2020年度通信网络安全防护符合性评测表－公有云服务.xlsVIP

2020年度通信网络安全防护符合性评测表－公有云服务 填写说明 检查项目 序号 适用范围 检查类型 检查内容 适用网络属性 检查点 备注 答案 答案说明 分析建议 第2级及以上 请选择... 1、本表为通信网络安全防护达标检查表公有云服务部分，适用于公有云服务相关安全防护定级对象的企业安全自查，及主管部门或其他机构开展的安全达标评测。 2、本表相关检查内容依据《YD/T 3157-2016 公有云服务安全防护要求》、《YD/T 3158-2016 公有云服务安全防护检测要求》及《YD/T 2669-2013 第三方安全服务能力评定准则》制定。 3、本表由相关定级对象的所属单位填写，每个定级对象填写一份。 4、本表填写状态及达标情况部分相关内容为自动生成。当“未完成项数量”数值不为0时，表示本表中还有检查项目未完成。 5、本表检查项目部分“检查结果”应根据各检查点内容及要求，按照定级对象相关实际情况下拉选择相应的选项（是、否、不适用），需对相关情况补充说明的可在检查结果选项下方的对话框中填写说明信息。 公有云服务-数据安全 23-01-01-01-01 数据产生 公有云服务 应具有数据敏感度的界定标准 数据产生时，应根据数据的敏感度进行分类 第2级及以上 数据传输 应采用技术措施保证鉴别信息（指用于鉴定用户身份是否合法的信息，如用户登录各种业务系 统的账号和密码、服务密码等）传输的保密性。 应支持用户实现对关键业务数据和管理数据传输的保密性 应能够检测到数据在传输过程中完整性受到破坏。 数据存储 应采用加密技术或其他保护措施实现鉴别信息的存储保密性 应支持用户实现对关键业务数据和管理数据的存储保密性。 应支持用户对密码算法、强度和方式等参数的可选配置。 应能够检测到数据在存储过程中完整性受到破坏。 应提供有效的磁盘保护方法或数据碎片化存储等措施，保证即使磁盘被窃取，非法用户也无法 从磁盘中获取有效的用户数据 第3级及以上 应能够检测到数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施 应支持用户选择第三方加密及密钥管理机制对用户关键数据进行加密 数据使用 应对数据的使用进行授权和验证 应对敏感数据的使用进行审计，并形成审计日志 数据迁移 应进行数据迁移前的网络安全能力评估，保证数据迁移的安全实施 应保证数据在不同虚拟机之间迁移不影响业务应用的连续性 数据迁移中应做好数据备份以及恢复相关工作 第3级及以上 数据迁移准备应制定迁移方案，并进行迁移方案可行性评估 与风险评估，确定制定数据迁移风险控制措施 数据销毁 应能够提供手段协助清除因数据在不同云平台间迁移、业务终止、自然灾害、合同终止等遗留的数据，对日志的留存期限应符合国家有关规定 应提供手段清除数据的所有副本 应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除 应确保文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完 全清除。 应提供手段禁止被销毁数据的恢复。 备份和恢复 应提供数据本地备份与恢复功能，全量数据备份至少每周一次，增量 备份至少每天一次；或提供多副本备份机制。 应建立异地灾难备份中心，配备灾难恢复所需的通信线路、 网络设备和数据处理设备等 第2级及以上 第3级及以上 公有云服务-应用安全 身份鉴别 应采用一种或一种以上组合的鉴别技术来进行身份鉴别 第3级及以上 应采用两种或两种以上组合的鉴别技术来进行身份鉴别 应具备防范暴力破解等攻击的能力 第2级及以上 访问控制 应严格限制用户的访问权限，按安全策略要求控制用户对应用程序及开发环境等的访问 应严格限制应用与应用之间相互调用的权限，按照安全策略要求控制应用程序对其他应用程序 里用户数据或特权指令等资源的调用 安全审计 审计范围应覆盖到用户在应用程序及开发环境中的关键操作、重要行为、业务资源使用情况等重要事件 应对审计记录进行保护，有效期内避免受到非授权的访问、篡改、覆盖或删除 应定期针对审计日志进行人工审计 应支持按用户需求提供与其相关的审计信息及审计分析报告 应具备对审计记录数据进行统计、查询、分析及生成审计报表的功能 应具备自动化审计功能，监控明显异常操作 应能汇聚服务范围内的审计数据，支持第三方审计 资源控制 应限制对应用访问的最大并发会话连接数等资源配额 应提供资源控制不当的报警及响应。 应在会话处于非活跃一定时间或会话结束后终止会话连接 公有云服务-网络安全 网络拓扑结构安全 应绘制与当前运行情况相符的网络拓扑结构图 应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要 应保证接入网络和核心网络的带宽满足业务高峰期需要 应根据云服务的类型、功能及服务租户的不同划分不同的子