優質參考文檔信息安全技術云計算服務安全指南1范圍本標準描述了云計算可能面臨的主要安全風險，提出了政府部門采用云計算服務的安全管理基本要求及云計算服務的生命周期各階段的安全管理和技術要求。本標準為政府部門采用云計算服務，特別是采用社會化的云計算服務提供全生命周期的安全指導，適用于政府部門采購和使用云計算服務，也可供重點行業和其他企事業單位參考。2規范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069—20RR信息安全技術術語GB/T31168—20RR信息安全技術云計算服務安全能力要求3術語和定義GB/T25069—20RR界定的以及下列術語和定義適用于本文件。云計算cloudcomputing通過網絡訪問可擴展的、靈活的物理或虛擬共享資源池，并按需自助獲取和管理資源的模式。注：資源實例包括服務器、操作系統、網絡、軟件、應用和存儲設備等。云計算服務cloudcomputingservice使用定義的接口，借助云計算提供一種或多種資源的能力。云服務商cloudserviceprovider云計算服務的供應方。注：云服務商管理、運營、支撐云計算的基礎設施及軟件，通過網絡交付云計算的資源。云服務客戶cloudservicecustomer為使用云計算服務同云服務商建立業務關系的參與方。注：本標準中云服務客戶簡稱客戶。第三方評估機構ThirdPartRAssessmentOrganizations；3PAO獨立于云計算服務相關方的專業評估機構。云計算基礎設施cloudcomputinginfrastructure由硬件資源和資源抽象控制組件構成的支撐云計算的基礎設施。注：硬件資源包括所有的物理計算資源，包括服務器CPU、內存等）、存儲組件（硬盤等）、網絡組件（路由器、防火墻、交換機、網絡鏈路和接口等）及其他物理計算基礎元素。資源抽象控制組件對物理計算資源進行軟件抽象，云服務商通過這些組件提供和管理對物理計算資源的訪問。優質參考文檔優質參考文檔云計算平臺cloudcomputingplatform云服務商提供的云計算基礎設施及其上的服務軟件的集合。云計算環境cloudcomputingenvironment云服務商提供的云計算平臺及客戶在云計算平臺之上部署的軟件及相關組件的集合。4云計算概述云計算的主要特征云計算具有以下主要特征：a）按需自助服務。在不需或較少云服務商的人員參與情況下，客戶能根據需要獲得所需計算資源，如自助確定資源占用時間和數量。b）泛在接入?？蛻敉ㄟ^標準接入機制，利用計算機、移動電話、平板等各種終端通過網絡隨時隨地使用服務。c）資源池化。云服務商將資源（如：計算資源、存儲資源、網路資源）能供給多個客戶使用，這些物理的、虛擬的資源根據客戶的需求進行動態分配或重新分配。d）快速伸縮性?？蛻艨梢愿鶕枰焖佟㈧`活、方便地獲取和釋放計算資源。對于客戶來講，這種資源是“無限”的，能在任何時候獲得所需資源量。e）服務可計量。云計算按照多種計量方式（如按次付費或充值使用等）自動控制或量化資源，計量的對象可以是存儲空間、計算能力、網路帶寬或賬戶等。服務模式根據云服務商提供的資源類型不同，云計算的服務模式主要可分為三類：a）軟件即服務（SaaS）：在SaaS模式下，云服務商向客戶提供的是運行在云基礎設施之上的應用軟件?？蛻舨恍枰徺I、開發軟件，可利用不同設備上的客戶端（如WEB瀏覽器）或程序接口通過網絡訪問和使用云服務商提供的應用軟件，如電子郵件系統、協同辦公系統等?？蛻敉ǔ２荒芄芾砘蚩刂浦螒密浖\行的低層資源，如網絡、服務器、操作系統、存儲等，但可對應用軟件進行有限的配置管理。b）平臺即服務（PaaS）:在PaaS模式下，云服務商向客戶提供的是運行在云計算基礎設施之上的軟件開發和運行平臺，如:標準語言與工具、數據訪問、通用接口等?？蛻艨衫迷撈脚_開發和部署自己的軟件。客戶通常不能管理或控制支撐平臺運行所需的低層資源，如網絡、服務器、操作系統、存儲等，但可對應用的運行環境進行配置，控制自己部署的應用。c）基礎設施即服務（IaaS）:在IaaS模式下，云服務商向客戶提供虛擬計算機、存儲、網絡等計算資源，提供訪問云計算基礎設施的服務接口。客戶可在這些資源上部署或運行操作系統、中間件、數據庫和應用軟件等?？蛻敉ǔ２荒芄芾砘蚩刂圃朴嬎慊A設施，但能控制自己部署的操作系統、存儲和應用，也能部分控制使用的網絡組件，如主機防火墻。部署模式根據使用云計算平臺的客戶范圍的不同，將云計算分成私有云、公有云、社區云和混合云等四種部署模式：優質參考文檔優質參考文檔a）私有云：云計算平臺僅提供給某個特定的客戶使用。私有云的云計算基礎設施可由云服務商擁有、管理和運營，這種私有云稱為場外私有云（或外包私有云）；也可由客戶自己建設、管理和運營，這種私有云稱為場內私有云（或自有私有云）。b）公有云：云計算平臺的客戶范圍沒有限制。公有云的云計算基礎設施由云服務商擁有、管理和運營。c）社區云:云計算平臺限定為特定的客戶群體使用，群體中的客戶具有共同的屬性（如職能、安全需求、策略等）。社區云的云計算基礎設施可由云服務商擁有、管理和運營，這種社區云稱為場外社區云；也可以由群體中的部分客戶自己建設、管理和運營，這種社區云稱為場內社區云。d）混合云：上述兩種或兩種以上部署模式的組合稱為混合云。云計算的優勢在云計算模式下，客戶不需要投入大量資金去建設、運維和管理自己專有的數據中心等基礎設施，只需要為動態占用的資源付費，即按需購買服務。客戶采用云計算服務可獲得如下益處：a）減少開銷和能耗。采用云計算服務可以將硬件和基礎設施建設資金投入轉變為按需支付服務費用，客戶只對使用的資源付費，無需承擔建設和維護基礎設施的費用，避免了自建數據中心的資金投入。云服務商使用虛擬化、動態遷移和工作負載整合等技術提升運行資源的利用效率，通過關閉空閑資源組件等降低能耗；多租戶共享機制、資源的集中共享可以滿足多個客戶不同時間段對資源的峰值要求，避免按峰值需求設計容量和性能而造成的資源浪費。資源利用效率的提高有效降低云計算服務的運營成本，減少能耗，實現綠色IT。b）增加業務的靈活性?？蛻舨捎迷朴嬎惴詹恍枰ㄔO專門的信息系統，縮短業務系統建設周期，使客戶能專注于業務的功能和創新，提升業務響應速度和服務質量，實現業務系統的快速部署。c）提高業務系統的可用性。云計算的資源池化和快速伸縮性特征，使部署在云計算平臺上的客戶業務系統可動態擴展，滿足業務需求資源的迅速擴充與釋放，能避免因需求突增而導致客戶業務系統的異?；蛑袛唷Ｔ朴嬎愕膫浞莺投喔北緳C制可提高業務系統的健壯性，避免數據丟失和業務中斷。d）提升專業性。云服務商具有專業技術團隊，能夠及時更新或采用先進技術和設備，可以提供更加專業的技術、管理和人員支撐，使客戶能獲得更加專業和先進的技術服務。5云計算的風險管理概述云計算作為一種新興的計算資源利用方式，還在不斷發展之中，傳統信息系統的安全問題在云計算環境中大多依然存在，與此同時還出現了一些新的信息安全問題和風險。本章通過描述云計算帶來的信息安全風險，提出了客戶采用云計算服務應遵守的基本要求，從規劃準備、選擇云服務商及部署、運行監管、退出服務等四個階段簡要描述了客戶采購和使用云計算服務的生命周期安全管理。優質參考文檔優質參考文檔云計算安全風險客戶對數據和業務系統的控制能力減弱傳統模式下，客戶的數據和業務系統都位于客戶的數據中心，在客戶的直接管理和控制下。在云計算環境里，客戶將自己的數據和業務系統遷移到云計算平臺上，失去了對這些數據和業務的直接控制能力?？蛻魯祿约霸诤罄m運行過程中生成、獲取的數據都處于云服務商的直接控制下，云服務商具有訪問、利用或操控客戶數據的能力。將數據和業務系統遷移到云計算平臺后，安全性主要依賴于云服務商及其所采取的安全措施。云服務商通常把云計算平臺的安全措施及其狀態視為知識產權和商業秘密，客戶在缺乏必要的知情權的情況下，難以了解和掌握云服務商安全措施的實施情況和運行狀態，難以對這些安全措施進行有效監督和管理，不能有效監管云服務商的內部人員對客戶數據的非授權訪問和使用，增加了客戶數據和業務的風險?？蛻襞c云服務商之間的責任難以界定傳統模式下，按照誰主管誰負責、誰運行誰負責的原則，信息安全責任相對清楚。在云計算模式下，云計算平臺的管理和運行主體與數據安全的責任主體不同，相互之間的責任如何界定，缺乏明確的規定。不同的服務模式和部署模式、云計算環境的復雜性也增加了界定云服務商與客戶之間責任的難度。云服務商可能還會采購、使用其他云服務商的服務，如提供SaaS服務的云服務商可能將其服務建立在其他云服務商的PaaS或IaaS之上，這種情況導致了責任更加難以界定?？赡墚a生司法管轄權問題在云計算環境里，數據的實際存儲位置往往不受客戶控制，客戶的數據可能存儲在境外數據中心，改變了數據和業務的司法管轄關系。注:一些國家的政府可能依據本國法律要求云服務商提供可以訪問這些數據中心的途徑，甚至要求云服務商提供位于他國數據中心的數據。數據所有權保障面臨風險客戶將數據存放在云計算平臺上，沒有云服務商的配合很難獨自將數據安全遷出。在服務終止或發生糾紛時，云服務商還可能以刪除或不歸還客戶數據為要挾，損害客戶對數據的所有權和支配權。云服務商通過對客戶的資源消耗、通訊流量、繳費等數據的收集統計，可以獲取客戶的大量相關信息，對這些信息的歸屬往往沒有明確規定，容易引起糾紛。數據保護更加困難云計算平臺采用虛擬化等技術實現多客戶共享計算資源，虛擬機之間的隔離和防護容易受到攻擊，跨虛擬機的非授權數據訪問風險突出。云服務商可能會使用其他云服務商的服務，使用第三方的功能、性能組件，使云計算平臺結構復雜且動態變化。隨著復雜性的增加，云計算平臺實施有效的數據保護措施更加困難，客戶數據被未授權訪問、篡改、泄露和丟失的風險增大。數據殘留存儲客戶數據的存儲介質由云服務商擁有，客戶不能直接管理和控制存儲介質。當客戶優質參考文檔優質參考文檔退出云計算服務時，云服務商應該完全刪除客戶的數據，包括備份數據和運行過程中產生的客戶相關數據。目前，還缺乏有效的機制、標準或工具來驗證云服務商是否實施了完全刪除操作，客戶退出云計算服務后其數據仍然可能完整保存或殘留在云計算平臺上。容易產生對云服務商的過度依賴由于缺乏統一的標準和接口，不同云計算平臺上的客戶數據和業務難以相互遷移，同樣也難以從云計算平臺遷移回客戶的數據中心。另外云服務商出于自身利益考慮，往往不愿意為客戶的數據和業務提供可遷移能力。這種對特定云服務商的潛在依賴可能導致客戶的業務隨云服務商的干擾或停止服務而停止運轉，也可能導致數據和業務遷移到其他云服務商的代價過高。由于云計算服務市場還未成熟，供客戶選擇的候選云服務商有限，也可能導致客戶對云服務商的過度依賴。云計算服務安全管理的主要角色及責任云計算服務安全管理的主要角色及責任如下：a）云服務商。為確?？蛻魯祿蜆I務系統安全，云服務商應先通過安全審查，才能向客戶提供云計算服務；積極配合客戶的運行監管工作，對所提供的云計算服務進行運行監視，確保持續滿足客戶安全需求；合同關系結束時應滿足客戶數據和業務的遷移需求，確保數據安全。b）客戶。從已通過安全審查的云服務商中選擇適合的云服務商?？蛻粜璩袚渴鸹蜻w移到云計算平臺上的數據和業務的最終安全責任；客戶應開展云計算服務的運行監管活動，根據相關規定開展信息安全檢查。c）第三方評估機構。對云服務商及其提供的云計算服務開展獨立的安全評估。云計算服務安全管理基本要求采用云計算服務期間，客戶和云服務商應遵守以下要求：a）安全管理責任不變。信息安全管理責任不應隨服務外包而轉移，無論客戶數據和業務是位于內部信息系統還是云服務商的云計算平臺上，客戶都是信息安全的最終責任人。b）資源的所有權不變。客戶提供給云服務商的數據、設備等資源，以及云計算平臺上客戶業務系統運行過程中收集、產生、存儲的數據和文檔等都應屬客戶所有，客戶對這些資源的訪問、利用、支配等權限不受限制。c）司法管轄關系不變。客戶數據和業務的司法管轄權不應因采用云計算服務而改變。除非中國法律法規有明確規定，云服務商不得依據其他國家的法律和司法要求將客戶數據及相關信息提供給他國政府及組織。d）安全管理水平不變。承載客戶數據和業務的云計算平臺應按照政府信息系統安全管理要求進行管理，為客戶提供云計算服務的云服務商應遵守政府信息系統安全管理政策及標準。e）堅持先審后用原則。云服務商應具備保障客戶數據和業務系統安全的能力，并通過安全審查?？蛻魬x擇通過審查的云服務商，并監督云服務商切實履行安全責任，落實安全管理和防護措施。優質參考文檔優質參考文檔云計算服務生命周期概述客戶采購和使用云計算服務的過程可分為四個階段:規劃準備、選擇服務商與部署、運行監管、退出服務，如圖1所示。變更服務商圖1云計算服務的生命周期規劃準備在規劃準備階段，客戶應分析采用云計算服務的效益，確定自身的數據和業務類型，判定是否適合采用云計算服務；根據數據和業務的類型確定云計算服務的安全能力要求；根據云計算服務的特點進行需求分析，形成決策報告。選擇服務商與部署在選擇服務商與部署階段，客戶應根據安全需求和云計算服務的安全能力選擇云服務商，與云服務商協商合同（包括服務水平協議、安全需求、保密要求等內容），完成數據和業務向云計算平臺的部署或遷移。運行監管在運行監管階段，客戶應指導監督云服務商履行合同規定的責任義務，指導督促業務系統使用者遵守政府信息系統安全管理政策及標準，共同維護數據、業務及云計算環境的安全。退出服務在退出云計算服務時，客戶應要求云服務商履行相關責任和義務，確保退出云計算服務階段數據和業務安全，如安全返還客戶數據、徹底清除云計算平臺上的客戶數據等。需變更云服務商時，客戶應按要求選擇新的云服務商，重點關注云計算服務遷移過程的數據和業務安全；也應要求原云服務商履行相關責任和義務。6規劃準備6.1概述5.2對云計算面臨的安全風險及新問題進行了闡述，云計算服務并非適合所有的客戶，更不是所有應用都適合部署到云計算環境。是否采用云計算服務，特別是采用社會化的云計算服務，應該綜合平衡采用云計算服務后獲得的效益、可能面臨的信息安全風險、可以采取的安全措施后做出決策。只有當安全風險在客戶可以承受、容忍的范圍內，或安全風險引起的信息安全事件有適當的控制或補救措施時方可采用云計算服務。效益評估效益是采用云計算服務的最主要動因，只有在可能獲得明顯的經濟和社會效益，或初期效益不一定十分明顯，但從發展的角度看潛在效益很大，并且信息安全風險可控時，才宜采優質參考文檔優質參考文檔用云計算服務。云計算服務的效益主要從以下幾個方面進行分析比較：a）建設成本。傳統的自建信息系統，需要建設運行環境、采購服務器等硬件設施、定制開發或采購軟件等；采用云計算服務，初期資金投入可能包括租用網絡帶寬、客戶采用的安全控制措施等。b）運維成本。傳統的自建信息系統，日常運行需要考慮設備運行能耗、設備維護、升級改造、增加硬件設備、擴建機房等成本；采用云計算服務，僅需為使用的服務和資源付費。c）人力成本。傳統的自建信息系統，需要維持相應數量的專業技術人員，包括信息中心等專業機構；采用云計算服務，僅需適當數量的專業技術和管理人員。d）性能和質量。云計算服務由具備相當專業技術水準的云服務商提供，云計算平臺具有冗余措施、先進的技術和管理、完整的解決方案等特點，應分析采用云計算服務后對業務的性能和質量帶來的優勢。e）創新性。通過采用云計算服務，客戶可以將更多的精力放在如何提升核心業務能力、創新公眾服務上，而不是業務的技術實現和實施；可以快速部署滿足新需求的業務，并按需隨時調整。政府信息分類信息分類原則客戶將信息部署或遷移到云計算平臺之前，應先明確信息的類型。本標準中的政府信息是指政府機關，包括受政府委托代行政府機關職能的機構，在履行職責過程中，以及政府合同單位在完成政府委托任務過程中產生、獲取的，通過計算機等電子裝置處理、保存、傳輸的數據，相關的程序、文檔等。涉密信息的處理、保存、傳輸、利用按國家保密法規執行。本標準將非涉密政府信息分為敏感信息、公開信息兩種類型。敏感信息敏感信息的概念敏感信息指不涉及國家秘密，但與國家安全、經濟發展、社會穩定，以及企業和公眾利益密切相關的信息，這些信息一旦未經授權披露、丟失、濫用、篡改或銷毀可能造成以下后果：a）損害國防、國際關系；b）損害國家財產和公共利益，以及個人財產或人身安全；c）影響國家預防和打擊經濟與軍事間諜、政治滲透、有組織犯罪等；d）影響行政機關依法調查處理違法、瀆職行為，或涉嫌違法、瀆職行為；e）干擾政府部門依法公正地開展監督、管理、檢查、審計等行政活動，妨礙政府部門履行職責；f）危害國家關鍵基礎設施、政府信息系統安全；g）影響市場秩序，造成不公平競爭，破壞市場規律；h）可推論出國家秘密事項；i）侵犯個人隱私、企業商業秘密和知識產權；優質參考文檔優質參考文檔j）損害國家、企業、個人的其他利益和聲譽。敏感信息的范圍敏感信息包括但不限于：a）應該公開但正式發布前不宜泄露的信息，如規劃、統計、預算、招投標等的過程信息；b）執法過程中生成的不宜公開的記錄文檔；c）一定精度和范圍的國家地理、資源等基礎數據；d）個人信息，或通過分析、統計等方法可以獲得個人隱私的相關信息；e）企業的商業秘密和知識產權中不宜公開的信息；f）關鍵基礎設施、政府信息系統安全防護計劃、策略、實施等相關信息；g）行政機構內部的人事規章和工作制度；h）政府部門內部的人員晉升、獎勵、處分、能力評價等人事管理信息；i）根據國際條約、協議不宜公開的信息；j）法律法規確定的不宜公開信息；k）單位根據國家要求或本單位要求認定的敏感信息。公開信息公開信息指不涉及國家秘密且不是敏感信息的政府信息，包括但不限于：a）行政法規、規章和規范性文件，發展規劃及相關政策；b）統計信息，財政預算決算報告，行政事業性收費的項目、依據、標準；c）政府集中采購項目的目錄、標準及實施情況；d）行政許可的事項、依據、條件、數量、程序、期限以及申請行政許可需要提交的全部材料目錄及辦理流程；e）重大建設項目的批準和實施情況；f）扶貧、教育、醫療、社會保障、促進就業等方面的政策、措施及其實施情況；g）突發公共事件的應急預案、預警信息及應對情況；h）環境保護、公共衛生、安全生產、食品藥品、產品質量的監督檢查情況等；i）其他根據相關法律法規應該公開的信息。政府業務分類業務分類原則確定了信息類型后，還需要對承載相關信息的業務進行分類。根據業務不能正常開展時可能造成的影響范圍和程度，本標準將政府業務劃分為一般業務、重要業務、關鍵業務等三種類型。一般業務一般業務出現短期服務中斷或無響應不會影響政府部門的核心任務，對公眾的日常工作與生活造成的影響范圍、程度有限。通常政府部門、社會公眾對一般業務中斷的容忍度以天為單位衡量。優質參考文檔優質參考文檔重要業務重要業務一旦受到干擾或停頓，會對政府決策和運轉、對公服務產生較大影響，在一定范圍內影響公眾的工作生活，造成財產損失，引發少數人對政府的不滿情緒。此類業務出現問題，造成的影響范圍、程度