【正文】 信息安全技術(shù)云計算服務(wù)安全指南1范圍本標準描述了云計算可能面臨的主要安全風險，提出了政府部門采用云計算服務(wù)的安全管理基本 要求及云計算服務(wù)的生命周期各階段的安全管理和技術(shù)要求。本標準為政府部門采用云計算服務(wù)，特別是采用社會化的云計算服務(wù)提供全生命周期的安全指導(dǎo)，適用于政府部門采購和使用云計算服務(wù)，也可供重點行業(yè)和其他企事業(yè)單位參考。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文 件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T 25069—2010信息安全技術(shù)術(shù)語GB/T 31168—2014信息安全技術(shù)云計算服務(wù)安全能力要求3術(shù)語和定義GB/T 25069—2010界定的以及下列術(shù)語和定義適用于本文件。 云計算 cloud puting通過網(wǎng)絡(luò)訪問可擴展的、靈活的物理或虛擬共享資源池，并按需自助獲取和管理資源的模式。注：資源實例包括服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)、軟件、應(yīng)用和存儲設(shè)備等。 云計算服務(wù) cloud puting service使用定義的接口，借助云計算提供一種或多種資源的能力。 云服務(wù)商 cloud service provider云計算服務(wù)的供應(yīng)方。注：云服務(wù)商管理、運營、支撐云計算的基礎(chǔ)設(shè)施及軟件，通過網(wǎng)絡(luò)交付云計算的資源。 云服務(wù)客戶 cloud service customer為使用云計算服務(wù)同云服務(wù)商建立業(yè)務(wù)關(guān)系的參與方。注：本標準中云服務(wù)客戶簡稱客戶。 第三方評估機構(gòu) Third Party Assessment Organizations；3PAO獨立于云計算服務(wù)相關(guān)方的專業(yè)評估機構(gòu)。 云計算基礎(chǔ)設(shè)施 cloud puting infrastructure由硬件資源和資源抽象控制組件構(gòu)成的支撐云計算的基礎(chǔ)設(shè)施。注：硬件資源包括所有的物理計算資源，包括服務(wù)器（CPU、內(nèi)存等）、存儲組件（硬盤等）、網(wǎng)絡(luò)組件（路由器、防火 墻、交換機、網(wǎng)絡(luò)鏈路和接口等)及其他物理計算基礎(chǔ)元素。資源抽象控制組件對物理計算資源進行軟件抽象， 云服務(wù)商通過這些組件提供和管理對物理計算資源的訪問。 云計算平臺 cloud puting platform云服務(wù)商提供的云計算基礎(chǔ)設(shè)施及其上的服務(wù)軟件的集合。 云計算環(huán)境 cloud puting environment云服務(wù)商提供的云計算平臺及客戶在云計算平臺之上部署的軟件及相關(guān)組件的集合。4 云計算概述 云計算的主要特征云計算具有以下主要特征：a) 按需自助服務(wù)。在不需或較少云服務(wù)商的人員參與情況下，客戶能根據(jù)需要獲得所需計算資源，如自助確定資源占用時間和數(shù)量。b) 泛在接入?？蛻敉ㄟ^標準接入機制，利用計算機、移動電話、平板等各種終端通過網(wǎng)絡(luò)隨時隨地使用服務(wù)。c) 資源池化。云服務(wù)商將資源（如：計算資源、存儲資源、網(wǎng)路資源）能供給多個客戶使用，這些物理的、虛擬的資源根據(jù)客戶的需求進行動態(tài)分配或重新分配。d) 快速伸縮性?？蛻艨梢愿鶕?jù)需要快速、靈活、方便地獲取和釋放計算資源。對于客戶來講，這種資源是“無限”的，能在任何時候獲得所需資源量。e) 服務(wù)可計量。云計算按照多種計量方式（如按次付費或充值使用等）自動控制或量化資源，計量的對象可以是存儲空間、計算能力、網(wǎng)路帶寬或賬戶等。 服務(wù)模式根據(jù)云服務(wù)商提供的資源類型不同，云計算的服務(wù)模式主要可分為三類：a) 軟件即服務(wù)（SaaS）：在SaaS模式下，云服務(wù)商向客戶提供的是運行在云基礎(chǔ)設(shè)施之上的應(yīng)用軟件?？蛻舨恍枰徺I、開發(fā)軟件，可利用不同設(shè)備上的客戶端（如WEB瀏覽器）或程序接口通過網(wǎng)絡(luò)訪問和使用云服務(wù)商提供的應(yīng)用軟件，如電子郵件系統(tǒng)、協(xié)同辦公系統(tǒng)等。客戶通常不能管理或控制支撐應(yīng)用軟件運行的低層資源，如網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲等，但可對應(yīng)用軟件進行有限的配置管理。b) 平臺即服務(wù)(PaaS):在PaaS模式下，云服務(wù)商向客戶提供的是運行在云計算基礎(chǔ)設(shè)施之上的 軟件開發(fā)和運行平臺，如:標準語言與工具、數(shù)據(jù)訪問、通用接口等?？蛻艨衫迷撈脚_開發(fā)和 部署自己的軟件?？蛻敉ǔ２荒芄芾砘蚩刂浦纹脚_運行所需的低層資源，如網(wǎng)絡(luò)、服務(wù)器、 操作系統(tǒng)、存儲等，但可對應(yīng)用的運行環(huán)境進行配置，控制自己部署的應(yīng)用。c) 基礎(chǔ)設(shè)施即服務(wù)(IaaS):在IaaS模式下，云服務(wù)商向客戶提供虛擬計算機、存儲、網(wǎng)絡(luò)等計算 資源，提供訪問云計算基礎(chǔ)設(shè)施的服務(wù)接口?？蛻艨稍谶@些資源上部署或運行操作系統(tǒng)、中間件、數(shù)據(jù)庫和應(yīng)用軟件等?？蛻敉ǔ２荒芄芾砘蚩刂圃朴嬎慊A(chǔ)設(shè)施，但能控制自己部署的操 作系統(tǒng)、存儲和應(yīng)用，也能部分控制使用的網(wǎng)絡(luò)組件，如主機防火墻。根據(jù)使用云計算平臺的客戶范圍的不同，將云計算分成私有云、公有云、社區(qū)云和混合云等四種部署模式：a) 私有云：云計算平臺僅提供給某個特定的客戶使用。私有云的云計算基礎(chǔ)設(shè)施可由云服務(wù)商 擁有、管理和運營，這種私有云稱為場外私有云（或外包私有云）；也可由客戶自己建設(shè)、管理和運營，這種私有云稱為場內(nèi)私有云（或自有私有云）。b) 公有云：云計算平臺的客戶范圍沒有限制。公有云的云計算基礎(chǔ)設(shè)施由云服務(wù)商擁有、管理和運營。c) 社區(qū)云：云計算平臺限定為特定的客戶群體使用，群體中的客戶具有共同的屬性(如職能、安全 需求、策略等）。社區(qū)云的云計算基礎(chǔ)設(shè)施可由云服務(wù)商擁有、管理和運營，這種社區(qū)云稱為場 外社區(qū)云；也可以由群體中的部分客戶自己建設(shè)、管理和運營，這種社區(qū)云稱為場內(nèi)社區(qū)云。d) 混合云：上述兩種或兩種以上部署模式的組合稱為混合云。在云計算模式下，客戶不需要投入大量資金去建設(shè)、運維和管理自己專有的數(shù)據(jù)中心等基礎(chǔ)設(shè)施，只需要為動態(tài)占用的資源付費，即按需購買服務(wù)?？蛻舨捎迷朴嬎惴?wù)可獲得如下益處：a) 減少開銷和能耗。采用云計算服務(wù)可以將硬件和基礎(chǔ)設(shè)施建設(shè)資金投入轉(zhuǎn)變?yōu)榘葱柚Ц斗?wù)費用，客戶只對使用的資源付費，無需承擔建設(shè)和維護基礎(chǔ)設(shè)施的費用，避免了自建數(shù)據(jù)中心 的資金投入。云服務(wù)商使用虛擬化、動態(tài)遷移和工作負載整合等技術(shù)提升運行資源的利用效 率，通過關(guān)閉空閑資源組件等降低能耗；多租戶共享機制、資源的集中共享可以滿足多個客戶 不同時間段對資源的峰值要求，避免按峰值需求設(shè)計容量和性能而造成的資源浪費。資源利 用效率的提高有效降低云計算服務(wù)的運營成本，減少能耗，實現(xiàn)綠色IT。b) 增加業(yè)務(wù)的靈活性?？蛻舨捎迷朴嬎惴?wù)不需要建設(shè)專門的信息系統(tǒng)，縮短業(yè)務(wù)系統(tǒng)建設(shè)周期，使客戶能專注于業(yè)務(wù)的功能和創(chuàng)新，提升業(yè)務(wù)響應(yīng)速度和服務(wù)質(zhì)量，實現(xiàn)業(yè)務(wù)系統(tǒng)的快速部署。c) 提高業(yè)務(wù)系統(tǒng)的可用性。云計算的資源池化和快速伸縮性特征，使部署在云計算平臺上的客戶業(yè)務(wù)系統(tǒng)可動態(tài)擴展，滿足業(yè)務(wù)需求資源的迅速擴充與釋放，能避免因需求突增而導(dǎo)致客戶業(yè)務(wù)系統(tǒng)的異常或中斷。云計算的備份和多副本機制可提高業(yè)務(wù)系統(tǒng)的健壯性，避免數(shù)據(jù)丟失和業(yè)務(wù)中斷。d) 提升專業(yè)性。云服務(wù)商具有專業(yè)技術(shù)團隊，能夠及時更新或采用先進技術(shù)和設(shè)備，可以提供更 加專業(yè)的技術(shù)、管理和人員支撐，使客戶能獲得更加專業(yè)和先進的技術(shù)服務(wù)。5云計算的風險管理 云計算作為一種新興的計算資源利用方式，還在不斷發(fā)展之中，傳統(tǒng)信息系統(tǒng)的安全問題在云計算 環(huán)境中大多依然存在，與此同時還出現(xiàn)了一些新的信息安全問題和風險。本章通過描述云計算帶來的信息安全風險，提出了客戶采用云計算服務(wù)應(yīng)遵守的基本要求，從規(guī)劃準備、選擇云服務(wù)商及部署、運行監(jiān)管、退出服務(wù)等四個階段簡要描述了客戶采購和使用云計算服務(wù)的生命周期安全管理。傳統(tǒng)模式下，客戶的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)都位于客戶的數(shù)據(jù)中心，在客戶的直接管理和控制下。在云計算環(huán)境里，客戶將自己的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移到云計算平臺上，失去了對這些數(shù)據(jù)和業(yè)務(wù)的直接控制能 力?？蛻魯?shù)據(jù)以及在后續(xù)運行過程中生成、獲取的數(shù)據(jù)都處于云服務(wù)商的直接控制下，云服務(wù)商具有訪問、利用或操控客戶數(shù)據(jù)的能力。將數(shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移到云計算平臺后，安全性主要依賴于云服務(wù)商及其所采取的安全措施。云 服務(wù)商通常把云計算平臺的安全措施及其狀態(tài)視為知識產(chǎn)權(quán)和商業(yè)秘密，客戶在缺乏必要的知情權(quán)的情況下，難以了解和掌握云服務(wù)商安全措施的實施情況和運行狀態(tài)，難以對這些安全措施進行有效監(jiān)督 和管理，不能有效監(jiān)管云服務(wù)商的內(nèi)部人員對客戶數(shù)據(jù)的非授權(quán)訪問和使用，增加了客戶數(shù)據(jù)和業(yè)務(wù)的風險。傳統(tǒng)模式下，按照誰主管誰負責、誰運行誰負責的原則，信息安全責任相對清楚。在云計算模式下，云計算平臺的管理和運行主體與數(shù)據(jù)安全的責任主體不同，相互之間的責任如何界定，缺乏明確的規(guī) 定。不同的服務(wù)模式和部署模式、云計算環(huán)境的復(fù)雜性也增加了界定云服務(wù)商與客戶之間責任的難度。云服務(wù)商可能還會采購、使用其他云服務(wù)商的服務(wù)，如提供SaaS服務(wù)的云服務(wù)商可能將其服務(wù)建 立在其他云服務(wù)商的PaaS或IaaS之上，這種情況導(dǎo)致了責任更加難以界定。在云計算環(huán)境里，數(shù)據(jù)的實際存儲位置往往不受客戶控制，客戶的數(shù)據(jù)可能存儲在境外數(shù)據(jù)中心， 改變了數(shù)據(jù)和業(yè)務(wù)的司法管轄關(guān)系。注：一些國家的政府可能依據(jù)本國法律要求云服務(wù)商提供可以訪問這些數(shù)據(jù)中心的途徑，甚至要求云服務(wù)商提供 位于他國數(shù)據(jù)中心的數(shù)據(jù)?？蛻魧?shù)據(jù)存放在云計算平臺上，沒有云服務(wù)商的配合很難獨自將數(shù)據(jù)安全遷出。在服務(wù)終止或發(fā)生糾紛時，云服務(wù)商還可能以刪除或不歸還客戶數(shù)據(jù)為要挾，損害客戶對數(shù)據(jù)的所有權(quán)和支配權(quán)。云服務(wù)商通過對客戶的資源消耗、通訊流量、繳費等數(shù)據(jù)的收集統(tǒng)計，可以獲取客戶的大量相關(guān)信息，對這些信息的歸屬往往沒有明確規(guī)定，容易引起糾紛。云計算平臺采用虛擬化等技術(shù)實現(xiàn)多客戶共享計算資源，虛擬機之間的隔離和防護容易受到攻擊，跨虛擬機的非授權(quán)數(shù)據(jù)訪問風險突出。云服務(wù)商可能會使用其他云服務(wù)商的服務(wù)，使用第三方的功能、性能組件，使云計算平臺結(jié)構(gòu)復(fù)雜且動態(tài)變化。隨著復(fù)雜性的增加，云計算平臺實施有效的數(shù)據(jù)保護措施更加困難，客戶數(shù)據(jù)被未授權(quán)訪問、篡改、泄露和丟失的風險增大。存儲客戶數(shù)據(jù)的