信息安全技术云计算服务安全指南.pdfVIP

范围

本标准描述了云计算可能面临的主要安全风险，提出了政府部门采用云计算服务的安全

管理大体要求及云计算服务的生命周期各阶段的安全管理和技术要求。

本标准为政府部门采用云计算服务，特别是采用社会化的云计算服务提供全生命周期的

安全指导，适用于政府部门采购和利用云计算服务，也可供重点行业和其他企事业单位参考。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适

用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T25069—2010信息安全技术术语

GB/T31168—2014信息安全技术云计算服务安全能力要求

3术语和概念

GB/T25069—2010界定的和下列术语和概念适用于本文件。

3.1云计算cloudcomputing

通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的

模式。

注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。

3.2云计算服务cloudcomputingservice

利用概念的接口，借助云计算提供一种或多种资源的能力。

云服务商cloudserviceprovider

云计算服务的供给方。

注：云服务商管理、运营、支撑云计算的基础设施及软件，通过网络交付云计算的资源。

3.4云服务客户cloudservicecustomer

为利用云计算服务同云服务商成立业务关系的参与方。

注：本标准中云服务客户简称客户。

3.5第三方评估机构ThirdPartyAssessmentOrganizations；3PAO

独立于云计算服务相关方的专业评估机构。

3.6云计算基础设施cloudcomputinginfrastructure

由硬件资源和资源抽象控制组件组成的支撑云计算的基础设施。

注：硬件资源包括所有的物理计算资源，包括服务器（CPU、内存等）、存储组件（硬

盘等）、网络组件（路由器、防火墙、互换机、网络链路和接口等)及其他物理计算基础元

素。资源抽象控制组件对物理计算资源进行软件抽象，云服务商通过这些组件提供和管理

对物理计算资源的访问。

cloudcomputingplatform

云服务商提供的云计算基础设施及其上的服务软件的集合。

3.8云计算环境cloudcomputingenvironment

云服务商提供的云计算平台及客户在云计算平台之上部署的软件及相关组件的集合。

4云计算概述

4.1云计算的主要特征

云计算具有以下主要特征：

a)按需自助服务。在不需或较少云服务商的人员参与情况下，客户能按照需要取得所

b)泛在接入。客户通过标准接入机制，利用计算机、移动、平板等各类终端通过网络

随时随地利用服务。

c)资源池化。云服务商将资源（如：计算资源、存储资源、网路资源）能供给多个客

户利用，这些物理的、虚拟的资源按照客户的需求进行动态分派或从头分派。

d)快速伸缩性。客户可以按照需要快速、灵活、方便地获取和释放计算资源。对于客

户来讲，这种资源是“无穷”的，能在任何时候取得所需资源量。

e)服务可计量。云计算依照多种计量方式（如顺次付费或充值利用等）自动控制或量

化资源，计量的对象可以是存储空间、计算能力、网路带宽或账户等。

按照云服务商提供的资源类型不同，云计算的服务模式主要可分为三类：

a)软件即服务（SaaS）：在SaaS模式下，云服务商向客户提供的是运行在云基础设施

之上的应用软件。客户不需要购买、开发软件，可利用不同设备上的客户端（如WEB

阅读器）或程序接口通过网络访问和利用云服务商提供的应用软件，如电子邮件系

统、协同办公系统等。客户通常不能管理或控制支撑应用软件运行的低层资源，如

网络、服务器、操作系统、存储等，但可对应用软件进行有限的配置管理。

b)平台即服务(PaaS):在PaaS模式下，云服务商向客户提供的是运行在云计算基础

设施之上的软件开发和运行平台，