信息安全技术 云计算服务安全指南2020.doc

FICS 35.040L80中华人民共和国国家标准GB/T XXXXX—XXXX     信息安全技术 云计算服务安全指南Information security technology - Security guide of cloud computing services征求意见稿2019-11     - XX - XX发布XXXX - XX - XX实施 GB/T XXXXX—XXXX目  次前  言 III引  言 IV信息安全技术 云计算服务安全指南 11 范围 12 规范性引用文件 13 术语和定义 14 云计算概述 34.1云计算的主要特征 34.2云能力类型和云服务类别 34.3云部署模型 45 云计算的风险管理 45.1概述 45.2云计算安全风险 45.3 云计算服务安全管理的主要角色及责任 65.4 责任划分 65.5云计算服务安全管理基本要求 65.6云计算服务生命周期 76 规划准备 76.1概述 76.2效益评估 86.3信息分类 86.4业务分类 96.5安全保护要求 106.6需求分析 116.7形成决策报告 147 选择服务商与部署 147.1云服务商安全能力要求 147.2确定云服务商 157.3合同中的安全考虑 167.4部署 188 运行监管 188.1 概述 188.2运行监管的角色与责任 188.3客户自身的运行监管 198.4对云服务商的运行监管 209 退出服务 219.1退出要求 219.2确定数据移交范围 219.3验证数据的完整性 229.4安全删除数据 22附录A 23参考文献 27前  言本标准按照GB/T 1.1-2009给出的规则起草。

本标准由全国信息安全标准化技术委员会（SAC/TC 260）提出并归口本标准起草单位： 四川大学、中电数据服务有限公司、中国电子技术标准化研究院、国家工业信息安全发展研究中心、北京信息安全测评中心、中电长城网际系统应用有限公司、中国电子科技网络信息安全有限公司、华为技术有限公开、中国信息安全测评中心、国家信息技术安全研究中心、中国网络安全审查技术与认证中心、华信咨询设计研究院有限公司、浪潮云信息技术有限公司、天融信科技有限公司、新华三、中国电子技术标准化研究院、神州网信技术有限公司、安信天行科技有限公司、网神信息技术股份有限公司、安恒信息技术有限公司、腾讯云科技有限公司、深信服科技股份有限公司、阿里云计算有限公司、蚂蚁金融服务集团、启明星辰信息安全技术有限公司、西安电子科技大学、中国信息通信研究院、西云数据科技有限公司、工信部电子一所本标准主要起草人： 陈兴蜀、左晓栋、闵京华、王启旭、杨苗苗、周亚超、张明天、王惠莅、刘俊河、柳彩云、王冲华、李媛、赵章界、齐伟刚、望娅露、严敏瑞、张晓菲、卢夏、史大为、贾大文、焦程鹏、邱云翔、董平、张敏、聂俊伟、王龑、何延哲、姚辉明、钟金鑫、李纪峰、郑赳、王永霞、叶润国、张大江、黄少青、宋铮、姜玉辉、姚正宁、刘美琪、潘秋羽、李云峰、张书豪、沈玉龙、李腾、兰天翔、果靖、樊佩茹引  言云计算是一种计算资源的新型利用模式，客户以购买服务的方式，通过网络获得计算、存储、软件等不同类型的资源。

在云计算模式下，使用者不需要自己建设数据中心、购买软硬件资源，避免了前期基础设施的大量投入，仅需较少的使用成本即可获得优质的信息技术（IT）资源和服务随着云计算相关技术的不断发展，云计算服务质量和安全能力不断提升，云计算已面向各个行业提供丰富、高效和稳定的服务通过采购云计算服务，使用者将自己的数据和业务部署到云服务商的平台中，大量客户数据集中，使云计算服务可能面临的安全风险成为焦点特别是党政机关及关键信息基础设施运营者采用云计算服务，尤其是社会化的云计算服务时，应特别关注安全问题本标准指导党政机关及关键信息基础设施运营者做好采用云计算服务的前期分析和规划，选择合适的云服务商，对云计算服务进行运行监管，考虑退出云计算服务和更换云服务商的安全风险本标准指导党政机关及关键信息基础设施运营者在云计算服务的生命周期采取相应的安全技术和管理措施，保障数据和业务的安全，安全地使用云计算服务与本标准紧密配合的GB/T 31168-XXXX 面向云服务商，提出了为党政机关及关键信息基础设施运营者提供服务时应该具备的信息安全能力要求III信息安全技术 云计算服务安全指南1　 范围本标准提出了党政机关及关键信息基础设施运营者采用云计算服务的安全管理基本要求，明确了采用云计算服务的生命周期各阶段的安全管理和技术措施。

本标准为党政机关及关键信息基础设施运营者采用云计算服务，特别是采用社会化的云计算服务提供全生命周期的安全指导，适用于党政机关及关键信息基础设施运营者采购和使用云计算服务，也可供其他企事业单位参考2　 规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件，仅注日期的版本适用于本文件凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件GB/T 32399-2015 信息技术 云计算 参考架构GB/T 32400-2015 信息技术 云计算 概览与词汇GB/T 36325-2018 信息技术 云计算 云服务级别协议基本要求GB/T 37972-2019 信息安全技术 云计算服务运行监管框架GB/T 31168-xxxx 信息安全技术 云计算服务安全能力要求3　 术语和定义GB/T 32399-2015、GB/T 32400-2015中界定的以及下列术语和定义适用于本文件3.1云计算 cloud computing一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自助服务的方式供应和管理的模式注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等[GB/T 32400-2015 定义3.2.5]3.2云计算服务 cloud computing service通过云计算以定义的接口提供一种或多种能力。

[GB/T 32400-2015，定义3.2.8]3.3参与方 party一个或一组自然人或法人，不论该法人是否注册[GB/B 32399-2015，定义3.2.15]3.4云服务商 cloud service provider提供云服务的参与方[GB/B 32399-2015，定义3.2.15]3.5云服务客户 cloud service customer为使用云服务而处于一定业务关系中的参与方注：业务关系不一定包含经济条款[GB/T 32400-2015，定义3.2.11]3.6第三方评估机构 Third Party Assessment Organizations (3PAO)独立于云计算服务相关方的专业评估机构3.7云计算基础设施 cloud computing infrastructure由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施注：硬件资源包括所有的物理计算资源，包括服务器（CPU、内存等）、存储组件（硬盘等）、网络组件（路由器、防火墙、交换机、网络链路和接口等）及其他物理计算基础元素资源抽象控制组件对物理计算资源进行软件抽象，云服务商通过这些组件提供和管理对物理计算资源的访问。

3.8云计算平台 cloud computing platform云服务商提供的云计算基础设施及其上的服务软件的集合3.9云计算环境 cloud computing environment云服务商提供的云计算平台，及客户在云计算平台之上部署的软件及相关组件的集合3.10 云服务合作者 cloud service partner支撑或协助云服务商活动，云服务客户活动，或者两者共同活动的参与方[GB/T 32400-2015，定义3.2.14 ]3.11云服务安全提供商 cloud service security provider支撑或协助云服务商或云服务客户的安全管理、技术和运维3.12云能力类型 cloud capabilities type根据资源使用情况对提供给云服务客户的云服务功能进行分类注：云能力类型包括应用能力类型、基础设施能力类型和平台能力类型[GB/T 32400-2015，定义3.2.4]3.13 应用能力类型 application capabilities type云服务客户能使用云服务商应用的一种云能力类型[GB/T 32400-2015，定义3.2.1]3.14 基础设施能力类型 infrastructure capabilities type云服务客户能配置和使用计算、存储或网络资源的一类云能力类型。

[GB/T 32400-2015，定义3.2.25]3.15平台能力类型 platform capabilities type云服务客户能使用云服务商支持的编程语言和执行环境来部署、管理和运行客户创建或获取的应用的一类云能力类型[GB/T 32400-2015，定义3.2.31]3.16云服务类别 cloud service category拥有某些相同质量集合的一组云服务注：一种云服务类别能包含一种或多种云服务能力类型的能力[GB/T 32400-2015，定义3.2.10]4　 云计算概述4.1云计算的主要特征云计算具有以下主要特征：a) 按需自助服务在不需或较少云服务商的人员参与情况下，客户能根据需要获得所需计算资源，如自主确定资源占用时间和数量等b) 泛在接入客户通过标准接入机制，利用计算机、移动、平板等各种终端通过网络随时随地使用服务c) 资源池化云服务商将资源（如：计算资源、存储资源、网络资源等）提供给多个客户使用，这些物理的、虚拟的资源根据客户的需求进行动态分配或重新分配d) 快速伸缩性客户可以根据需要快速、灵活、方便地获取和释放计算资源对于客户来讲，这种资源是“无限”的，能在任何时候获得所需资源量。

e) 服务可计量云计算可按照多种计量方式（如按次付费或充值使用等）自动控制或量化资源，计量的对象可以是存储空间、计算能力、网络带宽或账户数等4.2云能力类型和云服务类别云能力类型是根据资源使用情况对提供给云服务客户的云服务功能进行的分类有3类不同的云能力类型：应用能力类型、基础设施能力类型和平台能力类型这3类能力类型有不同的关注点，即相互之间的功能交叉最小云能力类型包括：a) 应用能力类型云服务客户能使用云服务商应用的一种云能力类型b) 基础设施能力类型云服务客户能配置和使用计算、存储或网络资源的一类云能力类型c) 平台能力类型云服务客户能使用云服务商支持的编程语言和执行环境来部署、管理和运行客户创建或获取的应用的一类云能力类型本标准只定义了3类云能力类型这些云能力类型不应与云服务类别混淆云服务类别是拥有某些相同质量集合的一组云服务一种云服务类别能包含一种或多种云能力类型的能力典型的云服务类别包括：a) 通信即服务（CaaS）为云服务客户提供实时交互与协作能力的一种云服务类别b) 计算即服务（CompaaS）为云服务客户部署和运行软件提供配置和使用计算资源能力的一种云服务类别c) 数据存储即服务（DSaaS）。

为云服务客户提供配置和使用。