GAT 2347-2025信息安全技术网络安全等级保护云计算测评指引

#政策法规 ·2026-05-11 10:30:19

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由公安部网络安全保卫局提出。

本文件由公安部信息系统安全标准化委员会归口。本文件起草单位：公安部第三研究所、公安部网络安全保卫局、公安部第一研究所、深信服科技股份有限公司、华为技术有限公司、阿里云计算有限公司、北京卓识网安技术股份有限公司、中电信数智科技有限公司、中国电子科技集团公司第十五研究所（信息产业信息安全测评中心）、安徽省电子产品监督检验所、广西网信信息技术有限公司。

本文件主要起草人：张振峰、陶源、伊玮珑、张秀东、任彬、李秋香、刘卜瑜、黄敏、王睿超、刘韧、李景清、刘琛、王理冬、冯伟、张鹏。

为配合《中华人民共和国网络安全法》的实施，落实国家网络安全等级保护制度，更好地指导网络安全检测评估机构在云计算环境下开展网络安全等级保护测评工作，加强、规范网络安全等级保护测评工作的独立性、客观性、合规性及有效性，依据网络安全等级保护2.0相关系列标准，制定网络安全等级保护云计算测评指引。

1.范围

本文件给出了云计算平台和云服务客户的业务应用系统开展网络安全等级保护测评活动的指引。

本文件适用于网络安全检测评估机构对云计算平台和云服务客户的业务应用系统开展网络安全等级保护测评活动，网络安全监管部门参照使用。

2.规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T22239-2019信息安全技术网络安全等级保护基本要求

GB/T28449-2018信息安全技术网络安全等级保护测评过程指南

GB/T31167-2023信息安全技术云计算服务安全指南

GB/T32400-2015信息技术云计算概览与词汇

3.术语和定义

GB/T22239-2019、GB/T31167-2023和GB/T32400-2015界定的以及下列术语和定义适用于本文件。

3.1云服务商 cloud service provider

提供云计算服务的参与方。

[来源：GB/T31167-2023,3.4]

3.2云服务客户 cloud service customer

为使用云计算服务而处于一定业务关系中的参与方。

注：业务关系不一定包含经济条款。

[来源：GB/T31167-2023,3.5]

3.3云计算平台 cloud computing platform

云服务商提供的云计算基础设施及其上的服务软件的集合。

[来源：GB/T31167-2023,3.8]

3.4云计算环境 cloud computing environment

云服务商提供的云计算平台，及客户在云计算平台之上部署的软件及相关组件的集合。[来源：GB/T31167-2023,3.9]

4.缩略语

下列缩略语适用于本文件。

IaaS：基础设施即服务（Infrastructure as a Service)

PaaS:平台即服务（Platform as a Service)

SaaS：软件即服务（Software as a Service)

5.概述

5.1网络安全等级保护云计算测评指针对云计算环境中的等级保护对象开展的网络安全等级保护测评。网络安全等级保护测评过程主要包括四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、报告编制活动，宜符合GB/T28449—2018的规定。

5.2云计算环境中的等级保护对象包括以下两类：

——云计算平台；

——云服务客户的业务应用系统。

5.3云计算平台和云服务客户的业务应用系统的网络安全等级保护测评包括安全通用要求和云计算安全扩展要求。云计算安全扩展要求主要涉及的控制点包括基础设施位置、网络架构、网络边界的访问控制、网络边界的人侵防范、网络边界的安全审计、集中管控、计算环境的身份鉴别、计算环境的访问控制、计算环境的人侵防范、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护、云服务商选择、供应链管理和云计算环境管理。

5.4云计算平台和云服务客户的业务应用系统网络安全等级保护测评宜根据被测系统的类别、部署模式、服务模式、安全主体是否一致、技术实现方式等情况，充分收集和分析被测系统信息、确定被测对象、选择测评指标。

6.信息收集和分析

6.1云计算平台

被测系统类别为云计算平台时，需明确以下内容：

——云计算平台的定级情况；

——云平台部署模式，包括：公有云、私有云、混合云；

——云计算服务模式，包括：IaaS、PaaS、SaaS；

——云基础设施物理机房地点/逻辑位置信息及运维地点。

6.2云服务客户的业务应用系统

被测系统类别为云服务客户的业务应用系统时，需明确以下内容。

——所在云平台部署模式，包括：公有云、私有云、混合云。

——云服务客户的业务应用系统所选用的云计算服务模式。云服务客户的业务应用系统可根据业务选择，选用某一个或多个云服务商的单一或多种混合的服务模式。系统调研时，需明确云服务客户的业务应用系统所选用的云计算服务模式，包括：IaaS、PaaS、SaaS，同时还应了解云服务客户的业务应用系统使用的云产品（服务）情况。

——所部署的云计算平台定级情况及网络安全等级保护测评情况，如云计算平台的网络安全等级保护测评报告编号、网络安全等级保护测评结论以及网络安全等级保护测评主要问题及整改情况。

——所在云计算平台云基础设施逻辑位置信息及云服务客户的业务应用系统的运维所在地。

7.测评对象确定