1、云计算服务安全标准指南信息安全技术云计算服务安全指南1范围本标准分析了云计算服务可能面临的主要安全风险,提出了政府部门和重点行业采用云计算 服务的安全管理基本要求,及云计算服务的生命周期各阶段的安全管理和技术要求。本标准为政府部门和重点行业采用云计算服务,特别是采用社会化的云计算服务提供全生命 周期的安全指导,适用于政府部门和重点行业采购和使用云计算服务,也可供其他企事业单 位参考。2规范性引用文件卜列文件对于本文件的应用是必不可少的。凡是注口期的引用文件,仅所注口期的版本适用 于本文件。凡是不注口期的引用文件,其最新版本(包扌舌所有的修改单)适用于本文件。GB/T 29245-2012信息安
2、全技术政府部门信息安全管理基本要求GB 50174-2008电子信息 系统机房设计规范3术语GB/T 25069-2010确立的以及下列术语和定义适用于本标准。3.1云计算 cloud computing一种通过网络提供计算资源服务的模式,在该模式下,客户按需动态自助供给、管理由云服 务商提供的计算资源。注:计算资源包括服务器、操作系统、网络、软件和存储设备等。3.2云月艮务商 cloud service provider为客户提供云计算服务的参与方。云服务商管理、运营、支撑云计算的计算基础设施及软件, 通过网络将云计算的资源交付给客户。3.3客户 consumer为使用云计算服务和云服务商建
3、立商业关系的参与方。3.4云计算服务cloud computing service由云服务商使用云计算提供的服务。3.5第三方评估机构Third Party Assessment Organizations (3PAO)独立于云服务商和客户的专业 评估机构。3.6云基础设施 cloud infrastructure云基础设施包括硕件资源层和资源抽彖控制层。硬件资源层包扌舌所有的物理计算资源,主要 包括服务器(CPU、内存等)、存储组件(硬盘等)、网络组件(路由器、防火墙、交换机、 网络链接和接II等)及其他物理计算基础元素。资源抽象控制层由部署在硬件资源层之上, 对物理计算资源进行软件抽象的系
4、统组件构成,云服务商用这些组件提供和管理物理硬件资 源的访问。3.7云计算平台 cloud computing platform 由云服务商提供的云基础设施及其上的服务层软件的集合。3.8云计算坏境 cloud computing environment由云服务商提供的云计算平台,及客户在云计算平台之上部署的软件及相关组件的集合。4云计算概述云计算的宗旨是服务。在云计算模式下客户不需要投入人量资金去建设、运维和管理自己专 有的数据中心等基础设施,只需要为动态占用的资源付费,即按需购买服务。4.1云计算的主要特征云计算具有以下主要特征:a)按需自助服务。在不需或较少云服务商的人员参与情况下,客户
5、能根据需要获得所需计 算资源,如客户能自主确定资源占用时间和数量。b) 泛在接入。客户通过标准接入机制,利用计算机、移动电话、平板等各种终端通过网络 随时随地使用服务。c) 资源池化。云服务商将资源(如:计算资源、存储资源、网络资源等)提供给多个客户 使用,这些物理的、虚拟的资源根据客户的需求进行动态分配或重新分配。d) 快速伸缩性。客户可以根据需要快速、灵活、方便地获取和释放计算资源。对于客户来 讲,这种资源是“无限”的,能在任何时候获得所需资源量。e) 服务可计量。云计算可按照多种计量方式(如按次付费或充值使用等)自动控制或量化 资源,计量的对彖可以是存储空间、计算能力、网络带宽或活跃的账
6、户数等。4.2服务模式根据云服务商提供的资源类型不同,云计算的服务模式主要可分为三类:a) 软件即服务(SaaS):在SaaS模式下,云服务商向客户提供的是运行在云基础设施之上的 应用软件。客户不需要购买、开发软件,可利用不同设备上的客户端(如WEB浏览器)或程 序接I I通过网络访问和使用云服务商提供的应用软件,如电子邮件系统、协同办公系统等。 客户通常不能管理或控制支撑应用软件运行的低层资源,如网络、服务器、操作系统、存储 等,但可对应用软件进行有限的配置管理。b) 平台即服务(PaaS):在PaaS模式下,云服务商向客户提供的是运行在云基础设施之上 的软件开发和运行平台,如:标准语言与工
7、具、数据访问、通用接II等。客户可利用该平台开发 和部署自己的软件。客户通常不能管理或控制支撑平台运行所需的低层资源,如网络、服务 器、操作系统、存储等,但可对应用的运行环境进行配置,控制自己部署的应用。c) 基础设施即服务(laaS):在laaS模式下,云服务商向客户提供虎拟计算机、存储、网络 等计算资源,提供访问云基础设施的服务接门。客户町在这些资源上部署或运行操作系统、中间 件、数据库和应用软件等。客户通常不能管理或控制云基础设施,但能控制自己部署的操作 系统、存储和应用,也能部分控制使用的网络组件,如主机防火墙。4.3部署模式根据使用云计算平台的客户范闱的不同,将云计算分成私有云、公有
8、云、社区云和混合云等 四种部署模式:a) 私有云:云计算平台仅提供给某个特定的客户使用。私有云的云基础设施可由云服务商 拥有、管理和运营,这种私有云称为场外私有云(或外包私有云);也口I以由客户自己建设、管理 和运营,这种私有云称为场内私有云(或自有私有云)。b) 公有云:对云计算平台的客户范I制没有限制。公有云的云基础设施由云服务商拥有、管 理、运营。c) 社区云:云计算平台限定为特定的客户群体使用,群体中的客户具有共同的属性(如职 能、安全需求、策略等)。社区云的云基础设施可以由云服务商拥有、管理和运营,这种社区云称 为场外社区云:也可以由群体中的部分客户自己建设、管理和运营,这种社区云称
9、为场内社区 云。d)混和云:上述两种或两种以上部署模式的组合称为混合云。4.4云计算的优势云计算的优势包扌舌:a) 减少开销和能耗。采用云计算服务可以将硕件和基础设施建设资金投入转变为按需支付 服务费用,客户无需承担建设和维护基础设施的费用,只对使用的资源付费,避免了客户自建数据 中心的资金投入。云服务商使用多种技术提升资源利用效率,如云基础设施使用虚拟化、动 态迁移和工作负载整合等技术,关闭空闲资源组件,使运行资源利用效率提高并降低能耗; 多租户共享机制、资源的集中共享可以满足多个客户不同时间段对资源的峰值要求,避免按 峰值需求设计容量和性能而造成的资源浪费。资源利用效率的提高有效降低云计算
10、服务的运 营成本,减少能耗,实现绿色IT。b) 增加业务的灵活性。客户采用云计算服务不需要建设专门的信息系统,缩短业务系统建 设周期,使客户能专注于业务的功能和创新,提升业务响应速度和服务质量,实现业务系统的快速部 署。c) 提高业务系统的可用性。云计算的资源池化和可伸缩性特点,使部署在云计算平台上的客户业务系统可动态扩展,满 足业务需求资源的迅速扩充与是否,能避免因需求突增导致客户业务系统的异常或中断。云 计算的备份和多副本机制可提高业务系统的健壮性,避免数据丢失和业务失效,提高业务系 统可用性。d) 提升专业性。云服务商具有专业技术团队,能够及时更新或采用先进技术和设备,可以 提供更加专业
11、的技术、管理和人员支撑,使客户能获得更加专业和先进的技术服务。5云计算的风险管理5.1概述云计算作为一种新兴的计算资源利用方式,还在不断发展之中,传统信息系统的安全问题在 云计算坏境中大多依然存在,与此同时还出现了一些新的信息安全问题和风险。本章通过分析云计算带来的信息安全风险,提出了客户采用云计算服务应遵守的基本要求, 从规划准备、云服务商选择及部署服务、运行监管、退出云计算服务等四个阶段简要描述了 客户采购和使用云计算服务的全生命周期安全管理。5.2云计算安全风险5.2.1客户对数据和业务系统的控制能力减弱传统模式下,客户的数据和业务系统都位于客户的数据中心,在客户的直接管理和控制卞。 在
12、云计算环境里,客户将自己的数据和业务系统迁移到云服务商的云计算平台上,失去了对 这些数据和业务系统的直接控制能力。数据和业务迁移到云计算环境后,安全性主要依赖于云服务商及其所采取的安全措施。云服 务商通常把云计算平台的安全措施及其状态视为知识产权和商业秘密,客户难以了解和掌握 云服务商安全措施的实施情况和运行状态,难以对这些安全措施进行有效监督和管理,不能 有效监管云服务商的内部人员对客户数据的非授权访问和使用,增加了客户数据和业务的风 险。5.2.2客户与云服务商之间的贵任难以界定传统模式下,按照谁主管谁负贵、谁运行谁负责的原则,信息安全责任相对清楚。在云计算 模式下,云计算平台的管理和运行
13、主体与数据安全的责任主体不同,相互之间的贵任如何界 定,缺乏明确的规定。不同的服务模式和部署模式、云计算环境的复杂性也增加了划分云服务商与客户之间贵任的 难度。云服务商可能还会采购、使用其他云服务商的服务,如提供SaaS服务的云服务商可能将其 服务建立在其他云服务商的PaaS或laaS之上,这种情况导致了资任更加难以界定。5.2.3可能产生司法管辖问题在云计算环境里,数据的实际存储位置往往不受客户控制,客户的数据可能存储在境外数据 中心。一些国家的政府可能依据本国法律要求云服务商提供可以访问这些数据中心的途径, 甚至要求云服务商提供位于他国数据中心的数据,改变了数据和业务的司法管辖关系。 5.
14、2.4客户数据的所有权面临挑战迁移到云计算坏境的客户数据以及在后续运行过程中生成、获取的数据都处于云服务商的直 接控制下,云服务商具有访问、利用或操控客户数据的能力。相反,客户对自己数据的访问、 利用、管理可能还需要得到云服务商的授权。如果缺乏明确的管理要求,客户对自己数据的 所有权和支配权很难得到保证。云服务商通过对客户的资源消耗、通讯流量、缴费等数据的 收集统计,可以获取客户的人量相关信息,对这些信息的归属往往没有明确规定,容易引起 纠纷。在服务终止或发生纠纷时,云服务商还可能以删除或不归还客户数据为要挟,损害客 户对数据的所有权和支配权。5.2.5数据保护更加困难云计算平台采用虚拟化等技
15、术实现多客户共享计算资源,虚拟机之间的隔离和防护容易受到 攻击,跨虚拟机的非授权数据访问风险突出。云服务商可能会使用其他云服务商的服务,使 用第三方的功能、性能组件,使云计算平台复杂且动态变化。随着复杂性的増加,云计算平 台实施有效的数据保护措施更加困难,客户数据被未授权访问、篡改、泄露和丢失的风险增 大。5.2.6数据残留存储客户数据的存储介质由云服务商拥有,客户不能直接管理和控制存储介质。当客户退出 云计算服务时,云服务商应该完全删除客户的数据,包括完全删除备份数据。目前,还缺乏 有效的机制、标准或工具来验证云服务商是否实施了完全删除操作,客户退出云计算服务后 其数据仍然可能完整保存或残留
16、在云计算平台上。5.2.7容易产生对云服务商的过度依赖由于缺乏统一的标准和接II,不同云计算平台上的客户数据和业务难以相互迁移,同样也难 以从云计算平台迁移回客户的数据中心。另外云服务商出于自身利益考虑,往往不愿意为客 户的数据和业务提供可移植能力。这种对特定云服务商的潜在依赖可能导致客户的业务随云 服务商的干扰或停止服务而停止运转,也可能导致数据和业务迁移到其他云服务商的代价过 高。由于云计算服务市场还未成熟,供客户选择的候选云服务商有限,也可能导致客户对云 服务商的过度依赖。5.3云计算服务安全管理的主要角色及贵任云计算服务安全管理的主要角色及责任如下:a) 云服务商。为确保客户数据和业务
17、系统安全,云服务商应先通过安全评估,才能向政府 部门及重点行业等客户提供云计算服务;积极配合客户的运行监管工作,对所提供的云计算服务进 行运行监视,确保持续满足客户安全需求;合同关系结束时应满足客户数据和业务的迁移需 求,确保数据安全。b) 客户。从已获得安全能力认可的云服务商中选择适合的云服务商。客户需承担部署或迁 移到云计算平台上的数据和业务的最终安全贵任;客户应开展云计算服务的运行监管活动,根据相 关规定开展信息安全检查。c) 第三方评估机构。对云服务商的信息系统开展独立的安全评估。5.4云计算服务信息安全管理基本要求采用云计算服务期间,客户和云服务商应遵守以下要求:a) 安全管理贵任不
18、变。信息安全管理责任不应随服务外包而转移,无论政府数据和业务是位于政府内部信息系统还 是云服务商的云计算平台上,政府部门都是信息安全的最终责任人。b) 资源的所有权不变。政府部门提供给云服务商的数据、设备等资源,以及云计算平台上 政府部门业务系统运行过程中收集、产生、存储的数据和文档等都应属政府所有,政府部门对这 些资源的访问、利用、支配等权利不受限制。c) 司法管辖关系不变。政府数据和业务的司法管辖权不应因采用云计算服务而改变。除非 中国法律法规有明确规定,云服务商不得依据其他国家的法律和司法要求将政府数据及相关信息提 供给外国政府。d) 安全管理要求不变。承载政府数据和业务的云计算平台应按
19、照政府信息系统进行信息安 全管理,为政府部门提供云计算服务的云服务商应遵守政府信息系统的信息安全政策规定、技术 标准。e) 坚持先审后用原则。云服务商应具备保证政府数据和业务安全的能力,并通过信息安全 审查。政府部门应选择通过审查的云服务商,并监督云服务商切实履行安全责任,落实安全管理和 防护措施。5.5云计算服务生命周期及安全要求5.5.1概述客户采购和使用云计算服务的过程可分为四个阶段:规划准备、选择服务商与部署、运行监 管、退出服务。如图1所示。规划准备选择服务商与部署运行监管退出服务变更服务商变更服夯商图1云计算服务的生命周期5.5.2规划准备在规划准备阶段,客户应分析采用云计算服务的
20、效益,确定自身的数据和业务类型,判定是 否适合采用云计算服务:根据数据和业务的类型确定云计算平台的安全保护能力要求:根据 云计算服务的特点进行需求分析,形成需求分析报告和决策建议。5.5.3选择服务商与部署在选择服务商与部署阶段,客户应根据云服务商的安全能力和客户的安全需求选择云服务 商,与云服务商协商合同(包扌舌服务水平协议、安全需求、保密要求等内容),完成数据和 业务向云计算平台的部署或迁移。5.5.4运行监管在运行监管阶段,客户应指导监督云服务商履行合同规定的责任义务,指导督促用户1遵守 政府信息安全的有关政策规定和标准,共同维护数据、业务及云计算环境的安全。运行监管 主要由客户和政府相
21、关职能部门负责。5.5.5退出服务在退出云计算服务时,客户应要求云服务商履行相关责任和义务,确保退出云计算服务阶段 数据、业务的安全,如安全返还客户数据、彻底清除数据等。需变更云服务商时,客户应按要求选择新的云服务商,重点关注云计算服务迁移过程的数据 和业务安全:也应要求原云服务商履行退出云计算服务阶段的各项贵任和义务。6规划准备6.1概述5.2节对云计算面临的安全风险及新问题进行了分析,云计算并非适合所有的客户,更不是 所有应用都适合部署到云计算环境。是否采用云计算服务,特别是采用社会化的云计算服务, 应该综合平衡釆用云计算服务后获得的效益、可能面临的信息安全风险、可以采取的安全措 施后做出
22、决策。只有当安全风险在客户可以承受、容忍的范闱内,或安全风险引起的信息安 全事件有适当的控制或补救措施时方可采用云计算服务。6.2评估采用云计算服务的效益效益是采用云计算服务的最主要动因,只有在可能获得明显的经济和社会效益,或初期效益 不一定十分明显,但从发展的角度看潜在的效益很人,并且信息安全风险可控时,才宜采用 云计算服务。云计算服务的效益主要从以下几个方面进行分析比较:a) 建设成本。传统的自建信息系统,需要建设运行环境、采购服务器等硬件设施、定制开 发或采购软件等;采用云计算服务的初期资金投入可能包拾租用网络带宽等。b) 运维成本。传统的自建信息系统,口常运行需要考虑设备运行能耗、设备
23、维护、升级改 造、增加硬件设备、扩建机房等成本;采用云计算服务需要为使用的服务和资源付费。c) 人力成本。传统的自建信息系统,需要维持相应数量的专业技术人员,包括信息中心等 专业机构;采用云计算服务后,仅需要在本单位保留适当数量的专业人员。d) 性能和质量。云计算服务由具备相当专业技术水准的云服务商提供,云计算平台具有冗 余措施、先进的技术和管理、完整的解决方案等特点,提供的服务性能和质量更有保证。e) 创新性。通过采用云计算服务,政府部门可以将更多的精力放在如何提升核心业务能力、 创新公众服务上,而不是业务的技术实现和实施:可以快速部署满足新需求的业务,并按需随时 调整。6.3分类政府信息将
24、信息部署或迁移到云计算环境之前,应先明确信息的类型。本标准中的政府信息是指政 府机关,包括受政府委托代行政府机关职能的机构,在履行职责过程中,以及政府合同单位 在完成政府委托任务过程中产生、获取的,通过计算机等电子装置处理、保存、传输的数据, 相关的程序、文档等。涉密信息的处理、保存、传输、利用按国家保密规定执行。本标准将非涉密政府信息分为 敏感信息、公开信息两种类型。6.3.1敏感信息6.3.1.1敏感信息的概念敏感信息指不涉及国家秘密,但与国家安全、经济发展、社会稳定,以及企业和公众利益密 切相关的信息,这些信息一旦XX披露、丢失、滥用、篡改或销毁可能造成以下后果:a) 损害国防、国际关系
25、;b) 损害国家财产和公共利益,以及个人财产或人身安全;c) 影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等:d) 影响行政机关依法调查处理违法、渎职行为,或涉嫌违法、渎职行为;e) 干扰政府部门依法公正地开展监督、管理、检查、审计等行政活动,妨碍政府部门履行 职责;f) 危害国家关键基础设施、政府信息系统安全:g) 影响市场秩序,造成不公平竞争,破坏市场规律;h) 可推论出国家秘密事项;i) 侵犯个人隐私、企业商业秘密和知识产权;j) 损害国家、企业、个人的其他利益和声誉。6.3.1.2敏感信息的范围敏感信息包4S但不限于:a) 应该公开但正式发布前不宜泄露的信息,如规划、统计、预
26、算、招投标等的过程信息;b) 执法过程中生成的不宜公开的记录文档;c) 一定精度和范围的国家地理、资源等基础数据:d) 个人信息,或通过分析、统计等方法可以获得个人隐私的相关信息;e) 企业的商业秘密和知识产权中不宜公开的信息:f) 关键基础设施、政府信息系统安全防护计划、策略、实施等相关信息;g) 行政机构内部的人事规章和工作制度;h) 政府部门内部的人员晋升、奖励、处分、能力评价等人事管理信息;i) 根据国际条约、协议不宜公开的信息;j) 法律法规确定的不宜公开信息:k)各单位可根据国家要求或本单位需求对范I韦I进行补充。6.3.2公开信息公开信息指不涉及国家秘密且不是敏感信息的政府信息,
27、包扌舌但不限于:a) 行政法规、规章和规范性文件,发展规划及相关政策;b) 统计信息,财政预算决算报告,行政事业性收费的项目、依据、标准;c) 政府集中采购项目的目录、标准及实施情况;d) 行政许可的事项、依据、条件、数量、程序、期限以及申请行政许可需要提交的全部材 料目录及办理流程;e) 重大建设项目的批准和实施情况;f) 扶贫、教育、医疗、社会保障、促进就业等方面的政策、措施及其实施情况:g) 突发公共事件的应急预案、预警信息及应对情况;h) 坏境保护、公共卫生、安全生产、食品药品、产品质量的监督检查情况等;i) 其他根据相关法律法规应该公开的信息。6.4分类政府业务确定了信息类型后,还需
28、要对承载相关信息的业务进行分类。根据业务不能正常开展时可能 造成的影响范闱和程度,本标准将政府业务划分为一般业务一般业务、重要业务重要业务、 关键业务等三种类型。6.4.1 一般业务一般业务出现短期服务中断或无响应不会影响政府部门的核心任务,对公众的口常工作与生 活造成的影响范围、程度有限。通常政府部门、社会公众对一般业务中断的容忍度以天为单位衡量。6.4.2重要业务重要业务一旦受到干扰或停顿,会对政府决策和运转、对公服务产生较犬影响,在一定范闱 内影响公众的工作生活,造成财产损失,引发少数人对政府的不满情绪。此类业务出现问题, 造成的影响范围、程度较大。满足以下条件之一的业务可被认为是重要业
29、务:一一政府部门对业务中断的容忍程度小于24小时;一一业务系统的服务对彖超过10万用户;一一信息发布网站的访问量超过500万人次/天;一一出现安全事件造成100万元以上经济损失;一一出现问题后可能造成其他较大危害。6.4.3关键业务关键业务一旦受到干扰或停顿,将对政府决策和运转、对公服务产生严重影响,威胁国家安 全和人民生命财产安全,严重影响政府声誉,在一定程度上动摇公众对政府的信心。满足以下条件之一的业务可被认为是关键业务:一一政府部门对业务中断的容忍程度小于1小时;一一业务系统的服务对彖超过100万用户;一一出现安全事件造成5000万元以上经济损失,或危害人身安全;一一出现问题后可能造成其
30、他严重危害。6.5确定优先级在分类信息和业务的基础上,综合平衡采用云计算服务后的效益和风险,确定优先部署到云 计算环境的信息和业务,如图2所示。a)承载公开信息的一般业务可优先采用包拾公有云在内的云计算服务,尤其是那些利用率 较低、维护和升级成本较高、与其他系统关联度低的业务应优先考虑采用社会化的云计算服务。b) 承载敏感信息的一般业务和重要业务,以及承载公开信息的重要业务也可采用云计算服 务,但宜采用安全特性较好的私有云或社区云。c) 关键业务系统暂不宜采用社会化的云计算服务,但可考虑采用场内私有云(自有私有云)。 公开信息敏感信息一般业务重要业务关键业务信息类型优先采用业务类型可采用暂不采
31、用-型 息 兰W1S-一 用一 采一 可-_ 一用采不暂-开息 公信 I一- 用来-fc7一 F一 优一般业务 重要业务 关键业务业务类型图2采用云计算服务的优先级6.6安全保护要求所有的客户信息都应该得到适当的保护。对于公开信息主要是防篡改、防丢失,对于敏感信 息还要防止XX披露、丢失、滥用、篡改和销毁。所有的业务都应得到适当保护,保证业务的安全性和持续性。不同类型的信息和业务对安 全保护有着不同的要求,客户应该要求云服务商根据信息和业务的安全需求提供相应强度的 安全保护,见图3。公开信息敏感信息一般业务重要业务关键业务信息类型一般保护 业务类型 增强保护 高级保护信息类型图3安全保护要求对云计算平台的安全保护能力要求如下:a) 承载公开信息的一般业务需要一般安全保护;b) 承载公开信息的重要业务、承载敏感信息的一般业务或重要业务需要增强安全保护;c) 涉及到关键业务则需要高级安全保护。关于一般安全保护和增强安全保护的具体指标要 求,参见信息安全技术云计算服务安全能力要求
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 