YC-T 633-2025 烟草行业云计算应用安全技术规范

ICS65.160 YC CCS X 89 中华人民共和国烟草行业标准 YC/T633—2025 烟草行业云计算应用安全技术规范 Tobacco industry cloud computing application security technicalspecification 2025-06-30发布 2025-10-01实施国家烟草专卖局发布中国标准出版社出版 YC/T633—2025 前言本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由国家烟草专卖局提出。本文件由全国烟草标准化技术委员会信息分技术委员会（SAC/TC144/SC7)归口。本文件主要起草单位：国家烟草专卖局经济信息中心、浙江省烟草专卖局（公司）、中国烟草总公司信息系统上海容灾中心。本文件主要起草人：岳嵌、陈楠、蒋善航、耿欣、杨继东、陆健华、章文彬、柴金龙、李洋洋、李尉。 YC/T633—2025 烟草行业云计算应用安全技术规范 1 范围本文件规定了云计算技术在烟草行业应用的相关安全要求。本文件适用于指导烟草行业各单位开展云计算平台建设、管理和运行的安全工作，规范云计算应用相关的设计、建设、运行安全技术和管理工作。 2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文本文件。 GB/T20281一2020信息安全技术防火墙安全技术要求和测试评价方法 GB/T22239—2019信息安全技术网络安全等级保护基本要求 GB/T31167—2023信息安全技术云计算服务安全指南 GB/T34982—2017 云计算数据中心基本要求 GB/T39786—2021信息安全技术信息系统密码应用基本要求 3术语和定义 GB/T20281—2020、GB/T31167—2023界定的以及下列术语和定义适用于本文件。 3.1 云计算平台cloudcomputingplatform 云计算基础设施及其上的服务软件的集合。 [来源：GB/T31167—20233.8，有修改] 3.2 云计算平台方cloud serviceprovider 建设、管理和运维云计算平台的组织或人员。 3.3 云计算使用方cloud serviceuser 使用云计算平台服务进行应用系统建设的组织或人员。 3.4 云Web应用防火墙cloudWebapplicationfirewall 基于云平台的Web应用防护措施，部署于Web服务区前端，对流经的HTTP/HTTPS访问和响应数据进行解析，具备Web应用的访问控制及安全防护功能的网络安全产品。 [来源：GB/T20281—2020，3.3，有修改] 3.5 云安全组件cloud security suite 面向云平台实现从态势感知到主机、网络、应用、数据多层纵深防护的平台组件。 1 YC/T 633—2025 3.6 虚拟专有网络virtualprivatecloud 分配给用户的虚拟空间内的网络。 4整体规范框架整体规范框架以全生命周期“建设、管理、使用”三个阶段为主维度，融合了平台方和使用方，管理和技术两个次维度的安全要求，形成完整的烟草行业云计算应用安全技术规范。本规范主要包括安全建设、安全管理和安全使用三大部分，如图1所示。安全建设要求包括烟草行业云计算平台建设阶段需要满足的相关安全要求，用于指导烟草行业云计算平台建设过程中需要考虑的云平台相关安全能力安全管理要求包括云计算平台方在云计算平台运行管理过程中以及使用方云上应用运行管理过程中需要满足的安全要求，用于指导云计算平台管理者对云计算平台方和云计算使用方统筹做好云计算平台安全管理工作。安全使用要求包括云计算使用方在建设和运行云上应用系统所需遵循的安全要求，用于指导云计算使用方利用云平台构建更加安全可靠的云上应用，供最终用户访问安全 #设要求安全使用要求百方安全管理婴求安全方案设计供应商和产品选择应用内生安全上线安全物理安全与权限应用开发安全应用安全测试网络安全主机安全应用上线评估应用运行安全应用防护安数据防护安全应用数据内全用户访间安全资源安全图云计算应用安全技术规范框架 5安全建设要求 5.1 安全方案设计云计算平台建设安全方案设计应符合以下要求： a）烟草云计算平台应按照GB/T22239一2019等级保护第二级云计算安全扩展要求进行设计，应符合国家和行业对个人信息保护、数据安全及国密应用等方面的安全要求； b) 根据“同步规划、同步建设同步使用”的原则，在云计算平台建设之前，根据自身上云的数据和业务类型，确定云计算安全能力要求，开展安全整体规划和安全方案设计； c) 组织对安全设计方案的科学性、规范性、完整性进行评审，通过后方可建设实施。 5.2供应商和产品选择供应商和产品选择应符合以下要求： a) 根据安全需求和安全设计方案选择合适的云计算平台供应商和云计算平台建设实施单位； b) 云计算平台厂商所提供的云计算平台应通过公安部信息安全等级保护三级或以上测评；云计算平台厂商提供的核心云产品（如云主机、云数据库等)宜具备中国信息通信研究院或其他国家安全认证机构颁发的可信云评估报告或证书；依据安全设计方案选择符合要求的云产品软件和硬件；与选定的服务供应商签订安全相关的协议，明确安全责任和义务。 2 YC/T633—2025 5.3上线安全云计算平台上线应符合以下要求： a) 根据安全设计方案，完成云安全组件部署及安全组件核心功能验证； b) 按照安全设计方案严格落实安全防护措施，完成云计算平台配置合规性检查； c）按照行业信息安全基线管理技术规范要求，完成网络、主机等漏洞和高危端口自查，并完成加固修复； d) 由独立第三方安全评测机构完成安全性测评，出具漏洞扫描、渗透测试等报告； e) 对第三方安全测评中出具的不符合项确认原因，及时整改反馈并重新进行安全测评直至通过；因特殊业务需求无法达到的不符合项，需作出合理说明并进行审核和备案； f) 按照GB/T22239一2019要求，及时完成云计算平台定级和备案；按照GB/T39786一2021的要求，及时完成云计算平台商用密码应用安全性评估（密评）并符合3级或以上要求； h) 对云平台建设实施过程及质量进行审查评估，确保达到安全设计方案预定的功能要求及质量标准。 5.4物理安全物理安全应符合以下要求： a）云计算平台物理环境应满足GB/T34982—2017要求； b) 云计算平台业务运行、数据存储和处理的物理设备应位于中国境内；云计算平台的运维和运营系统应部署在中国境内。 5.5网络安全 5.5.1 架构安全架构安全应符合以下要求： a）宜具备提供开放接口或开放性服务，并在保证云计算平台安全架构稳定的基础上，允许接入第三方安全产品或第三方安全服务的能力； b）具备网络架构余性，包括通信链路、通信设备的余； c) 应能确保带宽和网络通信设备满足业务高峰时期数据交换需求；支持按不同使用对象对云计算平台网络进行分区分域，建议包含生产业务区、业务测试区、支撑服务区、安全审计区、互联网接入区、互联网DMZ区、内网接人区、外联单位接入区、外联单位DMZ区等，并采用相应网络安全隔离机制和措施； e) 具备根据业务需求向使用方提供通信传输、边界防护、人侵防范等安全能力；能采用加密或者校验码技术，保证网络数据通信的完整性和保密性； g）具备对云计算平台边界进行网络流量监控和设置访问控制的能力。 5.5.2边界防护边界防护应符合以下要求： a）在云计算平台边界部署云Web应用防火墙，并开启防护策略； b）支持云计算平台使用方根据业务需求设置安全策略的能力，包括定义访问路径、选择安全组件、配置安全策略等。 3 YC/T633—2025 5.5.3入侵防范入侵防范应符合以下要求： a）能检测针对云计算平台的各种人侵行为，包括虚拟机与宿主机、虚拟机与虚拟机之间的异常流量，记录其攻击类型、攻击时间、攻击流量等，并进行告警； b）能在网络层主动阻断针对信息系统的各种攻击，包括端口扫描、木马后门攻击、网络蠕虫攻击、拒绝服务攻击等； c) 具备病毒和恶意代码防护能力； d）支持病毒和恶意代码防护软件版本、特征库定期更新。 5.5.4安全审计安全审计应符合以下要求： a）具备安全区域边界的网络审计能力,对进出边界的各类网络行为进行记录与审计分析； b）支持审计日志集中管理。 5.6主机安全 5.6.1身份鉴别身份鉴别应符合以下要求 a) 能对登录的用户进行身份标识和鉴身份标识具有唯性身份鉴别信息具有复杂度要求并定其期更换； b) 具有有登录失败处理功能应配置频照用结束会限制非法登录次数和当登录链接超时自动退出等相关措施。 5.6.2主机入侵防护主机人（侵防护应符合以下要求 a) 能检测虚拟机之间的资源隔离失效,并进行告警; 能检测非授权新建虚拟机或者重新启用虚拟机,并进行告警； c) 支持对后门、木马、蠕虫、webshell 等恶意代码的静态检测和行为检测,并对检测出的恶意代码进行控制和隔离； (p 能检测虚拟机感染恶意代码及在虚拟机间蔓延的情况，并进行告警； e) 能实时监测物理服务器主机，及时发现文件篡改、异常进程、异常网络连接、可疑端口监听等行为并进行告警； f) 具备对主机软件漏洞的检测能力； g) 具备主机的