ICS35.040 L80 GB 中华人民共和国国家标准 GB/T31168-2014 信息安全技术 云计算服务安全能力要求 Information security technology- Security capability requirements of cloud puting services 2014-09-03发布 2015-04-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T31168-2014 目 次 前言 引言 1范围 1 2规范性引用文件 3术语和定义 4概述 2 4.1云计算安全措施的实施责任 2 4.2云计算安全措施的作用范围 3 4.3安全要求的分类 1 4.4安全要求的表述形式 4.5安全要求的调整 5 4.6安全计划 5 4.7本标准的结构 6 5系统开发与供应链安全 6 5.1策略与规程 6 5.2 资源分配 6 5.3系统生命周期 7 5.4采购过程 7 5.5系统文档 8 5.6安全工程原则 8 5.7 关键性分析 8 5.8外部信息系统服务及相关服务 5.9开发商安全体系架构 5.10 开发过程、标准和工具 5.11 开发商配置管理 10 5.12 开发商安全测试和评估 11 5.13 开发商提供的培训 12 5.14 防篡改 12 5.15 组件真实性 12 5.16不被支持的系统组件 13 5.17供应链保护 13 6系统与通信保护 6.1策略与规程 6.2边界保护 15 6.3传输保密性和完整性 .15 6.4网络中断 16 GB/T31168-2014 6.5 可信路径 16 6.6 密码使用和管理 16 6.7 协同计算设备 16 6.8 移动代码 .16 6.9 会话认证 17 6.10 移动设备的物理连接 17 6.11 恶意代码防护 17 6.12 内存防护 17 6.13 系统虚拟化安全性 18 6.14 网络虚拟化安全性 18 6.15 存储虚拟化安全性 19 7访问控制 19 7.1策略与规程 19 7.2用户标识与鉴别 20 7.3设备标识与鉴别 20 7.4 标识符管理 20 7.5鉴别凭证管理 21 7.6 鉴别凭证 21 7.7密码模块鉴别 22 7.8 账号管理 22 7.9 访问控制的实施 22 7.10 信息流控制 23 7.11最小特权 .24 7.12 未成功的登录尝试 .....24 7.13 系统使用通知 24 7 14 前次访问通知 25 7.15 并发会话控制 25 7.16 会话锁定 25 7.17 未进行标识和鉴别情况下可采取的行动 25 7.18 安全属性 26 7.19 远程访问 26 7.20 无线访问 26 7.21 外部信息系统的使用 27 7.22 信息...
GB/T 31168-2014 信息安全技术 云计算服务安全能力要求.pdf
