中国信通院第十批可信云安全评估成果发布 第十一批评估报名开始
可信云安全评估体系深耕安全领域,
为国内云计算产业健康有序发展保驾护航。
2021年7月至12月,中国信通院组织开展第十批可信云安全评估,新增评估结果如下:
云服务用户数据保护能力(私有云):
中国联通软件研究院天宫平台
浦发银行生态云平台
云主机安全(增强级):
平安壹账通
安全运营中心:
招商银行ACS原生云安全运营中心
移动云 云安全中心
态势感知:
浪潮云 云御安全运营中心
研发运营安全能力成熟度:
招商银行
深信服
上海爱数
绿盟科技
研发运营安全工具:
酷德啄木鸟CodePecker (SAST)
图1 可信云安全评估体系
目前可信云安全评估体系已经日臻成熟,涵盖了云安全、软件安全、业务安全与安全管理四大类。
云安全体系中包括云计算风险管理能力评估、云计算安全责任共担评估、云服务安全评估(IaaS/PaaS/SaaS)与云服务用户数据保护能力评估(公有云、私有云)。
云计算风险管理能力评估以《云计算风险管理框架》行业标准为指导,旨在引导云计算服务商建立完善的风险管理体系,帮助云计算厂商控制云计算对外运营的风险,帮助云服务客户选择风险可控的云计算厂商。评估包括风险管理组织架构、云计算外部环境风险管理能力、云计算平台风险管理能力、云计算人员风险管理能力、云计算管理流程风险管理能力、云计算合规风险管理能力、云计算业务连续性风险管理能力、科技外包风险管理能力、风险沟通与监测、风险处置10大部分。
云计算安全责任共担评估以《云计算安全责任共担模型》标准为指导,旨在规范云服务商、云服务客户等云计算相关方的责任划分与承担,促进我国云计算安全责任共担模式的应用与发展。具体包括三大评估:
- 云服务商—云服务责任承担能力评估:考察云服务商(至少提供IaaS、PaaS或SaaS中的一类云服务)的安全责任承担情况,以及安全责任承担披露情况,既是否如实告知客户云服务商承担的安全责任。
- 云服务客户—云服务安全使用能力评估:考察云服务客户(至少使用IaaS、PaaS或SaaS中的一种云服务)对所用云服务的安全使用能力。
- 云服务管理方—云服务责任管理能力评估:考察专有云、私有云管理方(如政务云主管方)能够基于业务场景和安全要求对云平台的责任进行有效管理。
云服务安全评估分为IaaS/PaaS安全能力与SaaS安全能力两部分。IaaS/PaaS安全能力基于《云计算服务安全要求 第 1 部分:通用安全要求》与《可信云服务安全评估测评方法 第1部分:云主机服务》标准,从云服务用户的角度针对IaaS/PaaS服务的安全状况进行技术测评,从访问控制、身份鉴别、数据保护、安全审计、安全运行与安全策略管理六大方面对云服务安全功能与机制提出要求。
SaaS安全能力以《云计算服务安全要求 第2部分:SaaS安全要求》标准为指导,对SaaS应具备的安全通用要求进行考察,为SaaS提供者在开发与设计阶段,以及客户在选择SaaS时提供选型参考。
云服务用户数据保护能力评估以《云服务用户数据保护能力参考框架》、《云服务用户数据保护能力评估方法 第1部分:公有云》、《云服务用户数据保护能力评估方法 第2部分:私有云》行业标准为指导,旨在从用户视角考量,帮助云计算服务提供者建立规范完备的用户数据保护体系,帮助用户选择其数据能够得到良好保护的云计算服务,评估分为数据持久性、数据私密性、数据隐私性、数据知情权、数据防窃取性、数据可用性、数据访问安全性、数据传输安全性、数据迁移安全性、数据销毁安全性、数据返还安全性、人员安全管控、入侵防范、恶意代码防范、应急响应、安全审计、售后服务与技术支持、服务可审查性18个部分。
安全管理体系中包括安全运营中心能力评估与安全态势感知能力评估。
安全运营中心能力评估以《面向云计算的安全运营中心能力要求》行业标准为指导,旨在衡量面向云计算的安全运营中心能力水平,分为平台能力要求、人员能力要求与运营管理能力要求三大部分,细分为74项指标,包括通用能力、云资产管理能力、安全策略管控、安全漏洞和补丁要求、安全编排与自动化响应等。
安全态势感知能力评估以《面向互联网云计算的安全态势感知平台能力要求》标准为指导,旨在衡量面向云计算的态势感知平台服务水平,包括3个大的部分,平台部署要求、平台建设原则要求以及平台能力要求,平台能力包括态势可视化、安全预警、日志检索与管理、安全事件监控与告警、资产管理、统计报表、响应与处置、威胁情报等。
业务安全评估体系以《基于云计算的安全体系 第5部分:业务安全能力要求》行业标准作为指导,旨在为服务提供商在提供业务安全服务时的功能设计、产品研制、能力评估等方面进行指导和监督,同时为用户在进行业务安全管理、对自身业务安全体系进行设计和评价时参照使用。目前业务安全评估体系包含对内容风控安全、交易风控安全、信贷风控安全、营销风控安全、钓鱼风控安全、防伪溯源安全、私域安全等7大业务安全场景的分场景评估要求。
软件安全评估体系分为研发运营安全成熟度与研发运营安全工具两个部分。
研发运营安全能力成熟度评估以《可信研发运营安全能力成熟度》标准为指导,强调安全左移,关注研发安全,分为管理制度以及涉及软件应用服务全生命周期的要求阶段、安全需求分析阶段、设计阶段、研发阶段、验证阶段、发布阶段、运营阶段和下线阶段九大部分,每个部分提取了关键安全要素,对于企业的研发运营安全能力从全生命周期维度进行评估,自低向高依次分为基础级、增强级和先进级。
基于《面向云计算的研发运营安全工具能力要求 第2部分:静态应用程序安全测试工具》及《面向云计算的研发运营安全工具能力要求 第3部分:交互式应用程序安全测试工具》标准,从用户视角出发,针对安全工具能力及性能进行评估,帮助用户进行选型参考,具体能力涵盖扫描检测分析能力要求、灵活性能力要求、分析辅助能力要求、开发流程嵌入能力要求、扩展性能力要求、兼容性能力要求、部署能力要求、安全性能力要求、服务支持能力要求九大部分。
截至目前为止,通过各项评估的企业如下所示(排名不分先后):
云服务用户数据保护能力评估(17家):
腾讯云(公有云、私有云)、阿里云(公有云、私有云)、华为云(公有云、私有云)、浪潮云(公有云、私有云)、百度云(公有云、私有云)、联通云(公有云、私有云)、UCloud(公有云)、金山云(公有云)、移动云(公有云)、天翼云(公有云)、平安云(公有云)、飞鸿云(私有云)、华大基因(私有云)、华云(私有云)、福建移动(私有云)、浦发生态云(私有云)、联通天宫平台(私有云)
云计算安全责任共担评估(7家):
云服务责任承担能力:阿里云、腾讯云、联通云、华为云、浪潮云、联通软研院
云服务责任管理能力:烟台市大数据局
云服务安全评估:
IaaS/SaaS安全能力(16家):
金山云(云主机增强级)、银联(云主机增强级)、中国电信(云主机增强级,GPU云主机,物理机,块存储,弹性负载均衡)、移动(云主机增强级)、UCloud(云主机增强级)、平安壹账通(云主机增强级)、浪潮云(云堡垒机)、腾讯云(微服务平台)、联通软研院(容器平台)、阿里云(云主机)、京东(云主机)、腾讯云(云主机)、万达信息(云主机)、中国联通(云主机)、平安科技(云主机)
SaaS安全能力(8家):
用友网络科技股份有限公司(用友云平台、智能会计、人力云、协同云、营销云、供应链云、采购云、制造云)、华为技术有限公司(华为云WeLink&会议)、上海微盟企业发展有限公司(微盟业务系统)、北京知道创宇信息技术股份有限公司(知道创宇云安全防御平台)、杭州天谷信息科技有限公司(e签宝电子签名云服务系统)、北京同创永益科技发展有限公司(IStorM DRaaS云容灾平台)、杭州点智连科技有限公司(上直播)、财智共享(北京)技术服务有限公司(i发函函证平台)
云计算风险管理能力评估(16家):
阿里云、华为云、腾讯云、银联云、金山云、百度云、京东云、天翼云、UCloud、浪潮云、浦发银行、平安科技、联通沃云、移动云、中国联通软件研究院、中科曙光
安全态势感知能力评估(6家):
阿里云(云安全中心)、腾讯云(T-Sec安全运营中心)、金山云(云安全管理中心)、移动云(移动云态势感知)、华为云(华为云态势感知)、浪潮云(云御安全运营中心)
安全运营中心能力评估(14家):
华为(HiSec 安全解决方案)、腾讯云(御见安全中心)、深信服(MSS 安全运营平台)、阿里云(云盾-云安全管理中心)、联通云(沃云安全监管平台-WSOC)、浪潮云(云御安全运营中心)、奇虎360(安全管理运营中心)、启明星辰(北斗安全运营中心)、浦发银行(生态云安全运营中心)、天融信(云态势分析与安全运营中心)、安恒(AiCSO云安全运营中心平台)、知道创宇(云安全防御平台)、招商银行(ACS原生云安全运营中心)、中国移动(云安全中心)
业务安全评估(3家):
腾讯云、华为云、阿里云
研发运营安全能力成熟度评估(4家):
招商银行、上海爱数、绿盟科技、深信服
静态应用程序安全测试工具能力评估及交互式应用程序安全测试工具能力评估(5家):
静态应用程序安全测试工具(SAST):
奇安信(网神代码卫士系统)、
开源网安(CodeSec代码审核平台)、
酷德啄木鸟(CodePecker源代码缺陷分析系统V7.0)
交互式应用程序安全测试工具(IAST):
悬镜安全(灵脉IAST灰盒安全测试平台)、
开源网安(VulHunter灰盒安全测试平台)
第十一批可信云安全评估:
报名时间:即日起至4月中旬
评估时间:四月中旬至六月底
结果发布:2022年可信云大会
报名联系人:
韩非 hanfei@caict.ac.cn 16601551669
卫斌 weibin@caict.ac.cn 18618259777
吴江伟 wujiangwei@caict.ac.cn 18810541612
可信云安全论坛将于12月28日下午两点在北京市海淀区学院路39号 北京唯实酒店 四层唯实厅召开。
