云安全審計(jì)
云安全審計(jì)
云計(jì)算作為一種新興的計(jì)算資源利用方式逐漸被各行業(yè)所接受和部署。采用了云計(jì)算技術(shù)的信息系統(tǒng),稱為云計(jì)算平臺(tái)(系統(tǒng))。云計(jì)算平臺(tái)由設(shè)施、硬件、資源抽象控制層、虛擬化計(jì)算資源、軟件平臺(tái)和應(yīng)用軟件等組成。軟件即服務(wù)(SaaS)、平臺(tái)即服務(wù)(PaaS)、基礎(chǔ)設(shè)施即服務(wù)(IaaS)是三種基本的云計(jì)算服務(wù)模式。在不同的服務(wù)模式中,云服務(wù)商和云服務(wù)客戶對(duì)計(jì)算資源擁有不同的控制范圍,控制范圍則決定了安全責(zé)任的邊界。
由于云服務(wù)平臺(tái)建設(shè)的復(fù)雜性以及傳統(tǒng)信息系統(tǒng)安全和云計(jì)算自身技術(shù)特點(diǎn)所引發(fā)的新的信息安全和風(fēng)險(xiǎn),與傳統(tǒng)信息系統(tǒng)安全審計(jì)相比,對(duì)于云服務(wù)平臺(tái)的安全審計(jì)有其自身的特點(diǎn)。本節(jié)將從云服務(wù)規(guī)劃與需求分析、供應(yīng)商選擇與合同簽署、云服務(wù)平臺(tái)開發(fā)測試與交付、云計(jì)算平臺(tái)的安全管理、云計(jì)算平臺(tái)的遷移與部署、云計(jì)算平臺(tái)的安全運(yùn)維、云計(jì)算服務(wù)關(guān)閉與數(shù)據(jù)遷移等方面對(duì)云安全審計(jì)的方法與步驟進(jìn)行描述。
一、云服務(wù)規(guī)劃與需求分析審計(jì)
(一)業(yè)務(wù)概述
在規(guī)劃與需求分析階段,組織應(yīng)根據(jù)自身的經(jīng)營戰(zhàn)略與規(guī)劃,通過對(duì)組織資產(chǎn)、云服務(wù)平臺(tái)功能性、非功能性和安全性等四個(gè)方面的需求分析,以及云服務(wù)的效益評(píng)估,綜合評(píng)判部署云計(jì)算服務(wù)平臺(tái)的合理性及其建設(shè)模式,并最終形成決策報(bào)告。
(二)審計(jì)目標(biāo)和內(nèi)容
1.云服務(wù)綜合評(píng)估
該控制項(xiàng)旨在檢查組織在部署云計(jì)算服務(wù)平臺(tái)前,是否綜合評(píng)估采用云計(jì)算服務(wù)后獲得的效益(經(jīng)濟(jì)效益和社會(huì)效益)、可能面臨的信息安全風(fēng)險(xiǎn)、可以采取的安全措施后做出決策,從而判斷組織是否可在其可承受、容忍的風(fēng)險(xiǎn)范圍內(nèi),或在當(dāng)安全風(fēng)險(xiǎn)引發(fā)信息安全事件時(shí)有適當(dāng)?shù)目刂苹蜓a(bǔ)救措施而采用云計(jì)算服務(wù)。
2.決策建議與審批
該控制項(xiàng)旨在檢查組織在部署云服務(wù)平臺(tái)時(shí),是否在基于服務(wù)綜合評(píng)估的基礎(chǔ)之上,對(duì)其進(jìn)行綜合分析形成采用云計(jì)算服務(wù)的決策報(bào)告,并經(jīng)本單位最高領(lǐng)導(dǎo)批準(zhǔn),從而成為指導(dǎo)采用云計(jì)算服務(wù)的重要依據(jù)。
(三)常見問題和風(fēng)險(xiǎn)
1.云平臺(tái)規(guī)劃與建設(shè)時(shí)未充分考慮部署模式、服務(wù)模式對(duì)于經(jīng)濟(jì)效益、功能性需求、現(xiàn)有資源利用、現(xiàn)有流程的影響,導(dǎo)致項(xiàng)目建設(shè)與預(yù)期差距較大,經(jīng)濟(jì)效益較差。
2.云平臺(tái)規(guī)劃與建設(shè)時(shí)未充分考慮數(shù)據(jù)安全和整體安全防護(hù),導(dǎo)致云平臺(tái)安全管控能力不足,容易造成數(shù)據(jù)泄露或安全風(fēng)險(xiǎn)。
3.云平臺(tái)建設(shè)缺乏嚴(yán)格的審批程度,導(dǎo)致需求模糊、邊界不清晰、性能不滿足預(yù)期要求,嚴(yán)重影響云平臺(tái)的交付和使用。
(四)審計(jì)的主要方法和程序
1.云服務(wù)綜合評(píng)估
(1)查閱組織項(xiàng)目建設(shè)的相關(guān)制度規(guī)范,了解涉及科技項(xiàng)目建設(shè)的評(píng)價(jià)指標(biāo)和流程。
(2)檢查組織是否對(duì)業(yè)務(wù)進(jìn)行識(shí)別并進(jìn)行優(yōu)先級(jí)劃分,并訪談關(guān)鍵業(yè)務(wù)部門負(fù)責(zé)人,了解關(guān)鍵業(yè)務(wù)特點(diǎn)、資源需求、時(shí)延、連續(xù)性以及安全保護(hù)的要求。
(3)訪談信息科技建設(shè)負(fù)責(zé)人,了解組織在規(guī)劃建設(shè)云服務(wù)平臺(tái)項(xiàng)目時(shí)是否基于部署模式(公有云、私有云和混合云)、服務(wù)模式(IaaS、PaaS、SaaS)對(duì)經(jīng)濟(jì)效益、功能性需求、非功能性需求、安全需求、現(xiàn)有資源利用/需求情況、現(xiàn)有信息系統(tǒng)管理流程是否受到影響等方面進(jìn)行綜合評(píng)估,以及評(píng)估、審批的流程,參與人員,并調(diào)閱項(xiàng)目建設(shè)的立項(xiàng)文檔,從而判斷效益評(píng)估的合理性、科學(xué)性以及合規(guī)性,其中,效益評(píng)估應(yīng)至少包括建設(shè)成本、運(yùn)維成本、人力成本、創(chuàng)新性以及對(duì)業(yè)務(wù)性能和質(zhì)量帶來的優(yōu)勢。
(4)檢查組織與數(shù)據(jù)管理相關(guān)的規(guī)章制度,了解組織是否明確數(shù)據(jù)類型,并查看數(shù)據(jù)存放的位置,從而判斷云平臺(tái)數(shù)據(jù)是否涉及敏感信息以及數(shù)據(jù)存儲(chǔ)的合規(guī)性。
(5)訪談云服務(wù)平臺(tái)負(fù)責(zé)人,了解現(xiàn)有的云部署模式和服務(wù)模式,并詢問其對(duì)在該模式下的安全風(fēng)險(xiǎn)和平臺(tái)運(yùn)營者所應(yīng)承擔(dān)的安全責(zé)任知曉情況及其采取的常規(guī)安全防護(hù)措施、平臺(tái)可移植和互操作性,從而判斷現(xiàn)有云服務(wù)平臺(tái)對(duì)業(yè)務(wù)的安全風(fēng)險(xiǎn)承受能力。
(6)檢查組織是否對(duì)其資產(chǎn)進(jìn)行識(shí)別和歸屬分析,從而明確其部署的軟件所有權(quán)/使用權(quán),數(shù)據(jù)資產(chǎn)的歸屬權(quán)。
2.決策建議與審批
(1)查閱云計(jì)算服務(wù)平臺(tái)建設(shè)項(xiàng)目的決策報(bào)告,檢查是否包括:背景描述,描述擬采用云計(jì)算服務(wù)的信息和業(yè)務(wù);效益分析,從場地、人員、設(shè)備、軟件、運(yùn)行管理、維護(hù)升級(jí)、能耗等方面,對(duì)采用本地應(yīng)用與云計(jì)算服務(wù)所需費(fèi)用進(jìn)行綜合分析;云計(jì)算服務(wù)模式、部署模式選擇,從而明確客戶與云服務(wù)商的安全措施、實(shí)施邊界和管理邊界;數(shù)據(jù)和業(yè)務(wù)部署到云計(jì)算環(huán)境后可能遇到的功能需求分析,不同模式下的資源需求分析,數(shù)據(jù)的備份與數(shù)據(jù)的傳輸方式和網(wǎng)絡(luò)帶寬要求等;擬部署到云服務(wù)平臺(tái)中數(shù)據(jù)或系統(tǒng)的可用性、可靠性、恢復(fù)能力、事務(wù)響應(yīng)時(shí)間、吞吐率等指標(biāo);基于對(duì)擬部署到云計(jì)算平臺(tái)的信息和業(yè)務(wù)的安全能力要求;將業(yè)務(wù)系統(tǒng)遷移到云計(jì)算平臺(tái)后,為確保業(yè)務(wù)連續(xù)性進(jìn)行的部署方案;退出云計(jì)算服務(wù)或變更云服務(wù)商的初步方案;對(duì)客戶相關(guān)人員進(jìn)行安全意識(shí)、技術(shù)和管理培訓(xùn)的方案;本單位負(fù)責(zé)采用云計(jì)算服務(wù)的領(lǐng)導(dǎo)、工作機(jī)構(gòu)及其責(zé)任;采購和使用云計(jì)算服務(wù)過程中應(yīng)該考慮的其他重要事項(xiàng)。
(2)檢查決策報(bào)告是否經(jīng)過業(yè)務(wù)部門及管理層或?qū)<覉F(tuán)隊(duì)的評(píng)審,以及審批流程是否完整;若存在改進(jìn)建議是否及時(shí)完善從而有效控制風(fēng)險(xiǎn)。
二、供應(yīng)商選擇與合同簽署審計(jì)
(一)業(yè)務(wù)概述
在服務(wù)商選擇與合同部署階段,客戶應(yīng)根據(jù)上階段所提的需求和決策報(bào)告,從服務(wù)能力、服務(wù)風(fēng)險(xiǎn)和服務(wù)費(fèi)用等三個(gè)方面評(píng)估云服務(wù)商的服務(wù)能力,選擇并與其協(xié)商和簽署服務(wù)合同(包括服務(wù)水平協(xié)議、安全需求、保密要求等內(nèi)容),從而完成云服務(wù)平臺(tái)的開發(fā)、建設(shè)、測試以及數(shù)據(jù)和業(yè)務(wù)向云計(jì)算平臺(tái)的遷移與部署。
(二)審計(jì)目標(biāo)和內(nèi)容
1.云服務(wù)安全風(fēng)險(xiǎn)評(píng)估
該控制項(xiàng)旨在重點(diǎn)檢查組織是否從數(shù)據(jù)安全與存儲(chǔ)合規(guī)角度,結(jié)合自身對(duì)部署云服務(wù)平臺(tái)后可能產(chǎn)生風(fēng)險(xiǎn)的容忍度和處置能力進(jìn)行評(píng)估,并作為云服務(wù)商選擇和評(píng)估的參考依據(jù)。
2.服務(wù)安全能力評(píng)估
該控制項(xiàng)旨在檢查組織在選擇第三方云服務(wù)平臺(tái)時(shí),是否對(duì)其基本的服務(wù)安全能力進(jìn)行評(píng)估。
3.云安全控制措施責(zé)任的識(shí)別
該控制項(xiàng)旨在檢查組織是否基于所選擇的云服務(wù)部署模式,明確與服務(wù)提供方的責(zé)任。
4.云服務(wù)合同及保密協(xié)議簽署
該控制項(xiàng)旨在檢查組織在選擇第三方云服務(wù)商時(shí),是否與其簽署服務(wù)合同,并檢查其內(nèi)容是否包含明確的服務(wù)水平協(xié)議、安全需求、保密要求等關(guān)鍵內(nèi)容,從而保障組織的權(quán)益。
(三)常見問題和風(fēng)險(xiǎn)
1.組織沒有對(duì)云環(huán)境下其數(shù)據(jù)所有權(quán)的保障能力進(jìn)行風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)。
2.組織沒有根據(jù)采用的服務(wù)模式(IaaS、PaaS、SaaS),明確云服務(wù)提供商與自身所承擔(dān)安全責(zé)任的風(fēng)險(xiǎn),以及沒有能力采取相應(yīng)的控制措施所產(chǎn)生的風(fēng)險(xiǎn)。
3.組織所選擇的云服務(wù)商自身安全風(fēng)險(xiǎn)管控體系不完善,自身的安全評(píng)估不足,導(dǎo)致存在較大風(fēng)險(xiǎn)隱患。
4.云服務(wù)商第三方機(jī)構(gòu)審計(jì)不到位,無法對(duì)云服務(wù)商的風(fēng)險(xiǎn)進(jìn)行識(shí)別與監(jiān)督。
5.云服務(wù)商安全與應(yīng)急響應(yīng)機(jī)制不健全,導(dǎo)致發(fā)生安全事件無法及時(shí)進(jìn)行處置。
(四)審計(jì)的主要方法和程序
1.云服務(wù)安全風(fēng)險(xiǎn)評(píng)估
(1)檢查云服務(wù)平臺(tái)存儲(chǔ)的生產(chǎn)經(jīng)營數(shù)據(jù)是否屬于國家規(guī)定的重要數(shù)據(jù)范疇,從而判斷組織是否存在可能的數(shù)據(jù)管轄風(fēng)險(xiǎn)。(數(shù)據(jù)管轄風(fēng)險(xiǎn))
(2)檢查組織是否對(duì)其數(shù)據(jù)所有權(quán)的保障能力進(jìn)行風(fēng)險(xiǎn)評(píng)估。(數(shù)據(jù)所有權(quán)保障風(fēng)險(xiǎn))
(3)檢查組織所部署的云服務(wù)平臺(tái)是否提供或具有有效的機(jī)制、標(biāo)準(zhǔn)或工具來驗(yàn)證所刪除的數(shù)據(jù)可否完全刪除,以防止其退出云計(jì)算服務(wù)后組織數(shù)據(jù)仍然可能完整保存或殘留在云計(jì)算平臺(tái)上。(數(shù)據(jù)殘留風(fēng)險(xiǎn)評(píng)估)
(4)評(píng)估是否存在單一云服務(wù)供應(yīng)商的風(fēng)險(xiǎn)。(供應(yīng)商鎖定的風(fēng)險(xiǎn)評(píng)估)
2.服務(wù)安全能力評(píng)估
(1)對(duì)云服務(wù)平臺(tái)所處的機(jī)房物理與環(huán)境保護(hù)能力進(jìn)行檢查或評(píng)估,確保云服務(wù)商機(jī)房位于中國境內(nèi)并符合國家標(biāo)準(zhǔn)規(guī)范,機(jī)房是否采取監(jiān)控措施以確保最低限度的人員物理接觸。
(物理安全,數(shù)據(jù)境內(nèi)存儲(chǔ))
(2)檢查云服務(wù)商或組織自身是否建立風(fēng)險(xiǎn)評(píng)估體系和監(jiān)控目標(biāo)清單,從而確保在威脅環(huán)境發(fā)生變化時(shí),對(duì)云計(jì)算平臺(tái)定期進(jìn)行風(fēng)險(xiǎn)評(píng)估,確保云計(jì)算平臺(tái)的安全風(fēng)險(xiǎn)處于可接受水平,并監(jiān)控目標(biāo)清單,對(duì)目標(biāo)進(jìn)行持續(xù)安全監(jiān)控,在發(fā)生異常和非授權(quán)情況時(shí)發(fā)出警報(bào)。(風(fēng)險(xiǎn)管理,安全監(jiān)控)
(3)檢查云服務(wù)商是否接受云租戶以外的第三方運(yùn)行監(jiān)管,并定期開展云安全審計(jì),并向組織或社會(huì)定期公布安全審計(jì)報(bào)告。(第三方安全監(jiān)管,云安全審計(jì))
(4)檢查云服務(wù)商是否建立針對(duì)云計(jì)算平臺(tái)設(shè)施和軟件維護(hù)所使用有效控制維護(hù)機(jī)制并具備相關(guān)能力,包括制度、工具、技術(shù)、人員及能力。(云安全監(jiān)控)
(5)檢查云服務(wù)商是否提供通用的安全控制措施,以及針對(duì)組織特定的應(yīng)用需要及服務(wù)模式,提供專用的安全控制措施,并制定每個(gè)應(yīng)用或服務(wù)的安全計(jì)劃。(通用安全控制措施,專用安全控制措施)
(6)檢查云服務(wù)商是否提供開放接口或開放性安全服務(wù),允許組織接入第三方安全產(chǎn)品或在云平臺(tái)選擇第三方安全服務(wù),支持異構(gòu)方式對(duì)云租戶的網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)層的安全措施進(jìn)行實(shí)施。(第三方安全產(chǎn)品接入)
(7)檢查云服務(wù)商的云服務(wù)平臺(tái)是否通過安全測試及國家等級(jí)保護(hù)認(rèn)證,以及其供應(yīng)商通過安全測評(píng),從而對(duì)其安全措施的有效性進(jìn)行驗(yàn)證和評(píng)估,并檢查相關(guān)資質(zhì)證書和安全檢測報(bào)告,必要時(shí)須向組織提交供應(yīng)商清單。(安全測試評(píng)估,等保安全測評(píng),產(chǎn)品及服務(wù)安全檢查)
(8)檢查云服務(wù)商是否為云計(jì)算平臺(tái)制定應(yīng)急響應(yīng)計(jì)劃并具備容災(zāi)恢復(fù)能力,建立必要的備份與恢復(fù)設(shè)施和機(jī)制應(yīng)急響應(yīng)與災(zāi)備。(應(yīng)急管理與應(yīng)急處置)
(9)檢查云服務(wù)商的對(duì)外溝通渠道與方式,從而確保其具備在發(fā)生供應(yīng)鏈安全事件信息、威脅信息、重大或緊急變更時(shí)能及時(shí)傳遞給組織。(應(yīng)急溝通)
3.云安全控制措施責(zé)任的識(shí)別
檢查在公有云環(huán)境下,組織是否根據(jù)采用的服務(wù)模式(IaaS、PaaS、SaaS),明確云服務(wù)提供商與自身所承擔(dān)的安全責(zé)任,以及是否有能力采取相應(yīng)的控制措施,如通用安全控制措施、專用安全控制措施和混合安全措施。(安全控制措施)
4.云服務(wù)合同及保密協(xié)議簽署
檢查組織與云服務(wù)商是否簽署服務(wù)合同,以及合同內(nèi)容中是否包括:雙方的安全責(zé)任和義務(wù);客戶方就云計(jì)算服務(wù)的安全功能要求、強(qiáng)度要求、保障要求、保密要求;云服務(wù)商應(yīng)遵從的安全技術(shù)和管理標(biāo)準(zhǔn);服務(wù)級(jí)別協(xié)議(SLA)及具體的參數(shù),并對(duì)涉及術(shù)語、指標(biāo)、管理范圍、職責(zé)劃分、訪問授權(quán)、隱私保護(hù)、行為準(zhǔn)則進(jìn)行確定;約定提供給云服務(wù)商的數(shù)據(jù)、設(shè)備等資源,以及云計(jì)算平臺(tái)上客戶業(yè)務(wù)運(yùn)行過程中收集、產(chǎn)生、存儲(chǔ)的數(shù)據(jù)和文檔等都屬客戶所有,云服務(wù)商應(yīng)保證客戶對(duì)這些資源的訪問、利用、支配等;約定利用云服務(wù)商平臺(tái)或與云服務(wù)商合作開發(fā)創(chuàng)造出成果(軟件、信息和計(jì)算成果)的所有權(quán)、使用權(quán)等歸屬問題;約定云服務(wù)商不得依據(jù)其他國家的法律和司法要求將客戶數(shù)據(jù)及相關(guān)信息提供給他國政府及組織;未經(jīng)客戶授權(quán),不得訪問、修改、披露、利用、轉(zhuǎn)讓、銷毀客戶數(shù)據(jù);在服務(wù)合同終止時(shí),應(yīng)將數(shù)據(jù)、文檔等歸還給客戶,并按要求徹底清除數(shù)據(jù)。如果客戶有明確的留存要求,應(yīng)按要求留存客戶數(shù)據(jù);采取有效管理和技術(shù)措施確??蛻魯?shù)據(jù)和業(yè)務(wù)系統(tǒng)的保密性、完整性和可用性。提供客戶有效的安全監(jiān)管、服務(wù)質(zhì)量下降及應(yīng)急處置的溝通渠道;約定當(dāng)發(fā)生安全事件并造成損失時(shí)對(duì)客戶的經(jīng)濟(jì)賠償;不以持有客戶數(shù)據(jù)相要挾,配合做好客戶數(shù)據(jù)和業(yè)務(wù)的遷移或退出;發(fā)生糾紛時(shí),在雙方約定期限內(nèi)仍應(yīng)保證客戶數(shù)據(jù)安全;合同終止的條件及合同終止后云服務(wù)商應(yīng)履行的責(zé)任和義務(wù);若云計(jì)算平臺(tái)中的業(yè)務(wù)系統(tǒng)與客戶其他業(yè)務(wù)系統(tǒng)之間需要數(shù)據(jù)交互,約定交互方式和接口;云計(jì)算服務(wù)的計(jì)費(fèi)方式、標(biāo)準(zhǔn),客戶的支付方式等;安全審計(jì)的支持與報(bào)告。
檢查組織是否對(duì)可訪問客戶信息或掌握客戶業(yè)務(wù)運(yùn)行信息的云服務(wù)商簽訂保密協(xié)議,以及對(duì)能夠接觸客戶信息或掌握客戶業(yè)務(wù)運(yùn)行信息的云服務(wù)商內(nèi)部員工與其簽訂保密協(xié)議,并作為合同附件,保密協(xié)議應(yīng)至少包括:合規(guī)要求、敏感信息披露、發(fā)現(xiàn)與報(bào)告、保密協(xié)議的有效期。
三、云服務(wù)平臺(tái)開發(fā)測試與交付審計(jì)
(一)業(yè)務(wù)概述
組織部署云服務(wù)平臺(tái)可根據(jù)自身的能力,可選擇自建、二次開發(fā)或完全采購。因此,對(duì)該生命周期的檢查,重點(diǎn)在于檢查組織是否建立完善的開發(fā)、測試和驗(yàn)收的管理流程,從而確保在云服務(wù)平臺(tái)交付后得以穩(wěn)定運(yùn)行。
若組織直接從云服務(wù)商處采購的云服務(wù)不涉及二次開發(fā),則該項(xiàng)審計(jì)內(nèi)容可不予考慮。
(二)審計(jì)目標(biāo)和內(nèi)容
1.云平臺(tái)開發(fā)規(guī)劃
該控制項(xiàng)旨在檢查組織進(jìn)行云服務(wù)平臺(tái)開發(fā)建設(shè)時(shí),是否將開發(fā)測試安全與平臺(tái)安全規(guī)劃納入到整體規(guī)劃建設(shè)方案當(dāng)中,并提前制定平臺(tái)開發(fā)的質(zhì)量管理、變更管理、測試與驗(yàn)收以及開發(fā)全過程安全監(jiān)控等相關(guān)規(guī)范文檔。
2.開發(fā)安全風(fēng)險(xiǎn)管理
該控制項(xiàng)旨在檢查組織進(jìn)行云服務(wù)平臺(tái)開發(fā)建設(shè)時(shí),是否實(shí)施平臺(tái)開發(fā)安全風(fēng)險(xiǎn)管理,并將其集成到系統(tǒng)開發(fā)各生命周期活動(dòng)中。
3.安全測試與培訓(xùn)
該控制項(xiàng)旨在檢查組織在進(jìn)行云服務(wù)平臺(tái)開發(fā)建設(shè)時(shí)是否制定相關(guān)的平臺(tái)測試計(jì)劃和規(guī)程,并對(duì)其進(jìn)行安全測試和平臺(tái)交付前的安全培訓(xùn)。
(三)常見問題和風(fēng)險(xiǎn)
1.云服務(wù)平臺(tái)規(guī)劃與設(shè)計(jì)未同步考慮安全功能需求,導(dǎo)致安全整體保護(hù)能力不足。
2.云上應(yīng)用的相關(guān)安全需求、安全架構(gòu)和安全設(shè)計(jì)規(guī)范缺失,不利于落實(shí)各項(xiàng)安全要求,安全與功能建設(shè)未實(shí)現(xiàn)同步管理。
3.組織的云計(jì)算服務(wù)平臺(tái)由外部服務(wù)商進(jìn)行開發(fā)建設(shè)時(shí),未定義針對(duì)其安全措施有效性的持續(xù)監(jiān)控計(jì)劃,可能導(dǎo)致持續(xù)監(jiān)控失效的風(fēng)險(xiǎn)。
4.云服務(wù)平臺(tái)的安全測試與培訓(xùn)不到位,未發(fā)現(xiàn)潛在的安全漏洞,一旦漏洞被利用,可能造成云平臺(tái)重要數(shù)據(jù)泄露。
(四)審計(jì)的主要方法和程序
1.平臺(tái)開發(fā)規(guī)劃
(1)檢查組織是否制定云服務(wù)平臺(tái)設(shè)計(jì)規(guī)范、安全架構(gòu)以及涉及開發(fā)過程的安全策略與規(guī)程等相關(guān)文檔,其應(yīng)定義各項(xiàng)安全功能、機(jī)制和服務(wù)如何協(xié)同工作,以提供完整一致的保護(hù)能力,并查看其是否定義各階段的信息安全角色及相應(yīng)責(zé)任人。
(2)檢查組織在進(jìn)行云計(jì)算服務(wù)系統(tǒng)開發(fā)時(shí),是否制定安全策略與規(guī)程等相關(guān)文檔,以及是否定義了系統(tǒng)生命周期,(如規(guī)劃階段、設(shè)計(jì)階段、實(shí)施階段、運(yùn)維階段、廢止階段等),并提出各階段信息系統(tǒng)和服務(wù)的安全需求、安全架構(gòu)和安全設(shè)計(jì)規(guī)范,并檢查系統(tǒng)規(guī)劃文檔、系統(tǒng)設(shè)計(jì)說明書。
(3)檢查系統(tǒng)開發(fā)安全策略與規(guī)程等相關(guān)文檔,是否定義了在系統(tǒng)生命周期中使用的系統(tǒng)工程方法、軟件開發(fā)方法、測試技術(shù)和質(zhì)量控制過程,檢查開發(fā)測試文檔、變更文檔。
(4)檢查組織云計(jì)算服務(wù)平臺(tái)由外部服務(wù)商進(jìn)行開發(fā)建設(shè)時(shí),是否定義了針對(duì)其安全措施有效性的持續(xù)監(jiān)控計(jì)劃,并檢查持續(xù)監(jiān)控計(jì)劃的詳細(xì)程度。
(5)檢查系統(tǒng)開發(fā)安全策略與規(guī)程等相關(guān)文檔,是否對(duì)開發(fā)的環(huán)境和預(yù)期運(yùn)行環(huán)境、驗(yàn)收準(zhǔn)則及強(qiáng)制配置要求等進(jìn)行了描述,并檢查云計(jì)算平臺(tái)信息系統(tǒng)、組件或服務(wù)開發(fā)清單中的相應(yīng)管理文檔。
2.開發(fā)安全風(fēng)險(xiǎn)管理
(1)檢查系統(tǒng)開發(fā)安全策略與規(guī)程等相關(guān)文檔,查看其是否有將信息安全風(fēng)險(xiǎn)管理過程集成到系統(tǒng)開發(fā)各生命周期活動(dòng)中的要求,并訪談相關(guān)安全負(fù)責(zé)人,了解風(fēng)險(xiǎn)管理的落實(shí)情況。
(2)訪談相關(guān)安全負(fù)責(zé)人,詢問組織是否對(duì)開發(fā)商說明的系統(tǒng)功能、端口、協(xié)議和服務(wù)進(jìn)行必要的風(fēng)險(xiǎn)評(píng)估,并基于該評(píng)估結(jié)果禁用不必要或高風(fēng)險(xiǎn)的功能、端口、協(xié)議或服務(wù)。
3.安全測試與培訓(xùn)
(1)檢查組織或云服務(wù)平臺(tái)開發(fā)商是否制定測試計(jì)劃與測試規(guī)程等文檔,查看其是否定義了在單元、集成、系統(tǒng)以及回歸測試或評(píng)估時(shí)應(yīng)執(zhí)行的深度和覆蓋面,并檢查云計(jì)算服務(wù)系統(tǒng)的測試報(bào)告及代碼安全審查。
(2)檢查是否對(duì)云服務(wù)平臺(tái)部署前進(jìn)行滲透測試和安全評(píng)估,了解其存在的脆弱性和威脅,并檢查測試和評(píng)估報(bào)告是否出自獨(dú)立第三方。
(3)檢查系統(tǒng)開發(fā)安全策略與規(guī)程等相關(guān)文檔,查看其是否定義了開發(fā)商需提供的有助于正確使用所交付系統(tǒng)或產(chǎn)品中的安全功能、措施和機(jī)制的培訓(xùn),是否要求開發(fā)商提供所定義的培訓(xùn),并檢查相關(guān)培訓(xùn)記錄。
四、云計(jì)算平臺(tái)的安全管理審計(jì)
(一)業(yè)務(wù)概述
是指云計(jì)算平臺(tái)的安全合規(guī)管理,信息安全等級(jí)保護(hù)檢查測評(píng)及其他安全規(guī)范遵循工作。
(二)審計(jì)目標(biāo)和內(nèi)容
1.合規(guī)識(shí)別與制度制定
該控制項(xiàng)旨在檢查組織是否準(zhǔn)確識(shí)別與云計(jì)算相關(guān)的安全合規(guī)要求,如數(shù)據(jù)安全、數(shù)據(jù)存儲(chǔ)等內(nèi)容,同時(shí)制定云服務(wù)平臺(tái)安全管理的規(guī)章制度及安全監(jiān)督指標(biāo)。
2.云服務(wù)安全管理角色及責(zé)任
該控制項(xiàng)旨在檢查組織在其內(nèi)部是否識(shí)別并定義云服務(wù)管理的角色及其安全職責(zé),特別關(guān)注是否涉及與客戶、云服務(wù)提供商共同確定的涉及云計(jì)算服務(wù)的安全職責(zé),同時(shí)檢查職責(zé)設(shè)置的合理性。
3.信息安全等級(jí)保護(hù)落實(shí)檢查
該控制項(xiàng)旨在檢查組織部署的云服務(wù)平臺(tái)是否依據(jù)等保要求定級(jí)備案,并定期開展等保的落實(shí)檢查工作。
4.資源保障
該控制項(xiàng)旨在檢查組織是否為云服務(wù)平臺(tái)的開發(fā)部署和后期運(yùn)行從制度層面提供保證機(jī)制并檢查工作的落實(shí)情況。
(三)常見問題和風(fēng)險(xiǎn)
1.云服務(wù)平臺(tái)安全管理策略與制度不健全,無法有效發(fā)揮安全監(jiān)督作用。
2.云服務(wù)安全管理角色及責(zé)任定義不清晰,無法有效落實(shí)云平臺(tái)安全管控要求。
3.未定期開展信息安全等級(jí)保護(hù)檢查,無法及時(shí)發(fā)現(xiàn)現(xiàn)有控制措施與等保的差距,同時(shí)存在合規(guī)風(fēng)險(xiǎn)。
(四)審計(jì)的主要方法和程序
1.合規(guī)識(shí)別與制度制定
(1)檢查組織是否制定了云服務(wù)平臺(tái)安全管理的規(guī)章制度,查看其內(nèi)容是否至少包括云服務(wù)平臺(tái)的安全制度與策略、安全組織與人員的相關(guān)規(guī)程、評(píng)審和更新信息安全規(guī)章制度的頻率。
(2)訪談系統(tǒng)安全負(fù)責(zé)人、外部服務(wù)提供商、開發(fā)商或客戶等內(nèi)外部相關(guān)人員,詢問傳達(dá)信息安全規(guī)章制度的情況,信息安全規(guī)章制度的評(píng)審和更新的情況,并檢查是否按要求進(jìn)行了信息安全規(guī)章制度的評(píng)審和更新。
(3)檢查組織是否收集和整理相關(guān)的法律、法規(guī)、政策和標(biāo)準(zhǔn)要求,并形成合規(guī)文件清單。
2.云服務(wù)安全管理角色及責(zé)任
(1)調(diào)閱安全組織與人員策略與規(guī)程等相關(guān)文檔,查看是否明確崗位信息安全職責(zé)要求,定義需進(jìn)行分離的關(guān)鍵職責(zé)從而滿足關(guān)鍵職責(zé)分離要求。
(2)訪談系統(tǒng)管理員、賬號(hào)管理員或安全管理員等相關(guān)人員,詢問通過訪問控制措施進(jìn)行職責(zé)分離落實(shí)的情況。
(3)檢查崗位信息安全職責(zé)的相關(guān)文檔,查看其是否有與客戶和云服務(wù)提供商共同確定涉及云計(jì)算服務(wù)的安全職責(zé)。
(4)檢查組織是否對(duì)已確立的責(zé)任,包括組織自身、客戶和云服務(wù)提供商進(jìn)行監(jiān)管與檢查,從而確保安全責(zé)任的落實(shí)。
3.信息安全等級(jí)保護(hù)落實(shí)檢查
(1)檢查組織是否基于已部署的云服務(wù)平臺(tái)上存儲(chǔ)數(shù)據(jù)和運(yùn)行的重要性及受到侵害的程度對(duì)其進(jìn)行等保定級(jí)。
(2)檢查組織是否基于云服務(wù)平臺(tái)的等保級(jí)別定期開展等保落實(shí)檢查工作,并調(diào)閱相關(guān)檢查文檔。
4.資源保障
(1)查閱組織的云服務(wù)管理制度文檔,檢查是否有為云服務(wù)平臺(tái)開發(fā)部署和后期運(yùn)行提供資源保障的承諾描述。
(2)檢查工作計(jì)劃、預(yù)算管理過程文檔,查看是否有為保護(hù)信息系統(tǒng)和服務(wù)提供所需資源(如有關(guān)資金、場地、人力等)的項(xiàng)目。
(3)訪談信息安全負(fù)責(zé)人或系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員,詢問為保護(hù)信息系統(tǒng)和服務(wù)所需資源的落實(shí)情況。
五、云計(jì)算平臺(tái)的遷移與部署審計(jì)
(一)業(yè)務(wù)概述
是指組織根據(jù)自身的安全需求和云計(jì)算服務(wù)的安全能力要求,制定云計(jì)算服務(wù)遷移與部署計(jì)劃并加以實(shí)施,確保數(shù)據(jù)和業(yè)務(wù)可以安全地向云計(jì)算平臺(tái)進(jìn)行遷移與部署。
(二)審計(jì)目標(biāo)和內(nèi)容
1.遷移計(jì)劃
該控制項(xiàng)旨在檢查組織在進(jìn)行云服務(wù)平臺(tái)遷移、部署前是否制定完善的遷移方案并對(duì)遷移過程可能產(chǎn)生的風(fēng)險(xiǎn)進(jìn)行分析并制定應(yīng)對(duì)方案,從而為后期執(zhí)行遷移部署提供保證。
2.平臺(tái)遷移測試與部署
該控制項(xiàng)旨在檢查組織是否依據(jù)已制定的遷移方案進(jìn)行部署前的測試,并在部署完成后進(jìn)行云服務(wù)平臺(tái)的運(yùn)行測試,從而保證云服務(wù)平臺(tái)滿足既定的各項(xiàng)服務(wù)指標(biāo)。
(三)常見問題和風(fēng)險(xiǎn)
1.未制定遷移部署方案或未嚴(yán)格執(zhí)行遷移部署方案,導(dǎo)致遷移失敗或遷移過程中業(yè)務(wù)中斷和數(shù)據(jù)丟失。
2.未開展針對(duì)遷移部署過程的風(fēng)險(xiǎn)分析,無法根據(jù)識(shí)別出的風(fēng)險(xiǎn)制定應(yīng)對(duì)方案和回退策略。
3.云服務(wù)平臺(tái)部署后,未依據(jù)既定的驗(yàn)收標(biāo)準(zhǔn)對(duì)平臺(tái)的功能、性能和安全性進(jìn)行測試,平臺(tái)功能未滿足預(yù)期要求并存在安全隱患。
(四)審計(jì)的主要方法和程序
1.遷移計(jì)劃
(1)檢查組織是否制定遷移部署方案(一次性遷移、階段性遷移)和實(shí)施進(jìn)度計(jì)劃表,明確參與人員及職責(zé),并查閱方案是否經(jīng)過審批。
(2)是否制定遷移部署的培訓(xùn)計(jì)劃并對(duì)參與人員進(jìn)行相關(guān)培訓(xùn)。
(3)是否開展針對(duì)遷移部署過程的風(fēng)險(xiǎn)分析,如數(shù)據(jù)丟失、業(yè)務(wù)中斷、部署過程中組織客戶數(shù)據(jù)和資源權(quán)限的泄露等,并根據(jù)識(shí)別出的風(fēng)險(xiǎn)制定應(yīng)對(duì)方案和回退策略。
2.平臺(tái)遷移測試與部署
(1)檢查組織是否根據(jù)事前制定的平臺(tái)遷移測試計(jì)劃,組織技術(shù)力量或委托第三方對(duì)云服務(wù)平臺(tái)的遷移(包括數(shù)據(jù)和系統(tǒng))進(jìn)行部署前的測試,查看測試評(píng)估報(bào)告和整改建議并檢查具體整改措施的執(zhí)行情況。
(2)檢查組織是否采取技術(shù)手段,確保遷移前后數(shù)據(jù)的完整性與保密性,并調(diào)閱數(shù)據(jù)完整性測試報(bào)告。
(3)檢查組織在云服務(wù)平臺(tái)部署后,是否依據(jù)既定的驗(yàn)收標(biāo)準(zhǔn)和監(jiān)控指標(biāo)對(duì)平臺(tái)的功能、性能和安全性進(jìn)行監(jiān)控與測試,在滿足要求后投入運(yùn)行,并調(diào)閱運(yùn)行驗(yàn)收測試報(bào)告。
六、云計(jì)算平臺(tái)的安全運(yùn)維審計(jì)
(一)業(yè)務(wù)概述
云平臺(tái)投入運(yùn)行后,雖然客戶將部分控制和管理任務(wù)轉(zhuǎn)移給云服務(wù)商,但最終安全責(zé)任還是由客戶自身承擔(dān)。因此需要對(duì)自身的云計(jì)算服務(wù)運(yùn)維進(jìn)行良好的安全管理。
(二)審計(jì)目標(biāo)和內(nèi)容
1.網(wǎng)絡(luò)與通信安全
該控制項(xiàng)旨在從兩種視角,針對(duì)網(wǎng)絡(luò)與通信安全,檢查組織或云服務(wù)商是否采取有效的措施,保證云服務(wù)平臺(tái)的安全,包括實(shí)施物理和虛擬網(wǎng)絡(luò)及主機(jī)的安全區(qū)域劃分、安全隔離、安全防護(hù),并采取管理和技術(shù)措施確保網(wǎng)絡(luò)與通信的安全性和可用性。
2.身份鑒別
該控制項(xiàng)旨在檢查組織或云服務(wù)提供者是否在云計(jì)算環(huán)境中,針對(duì)云用戶、租戶和管理員采取多種身份鑒別手段,并確保在系統(tǒng)整個(gè)生命周期內(nèi)用戶標(biāo)識(shí)的唯一性,以及對(duì)主機(jī)、虛擬機(jī)監(jiān)視器和管理平臺(tái)采用證書技術(shù),確保證書的可信度和系統(tǒng)的抗抵賴性,檢查整個(gè)身份鑒別機(jī)制的相關(guān)配置是否受到統(tǒng)一控制。
3.訪問控制
該控制項(xiàng)旨在檢查組織或云服務(wù)商是否針對(duì)物理資源、虛擬資源、網(wǎng)絡(luò)與通信和用戶與管理員制定相應(yīng)的訪問控制策略并據(jù)此執(zhí)行。
4.惡意代碼與入侵防范
該控制項(xiàng)旨在檢查組織或云服務(wù)商的云服務(wù)平臺(tái)是否具有從基礎(chǔ)設(shè)施層到資源抽象層的區(qū)域邊界和惡意代碼防護(hù)功能,并部署相應(yīng)的產(chǎn)品;是否制定惡意代碼庫的升級(jí)策略并主動(dòng)進(jìn)行更新,并對(duì)惡意代碼進(jìn)行自動(dòng)檢測、防范和響應(yīng)。
5.應(yīng)用與數(shù)據(jù)安全
該控制項(xiàng)旨在檢查云服務(wù)商或組織是否采取措施對(duì)云服務(wù)平臺(tái)涉及的重要數(shù)據(jù)進(jìn)行有效識(shí)別和分類,并從平臺(tái)數(shù)據(jù)靜態(tài)存儲(chǔ)、動(dòng)態(tài)傳輸與數(shù)據(jù)調(diào)用等三方面,檢查是否采取措施確保數(shù)據(jù)的機(jī)密性和完整性,以及為確保已識(shí)別出的重要數(shù)據(jù)的可用性采取備份與恢復(fù)措施,同時(shí)檢查云服務(wù)平臺(tái)對(duì)外接口的安全性。
6.安全監(jiān)控與審計(jì)
該控制項(xiàng)旨在檢查組織或云服務(wù)商是否對(duì)云服務(wù)平臺(tái)制定安全監(jiān)測的制度規(guī)范與策略,明確安全監(jiān)控指標(biāo)和監(jiān)控對(duì)象,至少應(yīng)包括資源類、安全事件和操作行為,并就云服務(wù)平臺(tái)的運(yùn)營管理開展安全審計(jì)。(建立日志留痕記錄)
(三)常見問題和風(fēng)險(xiǎn)
1.云計(jì)算服務(wù)系統(tǒng)安全區(qū)域劃分不合理,導(dǎo)致安全要求覆蓋不全面,存在安全風(fēng)險(xiǎn)隱患。
2.云計(jì)算服務(wù)系統(tǒng)未部署流量檢測和清洗設(shè)備,無法對(duì)異常流量的監(jiān)控和統(tǒng)計(jì)分析,受異常流量影響,導(dǎo)致網(wǎng)絡(luò)不可用。
3.云計(jì)算服務(wù)系統(tǒng)身份鑒別機(jī)制不嚴(yán)格,導(dǎo)致身份認(rèn)證機(jī)制被繞過,造成重要數(shù)據(jù)或敏感信息的泄露。
4.云計(jì)算服務(wù)系統(tǒng)審計(jì)功能未開啟或?qū)徲?jì)日志未定期查看,無法及時(shí)發(fā)現(xiàn)存在的違規(guī)操作或風(fēng)險(xiǎn)隱患。
(四)審計(jì)的主要方法和程序
1.網(wǎng)絡(luò)與通信安全
(1)查閱網(wǎng)絡(luò)拓?fù)鋱D,并訪談安全管理人員,了解組織或云服務(wù)提供商是否對(duì)云計(jì)算服務(wù)系統(tǒng)根據(jù)業(yè)務(wù)安全需要對(duì)平臺(tái)資源層、服務(wù)層和應(yīng)用層進(jìn)行安全區(qū)域的劃分,并在安全邊界進(jìn)行隔離防護(hù),同時(shí),云租戶之間及租戶內(nèi)部也應(yīng)根據(jù)安全業(yè)務(wù)需要、等級(jí)保護(hù)原則和業(yè)務(wù)生命周期進(jìn)一步劃分安全區(qū)域,制定各區(qū)域的安全策略并部署隔離防護(hù)設(shè)施,從而實(shí)現(xiàn)網(wǎng)絡(luò)隔離和虛擬機(jī)之間的隔離。(區(qū)域邊界劃分、網(wǎng)絡(luò)安全隔離與防護(hù)、虛擬安全域劃分)
(2)檢查虛擬機(jī)監(jiān)視器、云管理平臺(tái),查看同一宿主機(jī)內(nèi)虛擬機(jī)之間、虛擬機(jī)與物理機(jī)之間流量是否能被識(shí)別、監(jiān)控,并查看不同宿主機(jī)的虛擬機(jī)之間、虛擬機(jī)與物理機(jī)之間流量是否能被識(shí)別、監(jiān)控。(流量監(jiān)管)
(3)檢查網(wǎng)絡(luò)架構(gòu)、配置策略和云管理平臺(tái),查看是否實(shí)現(xiàn)管理流量和業(yè)務(wù)流量的分離,以及云平臺(tái)管理流量與云租戶業(yè)務(wù)流量的分離。(流量分離)
(4)檢查云服務(wù)提供商或組織是否對(duì)云計(jì)算系統(tǒng)各組成部分之間、虛擬機(jī)之間、云計(jì)算系統(tǒng)內(nèi)部通信網(wǎng)絡(luò),通過通信完整性校驗(yàn)、密碼技術(shù)和VPN技術(shù)確保網(wǎng)絡(luò)和通信的完整性與安全性。(網(wǎng)絡(luò)安全性)
(5)檢查云服務(wù)提供商或組織是否部署流量檢測和清洗設(shè)備,實(shí)現(xiàn)對(duì)異常流量的監(jiān)控和統(tǒng)計(jì)分析,防止因異常流量造成的網(wǎng)絡(luò)不可用。(網(wǎng)絡(luò)可用性)
(6)查閱網(wǎng)絡(luò)拓?fù)鋱D,檢查服務(wù)商或組織對(duì)網(wǎng)絡(luò)是否采用冗余技術(shù),對(duì)關(guān)鍵鏈路、主要物理網(wǎng)絡(luò)設(shè)備、虛擬網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)核心和匯聚層等部署冗余設(shè)備,并根據(jù)租戶、主機(jī)和應(yīng)用的業(yè)務(wù)重要程度,劃分對(duì)應(yīng)的網(wǎng)絡(luò)帶寬優(yōu)先級(jí),從而確保網(wǎng)絡(luò)的可用性。(網(wǎng)絡(luò)可用性)
2.身份鑒別
(1)檢查組織是否制定身份認(rèn)證和賬號(hào)策略,包括用戶身份與終端綁定、完整性驗(yàn)證檢查、賬號(hào)鎖定、賬號(hào)時(shí)效、禁止重復(fù)登錄等策略,并采取兩種及兩種以上組合機(jī)制對(duì)用戶身份進(jìn)行驗(yàn)證,對(duì)系統(tǒng)管理員和安全管理員是否采用單點(diǎn)登錄的集中用戶驗(yàn)證機(jī)制。(單點(diǎn)登錄、集中用戶認(rèn)證)
(2)檢查用戶的驗(yàn)證信息是否加密存儲(chǔ),限制登錄口令最小長度和更換周期。
(3)檢查云管理平臺(tái),在進(jìn)行遠(yuǎn)程管理時(shí),是否對(duì)管理終端和云平臺(tái)邊界設(shè)備之間建立雙向身份驗(yàn)證機(jī)制(如證書、共享密鑰等),并限制訪問重要物理資源及虛擬資源、安全管理中心的遠(yuǎn)程登錄地址。(遠(yuǎn)程登錄身份認(rèn)證)
(4)檢查網(wǎng)絡(luò)策略控制器和網(wǎng)絡(luò)設(shè)備(或設(shè)備代理)之間是否建立雙向身份驗(yàn)證機(jī)制,并驗(yàn)證網(wǎng)絡(luò)設(shè)備防護(hù)能力是否符合要求。(設(shè)備間的身份鑒別)
3.訪問控制
(1)檢查服務(wù)商或組織是否基于系統(tǒng)業(yè)務(wù)類型、重要性或信息的重要程度,根據(jù)安全域的劃分,制定訪問控制策略,并檢查不同安全等級(jí)網(wǎng)絡(luò)區(qū)域邊界訪問控制機(jī)制部署情況及訪問控制規(guī)則,從而判斷針對(duì)邊界訪問控制機(jī)制或邊界訪問控制設(shè)備、不同虛擬機(jī)間訪問控制、虛擬機(jī)遷移是否得到有效控制。
(網(wǎng)絡(luò)訪問控制,虛擬資源訪問控制)
(2)檢查服務(wù)商或組織是否對(duì)特權(quán)用戶、系統(tǒng)管理員、用戶和云租戶依據(jù)“最小授權(quán)”原則和“職責(zé)分離”原則進(jìn)行訪問控制權(quán)限的設(shè)置。
(3)檢查服務(wù)商或組織是否對(duì)包括用戶、訪問協(xié)議實(shí)現(xiàn)對(duì)云服務(wù)平臺(tái)的網(wǎng)絡(luò)設(shè)備訪問進(jìn)行控制。
(4)檢查服務(wù)商或組織是否制定并部署針對(duì)虛擬機(jī)和多租戶的訪問控制策略,并允許租戶在自身虛擬機(jī)上部署各自的訪問控制策略,或通過在虛擬機(jī)監(jiān)視器上集中部署訪問控制策略。(虛擬化和多租戶訪問控制)
4.惡意代碼與入侵防范
(1)檢查云服務(wù)提供商或組織內(nèi)部是否制定惡意代碼和入侵防范系統(tǒng)特征庫的更新策略,并檢查惡意代碼版本和入侵防范系統(tǒng)特征庫是否與其服務(wù)提供商的最新版本相一致。
(2)檢查惡意代碼防護(hù)系統(tǒng)是否采取集中管理、統(tǒng)一部署的方式,可自動(dòng)對(duì)惡意代碼感染及其在虛擬機(jī)之間的蔓延進(jìn)行檢測和告警,并在監(jiān)測到破壞后進(jìn)行修復(fù),同時(shí)為確保虛擬機(jī)安全系統(tǒng)建立惡意代碼傳播路徑的追蹤和安全隔離。(惡意代碼防范)
(3)檢查惡意代碼保護(hù)和入侵防范的對(duì)象,在基礎(chǔ)設(shè)施層到資源抽象層是否針對(duì)包括宿主機(jī)和虛擬主機(jī)以及虛擬機(jī)監(jiān)視器和云管理平臺(tái)。
(4)檢查云服務(wù)提供商或組織內(nèi)部是否在(高風(fēng)險(xiǎn))區(qū)域邊界和關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署惡意代碼防護(hù)系統(tǒng),從而實(shí)現(xiàn)對(duì)終端、web應(yīng)用、郵件系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)虛擬化軟件、虛擬機(jī)監(jiān)視器或云管理平臺(tái)惡意代碼檢測與清除,特別是虛擬服務(wù)器之間數(shù)據(jù)交換和云終端接入通信。
(5)檢查云服務(wù)提供商或組織內(nèi)部是否在區(qū)域邊界、關(guān)鍵業(yè)務(wù)系統(tǒng)采取相關(guān)技術(shù)措施,根據(jù)風(fēng)險(xiǎn)大小,在其附近部署入侵檢測與防范系統(tǒng),從而實(shí)現(xiàn)對(duì)用戶行為、惡意流量、惡意攻擊、惡意掃描及異常流量和未知威脅的識(shí)別、監(jiān)控、防護(hù),同時(shí)對(duì)上述活動(dòng)進(jìn)行數(shù)據(jù)收集、存儲(chǔ)和分析。(入侵防范)
(6)檢查部署的入侵檢測與防范系統(tǒng)日志,審計(jì)日志記錄內(nèi)容是否與審計(jì)信息相關(guān)及是否受到安全保護(hù)和定期備份,防止非預(yù)期的修改、刪除和覆蓋,并檢查云服務(wù)提供商或組織是否對(duì)日志進(jìn)行關(guān)聯(lián)分析并進(jìn)行關(guān)聯(lián)響應(yīng)。
5.應(yīng)用與數(shù)據(jù)安全
(1)檢查組織是否制定針對(duì)云服務(wù)平臺(tái)對(duì)外接口的安全策略,并檢查接口設(shè)計(jì)文檔或開放性服務(wù)技術(shù)文檔,查看是否符合開放性及安全性要求。
(2)檢查組織是否對(duì)云服務(wù)平臺(tái)對(duì)外接口進(jìn)行滲透測試或代碼審計(jì)并調(diào)閱測試或?qū)徲?jì)報(bào)告,從而驗(yàn)證是否存在安全漏洞或安全隱患。
(3)檢查云服務(wù)商或組織是否針對(duì)系統(tǒng)管理數(shù)據(jù)(如鏡像文件、快照)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù),在存儲(chǔ)、傳輸過程(包括云計(jì)算系統(tǒng)內(nèi)部和虛擬機(jī)之間的通信)中,使用具有完整性校驗(yàn)和加密的技術(shù)與工具進(jìn)行完整性校驗(yàn),從而防止在存儲(chǔ)和傳輸過程中遭到破壞、惡意篡改和泄露,并對(duì)不一致的數(shù)據(jù)進(jìn)行恢復(fù)。(鏡像與快照保護(hù))
(4)檢查是否采用完整性校驗(yàn)算法和工具防止被惡意篡改。
(5)檢查云服務(wù)商或組織是否使用統(tǒng)一的調(diào)用接口,對(duì)存儲(chǔ)和使用環(huán)節(jié)的數(shù)據(jù)進(jìn)行完整性檢查。
(6)檢查云服務(wù)商或組織對(duì)上層提供接口、操作云服務(wù)控制平臺(tái)、向云主機(jī)或云存儲(chǔ)系統(tǒng)及數(shù)據(jù)庫傳輸數(shù)據(jù)是否采用加密技術(shù),包括加密協(xié)議、算法。
(7)檢查云服務(wù)商或組織是否針對(duì)云服務(wù)系統(tǒng)涉及的本地?cái)?shù)據(jù)、在線數(shù)據(jù)、重要業(yè)務(wù)信息及軟件系統(tǒng),根據(jù)重要程度和數(shù)據(jù)敏感性,制定分類分級(jí)策略及相應(yīng)的備份恢復(fù)策略,對(duì)不同等級(jí)的數(shù)據(jù)進(jìn)行備份與恢復(fù)。
(8)檢查是否制定并實(shí)施針對(duì)虛擬資源數(shù)據(jù)級(jí)、系統(tǒng)級(jí)和應(yīng)用級(jí)的冗余備份。
6.安全監(jiān)控與安全審計(jì)
(1)訪談系統(tǒng)安全負(fù)責(zé)人,詢問制定哪些相關(guān)策略從而對(duì)安全措施有效性進(jìn)行持續(xù)監(jiān)控,并檢查云平臺(tái)對(duì)安全措施有效性進(jìn)行持續(xù)監(jiān)控,監(jiān)控應(yīng)至少包括漏洞與補(bǔ)丁監(jiān)控、宿主機(jī)監(jiān)控、網(wǎng)絡(luò)監(jiān)控、用戶/租戶/管理員的操作行為監(jiān)控、網(wǎng)絡(luò)安全事件監(jiān)控和系統(tǒng)行為監(jiān)控。(安全監(jiān)控)
(2)檢查審計(jì)策略與規(guī)程等相關(guān)文檔,查看是否可對(duì)上述監(jiān)控對(duì)象進(jìn)行審計(jì),并定義可(連續(xù))審計(jì)事件,是否制定并維護(hù)該審計(jì)事件清單,及是否定義了需連續(xù)審計(jì)事件的審計(jì)頻率。(連續(xù)性審計(jì))
(3)檢查審計(jì)范圍是否包括重要用戶行為、系統(tǒng)安全事件、數(shù)據(jù)庫行為、虛擬機(jī)的遷移、虛擬資源申請(qǐng)、虛擬資源調(diào)度、虛擬資源分配、虛擬資源異常使用和重要命令進(jìn)行安全審計(jì),以及是否可以實(shí)現(xiàn)集中審計(jì)或第三方審計(jì)。
(4)檢查審計(jì)策略與規(guī)程等相關(guān)文檔,查看是否對(duì)審計(jì)記錄內(nèi)容提出要求,應(yīng)至少包含:事件類型、事件發(fā)生的時(shí)間和地點(diǎn)、事件來源、事件結(jié)果以及與事件相關(guān)的用戶或主體的身份等相關(guān)信息,并檢查日志的存儲(chǔ)安全和存儲(chǔ)周期是否符合審計(jì)策略與規(guī)程。
(5)檢查審計(jì)策略與規(guī)程等相關(guān)文檔,查看是否建立了與其他組織針對(duì)安全審計(jì)的協(xié)調(diào)機(jī)制。(外部審計(jì)協(xié)調(diào))
(6)檢查組織是否根據(jù)不同的審計(jì)對(duì)象部署審計(jì)產(chǎn)品,并登錄查看審計(jì)功能是否開啟并基于審計(jì)策略進(jìn)行配置,查看審計(jì)記錄是否包含所規(guī)定的審計(jì)內(nèi)容。
(7)檢查審計(jì)記錄存儲(chǔ)容量配置信息,查看是否按照要求配置了相應(yīng)的存儲(chǔ)容量。
(8)檢查審計(jì)策略與規(guī)程等相關(guān)文檔,查看是否定義了當(dāng)審計(jì)過程失敗時(shí)接收?qǐng)?bào)警信息的人員(角色)清單。
(9)檢查審計(jì)系統(tǒng)配置信息,查看是否有系統(tǒng)審計(jì)過程失敗的報(bào)警機(jī)制,并訪談云服務(wù)商定義的人員或角色,詢問接收到審計(jì)失敗告警信息的情況和處理機(jī)制與流程。
(10)檢查審計(jì)策略與規(guī)程、系統(tǒng)設(shè)計(jì)說明書等相關(guān)文檔,查看是否提供審計(jì)處理和審計(jì)報(bào)告生成的機(jī)制,以及是否支持實(shí)時(shí)或準(zhǔn)實(shí)時(shí)的審查、分析和報(bào)告,并對(duì)安全事件的事后調(diào)查。
(11)檢查審計(jì)策略與規(guī)程等相關(guān)文檔,查看是否定義了在線保存審計(jì)記錄的時(shí)間段,是否要求支持安全事件的事后調(diào)查,是否要求符合法律法規(guī)及客戶的信息留存的要求,并檢查記錄留存的時(shí)間配置信息,查看是否與定義的時(shí)間段一致。
七、服務(wù)關(guān)閉與數(shù)據(jù)遷移審計(jì)
(一)業(yè)務(wù)概述
是指組織在云服務(wù)關(guān)閉與數(shù)據(jù)遷移前應(yīng)當(dāng)制定關(guān)閉當(dāng)前云服務(wù)平臺(tái)或向其他云服務(wù)平臺(tái)遷移時(shí)相關(guān)流程,從而確保組織完整退出當(dāng)前云服務(wù)階段,同時(shí)確保原云服務(wù)商的相關(guān)責(zé)任和義務(wù)得到履行。
(二)審計(jì)目標(biāo)和內(nèi)容
1.關(guān)閉和遷移規(guī)劃
該控制項(xiàng)旨在檢查組織是否就云服務(wù)平臺(tái)關(guān)閉及其所涉及的平臺(tái)數(shù)據(jù)遷移制定相應(yīng)的規(guī)劃方案和應(yīng)急預(yù)案,從而確保數(shù)據(jù)遷移的妥善執(zhí)行以及服務(wù)的連續(xù)性、可用性。
2.數(shù)據(jù)遷移及完整性和保密性保障
該控制項(xiàng)旨在檢查組織在云服務(wù)平臺(tái)關(guān)閉時(shí)所進(jìn)行的平臺(tái)數(shù)據(jù)遷移操作是否有效確保組織數(shù)據(jù)的完整性和保密性。
(三)常見問題和風(fēng)險(xiǎn)
1.原有云平臺(tái)上存儲(chǔ)的數(shù)據(jù)完全未返回組織或執(zhí)行徹底清除程序,導(dǎo)致殘留數(shù)據(jù)泄露。
2.未制定云平臺(tái)數(shù)據(jù)遷移和資料移交清單,導(dǎo)致遷移數(shù)據(jù)不完整或資料不全面,影響遷移效果,也不利于遷移資料的規(guī)范化管理。
(四)審計(jì)的主要方法和程序
1.關(guān)閉和遷移規(guī)劃
(1)檢查組織是否制定云服務(wù)平臺(tái)關(guān)閉及其數(shù)據(jù)遷移的規(guī)劃、方案、流程,從而確保平臺(tái)數(shù)據(jù)和業(yè)務(wù)的可用性、連續(xù)性,如是否制定回退方案和應(yīng)急預(yù)案等。
(2)檢查組織是否對(duì)回退方案或應(yīng)急預(yù)案進(jìn)行測試并調(diào)閱測試報(bào)告。
2.數(shù)據(jù)遷移及完整性和保密性保障
(1)檢查組織是否制定平臺(tái)數(shù)據(jù)遷移和資料移交清單,包括客戶移交給云服務(wù)商的數(shù)據(jù)和資料,以及客戶業(yè)務(wù)系統(tǒng)在云計(jì)算平臺(tái)上運(yùn)行期間產(chǎn)生、收集的數(shù)據(jù)以及相關(guān)文檔資料,如數(shù)據(jù)文件、程序代碼、說明書、技術(shù)資料、運(yùn)行日志等。
(2)檢查組織是否為確保遷移數(shù)據(jù)的完整性和保密性而采取相應(yīng)的措施。
(3)調(diào)閱組織平臺(tái)數(shù)據(jù)遷移的歷史記錄和遷移數(shù)據(jù)完整性、有效性測試報(bào)告。
(4)調(diào)閱原有云服務(wù)合同,了解組織對(duì)于原云服務(wù)商平臺(tái)數(shù)據(jù)存儲(chǔ)的時(shí)限要求和刪除要求,并查閱相關(guān)數(shù)據(jù)刪除與介質(zhì)銷毀的歷史記錄,判斷是否符合組織數(shù)據(jù)與介質(zhì)銷毀的服務(wù)要求。