简要
一、什么是CSA CSTR云计算产品安全技术评估认证
CSA CSTR (CSA, Cloud Sec Tech Review)云计算产品安全技术评估认证是指对云计算IaaS\PaaS\SaaS软件类和服务类产品的安全能力进行检测认证。认证的依据是CSA发布的云计算安全技术标准《云计算安全技术要求》。
《云计算安全技术要求》作为业界最佳实践,是CSA联合全球云计算厂商和研究机构,包括:亚马逊、微软、因特尔、华为、阿里、腾讯、百度、公安部第三研究所、赛宝认证中心、奇虎360、中国移动、中科院信工所、武汉大学等50多家厂商和研究机构共同起草,并于2016年10月25日发布的。
《云计算安全技术要求 》明确了IaaS\PaaS\SaaS产品的安全能力级别要求,为云计算产品提供统一安全能力级别认证标准。

二、为什么要做CSA CSTR认证


在云计算出现之前,用户通过采购软硬件产品构架自己的信息系统,在这种情况下,用户自身可对产品的安全功能进行验证;但产品以云计算服务的方式提供后,用户无需自己部署和维护信息系统,但同样也无法验证产品的安全特性。对于基础网络和信息系统,国家有等级保护制度,但该制度未覆盖广泛部署于云平台上或由独立第三方提供的云计算产品(软件类产品和服务类产品)。对于信息安全产品,国家有销售许可的制度,但由于传统标准不适用等原因,导致许多云安全产品和服务实际上未做过认证,这些产品对用户是透明的,用户自身无法或无能力验证。

因此,对云计算产品安全的测评和认证是非常必要的,通过独立第三方的云计算产品安全技术评估认证,可以向客户充分证明云计算产品的安全能力达到的业界最佳水准,建立客户使用该产品的信心。通过认证的产品,能确保云计算产品的安全能力得到系统梳理,从而达到业界的最佳实践,可以让使用该产品的客户更深入的了解其安全功能和水平,最终也可提升业界整个云计算产品安全水平。

 

三、CSA CSTR认证的依据
云计算产品安全技术评估认证依据CSA发布的云计算安全技术标准《云计算安全技术要求》,分为4部分:
  1. 《CSA云计算安全技术要求 第1部分:总则》
  2. 《CSA云计算安全技术要求 第2部分:IaaS安全技术要求》
  3. 《CSA云计算安全技术要求 第3部分:PaaS安全技术要求》
  4. 《CSA云计算安全技术要求 第4部分:SaaS安全技术要求》

检测认证的产品,根据其产品的类型,选择相应的标准进行检测。如
  1. IaaS类产品,根据《CSA云计算安全技术要求 第2部分:IaaS安全技术要求》进行检测;
  2. PaaS类产品,根据《CSA云计算安全技术要求 第3部分:PaaS安全技术要求》进行检测;
  3. SaaS类产品,根据《CSA云计算安全技术要求 第4部分:SaaS安全技术要求》进行检测;
  4. 如果PaaS或SaaS类产品,具备IaaS的能力,可以结合《CSA云计算安全技术要求 第2部分:IaaS安全技术要求》同时进行检测。

四、CSA CSTR认证的级别


云计算产品安全技术评估认证级别分为基础级和增强级。基础级根据满足《云计算安全技术要求》中基础级要求的情况进行评定;增强级根据同时满足《云计算安全技术要求》中基础级和增强级要求的情况进行评定。

五、CSA CSTR认证的方式


云计算产品信息安全认证方式分为软件认证和持续检测认证两种,软件认证适用于软件类产品,持续检测认证适用于服务类产品。
  1. 软件认证,指对某一个具体的软件版本进行认证,本次认证仅对这个版本有效。
该认证方式适用于向客户交付的产品是一个具体的软件版本,传统的软件产品认证大多是这种方式。
  1. 持续检测认证,指对服务类产品进行首次认证后,在认证有效期内周期性进行检测认证。
该认证方式适用于产品在互联网上部署,向客户交付的是服务,而不是软件本身。这类产品通常以快速迭代的方式开发和发布,没有明确的版本号,或版本号更新频繁。

六、CSA CSTR认证的有效期


CSA CSTR认证证书的有效期3年。
以软件认证方式认证的软件类产品,认证结果仅对通过认证的版本有效。
以持续检测认证方式认证的服务类产品,认证结果对通过认证的产品有效,但要求认证有效期内,进行周期性的持续检测认证,以维持最新版本的安全能力满足标准要求。没有进行周期性安全检测并通过的产品,将取消其认证证书。持续检测周期最长不超过12个月。

七、CSA CSTR认证与CSA STAR/C-STAR认证的关系


CSA STAR和C-STAR认证基于CSA的云控制矩阵(CCM)提供的云服务提供商安全能力评估,是ISO/IEC 27001的增强版本,认证对象是云服务提供商信息安全管理体系,认证的主体是提供云计算IaaS/PaaS/SaaS服务的CSP(Cloud Service Provider)
CSA CSTR认证对象是云计算产品,认证的主体是云计算厂家、解决方案提供商或自建云计算系统的用户。

八、CSA CSTR认证方式


测试方式主要包括:
  1. 工具自动化测试;
  2. 专家人工测试;
  3. 专家评估。

九、CSA CSTR认证认证流程


分为受理申请、静态评估、检测、认证、发放检测报告和认证证书 5个阶段。
1. 受理申请:委托单位提出申请,填写《云计算产品信息安全认证申请书》,并提交相应材料;
2. 静态评估:认证机构审核申请材料,满足条件,则制定检测和认证计划;
3. 检测:实验室根据检测计划开展检测活动,并提供检测报告;
4. 认证:认证机构根据检测报告判断是否符合要求,对不符合要求的,提出整改建议,委托单位整改;
5. 发放检测报告和认证证书:满足认证条件后向委托单位发放检测报告和认证证书。

十、CSA CSTR认证成果


首次检测认证通过的产品,颁发“CSA Cloud Sec Tech Review Certification”(CSA CSTR)认证证书,并提供测试报告,证书的有效期3年。对持续检测符合要求的,维持认证证书有效状态。
认证企业
本网站使用Cookies以使您获得最佳的体验。为了继续浏览本网站,您需同意我们对Cookies的使用。想要了解更多有关于Cookies的信息,或不希望当您使用网站时出现cookies,请阅读我们的Cookies声明隐私声明
全 部 接 受
拒 绝