云计算服务安全指南解读(GB-T-31167)PPT

云计算服务安全能力要求1 围本标准规定了以社会化方式提供云计算服务的服务商应满足的信息安全基本要求。

本标准适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务，也适用于对云计算服务进行安全审查。

2 规性引用文件下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅所注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T XXXXX-XXXX 信息安全技术云计算服务安全管理指南GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求GB 50174-2008 电子信息系统机房设计规GB/T 9361-2011 计算机场地安全要求3 术语和定义GB/T 25069-2010、GB/T XXXXX-XXXX确立的以及下列术语和定义适用于本标准。

3.1云计算 cloud computing云计算是一种通过网络便捷地访问海量计算资源（如网络、服务器、存储器、应用和服务）的模式，使客户只需极少的管理工作或云服务商的配合即可实现计算资源的快速获得和释放。

3.2云服务商 cloud service provider为个人、组织提供云计算服务的企事业单位。

云服务商管理、运营支撑云计算服务的计算基础设施及软件，通过网络将云计算服务交付给客户。

3.3客户 cloud consumer使用云计算平台处理、存储数据和开展业务的组织。

3.4第三方评估机构 third party assessment organization独立于云服务商和客户的专业评估机构。

3.5云基础设施 cloud infrastructure云基础设施包括硬件资源层和资源抽象控制层。

硬件资源层包括所有的物理计算资源，主要包括服务器（CPU、存等）、存储组件（硬盘等）、网络组件（路由器、防火墙、交换机、网络和接口等）及其他物理计算基础元素。

资源抽象控制层由部署在硬件资源层之上，对物理计算资源进行软件抽象的系统组件构成，云服务商用这些组件提供和管理物理硬件资源的访问。

信息安全技术_云计算服务安全指南信息安全技术云计算服务安全指南1 范围本标准分析了云计算服务可能面临的主要安全风险，提出了政府部门和重点行业采用云计算服务的安全管理基本要求，及云计算服务的生命周期各阶段的安全管理和技术要求。

本标准为政府部门和重点行业采用云计算服务，特别是采用社会化的云计算服务提供全生命周期的安全指导，适用于政府部门和重点行业采购和使用云计算服务，也可供其他企事业单位参考。

2 规范性引用文件下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅所注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T 29245-2012 信息安全技术政府部门信息安全管理基本要求 GB 50174-2008 电子信息系统机房设计规范3 术语GB/T 25069-2010确立的以及下列术语和定义适用于本标准。

3.1云计算 cloud computing一种通过网络提供计算资源服务的模式，在该模式下，客户按需动态自助供给、管理由云服务商提供的计算资源。

注:计算资源包括服务器、操作系统、网络、软件和存储设备等。

3.2云服务商 cloud service provider为客户提供云计算服务的参与方。

云服务商管理、运营、支撑云计算的计算基础设施及软件，通过网络将云计算的资源交付给客户。

3.3 客户consumer为使用云计算服务和云服务商建立商业关系的参与方。

3.4 云计算服务 cloud computing service 由云服务商使用云计算提供的服务。

3.5 第三方评估机构Third Party Assessment Organizations (3PAO) 独立于云服务商和客户的专业评估机构。

3.6 云基础设施cloud infrastructure云基础设施包括硬件资源层和资源抽象控制层。

硬件资源层包括所有的物理计算资源，主要包括服务器(CPU、内存等)、存储组件(硬盘等)、网络组件(路由器、防火墙、交换机、网络链接和接口等)及其他物理计算基础元素。

国家标准《信息安全技术云计算服务安全能力要求》（征求意见稿）编制说明一、工作简况1、任务来源本标准和GB/T 31167-2014《信息安全技术云计算服务安全指南》是我国首批发布的云计算服务安全国家标准，有效地支撑了党政部门云计算服务安全审查工作，从技术和管理两个方面分别阐述了云计算服务安全要求。

随着云计算服务审查工作的积累、云计算技术发展以及党政部门采购云计算服务形式的多样化，逐步发现标准存在审查工作量大、周期长，责任划分难度增加、云服务安全标准自身条款超前、部分条款不易理解、云持续监督工作需求紧迫等问题，为支撑审查工作的开展，有效指导云服务商建设安全的云计算平台，迫切需要结合新趋势、新问题对本标准进行修订，并做好与相关标准的衔接。

2019年7月，国家互联网信息办公室等发布《云计算服务安全评估办法》，规定参照国家标准《云计算服务安全能力要求》、《云计算服务安全指南》，对面向党政机关、关键信息基础设施提供云计算服务的云平台进行的安全评估。

根据全国信息安全标准化技术委员会2019年下达的国家标准制修订计划：《信息安全技术关键信息基础设施安全防护能力评价方法》，该标准由交通运输信息中心负责承办，由全国信息安全标准化技术委员会归口管理。

2、主要起草单位和工作组成员本标准由中电数据服务有限公司牵头，四川大学、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、国家信息技术安全研究中心、中国信息安全测评中心、中国信息通信研究院、北京信息安全测评中心、中国软件评测中心、中电长城网际系统应用有限公司、国家工业信息安全中心、神州网信技术有限公司、阿里云计算有限公司、宁夏西云数据科技有限公司、中国电信云股份有限公司云计算分公司、华为技术有限公司、深信服科技股份有限公司、深圳腾讯计算机系统有限公司、京东云计算（北京）有限公司、浙江蚂蚁金服小微金融服务集团股份有限公司、武汉理工大学、上海市方达（北京）律师事务所等单位共同参与起草。

问访的源资件硬理物理管和供提件组些这用商务服云，成构件组统系的象 抽件软行进源资算计理物对，上之层源资件硬在署部由层制控象抽源资。

素元础基算计理物他其及）等 口接和接链络网、机换交、墙火防、器由路（件组络网、）等盘硬（件组储存、）等存内、 （器务 服括包要主，源资算计理物的有所括包层源资件硬。

层制控象抽源资和层源资件硬括包施设础基云施设础基云。

构机估评业专的户客和商务服云于立独构机估评方三第cloud computing service Third Party Assessment Organizations (3PAO)。

务服的供提算计云用使商务服云由 务服算计云 。

方与参的系关业商立建商务服云和务服算计云用使为户客consumer。

户客给付交源资的算计云将络网 过通，件软及施设础基算计的算计云撑支、营运、理管商务服云。

方与参的务服算计云供提户客为商务服云。

等备设储存和件软、络网、统系作操、器务服括包源资算计：注 。

源资算计的供 提商务服云由理管、给供助自态动需按户客，下式模该在，式模的务服源资算计供提络网过通种一算计云。

准标本于用适义定和语术列下及以的立确语术 3范规计设房机统系息信子电 求要本基理管全安息信门部府政 术技全安息信 。

件文本于用适）单改修的有所括包（本版新最其，件文用引的期日注不是凡。

件 文本于用适本版的期日注所仅，件文用引的期日注是凡。

的少可不必是用应的件文本于对件文列下 。

考参位单业事企他其供可也，务服算计云用使和购采业行点重和门部府政于用适，导指全安 的期周命生全供提务服算计云的化会社用采是别特 务服算计云用采业行点重和门部府政为准标本 ， 。

求要术技和理管全安的段阶各期周命生的务服算计云及，求要本基理管全安 的务服算计云用采业行点重和门部府政了出提 险风全安要主的临面能可务服算计云了析分准标本 ，围范 1GB/T 29245-2012 GB 50174-2008件文用引性范规 23.33.53.13.63.23.4GB/T 25069-2010CPUcloud computingcloud service providercloud infrastructure信息安全技术 云计算服务安全指南12。

云计算应用与安全指南第1章云计算基础概念 (3)1.1 云计算定义与分类 (3)1.1.1 软件即服务（Software as a Service，SaaS） (3)1.1.2 平台即服务（Platform as a Service，PaaS） (4)1.1.3 基础设施即服务（Infrastructure as a Service，IaaS） (4)1.2 云计算服务模型 (4)1.2.1 公共云 (4)1.2.2 私有云 (4)1.2.3 混合云 (4)1.3 云计算部署模型 (4)1.3.1 单租户部署 (4)1.3.2 多租户部署 (4)1.3.3 灾难恢复即服务（Disaster Recovery as a Service，DRaaS） (4)1.3.4 云服务代理 (5)第2章云计算关键技术 (5)2.1 虚拟化技术 (5)2.1.1 硬件虚拟化 (5)2.1.2 操作系统级虚拟化 (5)2.1.3 容器虚拟化 (5)2.2 分布式存储技术 (5)2.2.1 数据切片 (5)2.2.2 数据冗余 (5)2.2.3 数据一致性 (6)2.3 负载均衡与资源调度 (6)2.3.1 负载均衡 (6)2.3.2 资源调度 (6)第3章云计算应用场景 (6)3.1 企业应用场景 (6)3.2 教育应用场景 (6)3.3 医疗应用场景 (7)第4章云计算服务提供商选择 (7)4.1 评估标准与注意事项 (7)4.2 国内主流云计算服务提供商 (8)4.3 国际主流云计算服务提供商 (8)第5章云计算安全威胁与风险 (8)5.1 数据安全风险 (8)5.1.1 数据泄露 (8)5.1.2 数据篡改 (8)5.1.3 数据丢失 (9)5.1.4 数据恢复困难 (9)5.2 网络安全风险 (9)5.2.2 网络监控与流量分析 (9)5.2.3 跨租户攻击 (9)5.2.4 恶意软件传播 (9)5.3 系统安全风险 (9)5.3.1 虚拟化安全风险 (9)5.3.2 云平台安全漏洞 (9)5.3.3 系统配置错误 (9)5.3.4 云服务供应链安全风险 (9)5.3.5 合规性风险 (10)5.3.6 账户与权限管理风险 (10)第6章云计算安全防护策略 (10)6.1 数据加密与保护 (10)6.1.1 数据加密 (10)6.1.2 数据保护 (10)6.2 身份认证与权限管理 (10)6.2.1 身份认证 (10)6.2.2 权限管理 (11)6.3 安全审计与监控 (11)6.3.1 安全审计 (11)6.3.2 安全监控 (11)第7章云计算合规与法律要求 (11)7.1 我国云计算相关政策法规 (11)7.1.1 政策背景 (11)7.1.2 主要政策法规 (11)7.2 国际云计算合规要求 (12)7.2.1 国际合规框架 (12)7.2.2 主要合规要求 (12)7.3 合规性评估与检查 (12)7.3.1 合规性评估 (12)7.3.2 合规性检查 (12)第8章云计算服务等级协议（SLA） (13)8.1 SLA的关键要素 (13)8.1.1 服务范围 (13)8.1.2 服务水平指标 (13)8.1.3 服务承诺 (13)8.1.4 违约责任 (13)8.1.5 服务变更与终止 (13)8.1.6 争议解决 (13)8.2 SLA的谈判与签订 (14)8.2.1 谈判准备 (14)8.2.2 谈判策略 (14)8.2.3 签订流程 (14)8.3 SLA的监控与评估 (14)8.3.2 评估方法 (14)第9章云计算应用实践案例 (15)9.1 企业应用案例 (15)9.1.1 企业资源规划（ERP）系统 (15)9.1.2 客户关系管理（CRM）系统 (15)9.1.3 企业数据分析与决策支持 (15)9.2 教育应用案例 (15)9.2.1 在线教育平台 (15)9.2.2 教育资源共享 (15)9.2.3 教育行政管理 (15)9.3 医疗应用案例 (16)9.3.1 电子病历系统 (16)9.3.2 远程医疗诊断 (16)9.3.3 医疗大数据分析 (16)第10章云计算未来发展趋势与挑战 (16)10.1 云计算技术发展趋势 (16)10.1.1 服务器虚拟化技术的进一步优化 (16)10.1.2 分布式存储技术的持续发展 (16)10.1.3 超融合架构的普及 (16)10.1.4 边缘计算与云计算的融合 (16)10.2 云计算安全发展趋势 (17)10.2.1 安全合规性要求不断提高 (17)10.2.2 零信任安全模型的推广 (17)10.2.3 安全即服务（Security as a Service）的普及 (17)10.2.4 人工智能在云计算安全领域的应用 (17)10.3 云计算面临的挑战与应对策略 (17)10.3.1 数据安全和隐私保护 (17)10.3.2 云计算资源管理 (17)10.3.3 云计算服务稳定性 (17)10.3.4 技术更新换代 (17)第1章云计算基础概念1.1 云计算定义与分类云计算是一种通过网络提供计算资源、存储资源和应用程序等服务的技术。

信息安全技术云计算服务安全指南1范围本标准描述了云计算可能面临的主要安全风险，提出了政府部门采用云计算服务的安全管理基本要求及云计算服务的生命周期各阶段的安全管理和技术要求。

本标准为政府部门采用云计算服务，特别是采用社会化的云计算服务提供全生命周期的安全指导，适用于政府部门采购和使用云计算服务，也可供重点行业和其他企事业单位参考。

2规范性引用文件下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T 25069—2010信息安全技术术语GB/T 31168—2014信息安全技术云计算服务安全能力要求3术语和定义GB/T 25069—2010界定的以及下列术语和定义适用于本文件。

3.1 云计算cloud computing通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的模式。

注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。

3.2 云计算服务cloud computing service使用定义的接口，借助云计算提供一种或多种资源的能力。

3.3 云服务商cloud service provider云计算服务的供应方。

注：云服务商管理、运营、支撑云计算的基础设施及软件，通过网络交付云计算的资源。

3.4 云服务客户cloud service customer为使用云计算服务同云服务商建立业务关系的参与方。

注：本标准中云服务客户简称客户。

3.5 第三方评估机构Third Party Assessment Organizations；3PAO独立于云计算服务相关方的专业评估机构。

3.6 云计算基础设施cloud computing infrastructure由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施。

注：硬件资源包括所有的物理计算资源，包括服务器（CPU、内存等）、存储组件（硬盘等）、网络组件（路由器、防火墙、交换机、网络链路和接口等)及其他物理计算基础元素。

云计算安全相关标准解析作者：董贞良来源：《中国质量与标准导报》2018年第08期1 云计算时代及其安全云计算已经成为互联网时代的主流计算模式，同时，其带来的安全问题日趋重要和紧迫。

到目前为止，信息技术大致经历了通信时代、单机时代、计算机网络时代和云计算时代。

伴随着这个过程，安全的关注点也随之变化。

信息技术发展与主要安全关注点如图1所示。

本文主要对国内外云计算相关标准，以及国内金融行业云计算标准进行了综述。

2 国家标准的开发进展国家标准及行业标准情况见表1。

（1）GB/T 31167—2014《信息安全技术云计算服务安全指南》GB/T 31167—2014是指导政府部门采用云计算服务，选择云服务商，对云计算服务进行运行监管，退出云计算服务和更换云服务商安全风险提出的安全技术和管理措施。

GB/T 31167—2014正文共9章。

正文前3章说明了范围、规范性引用文件、术语和定义。

第4章对云计算的主要特征、服务模式、部署模式和优势进行了概述。

第5章提出云计算带来的信息安全风险。

第6章提出了规划准备的要求。

第7章提出了选择服务商与部署的要求。

第8章提出了运行监管的要求。

第9章提出了退出服务的要求。

（2）GB/T 31168—2014《信息安全技术云计算服务安全能力要求》GB/T 31168—2014描述了以社会化方式为特定客户提供云计算服务时，云服务商应具备的安全技术能力。

适用于对政府部门使用的云计算服务进行安全管理，也可供重点行业和其他企事业单位使用云计算服务时参考，还适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务。

GB/T 31168—2014正文共14章。

正文前3章说明了范围、规范性引用文件、术语和定义。

第4章对标准做了概述。

第5章提出了系统开发与供应链安全的17个主要安全要求。

第6章提出了系统与通信保护的15个要求。

第7章提出了访问控制的26个要求。

第8章提出了配置管理的7个要求。

第9章提出了维护的9个要求。