信息安全技術(shù) 云計算服務安全指南

1、信息安全技術(shù)云計算服務安全指南信息安全技術(shù)云計算服務安全指南1范圍本標準描述了云計算可能面臨的主要安全風險，提出了政府部門采用云計算服務的安全管理基本要求及云計算服務的生命周期各階段的安全管理和技術(shù)要求。本標準為政府部門采用云計算服務，特別是采用社會化的云計算服務提供全生命周期的安全指導，適用于政府部門采購和使用云計算服務，也可供重點行業(yè)和其他企事業(yè)單位參考。2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅

2、注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GBT25069—2010信息安全技術(shù)術(shù)語GBT31168—2014信息安全技術(shù)云計算服務安全能力要求3術(shù)語和定義GBT25069—2010界定的以及下列術(shù)語和定義適用于本文件。3.1云計算cloudcomputing通過網(wǎng)絡訪問可擴展的、靈活的物理或虛擬共享資源池，并按需自助獲取和管理資源的模式。注：資源實例包括服務器、操作系統(tǒng)、網(wǎng)絡、軟件、

3、應用和存儲設備等。3.2云計算服務cloudcomputingservice使用定義的接口，借助云計算提供一種或多種資源的能力。3.3云服務商cloudserviceprovider云計算服務的供應方。注：云服務商管理、運營、支撐云計算的基礎設施及軟件，通過網(wǎng)絡交付云計算的資源。3.4云服務客戶cloudservicecustomer為使用云計算服務同云服務商建立業(yè)務關(guān)系的參與方。注：本標準中云服務客戶簡稱客戶。置管理。b)平臺即服務(

4、PaaS):在PaaS模式下，云服務商向客戶提供的是運行在云計算基礎設施之上的軟件開發(fā)和運行平臺，如:標準語言與工具、數(shù)據(jù)訪問、通用接口等。客戶可利用該平臺開發(fā)和部署自己的軟件。客戶通常不能管理或控制支撐平臺運行所需的低層資源，如網(wǎng)絡、服務器、操作系統(tǒng)、存儲等，但可對應用的運行環(huán)境進行配置，控制自己部署的應用。c)基礎設施即服務(IaaS):在IaaS模式下，云服務商向客戶提供虛擬計算機、存儲、網(wǎng)絡等計算資源，提供訪問云計算基礎設施的服

5、務接口。客戶可在這些資源上部署或運行操作系統(tǒng)、中間件、數(shù)據(jù)庫和應用軟件等?？蛻敉ǔ２荒芄芾砘蚩刂圃朴嬎慊A設施，但能控制自己部署的操作系統(tǒng)、存儲和應用，也能部分控制使用的網(wǎng)絡組件，如主機防火墻。4.3部署模式根據(jù)使用云計算平臺的客戶范圍的不同，將云計算分成私有云、公有云、社區(qū)云和混合云等四種部署模式：a)私有云：云計算平臺僅提供給某個特定的客戶使用。私有云的云計算基礎設施可由云服務商擁有、管理和運營，這種私有云稱為場外私有云（或外包私有

6、云）；也可由客戶自己建設、管理和運營，這種私有云稱為場內(nèi)私有云（或自有私有云）。b)公有云：云計算平臺的客戶范圍沒有限制。公有云的云計算基礎設施由云服務商擁有、管理和運營。c)社區(qū)云：云計算平臺限定為特定的客戶群體使用，群體中的客戶具有共同的屬性(如職能、安全需求、策略等）。社區(qū)云的云計算基礎設施可由云服務商擁有、管理和運營，這種社區(qū)云稱為場外社區(qū)云；也可以由群體中的部分客戶自己建設、管理和運營，這種社區(qū)云稱為場內(nèi)社區(qū)云。d)混合云：上

7、述兩種或兩種以上部署模式的組合稱為混合云。4.4云計算的優(yōu)勢在云計算模式下，客戶不需要投入大量資金去建設、運維和管理自己專有的數(shù)據(jù)中心等基礎設施，只需要為動態(tài)占用的資源付費，即按需購買服務?？蛻舨捎迷朴嬎惴湛色@得如下益處：a)減少開銷和能耗。采用云計算服務可以將硬件和基礎設施建設資金投入轉(zhuǎn)變?yōu)榘葱柚Ц斗召M用，客戶只對使用的資源付費，無需承擔建設和維護基礎設施的費用，避免了自建數(shù)據(jù)中心的資金投入。云服務商使用虛擬化、動態(tài)遷移和工作負載