ICS 35.030 GB CCS L 80 中华人民共和国国家标准 GB/T 34942—2025 代替GB/T34942—2017 网络安全技术 云计算服务安全能力评估方法 Cybersecurity technology- The assessment method for security capability of cloud computing service 2025-08-01发布 2026-02-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 P29 GB/T 34942—2025 目 次 前言 VI 引言 VII 1 范围 2 规范性引用文件 3 术语和定义 4 缩略语 5 概述 5.1 评估原则 5.2 评估内容 5.3 评估证据 5.4 评估实施过程 5.5 综合评估 6 系统开发与供应链安全评估方法 6.1 资源分配 6.2 系统生命周期 6.3 采购过程 6.4 系统文档 6.5 关键性分析 6.6 外部服务 10 6.7 开发商安全体系架构 12 6.8 开发过程、标准和工具 13 6.9 开发过程配置管理 15 6.10 开发商安全测试和评估 16 6.11 开发商提供的培训 20 6.12组件真实性 20 6.13 不被支持的系统组件 21 6.14 供应链保护 22 系统与通信保护评估方法 25 7.1 边界保护 25 7.2 传输保密性和完整性保护 28 7.3 网络中断 29 7.4 可信路径 30 7.5 密码使用和 31 1 GB/T 34942—2025 7.6 设备接入保护 7.7 移动代码 33 7.8 会话认证 34 7.9 恶意代码防护 35 7.10 内存防护 37 7.11 系统虚拟化安全性 37 7.12 网络虚拟化安全性 40 7.13 存储虚拟化安全性 41 7.14 安全管理功能的通信保护 43 8访问控制评估方法 45 8.1 用户标识与鉴别， 45 8.2 标识符管理 9f 8.3 鉴别凭证管理 8.4 鉴别凭证反馈 8.5 密码模块鉴别 49 8.6 账号管理 50 8.7 访问控制的实施 51 8.8 信息流控制 52 8.9 最小特权 8.10 未成功的登录尝试 55 8.11 系统使用通知 56 8.12 前次访问通知 56 8.13 并发会话控制 8.14 会话锁定 8.15 未进行标识和鉴别情况下可采取的行动 58 8.16 安全属性 58 8.17 远程访问 59 8.18 无线访问 8.19 外部信息系统的使用 61 8.20 可供公众访问的内容 63 8.21 全球广域网（Web)访问安全 63 8.22 API访问安全 9数据保护评估方法 65 9.1 通用数据安全 65 9.2 媒体访问和使用 66 9.3 剩余信息保护 9.4 70 II GB/T34942—2025 9.5 数据共享保护 70 9.6 数据迁移保护 71 10 配置管理评估方法 72 10.1 配置管理计划 72 10.2 基线配置 73 10.3 变更控制 75 10.4 配置参数的设置 78 10.5 最小功能原则 79 10.6 信息系统组件清单 80 11 维护管理评估方法 82 11.1 受控维护 82 11.2 维护工具 84 11.3 远程维护 85 11.4 维护人员 86 11.5 及时维护 88 11.6 缺陷修复 88 11.7 安全功能验证 89 11.8 软件和固件完整性 90 12 应急响应评估方法 91 12.1 事件处理计划 91 12.2 事件处理 93 12.3 事件报告 94 12.4 事件处理支持 95 12.5 安全警报 96 12.6 错误处理 97 12.7 应急响应计划 98 12.8 应急响应培训 100 12.9 应急演练… 101 12.10 信息系统备份 102 12.11 支撑客户的业务连续性计划 104 12.12 电信服务 105 13 审计评估方法· 106 13.1 可审计事件 106 13.2 审计记录内容 107 13.3 审计记录存储容量 107 13.4 审计过程失败时的响应 108 13.5 审计的审查、分析和报告 109 II SAC GB/T 34942—2025 13.6 审计处理和报告生成 111 13.7 时间戳 112 13.8审计信息保护 113 13.9抗抵赖性 114 13.10审计记录留存 115 14风险评估与持续监控评估方法 116 14.1 风险评估 116 14.2 脆弱性扫描 117 14.3 持续监控 118 14.4 信息系统监测· 120 14.5 垃圾信息监测 122 15 安全组织与人员 123 15.1 安全策略与规程· 123 15.2 安全组织 124 15.3 岗位风险与职责 125 15.4 人员筛选 126 15.5 人员离职 126 15.6 人员调动 128 15.7 第三方人员安全 128 15.8 人员处罚 129 15.9 安全培训 130 16 物理与环境安全评估方法 131 16.1 物理设施与设备选址· 131 16.2 物理和环境规划 132 16.3 物理环境访问授权 134 16.4 物理环境访问控制 135 16.5 输出设备访问控制 137 16.6 物理访问监控 137 16.7 访客访问记录 138 16.8 设备运送和移除 139 附录A（资料性）常见云计算服务脆弱性问题 141 A.1 概述 141 A.2 系统开发与供应链安全 141 A.3 系统与通信保护 142 A.4 访问控制 143 A.5 数据保护 145 A.6 配置管理 147 IV GB/T 34942—2025 A.7 维护管理 149 A.8 应急响应 150 A.9 审计 151 A.10 风险评估与持续监控评估方法 152 A.11 安全组织与人员 154 A.12 物理与环境安全 155 附录B（资料性） 单项安全要求评估描述 156 参考文献·· 157