产品安全检测服务

云计算产品信息安全认证

云计算产品信息安全认证是指对云计算IaaS\PaaS\SaaS软件类和服务类产品的安全能力进行认证。认证的依据是CSA发布的云计算安全技术标准《云计算安全技术要求》。

《云计算安全技术要求》作为业界最佳实践,是CSA联合全球云计算厂商和研究机构,包括:公安部第三研究所、亚马逊、微软、因特尔、华为、阿里、腾讯、百度、赛宝认证中心、奇虎360、中国移动、中科院信工所、武汉大学等50多家厂商和研究机构共同起草,并于2016年10月25日发布的。

《云计算安全技术要求》明确了IaaS\PaaS\SaaS产品的安全能力级别要求,为云计算产品提供统一安全能力级别认证标准。公安部第三研究所安全防范与信息安全产品及系统检验实验室联合CSA授权的云安全(深圳)测评技术有限公司开展认证业务。

认证依据

云计算产品信息安全认证依据CSA发布的云计算安全技术标准《云计算安全技术要求》,分为4部分:
  • 1. 《CSA云计算安全技术要求 第1部分:总则》
  • 2. 《CSA云计算安全技术要求 第2部分:IaaS安全技术要求》
  • 3. 《CSA云计算安全技术要求 第3部分:PaaS安全技术要求》
  • 4. 《CSA云计算安全技术要求 第4部分:SaaS安全技术要求》
认证的产品,根据其产品的类型,选择相应的标准进行检测。如:
  • 1. IaaS类产品,根据《CSA云计算安全技术要求 第2部分:IaaS安全技术要求》进行检测;
  • 2. PaaS类产品,根据《CSA云计算安全技术要求 第3部分:PaaS安全技术要求》进行检测;
  • 3. SaaS类产品,根据《CSA云计算安全技术要求 第4部分:SaaS安全技术要求》进行检测;
  • 4. 如果PaaS或SaaS类产品,具备IaaS的能力,可以结合《CSA云计算安全技术要求 第2部分:IaaS安全技术要求》同时进行检测。

认证级别

云计算产品信息安全认证级别分为基础级增强级

  • 基础级

    基础级根据满足《云计算安全技术要求》中基础级要求的情况进行评定

  • 增强级

    增强级根据同时满足《云计算安全技术要求》中基础级和增强级要求的情况进行评定

认证方式

云计算产品信息安全认证方式分为软件认证持续认证两种,软件认证适用于软件类产品,持续认证适用于服务类产品。

软件认证,指对某一个具体的软件版本进行认证,本次认证仅对这个版本有效。
该认证方式适用于向客户交付的产品是一个具体的软件版本,传统的软件产品认证大多是这种方式。

持续检测认证,指对服务类产品进行首次认证后,在认证有效期内周期性进行检测认证。
该认证方式适用于产品在互联网上部署,向客户交付的是服务,而不是软件本身。这类产品通常以快速迭代的方式开发和发布,没有明确的版本号,或版本号更新频繁。

认证有效期

云计算产品信息安全认证证书的有效期3年。

以软件认证方式认证的软件类产品,认证结果仅对通过认证的版本有效。

以持续认证方式认证的服务类产品,认证结果对通过认证的产品有效,但要求认证有效期内,进行周期性的持续认证,以维持最新版本的安全能力满足标准要求。没有进行周期性安全检测并通过的产品,将取消其认证证书。持续检测周期最长不超过12个月。

认证流程

分为受理申请、静态评估、检测、认证、发放检测报告和认证证书5个阶段。

受理申请:委托单位提出申请,填写《云计算产品信息安全认证申请书》,并提交相应材料
静态评估:认证机构审核申请材料,满足条件,则制定检测和认证计划
检测:实验室根据检测计划开展检测活动,并提供检测报告
认证:认证机构根据检测报告判断是否符合要求,对不符合要求的,提出整改建议,委托单位整改
发放检测报告和认证证书:满足认证条件后向委托单位发放检测报告和认证证书

认证成果

首次检测认证通过的产品,公安部第三研究所安全防范与信息安全产品及系统检验实验室颁发“云计算产品信息安全认证证书”,CSA授权认证机构云安全(深圳)测评技术有限公司颁发”CSA Cloud Sec Tech Review Certification” (CSA CSTR)认证证书,并提供测试报告,证书的有效期3年。

对持续检测符合要求的,维持认证证书有效状态。

证书展示
×