YD_T 3797.1-2021 云服务用户数据保护能力评估方法 第1部分：公有云.pdf

1、 bICS 33.040 M10 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T XXXXXXXX 云服务用户数据保护能力评估方法 第 1 部分：公有云 Cloud user data protection capability assessment method part 1:public clouds （报批稿）-发布-实施 中华人民共和国工业和信息化部 发布 YD YD/T 1 目 次 前前 言言.3 1 范围.4 2 规范性引用文件.4 3 术语和定义.4 4 评估方法概述.5 5 企业基本信息和业务基本信息披露.5 6 云计算用户数据保护能力指标的完备性和规范性.6 6

2、.1 评估方法.6 6.2 具体指标项.6 7 云计算用户数据保护能力指标的真实性.8 7.1 评估方法概述.8 7.2 具体指标或条款评估方法.8 7.2.1 数据持久性.8 7.2.1.1 数据存储持久性评估方法.8 7.2.1.2 数据存储完整性.9 7.2.1.3 数据本地备份和恢复.9 7.2.1.4 数据异地备份和恢复.10 7.2.2 数据私密性.10 7.2.2.1 数据隔离安全性.10 7.2.2.2 数据存储保密性.10 7.2.2.3 秘钥和证书管理.1011 7.2.2.4 加密算法可配置.11 7.2.2.5 加解密性能.11 7.2.2.6 第三方加密.11 7.2

3、.3 数据隐私性.11 7.2.4 数据知情权.12 7.2.5 数据防窃取性.12 7.2.6 数据可用性.12 7.2.7 数据访问安全性.12 7.2.8 数据传输安全性.13 7.2.9 数据迁移安全性.13 7.2.10 数据销毁安全性.14 7.2.11 数据返还安全性.1415 7.2.12 内部人员管控.15 7.2.13 入侵防范.15 7.2.14 恶意代码防范.1516 7.2.15 应急响应.16 YD/T 2 7.2.16 安全审计.16 7.2.17 售后服务与技术支持.1617 7.2.18 业务可审查性.17 YD/T 3 前 言 本标准是“云服务用户数据保护能

4、力”系列行业标准之一，该系列标准名称和结构如下：-云服务用户数据保护能力参考框架-云服务用户数据保护能力评估方法 第1部分：公有云-云服务用户数据保护能力评估方法 第2部分：私有云 本标准按照GB/T 1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位：中国信息通信研究院、上海优刻得信息科技有限公司、腾讯云计算（北京）有限责任公司、阿里云计算有限公司、北京京东叁佰陆拾度电子商务有限公司、华为技术有限公司、北京升鑫网络科技有限公司、中国电信股份有限公司云计算分公司、网宿科技股份有限公司

5、、北京百度网讯科技有限公司、北京三快云计算有限公司、金山云网络技术有限公司、联通云数据有限公司、中国移动通信集团公司政企客户分公司、北京世纪互联宽带数据中心有限公司、北京奇安信科技有限公司、360企业安全集团、上海浪潮云计算服务有限公司、网易（杭州）网络有限公司、中兴通讯股份有限公司、新华三技术有限公司、深信服科技股份有限公司、佳讯飞鸿（北京）智能科技研究院有限公司、烽火通信科技股份有限公司、BoCloud博云、上海优铭云计算有限公司、浙江九州云信息科技有限公司、上海蓝云网络科技有限公司、北京中联润通信息技术有限公司、中移（苏州）软件技术有限公司、优思得云计算科技（北京）有线公司、国际商业机器

6、（中国）有限公司、杭州安恒信息技术股份有限公司 本标准主要起草人：封莎、栗蔚、何宝宏、何友斌、王敬宇、朱锋、王永霞、沈锡庸、张大江、黄少青、海洋、李培、高巍、耿涛、罗斌、陈光辉、赵华、程度、韩冰、王彦丹、杨天路、谭燕齐、刘沛、谢广军、李爽、吴婧、吴建强、曾小伟、胡斯诺、张娜、王萃娟、李晓宇、徐燕、赵万成、杨帆、刘浩、李纪峰、王方、朱勇、张敏、祝卓、杨春建、万晓兰、杨恩众、陈沛、钟昊、陈姝、何玉娟、邹素雯、涂文杰、耿浩涛、朱荣泽、刘传宇、陈澍、乔海波、郭旸、杨剑浩、江琦、程海旭、黄英杰、隋涛。YD/T 4 云服务用户数据保护能力评估方法 第 1 部分：公有云 1 范围 本标准规定了公有云云计算服

7、务提供者在提供云计算服务时应具备的用户数据安全保护能力要求和评估方法进行规范，包括事前防范能力、事中保护能力和事后追溯能力。本标准适用于第三方机构对公有云云计算服务提供者的云计算服务用户数据安全保护能力审查和评估提供参考，也为公有云云计算服务提供者的用户数据安全保护能力建设提供参考。2 规范性引用文件 下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本标准。凡是不注日期的引用文件，其最新版本（包括所有的修改版）适用于本标准。GB/T 32400-2015 信息技术 云计算 概览与词汇 YD/T 1796-2018 云服务用户数据保护能力参考框架 3 术语和定义

8、 下列术语和定义适用于本文件。3.1 公有云公有云 p public cloudublic cloud 云服务可被任意云服务客户使用，且资源被云服务提供者控制的一种云部署模型。GB/T 32400-2015，定义3.2.33 3.2 云服务用户数据云服务用户数据 cloud servicecloud service u user dataser data 云计算服务用户在使用云计算服务过程中上传、存储、传输、处理和产生的数据，如虚拟机镜像文件、代码、对象文件、数据库，用户鉴别信息、用户日志等。3.3 云服务提供商数据云服务提供商数据 c cloud service provider datal

9、oud service provider data 云计算服务提供商控制的一类数据，如访问控制列表、系统日志、操作日志等。3.4 云服务衍生数据云服务衍生数据 c cloud loud s services ervices d derived erived d dataata 基于云服务用户数据和云服务提供商数据分析得出的数据。YD/T 5 3.5 用户鉴别用户鉴别信息信息 u user authentication informationser authentication information 用于鉴定用户身份是否合法的信息，如用户登录各种业务系统的账号和密码、服务密码等。4 评估方法概

10、述 云计算用户数据保护能力评估方法包括三个维度：a)第一个维度：企业信息真实性披露，即参评企业基本信息和业务基本信息的真实性。本维度主要采用材料审查的方式，对参评企业基本信息和业务基本信息的真实性进行验证。企业基本信息包括经营资质、规模、人员等，业务基本信息包括业务名称、起始时间、支付方式等。通过的准则是参评云业务提交的基本信息材料必须真实，所有必选项必须通过，详细内容见第 5章。b)第二个维度：云计算用户数据保护能力指标的完备性和规范性，即云服务商是否就应具备的用户数据保护能力指标做了承诺或告知，承诺或告知的描述是否规范。本维度考察云服务商是否就云计算用户数据保护能力所有指标进行了承诺或说明

11、，承诺或说明的出处为云计算服务协议（含 SLA）和其他说明文档，如白皮书等。需承诺或说明的指标为 YD/T 1796-2018 中列出的所有指标项，详细内容见第 6 章 c)第三个维度：云计算用户数据保护能力指标的真实性，即承诺或告知的指标的真实能力。本维度根据规定的评估方法，对每个云计算用户数据保护能力指标承诺的真实性进行评估。总体通过的准则是服务协议中的所有指标项都必须按照评估方法通过验证，详细内容见第 7 章。5 企业基本信息和业务基本信息披露 本维度的评估主要采用材料审查的方式，需审查的材料清单如表 1 所示。通过的准则包括：必选项目，企业必须提交材料进行审查；可选项目，企业可以根据自

12、身情况提交相应材料进行审查；参评云业务提交的基本信息材料必须真实，所有必选项都通过形式审查，可选项（已选择参评的）也必须通过形式审查；企业参评的原始材料不会被公开，但可自愿选择是否在云服务数据保护能力评估之后，对外公开披露审查的真实性结果。表 1 企业基本信息和业务基本信息提交材料表 项目 是否必选 提交材料 企业基本信息企业基本信息 YD/T 6 IDC牌照（是自有IDC牌照，还是租用有IDC牌照的机房）必选（1）自有 IDC 牌照：出示 IDC 牌照；IaaS必须有。（2）租用有 IDC 牌照的机房：出示租用证明及出租方的 IDC 牌照编号。经营牌照 必选 公司企业法人营业执照 规模 必选

13、 公司整体社保缴纳信息证明 资金 必选 验资报告 组织结构 必选 组织机构证书 ICP,ISP，第三方支付等等行业部门发的相关牌照 可选 牌照复印件 已经通过的认证，例如云安全审查证书、CSA C-STAR证书、ISO27001 证书 可选 证书复印件 连续几年纳税证明 可选 纳税证明复印件 股权结构 可选 业务基本信息业务基本信息 与用户数据相关的主营业务名称 必选 与用户数据相关的主营业务介绍材料 与用户数据相关的主营业务运营起始时间 必选 同上 与用户数据相关的主营业务功能 必选 同上 与用户数据相关的所有支付方式等 必选 同上 与用户数据相关的主营业务采用的软件、硬件 必选，要向专家组

14、提供，但自愿向公众披露 与用户数据相关的主营业务所涉及的硬件、软件清单信息 6 云计算用户数据保护能力指标的完备性和规范性 6.1 评估方法 本维度考察云服务商是否就应具备的云计算用户数据保护能力指标进行了承诺或说明，承诺或说明的出处为云计算服务协议（含 SLA）和其他说明文档，如白皮书、技术规范、操作规程等，需承诺或说明的指标为 YD/T 1796-2018 中推荐的所有指标项。指标项分为必选和可选两类，必选项指标为云服务商必须承诺或告知的指标，必须有出处，可以出自服务协议、SLA 或其他文档，且符合 YD/T 1796-2018 的规范性描述；可选项指标为云服务商选择符合的指标项，如符合则

15、证明具有更为全面的用户数据保护能力。6.2 具体指标项 云计算用户数据保护能力指标覆盖数据保护的事前防范、事中保护、事后追溯三大阶段，具体指标项如表 2 所示。表 2 云服务用户数据保护能力指标汇总表 YD/T 7 序号序号 保护阶段保护阶段 指标类别指标类别 指标项指标项 事前防范 数据持久性 数据存储持久性 数据存储完整性 数据本地备份和恢复 数据异地备份和恢复 数据私密性 数据隔离安全性 数据存储保密性 秘钥和证书管理 加密算法可配置 加解密性能 第三方加密 数据隐私性 数据隐私性 数据知情权 数据知情权 数据防窃取性 数据防窃取性 数据可用性 数据可用性 数据访问安全性 数据访问安全性

16、 数据传输安全性 数据传输安全性 数据迁移安全性 数据迁移安全性 数据销毁安全性 数据销毁安全性 数据返还安全性 数据返还安全性 人员安全管控 人员安全管控 事中保护 入侵防范 入侵防范 恶意代码防范 恶意代码防范 事后追溯 应急响应 应急响应 安全审计 安全审计 售后服务与技术支持 售后服务与技术支持 服务可审查性 服务可审查性 YD/T 8 7 云计算用户数据保护能力指标的真实性 7.1 评估方法概述 根据本方法中规定的评估方法，对每个指标承诺的真实性进行评估。总体通过的准则需要所有云计算用户数据保护能力指标项都应按照评估方法通过验证。具体评估方法可概括为以下几种：a)人员访谈：对云服务企

17、业中的不同角色人员当面交流，获取业务系统相关技术和管理情况；b)材料审查：对于指标项相关的各类文档进行查看，包括但不限于：云计算服务协议（含 SLA）和其他说明文档，如白皮书、技术规范、操作规程等；c)技术测试：包括利用自动化工具（如漏洞扫描、端口扫描、Web 检测等）进行技术检测、人工查看设备相关配置、内外网渗透测试等；d)模拟监测：通过技术方式实现对某些指标的远程、实时状态获取和数据收集查看。7.2 具体指标或条款评估方法 7.2.1 数据持久性 7.2.1.1 数据存储持久性评估方法 数据存储持久性定义参见YD/T 1796-2018 5.1.1节。评估方法：主要基于材料审查和模拟监测的

18、方式。材料审查的方式包括：a)提供材料证明服务协议中承诺的概率具体的推算方法。示例 1：某云业务在服务协议中承诺数据存储的持久性为 99.999%，是根据设备的可靠性和软件层面的冗余特性来设定这个数值的。那么就要提供系统架构和保障机制的文档。包括设备的可靠性内容，冗余备份的材料来证明其 99.999%是通过合理的方法确定的。此方面需要出具的证明材料：1)概率数值；2)推算方法概述，要求披露以下方面：（存储的总体实现方式：本地磁盘，NAS，网络块设备等；硬盘平均故障间隔时间，MTBF；检测时间（t）:多久检测一次故障；恢复时间（T）：故障恢复时间；其它保障机制。3)与推算方法相关的证明材料：存储

19、架构、保障机制等。b)提供材料证明云服务实际运行中数据存储持久性的情况，即每月有多少用户可以达到承诺的持久性数值。实际执行持久性的计算方法如下，可根据实际赔偿记录判定存储持久性不达标用户：1)每个用户每月持久性设为，其中，为第 j 个用户第 i 月总数据量，为第 j 个用户第 i 月总损失数据量，i 为第 i 个月，j 为第 j 个用户；YD/T 9 2)第 j 个用户近 6 个月中平均持久性为，其中，为近 6 个月中第 j 个用户第 i个月的持久性概率，这里设定测量周期为 6 个月；3)参 评 云 业 务 的 所 有 用 户 中，到 承 诺 的 持 久 性99.999%的 用 户 数 为,，

20、其中，N 为云业务总用户数，n 为统计的用户数；4)达到承诺持久性的用户概率为,其中，N 为云业务总用户数，n 为达到承诺持久性的用户数；5)设定阈值 f=99%，如果 f 大于此阈值，则认为承诺的持久性在实际运营中可信。此方面需要提供的材料：近 6 个月的用户实际情况，可以是运行报告，也可以是故障报告；近 6 个月的参评业务实际持久性的自测结果 f 的值，计算方法及相关证明文档或材料；示例 2 某云业务在服务协议中承诺数据存储的持久性为 99.999%，在实际的执行中，近 6 个月，超过 90%的用户存储持久性都能达到或超过此数值，那么则认为此承诺比较可信；如果只有 10%的用户能达到此数值

21、，那么则认为此承诺不可信。具体的阈值需要在专家组内测中确定。模拟监测：测试长期使用过程中，统计数据存储中丢失的数据量和完好数据量，以自然月为统计周期计算得到数据持久性的概率值。7.2.1.2 数据存储完整性 数据存储完整性定义参见YD/T 1796-20185.1.2节。评估方法：主要基于材料审查和模拟监测的方式。材料审查，云服务商应提供与承诺相符的数据完整性的材料，证明以下两方面的情况，通过准则是要求以下两方面都通过：a)提供材料证明服务协议中承诺的概率是如何推算出来的，专家组所有人认可材料和推算方法是合理的，那么即认为通过此方面的评估。b)提供材料证明云业务实际执行中完整性的情况，即每月有

22、多少用户可以达到承诺的完整性数值。模拟监测：测试长期使用过程中，统计数据存储中受到破坏数据量和完好数据量，以自然月为统计周期计算得到数据完整性的概率值。7.2.1.3 数据本地备份和恢复 数据本地备份和恢复定义参见YD/T 1796-2018 5.1.3节。评估方法：主要基于材料审查和技术测试的方式。材料审查，云服务商应提供与承诺相符的数据本地备份和恢复的材料：a)云服务商应提供与承诺相符的其实现用户数据本地备份和恢复机制说明文档、截图等材料。技术测试，由参评云业务提供测试账号：a)查看本地备份和恢复功能是否存在且完备 b)检测本地备份和恢复功能是否可用：YD/T 10 1)创建测试数据；2)

23、选择手动本地备份数据（包括全量、增量、多副本等），查看备份结果；3)如存在自动备份，则设置规则触发自动备份，查看备份结果；4)修改/删除测试数据，选择备份源，进行恢复；5)记录备份时间，查看恢复结果。7.2.1.4 数据异地备份和恢复 数据异地备份和恢复定义参见YD/T 1796-2018 5.1.4节。评估方法：主要基于材料审查和技术测试的方式。材料审查，云服务商应提供与承诺相符的数据异地备份和恢复的材料：a)云服务商应提供与承诺相符的其实现用户数据异地备份和恢复机制说明文档、截图等材料。技术测试，由参评云业务提供测试账号：a)查看异地备份和恢复功能是否存在且完备 b)检测异地备份和恢复功能

24、是否可用：1)创建测试数据；2)选择手动异地备份数据（包括全量、增量、多副本等），查看备份结果；3)如存在自动备份，则设置规则触发自动备份，查看备份结果；4)修改/删除测试数据，选择备份源，进行恢复；5)记录备份时间，查看恢复结果。7.2.2 数据私密性 7.2.2.1 数据隔离安全性 数据隔离安全性定义参见YD/T 1796-2018 5.2.1节。评估方法：主要基于材料审查和技术测试的方式。a)材料审查，云服务商应提供与承诺相符的数据隔离安全性的材料：1)云服务商应提供与承诺相符的其实现用户数据互相隔离、不可互访的机制说明文档、截图等材料。b)技术测试，由参评云业务提供两个测试账号：1)测

25、试不同用户之间的云主机内网不可互访，以及互发流量是否可截获；2)测试同一用户内安全组机制（可选）。7.2.2.2 数据存储保密性 数据存储保密性定义参见YD/T 1796-2018 5.2.2节。评估方法：主要基于材料审查和技术测试的方式。材料审查，云服务商应提供与承诺相符的数据存储保密性的材料：a)云服务商应提供与承诺相符的其实现数据存储保密性机制说明文档、截图等材料；b)云服务商应提供秘钥管理机制或相关说明文档、截图等材料。技术测试，由参评云业务提供测试账号：a)查看是否用户鉴别信息明文存储；b)测试提供给用户的数据加密、密钥管理的接口是否可用。7.2.2.3 秘钥和证书管理 YD/T 1

26、1 加密算法可配置定义参见YD/T 1796-2018 5.2.3节。评估方法：主要基于材料审查和技术测试的方式。材料审查，云服务商应提供与承诺相符的秘钥和证书管理的材料：a)云服务商应提供与承诺相符的其实现对秘钥和证书进行有效管理，确保其安全有效。技术测试，由参评云业务提供测试账号：a)查看秘钥和证书管理方法；b)测试管理方法是否安全有效。7.2.2.4 加密算法可配置 加密算法可配置定义参见YD/T 1796-2018 5.2.4节。评估方法：主要基于材料审查和技术测试的方式。材料审查，云服务商应提供与承诺相符的加密算法可配置的材料：a)云服务商应提供与承诺相符的其实现加密算法可配置说明文

27、档、截图等材料。技术测试，由参评云业务提供测试账号：a)查看是否可配置加密算法、强度和方式等参数；b)测试算法配置是否有效。7.2.2.5 加解密性能 加解密性能定义参见YD/T 1796-2018 5.2.5节。评估方法：主要基于材料审查和技术测试的方式。材料审查，云服务商应提供与承诺相符的加解密性能的材料：a)云服务商应提供与承诺相符的其实现加解密性能说明文档、截图等材料。技术测试，由参评云业务提供测试账号：a)查看可配置加密算法、强度和方式等参数是否与说明材料相符；b)测试每秒加解密次数、加解密数据量。7.2.2.6 第三方加密 第三方加密定义参见YD/T 1796-2018 5.2.6

28、节。评估方法：主要基于材料审查和技术测试的方式。材料审查，云服务商应提供与承诺相符的第三方加密的材料：a)云服务商应提供与承诺相符的其实现第三方加密说明文档、截图等材料。技术测试，由参评云业务提供测试账号：b)测试第三方加解密及密钥管理功能是否可用 7.2.3 数据隐私性 数据隐私性定义参见YD/T 1796-2018 5.3节。评估方法：主要基于人员访谈和材料审查的方式。人员访谈，对参评云业务工作人员进行访谈，访谈内容包括：a)参评云业务处理用户数据的方式，提供给第三方的流程等。材料审查，云服务商应提供与承诺相符的数据隐私性的材料：b)云服务商应提供与承诺相符的其实现数据隐私性机制说明文档、

29、截图等材料。YD/T 12 7.2.4 数据知情权 数据知情权定义参见YD/T 1796-2018 5.4节。评估方法：主要基于人员访谈和材料审查的方式。人员访谈，对参评云业务工作人员进行访谈，访谈内容包括：a)不同云服务的数据类型、数据存储位置、数据备份、备份位置等情况；b)用户数据的使用人和使用的数据类型情况；c)数据中心的当地与数据中心相关法律；d)数据出境相关安全评估通过情况。材料审查：云服务商应提供与承诺相符的数据知情权说明的材料：a)云服务商应提供与承诺相符的数据知情权说明文档、截图等材料。7.2.5 数据防窃取性 数据防窃取性定义参见YD/T 1796-2018 5.5节。评估方

30、法：主要基于人员访谈和材料审查的方式。人员访谈，对参评云业务工作人员进行访谈，访谈内容包括：a)参评云业务处理数据在磁盘存储的方式、磁盘的管理流程等。材料审查：云服务商应提供与承诺相符的数据防窃取性的材料：a)云服务商应提供与承诺相符的其实现磁盘数据防泄漏机制说明文档、截图等材料。7.2.6 数据可用性 数据可用性定义参见YD/T 1796-2018 5.6节。评估方法：主要基于材料审查和模拟监测的方式。材料审查：云服务商应提供与承诺相符的数据可用性的材料，证明以下两方面的情况，通过准则是要求以下两方面都通过：a)提供材料证明服务协议中承诺的概率是如何推算出来的，专家组所有人认可材料和推算方法

31、是合理的，那么即认为通过此方面的评估。b)提供材料证明云服务实际执行中数据可用性的情况，即每月有多少用户可以达到承诺的数据可用性数值。模拟监测：a)测试长期使用过程中，统计对数据的各项操作成功数和失败数，以自然月为统计周期计算得到数据可用性的概率值。7.2.7 数据访问安全性 数据访问授权定义参见YD/T 1796-2018 5.7节。评估方法：主要基于材料审查、技术测试的方式。材料审查，云服务商应提供与承诺相符的数据访问授权材料：a)云服务商应提供与承诺相符的其实现数据访问授权机制说明文档、截图等材料；b)云服务商应提供与承诺相符的其实现访问权限最小化机制说明文档、截图等材料；c)云服务商应

32、提供与承诺相符的其实现身份鉴别机制说明文档、截图等材料；d)云服务商应提供与承诺相符的身份鉴别信息说明文档、截图等材料；e)云服务商应提供与承诺相符的其实现暴力破解防范机制说明文档、截图等材料；YD/T 13 f)云服务商应提供与承诺相符的其实现异常行为监测机制说明文档、截图等材料，包括异常操作的告警方式和异常操作设定种类等信息。技术测试，由参评云业务提供测试账号：a)测试进行数据访问操作，是否需要触发登录、短信验证等预期的验证授权机制；b)测试是否包含授权超时锁定功能；c)查看用户权限配置，是否符合访问权限最小化要求；d)查看日志文件等敏感数据的权限，是否符合访问权限最小化要求；e)查看是否

33、存在多余过期帐户；f)测试触发身份鉴别操作，查看是否提供了两种或两种以上组合的鉴别技术来对用户进行身份鉴别，包括但不限于口令、证书、短信、令牌、指纹、虹膜等；g)测试多次输入错误鉴别信息，查看系统鉴别失败处理功能是否正常运行，包括限制鉴别失败次数、在鉴别失败时采取结束会话和自动退出等措施；h)查看是否提供设置接入方式、网络地址范围等条件限制用户登录的功能配置，测试配置是否能够启用；i)设置与承诺鉴别信息复杂度不符的鉴别信息，看是否能够通过；j)查看是否存在默认账号口令或弱口令列表；k)测试暴力破解防范机制是否启用，包括是否可以设置弱口令，是否可以使用默认账号口令登陆等；l)测试实施大批量操作、

34、非法输入、非法请求等异常行为后，异常行为监测是否对涉及用户数据的访问和操作进行了监测。7.2.8 数据传输安全性 数据传输保密性定义参见YD/T 1796-2018 5.8节。评估方法：主要基于材料审查和技术测试的方式。材料审查，云服务商应提供与承诺相符的数据传输保密性材料：a)云服务商应提供与承诺相符的其实现数据传输保密性机制说明文档、截图等材料，包括实现用户鉴别信息传输保密性的方式，采用的加密方式、加密算法等，提供用户实现对重要数据传输进行加密的支持；b)云服务商应提供与承诺相符的其实现数据传输完整性机制说明文档、截图等材料，包括检测数据传输完整性的实现方式，检测到完整性错误时的恢复方式。

35、技术测试，由参评云业务提供测试账号：a)测试监听用户鉴别信息传输过程，查看传输过程中鉴别信息是否进行了保密；b)测试用户重要数据传输时，是否可以选择进行加密，用户选择加密传输后，监听传输数据，查看传输过程中用户重要数据是否进行了保密；c)测试伪造错误数据包，查看是否能够识别该伪造数据，是否触发数据恢复操作，判定数据传输完整性机制是否有效。7.2.9 数据迁移安全性 数据可迁移性定义参见YD/T 1796-2018 5.9节。评估方法：主要基于材料审查和技术测试的方法。材料审查，云服务商应提供与承诺相符的数据可迁移性材料：a)云服务商应提供与承诺相符的指导用户的数据迁出、迁入的操作说明文档或手册

36、，云服务系统应提供用户虚拟机、数据库、存储等数据的导入/导出的功能。包括：YD/T 14 1)操作说明、支持虚拟化平台（KVM 等）、镜像模板（OVF 等）等等；2)具体在不同虚拟机之间进行数据迁移的操作说明、包括同一系统或不同系统之间具体数据迁移方案等；3)云服务商在不同虚拟机之间进行数据迁移并保证业务连续性的技术手段。技术测试，测试数据导入和导出的方法和模板，由参评云业务商提供测试账号，以云主机为例：a)导入：1）按云服务商云主机迁移的镜像文件格式 2）在本地虚拟化验证平台上确定迁出的虚拟机，并在虚拟机中安装软件及测试文件 3）将生成的镜像文件导出到专有服务器 4）将镜像文件上传到云平台上

37、 5）通过上传的镜像文件模板创建云主机 6）登陆云主机验证是否与虚拟化验证平台虚拟机信息一致 b)导出：1）确认云主机迁移的镜像文件格式及模板；2）选定计划迁移的云主机，创建测试验证文件后，生成主机镜像文件；3）下载镜像文件并验证镜像文件完整性及格式；4）过命令将镜像文件上传到本地测试验证平台；5）通过测试验证平台管理页面加载镜像文件并生成虚拟机；6）登陆虚拟机验证与云服务平台上云主机信息一致性。7.2.10 数据销毁安全性 数据可销毁性定义参见YD/T 1796-2018 5.10节。评估方法：主要基于人员访谈和材料审查的方式。人员访谈：a)进行用户数据删除操作的详细步骤；b)用户执行数据删

38、除时服务商所使用的技术手段；c)查看管理员实际删除操作和日志；d)是否存在被销毁数据的恢复的技术手段；e)云服务相关人员是否可能恢复被销毁的数据。材料审查，云服务商应提供与承诺相符的数据可销毁性的材料，以及禁止数据恢复的材料：a)云服务系统数据删除、销毁的设计说明文档；b)存储介质报废前人工销毁的实现方法说明和操作记录文档；c)查看用户实际删除操作和日志，删除测试账号下云主机的数据；d)禁止数据恢复的设计说明文档；e)管理要求，禁止相关人员对被销毁数据的恢复。7.2.11 数据返还安全性 数据返还安全性定义参见YD/T 1796-2018 5.11节。评估方法：主要基于材料审查和技术测试的方法

39、。材料审查，云服务商应提供与承诺相符的数据返还安全性材料：a)返还途径说明、操作手册等。b)数据返还后删除数据的设计文档等。技术测试：YD/T 15 a)测试账号到期或要求终止合约时，是否能够进行数据返还；b)测试根据操作说明文档或手册，是否能获取全部数据；c)查看删除操作日志。7.2.12 内部人员管控 内部人员管控定义参见 YD/T 1796-2018 5.12 节。评估方法：主要基于人员访谈和材料审查的方法。人员访谈：a)接触用户数据的人员类型、数量，是否有级别限制；b)是否设有负责内部人员管控的组织机构；c)接触用户数据的人员应遵循的规范，哪些行为是被禁止的，哪些行为是在特殊情况下可以

40、被允许的；d)对防范内部人员对用户数据造成安全威胁或损害的技术措施；e)对于窃取或损坏用户数据的内部人员的处理办法。材料审查，云服务商应提供与承诺相符的内部人员管控材料：a)针对能够接触用户数据的内部人员的管理制度或管理办法；b)内部人员的分级或分类制度，以及各级别或类型人员对于用户数据接触程度的说明；c)对防范内部人员对用户数据造成安全威胁或损害的技术措施的说明文档等；d)对于窃取或损坏用户数据的内部人员的追责制度。7.2.13 入侵防范 云主机镜像更新定义参见YD/T 1796-2018 5.13节。评估方法：主要基于材料审查和技术测试的方式。材料审查，云服务商应提供与承诺相符的云主机镜像

41、更新的材料、入侵和攻击行为监测的材料：a)云主机镜像更新机制设计文档、说明材料 b)云主机镜像的最小安装的原则、可选组件、应用程序的安装卸载规则材料；c)对使用中的旧版本镜像的系统更新、漏洞告警和补丁升级等功能设计文档；d)入侵和攻击行为监测机制设计文档、说明材料；e)可监测的入侵和攻击行为的说明文档；f)监测到攻击后，对攻击的日志记录说明材料；g)入侵告警机制设计文档、说明材料。技术测试：a)查看镜像漏洞修复日志、镜像升级日志；b)测试安装镜像，可选组件是否需经用户允许才能安装，用户是否可卸载镜像中不需要的组件和应用程序；c)查看入侵和攻击行为监测日志；d)查看严重入侵事件告警日志；e)测试

42、对被测目标发起模拟入侵攻击，查看是否有攻击的日志记录，是否对入侵进行了告警等，判定入侵和攻击行为监测是否有效。7.2.14 恶意代码防范 主机恶意代码防范定义参见YD/T 1796-2018 5.14节。评估方法：主要基于材料审查和技术测试的方式。YD/T 16 材料审查，云服务商应提供与承诺相符的宿主机、用户主机恶意代码防范的材料：a)宿主机恶意代码检测和清除设计文档；b)用户主机恶意代码检测和清除设计文档。技术测试：a)查看宿主机、用户主机恶意代码扫描和清除日志和周期扫描配置；b)查看宿主机、用户主机恶意代码库更新日志和周期更新配置；c)测试对被测宿主机、用户主机植入恶意代码，产看宿主机是

43、否能够检测到恶意代码并对恶意代码进行成功清除，判定宿主机恶意代码防范机制是否有效。7.2.15 应急响应 应急预案定义参见YD/T 1796-2018 5.15节。评估方法：主要基于人员访谈和材料审查的方式。人员访谈：a)与主管部门应急响应预案衔接情况；b)询问发生各类安全事件的应急响应流程；c)查看数据泄漏、丢失或攻击事件的用户通知日志。材料审查，云服务商应提供与承诺相符的应急预案的材料：a)数据安全保护应急预案文稿。7.2.16 安全审计 安全审计定义参见YD/T 1796-2018 5.16节。评估方法：主要基于人员访谈和材料审查的方式。人员访谈：a)访谈相关人员，了解用户的操作、行为和

44、资源使用、敏感数据的使用、系统重要事件等记录是否有日志可循，日志是否集中存放；b)是否对异常操作进行了定义；c)生成的审计报表是否可修改及修改的权限要求；d)是否可以根据用户的特定配置生成审计报告。材料审查，云服务商应提供与承诺相符的常规安全审计材料：a)云服务商应提供与承诺相符的常规安全审计的审计范围和周期说明文档、截图等材料，内容包括是否覆盖用户的关键操作、重要行为、业务资源使用情况、对敏感数据的使用、系统重要事件、审计周期等；b)安全审计报表所涵盖的相关数据以及审计报表的生成流程说明文档；c)审计日志的保护策略，是否能够保护审计日志不会被修改、删除或覆盖。7.2.17 售后服务与技术支持

45、 用户投诉与反馈机制定义参见YD/T 1796-2018 5.17节。评估方法：主要基于人员访谈和材料审查的方式。人员访谈：a)查看用户反馈与记录日志；b)有关用户数据保护的用户投诉和意见处理反馈方式；c)接到用户投诉和意见后的首次响应时间，二次反馈时间；材料审查，云服务商应提供与承诺相符的用户投诉与反馈机制的材料：YD/T 17 a)用户投诉与反馈机制设计文档、说明材料，包括用户投诉和意见处理流程和规范、响应时间限定说明等。7.2.18 业务可审查性 业务可审查性定义参见YD/T 1796-2018 5.18节。评估方法：主要基于人员访谈和材料审查的方式。人员访谈：a)说明在什么样的情况下，可以向相关机构提供数据审查；b)向相关机构提供数据审查时，提供的文档材料类型；c)运维人员的操作记录是否有日志可循，日志是否集中存放。材料审查，云服务商应提供与承诺相符的业务可审查性的材料：a)操作审计：关键组件的 3 个月内运行日志、运维人员的操作记录等。b)人员审计：人员权限管理规定、人员基本信息等。