安全计算环境-身份鉴别

当远程管理云计算平台中设备时，管理终端和云计算平台之间应建立双向身份验证机制；

远程管理云计算平台中的设备时，双向身份验证机制确保了管理终端和对端服务器的真实性，有效防止了重放攻击和DoS攻击,大大提高了云计算平台和终端设备连接的安全性。        

该条款适用于云计算平台和云服务客户系统。当云服务商或云服务客户进行远程设备管理时，应在管理终端和云计算平台边界控制器（或接入网关）之间基于双向身份验证机制建立合法、有效的连接。

安全计算环境-访问控制

a）应保证当虚拟机迁移时，访问控制策略随其迁移；

b）应允许云服务客户设置不同虚拟机之间的访问控制策略。

该控制点下的全部条款均适用于云计算平台。        

条款 a）关注虚拟机在同一云计算平台内进行迁移的场景。为保障迁移前后云服务客户系统安全策略的一致性，云计算平台应默认采取措施保证以下两点：虚拟机迁移时其原有的访问控制策略同步迁移；采取加密等措施保证虚拟机在迁移过程中不被非法访问（如迁移过程中被非法读取、修改数据或植入恶意代码）。        

对于条款b）,云计算平台应能够在平台层面对非授权的虚拟机创建、删除等行为进行检测，并在检测到此类非法动作时进行告警提示。

安全计算环境-入侵防范

a）应能检测虚拟机之间的资源隔离失效，并进行告警；

b）应能检测非授权新建虚拟机或者重新启用虚拟机，并进行告警；

c）应能够检测恶意代码感染及在虚拟机间蔓延的情况，并进行告警。

  本控制点下的条款a）和条款b）适用于云计算平台，条款c）同时适用于云计算平台和云服务客户系统。        

对于条款a），云计算平台基于虚拟化技术为云服务客户提供计算资源，不同的虚拟机之间默认资源逻辑隔离，包括 CPU、内存、内部网络、磁盘 I/O 和用户数据隔离。因此，云计算平台应对虚拟机间的资源隔离情况进行实时监控，并在检测到异常时进行告警，从而降低虚拟机出现异常的风险。        

对于条款b）,云计算平台应能够在平台层面对非授权的虚拟机创建、删除等行为进行检测，并在检测到此类非法动作时进行告警。        

对于条款c），云服务客户系统侧重于检测虚拟机个体的恶意代码感染情况，以及恶意代码在云服务客户管理的虚拟机之间蔓延的情况；云计算平台侧重于检测恶意代码在不同云服务客户系统之间的蔓延情况。

安全计算环境-镜像和快照保护

a）应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务；

b）应提供虚拟机镜像、快照完整性校验功能，防止虚拟机镜像被恶意篡改；

c）应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。

该控制点下的三个条款均适用于云计算平台。        

条款 a）中要求的加固包括但不限于：及时升级；删除账户；关闭不必要的端口、协议和服务；启用安全审计功能等。通过安全加固，可提升虚拟机自身的安全性。考虑到操作系统镜像的适应性，云计算平台只能对镜像进行基本的加固，而对于账号安全和访问控制等与业务应用紧密相关的安全策略或参数设置，则需要云服务客户参考业内最佳实践并结合业务需求进行深度加固。        

条款b）虚拟机镜像、快照无论是在静止状态还是在运行状态，都存在被恶意篡改、恶意代码植入或安全合规配置被更改的安全风险，因此，必须提供完整性校验功能（如基于散列函数的完整性校验）来保证虚拟机镜像、快照的完整性。                

条款c）采取密码技术对虚拟机镜像、快照进行加密,可有效地保证存在于镜像快照中的敏感资源的安全性。此外，通过访问控制的方式限制云服务用户对虚拟机镜像快照的非法访问，也可以保护敏感数据的安全性。

安全计算环境-数据完整性和保密性

a）应确保云服务客户数据、用户个人信息等存储于中国境内，如需出境应遵循国家相关规定；

b）应确保只有在云服务客户授权下，云服务商或第三方才具有云服务客户数据的管理权限；

c）应使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性，并在检测到完整性受到破坏时采取必要的恢复措施；

d）应支持云服务客户部署密钥管理解决方案，保证云服务客户自行实现数据的加解密过程；

 条款a）适用于云计算平台和云服务客户系统，条款b）、条款c）、条款 d）适用于云计算平台。         对于条款 a）云服务客户应重点关注在中国境内运营中收集和产生的个人信息和重要业务数据，应保证这些数据（含备份）存储在中国境内的基础设备/设施中。特殊情况下确需出境的（如境外分支机构业务需要），应遵循国家相关规定，包括《中华人民共和国网络安全法》、《网络安全审查办法》和《个人信息和重要数据出境安全评估办法》等。对于云计算平台，该条款在云计算基础设施和运维地点相关安全要求基础上，进一步强调了收集的个人信息和客户数据必须在中国境内存储，出境必须遵循国家相关规定。

对于条款b）默认情况下，云服务商或第三方无权访问和管理云服务客户的数据。如确需云服务商或第三方代为进行数据处理的（如购买代运维服务），必须由云服务客户进行显式授权（如商业合同或授权邮件）。        

对于条款c)云服务商应采用校验技术或密码技术，结合云计算平台的资源管理和监控机制，保证虚拟机迁移过程中重要数据的完整性，防止迁移过程中虚拟机被非法篡改或发生数据泄露，在检测到数据完整性受到破坏时采取必要的恢复措施。        

对于条款d)在云计算环境中，数据的所有权属于云服务客户，数据却保存在云服务商控制的存储资源上。为保护云服务客户数据的机密性，云服务商应为云服务客户提供密钥管理服务或开放接口，允许云服务客户自行部署第三方密钥解决方案，支持云服务客户自行对其数据进行加解密。

安全计算环境-数据备份恢复

a）云服务客户应在本地保存其业务数据的备份；

b）应提供查询云服务客户数据及备份存储位置的能力；

c）云服务商的云存储服务应保证云服务客户数据存在若干个可用的副本，各副本之间的内容应保持一致；

d）应为云服务客户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段，并协助完成迁移过程；

条款a）适用于云服务客户系统，条款b）、条款c）、条款 d）适用于云计算平台。        

对于条款a)为防范极端情况下云上数据发生损害，云服务客户应将其业务数据在本地进行备份。与之相对应，云计算平台应满足条款d）的要求，为云服务客户本地备份业务数据提供技术手段和必要的协助。        

对于条款b）云计算平台通常以虚拟资源的方式提供存储类服务，云服务客户无法直观感知或掌握其数据及其备份的存储位置。为保障云服务客户的知情权，云服务商应为云服务客户提供数据存储及备份位置的查询能力。        

对于条款c）为确保数据的完整性和可用性，云服务商应为云服务客户提供数据多副本存储服务，并对多副本的完整性进行检测，确保各副本间内容的一致性。

安全计算环境-剩余信息保护

a）应保证虚拟机所使用的内存和存储空间回收时得到完全清除；

b）云服务客户删除业务应用数据时，云计算平台应将云存储中所有副本删除

条款a）和条款b）适用于云计算平台，主要是针对云服务商对云服务客户剩余信息清除机制的要求。        

在云计算环境中，存储客户数据的存储介质由云计算平台管理，云服务客户不能直接管理和控制存储介质。当云服务客户需要删除其使用的内容、存储空间及业务数据时，云计算平台应保证存储空间回收时得到完全清除，并保证业务数据的所有副本被彻底清除。

安全管理中心-集中管控

a）应能对物理资源和虚拟资源按照策略做统一管理调度与分配；

b）应保证云计算平台管理流量与云服务客户业务流量分离；

c）应根据云服务商和云服务客户的职责划分，收集各自控制部分的审计数据并实现各自的集中审计；

d）应根据云服务商和云服务客户的职责划分，实现各自控制部分，包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测；

条款a）适用于云计算平台。云计算平台的资源调度主要包括虚拟机资源动态调整与分配和虚拟机迁移。虚拟机资源动态调整与分配的必要条件是实时、准确地对资源进行监控，如通过虚拟机管理器对物理资源和虚拟资源的监控和调度。对物理资源缺少监控可能导致对物理资源的滥用、抵赖，对虚拟资源缺少监控可能导致虚拟资源产生非法访问、数据泄露的风险。因此，对物理资源、虚拟资源进行实时监控和管理，进行统一调度与分配，不仅能够提高资源利用率，还能够降低资源被非法访问或利用的风险。

条款b）适用于云计算平台。对于条款b），云计算平台管理流量与云服务客户业务流量承载的数据性质不一样，如敏感度、用途等，其安全防护要求自然也不一样。两种流量如果混杂在一起通过网络传输，则不仅很难实现针对性安全防护，还会导致云计算平台内部管理、数据防护形同虚设。通过带外管理或策略配置的方式将管理流量和业务流量分开为管理流量建立专属的通道,在这个通道中只传输管理流量,使管理流量与业务流量分离可以提高网络管理的效率与可靠性，有利于提升管理流量的安全性。

条款c）和条款d）同时适用于云计算平台和云服务客户系统。        

对于条款c）云服务商和云服务客户应基于云安全责任划分各自收集审计工作所需的数据，并对审计数据进行集中审计，实现云计算平台全面的信息审计，满足云计算环境下合规性、业务连续性、数据安全性等方面的审计要求，有效控制审计数据在云中面临的风险。云服务商应允许云服务客户部署审计系统或开放相应的接口，保证云服务客户能够对自己职责范围内的审计数据进行集中收集、分析。        

对于条款d）为便于云服务商和云服务客户及时掌控系统运行情况，云服务商和云服务客户应根据安全职责划分，对各自控制部分（包括虚拟化网络、虚拟机、虚拟化安全设备等）的资源运行情况进行集中监测，设置警戒线进行告警并做出及时的响应、处置。

安全建设管理-云服务商选择

a）应选择安全合规的云服务商，其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力；

b）应在服务水平协议中规定云服务的各项服务内容和具体技术指标；

c）应在服务水平协议中规定云服务商的权限与责任，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等；

d）应在服务水平协议中规定服务合约到期时，完整提供云服务客户数据，并承诺相关数据在云计算平台上清除；

e）应与选定的云服务商签署保密协议，要求其不得泄露云服务客户数据。

该控制点是针对云服务客户提出的安全要求，全部条款仅适用于云服务客户系统。        

条款a）与“安全通信网络-网络架构-条款a）应保证网络设备的业务处理能力满足业务高峰期需要”相呼应。条款a）要求云服务客户在迁移上云前应确认以下事项：        

（1）云计算平台通过网络安全等级测评，测评结论为“优”最佳；        

（2）云计算平台应能够为其业务应用系统提供相应等级的安全防护能力；        

条款b）、条款c）、条款 d）主要为云服务客户应与云服务商签订 SLA 服务，协议内容应包括云服务客户需要的云服务及服务涉及的各类术语、技术指标；同时，协议中应规范云服务商的权限与责任，包括范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。此外，协议中应规定服务合约到期时，云服务商要完整地提交云服务客户的所有数据，并与云服务客户签订相关的承诺，保证将云服务客户的所有数据完全清除。        

对于条款e），云服务客户应与云服务商签署保密协议，保密协议中应明确要求云服务商不得以任何理由泄露云服务客户的数据。      

安全建设管理-供应链管理

a）应确保供应商的选择符合国家有关规定；

b）应将供应链安全事件信息或安全威胁信息及时传达到云服务客户；

c）应将供应商的重要变更及时传达到云服务客户，并评估变更带来的安全风险，采取措施对风险进行控制；

该控制点是针对云计算平台提出的安全要求，全部条款仅适用于云计算平台。对云服务客户来说，其对云服务商及第三方安全产品供应商的选择应满足“安全通用要求-安全建设管理-云服务商选择”的条款。        

对于条款a）云服务商在选择安全服务供应商时，应充分考虑国家法律、法规、行业规范等的要求，以保证云计算安全服务的持续性和合规性。例如，《商用密码管理条例》规定，商用密码产品发生故障，必须由国家密码管理机构指定的单位维修。        

对于条款b）云服务商应定期向云服务客户通报安全事件及安全威胁信息，特别是有可能影响服务正常提供或涉及敏感信息泄露的事件或信息，便于云服务客户采取相应的应对措施。        

对于条款c）如果云计算平台的供应商发生重大变更，有可能对云服务客户造成不良影响，云服务商应及时告知云服务客户，并基于风险评估结果采取针对性的控制措施。

安全运维管理-云计算环境管理

a）云计算平台的运维地点应位于中国境内，境外对境内云计算平台实施运维操作应遵循国家相关规定。

该条款适用于云计算平台，要求运维地点原则上应位于中国境内。确因业务需求需要从境外对境内的云计算平台实施运维操作的，应满足以下国家相关法律法规的要求：《中华人民共和国网络安全法》、《网络安全审查办法》和《个人信息和重要数据出境安全评估办法》等。