国家标准《信息安全技术桌面云安全技术要求》
编制说明
工作简况
任务来源
《信息安全技术桌面云安全技术要求》是中国电子科技集团公司第三十研究所于2015年申请立项的国家标准项目,中国电子科技集团公司第三十研究所,公安部第三研究所,中国电子技术标准化研究院,华为技术有限公司,卫士通信息产业股份有限公司,成都大学,电子科技大学,北京国电通网络技术有限公司,中国信息安全研究院,武汉大学,深圳市深信服电子科技有限公司,湖南麒麟信安科技有限公司等单位共同参与了该标准的起草工作。
主要工作过程
1、2015年3月至7月,进行桌面云安全标准调研论证,完成标准草案初稿;
2、2015年8月,国家标准《信息安全技术桌面云安全技术要求》正式成立标准编写组;
3、2015年10月20日,召开第一次工作组/专家评审会议,讨论标准框架结构、桌面云安全参考架构、分工以及日程等事宜,征求专家意见;
4、2016年3月3日,召开第二次工作组会议,重点讨论标准草案第一版基本要求;
5、2016年4月26日,召开第三次工作组会议,重点讨论标准草案第二版基本要求;
6、2016年7月12日,召开第四次工作组会议,重点讨论标准草案第三版增强要求;
7、2016年10月20日,2016年信安标委第二次会议周申请进入征求意见稿阶段。
8、2016年12月27日,召开征求意见稿专家评审会。
编制原则和主要内容
编制原则
《信息安全技术桌面云安全技术要求》是国内第一个关于桌面云系统安全的标准项目。在云计算的广阔应用前景下,针对传统信息安全技术在云计算模式下具体应用中的挑战,制定相关服务和监管标准,以满足下一代计算办公环境安全需求。
本标准遵从国家标准GB/T 31167-2014《信息安全国家标准—云计算服务安全指南》、GB/T 31168-2014《信息安全国家标准—云计算服务安全能力要求》GB/T 32400-2015《信息安全国家标准—云计算概述和词汇》和《GB/T 32399-2015 信息安全国家标准—云计算参考架构标准规范》等标准规范,按照桌面云系统安全功能的强度划分安全功能要求的级别。安全等级突出安全特性,分为基本级和增强级。与基本级要求相比,增强级中要求有所增加或变更的内容在正文中通过“宋体加粗”来表示。
主要内容
本标准规定了基于虚拟化技术的桌面云系统的安全功能要求,适用于面向于桌面云系统的设计、开发及检测。
本标准中章节的顺序不表示其重要性。根据不同的环境,任何或所有章节中的安全要求都可能是重要的,因此应用本标准的每一个组织宜识别适用的安全要求及其重要性,以及它们对各个业务过程的适用性。另外,本标准的列表没有优先顺序。
主要试验(或验证)的分析、综述报告,技术经济论证,预期的经济效果
目前,云计算技术在各个行业已经逐步进入规模应用的阶段。其中,桌面云是发展最快、部署最广、应用最为成熟的技术之一。桌面云作为云计算模式下的具体应用,应当遵从我国发布的云计算相关的各种国家标准。
2014年,我国发布了云计算的两个基础标准:GB/T 31167-2014《信息安全国家标准—云计算服务安全指南》和GB/T 31168-2014《信息安全国家标准—
云计算服务安全能力要求》。同时,等保规范《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术信息系统安全等级保护云计算安全要求》和其他一系列云计算相关的国家标准也正在制定过程中。这些标准的制定和发布,有力地推动了云计算技术在我国的推广和应用,为政府部门和重点行业采用云计算服务提供安全指导并进行安全管理,指导云服务商建设安全的云计算平台和提供安全的云计算服务。
但同时,桌面云系统作为云计算的具体应用,国际、国内目前还缺乏相关标准来对其进行正式的规范和约束,特别是近年来桌面云产业面临的安全问题也越来越得到重视。因此,及早开展桌面云系统安全标准的制定工作是十分迫切和必要的。
在从桌面云的技术、使用等方面的考虑,侧重分析IaaS和桌面应用的新风险。相对于传统服务,IaaS利用虚拟化技术,实现了资源整合和动态调度,但也引入了虚拟化、数据和管理的新风险;桌面云应用则利用IaaS提供的基础设施,通过桌面云管理系统,自动为用户分配虚拟桌面,并利用云终端实现虚拟桌面显示和信息输入,其在桌面传输、接入认证和云终端中也带来新的安全隐患。
因此,从终端、接入、传输、数据、虚拟化和运行管理等六个维度,进行了风险分析,并从再现难度和风险影响两个方面将风险分级,具体分析如下表所示:
表1 桌面云风险分析
风险类别
风险名称
描述
再现难度
风险等级
终端
终端非法接入
终端未经授权,非法接入云计算环境
★★★☆☆
★★☆☆☆
终端配置管理风险
大
国家标准《信息安全技术桌面云安全技术要求》 来自淘豆网m.daumloan.com转载请标明出处.
