o刖言當前，云計算技術全面成熟并得到廣泛普及，是各行業數字化轉型普遍采用的通用技術模式，各類云計算服務平臺（簡稱云平臺成為支撐經濟社會運行的網絡基礎設施。隨著云平臺廣泛普及，云平臺安全風險也日益凸顯并復雜泛化，云平臺安全成為各國政府監管的重點對象。但是，由于云平臺服務模式特殊性，云平臺安全治理涉及監管、平臺、用戶等多元嵌套主體，如何科學界定各類多元主體的安全責任成為云平臺安全治理的重要前提。基于上述背景，本報告聚焦云平臺安全責任議題，以“安全域-責任主體-月艮務模式”的分析框架，結合國內外的法律法規以及產業實踐開展研究。首先，界定報告研究的云平臺安全的責任主體，確定云平臺的四個主要安全域一一系統安全、應用安全、數據安全、內容安全，并劃定報告研究的云平臺安全責任范圍其次，梳理國內外相關政策法規，觀測不同安全域下各國、各類監管部門對不同主體的安全責任界定；繼而，分析全球主要云平臺企業安全管理實踐，總結不服務模式下的云安全責任分擔的行業實踐；最后，基于“安全域主體服務模式”的維度，構建“權利■責任”動態匹配的云平臺安全責任分擔框架，并以此為指引對我國云平臺安全治理提出具體的對策建議。本報告的核心觀點與重要發現：＞云平臺是經濟社會健康運行的網絡基礎設施，提供互聯網接入和網絡接入資源設施等服務，按照電信業務分類目錄主要提供四類業務：互聯網資源協作服務業務、互聯網內容分發服務業務、互聯網接入服務、互聯網域名解析服務。＞在云計算產業服務鏈中存在著產業生態依存現象，“服務商一用戶”身份可隨著產業鏈延伸而不斷衍化。報告中的云平臺用戶是指云平臺服務商的直接客戶，而非最終用戶。＞本報告探討的與云平臺相關的責任主體包括監管部門、云平臺服務商和云平臺用戶，其安全責任問題一方面來自于監管部門對云平臺服務商的責任要求，另一方面則是云平臺服務商與云平臺用戶之間的責任劃分。＞云平臺主要涉及的四個安全風險域為系統安全、應用安全、數據安全、內容安全。在不同的云平臺安全風險域下，云平臺服務商和云平臺用戶所應承擔的責任不同。＞云平臺服務商與云平臺用戶的安全責任劃分與云服務技術實現方式、業務運用模式(IaaS/PaaS/SaaS)等密切相關。云安全責任分擔模式在業界已經達成共識，未來在金融云、醫療云、教育云、工業云等重要行業與重點領域的云平臺上，將出現更多基于行業標準而形成的云安全責任模型。＞當前各國云平臺安全政策法規較為原則，安全責任界定存在模糊地帶，導致云平臺安全監管實踐較為粗放，在安全責任界定方面，沒有充分考慮云平臺技術特性以及各主體的權利邊界。＞云平臺服務商提供互聯網接入和網絡接入資源設施等服務，其應主要履行互聯網服務提供商的相關義務，并與云平臺用戶(互聯網內容提供商等)共同承擔其他平臺責任。＞面對監管與合規要求，云平臺服務商執行巡查監測，但從法律依據、主體屬性、用戶隱私及商業模式等角度來看，客觀上難以實現全面的主動巡查。＞在云平臺服務多元模式下，云平臺安全責任劃分應考慮責任主體權利與義務的對等性，“一刀切”的治理思路會加重主體責任，從而影響各方利益，也會導致問責無效。＞基于“安全塊責任主俯服務模式”的維度，探索建構“權利責任”動態匹配的云平臺安全責任分擔框架，將監管要求、服務模式與主體權利納入其中，可提高解決日常實踐云平臺服務商和云用戶的安全責任劃分問題的有效性。＞政策法規完善、多方綜合治理、創新監管理念、安全責任分擔、最佳實踐推進將有力地推動云平臺的安全責任治理。目錄TOC\o"1-5"\h\z前言 II\o"CurrentDocument"一、云計算與云平臺安全責任 1\o"CurrentDocument"（一） 云計算發展歷程與現狀 1\o"CurrentDocument"（二） 云平臺及相關概念 3\o"CurrentDocument"（三） 云平臺安全及其特點 5\o"CurrentDocument"1、 系統安全 5\o"CurrentDocument"2、 應用安全 6\o"CurrentDocument"3、 數據安全 6\o"CurrentDocument"4、 內容安全 7\o"CurrentDocument"（四）云平臺安全責任 8二、云平臺安全責任的國內外監管 .10二、云平臺安全責任的國內外監管 .10\o"CurrentDocument"（一）國內核心法規與監管要求梳理 10（二）云平臺安全責任界定與難點分析 121、 系統安全責任 122、 應用安全責任 153、 數據安全責任 164、 內容安全責任 18（三）國外對云平臺安全責任的主要監管思路與方式 221、 美國：基于安全評估與服務明確主體責任 222、 歐盟：注重云安全指南，出臺合同模板規范服務商權責 25（四）小結 27三、云平臺安全責任行業實踐 30（一）企業層面的實踐 301、 亞馬遜AWS 302、 微軟Azure 323、 谷歌云、SalesForce云 334、 騰訊云 335、 阿里云 356、 華為云 367、 行業監管云責任分擔 37（二） 行業聯盟與標準實踐 39（三） 小結 411、 云安全責任分擔模式在業界已經達成共識，但劃分標準各有不同..412、 用戶與云平臺服務商的責任大小與云服務模式密切相關 433、 基于重點行業的安全責任分擔實踐正在涌現 434、 有第三方企業參與的安全責任分擔模型開始出現 43四、問題與建議 .44.44（一）重要問題分析.441、云平臺服務商提供互聯網接入和網絡接入資源設施等服務，其應主要履行互聯網服務提供商的相關義務，并與云平臺用戶（互聯網內容提供商等）共同承擔其他平臺責任 442、面對監管與合規要求，云平臺服務商執行巡查監測，但從法律依據、主體屬性、用戶隱私及商業模式等角度來看，客觀上難以實現全面的主TOC\o"1-5"\h\z動巡查 453、云平臺服務多元模式下，云平臺安全責任劃分應考慮責任主體權利成務的對等性，“一刀切”的治理思路會加重主體責任，從而影響各方利益，也會導致問責無效 48（二）'權利-責任"動態匹配的云平臺安全責任分擔框架構建 .48（三） 主要對策建議 511、 完善政策法規，合理界定云平臺主體責任邊界 512、 創新監管方式，授權個案與類型化的平臺巡查 513、 加強治理理念，建設多元主體協同的治理模式 524、 探索服務模式，推動云平臺安全責任分擔模型 525、 抓住重點行業，探索基于重點領域的最佳實踐 52一、云計算與云平臺安全責任（一）云計算發展歷程與現狀云計算（cloudcomputing）是指通過網絡訪問可擴展的、靈活的物理或虛擬共享資源池（如服務器、操作系統、網絡、軟件、應用和存儲設施等），并按需自助獲取和管理資源的模式1。美國國家標準技術研究院（NIST，NationalInstituteofStandardsandTechnology認為云計算是一種模式，能以泛在的、便利的、按需的方式通過網絡訪問可配置的計算資源（例如網絡、服務器、存儲器、應用和服務），這些資源可實現快速部署與發布，并且只需要極少的管理成本或服務提供商的干預。《伯克利云計算白皮書》則認為云計算既指在互聯網上以服務形式提供的應用，也指在數據中心中提供這些服務的硬件和軟件，而這些數據中心中的硬件和軟件則被稱為云。盡管這些定義不盡相同，但勾勒出了云計算必須具備的一些基本特征，即云計算是一種IT資源應用模式、通過網絡訪問、可進行靈活的虛擬化的資源共享、可基于需求動態配置等。R王L^nibJwEl??MW(EC2；i業土MW(EC2；irs虬ti年r!4J 呻■，％iTF3D52096 2007ZOOflAM9 M10ZOI2012 20JS 20K2015 ￡3162(MT2016AI1H^3203D52096 2007ZOOflAM9 M10ZOI圖1圖1云計算發展歷程1GB/T31167-2014《信息安全技術云計算服務安全指南》[EB/OL]./bzgk/gb/showGb?type=online&hcno=09688362A71B05A46B4E3E73DCBACAAD2來源：英國計算機協會.Historyofthecloud[EB/OL]./content-hub/history-of-the-cloud/事實上，云計算的雛形想法最早在20世紀90年代末提出，當時的“云”主要指的是“網絡計算”的概念。現代云計算概念的開端以2002年亞馬遜發布公有云為標志，但當時云計算應用并沒有得到普及。在隨后的十年里，并伴隨著虛擬化、分布式等技術的積累與成熟，云計算快速發展，并經歷了兩代發展歷程。第一代云計算（2005-2011年）實現了云計算概念的真正定義，亞馬遜AWS的ElasticComputeCloudEC2）也于2006年向公眾開放，而后谷歌首席執行官埃里克?施密特在搜索引擎大會上首次提出了真正意義上云計算的概念。在此期間，技術解決方案的重心是增強數據中心的能力。同時，數據庫服務開始在云上可用，Dropbox概念也促進了云存儲即服務的發展。隨后，私有云開始出現。在第一代云計算的基礎上，第二代云計算012-2017年）服務和商業模式更加多樣化，供應商也更加多元化，谷歌、IBM、微軟、騰訊、阿里巴巴等大型科技巨頭分別提供了不同類型的云計算服務，云計算的應用開始從互聯網行業向政府、金融、工業、交通、物流、醫療健康等傳統行業滲透。隨著技術的發展，非關系數據庫服務、DevOps微服務、容器服務、混合云等新型技術和模式不斷涌現。如今，云計算正不斷趨向成熟，但從技術角度看，黃金時代仍未到來，邊緣計算、微型數據中心將是未來云計算的重要發展方向。根據中國信息通信研究院統計，2018年全球公有云市場規模達到1363億美元，我國云計算整體市場規模達962.8億元，增速為39.2%3。而市場調研公司Gartner預測，2019年全球公共云服務市場達到2143億美元，增速為17.5%，到2022年全球公有云服務營收將增長至3312億美元。3中國信息通信研究院.云計算發展白皮書（2019年）[EB/OL]./kxyj/qwfb/bps/201907/t20190702_202162.htm4Gartner.GartnerForecastsWorldwidePublicCloudRevenuetoGrow17.5Percentin2019[EB/OL]./en/newsroom/press-releases/2019-04-02-gartner-forecasts-worldwide-public-cloud-revenue-to-g（二）云平臺及相關概念在云計算產業服務鏈中存在著產業生態依存現象，“服務商一用戶”身份可隨著產業鏈延伸而不斷衍化。TOC\o"1-5"\h\zI II研g町 Ig!|廠企業恥Ij!—矛石或一 ! ! | 」 ；I h - i I ! i二平&用戶 I : 蛆竣劇戶 ;L I M I圖2報告研究的“云平臺服務商-云平臺用戶”范圍本報告中所指的云平臺服務商，是指管理、運營、支撐云計算的計算基礎設施及軟件，并通過網絡交付云計算資源的供應方；而云平臺用戶，指直接使用云計算服務，并同云平臺服務商建立業務關系的參與方；云計算平臺，即云平臺則是云平臺服務商提供的云計算基礎設施及其上的服務軟件的集合值得注意的是，在云環境下，云用戶往往存在層級嵌套（圖2）的情況，因此，本報告中所指的用戶，是云平臺服務商的直接客戶。以云平臺服務商的用戶范圍來劃分，可將云計算分成私有云、公有云、社區云、混合云等部署模式。其中私有云僅限某個特定的用戶使用，是為該用戶單獨使用而建立的，根據管理和運營的主體不同，可分為場外私有云（由云服務商擁有、管理和運營）和場內私有云（由用戶自己管理和運營）；公有云的用戶范圍沒有限制，由云服務商負責建設、管理和運營，用戶通過互聯網使用服務；社區云是由有著類似需求并打算共享基礎設施的組織共同創立的云，僅限該用戶群體5GB/T31167-2014《信息安全技術云計算服務安全指南》[EB/OL]./bzgk/gb/showGb?type=online&hcno=09688362A71B05A46B4E3E73DCBACAAD

范圍使用；混合云是由上述兩種或兩種以上部署模式形成的組合。而根據云平臺服務商提供的資源類型的不同，云平臺主要有三種服務模式6：星罪沒施聊H另 叩自即眼薛 砍伸即BE壽CloaS) (Pasi) 待點招｝曲擬計第機應中軟件數據庫曲擬計第機應中軟件數據庫圖3云平臺三種服務模式1)基礎設施即服務(Ia￡):在Ia擊模式下，云平臺是作為網絡基礎設施存在的，云平臺服務商向用戶提供虛擬計算機、存儲、網絡等計算資源，提供訪問云計算基礎設施的服務接口。用戶可在這些資源上部署或運行操作系統、中間件、數據庫和應用軟件等。用戶通常不能管理或控制云計算基礎設施，但能控制自己在云上部署的操作系統、存儲和應用，也能部分控制使用的網絡組件，如主機防火墻S的服務對象主要為企業級用戶，例如金融、電商、游戲等行業會使用云服務商提供的網絡接入、數據庫、云服務器、云硬盤、負載均彳衡DN等資源。2)平臺即服務(Paa>)：在Pa擊模式下，云平臺主要作為軟件開發和運行平臺，云平臺服務商向用戶提供的是運行在云計算基礎設施之上的軟件開發和運行平臺，如：標準語言與工具、數據訪問、通用接口等。用戶可利用該平臺開發和6GB/T31167-2014《信息安全技術云計算服務安全指南》[EB/OL]./bzgk/gb/showGb?type=online&hcno=09688362A71B05A46B4E3E73DCBACAAD部署自己的軟件。用戶通常不能管理或控制支撐平臺運行所需的低層資源，如網絡、服務器操作系統、存儲等，但可對運行應用的環境進行配置，控制自己在云上部署的應用°PaaS的典型案例包括人工智能公司利用云服務商提供的aaS平臺和開發工具開發人工智能軟件。3）軟件即服務（SaS）：在Sa擊模式下，云平臺主要作為應用軟件，云平臺服務商向用戶提供的是運行在云計算基礎設施之上的應用軟件。用戶無需購買、開發軟件，可利用不同設備上的用戶端（如Web瀏覽器或程序接口通過網絡訪問和使用云平臺服務商提供的應用軟件，如電子郵件系統、協同辦公系統等。用戶通常不能管理或控制支撐應用軟件運行的低層資源，如網絡、服務器、操作系統、存儲等，但可對應用軟件進行有限的配置管理。如云平臺服務商面向企業用戶提供的辦公軟件、企業郵箱、郵件推送、云桌面等產品都屬而aS模式。（三）云平臺安全及其特點云計算作為隨著信息技術演進而出現的一種新型生產和服務模式，能夠按需配置和優化一種或多種昂貴的計算資源，通過模塊化與集約化的管理，實現資源的有效整合，降低供需雙方交易成本，促進生產效率提升，創新數字經濟商業模式。與此同時，云計算技術的迅速迭代，也潛藏著各種安全風險，在云平臺中可粗略劃分的不同架構層次中，如基礎層、平臺層、應用層等，均普遍存在安全問題，這些問題已經開始制約云平臺的長期發展，可謂“牽一發而動全身”。除無法忽略技術安全風險之外，還有與云平臺服務模式、管理方式以及運營模式等相關的安全問題，也深刻影響了云平臺的廣泛應用，因此本報告將安全問題歸結為如下四個風險域，并逐一進行分析。1、系統安全系統安全涵蓋保障和支撐云平臺運行的通訊、軟件、硬件等一系列基礎設施的安全域，如云主機安全、虛擬化平臺安全、通訊安全及運行環境安全。其中，資源虛擬化技術是云平臺的特有基礎技術之一，需要關注虛擬化軟件的脆弱點、主機虛擬化后容器安全及其日常管理安全等風險。由于虛擬化環境獨特的動態特性，在遇到虛擬機未能激活、資源沖突、虛擬系統通信中斷等問題時，傳統的靜態安全防護措施往往無法奏效。典型的公有云平臺往往采用多租戶共享資源，即多個虛擬資源被綁定到相同的物理主機資源上，云平臺用戶之間難以保證良好的隔離性，若云平臺的虛擬化軟件中存在安全漏洞，那么該物理主機上的用戶數據很可能被違規非法訪問，進而引發一系列安全事件等。2、應用安全應用安全涵蓋預防與管控在云平臺中部署的業務相關的應用或應用開發接口所帶來風險的安全域，包括業務應用系統在設計、開發、發布及配置等過程中所應采取安全措施，也包括應用在上線運行后所采取的業務防護措施，如應用識別、入侵防御、身份認證及資源訪問控制等，還包括業務應用的基礎支撐軟件和應用擴展（APIs）的防護、加固，及訪問業務應用或調用應用擴展的操作終端的安全管理與控制等。例如，在云計算環境下，用戶開發和應用的環境部署在云云平臺服務商通過開放一些云平臺用戶界面（UI）或API，供客戶使用接口和API等管理和調用包括云資源、管理、服務編排和鏡像等云服務以實現應用管理、與云服務進行交互。而安全性差的PI將會成為整個云服務體系的脆弱點，加之網絡的開放性，云平臺極易被攻破和利用，這會帶來機密性、完整性、可用性腆性等一系列安全問題。3、數據安全數據安全雖然不是云環境下所特有的安全問題域，但卻是云平臺用戶最關心的關鍵安全問題之一。根據思科預測，到2021年全球云數據中心流量將達到每年19.5ZB，2021年全球將有628個超大規模數據中心7。數據作為云平臺的核心資源，按來源可分為三類：一是用戶在云平臺業務系統中生產的數據，二是由用戶操作業務系統的行為而產生的數據，三是來自通訊、平臺及應用等因運行而產生的系統運維數據。云平臺的數據安全應確保數據在傳輸、存儲、流動、應用等環節中風險可控。當前云平臺用戶的數據安全對云平臺服務商的管控能力高度依賴，用戶業務數據的權屬和管理雖屬于用戶本身，但其對數據保護和數據管理的能力有待提升。一方面，由于黑客攻擊、人為操作、應用程序漏洞或安全措施配置等原因往往導致云平臺上的數據被不正當利用、造成敏感數據泄露事件等；另一方面，由于各國政策法規對數據本地化、數據跨境的管理要求不同，以及不同行業與標準對于數據管理的差異性，數據安全的復雜性大大提高。4、內容安全內容安全是在云平臺中所承載的業務運營結果或其數據所附著的信息的防護或監管的安全域，這些內容最終往往以圖片、文本、視頻、聲音等形式呈現。依據安全管控的目標不同，可分為合法內容的保護和非法內容的監管與打擊。前者主要包括商業秘密保護、版權保護、復制防護等，后者通常涉及云平臺上可能潛藏的色情、暴力、低俗、政治敏感、惡意廣告等違法違規或有害內容，這些也是當前云平臺中最常見、最難監管、防控難度較大的安全問題之一，輕則影響業務平穩運營，重則造成巨大社會輿論壓力，導致云服務被暫停甚至中止。根據云平臺的服務模式，云平臺服務商作為互聯網服務的提供方角色，其首7Cisco.GlobalCloudIndex:ForecastandMethodology,2016-2021WhitePaper[EB/OL].https://www.cisco.eom/c/en/us/solutions/collateral/service-provider/global-cloud-index-gci/white-paper-c11-738085.html要關注點在于用戶使用云計算的業務是否正常，隨著云服務的普及、泛在和增長，日趨成熟的云服務商也在根據國家有關法規，以人工智能等技術識別應對和用戶協議等形式途徑，加強對云平臺內容安全的防控自治，但由于責任邊界有限、技術現實制約，很難對使用者的目的進行有效和前置審核，從而導致云平臺服務商未收到投訴和舉報或來自監管部門的執法協助等情況下，即使云平臺用戶在云平臺上進行違規操作或發布違法違規或不良信息，云平臺服務商對其的及時發現、準確識別處理以及取證均受到影響。同時，也存在云服務商未建立嚴格有效的自我管控機制而導致有害信息泛濫的情況。（四）云平臺安全責任為解決日益凸顯的云平臺安全問題，云平臺安全責任的落實與劃分至關重要。報告認為，與云平臺相關的責任主體包括監管部門、云平臺服務商和云平臺用其，相關的安全責任一方面是來自于監管部門對云平臺服務商的責任要求，另一方是云平臺服務商與云平臺用戶之間的責任劃分問題。圖4報告研究的“云平臺安全責任"范圍其中，監管部門對云平臺服務商的安全責任要求，一是行業準入與資質管理，即國家對電信業務經營按實行許可制度，云平臺服務商需要依據相關規定取得《增值電信業務經營許可證》，可開展云平臺涉及互聯網資源協作服務業務〒8互聯網資源協作服務業務是指利用架設在數據中心之上的設備和資源，通過互聯網或其他網絡以隨時獲聯網內容分發服務業務9、互聯網接入服務10、互聯網域名解析服務11等類型的電信業務；二是云平臺服務商需依據法律法規合規開展業務。而云平臺服務商與云平臺用戶的責任關系問題主要涉及：一是依據合同關系劃分責任；二是在侵權關系下依據不同情境進行責任界定。本報告研究的重點是根據監管部門對云平臺在系統安全、應用安全、數據安全、內容安全四個安全域的監管要求，界定云平臺服務商基于合規的安全責任，以及云平臺服務商與云平臺用戶的責任。可以發現，云平臺安全由于涉及責任主體的多樣性、平臺服務模式多樣性以及部署方式的特殊性，再加上不同場景的合規需求差異巨大，以及國內外不同的監管要求，導致云平臺服務商和云平臺用戶之間的安全責任難以清晰界定，這也進一步說明了云平臺安全治理的復雜性與艱巨性。取、按需使用、隨時擴展、協作共享等方式，為用戶提供的數據存儲、互聯網應用開發環境、互聯網應用部署和運行管理等服務。9內容分發網絡（CDN）業務是指利用分布在不同區域的節點服務器群組成流量分配管理網絡平臺，為用戶提供內容的分散存儲和高速緩存，并根據網絡動態流量和負載狀況，將內容分發到快速、穩定的緩存服務器上，提高用戶內容的訪問響應速度和服務的可用性服務。10互聯網接入服務業務是指利用接入服務器和相應的軟硬件資源建立業務節點，并利用公用通信基礎設施將業務節點與互聯網骨干網相連接，為各類用戶提供接入互聯網的服務。用戶可以利用公用通信網或其他接入手段連接到其業務節點，并通過該節點接入互聯網。11互聯網域名解析服務業務是指在互聯網上通過架設域名解析服務器和相應軟件，實現互聯網域名和^地址的對應關系轉換的服務。域名解析服務包括權威解析服務和遞歸解析服務兩類。權威解析是指為根域名、頂級域名和其他各級域名提供域名解析的服務。遞歸解析是指通過查詢本地緩存或權威解析服務系統和實現地址對應關系的服務。

二、云平臺安全責任的國內外監管（一）國內核心法規與監管要求梳理根據《電信業務分類目錄（2015版）》的相關分類，云平臺涉及互聯網資源協作服務業務、互聯網內容分發服務業務、互聯網接入服務、互聯網域名解析服務等類型的電信業務，并建立了較為完善的法律法規監管體系（圖。耳慎應攜護案吉參 <T.ff5FF&4LID羽節愚品技&1T耳慎應攜護案吉參 <T.ff5FF&4LID羽節愚品技&1T由導勺慌卸fI?膏明■護流節.》<ilflULff?.口￡It4U^T'UJrW^J《理，業T ■可「蟲J#<■ *. 備*音理**.><兵■部成立塵己JS井整說日;行事廿任理由近rirfiIf》<玉亢禎畢）出鼻眼T頁律家塵管此單亡頁3平b由耳舟春蝦?全首衛混尊*\但r*云襯用筆械十個把卞§<if■寧士胴二上'I打花匚王4：矛〈T.■麗魚低木尊檸可上"*黃圣本革水上I : 割;國&丸條例等圖5云平臺安全責任法律法規與監管體系其中，《網絡安全法》《計算機信息網絡國際聯網安全保護管理辦法（公安部第號令）》《電信條例》《信息安全技術云計算服務安全指南（B/T31167-2014）》等對云平臺在系統安全、應用安全、數據安全、以及內容安全責任提出了直接相關的要求（表1），具體有：1）、網絡安全防護；2）網站/app實名備案審核；3）日志留存；4）針對用戶違法行為配合處置；5）違法內容監測處置；6）安全風險向有關部門報告；7）執法技術協助等。此外，《侵權責任法》、《信息網絡保護條例》、《互聯網信息服務管理辦法》等法律也從不同角度對云平臺安全責任有所覆蓋。但是，當前法律法規對于云平臺服務商和云平臺用戶的安全責任劃分仍待進一步研究。

內云平臺安全相關的政策文件一覽表序號政策/法規/標準云平臺服務商云平臺用戶涉及的云安全域對云平臺具體監管要求1《網絡安全法》網絡運營者個人或組織系統安全、應用安全、數據安全、內容安全1、網絡安全防護；2、網站/app實名備案審核；3、日志留存；4、針對用戶違法行為配合處置；5、違法內容監測處置6、安全風險向有關部門報告；7、執法技術協助2《全國人民代表大會常務委員會關于加強網絡信息保護的決定》網絡服務提供者用戶系統安全、數據安全、內容安全1、網絡安全防護；2、網站/app實名備案審核；3、針對用戶違法行為配合處置;4、違法內容監測處置；5、安全風險向有關部門報告；6、執法技術協助3《電信條例》電信業務經營者（增值業務）電信用戶內容安全、系統安全1、網絡安全防護；2、網站/app實名備案審核；3、日志留存；4、針對用戶違法行為配合處置；5、安全風險向有關部門報告4《計算機信息系統安全保護條例》計算機信息系統的使用單位計算機信息系統的使用單位系統安全、數據安全1、網絡安全防護;5、安全風險向有關部門報告5《信息網絡傳播權保護條例》網絡服務提供者服務對象內容安全1、針對用戶違法行為配合處置6《計算機信息網絡國際聯網安全保護管理辦法（公安部第33號令）》互聯單位、接入單位及使用計算機信息網絡國際聯網的法人和其他組織單位和個人系統安全、應用安全、數據安全、內容安全1、網絡安全防護；2、網站/app實名備案審核；3、日志留存；4、針對用戶違法行為配合處置；5、違法內容監測處置6、安全風險向有關部門報告；7、執法技術協助7《公安機關互聯網安全監督檢查規定（公安部令第151號）》網絡服務運營機構（互聯網接入、域名服務、內容分發服務）聯網使用單位系統安全、應用安全、數據安全、內容安全1、網絡安全防護；2、網站/app實名備案審核；3、日志留存；4、針對用戶違法行為配合處置；5、違法內容監測處置6、安全風險向有關部門報告；7、執法技術協助

8《電信業務經營許可管理辦法（工業和信息化部第42號令）》增值電信業務經營者單位或者個人系統安全、內容安全1、網絡安全防護；2、網站/app實名備案審核；3、違法內容監測處置；4、安全風險向有關部門報告9《非經營性互聯網信息服務備案管理辦法》互聯網接入服務提供者非經營性信息服務提供者系統安全、內容安全1、網站/app實名備案審核;2、日志留存；3、違法內容監測處置；4、安全風險向有關部門報告10《互聯網信息安全管理系統使用及運行維護管理辦法（試行）》電信業務經營者/企業服務對象系統安全、數據安全1、網絡安全防護;2、日志留存；3、安全風險向有關部門報告；4、執法技術協助11《關于加強黨政部門云計算服務網絡安全管理的意見》云計算服務商黨政部門系統安全、應用安全、數據安全、內容安全1、網絡安全防護;2、安全風險向有關部門報告12《云服務協助調查取證安全管理要求》云服務提供者用戶1、網絡安全防護；2、網站/app實名備案審核；3、日志留存；4、針對用戶違法行為配合處置；5、違法內容監測處置6、安全風險向有關部門報告；7、執法技術協助13《信息安全技術云計算服務安全指南》（GB/T31167-2014）云服務商云服務客戶系統安全、應用安全、數據安全、內容安全1、網絡安全防護；2、梳理了云計算服務安全管理的主要角色及責任14《信息安全技術網絡安全等級保護基本要求》 （GB/T22239-2019）云服務商云服務客戶系統安全、應用安全、數據安全、內容安全1、網絡安全防護；2、梳理了云計算應用場景中不同服務模式下云平臺服務商和用戶的安全管理責任（二）云平臺安全責任界定與難點分析1、系統安全責任系統安全責任一方面來自于因內部因素導致系統出現問題而形成的安全責任，另一方面，也存在資質問題等外部因素帶來的安全責任。由此，國內監管政策也基于內外部因素來界定主體安全責任，但其在網絡安全防護、實名備案等方面的責任界定上仍存在難點。《全國人民代表我國《網絡安全法》第十條2、第二十一條13、第二十四條14,《全國人民代表大會常務委員會關于加強網絡信息保護的決定成《電信條例》第五十九飆計算機信息網絡國際聯網安全保護管理辦法（公安部第33號令）》第十條17，《公安機關互聯網安全監督檢查規定（公安部令第151號）》第十條18《非經營性互聯網信息服務備案管理辦法》第十條、第十九條0，《電信業務經營許可管理辦法（工12第十條建設、運營網絡或者通過網絡提供服務，應當依照法律、行政法規的規定和國家標準的強制性要求，采取技術措施和其他必要措施，保障網絡安全、穩定運行，有效應對網絡安全事件，防范網絡違法犯罪活動，維護網絡數據的完整性、保密性和可用性。13第二十一條國家實行網