7-云计算服务安全能力要求.pdf

云计算服务安全能力要求 1 范围 本标准规定了以社会化方式提供云计算服务的服务商应满足的信息安全基本要求。 本标准适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务，也适用于对云计算服 务进行安全审查。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T XXXXX-XXXX 信息安全技术 云计算服务安全管理指南 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB 50174-2008 电子信息系统机房设计规范 GB/T 9361-2011 计算机场地安全要求 3 术语和定义 GB/T 25069-2010、GB/T XXXXX-XXXX确立的以及下列术语和定义适用于本标准。 3.1 云计算 cloud computing 云计算是一种通过网络便捷地访问海量计算资源（如网络、服务器、存储器、应用和服务）的模式， 使客户只需极少的管理工作或云服务商的配合即可实现计算资源的快速获得和释放。 3.2 云服务商 cloud service provider 为个人、组织提供云计算服务的企事业单位。云服务商管理、运营支撑云计算服务的计算基础设施 及软件，通过网络将云计算服务交付给客户。 3.3 客户 cloud consumer 使用云计算平台处理、存储数据和开展业务的组织。 3.4 第三方评估机构 third party assessment organization 独立于云服务商和客户的专业评估机构。 3.5 云基础设施 cloud infrastructure 云基础设施包括硬件资源层和资源抽象控制层。硬件资源层包括所有的物理计算资源，主要包括服 务器（CPU、内存等）、存储组件（硬盘等）、网络组件（路由器、防火墙、交换机、网络链接和接口等） 及其他物理计算基础元素。资源抽象控制层由部署在硬件资源层之上，对物理计算资源进行软件抽象的 系统组件构成，云服务商用这些组件提供和管理物理硬件资源的访问。 3.6 云计算平台 cloud platform 由云服务商提供的，包括向客户提供服务的云基础设施及其上的服务层软件，即指提供云计算服务 的软硬件集合。 1 3.7 云计算环境 cloud environment 包括由云服务商提供的云基础设施，及客户在云基础设施之上部署的软件及相关组件的集合。 4 概述 4.1 云计算的安全责任 云计算服务的安全性由云服务商和客户共同保障。在某些情况下，云服务商还要依靠其他组织提供 计算资源和服务，其他组织也应承担信息安全责任。因此，云计算安全措施的实施主体有多个，各类主 体的安全责任因不同的云计算服务模式而异。 云客户 S a a P S a SaaS I a a S