YD T 3797.1-2021 云服务用户数据保护能力评估方法 第1部分：公有云.pdf

1、 b ICS 33.040 M10 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T XXXX XXXX 云服务用 户数据保 护能力评 估方法 第1 部分 ：公有云 Cloud user data protection capability assessment method part 1: public clouds （报批稿 ） - - 发布 - - 实施 中 华 人 民 共 和 国 工 业 和 信 息 化 部 发布 YD YD/T 1 目 次 前 言 . 3 1 范围 . 4 2 规范性引用文件 . 4 3 术语和定义 . 4 4 评估方法概述 . 5 5 企业基本信息和 业

2、务基 本 信息披露 . 5 6 云计算用户数据 保护能 力 指标的完 备性和 规范性 . 6 6.1 评估方法 . 6 6.2 具体指标项 . 6 7 云计算用户数据 保护能 力 指标的真 实性 . 8 7.1 评估方法概述 . 8 7.2 具体指标或条款评 估方 法 . 8 7.2.1 数据持久性 . 8 7.2.1.1 数据存储持久 性评 估方法. 8 7.2.1.2 数据存储完整 性 . 9 7.2.1.3 数据本地备份 和恢 复 . 9 7.2.1.4 数据异地备份 和恢 复 . 10 7.2.2 数据私密性 . 10 7.2.2.1 数据隔离安全 性 . 10 7.2.2.2 数据存

3、储保密 性 . 10 7.2.2.3 秘钥和证书管 理 . 1011 7.2.2.4 加密算法可配 置 . 11 7.2.2.5 加解密性能 . 11 7.2.2.6 第三方加密 . 11 7.2.3 数据隐私性 . 11 7.2.4 数据知情权 . 12 7.2.5 数据防窃取性 . 12 7.2.6 数据可用性 . 12 7.2.7 数据访问安全性 . 12 7.2.8 数据传输安全性 . 13 7.2.9 数据迁移安全性 . 13 7.2.10 数据销毁安全性 . 14 7.2.11 数据返还安全性 . 1415 7.2.12 内部人员管控 . 15 7.2.13 入侵防范 . 15 7

4、.2.14 恶意代码防范 . 1516 7.2.15 应急响应 . 16 YD/T 2 7.2.16 安全审计 . 16 7.2.17 售后服务与技术支 持 . 1617 7.2.18 业务可审查性 . 17 YD/T 3 前 言 本标准 是 “ 云服 务用 户数 据保护 能力 ”系 列行业 标准 之一 ，该 系列 标准 名称 和结构 如下 ： - 云服 务用 户数 据保 护能 力参考 框架 - 云服 务用 户数 据保 护能 力评估 方法 第1 部分 ：公 有云 - 云服 务用 户数 据保 护能 力评估 方法 第2 部分 ：私 有云 本标准 按照GB/T 1.1-2009 给出的 规则 起草

5、。 请注意 本文 件的 某些 内容 可能涉 及专 利。 本文 件的 发布机 构不 承担 识别 这些 专利的 责任 。 本标准 由中 国通 信标 准化 协会提 出并 归口 。 本标准 起草 单位 ： 中国 信 息通信 研究 院 、 上海 优刻 得信息 科技 有限 公司 、 腾 讯云计 算 （ 北京 ） 有 限 责任公 司 、 阿里 云计 算有 限公司 、 北 京京 东叁 佰陆 拾度电 子商 务有 限公 司 、 华为技 术有 限公 司 、 北京 升 鑫网络 科技 有限 公司 、 中 国电信 股份 有限 公司 云计 算分公 司 、 网 宿科 技股 份 有限公 司 、 北 京百 度网 讯 科 技有限

6、公司 、 北 京三 快云 计算有 限公 司 、 金山 云网 络技术 有限 公司 、 联 通云 数据有 限公 司 、 中国 移动 通 信 集 团公 司 政企 客 户分 公司 、 北京 世 纪互 联 宽带 数据 中 心有 限 公司 、北 京 奇安 信 科技 有 限公 司 、360 企业安 全集 团、 上海 浪潮 云计算 服务 有限 公司 、网 易（杭 州） 网络 有限 公司 、 中兴 通讯 股份 有限 公司 、 新华三 技术 有限 公司 、 深 信服科 技股 份有 限公 司 、 佳讯飞 鸿 （ 北京 ） 智 能科 技研究 院有 限公 司 、 烽火 通 信科技 股份有 限公 司 、BoCloud 博

7、 云、 上 海优 铭云计 算有限 公司 、 浙江 九州云 信息科 技有限 公司 、上海 蓝云网 络科 技有 限公 司 、 北京中 联润 通信 息技 术有 限公司 、 中 移 （ 苏州 ） 软 件技术 有限 公司 、 优 思得 云 计算科 技（ 北京 ）有 线公 司 、国 际商 业机 器（ 中国 ）有限 公司 、杭 州安 恒信 息技术 股份 有限 公司 本标准 主要 起草 人 ： 封莎 、 栗蔚 、 何 宝宏 、 何 友斌 、 王敬 宇 、 朱锋 、 王 永霞 、 沈锡 庸 、 张大 江 、 黄 少青 、 海 洋 、 李培 、 高 巍 、 耿涛 、 罗 斌 、 陈光 辉 、 赵华 、 程度 、

8、韩冰 、 王 彦丹 、 杨天 路 、 谭燕 齐 、 刘沛 、 谢广军 、 李 爽 、 吴 婧 、 吴建 强 、 曾 小伟 、 胡斯 诺 、 张娜 、 王萃 娟 、 李晓宇 、 徐 燕 、 赵 万 成 、 杨帆 、 刘浩 、 李纪峰 、王 方、 朱勇 、张 敏、 祝 卓、 杨春 建 、 万晓 兰 、 杨 恩众 、陈 沛 、 钟昊 、陈姝 、何 玉娟 、邹 素雯 、 涂文杰 、耿 浩涛 、朱 荣泽 、刘传 宇 、 陈澍 、乔 海波 、郭旸 、杨 剑浩 、江琦 、 程海旭 、黄 英杰 、隋涛 。 YD/T 4 云服务用 户数据 保护能力 评估方 法 第1 部分 ：公 有云 1 范围 本标准规定了公有

9、 云 云 计算 服 务 提 供 者 在提 供 云 计算 服 务 时 应 具 备的 用 户 数据 安 全 保 护 能 力要 求 和评估 方法 进行 规范 ，包 括事前 防范 能力 、事 中保 护能力 和事 后追溯 能 力。 本 标 准 适 用 于 第三 方 机 构对 公有云 云 计 算服 务 提 供者 的 云 计 算 服 务用 户 数 据安 全 保 护 能 力 审查 和 评估提 供参 考， 也为 公有 云 云计 算服 务提 供者 的 用 户数据 安全 保护 能力 建设 提供参 考。 2 规范性 引用 文件 下列文 件对 于本 标准 的应 用是必 不可 少的 。 凡是 注 日期的 引用 文件 ，

10、仅所 注 日期的 版本 适用 于本 标 准。凡 是不 注日 期的 引用 文件， 其最 新版 本（ 包括 所有的 修改 版） 适用 于本 标准。 GB/T 32400-2015 信 息技 术 云 计算 概览 与词 汇 YD/T 1796-2018 云 服务 用户数 据保 护能 力参 考框 架 3 术语和 定义 下列术 语和 定义 适用 于本 文件。 3.1 公有云 public cloud 云服务可 被任意 云服务 客 户使用， 且资源 被云服 务 提供者控 制的一 种云部 署 模型。 GB/T 32400-2015 ， 定义3.2.33 3.2 云服务用户数据 cloud service us

11、er data 云计算 服务 用户 在使 用云 计算服 务过 程中 上传 、 存 储、 传 输、 处理 和产 生的 数据， 如虚 拟机 镜像 文 件、代 码、 对象 文件 、数 据库， 用户 鉴别 信息 、用 户日志 等。 3.3 云服务提供商数据 cloud service provider data 云计算 服务 提供 商控 制的 一类数 据， 如访 问控 制列 表、系 统日 志、 操作 日志 等。 3.4 云服务衍生数据 cloud services derived data 基于云 服务 用户 数据 和云 服务提 供商 数据 分析 得出 的数据 。 YD/T 5 3.5 用户鉴别 信息

12、 user authentication information 用于鉴 定用 户身 份是 否合 法的信 息， 如用 户登 录各 种业务 系统 的账 号和 密码 、服务 密码 等 。 4 评估方 法概 述 云计算 用户 数据 保护 能力 评估方 法包 括三 个维 度： a) 第一个 维度 ： 企业 信息 真 实性披 露 ， 即 参评 企业 基 本信息 和业 务基 本信 息的 真实性 。 本维 度主 要采用 材料 审查 的方 式， 对参评 企业 基本 信息 和业 务基本 信息 的真 实性 进行 验证。 企业 基本 信 息包括 经营 资质 、 规 模、 人员等 ， 业 务基 本信 息包 括业务 名

13、称 、 起 始时 间、 支付方 式等 。 通 过 的 准 则 是 参评 云 业 务提 交的 基 本 信 息材 料 必 须真 实， 所 有 必 选项 必 须 通过 ，详 细 内 容 见第 5 章。 b) 第二个 维度 ： 云 计算 用户 数据保 护能 力 指 标的 完备 性和规 范性 ， 即 云服 务商 是否就 应具 备的 用 户数据 保护 能力 指标 做了 承诺或 告知 ， 承 诺或 告知 的描述 是否 规范 。 本 维度 考察云 服务 商是 否 就云计 算用 户数 据保 护能 力 所有 指标 进行 了承 诺或 说明， 承诺 或说 明的 出处 为 云计算 服务 协议 （含 SLA ） 和其 他

14、说 明文 档，如 白皮 书等 。需 承诺 或说明 的指 标 为 YD/T 1796-2018 中列 出的 所有指 标项 ，详 细内 容见 第 6 章 c) 第三个 维度 ： 云计 算用 户 数据保 护能 力 指 标的 真实 性， 即承 诺或 告知 的指 标 的真实 能力 。 本维 度根据 规定 的评 估方 法， 对每个 云计 算用 户数 据保 护能力 指标 承诺 的真 实性 进行评 估。 总体 通 过的准 则是 服务 协议 中的 所有指 标项 都必 须按 照评 估方法 通过 验证 ，详 细内 容见 第 7 章。 5 企业基 本信 息和 业务 基本 信息披 露 本维度 的评 估主 要采 用材 料

15、审查 的方 式， 需审 查的 材料清 单如表 1 所示 。 通过的 准则 包括 ： 必 选项 目 ， 企 业必 须 提交材 料进 行审 查 ； 可 选 项目 ， 企 业可 以根 据自 身 情况提 交相 应材 料进 行 审查； 参 评云 业务 提交 的基 本信息 材料 必须 真实 ， 所 有必选 项都 通过 形式 审查 ， 可 选项 （已 选择 参评 的）也 必须 通过 形式 审查 ； 企业参 评的 原始 材料 不会 被公开 ， 但 可自 愿选 择 是 否在云 服务 数据 保护 能力 评估之 后， 对外 公开 披 露审查 的真 实性 结果 。 表 1 企业 基本 信息 和业 务 基本信 息提 交

16、材 料 表 项目 是否必 选 提交材 料 企业基本信息 YD/T 6 IDC 牌 照（ 是自 有IDC 牌照 ， 还是租 用有IDC 牌照 的机 房 ） 必选 （1） 自 有IDC 牌 照： 出示IDC 牌 照； IaaS 必须有 。 （2） 租用 有 IDC 牌照 的机 房：出 示租 用 证明及 出租 方 的IDC 牌照 编号。 经营牌 照 必选 公司企 业法 人营 业执 照 规模 必选 公司整 体社 保缴 纳信 息证 明 资金 必选 验资报 告 组织结 构 必选 组织机 构证 书 ICP,ISP ， 第 三方 支付 等 等 行业部 门发 的相 关牌 照 可选 牌照复 印件 已 经 通 过

17、的 认 证 ， 例 如 云 安全审 查证 书、 CSA C-STAR 证书、ISO27001 证书 可选 证书复 印件 连续几 年纳 税证 明 可选 纳税证 明复 印件 股权结 构 可选 业务基本信息 与用户 数 据 相 关 的 主 营 业 务名称 必选 与用户 数据 相关 的主 营业 务 介绍 材料 与用户 数 据 相 关 的 主 营 业 务运营 起始 时间 必选 同上 与用户 数 据 相 关 的 主 营 业 务功能 必选 同上 与用户 数 据 相 关 的 所有 支 付方式 等 必选 同上 与用户 数 据 相 关 的 主 营 业 务采用 的软 件、 硬件 必 选 ， 要 向 专 家 组 提

18、供 ， 但自 愿向 公众 披露 与用户 数据 相关 的主 营业 务 所涉 及的 硬件 、 软件清 单信 息 6 云计算 用户 数据 保护 能力 指标的 完备 性和 规范 性 6.1 评估方 法 本维度 考察 云服 务商 是否 就应具 备的 云计 算用 户数 据保护 能力 指标 进行 了承 诺或说 明， 承诺 或说 明 的出处为云计算服务 协议 （含 SLA ）和其 他说明文 档，如白皮书、技术 规范 、操作规程等，需承 诺或 说明的 指标 为YD/T 1796-2018 中推 荐的 所有 指标 项 。 指标项 分为 必选 和可 选两 类， 必选 项指 标为 云服 务 商必须 承诺 或告 知的

19、指标 ， 必 须有 出处 ， 可 以出 自服务 协议 、SLA 或 其他 文档， 且符 合 YD/T 1796-2018 的规 范 性描 述； 可选 项指标 为云 服务 商选 择符 合的指 标项 ，如 符合 则证 明具有 更为 全面 的用 户数 据保护 能力 。 6.2 具体指 标项 云计算 用户 数据 保护 能力 指标 覆 盖数 据保 护的 事前 防范 、 事 中保 护、 事后 追 溯三大 阶段 ， 具体 指标 项如 表 2 所 示。 表 2 云服 务用 户 数 据保 护 能力指 标 汇 总表 YD/T 7 序号 保护阶段 指标类别 指标项 事前防 范 数据持 久性 数据存 储持 久性 数据

20、存 储完 整性 数据本 地备 份和 恢复 数据异 地备 份和 恢复 数据私 密性 数据隔 离安 全性 数据存 储保 密性 秘钥和 证书 管理 加密算 法可 配置 加解密 性能 第三方 加密 数据隐 私性 数据隐 私性 数据知 情权 数据知 情权 数据防 窃取 性 数据防 窃取 性 数据可 用性 数据可 用性 数据访 问安 全性 数据访 问 安 全性 数据传 输安 全性 数据传 输 安 全性 数据迁 移安 全性 数据迁 移安 全性 数据销 毁安 全性 数据销 毁 安 全性 数据返 还安 全性 数据返 还安 全性 人员安全 管控 人员安全 管控 事中保 护 入侵防 范 入侵防 范 恶意代 码防 范

21、 恶意代 码防范 事后追 溯 应急响 应 应急响 应 安全审 计 安全审计 售后服 务与 技术 支持 售后服 务与 技术 支持 服务可 审查 性 服务可 审查 性 YD/T 8 7 云计算 用户 数据 保护 能力 指标的 真实 性 7.1 评估方 法概 述 根据本 方法 中规 定的 评估 方法， 对每 个指 标承 诺的 真实性 进行 评估 。 总 体通 过的准 则需要 所 有云 计 算用户 数据 保护 能力 指标 项都 应 按照 评估 方法 通过 验证。 具体评 估方 法可 概括 为以 下几种 ： a) 人员访 谈： 对云 服务 企业 中的不 同角 色人 员当 面交 流，获 取业 务系 统相

22、关技 术和管 理情 况 ； b) 材料审 查： 对 于 指标 项相 关的各 类文 档进 行查 看， 包括但 不限 于： 云计 算服 务协议 （ 含 SLA ） 和其他 说明 文档 ，如 白皮 书、技 术规 范、 操作 规程 等 ； c) 技术测试：包括利 用自动化工具（如漏洞扫 描、端口扫描、Web 检测等）进行技术检测、 人 工查看 设备 相关 配置 、内 外网渗 透测 试等 ； d) 模拟监 测： 通过 技术 方式 实现对 某些 指标 的远 程、 实时状 态获 取和 数据 收集 查看。 7.2 具体指 标或 条款 评估 方法 7.2.1 数据持 久性 7.2.1.1 数据存 储持 久性 评

23、估 方法 数据存 储持 久性 定义 参见YD/T 1796-2018 5.1.1 节。 评估方 法： 主要 基于 材料 审查 和 模拟 监测 的方 式 。 材料审 查 的 方式 包括 ： a) 提供材 料证 明服 务协 议中 承诺的 概率 具体 的推算 方法 。 示例 1 ：某 云业 务在 服务 协议中 承诺 数据 存储 的持 久性 为 99.999% ，是 根据 设备的 可靠 性和 软件 层 面的冗 余特 性来 设定 这个 数值的 。那 么就 要提 供系 统架构 和保 障机 制的 文档 。包括 设备 的可 靠性 内容 ， 冗余备 份的 材料 来证 明 其99.999% 是 通过 合理 的方

24、法 确定的 。 此方面 需要 出具 的证 明材 料： 1) 概率数 值； 2) 推算方 法概述 ，要求 披露 以下方 面： （ 存储的 总体 实现方 式：本 地磁盘 ，NAS ，网络 块设 备等； 硬盘 平均 故障 间隔 时间，MTBF ； 检测 时间 （t ）:多久 检测 一次 故障 ； 恢 复时间 （T）： 故障恢 复时 间； 其它 保障 机制。 3) 与推算 方法 相关 的证 明材 料：存 储架 构、 保障 机制 等。 b) 提供材 料证 明云 服务 实际 运行中 数据 存储 持久 性的 情况 ， 即每 月有 多少 用户 可 以达到 承诺 的持 久性数 值 。 实 际执行 持久 性 的计

25、算 方法 如下 ， 可 根据 实 际赔偿 记录 判定 存储 持久 性不达 标用 户 ： 1) 每个用 户每 月持 久性 设为 ， 其 中 ， 为第j 个用 户第i 月总数 据量 ， 为第 j 个用 户 第 i 月 总损 失数据 量，i 为第 i 个月 ，j 为第 j 个用 户； YD/T 9 2) 第j 个 用户 近 6 个月 中平 均持久 性为 ， 其 中， 为近6 个月 中第j 个 用户 第i 个月的 持久 性概 率， 这里 设定测 量周 期 为 6 个 月； 3) 参评云业务的所有用户中，到承诺的持久性 99.999% 的 用 户 数 为 , ，其 中， N 为 云业 务总 用户数 ，n

26、 为统 计 的用户 数； 4) 达到承 诺持 久性 的用 户概 率为 , 其中 ，N 为云 业务 总用户 数 ，n 为 达到 承诺 持 久性的 用户 数 ； 5) 设定阈 值f=99% ，如 果f 大于此 阈值 ，则 认为 承诺 的持久 性在 实际 运营 中可 信。 此方面 需要 提供 的材 料： 近6 个 月的 用户 实际 情况， 可以 是运 行报 告， 也可以 是故 障报 告； 近6 个 月的 参评 业务 实际持 久性 的自 测结 果 f 的值， 计算 方法 及相 关证 明文档 或材 料 ； 示例 2 某云 业务 在服 务协 议中承 诺数 据存 储的 持久 性为 99.999% ， 在实

27、际的 执行中 ，近 6 个 月， 超 过 90% 的用 户存 储持 久性 都能达 到或 超过 此数 值， 那么则 认为 此承 诺比 较可 信；如 果只 有 10% 的 用户 能 达到此 数值 ，那 么则 认 为 此承诺 不可 信。 具体 的阈 值需要 在专 家组 内测 中确 定。 模拟监 测 ： 测 试长 期使 用 过程中 ， 统计 数据 存储 中 丢失的 数据 量和 完好 数据 量， 以自 然月 为统 计周 期计算 得到 数据 持久 性的 概率值 。 7.2.1.2 数据存 储完 整性 数据存储 完整 性 定义 参见YD/T 1796-20185.1.2 节。 评估方 法： 主要 基于 材料

28、 审查 和 模拟 监测 的方 式 。 材料审 查 ， 云 服务 商应 提 供与承 诺相 符的 数据 完整 性的材 料 ， 证 明以 下两 方 面的情 况 ， 通 过准 则是 要求以 下两 方面 都通 过： a) 提供材 料证 明服 务协 议中 承诺的 概率 是如 何推 算出 来的， 专家 组所 有人 认可 材 料和推 算方 法是 合理的 ，那 么即 认为 通过 此方面 的评 估。 b) 提 供 材 料 证 明 云 业 务 实 际 执 行 中 完整性 的 情 况 ， 即 每 月 有 多 少 用 户 可 以 达 到 承 诺 的 完整性 数 值。 模拟监 测 ： 测 试长 期使 用 过程中 ， 统计

29、 数据 存储 中 受到破 坏数 据量 和完 好数 据量 ， 以 自然 月为 统计 周期计 算得 到数 据完 整性 的概率 值。 7.2.1.3 数据本 地备 份和 恢复 数据本 地备 份和 恢复 定义 参见YD/T 1796-2018 5.1.3 节。 评估方 法： 主要 基于 材料 审查和 技术 测试 的方 式 。 材料审 查， 云服 务商 应提 供与承 诺相 符的 数据 本地 备份和 恢复 的材 料： a) 云服务 商应 提供 与承 诺相 符的其 实现 用户 数据 本地 备份和 恢复 机制 说明 文档 、截图 等材 料。 技术测 试， 由参 评云 业务 提供测 试账 号： a) 查看本 地

30、备 份和 恢复 功能 是否存 在且 完备 b) 检测本 地备 份和 恢复 功能 是否可 用： YD/T 10 1) 创建测 试数 据； 2) 选择手 动本 地备 份数 据（ 包括全 量、 增量 、多 副本 等） ， 查看 备份 结果 ； 3) 如存在 自动 备份 ，则 设置 规则触 发自 动备 份， 查看 备份结 果； 4) 修改/ 删除 测试 数据 ，选 择 备份源 ，进 行恢 复； 5) 记录备 份时 间， 查看 恢复 结果。 7.2.1.4 数据异 地备 份和 恢复 数据异 地备 份和 恢复 定义 参见YD/T 1796-2018 5.1.4 节。 评估方 法： 主要 基于 材料 审查和

31、 技术 测试 的方 式 。 材料审 查， 云服 务商 应提 供与承 诺相 符的 数据 异地 备份和 恢复 的 材 料： a) 云服务 商应 提供 与承 诺相 符的其 实现 用户 数据 异地 备份和 恢复 机制 说明 文档 、截图 等材 料。 技术测 试， 由参 评云 业务 提供测 试账 号： a) 查看异地 备 份和 恢复 功能 是否存 在且 完备 b) 检测异地 备 份和 恢复 功能 是否可 用： 1) 创建测 试数 据； 2) 选择手 动异地 备 份数 据（ 包括全 量、 增量 、多 副本 等） ， 查看 备份 结果 ； 3) 如存在 自动 备份 ，则 设置 规则触 发自 动备 份， 查看

32、 备份结 果； 4) 修改/ 删除 测试 数据 ，选 择 备份源 ，进 行恢 复； 5) 记录备 份时 间， 查看 恢复 结果。 7.2.2 数据私 密性 7.2.2.1 数据隔 离安 全性 数据隔 离安 全性 定义 参见YD/T 1796-2018 5.2.1 节。 评 估方 法： 主要 基于 材料 审查和 技术 测试 的方 式。 a) 材料审 查， 云服 务商 应提 供与承 诺相 符的 数据 隔离 安全性 的材 料： 1) 云服务 商应 提供 与承 诺相 符的其 实现 用户 数据 互相 隔离、 不可 互访 的机 制说 明文档 、 截 图 等材料 。 b) 技术测 试， 由参 评云 业务 提供两 个测 试账 号： 1) 测试不 同用 户之 间的 云主 机内网 不 可