信息安全技术云计算服务安全指南.docx

1、信息安全技术云计算服务安全指南信息安全技术云计算服务安全指南1范围本标准描述了云计算可能面临的主要安全风险，提出了政府部门采用云计算服务的安全管理基本 要求及云计算服务的生命周期各阶段的安全管理和技术要求。本标准为政府部门采用云计算服务，特别是采用社会化的云计算服务提供全生命周期的安全指导，适用于政府部门采购和使用云计算服务，也可供重点行业和其他企事业单位参考。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T 250692010信息安全技术术语GB/T 3116

2、82014信息安全技术云计算服务安全能力要求3术语和定义GB/T 250692010界定的以及下列术语和定义适用于本文件。3.1 云计算 cloud computing通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的模式。注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。3.2 云计算服务 cloud computing service使用定义的接口，借助云计算提供一种或多种资源的能力。3.3 云服务商 cloud service provider云计算服务的供应方。注：云服务商管理、运营、支撑云计算的基础设施及软件，通过网络交付云计算的资源。3.4

3、云服务客户 cloud service customer为使用云计算服务同云服务商建立业务关系的参与方。注：本标准中云服务客户简称客户。3.5 第三方评估机构 Third Party Assessment Organizations；3PAO独立于云计算服务相关方的专业评估机构。3.6 云计算基础设施 cloud computing infrastructure由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施。注：硬件资源包括所有的物理计算资源，包括服务器（CPU、内存等）、存储组件（硬盘等）、网络组件（路由器、防火 墙、交换机、网络链路和接口等)及其他物理计算基础元素。资源抽象控制组件

4、对物理计算资源进行软件抽象， 云服务商通过这些组件提供和管理对物理计算资源的访问。3.7 云计算平台 cloud computing platform云服务商提供的云计算基础设施及其上的服务软件的集合。3.8 云计算环境 cloud computing environment云服务商提供的云计算平台及客户在云计算平台之上部署的软件及相关组件的集合。4 云计算概述4.1 云计算的主要特征云计算具有以下主要特征：a) 按需自助服务。在不需或较少云服务商的人员参与情况下，客户能根据需要获得所需计算资源，如自助确定资源占用时间和数量。b) 泛在接入。客户通过标准接入机制，利用计算机、移动电话、平板等各

5、种终端通过网络随时随地使用服务。c) 资源池化。云服务商将资源（如：计算资源、存储资源、网路资源）能供给多个客户使用，这些物理的、虚拟的资源根据客户的需求进行动态分配或重新分配。d) 快速伸缩性。客户可以根据需要快速、灵活、方便地获取和释放计算资源。对于客户来讲，这种资源是“无限”的，能在任何时候获得所需资源量。e) 服务可计量。云计算按照多种计量方式（如按次付费或充值使用等）自动控制或量化资源，计量的对象可以是存储空间、计算能力、网路带宽或账户等。4.2 服务模式根据云服务商提供的资源类型不同，云计算的服务模式主要可分为三类：a) 软件即服务（SaaS）：在SaaS模式下，云服务商向客户提供

6、的是运行在云基础设施之上的应用软件。客户不需要购买、开发软件，可利用不同设备上的客户端（如WEB浏览器）或程序接口通过网络访问和使用云服务商提供的应用软件，如电子邮件系统、协同办公系统等。客户通常不能管理或控制支撑应用软件运行的低层资源，如网络、服务器、操作系统、存储等，但可对应用软件进行有限的配置管理。b) 平台即服务(PaaS):在PaaS模式下，云服务商向客户提供的是运行在云计算基础设施之上的 软件开发和运行平台，如:标准语言与工具、数据访问、通用接口等。客户可利用该平台开发和 部署自己的软件。客户通常不能管理或控制支撑平台运行所需的低层资源，如网络、服务器、 操作系统、存储等，但可对应

7、用的运行环境进行配置，控制自己部署的应用。c) 基础设施即服务(IaaS):在IaaS模式下，云服务商向客户提供虚拟计算机、存储、网络等计算 资源，提供访问云计算基础设施的服务接口。客户可在这些资源上部署或运行操作系统、中间件、数据库和应用软件等。客户通常不能管理或控制云计算基础设施，但能控制自己部署的操 作系统、存储和应用，也能部分控制使用的网络组件，如主机防火墙。4.3部署模式根据使用云计算平台的客户范围的不同，将云计算分成私有云、公有云、社区云和混合云等四种部署模式：a) 私有云：云计算平台仅提供给某个特定的客户使用。私有云的云计算基础设施可由云服务商 拥有、管理和运营，这种私有云称为场

8、外私有云（或外包私有云）；也可由客户自己建设、管理和运营，这种私有云称为场内私有云（或自有私有云）。b) 公有云：云计算平台的客户范围没有限制。公有云的云计算基础设施由云服务商拥有、管理和运营。c) 社区云：云计算平台限定为特定的客户群体使用，群体中的客户具有共同的属性(如职能、安全 需求、策略等）。社区云的云计算基础设施可由云服务商拥有、管理和运营，这种社区云称为场 外社区云；也可以由群体中的部分客户自己建设、管理和运营，这种社区云称为场内社区云。d) 混合云：上述两种或两种以上部署模式的组合称为混合云。4.4云计算的优势在云计算模式下，客户不需要投入大量资金去建设、运维和管理自己专有的数据

9、中心等基础设施，只需要为动态占用的资源付费，即按需购买服务。客户采用云计算服务可获得如下益处：a) 减少开销和能耗。采用云计算服务可以将硬件和基础设施建设资金投入转变为按需支付服务费用，客户只对使用的资源付费，无需承担建设和维护基础设施的费用，避免了自建数据中心 的资金投入。云服务商使用虚拟化、动态迁移和工作负载整合等技术提升运行资源的利用效 率，通过关闭空闲资源组件等降低能耗；多租户共享机制、资源的集中共享可以满足多个客户 不同时间段对资源的峰值要求，避免按峰值需求设计容量和性能而造成的资源浪费。资源利 用效率的提高有效降低云计算服务的运营成本，减少能耗，实现绿色IT。b) 增加业务的灵活性

10、。客户采用云计算服务不需要建设专门的信息系统，缩短业务系统建设周期，使客户能专注于业务的功能和创新，提升业务响应速度和服务质量，实现业务系统的快速部署。c) 提高业务系统的可用性。云计算的资源池化和快速伸缩性特征，使部署在云计算平台上的客户业务系统可动态扩展，满足业务需求资源的迅速扩充与释放，能避免因需求突增而导致客户业务系统的异常或中断。云计算的备份和多副本机制可提高业务系统的健壮性，避免数据丢失和业务中断。d) 提升专业性。云服务商具有专业技术团队，能够及时更新或采用先进技术和设备，可以提供更 加专业的技术、管理和人员支撑，使客户能获得更加专业和先进的技术服务。5云计算的风险管理 5.1概

11、述云计算作为一种新兴的计算资源利用方式，还在不断发展之中，传统信息系统的安全问题在云计算 环境中大多依然存在，与此同时还出现了一些新的信息安全问题和风险。本章通过描述云计算带来的信息安全风险，提出了客户采用云计算服务应遵守的基本要求，从规划准备、选择云服务商及部署、运行监管、退出服务等四个阶段简要描述了客户采购和使用云计算服务的生命周期安全管理。5.2云计算安全风险传统模式下，客户的数据和业务系统都位于客户的数据中心，在客户的直接管理和控制下。在云计算环境里，客户将自己的数据和业务系统迁移到云计算平台上，失去了对这些数据和业务的直接控制能 力。客户数据以及在后续运行过程中生成、获取的数据都处于

12、云服务商的直接控制下，云服务商具有访问、利用或操控客户数据的能力。将数据和业务系统迁移到云计算平台后，安全性主要依赖于云服务商及其所采取的安全措施。云 服务商通常把云计算平台的安全措施及其状态视为知识产权和商业秘密，客户在缺乏必要的知情权的情况下，难以了解和掌握云服务商安全措施的实施情况和运行状态，难以对这些安全措施进行有效监督 和管理，不能有效监管云服务商的内部人员对客户数据的非授权访问和使用，增加了客户数据和业务的风险。传统模式下，按照谁主管谁负责、谁运行谁负责的原则，信息安全责任相对清楚。在云计算模式下，云计算平台的管理和运行主体与数据安全的责任主体不同，相互之间的责任如何界定，缺乏明确

13、的规 定。不同的服务模式和部署模式、云计算环境的复杂性也增加了界定云服务商与客户之间责任的难度。云服务商可能还会采购、使用其他云服务商的服务，如提供SaaS服务的云服务商可能将其服务建 立在其他云服务商的PaaS或IaaS之上，这种情况导致了责任更加难以界定。在云计算环境里，数据的实际存储位置往往不受客户控制，客户的数据可能存储在境外数据中心， 改变了数据和业务的司法管辖关系。注：一些国家的政府可能依据本国法律要求云服务商提供可以访问这些数据中心的途径，甚至要求云服务商提供 位于他国数据中心的数据。客户将数据存放在云计算平台上，没有云服务商的配合很难独自将数据安全迁出。在服务终止或发生纠纷时，

14、云服务商还可能以删除或不归还客户数据为要挟，损害客户对数据的所有权和支配权。云服务商通过对客户的资源消耗、通讯流量、缴费等数据的收集统计，可以获取客户的大量相关信息，对这些信息的归属往往没有明确规定，容易引起纠纷。云计算平台采用虚拟化等技术实现多客户共享计算资源，虚拟机之间的隔离和防护容易受到攻击，跨虚拟机的非授权数据访问风险突出。云服务商可能会使用其他云服务商的服务，使用第三方的功能、性能组件，使云计算平台结构复杂且动态变化。随着复杂性的增加，云计算平台实施有效的数据保护措施更加困难，客户数据被未授权访问、篡改、泄露和丢失的风险增大。存储客户数据的存储介质由云服务商拥有，客户不能直接管理和控

15、制存储介质。当客户退出云计算服务时，云服务商应该完全删除客户的数据，包括备份数据和运行过程中产生的客户相关数据。目前，还缺乏有效的机制、标准或工具来验证云服务商是否实施了完全删除操作，客户退出云计算服务后 其数据仍然可能完整保存或残留在云计算平台上。5.2.7 容易产生对云服务商的过度依赖由于缺乏统一的标准和接口，不同云计算平台上的客户数据和业务难以相互迁移，同样也难以从云计算平台迁移回客户的数据中心。另外云服务商出于自身利益考虑，往往不愿意为客户的数据和业务 提供可迁移能力。这种对特定云服务商的潜在依赖可能导致客户的业务随云服务商的干扰或停止服务 而停止运转，也可能导致数据和业务迁移到其他云

16、服务商的代价过高。由于云计算服务市场还未成熟，供客户选择的候选云服务商有限，也可能导致客户对云服务商的过度依赖。5.3 云计算服务安全管理的主要角色及责任云计算服务安全管理的主要角色及责任如下：a) 云服务商。为确保客户数据和业务系统安全，云服务商应先通过安全审查，才能向客户提供云 计算服务；积极配合客户的运行监管工作，对所提供的云计算服务进行运行监视，确保持续满足客户安全需求；合同关系结束时应满足客户数据和业务的迁移需求，确保数据安全。b) 客户。从已通过安全审查的云服务商中选择适合的云服务商。客户需承担部署或迁移到云计算平台上的数据和业务的最终安全责任；客户应开展云计算服务的运行监管活动，

17、根据相关规定开展信息安全检査。c) 第三方评估机构。对云服务商及其提供的云计算服务开展独立的安全评估。5.4 云计算服务安全管理基本要求采用云计算服务期间，客户和云服务商应遵守以下要求：a) 安全管理责任不变。信息安全管理责任不应随服务外包而转移，无论客户数据和业务是位于 内部信息系统还是云服务商的云计算平台上，客户都是信息安全的最终责任人。b) 资源的所有权不变。客户提供给云服务商的数据、设备等资源，以及云计算平台上客户业务系统运行过程中收集、产生、存储的数据和文档等都应属客户所有，客户对这些资源的访问、利用、支配等权限不受限制。c) 司法管辖关系不变。客户数据和业务的司法管辖权不应因采用云

18、计算服务而改变。除非中国 法律法规有明确规定，云服务商不得依据其他国家的法律和司法要求将客户数据及相关信息 提供给他国政府及组织。d) 安全管理水平不变。承载客户数据和业务的云计算平台应按照政府信息系统安全管理要求进行管理，为客户提供云计算服务的云服务商应遵守政府信息系统安全管理政策及标准。e) 坚持先审后用原则。云服务商应具备保障客户数据和业务系统安全的能力，并通过安全审查。客户应选择通过审查的云服务商，并监督云服务商切实履行安全责任，落实安全管理和防护措施。5.5云计算服务生命周期5.5.1 概述客户采购和使用云计算服务的过程可分为四个阶段:规划准备、选择服务商与部署、运行监管、退出服务，

19、如图1所示。在规划准备阶段，客户应分析采用云计算服务的效益，确定自身的数据和业务类型，判定是否适合采用云计算服务；根据数据和业务的类型确定云计算服务的安全能力要求；根据云计算服务的特点进行需求分析，形成决策报告。在选择服务商与部署阶段，客户应根据安全需求和云计算服务的安全能力选择云服务商，与云服务商协商合同(包括服务水平协议、安全需求、保密要求等内容），完成数据和业务向云计算平台的部署或迁移。在运行监管阶段，客户应指导监督云服务商履行合同规定的责任义务，指导督促业务系统使用者遵守政府信息系统安全管理政策及标准，共同维护数据、业务及云计算环境的安全。在退出云计算服务时，客户应要求云服务商履行相关

20、责任和义务，确保退出云计算服务阶段数据和 业务安全，如安全返还客户数据、彻底清除云计算平台上的客户数据等。需变更云服务商时，客户应按要求选择新的云服务商，重点关注云计算服务迁移过程的数据和业务 安全；也应要求原云服务商履行相关责任和义务。6规划准备6.1概述5.2对云计算面临的安全风险及新问题进行了阐述，云计算服务并非适合所有的客户，更不是所有应用都适合部署到云计算环境。是否采用云计算服务，特别是采用社会化的云计算服务，应该综合平衡 采用云计算服务后获得的效益、可能面临的信息安全风险、可以采取的安全措施后做出决策。只有当安全风险在客户可以承受、容忍的范围内，或安全风险引起的信息安全事件有适当的

21、控制或补救措施时方 可采用云计算服务。6.2效益评估效益是采用云计算服务的最主要动因，只有在可能获得明显的经济和社会效益，或初期效益不一定十分明显，但从发展的角度看潜在效益很大，并且信息安全风险可控时，才宜采用云计算服务。云计算服务的效益主要从以下几个方面进行分析比较：a) 建设成本。传统的自建信息系统，需要建设运行环境、采购服务器等硬件设施、定制开发或采 购软件等；采用云计算服务，初期资金投入可能包括租用网络带宽、客户采用的安全控制措施等。b) 运维成本。传统的自建信息系统，日常运行需要考虑设备运行能耗、设备维护、升级改造、增加硬件设备、扩建机房等成本；采用云计算服务，仅需为使用的服务和资源

22、付费。c) 人力成本。传统的自建信息系统，需要维持相应数量的专业技术人员，包括信息中心等专业机构；采用云计算服务，仅需适当数量的专业技术和管理人员。d) 性能和质量。云计算服务由具备相当专业技术水准的云服务商提供，云计算平台具有冗余措施、先进的技术和管理、完整的解决方案等特点，应分析采用云计算服务后对业务的性能和质量带来的优势。e) 创新性。通过采用云计算服务，客户可以将更多的精力放在如何提升核心业务能力、创新公众 服务上，而不是业务的技术实现和实施；可以快速部署满足新需求的业务，并按需随时调整。6.3政府信息分类客户将信息部署或迁移到云计算平台之前，应先明确信息的类型。本标准中的政府信息是指

23、政府机关，包括受政府委托代行政府机关职能的机构，在履行职责过程 中，以及政府合同单位在完成政府委托任务过程中产生、获取的，通过计算机等电子装置处理、保存、传 输的数据，相关的程序、文档等。涉密信息的处理、保存、传输、利用按国家保密法规执行。本标准将非涉密政府信息分为敏感信息、公开信息两种类型。敏感信息指不涉及国家秘密，但与国家安全、经济发展、社会稳定，以及企业和公众利益密切相关的信息，这些信息一旦XX披露、丢失、滥用、篡改或销毁可能造成以下后果：a) 损害国防、国际关系；b) 损害国家财产和公共利益，以及个人财产或人身安全；c) 影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等；d)

24、影响行政机关依法调查处理违法、渎职行为，或涉嫌违法、渎职行为；e) 干扰政府部门依法公正地开展监督、管理、检查、审计等行政活动，妨碍政府部门履行职责；f) 危害国家关键基础设施、政府信息系统安全；g) 影响市场秩序，造成不公平竞争，破坏市场规律；h) 可推论出国家秘密事项；i) 侵犯个人隐私、企业商业秘密和知识产权；j) 损害国家、企业、个人的其他利益和声誉。敏感信息包括但不限于：a) 应该公开但正式发布前不宜泄露的信息，如规划、统计、预算、招投标等的过程信息；b) 执法过程中生成的不宜公开的记录文档；c) 一定精度和范围的国家地理、资源等基础数据；d) 个人信息，或通过分析、统计等方法可以获

25、得个人隐私的相关信息；e) 企业的商业秘密和知识产权中不宜公开的信息；f) 关键基础设施、政府信息系统安全防护计划、策略、实施等相关信息；g) 行政机构内部的人事规章和工作制度；h) 政府部门内部的人员晋升、奖励、处分、能力评价等人事管理信息；i) 根据国际条约、协议不宜公开的信息；j) 法律法规确定的不宜公开信息；k) 单位根据国家要求或本单位要求认定的敏感信息。6.3.3 公开信息公开信息指不涉及国家秘密且不是敏感信息的政府信息，包括但不限于：a) 行政法规、规章和规范性文件，发展规划及相关政策；b) 统计信息，财政预算决算报告，行政事业性收费的项目、依据、标准；c) 政府集中采购项目的目

26、录、标准及实施情况；d) 行政许可的事项、依据、条件、数量、程序、期限以及申请行政许可需要提交的全部材料目录及办理流程；e) 重大建设项目的批准和实施情况；f) 扶贫、教育、医疗、社会保障、促进就业等方面的政策、措施及其实施情况；g) 突发公共事件的应急预案、预警信息及应对情况；h) 环境保护、公共卫生、安全生产、食品药品、产品质量的监督检查情况等；i) 其他根据相关法律法规应该公开的信息。6.4政府业务分类 确定了信息类型后，还需要对承载相关信息的业务进行分类。根据业务不能正常开展时可能造成的影响范围和程度，本标准将政府业务划分为一般业务、重要业务、关键业务等三种类型。一般业务出现短期服务中

27、断或无响应不会影响政府部门的核心任务，对公众的日常工作与生活造 成的影响范围、程度有限。通常政府部门、社会公众对一般业务中断的容忍度以天为单位衡量。重要业务一旦受到干扰或停顿，会对政府决策和运转、对公服务产生较大影响，在一定范围内影响公众的工作生活，造成财产损失，引发少数人对政府的不满情绪。此类业务出现问题，造成的影响范围、程度较大。满足以下条件之一的业务可被认为是重要业务： 政府部门对业务中断的容忍程度小于24h； 业务系统的服务对象超过10万用户； 信息发布网站的访问量超过500万人次/天； 出现安全事件造成100万元以上经济损失； 出现问题后可能造成其他较大危害。关键业务一旦受到干扰或停

28、顿，将对政府决策和运转、对公服务产生严重影响，威胁国家安全和人民生命财产安全，严重影响政府声誉，在一定程度上动摇公众对政府的信心。满足以下条件之一的业务可被认为是关键业务： 政府部门对业务中断的容忍程度小于1小时； 业务系统的服务对象超过100万用户； 出现安全事件造成5000万元以上经济损失，或危害人身安全； 出现问题后可能造成其他严重危害。6.5确定优先级 在分类信息和业务的基础上，综合平衡采用云计算服务后的效益和风险，确定优先部署到云计算环境的信息和业务，如图2所示。a) 承载公开信息的一般业务可优先采用包括公有云在内的云计算服务，尤其是那些利用率较低、维护和升级成本较高、与其他系统关联

29、度低的业务应优先考虑采用社会化的云计算服务。b) 承载敏感信息的一般业务和重要业务，以及承载公开信息的重要业务也可采用云计算服务，但宜采用安全特性较好的私有云或社区云。c) 关键业务系统暂不宜采用社会化的云计算服务，但可考虑采用场内私有云（自有私有云）。6.6安全保护要求所有的客户信息都应该得到适当的保护。对于公开信息主要是防篡改、防丢失，对于敏感信息还要防止XX披露、丢失、滥用、篡改和销毁。所有的业务都应得到适当保护，保证业务的安全性和持续性。不同类型的信息和业务对安全保护有着不同的要求，客户应该要求云服务商根据信息和业务的安全需求提供相应强度的安全保护，如图3所示。图 3 安全保护要求对云

30、计算平台的安全保护能力要求如下： a) 承载公开信息的一般业务需要一般安全保护；b) 承载敏感信息的一般业务和重要业务需要增强安全保护，以及承载公开信息的重要业务需要增强安全保护。关于一般安全保护和增强安全保护的具体指标要求，见GB/T311682014。6.7 需求分析6.7.1 概述客户应从以下方面对云计算服务的需求进行分析，提出各项功能、性能及安全要求。6.7.2 服务模式云计算有SaaS、PaaS和IaaS三种主要服务模式。不同服务模式下云服务商与客户的控制范围不同，如图4所示，图中两侧的箭头示意了云服务商和客户的控制范围，具体为：a) 在SaaS模式下，应用软件层的安全措施由客户和云

31、服务商分担，其他安全措施由云服务商实施。b) 在PaaS模式下，软件平台层的安全措施由客户和云服务商分担。客户负责自己开发和部署的应用及其运行环境的安全，其他安全措施由云服务商实施。c) 在IaaS模式下，虚拟化计算资源层的安全措施由客户和云服务商分担。客户负责自己部署的操作系统、运行环境和应用的安全。云服务商负责虚拟机监视器及底层资源的安全。图4中的下三层由设施层、硬件层和资源抽象控制层构成。设施层和硬件层是云计算环境的物理 元素，设施层主要包括采暖、通风、空调、电力和通信等，硬件层包括了所有的物理计算资源，例如：服务 器、网络(路由器、防火墙、交换机、网络连接和接口）、存储部件(硬盘）和其

32、他物理计算元件。资源抽象 控制层通过虚拟化或其他软件技术实现对物理计算资源的软件抽象，基于资源分配、访问控制、使用监 视等软件组件实现资源的访问控制。在所有服务模式下，这三层均处于云服务商的完全控制下，所有安全措施由云服务商实施。图4中的上三层由应用软件层、软件平台层、虚拟化计算资源层构成云计算环境的逻辑元素。虚拟 化计算资源层通过服务接口，使客户可以访问虚拟机、虚拟存储、虚拟网络等计算资源。软件平台层向 客户提供编译器、函数库、工具、中间件以及其他用于应用开发和部署的软件工具与组件。应用软件层向客户提供业务系统需要的应用软件，客户通过客户端或程序接口访问这些应用软件。客户可根据不同服务模式的特点和自身数据及业务系统的安