工作簡況1.1任務來源2014年12月中央網信辦網絡安全協調局正式下達任務書“云計算安全參考架構”。負責人:卿斯漢,王惠蒞。國家標準《云計算安全參考架構》由北京大學軟件與微電子學院牽頭，中國電子技術標準化研究院、中國科學院信息工程研究所、韶關學院、北京鼎普科技股份有限公司、北京時代新威信息技術有限公司、中國移動通信研究院、華為技術有限公司、中國電信北京研究院、成都大學、中金數據系統有限公司、中國銀聯電子商務與電子支付國家工程實驗室、浪潮（北京）電子信息產業有限公司等單位共同參與起草。隨著工作任務的展開，越來越多單位加入標準編制的隊伍，包括：阿里巴巴集團、中國信息安全測評中心、中國電子科技集團公司第三十研究所、衛士通信息產業股份有限公司、漢柏科技有限公司、東軟集團、杭州華三通信技術有限公司、上海眾人網絡安全技術有限公司、中國科學院云計算中心、天融信公司、百度、黑龍江省電子信息產品監督檢驗院等。目前，參加單位仍在繼續增加中。1.2主要工作過程1.2015年1月建立標準編制組，進行廣泛調研2015年1月標準編制組成立后，隨即展開廣泛調研，摸清國內外的研究動向，為本標準的制定夯實牢固的基礎。國內外調研包括：ISO/IECJTC1/SC27(信息安全分技術委員會)于2010年開始云計算安全標準后的研制工作。ITU-T（國際電信聯盟通信局）云計算安全方面的工作，包括前期云計算焦點組和后期SG17的工作。CSA（云安全聯盟）的安全方案。OASIS（結構化信息標準促進組織）云技術委員會的工作。ENISA（歐洲網絡與信息安全局）的相關工作。NIST（美國國家標準技術研究院）的云計算和云安全標準化工作。ETSI（歐洲電信標準研究所）的相關工作。CCIF（云計算互操作論壇）的相關工作。全國信息技術標準化技術委員會（TC28）和全國信息安全標準化技術委員會（TC260）的標準化工作。CCSA（中國通信標準化協會）網絡與信息安全技術工作委員會（TC8）的安全基礎工作組（WG4）的云計算安全子工作組的相關工作。中國云計算技術與產業聯盟、CSA（云安全聯盟）中國區分會的相關工作。2.2015年3月11日召開標準啟動會和第1次工作組會議2015年3月11日，在北京龍紹衡大廈十一層會議室，召開了標準啟動會和第1次工作組會議，各標準編制單位的負責人與專家參加了會議。會上對編制內容和方針、編制計劃和編制單位的分工進行了討論，明確了下一步工作計劃。會議除討論了標準草案v.1.0的修改建議外，還重點討論了3個問題：（1）云計算的主要安全威脅；（2）云計算的安全風險評估；（3）虛擬化安全問題。3.2015年6月11日中期檢查會，報告標準編制工作2015年6月11日，全國信息安全標準化技術委員會在北京香山飯店一層菊香廳會議室，召開2014年重點信息安全標準項目檢查工作會議。卿斯漢代表標準編制組做了標準編制工作報告。評審專家崔書昆，顧建國，杜虹，馮惠，張建軍，左曉棟相繼肯定了編制組的工作成績和總體框架與思路，并對今后工作提出了具體意見和建議。4.2015年8月28日召開第2次工作組會議2015年8月28日，在北京中國科學院信息工程研究所3號樓會議室，召開了第2次工作組會議，各標準編制單位的負責人與專家參加了會議。標準編制組負責人對中期檢查的情況與評審專家的建議做了說明，各標準編制單位對標準草案v.2.0進行了深入的討論。標準編制組負責人鼓勵大家進行爭論，勇于發表不同意見。最后，確定了下一步計劃和具體分工，鼓勵提出各不相同的標準修改版本。5.2016年2月19-20日召開第3次工作組會議2016年2月19-20日，在北京蟹島會議樓，召開了第3次工作組會議，各標準編制單位的負責人與專家參加了會議。這次會議擴展了思路，首先對近期國內外云安全的研究進展進行了回顧，聽取了杭州華三通信技術有限公司首席安全架構師孫松兒關于《云計算安全架構設計》；百度云安全部總經理馬杰關于《百度大數據安全實踐》和東軟集團網絡安全事業部云安全事業部部長關于《網絡安全與云環境的融合之道》等3個主題報告。然后，結合大數據與云安全，對標準草案v.3.0進行了深入討論。最后，確定了下一步計劃和具體分工，并在6月1日形成標準草案版本v.4.0。6.2016年6月14日，全國信息安全標準化技術委員會2016年第一次工作組會議周，報告標準編制工作，形成標準征求意見稿全國信息安全標準化技術委員會2016年第一次工作組會議周于2016年6月13-16日舉行。2016年6月14日，在北京會議中心東會議廳，卿斯漢代表標準編制組做了標準編制工作報告及標準草案版本v.4.0的說明。根據與會代表提出的意見和建議，完成了意見匯總處理表，并在此基礎上修改標準文本，形成標準草案版本v.4.1，并上傳到TC260平臺。工作組同意進入“征求意見稿”階段，2016年7月1日，進一步修改后形成標準（征求意見稿）版本v1.0，并上傳到TC260平臺。編制原則和主要內容2.1編制原則《云計算安全參考架構》通過借鑒國外標準的研究，結合國內應用實踐和我們的科研成果，提出與國際標準接軌、適合我國國情，并具有一定創新性的“云計算安全參考架構”標準。通過該標準在云系統中的實施，確保環境安全、運行安全和數據遷移安全；為云計算的安全規劃與安全實施提供指導。《云計算安全參考架構》標準的編制遵循以下原則：(1)先進性：標準反映當今云計算與云安全的先進技術水平；(2) 開放性：標準的編制、評審與使用具有開放性；(3) 適應性：標準結合我國國情；(4) 簡明性：標準易于理解、實現和應用；(5) 中立性：公正、中立，不與任何利益攸關方發生關聯；(6) 一致性：術語與國內外標準所用術語最大程度保持一致。2.2主要內容1范圍 2規范性引用文件 3術語和定義 4概述 4.1云計算的相關概念4.2云計算的參與角色 4.3云計算的安全挑戰4.4云計算參與角色的安全職責概述4.4.1云服務客戶4.4.2云服務商 4.4.3云代理者 4.4.4云審計者 4.4.5云基礎網絡運營者 5云計算安全參考架構 5.1概述5.2云服務客戶 5.2.1安全云服務管理 5.2.2安全云服務協同 5.3云服務商 5.3.1安全云服務協同5.3.2安全云服務管理5.4云代理者5.4.1技術代理者 5.4.2業務代理者 5.4.3安全云服務協同5.4.4安全服務聚合5.4.5安全云服務管理5.4.6安全服務中介5.4.7安全服務仲裁5.5云審計者5.6云基礎網絡運營者附錄A（資料性附錄）云計算的安全風險 主要試驗（或驗證）的分析、綜述報告、技術經濟論證、預期的經濟效果編制組已請相關編制單位，包括華為、阿里、浪潮、百度、東軟、中科院云計算中心、中國信息安全測評中心等對標準進行試用與驗證，取得初步成果，目前進展良好。反饋的建議對標準的制定奠定了良好基礎。采用國際標準和國外先進標準的程度、以及與國際、國外同類標準水平的對比情況、或與測試的國外樣品、樣機的有關數據對比情況本標準重點參考了美國國家標準技術研究院NIST的系列云計算與云安全標準，包括：SP800-144《公共云中的安全和隱私指南》、SP800-146《云計算梗概和建議》、SP500-291《云計算標準路線圖》、SP800-145《云計算定義》、SP500-292《云計算參考體系架構》、SP500-293《美國政府云計算技術路線圖》。以及NIST的其它輸出物：《云計算安全障礙和緩解措施列表》、《美國聯邦政府使用云計算的安全需求》、《聯邦政府云指南》、《美國政府云計算安全評估與授權的建議》等。我們以SP500-299《云計算安全參考體系架構》為基礎，廣泛參考了ISO、ITU-T、CSA、OASIS、ENISA、ETSI和CCIF的相關工作進行編制，但不照搬。而是結合目前的技術發展、我國的應用實踐，以及我們的科研成果進行修改、補充與完善。提出與國際標準接軌、適合我國國情，并具有一定創新性的“云計算安全參考架構”標準。與有關的現行法律、法規和強制性國家標準的關系本標準符合現有法律法規的要求。重大分歧意見的處理經過和依據本標準在編制過程中未出現重大分歧，其他詳見意見匯總處理表。國家標準作為強制性國家標準或推薦性國家標準的建議建議本標準作為推薦性國家標