云计算服务安全标准指南Word格式.docx
《云计算服务安全标准指南Word格式.docx》由会员分享,可在线阅读,更多相关《云计算服务安全标准指南Word格式.docx(29页珍藏版)》请在冰豆网上搜索。
3.7
云计算平台cloudcomputingplatform由云服务商提供的云基础设施及其上的服务层软件的集合。
3.8
云计算坏境cloudcomputingenvironment
由云服务商提供的云计算平台,及客户在云计算平台之上部署的软件及相关组件的集合。
4云计算概述
云计算的宗旨是服务。
在云计算模式下客户不需要投入人量资金去建设、运维和管理自己专有的数据中心等基础设施,只需要为动态占用的资源付费,即按需购买服务。
4.1云计算的主要特征
云计算具有以下主要特征:
a)按需自助服务。
在不需或较少云服务商的人员参与情况下,客户能根据需要获得所需计算资源,
如客户能自主确定资源占用时间和数量。
b)泛在接入。
客户通过标准接入机制,利用计算机、移动电话、平板等各种终端通过网络随时随
地使用服务。
c)资源池化。
云服务商将资源(如:
计算资源、存储资源、网络资源等)提供给多个客户使用,
这些物理的、虚拟的资源根据客户的需求进行动态分配或重新分配。
d)快速伸缩性。
客户可以根据需要快速、灵活、方便地获取和释放计算资源。
对于客户来讲,这
种资源是“无限”的,能在任何时候获得所需资源量。
e)服务可计量。
云计算可按照多种计量方式(如按次付费或充值使用等)自动控制或量化资源,
计量的对彖可以是存储空间、计算能力、网络带宽或活跃的账户数等。
4.2服务模式
根据云服务商提供的资源类型不同,云计算的服务模式主要可分为三类:
a)软件即服务(SaaS):
在SaaS模式下,云服务商向客户提供的是运行在云基础设施之上的应
用软件。
客户不需要购买、开发软件,可利用不同设备上的客户端(如WEB浏览器)或程序接II通过网络访问和使用云服务商提供的应用软件,如电子邮件系统、协同办公系统等。
客户通常不能管理或控制支撑应用软件运行的低层资源,如网络、服务器、操作系统、存储等,但可对应用软件进行有限的配置管理。
b)平台即服务(PaaS):
在PaaS模式下,云服务商向客户提供的是运行在云基础设施之上的软
件开发和运行平台,如:
标准语言与工具、数据访问、通用接II等。
客户可利用该平台开发和部署自己的软件。
客户通常不能管理或控制支撑平台运行所需的低层资源,如网络、服务器、操作系统、存储等,但可对应用的运行环境进行配置,控制自己部署的应用。
c)基础设施即服务(laaS):
在laaS模式下,云服务商向客户提供虎拟计算机、存储、网络等计
算资源,提供访问云基础设施的服务接门。
客户町在这些资源上部署或运行操作系统、中间件、数据库和应用软件等。
客户通常不能管理或控制云基础设施,但能控制自己部署的操作系统、存储和应用,也能部分控制使用的网络组件,如主机防火墙。
4.3部署模式
根据使用云计算平台的客户范闱的不同,将云计算分成私有云、公有云、社区云和混合云等四种部署模式:
a)私有云:
云计算平台仅提供给某个特定的客户使用。
私有云的云基础设施可由云服务商拥有、
管理和运营,这种私有云称为场外私有云(或外包私有云);
也口I以由客户自己建设、管理和运营,这种私有云称为场内私有云(或自有私有云)。
b)公有云:
对云计算平台的客户范I制没有限制。
公有云的云基础设施由云服务商拥有、管理、运
营。
c)社区云:
云计算平台限定为特定的客户群体使用,群体中的客户具有共同的属性(如职能、安
全需求、策略等)。
社区云的云基础设施可以由云服务商拥有、管理和运营,这种社区云称为
场外社区云:
也可以由群体中的部分客户自己建设、管理和运营,这种社区云称为场内社区云。
d)混和云:
上述两种或两种以上部署模式的组合称为混合云。
4.4云计算的优势
云计算的优势包扌舌:
a)减少开销和能耗。
采用云计算服务可以将硕件和基础设施建设资金投入转变为按需支付服务费
用,客户无需承担建设和维护基础设施的费用,只对使用的资源付费,避免了客户自建数据中心的资金投入。
云服务商使用多种技术提升资源利用效率,如云基础设施使用虚拟化、动态迁移和工作负载整合等技术,关闭空闲资源组件,使运行资源利用效率提高并降低能耗;
多租户共享机制、资源的集中共享可以满足多个客户不同时间段对资源的峰值要求,避免按峰值需求设计容量和性能而造成的资源浪费。
资源利用效率的提高有效降低云计算服务的运营成本,减少能耗,实现绿色IT。
b)增加业务的灵活性。
客户采用云计算服务不需要建设专门的信息系统,缩短业务系统建设周期,
使客户能专注于业务的功能和创新,提升业务响应速度和服务质量,实现业务系统的快速部署。
c)提高业务系统的可用性。
云计算的资源池化和可伸缩性特点,使部署在云计算平台上的客户业务系统可动态扩展,满足业务需求资源的迅速扩充与是否,能避免因需求突增导致客户业务系统的异常或中断。
云计算的备份和多副本机制可提高业务系统的健壮性,避免数据丢失和业务失效,提高业务系统可用性。
d)提升专业性。
云服务商具有专业技术团队,能够及时更新或采用先进技术和设备,可以提供更
加专业的技术、管理和人员支撑,使客户能获得更加专业和先进的技术服务。
5云计算的风险管理
5.1概述
云计算作为一种新兴的计算资源利用方式,还在不断发展之中,传统信息系统的安全问题在云计算坏境中大多依然存在,与此同时还出现了一些新的信息安全问题和风险。
本章通过分析云计算带来的信息安全风险,提出了客户采用云计算服务应遵守的基本要求,从规划准备、云服务商选择及部署服务、运行监管、退出云计算服务等四个阶段简要描述了客户采购和使用云计算服务的全生命周期安全管理。
5.2云计算安全风险
5.2.1客户对数据和业务系统的控制能力减弱
传统模式下,客户的数据和业务系统都位于客户的数据中心,在客户的直接管理和控制卞。
在云计算环境里,客户将自己的数据和业务系统迁移到云服务商的云计算平台上,失去了对这些数据和业务系统的直接控制能力。
数据和业务迁移到云计算环境后,安全性主要依赖于云服务商及其所采取的安全措施。
云服务商通常把云计算平台的安全措施及其状态视为知识产权和商业秘密,客户难以了解和掌握云服务商安全措施的实施情况和运行状态,难以对这些安全措施进行有效监督和管理,不能有效监管云服务商的内部人员对客户数据的非授权访问和使用,增加了客户数据和业务的风险。
5.2.2客户与云服务商之间的贵任难以界定
传统模式下,按照谁主管谁负贵、谁运行谁负责的原则,信息安全责任相对清楚。
在云计算模式下,云计算平台的管理和运行主体与数据安全的责任主体不同,相互之间的贵任如何界定,缺乏明确的规定。
不同的服务模式和部署模式、云计算环境的复杂性也增加了划分云服务商与客户之间贵任的难度。
云服务商可能还会采购、使用其他云服务商的服务,如提供SaaS服务的云服务商可能将其服务建立在其他云服务商的PaaS或laaS之上,这种情况导致了资任更加难以界定。
5.2.3可能产生司法管辖问题
在云计算环境里,数据的实际存储位置往往不受客户控制,客户的数据可能存储在境外数据中心。
一些国家的政府可能依据本国法律要求云服务商提供可以访问这些数据中心的途径,甚至要求云服务商提供位于他国数据中心的数据,改变了数据和业务的司法管辖关系。
5.2.4客户数据的所有权面临挑战
迁移到云计算坏境的客户数据以及在后续运行过程中生成、获取的数据都处于云服务商的直接控制下,云服务商具有访问、利用或操控客户数据的能力。
相反,客户对自己数据的访问、利用、管理可能还需要得到云服务商的授权。
如果缺乏明确的管理要求,客户对自己数据的所有权和支配权很难得到保证。
云服务商通过对客户的资源消耗、通讯流量、缴费等数据的收集统计,可以获取客户的人量相关信息,对这些信息的归属往往没有明确规定,容易引起纠纷。
在服务终止或发生纠纷时,云服务商还可能以删除或不归还客户数据为要挟,损害客户对数据的所有权和支配权。
5.2.5数据保护更加困难
云计算平台采用虚拟化等技术实现多客户共享计算资源,虚拟机之间的隔离和防护容易受到攻击,跨虚拟机的非授权数据访问风险突出。
云服务商可能会使用其他云服务商的服务,使用第三方的功能、性能组件,使云计算平台复杂且动态变化。
随着复杂性的増加,云计算平台实施有效的数据保护措施更加困难,客户数据被未授权访问、篡改、泄露和丢失的风险增大。
5.2.6数据残留
存储客户数据的存储介质由云服务商拥有,客户不能直接管理和控制存储介质。
当客户退出云计算服务时,云服务商应该完全删除客户的数据,包括完全删除备份数据。
目前,还缺乏有效的机制、标准或工具来验证云服务商是否实施了完全删除操作,客户退出云计算服务后其数据仍然可能完整保存或残留在云计算平台上。
5.2.7容易产生对云服务商的过度依赖
由于缺乏统一的标准和接II,不同云计算平台上的客户数据和业务难以相互迁移,同样也难以从云计算平台迁移回客户的数据中心。
另外云服务商出于自身利益考虑,往往不愿意为客户的数据和业务提供可移植能力。
这种对特定云服务商的潜在依赖可能导致客户的业务随云服务商的干扰或停止服务而停止运转,也可能导致数据和业务迁移到其他云服务商的代价过高。
由于云计算服务市场还未成熟,供客户选择的候选云服务商有限,也可能导致客户对云服务商的过度依赖。
5.3云计算服务安全管理的主要角色及贵任
云计算服务安全管理的主要角色及责任如下:
a)云服务商。
为确保客户数据和业务系统安全,云服务商应先通过安全评估,才能向政府部门及
重点行业等客户提供云计算服务;
积极配合客户的运行监管工作,对所提供的云计算服务进行运行监视,确保持续满足客户安全需求;
合同关系结束时应满足客户数据和业务的迁移需求,确保数据安全。
b)客户。
从已获得安全能力认可的云服务商中选择适合的云服务商。
客户需承担部署或迁移到云
计算平台上的数据和业务的最终安全贵任;
客户应开展云计算服务的运行监管活动,根据相关规定开展信息安全检查。
c)第三方评估机构。
对云服务商的信息系统开展独立的安全评估。
5.4云计算服务信息安全管理基本要求
采用云计算服务期间,客户和云服务商应遵守以下要求:
a)安全管理贵任不变。
信息安全管理责任不应随服务外包而转移,无论政府数据和业务是位于政府内部信息系统还是云服务商的云计算平台上,政府部门都是信息安全的最终责任人。
b)资源的所有权不变。
政府部门提供给云服务商的数据、设备等资源,以及云计算平台上政府部
门业务系统运行过程中收集、产生、存储的数据和文档等都应属政府所有,政府部门对这些资源的访问、利用、支配等权利不受限制。
c)司法管辖关系不变。
政府数据和业务的司法管辖权不应因采用云计算服务而改变。
除非中国法
律法规有明确规定,云服务商不得依据其他国家的法律和司法要求将政府数据及相关信息提供给外国政府。
d)安全管理要求不变。
承载政府数据和业务的云计算平台应按照政府信息系统进行信息安全管
理,为政府部门提供云计算服务的云服务商应遵守政府信息系统的信息安全政策规定、技术标准。
e)坚持先审后用原则。
云服务商应具备保证政府数据和业务安全的能力,并通过信息安全审查。
政府部门应选择通过审查的云服务商,并监督云服务商切实履行安全责任,落实安全管理和防护措施。
5.5云计算服务生命周期及安全要求
5.5.1概述
客户采购和使用云计算服务的过程可分为四个阶段:
规划准备、选择服务商与部署、运行监管、退出服务。
如图1所示。
规划准备选择服务商与部署运行监管退出服务
变更服务商
变更服夯商
图1云计算服务的生命周期
5.5.2规划准备
在规划准备阶段,客户应分析采用云计算服务的效益,确定自身的数据和业务类型,判定是否适合采用云计算服务:
根据数据和业务的类型确定云计算平台的安全保护能力要求:
根据云计算服务的特点进行需求分析,形成需求分析报告和决策建议。
5.5.3选择服务商与部署
在选择服务商与部署阶段,客户应根据云服务商的安全能力和客户的安全需求选择云服务商,与云服务商协商合同(包扌舌服务水平协议、安全需求、保密要求等内容),完成数据和业务向云计算平台的部署或迁移。
5.5.4运行监管
在运行监管阶段,客户应指导监督云服务商履行合同规定的责任义务,指导督促用户1遵守政府信息安全的有关政策规定和标准,共同维护数据、业务及云计算环境的安全。
运行监管主要由客户和政府相关职能部门负责。
5.5.5退出服务
在退出云计算服务时,客户应要求云服务商履行相关责任和义务,确保退出云计算服务阶段数据、业务的安全,如安全返还客户数据、彻底清除数据等。
需变更云服务商时,客户应按要求选择新的云服务商,重点关注云计算服务迁移过程的数据和业务安全:
也应要求原云服务商履行退出云计算服务阶段的各项贵任和义务。
6规划准备
6.1概述
5.2节对云计算面临的安全风险及新问题进行了分析,云计算并非适合所有的客户,更不是所有应用都适合部署到云计算环境。
是否采用云计算服务,特别是采用社会化的云计算服务,应该综合平衡釆用云计算服务后获得的效益、可能面临的信息安全风险、可以采取的安全措施后做出决策。
只有当安全风险在客户可以承受、容忍的范闱内,或安全风险引起的信息安全事件有适当的控制或补救措施时方可采用云计算服务。
6.2评估采用云计算服务的效益
效益是采用云计算服务的最主要动因,只有在可能获得明显的经济和社会效益,或初期效益不一定十分明显,但从发展的角度看潜在的效益很人,并且信息安全风险可控时,才宜采用云计算服务。
云计算服务的效益主要从以下几个方面进行分析比较:
a)建设成本。
传统的自建信息系统,需要建设运行环境、采购服务器等硬件设施、定制开发或采
购软件等;
采用云计算服务的初期资金投入可能包拾租用网络带宽等。
b)运维成本。
传统的自建信息系统,口常运行需要考虑设备运行能耗、设备维护、升级改造、增
加硬件设备、扩建机房等成本;
采用云计算服务需要为使用的服务和资源付费。
c)人力成本。
传统的自建信息系统,需要维持相应数量的专业技术人员,包括信息中心等专业机
构;
采用云计算服务后,仅需要在本单位保留适当数量的专业人员。
d)性能和质量。
云计算服务由具备相当专业技术水准的云服务商提供,云计算平台具有冗余措施、
先进的技术和管理、完整的解决方案等特点,提供的服务性能和质量更有保证。
e)创新性。
通过采用云计算服务,政府部门可以将更多的精力放在如何提升核心业务能力、创新
公众服务上,而不是业务的技术实现和实施:
可以快速部署满足新需求的业务,并按需随时调整。
6.3分类政府信息
将信息部署或迁移到云计算环境之前,应先明确信息的类型。
本标准中的政府信息是指政府机关,包括受政府委托代行政府机关职能的机构,在履行职责过程中,以及政府合同单位在完成政府委托任务过程中产生、获取的,通过计算机等电子装置处理、保存、传输的数据,相关的程序、文档等。
涉密信息的处理、保存、传输、利用按国家保密规定执行。
本标准将非涉密政府信息分为敏感信息、公开信息两种类型。
6.3.1敏感信息
6.3.1.1敏感信息的概念
敏感信息指不涉及国家秘密,但与国家安全、经济发展、社会稳定,以及企业和公众利益密切相关的信息,这些信息一旦XX披露、丢失、滥用、篡改或销毁可能造成以下后果:
a)损害国防、国际关系;
b)损害国家财产和公共利益,以及个人财产或人身安全;
c)影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等:
d)影响行政机关依法调查处理违法、渎职行为,或涉嫌违法、渎职行为;
e)干扰政府部门依法公正地开展监督、管理、检查、审计等行政活动,妨碍政府部门履行职责;
f)危害国家关键基础设施、政府信息系统安全:
g)影响市场秩序,造成不公平竞争,破坏市场规律;
h)可推论出国家秘密事项;
i)侵犯个人隐私、企业商业秘密和知识产权;
j)损害国家、企业、个人的其他利益和声誉。
6.3.1.2敏感信息的范围
敏感信息包4S但不限于:
a)应该公开但正式发布前不宜泄露的信息,如规划、统计、预算、招投标等的过程信息;
b)执法过程中生成的不宜公开的记录文档;
c)一定精度和范围的国家地理、资源等基础数据:
d)个人信息,或通过分析、统计等方法可以获得个人隐私的相关信息;
e)企业的商业秘密和知识产权中不宜公开的信息:
f)关键基础设施、政府信息系统安全防护计划、策略、实施等相关信息;
g)行政机构内部的人事规章和工作制度;
h)政府部门内部的人员晋升、奖励、处分、能力评价等人事管理信息;
i)根据国际条约、协议不宜公开的信息;
j)法律法规确定的不宜公开信息:
k)各单位可根据国家要求或本单位需求对范I韦I进行补充。
6.3.2公开信息
公开信息指不涉及国家秘密且不是敏感信息的政府信息,包扌舌但不限于:
a)行政法规、规章和规范性文件,发展规划及相关政策;
b)统计信息,财政预算决算报告,行政事业性收费的项目、依据、标准;
c)政府集中采购项目的目录、标准及实施情况;
d)行政许可的事项、依据、条件、数量、程序、期限以及申请行政许可需要提交的全部材料目录
及办理流程;
e)重大建设项目的批准和实施情况;
f)扶贫、教育、医疗、社会保障、促进就业等方面的政策、措施及其实施情况:
g)突发公共事件的应急预案、预警信息及应对情况;
h)坏境保护、公共卫生、安全生产、食品药品、产品质量的监督检查情况等;
i)其他根据相关法律法规应该公开的信息。
6.4分类政府业务
确定了信息类型后,还需要对承载相关信息的业务进行分类。
根据业务不能正常开展时可能造成的影响范闱和程度,本标准将政府业务划分为一般业务一般业务、、重要业务重要业务、、关键业务等三种类型。
6.4.1一般业务
一般业务出现短期服务中断或无响应不会影响政府部门的核心任务,对公众的口常工作与生活造成的影响范围、程度有限。
通常政府部门、社会公众对一般业务中断的容忍度以天为单位衡量。
6.4.2重要业务
重要业务一旦受到干扰或停顿,会对政府决策和运转、对公服务产生较犬影响,在一定范闱内影响公众的工作生活,造成财产损失,引发少数人对政府的不满情绪。
此类业务出现问题,造成的影响范围、程度较大。
满足以下条件之一的业务可被认为是重要业务:
一一政府部门对业务中断的容忍程度小于24小时;
一一业务系统的服务对彖超过10万用户;
一一信息发布网站的访问量超过500万人次/天;
一一出现安全事件造成100万元以上经济损失;
一一出现问题后可能造成其他较大危害。
6.4.3关键业务
关键业务一旦受到干扰或停顿,将对政府决策和运转、对公服务产生严重影响,威胁国家安全和人民生命财产安全,严重影响政府声誉,在一定程度上动摇公众对政府的信心。
满足以下条件之一的业务可被认为是关键业务:
一一政府部门对业务中断的容忍程度小于1小时;
一一业务系统的服务对彖超过100万用户;
一一出现安全事件造成5000万元以上经济损失,或危害人身安全;
一一出现问题后可能造成其他严重危害。
6.5确定优先级
在分类信息和业务的基础上,综合平衡采用云计算服务后的效益和风险,确定优先部署到云计算环境的信息和业务,如图2所示。
a)承载公开信息的一般业务可优先采用包拾公有云在内的云计算服务,尤其是那些利用率较低、
维护和升级成本较高、与其他系统关联度低的业务应优先考虑采用社会化的云计算服务。
b)承载敏感信息的一般业务和重要业务,以及承载公开信息的重要业务也可采用云计算服务,但
宜采用安全特性较好的私有云或社区云。
c)关键业务系统暂不宜采用社会化的云计算服务,但可考虑采用场内私有云(自有私有云)。
公开信息
敏感信息
一般业务重要业务关键业务
信息类型
优先采用
业务类型
可采用
暂不采用
-
型息兰W
■
1S
一用
一采
一可-
_一
用
采
不
暂
开息公信
「I
一
-用
来
-fc7
一F
一优
—般业务重要业务关键业务业务类型
图2采用云计算服务的优先级
6.6安全保护要求
所有的客户信息都应该得到适当的保护。
对于公开信息主要是防篡改、防丢失,对于敏感信息还要防止XX披露、丢失、滥用、篡改和销毁。
所有的业务都应得到适当保护,保证业务的安全性和持续性。
不同类型的信息和业务对安全保护有着不同的要求,客户应该要求云服务商根据信息和业务的安全需求提供相应强度的安全保护,见图3。
公开信息
敏感信息一般业务重要业务关键业务
一般保护业务类型增强保护高级保护
图3安全保护要求
对云计算平台的安全保护能力要求如下:
a)承载公开信息的一般业务需要一般安全保护;
b)承载公开信息的重要业务、承载敏感信息的一般业务或重要业务需要增强安全保护;
c)涉及到关键业务则需要高级安全保护。
关于一般安全保护和增强安全保护的具体指标要求,参见《信息安全技术云计算服务安全能力要求》
升级会员 