中华人民共和国烟草行业标准
YC/T633-2025
烟草行业云计算应用安全技术规范
Tobacco industry cloud puting application securitytechnical specification
国家烟草专卖局 发布
前言
本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草.
请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任.
本文件由国家烟草专卖局提出.
本文件由全国烟草标准化技术委员会信息分技术委员会(SAC/TC144/SC7)归口.
本文件主要起草单位:国家烟草专卖局经济信息中心、浙江省烟草专卖局(公司)、中国烟草总公司信息系统上海容灾中心.
本文件主要起草人:岳嵌、陈楠、蒋善航、耿欣、杨继东、陆健华、章文彬、柴金龙、李洋洋、李尉.
烟草行业云计算应用安全技术规范
1范围
本文件规定了云计算技术在烟草行业应用的相关安全要求.
本文件适用于指导烟草行业各单位开展云计算平台建设、管理和运行的安全工作,规范云计算应用相关的设计、建设、运行安全技术和管理工作.
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最薪版本(包括的修改单)适用于本文件.
GB/T20281一2020信息安全技术防火墙安全技术要求和测试评价方法 GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T34982-2017云计算数据中心基本要求GB/T39786-2021信息安全技术信息系统密码应用基本要求
3术语和定义
GB/T20281-2020.GB/T31167-2023界定的以及下列术语和定义适用于本文件.
云计算平台cloudputingplatform
[来源:GB/T31167-2023.3.8.有修改]
3.2云计算平台方cloudserviceprovider 建设、管理和运维云计算平台的组织或人员.
3.3云计算使用方cloudserviceuser使用云计算平台服务进行应用系统建设的组织或人员.
3.4
云Web应用防火墙cloudWebapplicationfirewall
应数据进行解析,具备Web应用的访问控制及安全防护功能的网络安全产品.
[来源:GB/T20281-2020.3.3.有修改]
3.5
云安全组件cloud security suite
面向云平台实现从态势感知到主机、网络、应用、数据多层纵深防护的平台组件.
YC/T633-2025
3.6
虚拟网络virtualprivatecloud
分配给用户的虚拟空间内的网络.
4整体规范框架
整体规范框架以全生命周期“建设、管理、使用”三个阶段为主维度,融合了平台方和使用方,管理和技术两个次维度的安全要求,形成完整的烟草行业云计算应用安全技术规范.
本规范主要包括安全建设、安全管理和安全使用三大部分,如图1所示.
安全建设要求包括烟草行业云计算平台建设阶段需要满足的相关安全要求,用于指导烟草行业云计算平台建设过程中需要考虑的云平台相关安全能力.
安全管理要求包括云计算平台市在云计算平台运行管理时程中以及使用方云上应用运行管理过程中需要满足的安全要求,用于指导云计算平台管理者对云计算平台方和云计算使用方统筹做好云计 算平台安全管理
安全使用买 包 云计算使用方在建设和运行云上应用系统所需遵循的安全事求,用于指导云计算使用方利用 云平台 台构建更加安全可靠的云上应用,供最终用户访间
5安全建设要求
5.1安全方案设计
云计算平台建投安全方案设计应符合以下要求:
a)烟草云计算《台应按报GB/T2239-2019等级保护第 级云计等安全扩展要求进行设计,b)根据“同步规划、同步建设同步使用”的原则,在云计算平台建设之前,根据百身上云的数据 应符合国家和行业对个人信息保护数据安全及国密应用等方面的安全要求;和业务类型,确定云计算安全能力要求开展安全整体规划和安全方案设计:c)组织对安全设计方案的科学性、规范性、完整性进行评审,通过后方可建设实施.
5.2供应商和产品选择
供应商和产品选择应符合以下要求:
a)根据安全需求和安全设计方案选择合适的云计算平台供应商和云计算平台建设实施单位;b)云计算平台厂商所提供的云计算平台应通过公安部信息安全等级保护三级或以上测评;云计算平台厂商提供的核心云产品(如云主机、云数据库等)宜具备中国信息通信研究院或其他国c)依据安全设计方案选择符合要求的云产品软件和硬件; 家安全认证机构颁发的可信云评估报告或证书:d)与选定的服务供应商签订安全相关的协议,明确安全责任和义务.
5.3上线安全
云计算平台上线应符合以下要求:
a)根据安全设计方案,完成云安全组件部署及安全组件核心功能验证; b)按照安全设计方案严格落实安全防护措施,完成云计算平台配置合规性检查;c)按照行业信息安全基线管理技术规范要求,完成网络、主机等漏洞和高危端口自查,并完成加固修复:d)由独立第三方安全评测机构完成安全性测评,出具漏洞扫描、渗透测试等报告;e)对第三方安全测评中出具的不符合项确认原因,及时整改并重新进行安全测评直至通f)按照GB/T22239-2019要求,及时完成云计算平台定级和备案; 过:因特殊业务需求无法达到的不符合项,需作出合理说明并进行审核和备案:g)按照GB/T39786一2021的要求,及时完成云计算平台商用密码应用安全性评估(密评)并符合3级或以上要求;h)对云平台建设实施过程及质量进行审查评估,确保达到安全设计方案预定的功能要求及质量 标准.
5.4物理安全
物理安全应符合以下要求:
a)云计算平台物理环境应满足GB/T34982-2017要求; b)云计算平台业务运行、数据存储和处理的物理设备应位于中国境内;c)云计算平台的运维和运营系统应部署在中国境内.
5.5网络安全
5.5.1架构安全
架构安全应符合以下要求:
a)宜具备提供开放接口或开放性服务,并在保证云计算平台安全架构稳定的基础上,允许接入 第三方安全产品或第三方安全服务的能力:b)具备网络架构究余性,包括通信链路、通信设备的余:c)应能确保带宽和网络通信设备满足业务高峰时期数据交换需求;d)支持按不同使用对象对云计算平台网络进行分区分域,建议包含生产业务区、业务测试区、支撑服务区、安全审计区、互联网接人区、互联网DMZ区、内网接人区、外联单位接人区、外联 单位DMZ区等,并采用相应网络安全隔离机制和措施;e)具备根据业务需求向使用方提供通信传输、边界防护、人侵防范等安全能力;f)能采用加密或者校验码技术,保证网络数据通信的完整性和保密性:g)具备对云计算平台边界进行网络流量监控和设置访问控制的能力.
5.5.2边界防护
边界防护应符合以下要求:
a)在云计算平台边界部署云Web应用防火墙,并开启防护策略;b)支持云计算平台使用方根据业务需求设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略等.
