他网段之间应采取可靠的技术隔离手段。 5.1.2.2 测评实施 检查网络安全管理制度，验证是否对网络安全配置、日志保存时间、安全策略等作出书面规定； a) 检查是否指定专人对网络进行管理，负责运行日志、网

19、络监控记录的日常维护和报警信息分析 和 处理工作，并检查相关文档记录； b) 查看网络拓扑结构图，并验证分析与实际网络运行情况是否相符合； DB21/T 3441 2021 6 c) 检查主要网络设备，查看其性能以及目前业务高峰流量情况、查看网络中带宽控制及分配原则； 检查限制网络最大流量数及网络连接数的技术手段，检查实现自动负载均衡的技术手段； d) 询问在网络划分的原则，查看网段划分情况；检查边界完整性检查、访问控制、入侵检测等安 全措施，并验证其有效性； e) 询问重要网段有哪些，其具体的部署位置；检查边界和主要网络设备，查看重要网段是否采取 了技术隔离手段与其他网段隔离，并验证其有效性

20、。 5.1.2.3 结果判定 若产 品 同时 符合 5.1.2.2 a） 、 b） 、 c） 、 d）和 e），则满足此项要求。 5.1.3 设备安全 5.1.3.1 测评项 设备安全应满足以下要求： a) 应建立设备安全管理制度，包括规定对平台相关设备指定专人或部门定期进行维护管理； b) 应建立基于申报、审批和专人负责的设备安全管理制度，对信息系统的各种软硬件设备的选型、 采购、发放和领用等过程进行规范化管理； c) 应对设备使用权限进行管理； d) 应对设备运行日志等行为进行审计，且避免审计记录受到未预期的删除、修改或覆盖等。 5.1.3.2 测评实施 a) 查看有无设备安全管理文档制度

21、，检查设备运行情况查检记录表、维护记录表等， 询问对设备 进行专业检查的方法，验证维护管理记录是否完整； b) 检查设备安全管理制度，看是否满足 5.1.3.1 中 b）项的要求； c) 登录重要网络设备，验证是否有身份鉴别、授权机制； d) 验证是否限制设备管理员的登录地址；检查网络系统中的网络设备运行状况、网络流量、用户 行为等日志记录，并验证审计记录保护措施的有效性。 5.1.3.3 结果判定 若产品 同时 符合 a） 、 b） 、 c）和 d），则满足此项要求。 5.2 访问控制 5.2.1 物理访问控制 5.2.1.1 测评项 物理访问控制应满足以下要求： a) 应建立数据中心机房、

22、关键设备存储场所出入管理制度，规定出入口安排专人值守，并控制 、 鉴别和记录进入的人员；规定进入机房及关键场所需经过申请和审批流程等； b) 对数据中心机房、关键设备存储场所应进行区域划分管理，区域和区域之间应设置物理隔离装 置，重要区域应配置电子门禁系统，并控制、鉴别和记录进入的人员。 5.2.1.2 测评实施 a) 检查数据中心机房、关键设备存储场所出入管理制度要求，验证进入机房和关键场所是否需要 经过审批程序、检查在出入口有无专人值守，并控制、鉴别和记录进入的人员； b) 检查数据中心机房、关键设备存储场所是否划区域管理，并查看区域和区域之间物理隔离装置， 验证进入重要区域电子门禁系统的

23、有效性。 DB21/T 3441 2021 7 5.2.1.3 结果判 定 若产品 同时 符合 5.2.1.2 a）和 b），则满足此项要求。 5.2.2 网络访问控制 5.2.2.1 测评项 网络访问控制应满足以下要求： a） 应对网络和系统资源建立访问控制机制； b) 应对进出网络的信息内容进行过滤；重要网段应采取技术手段防止地址欺骗。 5.2.2.2 测评实施 a) 查看在平台网络区域间及边界有无部署访问控制设备，查看是否通过访问控制列表对系统资源 实现允许或拒绝用户访问；访问网络资源，验证访问控制功能有效性； b) 打开访问控制设备，查看访问控制配置，检查有无对网络信息内容进行过滤、重

24、要网段采取哪 种技术手段防止地址欺骗。 5.2.2.3 结果判定 若产品 同时 符合 5.2.2.2 a）和 b），则满足此项要求。 5.2.3 云服务访问控制 5.2.3.1 测评项 云访问访问控制应满足以下要求： a) 云服务商应支持各种强认证机制； b) 应提供服务器段的访问控制机制。 5.2.3.2 测评实施 a) 检查云服务提供商是否支持各种强认证选择，例如一次性密码、生物识别和数字证书等； b) 检查在服务器端是否对每个会话请求进行鉴别、授权，并能够识别策略和用户配置信息的权威 来源。 5.2.3.3 结果判定 若产品 同时 符合 5.2.3.2 a）和 b），则满足此项要求。 5

25、.3 虚拟化安全 5.3.1 虚拟平台安全 5.3.1.1 测评项 虚拟平台安全应满足以下要求： a) 应制定虚拟平台安全管理制度要 求，规定定期对安全管理系统、主机操作系统等进行漏洞扫描 和风险评估等，对发现的漏洞应及时采取安全措施； b) 虚拟平台（云平台管控系统）应具备完善的安全控制功能，包括认证与授权、资源控制、监控 与审计等； c) 应提供虚拟网络接口带宽管理安全功能，避免单台虚拟机占用过多的网络资源而影响整个虚拟 系统的稳定性。 5.3.1.2 测评实施 a) 检查虚拟平台安全管理制度要求，是否符合 5.3.1 中 a）项要求；查看漏洞扫描和风险评估有 关报告资料，验证文档制度执行

26、的有效性； DB21/T 3441 2021 8 b) 检查虚拟平台（云平台管控系统）的安全控制功能，验证有无认证与授权、资源控制、监控与 审计等功能模块； c) 检查平台系统虚拟网络带宽管理功能，通过 FTP 上传下载等方式验证虚拟控制措施有效性 ； d) 具有控制虚拟机上下行带宽的措施，并通过 FTP 上传下载等方式检验控制措施是否生效。 5.3.1.3 结果判定 若产品 同时 符合 a） 、 b） 、 c）和 d），则满足此项要求。 5.3.2 虚拟化可用性 5.3.2.1 测评项 虚拟化可用性应满足以下要求： a) 虚拟机迁移时，应提供机制保证虚拟机及其承载的应用能正常持续运行； b)

27、 Guest OS 迁移到不同的虚拟平台时，应保证安全策略一致性且严格执行备份管理； c) 虚拟机崩溃时，应提供机制保证虚拟机能在短时间内恢复运行。 5.3.2.2 测评 实施 a) 验证当一台虚拟机从物理服务器上迁移到另一个服务器上时，虚拟机及其承载的应用是否能够 持续运行； b) 检查当 Guest OS 迁移到不同的虚拟平台时，安全策略是否一致、有无执行备份管理； c) 验证当 Guest OS 崩溃时，平台把虚拟机恢复到上个备份点的状态所需要的时间 。 5.3.2.3 结果判定 若产品 同时 符合 5.3.2.2 a） 、 b）和 c），则满足此项要求。 5.3.3 虚拟机共存 5.3

28、.3.1 测评项 应制定虚拟机共存安全制度要求，规定多租户虚拟环境中所有租户安全性达到安全要求。 5.3.3.2 测评实施 查看虚拟机共存安全管理制度，检查多租户虚拟环境中所有租户安全性 是否达到最低安全要求。 5.3.3.3 结果判定 若产品符合 5.3.3.2，则满足此项要求。 5.3.4 虚拟机隔离 5.3.4.1 测评项 虚拟机隔离应满足以下要求： a) 多租户的虚拟机间隔离应部署监管措施、提供报告机制，并能够在隔离被破坏时产生告警； b) 应保证每个虚拟机都能获得相对独立的物理资源，并保证同一物理主机上不同虚拟机间逻辑隔 离； c) 应保证单个虚拟机异常时不影响 Hypervisor

29、 及其他虚拟机的正常运行。 5.3.4.2 测评实施 a) 检查多租户虚拟机间隔离具体监管措施和报告机制，并验证在隔离破坏时是否产生告警； b) 查看虚拟机物理资源分配原则，判断是否符合 5.3.4.1 中 b）项要求； c) 验证在单个虚拟机异常时， Hypervisor 及其他虚拟机是否能够正常运行 。 5.3.4.3 结果判定 DB21/T 3441 2021 9 若产品 同时 符合 5.3.4.1 a） 、 b）和 c），则满足此项要求。 5.3.5 虚拟主机安全 5.3.5.1 测评项 虚拟主机安全应满足以下要求： a) 应部署实施 VM 安全监控机制，并且以 VLAN 确保 VM

30、独立，保证利益冲突的公司或个人的 Guest OS 放在不同的虚拟平台； b) 虚拟主机应具有抗 DoS 攻击安全机制。 5.3.5.2 测评实施 a) 检查有无实施 VM安全监控；验证是否以 VLAN确保 VM独立，保证利益冲突的公司或个人的 Guest OS 放在不同的虚拟平台； b) 验证虚拟机是否具有抗 DoS 攻击安全机制。 5.3.5.3 结果判定 若产品 同时 符合 5.3.5.2 a）和 b），则满足此项要求。 5.4 终端接入安全测评 5.4.1 终端通用接入安全 5.4.1.1 测评项 终端通用接入安全应满足以下要求： a) 终端设备接入云计算平台时，应提供认证授权机制；

31、b) 已接入平台的终端设备的进行访问操作时，应提供身份鉴别和访问控制机制； c) 终端接入的认证服务，应建立加密措施； d) 应定期检查终端接入线路的安全性。 5.4.1.2 测评实施 a) 选择一台终端设备接入云计算平台，验证是否需要通过认证授权才能接入平台； b) 使用一台已接入平台的终端设备进行访问操作，验证访问 控制有效性； c) 查看终端接入的认证服务，判断是否建立加密措施； d) 检查是否定期检查终端接入线路的安全性，并查看检测记录。 5.4.1.3 结果判定 若产品 同时 符合 5.4.1.2 a） 、 b） 、 c）和 d），则满足此项要求。 5.4.2 虚拟终端专属接入安全

32、5.4.2.1 测评项 虚拟终端专属接入安全应满足以下要求： a) 应部署虚拟终端接入动态监控机制； b) 当前接入的虚拟终端应符合当前安全区域划分机制。 5.4.2.2 测评实施 a) 查看虚拟终端接入动态监控机制，验证其是否能够监控虚拟终端接入所消耗的服务器资源； b) 查看并判断当前接入的虚拟终端是否符合当前安全区域划分机制。 5.4.2.3 结果判定 若产品 同时 符合 5.4.2.2 a）和 b），则满足此项要求。 DB21/T 3441 2021 10 5.5 数据安全 5.5.1 数据传输 5.5.1.1 测评项 数据传输应满足以下要求： a） 应提供有效安全措施保证虚拟镜像文件

33、、系统管理数据、鉴别信息和重要业务数据在传输过程 中完整性避免受到破坏，并在检测到完整性错误时能够采取必要的恢复措施； b） 应采取有效安全措施保证数据传输保密性，以及用户端到数据中心通道的安全性； c） 应提供有效措施保证在突然断网、断电等突发情况恢复后，虚拟机镜像文件、系统管理数据、 鉴别信息和重要业务数据等是否能继续传输，且不丢失。 5.5.1.2 测评实施 a) 检查有无提供安全措施保护虚拟 镜像文件、系统管理数据、鉴别信息和重要业务数据在传输过 程的完整性，并验证检测到完整性错误时，能否及时采取恢复措施； b) 检查是否采用加密或其他有效措施实现虚拟机镜像文件、系统管理数据、鉴别信息

34、和重要业务 数据传输保密性；查看是否采用 VPN 或数据传输加密等技术，以检验从用户终端到数据中心 传输通道的安全性； c) 验证在突然断网、断电等突发情况恢复后，虚拟机镜像文件、系统管理数据、鉴别信息和重要 业务数据等是否能继续传输，且没丢失。 5.5.1.3 结果判定 若产品 同时 符合 5.5.1.2 a） 、 b）和 c），则满足此项要求。 5.5.2 数据存储 5.5.2.1 测评 项 数据存储应满足以下要求： a） 应提供有效安全措施保证虚拟镜像文件、系统管理数据、鉴别信息和重要业务数据在存储过程 中完整性避免受到破坏，并在检测到完整性错误时采取必要的恢复措施； b） 应采用加密或

35、其他保护措施实现虚拟镜像文件、系统管理数据、鉴别信息和重要业务数据存储 保密性； c） 对数据资源的访问应提供权限控制； d） 用户在退出账号后，其鉴别信息应能够被彻底清除干净。 5.5.2.2 测评实施 a) 检查有无提供安全措施保护虚拟镜像文件、系统管理数据、鉴别信息和重要业务数据在存储过 程的完整性，并验证检测到完整性错误时，能否及时采取恢复措施； b) 检 查是否采用加密或其他有效措施实现虚拟机镜像文件、系统管理数据、鉴别信息和重要业务 数据存储保密性； c) 对数据资源进行访问，验证有无提供权限控制措施； d) 用户退出账号后，检查鉴别信息是否被彻底清除干净。 5.5.2.3 结果判

36、定 若产品 同时 符合 a） 、 b） 、 c）和 d），则满足此项要求。 5.5.3 数据迁移 5.5.3.1 测评项 DB21/T 3441 2021 11 数据迁移应满足以下要求： a) 数据迁移过程中应部署监控机制； b) 应保证数据迁移过程中，平台的业务操作能连续运行且不中断； a) 迁移后的数据自动恢复后，系统应能够正常使用。 5.5.3.2 测评实施 a) 检查在数据迁移过程中有无部署监控机制； b) 在数据迁移过程中，对 平台业务进行访问操作，验证其业务应用能否连续运行且不中断； c) 将迁移后的数据进行自动恢复，验证系统是否能正常使用。 5.5.3.3 结果判定 若产品 同时

37、 符合 a） 、 b）和 c），则满足此项要求。 5.5.4 数据隔离 5.5.4.1 测评项 数据隔离应满足以下要求： a) 应提供有效机制保证租户之间有效隔离 ； b) 应提供有效机制保证应用之间有效隔离。 5.5.4.2 测评实施 a) 验证不同用户登录平台时，能否访问其他用户数据； b) 检查在对虚拟资源隔离系统进行配置时，全新应用和已有应用是否进行数据层隔离。 5.5.4.3 结果判定 若产品 同时 符合 5.5.4.2 a）和 b），则满足此项要求。 5.5.5 数据终止 5.5.5.1 测 评项 数据终止应满足以下要求：应提供有效数据销毁机制（例如使用自主可控的数据销毁工具等）保

38、证 彻底清除数据。 5.5.5.2 测评实施 检查数据销毁机制（例如使用自主可控的数据销毁工具等），并验证其能否彻底清除数据。 5.5.5.3 结果判定 若产品符合 5.5.5.2，则满足此项要求。 5.6 业务应用安全 5.6.1 IaaS 模式安全 5.6.1.1 测评项 IaaS模式安全应满足以下要求： a) 应提供有效措施保证云基础设施的安全性； b) 应提供有效机制保证基础共享平台的安全隔离和访问控制。 5.6.1.2 测评实施 a) 检查云基础设施的安全性措施，包括物理安全、网络安全等； DB21/T 3441 2021 12 b) 检查有无提供强大的分区和 防御策略，并实时监控基

39、础 环境 （例如 CPU、 GPU 等） 是否有未经 授权的修改和活动 。 5.6.1.3 结果判定 若产品 同时 符合 5.6.1.2 a）和 b），则满足此项要求。 5.6.2 PaaS 模式安全 5.6.2.1 测评项 PaaS模式安全应满足以下要求： a） 数据库应提供访问控制功能，数据库鉴别信息所在的存储空间在被释放或重新分配前应得到完 全清除； b） 应提供数据有效性检验功能，保证应用接口输入的数据格式或长度符合系统设定要求； c） 应对应用服务的运行状况、网络流量、用户行为等进行监测和报警，并形成记录、妥善保存。 5.6.2.2 测评实施 a) 验证数据库访问控制机制，检查数据库

40、鉴 别信息所在的存储空间在被释放或重新分配前是否完 全清除； b) 检查数据有效性功能机制，验证应用接口输入的数据格式或长度是否符合系统设定要求； c) 检查对应用服务的运行状况、网络流量、用户行为等是否提供运行监测机制和报警机制，并验 证其有效性。 5.6.2.3 结果判定 若产品 同时 符合 5.6.2.2 a） 、 b）和 c），则满足此项要求。 5.6.3 SaaS 模式安全 5.6.3.1 测评项 SaaS应满足以下要求： a） 应保证应用服务中不存在重复用户身份标识； b） 在通信双方建立连接之前，应用服务应利用密码技术进行会话初始化验证； c） 对应用服务重要安全事件应进行审计；

41、 d） 应指定 专门部门负责应用系统的测试验收管理； e） 应委托公正的第三方对应用系统进行安全性测试。 5.6.3.2 测评实施 a) 验证应用服务中是否存在重复用户身份标识； b) 检查在通信双方建立连接之前，应用服务是否利用密码技术进行会话初始化验证； c) 查看应用服务重要安全审计记录； d) 查看安全管理制度，检验是否规定需指定专门部门负责应用系统的测试验收管理； e) 查看应用系统第三方安全检测报告。 5.6.3.3 结果判定 若产品 同时 符合 a） 、 b） 、 c） 、 d）和 e），则满足此项要求。 5.7 灾难恢复测评 5.7.1 管理制度要求 DB21/T 3441 2

42、021 13 5.7.1.1 测评项 管理制度要求应满足以下条件： a) 应建立备份与恢复相关的安 全管理制度，对备份信息的备份方式、备份频度、存储介质和保存 期等进行规范； b) 应根据数据重要性，制定数据的备份和恢复策略，备份策略需指明备份数据的放置场所、文件 命名规则、介质替换频率等。 5.7.1.2 测评实施 查看备份与恢复安全管理制度文档，检验是否符合 5.7.1.1中 a）和 b）项要求。 5.7.1.3 结果判定 若产品符合 5.7.1.2，则满足此项要求。 5.7.2 备份测评 5.7.2.1 测评项 备份应满足以下要求： a) 应提供云计算平台有关数据备份功能； b) 应提供

43、主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性； c) 应采取备份措施保证虚拟机实例文件 的完整性，在虚拟机崩溃后，能恢复到备份点的状态。 5.7.2.2 测评实施 a) 检查云计算平台数据备份措施，并验证其是否有效落实； b) 检查网络拓扑结构，验证是否提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证 系统的高可用性； c) 主动破坏虚拟机实例文件的完整性，并验证其保护措施的有效性；验证在虚拟机崩溃后，能否 恢复到备 份点的状态。 5.7.2.3 结果判定 若产品 同时 符合 5.7.2.2 a） 、 b）和 c），则满足此项要求。 5.7.3 灾难恢复 5.7.

44、3.1 测评项 灾难恢复应满足以下要求： a) 应建立明确、有效的灾难恢复策略； b) 应定期执行恢复程序，检查和测试备份介质的有 效性。 5.7.3.2 测评实施 a) 查看灾难恢复技术方案中，关键技术应用的可行性的验证测试记录和结果； b) 检查定期执行恢复程序的日志记录。 5.7.3.3 结果判定 若产品 同时 符合 5.7.3.2 a）和 b），则满足此项要求。 5.8 安全事件与应急预案 5.8.1 安全事件处置 5.8.1.1 测评项 DB21/T 3441 2021 14 安全事件处理应满足以下要求： a） 应制定安全事件报告和处理管理制度，明确安全事件类型，规定安全事件现场处理、事件报告 和后期恢复的管理职责； b） 应制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置的范围、程度，以及 处理方法等； c） 对上报的安全事件，应分析事件原因、监督事态发展、 采取安全措施，避免类似安全事件的发 生； d） 应提供各种安全事件告警方式及时通知相关人员，告警的方式如 E