云计算服务的信息安全管理及技术能力要求.docVIP

云计算服务的信息安全管理及技术能力要求 　　摘 要云计算服务在政府部门的应用，将避免政府各部门分散重复建设，有利于降低信息化成本、提高资源利用率，但是云计算的服务应用也带来很多安全问题，本文围绕云计算服务提出信息安全管理及技术能力的要求，保障云计算服务安全。 　　【关键词】云计算服务 信息安全管理 技术能力 　　云计算服务是指将大量用网络连接的计算资源统一管理和调度，构成一个计算资源池向用户按需服务。基于云计算是一种提供信息技术服务的模式，积极推进云计算在政府部门的应用，获取和采用以社会化方式提供的云计算服务，将有利于减少各部门分散重复建设，有利于降低信息化成本、提高资源利用率。但云计算还处于不断发展阶段，技术架构复杂，采用社会化的云计算服务，使用者的数据和业务从自己的数据中心转移到云服务商的平台中心，大量数据集中，使云计算面临新的安全风险。当政府部门采用云计算服务，尤其是社会化的云计算服务时，应特别关注安全问题。因此政府部门在采购云计算服务时，要做好采用云计算服务的前期分析和规划，选择合适的云服务商，对云计算服务进行运行监管，考虑退出云计算服务和更好云服务商的安全风险，做好在云计算服务的生命周期采取相应的安全技术和管理措施，保障数据和业务的安全，安全使用云计算服务。 　　1 云计算服务信息安全管理存在的风险 　　在传统模式下，客户的数据和业务系统都位于客户的数据中心，在客户的直接管理和控制下。在云计算环境里，客户将自己的数据和业务系统迁移到云计算平台上，失去了对这些数据和业务的直接控制能力。存在诸多潜在的风险。 　　（1）客户对数据和业务系统的控制能力减弱及与云服务商之间的责任难以界定。客户数据以及在后续运行过程中生成、获取的数据都处于云服务商的直接控制下，云服务商具有访问、利用或操控客户数据的能力，增加了客户数据和业务的风险。缺乏数据安全的责任主体界定的问题。 　　（2）可能产生司法管辖及容易产生对云服务商的过度依赖问题。在云计算环境里，数据的实际存储位置往往不受客户控制，客户的数据可能存储在境外数据中心，改变了数据和业务的司法管辖关系。由于缺乏统一的标准和接口，不同云计算平台上的客户数据和业务难以相互迁移，导致客户对云服务商过度依赖 　　（3）数据保护更加困难，所有权保障面临风险。云计算平台采用虚拟化等技术实现多客户共享计算，资源，随着复杂性的增加，实施有效的数据保护措施更加困难，客户数据被未授权访问、篡改、泄露和丢失的风险增大。 　　2 云计算服务信息安全管理的要求 　　采用云计算服务期间，为了能够保障云计算服务的安全，需对客户和云服务商在信息安全管理方面提出要求。 　　2.1 安全责任及安全管理水平不变 　　信息安全管理责任不应随服务外包而转移，无论客户数据和业务是处于内部信息系统还是云服务商的云计算平台上，客户都是信息安全的最终责任人。承载客户数据和业务的云计算平台应按照政府信息系统安全管理要求进行管理，为客户提供云计算服务的云服务商应遵守政府信息系统安全管理政策及标准。 　　2.2 资源的所有权及司法管辖关系不变 　　客户提供给云服务商的数据、设备等资源，以及云计算平台上客户业务系统运行过程中收集、产生、存储的数据和文档等都应属客户所有，客户对这些资源的访问、利用、支配等权利不受限制。 　　客户数据和业务的司法管辖权不应因采用云计算服务而改变。 　　2.3 坚持先审后用原则 　　云服务商应具备保障客户数据和业务系统安全的能力，并通过安全审查。客户应选择通过审查的云服务商，并监督云服务商切实履行安全责任，落实安全管理和防护措施。 　　3 云计算服务的信息安全技术能力的要求 　　云服务商在提供云计算服务时，要相应具备云计算服务的信息安全技术能力要求，以保障云计算环境中客户信息和业务的安全，具体要求如下。 　　3.1 系统开发与供应链安全及系统与通信保护 　　云服务商应在开发云计算平台时对其提供充分保护，对信息系统、组件和服务的开发商提供相应要求，为云计算平台配置足够的资源，并充分考虑安全需求。云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通信，并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性。 　　3.2 访问控制及配置管理 　　云服务商应严格保护云计算平台的客户数据，在允许人员、进程、设备访问云计算平台之前，应对其进行身份标识及鉴别，并限制其可执行的操作和使用的功能。云服务商应对云计算平台进行配置管理，设置和实现云计算平台中各类产品的安全配置参数。 　　3.3 维护及应急响应与灾备 　　云服务商应维护好云计算平台设施和软件系统，并对维护所使用的工具、技术、机制以及维护人员进行有效的控制，且做好相关记录。云服务商应为