GAT 2347-2025信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)云計算測評指引

#政策法規(guī) ·2026-05-11 10:30:19

本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。

本文件由公安部網(wǎng)絡(luò)安全保衛(wèi)局提出。

本文件由公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化委員會歸口。本文件起草單位：公安部第三研究所、公安部網(wǎng)絡(luò)安全保衛(wèi)局、公安部第一研究所、深信服科技股份有限公司、華為技術(shù)有限公司、阿里云計算有限公司、北京卓識網(wǎng)安技術(shù)股份有限公司、中電信數(shù)智科技有限公司、中國電子科技集團(tuán)公司第十五研究所（信息產(chǎn)業(yè)信息安全測評中心）、安徽省電子產(chǎn)品監(jiān)督檢驗(yàn)所、廣西網(wǎng)信信息技術(shù)有限公司。

本文件主要起草人：張振峰、陶源、伊瑋瓏、張秀東、任彬、李秋香、劉卜瑜、黃敏、王睿超、劉韌、李景清、劉琛、王理冬、馮偉、張鵬。

為配合《中華人民共和國網(wǎng)絡(luò)安全法》的實(shí)施，落實(shí)國家網(wǎng)絡(luò)安全等級保護(hù)制度，更好地指導(dǎo)網(wǎng)絡(luò)安全檢測評估機(jī)構(gòu)在云計算環(huán)境下開展網(wǎng)絡(luò)安全等級保護(hù)測評工作，加強(qiáng)、規(guī)范網(wǎng)絡(luò)安全等級保護(hù)測評工作的獨(dú)立性、客觀性、合規(guī)性及有效性，依據(jù)網(wǎng)絡(luò)安全等級保護(hù)2.0相關(guān)系列標(biāo)準(zhǔn)，制定網(wǎng)絡(luò)安全等級保護(hù)云計算測評指引。

1.范圍

本文件給出了云計算平臺和云服務(wù)客戶的業(yè)務(wù)應(yīng)用系統(tǒng)開展網(wǎng)絡(luò)安全等級保護(hù)測評活動的指引。

本文件適用于網(wǎng)絡(luò)安全檢測評估機(jī)構(gòu)對云計算平臺和云服務(wù)客戶的業(yè)務(wù)應(yīng)用系統(tǒng)開展網(wǎng)絡(luò)安全等級保護(hù)測評活動，網(wǎng)絡(luò)安全監(jiān)管部門參照使用。

2.規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。

GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

GB/T28449-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評過程指南

GB/T31167-2023信息安全技術(shù)云計算服務(wù)安全指南

GB/T32400-2015信息技術(shù)云計算概覽與詞匯

3.術(shù)語和定義

GB/T22239-2019、GB/T31167-2023和GB/T32400-2015界定的以及下列術(shù)語和定義適用于本文件。

3.1云服務(wù)商 cloud service provider

提供云計算服務(wù)的參與方。

[來源：GB/T31167-2023,3.4]

3.2云服務(wù)客戶 cloud service customer

為使用云計算服務(wù)而處于一定業(yè)務(wù)關(guān)系中的參與方。

注：業(yè)務(wù)關(guān)系不一定包含經(jīng)濟(jì)條款。

[來源：GB/T31167-2023,3.5]

3.3云計算平臺 cloud computing platform

云服務(wù)商提供的云計算基礎(chǔ)設(shè)施及其上的服務(wù)軟件的集合。

[來源：GB/T31167-2023,3.8]

3.4云計算環(huán)境 cloud computing environment

云服務(wù)商提供的云計算平臺，及客戶在云計算平臺之上部署的軟件及相關(guān)組件的集合。[來源：GB/T31167-2023,3.9]

4.縮略語

下列縮略語適用于本文件。

IaaS：基礎(chǔ)設(shè)施即服務(wù)（Infrastructure as a Service)

PaaS:平臺即服務(wù)（Platform as a Service)

SaaS：軟件即服務(wù)（Software as a Service)

5.概述

5.1網(wǎng)絡(luò)安全等級保護(hù)云計算測評指針對云計算環(huán)境中的等級保護(hù)對象開展的網(wǎng)絡(luò)安全等級保護(hù)測評。網(wǎng)絡(luò)安全等級保護(hù)測評過程主要包括四個基本測評活動：測評準(zhǔn)備活動、方案編制活動、現(xiàn)場測評活動、報告編制活動，宜符合GB/T28449—2018的規(guī)定。

5.2云計算環(huán)境中的等級保護(hù)對象包括以下兩類：

——云計算平臺；

——云服務(wù)客戶的業(yè)務(wù)應(yīng)用系統(tǒng)。

5.3云計算平臺和云服務(wù)客戶的業(yè)務(wù)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)安全等級保護(hù)測評包括安全通用要求和云計算安全擴(kuò)展要求。云計算安全擴(kuò)展要求主要涉及的控制點(diǎn)包括基礎(chǔ)設(shè)施位置、網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)邊界的訪問控制、網(wǎng)絡(luò)邊界的人侵防范、網(wǎng)絡(luò)邊界的安全審計、集中管控、計算環(huán)境的身份鑒別、計算環(huán)境的訪問控制、計算環(huán)境的人侵防范、鏡像和快照保護(hù)、數(shù)據(jù)完整性和保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)、云服務(wù)商選擇、供應(yīng)鏈管理和云計算環(huán)境管理。

5.4云計算平臺和云服務(wù)客戶的業(yè)務(wù)應(yīng)用系統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)測評宜根據(jù)被測系統(tǒng)的類別、部署模式、服務(wù)模式、安全主體是否一致、技術(shù)實(shí)現(xiàn)方式等情況，充分收集和分析被測系統(tǒng)信息、確定被測對象、選擇測評指標(biāo)。

6.信息收集和分析

6.1云計算平臺

被測系統(tǒng)類別為云計算平臺時，需明確以下內(nèi)容：

——云計算平臺的定級情況；

——云平臺部署模式，包括：公有云、私有云、混合云；

——云計算服務(wù)模式，包括：IaaS、PaaS、SaaS；

——云基礎(chǔ)設(shè)施物理機(jī)房地點(diǎn)/邏輯位置信息及運(yùn)維地點(diǎn)。

6.2云服務(wù)客戶的業(yè)務(wù)應(yīng)用系統(tǒng)

被測系統(tǒng)類別為云服務(wù)客戶的業(yè)務(wù)應(yīng)用系統(tǒng)時，需明確以下內(nèi)容。

——所在云平臺部署模式，包括：公有云、私有云、混合云。

——云服務(wù)客戶的業(yè)務(wù)應(yīng)用系統(tǒng)所選用的云計算服務(wù)模式。云服務(wù)客戶的業(yè)務(wù)應(yīng)用系統(tǒng)可根據(jù)業(yè)務(wù)選擇，選用某一個或多個云服務(wù)商的單一或多種混合的服務(wù)模式。系統(tǒng)調(diào)研時，需明確云服務(wù)客戶的業(yè)務(wù)應(yīng)用系統(tǒng)所選用的云計算服務(wù)模式，包括：IaaS、PaaS、SaaS，同時還應(yīng)了解云服務(wù)客戶的業(yè)務(wù)應(yīng)用系統(tǒng)使用的云產(chǎn)品（服務(wù)）情況。

——所部署的云計算平臺定級情況及網(wǎng)絡(luò)安全等級保護(hù)測評情況，如云計算平臺的網(wǎng)絡(luò)安全等級保護(hù)測評報告編號、網(wǎng)絡(luò)安全等級保護(hù)測評結(jié)論以及網(wǎng)絡(luò)安全等級保護(hù)測評主要問題及整改情況。

——所在云計算平臺云基礎(chǔ)設(shè)施邏輯位置信息及云服務(wù)客戶的業(yè)務(wù)應(yīng)用系統(tǒng)的運(yùn)維所在地。

7.測評對象確定