质量为本、客户为根、勇于拼搏、务实创新
前言
中国通信标准化协会发布通标协[2024]104号文件,T/CCSA 509-2024《云计算服务安全要求 第1部分:通用安全要求》团体标准经技术管理委员会审核通过,于2024年4月1日正式发布,6月1日起实施。
一、标准解读
标准范围
T/CCSA 509-2024《云计算服务安全要求 第1部分:通用安全要求》规定了云计算服务的安全能力基本要求,提出了云服务产品安全功能的设计原则,适用于云服务商对云服务产品安全功能的设计、实施和评估。
能力要求
标准规范了云服务安全的功能设计,覆盖用户使用云服务过程中的关键要素和环节,即访问主体、访问客体(云服务、数据)以及访问主体和访问客体间的行为活动,包括:
访问控制:云服务根据访问主体、客体或行为活动的特征对访问主体的行为活动加以限制的安全功能;
身份鉴别:云服务根据访问主体的身份标识进行鉴别,确保访问主体能以预先授予的权限访问云服务的安全功能;
安全审计:云服务对访问、操作等行为活动进行记录和异常检测,进行事中告警和事后追溯的安全功能;
数据保护:云服务对在其中存储和传输的数据进行机密性、完整性等方面保护的安全功能;
安全运行:云服务通过利用云计算平台的基础防护能力以保障云服务自身安全性的安全功能;
安全策略管理:云服务对自身的安全设置和安全属性进行管理、并向第三方厂商开放管理接口的安全功能。
二、标准相关评估
云服务安全能力评估依据T/CCSA 509-2024《云计算服务安全要求 第1部分:通用安全要求》标准,从云服务用户角度对相关服务的安全状况进行技术测试和文档审查,包括:
云主机安全评估:基于标准针对云主机自身安全性进行技术测试,包括功能测试、渗透测试、基线检查等34个测试项;对平台侧安全功能开展技术测试和文档审查,包括云平台基础安全能力和云服务安全能力。
PaaS安全评估:针对云服务平台和中间件等平台类云服务的安全状况进行技术测试和文档审查,包括云平台基础安全能力和云服务安全能力,覆盖云数据库、负载均衡、开发工具、云容器等云服务。
IaaS(非云主机)安全评估:针对云服务平台及基础设施云服务的安全状况进行技术测试和文档审查,包括云平台基础安全能力和云服务安全能力,覆盖裸金属、块存储、GPU云主机等云服务。
注:评估目前已陆续开展十五批次,共20余家企业和产品通过评估。
三、云安全相关工作
数字经济时代,云计算成为各行业数字化转型的核心驱动力,随着企业上云用云逐步深入,云上安全威胁愈发严峻,云安全能力成为保障企业业务生存发展的重要基石。
《云安全发展研究报告(2024)》旨在梳理各行业云安全建设的新风险、新诉求、新应用,探索云安全技术的新趋势,为剖析云安全产业发展提供参考依据。
业务联系人
联系人:王睿宁
17310070339
wangruining@caict.ac.cn