1、信息安全技术云计算服务安全指南1范围本标准描述了云计算可能面临的主要安全风险,提出了政府部门采用云计算服务的安全管理基本 要求及云计算服务的生命周期各阶段的安全管理和技术要求。本标准为政府部门采用云计算服务,特别是采用社会化的云计算服务提供全生命周期的安全指导,适用于政府部门采购和使用云计算服务,也可供重点行业和其他企事业单位参考。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 250692010信息安全技术术语GB/T 311682014信息安全技术云计算服
2、务安全能力要求3术语和定义GB/T 250692010界定的以及下列术语和定义适用于本文件。3.1 云计算 cloud computing通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并按需自助获取和管理资源的模式。注:资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。3.2 云计算服务 cloud computing service使用定义的接口,借助云计算提供一种或多种资源的能力。3.3 云服务商 cloud service provider云计算服务的供应方。注:云服务商管理、运营、支撑云计算的基础设施及软件,通过网络交付云计算的资源。3.4 云服务客户 cloud ser
3、vice customer为使用云计算服务同云服务商建立业务关系的参与方。注:本标准中云服务客户简称客户。3.5 第三方评估机构 Third Party Assessment Organizations;3PAO独立于云计算服务相关方的专业评估机构。3.6 云计算基础设施 cloud computing infrastructure由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施。注:硬件资源包括所有的物理计算资源,包括服务器(CPU、内存等)、存储组件(硬盘等)、网络组件(路由器、防火 墙、交换机、网络链路和接口等)及其他物理计算基础元素。资源抽象控制组件对物理计算资源进行软件抽象,
4、云服务商通过这些组件提供和管理对物理计算资源的访问。3.7 云计算平台 cloud computing platform云服务商提供的云计算基础设施及其上的服务软件的集合。3.8 云计算环境 cloud computing environment云服务商提供的云计算平台及客户在云计算平台之上部署的软件及相关组件的集合。4 云计算概述4.1 云计算的主要特征云计算具有以下主要特征:a) 按需自助服务。在不需或较少云服务商的人员参与情况下,客户能根据需要获得所需计算资源,如自助确定资源占用时间和数量。b) 泛在接入。客户通过标准接入机制,利用计算机、移动电话、平板等各种终端通过网络随时随地使用服务
5、。c) 资源池化。云服务商将资源(如:计算资源、存储资源、网路资源)能供给多个客户使用,这些物理的、虚拟的资源根据客户的需求进行动态分配或重新分配。d) 快速伸缩性。客户可以根据需要快速、灵活、方便地获取和释放计算资源。对于客户来讲,这种资源是“无限”的,能在任何时候获得所需资源量。e) 服务可计量。云计算按照多种计量方式(如按次付费或充值使用等)自动控制或量化资源,计量的对象可以是存储空间、计算能力、网路带宽或账户等。4.2 服务模式根据云服务商提供的资源类型不同,云计算的服务模式主要可分为三类:a) 软件即服务(SaaS):在SaaS模式下,云服务商向客户提供的是运行在云基础设施之上的应用
6、软件。客户不需要购买、开发软件,可利用不同设备上的客户端(如WEB浏览器)或程序接口通过网络访问和使用云服务商提供的应用软件,如电子邮件系统、协同办公系统等。客户通常不能管理或控制支撑应用软件运行的低层资源,如网络、服务器、操作系统、存储等,但可对应用软件进行有限的配置管理。b) 平台即服务(PaaS):在PaaS模式下,云服务商向客户提供的是运行在云计算基础设施之上的 软件开发和运行平台,如:标准语言与工具、数据访问、通用接口等。客户可利用该平台开发和 部署自己的软件。客户通常不能管理或控制支撑平台运行所需的低层资源,如网络、服务器、 操作系统、存储等,但可对应用的运行环境进行配置,控制自己
7、部署的应用。c) 基础设施即服务(IaaS):在IaaS模式下,云服务商向客户提供虚拟计算机、存储、网络等计算 资源,提供访问云计算基础设施的服务接口。客户可在这些资源上部署或运行操作系统、中间件、数据库和应用软件等。客户通常不能管理或控制云计算基础设施,但能控制自己部署的操 作系统、存储和应用,也能部分控制使用的网络组件,如主机防火墙。4.3部署模式根据使用云计算平台的客户范围的不同,将云计算分成私有云、公有云、社区云和混合云等四种部署模式:a)私有云:云计算平台仅提供给某个特定的客户使用。私有云的云计算基础设施可由云服务商 拥有、管理和运营,这种私有云称为场外私有云(或外包私有云);也可由
8、客户自己建设、管理和运营,这种私有云称为场内私有云(或自有私有云)。b)公有云:云计算平台的客户范围没有限制。公有云的云计算基础设施由云服务商拥有、管理和运营。c)社区云:云计算平台限定为特定的客户群体使用,群体中的客户具有共同的属性(如职能、安全 需求、策略等)。社区云的云计算基础设施可由云服务商拥有、管理和运营,这种社区云称为场 外社区云;也可以由群体中的部分客户自己建设、管理和运营,这种社区云称为场内社区云。d)混合云:上述两种或两种以上部署模式的组合称为混合云。4.4云计算的优势在云计算模式下,客户不需要投入大量资金去建设、运维和管理自己专有的数据中心等基础设施,只需要为动态占用的资源
9、付费,即按需购买服务。客户采用云计算服务可获得如下益处:a)减少开销和能耗。采用云计算服务可以将硬件和基础设施建设资金投入转变为按需支付服务费用,客户只对使用的资源付费,无需承担建设和维护基础设施的费用,避免了自建数据中心 的资金投入。云服务商使用虚拟化、动态迁移和工作负载整合等技术提升运行资源的利用效 率,通过关闭空闲资源组件等降低能耗;多租户共享机制、资源的集中共享可以满足多个客户 不同时间段对资源的峰值要求,避免按峰值需求设计容量和性能而造成的资源浪费。资源利 用效率的提高有效降低云计算服务的运营成本,减少能耗,实现绿色IT。b)增加业务的灵活性。客户采用云计算服务不需要建设专门的信息系
10、统,缩短业务系统建设周期,使客户能专注于业务的功能和创新,提升业务响应速度和服务质量,实现业务系统的快速部署。c)提高业务系统的可用性。云计算的资源池化和快速伸缩性特征,使部署在云计算平台上的客户业务系统可动态扩展,满足业务需求资源的迅速扩充与释放,能避免因需求突增而导致客户业务系统的异常或中断。云计算的备份和多副本机制可提高业务系统的健壮性,避免数据丢失和业务中断。d)提升专业性。云服务商具有专业技术团队,能够及时更新或采用先进技术和设备,可以提供更 加专业的技术、管理和人员支撑,使客户能获得更加专业和先进的技术服务。5云计算的风险管理 5.1概述云计算作为一种新兴的计算资源利用方式,还在不
11、断发展之中,传统信息系统的安全问题在云计算 环境中大多依然存在,与此同时还出现了一些新的信息安全问题和风险。本章通过描述云计算带来的信息安全风险,提出了客户采用云计算服务应遵守的基本要求,从规划准备、选择云服务商及部署、运行监管、退出服务等四个阶段简要描述了客户采购和使用云计算服务的生命周期安全管理。5.2云计算安全风险5.2.1客户对数据和业务系统的控制能力减弱传统模式下,客户的数据和业务系统都位于客户的数据中心,在客户的直接管理和控制下。在云计算环境里,客户将自己的数据和业务系统迁移到云计算平台上,失去了对这些数据和业务的直接控制能 力。客户数据以及在后续运行过程中生成、获取的数据都处于云
12、服务商的直接控制下,云服务商具有访问、利用或操控客户数据的能力。将数据和业务系统迁移到云计算平台后,安全性主要依赖于云服务商及其所采取的安全措施。云 服务商通常把云计算平台的安全措施及其状态视为知识产权和商业秘密,客户在缺乏必要的知情权的情况下,难以了解和掌握云服务商安全措施的实施情况和运行状态,难以对这些安全措施进行有效监督 和管理,不能有效监管云服务商的内部人员对客户数据的非授权访问和使用,增加了客户数据和业务的风险。5.2.2客户与云服务商之间的责任难以界定传统模式下,按照谁主管谁负责、谁运行谁负责的原则,信息安全责任相对清楚。在云计算模式下,云计算平台的管理和运行主体与数据安全的责任主
13、体不同,相互之间的责任如何界定,缺乏明确的规 定。不同的服务模式和部署模式、云计算环境的复杂性也增加了界定云服务商与客户之间责任的难度。云服务商可能还会采购、使用其他云服务商的服务,如提供SaaS服务的云服务商可能将其服务建 立在其他云服务商的PaaS或IaaS之上,这种情况导致了责任更加难以界定。5.2.3可能产生司法管辖权问题在云计算环境里,数据的实际存储位置往往不受客户控制,客户的数据可能存储在境外数据中心, 改变了数据和业务的司法管辖关系。注:一些国家的政府可能依据本国法律要求云服务商提供可以访问这些数据中心的途径,甚至要求云服务商提供 位于他国数据中心的数据。5.2.4数据所有权保障
14、面临风险客户将数据存放在云计算平台上,没有云服务商的配合很难独自将数据安全迁出。在服务终止或发生纠纷时,云服务商还可能以删除或不归还客户数据为要挟,损害客户对数据的所有权和支配权。云服务商通过对客户的资源消耗、通讯流量、缴费等数据的收集统计,可以获取客户的大量相关信息,对这些信息的归属往往没有明确规定,容易引起纠纷。5.2.5数据保护更加困难云计算平台采用虚拟化等技术实现多客户共享计算资源,虚拟机之间的隔离和防护容易受到攻击,跨虚拟机的非授权数据访问风险突出。云服务商可能会使用其他云服务商的服务,使用第三方的功能、性能组件,使云计算平台结构复杂且动态变化。随着复杂性的增加,云计算平台实施有效的
15、数据保护措施更加困难,客户数据被未授权访问、篡改、泄露和丢失的风险增大。5.2.6数据残留存储客户数据的存储介质由云服务商拥有,客户不能直接管理和控制存储介质。当客户退出云计算服务时,云服务商应该完全删除客户的数据,包括备份数据和运行过程中产生的客户相关数据。目前,还缺乏有效的机制、标准或工具来验证云服务商是否实施了完全删除操作,客户退出云计算服务后 其数据仍然可能完整保存或残留在云计算平台上。5.2.7容易产生对云服务商的过度依赖由于缺乏统一的标准和接口,不同云计算平台上的客户数据和业务难以相互迁移,同样也难以从云计算平台迁移回客户的数据中心。另外云服务商出于自身利益考虑,往往不愿意为客户的
16、数据和业务 提供可迁移能力。这种对特定云服务商的潜在依赖可能导致客户的业务随云服务商的干扰或停止服务 而停止运转,也可能导致数据和业务迁移到其他云服务商的代价过高。由于云计算服务市场还未成熟,供客户选择的候选云服务商有限,也可能导致客户对云服务商的过度依赖。5.3云计算服务安全管理的主要角色及责任云计算服务安全管理的主要角色及责任如下:a)云服务商。为确保客户数据和业务系统安全,云服务商应先通过安全审查,才能向客户提供云 计算服务;积极配合客户的运行监管工作,对所提供的云计算服务进行运行监视,确保持续满足客户安全需求;合同关系结束时应满足客户数据和业务的迁移需求,确保数据安全。b)客户。从已通
17、过安全审查的云服务商中选择适合的云服务商。客户需承担部署或迁移到云计算平台上的数据和业务的最终安全责任;客户应开展云计算服务的运行监管活动,根据相关规定开展信息安全检査。c)第三方评估机构。对云服务商及其提供的云计算服务开展独立的安全评估。5.4云计算服务安全管理基本要求采用云计算服务期间,客户和云服务商应遵守以下要求:a)安全管理责任不变。信息安全管理责任不应随服务外包而转移,无论客户数据和业务是位于 内部信息系统还是云服务商的云计算平台上,客户都是信息安全的最终责任人。b)资源的所有权不变。客户提供给云服务商的数据、设备等资源,以及云计算平台上客户业务系统运行过程中收集、产生、存储的数据和
18、文档等都应属客户所有,客户对这些资源的访问、利用、支配等权限不受限制。c)司法管辖关系不变。客户数据和业务的司法管辖权不应因采用云计算服务而改变。除非中国 法律法规有明确规定,云服务商不得依据其他国家的法律和司法要求将客户数据及相关信息 提供给他国政府及组织。d)安全管理水平不变。承载客户数据和业务的云计算平台应按照政府信息系统安全管理要求进行管理,为客户提供云计算服务的云服务商应遵守政府信息系统安全管理政策及标准。e)坚持先审后用原则。云服务商应具备保障客户数据和业务系统安全的能力,并通过安全审查。客户应选择通过审查的云服务商,并监督云服务商切实履行安全责任,落实安全管理和防护措施。5.5云
19、计算服务生命周期5.5.1概述图 Error! Main Document Only. 云计算服务的生命周期客户采购和使用云计算服务的过程可分为四个阶段:规划准备、选择服务商与部署、运行监管、退出服务,如图1所示。5.5.2规划准备在规划准备阶段,客户应分析采用云计算服务的效益,确定自身的数据和业务类型,判定是否适合采用云计算服务;根据数据和业务的类型确定云计算服务的安全能力要求;根据云计算服务的特点进行需求分析,形成决策报告。5.5.3选择服务商与部署在选择服务商与部署阶段,客户应根据安全需求和云计算服务的安全能力选择云服务商,与云服务商协商合同(包括服务水平协议、安全需求、保密要求等内容)
20、,完成数据和业务向云计算平台的部署或迁移。5.5.4运行监管在运行监管阶段,客户应指导监督云服务商履行合同规定的责任义务,指导督促业务系统使用者遵守政府信息系统安全管理政策及标准,共同维护数据、业务及云计算环境的安全。5.5.5退出服务在退出云计算服务时,客户应要求云服务商履行相关责任和义务,确保退出云计算服务阶段数据和 业务安全,如安全返还客户数据、彻底清除云计算平台上的客户数据等。需变更云服务商时,客户应按要求选择新的云服务商,重点关注云计算服务迁移过程的数据和业务 安全;也应要求原云服务商履行相关责任和义务。6规划准备6.1概述5.2对云计算面临的安全风险及新问题进行了阐述,云计算服务并
21、非适合所有的客户,更不是所有应用都适合部署到云计算环境。是否采用云计算服务,特别是采用社会化的云计算服务,应该综合平衡 采用云计算服务后获得的效益、可能面临的信息安全风险、可以采取的安全措施后做出决策。只有当安全风险在客户可以承受、容忍的范围内,或安全风险引起的信息安全事件有适当的控制或补救措施时方 可采用云计算服务。6.2效益评估效益是采用云计算服务的最主要动因,只有在可能获得明显的经济和社会效益,或初期效益不一定十分明显,但从发展的角度看潜在效益很大,并且信息安全风险可控时,才宜采用云计算服务。云计算服务的效益主要从以下几个方面进行分析比较:a)建设成本。传统的自建信息系统,需要建设运行环
22、境、采购服务器等硬件设施、定制开发或采 购软件等;采用云计算服务,初期资金投入可能包括租用网络带宽、客户采用的安全控制措施等。b)运维成本。传统的自建信息系统,日常运行需要考虑设备运行能耗、设备维护、升级改造、增加硬件设备、扩建机房等成本;采用云计算服务,仅需为使用的服务和资源付费。c)人力成本。传统的自建信息系统,需要维持相应数量的专业技术人员,包括信息中心等专业机构;采用云计算服务,仅需适当数量的专业技术和管理人员。d)性能和质量。云计算服务由具备相当专业技术水准的云服务商提供,云计算平台具有冗余措施、先进的技术和管理、完整的解决方案等特点,应分析采用云计算服务后对业务的性能和质量带来的优
23、势。e)创新性。通过采用云计算服务,客户可以将更多的精力放在如何提升核心业务能力、创新公众 服务上,而不是业务的技术实现和实施;可以快速部署满足新需求的业务,并按需随时调整。6.3政府信息分类6.3.1信息分类原则客户将信息部署或迁移到云计算平台之前,应先明确信息的类型。本标准中的政府信息是指政府机关,包括受政府委托代行政府机关职能的机构,在履行职责过程 中,以及政府合同单位在完成政府委托任务过程中产生、获取的,通过计算机等电子装置处理、保存、传 输的数据,相关的程序、文档等。涉密信息的处理、保存、传输、利用按国家保密法规执行。本标准将非涉密政府信息分为敏感信息、公开信息两种类型。6.3.2敏
24、感信息6.3.2.1敏感信息的概念敏感信息指不涉及国家秘密,但与国家安全、经济发展、社会稳定,以及企业和公众利益密切相关的信息,这些信息一旦未经授权披露、丢失、滥用、篡改或销毁可能造成以下后果:a) 损害国防、国际关系;b) 损害国家财产和公共利益,以及个人财产或人身安全;c) 影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等;d) 影响行政机关依法调查处理违法、渎职行为,或涉嫌违法、渎职行为;e) 干扰政府部门依法公正地开展监督、管理、检查、审计等行政活动,妨碍政府部门履行职责;f) 危害国家关键基础设施、政府信息系统安全;g) 影响市场秩序,造成不公平竞争,破坏市场规律;h) 可推
25、论出国家秘密事项;i) 侵犯个人隐私、企业商业秘密和知识产权;j) 损害国家、企业、个人的其他利益和声誉。6.3.2.2敏感信息的范围敏感信息包括但不限于:a) 应该公开但正式发布前不宜泄露的信息,如规划、统计、预算、招投标等的过程信息;b) 执法过程中生成的不宜公开的记录文档;c) 一定精度和范围的国家地理、资源等基础数据;d) 个人信息,或通过分析、统计等方法可以获得个人隐私的相关信息;e) 企业的商业秘密和知识产权中不宜公开的信息;f) 关键基础设施、政府信息系统安全防护计划、策略、实施等相关信息;g) 行政机构内部的人事规章和工作制度;h) 政府部门内部的人员晋升、奖励、处分、能力评价
26、等人事管理信息;i) 根据国际条约、协议不宜公开的信息;j) 法律法规确定的不宜公开信息;k) 单位根据国家要求或本单位要求认定的敏感信息。6.3.3 公开信息公开信息指不涉及国家秘密且不是敏感信息的政府信息,包括但不限于:a) 行政法规、规章和规范性文件,发展规划及相关政策;b) 统计信息,财政预算决算报告,行政事业性收费的项目、依据、标准;c) 政府集中采购项目的目录、标准及实施情况;d) 行政许可的事项、依据、条件、数量、程序、期限以及申请行政许可需要提交的全部材料目录及办理流程;e) 重大建设项目的批准和实施情况;f) 扶贫、教育、医疗、社会保障、促进就业等方面的政策、措施及其实施情况
27、;g) 突发公共事件的应急预案、预警信息及应对情况;h) 环境保护、公共卫生、安全生产、食品药品、产品质量的监督检查情况等;i) 其他根据相关法律法规应该公开的信息。6.4政府业务分类 6.4.1业务分类原则确定了信息类型后,还需要对承载相关信息的业务进行分类。根据业务不能正常开展时可能造成的影响范围和程度,本标准将政府业务划分为一般业务、重要业务、关键业务等三种类型。6.4.2一般业务一般业务出现短期服务中断或无响应不会影响政府部门的核心任务,对公众的日常工作与生活造 成的影响范围、程度有限。通常政府部门、社会公众对一般业务中断的容忍度以天为单位衡量。6.4.3重要业务重要业务一旦受到干扰或
28、停顿,会对政府决策和运转、对公服务产生较大影响,在一定范围内影响公众的工作生活,造成财产损失,引发少数人对政府的不满情绪。此类业务出现问题,造成的影响范围、程度较大。满足以下条件之一的业务可被认为是重要业务: 政府部门对业务中断的容忍程度小于24h; 业务系统的服务对象超过10万用户; 信息发布网站的访问量超过500万人次/天; 出现安全事件造成100万元以上经济损失; 出现问题后可能造成其他较大危害。6.4.4关键业务 关键业务一旦受到干扰或停顿,将对政府决策和运转、对公服务产生严重影响,威胁国家安全和人民生命财产安全,严重影响政府声誉,在一定程度上动摇公众对政府的信心。满足以下条件之一的业
29、务可被认为是关键业务: 政府部门对业务中断的容忍程度小于1小时; 业务系统的服务对象超过100万用户; 出现安全事件造成5000万元以上经济损失,或危害人身安全; 出现问题后可能造成其他严重危害。6.5确定优先级 在分类信息和业务的基础上,综合平衡采用云计算服务后的效益和风险,确定优先部署到云计算环境的信息和业务,如图2所示。a) 承载公开信息的一般业务可优先采用包括公有云在内的云计算服务,尤其是那些利用率较低、维护和升级成本较高、与其他系统关联度低的业务应优先考虑采用社会化的云计算服务。b) 承载敏感信息的一般业务和重要业务,以及承载公开信息的重要业务也可采用云计算服务,但宜采用安全特性较好
30、的私有云或社区云。c) 关键业务系统暂不宜采用社会化的云计算服务,但可考虑采用场内私有云(自有私有云)。图 Error! Main Document Only. 采用云计算服务的优先级图 Error! Main Document Only.6.6安全保护要求所有的客户信息都应该得到适当的保护。对于公开信息主要是防篡改、防丢失,对于敏感信息还要防止未经授权披露、丢失、滥用、篡改和销毁。所有的业务都应得到适当保护,保证业务的安全性和持续性。不同类型的信息和业务对安全保护有着不同的要求,客户应该要求云服务商根据信息和业务的安全需求提供相应强度的安全保护,如图3所示。图 3 安全保护要求对云计算平台的
31、安全保护能力要求如下: a) 承载公开信息的一般业务需要一般安全保护;b) 承载敏感信息的一般业务和重要业务需要增强安全保护,以及承载公开信息的重要业务需要增强安全保护。关于一般安全保护和增强安全保护的具体指标要求,见GB/T311682014。6.7 需求分析6.7.1 概述客户应从以下方面对云计算服务的需求进行分析,提出各项功能、性能及安全要求。6.7.2 服务模式云计算有SaaS、PaaS和IaaS三种主要服务模式。不同服务模式下云服务商与客户的控制范围不同,如图4所示,图中两侧的箭头示意了云服务商和客户的控制范围,具体为:a) 在SaaS模式下,应用软件层的安全措施由客户和云服务商分担
32、,其他安全措施由云服务商实施。b) 在PaaS模式下,软件平台层的安全措施由客户和云服务商分担。客户负责自己开发和部署的应用及其运行环境的安全,其他安全措施由云服务商实施。c) 在IaaS模式下,虚拟化计算资源层的安全措施由客户和云服务商分担。客户负责自己部署的操作系统、运行环境和应用的安全。云服务商负责虚拟机监视器及底层资源的安全。图4中的下三层由设施层、硬件层和资源抽象控制层构成。设施层和硬件层是云计算环境的物理 元素,设施层主要包括采暖、通风、空调、电力和通信等,硬件层包括了所有的物理计算资源,例如:服务 器、网络(路由器、防火墙、交换机、网络连接和接口)、存储部件(硬盘)和其他物理计算
33、元件。资源抽象 控制层通过虚拟化或其他软件技术实现对物理计算资源的软件抽象,基于资源分配、访问控制、使用监 视等软件组件实现资源的访问控制。在所有服务模式下,这三层均处于云服务商的完全控制下,所有安全措施由云服务商实施。图4中的上三层由应用软件层、软件平台层、虚拟化计算资源层构成云计算环境的逻辑元素。虚拟 化计算资源层通过服务接口,使客户可以访问虚拟机、虚拟存储、虚拟网络等计算资源。软件平台层向 客户提供编译器、函数库、工具、中间件以及其他用于应用开发和部署的软件工具与组件。应用软件层向客户提供业务系统需要的应用软件,客户通过客户端或程序接口访问这些应用软件。客户可根据不同服务模式的特点和自身
34、数据及业务系统的安全管理要求,结合自身的技术能力、市场及技术成熟度等因素选择服务模式。图 4 服务模式与控制范围的关系6.7.3 部署模式云计算有公有云、社区云和私有云三种典型部署模式,不同的部署模式下,云计算基础设施部署的 场所、客户访问云计算服务的网络链路、是否与其他客户共享资源等属性有较大差异,客户需要综合分析部署模式对自身数据和业务的影响。不同部署模式下关注的主要问题包括:a) 是否与其他客户共享云计算平台。公有云是云服务商面向社会提供的服务,客户需要与其他 未知客户共享云计算平台,安全风险相对较大;社区云中的客户群体具有共同责任、相同安全 需求、相同策略等属性,客户与这些有共同属性(
35、如同一行业、同一业务需求等)的已知客户共 享资源,安全风险相对较小;私有云的云计算平台为客户独享,由客户或专门委托的云服务商 独立管理和控制云计算平台,安全性相对较高。b) 对云计算平台管理技能的要求。若采用私有云、社区云,且云计算平台由客户承担管理任务,则需要客户具备专业的技术人才,对人员技能的要求远比公有云高。c) 业务的可扩展性要求。公有云的资源由大量客户共享,资源规模较大,客户可以根据业务和资源使用情况随时调整资源需求,可以充分扩展;社区云和私有云的灵活程度会受到具体的部署 场所和策略的影响。客户应综合考虑以上问题,选择适合的部署模式,使安全风险可控。6.7.4 功能需求的稳定性和通用
36、性当客户的业务功能需求不断变化时,云服务商需要不断开发、测试和部署新的组件。云计算的多客户共享资源特点使得云计算平台基于客户的功能定制或变更较为困难。因此,为了提高应用规模和效益,云服务商通常愿意提供通用性较好、功能相对稳定和成熟的服务。通用的功能需求有助于客户参考成熟的应用案例,包括参考其部署、运行监管、评估等最佳实践,可提高效率并降低安全风险。另外,业务功能的通用性利于实现规模化所带来的低成本效益。客户应优先将功能需求不经常发生变化的业务部署或迁移到云计算平台,还要考虑是否已有成功的应用案例。6.7.5 资源的动态需求特点有些业务具有临时、周期性特点,如公务员招考等业务系统,可能会出现访问
37、和请求的突发高峰,要求可根据访问需求动态分配资源。此类业务采用云计算服务,可以满足动态、灵活的资源需求,且客户 只需为业务系统所占用的资源支付使用费用。客户应优先将对资源有动态、周期变化需求的业务部署或迁移到云计算平台,可在满足业务性能需求的前提下节省资金。6.7.6 时延时延是指云计算环境处理某个请求的时间延迟,包括客户请求消息传输到云计算环境和结果回传 时间,以及云计算环境的处理时间。不同类型的应用对云计算服务的时延要求差异明显,例如,电子邮 件通常容许出现短暂的服务中断和较大的网络时延,但自动化控制与实时应用一般都对时延要求较高。客户应针对业务系统对响应速度方面的要求做详尽分析,确定业务
38、本身对时延的容忍度,以及可能采取的补救措施等。在将数据和业务部署或迁移到云计算平台前,应考虑响应时间、海量数据传输性能 等指标要求。6.7.7 业务持续性云计算服务是否会中断、是否能持续访问依赖于多方面因素,包括网络、云计算平台以及云服务商等。网络依赖。云计算服务依赖于互联网等网络,客户通过持续可用的网络连接来获取服务。网络依赖意味着每个应用都是网络应用,从客户到云计算平台的网络复杂度通常高于客户内部局域网。平台依赖。尽管专业的云计算平台具有较高的可靠性,但出于人为因素(如恶意攻击或管理员的失 误)、自然灾害(如洪水、台风、地震等)的原因,云计算平台故障与服务中断不可能完全避免。云服务商依赖。
39、采用自有系统时,即使软硬件供应商暂停技术支持、售后服务或停业,客户可能不 会立即受到影响,可以继续使用其产品。对于社会化云计算服务而言,客户高度依赖云服务商提供的服务,云服务商倒闭、市场变化等主观或客观原因所造成的中断或停止,会立即导致客户所需服务的中断 或停止。在采用云计算服务前,应对云计算服务的可靠性、持续性需求进行充分评估,应关注中断频率与预期恢复时间。可考虑如下措施:a) 客户与云计算平台之间的网络链路采用多个网络运营商的优质链路,做到网络链接冗余。b) 确定云服务商是否有异地数据中心实现数据与业务系统的异地备份,保障即使自然灾害发生,也能对数据进行有效保护和恢复。c) 对云服务商的经
40、营状态进行定期检查,发现异常及时处理。6.7.8 可移植性与互操作性可移植性。移植是指将数据和业务系统从一个云服务商迁移到另一个云服务商的云计算平台,或迁移回客户的数据中心。可移植性取决于标准化的接口与数据格式。可移植性的实现难度与采用的云 计算服务模式有关,通常从IaaS、PaaS到SaaS可移植性的难度逐渐增加。互操作性。部署在云计算平台上的业务系统可能需要与其他系统进行数据交互,不同云计算平台 间及与自有信息系统之间的数据交换与访问目前还较为困难。同时,云服务商为了商业竞争的目的,对可移植性和互操作性支持一般不够积极。客户应制定将数据和业务系统从某一云计算平台迁移到其他云计算平台或自有数
41、据中心的计划,充分考虑云计算服务与其他已有或将来的业务系统集成需求。6.7.9 数据的存储位置云服务商在数据中心选址时,为了节省建造、能源、雇员等成本,可能会将数据中心分布在不同的地区,甚至不同的国家。云计算服务的运行管理对客户往往缺少透明性,客户难以掌握数据和副本在存储 设备和数据中心的具体位置。根据国家的有关规定,存储、处理客户数据的数据中心和云计算基础设施不得设在境外。客户在确 定采用云计算服务时,应禁止云服务商在境外存储、处理客户数据,不得由于客户数据存储位置的改变而改变其司法管辖权。6.7.10 监管能力传统计算模式中,用户直接控制、管理自己的数据和业务系统。在云计算平台中,客户的数
42、据及运 行过程中生成、获取的数据都在云服务商的直接控制下,客户没有直接的控制权。客户需要通过监管了 解和掌握自身数据和业务系统在云计算平台上的状态,了解云计算平台是否提供了足够的安全防护措施满足安全需求。客户应通过合同明确云服务商的责任和义务,强调客户对数据和业务系统运行状态的知情权;要求 云计算平台提供必要的监管接口和日志査询功能,建立有效的审査、检查机制,实现对云计算服务的有 效监管。6.8 形成决策报告完成对信息和业务的综合分析后,需要形成采用云计算服务的决策报告,经本单位最高领导批准后 成为指导采用云计算服务的重要依据。报告应包括但不限于以下内容:a) 背景描述。描述拟采用云计算服务的
43、信息和业务;b) 效益分析。从场地、人员、设备、软件、运行管理、维护升级、能耗等方面,对采用本地应用与云计算服务所需费用进行综合分析;c) 云计算服务模式、部署模式选择。分析客户与云服务商的安全措施实施边界和管理边界;d) 风险分析。分析数据和业务部署到云计算环境后可能遇到的安全威胁,提出应对措施;e) 功能需求分析。分析不同模式下的资源需求,数据的备份与恢复能力,备份数据的存储位置,数据的传输方式和网络带宽要求,拟部署到云计算平台上的业务与其他系统之间的数据交互 需求等;f) 性能需求分析。主要分析可用性、可靠性、恢复能力、事务响应时间、吞吐率等指标;g) 安全要求。基于对准备部署到云计算平
44、台的信息和业务的分类结果,确定云计算服务的安全 能力要求;h) 业务持续性要求。将业务系统迁移到云计算平台后,原有系统可与迁移到云计算平台的业务 系统并行运行一段时间;i) 退出云计算服务或变更云服务商的初步方案;j) 对客户相关人员进行安全意识、技术和管理培训的方案;k) 本单位负责采用云计算服务的领导、工作机构及其责任;l) 采购和使用云计算服务过程中应该考虑的其他重要事项。7选择服务商与部署7.1 云服务商安全能力要求为客户提供云计算服务的云服务商应具备以下10个方面的安全能力。7.1.1 系统开发与供应链安全云服务商应在开发云计算平台时对其提供充分保护,对信息系统、组件和服务的开发商提
45、出相应要求,为云计算平台配置足够的资源,并充分考虑安全需求。云服务商应确保其下级供应商采取了必要的安全措施。云服务商还应为客户提供有关安全措施的文档和信息,配合客户完成对数据和业务系统的管理。7.1.2 系统与通信保护云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通信,并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性。7.1.3 访问控制云服务商应严格保护云计算平台的客户数据,在允许人员、进程、设备访问云计算平台之前,应对其 进行身份标识及鉴别,并限制其可执行的操作和使用的功能。7.1.4 配置管理云服务商应对云计算平台进行配置管理,在系统生命周期内
46、建立和维护云计算平台(包括硬件、软件、文档等)的基线配置和详细清单,并设置和实现云计算平台中各类产品的安全配置参数。7.1.5 维护云服务商应维护好云计算平台设施和软件系统,并对维护所使用的工具、技术、机制以及维护人员进行有效的控制,且做好相关记录。7.1.6 应急响应与灾备云服务商应为云计算平台制定应急响应计划,并定期演练,确保在紧急情况下重要信息资源的可用性。云服务商应建立事件处理计划,包括对事件的预防、检测、分析和控制及系统恢复等,对事件进行跟踪、记录并向相关人员报告。云服务商应具备容灾恢复能力,建立必要的备份与恢复设施和机制,确保客户业务可持续。7.1.7 审计云服务商应根据安全需求和
47、客户要求,制定可审计事件清单,明确审计记录内容,实施审计并妥善 保存审计记录,对审计记录进行定期分析和审查,还应防范对审计记录的非授权访问、修改和删除行为。7.1.8 风险评估与持续监控云服务商应定期或在威胁环境发生变化时,对云计算平台进行风险评估,确保云计算平台的安全风险处于可接受水平。云服务商应制定监控目标清单,对目标进行持续安全监控,并在发生异常和非授权 情况时发出警报。7.1.9 安全组织与人员云服务商应确保能够接触客户信息或业务的各类人员(包括供应商人员)上岗时具备履行其安全责 任的素质和能力,还应在授予相关人员访问权限之前对其进行审查并定期复查,在人员调动或离职时履 行安全程序,对于违反安全规定的人员进行处罚。7.1.10 物理与环境保护云服务商应确保机房位于中国境内,机房选址、设计、供电、消防、温湿度控制等符合相关标准的要求。云服务商应对机房进行监控,严格限制各类人员与运行中的云计算平台设备进行物理接触,确需接触的,需通过云服务商的明确授权。7.2确定云服务商7.2.1 选择云服务商为保证数据和业务安全,客户应选择通过安全审查的云服务商。选择云服务商应考虑但不限于以下方面的因素选择云服务商的过程中,应考虑但不限于以下方面的因素:a) 云服务商所能提供的服务模式能否满足客户需求;b) 云服务商所能提供的部署模式能否满足客户需求c) 云服务商具有的安